@苏苏
2年前 提问
1个回答

云计算为等级保护带来的挑战有哪些

一颗小胡椒
2年前

云计算为等级保护带来的挑战有:

  • 等级保护工作的责任归属:信息安全等级保护工作是按照谁主管谁负责、谁运营谁负责的原则来展开。当前各种云产品,在服务模型、部署模型、资源物理位置、管理和所有者属性等方面呈现出多种不同的形态和消费模式,云服务供应商和用户的安全控制职责分工界限并不明确,可能互相推诿,等级保护制度得不到执行。

  • 云产品和云服务的等级保护定级问题:定级工作是由信息系统所有者进行自主定级。云计算分离了数据与基础设施的关系,对于云计算用户而言,他们很难掌握敏感数据在云数据中心的安全防护现状,对其危害程度难以界定,加上云的复杂度较高、动态伸缩性强、系统边界不确定,将造成定级工作开展困难。

  • 开展等级保护测评的问题:第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评。云计算中数据集中度极高,信息泄露的危害性大大增强;云服务采用多租户共享基础设施的模式,而虚拟机之间的安全隔离技术还很不足,云服务供应商可能担心泄露其他用户的数据,而拒绝配合等级保护测评工作。

  • 等级保护整改的问题:涉及等级保护整改工作时,云用户可能由于云服务供应商资质不足而更换新供应商,如果原供应商对整改持消极态度,对云用户的数据不进行合理处置(例如不销毁数据或保留备份数据等),云用户对此无从知晓。

  • 等级保护工作的监督难问题:目前云计算技术主要掌握在几家国际厂商手中。云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至不同国家,在政府信息安全监管等方面可能存在法律差异与纠纷。这使得等级保护的监督工作更难开展。

云计算为等级保护带来挑战的解决对策有:

  • 健全法律法规:加强对云服务供应商的资质审核,尤其在重要行业、重要领域要进行严格管控。供应商必须取得相关资质,方能提供服务。为四级以上信息系统提供服务的资质每半年审查一次,为三级以上信息系统提供服务的资质每年审查一次。加强云计算领域的立法工作,明确要求云服务供应商的安全防护责任。云服务供应商的安全责任大小,取决于其提供服务的模式,比如SaaS模式供应商承担的安全责任大于PaaS模式,PaaS模式供应商的责任又大于IaaS模式。

  • 完善各项标准:针对云计算领域,完善等级保护技术标准、管理标准。云服务供应商在技术方面,应遵循等级保护基本要求中的技术要求,完善云数据中心的物理安全、网络安全、主机安全、应用安全和数据安全等;在管理方面,应遵循等级保护基本要求中的管理要求,在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理做出合理的规划并执行。根据云计算中等级保护标准来度量云服务供应商的安全服务能力,对供应商资质进行分级,不同等级供应商对等级保护工作的参与程度不同。各个等级的信息系统,可以分别对应于不同等级的供应商。

  • 科学合理定级:根据等级保护级别对云服务供应商提出安全需求,要求云服务供应商就数据安全、应用安全、虚拟化安全提供尽可能详细的信息,进行专业风险评估之后,准确、合理地进行定级。信息系统先自主定级再交由云服务供应商托管。当信息系统发生改变时,需要重新定级,并且重新确定资质合格的云服务供应商。在签订服务协议时,应注意供应商达不到预定级别的安全防护,造成用户损失时,对用户的赔偿条款。另外,需考虑定级发生变化时,用户更换供应商的情况,应当事先规定原供应商的义务和责任。

  • 发展云计算安全技术:加强云计算环境中的数据隔离、身份鉴别、权限管理、数据加密、监控审计和灾备恢复等安全技术。

  • 自主研发平台:加大对云计算领域的研发和投入,早日建成国有自主知识产权的云计算平台,对于云计算中的等级保护工作将有很大的推动作用。