云计算为等级保护带来挑战的解决对策有什么
云计算为等级保护带来挑战的解决对策有:
健全法律法规:加强对云服务供应商的资质审核,尤其在重要行业、重要领域要进行严格管控。供应商必须取得相关资质,方能提供服务。为四级以上信息系统提供服务的资质每半年审查一次,为三级以上信息系统提供服务的资质每年审查一次。加强云计算领域的立法工作,明确要求云服务供应商的安全防护责任。云服务供应商的安全责任大小,取决于其提供服务的模式,比如SaaS模式供应商承担的安全责任大于PaaS模式,PaaS模式供应商的责任又大于IaaS模式。
完善各项标准:针对云计算领域,完善等级保护技术标准、管理标准。云服务供应商在技术方面,应遵循等级保护基本要求中的技术要求,完善云数据中心的物理安全、网络安全、主机安全、应用安全和数据安全等;在管理方面,应遵循等级保护基本要求中的管理要求,在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理做出合理的规划并执行。根据云计算中等级保护标准来度量云服务供应商的安全服务能力,对供应商资质进行分级,不同等级供应商对等级保护工作的参与程度不同。各个等级的信息系统,可以分别对应于不同等级的供应商。
科学合理定级:根据等级保护级别对云服务供应商提出安全需求,要求云服务供应商就数据安全、应用安全、虚拟化安全提供尽可能详细的信息,进行专业风险评估之后,准确、合理地进行定级。信息系统先自主定级再交由云服务供应商托管。当信息系统发生改变时,需要重新定级,并且重新确定资质合格的云服务供应商。在签订服务协议时,应注意供应商达不到预定级别的安全防护,造成用户损失时,对用户的赔偿条款。另外,需考虑定级发生变化时,用户更换供应商的情况,应当事先规定原供应商的义务和责任。
发展云计算安全技术:加强云计算环境中的数据隔离、身份鉴别、权限管理、数据加密、监控审计和灾备恢复等安全技术。
自主研发平台:加大对云计算领域的研发和投入,早日建成国有自主知识产权的云计算平台,对于云计算中的等级保护工作将有很大的推动作用。