云计算概述与挑战

背景介绍： 云计算的概念始于2006年的Google公司，这一模式现已成为全球信息通信（ICT）行业的主导趋势。云计算本质是基于服务的计算模式，通过抽象计算资源，提供高性能、低成本的计算、存储服务与软件支持，以驱动各类信息化应用。它旨在优化计算资源分配，提升资源使用效率，减少成本，促进环保，实现“绿色计算”。

挑战与应对： 尽管云计算带来便捷与优势，但也引发了一系列信息安全挑战。云计算的服务模式、动态虚拟化管理和多层服务结构引入了新型安全问题。云服务协议的动态性和多参与方特性对现有信息安全体系构成冲击。非法利用云计算的计算与存储能力可能对安全管理体系产生重大影响。

我国的应对措施： 为应对上述安全风险，我国相关部门积极推动云计算安全标准体系的建设。通过标准化工作，我国已取得显著成果，以确保云计算安全领域的健康发展。

云计算安全标准体系概览

等保2.0下的云计算安全扩展要求： 等级保护作为我国网络安全的重要制度，通过《网络安全等级保护基本要求》2.0版，针对云计算、移动互联等五大技术领域提出了安全扩展要求。特别针对云计算特点，提出了基础设施位置、虚拟化安全保护、镜像与快照保护、云服务商选择、供应链管理、云计算环境管理等方面的特殊保护要求。

安全控制项目分布： 云计算安全扩展要求明确了不同服务模式下的安全责任边界，包括基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）。每种服务模式下，云服务商与客户对计算资源的控制范围不同，决定了安全管理责任的差异。

云计算安全建设需求分析

物理环境安全： 云计算平台的物理特性可能导致网络、设备或线路不可用，影响业务连续性。安全物理环境需严格遵循国家标准，确保机房建设、设备设施安全，并确保云计算平台位于国内。

通信网络安全： 云计算平台需保障云服务客户之间的网络隔离，并提供通信传输、边界防护等安全机制。平台应允许客户自主设置安全策略，实现与云计算管理的深度集成。

区域边界安全： 访问控制、入侵防范、安全审计是关键安全措施。云服务客户需在虚拟化网络边界设置访问控制，内部应能检测攻击并记录相关信息。同时，对特权命令执行进行审计，确保云服务客户对系统和数据的操作可被审计。

计算环境安全： 身份鉴别、访问控制、入侵防范是核心安全需求。远程管理需采用双向身份验证，访问控制策略应随虚拟机迁移而动态调整。系统需能检测并阻止恶意代码传播。

安全管理中心： 实现物理资源与虚拟资源的统一管理，确保流量分离，收集审计数据并实现集中审计。监控虚拟化网络、虚拟机、虚拟化安全设备的运行状态。

云计算安全建设方案设计

安全通信网络： 采用虚拟防火墙和逻辑VPN等技术实现网络隔离，确保云内不同业务部门或系统的网络独立性。山石网科的虚拟化下一代防火墙等产品支持多租户环境，实现云服务器群组的安全隔离。

安全区域边界： 部署访问控制与入侵防范机制，检测攻击并记录细节。山石云·界等产品提供边界流量过滤和应用层防护，山石云·格为虚拟化环境构建强大的安全防护体系。

安全计算环境： 采用堡垒机/虚拟堡垒机进行账号权限划分和双因子认证，山石云·格等产品提供虚拟主机系统安全防护，部署网络版杀毒软件、网页防篡改等功能，加强数据库安全防护。

安全管理中心： 通过虚拟安全管理平台实现集中管控，提升整体安全保障能力。山石网科的虚拟化远程安全评估系统等产品支持实时自检，发现并解决安全问题。

山石网科云计算安全解决方案

山石网科提供全面的云计算安全解决方案，覆盖网络架构、访问控制、入侵防范、集中管控等多个方面，确保云计算环境的安全合规。通过集成山石云·界、山石云·格等产品，满足云计算安全扩展要求，支持云服务商与客户的多重安全需求。