引言：随着一系列等级保护新标准的顺利发布，网络安全等级保护也进入到2.0时代。作为新增的等级保护对象，云计算平台/系统新增安全要求如何？有哪些地方值得重点关注？

2019年5月13日，网络安全等级保护2.0标准正式发布，同年12月1日正式实施。一年来，整个信息安全行业需求迎来了重要的边际改善，新机遇、新趋势、新挑战成为了企业合规建设的关键词，过等保成为了企业合规运营的必经之路。网络空间已经被视为继海、陆、空、天之后的“第五空间”，网络安全上升到国家战略地位。

▲网络安全法摘录

等保2.0标准的制定与发布执行，预示着新的网络安全基础红线已出，任何一家企业都不能罔顾无视、成为短板所在。但对于整体安全意识不强，等保普及程度不高的国内企业而言，推行落地难度可想而知，如何在国家制度落地和企业实际施行中搭建纽带和桥梁，为政策落地做好支撑服务是重中之重。

等保2.0新变化

等保2.0在1.0的基础上，注重全方位主动防御、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。作为新增的等级保护对象，云计算平台/系统新增安全要求如何？有哪些地方值得重点关注？接下来小编为您一一解读。

云安全挑战

云计算平台作为信息化建设中的重要系统，具备开放型巨系统的特征，系统组成极为复杂。由此决定着云计算平台将面临着各个层面的网络安全挑战。

首先，是来自网络和通讯的安全挑战。这类攻击是借助网络、通讯特性如带宽、传输会话、数据包转发等实施的攻击。例如，直接通过网络实施DDOS攻击，通过网络使用不安全接口实施注入、盗取秘钥、非法获取敏感数据、非法篡改数据攻击，通过网络实施账户劫持以及通过网络传输的APT类攻击等。

其次，是面向设备和计算的安全挑战。攻击者利用云计算设备和平台性能优势或固有特性实施直接或间接的攻击，如：身份验证和凭证被盗取、云计算存储资源数据残留、存在漏洞的基础服务资源被共享使用、云服务被滥用于其他网络攻击等。

第三，是面向应用和数据的安全挑战。应用的目的是处理数据，云计算软件漏洞、不安全接口、数据库存储不受控、黑客攻击、员工处理数据的异常操作、未被授权的访问等可造成数据泄露、数据异常销毁、数据永久丢失等重大损失。

第四，是来自管理、运维的安全挑战。在云计算管理层面，缺乏尽职调查、数据所有权缺乏保障体系；在运维层面，存在云使用方或云租户对云计算服务方过度依赖，甚至被云计算服务方锁定、恶意越权访问、滥用职权以及误操作等，存在信息安全隐患的管理和运维，这些对云计算平台的安全稳定带来巨大风险和隐患。

云等保基本要求

新标准中对于云计算平台/系统的等级保护，仍然根据“一个中心，三重防护”体系框架，提出了具体的技术要求。云计算平台/系统的安全建设或安全整改，需同时根据安全通用要求和安全扩展要求，构建具有相应等级安全防护能力的安全防御体系。

云等保拓展

1、定级对象不同。

确定保护对象，通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。云计算平台和平台上的业务应用系统分开定级。云计算平台需要单独定级备案，不得承载安全高于其安全保护等级的业务应用系统。

2、责任主体不同。

安全责任主体一分为二：云服务商和云服务客户共担安全责任。

3、责任边界区分。

云计算平台/系统通常由设施、硬件、资源抽象控制、虚拟化计算资源、软件平台和应用软件等组成。根据不同服务模式（IaaS、PaaS和SaaS），云服务商和云服务客户拥有不同控制范围，其安全责任边界不同；云服务商和云服务客户应根据各自安全责任，进行安全防护能力建设。

不同的云计算服务模式对应不同的安全责任边界，安全责任边界如图下所示：

4、安全管理中心。

等保2.0标准将安全管理中心从管理层面提升至技术层面，建设安全管理中心成为必要建设内容。

安全管理中心需对系统管理员、审计管理员、安全管理员开展身份鉴别和审计。

对系统管理员、审计管理员、安全管理员的权限做出了详细的定义。系统管理员：系统管理操作，对系统的资源和运行进行配置、控制和管理；审计管理员：安全审计操作，对审计记录进行分析；安全管理员：对系统中的安全策略进行配置。

明确提出集中管控需求：需分区域、分权限对安全资源进行集中监测、数据汇总分析、安全事件集中处理、安全事件集中识别告警等。

等级保护服务流程

云计算等级保护的施行由两部分组成，一部分是组织，另外一部分是实施逻辑。就组织而言，云计算等级保护有完善的指导、规划、试测、建设、验证、审计和持续优化流程组织形式和流程。

适用行业

2020年伊始，“新冠”疫情爆发带给中国乃至全世界不可控的损失，比之更令国人惊恐的是疫