云計算為等級保護帶來的挑戰有哪些

云計算為等級保護帶來的挑戰有：

• 等級保護工作的責任歸屬：信息安全等級保護工作是按照誰主管誰負責、誰運營誰負責的原則來展開。當前各種云產品，在服務模型、部署模型、資源物理位置、管理和所有者屬性等方面呈現出多種不同的形態和消費模式，云服務供應商和用戶的安全控制職責分工界限并不明確，可能互相推諉，等級保護制度得不到執行。

• 云產品和云服務的等級保護定級問題：定級工作是由信息系統所有者進行自主定級。云計算分離了數據與基礎設施的關系，對于云計算用戶而言，他們很難掌握敏感數據在云數據中心的安全防護現狀，對其危害程度難以界定，加上云的復雜度較高、動態伸縮性強、系統邊界不確定，將造成定級工作開展困難。

• 開展等級保護測評的問題：第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評。云計算中數據集中度極高，信息泄露的危害性大大增強；云服務采用多租戶共享基礎設施的模式，而虛擬機之間的安全隔離技術還很不足，云服務供應商可能擔心泄露其他用戶的數據，而拒絕配合等級保護測評工作。

• 等級保護整改的問題：涉及等級保護整改工作時，云用戶可能由于云服務供應商資質不足而更換新供應商，如果原供應商對整改持消極態度，對云用戶的數據不進行合理處置（例如不銷毀數據或保留備份數據等），云用戶對此無從知曉。

• 等級保護工作的監督難問題：目前云計算技術主要掌握在幾家國際廠商手中。云計算應用地域性弱、信息流動性大，信息服務或用戶數據可能分布在不同地區甚至不同國家，在政府信息安全監管等方面可能存在法律差異與糾紛。這使得等級保護的監督工作更難開展。

云計算為等級保護帶來挑戰的解決對策有：

• 健全法律法規：加強對云服務供應商的資質審核，尤其在重要行業、重要領域要進行嚴格管控。供應商必須取得相關資質，方能提供服務。為四級以上信息系統提供服務的資質每半年審查一次，為三級以上信息系統提供服務的資質每年審查一次。加強云計算領域的立法工作，明確要求云服務供應商的安全防護責任。云服務供應商的安全責任大小，取決于其提供服務的模式，比如SaaS模式供應商承擔的安全責任大于PaaS模式，PaaS模式供應商的責任又大于IaaS模式。

• 完善各項標準：針對云計算領域，完善等級保護技術標準、管理標準。云服務供應商在技術方面，應遵循等級保護基本要求中的技術要求，完善云數據中心的物理安全、網絡安全、主機安全、應用安全和數據安全等；在管理方面，應遵循等級保護基本要求中的管理要求，在安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理做出合理的規劃并執行。根據云計算中等級保護標準來度量云服務供應商的安全服務能力，對供應商資質進行分級，不同等級供應商對等級保護工作的參與程度不同。各個等級的信息系統，可以分別對應于不同等級的供應商。

• 科學合理定級：根據等級保護級別對云服務供應商提出安全需求，要求云服務供應商就數據安全、應用安全、虛擬化安全提供盡可能詳細的信息，進行專業風險評估之后，準確、合理地進行定級。信息系統先自主定級再交由云服務供應商托管。當信息系統發生改變時，需要重新定級，并且重新確定資質合格的云服務供應商。在簽訂服務協議時，應注意供應商達不到預定級別的安全防護，造成用戶損失時，對用戶的賠償條款。另外，需考慮定級發生變化時，用戶更換供應商的情況，應當事先規定原供應商的義務和責任。

• 發展云計算安全技術：加強云計算環境中的數據隔離、身份鑒別、權限管理、數據加密、監控審計和災備恢復等安全技術。

• 自主研發平臺：加大對云計算領域的研發和投入，早日建成國有自主知識產權的云計算平臺，對于云計算中的等級保護工作將有很大的推動作用。

回答所涉及的環境：聯想天逸510S、Windows 10。