- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
云计算是一种运营模式,把IT资源、数据和应用作为服务通过网络提供给用户。服务方式改变为共享数据中心, 与用户应用对应的计算机系统,只是计算模式的变化。云计算主要有四个特点:
硬件和软件都是资源,通过网络以服务的方式提供给用户。
这些资源都可以根据需要动态扩展和配置(动态异构)。
这些资源在物理上以分布式的共享方式存在,但在逻辑上以单一整体的形式呈现(虚拟共享)。
用户按需要使用云中的资源,按实际使用量付费(按需控制)。
随着云计算在各行业的普遍应用,对于云安全问题的讨论也愈发的突出和明显,云的使用者对于自己的数据脱离本地化管理存在着隐私泄露和业务连续性等多方面的质疑和担忧,从2009年至今,对于云安全问题的讨论也不绝于耳,全球各类安全组织和机构对云计算的安全问题进行了多方的讨论与论证,主要集中在:
缺乏控制——由于资源抽象导致的管理控制缺乏和服务责任盲点导致的安全控制差距
标准性差——数据的可移植性以及业务迁移存在较大的难度
隔离失效——隔离机制的缺乏导致租户的访问控制无法得到全面的控制
管理缺失——通过不可信路径访问云资源时的授权和认证缺乏
数据保护——缺乏安全控制措施(如访问控制或加密),不能保障数据的CIA属性
数据清除——不能提供数据完全清除的能力
内控不足——内部员工的非授权访问缺乏审计
目标模糊——安全控制等级与业务的匹配度不足
可靠接入——从不可信网络接入的防控与可靠性不足
这些风险在传统IT环境中就一直存在,但是在云计算环境中将变的更加明显。
信息安全等级保护就是结合国际信息安全标准和我国基本国情,在国家层面对各个行业提出的安全要求,主要从信息安全的共性出发,从整体上引导和推动各行业的信息安全建设,使我国信息安全建设更加突出重点和统一规范。
经过多年的论证与研究,等级保护也增加了对云计算的补充性条款——《第二分册云计算安全技术要求》。新华三作为主要参与方参加了整个编写过程,针对在云计算环境中应用到的虚拟化主机安全技术、网络访问控制技术、虚拟化安全技术和虚拟化环境的访问安全等方面提出了相关的安全技术要求。同时,在云计算环境中,云平台运维及运营管理方面也给出相关安全管理要求。针对云计算的全新应用模式、与之相配套的新技术、结构性的变化和职责的再分配,新华三在众多的私有云和专有云项目中积累了丰富的实战经验,为用户提供满足等级保护要求的解决方案和配套产品,得到了业界一致的认可。
云计算在经营模式和成本投入上给现有的IT模式带来了更高的业务敏捷度和投资回报率,但是在初期建设过程中,由于实施任务紧,业务上线急迫等因素,导致在等级保护的合规建设过程中仅仅完成了资源的配套,而没有对安全风险管理手段和策略进行有效梳理和细粒度的策略控制,在落实等级保护的相关安全要求时,往往一些柔性的控制点要求会被忽略,大致包括如下。
上述等级保护的安全控制点虽然并不涉及具体的安全产品或工具,但都是在等级保护的建设过程中容易被忽略的问题,回归安全的本质来说,安全始终是三分技术、七分管理。实际上在现有的数据中心环境中,安全的基础设施和配备都已经较为齐全,大部分安全工具或产品在安全建设过程中已经从有无的问题转换为使用优化的问题,如何将现网中的安全产品进行正确配置,才是目前等级保护的初衷,利用等级保护的安全控制点,有效对安全产品的使用进行指导,满足等级保护的安全初衷。
售前咨询
售后咨询
人工在线咨询
