公共基礎(chǔ)設(shè)施云安全策略 .doc

1、公共基礎(chǔ)設(shè)施云安全策略公共基礎(chǔ)設(shè)施云安全策略云服務(wù)提供商的公共基礎(chǔ)設(shè)施云主要是基于云計(jì)算平臺(tái)的 it 基礎(chǔ)設(shè)施為用戶提供租用服務(wù)，如 idc 等。對(duì)于該類云服務(wù)而言，一方面其仍然是基于傳統(tǒng)的 it 環(huán)境，面臨的安全風(fēng)險(xiǎn)和傳統(tǒng)的 it 環(huán)境并沒有本質(zhì)的不同；另一方面，云服務(wù)模式、運(yùn)營模式和云計(jì)算新技術(shù)的引入，給服務(wù)提供商帶來了比傳統(tǒng) it 環(huán)境更多的安全風(fēng)險(xiǎn)。對(duì)于公共基礎(chǔ)設(shè)施云服務(wù)而言，重點(diǎn)需要解決云計(jì)算平臺(tái)安全、多租戶模式下的用戶信息安全隔離、用戶安全管理，以及法律與法規(guī)遵從等方面的安全問題。由于公有云平臺(tái)承載了海量的用戶應(yīng)用，如何保障云計(jì)算平臺(tái)的安全高效運(yùn)營至關(guān)重要。而在公有云典型的多租戶應(yīng)

2、用環(huán)境下，能否實(shí)現(xiàn)用戶信息的安全隔離直接關(guān)系到用戶的安全隱私能否得到有效保護(hù)。同時(shí)法律與法規(guī)的遵從也是非常重要的內(nèi)容，作為云服務(wù)提供商對(duì)外提供服務(wù)，需要考慮滿足相關(guān)法律法規(guī)要求。對(duì)于云服務(wù)提供商而言，在當(dāng)前云計(jì)算服務(wù)還處在演進(jìn)階段，實(shí)現(xiàn)全面的安全功能和技術(shù)要求并非一蹴而就的，需要結(jié)合具體的業(yè)務(wù)應(yīng)用發(fā)展，循序漸進(jìn)地開展安全部署和管理工作。其主要安全部署策略 可包括如下內(nèi)容。（1）基礎(chǔ)安全防護(hù)：建立公共基礎(chǔ)設(shè)施云的安全體系，保障云計(jì)算平臺(tái)的基礎(chǔ)安全，主要包括構(gòu)建涵蓋云計(jì)算平臺(tái)基礎(chǔ)網(wǎng)絡(luò)、主機(jī)、管理終端等基礎(chǔ)設(shè)施資源的安全防護(hù)體系，建設(shè)云平臺(tái)自身的用戶管理、身份鑒別和安全審計(jì)系統(tǒng)等。針對(duì)一些關(guān)鍵應(yīng)用系統(tǒng)或 vip 客戶，可考慮建設(shè)容災(zāi)系統(tǒng)，進(jìn)一步提升其應(yīng)對(duì)突發(fā)安全事件的能力。（2）數(shù)據(jù)監(jiān)管風(fēng)險(xiǎn)規(guī)避：目前國際社會(huì)對(duì)日趨全球化的云計(jì)算服務(wù)中的跨境數(shù)據(jù)存儲(chǔ)、流動(dòng)和交付的監(jiān)管政策尚未達(dá)成一致，在發(fā)生安全事件后如何對(duì)造成的損失進(jìn)行評(píng)估及賠償可能存在較多爭(zhēng)議，因此，云服務(wù)提供商需要在商業(yè)合同中的司法管轄權(quán)和 sla 條款中進(jìn)行合理設(shè)定，并對(duì)運(yùn)營管理制度、業(yè)務(wù)提供的合規(guī)性進(jìn)行合理規(guī)范， 以規(guī)避不必要的經(jīng)營風(fēng)險(xiǎn)。（3）安全增值服務(wù)提供：在構(gòu)建基礎(chǔ)設(shè)施層面的安全防護(hù)體系的基礎(chǔ)上，為進(jìn)一步提高用戶的黏性，為用戶提供可選的應(yīng)用、數(shù)據(jù)及安全增值服務(wù)，提高安全服務(wù)