近期，斯諾登爆出的“棱鏡”計(jì)劃，在信息安全界引起了軒然大波。隨著“第二屆全國信息安全等級保護(hù)技術(shù)大會”在合肥順利召開，等級保護(hù)這個(gè)話題在“斯諾登”事件的熱潮中，也得到了來自各行各業(yè)領(lǐng)導(dǎo)專家的重視。

由于當(dāng)前我們建設(shè)的云計(jì)算平臺仍然缺乏安全標(biāo)準(zhǔn)和法律法規(guī)，造成了整個(gè)云平臺安全風(fēng)險(xiǎn)不可控，而且隨著安全邊界消失，等級保護(hù)“分區(qū)、分級、分域”的原則無法有效應(yīng)用。很多企業(yè)認(rèn)為：我的業(yè)務(wù)應(yīng)用已經(jīng)部署在云平臺上了，只要整個(gè)云平臺符合等保要求，我就可以高枕無憂了。但是，當(dāng)前的云安全產(chǎn)品和設(shè)備缺乏對云計(jì)算的針對性，大多是基于傳統(tǒng)的安全防護(hù)措施，無法提供完備的安全保障。

等級保護(hù)需要迎接虛擬化挑戰(zhàn)

虛擬化環(huán)境對等級保護(hù)建設(shè)提出了新的需求。我們可以看到，當(dāng)前的物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動互聯(lián)網(wǎng)，都實(shí)時(shí)交互大量數(shù)據(jù)。在這些數(shù)據(jù)中有企業(yè)機(jī)密數(shù)據(jù)、個(gè)人隱私信息等內(nèi)容，一旦被盜取，將給企業(yè)和用戶帶來巨大的信息安全風(fēng)險(xiǎn)。具體來看，主要有以下四個(gè)方面給等級保護(hù)建設(shè)帶來了新的挑戰(zhàn)。

從網(wǎng)絡(luò)連接層面看：隨著互聯(lián)網(wǎng)逐漸成為政治、經(jīng)濟(jì)、工業(yè)發(fā)展中不可或缺的一部分，使得原本相對比較封閉的政府、金融、能源、制造等信息系統(tǒng)也不得不逐漸與互聯(lián)網(wǎng)之間建立千絲萬縷的聯(lián)系。當(dāng)人們在享受互聯(lián)網(wǎng)的智能服務(wù)的同時(shí)，越來越分不清什么是工作，什么是娛樂，得到了什么，付出了什么，如何在開放與約束之間找到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn)，使得利益最大化，損失最小化，是后互聯(lián)網(wǎng)時(shí)代擺在政企單位和個(gè)人用戶面前的一個(gè)大難題。

從計(jì)算資源層面看：隨著云計(jì)算的逐步落地，越來越多的單位正在或即將把業(yè)務(wù)交托給云服務(wù)商，邊界的消失、服務(wù)的分散、數(shù)據(jù)的遷移，使得業(yè)務(wù)應(yīng)用和信息數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)愈發(fā)復(fù)雜化。

從用戶終端層面看：移動互聯(lián)、智能終端大行其道，BYOD的強(qiáng)勢來襲令人難以拒絕，當(dāng)員工希望享受工作、生活雙便利的同時(shí)，企業(yè)卻因?yàn)榛臃倍嗟淖烂嫦到y(tǒng)和接入方式該如何管理而大傷腦筋。

從信息數(shù)據(jù)層面看：從網(wǎng)絡(luò)時(shí)代的數(shù)據(jù)大集中到云時(shí)代的大數(shù)據(jù)分析，對人類的數(shù)據(jù)駕馭能力不斷提出新的挑戰(zhàn)，也為人們獲得更為深刻、全面的洞察能力提供了前所未有的空間與潛力。大數(shù)據(jù)把原本零散片面的數(shù)據(jù)變成統(tǒng)一完整的高價(jià)值信息，試問誰能經(jīng)得住它的誘惑？數(shù)據(jù)大集中的后果是復(fù)雜多樣的數(shù)據(jù)存儲在一起，很可能會出現(xiàn)將某些敏感業(yè)務(wù)數(shù)據(jù)放在相對開放的數(shù)據(jù)存儲位置的情況，既不符合合規(guī)管理要求，也增加了信息泄露風(fēng)險(xiǎn)。大數(shù)據(jù)的量級也影響到安全控制措施能否正確運(yùn)行。如果安全防護(hù)手段的更新升級速度無法跟上數(shù)據(jù)量非線性增長的步伐，就會暴露大數(shù)據(jù)安全防護(hù)的漏洞。

虛擬化環(huán)境下的等級保護(hù)建設(shè)

針對以上種種問題，我們在考慮等級保護(hù)建設(shè)時(shí)，就必須加入對終端安全提出更多基本要求：

應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；

應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；

應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定。

傳統(tǒng)的等級保護(hù)是基于主機(jī)安全的，只考慮物理主機(jī)。傳統(tǒng)主機(jī)式的安全手段無法應(yīng)用到虛擬主機(jī)上，例如會對效率、運(yùn)行方式等產(chǎn)生影響。虛擬化環(huán)境下應(yīng)該是輕量級的安全。那么在虛擬化環(huán)境下需要考慮hypervisor主機(jī)和虛擬主機(jī)的安全。例如：針對hypervisor主機(jī)的入侵和惡意代碼防范。

網(wǎng)絡(luò)虛擬化后還需要安全設(shè)備能識別網(wǎng)絡(luò)虛擬標(biāo)簽，區(qū)分每臺虛擬機(jī)主機(jī)。網(wǎng)絡(luò)安全不僅僅在核心層和接入層，而更多的要延伸到物理機(jī)內(nèi)部。網(wǎng)絡(luò)邊界由原來傳統(tǒng)的靜態(tài)邊界上升到由于虛擬機(jī)遷移產(chǎn)生的動態(tài)邊界，并由傳統(tǒng)的硬件設(shè)備式的網(wǎng)絡(luò)安全，過渡到軟件式的網(wǎng)絡(luò)安全。

目前天融信為等級保護(hù)建設(shè)提供了一套TopVSP系統(tǒng)軟件，安裝在虛擬化平臺上，對于虛擬機(jī)來說是透明的，客戶虛擬機(jī)無須做任何修改。如果安裝了TAE，則所有流量就直接通過TAE進(jìn)行重定向了，避免了網(wǎng)絡(luò)配置上的麻煩。