信息來(lái)源：安全牛

自公有云波瀾壯闊地發(fā)展了一段時(shí)期之后，行業(yè)云、私有云或?qū)Ｓ性疲饾u開始風(fēng)起云涌，一個(gè)專注中國(guó)行業(yè)云/私有云安全的技術(shù)聯(lián)盟應(yīng)運(yùn)而生。

一、行業(yè)（私有）云的市場(chǎng)有多大？

公有云目前的主要用戶為中小企業(yè)，但國(guó)內(nèi)中小企業(yè)在整個(gè)IT市場(chǎng)需求中占的比例很小，因此行業(yè)云/私有云的潛在市場(chǎng)非常巨大。當(dāng)然，后者的建設(shè)周期要比前者長(zhǎng)的多，而且隨著時(shí)間的推移和安全問(wèn)題的解決，公有云還會(huì)逐漸吃掉私有云的部分市場(chǎng)。

云市場(chǎng)具體的數(shù)字很難判斷，但仍然可以大致估算一下。IDC的報(bào)告顯示，2015年度國(guó)內(nèi)整個(gè)公有云計(jì)算市場(chǎng)的總量約為56.8億元，年平均增長(zhǎng)率為79%。如果把國(guó)家部委、重點(diǎn)行業(yè)、大型國(guó)企與中小企業(yè)占IT系統(tǒng)市場(chǎng)的比例為10比1來(lái)看，行業(yè)云/私有云的潛在市場(chǎng)體量驚人。

但后者發(fā)展的障礙在于，云計(jì)算還存在一些問(wèn)題，如政策相關(guān)、安全相關(guān)、責(zé)任相關(guān)等問(wèn)題，許多機(jī)構(gòu)還在猶豫是否上云，而且私有云的建設(shè)周期要長(zhǎng)，因此還存在一定變數(shù)。

二、為什么成立行業(yè)（私有）云安全聯(lián)盟？

之前許多人對(duì)云有一種認(rèn)識(shí)，即公有云包打天下。但隨著云的普及，在整個(gè)信息技術(shù)市場(chǎng)，占據(jù)重要地位的國(guó)家部委、政府機(jī)構(gòu)、重點(diǎn)行業(yè)和大型國(guó)有企業(yè)，承載著重要信息系統(tǒng)和重要公共服務(wù)的安全運(yùn)行，而這些網(wǎng)絡(luò)信息系統(tǒng)一直都是各種網(wǎng)絡(luò)犯罪活動(dòng)和網(wǎng)絡(luò)間諜活動(dòng)覬覦并攻擊的重要目標(biāo)，習(xí)主席“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的聲音言猶在耳，因此行業(yè)云/私有云的需求突顯。

金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。

——習(xí)近平

在這個(gè)大背景下，本周四，首屆中國(guó)行業(yè)（私有）云安全技術(shù)聯(lián)盟宣布成立。

三、聯(lián)盟組成機(jī)構(gòu)

此次聯(lián)盟成立活動(dòng)，得到了公安部等保中心的大力支持，聯(lián)盟掛靠在中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)，核心參與廠商分為三大類：

IT安全服務(wù)商

• 太極股份（主要行業(yè)：政府）
• 中國(guó)電信集成（主要行業(yè)：中國(guó)電信）
• 捷成世紀(jì)（主要行業(yè)：廣電）
• 華勝天成（主要行業(yè)：金融）
• 太極華青（主要行業(yè)：財(cái)稅）
• 神州泰岳（主要行業(yè)：中國(guó)移動(dòng)）

云安全產(chǎn)品及服務(wù)商

• 中新網(wǎng)安（核心能力：抗DDoS、APT）
• 圣博潤(rùn)（核心能力：堡壘機(jī)）
• 安博通（核心能力：安全可視化）
• 金電網(wǎng)安（核心能力：數(shù)據(jù)交換控制）
• 科來(lái)軟件（核心能力：網(wǎng)絡(luò)流量大數(shù)據(jù)分析）
• 景安云信（核心能力：防問(wèn)控制）

云平臺(tái)產(chǎn)品及服務(wù)商

• 新華三
• 華為
• 國(guó)信新網(wǎng)

據(jù)聯(lián)盟主要負(fù)責(zé)人介紹，選擇聯(lián)盟企業(yè)成員將恪守“五大能力壁壘”：

1. 創(chuàng)始人團(tuán)隊(duì)：核心人員穩(wěn)定度在5年以上，并對(duì)信息安全領(lǐng)域有深刻理解。

2. 技術(shù)研發(fā)能力：研發(fā)團(tuán)隊(duì)至少50人以上，并有3年以上的團(tuán)隊(duì)合作經(jīng)驗(yàn)。

3. 研究能力：研究團(tuán)隊(duì)至少20人以上，長(zhǎng)期沉淀的核心安全技術(shù)，在相應(yīng)市場(chǎng)領(lǐng)域占前三位。

4. 產(chǎn)品化能力：產(chǎn)品易用性已經(jīng)市場(chǎng)檢驗(yàn)，銷售額利潤(rùn)已具備一定規(guī)模。

5. 服務(wù)轉(zhuǎn)化能力：可以將安全能力轉(zhuǎn)化為產(chǎn)品或平臺(tái)，不完全依賴人工。

四、云安全等保標(biāo)準(zhǔn)研讀

公安部等保中心主任助理李明在聯(lián)盟論壇的演講中表示，正在評(píng)審修訂的云等保標(biāo)準(zhǔn)有三大特點(diǎn)：

復(fù)雜但不神秘——信息技術(shù)與商業(yè)模式結(jié)合的自然產(chǎn)物；
巨大但不模糊——云計(jì)算環(huán)境中具備清晰的等級(jí)保護(hù)對(duì)象；
多方但不混亂——云租戶是網(wǎng)絡(luò)安全的最終責(zé)任人。

在平臺(tái)安全方面：

基礎(chǔ)設(shè)施、云管理平臺(tái)（云操作系統(tǒng)，Hypervisor）的組件自身安全應(yīng)遵循《安全通用要求》；
登錄云管理平臺(tái)的管理用戶進(jìn)行相應(yīng)等級(jí)的身份鑒別，確保云平臺(tái)運(yùn)維管理員和云服務(wù)管理員權(quán)限分離；
當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，管理終端和云計(jì)算平臺(tái)邊界設(shè)備要建立雙向身份驗(yàn)證機(jī)制。

在資源隔離方面：

應(yīng)保證云平臺(tái)管理流量與云租房業(yè)務(wù)流量分離；
禁止虛擬實(shí)例直接訪問(wèn)宿主機(jī)上的物理硬件；
不同虛擬機(jī)之間的虛擬CPU指令隔離；
應(yīng)保證分配給虛擬機(jī)的內(nèi)存空間僅供期獨(dú)占訪問(wèn)；
應(yīng)根據(jù)承載的業(yè)務(wù)系統(tǒng)安全保護(hù)等級(jí)劃分資源池，并實(shí)現(xiàn)資源池之間的隔離；
應(yīng)保證虛擬機(jī)僅能遷移至相同安全保護(hù)等級(jí)的資源池。

在數(shù)據(jù)安全方面：

應(yīng)提供查詢?cè)谱夥繑?shù)據(jù)及備份存儲(chǔ)位置的方式；
應(yīng)保證云租房業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺(tái)或者遷移到本地信息系統(tǒng)；
確保虛擬機(jī)遷移過(guò)程中的完整性保護(hù)和信息防泄露；
對(duì)虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)和更新，檢測(cè)非授權(quán)修改；
對(duì)虛擬機(jī)快照文件進(jìn)行保密性保護(hù)。

注意事項(xiàng)：

定級(jí)對(duì)象需滿足通用要求和云計(jì)算擴(kuò)展要求；
云計(jì)算虛擬對(duì)象需要滿足通用要求中的部分要求；
一般信息系統(tǒng)對(duì)象需要滿足擴(kuò)展要求的部分要求；
云平臺(tái)既需要具備相應(yīng)等級(jí)自身保護(hù)能力，也需要具備提供云上應(yīng)用相應(yīng)等級(jí)的保護(hù)能力。

作為參與等保標(biāo)準(zhǔn)制定的廠商新華三，在討論對(duì)云等保標(biāo)準(zhǔn)的理解和落地時(shí)表示，新華三已經(jīng)在各省市建立上了百朵云，積累了寶貴的經(jīng)驗(yàn)。新的等保標(biāo)準(zhǔn)擴(kuò)展了云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)和工業(yè)控制四個(gè)方面。其中云等保是在原有等保標(biāo)準(zhǔn)的技術(shù)和管理要求的基礎(chǔ)上，增加了對(duì)虛擬化環(huán)境下相應(yīng)的要求，增加了若干風(fēng)險(xiǎn)點(diǎn)，如網(wǎng)絡(luò)架構(gòu)要實(shí)現(xiàn)不同云租戶之間的網(wǎng)絡(luò)隔離。

五、為什么要建設(shè)行業(yè)云或私有云？

同時(shí)作為聯(lián)盟的核心廠商新華三，其參會(huì)代表在接受記者采訪時(shí)表示，從安全來(lái)講，云計(jì)算的發(fā)展目前面臨的最重要挑戰(zhàn)就是安全，包括訪問(wèn)安全和數(shù)據(jù)安全，而行業(yè)云或私有云可以在一定程度上緩解用戶的擔(dān)憂。

此外，面對(duì)的用戶需求不一樣。相比公有云提供標(biāo)準(zhǔn)化的服務(wù)而言，行業(yè)云/私有云的管理、業(yè)務(wù)或應(yīng)用具有多樣性，會(huì)出現(xiàn)更多的定制化需求。尤其是云的建設(shè)者需要對(duì)甲方的環(huán)境有著較深的理解，包括對(duì)方的IT架構(gòu)、管理監(jiān)管體系、業(yè)務(wù)流程和應(yīng)用環(huán)境等。

雖然國(guó)家一直在強(qiáng)調(diào)網(wǎng)絡(luò)安全的重要性，但實(shí)際上無(wú)論是個(gè)人還是企業(yè)忽視安全問(wèn)題、缺乏安全意識(shí)還是個(gè)普遍現(xiàn)象，以致于網(wǎng)絡(luò)安全成為國(guó)內(nèi)信息技術(shù)全面發(fā)展的一個(gè)短板。

從另一面來(lái)看，云計(jì)算的發(fā)展在碰到安全這個(gè)瓶頸時(shí)，反過(guò)來(lái)一定會(huì)倒逼安全的發(fā)展。即將推出的云安全等保標(biāo)準(zhǔn)，能夠消除很多安全上的擔(dān)憂，必將極大的促進(jìn)云計(jì)算的發(fā)展，這是一個(gè)水到渠成的自然結(jié)果。