近期，斯诺登爆出的“棱镜”计划，在信息安全界引起了轩然大波。随着“第二届全国信息安全等级保护技术大会”在合肥顺利召开，等级保护这个话题在“斯诺登”事件的热潮中，也得到了来自各行各业领导专家的重视。本次会议由公安部第三研究所主办，天融信公司应邀参加，并与到会领导、专家就等级保护建设的若干问题进行了深入交流。

　　由于当前我们建设的云计算平台仍然缺乏安全标准和法律法规，造成了整个云平台安全风险不可控，而且随着安全边界消失，等级保护“分区、分级、分域”的原则无法有效应用。很多企业认为：我的业务应用已经部署在云平台上了，只要整个云平台符合等保要求，我就可以高枕无忧了。但是，当前的云安全产品和设备缺乏对云计算的针对性，大多是基于传统的安全防护措施，无法提供完备的安全保障。

　　等级保护需要迎接虚拟化挑战

　　虚拟化环境对等级保护建设提出了新的需求。我们可以看到，当前的物联网、工业控制系统、移动互联网，都实时交互大量数据。在这些数据中有企业机密数据、个人隐私信息等内容，一旦被盗取，将给企业和用户带来巨大的信息安全风险。具体来看，主要有以下四个方面给等级保护建设带来了新的挑战。

　　从网络连接层面看：随着互联网逐渐成为政治、经济、工业发展中不可或缺的一部分，使得原本相对比较封闭的政府、金融、能源、制造等信息系统也不得不逐渐与互联网之间建立千丝万缕的联系。当人们在享受互联网的智能服务的同时，越来越分不清什么是工作，什么是娱乐，得到了什么，付出了什么，如何在开放与约束之间找到一个恰当的平衡点，使得利益最大化，损失最小化，是后互联网时代摆在政企单位和个人用户面前的一个大难题。

　　从计算资源层面看：随着云计算的逐步落地，越来越多的单位正在或即将把业务交托给云服务商，边界的消失、服务的分散、数据的迁移，使得业务应用和信息数据面临的安全风险愈发复杂化。

　　从用户终端层面看：移动互联、智能终端大行其道，BYOD的强势来袭令人难以拒绝，当员工希望享受工作、生活双便利的同时，企业却因为花样繁多的桌面系统和接入方式该如何管理而大伤脑筋。

　　从信息数据层面看：从网络时代的数据大集中到云时代的大数据分析，对人类的数据驾驭能力不断提出新的挑战，也为人们获得更为深刻、全面的洞察能力提供了前所未有的空间与潜力。大数据把原本零散片面的数据变成统一完整的高价值信息，试问谁能经得住它的诱惑?数据大集中的后果是复杂多样的数据存储在一起，很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况，既不符合合规管理要求，也增加了信息泄露风险。大数据的量级也影响到安全控制措施能否正确运行。如果安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐，就会暴露大数据安全防护的漏洞。

　　虚拟化环境下的等级保护建设

　　针对以上种种问题，我们在考虑等级保护建设时，就必须加入对终端安全提出更多基本要求：

　　• 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;

　　• 应通过设定终端接入方式、网络地址范围等条件限制终端登录;

　　• 应根据安全策略设置登录终端的操作超时锁定。

　　传统的等级保护是基于主机安全的，只考虑物理主机。传统主机式的安全手段无法应用到虚拟主机上，例如会对效率、运行方式等产生影响。虚拟化环境下应该是轻量级的安全。那么在虚拟化环境下需要考虑hypervisor主机和虚拟主机的安全。例如：针对hypervisor主机的入侵和恶意代码防范。

　　网络虚拟化后还需要安全设备能识别网络虚拟标签，区分每台虚拟机主机。网络安全不仅仅在核心层和接入层，而更多的要延伸到物理机内部。网络边界由原来传统的静态边界上升到由于虚拟机迁移产生的动态边界，并由传统的硬件设备式的网络安全，过渡到软件式的网络安全。

　　目前天融信为等级保护建设提供了一套TopVSP系统软件，安装在虚拟化平台上，对于虚拟机来说是透明的，客户虚拟机无须做任何修改。如果安装了TAE，则所有流量就直接通过TAE进行重定向了，避免了网络配置上的麻烦。