随着等保2.0正式实施的脚步越来越近，很多云计算平台/系统的客户愈发焦虑，云等保如何定级、建设整改如何实施，新增安全要求怎么落地？等保合规中还有那些地方值得重点关注？……

如果客户抛给你这些问题，你都知道咋回答吗？

等保2.0与时俱进地把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内的新技术纳入，并着重强调了云计算安全等相关事宜，提高了保障的要求门槛。

让人云里雾里的云等保，其实不是新鲜事物，只是从基本要求扩展而来，根据云计算的特性衍生出一些新的变化。

所以，当你有客户问你云等保的时候，首先你要给客户介绍云等保要求的总体情况，其次云等保定级对象至少包括两部分：云平台本身和云租户的信息系统。

最后以三级系统为例，告知客户哪些事情需要重点关注。

云等保要求总览

新标准中对于云计算平台/系统的等级保护，仍然根据“一个中心，三重防护”体系框架，提出了具体的技术要求，以及包含云服务商选择、供应链管理和云计算环境管理等方面的管理要求。云计算平台/系统的安全建设或安全整改，需同时根据安全通用要求和安全扩展要求，构建具有相应等级安全防护能力的安全防御体系。

注：安全管理制度、安全管理机构和安全管理人员，云计算平台/系统无单独安全扩展要求。

云等保组织架构

云计算等级保护的施行由两部分组成，一部分是组织，另外一部分是施行逻辑。就组织而言，云计算等级保护有完善的指导、规划、试测、建设、验证、审计和持续优化流程组织形式和流程。

云等保框架

云计算等级保护是整个等保2.0的一部分，它与等级保护的“通用”部分形成一个整体，来约束云计算平台的等级保护建设，为云计算平台网络安全建设设立基线。云计算等级保护框架按照系统组成来划分，大致可分为面向整个云计算平台的防护要求和面向云计算负载的防护要求。

云计算安全等级保护是等级保护框架的一部分

云计算系统分级需要综合等级保护中的安全通用要求和云计算安全两个模块的内容，进行定级。云计算等级保护的每个等级依据威胁对目标造成的影响程度，形成有梯度的防护。这些要求被整体划分为技术要求和管理要求，分别面向云计算平台系统和云计算平台管理两个部分。以三级等保建设为例，其技术要求160多项、管理要求120多项。

对于云计算平台/系统的等级保护，我们以第三级要求说明有哪些应该重点关注。

1、责任共担要求

云计算平台/系统通常由设施、硬件、资源抽象控制、虚拟化计算资源、软件平台和应用软件等组成。根据不同服务模式（IaaS、PaaS和SaaS），云服务商和云服务客户拥有不同控制范围，其安全责任边界不同；云服务商和云服务客户应根据各自安全责任，进行安全防护能力建设。现实情况是云服务客户通常认为安全防护应该由云服务商实现，只需把业务系统迁移至云端即可，这需要引导云服务客户关注等级保护，并采取相应安全防护，与云服务商一起共同保护云计算平台/系统。

2、安全通信网络要求

解读：根据控制范围，云计算定级对象可分为云服务商控制部分（如云计算平台）和云服务客户控制部分（如业务应用系统），应分别进行定级，且云服务商控制部分比云服务客户控制部分高，云服务商的测评可以被复用。在进行安全建设时，云服务商应该为云服务客户提供安全产品或服务，然而云计算平台/系统，尤其是私有云部署方式下，仅提供基础的安全能力，并不能满足等级保护要求。这就需要云服务商能够提供第三方安全产品/服务或允许客户接入第三方安全产品或服务，并且云服务客户可以自主设置安全策略。

3、安全区域边界

解读：相较于传统信息系统，云计算平台/系统新增了一些组件，如宿主机、虚拟机和虚拟化网络等。所以在做安全区域边界设计时，除了关注物理区域边界和物理网络节点外，还应该关注虚拟化网络边界和虚拟网络节点，以及虚拟机与物理机、虚拟机与虚拟机间网络流量，一方面做好物理网络的访问控制和入侵防范等，另一方面利用云计算平台/系统的安全能力或第三方安全产品/服务，做好虚拟区域边界的访问控制和入侵防范等。

4、安全计算环境

解读：云计算平台/系统中虚拟机运行在一个资源共享的环境中，虚拟机迁移时有发生，随着虚拟机的生命周期结束，其资源将被回收和利用。所以为实现安全计算环境，除做好安全通用要求外，应做好以下几点：云服务商应提供加固的镜像，利用完整性校验防止被恶意篡改；应该确保虚拟机的CPU、内存和存储等资源的隔离；当虚拟机做迁移时，应能够实现迁移前后的访问控制策略保持一致，并且虚拟机所使用的内存和存储空间回收时，做到数据清除。云服务客户应定期做安全检查，进行安全加固，并利用防病毒软件保护虚拟机，在计划内的虚拟机迁移时，检查迁移前后虚拟机的访问控制策略。

5、安全管理中心

解读：网络环境日益复杂，云计算平台/系统通常采用集中化部署，风险和攻击也被集中和加剧，安全防御体系应该更主动和动态，安全管理中心是关键。该中心应该能够建立安全态势感知、攻击行为回溯分析和监测预警等能力，帮助云计算平台/系统实现安全事件的事前预警、事中防护和事后追溯，并持续监控云计算平台/系统的安全状态。因此，应该建立具备相应能力的安全管理中心，完善安全防御体系，并帮助云计算平台/系统落实态势感知、通报预警和安全检测等工作。

看了上面的内容，掌握5个重点问题的解读，相信你肯定会给客户一个满意的答复，客户满意了，那么离合作、离成交，还会远吗？