我们把信息集中在云计算中心,云计算中心在这儿,如果说你整个大楼不安全,那会给会议造成很大的干扰威胁,所以从发展的角度来说又出现新的问题了,这是什么样的法律?什么问题出来以后由你负责,什么问题出来以后,由原来的用户自己负责,你比如说我当的保安不好,把会议取消了,会议开不成了,那对不起,宾馆你负责任,一样,云计算里面,也有系统,跑不起来以后,他当然也会负责任,云计算中心的运营商要负责任。至于没有呈现出现问题,我们开会的时候,会议开不成了,那就要负责任了。所以各负其责。
第二,信息安全等级保护制度适用于新型信息技术应用的信息安全保障。
我们以前等级保护遵照两个方面,网络通信技术设施,一块是技术支持,一块是信息支持。从四个信息技术来讲,它是离不开技术信息的系统。首先要对于工业现场进行传感器直接的控制,还要由控制部件进行指挥着,这就是控制单元,这个是递进于信息系统的,由网络传输到后台的整个系统,指令由后台进行处理。后台一个是现场数据的采集,以及根据现场的情况,生态过程,大量的计算任务产生控制命令,一些控制态势,就是这个过程。这个过程也就是我们这个过程,就是计算对象和控制对象有所区别。
三网融合。把我们的电信、广电、互联网整合起来,在统一的网络平台上,由原来的网络既定,一个是基础保障,业务的融合,提供给用户综合的应用。整个原来我们等级保护对于三网,这个等级保护的架构的一些做法,是容易改变的。只不过在三网融合这个地方刚才讲过了,因此要采用新的一些技术,要用一些新的策略加以解决。
物联网。从信息系统基础网络来讲,一个是传感器,一个是物与网怎样结合?把物体的特性用数字来表示,可以改制的信息类,通过网络传送到物联网的应用处理系统后台,该控制的控制,也是这个计算的环境,通过网络来采集物体的信息,对于物体状态进行控制。
云计算。把自己信息,计算的那一部分,交给计算中心做,作为一个用户来讲,计算系统虚拟化,用的设备都是你的,人家的,人家整个租给你,某一段时间是你的,虚拟化就在这儿,因此,软件可服务,平台可服务,基础架构可服务,完全是一个计算系统的框架。
因此,信息安全等级保护是按信息处理系统的计算资源和信息资源重要程度不同实施不同保护强度的保障措施。安全保护等级划分准则核心是对信息系统从三个方面实施保护。信息资源、计算资源两项。一个是信息本身的,一个是信息系统本身破坏以后,损害后进行影响,第三信息系统本身是软硬件成长的一个计算资源。信息系统里面主要的要解决信息的处理,信息的引用,信息的资源。等级保护要讲这个事情。这个是1999年发布的,大家印象不是很深,有人说老了不能用了,我说不是,这表示是盖住了,吸收了美国信息化的计划,又吸收了信息标准的主要部分。我们等级保护主要的核心的手段是三个方面。
1.为了计算资源,建立平台,构建保护环境,以可信计算基为基础,层层扩充,对计算资源进行保护。
2.针对信息资源(数据及应用)构建业务流程控制链,以访问控制为核心,时体主体(用户)按策略规则访问客体(信息资源)。
3.保证资源安全必须实行科学管理,强调最小权限管理,尤其是高等级系统实行三权分离管理体制,不许设超级用户。
我们好多以前的RDS,应用方面介绍的比较少,这个要反思,我们不可能以这种为武装,进入流程控制,信息对象的控制为达到我们安全保护的目的。这也就是主体、客体,被保护的信息的应用是客体。
昨天薄熙来同志事情闹的很多,尤其对这些系统,系统资源管理,安全保卫管理,审计管理,三权。多种系统。我们在高等的三级以上,尤其四级系统,一定要注意,千万千万不能建立一个病毒库,自动下载乐动,扫描开始,想到中南海的检察院,可以打开保卫队去检查,包括胡锦涛办公室,可怕不可怕,社会上是存在的,而且还允许。所以等级保护里面,体现了什么地方允许,什么地方不允许。
针对上述四类新应用,按GB/17859要求,构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系是必要的,可行的。具体设计可参照(GB/T25070- 2010)大家可能印象不深,希望大家去看看。
