云计算环境下的等保测评

近年来，随着我国基础设施网络化、信息化进程不断加快，工业互联网应用逐步崭露头角，网络安全问题也日益增多，网络攻击行为从IT层渗透到OT（Operational Technology，运营技术）层。因此，维护网络空间安全已上升为国家战略。

云计算平台等保测评

编制测评指导书

云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。SaaS、PaaS、IaaS是三种基本云计算服务模式。对于采用云计算模式的信息系统，应将国家标准GB/T22239《信息安全技术网络安全等级保护基本要求》中的云计算扩展要求与云计算安全基本要求结合起来使用，对信息系统进行整体调研，依据测评对象所处的角色有针对性地选取相关测评要求，并据此编制云计算等级保护测评指导书，进而指导实际测评。

针对不同被测对象选取测评项

对于虚拟网络设备及安全设备，需要依据通用测评要求的网络和通讯安全层面要求，以虚拟资源对象作为边界，抽取测评对象并选取测评项。对于虚拟机监视器，需要覆盖云计算扩展要求中对网络和通信安全、设备和计算安全相关的条款，同时结合通用测评要求的设备和计算安全层面要求，选取测评项，尤其要注意快照和镜像的完整性保护机制。对于云管理平台，应覆盖云计算扩展要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全中的相关条款，同时结合通用测评要求中应用和数据层面的要求选取测评项。

测评后常见问题

经过多次等保安全测评实践后，可总结出以下几个常见安全问题。

第一，架构安全问题：

云计算平台集成了计算、存储、网络