GAT 1390.2-2017 信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求

引言

随着信息技术的快速发展，云计算作为新兴的信息技术应用模式，正在深刻改变着现代社会的运行方式。然而，云计算在带来便利的同时也带来了新的安全挑战。为了规范云计算环境下的网络安全管理，我国发布了 GAT 1390.2-2017《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求》。本文将围绕该标准的核心内容展开分析，并探讨其对云计算安全的重要意义。

标准概述

GAT 1390.2-2017 是我国网络安全等级保护制度的重要组成部分，旨在为云计算服务提供明确的安全要求和指导。该标准不仅继承了传统网络安全的基本原则，还针对云计算环境的特点进行了针对性设计，确保云计算平台能够满足不同级别的安全需求。

标准的主要内容

• 物理与环境安全：要求云计算服务商应采取措施保障物理环境的安全性，包括机房选址、设备防护等，以防止物理攻击和环境风险。
• 网络与通信安全：强调云平台的网络架构应具备隔离性和安全性，通过访问控制、流量监控等手段防范未经授权的访问和数据泄露。
• 设备与计算安全：要求对云计算设备进行严格的配置管理和漏洞修复，同时确保虚拟化环境的安全性，避免因虚拟化技术带来的潜在威胁。
• 应用与数据安全：重点保护云计算中的应用程序和数据，包括数据加密、备份恢复以及敏感信息的脱敏处理。
• 安全管理：提出建立完善的管理制度和流程，涵盖人员培训、应急响应、审计监督等方面，以提升整体安全管理水平。

标准的意义与影响

GAT 1390.2-2017 的发布填补了云计算安全领域的空白，为云计算服务提供商和用户提供了统一的安全基准。通过实施该标准，可以有效降低云计算环境中的安全风险，增强用户对云计算服务的信任感。此外，该标准也为政府部门和企业组织在云计算安全方面的合规性建设提供了重要参考。

结论

综上所述，GAT 1390.2-2017 是我国网络安全领域的一项重要成果，它不仅推动了云计算技术的发展，也为全球范围内的云计算安全实践提供了中国方案。未来，随着云计算技术的不断演进，该标准需要持续更新和完善，以应对新的安全挑战。