4月9日，工信部下發《工業和資訊化部辦公廳關於開展2020年中小企業公共服務體系助力復工復產重點服務活動的通知》。該通知指出將推動實施《中小企業數字化賦能專項行動》，支援中小企業裝置上雲和業務系統向雲端遷移。

當裝置上雲和業務系統上雲遷移時，安全風險並沒有隨之而消失，一次安全事件就可能影響到企業為復工復產所作的努力。為此，建議中小企業在上雲前，做好合理的安全規劃並逐步實施，實現安全復工復產。

第一步：制定上雲計劃

在企業將業務系統向雲遷移前，應提前做好合理的上雲計劃和技能儲備，有計劃、有準備的上雲，避免因上雲帶來的業務影響。

上雲計劃：梳理企業的業務系統，從業務系統重要性和業務特點等方面，確定哪些業務系統可以上雲，選擇業務系統整體上雲，還是部分（如對延遲敏感）部署在本地資料中心，選擇使用IaaS服務還是PaaS模式等。

安全培訓：統計資料顯示，雲上安全事件的發生多數是由於錯誤配置和管理不善造成的，建議業務系統上雲時，安全管理人員瞭解雲端計算安全風險，掌握一定的雲端計算安全知識，從而降低安全事件發生的可能性。

第二步：評估安全風險

儘管不同的雲端計算服務模式確定了企業應該承擔不同的安全職責，但資料安全責任最終是由企業承擔的。因此，當業務系統上雲前，企業應進行風險評估，選擇合理的風險處置方法，降低安全風險。

雲服務商風險評估：雲平臺的安全程度決定了雲上業務系統的安全。在選擇雲服務商時，應評估雲平臺和雲服務產品安全情況，一種簡便的方式是瞭解雲服務商所獲得的安全認證，如ISO 27000，CSA STAR，網路安全等級保護級別，PCI DSS等，這些認證是雲服務商安全情況的證明，可為業務系統安全打好基礎。

業務系統風險評估：評估業務系統存在的脆弱性和威脅，確定安全風險和業務影響，從而確定風險處置方式，以及實施怎樣的安全控制措施。

第三步：實施安全措施

根據業務系統風險評估結果、業務系統和資料的重要性，充分利用雲服務商提供的基礎安全能力，合理規劃網路結構，並選擇相應的安全產品，為業務系統建立縱深安全防護。

01
多層網路結構

利用VPC、ACL和安全組，從業務系統及其元件等層面，分別進行網路隔離，縮小攻擊面。

業務系統隔離：根據業務量大小和部署等要求，利用VPC實現業務隔離，比如將不同業務系統部署在不同VPC內，從而實現業務間隔離。

業務元件間隔離：根據業務系統內元件用途（如WEB/應用/資料庫），將不同型別的元件加入到不同子網，並新增ACL實現不同型別元件間的網路隔離，如Web伺服器可以訪問應用伺服器，但不能訪問資料伺服器。

管理網路和業務網路隔離：採用管理網路和業務網路分離的原則，增加管理子網和ACL，只能透過管理網路對業務系統進行管理。

02
建立縱深防護

據《2019年上半年我國網際網路網路安全態勢》資料顯示，發生在我國雲平臺上的網路安全事件相比2018年進一步增加，安全事件涉及DDoS攻擊、網頁被篡改、存在惡意程式、木馬和殭屍網路惡意程式等。因此，建議企業上雲時為業務系統建立基礎、縱深的安全防護。

DDoS防護：利用DDoS防護產品，監控和清洗包括畸形報文過濾、網路層DDoS和應用層DDoS等不同型別攻擊，保護業務系統。

Web應用防護： 利用Web應用防護產品，防禦SQL隱碼攻擊、XSS跨站指令碼和漏洞等OWASP常見攻擊，全面防護網站的系統及業務安全。

主機安全：利用主機安全產品，檢測雲伺服器是否存在漏洞和弱配置，是否被入侵，解決雲伺服器面臨的主要安全風險，以及避免被利用成為攻擊工具引起的額外損失。

資料安全：利用資料加密產品，對企業敏感資料進行加解密，儘量自己保管金鑰或使用自己的金鑰，以及做好資料備份，從而保護企業敏感資料。

運維安全：利用堡壘機產品，建設安全和高效的運維通道，運維人員透過管理網路對雲產品進行安全運維，全程記錄運算元據。

第四步：安全監控和最佳化

現在，網路環境日益嚴峻，安全防護的建設是一個持續的過程。為實現有效、主動的安全防護，企業應該持續監控業務系統的安全狀態，及時響應安全事件，以及調整和最佳化安全防護體系。

安全狀態監控：利用安全管理中心類產品，統一收集和分析業務系統的各類安全相關資料，建立統一的安全管理和態勢，實現雲上安全事件的監控和展示，全面瞭解雲上業務系統的威脅和脆弱性。

安全事件響應：不斷增加的安全事件和告警資訊，運維人員難以有效處置，利用安全管理中心類產品的安全編排與自動化響應能力，自動化實現對安全事件的研判和處置，提升運維人員的工作效率。

安全持續最佳化：根據雲上業務系統的安全趨勢和各種安全指標，在掌握業務系統的安全狀態的基礎上，主動調整業務系統的防護重點和方向，提升業務系統的安全防護能力。

經過上述建設，業務系統得到一定的安全保障。然而，安全建設是一項系統性工程，不僅僅只是部署幾項安全措施，還涉及到管理和運營等內容，企業在實現復工復產後，應該更系統的考慮安全建設，建立企業安全架構，讓業務系統更規範、快速、安全的上雲，幫助企業實現數字化轉型。

綠盟科技於2010年啟動雲安全研究，現已覆蓋雲安全前沿技術研究、攻防、解決方案和產品等多個領域，提倡軟體定義安全的理念，先後釋出了軟體定義安全相關報告和專著，以及綠盟雲和雲安全集中管理系統等多款產品，推動雲安全在私有云、行業雲和公有云的應用，已成功為電信運營商、金融和政府等多個行業客戶提供安全解決方案，助力業務安全上雲。