从等保2.0新规文件看未来混合云的发展

国家市场监督管理总局在2019年5月颁布了GB/T 22239-2019 标准暨我们常说的信息安全等级保护2.0 新规。在规范文本一到四级的安全要求里除了安全通用要求外，还增加了有关：

• 云计算安全拓展要求
• 移动互联网安全扩展要求
• 物联网安全扩展要求
• 工业控制系统安全扩展要求

作为云计算相关从业人员自然对云计算安全扩展要求格外关注，笔者注意到在二级和三级等保的要求中，如下要求：

在二级和三级等保的要求中，如下要求：

• 云服务客户应在本地保存其业务数据的备份；
• 应提供查询云服务客户数据及备份存储位置的能力；

在三级等保的要求中，又增加了：

• 云服务商的云存储服务应保证云服务客户数据存在若干可用的副本，各副本之间的内容应保持一致。
• 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。

这里既有对云服务商的要求，也有对​云服务客户的要求。

作为云服务商，只要想通过等保三级的门槛就必须提供将业务系统及数据迁移到其他云平台和本地系统的技术手段，还要协助完成迁移过程。这样一来用户上云不再是单程票，在上云时应该会少了一些顾虑，我觉得反而会促使用户加速触云、加速上云。

作为云服务客户，只要上云的业务系统要通过等保二级以上认证就必须要在本地保存其业务数据的备份。这一条也可以解读为用户只要有一套业务系统要通过等保二级就必须保留本地IDC，且本地IDC的基础环境不能低于二级等保中对IDC的要求，这样一来本地IDC相关的系统集成将变成一个长尾市场，将在很长一段时间内继续存在。

可以想象在未来的混合云中，自有IDC将更多的将承担起数据备份的职责，另外一些缺少足够用户访问的遗留IT系统也将会逐步回流沉淀到自有IDC中。

不曾轻易被察觉的改变，在时光悄无声息地流逝中，安静地发生着，不会因为我的不舍而放缓脚步，不会因为你的坚持而脚步匆匆，亦不会因为谁的软弱而曲意逢迎。

—— 朋友圈里的一句话