從等保2.0新規檔案看未來混合雲的發展

國家市場監督管理總局在2019年5月頒布了GB/T 22239-2019 标準暨我們常說的資訊安全等級保護2.0 新規。在規範文本一到四級的安全要求裡除了安全通用要求外，還增加了有關：

• 雲計算安全拓展要求
• 移動網際網路安全擴充要求
• 物聯網安全擴充要求
• 工業控制系統安全擴充要求

作為雲計算相關從業人員自然對雲計算安全擴充要求格外關注，筆者注意到在二級和三級等保的要求中，如下要求：

在二級和三級等保的要求中，如下要求：

• 雲服務客戶應在本地儲存其業務資料的備份；
• 應提供查詢雲服務客戶資料及備份存儲位置的能力；

在三級等保的要求中，又增加了：

• 雲服務商的雲存儲服務應保證雲服務客戶資料存在若幹可用的副本，各副本之間的内容應保持一緻。
• 應為雲服務客戶将業務系統及資料遷移到其他雲計算平台和本地系統提供技術手段，并協助完成遷移過程。

這裡既有對雲服務商的要求，也有對​雲服務客戶的要求。

作為雲服務商，隻要想通過等保三級的門檻就必須提供将業務系統及資料遷移到其他雲平台和本地系統的技術手段，還要協助完成遷移過程。這樣一來使用者上雲不再是單程票，在上雲時應該會少了一些顧慮，我覺得反而會促使使用者加速觸雲、加速上雲。

作為雲服務客戶，隻要上雲的業務系統要通過等保二級以上認證就必須要在本地儲存其業務資料的備份。這一條也可以解讀為使用者隻要有一套業務系統要通過等保二級就必須保留本地IDC，且本地IDC的基礎環境不能低于二級等保中對IDC的要求，這樣一來本地IDC相關的系統內建将變成一個長尾市場，将在很長一段時間内繼續存在。

可以想象在未來的混合雲中，自有IDC将更多的将承擔起資料備份的職責，另外一些缺少足夠使用者通路的遺留IT系統也将會逐漸回流沉澱到自有IDC中。

不曾輕易被察覺的改變，在時光悄無聲息地流逝中，安靜地發生着，不會因為我的不舍而放緩腳步，不會因為你的堅持而腳步匆匆，亦不會因為誰的軟弱而曲意逢迎。

—— 朋友圈裡的一句話