当今时代，网络已经深刻地融入了经济、社会、生活的各个方面，网络安全威胁也随之向经济社会的各个层面渗透，网络安全日益成为既关系国家安全和发展、也关乎广大人民群众切身利益的重大战略选项。《中华人民共和国网络安全法》(下称《网络安全法》)就在这样的时代背景下应运而生，它标志着我国网络安全将有法可依，信息安全行业将由合规性驱动过渡到合规性和强制性驱动并重。《网络安全法》的出台，不仅有利于网络安全产业的快速拓展延伸，更将有效改善我国的网络安全环境，为“互联网+”的发展清除障碍。

习近平总书记在2015年第二届乌镇互联网大会上发表演讲时指出：互联网让我们这个地球变成了一个地球村，让人类社会前所未有的如此亲密地进行交流。习总书记在2016年4月19日进一步讲到：网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛的技术创新领域，是全球技术创新的竞争高地。

在这个时代下，我们有了新的目标与新的态度。2014年，习近平总书记提出了建设网络强国的战略目标，实现这个目标的一个最重要的支柱就是国际合作。2015年9月习近平总书记访美，中美在西雅图这座IT名城制定了三个国家层面的合作，这是中美在网络技术方面合作的一个拐点。习总书记那时就说：中美应该成为合作社。今年4月初，习总书再次访美，此时我们讨论国际合作与当下国际形势特别契合。

当今世界有两个显著的特征，新兴市场的崛起和新技术的革命。本质上说明，这是一个需要重新制定规则的时代。我国正处于经济结构调整和转型的关键时期，机遇和挑战相伴而生，新一代信息技术的创新与应用将发挥关键性作用。微软与世纪互联蓝云事业部、紫光互联的合作即在这一背景下诞生。本文旨在就微软与世纪互联和紫光互联的合作云平台，架构，技术，项目特征，结合《网络安全法》的相关规定和要求，对此次合作的合法行，合规性 做出评述和建议。

2. 微软和世纪互联蓝云与紫光互联的中国云实践

微软公司作为国际上一流的高技术公司在全球信息基础的创新发展方面具有比较丰富的经验，在促进中美交流合作中也发挥了重要作用。从1995年正式落户中国以来，随着在华业务拓展，也推动了中国信息技术产业的发展。微软云计算在操作系统及软件平台上具有无可动摇的传统优势，能满足用户多样化需求，提供较全面的云计算解决方案，能同时提供涵盖公有云、私有云，以及能在二者之间无缝连接的混合云服务。微软上一任CEO鲍尔默曾公开宣布微软将“尽在云中” (All in Cloud)，微软现任CEO萨提亚 纳德拉在就任时再次提出“移动为先，云为先(Mobile First， Cloud First) ”。可见微软对云服务的重视程度。微软特别重视国际市场的发展，与中国的国际合作也走在了前头。

2013年6月，微软公司通过与世纪互联蓝云合作，成为首家入华的国际公有云服务商，为企业提供完备公有云Microsoft Azure云平台、Office 365云服务以及整体云解决方案。在过去的三年多来，由世纪互联运营的微软智能云Azure已经将云计算业务规模扩展了数倍。微软在与世纪互联蓝云的合作中，向世纪互联授权技术，由其在中国运营Azure及Office 365，为国内用户提供包括计算、存储、数据库、整合及网络化服务在内的公有云服务。Azure和全球微软公有云一样，承诺严格遵守微软云服务的四项基本原则：安全(保证数据的机密性、完整性和可用性，采用业界第一流的技术、开发流程和运营构建起强大的安全壁垒)、隐私与管控(没有人能未经批准使用客户数据)、合规(确保客户数据的存储和管理符合适用法律、法规和标准、完备的合规认证)、透明(客户对自己的数据是如何处理的了如指掌)。

微软产品部门在人力、物力和财力等方面投入了巨大支持，提供大量培训，并且帮助世纪互联在数据中心搭建、产品运营方面进行了大量的技术转移和指导。为了满足微软对于Azure和Office 365保持与全球一致的运维标准，世纪互联专门组建了一支由400多名专业人员组成的专职运营团队。经过微软的全面培训和严格认证，由世纪互联运营的Microsoft Azure首批通过工信部“可信云”服务认证。

在新的形势下，2015年9月习近平总书记访美，在西雅图制定了紫光集团、世纪互联与微软的三方战略合作，为政府及国企提供符合国家信息安全标准的混合云解决方案。2016年6月，紫光互联科技有限公司由紫光股份与世纪互联共同出资组建完成，在厦门正式落户。紫光互联依托微软所提供的Azure公有云、微软混合云和Office 365等相关云服务技术，量身定制中国版混合云产品，旨在为国内政府及国有企业等客户提供有中国特色的中立、安全、自主可控、合规，且具有世界领先技术水平的混合云解决方案及相关的专属云服务。这一合作开启了微软云在中国技术和商务合作的新篇章。

3. 网络安全法的述评

《网络安全法》是国家安全法律制度体系中的又一部重要法律，是网络安全领域的基本大法，与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶，对于确立国家网络安全基本管理制度具有里程碑式的重要意义。《网络安全法》明确了网络安全的内涵和工作体制，反映了中央对国家网络安全工作的总体布局，标志着网络强国制度保障建设迈出了坚实的一步。《网络安全法》包括了网络空间主权，关键信息基础设施保护，网络运营者、网络产品和服务提供者义务等内容，各条款覆盖全面，规定明晰我认为值得重点关注的有以下几点：

a) 安全等级保护进入2.0时代。

安全等级保护2.0是对原有等级保护制度的调整和完善，主要有以下几点改进：一是网络安全法进一步明确了等级保护制度的法律地位，信息安全产品等级保护制度变成了网络安全等级保护制度，等级保护制度的地位也从规范层面上升到法律层面;二是定级的对象发生了变换，原来只是保护信息系统和系统中的数据，随着大数据、云计算、智能设备的发展，也将这些新的智能设备、新的服务和应用、以及一些企业所有的系统和数据资源纳入了等级保护制度的对象范围;三是对等级保护的工作和内涵进行了明确和规范，除了最初的五个步骤，也加入了一些新的要求，比如安全监测、等级测评、应急演练、数据保护、渗透测试、风险评估等，把跟网络安全息息相关的重要工作提升到等级保护制度的政策层面;四是标准支撑、产品支撑、技术支撑，将等级保护制度进一步完善，标准支撑解决了等级保护制度如何落实的主要问题，产品支撑解决了等级保护制度实际操作方面的问题，技术支撑主要来源于企业，使等级保护制度能够达到更好的效果;五是明确《网络安全法》规定，保护关键信息基础设施，是在落实等级保护制度的基础上，划分表保重点保护等级，等级保护制度中的三四级内容成为重中之重。等级保护制度的内核是“划分等级、重点保护”，随着不断发展，它的应用场景在变化、外延在不断的改进和完善，更加强调整体、动态的安全。

微软云在中国的落地是与世纪互联、紫光互联、中国电信等中国本土企业深度合作的产物，微软智能云Azure和Office 365都通过了等级保护3级的测评，同时为了配合云等级保护2.0时代的来临，微软云主动开展自测。对客户的数据，微软云采取了双因素认证，除了需要刷卡、密码，也需要对于客户的生物特征进行验证，比如通过掌纹等方式进行身份验证，并且数据中心的所有角落都有探头和视频记录。存储在云平台上的数据也进行了加密和密钥管理，在过程中使用到了密码箱Key Vault Services等服务。

微软智能云Azure 为客户提供了数据安全保护机制 – 默认启用，可供客户选择，主要有6个方面：数据分隔(通过逻辑隔离机制分隔不同客户的客户数据);传输中数据的保护(默认使用符合业界标准的协议加密组件内外传入和传出的数据，以及内部环境中传输的数据);数据冗余(客户可通过多种选项对数据进行复制，包括副本的数量以及复制数据中心的位置);存储后数据的保护(客户可以为虚拟机和存储实施设置一系列加密选项);加密(存储后或传输中数据的加密可由客户自行部署，以确保满足客户最佳实践的要求，借此保障数据的机密性和完整性);数据销毁(当客户删除数据或停止使用 微软Azure 服务时，世纪互联会按照标准流程确保上一位客户的数据无法再被访问)。这套安全保护机制符合等级保护2.0时代的要求，因为数据资源也是等级保护的一个重要对象，需要通过高级别的等级保护测评。

什么是关键信息基础设施，根据国际电信联盟的定义，关键信息基础设施是指支撑国家关键基础设施的信息系统，是确保国家关键基础设施服务得以持续运转的不可或缺要素，《网络安全法》强调对关键信息基础设施的保护，更体现了关键信息基础设施在国民经济和社会发展中的重要地位，关键信息基础设施的安全可靠运行事关人们的生命财产安全、经济社会的稳定运行乃至国家安全。《网络安全法》进一步解决和完善了关键信息基础设施的识别与认定——根据其核心特征来认定，比如根据所承载的服务或业务的关键性、事故后果的严重性进行认定，这也为提高关键信息基础设施保护能力指明了方向——明确保障重点，建立保护基线，构建纵深防御，突出整体安全，优化风险管理，推动持续评估，加强协同保护，形成保护合力。

进入云计算和大数据时代，保护关键信息基础设施的重任更大程度地落在了运营商的肩膀上。显然，微软云是符合关键信息基础设施要求的，并对在运营过程中威胁到关键信息基础设施安全的问题提出了相应的解决方案。微软云提出了安全责任共担模型，微软认为需要按照产品和服务的属性，将云平台和云租户各自的责任定义清楚。云平台的四种服务类型包括：私有云、IaaS、PaaS、SaaS，针对不同的服务类型需要明确运营方和用户方的各自责任。具体来说，对于私有云，云平台的网络、存储、服务器、虚拟化、操作系统、中间件、运行时、数据、应用程序这九个部分的安全问题都由客户自己来解决和维护。对于IaaS，九个部分中，网络、存储、服务器、虚拟化和操作系统这五个部分的安全问题由供应商来解决，供应商承担这个五个部分的安全风险，对这五个部分负责。对于PaaS，九个部分中，除应用程序和数据外，其他企业部分的安全问都由供应商来解决和承担。而对于SaaS，云平台上的九个部分遇到的任何安全问题也都应由供应商来承担责任。这种细化的责任共担模式，明确了供应商和客户各自的义务和责任，有利于对云服务商的责任进行监督，并持续地保证云服务的安全性。

c) 信息跨境传输的限制。

《网络安全法》的出台，带来了数据跨境传输的崭新格局。其中第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的，依照其规定。”这一规定为在华运营的企业，尤其是跨国公司带来的全球化运营产生了重大影响。随着中国企业在海外业务的不断拓展，许多中国企业也已加入到跨国公司的行列，也同样面临着数据跨境传输的法律限制。

在这个云计算的时代，信息位置的不明确，对数据跨境传输的界定问题提出了挑战。这个问题需要各个企业在实践中去解决，随着《网络安全法》的落地推进和技术的发展，对于跨界数据的界限一定会越来越明晰，对于跨境数据的具体操作流程也会越来越完善。负责运营微软云的蓝云，明确承诺，中国用户的数据会全部存储在中国，并且客户对自己的数据拥有知情权和所有权。这就要求相关的云服务器必须都在中国落地。同时，为保障用户的数据安全，蓝云还采取了一系列的措施：数据传输加密、本地存储多方加密、保障客户的数据、对客户的数据不得常设访问权限、客户数据不与第三方共享。作为一个云平台的运营商，为用户的数据提供尽可能高质量的保护，并将数据的使用和决定权交给客户本身是至关重要的。

d) 关键基础设施的相关环节的采购监督审查制度。

《网络安全法》第三十五条明确规定，关键信息基础设施的运营者在采购网络产品或服务时，对可能影响国家安全的因素，应当通过国家网信部门会同国务院有关部门组织的安全审查。该条规定与《国家安全法》所明确的国家安全审查和监管制度相互呼应，共同组成了我国目前国家网络安全审查的法治框架。有效的网络安全审查应当是一个动态的风险控制过程，贯穿于信息技术产品部署和使用的整个生命周期，能够通过审查活动提升必要的态势感知能力。为此，网络安全审查应当具有足够的覆盖度，由“节点控制”转变为“过程控制”，将我国现有仅针对采购环节的审查延伸至整个产品和服务的应用环节。这是我国的关键信息基础设施的监督审查制度中需要进一步完善和改进的地方。

另一方面，国家网络安全审查应向IT供应链扩展。IT供应链审查的意义在于实现“端到端”安全的可视化，考虑到IT供应链的复杂程度和审查机构能力的局限性，IT供应链审查需要特别强调供应商的自我声明和各审查事项的文档化。在必要的情况下，例如对涉及国家安全和社会公共利益的信息技术产品和服务应用，审查机构应考虑强制要求供应商签订安全协议，明确供应商的安全保障义务，特别规制源自供应商的恶意行为，并针对此建立“黑名单”制度。

云服务提供商提供典型的涉及国家安全和社会公共利益的信息技术产品和服务。由微软、紫光互联和蓝云共同打造的产品和服务，也是国际合作的典型案例，应该接受国家网络安全审查，微软也有义务向中国承诺其云服务产品的安全性。根据“审查办法”，网络产品和服务的安全审查将坚持第三方评价与政府监管相结合的方式，第三方评价可能采取实验室检测、现场检查、在线监测等形式。微软需坦然面对政府监管和第三方评价的团队的检查和监测，接受监督。

e) 网络信息安全的要求。

近年来，政府与国有企业的信息化建设特征具有以下几点明显的特征：强调安全合规和自主可控;私有云是政府和国有企业信息化建设的主要模式，在强化私有云的建设基础上，逐步拓展采购专有云和混合云服务的尝试;数据共享与数据安全保护成为共同的关注点。这是特点，也是当下信息化建设对网络信息安全提出的要求。我们也可以看到，国内的企业一直在不断的解决信息化建设过程中出现的问题，紫光互联结合《网络安全法》的要求，提出了一系列提高网络信息安全能力的措施。首先，紫光互联立足于微软先进云技术，提供中国版混合云产品和解决方案，服务于中国政企和客户，大力支持政企产业升级和“互联网+”。其次，紫光互联提出了混合云安全战略：标准先行、供应链安全、安全监管与安全运维、安全威胁情报共享。紫光互联混合云的安全解决方案主要由7个部分组成，在数据保护方面采用访问控制、加密、密钥管理等措施，在管理访问方面采用身份管理、双重身份验证、筛选、最少特权和临时特权的管理方案，在应用程序安全方面采用访问控制、监控、反恶意软件、漏洞扫描、补丁和配置管理等措施，在宿主机保护方面同样采用访问控制、监控、反恶意软件、漏洞扫描、补丁和配置管理等措施，对于内部网络安全采取网络分割、入侵检测和漏洞扫描，对于网络周边安全采用边缘ACL、DOS、入侵检测、漏洞扫描等措施，在保障物理安全方面采用物理控制、视频监控、访问控制的手段来保障设施安全。

f) 检测预警和容灾处置。

云计算时代，大量的数据和服务都依托于云平台，这就要求云平台具有非常好的检测预警和容灾处置的能力。传统的IT运维是将软件装在服务器上，本质上是少数几台机器的集群，是相对于个体的运营模式。在云模型下，将整个数据中心作为一个整体的基础设施，上面会有云操作系统，来协调各个硬件之间的运行，然后在云操作系统上运行各个用户的系统。云平台的运维就是“开着汽车换轮子”，这就是云平台运营的差异之处。提供全天候的服务，保证安全、灾备和业务连续性，提供全方位的端到端的服务，提供弹性、可扩展和异地容灾，这些都是云计算时代对云平台运营商提出的要求。

世纪互联蓝云作为微软云的主要运营者，在这一方面做了很多改进和提升。蓝云提供“高水准”的服务：7*24平台运维、7*24技术支持、7*24基础设施监控。为实现“高水准”的要求，蓝云提供异地部署的多实例和多服务，对每个实例同时提供扩展和弹性，保证任何节点出现问题时服务和应用还可以继续工作，具有很强的平台监控管理和恢复能力，也提供全局负载均衡，保证业务连续性。这些都属于比较成熟的经验，值得其他的云平台运营商借鉴和学习。

4. 结论

随着 “互联网+”、“网络强国”战略的推进，云计算正在向各行各业广泛渗透，在一些交叉领域产生技术融合与创新，其中可能会有给整个行业带来重大的发展机遇的颠覆性创新。这是这个时代赋予云计算相关企业的历史机遇，相关企业应该在技术和业务层面有效推进云计算与相关领域的融合创新，实现李克强总理在贵阳数博会上提出的 “人在干、数在转、云在算”，让消费者和企业越来越多地享受以云计算为核心的新一代信息技术带来的便利和好处。

从上面微软与蓝云，紫光互联合作的案例，我们可以看到，外企愿意与中国企业合作。像微软这样的企业巨头拿出很大的诚意，通过各种不同形式的合作在中国落地其产品和服务上取得很大的进展。在当今这个时代下，中美应该以合作为主。既然要合作，就不止是政府层面的合作，更要有企业之间的合作。随着《网络安全法》的落地，微软这样的外企也希望在新的时代下与中国企业有更多深层次的合作，实现技术帮带，跨越技术鸿沟，共享网络空间中网络市场的繁荣红利。

我们也期望微软云能够以更加开放、合作的态度来迎接新的混合IT时代，同时，云计算本身也给数据安全提出了新的挑战，如何更好的结合网络安全法的各项要求，具体落实各个细节并持续的保证安全的状态，需要从技术和管理方面都做到软件和硬件合法合规。