当前，互联网安全问题越来越棘手，随着云计算的深入应用，安全问题已经蔓延到云计算领域，因而，用户在选择云计算的时候首先会考虑安全性，对普通用户来说，云计算服务的合规性是安全上很重要的参考依据。

云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策，比如用户的一个等级保护三级的业务，采用云计算模式时，一定要求云计算服务必须达到三级的要求。

等级保护挑战

传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而，对于云计算而言，保护对象和保护区域边界都具有动态性。因此，云计算环境下的等级保护面临新的挑战:

业务可控性

云计算环境下，数据可能会在数据中心和物理主机之间移动，导致用户无法知道数据真实存储位置。另外，云平台引入了虚拟抽象层，其覆盖范围可以涵盖不同区域的物理设施，传统的等级保护并没有考虑这种情况。

核心技术的自主可控

由于云计算中许多核心技术仍然控制在国外企业手中，许多所谓的自主产品也可能是对国外购买的商业产品的改良，本质就是买下了推广他人产品的权利，随着国内云市场的不断发展，对云环境的自主可控性带来很大的挑战。

虚拟化安全

在云计算安全保障中，仅仅采用传统的安全技术是不够的，虚拟化带来了新的安全风险。当前，对云计算虚拟化安全技术还不成熟，对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题。

云计算的高速发展需要有等级保护措施提供基本保障。现有的许多等级保护建议和方案主要针对独立的云环境。本文阐述了云计算环境下等级保护面临的挑战，指出了当前云环境的等级保护要求研究工作的不足，提出了面向等级保护要求的云计算安全方案，并从可行性、适用性、合规性等方面进行了方案分析，为云计算安全建设提供给了参考。