云计算环境中的安全责任划分

不同的服务模式下，不同责任主体的责任也是不同的。云服务商，云租户的责任划分需要明晰。具体责任请参照下图：

所以不论系统是否部署在云上，或者不论是何种云模式，作为系统的运营者都是有安全责任的，不能认为系统托管在云上，安全责任就和自己不相关了。

云系统到哪里备案？

传统的系统备案相对比较明确，IT基础设施、运维地点、工商注册地基本上都是一致，去所在地市局网安或者是分局网安去备案就可以。但是云的这种状态下，特别是对于云服务商来讲就比较典型了，工商注册地、办公地点都不一样。比如说像阿里云，注册地在北京，运维地点在杭州，然后机房遍布全国各地。云租户也是这个问题，公司开在北京，可能技术人员、运维人员都在北京，但是你上的这种云可能他的物理位置或者不知道，或者是即便知道有可能也不在北京，那这个时候怎么办？

所以现在有这样一个原则，对于云上的系统，不管是云平台还是云租户，以你的运维人员的所在地为备案地点。原因与公安机关方便监管相关，案件发生后，公安机关需要运维人员配合去调查取证，做证据固定、数据采集、查处相关违法行为。再衍生下，对于传统的系统，有自己独立的物理机房的，但是注册地和运维地不一样的，或者说公司经营地和IT运维管理地不一致的，这种情况不得不等认为应该也应当以实际运维地进行系统备案更合适，道理和云系统备案一样，方便公安机关进行及时管理。

以上部分内容参考：微信公众号安华云安全