從等級保護方面分析云計算的信息安全風(fēng)險與應(yīng)用安全

中央人民廣播電臺 申 璁

從等級保護方面分析云計算的信息安全風(fēng)險與應(yīng)用安全

中央人民廣播電臺 申 璁

【摘要】云計算具有按需服務(wù)、高可擴展性、通用性、成本低以及虛擬化等眾多優(yōu)勢，被廣泛的推廣和應(yīng)用在社會各個行業(yè)中。但是，云計算發(fā)展的過程中也面臨許多風(fēng)險和挑戰(zhàn)，其中信息安全風(fēng)險已經(jīng)成為限制云計算發(fā)展的主要因素之一。通過利用云計算等級保護技術(shù)體系，創(chuàng)建云計算應(yīng)用安全保護體系，能夠有效的解決云計算中的各種信息安全風(fēng)險，對于保證云計算的信息安全以及促進云計算技術(shù)的可持續(xù)發(fā)展具有非常重要的作用。因此，文章簡介了云計算和云計算安全，分析了云計算等級保護技術(shù)體系，探析了云計算中的信息安全風(fēng)險，并提出了基于等級保護的云計算中的應(yīng)用安全保護體系，以供參考。

【關(guān)鍵詞】等級保護；云計算；信息安全風(fēng)險；安全

0 前言

現(xiàn)階段，全球網(wǎng)絡(luò)化進程不斷的加快，網(wǎng)絡(luò)應(yīng)用的類別逐漸的增加，網(wǎng)絡(luò)復(fù)雜化程度不斷的提高，網(wǎng)絡(luò)和信息安全已經(jīng)成為社會各界廣泛關(guān)注的焦點?；诰W(wǎng)絡(luò)技術(shù)發(fā)展起來的云計算技術(shù)，以其獨特的優(yōu)勢（如按需服務(wù)、高寬展性、通用性以及成本低等）被廣泛的推廣和應(yīng)用在各個行業(yè)中。云計算環(huán)境下，信息安全成為一個不容忽視的問題，如何解決云計算環(huán)境下的信息安全風(fēng)險，已經(jīng)成為困擾眾多技術(shù)人員的難題。云計算等級保護的本質(zhì)是從技術(shù)和管理兩個方面對云計算信息系統(tǒng)的安全進行分級保護，以此不斷的提高云計算信息安全防護水平。因此，文章針對基于等級保護的云計算信息安全和應(yīng)用安全的研究具有非常重要的現(xiàn)實意義。

1 云計算和云計算安全簡介

云計算是由網(wǎng)絡(luò)計算、并行處理以及分布式處理等逐漸發(fā)展起來的一種易于擴展的計算方式，即是由大量的計算機資源通過共享組成的資源池，能夠?qū)⒏叨忍摂M、動態(tài)的資源分享和提供給用戶。隨著云計算技術(shù)的快速發(fā)展和應(yīng)用，云計算信息安全面臨著重大的考驗，如何解決云計算信息安全問題已經(jīng)成為云計算用戶關(guān)注的主要問題之一，同時也成為關(guān)系到云計算產(chǎn)業(yè)可持續(xù)發(fā)展的關(guān)鍵。關(guān)于云計算信息安全風(fēng)險的研究主要集中在以下幾個方面：云計算數(shù)據(jù)中心、云計算用戶身份認證以及權(quán)限管理；用戶數(shù)據(jù)信息的保密性、完整性以及安全性；云計算系統(tǒng)服務(wù)的連續(xù)性以及信息的安全性。

2 云計算等級保護技術(shù)體系

等級保護的實質(zhì)是從技術(shù)和管理兩個方面對信息系統(tǒng)安全進行分級保護，具體表現(xiàn)為：

2.1 從技術(shù)角度來說

傳統(tǒng)的技術(shù)手段是創(chuàng)建基于安全管理中心的通信網(wǎng)絡(luò)、區(qū)域邊界以及計算環(huán)境的三重防護體系，在云計算模式下，云邊界逐漸的變得模糊甚至消失，再加上云計算環(huán)境中存在許多不確定因素，對等級保護技術(shù)的要求不斷的提高，尤其是在系統(tǒng)安全和應(yīng)用安全兩個方面。在云計算環(huán)境下不確定因素更多，如何保證云計算信息安全和應(yīng)用安全，已經(jīng)成為云計算用戶關(guān)注的焦點。云計算等級保護的安全技術(shù)主要包括以下幾個方面：（1）數(shù)據(jù)安全：數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)保密性、數(shù)據(jù)完整性；（2）應(yīng)用安全：資源控制、容錯、通信保密性、通信完整性、訪問控制、身份鑒別；（3）主機安全：資源控制、惡意代碼防范、安全審計、訪問控制、身份鑒別；（4）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)設(shè)備防護、邊界完整性、安全審計、訪問控制、結(jié)構(gòu)安全；（5）物理安全：溫度控制、濕度控制、防盜系統(tǒng)、訪問控制、位置選擇。

2.2 從管理角度來說

云計算等級保護與傳統(tǒng)IT環(huán)境的等級保護類似，只是在傳統(tǒng)等級保護中涉及元計算的管理部分存在差別，將各種管理手段應(yīng)用在信息系統(tǒng)安全管理中，保證信息系統(tǒng)設(shè)計以及運行的安全性。云計算等級保護的安全管理主要包括以下幾個方面：（1）系統(tǒng)維護管理：應(yīng)急預(yù)案管理、安全事件處理、備份恢復(fù)、惡意代碼管理、環(huán)境管理；（2）系統(tǒng)建設(shè)管理：交付管理、測試管理、實施管理、軟件管理、產(chǎn)品采購、方案設(shè)計；（3）人員安全管理：外部人員管理、安全培訓(xùn)、、人員錄用、人員離崗；（4）機構(gòu)安全管理：審核與檢查、溝通與合作、人員配置、崗位設(shè)定；（5）制度安全管理：制度評審與修訂、制度發(fā)布、制度管理。

3 云計算中的信息安全風(fēng)險分析

云計算的安全控制和傳統(tǒng)IT環(huán)境的安全控制存在許多共同點，但是，因為云計算中采用云服務(wù)技術(shù)、云計算模型以及云計算運行模式，導(dǎo)致云計算中的信息安全風(fēng)險比傳統(tǒng)IT環(huán)境的信息安全風(fēng)險更多，主要包括以下幾個方面：

3.1 云法律不完善

雖然我國云計算技術(shù)發(fā)展非常快速，但是云計算起步相對較晚，尚缺乏完善的法律法規(guī)對云計算中的信息安全風(fēng)險進行控制和管理，在沒有完善法律做保障的情況下，導(dǎo)致云計算環(huán)境中存在許多不安全因素威脅信息安全。

3.2 云訪問控制安全風(fēng)險

隨著云計算技術(shù)的推廣和應(yīng)用，各種企業(yè)都將數(shù)據(jù)信息轉(zhuǎn)移至云服務(wù)器上，許多競爭對手的數(shù)據(jù)信息可能存在相同物理設(shè)備或者虛擬環(huán)境中，如何控制云訪問的安全風(fēng)險，已經(jīng)成為云計算信息安全需要關(guān)注的重點。

3.3 云日志的安全風(fēng)險

隨著云計算技術(shù)的發(fā)展，眾多的系統(tǒng)都遷移到云計算系統(tǒng)，云服務(wù)商會保留云日志，這些日志都是內(nèi)部的，增加了云日志監(jiān)控的難度，導(dǎo)致云日志存在一定的安全風(fēng)險。

3.4 云密鑰的安全風(fēng)險

因為數(shù)據(jù)信息安全保護是云計算等級保護的核心，因此在許多方面需要從技術(shù)角度和管理角度對數(shù)據(jù)信息進行加密處理，還有許多身份驗證操作也需要才贏加密的方式，云密鑰的安全保護已經(jīng)成為云計算信息安全保護的重點和關(guān)鍵。

3.5 云數(shù)據(jù)信息的機密性和完整性

因為云計算中用戶只知道數(shù)據(jù)采用一種邏輯儲存方式進行儲存，并不知道數(shù)據(jù)信息具體儲存在哪個物理位置，因此并不清楚云計算中數(shù)據(jù)信息儲存的機密性和完整性，這就導(dǎo)致數(shù)據(jù)信息儲存的機密性和完整性成為用戶關(guān)注的焦點。

3.6 云應(yīng)用的安全漏洞

因為云計算包括三種類型，即IaaS、PaaS、SaaS，各種云應(yīng)用軟件中是否存在安全漏洞，已經(jīng)成為威脅云計算信息安全的關(guān)鍵，并且隨著云計算技術(shù)的快速發(fā)展，對應(yīng)用程序的技術(shù)要求和安全性要求不斷的提高，如何解決云應(yīng)用中的安全漏洞需要進一步的研究和思考。

4 基于等級保護的云計算中的應(yīng)用安全保護體系

4.1 云計算中的應(yīng)用安全威脅

解決云計算應(yīng)用安全問題的關(guān)鍵在于針對云計算中的各種安全風(fēng)險，創(chuàng)建綜合性的與計算安全保護框架，并加強對云計算安全關(guān)鍵技術(shù)和管理方法進行研究。為了保證云計算用戶的應(yīng)用安全，應(yīng)該對云計算中存在的應(yīng)用安全威脅進行分析，具體包括以下幾個方面：（1）云應(yīng)用中的安全漏洞，導(dǎo)致存在安全漏洞的原因是云服務(wù)商并沒有對云應(yīng)用軟件進行技術(shù)防護和安全管理，即是由于云計算軟件自身的問題帶來的安全性隱患；（2）云應(yīng)用在虛擬系統(tǒng)之間遷移時，并沒有對應(yīng)用程序的性能以及穩(wěn)定性進行分析，導(dǎo)致在遷移的過程中出現(xiàn)服務(wù)中斷的問題，給用戶造成損失；（3）云應(yīng)用日志泄露，由于在云日志應(yīng)用過程中缺乏必要的分級管理和監(jiān)督，導(dǎo)致出現(xiàn)不正常操作或者跨權(quán)訪問日志的現(xiàn)象，給用戶造成損失；（4）云應(yīng)用密鑰管理問題，云應(yīng)用過程中證書失效或者密碼保管失效或者被篡改，會導(dǎo)致用戶密鑰被泄露的問題，給用戶造成損失；（5）運用操作數(shù)據(jù)存在安全漏洞，用戶利用云應(yīng)用程序?qū)?shù)據(jù)信息進行訪問時，數(shù)據(jù)信息需要經(jīng)過內(nèi)存處理，數(shù)據(jù)信息在儲存的過程中可能存在數(shù)據(jù)信息被盜、泄露等問題，給用戶造成損失。

4.2 云計算中應(yīng)用安全保護要求

為了提高云計算的應(yīng)用安全等級，需要嚴格按照《信息系統(tǒng)安全等級保護基本要求》，制定云計算應(yīng)用安全保護要求，具體包括：（1）持續(xù)可用性，云計算在虛擬環(huán)境中遷移時，應(yīng)該對云應(yīng)用進行檢查，保證云應(yīng)用能夠安全、穩(wěn)定的運行；（2）訪問控制安全，需要對應(yīng)用程序日志進行嚴格的審計、監(jiān)督和控制，劃分日志訪問等級權(quán)限，并對數(shù)據(jù)日志進行加密處理，禁止出現(xiàn)越權(quán)訪問的現(xiàn)象；（3）結(jié)構(gòu)安全，對云應(yīng)用中產(chǎn)生的數(shù)據(jù)信息進行分類，即分為敏感數(shù)據(jù)信息和非敏感數(shù)據(jù)信息，對兩種進行進行邏輯隔離，采用不同的通道進行相應(yīng)數(shù)據(jù)信息的傳輸；（4）物理安全，重點對數(shù)據(jù)儲存位置進行選擇，由數(shù)據(jù)中心的敏感數(shù)據(jù)信息服務(wù)器與非敏感數(shù)據(jù)信息服務(wù)器對云應(yīng)用過程中產(chǎn)生的敏感數(shù)據(jù)信息和非敏感數(shù)據(jù)信息進行分類，并儲存在不同的硬件設(shè)備上；（5）數(shù)據(jù)信息保密性，云應(yīng)用在與虛擬系統(tǒng)進行數(shù)據(jù)信息遷移時，應(yīng)該進行加密處理，并對虛擬機進行隔離，為了保證數(shù)據(jù)信息在傳遞過程中的保密性和安全性，應(yīng)該對數(shù)據(jù)信息進行加密處理；（6）訪問控制，云服務(wù)商在向用戶提供云服務(wù)時，必須對云服務(wù)的功能以及性能測試結(jié)果提供給用戶，同時還應(yīng)該對相應(yīng)的內(nèi)容進行驗證，以此保證云應(yīng)用程序的可控性和可操作性。

4.3 云計算應(yīng)用安全保護體系

在創(chuàng)建云計算應(yīng)用安全保護體系時，應(yīng)該融入等級保護思想，明確云計算應(yīng)用安全保護體系的創(chuàng)建方法，提出云計算應(yīng)用安全保護體系框架，并嚴格按照云計算應(yīng)用安全保護指標進行創(chuàng)建，以此保證云計算應(yīng)用安全保護體系的完整性和可靠性。具體表現(xiàn)為：

4.3.1 云計算應(yīng)用安全保護體系的創(chuàng)建方法

以云計算信息系統(tǒng)為核心，采用蛛網(wǎng)圖法創(chuàng)建云計算應(yīng)用安全保護體系，創(chuàng)建步驟主要包括：（1）保護對象，根據(jù)云計算信息系統(tǒng)的交付模式劃分保護對象，主要包括：業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、資源抽象、網(wǎng)絡(luò)、主機以及物理系統(tǒng)；（2）威脅與漏洞，對保護對象自身的弱點、計算機信息系統(tǒng)的安全威脅以及潛在威脅等因素進行分析，以此確定云計算應(yīng)用安全防護的要求，根據(jù)不同等級信息系統(tǒng)的安全防護要求，確定相應(yīng)等級云計算應(yīng)用安全系統(tǒng)需要處理的安全威脅和漏洞；（3）防護措施，在選擇云計算應(yīng)用安全保護措施時，應(yīng)該要求云計算安全領(lǐng)域的“產(chǎn)學(xué)研”方面的專家共同參與，充分的利用各個領(lǐng)域?qū)＜业闹R和經(jīng)驗，針對云計算應(yīng)用過程中存在的安全隱患采取相應(yīng)的防護措施進行處理。

4.3.2 云計算應(yīng)用安全防護體系框架

云計算實質(zhì)上是一種信息系統(tǒng)，其安全理念和安全目標與傳統(tǒng)信息系統(tǒng)類似，云計算信息系統(tǒng)采用了虛擬化技術(shù)，和傳統(tǒng)嗎信息系統(tǒng)在服務(wù)方式方面存在一定的差異，這就導(dǎo)致其存在特有的安全隱患，如云計算分組服務(wù)模式安全問題以及虛擬化安全問題等。為了保證云計算應(yīng)用安全，則應(yīng)該根據(jù)云計算信息系統(tǒng)的安全需求，為保護對象創(chuàng)建不同等級等級層次的保護框架。在云計算環(huán)境下，應(yīng)用安全不僅應(yīng)該局限于接入層和核心層，而是應(yīng)該延伸至物理主機內(nèi)部結(jié)構(gòu)。

4.3.3 云計算應(yīng)用安全保護指標體系

云計算應(yīng)用安全保護指標體系的構(gòu)件是一個復(fù)雜的過程中，應(yīng)該以云計算應(yīng)用安全保護框架體系為依據(jù)，由社會管理、云計算研究、分布式研究以及風(fēng)險評估等領(lǐng)域的專家，對云計算應(yīng)用安全存在的風(fēng)險和威脅進行分析，總結(jié)影響云計算應(yīng)用安全的主要因素。通過創(chuàng)建用戶隱私保護機制、數(shù)據(jù)隔離機制、中間件安全保護機制、虛擬機遷移機制、虛擬機隔離機制等，最終利用層次分析方法創(chuàng)建符合云計算應(yīng)用安全特點的指標體系，具體包括：數(shù)據(jù)安全和備份、應(yīng)用安全、軟件平臺安全、資源抽象安全、主機安全、網(wǎng)絡(luò)安全以及物力安全。

5 結(jié)束語

總而言之，云計算的使用越來越廣泛，并且前景非常廣闊。同時，云計算應(yīng)用過程中存在許多信息安全風(fēng)險，如何消除云計算中的各種信息安全隱患已經(jīng)成為所有信息安全領(lǐng)域與IT領(lǐng)域研究者關(guān)注的重點。因此，文章從等級保護角度出發(fā)，探析了基于等級保護云計算中的應(yīng)用安全保護體系，希望能夠為保證云計算應(yīng)用安全和逐漸走向成熟貢獻一份力量。

參考文獻

［1］蔣誠智，張濤，余勇.基于等級保護的智能電網(wǎng)信息安全防護模型研究［J］.計算機與現(xiàn)代化，2012，（4）∶12-16.

［2］顧鑫，盧青.淺析云計算數(shù)據(jù)中心信息安全等級保護工作實踐［J］.警察技術(shù)，2014（S1）∶114-118.

［3］朱圣才，徐御，金銘彥，等.基于等級保護策略的云計算安全風(fēng)險評估［J］.計算機安全，2013（5）∶39-42.

［4］朱圣才.基于云計算的信息安全風(fēng)險分析與探索［J］.西安郵電大學(xué)學(xué)報，2013，18（4）∶89-94.

［5］劉波.云計算的安全風(fēng)險評估及其應(yīng)對措施探討［J］.移動通信，2011，35（9）∶34-37.

［6］姜政偉，趙文瑞，劉宇，等.基于等級保護的云計算安全評估模型［J］.計算機科學(xué)，2013，40（8）∶151-155.

［7］陳雪秀，于晶，陳馳，等.基于等級保護的云計算安全防護體系研究［J］.中國數(shù)字醫(yī)學(xué)，2014，（11）∶44-47.

［8］沈昌祥.云計算安全與等級保護［J］.信息安全與通信保密，2012（1）∶16-17.

［9］周煥盛，江建慧.一個多維信息安全指標體系及等級保護量化模型［J］.中國科學(xué)技術(shù)大學(xué)學(xué)報，2012，37（9）∶67-76.