◆劉 磊

（北京得安信息技術(shù)有限公司 北京 100032）

云計算等新環(huán)境下的信息安全等級保護(hù)

◆劉 磊

（北京得安信息技術(shù)有限公司 北京 100032）

云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新型計算環(huán)境對信息安全等級保護(hù)提出了新的需求，本文從新型環(huán)境下的信息安全等級保護(hù)的安全需求出發(fā)，介紹了云計算等新型環(huán)境的安全保障技術(shù)和方案，可用于這些新環(huán)境下的信息安全等級保護(hù)的實施和評測。

信息安全等級保護(hù)；可信計算；云計算；密碼技術(shù)

0 前言

信息安全等級保護(hù)[1]是對信息系統(tǒng)進(jìn)行分等級安全保護(hù)、分等級監(jiān)督，按照定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查等5個環(huán)節(jié)，開展系統(tǒng)性的等級保護(hù)工作。

云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控系統(tǒng)等新型計算環(huán)境、應(yīng)用環(huán)境的不斷發(fā)展，對信息安全等級保護(hù)的技術(shù)體系和管理體系等提出了新的需求，需要針對新的計算環(huán)境，設(shè)計、提出對應(yīng)的新技術(shù)、新方案，滿足這些新環(huán)境下的等級保護(hù)的需求。

本文從新型環(huán)境下的信息安全等級保護(hù)的安全需求出發(fā)，采用可信計算等技術(shù)，分析了云計算、大數(shù)據(jù)等新型環(huán)境的安全保障技術(shù)和方案，可用于這些新型計算環(huán)境下的信息安全等級保護(hù)的實施和評測。

1 信息安全等級保護(hù)的要求

根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》[1，5]，分為基本技術(shù)要求和基本管理要求兩大類，重視管理和技術(shù)相結(jié)合。其中，技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)等5個方面；管理要求分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)行管理等5個方面。

《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）[2]規(guī)定，第三級以上信息系統(tǒng)應(yīng)選擇使用我國自主研發(fā)、核心技術(shù)具有自主知識產(chǎn)權(quán)的信息安全產(chǎn)品。采用密碼技術(shù)進(jìn)行等級保護(hù)的單位，應(yīng)遵照《信息安全等級保護(hù)商用密碼管理辦法》[3]、《信息安全等級保護(hù)商用密碼技術(shù)要求》[4]等規(guī)定。

2 新型計算環(huán)境下的信息安全等級保護(hù)

在“Security+ 2015金融信息安全峰會”上，中國工程院院士沈昌祥介紹了新型計算環(huán)境下的信息安全等級保護(hù)工作，他表示雖然隨著云計算與大數(shù)據(jù)的應(yīng)用，傳統(tǒng)的安全管理的區(qū)域邊界被模糊化了，但是通過構(gòu)建可信計算安全主體結(jié)構(gòu)，仍然可以用等級保護(hù)制度進(jìn)行安全防護(hù)體系建設(shè)。

沈昌祥院士[6，7]提出：可信計算是指計算運(yùn)算的同時進(jìn)行安全防護(hù)，使計算結(jié)果總是與預(yù)期一樣，計算全程可測可控，不被干擾?？尚庞嬎泱w系結(jié)構(gòu)[6，7]以國產(chǎn)密碼體系為基礎(chǔ)，以可信平臺控制模塊為信任根，以可信網(wǎng)絡(luò)連接作為紐帶，為通用計算體系提供主動度量控制等服務(wù)，形成可信的雙體系結(jié)構(gòu)，保障信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境的整體安全。

在云計算等新型計算環(huán)境下，需要利用可信計算、網(wǎng)絡(luò)安全、系統(tǒng)安全和密碼技術(shù)，分析在不同環(huán)境下的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)等5個方面等技術(shù)防護(hù)措施和管理方案。

2.1 物理安全

物理安全[1，5]包括機(jī)房、應(yīng)用環(huán)境以及辦公場所等環(huán)境的物理安全設(shè)計，例如機(jī)房進(jìn)出的物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水、防潮、電力供應(yīng)安全、電磁防護(hù)等。

隨著公有云、私有云、混合云等云計算平臺、大數(shù)據(jù)平臺的發(fā)展，原來的各單位自己建設(shè)機(jī)房的方式，逐漸變成云平臺機(jī)房的方式，由云服務(wù)商統(tǒng)一負(fù)責(zé)機(jī)房設(shè)施、溫濕度控制、設(shè)備管理保護(hù)等服務(wù)，對物理安全的指標(biāo)要求更高，物理安全防護(hù)也由云服務(wù)商負(fù)責(zé)實施和管理。

2.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全[1，5]主要是對信息系統(tǒng)的通信網(wǎng)絡(luò)進(jìn)行安全設(shè)計，包括通信過程中的訪問控制、身份鑒別、可靠性、安全審計、入侵防范、數(shù)據(jù)保密性、數(shù)據(jù)完整性等，可采用路由器、交換機(jī)、防火墻、IPSec/SSL VPN、防病毒系統(tǒng)、入侵檢測系統(tǒng)等實現(xiàn)網(wǎng)絡(luò)安全。

在云計算平臺中，虛擬化使得網(wǎng)絡(luò)邊界已不再是傳統(tǒng)意義上的物理主機(jī)或路由器之間的邊界，而是在云計算系統(tǒng)中虛擬化的網(wǎng)絡(luò)，應(yīng)在虛擬機(jī)之間、虛擬網(wǎng)絡(luò)邊界部署訪問控制系統(tǒng)。在移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控系統(tǒng)等環(huán)境中，各種手機(jī)、PAD、可穿戴終端、嵌入式設(shè)備等的網(wǎng)絡(luò)安全部署都具有各自的功能和性能特點。

2.3 主機(jī)安全

主機(jī)安全[1，5]主要是對信息系統(tǒng)的大型機(jī)、小型機(jī)、服務(wù)器、工作站、PC機(jī)進(jìn)行安全設(shè)計，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、主機(jī)入侵防御系統(tǒng)、身份鑒別、訪問控制、安全審計等。

隨著云計算和大數(shù)據(jù)平臺的發(fā)展，服務(wù)端一般以集群式的服務(wù)器為主，單臺主機(jī)的安全防護(hù)演變?yōu)橐蕴摂M機(jī)和租戶為單位的安全防護(hù)措施。隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等系統(tǒng)的發(fā)展，對單個安全終端和手持設(shè)備的安全防護(hù)越來越重要。

2.4 應(yīng)用安全

應(yīng)用安全[1，5]主要是對應(yīng)用系統(tǒng)軟件、中間件平臺等進(jìn)行安全設(shè)計，包括身份鑒別、訪問控制、安全標(biāo)記、安全審計、資源控制等。

在大數(shù)據(jù)平臺中，大數(shù)據(jù)應(yīng)用比較復(fù)雜，包括的安全方面比較多，應(yīng)對安全開發(fā)、接口安全、訪問控制、數(shù)據(jù)隱私等方面進(jìn)行安全設(shè)計。在云計算環(huán)境中，每一個租戶擁有自己的應(yīng)用環(huán)境，應(yīng)保證不同租戶之間的應(yīng)用安全的隔離和保護(hù)。

2.5 數(shù)據(jù)安全及其備份恢復(fù)

數(shù)據(jù)是信息系統(tǒng)的核心資源。數(shù)據(jù)安全[1，5]主要是對數(shù)據(jù)的保密性、可靠性、完整性等進(jìn)行安全設(shè)計，包括數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)加密、數(shù)據(jù)完整性驗證等方面。

在云計算和大數(shù)據(jù)平臺中，對數(shù)據(jù)安全的要求更高，數(shù)據(jù)的可靠性可用備份恢復(fù)系統(tǒng)、冗余設(shè)計、負(fù)載均衡等技術(shù)實現(xiàn)，數(shù)據(jù)保密性和完整性可用密碼技術(shù)實現(xiàn)，需要適合云計算環(huán)境的云密碼服務(wù)平臺，例如云劍—云安全平臺。

3 總結(jié)

信息安全等級保護(hù)是保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施和重要業(yè)務(wù)系統(tǒng)的基本制度，需要不斷發(fā)展和完善，實現(xiàn)對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)等新型信息系統(tǒng)的安全保障，建立全方位的縱深安全防護(hù)體系。

[1]GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求[S].中國標(biāo)準(zhǔn)出版社，2008.

[2]信息安全等級保護(hù)管理辦法（公通字[2007]43號）[R].公安部，2007.

[3]信息安全等級保護(hù)商用密碼管理辦法（國密局發(fā)[2007]11號）[R].國家密碼管理局，2007.

[4]信息安全等級保護(hù)商用密碼技術(shù)要求[R].國家密碼管理局，2007.

[5]郭啟全.信息安全等級保護(hù)政策培訓(xùn)教程（2016版）[M].北京：電子工業(yè)出版社，2016.

[6]沈昌祥.用可信計算構(gòu)筑網(wǎng)絡(luò)安全[J].求是，2015.

[7]沈昌祥.創(chuàng)新驅(qū)動 構(gòu)筑網(wǎng)絡(luò)強(qiáng)國技術(shù)保障[J].中國信息安全，2015.