淺談云安全之等級(jí)保護(hù)測(cè)評(píng)

劉曉莉++沈笑慧

摘 要： 隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時(shí)代，云計(jì)算的概念風(fēng)起云涌。云安全問(wèn)題已成為云計(jì)算推廣面臨的最大挑戰(zhàn)。針對(duì)云環(huán)境下計(jì)算模式的特點(diǎn)，結(jié)合實(shí)際云計(jì)算安全測(cè)評(píng)中的問(wèn)題，分析了現(xiàn)行信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，提出了云安全應(yīng)重點(diǎn)關(guān)注的內(nèi)容。

關(guān)鍵詞： 云計(jì)算； 云安全； 信息安全； 等級(jí)保護(hù)測(cè)評(píng)； 局限性

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來(lái)，隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時(shí)代，云計(jì)算的概念風(fēng)起云涌。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算因其節(jié)約成本、維護(hù)方便、配置靈活已經(jīng)成為各國(guó)政府優(yōu)先推進(jìn)發(fā)展的一項(xiàng)服務(wù)。美、英、澳大利亞等國(guó)家紛紛出臺(tái)了相關(guān)發(fā)展政策，有計(jì)劃地促進(jìn)政府部門信息系統(tǒng)向云計(jì)算平臺(tái)遷移。但是也應(yīng)該看到，政府部門采用云計(jì)算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來(lái)了挑戰(zhàn)。美國(guó)作為云計(jì)算服務(wù)應(yīng)用的倡導(dǎo)者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過(guò)安全審查[1]。我國(guó)也先后出臺(tái)了一系列云計(jì)算服務(wù)安全的國(guó)家標(biāo)準(zhǔn)，如GB/T 31167-2014《信息安全技術(shù)云計(jì)算服務(wù)安全指南》、GB/T 31168-2014 《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等。本文關(guān)注的是云計(jì)算安全，包括云計(jì)算應(yīng)用系統(tǒng)安全、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算用戶信息安全等[2]。

當(dāng)前，等級(jí)保護(hù)測(cè)評(píng)的依據(jù)主要有GB/T 22239-

2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》等。然而，這些標(biāo)準(zhǔn)應(yīng)用于傳統(tǒng)計(jì)算模式下的信息系統(tǒng)安全測(cè)評(píng)具有普適性，對(duì)于采用云計(jì)算服務(wù)模式下的信息系統(tǒng)卻有一定的局限性。

本文結(jié)合實(shí)際云計(jì)算服務(wù)安全測(cè)評(píng)中的問(wèn)題，首先討論現(xiàn)行信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，其次對(duì)于云計(jì)算安全特別需要關(guān)注的測(cè)評(píng)項(xiàng)進(jìn)行分析。

1 云計(jì)算安全

正如一件新鮮事物在帶給我們好處的同時(shí)，也會(huì)帶來(lái)問(wèn)題一樣，云計(jì)算的推廣也遇到了諸多困難，其中安全問(wèn)題已成為阻礙云計(jì)算推廣的最大障礙。

云計(jì)算安全面臨著七大風(fēng)險(xiǎn)，主要包括客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問(wèn)題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)、數(shù)據(jù)保護(hù)更加困難、數(shù)據(jù)殘留和容易產(chǎn)生對(duì)云服務(wù)商的過(guò)度依賴等。文獻(xiàn)[3]提出了云計(jì)算安全測(cè)評(píng)框架，與傳統(tǒng)信息系統(tǒng)安全測(cè)評(píng)相比，云計(jì)算安全測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注虛擬化安全、數(shù)據(jù)安全和應(yīng)用安全等層面。

虛擬化作為云計(jì)算最重要的技術(shù)，其安全性直接關(guān)系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務(wù)器安全，其中虛擬化服務(wù)器安全包括虛擬化服務(wù)器隔離、虛擬化服務(wù)器監(jiān)控、虛擬化服務(wù)器遷移等。云計(jì)算的虛擬化安全問(wèn)題主要集中在VM Hopping（一臺(tái)虛擬機(jī)可能監(jiān)控另一臺(tái)虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī)）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問(wèn)權(quán)限，從而對(duì)其他虛擬機(jī)進(jìn)行攻擊）/遠(yuǎn)程管理缺陷（Hypervisor通常由管理平臺(tái)來(lái)為管理員管理虛擬機(jī)，而這些控制臺(tái)可能會(huì)引起一些新的缺陷）、遷移攻擊（可以將虛擬機(jī)從一臺(tái)主機(jī)移動(dòng)到另一臺(tái)，也可以通過(guò)網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)）等[4]。

數(shù)據(jù)實(shí)際存儲(chǔ)位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺(tái)上，數(shù)據(jù)的所有權(quán)難以界定，多租戶共享計(jì)算資源，可能導(dǎo)致客戶數(shù)據(jù)被授權(quán)訪問(wèn)、篡改等。另外當(dāng)客戶退出云服務(wù)時(shí)，客戶數(shù)據(jù)是否被完全刪除等是云計(jì)算模式下數(shù)據(jù)安全面臨的主要問(wèn)題。

在云計(jì)算中對(duì)于應(yīng)用安全，特別需要注意的是Web應(yīng)用的安全。云計(jì)算應(yīng)用安全主要包括云用戶身份管理、云訪問(wèn)控制、云安全審計(jì)、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)的局限性

信息系統(tǒng)安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級(jí)保護(hù)工作不僅是加強(qiáng)國(guó)家信息安全保障工作的重要內(nèi)容，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定的政治任務(wù)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)未涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。與之對(duì)應(yīng)的是涉及國(guó)家秘密的信息系統(tǒng)安全測(cè)評(píng)，就是通常所說(shuō)的分級(jí)保護(hù)測(cè)評(píng)。

信息系統(tǒng)安全等級(jí)保護(hù)的基本要求包括技術(shù)要求和管理要求兩大類。其中技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個(gè)層面；管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)層面。

傳統(tǒng)的安全已不足以保護(hù)現(xiàn)代云計(jì)算工作負(fù)載。換言之，將現(xiàn)行的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)生搬硬套到云計(jì)算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機(jī)構(gòu)，用戶可以掌握自身數(shù)據(jù)和副本存儲(chǔ)在設(shè)備和數(shù)據(jù)中心的具體位置。然而，由于云服務(wù)商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國(guó)家，GB/T 31167-2014明確了存儲(chǔ)、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計(jì)算基礎(chǔ)設(shè)施不得設(shè)在境外。

⑵ 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括結(jié)構(gòu)安全、邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)等測(cè)評(píng)項(xiàng)。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此在網(wǎng)絡(luò)邊界采取安全防護(hù)措施就顯得尤為重要。但在云計(jì)算模式下，多個(gè)系統(tǒng)同時(shí)運(yùn)行在同一個(gè)物理機(jī)上，突破了傳統(tǒng)的網(wǎng)絡(luò)邊界。由此可見(jiàn)，網(wǎng)絡(luò)邊界的界定、安全域的劃分成為了云計(jì)算模式下網(wǎng)絡(luò)邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機(jī)安全

主機(jī)安全主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)等測(cè)評(píng)項(xiàng)。但在云計(jì)算模式下，虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺(tái)物理機(jī)上運(yùn)行多臺(tái)虛擬機(jī)。盡管虛擬機(jī)之間具有良好的隔離性，但在云計(jì)算平臺(tái)，尤其是私有云和社區(qū)云中，虛擬機(jī)之間通常需要進(jìn)行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機(jī)之間的安全隔離、用戶權(quán)限劃分、數(shù)據(jù)殘留、跨虛擬機(jī)的非授權(quán)訪問(wèn)是云計(jì)算環(huán)境下虛擬機(jī)安全需要重點(diǎn)關(guān)注的內(nèi)容。

⑷ 應(yīng)用安全

應(yīng)用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關(guān)系到信息系統(tǒng)的整體安全，因此對(duì)整個(gè)系統(tǒng)的安全保密性至關(guān)重要。然而，當(dāng)前絕大多數(shù)單位的應(yīng)用系統(tǒng)在設(shè)計(jì)開發(fā)過(guò)程中，僅僅考慮到應(yīng)用需求、系統(tǒng)的性能及技術(shù)路線的選擇等問(wèn)題，缺少了應(yīng)用系統(tǒng)自身的安全性?？蛻舻膽?yīng)用托管在云計(jì)算平臺(tái)，面臨著安全與隱私雙重風(fēng)險(xiǎn)，主要包括多租戶環(huán)境下來(lái)自云計(jì)算服務(wù)商和其他用戶的未授權(quán)訪問(wèn)、隱私保護(hù)、內(nèi)容安全管理、用戶認(rèn)證和身份管理問(wèn)題[6]。

⑸ 數(shù)據(jù)安全及備份恢復(fù)

在云計(jì)算模式下，客戶的數(shù)據(jù)和業(yè)務(wù)遷移至云服務(wù)商的云平臺(tái)中，數(shù)據(jù)的處理、存儲(chǔ)均在“云端”完成，用戶一端只具有較少的計(jì)算處理能力，數(shù)據(jù)的安全性依賴于云平臺(tái)的安全。如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全、數(shù)據(jù)集中存儲(chǔ)安全以及多租戶之間的數(shù)據(jù)隔離是云計(jì)算環(huán)境下迫切需要解決的問(wèn)題。

3 云安全之等級(jí)保護(hù)測(cè)評(píng)

參照等級(jí)保護(hù)測(cè)評(píng)的要求，結(jié)合上述分析，云安全之等級(jí)保護(hù)測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務(wù)運(yùn)行和數(shù)據(jù)處理及存儲(chǔ)的物理設(shè)備是否位于中國(guó)境內(nèi)，從而避免產(chǎn)生司法管轄權(quán)的問(wèn)題。

⑵ 虛擬網(wǎng)絡(luò)安全邊界訪問(wèn)控制：是否在虛擬網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，設(shè)置有效的訪問(wèn)控制規(guī)則，從而控制虛機(jī)間的互訪。

⑶ 遠(yuǎn)程訪問(wèn)監(jiān)控：是否能實(shí)時(shí)監(jiān)視云服務(wù)遠(yuǎn)程連接，并在發(fā)現(xiàn)未授權(quán)訪問(wèn)時(shí)，及時(shí)采取恰當(dāng)?shù)姆雷o(hù)措施。

⑷ 網(wǎng)絡(luò)邊界安全：是否采取了網(wǎng)絡(luò)邊界安全防護(hù)措施，如在整個(gè)云計(jì)算網(wǎng)絡(luò)的邊界部署安全防護(hù)設(shè)備等。

⑸ 虛擬機(jī)安全：虛擬機(jī)之間的是否安全隔離，當(dāng)租戶退出云服務(wù)時(shí)是否有數(shù)據(jù)殘留，是否存在跨虛擬機(jī)的非授權(quán)訪問(wèn)等。

⑹ 接口安全：是否采取有效措施確保云計(jì)算服務(wù)對(duì)外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠(yuǎn)程傳輸時(shí)是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務(wù)或數(shù)據(jù)進(jìn)行遷移時(shí)是否具有可移植性和互操作性。

4 結(jié)束語(yǔ)

云計(jì)算因其高效化、集約化和節(jié)約化的特點(diǎn)，受到越來(lái)越多黨政機(jī)關(guān)、企事業(yè)單位的青睞，與此同時(shí)云計(jì)算帶來(lái)的風(fēng)險(xiǎn)也是不容忽視的。本文結(jié)合云計(jì)算的特點(diǎn)分析了云計(jì)算模式下現(xiàn)行等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)的一些局限性，并提出了云計(jì)算下等級(jí)保護(hù)測(cè)評(píng)需要特別關(guān)注的測(cè)評(píng)項(xiàng)，對(duì)云服務(wù)商、租戶和測(cè)評(píng)機(jī)構(gòu)提供借鑒。值得注意的是，租戶在進(jìn)行云遷移之前，首先應(yīng)確定自身遷移業(yè)務(wù)的等級(jí)，其次是租用的云計(jì)算平臺(tái)等級(jí)不能低于業(yè)務(wù)系統(tǒng)的等級(jí)。

參考文獻(xiàn)（References）：

[1] 尹麗波.美國(guó)云計(jì)算服務(wù)安全審查值得借鑒.中國(guó)日?qǐng)?bào)網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展

趨勢(shì)[J].技術(shù)廣角，2011：50-54

[3] 潘小明，張向陽(yáng)，沈錫鏞，嚴(yán)丹.云計(jì)算信息安全測(cè)評(píng)框架研究[J].

計(jì)算機(jī)時(shí)代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計(jì)算的虛擬化安全問(wèn)題[J].電信科學(xué)，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡(luò)邊界安全的等級(jí)保護(hù)研究[C].

第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集，2013.

[6] 劉瑋，王麗宏.云計(jì)算應(yīng)用及其安全問(wèn)題研究[J].計(jì)算機(jī)研究

與發(fā)展，2012.49（S2）：186-191