云計算環(huán)境下的等級保護(hù)淺析

◆張 浩

云計算環(huán)境下的等級保護(hù)淺析

◆張 浩

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司河南省分公司 河南 450000）

云計算是傳統(tǒng)計算機技術(shù)與互聯(lián)網(wǎng)技術(shù)進(jìn)行整合之后獲得的結(jié)果，而伴隨其不斷的推廣，云安全問題引起了各界人士的注意。筆者以云計算特點和安全要求為基礎(chǔ)，在信息體系安全等級保護(hù)系統(tǒng)下探究了云計算等級保護(hù)基本要求，同時對各種等保層級下云計算的基本要求展開研究，給國內(nèi)等保方面的工作提供了依據(jù)。

云計算；等級保護(hù)；基本要求；威脅

0 引言

云計算作為傳統(tǒng)計算機技術(shù)與互聯(lián)網(wǎng)技術(shù)進(jìn)行整合之后獲得的結(jié)果，目的是借助互聯(lián)網(wǎng)將多項成本較小的計算機實體轉(zhuǎn)變?yōu)橐粋€計算功能完善的體系，同時根據(jù)不同的商業(yè)形式，將這種計算功能傳輸至終端用戶。這種理念是借助大范圍的數(shù)據(jù)中心與功能完善的服務(wù)器使互聯(lián)網(wǎng)應(yīng)用軟件開始正常工作并供給相應(yīng)的服務(wù)，讓所有的線上用戶可以訪問該軟件[1]。此類獨特的運用形式促使云計算獲得了服務(wù)虛擬化、普適性強、擴展性高等優(yōu)點。它屬于一類新的概念，運用形式方面的探究依舊比較匱乏，而且存在許多影響其發(fā)展的問題，而云計算問題則是當(dāng)前面臨的亟待解決的問題。

現(xiàn)階段，我國將等級保護(hù)的原則用來保護(hù)重要信息體系的安全，然而針對云計算體系此類獨特的運用形式，等級保護(hù)的要求大體上并未做出詳細(xì)的探究。針對原有的計算形式來說，用戶對于數(shù)據(jù)具備全部的控制權(quán)，但是在云計算形式下，用戶對于數(shù)據(jù)和機器的管控全部受制于供給服務(wù)的商家，用戶只剩下了對于虛擬機的控制權(quán)，所以以用戶的視角而言，怎樣確保用戶信息的保密性、完善性以及價值是至關(guān)重要的[2]。由于這種新形式的誕生，云邊界逐漸在人們的視野消失了，云環(huán)境下的大部分存在風(fēng)險的因素導(dǎo)致等級保護(hù)技術(shù)要求變得更為嚴(yán)格了，在云計算誕生之后，各種風(fēng)險因素也伴隨其誕生，所以怎樣確保新形勢下的信息安全就變成了等級保護(hù)方面需要重視的主要內(nèi)容。

1 信息系統(tǒng)等級保護(hù)框架

信息安全等級保護(hù)是我國對于重要信息體系展開安排評價的重要基礎(chǔ)，而《信息系統(tǒng)安全等級保護(hù)基本要求》則為引導(dǎo)信息體系構(gòu)建、定級以及評價等方面的重要依據(jù)。此文件中把信息體系當(dāng)作保護(hù)的目標(biāo)，根據(jù)信息體系的重要等級可分成以下幾個保護(hù)層級，借助研究保護(hù)目標(biāo)面對的4個威脅因素，對各個保護(hù)層級的威脅進(jìn)行了描述。對于各種層級的威脅，該文件明確了安全保護(hù)水平的需求，包含對抗水平與恢復(fù)水平，各種信息體系的保護(hù)層級，需要各種強度的保護(hù)能力來確保信息體系免受威脅。

為了確保與檢驗信息體系各層保護(hù)能力，該基本要求以國際上權(quán)威的信息安全指標(biāo)，同時以國內(nèi)信息安全發(fā)展的真實狀況作為出發(fā)點，推出了技術(shù)和管理兩個層面的改善措施。首先，針對技術(shù)來說，應(yīng)當(dāng)從物理、網(wǎng)絡(luò)、主機、應(yīng)用以及數(shù)據(jù)等幾個層面著手，而針對管理來說，應(yīng)當(dāng)從體制、機構(gòu)、人員、建設(shè)以及運維等層面著手[3-4]。針對不同措施來闡釋存在的重要控制點和要求項，并以此當(dāng)作等級保護(hù)基本要求的詳細(xì)內(nèi)容。

現(xiàn)階段，國內(nèi)信息體系等級保護(hù)工作依舊需要面臨較多的問題，而其基本要求項的闡釋具有一定的有效性，適用于目前的實際情況。伴隨云計算體系的持續(xù)完善與推廣，應(yīng)將等級保護(hù)當(dāng)作其安全標(biāo)準(zhǔn)與國內(nèi)信息化發(fā)展的切實要求。

2 云計算安全研究概況

由于云計算服務(wù)的特點，讓信息體系內(nèi)的資源、數(shù)據(jù)以及信息在較大規(guī)模中進(jìn)行傳輸與整理，此范疇主要包含地域、物理設(shè)施和相關(guān)人士，所以云計算的威脅重點是由服務(wù)計算這個特點逐漸擴延形成的。針對威脅層面的探究來說，云安全聯(lián)盟于2010 年明確描述了它在云安全方面面臨的7個威脅，并得到了普遍的認(rèn)同與應(yīng)用。2013年，該組織又闡述了9大威脅，主要包含數(shù)據(jù)破壞、數(shù)據(jù)丟失、賬戶劫持、不安全的API、拒絕服務(wù)、惡意的內(nèi)部人員、濫用和惡意使用、審查不足與共享技術(shù)[5]。以實踐要求作為出發(fā)點進(jìn)行分析可知，除了以往的安全問題，云計算新添加的安全威脅重點關(guān)乎以下幾個層面的要求：

（1）可信計算。計算的穩(wěn)定性，也就是服務(wù)資源的可信性，云計算應(yīng)當(dāng)將可信的技術(shù)形式供給服務(wù)資源，借助軟硬件可信調(diào)控的體系證實資源的可信水平。

（2）數(shù)據(jù)保護(hù)。包含對動、靜態(tài)數(shù)據(jù)的分離、保護(hù)和殘存數(shù)據(jù)的清理，保證數(shù)據(jù)資源滿足在所有傳輸、處理、儲存等環(huán)節(jié)內(nèi)的機密性、完善性和實用性方面設(shè)定的條件。

（3）服務(wù)可用。供給服務(wù)是它存在的價值體現(xiàn)，應(yīng)當(dāng)確保云計算供給服務(wù)的可訪問性、服務(wù)的不間斷性和服務(wù)功能的靈活性，保證服務(wù)效果。

（4）虛擬安全。云計算的關(guān)鍵技術(shù)為虛擬技術(shù)，應(yīng)當(dāng)保證宿主機與虛擬技術(shù)自身的安全，對享受服務(wù)的對象供給資源分離保護(hù)機制。

3 云計算等級保護(hù)基本要求

因為云計算屬于原有信息體系發(fā)展的產(chǎn)物，當(dāng)前的等級保護(hù)基本要求可以滿足保證云系統(tǒng)內(nèi)大多數(shù)的保護(hù)能力需求。針對以往的基本要求來說，很難實現(xiàn)這個目標(biāo)，因此不得不面臨一定的威脅與風(fēng)險，下文在以GB/T 22239-2008為基礎(chǔ)的條件下，研究了云等?；疽笮枰袷氐臉?biāo)準(zhǔn)，主要表現(xiàn)為以下幾個方面：

（1）將當(dāng)前的5大技術(shù)與5大管理保障類當(dāng)作框架，保證云等保基本要求對于結(jié)構(gòu)方面的兼容性，以當(dāng)前的系統(tǒng)為基礎(chǔ)進(jìn)一步展開優(yōu)化。

（2）把威脅相應(yīng)的保護(hù)能力要求實施劃分，借助強化當(dāng)前基礎(chǔ)要求控制點要求項實現(xiàn)的，強化詳細(xì)要求的介紹實現(xiàn)，對于難以包含在當(dāng)前控制點下的威脅，借助提出新控制點同時確定詳細(xì)要求項實現(xiàn)。

（3）云計算的核心為服務(wù)形式的轉(zhuǎn)變，所以基本要求的更新針對管理方面來說，主要表現(xiàn)為服務(wù)的管理，而針對技術(shù)方面來說，主要表現(xiàn)為服務(wù)的能力，對于以上兩個方面添加新的控制點與要求項，構(gòu)建對云計算服務(wù)的保障能力。

按照云計算所特有的特點，它的基本要求重點定位于服務(wù)保障與資源管理兩個方面。針對技術(shù)要求來說，因為云計算重點供給虛擬化的服務(wù)資源，所以對于資源和服務(wù)的虛擬化管理和監(jiān)控技術(shù)需要培養(yǎng)核心的技術(shù)要求。管理要求上應(yīng)當(dāng)進(jìn)行細(xì)化，主要包含分析服務(wù)的管理、保護(hù)，尤其應(yīng)當(dāng)確定分析云體系之間的安全保護(hù)能力與管理要求。

對于云計算信息體系新增的威脅來說，云計算等級保護(hù)基本要求注重對用戶的管理、虛擬資源的安全與監(jiān)管、云服務(wù)的保護(hù)與制約、數(shù)據(jù)資源的分離和辨識。針對技術(shù)方面來說，在數(shù)字密鑰、數(shù)據(jù)隱私防護(hù)和虛擬安全等技術(shù)層面都獲得了進(jìn)一步地優(yōu)化與創(chuàng)新。針對管理方面來說，應(yīng)當(dāng)深入健全云計算服務(wù)領(lǐng)域的法規(guī)、第三方監(jiān)控評價和規(guī)范服務(wù)合同與管理。借助云計算等級保護(hù)要求的有效實行，達(dá)到對云服務(wù)從出生至死亡的管理。

4 結(jié)語

十八大指出，應(yīng)當(dāng)重視海洋、太空以及網(wǎng)絡(luò)空間的安全，完善信息安全保護(hù)機制，要在拓展云計算技術(shù)使用規(guī)模的基礎(chǔ)上，深入健全其信息體系的安全保護(hù)機制。將我國的戰(zhàn)略作為支撐，云計算系統(tǒng)結(jié)構(gòu)下的信息安全保護(hù)與評價機制會從根本上獲得推廣與優(yōu)化。信息體系等級保護(hù)機制是我國重要的原則與評價指標(biāo)，從推出之后，就發(fā)揮了顯著的作用，對于保證我國信息基本設(shè)施與信息資源的安全提供了重要的保障。本文在概括目前云計算安全探究進(jìn)展的前提下，以其服務(wù)形式的基礎(chǔ)特點作為出發(fā)點，筆者以創(chuàng)新的眼光推出了以云計算信息體系等級保護(hù)為基礎(chǔ)的會面臨的威脅，重視怎樣開發(fā)與完善當(dāng)前的保護(hù)系統(tǒng)，在不斷研究云框架和等保特點的狀況下，推出了一個新型的評價標(biāo)準(zhǔn)系統(tǒng)。對于云計算信息體系服務(wù)計算的特征，探究性地拓展了等保要求，同時給出了各個層級之下云計算等保的基礎(chǔ)保護(hù)能力要求，為等保評價系統(tǒng)在云計算結(jié)構(gòu)下的優(yōu)化與推廣提供了依據(jù)。

[1]楊健，汪海航，王劍等.云計算安全問題研究綜述[J].小型微型計算機系統(tǒng)，2012.

[2]孫鐵,云計算下開展等級保護(hù)工作的思考[J].信息網(wǎng)絡(luò)安全，2011.

[3]張云勇，陳清金，潘松柏等.云計算安全關(guān)鍵技術(shù)分析 [J].電信科學(xué)，2010.