云計算環境下信息系統安全防護

湯 飛，張 彥

（1.中國鐵道科學研究院 研究生部，北京 100081；2.中國鐵道科學研究院 電子計算技術研究所，北京 100081）

云計算環境下信息系統安全防護

湯 飛1,2，張 彥2

（1.中國鐵道科學研究院 研究生部，北京 100081；2.中國鐵道科學研究院 電子計算技術研究所，北京 100081）

本文通過綜合分析云計算系統存在的安全風險，結合云計算系統分層架構特點，提出了一種基于“一個中心、五個層面，兩重保障”策略的云計算安全防護方案。該方案針對云計算系統安全風險設計，并與云計算系統分層架構特點相適應，為云計算技術全方位安全防護提供了一種新的方法。

云計算安全；云計算安全風險；云計算系統架構；云計算安全防護

云計算基于資源虛擬化的方式，利用高速互聯網的傳輸能力，將網絡上分布的計算、存儲、服務構件、網絡軟件等資源集中起來，把數據的處理過程從個人計算機或服務器轉移到一個大型的計算中心，以服務的形式為用戶提供計算能力和存儲能力[1]，實現計算與存儲的分布式與并行處理。云計算以其獨特的技術特點和優勢，越來越多地被部署到實際應用中，隨之而來的云計算安全問題也日益突出。

1 云計算技術安全背景

云計算技術為用戶帶來了極大便利，也成為攻擊者的最佳目標，近年云計算安全事件層出不窮。頻繁的安全事件，使得云計算安全的重要性和緊迫性更加突出地展現在研究者面前。

云計算安全存在于特權用戶權限、法規遵從、數據存放位置、數據隔離及恢復和追溯支持等方面[2]；云安全聯盟CSA在云計算安全指南中提出，云計算安全管理需從云的治理和云的運行兩方面著手[3]；IT安全管理指南ISO/IEC TR 13335的風險管理模型[4]，通過管理驅動技術，利用技術實現管理，給出了一種實現安全云計算的思路；遵照動態安全事件處理[5]（PDR模型）發展出的“花瓶模型”，使用安全基線來實現云計算安全；此外，隨著國內信息安全等級保護[6]工作的進一步開展，分等級保護的思想也為云計算安全提供了借鑒。

本文針對云計算平臺分層架構的特點，通過分析云計算在應用系統中的安全風險，給出了一種與分層架構特點相適應的云計算安全保護方案。

2 云計算系統架構及安全風險

2.1 云計算系統分層架構

云計算模式下信息系統架構分為云計算平臺和云計算終端，云計算平臺包括基礎設施層、虛擬化層、平臺層、應用層4層結構[7]。

云計算模式下信息系統架構如圖1所示。

云計算終端是信息系統的各業務端，按需獲取云計算平臺的存儲、網絡及計算資源，是云計算系統的服務使用者。

圖1 云計算模式下信息系統架構

2.2 云計算系統安全風險

2.2.1 網絡邊界風險

云模式下信息系統網絡實體可分為終端用戶實體和云平臺實體。攻擊者可從云計算終端與云計算平臺邊界、云計算平臺內部邊界侵入，對云計算系統實施破壞。因此，云計算信息系統邊界安全應從云終端與云平臺間邊界和云平臺內邊界綜合考慮。

（1）云終端與云平臺間邊界風險

云終端與云平臺間邊界風險來自于云平臺外部，攻擊者可利用外部邊界的安全弱點和漏洞，如云平臺未對訪問數據執行SYN檢查，對信息系統發起拒絕服務攻擊，破壞信息系統安全。

（2）云平臺內邊界風險

云平臺內邊界風險指組成云平臺不同功能模塊間的安全風險，這種風險來自于云平臺內部，如管理人員誤操作、某功能模塊感染病毒引起擴散等，此類邊界安全風險也需得到有效控制。

2.2.2 數據安全風險

（1）數據存儲、傳輸及處理安全

云計算系統租戶數據的整個生命周期，包括存儲、傳輸及處理，數據的機密性、可用性和完整性均可能會受到破壞。非法復制、獲取、移動將會導致數據在存儲過程的安全受到威脅，非法竊聽、攔截、篡改等將導致數據在傳輸過程的安全受到威脅，非法侵入、滲透、溢出將會導致數據在處理過程的安全受到威脅。

（2）數據隔離安全

云計算模式下，不同租戶共享網絡、存儲和計算能力，使得租戶數據可能在同一網絡中進行數據傳輸，在同一磁盤中進行數據存儲，在同一內存區中進行數據處理，這為租戶間數據的非法訪問提供了便利條件。云計算平臺應采取有效措施對數據進行隔離，保證不同租戶數據的安全及隱私。

（3）數據剩余信息安全

云計算環境下，數據使用共享的方式存儲，租戶數據在業務發生遷移或刪除時，需防止惡意恢復盜取數據。若存儲資源重新分配前數據擦除不徹底，惡意恢復事件將導致用戶私密信息泄漏。

2.2.3 虛擬化安全風險

（1）虛擬機隔離

多租戶環境下，不同租戶虛擬機共享物理資源。虛擬機不徹底的安全隔離，會導致非法租戶在未經授權情況下，訪問其他租戶的數據，甚至干擾其他租戶應用程序的正常運行。

（2）虛擬機監控

同一物理主機下不同虛擬機間數據交互產生的流量，并不經過物理交換機，因而無法被物理交換機檢測到；導致物理安全防護設備無法監控虛擬機間的數據交換過程，無法察覺虛擬機間的攻擊行為，這為虛擬機間的互相攻擊提供了方便。

（3）虛擬機防護

與傳統物理主機類似，虛擬機也面臨著病毒、木馬、惡意代碼等破壞性程序的安全威脅，因此虛擬機應加強自身安全防護，如操作系統最小化配置、及時更新補丁等，防止遭到外部安全威脅攻擊導致系統無法正常提供服務。

2.2.4 服務可用性風險

（1）內部軟件風險

云計算平臺是由多種軟件組合協同構成的復雜龐大體系，這些軟件內部及軟件之間，可能存在影響云服務可用性的安全風險。如軟件運行因介質損壞、外部攻擊，或自身錯誤、安全漏洞等無法正常進行，會導致云計算服務的可靠性和穩定性遭到破壞，無法正常為終端租戶提供服務。

（2）外部接口風險

云計算平臺按照統一的標準和格式，開放API接口給租戶，實現云平臺與租戶間的交互。不安全的API接口將給云計算系統帶來安全風險，利用它攻擊者可實施注入攻擊、拒絕服務攻擊，甚至繞過安全機制獲取系統權限，給系統帶來災難性后果。

（3）備份與恢復風險

云模式下終端租戶不再介入數據處理過程，數據的存儲維護管理工作全部交由云平臺接管，若云數據中心所在位置發生不可預知、不可抵抗的災難性事件，數據和服務將可能完全丟失。

3 云計算系統安全方案

根據云計算系統分層架構特點，提出基于“一個中心、五個層面，兩重保障”策略的云計算系統安全設計方案。

一個中心，是指云計算安全管理中心，內容包括統一的安全監控管理、統一的認證及權限管理、統一的脆弱性管理和統一的安全審計管理；五個層面，是指5個安全防護層面，包括基礎設施層安全防護、虛擬化層安全防護、OS平臺層安全防護、應用層安全防護、云終端安全防護。“一個中心、五個層面”架構如圖2所示。

圖2 “一個中心、五個層面”架構

兩重保障，是指兩重災備安全保障，包括同城數據災備中心保障和異地數據災備中心保障[8]，其架構如圖3所示。

圖3 “兩重保障”架構

3.1 “一個中心、五個層面”安全設計

3.1.1 基礎設施層安全設計

（1）物理安全

服務提供者應確保其物理設施的接入點是被保護的，利用值班員看守、安全攝像機、全身掃描及其他措施防止違規行為的發生，對接入點環境的溫濕度、煙霧、漏水等實施全天監控。

（2）網絡結構安全

虛擬化后網絡邊界模糊，網絡結構應根據網絡邊界設計，在云計算平臺內部邊界及云計算平臺與云計算終端間邊界采取措施保證網絡結構安全。

3.1.2 虛擬化層安全設計

（1）虛擬機隔離

虛擬機應進行安全隔離，實現虛擬機與物理機、虛擬機之間可靠隔離，保證虛擬機和物理機上的租戶間業務互不干擾。同一物理機的不同虛擬機間數據的通信可采取VPN方式，既實現了虛擬機間的安全隔離，又保證了數據的安全。

（2）虛擬機監控

對虛擬機進行全面安全監控，包括資源使用狀態、進程狀態、流量狀態等，為解決虛擬機間流量不可見問題，可擴充虛擬化層功能，實施流量監控。

（3）虛擬機安全

對虛擬機系統本身，按照主機安全的要求，進行主機安全加固，對操作系統功能模塊進行最小化配置、及時更新補丁等。

3.1.3 平臺層安全設計

（1）數據傳輸安全

用戶終端到云端傳輸通道采用VPN和數據加密等技術，實現用戶數據在網絡傳輸過程的安全；系統管理員及維護人員對云端的維護操作采用加密通道，保證管理過程的安全。

（2）數據存儲安全

使用數據安全隔離技術，實現不同用戶間的數據信息的隔離；使用數據存儲加密技術，對數據存儲實施加密；各用戶享用獨立的存儲空間；具備完善數據銷毀機制，存儲資源在分配給其他用戶時必須進行徹底擦除；依據保密級別設置數據敏感標記，按照用戶權限和標識類型執行訪問控制。

3.1.4 應用層安全設計

（1）分級安全防護

云計算信息系統應依據系統的重要類型、用戶類型，執行不同等級的身份認證、訪問控制等策略，按照不同等級實施分級應用安全防護。

（2）身份鑒別

建立統一完善的身份注冊登記制度，對新注冊的用戶實行嚴格審核報批，防止非法用戶的惡意注冊和對云資源的惡意利用；對用戶身份進行統一授權認證，實行多重身份認證機制。

（3）訪問控制

將傳統自主訪問控制、強制訪問控制和基于角色的訪問控制方法結合，按照實際業務需求設計訪問控制粒度級別，實現云模式下鐵路信息系統用戶與資源的訪問控制。

3.1.5 云終端安全設計

云終端應部署安全軟件，包括防病毒軟件、個人防火墻以及IPS等；應使用自動更新功能，定期完成瀏覽器及操作系統補丁更新工作，降低終端用戶被攻擊的風險。

3.1.6 云計算安全管理中心設計

（1）統一的安全監控管理

對云計算系統下的所有軟硬件資產、各類事件，包括系統程序、應用程序、服務器、網絡設備、安全設備、云終端和攻擊事件、入侵事件、網絡事件、報警事件等，實施統一監控管理，確保系統資源及事件狀態的可見性和可管控性。

（2）統一的認證及權限管理

構建基于CA證書的PKI認證系統，對用戶認證過程實施統一管理，既保證信息傳輸時的機密性、完整性和不可抵賴性，又保證認證過程的一致性；對系統所有用戶權限實施統一集中管理，細化訪問控制粒度，僅授予用戶完成自身業務所需的最小權限。

（3）統一的脆弱性管理

云計算平臺應具備統一的脆弱性管理功能，實現自動脆弱性掃描分析和補救修復。構建基于云計算平臺的脆弱性掃描分析引擎和脆弱性補救修復引擎以及病毒漏洞庫和修復補丁庫，定期對云計算系統的脆弱點進行掃描分析，并按照統一的補丁分發策略對系統的脆弱點進行修復。

（4）統一的安全審計管理

對系統內各類日志的采集、傳輸、存儲、分析、處理、分類、展示等過程實現統一管理，采取措施防止日志遭到未預期的刪除、修改和覆蓋，日志內容包括日期時間、事件類型、用戶、事件操作結果等字段，保證日志具有對不良事件發生后的審查能力。

3.2 “兩重保障”安全設計

云計算信息系統使用“兩重保障”進行災備建設，包括在同城建立的2個云存儲中心和異地建立的數據備份災備中心，如圖4所示。

圖4 云計算數據中心災備方案

同城的2個云存儲中心可分別獨立承擔系統運行，雙中心利用高速鏈路完成實時數據同步，日常情況下可同時對外提供服務，并能切換運行。異地建立的云存儲災備中心，使用異步復制方式同步雙中心數據，當同城雙中心全部故障后，可進行災備應急切換，使用備份數據恢復業務，實現在基本不丟失數據前提下確保業務連續運行。

4 結束語

本文依據云計算技術特點，提出了一種基于“一個中心、五個層面，兩重保障”策略的云計算安全設計方案，該方案與云計算系統分層架構特點相適應，為云計算技術的全面安全防護提供了一種新思路。

[1] 周澤巖，馬超群，付衛霖，張 彥. 鐵路客票系統云計算模式及其安全策略的研究 [C] . 第八屆中國智能交通年會優秀論文集—軌道交通，2013.

[2] Jay Heiser, Mark Nicolett. Assessing the Security Risks of Cloud Computing [R] . Stanford:Gartner Group, 2008.

[3] Security Guidance for Critical Areas of Focus in Cloud Computing [EB/OL]. https://cloudsecurityalliance.org/guidance/csaguide. v3.0.pdf, 2011.

[4] ISO/IEC TR 13335. Guidelines for the Management of IT Security [S]. 1998.

[5] Winn Schwartau. Time Based Security[M]. Interpact Pr, 1999.

[6] 中華人民共和國國家標準. GB/T 22239-2008，信息安全技術—信息系統安全等級保護基本要求 [S] .北京：中國標準 出版社，2008.

[7] 中國電信網絡安全實驗室.云計算安全技術與應用[M].北京：電子工業出版社，2012.

[8] 康東明，吳建國，于微偉.面向服務災備平臺的設計與實現[J].計算機工程與科學，2011，33（4）：145-149.

責任編輯 陳 蓉

Security Protection Scheme for Cloud Computing Systems

TANG Fei1,2, ZHANG Yan2
( 1.Postgraduate Department, China Academy of Railway Sciences, Beijing 100081, China; 2.Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

After analyzing security risks and combining with the layered architecture of cloud computing systems, this paper proposed a policy-based cloud computing security scheme with one core, f i ve f i elds and two safeguards. This scheme was adapted to layered architecture of cloud computing systems, which was provided a new approach to security protection of cloud computing.

security of cloud computing; security risks of cloud computing; architecture of Cloud Computing Systems; security protection for cloud computing

U29-39

A

1005-8451（2015）02-0071-05

2014-10-08

湯 飛，在讀碩士研究生；張 彥，研究員。