從等級保護方面分析云計算的信息安全風險與應用安全

中央人民廣播電臺 申 璁

從等級保護方面分析云計算的信息安全風險與應用安全

中央人民廣播電臺 申 璁

【摘要】云計算具有按需服務、高可擴展性、通用性、成本低以及虛擬化等眾多優勢，被廣泛的推廣和應用在社會各個行業中。但是，云計算發展的過程中也面臨許多風險和挑戰，其中信息安全風險已經成為限制云計算發展的主要因素之一。通過利用云計算等級保護技術體系，創建云計算應用安全保護體系，能夠有效的解決云計算中的各種信息安全風險，對于保證云計算的信息安全以及促進云計算技術的可持續發展具有非常重要的作用。因此，文章簡介了云計算和云計算安全，分析了云計算等級保護技術體系，探析了云計算中的信息安全風險，并提出了基于等級保護的云計算中的應用安全保護體系，以供參考。

【關鍵詞】等級保護；云計算；信息安全風險；安全

0 前言

現階段，全球網絡化進程不斷的加快，網絡應用的類別逐漸的增加，網絡復雜化程度不斷的提高，網絡和信息安全已經成為社會各界廣泛關注的焦點。基于網絡技術發展起來的云計算技術，以其獨特的優勢（如按需服務、高寬展性、通用性以及成本低等）被廣泛的推廣和應用在各個行業中。云計算環境下，信息安全成為一個不容忽視的問題，如何解決云計算環境下的信息安全風險，已經成為困擾眾多技術人員的難題。云計算等級保護的本質是從技術和管理兩個方面對云計算信息系統的安全進行分級保護，以此不斷的提高云計算信息安全防護水平。因此，文章針對基于等級保護的云計算信息安全和應用安全的研究具有非常重要的現實意義。

1 云計算和云計算安全簡介

云計算是由網絡計算、并行處理以及分布式處理等逐漸發展起來的一種易于擴展的計算方式，即是由大量的計算機資源通過共享組成的資源池，能夠將高度虛擬、動態的資源分享和提供給用戶。隨著云計算技術的快速發展和應用，云計算信息安全面臨著重大的考驗，如何解決云計算信息安全問題已經成為云計算用戶關注的主要問題之一，同時也成為關系到云計算產業可持續發展的關鍵。關于云計算信息安全風險的研究主要集中在以下幾個方面：云計算數據中心、云計算用戶身份認證以及權限管理；用戶數據信息的保密性、完整性以及安全性；云計算系統服務的連續性以及信息的安全性。

2 云計算等級保護技術體系

等級保護的實質是從技術和管理兩個方面對信息系統安全進行分級保護，具體表現為：

2.1 從技術角度來說

傳統的技術手段是創建基于安全管理中心的通信網絡、區域邊界以及計算環境的三重防護體系，在云計算模式下，云邊界逐漸的變得模糊甚至消失，再加上云計算環境中存在許多不確定因素，對等級保護技術的要求不斷的提高，尤其是在系統安全和應用安全兩個方面。在云計算環境下不確定因素更多，如何保證云計算信息安全和應用安全，已經成為云計算用戶關注的焦點。云計算等級保護的安全技術主要包括以下幾個方面：（1）數據安全：數據備份與恢復、數據保密性、數據完整性；（2）應用安全：資源控制、容錯、通信保密性、通信完整性、訪問控制、身份鑒別；（3）主機安全：資源控制、惡意代碼防范、安全審計、訪問控制、身份鑒別；（4）網絡安全：網絡設備防護、邊界完整性、安全審計、訪問控制、結構安全；（5）物理安全：溫度控制、濕度控制、防盜系統、訪問控制、位置選擇。

2.2 從管理角度來說

云計算等級保護與傳統IT環境的等級保護類似，只是在傳統等級保護中涉及元計算的管理部分存在差別，將各種管理手段應用在信息系統安全管理中，保證信息系統設計以及運行的安全性。云計算等級保護的安全管理主要包括以下幾個方面：（1）系統維護管理：應急預案管理、安全事件處理、備份恢復、惡意代碼管理、環境管理；（2）系統建設管理：交付管理、測試管理、實施管理、軟件管理、產品采購、方案設計；（3）人員安全管理：外部人員管理、安全培訓、、人員錄用、人員離崗；（4）機構安全管理：審核與檢查、溝通與合作、人員配置、崗位設定；（5）制度安全管理：制度評審與修訂、制度發布、制度管理。

3 云計算中的信息安全風險分析

云計算的安全控制和傳統IT環境的安全控制存在許多共同點，但是，因為云計算中采用云服務技術、云計算模型以及云計算運行模式，導致云計算中的信息安全風險比傳統IT環境的信息安全風險更多，主要包括以下幾個方面：

3.1 云法律不完善

雖然我國云計算技術發展非常快速，但是云計算起步相對較晚，尚缺乏完善的法律法規對云計算中的信息安全風險進行控制和管理，在沒有完善法律做保障的情況下，導致云計算環境中存在許多不安全因素威脅信息安全。

3.2 云訪問控制安全風險

隨著云計算技術的推廣和應用，各種企業都將數據信息轉移至云服務器上，許多競爭對手的數據信息可能存在相同物理設備或者虛擬環境中，如何控制云訪問的安全風險，已經成為云計算信息安全需要關注的重點。

3.3 云日志的安全風險

隨著云計算技術的發展，眾多的系統都遷移到云計算系統，云服務商會保留云日志，這些日志都是內部的，增加了云日志監控的難度，導致云日志存在一定的安全風險。

3.4 云密鑰的安全風險

因為數據信息安全保護是云計算等級保護的核心，因此在許多方面需要從技術角度和管理角度對數據信息進行加密處理，還有許多身份驗證操作也需要才贏加密的方式，云密鑰的安全保護已經成為云計算信息安全保護的重點和關鍵。

3.5 云數據信息的機密性和完整性

因為云計算中用戶只知道數據采用一種邏輯儲存方式進行儲存，并不知道數據信息具體儲存在哪個物理位置，因此并不清楚云計算中數據信息儲存的機密性和完整性，這就導致數據信息儲存的機密性和完整性成為用戶關注的焦點。

3.6 云應用的安全漏洞

因為云計算包括三種類型，即IaaS、PaaS、SaaS，各種云應用軟件中是否存在安全漏洞，已經成為威脅云計算信息安全的關鍵，并且隨著云計算技術的快速發展，對應用程序的技術要求和安全性要求不斷的提高，如何解決云應用中的安全漏洞需要進一步的研究和思考。

4 基于等級保護的云計算中的應用安全保護體系

4.1 云計算中的應用安全威脅

解決云計算應用安全問題的關鍵在于針對云計算中的各種安全風險，創建綜合性的與計算安全保護框架，并加強對云計算安全關鍵技術和管理方法進行研究。為了保證云計算用戶的應用安全，應該對云計算中存在的應用安全威脅進行分析，具體包括以下幾個方面：（1）云應用中的安全漏洞，導致存在安全漏洞的原因是云服務商并沒有對云應用軟件進行技術防護和安全管理，即是由于云計算軟件自身的問題帶來的安全性隱患；（2）云應用在虛擬系統之間遷移時，并沒有對應用程序的性能以及穩定性進行分析，導致在遷移的過程中出現服務中斷的問題，給用戶造成損失；（3）云應用日志泄露，由于在云日志應用過程中缺乏必要的分級管理和監督，導致出現不正常操作或者跨權訪問日志的現象，給用戶造成損失；（4）云應用密鑰管理問題，云應用過程中證書失效或者密碼保管失效或者被篡改，會導致用戶密鑰被泄露的問題，給用戶造成損失；（5）運用操作數據存在安全漏洞，用戶利用云應用程序對數據信息進行訪問時，數據信息需要經過內存處理，數據信息在儲存的過程中可能存在數據信息被盜、泄露等問題，給用戶造成損失。

4.2 云計算中應用安全保護要求

為了提高云計算的應用安全等級，需要嚴格按照《信息系統安全等級保護基本要求》，制定云計算應用安全保護要求，具體包括：（1）持續可用性，云計算在虛擬環境中遷移時，應該對云應用進行檢查，保證云應用能夠安全、穩定的運行；（2）訪問控制安全，需要對應用程序日志進行嚴格的審計、監督和控制，劃分日志訪問等級權限，并對數據日志進行加密處理，禁止出現越權訪問的現象；（3）結構安全，對云應用中產生的數據信息進行分類，即分為敏感數據信息和非敏感數據信息，對兩種進行進行邏輯隔離，采用不同的通道進行相應數據信息的傳輸；（4）物理安全，重點對數據儲存位置進行選擇，由數據中心的敏感數據信息服務器與非敏感數據信息服務器對云應用過程中產生的敏感數據信息和非敏感數據信息進行分類，并儲存在不同的硬件設備上；（5）數據信息保密性，云應用在與虛擬系統進行數據信息遷移時，應該進行加密處理，并對虛擬機進行隔離，為了保證數據信息在傳遞過程中的保密性和安全性，應該對數據信息進行加密處理；（6）訪問控制，云服務商在向用戶提供云服務時，必須對云服務的功能以及性能測試結果提供給用戶，同時還應該對相應的內容進行驗證，以此保證云應用程序的可控性和可操作性。

4.3 云計算應用安全保護體系

在創建云計算應用安全保護體系時，應該融入等級保護思想，明確云計算應用安全保護體系的創建方法，提出云計算應用安全保護體系框架，并嚴格按照云計算應用安全保護指標進行創建，以此保證云計算應用安全保護體系的完整性和可靠性。具體表現為：

4.3.1 云計算應用安全保護體系的創建方法

以云計算信息系統為核心，采用蛛網圖法創建云計算應用安全保護體系，創建步驟主要包括：（1）保護對象，根據云計算信息系統的交付模式劃分保護對象，主要包括：業務應用系統、中間件、資源抽象、網絡、主機以及物理系統；（2）威脅與漏洞，對保護對象自身的弱點、計算機信息系統的安全威脅以及潛在威脅等因素進行分析，以此確定云計算應用安全防護的要求，根據不同等級信息系統的安全防護要求，確定相應等級云計算應用安全系統需要處理的安全威脅和漏洞；（3）防護措施，在選擇云計算應用安全保護措施時，應該要求云計算安全領域的“產學研”方面的專家共同參與，充分的利用各個領域專家的知識和經驗，針對云計算應用過程中存在的安全隱患采取相應的防護措施進行處理。

4.3.2 云計算應用安全防護體系框架

云計算實質上是一種信息系統，其安全理念和安全目標與傳統信息系統類似，云計算信息系統采用了虛擬化技術，和傳統嗎信息系統在服務方式方面存在一定的差異，這就導致其存在特有的安全隱患，如云計算分組服務模式安全問題以及虛擬化安全問題等。為了保證云計算應用安全，則應該根據云計算信息系統的安全需求，為保護對象創建不同等級等級層次的保護框架。在云計算環境下，應用安全不僅應該局限于接入層和核心層，而是應該延伸至物理主機內部結構。

4.3.3 云計算應用安全保護指標體系

云計算應用安全保護指標體系的構件是一個復雜的過程中，應該以云計算應用安全保護框架體系為依據，由社會管理、云計算研究、分布式研究以及風險評估等領域的專家，對云計算應用安全存在的風險和威脅進行分析，總結影響云計算應用安全的主要因素。通過創建用戶隱私保護機制、數據隔離機制、中間件安全保護機制、虛擬機遷移機制、虛擬機隔離機制等，最終利用層次分析方法創建符合云計算應用安全特點的指標體系，具體包括：數據安全和備份、應用安全、軟件平臺安全、資源抽象安全、主機安全、網絡安全以及物力安全。

5 結束語

總而言之，云計算的使用越來越廣泛，并且前景非常廣闊。同時，云計算應用過程中存在許多信息安全風險，如何消除云計算中的各種信息安全隱患已經成為所有信息安全領域與IT領域研究者關注的重點。因此，文章從等級保護角度出發，探析了基于等級保護云計算中的應用安全保護體系，希望能夠為保證云計算應用安全和逐漸走向成熟貢獻一份力量。

參考文獻

［1］蔣誠智，張濤，余勇.基于等級保護的智能電網信息安全防護模型研究［J］.計算機與現代化，2012，（4）∶12-16.

［2］顧鑫，盧青.淺析云計算數據中心信息安全等級保護工作實踐［J］.警察技術，2014（S1）∶114-118.

［3］朱圣才，徐御，金銘彥，等.基于等級保護策略的云計算安全風險評估［J］.計算機安全，2013（5）∶39-42.

［4］朱圣才.基于云計算的信息安全風險分析與探索［J］.西安郵電大學學報，2013，18（4）∶89-94.

［5］劉波.云計算的安全風險評估及其應對措施探討［J］.移動通信，2011，35（9）∶34-37.

［6］姜政偉，趙文瑞，劉宇，等.基于等級保護的云計算安全評估模型［J］.計算機科學，2013，40（8）∶151-155.

［7］陳雪秀，于晶，陳馳，等.基于等級保護的云計算安全防護體系研究［J］.中國數字醫學，2014，（11）∶44-47.

［8］沈昌祥.云計算安全與等級保護［J］.信息安全與通信保密，2012（1）∶16-17.

［9］周煥盛，江建慧.一個多維信息安全指標體系及等級保護量化模型［J］.中國科學技術大學學報，2012，37（9）∶67-76.