從等級保護(hù)方面分析云計(jì)算的信息安全風(fēng)險(xiǎn)與應(yīng)用安全

中央人民廣播電臺 申 璁

從等級保護(hù)方面分析云計(jì)算的信息安全風(fēng)險(xiǎn)與應(yīng)用安全

中央人民廣播電臺 申 璁

【摘要】云計(jì)算具有按需服務(wù)、高可擴(kuò)展性、通用性、成本低以及虛擬化等眾多優(yōu)勢，被廣泛的推廣和應(yīng)用在社會各個(gè)行業(yè)中。但是，云計(jì)算發(fā)展的過程中也面臨許多風(fēng)險(xiǎn)和挑戰(zhàn)，其中信息安全風(fēng)險(xiǎn)已經(jīng)成為限制云計(jì)算發(fā)展的主要因素之一。通過利用云計(jì)算等級保護(hù)技術(shù)體系，創(chuàng)建云計(jì)算應(yīng)用安全保護(hù)體系，能夠有效的解決云計(jì)算中的各種信息安全風(fēng)險(xiǎn)，對于保證云計(jì)算的信息安全以及促進(jìn)云計(jì)算技術(shù)的可持續(xù)發(fā)展具有非常重要的作用。因此，文章簡介了云計(jì)算和云計(jì)算安全，分析了云計(jì)算等級保護(hù)技術(shù)體系，探析了云計(jì)算中的信息安全風(fēng)險(xiǎn)，并提出了基于等級保護(hù)的云計(jì)算中的應(yīng)用安全保護(hù)體系，以供參考。

【關(guān)鍵詞】等級保護(hù)；云計(jì)算；信息安全風(fēng)險(xiǎn)；安全

0 前言

現(xiàn)階段，全球網(wǎng)絡(luò)化進(jìn)程不斷的加快，網(wǎng)絡(luò)應(yīng)用的類別逐漸的增加，網(wǎng)絡(luò)復(fù)雜化程度不斷的提高，網(wǎng)絡(luò)和信息安全已經(jīng)成為社會各界廣泛關(guān)注的焦點(diǎn)。基于網(wǎng)絡(luò)技術(shù)發(fā)展起來的云計(jì)算技術(shù)，以其獨(dú)特的優(yōu)勢（如按需服務(wù)、高寬展性、通用性以及成本低等）被廣泛的推廣和應(yīng)用在各個(gè)行業(yè)中。云計(jì)算環(huán)境下，信息安全成為一個(gè)不容忽視的問題，如何解決云計(jì)算環(huán)境下的信息安全風(fēng)險(xiǎn)，已經(jīng)成為困擾眾多技術(shù)人員的難題。云計(jì)算等級保護(hù)的本質(zhì)是從技術(shù)和管理兩個(gè)方面對云計(jì)算信息系統(tǒng)的安全進(jìn)行分級保護(hù)，以此不斷的提高云計(jì)算信息安全防護(hù)水平。因此，文章針對基于等級保護(hù)的云計(jì)算信息安全和應(yīng)用安全的研究具有非常重要的現(xiàn)實(shí)意義。

1 云計(jì)算和云計(jì)算安全簡介

云計(jì)算是由網(wǎng)絡(luò)計(jì)算、并行處理以及分布式處理等逐漸發(fā)展起來的一種易于擴(kuò)展的計(jì)算方式，即是由大量的計(jì)算機(jī)資源通過共享組成的資源池，能夠?qū)⒏叨忍摂M、動態(tài)的資源分享和提供給用戶。隨著云計(jì)算技術(shù)的快速發(fā)展和應(yīng)用，云計(jì)算信息安全面臨著重大的考驗(yàn)，如何解決云計(jì)算信息安全問題已經(jīng)成為云計(jì)算用戶關(guān)注的主要問題之一，同時(shí)也成為關(guān)系到云計(jì)算產(chǎn)業(yè)可持續(xù)發(fā)展的關(guān)鍵。關(guān)于云計(jì)算信息安全風(fēng)險(xiǎn)的研究主要集中在以下幾個(gè)方面：云計(jì)算數(shù)據(jù)中心、云計(jì)算用戶身份認(rèn)證以及權(quán)限管理；用戶數(shù)據(jù)信息的保密性、完整性以及安全性；云計(jì)算系統(tǒng)服務(wù)的連續(xù)性以及信息的安全性。

2 云計(jì)算等級保護(hù)技術(shù)體系

等級保護(hù)的實(shí)質(zhì)是從技術(shù)和管理兩個(gè)方面對信息系統(tǒng)安全進(jìn)行分級保護(hù)，具體表現(xiàn)為：

2.1 從技術(shù)角度來說

傳統(tǒng)的技術(shù)手段是創(chuàng)建基于安全管理中心的通信網(wǎng)絡(luò)、區(qū)域邊界以及計(jì)算環(huán)境的三重防護(hù)體系，在云計(jì)算模式下，云邊界逐漸的變得模糊甚至消失，再加上云計(jì)算環(huán)境中存在許多不確定因素，對等級保護(hù)技術(shù)的要求不斷的提高，尤其是在系統(tǒng)安全和應(yīng)用安全兩個(gè)方面。在云計(jì)算環(huán)境下不確定因素更多，如何保證云計(jì)算信息安全和應(yīng)用安全，已經(jīng)成為云計(jì)算用戶關(guān)注的焦點(diǎn)。云計(jì)算等級保護(hù)的安全技術(shù)主要包括以下幾個(gè)方面：（1）數(shù)據(jù)安全：數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)保密性、數(shù)據(jù)完整性；（2）應(yīng)用安全：資源控制、容錯(cuò)、通信保密性、通信完整性、訪問控制、身份鑒別；（3）主機(jī)安全：資源控制、惡意代碼防范、安全審計(jì)、訪問控制、身份鑒別；（4）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)設(shè)備防護(hù)、邊界完整性、安全審計(jì)、訪問控制、結(jié)構(gòu)安全；（5）物理安全：溫度控制、濕度控制、防盜系統(tǒng)、訪問控制、位置選擇。

2.2 從管理角度來說

云計(jì)算等級保護(hù)與傳統(tǒng)IT環(huán)境的等級保護(hù)類似，只是在傳統(tǒng)等級保護(hù)中涉及元計(jì)算的管理部分存在差別，將各種管理手段應(yīng)用在信息系統(tǒng)安全管理中，保證信息系統(tǒng)設(shè)計(jì)以及運(yùn)行的安全性。云計(jì)算等級保護(hù)的安全管理主要包括以下幾個(gè)方面：（1）系統(tǒng)維護(hù)管理：應(yīng)急預(yù)案管理、安全事件處理、備份恢復(fù)、惡意代碼管理、環(huán)境管理；（2）系統(tǒng)建設(shè)管理：交付管理、測試管理、實(shí)施管理、軟件管理、產(chǎn)品采購、方案設(shè)計(jì)；（3）人員安全管理：外部人員管理、安全培訓(xùn)、、人員錄用、人員離崗；（4）機(jī)構(gòu)安全管理：審核與檢查、溝通與合作、人員配置、崗位設(shè)定；（5）制度安全管理：制度評審與修訂、制度發(fā)布、制度管理。

3 云計(jì)算中的信息安全風(fēng)險(xiǎn)分析

云計(jì)算的安全控制和傳統(tǒng)IT環(huán)境的安全控制存在許多共同點(diǎn)，但是，因?yàn)樵朴?jì)算中采用云服務(wù)技術(shù)、云計(jì)算模型以及云計(jì)算運(yùn)行模式，導(dǎo)致云計(jì)算中的信息安全風(fēng)險(xiǎn)比傳統(tǒng)IT環(huán)境的信息安全風(fēng)險(xiǎn)更多，主要包括以下幾個(gè)方面：

3.1 云法律不完善

雖然我國云計(jì)算技術(shù)發(fā)展非常快速，但是云計(jì)算起步相對較晚，尚缺乏完善的法律法規(guī)對云計(jì)算中的信息安全風(fēng)險(xiǎn)進(jìn)行控制和管理，在沒有完善法律做保障的情況下，導(dǎo)致云計(jì)算環(huán)境中存在許多不安全因素威脅信息安全。

3.2 云訪問控制安全風(fēng)險(xiǎn)

隨著云計(jì)算技術(shù)的推廣和應(yīng)用，各種企業(yè)都將數(shù)據(jù)信息轉(zhuǎn)移至云服務(wù)器上，許多競爭對手的數(shù)據(jù)信息可能存在相同物理設(shè)備或者虛擬環(huán)境中，如何控制云訪問的安全風(fēng)險(xiǎn)，已經(jīng)成為云計(jì)算信息安全需要關(guān)注的重點(diǎn)。

3.3 云日志的安全風(fēng)險(xiǎn)

隨著云計(jì)算技術(shù)的發(fā)展，眾多的系統(tǒng)都遷移到云計(jì)算系統(tǒng)，云服務(wù)商會保留云日志，這些日志都是內(nèi)部的，增加了云日志監(jiān)控的難度，導(dǎo)致云日志存在一定的安全風(fēng)險(xiǎn)。

3.4 云密鑰的安全風(fēng)險(xiǎn)

因?yàn)閿?shù)據(jù)信息安全保護(hù)是云計(jì)算等級保護(hù)的核心，因此在許多方面需要從技術(shù)角度和管理角度對數(shù)據(jù)信息進(jìn)行加密處理，還有許多身份驗(yàn)證操作也需要才贏加密的方式，云密鑰的安全保護(hù)已經(jīng)成為云計(jì)算信息安全保護(hù)的重點(diǎn)和關(guān)鍵。

3.5 云數(shù)據(jù)信息的機(jī)密性和完整性

因?yàn)樵朴?jì)算中用戶只知道數(shù)據(jù)采用一種邏輯儲存方式進(jìn)行儲存，并不知道數(shù)據(jù)信息具體儲存在哪個(gè)物理位置，因此并不清楚云計(jì)算中數(shù)據(jù)信息儲存的機(jī)密性和完整性，這就導(dǎo)致數(shù)據(jù)信息儲存的機(jī)密性和完整性成為用戶關(guān)注的焦點(diǎn)。

3.6 云應(yīng)用的安全漏洞

因?yàn)樵朴?jì)算包括三種類型，即IaaS、PaaS、SaaS，各種云應(yīng)用軟件中是否存在安全漏洞，已經(jīng)成為威脅云計(jì)算信息安全的關(guān)鍵，并且隨著云計(jì)算技術(shù)的快速發(fā)展，對應(yīng)用程序的技術(shù)要求和安全性要求不斷的提高，如何解決云應(yīng)用中的安全漏洞需要進(jìn)一步的研究和思考。

4 基于等級保護(hù)的云計(jì)算中的應(yīng)用安全保護(hù)體系

4.1 云計(jì)算中的應(yīng)用安全威脅

解決云計(jì)算應(yīng)用安全問題的關(guān)鍵在于針對云計(jì)算中的各種安全風(fēng)險(xiǎn)，創(chuàng)建綜合性的與計(jì)算安全保護(hù)框架，并加強(qiáng)對云計(jì)算安全關(guān)鍵技術(shù)和管理方法進(jìn)行研究。為了保證云計(jì)算用戶的應(yīng)用安全，應(yīng)該對云計(jì)算中存在的應(yīng)用安全威脅進(jìn)行分析，具體包括以下幾個(gè)方面：（1）云應(yīng)用中的安全漏洞，導(dǎo)致存在安全漏洞的原因是云服務(wù)商并沒有對云應(yīng)用軟件進(jìn)行技術(shù)防護(hù)和安全管理，即是由于云計(jì)算軟件自身的問題帶來的安全性隱患；（2）云應(yīng)用在虛擬系統(tǒng)之間遷移時(shí)，并沒有對應(yīng)用程序的性能以及穩(wěn)定性進(jìn)行分析，導(dǎo)致在遷移的過程中出現(xiàn)服務(wù)中斷的問題，給用戶造成損失；（3）云應(yīng)用日志泄露，由于在云日志應(yīng)用過程中缺乏必要的分級管理和監(jiān)督，導(dǎo)致出現(xiàn)不正常操作或者跨權(quán)訪問日志的現(xiàn)象，給用戶造成損失；（4）云應(yīng)用密鑰管理問題，云應(yīng)用過程中證書失效或者密碼保管失效或者被篡改，會導(dǎo)致用戶密鑰被泄露的問題，給用戶造成損失；（5）運(yùn)用操作數(shù)據(jù)存在安全漏洞，用戶利用云應(yīng)用程序?qū)?shù)據(jù)信息進(jìn)行訪問時(shí)，數(shù)據(jù)信息需要經(jīng)過內(nèi)存處理，數(shù)據(jù)信息在儲存的過程中可能存在數(shù)據(jù)信息被盜、泄露等問題，給用戶造成損失。

4.2 云計(jì)算中應(yīng)用安全保護(hù)要求

為了提高云計(jì)算的應(yīng)用安全等級，需要嚴(yán)格按照《信息系統(tǒng)安全等級保護(hù)基本要求》，制定云計(jì)算應(yīng)用安全保護(hù)要求，具體包括：（1）持續(xù)可用性，云計(jì)算在虛擬環(huán)境中遷移時(shí)，應(yīng)該對云應(yīng)用進(jìn)行檢查，保證云應(yīng)用能夠安全、穩(wěn)定的運(yùn)行；（2）訪問控制安全，需要對應(yīng)用程序日志進(jìn)行嚴(yán)格的審計(jì)、監(jiān)督和控制，劃分日志訪問等級權(quán)限，并對數(shù)據(jù)日志進(jìn)行加密處理，禁止出現(xiàn)越權(quán)訪問的現(xiàn)象；（3）結(jié)構(gòu)安全，對云應(yīng)用中產(chǎn)生的數(shù)據(jù)信息進(jìn)行分類，即分為敏感數(shù)據(jù)信息和非敏感數(shù)據(jù)信息，對兩種進(jìn)行進(jìn)行邏輯隔離，采用不同的通道進(jìn)行相應(yīng)數(shù)據(jù)信息的傳輸；（4）物理安全，重點(diǎn)對數(shù)據(jù)儲存位置進(jìn)行選擇，由數(shù)據(jù)中心的敏感數(shù)據(jù)信息服務(wù)器與非敏感數(shù)據(jù)信息服務(wù)器對云應(yīng)用過程中產(chǎn)生的敏感數(shù)據(jù)信息和非敏感數(shù)據(jù)信息進(jìn)行分類，并儲存在不同的硬件設(shè)備上；（5）數(shù)據(jù)信息保密性，云應(yīng)用在與虛擬系統(tǒng)進(jìn)行數(shù)據(jù)信息遷移時(shí)，應(yīng)該進(jìn)行加密處理，并對虛擬機(jī)進(jìn)行隔離，為了保證數(shù)據(jù)信息在傳遞過程中的保密性和安全性，應(yīng)該對數(shù)據(jù)信息進(jìn)行加密處理；（6）訪問控制，云服務(wù)商在向用戶提供云服務(wù)時(shí)，必須對云服務(wù)的功能以及性能測試結(jié)果提供給用戶，同時(shí)還應(yīng)該對相應(yīng)的內(nèi)容進(jìn)行驗(yàn)證，以此保證云應(yīng)用程序的可控性和可操作性。

4.3 云計(jì)算應(yīng)用安全保護(hù)體系

在創(chuàng)建云計(jì)算應(yīng)用安全保護(hù)體系時(shí)，應(yīng)該融入等級保護(hù)思想，明確云計(jì)算應(yīng)用安全保護(hù)體系的創(chuàng)建方法，提出云計(jì)算應(yīng)用安全保護(hù)體系框架，并嚴(yán)格按照云計(jì)算應(yīng)用安全保護(hù)指標(biāo)進(jìn)行創(chuàng)建，以此保證云計(jì)算應(yīng)用安全保護(hù)體系的完整性和可靠性。具體表現(xiàn)為：

4.3.1 云計(jì)算應(yīng)用安全保護(hù)體系的創(chuàng)建方法

以云計(jì)算信息系統(tǒng)為核心，采用蛛網(wǎng)圖法創(chuàng)建云計(jì)算應(yīng)用安全保護(hù)體系，創(chuàng)建步驟主要包括：（1）保護(hù)對象，根據(jù)云計(jì)算信息系統(tǒng)的交付模式劃分保護(hù)對象，主要包括：業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、資源抽象、網(wǎng)絡(luò)、主機(jī)以及物理系統(tǒng)；（2）威脅與漏洞，對保護(hù)對象自身的弱點(diǎn)、計(jì)算機(jī)信息系統(tǒng)的安全威脅以及潛在威脅等因素進(jìn)行分析，以此確定云計(jì)算應(yīng)用安全防護(hù)的要求，根據(jù)不同等級信息系統(tǒng)的安全防護(hù)要求，確定相應(yīng)等級云計(jì)算應(yīng)用安全系統(tǒng)需要處理的安全威脅和漏洞；（3）防護(hù)措施，在選擇云計(jì)算應(yīng)用安全保護(hù)措施時(shí)，應(yīng)該要求云計(jì)算安全領(lǐng)域的“產(chǎn)學(xué)研”方面的專家共同參與，充分的利用各個(gè)領(lǐng)域?qū)＜业闹R和經(jīng)驗(yàn)，針對云計(jì)算應(yīng)用過程中存在的安全隱患采取相應(yīng)的防護(hù)措施進(jìn)行處理。

4.3.2 云計(jì)算應(yīng)用安全防護(hù)體系框架

云計(jì)算實(shí)質(zhì)上是一種信息系統(tǒng)，其安全理念和安全目標(biāo)與傳統(tǒng)信息系統(tǒng)類似，云計(jì)算信息系統(tǒng)采用了虛擬化技術(shù)，和傳統(tǒng)嗎信息系統(tǒng)在服務(wù)方式方面存在一定的差異，這就導(dǎo)致其存在特有的安全隱患，如云計(jì)算分組服務(wù)模式安全問題以及虛擬化安全問題等。為了保證云計(jì)算應(yīng)用安全，則應(yīng)該根據(jù)云計(jì)算信息系統(tǒng)的安全需求，為保護(hù)對象創(chuàng)建不同等級等級層次的保護(hù)框架。在云計(jì)算環(huán)境下，應(yīng)用安全不僅應(yīng)該局限于接入層和核心層，而是應(yīng)該延伸至物理主機(jī)內(nèi)部結(jié)構(gòu)。

4.3.3 云計(jì)算應(yīng)用安全保護(hù)指標(biāo)體系

云計(jì)算應(yīng)用安全保護(hù)指標(biāo)體系的構(gòu)件是一個(gè)復(fù)雜的過程中，應(yīng)該以云計(jì)算應(yīng)用安全保護(hù)框架體系為依據(jù)，由社會管理、云計(jì)算研究、分布式研究以及風(fēng)險(xiǎn)評估等領(lǐng)域的專家，對云計(jì)算應(yīng)用安全存在的風(fēng)險(xiǎn)和威脅進(jìn)行分析，總結(jié)影響云計(jì)算應(yīng)用安全的主要因素。通過創(chuàng)建用戶隱私保護(hù)機(jī)制、數(shù)據(jù)隔離機(jī)制、中間件安全保護(hù)機(jī)制、虛擬機(jī)遷移機(jī)制、虛擬機(jī)隔離機(jī)制等，最終利用層次分析方法創(chuàng)建符合云計(jì)算應(yīng)用安全特點(diǎn)的指標(biāo)體系，具體包括：數(shù)據(jù)安全和備份、應(yīng)用安全、軟件平臺安全、資源抽象安全、主機(jī)安全、網(wǎng)絡(luò)安全以及物力安全。

5 結(jié)束語

總而言之，云計(jì)算的使用越來越廣泛，并且前景非常廣闊。同時(shí)，云計(jì)算應(yīng)用過程中存在許多信息安全風(fēng)險(xiǎn)，如何消除云計(jì)算中的各種信息安全隱患已經(jīng)成為所有信息安全領(lǐng)域與IT領(lǐng)域研究者關(guān)注的重點(diǎn)。因此，文章從等級保護(hù)角度出發(fā)，探析了基于等級保護(hù)云計(jì)算中的應(yīng)用安全保護(hù)體系，希望能夠?yàn)楸ＷC云計(jì)算應(yīng)用安全和逐漸走向成熟貢獻(xiàn)一份力量。

參考文獻(xiàn)

［1］蔣誠智，張濤，余勇.基于等級保護(hù)的智能電網(wǎng)信息安全防護(hù)模型研究［J］.計(jì)算機(jī)與現(xiàn)代化，2012，（4）∶12-16.

［2］顧鑫，盧青.淺析云計(jì)算數(shù)據(jù)中心信息安全等級保護(hù)工作實(shí)踐［J］.警察技術(shù)，2014（S1）∶114-118.

［3］朱圣才，徐御，金銘彥，等.基于等級保護(hù)策略的云計(jì)算安全風(fēng)險(xiǎn)評估［J］.計(jì)算機(jī)安全，2013（5）∶39-42.

［4］朱圣才.基于云計(jì)算的信息安全風(fēng)險(xiǎn)分析與探索［J］.西安郵電大學(xué)學(xué)報(bào)，2013，18（4）∶89-94.

［5］劉波.云計(jì)算的安全風(fēng)險(xiǎn)評估及其應(yīng)對措施探討［J］.移動通信，2011，35（9）∶34-37.

［6］姜政偉，趙文瑞，劉宇，等.基于等級保護(hù)的云計(jì)算安全評估模型［J］.計(jì)算機(jī)科學(xué)，2013，40（8）∶151-155.

［7］陳雪秀，于晶，陳馳，等.基于等級保護(hù)的云計(jì)算安全防護(hù)體系研究［J］.中國數(shù)字醫(yī)學(xué)，2014，（11）∶44-47.

［8］沈昌祥.云計(jì)算安全與等級保護(hù)［J］.信息安全與通信保密，2012（1）∶16-17.

［9］周煥盛，江建慧.一個(gè)多維信息安全指標(biāo)體系及等級保護(hù)量化模型［J］.中國科學(xué)技術(shù)大學(xué)學(xué)報(bào)，2012，37（9）∶67-76.