云計算環境下信息安全等級保護測評研究

吳齊躍，王永琦

（1.北京科技大學東凌經濟管理學院，北京100083；2.教育信息安全等級保護測評中心，北京100816）

云計算環境下信息安全等級保護測評研究

吳齊躍1，2，王永琦2

（1.北京科技大學東凌經濟管理學院，北京100083；2.教育信息安全等級保護測評中心，北京100816）

安全問題是制約云計算發展的重要因素，如何判斷云服務安全性是否可以達到安全要求，需要在現有的等級保護體系下進一步豐富完善涉及云計算相關的內容，為等級測評提供必要的依據。文章在教育等級保護測評中心實際測評工作實踐基礎上對信息安全在云計算環境下面臨的新挑戰與問題進行了分析，提出信息安全等級保護建設在云計算環境下的若干建議，并就如何對云計算環境進行等級測評提出參考辦法，給出了云計算環境下信息安全等級保護的思考，闡述了云計算相關安全標準和配套法規目前不夠完善，亟需補充加強。

云計算；等級保護；等級測評

引言

云計算（cloudcomputing）發展如火如荼，在各個行業都得到了廣泛應用，政府部門以及產業界和學術界對此非常關注。云計算的本質就是將大量計算資源統一整合，這個資源遠離終端用戶，通過網絡高速鏈接提供給用戶進而云化，這里的計算資源也包括了存儲資源以及軟件資源。云計算服務商藉此對外提供便捷的IT服務。云計算可以說是繼互聯網經濟繁榮以來IT產業的又一個重要增長點，其主要特點是成本低、通用型、可擴展性強、服務靈活。云計算極大提高了IT資源的使用效率，但也必須充分認識到這一新技術的發展給用戶的信息資產安全及隱私保護等帶來了巨大威脅和考驗。安全問題是云計算服務使用過程中用戶最為關注的關鍵性問題。伴隨隨著云計算應用的不斷推廣與普及，云計算安全與否已成為用戶選擇云計算服務商的重要因素之一。從國家層面到許多信息安全企業以及學術研究團體、國家標準化組織對云計算安全課題已經開始進行研究，同時國內外云服務商聯合傳統安全廠商也在研究開發基于云計算的信息安全產品并有一些應用。本文擬通過對當前云計算所面臨的安全問題以及云計算環境下等級保護工作開展中遇到的問題進行分析與總結，探索云計算安全等級保護建設和測評的方法，希望可以為各測評機構和用戶在云計算安全與信息系統安全等級保護工作實踐做出有益的探索。

一、云計算概述

根據NIST對云計算的定義：云計算是一種基于互聯網實現的可以隨時隨地、按需、便捷地訪問共享資源池（如計算設施、存儲設備、應用程序等）的計算模式［1］。

云計算融合與發展了互聯網技術、分布式計算、大規模資源管理等技術，云計算的應用研究是一個復雜的系統工程，其知識領域覆蓋了信息安全、虛擬化資源管理、云數據中心管理、大規模數據處理等重要問題。云計算最主要的特征，就是提供按需服務的彈性資源，其主要特點有：運用虛擬化技術、低成本、高可用、高可靠、橫向擴展能力強、按需服務、不受規模限制等特點。

云計算服務可以分為三個層次：基礎設施即服務（IaaS，infrastructureasaservice）、平臺即服務（PaaS，platformasaservice）、軟件即服務 （SaaS，softwareasa service）［2］。其中：

（1）IaaS基礎設施服務：封裝云數據中心的基礎設施，為用戶提同服務，提供給用戶不同的操作系統，數據庫軟件等來部署不同的業務，自主完成應用系統的搭建，典型的如Amazon的EC2、S3、VPC等分別為用戶提供計算、存儲和虛擬網絡服務；

（2）PaaS平臺服務：通過整合各種應用程序所需的運行環境對外提供服務，用戶只需安裝自己的軟件即可，典型的有微軟的AZURE；

（3）SaaS軟件服務，是云服務商將應用軟件以服務的方式封裝提供給用戶，用戶可以不要安裝部署任何軟件，直接使用云端提供的服務（預裝軟件）即可，微軟的OfficeLive就是這樣的一種服務。

云計算服務的參考體系架構［3］可以用圖1表示。云計算服務管理的重點是對云計算核心服務（IaaS、PaaS、SaaS）進行管理，保證這些服務的安全性、可用性、可靠性等是有保障的。服務管理的內容主要包括云計算的安全管理、云計算服務質量保證、云計算服務計費管理、資源監控等。云計算服務管理的的核心是云平臺本身的運行管理和服務質量管理。

圖1　云計算服務參考體系結構

云計算部署可以分為公有云、私有云、混合云和社區云四種［4］。其中公有云，是由云服務商負責搭建并以服務的方式提供給用戶共享使用的云環境；而私有云一半是由企業自己出資獨立構建并只為用戶自己使用的私有云環境；混合云是對前兩種云部署模式的折衷，用戶一方面部署了自己的私有云，此外由購買使用第三方的公有云服務，通過一定技術手段實現了公有云和私有云之間的數據和應用交互；所謂社區云則是指那些有著共同利益的企業和用戶自己出資的共享基礎設施的云環境，本質是一種私有云，只是不是由一個用戶獨立投資建設使用。

二、云計算所帶來的安全挑戰

隨著信息系統和用戶數據向云端的轉移，云計算數據中心勢必成為網絡信息安全攻擊的核心目標。云計算環境下數據中心內系統的規模都比較巨大，云管理平臺系統本身就非常的復雜、對多租戶的管理及權限的劃分也是一大管理難點，基于以上因素給云計算的安全性帶來了非常嚴峻的考驗：①云環境下提供的各種云計算服務都沒有獨立的主機、網絡、存儲等基礎設施，各用戶的服務之間沒有明確安全邊界，用戶的數據安全和隱私保護需要較傳統數據中心更加高強度的保護；②云服務的環節較多，涉及不同的云數據中心，云平臺的管理、不同云計算資源的管理、帶來了較大程度上的管理復雜性，在安全防護的統一規劃部署上有一定的局限、而且有的云服務商需要用戶自己進行安全防護；③云計算服務匯聚了多用戶的數據與計算，在存儲與讀取上，安全策略的制定上，要求能夠滿足的規模并發信息處理的需求［5］。

云計算模式所帶來的的核心安全問題是用戶對自身數據失去了完全控制權，而對元計算環境基本不可控。一般而言，云計算的安全保障是由云計算服務提供商來提供的，但也不完全是，云計算的安全問題主要集中在云數據中心的安全，云管理平的安全、數據的安全，虛擬化應用部署的安全，服務器的安全，云計算本身的安全，瘦客戶端的安全，云服務的法律保障等方面。怎么來解決云計算安全，需要重點分析與解決以下問題：

1.云計算數據存儲的安全

對私有云和社區云而言，數據存儲可以認為還是在用戶可控的存儲服務器內，但對于業選擇使用公有云環境的用戶而言，云計算服務商實際掌控了用戶的數據物理存儲，用戶很難限制其數據訪問權［6］。云計算服務商應保證：用戶的數據被正確合理地存儲、傳遞及使用，證明該用戶的數據沒有被盜用或者泄漏、確保用戶的相關行為數據沒有被記錄并分析、非業務數據已被徹底清楚，最終要的是該用戶數據被正確存儲在中國境內等等；

2.虛擬化應用安全問題

在云計算環境中，計算、存儲、網絡等都是宿主機虛擬出來的，很多云計算用戶共享基礎資源，存在不同虛擬資源運行于相同的物理資源上的可能。虛擬化層面的安全漏洞，極有可能導致虛擬機逃逸和用戶數據的泄露。

3.云計算的服務安全問題

在公有云計算環境下，根據用戶選擇不同的云服務，用戶和云計算服務商的安全邊界比較模糊。不同的云服務可能涉及到多個云計算服務提供商，當用戶同時選擇了多個云服時，而云服務又是由不同的云計算服務商來提供，那么這些服務的銜接之間可能存在著多層轉包問題會將云服務管理的復雜性進一步放大，從而使得云計算服務的安全風險變得更大。

4.云計算軟件平臺的安全問題

云計算軟件平臺因為設計或配置不當，可能導致在云計算資源調度、用戶訪問控制隔離等方面存在安全問題，存在云計算環境下的非授權用戶訪問不當資源、進一步造成數據泄露等安全風險。

5.云管理平臺的安全問題

云管理平臺對云計算環境進行統一監控和運維管理，對云管理平臺的操作或配置不當將導致云計算服務水平下降。

6.網絡邊界問題

虛擬網絡和SDN的出現打破了傳統網絡的邊界，虛擬網絡的訪問控制和惡意代碼檢查變得更加復雜。

三、信息系統安全等級保護概述

信息安全等級保護制度是國家實施網絡與信息安全工作的抓手，信息安全等級保護制度是一系列的管理規范和標準體系的總和，主要包括了30多個國家標準，其中基礎核心標準主要有：

（1）《計算機信息系統安全等級保護劃分準則》（GT/T 17859-1999）；

（2）《信息系統安全管理要求》（GB/T20269-2006）；

（3）《信息系統安全等級保護基本要求》（22239-2008）；

（4）《信息系統安全等級保護定級指南》（GB/T22240-2008）等。

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理、對信息系統中發生的信息安全事件分等級響應、處置［7］。

圖2　等級保護有關標準及關系圖

如圖2所示，我國的信息安全等級等保護標準體系的組成包含了等級保護工作過程中所需的各標準共同組成。這些標準按照基本分類的視角可以劃分為三大類：基礎類標準、管理類標準和產品類標準；根據標準制定對象視角可以分為基礎標準、系統標準、產品標準、安全服務標準和安全時間標準五大類；而根據等級保護的生命周期則可以分為通用/基礎標準、系統定級應用標準、安全建設用標準、等級測評用標準、運行維護用標準等［8］。

我國的信息系統安全等級保護主要工作主要有：定級備案、建設整改、等級測評和監督檢查。其中《計算機信息系統安全保護等級劃分準則》（GB17859-1999）是基礎性標準、其他標準在GB17859-1999的基礎上做了進一步的擴展。《信息系統安全等級保護實施指南》（GB/ T25058-2010）指導等級保護工作如何開展；《信息系統安全保護等級定級指南》（GB/T22240-2008）指導系統定級；《信息系統安全等級保護基本要求》（GB/T22239-2008）是建設整改和測評的依據；在等級測評環節主要參考 《信息系統安全等級保護測評要求》（GB/T28448-2012）和《信息系統安全等級保護測評過程指南》（GB/T 28449-2012）。

《信息安全等級保護管理辦法》（公通字［2007］43號）明確要求：信息系統運營、使用單位依據［2007］43號文和相關技術標準對信息系統進行保護，國家有關信息安全職能部門對其信息安全等級保護工作進行監督管理。《信息系統安全等級保護測評要求》明確提出應定期開展等級測評工作，其中三級系統的測評頻率是年度至少一次，四級系統至少半年一次，五級系統的測評要求不低于四級，依據特殊安全需求進行等級測評——實踐中還沒有系統為五級，暫是沒有可參考的數據。

四、云計算環境下的等級測評

和傳統的信息系統安全等級測評不同，云計算環境可以被視為是一類特殊的信息系統，等級保護雖然對于云計算而言有一定的局限性，但依然可以參考適用于云計算環境。

在選擇不同的云計算環境前，用戶和企事業單位應對重要的信息系統（主要指三級及以上系統）進行研究，從系統安全性、運營成本等方面綜合考慮，考察是否符合等級保護建設的要求，建議重要信息系統（三級及以上系統）應當以私有云建設為主［9］。

云計算環境下的測評，主要針對云基礎設施如云計算數據中心、云管理軟件如云平臺、其他云應用服務如操作系統、虛擬機、存儲、應用軟件、身份認證識別與管理等，其中云計算數據中心是基礎，云平臺是管理核心。和傳統的數據中心相比較而言，云計算數據中心的規模經濟效應更為明顯、可擴展性更強、具有更強的自治性［10］。超大規模的的云計算數據中心有數萬個計算節點，而且其規模一直在呈上升趨勢。大規模云計算中心的網絡結構非常復雜，網絡虛擬化和主機虛擬化技術被廣泛深入應用在云計算中，為硬件資源池化提供了技術基礎，使得為用戶提供按需服務得以實現，充分利用硬件的性能而沒有浪費。

唐國純在文獻［11］中提出了云安全框架，如圖3所示。該架構指出云計算安全問題不僅是云服務提供商的責任，用戶也要為自身安全承擔責任。云服務提供商承擔數據安全、信息加密安全、身份識別、業務連續性等云服務公共安全問題，其中云計算數據中心的基礎設施安全、運維安全管理、云平臺的安全管理是根本，而云用戶主則要對自身使用的終端、身份及密碼負責，保證與云端鏈接的是用戶自己。

圖3　云安全框架

等級保護測評需要根據信息系統安全保護對象，按照其對應的安全功能要求項進行檢測，通過表1對云計算環境下的保護對象與傳統環境下的保護對象進行了簡單的對比。

針對云計算環境下保護對象特點，總結教育信息安全等級保護測評中心的項目實施經驗以及與公安部三所及不同云服務商的交流結果，根據云環境中所特有的安全風險，等級保護測評在傳統環境下測評之外應重點檢查以下內容：

（1）云計算環境中的網絡虛擬化結構是否合理，邊界是否清晰，訪問控制策略是否合理，虛擬化網絡設備配置是否恰當；

（2）云計算環境中云平臺的管理是否得到恰當的授權，資源的訪問和申請是否得到有效控制，關鍵業務系統是否采取了加固的操作系統；

（3）云計算環境中對數據傳輸是否有完整性、保密性和抗抵賴性保障安全措施；

（4）云計算環境中的虛擬機之間是否隔離，是否存在隱蔽信道；

（5）云計算服務商是否對訪問用戶數據做了限制，是否記錄了用戶隱私；

（6）云計算環境中的用戶數據是否按照指定加密算法進行了加密；

（7）云計算環境中的用戶數據及管理數據是否有合理的備份策略并能及時恢復；

（8）云環境中的數據是否采用了數據審計的策略，包括云服務方和用戶方各自的審計，以保證數據的可溯源性；

（9）云計算中心是否采用剩余信息保護機制以防止用戶數據泄露。

（10）云計算服務內容的審查和服務水平的約定，以及云服務提供商與用戶的責任與權限的界定；

（11）云計算環境中虛擬機鏡像是否不定期進行安全加固、涉及敏感信息的快照應當加密以防止非法訪問；

（12）云計算的軟件平臺應該進行訪問控制和身份鑒別，并能進行安全審計，應檢查其通信接口是否統一并進行了加密。

表1　云計算環境與傳統信息系統保護對象比較

五、云計算環境下等級保護工作的思考

我們國家的信息系統安全等級保護體系經過20多年的發展已經基本建立并逐步完善，各行業也陸續推出了自己的行業標準，但基本仍然是在國標的基礎上針對本行業的信息系統特點進行的特殊歸納總結，面對大數據和云計算的應用模式仍然存在這一定的局限性。國標GB/T22239-2008主要從物理、網絡、主機、數據保護、應用安全等方面對信息系統安全等級保護提出了明確的要求，其立足點主要是針對信息系統，鑒于標準本身的滯后性，其面對當前廣泛應用的云計算，不是非常的適用，對于云計算的服務模式、云計算應用構架、云計算的安全模型等方面亟須補充一個統一規范和標準。從目前云計算服務的發展來看，不同的云計算服務商服務平臺的建設存在較大差異，用戶和云計算服務商都對云計算環境的安全保障存在著不同的理解。考慮到國內外復雜的信息安全形勢，出臺配套的云計算安全保障相關的規范和標準用以指導云計算環境下的信息系統安全建設變得尤為迫切，對云計算的安全風險進行分析，在此基礎上建立一個安全框架，提供云計算安全服務體系與云計算安全標準及其測評規范，并積極開展其中各個云安全的關鍵技術研究，為實現云計算環境下的安全目標提供技術支撐，為云計算服務平臺和云計算安全體系的同步規劃建設提供依據，指導用戶在國內云計算環境下的信息系統安全建設，減少云計算環境下的信息安全風險，實現對云計算環境有效管理和控制。

從當前教育等級保護中心開展的測評實踐來看，依照現有的基本要求和測評指南，對大的云計算中心進行測評比較困難，我們認為要從根本上解決云計算安全問題，可以首先考慮從國家層面上補充建立云計算安全標準和云計算安全服務等級測評辦法和實施指南。通過云計算安全標準規范云計算服務商為云計算用戶提供一個可以度量的云用戶安全目標，同時為等級保護測評機構檢驗云服務商安全服務能力提供依據，通過云計算安全服務等級測評版和試試指南指導信息系統安全等級測評機構為云計算安全服務提供商的云計算中心和提供的云服務進行測評，以滿足我國信息安全等級保護法規的相關要求。

結束語

云計算安全既包含技術問題和管理管理問題，更是相關技術標準和服務監管模式等問題的綜合，更離不開國家在大數據及隱私保護方面的法律法規的進一步完善。要解決云計算環境下的安全問題，單從信息安全技術本身出發是遠遠不夠的，云計算安全是IT廠商、云計算服務商、信息安全領域的廠商和學者以及政府信息安全主管部門的共同責任，需要大家的共同努力才有可能實現。

等級保護制度是國家信息安全的基本制度，堅定不移地推動等級保護工作，豐富和完善等級保護相關標準制度，通過測評機構在信息安全等級測評及時發現當前云計算環境下暴露出來的信息安全問題，指導云計算服務商和用戶及時整改，是推動和加速云計算應用健康發展的基石。本文從信息安全等級保護機構從業者的角度出發，把我們遇到的一些問題進行分析，為等級保護從業人員及云計算終端用戶提供一些思考，為在云計算環境下的國家信息安全等級保護標準系統的補充制定和推廣提供參考。

［1］MELLP，GRANCET.TheNISTDefinitionof CloudComputing［R］.NationalInstituteofStandardsand Technology，2011.

［2］黃河，劉旭東，孫海龍.云計算環境下服務中間件動態管理框架的設計與實現［J］.計算機工程與科學，2013，35 （1）：30-35.

［3］羅軍舟等.云計算：體系架構與關鍵技術［J］.通信學報，2011（7）.

［4］王宗江，鄭秋生，曹健.混合云中的一個高效協調器［J］.計算機科學，2015，42（1）：92-95.

［5］馮登國等.云計算安全研究［J］.軟件學報，2011（1）.

［6］趙雅琴.以用戶為中心的云計算服務存在的問題［J］.信息系統工程，2012（3）：152-153.

［7］劉靜，王鵬.基于等級保護的檢察系統信息安全保障體系建設［C］.全國計算機安全學術交流會論文集（第二十二卷），2007：29-31.

［8］趙林，郭啟全，任衛紅等.信息安全等級保護系列標準應用案例［J］.中國信息安全，2012（4）：73-77.

［9］孫鐵.云環境下開展等級保護工作的思考［J］.信息網絡安全，2011（6）：11-13.

［10］GreenbergA，HamiltonJ，MaltzDA，etal.The CostofaCloud：ResearchProblemsinDataCenterNetworks ［J］.AcmSigcommComputerCommunicationReview，2009，39（1）：68-73.

［11］唐國純.云安全的體系結構及關鍵技術研究［J］.信息技術，2015（7）.

［12］黃海.關于云計算的數據安全關鍵技術研析［J］.科技創新與應用，2015（25）.

［13］王靜宇.面向云計算環境的訪問控制關鍵技術研究［D］.北京科技大學，2015.

［14］陳敏剛，胡蕓，蔡立志.云計算環境下數據安全的等級保護研究［C］.第二屆全國信息安全等級保護技術大會會議論文集，2013.

（編輯：王曉明）

TP319

B

1673-8454（2016）11-0013-05