基于云計算環境下的等級保護基本要求思考與改進

◆王和平 朱凱華

(內蒙古自治區人民檢察院 內蒙古 010000)

基于云計算環境下的等級保護基本要求思考與改進

◆王和平 朱凱華

(內蒙古自治區人民檢察院 內蒙古 010000)

云計算破壞了傳統安全邊界，對傳統安全防護是一種威脅，更對等級保護系列標準產生沖擊。本文通過對云計算環境下等級保護面臨的挑戰描述，引入虛擬化技術在主機安全、網絡安全、存儲安全及安全管理方面的安全防護措施，以增加虛擬化安全要求項，指導等級保護相關工作和云計算安全建設的開展，從而使等級保護更具適用性、完整性。

云計算；虛擬化；等級保護

0 引言

自2013年“棱鏡門”、RSA安全事件發生后，無論從政策層面，還是市場層面國家都加大了對網絡空間安全的規范、監管及控制，網絡空間安全建設已上升到國家戰略。

云計算作為網絡空間中的“新興技術”，其安全性直接影響到網絡空間的穩定。云計算中用到的虛擬化、云計算平臺管理、海量數據分布存儲及管理等技術已比較成熟，但與其相對應的安全防護手段匱乏（傳統安全手段居多），且在云安全管理、運營方面沒有探索出與之相匹配的管理模式，加之當前云安全沒有統一的標準規范，而云安全標準規范是安全技術、安全管理及安全運營的一切先決條件,所以目前云計算安全處于混亂狀態。

為保證云計算安全的標準性、合規性，現主要參照信息系統等級保護系列標準、ISO27000標準、CSA認證及相關行業安全標準等標準規范，其中等級保護是云計算安全基本參考物。

1 云計算對等級保護挑戰

1.1 等級保護體系

等級保護系列標準規范（包含定級、備案、建設及整改、測評、評估及管理等）是對傳統信息系統即邊界分明、自主管理、靜態可控特點系統進行全生命周期的安全防護，其適用于黨政、軍工、檢察及企業的傳統信息化系統，為其安全保駕護航，并為其新建、整改及升級提供標準規范參考。

1.2 對等級保護挑戰

基于等級保護標準適用系統特點，云計算固有特性（即資源池化、無邊界性、動態性、權限分離性等）造成云環境下的等級保護面臨新的挑戰：

1.2.1 虛擬化平臺安全

云計算中引入虛擬化技術，帶來以下等級保護基本要求內容缺失：

（1）虛擬化平臺自身安全

現在市場上流通的服務器虛擬化平臺分為開源、商用；開源相對漏洞較多，不適用于企業用途。而商用主流服務器虛擬化軟件Citrix、Hyper-V、VMware ESX等屬于國外產品，一是有違國產自主可控原則；二是可能有后門等漏洞。

（2）資源池安全

等級保護中的設備資源完全是物理設備，是獨立的、彼此隔離的，并且是自建或托管的，對設備具有可控性。而云計算通過虛擬化技術后，形成了資源池，云服務商具有對資源的可控性，并且資源共享物理設施。

資源池包括計算池、存儲池、網絡池。計算池中虛機與虛機/虛機與物理機之間隔離安全、遷移安全、通信安全；存儲池中邊界隔離、數據加密、數據可用等安全；網絡池中實體網絡設備/安全設備與虛擬網絡設備/安全設備之間的隔離、通信安全及傳統網絡架構與虛擬網絡架構之間的安全等。

這兩方面的安全可能帶來的安全風險是數據丟失、數據泄露、網絡流量劫持及共享技術漏洞等。

業界對等級保護標準是否適合云計算存在不同的觀點。其中，中國工程院沈昌祥院士指出“云計算屬于信息系統，具有信息系統的普遍特點和共性，就應該有信息系統的安全保護需求，就應該有等級保護去保護它”。

基于沈院士的觀點，如何在現有等級保護安全基線基礎之上完善等級保護，使之更好地適用于云計算安全是工作重點。

1.2.2 管理規范

云的介入，使系統的參與方增多，包括云客戶、云服務提供商、云集成商、云安全風險評估/測評機構、云審計機構、云中間商等，怎樣梳理之間的關系、制定相應的管理制度，明確職責成為等級保護中應該關注的問題。

1.3 云計算下等級保護基本要求需求改進

虛擬化技術的應用涉及到主機、網絡、存儲及管理等方面，對現有等級保護基本要求中的技術要求、管理要求需進行虛擬化要求項的增加。

1.3.1 虛擬化安全

為使等保要求符合云環境下的安全建設及測評工作，且為虛擬化構建安全措施，從虛擬化技術防護角度補充云計算等級保護基本要求內容是必要的。

（1）虛擬化平臺安全

虛擬化平臺自身安全性，直接關系到其上的虛擬主機系統安全、業務應用安全及底層物理設備安全。

購買原則：應參照政府采購原則，購買“國產自研、自主可控”的虛擬化平臺或安全二次開發平臺。

架構安全：Hypervisor/VMM 自身軟件層漏洞、硬件鏡像安全、存儲安全及虛擬平臺網絡與系統安全等，這就要求對虛擬化平臺實施實時的版本升級及補丁修復（版本應通過第三方安全測評機構認證）。

身份認證：對登錄虛擬平臺、云OS的管理員進行相應的身份鑒別，為其分配最小使用權限，確保越權、非授權訪問、云租戶賬號冒用（特別是企業租戶賬戶）等惡意行為的發生。

訪問權限分配：Hypervisor/VMM 層面權限是對整個虛擬化平臺的管理，應嚴格控制好Admin權限和普通管理員權限分配，防止未授權創建、重啟、刪除及關閉等更改虛擬操作系統配置的權限，防止管理員不當操作或惡意刪除等行為。

變更控制安全：云中采用虛擬化技術需對其進行必要的變更，而其特殊性使得 Admin管理員對虛擬資源的變更應嚴格參照變更控制流程，若分配不均則影響業務開展。其次，在變更之前應做好風險評估及相應的日志記錄，便于失敗后的回退。

（2）虛擬主機安全

多虛擬主機共享底層物理硬件，虛機之間的隔離和防護容易受到攻擊、跨虛機的非授權數據訪問風險突出，一旦某個虛機自身被攻破，那么所有虛機都將受到威脅，所以應對虛機系統安全進行防護。

身份認證：各虛機根據業務應用場景的不同，設置不同的身份驗證方式（雙因子認證、生物識別認證及復雜密碼等），確保安全接入、非授權訪問。

限制訪問系統資源：虛擬化平臺可針對不同的虛機制定不同的訪問權限，虛機的每個訪問請求都需經過資源控制策略的檢測，每個虛機只能訪問分配給它的資源，且禁止虛機直接訪問實體主機的物理硬件。

代碼庫及補丁更新：應確保虛機從休眠轉為活動或從備份恢復出來時，虛機的病毒庫、惡意代碼庫及虛機補丁保持最新。

虛機漏洞掃描：針對不同虛機進行漏洞掃描，最新漏洞跟蹤，漏洞補丁管理等防護。

安全配置：包括限制虛機對外開放端口、虛機外設控制管理等。其中限制虛機對外開放端口應根據虛機實際部署的系統開放必要的服務端口及開發端口，其他不必要的一律關閉，縮小攻擊范圍；虛機外設控制管理通過虛擬化平臺控制各虛機外設接入設備管理（如USB）。

日志管理：虛擬化平臺通過收集虛機日志信息，并對日志信息分析，得出虛機的異常行為。

虛機鏡像文件加密：強化對物理磁盤上存儲大量的、各種狀態的虛機鏡像文件保護，通過虛機鏡像加密技術對鏡像文件加密，從而不被惡意病毒修改，且鏡像加密對虛機本身是透明的。

資源控制：為每臺虛機分配有限的、特定的資源（CPU、內存），以防止針對虛機的DDoS攻擊，并保證虛機使用的內存和存儲空間回收時完全清除。

（3）虛擬網絡安全

網絡虛擬化是在傳統網絡虛擬化（VLan、VPN）基礎上，對核心/接入網絡設備和安全設備接口、物理網卡的虛擬，其主要虛擬方式為“橫向擴展”、“縱向擴展”，安全防護主要表現為以下四點：

網絡架構：應明確劃分物理網絡與虛擬網絡，并提供相關文檔說明，并符合實際的數據傳輸安全策略。

訪問控制：虛機與虛機之間、虛機與外網之間通過采用虛擬防火墻與物理防火墻相結合方式設置訪問控制策略，確保每層網絡流量都被監聽到并且訪問是安全的。

邊界完整性檢查：增加對同一物理主機上虛機之間通信的入侵檢測，防止攻擊者入侵一臺虛機后，以此為跳板，入侵同一物理主機上的其他虛機。

網絡監管：對整個物理網絡和虛擬網絡的運行情況進行監控和管理，包括網絡中的帶寬使用、網絡設備的運行狀況及流量數據。

虛擬網口安全：虛機應明確定義虛擬網口（網口個數、IP地址）、虛擬MAC地址，防止虛機修改MAC地址，監聽及偽造包對其他虛機進行攻擊。

虛擬化接口管理：通過集中管理平臺對網絡設備（核心交換機/路由器、接入交換機等）各虛擬化接口進行統一分配、調度及管理。

安全策略遷移：借助集中管理平臺，實現安全策略隨虛機遷移，保證虛機在遷移情況下繼續受到安全策略的防護。

（4）分布式存儲安全

分布式存儲技術將海量異構數據分布的存儲到不同物理設備上，這種模式不僅擺脫了硬件設備的限制，同時擴展性更好，并與虛擬化計算在存取速度、存取可用性方面相匹配。其存放了不同安全等級的數據（虛機鏡像文件、物理文件等），為保證各等級數據安全采取以下措施：

數據隔離：為保證數據完整性，采用技術措施將虛擬鏡像文件、物理文件等進行邏輯隔離，并訪問控制。確保授權合法訪問，非授權阻隔訪問。

數據保密性：包括數據傳輸加密、存儲加密。對于傳輸加密，在IP SAN網絡中可采用IP Sec加密、SSL加密保證數據的保密性，采用IP Sec摘要和防回復功能可保證數據完整性;對于存儲加密，可分為三種情況：第一、主機加密；第二、專用加密設備；第三、存儲設備加密。

數據可用性：應對虛擬鏡像文件、物理文件進行備份（全備份、增量備份）。對于特別重要的數據，如 Hypervisor/VMM 的數據（訪問策略、安全配置等）需作為關鍵數據進行備份，并實現異地備份。

1.3.2 管理規范

建議參照GB/T31167-2014《信息安全技術 云計算服務安全標準指南》、GB/T31168-2014《信息安全技術 云計算服務安全能力要求》等云計算國家標準，完善管理制度規范。

（1）管理制度

制定云租戶申請、變更、撤銷等云服務的規章流程；

制定云服務商的參與、退出機制；

制定云租戶、云服務提供商、云中間商等各方的安全責任、職責；

制定虛機的創建、使用、回收及注銷等操作的流程與規定；

對云租戶、資源（虛擬資源、物理資源）進行分級、分類，對不同級別的云租戶分配不同類型的資源。

（2）管理機構

應組建云計算安全組，設置虛擬化安全員、審計員，明確職責分工，且不同職位不能由同一人擔任，關鍵行業/大中型企業應設置CISO職位；

云服務相關的授權與審批；

加強云安全技術的溝通和交流。

（3）人員安全管理建立專門的云安全員的錄用、調動、離崗等安全管理流程；對云安全員進行定期考核、教育及培訓（ISO27001、CISP及CISSP等）。

2 總結

在沒有權威的云安全標準規范發布之前，等級保護系列標準是云計算安全基本參照的，但等級保護是針對傳統信息系統的，直接將其套用是不合適宜的。本文從虛擬化安全、管理規范兩方面補充了《等級保護基本要求》內容的缺失，為等級保護適用于云計算安全做工作鋪墊。

隨著云計算的普及，需進一步對云環境下的等級保護開展研究工作，相應地對等級保護系列標準規范進行動態調整、改進。

[1]沈昌祥.云計算安全與等級保護.信息安全與通信保密，2012.

[2]王希忠，王建立，黃俊強.云計算環境下等級保護測評.信息技術，2015.

[3]朱圣才.基于等級保護基本要求的云計算安全研究.綜述與評論，2013.

[4]黃銳.云計算環境與等級保護探討.信息安全與通信保密，2015.

[5]張京海，張保穩，楊冰等.云計算信息系統等級保護框架研究.信息安全與通信保密，2013.