企業(yè)云存儲服務信息安全策略應用研究

◆余海發(fā) 郭龍華

?

企業(yè)云存儲服務信息安全策略應用研究

◆余海發(fā) 郭龍華

（上海交通大學電院網(wǎng)絡空間安全學院 上海 200240）

本文通過對企業(yè)使用云存儲服務的基本現(xiàn)狀與相關風險管理問題的研究，從實踐應用角度提出了一種基于云存儲服務應用場景的安全需求分析方法和一種從應用場景、安全需求、風險分析三個維度來確定風險控制措施的方法，用于幫助企業(yè)制定云存儲服務信息安全策略。

云存儲服務；信息安全風險管理；信息安全管理體系；信息安全策略

0 引言

近幾年企業(yè)云存儲服務市場在快速增長。根據(jù)文獻[1]中TechTarget的調(diào)查顯示，大部分受參與調(diào)查的企業(yè)存儲首席技術官們普遍認為：在新的開發(fā)和管理技術的幫助下，在2017年企業(yè)對云存儲的使用將會飆升。在此背景下，云存儲服務給企業(yè)帶來的信息安全風險不容忽視。根據(jù)本文的研究，從信息安全策略的角度來開展風險管理工作，即通過制定針對性的信息安全策略來應對云存儲帶來的風險，這不失為一種有效而可行的方法。

1 企業(yè)云存儲服務風險管理現(xiàn)狀

根據(jù)文獻[2]和文獻[3]，云存儲是在云計算概念上延伸和發(fā)展出來的一個新的概念。云存儲系統(tǒng)可以視為一個以數(shù)據(jù)存儲和管理為核心的云計算系統(tǒng)。云存儲服務是基于云存儲系統(tǒng)所提供的各種服務。云存儲的技術架構和業(yè)務模式相對傳統(tǒng)存儲技術發(fā)生了根本性的變化，給企業(yè)帶來了數(shù)據(jù)隱私和數(shù)據(jù)保護問題、合規(guī)性和法律約束問題、應對各種新型攻擊的問題、風險可視化和管理問題等各種新的安全問題。

企業(yè)對云存儲服務的利用形式多樣，有的企業(yè)把云存儲服務作為一種基礎存儲設施來使用，或者是作為一種數(shù)據(jù)備份及災備服務，還有的企業(yè)將云存儲用于企業(yè)網(wǎng)上協(xié)同辦公，如在文件共享、在線文檔編輯、協(xié)作辦公，還有許多企業(yè)利用云存儲服務時行二次開發(fā)，為自己或客戶提供多種服務。多種形式的云存儲服務出現(xiàn)在企業(yè)IT環(huán)境中，在提供了許多的新特性和能力的同時，云存儲也如其它的云服務一樣面臨著多種威脅和風險。云存儲服務有著不同于傳統(tǒng)存儲的風險特性，靈活而復雜的云存儲架構和業(yè)務模式會帶來各種技術風險和管理風險，云存儲服務從基礎設施到上層業(yè)務以及應用接口都可能受到攻擊，此外，云存儲服務風險還包括關于隱私保護、數(shù)據(jù)安全、網(wǎng)絡安全、法律合規(guī)等多方面的風險。

企業(yè)對于信息安全的要求更高，許多企業(yè)在使用云存儲服務方面比較謹慎。以上這些問題如果不能得到妥善地處理，企業(yè)就難以放心地使用云存儲服務。

2 制定針對性信息安全策略的意義

在一個平衡的動態(tài)體系中，新的事物的進入通常會打破原有的平衡，系統(tǒng)需要相應地進行調(diào)整以重新達到新的平衡。同理，引入云存儲服務也給企業(yè)帶來新的信息安全風險，打破了原有的動態(tài)風險平衡。

為了緩解云存儲服務帶來的風險，企業(yè)需要在建設信息安全管理體系之初就考慮云存儲服務的信息安全，或是對已有體系進行補充和改進。企業(yè)的信息安全管理體系通常都會借鑒一些基礎的信息安全管理模型，比如： P2DR模型（Policy、Protection、Detection、Response）、P2DR2模型（Policy、Protection，Detection、Response、Restore）等。在這些參考模型中，信息安全策略通常是位于核心位置。以P2DR模型為例，根據(jù)文獻[4]和文獻[5]中對P2DR模型的描述，如圖1所示，信息安全策略作為P2DR模型的核心，它定義了企業(yè)的安全目標，從宏觀管理層面說明企業(yè)安全管理的基本方法和原則，是所有信息安全實踐活動的方針和指南。企業(yè)建立并發(fā)布了信息安全策略之后，才能開始進一步構建信息安全程序。

信息安全策略沒有覆蓋的地方是非常危險的。如果云存儲服務這部分所產(chǎn)生的風險不為企業(yè)所知，就不會有針對的防范措施，更談不上風險可控。根據(jù)“木桶原理”，一個云存儲風險管理上的短板影響到整個企業(yè)的整體風險。云存儲涉及更多的數(shù)據(jù)安全方面的內(nèi)容，其面臨的風險有著其獨特性，在對云存儲的信任、契約、法規(guī)、第三方監(jiān)管、內(nèi)部管理等多方面都有針對性的考慮。云存儲服務的風險需要進行針對性的重點管理，并且將其及時納入到企業(yè)的整體風險管理體系之中。因此，制定云存儲服務信息安全策略就成為企業(yè)引入云存儲服務的首要工作。

3 制定云存儲服務信息安全策略的具體工作

信息安全策略是一組規(guī)則，定義了企業(yè)的安全目標和實現(xiàn)途徑。制定云存儲信息安全策略必須符合企業(yè)的整體安全目標，也要符合企業(yè)使用云存儲服務的實際需求情況。我們參考文獻[6]的觀點，從企業(yè)的安全需求角度來制定云存儲服務安全策略。

3.1 安全需求分析

編寫針對云存儲服務的安全策略之前必須要先了解企業(yè)對云存儲服務的基本安全需求。在這一步中，既要考慮企業(yè)整體的安全需求，又要考慮云存儲服務特有的安全需求。在需求分析的最初階段，安全需求可以是基本的、整體的要求。隨著需求工作的深入，安全需求會變得越來越詳細和周全。為了弄清企業(yè)對云存儲服務的基本安全需求，企業(yè)先要確定云存儲的應用范圍，然后在這個范圍內(nèi)討論安全需求。建議企業(yè)可以參考以下方式分二步進行需求分析：

（1）發(fā)掘云存儲服務應用場景

企業(yè)可以把對云存儲服務的安全需求分不同的應用場景進行需求分析，從“應用形式”、“服務類型”、“服務對象”、“角色”等四個維度來定義應用場景。

表1 應用場景

表1中每個維度的內(nèi)容可以由企業(yè)自行定義，把這四個維度進行組合就可以構成許多的應用場景。但并不是所有組合出的應用場景都適用于企業(yè)，企業(yè)應從自身的實際情況出發(fā)來確定云存儲服務的應用場景。比如：企業(yè)使用企業(yè)IT（角色）運維的私有云存儲（服務類型）進行某業(yè)務數(shù)據(jù)的備份（應用形式），僅為內(nèi)部員工（服務對象）服務。這4個維度組合就構成了一個具體的企業(yè)云存儲應用場景。這個場景可用于后續(xù)的安全需求定義工作。

（2）根據(jù)不同應用場景來定義安全需求

安全需求首先要說明哪些業(yè)務場景是否允許使用云存儲服務。其次，對于可以使用云存儲服務的具體應用場景還考慮要有哪些安全目標。在確定具體安全需求時，通常會有很多的考慮因素。對于欠缺實踐經(jīng)驗的企業(yè)，可以借鑒行業(yè)內(nèi)的相關成功的實踐經(jīng)驗。這里根據(jù)文獻[7]總結了一個安全需求檢查表可作為實踐參考，它適用于企業(yè)IT的自建私有云存儲以及云存儲供應商提供的云存儲。對于在第一步中定義的每一個應用場景，可以從表2中的14個與云存儲安全相關的方面來考慮安全目標和需求。

表2 云存儲服務安全需求檢查表

3.2 選擇適當?shù)牟呗孕问?/p>

云存儲相關的安全策略可以單獨寫成一個或多個策略文件，也可以集成到其它的策略文件中。策略文檔要說明策略的目的、適用范圍、具體策略規(guī)定、策略合規(guī)要求等。圖2是一個策略的文檔結構示例。

其中最關鍵的部分是“策略規(guī)定”。這部分代表了企業(yè)經(jīng)過思考后對風險的具體態(tài)度。“策略規(guī)定”不要求細化到具體的安全控制流程和工具，這些可以放到后繼的標準和流程文檔中進行說明。“策略規(guī)定”中的“具體規(guī)定”部分要能覆蓋各種類型的云存儲服務及應用場景，并簡單的說明對云存儲服務的控制原則和要求。

3.3 策略開發(fā)方法

開展策略開發(fā)工作需要獲得企業(yè)高層的支持，需要與關鍵人員進行訪談，進行業(yè)務影響分析（Business Impact Analysis, BIA）等。根據(jù)云存儲的復雜應用情況，我們建議企業(yè)可以采取一種基于應用場景、安全需求、風險分析三個維度確定風險控制措施的方法來定義“策略規(guī)定”。即首先選取云存儲的應用場景、通過應用場景與企業(yè)的安全需求相關聯(lián)，然后進行風險分析，根據(jù)風險程度來確定風險控制措施，開發(fā)策略時還可參考一些相關的信息安全標準，比如：文獻[8]《ISO 27001:2013》中關于“控制措施”描述部分。

舉例來說，假設一個云存儲應用場景是員工使用公有云存儲給客戶分享數(shù)據(jù)。公司管理層對安全的關注點是保護公司機密數(shù)據(jù)。則針對此場景的策略規(guī)定就可以這樣來具體定義：“當員工使用未經(jīng)公司批準的公有云存儲服務時僅可分享公開級別的公司數(shù)據(jù)；當員工使用公司IT批準的公有云存儲服務時，則可以存儲公開或普通機密級別的公司數(shù)據(jù)，但嚴禁存儲高度機密數(shù)據(jù)；當員工使用公司的私有云存儲時，則可以存儲各個級別的公司數(shù)據(jù)。”

3.4 策略要點解析

不論云存儲服務安全策略的形式如何，企業(yè)的制定策略內(nèi)容時有幾個重要的關注點不可忽視：

（1）全面說明基本安全要求

企業(yè)有權根據(jù)自身實際情況來說明對各方面的信息安全需求，而且越全面、越明確的安全需求越有利于對后續(xù)工作的指導。有了基本安全要求，各部門在碰到云存儲服務相關的安全問題時，就可以找到依據(jù)并做出自己的合理判斷，而這個判斷的結果也會是企業(yè)希望員工遵守的行為。

（2）聲明對法律法規(guī)的符合性

企業(yè)必須要明確規(guī)定在使用云存儲服務時必須遵守國家法律法規(guī)、符合公司策略精神，不得違反基本道德要求。另外，對于涉及國家政府、公眾客戶信息等情況，要經(jīng)過專門的風險審查，以確保企業(yè)充分了解相關風險。除了知識產(chǎn)權保護、隱私保護等通用法規(guī)，還特別要注意與云存儲相關的一些法規(guī)，包括不同國家和地區(qū)對云存儲的一些特殊規(guī)定。

（3）說明基本的安全控制要求

為了滿足對云存儲的各種安全需求，需要針對不同需求情況作出基本的安全控制方面的規(guī)定和說明。控制措施可以寬松也可以嚴格，建議企業(yè)根據(jù)自身安全需求來考慮。云存儲相關的常見控制包括：云存儲制定分級的安全服務、存儲操作的追蹤和問責、加強安全管理管控等。

（4）企業(yè)要聲明自己的權利

由于云存儲可能涉及到云存儲服務供應商、客戶、員工等，企業(yè)在采取信息安全控制措施時，有可能會觸及到各方的利益，而引發(fā)爭論和沖突。這時候，策略中如果事先聲明了企業(yè)的權利，就有利于相關工作的開展。在合法的前提下，企業(yè)有權批準和中斷云存儲服務、有權對云存儲服務活動進行監(jiān)控、有權對通過云上傳和下載的數(shù)據(jù)內(nèi)容進行審查。

（5）說明與其它策略的關系

云存儲服務與企業(yè)使用的其它服務同樣存在一些共同的屬性和要求，對于這些共性的安全要求，比如：在數(shù)據(jù)分類、分級的策略同樣適用于存儲在云存儲服務中的數(shù)據(jù)。云存儲策略中應該重申對其它相關的安全策略的遵從性。而對于云存儲策略中與其它策略產(chǎn)生沖突的條款，需要對不一致的情況進行說明。盡量保持策略之間的一致性。

3.5 編寫配套文檔

企業(yè)的信息安全策略文檔體系通常如圖3所示的金字塔結構。金字塔最頂層是策略文檔本身，在其下層依次有標準、流程、指南等文檔，它們與策略文檔共同構成一個完整的策略文檔體系。

在這個完整的策略文檔體系中，策略文檔處于宏觀層次。策略文檔中規(guī)定一個云存儲應用場景要達到哪些安全目標，但策略不會說明如何具體去操作或是使用什么具體技術和規(guī)格，更詳細的規(guī)定需要通過配套的標準、流程、指南等文檔來定義。其中，標準文檔將涉及更多技術層面的細節(jié)，流程文檔則涉及更多管理層面的規(guī)定，指南文檔包括更多技術、操作細節(jié)、建議和選項。云存儲的流程、標準和指南等文檔的開發(fā)與其它方面的文檔開發(fā)相似。但是它們要求對云存儲技術和服務有深入的了解，同時還要保持與策略文檔的精神相一致。

3.6 策略后續(xù)問題

云存儲安全策略發(fā)布之后并不代表可以一勞永逸了，有三個后續(xù)問題需要特別重視：

（1）策略落實問題

策略越復雜，落實起來就越有難度。由于云存儲不僅僅涉及到企業(yè)自身人員，還涉及到云存儲服務供應商以及其它第三方，所以針對云存儲服務的策略往往比較復雜、策略的落實更有難度。加強反饋和主動測試是兩種有效的落實方法，此外，企業(yè)還要積極宣傳相關策略，加強員工的安全意識教育。

（2）策略更新問題

企業(yè)首先需要定期審查和更新安全策略，云存儲服務作為一種綜合性的新技術，在技術和應用上仍在不斷快速發(fā)展變化，企業(yè)需要持續(xù)跟蹤云存儲技術的發(fā)展、關注針對云存儲的威脅情況，并適時調(diào)整云存儲安全策略以覆蓋新出現(xiàn)的風險盲點。其次，企業(yè)還要繼續(xù)開展云存儲安全相關的流程、標準的建設和完善工作，這部分的工作不是一蹴而就的，需要長期進行。

（3）策略失效問題

在制定云存儲策略時，需要預料各種意外情況。但安全本身就充滿了各種意外和變化，所以要針對于某種失效以及災難的可能情況作出準備，并始終保持警惕，根據(jù)實際需要隨時作出調(diào)整。

4 結束語

不斷豐富和發(fā)展的企業(yè)級云存儲服務正在影響著企業(yè)的數(shù)據(jù)存儲方式和信息安全管理方式。面對云存儲服務給企業(yè)帶來的新的信息安全風險，企業(yè)需要重新審視自身的信息安全管理過程，識別自身風險管理體系中對于云存儲服務風險管理部分的缺失或薄弱環(huán)節(jié)，并通過分析云存儲服務的安全需求和目標來制定云存儲服務信息安全策略，從而讓企業(yè)可以有所根據(jù)有所指導地開展安全工作，以確保云存儲服務相關的風險得到了充分而有效地管理。

[1]http://searchcloudstorage.techtarget.com/news/450411407/Cloud-storage-for-enterprise-use-should-spike-in,2017.

[2]https://en.wikipedia.org/wiki/Cloud_storage.

[3]張繼平，龔靖.云存儲解析.人民郵電出版社，2013.

[4]ISO 7498-2-1989,Information Processing Systems- Open Systems Interconnection-basic Reference.

[5]ISO/IEC 15408,Information Technology-Security techniques-Evaluation criteria for IT Security Model-Part 2: Security Architecture.

[6]王世偉，趙付春.企業(yè)用戶感知視角下的云計算信息安全策略研究[J].圖書情報工作，2012.

[7] Aaron Wheeler,Michael Winburn.Cloud Storage Security.Elsevier,2015.Chapter 6 Best Practices.

[8]ISO/IEC 27001:2013,Information technology Securit- y techniques-Information security management systems Re- quirements,Chapter A16.