艦載指控云計算安全性研究

王喆峰

(海裝信息系統局，北京 100161)

0 引 言

本文討論了艦載指控云計算安全問題以及相關的安全風險（包括其威脅、風險和漏洞）。自云計算時代開始多年來，云計算的應用導致大量私有價值的信息資產的泄漏和損壞，甚至互聯網上已經出現對云計算供應商的公開網絡攻擊。本文討論了針對云安全應采取的步驟、在應用云計算前需清楚的問題、安全策略技術和應用云計算的利弊，并分析在信息安全管理領域中采用云計算的收益和成本。

云計算在不斷進化，市場上已經出現諸多云計算供應商，比如阿里、百度、亞馬遜、Google和微軟等等，它們提供軟件即服務SaaS、平臺即服務PaaS、存儲即服務和信息架構即服務IaaS。如圖1中云安全架構所示，云安全問題涉及云計算的各個方面。在云計算安全領域，已經出現大量學者研究和期刊文章。計算機安全專業研究人員不斷研究云計算中的安全風險、潛在威脅、漏洞和應采取的對策。在艦載指控云計算應用中值得借鑒這些研究。

1 背景研究

目前，云計算技術朝著經濟性、高可靠性、高可用的方向發展，廣泛地采用分布式的數據存儲，服務器通常以大規模集群的方式進行部署，以充分實現資源共享、自動化維護、按需服務、自服務、可擴展等云計算特性。企業云計算技術應用高速發展，通過減少設備資產和維護人員來降低成本和提高利潤。與此同時，各國在軍用和民用船只上應用云計算，以降低成本和提升效能。

雖然云計算產業具有巨大的市場增長前景，云安全問題成為領域發展的最大挑戰。云安全是一個綜合的概念和問題，研究的是云計算過程涉及的環境、流程、技術、管理、服務等各個層面的安全問題。云安全領域研究工作的努力目標是達成安全云或安全云計算。云安全領域研究不斷進展，但目前云服務商在信息安全的工作還非常有限，一般只對存儲數據進行加密，使用SSL，SSH等安全協議保證數據傳輸安全和用戶訪問，但是當用戶數據在后端服務器的內存中計算處理時，則必須是以明文的形式才能進行處理的，這為利用操作系統漏洞攻擊載入內存中的數據提供了可能。

Clavister提出圖2所示的安全云，其中公共云中用戶的數據與其他組織的數據充分隔離存儲，通過采用安全獨立的云區域提供虛擬機資源保證高度隔離，最重要的是數據進行了由專家設計并測試的加密處理。云服務商與組織內部的通信通過加密的VPN專用通道，符合用戶組織安全策略設計的日志管理和資源安全管理措施。

根據毛文波等關于面向服務的云計算架構，其相關安全技術從云計算前端（客戶端、用戶端）到后端（服務器端、數據中心）逐層進行分解展開，如圖3所示。

然而在軍用艦船的云計算應用方面，安全問題尤為重要。美國2015年海軍科技戰略Naval S&T Strategy將網絡信息優勢Information Dominance-Cyber作為九大關注領域之一。美軍認為應將全譜域網絡操作Full Spectrum Cyber Operations（包括計算機網絡的攻防和信息探索）作為網絡信息優勢領域重要研究方向，以應對連續快速增長的網絡威脅，保障其指揮控制能力和網絡計算機系統安全，將信息環境作為美海軍的核心作戰能力。在云計算方面，將“戰術云”作為該關注領域內計算與信息建設的一個細分研究方向。美海軍科技戰略期望：美軍未來信息系統必須在高度動態、分散和不利環境下，實現和維護通信網絡；將使用彈性的信息計算架構，通過增強網絡的節點和數據共享集成，提供對數據的操作和理解能力，以支持美軍指揮控制、情報、偵察和監視系統；全譜域網絡要求提供對敵方數據和網絡的利用和操作能力。

2 安全威脅、風險和漏洞

隨著云計算的日益普及，并且很多云與互聯網連接，導致云計算成為病毒、蠕蟲、黑客和網絡恐怖分子攻擊目標。盡管艦載指控云通常不直接連接互聯網，但是無線設備互聯網連接和接入云網絡的外部電腦仍將艦載指控云暴露給病毒、蠕蟲、黑客和網絡恐怖分子。隨著云在艦船上的推廣應用，病毒、蠕蟲、黑客和網絡攻擊導致的云漏洞必然增加。有組織的黑客、恐怖分子、甚至敵對國家必然將利用云漏洞破壞云服務、損壞云網絡并偷竊有價值信息。

對艦載指控云，數據的物理存儲位置通常是位于本艦上或本國的計算、存儲和通信設備中。但是在海外作戰任務中，有可能接入外部網絡/設備以獲取其他國家的敏感數據，如果該國突然變得敵對，如何保證艦載指控云的安全將是重大問題。當本艦船云受到外部攻擊并損壞時，艦船云服務將停止工作，通常花費艦員數小時甚至數天的時間來解決。艦載指控系統設備數小時或數天的失效對于海外的艦船是災難性的。

2.1 威脅

來自艦載指控系統設備內外的計算平臺、網絡、內聯網乃至互聯網的諸多安全威脅時刻威脅著艦載指控云計算。常見的7個主要威脅有：

1）云計算的濫用和惡意使用。云計算為艦載指控系統設備用戶提供了可動態擴展調度的計算、網絡和存儲能力，但也為病毒和木馬等威脅的傳播提供了溫床；

2）不安全的應用程序接口API。用于云服務管理和交互的API是通常公開的，因此它們的安全等級決定云服務的安全等級；

3）惡意的內部人員。艦載指控云計算使服務和用戶聚集在一起，管理透明的缺乏將導致惡意內部人員威脅的放大；

4）共享技術的漏洞。云計算通過共享基礎設施、平臺和軟件提供服務，因此需監控未授權的變更和活動；

5）數據丟失/泄露。云計算架構和運維特性放大了數據丟失/泄露的威脅；

6）互聯網對敏感信息的劫持。釣魚、欺騙和探索漏洞是互聯網行業的常見威脅。當攻擊者獲取某部分系統控制權限，該部分系統將成為攻擊者新的攻擊發源地；

7）未知的安全范圍。

2.2 風險

風險是指可能產生潛在危害的當前過程或未來事件。在信息安全方面，風險管理是指對導致信息系統的機密性、完整性和可用性的失效因素的理解和應對流程。

由于云計算模型的動態擴展、服務抽象和位置透明等特征，所有在云平臺基礎設施中的應用和數據沒有固定的安全界限。當出現安全入侵時，很難隔離某一危險的物理資源。另外，由于云的開放性和資源虛擬化共享，未授權用戶可能獲取用戶數據訪問權限。

遷移到云端的艦載指控系統給設備廠商帶來一系列風險。比如需要保護知識產權、商業秘密和重要身份信息等關鍵信息不落入他人手中。特別地，如果將敏感信息放在互聯網上，需要對安全控制和訪問監視做相當大的投資。在云環境中，底層的存儲和備份操作可能對艦載指控應用是不可見的，而且云計算供應商通常不開放的存儲設備的直接物理訪問。因此當來自多個用戶的數據存儲在同一存儲庫中，合理的底層存儲媒介訪問控制和記錄是云計算設計的一個重大挑戰。

2.3 漏洞

他人可以利用信息系統漏洞損害信息系統。如果艦載指控應用通過互聯網接收數據，同其他連接互聯網的技術一樣，艦載指控云計算同樣是脆弱的。當艦載指控系統設備具有潛在外部連接時，其漏洞包括竊聽、黑客、破解、惡意攻擊和服務中斷，所以說把數據遷移到云服務是“把雞蛋放在一個籃子里”。

研究表明，攻擊者能精準地找到目標數據在云中的物理位置，并使用各種技巧來獲取數據。另一種對漏洞的攻擊是使用拒絕服務攻擊DoS，如果攻擊者與受害者處于相同的云服務器，很容易通過增加其資源使用率來啟動常規的拒絕服務攻擊DoS。

2009年加利福尼亞大學圣地亞哥分校和麻省理工的研究人員做過研究試驗。他們從亞馬遜購買云服務，并將虛擬機與目標程序放置在相同的物理機器上，就可以使用虛擬機訪問物理機器的共享資源并竊取目標程序的數據和密碼。研究人員表示“該技術是以實驗為目的的，并不總能成功，但它表明云易受到針對云漏洞的新型攻擊”。雖然他們的攻擊是在亞馬遜的EC2云內進行的，研究人員稱他們的方法對其他供應商的云也有效。

研究人員強調試驗中使用的云和虛擬環境較新，因此可以用來探索發現未知的漏洞，但這并不意味著云服務不安全而不應該被使用。

云計算的應用避免了數據存儲在獨立電腦或其他媒介上，可以限制數據的泄露威險。并且漏洞會驅使云計算供應商使用更高效的安全軟件。密歇根大學的研究人員發現，云可以作為一個更好的反病毒檢測手段，如果防病毒軟件工具從PC移動到云，可以檢測到比單PC防病毒程序多35%的最新病毒。艦載指控系統設備應用云的底線是應該對云保持懷疑態度，并評估云服務的風險，只將能容忍該風險的數據提交給云服務。

2.4 艦載指控系統設備中PaaS和IaaS的安全問題

艦載指控系統設備中通常提供的云服務是PaaS和IaaS。安全威脅潛伏在艦載指控云架構中。

對于PaaS，云計算將一部分安全防護交由用戶在平臺上開發的應用程序實現，因此PaaS的內置安全防護能力并不完整。但分層化的安全設計使安全設計更加豐富靈活。

對于IaaS，只要虛擬化管理器VMM沒有安全漏洞，用戶則擁有更完善的安全控制權限；但在實踐中，虛擬機仍存在大量的安全問題。由于數據存儲在云計算硬件中，數據的所有者更關心如何確保對數據的最終控制能力。IaaS面臨的安全風險和解決方案如圖4例示。

3 云計算的實施指南

3.1 實施云計算的安全要點

艦載指控云計算用戶應使用如下步驟了解和驗證云安全：

1）了解云。通過了解云獨特的松散結構如何影響數據安全，深入了解云計算如何傳輸和操作數據。

2）提高透明度。確保云供應商提供云安全體系結構的詳細信息，并愿意接受定期的安全審核提高透明度。云安全審核應由第三方機構完成。

3）強化內部安全性。確保云供應商落實強大的內部安全技術（包括防火墻和用戶訪問控制），并與云安全流程完美結合。

4）關注。對任何可能影響數據安全的云技術開發和變更給予監控。

3.2 采用云計算前需要顧慮的問題

艦載指控云計算用戶在采用云計算前應解決的5個安全顧慮：

1）用戶訪問。要求供應商提供關于云管理員的特權信息和訪問監視控制手段。

2）符合規范。確保云供應商愿意接受外部審計。

3）數據隔離。了解數據如何隔離，并要求云供應商部署加密方案并驗證其有效性。

4）災難恢復驗證。確定當災難發生時，是否能夠完全恢復數據和服務，并確定需要多長時間。

5）長期生存力。當云計算失效時如何取回數據，并確定是否很容易將數據導入其他替代云中。

3.3 治理策略和技術

采用云計算前，需要研究良好的治理策略和治理技術，因為云計算的應用需要云服務供應商和云用戶之間的信任。云計算的治理需要云服務供應商和用戶的積極參與和有效溝通。為將云風險管理納入云計算治理，艦載指控系統設計的決策者需要具有風險意識，清楚對艦載指控系統設備的風險需求，了解云安全規范，提高風險透明度，并將風險管理責任納入各方。

3.4 數據安全問題

數據安全牽涉到數據生命周期的每個階段。數據生命周期指的是數據從產生到銷毀的整個過程，共分為7個階段，如圖5所示。

1）數據的產生關系到數據的用戶所有權，當數據被遷移到艦載指控云中，必須考慮如何維護數據的用戶所有權；

2）數據在艦載指控系統設備和云計算應用之間傳輸，必須確保數據的保密性和完整性，以防止未授權用戶的竊取和篡改；

3）數據的使用。云計算牽涉到大量數據傳輸、存儲和操作，加密大量數據的處理速度和計算效率需要采用對稱加密算法。使用簡單存儲服務的靜態數據，可采用數據加密，但對用于PaaS和SaaS的靜態數據，由于索引和查詢的原因，云應用中的數據通常不加密。艦載指控應用中不同涉密等級的數據存放在一起，并提供給不同用戶訪問，未加密的數據對數據安全造成嚴重威脅；

4）數據的共享擴展了數據的使用范圍。當數據所有者將數據共享給他人時，他人可不經過數據所有者同意將數據共享給第三方，因此需要更復雜的數據訪問控制模式；

5）數據的存儲需要考慮保密性、完整性和可用性；

6）針對艦載指控引用數據存檔，需要提供艦外存檔的措施，以確保數據的可用性；

7）考慮到艦載指控系統設備有被敵方俘獲的可能，需要有應對的數據銷毀手段。

4 云計算在艦載指控信息風險管理中的利弊

4.1 云計算的優點

在艦載指控信息風險管理中，云計算的優勢在于能夠集中管理風險，并更有效應用安全更新和新補丁，從而在進行軟件更新時保障業務不間斷。

4.2 云計算的缺點

在艦載指控系統設備上，應用云計算的問題包括：在公共數據中心存儲的業務數據的安全性和隱私性，鎖定到特定的云平臺技術，可靠性/性能問題，以及在新的云技術應用成熟前選擇錯誤技術路徑。

4.3 云計算在信息安全管理中的收益和成本

云計算在艦載指控信息安全管理方面的主要收益包括：

1）規模化產生的安全性收益。當大規模實施各種安全防御應用時，這些諸如過濾、補丁管理和云節點強化等安全手段會更便宜。對于艦載指控系統設備，規模化的好處還包括云資源的互備、對入侵事件的及時響應和集中化的威脅管理。

2）云安全作為云計算的一個差異化因素，更強有力地推動云計算供應商不斷改進。

3）大型云供應商可提供一個標準化的開放的云安全管理接口，從而使云安全服務市場化、專業化和定制化。

4）快速智能的動態調整資源，采用云計算的艦載指控系統設備可重新動態分配資源，以確保各種信息安全手段的使用。

5）日志審計，允許在不影響性能條件下全面記錄和處理日志信息。

在信息安全管理方面，云計算在艦載指控系統設備中應用的成本包括應用遷移、云實施、系統重新設計和集成、人員培訓等成本。新的系統架構在重新設計和部署實施過程中產生新的安全漏洞，從而進一步增加成本。

5 建議

在艦載指控系統設備中應用云計算，可采用如下建議和策略來評估云服務的安全可行性：

1）風險/收益分析。必須識別、理解和分析云服務的風險和收益。必須識別可能影響艦載指控系統設備安全的云故障。分析艦載指控系統設備的安全目標，包括信息保密性、數據完整性、系統可用性和可控性。

2）咨詢。在評估過程中咨詢行業專家、用戶和其他關系人。

3）保障條件。對特權用戶訪問、數據隔離、數據可恢復性、變更管理、用戶配置、人員操作、事件響應計劃和支撐管理等保障條件做認真審查。

4）退出策略。在確定退出策略和災難恢復計劃前，不建立云服務。確保艦載指控系統設備數據和應用的及時恢復。

6 結 語

云計算是由多年來不斷演進成熟的幾種關鍵技術組合而成。云計算可為艦載指控系統設備節約成本并提升效能，但安全風險很大。因此應認真分析云計算的安全風險。

云計算在信息風險管理中的優點在于能夠集中管理風險，并更有效應用安全更新和新補丁，從而在進行軟件更新時保障業務不間斷。云計算缺點包括：在公共數據中心存儲的業務數據的安全性和隱私性，鎖定到特定的云平臺技術，可靠性/性能問題，以及在新的云技術應用成熟前選擇錯誤技術路徑。

艦載指控系統用戶應該了解、分析并驗證云安全，在應用云計算之前給出云安全問題解決方式。應建立試點項目。建立良好的治理機制，以有效地處理安全問題。