等保2.0云計算安全擴展要求及分析

賴靜 韋湘 陳妍

摘 ? 要：2019年5月發布的《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019），相比于發布于2008年的《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239-2008）進行了較大幅度的改動，針對云計算、物聯網、大數據、工業控制、移動互聯網等新技術，提出了安全擴展要求。文章將圍繞著云計算安全擴展要求中的要求項進行分析，總結近年來云計算系統等級保護測評工作中發現的主要問題，并提出改進建議。

關鍵詞：等級保護;云計算;安全擴展要求;等級測評

中圖分類號：TP309 ? ? ? ? ?文獻標識碼：A

Abstract： Compared with The “Information security technology—Baseline for classified protection of information system security”（GB/T 22239-2008） issued in 2008，the “Information security technology—Baseline for classified protection of cybersecurity” （GB/T 22239-2019） issued in May 2019 has big changes in content， it has proposed security extension requirements for the technologies such as cloud computing， Internet of things， big data， industrial control system and mobile interconnection.This paper will analyze the requirements in the security extension requirements for cloud computing， summarize the main problems in the testing and evaluation of the cloud computing systems in recent years and put forward suggestions for improvement.

Key words： classified protection; cloud computing; security extension requirements; testing for classified protection

1 引言

近年來，隨著互聯網+、大數據等重大戰略的實施[1]，云計算、物聯網、大數據、工業控制、移動互聯網等新技術的應用發展，帶來了一系列重大的網絡安全新問題[2]，原有的等級保護制度、標準體系已不能滿足新形勢的需要[3]。因此，為進一步健全和完善等級保護制度，2014年公安部在結合現有新技術的基礎上，開展了等級保護標準的制修訂工作，并于2019年5月完成了《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）（簡稱《基本要求》）的制修訂和發布工作，標志著等級保護測評工作正式進入2.0時代（簡稱等保2.0）。

2 等保2.0概述

《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）是在《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239-2008）基礎上進行修訂的[4]，主要變化包括三項。

（1）由《信息安全技術 信息系統安全等級保護基本要求》變更為《信息安全技術 網絡安全等級保護基本要求》與《中華人民共和國網絡安全法》保持一致[4，5]。

（2）由一個基本要求變更為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求[4]。此外，在修訂中未正式寫入大數據安全擴展要求，而是在表1中給出了大數據應用場景說明和可參考的擴展技術要求。在開展等級測評工作時，系統的測評內容為1+N的模式，如云計算信息系統的等保測評依據包括安全通用要求和云計算安全擴展要求兩個部分。

（3）基于“一個中心，三重防御”的思想對《基本要求》的分類進行了較大的調整，由原來的物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理10個安全類，變更為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理10個安全類[4]。同時，在各安全擴展要求中分別針對這10個安全類結合自身特點進行了控制點和要求項的擴展。

3 云計算擴展要求及分析

隨著云計算技術的不斷發展，越來越多的系統和數據遷移到了云上。云租戶在享受云計算技術帶來便利的同時，也面臨著云計算共享技術帶來的一系列風險，如租戶間資源的隔離、租戶間數據的非法訪問等，此外云服務商對云計算平臺擁有過大的權限[6]。因此，等保2.0在充分考慮云計算平臺以及云服務客戶所面臨的風險的基礎上，對云計算系統提出了云計算擴展要求，從而達到提高云計算平臺防護能力、限制云服務商權限、保證云服務客戶系統和數據安全的目的。云計算擴展要求在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全建設管理和安全運維管理層面上進行了擴展。

3.1 安全物理環境

在安全類中新增了控制點“基礎設置位置”，該要求的責任主體為云服務商。要求保證云計算基礎設施位于中國境內，即要求云平臺所涉及的基礎設施，包括云計算服務器、存儲設備、網絡設備、安全設備以及承載云平臺相關應用的硬件設施均部署在中國境內，從而降低云計算平臺被境外非法訪問的風向。

3.2 安全通信網絡

在控制點“網絡架構”中新增加了五個要求項，且其責任主體均為云服務商。

（1）要求保證云計算平臺不承載高于其安全保護等級的業務應用系統。由于云服務客戶應用系統的安全防護，在很多方面依賴于云計算平臺來實現，如物理機房安全、整體網絡架構的安全等，低級別的云計算平臺可能無法為高級別的云上系統提供足夠的防護措施。

（2）要求云平臺可以實現不同云服務客戶虛擬網絡之間的隔離。在云平臺中，多租戶共享計算、存儲及安全資源池，租戶間存在數據泄露等風險，云計算平臺首先需要為租戶提供一個隔離的網絡環境來保證各個租戶的網絡安全。如在公有云平臺上一般通過私有網絡VPC（Virtual Private Cloud）等技術來實現租戶間網絡的隔離，同一個VPC內的服務資源之間是默認互通的，不同VPC之間默認不通。

（3）要求云計算平臺可以根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。由于云計算平臺對租戶屏蔽了底層硬件資源等特點，只有云平臺才能便捷的為各個租戶提供加密/證書、Web過濾防護、入侵防范等安全服務，才能更好的為云上租戶提供便捷、安全的云環境，使得云租戶可根據自身安全防護需求部署相關的安全措施。

（4）要求云計算平臺為云服務客戶提供自主設置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略。尤其對于大型的云計算平臺，千萬的租戶意味著千萬差異化的安全需求。同時由于各自數據保密的原因，云服務商為各租戶單獨進行安全策略配置的服務方式是不推薦，而是應為云服務客戶提供自主設置安全策略的能力。

（5）要求云計算平臺提供開放接口或開放性安全服務，允許云服務客戶接入第三方安全產品或在云計算平臺選擇第三方安全服務。這樣的要求給云服務客戶帶來更多的便利性，云服務客戶可以結合自己系統業務的需求更靈活的選擇安全產品和安全服務，不完全局限于云計算平臺，同時也可以彌補云平臺自身安全防護能力的不足。

3.3 安全區域邊界

在安全類中，分別在“訪問控制”“入侵防范”和“安全審計”三個安全控制點中新增了要求項。

（1）訪問控制：提出了區域間訪問控制的要求，包括外部與云平臺、租戶與租戶之間、租戶內部等不同的網絡區域邊界，其責任主體是云服務商和云服務客戶。此外，由于云計算平臺上承載了多樣的應用系統，其對安全防護的措施要求不一致，因此不同等級的系統區域間要實現網絡的邏輯隔離，在特殊情況下，云平臺還應通過物理隔離的方式劃分不同等級的網絡區域。

（2）入侵防范：要求云服務商的云計算平臺，支持檢測到虛擬機網絡內部的網絡攻擊行為和異常流量，包括云服務客戶發起的網絡攻擊、針對網絡虛擬節點的網絡攻擊、虛擬機與宿主機之間異常流量、虛擬機與虛擬機之間的異常流量，還應可以對攻擊行為和異常流量進行告警。由于云平臺具有用戶、信息資源高度集中的特點，容易成為黑客攻擊的目標[7]。云平臺面臨的網絡攻擊主要來自兩個方面：一方面是來自外部網絡攻擊，主要是通過在云計算平臺邊界部署防火墻、IPS、IDS、防毒墻等設備，來實現網絡攻擊和異常流量的檢測和告警;另一方面是來自云計算平臺虛擬網絡內部的攻擊，攻擊者可能會通過購買內部云服務或者非法截取云上租戶的云服務數據，從內部發起對云計算平臺的攻擊，因此要求云計算平臺能夠通過有效的技術手段，實現對內部網絡攻擊和異常流量的檢測和告警，如能夠對東西向流量進行檢測的抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵防范系統或相關組件等。

（3）安全審計：要求云計算平臺可審計云服務商和云租戶遠程執行特權命令的操作，還要求審計云服務商對云租戶的系統和數據進行操作時可被云租戶審計到，該要求的責任主體是云服務提供商。由于云計算平臺具有用戶、信息資源高度集中的特點，因此對云計算平臺的操作進行審計記錄是非常有必要的，特別是一些特權操作，如刪除虛擬機、虛擬機重啟等敏感操作，可能會影響到云計算平臺或云租戶系統的運行，通過安全審計來實現操作的可追溯性。

此外，云租戶的數據存儲在云計算平臺中，云服務商具有最終的權限，因此要求云服務商對云租戶的系統和數據的操作能夠被云租戶審計，支持云租戶實時監測云服務商對自己系統和數據的操作，抵御云平臺自身可能帶來的安全風險。

3.4 安全計算環境

在安全類中，分別在“身份鑒別”“訪問控制”“入侵防范”“數據完整性和保密性”和“數據備份恢復”安全控制點中新增了要求項，此外還新增了安全控制點“鏡像和快照保護”。

（1）身份鑒別：要求當遠程管理云計算平臺設備時，管理終端和云計算平臺之間應建立雙向身份驗證機制，該要求的責任主體是云服務提供商。在一般系統訪問機制中，通常采用單向身份驗證機制，即客戶端訪問服務端時，僅需服務端對客戶端進行身份驗證。但是，由于云計算網絡的特殊性，如SDN網絡其控制平面和數據平臺分離等特性，需要雙向身份驗證機制，即客戶端訪問服務端時，服務端對客戶端進行身份驗證，同時客戶端也需要對服務端進行身份驗證機制，才能有效地保證云計算網絡的安全。

（2） 訪問控制：要求云平臺在虛擬機遷移時，可以將針對該虛擬機設置的訪問控制策略一并遷移，以避免出現在發生虛擬機遷移之后訪問控制策略重新配置的問題。此外，還要求支持云服務客戶可設置不同虛擬機之間的訪問控制策略，該安全控制點的責任主體為云服務商。如在現有的公有云平臺中，一般通過配置安全組策略來實現虛擬機的訪問控制。在虛擬機遷移時，安全組策略亦隨之遷移。

（3） 入侵防范：要求云計算平臺能夠檢測到虛擬機的資源隔離失效、非授權新建或重啟虛擬機、虛擬機間惡意代碼感染的等情況，并進行告警。云計算平臺中資源的隔離，包括CPU、內存、磁盤等資源的隔離是至關重要的，其涉及到了租戶間數據的安全性，因此云計算平臺中必須能夠提供相關的措施檢測資源隔離失效的情況。該安全控制點的責任主體為云服務商。

（4） 鏡像和快照保護：新增了該安全控制點，提出了對鏡像和快照的保護要求，包括對提供進行過加固的操作系統鏡像，以及提供操作系統安全加固服務，如阿里云的安騎士等。對虛擬鏡像、快照等提供完整性校驗功能和加密措施，防止其被惡意篡改和非法訪問。該安全控制點的責任主體為云服務商。

（5） 數據完整性和保密性：對云平臺數據的存儲地、云租戶數據的授權管理、虛擬機遷移的完整性保護、為云租戶提供密鑰管理解決方案提出了要求。該安全控制點的責任主體為云服務提供商。云平臺中的數據，要求其存儲在境內，若出境則需要遵循國家的相關規定，如2017年6月1日起實施的《中華人民共和國網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。法律、行政法規另有規定的，依照其規定。”[5]同時，《個人信息和重要數據出境安全評估辦法（征求意見稿）》和《信息安全技術數據出境安全評估指南（征求意見稿》，也對數據的出境提出了相關要求。

此外，還要求只有在云服務客戶授權（技術手段或管理手段）的情況下，云服務商或第三方才能對云租戶數據進行管理， 通過對云計算平臺提出相關的條件約束，從而保證云租戶數據的安全性。要求云服務商保證虛擬機遷移過程中的完整性，還要求支持云服務客戶部署密鑰管理解決方案，保證云服務客戶自行實現數據的加解密過程。

（6）數據備份恢復：分別針對云租戶和云服務商提出了要求。

針對云租戶，要求云服務客戶在本地備份其業務數據，云平臺的各種故障、安全威脅都將會威脅云租戶的數據安全，沒有百分之百安全的云平臺，因此云租戶應要定期在本地備份其關鍵數據。

針對云服務商，要求云平臺可以讓云租戶查詢數據及備份存儲位置的能力，不管是通過技術手段或是管理手段，讓云租戶可以明確知悉數據落地的位置;要求云平臺能夠保證云租戶數據存在多個副本，且多副本之間保持一致。多副本技術可以實現將所有用戶層面的操作都同步到底層多份副本上，無論是新增、修改還是刪除數據，保障了數據的可靠性和一致性。同時，還要求云計算平臺提供相關措施，協助云租戶將其業務系統和數據遷移到其他云計算平臺和本地系統上，以有效地保證云租戶權益。

（7） 剩余信息保護：在該控制點中增加了要求項，要求云平臺能夠保證虛擬機所使用的內存和存儲空間回收時得到完全清除，該要求的責任主體為云服務提供商。文獻[8]給出了一種云操作系統中虛擬機剩余信息清除的檢測方法，能夠有效地檢測虛擬機所使用的內存及存儲空間在釋放后和再分配前剩余信息是否能夠得到有效清除，但是該方法由于其測試環境要求較為復雜以及測試時間較長，更適用于實驗室測試，不適用于等保測評的現場測試。同時，2017年發布了行業標準《信息安全技術 云操作系統安全技術要求》（GA/T 1346-2017）。在該標準中，對云操作系統的剩余信息保護能力提出了要求。因此，在該項測評中可以參考云計算平臺底層云操作系統軟件產品的第三方測試報告中的測試項進行評定。

此外，還要求云租戶在刪除應用數據時，云計算平臺要將所有副本刪除。基于保證不發生由于硬件故障而引起的數據丟失，提升對數據讀寫的訪問速度、數據容災性及可靠性等方面的考慮，在現有的云計算平臺中大多均采用了多副本技術，因而云計算平臺也擁有了云租戶的多分副本的數據。為了保護云租戶的數據，要求云平臺能夠保證云租戶在刪除業務應用數據時，云平臺將存儲的所有副本也一并刪除，不非法保留云租戶的數據。

3.5 安全管理中心

在安全層面的集中管控中新增了要求項，要求云服務提供商提供的云計算平臺能對物理資源和虛擬資源按照策略做統一管理調度與分配，集中審計各自所控制部分的審計數據，集中監測各自控制部分（包括虛擬化網絡、虛擬機、虛擬化安全設備等）的運行狀況。通過集中的管理、審計和監測能夠提高工作效率，節約成本。此外，還要求云計算平臺可以實現管理流量與業務流量分離，管理流量主要包括管理員對云計算平臺進行配置、運維等操作產生的流量，流量信息較為敏感，影響云計算平臺的正常運行;業務流量主要是云上租戶的業務系統進行正常運行產生的流量，業務流量具有波動性和流量大的特點。通過分離管理流量和業務流量，既保證了業務流量和管理流量不互相干擾，也能有效地防止信息泄露等風險，從而保證系統的安全和穩定性。

3.6 安全建設管理

在安全類中分別新增了安全控制點“云服務商選擇”“供應鏈管理”。

（1）云服務商選擇：該控制點的責任主體為云服務客戶，要求云租戶選擇合規的云服務商，即要求選擇的云服務商提供的云計算平臺通過了等級測評，且提供了云租戶應用系統相應等級的安全保護能力;要求云服務客戶與云服務商簽訂了服務水平協議[9]，服務水平協議應約定所提供的云服務內容、指標、權限與職責、云租戶數據的歸還與清除，還通過簽訂保密協議來保證不泄露云租戶的數據。無論是服務水平協議還是保密協議，都是合法的文檔，通過法律來明確和約束雙方的權利和義務，能夠避免事故糾紛。

（2）供應鏈管理：在該控制點中對供應鏈進行了要求，供應鏈是企業從原料和零部件采購、運輸、加工制造、分銷，直至最終送達顧客手中的過程[10]。因此，本文要求是針對云服務商提出的，要求云服務商在建設云計算平臺的過程中，選擇采購的硬件、軟件、服務等的供應商要滿足國家的規定。此外，還要求云服務商要將供應鏈的安全威脅以及供應商的重要變更，通過有效的方式及時告知云服務客戶，讓云服務客戶能夠及時獲知所在云平臺的情況。

3.7 安全運維管理

在安全層面新增了控制點“云計算環境管理”，要求云計算平臺的運維地點應位于中國境內，境外對境內云計算平臺實施運維操作應遵循國家相關規定。該要求的責任主體為云服務提供商，通過限制運維地的限制，來進一步保證云上系統和業務數據的安全。

4 云等保測評中發現的問題及改進建議

4.1系統責任主體重技術，輕管理

在測評過程中發現，系統的責任主體更多地傾向于通過技術手段來保證系統的安全運行，如通過部署防火墻、防毒墻、入侵檢測/防御設備、WAF等安全設備防御攻擊，通過加密技術等保證數據存儲和通信傳輸過程的保密性和完整性，通過關鍵設備冗余部署保證服務的連續性。但是，在安全管理方面的約束有所缺失，無法保證系統正常運行所涉及的人員活動能夠得到有效的開展。

根據標準要求，在等保測評中主要包括管理和技術兩大方面的測評內容，管理測評項在等保測評占據了至關重要的地位。因此，系統責任主體應建立一套完善的安全管理體系，從上至下，應包括安全策略、管理制度、操作規程、記錄表單，對完成系統使命、保障系統正常運行所涉及的人員活動作出明確的規定。

4.2 云計算系統責任劃分不明確

在測評云計算系統時，發現存在責任劃分不清楚的情況。云計算有三種服務模式：基礎設施即服務（Infrastructure as a Service， IaaS）、平臺即服務（Platform as a Service， PaaS）、軟件即服務（Software as a Service， SaaS）[11，12]。不同服務模式下的云計算信息系統，云服務商和云服務客戶擁有不同的控制范圍和責任范圍，如圖1和表1所示。

在一些云計算系統的測評中，發現部分云平臺服務提供商和云服務客戶，對自身的責任范圍認識模糊，部分云平臺認為自身的責任是為云服務客戶提供服務，所提供的服務只要能夠使用即可，并不關心是否為云服務客戶提供了有效的安全防護，數據信息是否有泄露風險，或者故意模糊這些問題;而云租戶則認為將系統部署于云平臺之上，則一切安全問題發生都應是云服務商負責，不主動承擔己方應有的安全責任。

因此，為了解決上述問題，云服務商和云租戶應在建設系統前，了解清楚自身系統所提供/使用的云計算服務模式，了解清楚各自的控制范圍和責任范圍，并通過簽訂有效的協議明確各自的職責。此外，云服務商應嚴格按照國家的有關規定提供有效、安全的云計算平臺，做好底層資源的隔離，并為云服務客戶提供自主設置安全策略的能力，提供通信傳輸、邊界防護、入侵防范等安全機制的能力。云租戶應加強自身對云上資源的管理和配置，系統上云應是享受資源的便利性，而不是使得系統受制于云平臺。

4.3 云租戶備份容災意識不強

云租戶將系統和數據托管在云計算平臺后，過于依賴和相信云計算平臺，沒有對自身系統和數據進行本地備份。2018年7月20日騰訊云上發生了由于數據所在物理硬盤固件版本Bug導致的靜默錯誤（寫入數據和讀取出來的不一致），而導致云租戶丟失近千萬級數據的事故。該事故的發生除了云平臺原因，也是由于云租戶自身容災意識不強，沒有定時進行數據的本地備份所引起。任何云計算平臺都不會是百分之百安全的，云平臺只能在可預測的概率范圍之內做到保障租戶的數據和業務安全的，但是概率之外的范圍，需要租戶自己去做好保護，比如數據保存在云端，也應該在本地保存一份。

4.4 鏡像模板未進行加固

在云平臺上創建一個虛擬機時，云租戶一般采用一個特定的鏡像文件（可以是用戶自己上傳的鏡像文件或選擇云平臺共享的鏡像文件）來創建虛擬機。若云平臺提供的鏡像文件沒有進行過加固存在安全漏洞或者包含惡意代碼，大量的云租戶選擇從云平臺的鏡像文件模板創建自己的虛擬機，其帶來的安全風險和危害難以估量。因此，云平臺應支持對平臺中的鏡像模板采取相關加固措施。

5 結束語

等保2.0中針對云計算、物聯網、大數據、工業控制、移動互聯網等新的應用場景提出了擴展要求，本文針對其中的云計算擴展要求進行分析，提出了測評中發現的問題并提出了改進建議，旨在為云計算系統的建設與測評提供參考。但是，由于云計算技術的不斷發展，面臨的安全問題也將在實踐中不斷涌現，還需要更多的研究工作者、云服務商、云服務客戶、國家的相關監管單位，共同努力創建安全的云計算環境，并更好地促進云計算產業的健康發展。

基金項目：

論文得到國家重點研發計劃資助（項目編號：2016YFB0800903）。

參考文獻

[1] 揭建成.等級保護再認識[J].浙江經濟，2018（09）：37.

[2] 胡連宛.中國網絡安全面臨嚴峻挑戰[J]. 決策與信息， 2012（5）：8-8.

[3] 孟亞豪，李旋.等級保護2.0中計算環境安全測評技術要求和測試方法分析[J].網絡空間安全， 2018（6）.

[4] 《信息安全技術 網絡安全等級保護基本要求》GB/T 22239-2019[S].

[5] 《中華人民共和國網絡安全法》[S]. 2017年.

[6] 茹斌，何建波.云計算中的安全隱患分析[J].保密科學技術， 2013（7）：38-44.

[7] 毛得輝. 虛擬機鏡像安全管理問題的研究[D].上海：復旦大學， 2012.

[8] Yan Chen， Jing Lai， Xiang Wei. A Testing Method of the Residual Information Clearance in Virtual Machine for the Cloud Operating System[A]. 2018 IEEE Conferences on Internet of Things， Green Computing and Communications， Cyber， Physical and Social Computing， Smart Data， Blockchain， Computer and Information Technology， Halifax， NS， Canada， July 30， 2018 - August 3， 2018， pp. 795-800.

[9] 劉偉，石冰心.服務水平協議（SLA）—Internet服務業的新趨勢[J].電信科學， 2000， 16（11）：5-8.

[10] 陳國權.供應鏈管理[J].中國軟科學， 1999（10）：101-104.

[11] Peter Mell， Timothy Grance. Special Publication 800-145， The NIST Definition of Cloud Computing， 2009.

[12] 陳妍，戈建勇，賴靜，等.云上信息系統安全體系研究[J].信息網絡安全， 2018， No.208（04）：85-92.