云計算環境下的等級保護淺析

◆張 浩

云計算環境下的等級保護淺析

◆張 浩

（中國聯合網絡通信有限公司河南省分公司 河南 450000）

云計算是傳統計算機技術與互聯網技術進行整合之后獲得的結果，而伴隨其不斷的推廣，云安全問題引起了各界人士的注意。筆者以云計算特點和安全要求為基礎，在信息體系安全等級保護系統下探究了云計算等級保護基本要求，同時對各種等保層級下云計算的基本要求展開研究，給國內等保方面的工作提供了依據。

云計算；等級保護；基本要求；威脅

0 引言

云計算作為傳統計算機技術與互聯網技術進行整合之后獲得的結果，目的是借助互聯網將多項成本較小的計算機實體轉變為一個計算功能完善的體系，同時根據不同的商業形式，將這種計算功能傳輸至終端用戶。這種理念是借助大范圍的數據中心與功能完善的服務器使互聯網應用軟件開始正常工作并供給相應的服務，讓所有的線上用戶可以訪問該軟件[1]。此類獨特的運用形式促使云計算獲得了服務虛擬化、普適性強、擴展性高等優點。它屬于一類新的概念，運用形式方面的探究依舊比較匱乏，而且存在許多影響其發展的問題，而云計算問題則是當前面臨的亟待解決的問題。

現階段，我國將等級保護的原則用來保護重要信息體系的安全，然而針對云計算體系此類獨特的運用形式，等級保護的要求大體上并未做出詳細的探究。針對原有的計算形式來說，用戶對于數據具備全部的控制權，但是在云計算形式下，用戶對于數據和機器的管控全部受制于供給服務的商家，用戶只剩下了對于虛擬機的控制權，所以以用戶的視角而言，怎樣確保用戶信息的保密性、完善性以及價值是至關重要的[2]。由于這種新形式的誕生，云邊界逐漸在人們的視野消失了，云環境下的大部分存在風險的因素導致等級保護技術要求變得更為嚴格了，在云計算誕生之后，各種風險因素也伴隨其誕生，所以怎樣確保新形勢下的信息安全就變成了等級保護方面需要重視的主要內容。

1 信息系統等級保護框架

信息安全等級保護是我國對于重要信息體系展開安排評價的重要基礎，而《信息系統安全等級保護基本要求》則為引導信息體系構建、定級以及評價等方面的重要依據。此文件中把信息體系當作保護的目標，根據信息體系的重要等級可分成以下幾個保護層級，借助研究保護目標面對的4個威脅因素，對各個保護層級的威脅進行了描述。對于各種層級的威脅，該文件明確了安全保護水平的需求，包含對抗水平與恢復水平，各種信息體系的保護層級，需要各種強度的保護能力來確保信息體系免受威脅。

為了確保與檢驗信息體系各層保護能力，該基本要求以國際上權威的信息安全指標，同時以國內信息安全發展的真實狀況作為出發點，推出了技術和管理兩個層面的改善措施。首先，針對技術來說，應當從物理、網絡、主機、應用以及數據等幾個層面著手，而針對管理來說，應當從體制、機構、人員、建設以及運維等層面著手[3-4]。針對不同措施來闡釋存在的重要控制點和要求項，并以此當作等級保護基本要求的詳細內容。

現階段，國內信息體系等級保護工作依舊需要面臨較多的問題，而其基本要求項的闡釋具有一定的有效性，適用于目前的實際情況。伴隨云計算體系的持續完善與推廣，應將等級保護當作其安全標準與國內信息化發展的切實要求。

2 云計算安全研究概況

由于云計算服務的特點，讓信息體系內的資源、數據以及信息在較大規模中進行傳輸與整理，此范疇主要包含地域、物理設施和相關人士，所以云計算的威脅重點是由服務計算這個特點逐漸擴延形成的。針對威脅層面的探究來說，云安全聯盟于2010 年明確描述了它在云安全方面面臨的7個威脅，并得到了普遍的認同與應用。2013年，該組織又闡述了9大威脅，主要包含數據破壞、數據丟失、賬戶劫持、不安全的API、拒絕服務、惡意的內部人員、濫用和惡意使用、審查不足與共享技術[5]。以實踐要求作為出發點進行分析可知，除了以往的安全問題，云計算新添加的安全威脅重點關乎以下幾個層面的要求：

（1）可信計算。計算的穩定性，也就是服務資源的可信性，云計算應當將可信的技術形式供給服務資源，借助軟硬件可信調控的體系證實資源的可信水平。

（2）數據保護。包含對動、靜態數據的分離、保護和殘存數據的清理，保證數據資源滿足在所有傳輸、處理、儲存等環節內的機密性、完善性和實用性方面設定的條件。

（3）服務可用。供給服務是它存在的價值體現，應當確保云計算供給服務的可訪問性、服務的不間斷性和服務功能的靈活性，保證服務效果。

（4）虛擬安全。云計算的關鍵技術為虛擬技術，應當保證宿主機與虛擬技術自身的安全，對享受服務的對象供給資源分離保護機制。

3 云計算等級保護基本要求

因為云計算屬于原有信息體系發展的產物，當前的等級保護基本要求可以滿足保證云系統內大多數的保護能力需求。針對以往的基本要求來說，很難實現這個目標，因此不得不面臨一定的威脅與風險，下文在以GB/T 22239-2008為基礎的條件下，研究了云等保基本要求需要遵守的標準，主要表現為以下幾個方面：

（1）將當前的5大技術與5大管理保障類當作框架，保證云等保基本要求對于結構方面的兼容性，以當前的系統為基礎進一步展開優化。

（2）把威脅相應的保護能力要求實施劃分，借助強化當前基礎要求控制點要求項實現的，強化詳細要求的介紹實現，對于難以包含在當前控制點下的威脅，借助提出新控制點同時確定詳細要求項實現。

（3）云計算的核心為服務形式的轉變，所以基本要求的更新針對管理方面來說，主要表現為服務的管理，而針對技術方面來說，主要表現為服務的能力，對于以上兩個方面添加新的控制點與要求項，構建對云計算服務的保障能力。

按照云計算所特有的特點，它的基本要求重點定位于服務保障與資源管理兩個方面。針對技術要求來說，因為云計算重點供給虛擬化的服務資源，所以對于資源和服務的虛擬化管理和監控技術需要培養核心的技術要求。管理要求上應當進行細化，主要包含分析服務的管理、保護，尤其應當確定分析云體系之間的安全保護能力與管理要求。

對于云計算信息體系新增的威脅來說，云計算等級保護基本要求注重對用戶的管理、虛擬資源的安全與監管、云服務的保護與制約、數據資源的分離和辨識。針對技術方面來說，在數字密鑰、數據隱私防護和虛擬安全等技術層面都獲得了進一步地優化與創新。針對管理方面來說，應當深入健全云計算服務領域的法規、第三方監控評價和規范服務合同與管理。借助云計算等級保護要求的有效實行，達到對云服務從出生至死亡的管理。

4 結語

十八大指出，應當重視海洋、太空以及網絡空間的安全，完善信息安全保護機制，要在拓展云計算技術使用規模的基礎上，深入健全其信息體系的安全保護機制。將我國的戰略作為支撐，云計算系統結構下的信息安全保護與評價機制會從根本上獲得推廣與優化。信息體系等級保護機制是我國重要的原則與評價指標，從推出之后，就發揮了顯著的作用，對于保證我國信息基本設施與信息資源的安全提供了重要的保障。本文在概括目前云計算安全探究進展的前提下，以其服務形式的基礎特點作為出發點，筆者以創新的眼光推出了以云計算信息體系等級保護為基礎的會面臨的威脅，重視怎樣開發與完善當前的保護系統，在不斷研究云框架和等保特點的狀況下，推出了一個新型的評價標準系統。對于云計算信息體系服務計算的特征，探究性地拓展了等保要求，同時給出了各個層級之下云計算等保的基礎保護能力要求，為等保評價系統在云計算結構下的優化與推廣提供了依據。

[1]楊健，汪海航，王劍等.云計算安全問題研究綜述[J].小型微型計算機系統，2012.

[2]孫鐵,云計算下開展等級保護工作的思考[J].信息網絡安全，2011.

[3]張云勇，陳清金，潘松柏等.云計算安全關鍵技術分析 [J].電信科學，2010.