淺談網(wǎng)絡(luò)安全等級保護2.0下的云計算安全風(fēng)險

黨超輝 馬志偉 李樹新 郭鎮(zhèn)鑫

隨著大數(shù)據(jù)、云計算和移動互聯(lián)等新技術(shù)的出現(xiàn)，原有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系已不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)防護需求，經(jīng)國家相關(guān)部委的重新修訂，我國正式進入網(wǎng)絡(luò)安全等級保護2.0 時代。本文將對網(wǎng)絡(luò)安全等級保護2.0背景下，云計算安全風(fēng)險和云計算安全系統(tǒng)要點進行簡要分析，在此基礎(chǔ)上探索行之有效的云計算安全風(fēng)險保護策略，以期提升網(wǎng)絡(luò)安全等級保護2.0 下云計算安全的保護水平，推動相關(guān)行業(yè)的持續(xù)發(fā)展。

傳統(tǒng)計算模式下，用戶會享有數(shù)據(jù)儲存和計算的完全控制權(quán)，而在云計算模式下，用戶僅享有虛擬機的控制權(quán)，數(shù)據(jù)的管理權(quán)完全掌握在云服務(wù)提供商手中。隨著網(wǎng)絡(luò)安全等級保護2.0 時代的到來，用戶更加關(guān)注云計算數(shù)據(jù)的私密性、安全性以及可用性。因此，在分析云計算安全風(fēng)險以及安全系統(tǒng)要點的基礎(chǔ)上，探究云計算安全風(fēng)險的保護策略，對于提高云計算數(shù)據(jù)安全性，推動網(wǎng)絡(luò)信息技術(shù)發(fā)展具有重要的意義。

云計算安全風(fēng)險分析

網(wǎng)絡(luò)安全等級保護2.0背景下，云計算安全風(fēng)險主要體現(xiàn)在2 個方面：一方面是安全漏洞風(fēng)險，目前l(fā)aaS，PaaS，SaaS是云計算的3個主要類型，隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，人們對于應(yīng)用程序的安全性提出了更高的要求，而SaaS 中云應(yīng)用軟件是否存在技術(shù)性安全漏洞，始終是行業(yè)內(nèi)人員思考和研究的重點課題;另一方面是法律法規(guī)風(fēng)險，云計算是近幾年新興的前沿性網(wǎng)絡(luò)信息技術(shù)，由于科學(xué)技術(shù)的發(fā)展速度遠大于國家法律法規(guī)的修訂周期，因此，現(xiàn)階段關(guān)于云計算的法律法規(guī)仍不健全，導(dǎo)致云計算數(shù)據(jù)安全性和私密性無法得到法律法規(guī)的全面保護，從而產(chǎn)生安全風(fēng)險。

云計算安全系統(tǒng)要點分析

數(shù)據(jù)儲存的完整性

云計算數(shù)據(jù)儲存屬于邏輯存儲方式，用戶無法獲知數(shù)據(jù)真實的物理位置，從而對云計算數(shù)據(jù)儲存的機密性和完整性比較擔(dān)心，因此確保數(shù)據(jù)儲存的完整性與機密性便成為云計算安全系統(tǒng)等級保護的要點。

云日志的安全性

云計算技術(shù)的發(fā)展和普及速度飛快，已經(jīng)成為各類系統(tǒng)的主要載體，而云服務(wù)提供商會將云計算系統(tǒng)的所有工作日志進行保留。作為供應(yīng)商的內(nèi)部資料，云日志的安全性和管理質(zhì)量普遍被人們所擔(dān)憂，因此云日志安全管理是云計算安全系統(tǒng)等級保護的要點。

訪問控制的安全性

目前，很多企業(yè)都會將數(shù)據(jù)信息上傳至云計算系統(tǒng)中，從而經(jīng)常出現(xiàn)同一個物理設(shè)備或虛擬環(huán)境中存有競爭對手?jǐn)?shù)據(jù)信息的情況。因此，訪問控制的安全性也成為云計算安全系統(tǒng)等級保護的一個要點。

云密鑰的安全性

云數(shù)據(jù)保護是云計算等級保護的核心，因此，技術(shù)人員會從技術(shù)和管理2個角度對云計算數(shù)據(jù)進行加密處理，同時對多種身份驗證行為也采用加密處理。因此，云密鑰的安全性必然是云計算安全系統(tǒng)等級保護的要點。

網(wǎng)絡(luò)安全等級保護2.0下的云計算安全風(fēng)險保護策略

建設(shè)網(wǎng)絡(luò)信任體系

在網(wǎng)絡(luò)安全等級保護2.0背景下，可以通過以下措施構(gòu)建網(wǎng)絡(luò)信任體系，從而加強云計算安全風(fēng)險的保護效力：① 搭建CA認(rèn)證系統(tǒng)，向業(yè)務(wù)系統(tǒng)提供身份認(rèn)證、證書生成等技術(shù)服務(wù)，給予用戶安全可信的支撐服務(wù);② 基于CA 認(rèn)證系統(tǒng)的技術(shù)支持，對用戶信息進行統(tǒng)一管理，為業(yè)務(wù)系統(tǒng)訪問、網(wǎng)絡(luò)接入和操作系統(tǒng)登錄提供統(tǒng)一的身份認(rèn)證。

建設(shè)安全技術(shù)體系

安全技術(shù)體系建設(shè)包含以下措施：結(jié)合惡意代碼防護、入侵檢測與防御、身份認(rèn)證、邊界防護、訪問控制和安全審計等技術(shù)構(gòu)建基礎(chǔ)性安全技術(shù)防護體系;為云計算平臺設(shè)置虛擬化安全防護系;為云安全資源池設(shè)置安全防護體系;對公有云環(huán)境下不同租戶、私有云環(huán)境下不同虛機進行南北向安全防御與隔離;利用云端監(jiān)測類服務(wù)和安全防護功能進行縱深防御;結(jié)合數(shù)據(jù)生命周期，通過數(shù)據(jù)脫敏、訪問控制和身份認(rèn)證等技術(shù)手段，對主客體間的訪問路徑和行為實施安全防御;利用態(tài)勢感知系統(tǒng)、APT 攻擊防護系統(tǒng)實現(xiàn)主動式安全預(yù)判和安全檢測，使安全防護可視化。

建設(shè)安全管理體系

安全管理體系的建立主要包含4 個關(guān)鍵內(nèi)容：① 建立健全安全管理組織機構(gòu)，完善各項安全管理制度，切實提升安全管理的實效性;② 加強硬件設(shè)施建設(shè)以及相關(guān)工作人員培訓(xùn)工作，通過安全管理軟實力和硬實力的提升，達到提升安全風(fēng)險防控水平的目的;③ 加強云計算系統(tǒng)設(shè)計、搭建和檢驗等環(huán)節(jié)的管理力度，提升云計算系統(tǒng)和平臺的安全性和穩(wěn)定性;④ 通過組建專業(yè)安全運維團隊或運維服務(wù)外包的方式，增強運維能力，確保云計算安全風(fēng)險保護的持續(xù)性和穩(wěn)定性。

建設(shè)風(fēng)險管理體系

與第三方專業(yè)安全測評機構(gòu)共同構(gòu)建風(fēng)險管理體系，借助三方機構(gòu)的專業(yè)性對云計算風(fēng)險保護工作的合規(guī)性進行測評。另一方面，對現(xiàn)有安全系統(tǒng)殘留風(fēng)險進行監(jiān)控和處理。

綜上所述，網(wǎng)絡(luò)安全等級保護2.0背景下，云計算安全保護工作備受人們的關(guān)注，為進一步提升云計算安全保護能力，相關(guān)企業(yè)和技術(shù)人員應(yīng)明確其主要風(fēng)險點及安全系統(tǒng)的建設(shè)要點，并通過網(wǎng)絡(luò)信任、安全技術(shù)、安全管理和風(fēng)險管理4個體系的構(gòu)建，使云計算安全保護滿足網(wǎng)絡(luò)安全等級保護2.0的需求。