基于云計算租戶側等保測評的要點與思考

摘要：網絡安全等級保護制度是我國信息系統合規性測評的關鍵機制，歷經十余年發展，其技術標準體系和法律法規框架已歷經多次調整與修訂。云計算技術因其廣泛的適用性與成熟度，已逐漸形成公有云、私有云、混合云及社區云等多種平臺架構。當前，諸多大型信息系統從傳統物理機房向云租戶模式遷移。盡管云服務提供商在基礎設施層提供了較傳統環境更為嚴格的安全控制措施，但攻擊技術的持續演進使得云租戶側面臨新的安全挑戰。該文基于云計算的三類服務模式，在等級保護2.0框架下，依據等保新規的指導原則，系統分析云租戶面臨的測評要點，進而提出針對性的測評方法優化路徑與關鍵技術改進方向，旨在為構建適應云計算環境的等級保護測評體系提供理論支撐與實踐參考。

關鍵詞：等保測評；云計算技術；網絡安全；數據安全

中圖分類號：TP309.2" " " " 文獻標識碼：A

文章編號：1009-3044（2025）23-0084-03

開放科學（資源服務） 標識碼（OSID）

2025年3月，公安部網安局發布了《關于進一步做好網絡安全等級保護有關工作的函》（公網安〔2025〕1001號） ，該文件對信息系統責任單位的備案管理機制及第三方測評機構的業務開展提出了新的要求。然而，在云計算多租戶環境下，傳統的“一個中心、三層防護”測評模式難以有效應對云服務架構的動態性和復雜性。存在云租戶系統安全邊界模糊、責任劃分不清等問題，現有測評標準與云環境實際安全需求存在脫節，使得云租戶系統面臨安全風險。本研究旨在通過分析云計算不同模式的測評范圍，系統評估云租戶系統與其所需安全等級之間的差距，不僅關注合規性要求的滿足，更致力于實現“從合規到安全”的目標跨越，探索建立適應云環境特點的新型測評機制。

1 云租戶的責任劃分與測評范圍

云計算模式主要分為三類：基礎設施即服務（IaaS） 、平臺即服務（PaaS） 和軟件即服務（SaaS） 。租戶責任根據云服務模式（IaaS、PaaS、SaaS） 的不同而動態調整。IaaS模式下，租戶負責操作系統防護、數據庫安全策略配置、業務應用及中間件的安全管理。PaaS模式聚焦業務應用與數據安全，安全能力由云平臺提供。SaaS模式下，租戶僅需保障數據安全的合理配置。這三種模式從底層硬件資源到上層應用程序，為用戶提供不同層次的服務，滿足多樣化的業務需求。具體如圖1所示。

2 云租戶模式下的測評要點

根據《關于對網絡安全等級保護有關工作事項進一步說明的函》（公網安〔2025〕1846號） 的要求，并參考《關于印發〈網絡安全等級保護測評高風險判定實施指引（試行） 〉的通知》（公網安〔2025〕2391號） ，首次引入“重大風險隱患”這一量化指標，并從“相關性”“嚴重性”“高發性”三個維度明確判定標準，綜合分析是否為重大風險隱患。重大風險隱患可能由一個高風險問題直接引發，也可能是多個高、中、低安全問題的疊加。以下是從重大安全風險隱患的角度出發，對云計算的三類服務模式，系統分析應關注的測評要點，并提出相應的整改建議。

2.1 IaaS模式租戶側

2.1.1 虛擬機網絡隔離

在云計算平臺的多租戶架構環境下，由于資源共享特性，通常存在多個租戶系統并行部署的情況。若未能有效實施虛擬網絡隔離技術，將導致訪問控制邊界缺失，造成安全策略混亂，進而引發以下安全風險：①數據泄漏風險：不同云租戶的數據在同一虛擬網絡下未采取隔離措施，導致客戶數據泄露。②服務中斷風險：單一租戶遭受DDoS攻擊或系統故障時，可能影響共享底層資源，導致其他租戶服務可用性降低。③資源配置問題：不同的云租戶具有不同的安全要求，若無法有效管控安全策略，可能會出現有的客戶被保護過度，而有的客戶卻被保護不足的情況，使云平臺的安全體系處于混亂狀態，造成安全風險。④訪問控制邊界模糊：無法準確限制不同云租戶之間的訪問，使得攻擊者更容易繞過訪問控制機制，獲取未經授權的資源訪問權限[1]。

應做好不同業務之間、不同虛擬機之間的網絡隔離措施。基于VXLAN在數據鏈路層隔離廣播域，確保不同租戶流量互不可見。利用VPC技術為每個租戶創建獨立網絡空間，支持自定義子網、路由策略和安全規則，實現網絡隔離，防止未授權的云主機之間相互訪問，隔離網絡流量，杜絕跨租戶數據竊取或泄露，限制單點安全事件的影響范圍，避免波及其他租戶，阻斷內部橫向移動路徑，有效防御勒索軟件擴散。

2.1.2 虛擬機補丁與漏洞管理

在云計算環境中，租戶設備通常部署于內網，相較直接暴露于外網，能夠有效降低遭受外部網絡攻擊的風險。然而，內網并非絕對安全，攻擊者仍可能通過利用緩沖區溢出、越權訪問、遠程代碼執行等高危安全漏洞發動攻擊。①攻擊者可以利用緩沖區溢出來覆蓋內存的關鍵區域，造成程序崩潰或者運行惡意代碼（如提權） ；②攻擊者可使用越權訪問漏洞來訪問他人的私有數據，通過繞過身份驗證拿到管理員權限，進而修改系統設置；③攻擊者可以利用遠程代碼執行（RCE） 漏洞對系統發起攻擊，獲得服務器、數據庫權限，植入后門、勒索軟件或者發起DDoS攻擊，進而破壞系統或竊取重要數據等[2]。

應建立自動化補丁更新機制，通過云堡壘機進行補丁更新。對于工業控制系統或物聯網系統等資產數量較大的企業信息系統，可通過辦公系統發送漏洞補丁由員工進行安裝。針對云鏡像內置的中間件進行基線漏洞掃描，高危漏洞修復需在云服務商規定時限內完成。

定期開展漏洞掃描及滲透測試工作，并對發現的漏洞進行整改加固，對漏洞清單進行跟蹤，確保發現的安全漏洞已得到有效的加固處置。如收到重點漏洞的安全通告信息，應立即對掃描設備進行漏洞庫更新，并立即開展重點漏洞的隱患排查，確保第一時間進行處置加固[3]。

2.1.3 宿主機逃逸防護

云平臺作為域控系統，負責管理和控制網絡中的多個節點和用戶，如果缺乏重點防護措施，一旦遭受攻擊，可能導致整個網絡域內的用戶身份驗證、資源訪問控制等功能失效。攻擊者可以突破虛擬化隔離層，直接控制宿主機操作系統，竊取其他虛擬機敏感數據或植入持久化惡意程序，通過宿主機權限橫向滲透至同一物理服務器上的其他虛擬機，形成鏈式攻擊路徑，控制更多的節點，造成大規模的數據泄露或系統癱瘓。

嚴格限制虛擬機權限，禁止虛擬機開啟嵌套虛擬化功能；屏蔽虛擬機調用VMXON等敏感CPU指令，監控運行行為；部署TPM芯片實現基于可信根驗證啟動鏈完整性；利用沙箱技術，對可疑程序進行動態行為分析，監控并識別異常指令序列；通過AI技術的機器學習，分析Hypervisor調用模式，識別潛在逃逸行為，采集日志，并通過關聯分析形成逃逸攻擊特征庫。

2.2 PaaS模式租戶側

2.2.1 應用系統內外網隔離

政務云平臺作為典型案例，多個政府職能部門在其上部署了支撐核心業務運作的信息系統。從業務安全需求角度考量，諸如協同辦公系統、財務管理系統等關鍵業務系統應當部署于政務內網環境中運行。政務內網作為承載政府部門重要業務數據和敏感信息的基礎設施，其安全性至關重要。然而在實際運維過程中，部分系統使用人員出于操作便利性考慮，存在違規建立內網與互聯網連接通道的行為，這構成了重大的安全隱患。攻擊者可以利用互聯網的開放性，通過違規互聯通道進入內網服務器，極易橫向滲透到內網其他系統，獲取內網核心數據，造成嚴重的數據泄露和系統破壞，對系統造成重大危害的可能性極高[4]。

應禁止任何未經授權的內網與互聯網連接行為，建立網絡訪問審批流程；面向全體員工開展網絡安全知識培訓，內容包括網絡安全法律法規、常見網絡攻擊手段、違規互聯的危害等，以提高員工的網絡安全意識和防范能力；對網絡訪問日志進行詳細記錄和定期審計，追蹤違規連接行為，一旦發現違規操作，立即采取阻斷措施，并對相關責任人進行追責。

2.2.2 應用系統最小化服務原則

在云計算環境中，雖然云平臺的安全防護機制較為完善，但并非絕對安全。尤其是部署于公有云環境中的服務器通常直接暴露于互聯網，其遭受網絡攻擊的安全風險極大。

Linux操作系統：攻擊者可通過21（FTP） /23（Telnet） 端口進行暴力破解、信息嗅探、匿名登錄，獲取遠程登錄權限，進而可能實施惡意篡改或竊取重要數據等行為。

Windows操作系統：攻擊者可通過135端口發起DCOM服務攻擊，獲取管理員權限，導致惡意篡改或竊取重要數據等后果；攻擊者可利用137、138、139端口的NetBIOS服務進行信息探測或網絡攻擊；攻擊者可利用445端口傳播“永恒之藍”等勒索病毒，影響系統可用性，對系統造成重大危害的可能性極高。

應遵循最小化原則，關閉不必要的端口和服務，封禁高危端口，禁止相關系統服務。

2.2.3 中間件配置安全

在PaaS模式下，中間件由建設方自行部署。在安全加固方面，往往只重視主機層和應用層，而中間件則會被忽視，中間件依賴組件（如OpenSSL） 存在低版本漏洞。另外，例如nacos和Elasticsearch，通過默認賬戶口令，即可訪問中間件管理后臺，其配置信息中存在服務器和數據庫的IP和賬戶口令，攻擊者可直接遠程登錄服務器和數據庫，讀取重要數據或者修改數據庫中的內容，造成惡意篡改或竊取重要數據等嚴重后果。

應僅部署官方穩定版本（如Nginx 1.24.0及以上） ，并啟用自動安全更新機制，定期修復已知漏洞；對于中間件依賴的一些組件如OpenSSL等，可采取熱補丁升級方式，在避免業務中斷的同時消除安全隱患；移除默認demo和測試頁，例如Tomcat的examples目錄下的內容；關閉未使用的模塊，如Apache的mod_include；修改中間件的默認端口，例如nacos的8848端口、Elasticsearch的9200端口。

2.3 SaaS模式租戶側

2.3.1 云服務合規性驗證

相對于傳統技術，云技術采用虛擬化技術實現物理資源的邏輯隔離和動態分配，云租戶無法直接監測物理資源底層的硬件狀態，也分離了對其的所有權和使用權。由于用戶無法直接控制物理資源，不可信云服務提供商（Cloud Service Provider，CSP） 可能與服務等級協議（Service Level Agreement，SLA） 不相符，用戶難以驗證云服務SLA的合規性，導致云租戶很難判斷云服務商是否違背合約或者不按照SLA的要求履行義務，影響其使用云服務的積極性。此外，虛擬機管理程序和容器引擎的隔離機制存在差異，安全與性能驗證標準不同。全虛擬化需要驗證硬件模擬層完整性，而容器虛擬化需重點檢測內核共享引發的逃逸風險。網絡虛擬化疊加后，會使原本線性的流量路徑變得復雜，增加多端聯動的復雜度，容易造成SLA測試結果不易驗證的情況。

應開展跨租戶滲透測試，驗證VPC策略、RBAC配置能否有效杜絕越權訪問，對加密存儲的敏感數據實施密鑰輪換測試，確保數據隔離機制可靠；部署SLA雙因素認證，僅允許MFA設備訪問生產環境，收斂動態權限，配置細粒度訪問策略，即限定審計白名單IP，選用客戶可信的密鑰模式，確保云服務商無法解密租戶業務數據；對于有跨境傳輸的數據場景，采取分段加密和代理重加密的方式滿足數據本地化的合規要求。

2.3.2 數據導出審計

云平臺SaaS模式大多采取共享數據庫或混合存儲方式，各云租戶數據可能共存于同一物理存儲單元內，在導出時需要基于租戶邊界進行限制，否則會造成租戶間的數據越權訪問。云動態權限策略（如基于角色的RBAC） 若未與導出功能深度綁定，可能因臨時權限提升導致敏感數據違規導出，造成風險隱患。

建議云租戶通過API、Web界面或后臺腳本等多渠道發起導出請求，采集全鏈路的日志數據，完整構建起一套審計證據鏈。對于高頻的批量導出場景，使用具有熱冗余的安全審計系統，針對數據內容進行分類標記，并對導出的數據內容抽樣檢查，必要時進行脫敏取證[5]。

2.3.3 第三方接入管控

第三方接入相當于為單位網絡打開多個新的入口，當管控缺失時，攻擊者可通過這些入口攻擊第三方系統，利用其與單位網絡的連接，橫向滲透到單位內部網絡，傳播病毒、竊取數據；不同行業對數據安全和業務合作有嚴格的合規要求，第三方接入管控缺失可能使單位違反相關法規；一旦第三方出現安全問題，會波及單位形象，引發單位的信任危機，從而降低用戶對單位產品和服務的信任度，影響單位業務拓展。

建議利用安全設備實現第三方網絡與單位內網間的安全隔離，限制第三方對本單位資源的訪問權限；從最小權限的角度出發，只允許開放必要的端口及服務，并做好數據的加密工作，防止數據在傳輸過程中被竊聽、篡改；與第三方共同簽訂數據泄露、系統故障等安全事項的應急處置預案，明確雙方在應急處置時應遵循的原則和流程。

3 結束語

本文通過對云平臺租戶側等保測評的實踐探索，將等保2.0與新文件標準相結合，針對云租戶的三種服務模式，提供云計算環境下的等保測評指引。云平臺租戶側的等保測評不僅是合規要求，更是驅動云計算安全生態良性發展的關鍵引擎。隨著技術的不斷演進，需要持續探索安全與效率的平衡點，為數字中國和安全強國建設筑牢云上安全防線。

參考文獻：

[1] 何文康，秦余芬，聶耀峰，等.基于等級保護2.0標準的公有云上業務安全測評研究與實踐[J].網絡安全技術與應用，2025（2）：72-77.

[2] 高航.淺談云安全等級保護測評[J].網絡安全和信息化，2024（4）：6-9.

[3] 嚴浩，石西華.滲透測試在網絡安全等保測評中的運用[J].電子技術與軟件工程，2021（24）：240-241.

[4] 魏玉峰.關于政務云平臺網絡安全等級保護工作的思考[J].網絡安全技術與應用，2023（12）：103.

[5] 趙少飛.淺談等保測評中企業面臨的安全風險和應對措施[J].網絡安全技術與應用，2022（10）：98-99.

【通聯編輯：代影】