湯 飛，張 彥

（1.中國鐵道科學研究院 研究生部，北京 100081；2.中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

云計算環(huán)境下信息系統(tǒng)安全防護

湯 飛1,2，張 彥2

（1.中國鐵道科學研究院 研究生部，北京 100081；2.中國鐵道科學研究院 電子計算技術(shù)研究所，北京 100081）

本文通過綜合分析云計算系統(tǒng)存在的安全風險，結(jié)合云計算系統(tǒng)分層架構(gòu)特點，提出了一種基于“一個中心、五個層面，兩重保障”策略的云計算安全防護方案。該方案針對云計算系統(tǒng)安全風險設(shè)計，并與云計算系統(tǒng)分層架構(gòu)特點相適應(yīng)，為云計算技術(shù)全方位安全防護提供了一種新的方法。

云計算安全；云計算安全風險；云計算系統(tǒng)架構(gòu)；云計算安全防護

云計算基于資源虛擬化的方式，利用高速互聯(lián)網(wǎng)的傳輸能力，將網(wǎng)絡(luò)上分布的計算、存儲、服務(wù)構(gòu)件、網(wǎng)絡(luò)軟件等資源集中起來，把數(shù)據(jù)的處理過程從個人計算機或服務(wù)器轉(zhuǎn)移到一個大型的計算中心，以服務(wù)的形式為用戶提供計算能力和存儲能力[1]，實現(xiàn)計算與存儲的分布式與并行處理。云計算以其獨特的技術(shù)特點和優(yōu)勢，越來越多地被部署到實際應(yīng)用中，隨之而來的云計算安全問題也日益突出。

1 云計算技術(shù)安全背景

云計算技術(shù)為用戶帶來了極大便利，也成為攻擊者的最佳目標，近年云計算安全事件層出不窮。頻繁的安全事件，使得云計算安全的重要性和緊迫性更加突出地展現(xiàn)在研究者面前。

云計算安全存在于特權(quán)用戶權(quán)限、法規(guī)遵從、數(shù)據(jù)存放位置、數(shù)據(jù)隔離及恢復和追溯支持等方面[2]；云安全聯(lián)盟CSA在云計算安全指南中提出，云計算安全管理需從云的治理和云的運行兩方面著手[3]；IT安全管理指南ISO/IEC TR 13335的風險管理模型[4]，通過管理驅(qū)動技術(shù)，利用技術(shù)實現(xiàn)管理，給出了一種實現(xiàn)安全云計算的思路；遵照動態(tài)安全事件處理[5]（PDR模型）發(fā)展出的“花瓶模型”，使用安全基線來實現(xiàn)云計算安全；此外，隨著國內(nèi)信息安全等級保護[6]工作的進一步開展，分等級保護的思想也為云計算安全提供了借鑒。

本文針對云計算平臺分層架構(gòu)的特點，通過分析云計算在應(yīng)用系統(tǒng)中的安全風險，給出了一種與分層架構(gòu)特點相適應(yīng)的云計算安全保護方案。

2 云計算系統(tǒng)架構(gòu)及安全風險

2.1 云計算系統(tǒng)分層架構(gòu)

云計算模式下信息系統(tǒng)架構(gòu)分為云計算平臺和云計算終端，云計算平臺包括基礎(chǔ)設(shè)施層、虛擬化層、平臺層、應(yīng)用層4層結(jié)構(gòu)[7]。

云計算模式下信息系統(tǒng)架構(gòu)如圖1所示。

云計算終端是信息系統(tǒng)的各業(yè)務(wù)端，按需獲取云計算平臺的存儲、網(wǎng)絡(luò)及計算資源，是云計算系統(tǒng)的服務(wù)使用者。

圖1 云計算模式下信息系統(tǒng)架構(gòu)

2.2 云計算系統(tǒng)安全風險

2.2.1 網(wǎng)絡(luò)邊界風險

云模式下信息系統(tǒng)網(wǎng)絡(luò)實體可分為終端用戶實體和云平臺實體。攻擊者可從云計算終端與云計算平臺邊界、云計算平臺內(nèi)部邊界侵入，對云計算系統(tǒng)實施破壞。因此，云計算信息系統(tǒng)邊界安全應(yīng)從云終端與云平臺間邊界和云平臺內(nèi)邊界綜合考慮。

（1）云終端與云平臺間邊界風險

云終端與云平臺間邊界風險來自于云平臺外部，攻擊者可利用外部邊界的安全弱點和漏洞，如云平臺未對訪問數(shù)據(jù)執(zhí)行SYN檢查，對信息系統(tǒng)發(fā)起拒絕服務(wù)攻擊，破壞信息系統(tǒng)安全。

（2）云平臺內(nèi)邊界風險

云平臺內(nèi)邊界風險指組成云平臺不同功能模塊間的安全風險，這種風險來自于云平臺內(nèi)部，如管理人員誤操作、某功能模塊感染病毒引起擴散等，此類邊界安全風險也需得到有效控制。

2.2.2 數(shù)據(jù)安全風險

（1）數(shù)據(jù)存儲、傳輸及處理安全

云計算系統(tǒng)租戶數(shù)據(jù)的整個生命周期，包括存儲、傳輸及處理，數(shù)據(jù)的機密性、可用性和完整性均可能會受到破壞。非法復制、獲取、移動將會導致數(shù)據(jù)在存儲過程的安全受到威脅，非法竊聽、攔截、篡改等將導致數(shù)據(jù)在傳輸過程的安全受到威脅，非法侵入、滲透、溢出將會導致數(shù)據(jù)在處理過程的安全受到威脅。

（2）數(shù)據(jù)隔離安全

云計算模式下，不同租戶共享網(wǎng)絡(luò)、存儲和計算能力，使得租戶數(shù)據(jù)可能在同一網(wǎng)絡(luò)中進行數(shù)據(jù)傳輸，在同一磁盤中進行數(shù)據(jù)存儲，在同一內(nèi)存區(qū)中進行數(shù)據(jù)處理，這為租戶間數(shù)據(jù)的非法訪問提供了便利條件。云計算平臺應(yīng)采取有效措施對數(shù)據(jù)進行隔離，保證不同租戶數(shù)據(jù)的安全及隱私。

（3）數(shù)據(jù)剩余信息安全

云計算環(huán)境下，數(shù)據(jù)使用共享的方式存儲，租戶數(shù)據(jù)在業(yè)務(wù)發(fā)生遷移或刪除時，需防止惡意恢復盜取數(shù)據(jù)。若存儲資源重新分配前數(shù)據(jù)擦除不徹底，惡意恢復事件將導致用戶私密信息泄漏。

2.2.3 虛擬化安全風險

（1）虛擬機隔離

多租戶環(huán)境下，不同租戶虛擬機共享物理資源。虛擬機不徹底的安全隔離，會導致非法租戶在未經(jīng)授權(quán)情況下，訪問其他租戶的數(shù)據(jù)，甚至干擾其他租戶應(yīng)用程序的正常運行。

（2）虛擬機監(jiān)控

同一物理主機下不同虛擬機間數(shù)據(jù)交互產(chǎn)生的流量，并不經(jīng)過物理交換機，因而無法被物理交換機檢測到；導致物理安全防護設(shè)備無法監(jiān)控虛擬機間的數(shù)據(jù)交換過程，無法察覺虛擬機間的攻擊行為，這為虛擬機間的互相攻擊提供了方便。

（3）虛擬機防護

與傳統(tǒng)物理主機類似，虛擬機也面臨著病毒、木馬、惡意代碼等破壞性程序的安全威脅，因此虛擬機應(yīng)加強自身安全防護，如操作系統(tǒng)最小化配置、及時更新補丁等，防止遭到外部安全威脅攻擊導致系統(tǒng)無法正常提供服務(wù)。

2.2.4 服務(wù)可用性風險

（1）內(nèi)部軟件風險

云計算平臺是由多種軟件組合協(xié)同構(gòu)成的復雜龐大體系，這些軟件內(nèi)部及軟件之間，可能存在影響云服務(wù)可用性的安全風險。如軟件運行因介質(zhì)損壞、外部攻擊，或自身錯誤、安全漏洞等無法正常進行，會導致云計算服務(wù)的可靠性和穩(wěn)定性遭到破壞，無法正常為終端租戶提供服務(wù)。

（2）外部接口風險

云計算平臺按照統(tǒng)一的標準和格式，開放API接口給租戶，實現(xiàn)云平臺與租戶間的交互。不安全的API接口將給云計算系統(tǒng)帶來安全風險，利用它攻擊者可實施注入攻擊、拒絕服務(wù)攻擊，甚至繞過安全機制獲取系統(tǒng)權(quán)限，給系統(tǒng)帶來災(zāi)難性后果。

（3）備份與恢復風險

云模式下終端租戶不再介入數(shù)據(jù)處理過程，數(shù)據(jù)的存儲維護管理工作全部交由云平臺接管，若云數(shù)據(jù)中心所在位置發(fā)生不可預知、不可抵抗的災(zāi)難性事件，數(shù)據(jù)和服務(wù)將可能完全丟失。

3 云計算系統(tǒng)安全方案

根據(jù)云計算系統(tǒng)分層架構(gòu)特點，提出基于“一個中心、五個層面，兩重保障”策略的云計算系統(tǒng)安全設(shè)計方案。

一個中心，是指云計算安全管理中心，內(nèi)容包括統(tǒng)一的安全監(jiān)控管理、統(tǒng)一的認證及權(quán)限管理、統(tǒng)一的脆弱性管理和統(tǒng)一的安全審計管理；五個層面，是指5個安全防護層面，包括基礎(chǔ)設(shè)施層安全防護、虛擬化層安全防護、OS平臺層安全防護、應(yīng)用層安全防護、云終端安全防護?！耙粋€中心、五個層面”架構(gòu)如圖2所示。

圖2 “一個中心、五個層面”架構(gòu)

兩重保障，是指兩重災(zāi)備安全保障，包括同城數(shù)據(jù)災(zāi)備中心保障和異地數(shù)據(jù)災(zāi)備中心保障[8]，其架構(gòu)如圖3所示。

圖3 “兩重保障”架構(gòu)

3.1 “一個中心、五個層面”安全設(shè)計

3.1.1 基礎(chǔ)設(shè)施層安全設(shè)計

（1）物理安全

服務(wù)提供者應(yīng)確保其物理設(shè)施的接入點是被保護的，利用值班員看守、安全攝像機、全身掃描及其他措施防止違規(guī)行為的發(fā)生，對接入點環(huán)境的溫濕度、煙霧、漏水等實施全天監(jiān)控。

（2）網(wǎng)絡(luò)結(jié)構(gòu)安全

虛擬化后網(wǎng)絡(luò)邊界模糊，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)邊界設(shè)計，在云計算平臺內(nèi)部邊界及云計算平臺與云計算終端間邊界采取措施保證網(wǎng)絡(luò)結(jié)構(gòu)安全。

3.1.2 虛擬化層安全設(shè)計

（1）虛擬機隔離

虛擬機應(yīng)進行安全隔離，實現(xiàn)虛擬機與物理機、虛擬機之間可靠隔離，保證虛擬機和物理機上的租戶間業(yè)務(wù)互不干擾。同一物理機的不同虛擬機間數(shù)據(jù)的通信可采取VPN方式，既實現(xiàn)了虛擬機間的安全隔離，又保證了數(shù)據(jù)的安全。

（2）虛擬機監(jiān)控

對虛擬機進行全面安全監(jiān)控，包括資源使用狀態(tài)、進程狀態(tài)、流量狀態(tài)等，為解決虛擬機間流量不可見問題，可擴充虛擬化層功能，實施流量監(jiān)控。

（3）虛擬機安全

對虛擬機系統(tǒng)本身，按照主機安全的要求，進行主機安全加固，對操作系統(tǒng)功能模塊進行最小化配置、及時更新補丁等。

3.1.3 平臺層安全設(shè)計

（1）數(shù)據(jù)傳輸安全

用戶終端到云端傳輸通道采用VPN和數(shù)據(jù)加密等技術(shù)，實現(xiàn)用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程的安全；系統(tǒng)管理員及維護人員對云端的維護操作采用加密通道，保證管理過程的安全。

（2）數(shù)據(jù)存儲安全

使用數(shù)據(jù)安全隔離技術(shù)，實現(xiàn)不同用戶間的數(shù)據(jù)信息的隔離；使用數(shù)據(jù)存儲加密技術(shù)，對數(shù)據(jù)存儲實施加密；各用戶享用獨立的存儲空間；具備完善數(shù)據(jù)銷毀機制，存儲資源在分配給其他用戶時必須進行徹底擦除；依據(jù)保密級別設(shè)置數(shù)據(jù)敏感標記，按照用戶權(quán)限和標識類型執(zhí)行訪問控制。

3.1.4 應(yīng)用層安全設(shè)計

（1）分級安全防護

云計算信息系統(tǒng)應(yīng)依據(jù)系統(tǒng)的重要類型、用戶類型，執(zhí)行不同等級的身份認證、訪問控制等策略，按照不同等級實施分級應(yīng)用安全防護。

（2）身份鑒別

建立統(tǒng)一完善的身份注冊登記制度，對新注冊的用戶實行嚴格審核報批，防止非法用戶的惡意注冊和對云資源的惡意利用；對用戶身份進行統(tǒng)一授權(quán)認證，實行多重身份認證機制。

（3）訪問控制

將傳統(tǒng)自主訪問控制、強制訪問控制和基于角色的訪問控制方法結(jié)合，按照實際業(yè)務(wù)需求設(shè)計訪問控制粒度級別，實現(xiàn)云模式下鐵路信息系統(tǒng)用戶與資源的訪問控制。

3.1.5 云終端安全設(shè)計

云終端應(yīng)部署安全軟件，包括防病毒軟件、個人防火墻以及IPS等；應(yīng)使用自動更新功能，定期完成瀏覽器及操作系統(tǒng)補丁更新工作，降低終端用戶被攻擊的風險。

3.1.6 云計算安全管理中心設(shè)計

（1）統(tǒng)一的安全監(jiān)控管理

對云計算系統(tǒng)下的所有軟硬件資產(chǎn)、各類事件，包括系統(tǒng)程序、應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、云終端和攻擊事件、入侵事件、網(wǎng)絡(luò)事件、報警事件等，實施統(tǒng)一監(jiān)控管理，確保系統(tǒng)資源及事件狀態(tài)的可見性和可管控性。

（2）統(tǒng)一的認證及權(quán)限管理

構(gòu)建基于CA證書的PKI認證系統(tǒng)，對用戶認證過程實施統(tǒng)一管理，既保證信息傳輸時的機密性、完整性和不可抵賴性，又保證認證過程的一致性；對系統(tǒng)所有用戶權(quán)限實施統(tǒng)一集中管理，細化訪問控制粒度，僅授予用戶完成自身業(yè)務(wù)所需的最小權(quán)限。

（3）統(tǒng)一的脆弱性管理

云計算平臺應(yīng)具備統(tǒng)一的脆弱性管理功能，實現(xiàn)自動脆弱性掃描分析和補救修復。構(gòu)建基于云計算平臺的脆弱性掃描分析引擎和脆弱性補救修復引擎以及病毒漏洞庫和修復補丁庫，定期對云計算系統(tǒng)的脆弱點進行掃描分析，并按照統(tǒng)一的補丁分發(fā)策略對系統(tǒng)的脆弱點進行修復。

（4）統(tǒng)一的安全審計管理

對系統(tǒng)內(nèi)各類日志的采集、傳輸、存儲、分析、處理、分類、展示等過程實現(xiàn)統(tǒng)一管理，采取措施防止日志遭到未預期的刪除、修改和覆蓋，日志內(nèi)容包括日期時間、事件類型、用戶、事件操作結(jié)果等字段，保證日志具有對不良事件發(fā)生后的審查能力。

3.2 “兩重保障”安全設(shè)計

云計算信息系統(tǒng)使用“兩重保障”進行災(zāi)備建設(shè)，包括在同城建立的2個云存儲中心和異地建立的數(shù)據(jù)備份災(zāi)備中心，如圖4所示。

圖4 云計算數(shù)據(jù)中心災(zāi)備方案

同城的2個云存儲中心可分別獨立承擔系統(tǒng)運行，雙中心利用高速鏈路完成實時數(shù)據(jù)同步，日常情況下可同時對外提供服務(wù)，并能切換運行。異地建立的云存儲災(zāi)備中心，使用異步復制方式同步雙中心數(shù)據(jù)，當同城雙中心全部故障后，可進行災(zāi)備應(yīng)急切換，使用備份數(shù)據(jù)恢復業(yè)務(wù)，實現(xiàn)在基本不丟失數(shù)據(jù)前提下確保業(yè)務(wù)連續(xù)運行。

4 結(jié)束語

本文依據(jù)云計算技術(shù)特點，提出了一種基于“一個中心、五個層面，兩重保障”策略的云計算安全設(shè)計方案，該方案與云計算系統(tǒng)分層架構(gòu)特點相適應(yīng)，為云計算技術(shù)的全面安全防護提供了一種新思路。

[1] 周澤巖，馬超群，付衛(wèi)霖，張 彥. 鐵路客票系統(tǒng)云計算模式及其安全策略的研究 [C] . 第八屆中國智能交通年會優(yōu)秀論文集—軌道交通，2013.

[2] Jay Heiser, Mark Nicolett. Assessing the Security Risks of Cloud Computing [R] . Stanford:Gartner Group, 2008.

[3] Security Guidance for Critical Areas of Focus in Cloud Computing [EB/OL]. https://cloudsecurityalliance.org/guidance/csaguide. v3.0.pdf, 2011.

[4] ISO/IEC TR 13335. Guidelines for the Management of IT Security [S]. 1998.

[5] Winn Schwartau. Time Based Security[M]. Interpact Pr, 1999.

[6] 中華人民共和國國家標準. GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級保護基本要求 [S] .北京：中國標準 出版社，2008.

[7] 中國電信網(wǎng)絡(luò)安全實驗室.云計算安全技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2012.

[8] 康東明，吳建國，于微偉.面向服務(wù)災(zāi)備平臺的設(shè)計與實現(xiàn)[J].計算機工程與科學，2011，33（4）：145-149.

責任編輯 陳 蓉

Security Protection Scheme for Cloud Computing Systems

TANG Fei1,2, ZHANG Yan2
( 1.Postgraduate Department, China Academy of Railway Sciences, Beijing 100081, China; 2.Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

After analyzing security risks and combining with the layered architecture of cloud computing systems, this paper proposed a policy-based cloud computing security scheme with one core, f i ve f i elds and two safeguards. This scheme was adapted to layered architecture of cloud computing systems, which was provided a new approach to security protection of cloud computing.

security of cloud computing; security risks of cloud computing; architecture of Cloud Computing Systems; security protection for cloud computing

U29-39

A

1005-8451（2015）02-0071-05

2014-10-08

湯 飛，在讀碩士研究生；張 彥，研究員。