陳興蜀，葛龍，羅永剛，李想

（四川大學網(wǎng)絡空間安全研究院，四川 成都 610065）

云計算服務持續(xù)監(jiān)管研究

陳興蜀，葛龍，羅永剛，李想

（四川大學網(wǎng)絡空間安全研究院，四川 成都 610065）

云計算環(huán)境的復雜性和動態(tài)性，難以及時掌握云計算服務安全運行狀態(tài)、評估云計算服務風險。為確保云計算服務的安全能力持續(xù)符合國家相關(guān)標準要求，對云計算服務持續(xù)監(jiān)管相關(guān)內(nèi)容進行了研究，定義了云服務商、客戶和持續(xù)監(jiān)管方角色，明確各角色的監(jiān)管責任、評估指標體系以及接口規(guī)范，確保政府部門、重點行業(yè)客戶穩(wěn)定且安全地使用云計算服務。

云計算；持續(xù)監(jiān)管；云計算安全

1 引言

云計算是一種計算資源的新型利用模式，客戶以購買服務的方式，通過網(wǎng)絡獲得計算、存儲、軟件等不同類型的資源［1］。云計算服務以其快速伸縮、泛在接入、自助按需、資源池化、服務可計量的創(chuàng)新服務特性很快成為業(yè)內(nèi)關(guān)注的焦點，各地政府部門、重點行業(yè)紛紛進行規(guī)劃部署。積極推進云計算服務在政府部門的應用，獲取和采用以社會化方式提供的云計算服務，有利于減少各部門、各地方分散重復建設，有利于降低信息化成本、提高資源利用率［2］。

云計算的應用也帶來了一些安全問題，因此產(chǎn)生了對云計算安全的需求。2014年5月22日，中國政府宣布實施網(wǎng)絡安全審查制度。政府部門云計算服務安全審查制度作為網(wǎng)絡安全審查制度的組成部分，目前正在加快推進。GB/T 31167-2014《信息安全技術(shù) 云計算服務安全指南》（以下簡稱《指南》）和GB/T 31168-2014《信息安全技術(shù) 云計算服務安全能力要求》（以下簡稱《要求》）兩項國家標準作為支撐云計算服務安全審查工作的技術(shù)標準，已于2014年9月3日發(fā)布。

《指南》和《要求》兩項標準對政府部門采用云計算服務提出了安全的技術(shù)和管理要求，促進了云計算在政府部門的安全應用。但由于云計算服務是在線、動態(tài)地為客戶提供服務，其安全能力隨云計算環(huán)境的技術(shù)、管理、外部因素等的變化而改變。如何讓客戶安全地使用云計算服務，則需要研究對云計算服務的持續(xù)監(jiān)管技術(shù)和管理方法。

2 研究現(xiàn)狀

雖然云計算安全方面的標準研究已受到了廣泛重視，但目前國際和國內(nèi)都還缺少云計算服務持續(xù)監(jiān)管方面相應的技術(shù)和規(guī)范標準。云安全聯(lián)盟（CSA，Cloud Security Alliance）雖然提出了相關(guān)的初步框架，但后續(xù)沒有具體可操作性的標準或規(guī)范推出。我國在云計算服務持續(xù)監(jiān)管上的研究仍是空白，目前主要存在以下問題。

1） 缺乏在運行監(jiān)管中各角色的監(jiān)管責任和管理邊界的界定?？赡芤蜻\行監(jiān)管的責任不履行或過度監(jiān)管導致持續(xù)監(jiān)管不能有效進行，造成安全問題處理延誤及各角色相互推諉責任等問題。

2） 缺乏有效、科學的監(jiān)管數(shù)據(jù)接口定義。監(jiān)管分析所需的數(shù)據(jù)、接口沒有統(tǒng)一規(guī)范的定義，會導致監(jiān)管方難以從云計算環(huán)境獲得所需的監(jiān)管數(shù)據(jù)。另一方面，云服務提供商配合提供監(jiān)管數(shù)據(jù)需要修改云計算平臺，過度監(jiān)管將導致監(jiān)管成本過高。

3） 缺乏持續(xù)監(jiān)管的評價指標體系。如何通過監(jiān)管接口（以下簡稱監(jiān)管 API）獲得監(jiān)管數(shù)據(jù)，對云計算服務的安全能力進行有效評價，形成客觀的評價結(jié)果，也是持續(xù)監(jiān)管的關(guān)鍵難點。

本文主要討論云計算服務持續(xù)監(jiān)管框架、各角色的關(guān)系及監(jiān)管責任、安全責任，持續(xù)監(jiān)管的評估指標體系以及接口規(guī)范。主要目的是希望通過制定云計算服務持續(xù)監(jiān)管框架及技術(shù)規(guī)范標準，讓主管云計算服務安全審查的部門及時掌握政府部門、重點行業(yè)采用云計算服務的情況，有效評估云服務商所提供服務的安全能力和安全風險，明確云計算服務環(huán)境中各角色安全責任和監(jiān)管責任，從而保障客戶的業(yè)務及數(shù)據(jù)安全。

3 云計算服務持續(xù)監(jiān)管框架

本文提出的云計算服務持續(xù)監(jiān)管框架如圖1所示，包含3個角色：云服務商（以下簡稱CSP）、云服務客戶（主要指政府部門和重點行業(yè)的客戶，以下簡稱客戶）、持續(xù)監(jiān)管方（CMO，continuous monitoring organization）。

圖1 云計算服務持續(xù)監(jiān)管框架

3.1 各角色的監(jiān)管責任

客戶：租用CSP提供的云計算服務，向持續(xù)監(jiān)管方提供部署在云計算服務平臺上的業(yè)務、數(shù)據(jù)和安全相關(guān)備案信息，通過對CSP的持續(xù)監(jiān)管掌握云計算服務質(zhì)量和安全狀態(tài)，并通過對自身的安全監(jiān)管，保障云計算服務平臺上部署的業(yè)務和數(shù)據(jù)的安全。

CSP：為客戶提供云計算服務的持續(xù)監(jiān)管接口，接受持續(xù)監(jiān)管部門的監(jiān)管，關(guān)心自身平臺的運行狀態(tài)與安全態(tài)勢，向客戶保證服務質(zhì)量。

CMO：受CSP和客戶的信任，評估CSP的云計算服務質(zhì)量和安全狀態(tài)，實時為黨政用戶、重點行業(yè)用戶提供云計算服務的持續(xù)監(jiān)管，全面掌握客戶的云服務使用情況。

3.2 云計算服務持續(xù)監(jiān)管實現(xiàn)方式

CMO應按照政府信息安全相關(guān)規(guī)章制度和標準對CSP和客戶進行持續(xù)監(jiān)管，CSP、客戶應積極參與并配合CMO的持續(xù)監(jiān)管活動。

3.2.1 對CSP的持續(xù)監(jiān)管

CMO對CSP進行持續(xù)監(jiān)管的主要目的是為了驗證CSP是否持續(xù)實施其承諾的云服務相關(guān)安全措施，是否持續(xù)履行《指南》中所要求的安全監(jiān)管責任和義務，是否持續(xù)符合《要求》中的安全能力要求。

驗證方式主要通過自證和被證的方式實現(xiàn)，如圖2所示。

圖2 持續(xù)監(jiān)管方對CSP的監(jiān)管方式

CSP應在本地建立并維護一個監(jiān)測平臺或組件用于監(jiān)測云計算平臺，通過制定并實施監(jiān)管策略、對自身平臺開展周期性的風險評估和監(jiān)測、不斷收集并分析指標信息以及對內(nèi)持續(xù)開展信息安全教育等方式保證自身云平臺的安全性。CSP以報告的形式向CMO提交其制定的監(jiān)管策略內(nèi)容及實施的成果、或風險評估和檢測方法及結(jié)果等相關(guān)材料，實現(xiàn)自證。其中，CSP提交的自證材料應根據(jù)CMO要求的格式和指標進行整理，并按和CMO協(xié)商的頻率提交。

CSP應提供監(jiān)測接口給CMO，以便CMO可以通過監(jiān)測接口獲取云平臺相關(guān)數(shù)據(jù)信息，以驗證CSP提供的自證材料的準確性，從而實現(xiàn)被證。

如果CMO對CSP的驗證結(jié)果與CSP提供的自證材料的誤差在可接受范圍內(nèi)（CMO與 CSP協(xié)商），則證明CSP滿足CMO的監(jiān)管要求，否則，應按照《要求》規(guī)定的要求及時整改，直到符合要求為止。

3.2.2 對客戶的持續(xù)監(jiān)管

CMO對客戶進行持續(xù)監(jiān)管的主要目的是為了驗證客戶是否持續(xù)符合《指南》中所要求的安全監(jiān)管責任和義務。

驗證方式主要是通過客戶向 CMO備案的方式實現(xiàn)，如圖3所示?？蛻魬駽MO提交其使用云服務的基本情況（包括但不限于部門名稱、部門屬性、使用的云服務廠商、服務模式、部署模式、業(yè)務和數(shù)據(jù)類型等）、自身負責的云計算環(huán)境及客戶端實施的安全措施及成果等相關(guān)材料?？蛻籼峤坏牟牧蠎鶕?jù)CMO要求的格式和內(nèi)容進行整理，并按和CMO協(xié)商的頻率提交。CMO對客戶進行備案，以便國家有關(guān)部門了解當前已部署云服務的黨政機關(guān)的情況和安全狀態(tài)。

圖3 CMO對客戶的監(jiān)管方式

客戶所使用的云計算環(huán)境及客戶端的安全應由客戶負責，客戶可根據(jù)《指南》中客戶的監(jiān)管責任對CSP進行監(jiān)管以保證自己使用的云平臺的安全性。因此，客戶對CSP的監(jiān)管不在本文討論范圍內(nèi)。

如果客戶云平臺出現(xiàn)重大變更或信息安全事件，應及時通知CMO，CMO更新備案信息。

4 持續(xù)監(jiān)管各角色的安全責任

在持續(xù)監(jiān)管框架中，云計算環(huán)境的安全性由CSP和客戶共同承擔。在某些情況下，CSP還要依靠其他組織提供計算資源和服務，其他組織也應承擔安全責任。因此，云計算安全措施的實施主體有多個，各類主體的安全責任因不同的云計算服務模式而異。

本文參考《指南》中的相關(guān)內(nèi)容，劃分了客戶和CSP的安全責任范圍，如圖4所示。

圖4 服務模式與安全責任控制范圍

云計算根據(jù)服務模式可以分為軟件即服務（SaaS）、平臺即服務（PaaS）、基礎(chǔ)設施即服務（IaaS）。不同服務模式下CSP和客戶對計算資源的控制范圍不同，控制范圍則決定了安全責任的邊界。如圖4所示，圖4中兩側(cè)的箭頭表示CSP和客戶的控制范圍，具體如下。

1） 在SaaS模式下，用戶承擔客戶端安全相關(guān)責任；CSP承擔服務端安全責任。

2） 在PaaS模式下，用戶承擔自己開發(fā)和部署的應用及其運行環(huán)境的安全責任，其他安全由CSP負責。

3） 在 IaaS模式下，用戶負責分配到的虛擬網(wǎng)絡安全，自己部署的操作系統(tǒng)、運行環(huán)境和應用的安全，對這些資源的操作、更新、配置的安全和可靠性負責。CSP負責虛擬化計算資源層及底層資源的安全。

考慮到云服務商可能還需要其他組織提供的服務，如SaaS或PaaS服務模式中，如果SaaS或PaaS服務基礎(chǔ)資源是由IaaS服務提供商提供的，在這種情況下，一些安全措施由其他組織提供。因此，云計算安全責任模型可歸納為如圖 5所示的模型。

5 云計算服務持續(xù)監(jiān)管評估指標體系

評估指標體系是CMO監(jiān)管CSP及客戶是否符合監(jiān)管要求的重要依據(jù)，評估指標的制定直接影響持續(xù)監(jiān)管的實現(xiàn)方式。CMO應依據(jù)《要求》中對CSP的安全能力的要求制定指標，并遵循由大到小、由粗到細的方式對指標進行分類。例如，可以根據(jù)云平臺的運行狀態(tài)將指標分為靜態(tài)指標（文檔類）和動態(tài)指標（接口類），然后將靜態(tài)指標具體分為信息安全策略文檔、安全培訓報告或記錄、安全評估報告等形式。同時可以將動態(tài)指標具體分為配置信息、負載信息、流量信息等，然后再根據(jù)每個項對指標進行細化。

圖5 持續(xù)監(jiān)管角色安全責任模型

CMO應與CSP或客戶關(guān)于每一項指標的合理性以及實現(xiàn)技術(shù)或手段進行討論，最后與CSP或客戶對合理且可實現(xiàn)的指標達成一致意見，并制定成評估指標體系。指標體系應以CMO與CSP或客戶協(xié)商的頻率，定期更新。表1列舉了《要求》中對CSP的安全能力的所有類別，鑒于當前指標制定工作還在進行中，當前列出來的一些指標只是初步設想，具體的指標內(nèi)容還有待討論與更進一步的研究，因此表2僅列舉了針對《要求》中的“系統(tǒng)與通信保護”項制定的指標，其他項的具體指標還在研究中。

表1 安全能力類別

表2 系統(tǒng)與通信保護指標

6 云計算服務持續(xù)監(jiān)管API規(guī)范

監(jiān)管API是CMO實現(xiàn)監(jiān)管CSP的重要手段。CMO應遵循通用、簡單、易于實現(xiàn)、可交互等特點制定接口規(guī)范。CSP應根據(jù)CMO制定的接口規(guī)范提供相應功能的接口。接口規(guī)范的制定可以參考RESTful（representational state transfer）協(xié)議，CMO可以通過典型的“查詢—響應”的方式向CSP查詢云服務當前相關(guān)的安全屬性。例如當前服務的脆弱性等級或最新的脆弱性評估信息等。CMO也可以使用標準的基于 XMPP［11］（extensible messaging and presence protocol）的通知機制定義“觸發(fā)器”，在滿足特定條件時接收告警事件。

需要重點強調(diào)的是，CMO應采用統(tǒng)一標準來制定接口規(guī)范。監(jiān)管API不能替代用于收集、存儲及分析事件的監(jiān)控設備和相關(guān)技術(shù)。

通過幾個簡單的例子來說明持續(xù)監(jiān)管API的作用。如圖6所示，CMO使用某個查詢接口向CSP查詢其承諾的服務可用性等級指標，此指標通常會被寫入到SLA中。查詢結(jié)果以CMO規(guī)定的形式返回給CMO。

圖6 查詢CSP承諾的服務可用性等級

如圖7所示，CMO向CSP查詢上個月實際達到的服務可用性等級。查詢結(jié)果被稱作“測量結(jié)果”，因為它表示的是服務等級測量的結(jié)果，此結(jié)果是由CSP上報的。

圖7 查詢上個月的服務可用性等級

如圖8所示，CMO要求CSP在某個特定情況被證實時發(fā)送告警，這被稱為“觸發(fā)器”。此外，CSP也會在本地記錄此次告警的細節(jié)，以便客戶或CMO后期咨詢。

圖8 高危事件上報并記錄

可以根據(jù)接口的功能或類型將其劃分為不同集合，并將集合作為功能組件來使用。例如，將接口按功能分為以下幾類，如圖9所示。

圖9 監(jiān)管API接口分類

1） 服務視圖API：獲得特定云計算服務的服務視圖，如服務的名稱、服務ID等相關(guān)信息。

2） 組件視圖API：通過服務ID獲得該服務的相關(guān)組件信息。

3） 組件目標API：獲得組件的預期目標，如可用性。

4） 組件度量API：獲得組件的度量值，可以是定性或定量值。通過與組件目標值比較可以確定組件性能或安全是否滿足要求。

7 結(jié)束語

本文所描述的云計算服務持續(xù)監(jiān)管內(nèi)容是在研究國際、國內(nèi)云計算服務持續(xù)監(jiān)管相關(guān)標準、技術(shù)和管理成果之上，結(jié)合我國政府部門、重點行業(yè)使用云計算服務的安全要求，提出云計算服務中持續(xù)監(jiān)管的角色和安全責任邊界，形成云計算服務持續(xù)監(jiān)管框架，并研究、初步提出了云計算服務的評估指標體系與接口規(guī)范。

云計算服務持續(xù)監(jiān)管框架及技術(shù)規(guī)范標準，是對我國云計算服務安全標準體系的完善，能有效支撐云計算服務安全審查的工作，保障涉及黨政、重點行業(yè)的云計算服務快速、穩(wěn)健、持續(xù)地發(fā)展。

隨著云計算服務在黨政機關(guān)、企事業(yè)單位以及國家重點行業(yè)中的應用不斷發(fā)展，云計算服務持續(xù)監(jiān)管技術(shù)將成為今后云計算領(lǐng)域中的研究熱點，如何實時監(jiān)管云計算服務平臺將會成為今后的重點研究課題。

［1］ 中國國家標準化管理委員會. 信息安全技術(shù) 云計算服務安全指南: GB/T 31161-2014［S］. 北京: 中國標準出版社， 2014. Standardization Administration of China. Information security technology of cloud computing services security guidelines:GB/T 31161-2014［S］. Beijing: China Standards Press， 2014.

［2］ 中國國家標準化管理委員會. 信息安全技術(shù) 云計算服務安全能力要求: GB/T 31168-2014［S］. 北京:中國標準出版社， 2014. Standardization Administration of China. Cloud computing service security capacity requirements of information security technology:GB/T 31168-2014［S］. Beijing: China Standards Press， 2014.

［3］ FedRAMP Office. Continuous monitoring strategy & guide. Version2.0［S］. 2014.

［4］ NIST Special Publication 800-137. Information security continuous monitoring （ISCM） for federal information systems and organizations［S］. 2011.

［5］ NIST Special Publication 800-37. Guide for applying the risk management framework to federal information systems［S］. 2010.

［6］ CSA（Cloud Security Alliance）. Auditing the cloud controls matrix［S］.2014.

［7］ CSA. Defined categories of security as a service［S］. 2016.

［8］ NIST Special Publication 800-145. The NIST definition of cloud computing［S］. 2011.

［9］ CSA. CTP data model and API［S］. 2015.

陳興蜀（1968-），女，四川自貢人，博士，四川大學教授，主要研究方向為網(wǎng)絡空間安全。

葛龍（1976-），男，江蘇丹陽人，博士，四川大學講師，主要研究方向為云計算安全。

羅永剛（1980-），男，貴州甕安人，博士，四川大學講師，主要研究方向為云計算、大數(shù)據(jù)安全。

李想（1987-），男，河南鄭州人，四川大學博士生，主要研究方向為云計算安全。

Research on continuous monitoring of cloud computing service

CHEN Xing-shu， GE Long， LUO Yong-gang， LI Xiang

（Cybersecurity Research Institute， Sichuan University， Chengdu 610065， China）

The complexity and dynamism of cloud computing environment hardly lead to timely awareness of cloud computing service's operating state and assessment of cloud computing service risk. In order to ensure that the security of cloud service abidingly conforms to relevant national standard， continuous monitoring of cloud computing service was researched， and the role of cloud service provider was defined， customer， and continuous monitoring，described their supervising responsibility， and assessed index system and interface specification， thus guaranteeing stable and secure employment of cloud computing service by government department and key industries.

cloud computing， continuous monitoring， cloud computing security

TP393

A

10.11959/j.issn.2096-109x.2016.00105

2016-08-10；

2016-09-08。通信作者：陳興蜀，chenxs@scu.edu.cn