劉曉莉++沈笑慧

摘 要： 隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時代，云計算的概念風(fēng)起云涌。云安全問題已成為云計算推廣面臨的最大挑戰(zhàn)。針對云環(huán)境下計算模式的特點，結(jié)合實際云計算安全測評中的問題，分析了現(xiàn)行信息安全等級保護(hù)測評標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，提出了云安全應(yīng)重點關(guān)注的內(nèi)容。

關(guān)鍵詞： 云計算； 云安全； 信息安全； 等級保護(hù)測評； 局限性

中圖分類號：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年來，隨著網(wǎng)絡(luò)進(jìn)入更加自由和靈活的Web2.0時代，云計算的概念風(fēng)起云涌。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計算因其節(jié)約成本、維護(hù)方便、配置靈活已經(jīng)成為各國政府優(yōu)先推進(jìn)發(fā)展的一項服務(wù)。美、英、澳大利亞等國家紛紛出臺了相關(guān)發(fā)展政策，有計劃地促進(jìn)政府部門信息系統(tǒng)向云計算平臺遷移。但是也應(yīng)該看到，政府部門采用云計算服務(wù)也給其敏感數(shù)據(jù)和重要業(yè)務(wù)的安全帶來了挑戰(zhàn)。美國作為云計算服務(wù)應(yīng)用的倡導(dǎo)者，一方面推出“云優(yōu)先戰(zhàn)略”，要求大量聯(lián)邦政府信息系統(tǒng)遷移到“云端”，另一方面為確保安全，要求為聯(lián)邦政府提供的云計算服務(wù)必須通過安全審查[1]。我國也先后出臺了一系列云計算服務(wù)安全的國家標(biāo)準(zhǔn)，如GB/T 31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》、GB/T 31168-2014 《信息安全技術(shù) 云計算服務(wù)安全能力要求》等。本文關(guān)注的是云計算安全，包括云計算應(yīng)用系統(tǒng)安全、云計算應(yīng)用服務(wù)安全、云計算用戶信息安全等[2]。

當(dāng)前，等級保護(hù)測評的依據(jù)主要有GB/T 22239-

2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求》和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評過程指南》等。然而，這些標(biāo)準(zhǔn)應(yīng)用于傳統(tǒng)計算模式下的信息系統(tǒng)安全測評具有普適性，對于采用云計算服務(wù)模式下的信息系統(tǒng)卻有一定的局限性。

本文結(jié)合實際云計算服務(wù)安全測評中的問題，首先討論現(xiàn)行信息安全等級保護(hù)測評標(biāo)準(zhǔn)應(yīng)用到云環(huán)境的一些局限性，其次對于云計算安全特別需要關(guān)注的測評項進(jìn)行分析。

1 云計算安全

正如一件新鮮事物在帶給我們好處的同時，也會帶來問題一樣，云計算的推廣也遇到了諸多困難，其中安全問題已成為阻礙云計算推廣的最大障礙。

云計算安全面臨著七大風(fēng)險，主要包括客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險、數(shù)據(jù)保護(hù)更加困難、數(shù)據(jù)殘留和容易產(chǎn)生對云服務(wù)商的過度依賴等。文獻(xiàn)[3]提出了云計算安全測評框架，與傳統(tǒng)信息系統(tǒng)安全測評相比，云計算安全測評應(yīng)重點關(guān)注虛擬化安全、數(shù)據(jù)安全和應(yīng)用安全等層面。

虛擬化作為云計算最重要的技術(shù)，其安全性直接關(guān)系到云環(huán)境的安全。虛擬化安全涉及虛擬化軟件安全和虛擬化服務(wù)器安全，其中虛擬化服務(wù)器安全包括虛擬化服務(wù)器隔離、虛擬化服務(wù)器監(jiān)控、虛擬化服務(wù)器遷移等。云計算的虛擬化安全問題主要集中在VM Hopping（一臺虛擬機(jī)可能監(jiān)控另一臺虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī)）、VM Escape（VM Escape攻擊獲得Hypervisor的訪問權(quán)限，從而對其他虛擬機(jī)進(jìn)行攻擊）/遠(yuǎn)程管理缺陷（Hypervisor通常由管理平臺來為管理員管理虛擬機(jī)，而這些控制臺可能會引起一些新的缺陷）、遷移攻擊（可以將虛擬機(jī)從一臺主機(jī)移動到另一臺，也可以通過網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)）等[4]。

數(shù)據(jù)實際存儲位置往往不受客戶控制，且數(shù)據(jù)存放在云平臺上，數(shù)據(jù)的所有權(quán)難以界定，多租戶共享計算資源，可能導(dǎo)致客戶數(shù)據(jù)被授權(quán)訪問、篡改等。另外當(dāng)客戶退出云服務(wù)時，客戶數(shù)據(jù)是否被完全刪除等是云計算模式下數(shù)據(jù)安全面臨的主要問題。

在云計算中對于應(yīng)用安全，特別需要注意的是Web應(yīng)用的安全。云計算應(yīng)用安全主要包括云用戶身份管理、云訪問控制、云安全審計、云安全加密、抗抵賴、軟件代碼安全等[3]。

2 云計算下等級保護(hù)測評的局限性

信息系統(tǒng)安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息系統(tǒng)安全等級保護(hù)工作不僅是加強(qiáng)國家信息安全保障工作的重要內(nèi)容，也是一項事關(guān)國家安全、社會穩(wěn)定的政治任務(wù)。信息系統(tǒng)安全等級保護(hù)測評工作是指測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對未涉及國家秘密的信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。與之對應(yīng)的是涉及國家秘密的信息系統(tǒng)安全測評，就是通常所說的分級保護(hù)測評。

信息系統(tǒng)安全等級保護(hù)的基本要求包括技術(shù)要求和管理要求兩大類。其中技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個層面；管理要求包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個層面。

傳統(tǒng)的安全已不足以保護(hù)現(xiàn)代云計算工作負(fù)載。換言之，將現(xiàn)行的等級保護(hù)相關(guān)標(biāo)準(zhǔn)生搬硬套到云計算模式存在局限性，具體體現(xiàn)在以下方面。

⑴ 物理安全

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位，或者托管在第三方機(jī)構(gòu)，用戶可以掌握自身數(shù)據(jù)和副本存儲在設(shè)備和數(shù)據(jù)中心的具體位置。然而，由于云服務(wù)商的數(shù)據(jù)中心可能分布在不同的地區(qū)，甚至不同的國家，GB/T 31167-2014明確了存儲、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計算基礎(chǔ)設(shè)施不得設(shè)在境外。

⑵ 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括結(jié)構(gòu)安全、邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計、網(wǎng)絡(luò)設(shè)備防護(hù)等測評項。網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此在網(wǎng)絡(luò)邊界采取安全防護(hù)措施就顯得尤為重要。但在云計算模式下，多個系統(tǒng)同時運行在同一個物理機(jī)上，突破了傳統(tǒng)的網(wǎng)絡(luò)邊界。由此可見，網(wǎng)絡(luò)邊界的界定、安全域的劃分成為了云計算模式下網(wǎng)絡(luò)邊界安全面臨的新挑戰(zhàn)[5]。

⑶ 主機(jī)安全

主機(jī)安全主要包括身份鑒別、訪問控制、安全審計等測評項。但在云計算模式下，虛擬化技術(shù)能夠?qū)崿F(xiàn)在一臺物理機(jī)上運行多臺虛擬機(jī)。盡管虛擬機(jī)之間具有良好的隔離性，但在云計算平臺，尤其是私有云和社區(qū)云中，虛擬機(jī)之間通常需要進(jìn)行交互和通信，正是這種交互為攻擊和惡意軟件的傳播提供了可能。因此，虛擬機(jī)之間的安全隔離、用戶權(quán)限劃分、數(shù)據(jù)殘留、跨虛擬機(jī)的非授權(quán)訪問是云計算環(huán)境下虛擬機(jī)安全需要重點關(guān)注的內(nèi)容。

⑷ 應(yīng)用安全

應(yīng)用系統(tǒng)作為承載數(shù)據(jù)的主要載體，其安全性直接關(guān)系到信息系統(tǒng)的整體安全，因此對整個系統(tǒng)的安全保密性至關(guān)重要。然而，當(dāng)前絕大多數(shù)單位的應(yīng)用系統(tǒng)在設(shè)計開發(fā)過程中，僅僅考慮到應(yīng)用需求、系統(tǒng)的性能及技術(shù)路線的選擇等問題，缺少了應(yīng)用系統(tǒng)自身的安全性?？蛻舻膽?yīng)用托管在云計算平臺，面臨著安全與隱私雙重風(fēng)險，主要包括多租戶環(huán)境下來自云計算服務(wù)商和其他用戶的未授權(quán)訪問、隱私保護(hù)、內(nèi)容安全管理、用戶認(rèn)證和身份管理問題[6]。

⑸ 數(shù)據(jù)安全及備份恢復(fù)

在云計算模式下，客戶的數(shù)據(jù)和業(yè)務(wù)遷移至云服務(wù)商的云平臺中，數(shù)據(jù)的處理、存儲均在“云端”完成，用戶一端只具有較少的計算處理能力，數(shù)據(jù)的安全性依賴于云平臺的安全。如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全、數(shù)據(jù)集中存儲安全以及多租戶之間的數(shù)據(jù)隔離是云計算環(huán)境下迫切需要解決的問題。

3 云安全之等級保護(hù)測評

參照等級保護(hù)測評的要求，結(jié)合上述分析，云安全之等級保護(hù)測評應(yīng)重點關(guān)注以下方面。

⑴ 數(shù)據(jù)中心物理與環(huán)境安全：用于業(yè)務(wù)運行和數(shù)據(jù)處理及存儲的物理設(shè)備是否位于中國境內(nèi)，從而避免產(chǎn)生司法管轄權(quán)的問題。

⑵ 虛擬網(wǎng)絡(luò)安全邊界訪問控制：是否在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，設(shè)置有效的訪問控制規(guī)則，從而控制虛機(jī)間的互訪。

⑶ 遠(yuǎn)程訪問監(jiān)控：是否能實時監(jiān)視云服務(wù)遠(yuǎn)程連接，并在發(fā)現(xiàn)未授權(quán)訪問時，及時采取恰當(dāng)?shù)姆雷o(hù)措施。

⑷ 網(wǎng)絡(luò)邊界安全：是否采取了網(wǎng)絡(luò)邊界安全防護(hù)措施，如在整個云計算網(wǎng)絡(luò)的邊界部署安全防護(hù)設(shè)備等。

⑸ 虛擬機(jī)安全：虛擬機(jī)之間的是否安全隔離，當(dāng)租戶退出云服務(wù)時是否有數(shù)據(jù)殘留，是否存在跨虛擬機(jī)的非授權(quán)訪問等。

⑹ 接口安全：是否采取有效措施確保云計算服務(wù)對外接口的安全性。

⑺ 數(shù)據(jù)安全：多租戶間的數(shù)據(jù)是否安全隔離，遠(yuǎn)程傳輸時是否有措施確保數(shù)據(jù)的完整性和保密性，租戶業(yè)務(wù)或數(shù)據(jù)進(jìn)行遷移時是否具有可移植性和互操作性。

4 結(jié)束語

云計算因其高效化、集約化和節(jié)約化的特點，受到越來越多黨政機(jī)關(guān)、企事業(yè)單位的青睞，與此同時云計算帶來的風(fēng)險也是不容忽視的。本文結(jié)合云計算的特點分析了云計算模式下現(xiàn)行等級保護(hù)測評標(biāo)準(zhǔn)的一些局限性，并提出了云計算下等級保護(hù)測評需要特別關(guān)注的測評項，對云服務(wù)商、租戶和測評機(jī)構(gòu)提供借鑒。值得注意的是，租戶在進(jìn)行云遷移之前，首先應(yīng)確定自身遷移業(yè)務(wù)的等級，其次是租用的云計算平臺等級不能低于業(yè)務(wù)系統(tǒng)的等級。

參考文獻(xiàn)（References）：

[1] 尹麗波.美國云計算服務(wù)安全審查值得借鑒.中國日報網(wǎng).

[2] 陳軍，薄明霞，王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展

趨勢[J].技術(shù)廣角，2011：50-54

[3] 潘小明，張向陽，沈錫鏞，嚴(yán)丹.云計算信息安全測評框架研究[J].

計算機(jī)時代，2013.10：22-25

[4] 房晶，吳昊，白松林.云計算的虛擬化安全問題[J].電信科學(xué)，

2012.28（4）：135-140

[5] 陳文捷，蔡立志.云環(huán)境中網(wǎng)絡(luò)邊界安全的等級保護(hù)研究[C].

第二屆全國信息安全等級保護(hù)技術(shù)大會會議論文集，2013.

[6] 劉瑋，王麗宏.云計算應(yīng)用及其安全問題研究[J].計算機(jī)研究

與發(fā)展，2012.49（S2）：186-191