王喆峰

(海裝信息系統(tǒng)局，北京 100161)

0 引 言

本文討論了艦載指控云計算安全問題以及相關(guān)的安全風(fēng)險（包括其威脅、風(fēng)險和漏洞）。自云計算時代開始多年來，云計算的應(yīng)用導(dǎo)致大量私有價值的信息資產(chǎn)的泄漏和損壞，甚至互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)對云計算供應(yīng)商的公開網(wǎng)絡(luò)攻擊。本文討論了針對云安全應(yīng)采取的步驟、在應(yīng)用云計算前需清楚的問題、安全策略技術(shù)和應(yīng)用云計算的利弊，并分析在信息安全管理領(lǐng)域中采用云計算的收益和成本。

云計算在不斷進(jìn)化，市場上已經(jīng)出現(xiàn)諸多云計算供應(yīng)商，比如阿里、百度、亞馬遜、Google和微軟等等，它們提供軟件即服務(wù)SaaS、平臺即服務(wù)PaaS、存儲即服務(wù)和信息架構(gòu)即服務(wù)IaaS。如圖1中云安全架構(gòu)所示，云安全問題涉及云計算的各個方面。在云計算安全領(lǐng)域，已經(jīng)出現(xiàn)大量學(xué)者研究和期刊文章。計算機安全專業(yè)研究人員不斷研究云計算中的安全風(fēng)險、潛在威脅、漏洞和應(yīng)采取的對策。在艦載指控云計算應(yīng)用中值得借鑒這些研究。

1 背景研究

目前，云計算技術(shù)朝著經(jīng)濟(jì)性、高可靠性、高可用的方向發(fā)展，廣泛地采用分布式的數(shù)據(jù)存儲，服務(wù)器通常以大規(guī)模集群的方式進(jìn)行部署，以充分實現(xiàn)資源共享、自動化維護(hù)、按需服務(wù)、自服務(wù)、可擴展等云計算特性。企業(yè)云計算技術(shù)應(yīng)用高速發(fā)展，通過減少設(shè)備資產(chǎn)和維護(hù)人員來降低成本和提高利潤。與此同時，各國在軍用和民用船只上應(yīng)用云計算，以降低成本和提升效能。

雖然云計算產(chǎn)業(yè)具有巨大的市場增長前景，云安全問題成為領(lǐng)域發(fā)展的最大挑戰(zhàn)。云安全是一個綜合的概念和問題，研究的是云計算過程涉及的環(huán)境、流程、技術(shù)、管理、服務(wù)等各個層面的安全問題。云安全領(lǐng)域研究工作的努力目標(biāo)是達(dá)成安全云或安全云計算。云安全領(lǐng)域研究不斷進(jìn)展，但目前云服務(wù)商在信息安全的工作還非常有限，一般只對存儲數(shù)據(jù)進(jìn)行加密，使用SSL，SSH等安全協(xié)議保證數(shù)據(jù)傳輸安全和用戶訪問，但是當(dāng)用戶數(shù)據(jù)在后端服務(wù)器的內(nèi)存中計算處理時，則必須是以明文的形式才能進(jìn)行處理的，這為利用操作系統(tǒng)漏洞攻擊載入內(nèi)存中的數(shù)據(jù)提供了可能。

Clavister提出圖2所示的安全云，其中公共云中用戶的數(shù)據(jù)與其他組織的數(shù)據(jù)充分隔離存儲，通過采用安全獨立的云區(qū)域提供虛擬機資源保證高度隔離，最重要的是數(shù)據(jù)進(jìn)行了由專家設(shè)計并測試的加密處理。云服務(wù)商與組織內(nèi)部的通信通過加密的VPN專用通道，符合用戶組織安全策略設(shè)計的日志管理和資源安全管理措施。

根據(jù)毛文波等關(guān)于面向服務(wù)的云計算架構(gòu)，其相關(guān)安全技術(shù)從云計算前端（客戶端、用戶端）到后端（服務(wù)器端、數(shù)據(jù)中心）逐層進(jìn)行分解展開，如圖3所示。

然而在軍用艦船的云計算應(yīng)用方面，安全問題尤為重要。美國2015年海軍科技戰(zhàn)略Naval S&T Strategy將網(wǎng)絡(luò)信息優(yōu)勢Information Dominance-Cyber作為九大關(guān)注領(lǐng)域之一。美軍認(rèn)為應(yīng)將全譜域網(wǎng)絡(luò)操作Full Spectrum Cyber Operations（包括計算機網(wǎng)絡(luò)的攻防和信息探索）作為網(wǎng)絡(luò)信息優(yōu)勢領(lǐng)域重要研究方向，以應(yīng)對連續(xù)快速增長的網(wǎng)絡(luò)威脅，保障其指揮控制能力和網(wǎng)絡(luò)計算機系統(tǒng)安全，將信息環(huán)境作為美海軍的核心作戰(zhàn)能力。在云計算方面，將“戰(zhàn)術(shù)云”作為該關(guān)注領(lǐng)域內(nèi)計算與信息建設(shè)的一個細(xì)分研究方向。美海軍科技戰(zhàn)略期望：美軍未來信息系統(tǒng)必須在高度動態(tài)、分散和不利環(huán)境下，實現(xiàn)和維護(hù)通信網(wǎng)絡(luò)；將使用彈性的信息計算架構(gòu)，通過增強網(wǎng)絡(luò)的節(jié)點和數(shù)據(jù)共享集成，提供對數(shù)據(jù)的操作和理解能力，以支持美軍指揮控制、情報、偵察和監(jiān)視系統(tǒng)；全譜域網(wǎng)絡(luò)要求提供對敵方數(shù)據(jù)和網(wǎng)絡(luò)的利用和操作能力。

2 安全威脅、風(fēng)險和漏洞

隨著云計算的日益普及，并且很多云與互聯(lián)網(wǎng)連接，導(dǎo)致云計算成為病毒、蠕蟲、黑客和網(wǎng)絡(luò)恐怖分子攻擊目標(biāo)。盡管艦載指控云通常不直接連接互聯(lián)網(wǎng)，但是無線設(shè)備互聯(lián)網(wǎng)連接和接入云網(wǎng)絡(luò)的外部電腦仍將艦載指控云暴露給病毒、蠕蟲、黑客和網(wǎng)絡(luò)恐怖分子。隨著云在艦船上的推廣應(yīng)用，病毒、蠕蟲、黑客和網(wǎng)絡(luò)攻擊導(dǎo)致的云漏洞必然增加。有組織的黑客、恐怖分子、甚至敵對國家必然將利用云漏洞破壞云服務(wù)、損壞云網(wǎng)絡(luò)并偷竊有價值信息。

對艦載指控云，數(shù)據(jù)的物理存儲位置通常是位于本艦上或本國的計算、存儲和通信設(shè)備中。但是在海外作戰(zhàn)任務(wù)中，有可能接入外部網(wǎng)絡(luò)/設(shè)備以獲取其他國家的敏感數(shù)據(jù)，如果該國突然變得敵對，如何保證艦載指控云的安全將是重大問題。當(dāng)本艦船云受到外部攻擊并損壞時，艦船云服務(wù)將停止工作，通?；ㄙM艦員數(shù)小時甚至數(shù)天的時間來解決。艦載指控系統(tǒng)設(shè)備數(shù)小時或數(shù)天的失效對于海外的艦船是災(zāi)難性的。

2.1 威脅

來自艦載指控系統(tǒng)設(shè)備內(nèi)外的計算平臺、網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)乃至互聯(lián)網(wǎng)的諸多安全威脅時刻威脅著艦載指控云計算。常見的7個主要威脅有：

1）云計算的濫用和惡意使用。云計算為艦載指控系統(tǒng)設(shè)備用戶提供了可動態(tài)擴展調(diào)度的計算、網(wǎng)絡(luò)和存儲能力，但也為病毒和木馬等威脅的傳播提供了溫床；

2）不安全的應(yīng)用程序接口API。用于云服務(wù)管理和交互的API是通常公開的，因此它們的安全等級決定云服務(wù)的安全等級；

3）惡意的內(nèi)部人員。艦載指控云計算使服務(wù)和用戶聚集在一起，管理透明的缺乏將導(dǎo)致惡意內(nèi)部人員威脅的放大；

4）共享技術(shù)的漏洞。云計算通過共享基礎(chǔ)設(shè)施、平臺和軟件提供服務(wù)，因此需監(jiān)控未授權(quán)的變更和活動；

5）數(shù)據(jù)丟失/泄露。云計算架構(gòu)和運維特性放大了數(shù)據(jù)丟失/泄露的威脅；

6）互聯(lián)網(wǎng)對敏感信息的劫持。釣魚、欺騙和探索漏洞是互聯(lián)網(wǎng)行業(yè)的常見威脅。當(dāng)攻擊者獲取某部分系統(tǒng)控制權(quán)限，該部分系統(tǒng)將成為攻擊者新的攻擊發(fā)源地；

7）未知的安全范圍。

2.2 風(fēng)險

風(fēng)險是指可能產(chǎn)生潛在危害的當(dāng)前過程或未來事件。在信息安全方面，風(fēng)險管理是指對導(dǎo)致信息系統(tǒng)的機密性、完整性和可用性的失效因素的理解和應(yīng)對流程。

由于云計算模型的動態(tài)擴展、服務(wù)抽象和位置透明等特征，所有在云平臺基礎(chǔ)設(shè)施中的應(yīng)用和數(shù)據(jù)沒有固定的安全界限。當(dāng)出現(xiàn)安全入侵時，很難隔離某一危險的物理資源。另外，由于云的開放性和資源虛擬化共享，未授權(quán)用戶可能獲取用戶數(shù)據(jù)訪問權(quán)限。

遷移到云端的艦載指控系統(tǒng)給設(shè)備廠商帶來一系列風(fēng)險。比如需要保護(hù)知識產(chǎn)權(quán)、商業(yè)秘密和重要身份信息等關(guān)鍵信息不落入他人手中。特別地，如果將敏感信息放在互聯(lián)網(wǎng)上，需要對安全控制和訪問監(jiān)視做相當(dāng)大的投資。在云環(huán)境中，底層的存儲和備份操作可能對艦載指控應(yīng)用是不可見的，而且云計算供應(yīng)商通常不開放的存儲設(shè)備的直接物理訪問。因此當(dāng)來自多個用戶的數(shù)據(jù)存儲在同一存儲庫中，合理的底層存儲媒介訪問控制和記錄是云計算設(shè)計的一個重大挑戰(zhàn)。

2.3 漏洞

他人可以利用信息系統(tǒng)漏洞損害信息系統(tǒng)。如果艦載指控應(yīng)用通過互聯(lián)網(wǎng)接收數(shù)據(jù)，同其他連接互聯(lián)網(wǎng)的技術(shù)一樣，艦載指控云計算同樣是脆弱的。當(dāng)艦載指控系統(tǒng)設(shè)備具有潛在外部連接時，其漏洞包括竊聽、黑客、破解、惡意攻擊和服務(wù)中斷，所以說把數(shù)據(jù)遷移到云服務(wù)是“把雞蛋放在一個籃子里”。

研究表明，攻擊者能精準(zhǔn)地找到目標(biāo)數(shù)據(jù)在云中的物理位置，并使用各種技巧來獲取數(shù)據(jù)。另一種對漏洞的攻擊是使用拒絕服務(wù)攻擊DoS，如果攻擊者與受害者處于相同的云服務(wù)器，很容易通過增加其資源使用率來啟動常規(guī)的拒絕服務(wù)攻擊DoS。

2009年加利福尼亞大學(xué)圣地亞哥分校和麻省理工的研究人員做過研究試驗。他們從亞馬遜購買云服務(wù)，并將虛擬機與目標(biāo)程序放置在相同的物理機器上，就可以使用虛擬機訪問物理機器的共享資源并竊取目標(biāo)程序的數(shù)據(jù)和密碼。研究人員表示“該技術(shù)是以實驗為目的的，并不總能成功，但它表明云易受到針對云漏洞的新型攻擊”。雖然他們的攻擊是在亞馬遜的EC2云內(nèi)進(jìn)行的，研究人員稱他們的方法對其他供應(yīng)商的云也有效。

研究人員強調(diào)試驗中使用的云和虛擬環(huán)境較新，因此可以用來探索發(fā)現(xiàn)未知的漏洞，但這并不意味著云服務(wù)不安全而不應(yīng)該被使用。

云計算的應(yīng)用避免了數(shù)據(jù)存儲在獨立電腦或其他媒介上，可以限制數(shù)據(jù)的泄露威險。并且漏洞會驅(qū)使云計算供應(yīng)商使用更高效的安全軟件。密歇根大學(xué)的研究人員發(fā)現(xiàn)，云可以作為一個更好的反病毒檢測手段，如果防病毒軟件工具從PC移動到云，可以檢測到比單PC防病毒程序多35%的最新病毒。艦載指控系統(tǒng)設(shè)備應(yīng)用云的底線是應(yīng)該對云保持懷疑態(tài)度，并評估云服務(wù)的風(fēng)險，只將能容忍該風(fēng)險的數(shù)據(jù)提交給云服務(wù)。

2.4 艦載指控系統(tǒng)設(shè)備中PaaS和IaaS的安全問題

艦載指控系統(tǒng)設(shè)備中通常提供的云服務(wù)是PaaS和IaaS。安全威脅潛伏在艦載指控云架構(gòu)中。

對于PaaS，云計算將一部分安全防護(hù)交由用戶在平臺上開發(fā)的應(yīng)用程序?qū)崿F(xiàn)，因此PaaS的內(nèi)置安全防護(hù)能力并不完整。但分層化的安全設(shè)計使安全設(shè)計更加豐富靈活。

對于IaaS，只要虛擬化管理器VMM沒有安全漏洞，用戶則擁有更完善的安全控制權(quán)限；但在實踐中，虛擬機仍存在大量的安全問題。由于數(shù)據(jù)存儲在云計算硬件中，數(shù)據(jù)的所有者更關(guān)心如何確保對數(shù)據(jù)的最終控制能力。IaaS面臨的安全風(fēng)險和解決方案如圖4例示。

3 云計算的實施指南

3.1 實施云計算的安全要點

艦載指控云計算用戶應(yīng)使用如下步驟了解和驗證云安全：

1）了解云。通過了解云獨特的松散結(jié)構(gòu)如何影響數(shù)據(jù)安全，深入了解云計算如何傳輸和操作數(shù)據(jù)。

2）提高透明度。確保云供應(yīng)商提供云安全體系結(jié)構(gòu)的詳細(xì)信息，并愿意接受定期的安全審核提高透明度。云安全審核應(yīng)由第三方機構(gòu)完成。

3）強化內(nèi)部安全性。確保云供應(yīng)商落實強大的內(nèi)部安全技術(shù)（包括防火墻和用戶訪問控制），并與云安全流程完美結(jié)合。

4）關(guān)注。對任何可能影響數(shù)據(jù)安全的云技術(shù)開發(fā)和變更給予監(jiān)控。

3.2 采用云計算前需要顧慮的問題

艦載指控云計算用戶在采用云計算前應(yīng)解決的5個安全顧慮：

1）用戶訪問。要求供應(yīng)商提供關(guān)于云管理員的特權(quán)信息和訪問監(jiān)視控制手段。

2）符合規(guī)范。確保云供應(yīng)商愿意接受外部審計。

3）數(shù)據(jù)隔離。了解數(shù)據(jù)如何隔離，并要求云供應(yīng)商部署加密方案并驗證其有效性。

4）災(zāi)難恢復(fù)驗證。確定當(dāng)災(zāi)難發(fā)生時，是否能夠完全恢復(fù)數(shù)據(jù)和服務(wù)，并確定需要多長時間。

5）長期生存力。當(dāng)云計算失效時如何取回數(shù)據(jù)，并確定是否很容易將數(shù)據(jù)導(dǎo)入其他替代云中。

3.3 治理策略和技術(shù)

采用云計算前，需要研究良好的治理策略和治理技術(shù)，因為云計算的應(yīng)用需要云服務(wù)供應(yīng)商和云用戶之間的信任。云計算的治理需要云服務(wù)供應(yīng)商和用戶的積極參與和有效溝通。為將云風(fēng)險管理納入云計算治理，艦載指控系統(tǒng)設(shè)計的決策者需要具有風(fēng)險意識，清楚對艦載指控系統(tǒng)設(shè)備的風(fēng)險需求，了解云安全規(guī)范，提高風(fēng)險透明度，并將風(fēng)險管理責(zé)任納入各方。

3.4 數(shù)據(jù)安全問題

數(shù)據(jù)安全牽涉到數(shù)據(jù)生命周期的每個階段。數(shù)據(jù)生命周期指的是數(shù)據(jù)從產(chǎn)生到銷毀的整個過程，共分為7個階段，如圖5所示。

1）數(shù)據(jù)的產(chǎn)生關(guān)系到數(shù)據(jù)的用戶所有權(quán)，當(dāng)數(shù)據(jù)被遷移到艦載指控云中，必須考慮如何維護(hù)數(shù)據(jù)的用戶所有權(quán)；

2）數(shù)據(jù)在艦載指控系統(tǒng)設(shè)備和云計算應(yīng)用之間傳輸，必須確保數(shù)據(jù)的保密性和完整性，以防止未授權(quán)用戶的竊取和篡改；

3）數(shù)據(jù)的使用。云計算牽涉到大量數(shù)據(jù)傳輸、存儲和操作，加密大量數(shù)據(jù)的處理速度和計算效率需要采用對稱加密算法。使用簡單存儲服務(wù)的靜態(tài)數(shù)據(jù)，可采用數(shù)據(jù)加密，但對用于PaaS和SaaS的靜態(tài)數(shù)據(jù)，由于索引和查詢的原因，云應(yīng)用中的數(shù)據(jù)通常不加密。艦載指控應(yīng)用中不同涉密等級的數(shù)據(jù)存放在一起，并提供給不同用戶訪問，未加密的數(shù)據(jù)對數(shù)據(jù)安全造成嚴(yán)重威脅；

4）數(shù)據(jù)的共享擴展了數(shù)據(jù)的使用范圍。當(dāng)數(shù)據(jù)所有者將數(shù)據(jù)共享給他人時，他人可不經(jīng)過數(shù)據(jù)所有者同意將數(shù)據(jù)共享給第三方，因此需要更復(fù)雜的數(shù)據(jù)訪問控制模式；

5）數(shù)據(jù)的存儲需要考慮保密性、完整性和可用性；

6）針對艦載指控引用數(shù)據(jù)存檔，需要提供艦外存檔的措施，以確保數(shù)據(jù)的可用性；

7）考慮到艦載指控系統(tǒng)設(shè)備有被敵方俘獲的可能，需要有應(yīng)對的數(shù)據(jù)銷毀手段。

4 云計算在艦載指控信息風(fēng)險管理中的利弊

4.1 云計算的優(yōu)點

在艦載指控信息風(fēng)險管理中，云計算的優(yōu)勢在于能夠集中管理風(fēng)險，并更有效應(yīng)用安全更新和新補丁，從而在進(jìn)行軟件更新時保障業(yè)務(wù)不間斷。

4.2 云計算的缺點

在艦載指控系統(tǒng)設(shè)備上，應(yīng)用云計算的問題包括：在公共數(shù)據(jù)中心存儲的業(yè)務(wù)數(shù)據(jù)的安全性和隱私性，鎖定到特定的云平臺技術(shù)，可靠性/性能問題，以及在新的云技術(shù)應(yīng)用成熟前選擇錯誤技術(shù)路徑。

4.3 云計算在信息安全管理中的收益和成本

云計算在艦載指控信息安全管理方面的主要收益包括：

1）規(guī)?；a(chǎn)生的安全性收益。當(dāng)大規(guī)模實施各種安全防御應(yīng)用時，這些諸如過濾、補丁管理和云節(jié)點強化等安全手段會更便宜。對于艦載指控系統(tǒng)設(shè)備，規(guī)模化的好處還包括云資源的互備、對入侵事件的及時響應(yīng)和集中化的威脅管理。

2）云安全作為云計算的一個差異化因素，更強有力地推動云計算供應(yīng)商不斷改進(jìn)。

3）大型云供應(yīng)商可提供一個標(biāo)準(zhǔn)化的開放的云安全管理接口，從而使云安全服務(wù)市場化、專業(yè)化和定制化。

4）快速智能的動態(tài)調(diào)整資源，采用云計算的艦載指控系統(tǒng)設(shè)備可重新動態(tài)分配資源，以確保各種信息安全手段的使用。

5）日志審計，允許在不影響性能條件下全面記錄和處理日志信息。

在信息安全管理方面，云計算在艦載指控系統(tǒng)設(shè)備中應(yīng)用的成本包括應(yīng)用遷移、云實施、系統(tǒng)重新設(shè)計和集成、人員培訓(xùn)等成本。新的系統(tǒng)架構(gòu)在重新設(shè)計和部署實施過程中產(chǎn)生新的安全漏洞，從而進(jìn)一步增加成本。

5 建議

在艦載指控系統(tǒng)設(shè)備中應(yīng)用云計算，可采用如下建議和策略來評估云服務(wù)的安全可行性：

1）風(fēng)險/收益分析。必須識別、理解和分析云服務(wù)的風(fēng)險和收益。必須識別可能影響艦載指控系統(tǒng)設(shè)備安全的云故障。分析艦載指控系統(tǒng)設(shè)備的安全目標(biāo)，包括信息保密性、數(shù)據(jù)完整性、系統(tǒng)可用性和可控性。

2）咨詢。在評估過程中咨詢行業(yè)專家、用戶和其他關(guān)系人。

3）保障條件。對特權(quán)用戶訪問、數(shù)據(jù)隔離、數(shù)據(jù)可恢復(fù)性、變更管理、用戶配置、人員操作、事件響應(yīng)計劃和支撐管理等保障條件做認(rèn)真審查。

4）退出策略。在確定退出策略和災(zāi)難恢復(fù)計劃前，不建立云服務(wù)。確保艦載指控系統(tǒng)設(shè)備數(shù)據(jù)和應(yīng)用的及時恢復(fù)。

6 結(jié) 語

云計算是由多年來不斷演進(jìn)成熟的幾種關(guān)鍵技術(shù)組合而成。云計算可為艦載指控系統(tǒng)設(shè)備節(jié)約成本并提升效能，但安全風(fēng)險很大。因此應(yīng)認(rèn)真分析云計算的安全風(fēng)險。

云計算在信息風(fēng)險管理中的優(yōu)點在于能夠集中管理風(fēng)險，并更有效應(yīng)用安全更新和新補丁，從而在進(jìn)行軟件更新時保障業(yè)務(wù)不間斷。云計算缺點包括：在公共數(shù)據(jù)中心存儲的業(yè)務(wù)數(shù)據(jù)的安全性和隱私性，鎖定到特定的云平臺技術(shù)，可靠性/性能問題，以及在新的云技術(shù)應(yīng)用成熟前選擇錯誤技術(shù)路徑。

艦載指控系統(tǒng)用戶應(yīng)該了解、分析并驗證云安全，在應(yīng)用云計算之前給出云安全問題解決方式。應(yīng)建立試點項目。建立良好的治理機制，以有效地處理安全問題。