◆張 浩

云計(jì)算環(huán)境下的等級(jí)保護(hù)淺析

◆張 浩

（中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司河南省分公司 河南 450000）

云計(jì)算是傳統(tǒng)計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)進(jìn)行整合之后獲得的結(jié)果，而伴隨其不斷的推廣，云安全問(wèn)題引起了各界人士的注意。筆者以云計(jì)算特點(diǎn)和安全要求為基礎(chǔ)，在信息體系安全等級(jí)保護(hù)系統(tǒng)下探究了云計(jì)算等級(jí)保護(hù)基本要求，同時(shí)對(duì)各種等保層級(jí)下云計(jì)算的基本要求展開研究，給國(guó)內(nèi)等保方面的工作提供了依據(jù)。

云計(jì)算；等級(jí)保護(hù)；基本要求；威脅

0 引言

云計(jì)算作為傳統(tǒng)計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)進(jìn)行整合之后獲得的結(jié)果，目的是借助互聯(lián)網(wǎng)將多項(xiàng)成本較小的計(jì)算機(jī)實(shí)體轉(zhuǎn)變?yōu)橐粋€(gè)計(jì)算功能完善的體系，同時(shí)根據(jù)不同的商業(yè)形式，將這種計(jì)算功能傳輸至終端用戶。這種理念是借助大范圍的數(shù)據(jù)中心與功能完善的服務(wù)器使互聯(lián)網(wǎng)應(yīng)用軟件開始正常工作并供給相應(yīng)的服務(wù)，讓所有的線上用戶可以訪問(wèn)該軟件[1]。此類獨(dú)特的運(yùn)用形式促使云計(jì)算獲得了服務(wù)虛擬化、普適性強(qiáng)、擴(kuò)展性高等優(yōu)點(diǎn)。它屬于一類新的概念，運(yùn)用形式方面的探究依舊比較匱乏，而且存在許多影響其發(fā)展的問(wèn)題，而云計(jì)算問(wèn)題則是當(dāng)前面臨的亟待解決的問(wèn)題。

現(xiàn)階段，我國(guó)將等級(jí)保護(hù)的原則用來(lái)保護(hù)重要信息體系的安全，然而針對(duì)云計(jì)算體系此類獨(dú)特的運(yùn)用形式，等級(jí)保護(hù)的要求大體上并未做出詳細(xì)的探究。針對(duì)原有的計(jì)算形式來(lái)說(shuō)，用戶對(duì)于數(shù)據(jù)具備全部的控制權(quán)，但是在云計(jì)算形式下，用戶對(duì)于數(shù)據(jù)和機(jī)器的管控全部受制于供給服務(wù)的商家，用戶只剩下了對(duì)于虛擬機(jī)的控制權(quán)，所以以用戶的視角而言，怎樣確保用戶信息的保密性、完善性以及價(jià)值是至關(guān)重要的[2]。由于這種新形式的誕生，云邊界逐漸在人們的視野消失了，云環(huán)境下的大部分存在風(fēng)險(xiǎn)的因素導(dǎo)致等級(jí)保護(hù)技術(shù)要求變得更為嚴(yán)格了，在云計(jì)算誕生之后，各種風(fēng)險(xiǎn)因素也伴隨其誕生，所以怎樣確保新形勢(shì)下的信息安全就變成了等級(jí)保護(hù)方面需要重視的主要內(nèi)容。

1 信息系統(tǒng)等級(jí)保護(hù)框架

信息安全等級(jí)保護(hù)是我國(guó)對(duì)于重要信息體系展開安排評(píng)價(jià)的重要基礎(chǔ)，而《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》則為引導(dǎo)信息體系構(gòu)建、定級(jí)以及評(píng)價(jià)等方面的重要依據(jù)。此文件中把信息體系當(dāng)作保護(hù)的目標(biāo)，根據(jù)信息體系的重要等級(jí)可分成以下幾個(gè)保護(hù)層級(jí)，借助研究保護(hù)目標(biāo)面對(duì)的4個(gè)威脅因素，對(duì)各個(gè)保護(hù)層級(jí)的威脅進(jìn)行了描述。對(duì)于各種層級(jí)的威脅，該文件明確了安全保護(hù)水平的需求，包含對(duì)抗水平與恢復(fù)水平，各種信息體系的保護(hù)層級(jí)，需要各種強(qiáng)度的保護(hù)能力來(lái)確保信息體系免受威脅。

為了確保與檢驗(yàn)信息體系各層保護(hù)能力，該基本要求以國(guó)際上權(quán)威的信息安全指標(biāo)，同時(shí)以國(guó)內(nèi)信息安全發(fā)展的真實(shí)狀況作為出發(fā)點(diǎn)，推出了技術(shù)和管理兩個(gè)層面的改善措施。首先，針對(duì)技術(shù)來(lái)說(shuō)，應(yīng)當(dāng)從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用以及數(shù)據(jù)等幾個(gè)層面著手，而針對(duì)管理來(lái)說(shuō)，應(yīng)當(dāng)從體制、機(jī)構(gòu)、人員、建設(shè)以及運(yùn)維等層面著手[3-4]。針對(duì)不同措施來(lái)闡釋存在的重要控制點(diǎn)和要求項(xiàng)，并以此當(dāng)作等級(jí)保護(hù)基本要求的詳細(xì)內(nèi)容。

現(xiàn)階段，國(guó)內(nèi)信息體系等級(jí)保護(hù)工作依舊需要面臨較多的問(wèn)題，而其基本要求項(xiàng)的闡釋具有一定的有效性，適用于目前的實(shí)際情況。伴隨云計(jì)算體系的持續(xù)完善與推廣，應(yīng)將等級(jí)保護(hù)當(dāng)作其安全標(biāo)準(zhǔn)與國(guó)內(nèi)信息化發(fā)展的切實(shí)要求。

2 云計(jì)算安全研究概況

由于云計(jì)算服務(wù)的特點(diǎn)，讓信息體系內(nèi)的資源、數(shù)據(jù)以及信息在較大規(guī)模中進(jìn)行傳輸與整理，此范疇主要包含地域、物理設(shè)施和相關(guān)人士，所以云計(jì)算的威脅重點(diǎn)是由服務(wù)計(jì)算這個(gè)特點(diǎn)逐漸擴(kuò)延形成的。針對(duì)威脅層面的探究來(lái)說(shuō)，云安全聯(lián)盟于2010 年明確描述了它在云安全方面面臨的7個(gè)威脅，并得到了普遍的認(rèn)同與應(yīng)用。2013年，該組織又闡述了9大威脅，主要包含數(shù)據(jù)破壞、數(shù)據(jù)丟失、賬戶劫持、不安全的API、拒絕服務(wù)、惡意的內(nèi)部人員、濫用和惡意使用、審查不足與共享技術(shù)[5]。以實(shí)踐要求作為出發(fā)點(diǎn)進(jìn)行分析可知，除了以往的安全問(wèn)題，云計(jì)算新添加的安全威脅重點(diǎn)關(guān)乎以下幾個(gè)層面的要求：

（1）可信計(jì)算。計(jì)算的穩(wěn)定性，也就是服務(wù)資源的可信性，云計(jì)算應(yīng)當(dāng)將可信的技術(shù)形式供給服務(wù)資源，借助軟硬件可信調(diào)控的體系證實(shí)資源的可信水平。

（2）數(shù)據(jù)保護(hù)。包含對(duì)動(dòng)、靜態(tài)數(shù)據(jù)的分離、保護(hù)和殘存數(shù)據(jù)的清理，保證數(shù)據(jù)資源滿足在所有傳輸、處理、儲(chǔ)存等環(huán)節(jié)內(nèi)的機(jī)密性、完善性和實(shí)用性方面設(shè)定的條件。

（3）服務(wù)可用。供給服務(wù)是它存在的價(jià)值體現(xiàn)，應(yīng)當(dāng)確保云計(jì)算供給服務(wù)的可訪問(wèn)性、服務(wù)的不間斷性和服務(wù)功能的靈活性，保證服務(wù)效果。

（4）虛擬安全。云計(jì)算的關(guān)鍵技術(shù)為虛擬技術(shù)，應(yīng)當(dāng)保證宿主機(jī)與虛擬技術(shù)自身的安全，對(duì)享受服務(wù)的對(duì)象供給資源分離保護(hù)機(jī)制。

3 云計(jì)算等級(jí)保護(hù)基本要求

因?yàn)樵朴?jì)算屬于原有信息體系發(fā)展的產(chǎn)物，當(dāng)前的等級(jí)保護(hù)基本要求可以滿足保證云系統(tǒng)內(nèi)大多數(shù)的保護(hù)能力需求。針對(duì)以往的基本要求來(lái)說(shuō)，很難實(shí)現(xiàn)這個(gè)目標(biāo)，因此不得不面臨一定的威脅與風(fēng)險(xiǎn)，下文在以GB/T 22239-2008為基礎(chǔ)的條件下，研究了云等?；疽笮枰袷氐臉?biāo)準(zhǔn)，主要表現(xiàn)為以下幾個(gè)方面：

（1）將當(dāng)前的5大技術(shù)與5大管理保障類當(dāng)作框架，保證云等?；疽髮?duì)于結(jié)構(gòu)方面的兼容性，以當(dāng)前的系統(tǒng)為基礎(chǔ)進(jìn)一步展開優(yōu)化。

（2）把威脅相應(yīng)的保護(hù)能力要求實(shí)施劃分，借助強(qiáng)化當(dāng)前基礎(chǔ)要求控制點(diǎn)要求項(xiàng)實(shí)現(xiàn)的，強(qiáng)化詳細(xì)要求的介紹實(shí)現(xiàn)，對(duì)于難以包含在當(dāng)前控制點(diǎn)下的威脅，借助提出新控制點(diǎn)同時(shí)確定詳細(xì)要求項(xiàng)實(shí)現(xiàn)。

（3）云計(jì)算的核心為服務(wù)形式的轉(zhuǎn)變，所以基本要求的更新針對(duì)管理方面來(lái)說(shuō)，主要表現(xiàn)為服務(wù)的管理，而針對(duì)技術(shù)方面來(lái)說(shuō)，主要表現(xiàn)為服務(wù)的能力，對(duì)于以上兩個(gè)方面添加新的控制點(diǎn)與要求項(xiàng)，構(gòu)建對(duì)云計(jì)算服務(wù)的保障能力。

按照云計(jì)算所特有的特點(diǎn)，它的基本要求重點(diǎn)定位于服務(wù)保障與資源管理兩個(gè)方面。針對(duì)技術(shù)要求來(lái)說(shuō)，因?yàn)樵朴?jì)算重點(diǎn)供給虛擬化的服務(wù)資源，所以對(duì)于資源和服務(wù)的虛擬化管理和監(jiān)控技術(shù)需要培養(yǎng)核心的技術(shù)要求。管理要求上應(yīng)當(dāng)進(jìn)行細(xì)化，主要包含分析服務(wù)的管理、保護(hù)，尤其應(yīng)當(dāng)確定分析云體系之間的安全保護(hù)能力與管理要求。

對(duì)于云計(jì)算信息體系新增的威脅來(lái)說(shuō)，云計(jì)算等級(jí)保護(hù)基本要求注重對(duì)用戶的管理、虛擬資源的安全與監(jiān)管、云服務(wù)的保護(hù)與制約、數(shù)據(jù)資源的分離和辨識(shí)。針對(duì)技術(shù)方面來(lái)說(shuō)，在數(shù)字密鑰、數(shù)據(jù)隱私防護(hù)和虛擬安全等技術(shù)層面都獲得了進(jìn)一步地優(yōu)化與創(chuàng)新。針對(duì)管理方面來(lái)說(shuō)，應(yīng)當(dāng)深入健全云計(jì)算服務(wù)領(lǐng)域的法規(guī)、第三方監(jiān)控評(píng)價(jià)和規(guī)范服務(wù)合同與管理。借助云計(jì)算等級(jí)保護(hù)要求的有效實(shí)行，達(dá)到對(duì)云服務(wù)從出生至死亡的管理。

4 結(jié)語(yǔ)

十八大指出，應(yīng)當(dāng)重視海洋、太空以及網(wǎng)絡(luò)空間的安全，完善信息安全保護(hù)機(jī)制，要在拓展云計(jì)算技術(shù)使用規(guī)模的基礎(chǔ)上，深入健全其信息體系的安全保護(hù)機(jī)制。將我國(guó)的戰(zhàn)略作為支撐，云計(jì)算系統(tǒng)結(jié)構(gòu)下的信息安全保護(hù)與評(píng)價(jià)機(jī)制會(huì)從根本上獲得推廣與優(yōu)化。信息體系等級(jí)保護(hù)機(jī)制是我國(guó)重要的原則與評(píng)價(jià)指標(biāo)，從推出之后，就發(fā)揮了顯著的作用，對(duì)于保證我國(guó)信息基本設(shè)施與信息資源的安全提供了重要的保障。本文在概括目前云計(jì)算安全探究進(jìn)展的前提下，以其服務(wù)形式的基礎(chǔ)特點(diǎn)作為出發(fā)點(diǎn)，筆者以創(chuàng)新的眼光推出了以云計(jì)算信息體系等級(jí)保護(hù)為基礎(chǔ)的會(huì)面臨的威脅，重視怎樣開發(fā)與完善當(dāng)前的保護(hù)系統(tǒng)，在不斷研究云框架和等保特點(diǎn)的狀況下，推出了一個(gè)新型的評(píng)價(jià)標(biāo)準(zhǔn)系統(tǒng)。對(duì)于云計(jì)算信息體系服務(wù)計(jì)算的特征，探究性地拓展了等保要求，同時(shí)給出了各個(gè)層級(jí)之下云計(jì)算等保的基礎(chǔ)保護(hù)能力要求，為等保評(píng)價(jià)系統(tǒng)在云計(jì)算結(jié)構(gòu)下的優(yōu)化與推廣提供了依據(jù)。

[1]楊健，汪海航，王劍等.云計(jì)算安全問(wèn)題研究綜述[J].小型微型計(jì)算機(jī)系統(tǒng)，2012.

[2]孫鐵,云計(jì)算下開展等級(jí)保護(hù)工作的思考[J].信息網(wǎng)絡(luò)安全，2011.

[3]張?jiān)朴?，陳清金，潘松柏?云計(jì)算安全關(guān)鍵技術(shù)分析 [J].電信科學(xué)，2010.