黨超輝 馬志偉 李樹新 郭鎮(zhèn)鑫

隨著大數(shù)據(jù)、云計(jì)算和移動(dòng)互聯(lián)等新技術(shù)的出現(xiàn)，原有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系已不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)防護(hù)需求，經(jīng)國(guó)家相關(guān)部委的重新修訂，我國(guó)正式進(jìn)入網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 時(shí)代。本文將對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0背景下，云計(jì)算安全風(fēng)險(xiǎn)和云計(jì)算安全系統(tǒng)要點(diǎn)進(jìn)行簡(jiǎn)要分析，在此基礎(chǔ)上探索行之有效的云計(jì)算安全風(fēng)險(xiǎn)保護(hù)策略，以期提升網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 下云計(jì)算安全的保護(hù)水平，推動(dòng)相關(guān)行業(yè)的持續(xù)發(fā)展。

傳統(tǒng)計(jì)算模式下，用戶會(huì)享有數(shù)據(jù)儲(chǔ)存和計(jì)算的完全控制權(quán)，而在云計(jì)算模式下，用戶僅享有虛擬機(jī)的控制權(quán)，數(shù)據(jù)的管理權(quán)完全掌握在云服務(wù)提供商手中。隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 時(shí)代的到來，用戶更加關(guān)注云計(jì)算數(shù)據(jù)的私密性、安全性以及可用性。因此，在分析云計(jì)算安全風(fēng)險(xiǎn)以及安全系統(tǒng)要點(diǎn)的基礎(chǔ)上，探究云計(jì)算安全風(fēng)險(xiǎn)的保護(hù)策略，對(duì)于提高云計(jì)算數(shù)據(jù)安全性，推動(dòng)網(wǎng)絡(luò)信息技術(shù)發(fā)展具有重要的意義。

云計(jì)算安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0背景下，云計(jì)算安全風(fēng)險(xiǎn)主要體現(xiàn)在2 個(gè)方面：一方面是安全漏洞風(fēng)險(xiǎn)，目前l(fā)aaS，PaaS，SaaS是云計(jì)算的3個(gè)主要類型，隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，人們對(duì)于應(yīng)用程序的安全性提出了更高的要求，而SaaS 中云應(yīng)用軟件是否存在技術(shù)性安全漏洞，始終是行業(yè)內(nèi)人員思考和研究的重點(diǎn)課題;另一方面是法律法規(guī)風(fēng)險(xiǎn)，云計(jì)算是近幾年新興的前沿性網(wǎng)絡(luò)信息技術(shù)，由于科學(xué)技術(shù)的發(fā)展速度遠(yuǎn)大于國(guó)家法律法規(guī)的修訂周期，因此，現(xiàn)階段關(guān)于云計(jì)算的法律法規(guī)仍不健全，導(dǎo)致云計(jì)算數(shù)據(jù)安全性和私密性無法得到法律法規(guī)的全面保護(hù)，從而產(chǎn)生安全風(fēng)險(xiǎn)。

云計(jì)算安全系統(tǒng)要點(diǎn)分析

數(shù)據(jù)儲(chǔ)存的完整性

云計(jì)算數(shù)據(jù)儲(chǔ)存屬于邏輯存儲(chǔ)方式，用戶無法獲知數(shù)據(jù)真實(shí)的物理位置，從而對(duì)云計(jì)算數(shù)據(jù)儲(chǔ)存的機(jī)密性和完整性比較擔(dān)心，因此確保數(shù)據(jù)儲(chǔ)存的完整性與機(jī)密性便成為云計(jì)算安全系統(tǒng)等級(jí)保護(hù)的要點(diǎn)。

云日志的安全性

云計(jì)算技術(shù)的發(fā)展和普及速度飛快，已經(jīng)成為各類系統(tǒng)的主要載體，而云服務(wù)提供商會(huì)將云計(jì)算系統(tǒng)的所有工作日志進(jìn)行保留。作為供應(yīng)商的內(nèi)部資料，云日志的安全性和管理質(zhì)量普遍被人們所擔(dān)憂，因此云日志安全管理是云計(jì)算安全系統(tǒng)等級(jí)保護(hù)的要點(diǎn)。

訪問控制的安全性

目前，很多企業(yè)都會(huì)將數(shù)據(jù)信息上傳至云計(jì)算系統(tǒng)中，從而經(jīng)常出現(xiàn)同一個(gè)物理設(shè)備或虛擬環(huán)境中存有競(jìng)爭(zhēng)對(duì)手?jǐn)?shù)據(jù)信息的情況。因此，訪問控制的安全性也成為云計(jì)算安全系統(tǒng)等級(jí)保護(hù)的一個(gè)要點(diǎn)。

云密鑰的安全性

云數(shù)據(jù)保護(hù)是云計(jì)算等級(jí)保護(hù)的核心，因此，技術(shù)人員會(huì)從技術(shù)和管理2個(gè)角度對(duì)云計(jì)算數(shù)據(jù)進(jìn)行加密處理，同時(shí)對(duì)多種身份驗(yàn)證行為也采用加密處理。因此，云密鑰的安全性必然是云計(jì)算安全系統(tǒng)等級(jí)保護(hù)的要點(diǎn)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0下的云計(jì)算安全風(fēng)險(xiǎn)保護(hù)策略

建設(shè)網(wǎng)絡(luò)信任體系

在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0背景下，可以通過以下措施構(gòu)建網(wǎng)絡(luò)信任體系，從而加強(qiáng)云計(jì)算安全風(fēng)險(xiǎn)的保護(hù)效力：① 搭建CA認(rèn)證系統(tǒng)，向業(yè)務(wù)系統(tǒng)提供身份認(rèn)證、證書生成等技術(shù)服務(wù)，給予用戶安全可信的支撐服務(wù);② 基于CA 認(rèn)證系統(tǒng)的技術(shù)支持，對(duì)用戶信息進(jìn)行統(tǒng)一管理，為業(yè)務(wù)系統(tǒng)訪問、網(wǎng)絡(luò)接入和操作系統(tǒng)登錄提供統(tǒng)一的身份認(rèn)證。

建設(shè)安全技術(shù)體系

安全技術(shù)體系建設(shè)包含以下措施：結(jié)合惡意代碼防護(hù)、入侵檢測(cè)與防御、身份認(rèn)證、邊界防護(hù)、訪問控制和安全審計(jì)等技術(shù)構(gòu)建基礎(chǔ)性安全技術(shù)防護(hù)體系;為云計(jì)算平臺(tái)設(shè)置虛擬化安全防護(hù)系;為云安全資源池設(shè)置安全防護(hù)體系;對(duì)公有云環(huán)境下不同租戶、私有云環(huán)境下不同虛機(jī)進(jìn)行南北向安全防御與隔離;利用云端監(jiān)測(cè)類服務(wù)和安全防護(hù)功能進(jìn)行縱深防御;結(jié)合數(shù)據(jù)生命周期，通過數(shù)據(jù)脫敏、訪問控制和身份認(rèn)證等技術(shù)手段，對(duì)主客體間的訪問路徑和行為實(shí)施安全防御;利用態(tài)勢(shì)感知系統(tǒng)、APT 攻擊防護(hù)系統(tǒng)實(shí)現(xiàn)主動(dòng)式安全預(yù)判和安全檢測(cè)，使安全防護(hù)可視化。

建設(shè)安全管理體系

安全管理體系的建立主要包含4 個(gè)關(guān)鍵內(nèi)容：① 建立健全安全管理組織機(jī)構(gòu)，完善各項(xiàng)安全管理制度，切實(shí)提升安全管理的實(shí)效性;② 加強(qiáng)硬件設(shè)施建設(shè)以及相關(guān)工作人員培訓(xùn)工作，通過安全管理軟實(shí)力和硬實(shí)力的提升，達(dá)到提升安全風(fēng)險(xiǎn)防控水平的目的;③ 加強(qiáng)云計(jì)算系統(tǒng)設(shè)計(jì)、搭建和檢驗(yàn)等環(huán)節(jié)的管理力度，提升云計(jì)算系統(tǒng)和平臺(tái)的安全性和穩(wěn)定性;④ 通過組建專業(yè)安全運(yùn)維團(tuán)隊(duì)或運(yùn)維服務(wù)外包的方式，增強(qiáng)運(yùn)維能力，確保云計(jì)算安全風(fēng)險(xiǎn)保護(hù)的持續(xù)性和穩(wěn)定性。

建設(shè)風(fēng)險(xiǎn)管理體系

與第三方專業(yè)安全測(cè)評(píng)機(jī)構(gòu)共同構(gòu)建風(fēng)險(xiǎn)管理體系，借助三方機(jī)構(gòu)的專業(yè)性對(duì)云計(jì)算風(fēng)險(xiǎn)保護(hù)工作的合規(guī)性進(jìn)行測(cè)評(píng)。另一方面，對(duì)現(xiàn)有安全系統(tǒng)殘留風(fēng)險(xiǎn)進(jìn)行監(jiān)控和處理。

綜上所述，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0背景下，云計(jì)算安全保護(hù)工作備受人們的關(guān)注，為進(jìn)一步提升云計(jì)算安全保護(hù)能力，相關(guān)企業(yè)和技術(shù)人員應(yīng)明確其主要風(fēng)險(xiǎn)點(diǎn)及安全系統(tǒng)的建設(shè)要點(diǎn)，并通過網(wǎng)絡(luò)信任、安全技術(shù)、安全管理和風(fēng)險(xiǎn)管理4個(gè)體系的構(gòu)建，使云計(jì)算安全保護(hù)滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的需求。