计算机时代2016年第1 1期 ・ 35 ・ DOI:10.16644/j.cnki.cn33-1094/tp.2016.11.011 浅谈云安全之等级保护测评★ 刘晓莉。沈笑慧 (浙江省电子信息产品检验所,浙江杭州310007) 摘要:随着网络进入更加自由和灵活的Web2.0时代,云计算的概念风起云涌。云安全问题已成为云计算推广面临的 最大挑战。针对云环境下计算模式的特点,结合实际云计算安全测评中的问题,分析了现行信息安全等级保护测评标准 应用到云环境的一些局限性,提出了云安全应重点关注的内容。 关键词:云计算;云安全;信息安全;等级保护测评;局限性 中图分类号:TP309 文献标志码:A 文章编号:1006—8228(2016)11—35—03 Discussion on the testing and evaluating of cloud computing security level protection Liu Xiaoli.Shen Xiaohui (Zhejiang Provincial Testing Institute of Electronic&Information Products,Hangzhou,Zhejiang 310007,China) Abstract:Cloud computing has recently attracted extensive attention since Intemet has accessed Web 2.0 with more freedom and lexifbility.However,the cloud securiy has become tthe biggest challenge for cloud promotion.Combined with the problems of the actual testing and evaluation in cloud computing securiy,tthe limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed,and the contents that cloud securiy sthould focus on are proposed. Key words:cloud computing;cloud security;information security;testing and evaluation of security level protection;limitations 0引言 要求大量联邦政府信息系统迁移到“云端”,另一方面 要求为联邦政府提供的云计算服务必须 近年来,随着网络进入更加自由和灵活的Web2.0 为确保安全,时代,云计算的概念风起云涌。美国国家标准与技术 通过安全审查 。我国也先后出台了一系列云计算服 如GB/T 31167—2014((信息安全技 研究院(NIST)定义云计算是一种按使用量付费的模 务安全的国家标准,GB/T 31168—2014《信息安 式,这种模式提供可用的、便捷的、按需的网络访问, 术云计算服务安全指南》、进入可配置的计算资源共享池(资源包括网络,服务 全技术云计算服务安全能力要求》等。本文关注的 包括云计算应用系统安全、云计算应 器,存储,应用软件,服务),这些资源能够被快速提 是云计算安全,云计算用户信息安全等 。 供,只需投入很少的管理工作,或与服务供应商进行 用服务安全、当前,等级保护测评的依据主要有GB/T 22239— 很少的交互。云计算因其节约成本、维护方便、配置 (信息安全技术信息系统安全等级保护基本要 灵活已经成为各国政府优先推进发展的一项服务。 2008(GB/T 28448—2012((信息安全技术信息系统安全 美、英、澳大利亚等国家纷纷出台了相关发展政策,有 求》、T 28449—2012((信息安全技 计划地促进政府部门信息系统向云计算平台迁移。 等级保护测评要求》和GB/ 但是也应该看到,政府部门采用云计算服务也给其敏 术信息系统安全等级保护测评过程指南》等。然而,感数据和重要业务的安全带来了挑战。美国作为云 这些标准应用于传统计算模式下的信息系统安全测 对于采用云计算服务模式下的信息系 计算服务应用的倡导者,一方面推出“云优先战略”, 评具有普适性,收稿日期:2016—9—12 基金项目:浙江省科技计划项目“云安全检测平台”(2014F10018) 作者简介:刘晓莉(1984一),女,浙江丽水人,博士研究生,主要研究方向:信息安全,云计算安全。 ・ 36 ・ Computer Era No.1 1 2016 统却有一定的局限性。 中安全 题已成为阻碍云计算推广的最大障碍。 云汁算安全面临着七大Jx【险,主要包括客户对数 本文结合实际云计算服务安全测评中的 题,首 客户与云服务商之问 先讨论现行信息安全等级保护测评标准应用到云环境 据和业务系统的控制能力减弱、可能产生司法管辖权问题、数据所 的一些局限性,其次对于云计算安全特别需要关注的 的责任难以界定、测评项进行分析。 有权保障面临风险、数据保护更加困难、数据残留和 容易产生对云服务商的过度依赖等。文献【3J提出了 1云计算安全 云汁算安全测评框架.与传统信息系统安全测评相 正如一件新鲜事物在带给我们好处的同时,也会 比,云汁算安全测评应重点关注虚拟化安全、数据安 带来问题一样,云汁算的推广也遇到了渚多 难,其 全和应用安全等层面。 图1 云计算安全测评框架 云访『uJ控制、云安全审汁、云安全加密、抗 虚拟化作为云汁算最重要的技术,其安全性直接 身份管理、软件代码安全等 。 关系到云环境的安全。虚拟化安全涉及虚拟化软件 抵赖、安全和虚拟化服务器安全,其中虚拟化服务器安全包 2云计算下等级保护测评的局限性 括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服 信息系统安全等级保护是国家信息安全保障工 务器迁移等 云计算的虚拟化安全问题主要集中在 基本策略、基本方法。开展信息系统 VM Hopping(-台虚拟机可能监控另一台虚拟机甚至 作的基本制度、会接入到宿主机)、VM Escape(VM Escape攻击获得 安全等级保护工作不仅是加强国家信息安全保障工 也是一项事关国家安全、社会稳定的 Hypervisor的访问权限,从而对其他虚拟机进行攻击)/ 作的重要内容,远程管理缺陷(Hypervisor通常由管理平台来为管理员 政治任务。信息系统安全等级保护测评工作是指洲 按照有 管理虚拟机.而这些控制台可能会引起一些新的缺 评机构依据国家信息安全等级保护制度规定,对未涉及国家秘密的信息系 陷)、迁移攻击(可以将虚拟机从一台主机移动到另一 关管理规范和技术标准,统安全等级保护状况进行检测评估的活动:与之对 台.也可以通过网络或USB复制虚拟机)等 数据实际存储位置往往不受客户控制,且数据存 应的是涉及国家秘密的信息系统安全测评,就是通常 放在云平台上,数据的所有权难以界定,多租户共享 所说的分级保护测浮 信息系统安全等级保护的基本要求包括技术要 计算资源,可能导致客户数据被授权访『u】、篡改等。 另外当客户退出云服务时,客户数据是否被完全删除 求和管理要求两大类一其中技术要求包括物理安全、络安全、主机安全、应用安全、数据安全及备份恢复 等是云汁算模式下数据安全面临的主要『uJ题。 管理要求包括安全管理制度、安全管理 在云汁算中对于应用安全,特别需要注意的是 等五个层面;系统建没管理和系统运维管理 Web应用的安全。云计算应用安全主要包括云用户 机构、人员安全管理、计算机时代2016年第11期 等五个层面。 ・ 37 ・ 务商的云平台中,数据的处理、存储均在“云端”完成, 传统的安全已不足以保护现代云计算工作负 用户一端只具有较少的计算处理能力,数据的安全性 载。换言之,将现行的等级保护相关标准生搬硬套到 依赖于云平台的安全。如何确保数据远程传输安全、 云计算模式存在局限性,具体体现在以下方面。 (1)物理安全 数据集中存储安全以及多租户之间的数据隔离是云 计算环境下迫切需要解决的问题。 传统模式的信息系统数据中心或者在本单位,或 3云安全之等级保护测评 者托管在第三方机构,用户可以掌握自身数据和副本 参照等级保护测评的要求,结合上述分析,云安 存储在设备和数据中心的具体位置。然而,由于云服 务商的数据中心可能分布在不同的地区,甚至不同的 全之等级保护测评应重点关注以下方面。(1)数据中心物理与环境安全:用于业务运行和 国家,GB厂r 31167—2014明确了存储、处理客户数据的 数据中心和云计算基础设施不得设在境外。 (2)网络安全 数据处理及存储的物理设备是否位于中国境内,从而 避免产生司法管辖权的问题。 (2)虚拟网络安全边界访问控制:是否在虚拟网 制、入侵防范、恶意代码防范、安全审计、网络设备防 络边界部署访问控制设备,设置有效的访问控制规 从而控制虚机间的互访。 护等测评项。网络边界是网络信息安全的第一道防 则,网络安全主要包括结构安全、边界防护、访问控 线,因此在网络边界采取安全防护措施就显得尤为重 (3)远程访问监控:是否能实时监视云服务远程 并在发现未授权访问时,及时采取恰当的防护 要。但在云计算模式下,多个系统同时运行在同一个 连接, 物理机上,突破了传统的网络边界。由此可见,网络 措施。边界的界定、安全域的划分成为了云计算模式下网络 边界安全面临的新挑战 。 (3)主机安全 (4)网络边界安全:是否采取了网络边界安全防 护措施,如在整个云计算网络的边界部署安全防护 设备等。 (5)虚拟机安全:虚拟机之间的是否安全隔离,当 是否存在跨虚拟 计等测评项。但在云计算模式下,虚拟化技术能够实 租户退出云服务时是否有数据残留, 现在一台物理机上运行多台虚拟机。尽管虚拟机之 机的非授权访问等。主机安全主要包括身份鉴别、访问控制、安全审 (6)接口安全:是否采取有效措施确保云计算服 间具有良好的隔离性,但在云计算平台,尤其是私有 云和社区云中,虚拟机之间通常需要进行交互和通 务对外接口的安全性。(7)数据安全:多租户问的数据是否安全隔离,远 信,正是这种交互为攻击和恶意软件的传播提供了可 租 能。因此,虚拟机之间的安全隔离、用户权限划分、数 程传输时是否有措施确保数据的完整性和保密性,据残留、跨虚拟机的非授权访问是云计算环境下虚拟 户业务或数据进行迁移时是否具有可移植性和互操 作性。 机安全需要重点关注的内容。 (4)应用安会 应用系统作为承载数据的主要载体,其安全性直 接关系到信息系统的整体安全,因此对整个系统的安 4结束语 云计算因其高效化、集约化和节约化的特点,受 全保密性至关重要。然而,当前绝大多数单位的应用 到越来越多党政机关、企事业单位的青睐,与此同时 系统在设计开发过程中,仅仅考虑到应用需求、系统 云计算带来的风险也是不容忽视的。本文结合云计 的性能及技术路线的选择等问题,缺少了应用系统自 算的特点分析了云计算模式下现行等级保护测评标 并提出了云计算下等级保护测评需 身的安全性。客户的应用托管在云计算平台,面临着 准的一些局限性,对云服务商、租户和测评机构 安全与隐私双重风险,主要包括多租户环境下来自云 要特别关注的测评项,租户在进行云迁移之前, 计算服务商和其他用户的未授权访问、隐私保护、内 提供借鉴。值得注意的是,容安全管理、用户认证和身份管理问题 。 (5)数据安全及备份恢复 首先应确定自身迁移业务的等级,其次是租用的云计 算平台等级不能低于业务系统的等级。 (下转第40页) 在云计算模式下,客户的数据和业务迁移至云服 ・40・ Computer Era No.1 1 2016 安全工程中,针对不同的安全目标,定义了相应的模 电子政务系统风险评估是一项复杂的大工程,一 块化过程,并能够对组织执行特定过程的能力做出量 般采用可操作性较强的OCTAVE方法,但是OCTAVE 化的评定,从而帮助寻找实现最终目标的最优途径。 方法是定性分析的,主观性较强,评估结果较为粗 它将信息系统的安全过程分为3个模块化过程,通过 略。所以,在实际的评估过程中经常将层次分析、模 l1个过程域PA(Process Area)和5个能力成熟度级别 糊数学、熵理论、D—s证据理论及BP神经网络等应用 来描述:风险评估过程,分析安全系统中存在的威胁; 到OCTAVE方法中,来降低对于人为主观性的依赖, 工程实施过程,利用相关措施解决/处理威胁可能带 优化评估的结果 。 来的问题;信任度评估过程,评估执行者解决问题的 能力。为了实现风险评估过程目标,SSE—CMM法定 义了威胁评估、脆弱性评估、事件影响评估及系统风 4结束语 伴随各种移动电子政务业务的出现,使得电子政 务系统的安全形势更加严峻,针对电子政务系统开展 险评估等四个子过程。 我们可以发现,系统在建设、实施 SSE—CMM法指出了系统安全评估过程中的关键 信息安全风险评估,脆弱性及风险,而部署防 过程及必需的基本实施,同时能够量化评定每个过程 和运行过程中存在的威胁、可以为电子政务提供安全可靠的 的可行性,削弱了评估中的主观性;但是其没有规定 护及加固安全策略,网络环境。 过程的执行流程和步骤,可操作性差。 3.3自适应评估方法 目前,电子政务系统信息安全风险评估还需要 适应电子政务行业需求的风 自适应评估法的关键在于系统的安全“免疫”子 在以下方面加强研究:适用于风险评估不同阶 系统(也就是系统中的实时安全监控系统),它要求 险评估方法及模型的研究;“免疫”系统能够区分无害的自体和有害的非自体,并 段的自动化评估工具的开发;动态风险评估方法的 能够根据需要及时地清理系统中的非自体;同时可以 设计与应用。References): 根据“免疫”系统受到的破坏实时动态地进行风险评 参考文献(11李煜川.电子政务系统信息安全风险评估研究一以数字档案 估,实施防护。它要在“免疫”系统中定义“免疫”细 [胞,当出现黑客攻击、病毒等外来威胁时,“免疫”系统 应,如禁止服务、关闭端口、关机等。另外,如果系统 中的任意一台主机被攻击,都会迅速通知其他主机, 馆为例【D1.苏州大学硕士学位论文,2011. 2】唐作其,陈选文,戴海涛,郭峰.多属性群决采理论信息安全风 就会根据受侵害的程度发生动态变化,做出具体的响 【险评估方法研究【J】.计算机工程与应用,2011.47(15): 104-107 使整个系统的安全得到最大的保障。 估【J].理论研究,2014.3:80—86 自适应风险评估法可以快速地识别系统中现有 [41赵磊.电子政务网络风险评估与安全控制【D1.上海交通大学 的风险,实施实时防护,并动态调整防护系统,更好地 硕士学位论文,2011. 【3】李增鹏,马春光,李迎涛.基于层次分析涉密信息系统风险评 提高系统的安全性,是未来的发展趋势。但是它的实 施难度较大,系统成本较高。 【5】刘焕,赵刚.人工智能在信息安全风险评估中的应用[J】.北京 信息科技大学学报,2012.27(5):59-62 圆 (上接第37页) 参考文献(References): 【1】尹丽波.美国云计算服务安全审查值得借鉴.中国日报网. f2】陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展 趋势【J】_技术广角,2011:50—54 【4】房晶,吴昊,白松林.云计算的虚拟化安全问题【J].电信科学, 2012.28(4):135—140 【5】陈文捷,蔡立志.云环境中网络边界安全的等级保护研究【C】. 第二届全国信息安全等级保护技术大会会议论文集,2013. 【3】潘小明,张向阳,沈锡镛,严丹.云计算信息安全测评框架研制J】_ 计算机时代,2013.10:22—25 (6】刘玮,王丽宏.云计算应用及其安全问题研究【J】.计算机研究 与发展,2012.49(S2):186—191圜