浅谈云安全之等级保护测评

摘 要： 随着网络进入更加自由和灵活的Web2.0时代，云计算的概念风起云涌。云安全问题已成为云计算推广面临的最大挑战。针对云环境下计算模式的特点，结合实际云计算安全测评中的问题，分析了现行信息安全等级保护测评标准应用到云环境的一些局限性，提出了云安全应重点关注的内容。

关键词： 云计算； 云安全； 信息安全； 等级保护测评； 局限性

中图分类号：TP309 文献标志码：A 文章编号：1006-8228（2016）11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli， Shen Xiaohui

（Zhejiang Provincial Testing Institute of Electronic & Information Products， Hangzhou， Zhejiang 310007， China）

Abstract： Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However， the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security， the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed， and the contents that cloud security should focus on are proposed.

Key words： cloud computing； cloud security； information security； testing and evaluation of security level protection； limitations

0 引言

近年来，随着网络进入更加自由和灵活的Web2.0时代，云计算的概念风起云涌。美国国家标准与技术研究院（NIST）定义云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策，有计划地促进政府部门信息系统向云计算平台迁移。但是也应该看到，政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了挑战。美国作为云计算服务应用的倡导者，一方面推出“云优先战略”，要求大量联邦政府信息系统迁移到“云端”，另一方面为确保安全，要求为联邦政府提供的云计算服务必须通过安全审查[1]。我国也先后出台了一系列云计算服务安全的国家标准，如GB/T 31167-2014《信息安全技术云计算服务安全指南》、GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》等。本文关注的是云计算安全，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等[2]。

当前，等级保护测评的依据主要有GB/T 22239-

2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。然而，这些标准应用于传统计算模式下的信息系统安全测评具有普适性，对于采用云计算服务模式下的信息系统却有一定的局限性。

本文结合实际云计算服务安全测评中的问题，首先讨论现行信息安全等级保护测评标准应用到云环境的一些局限性，其次对于云计算安全特别需要关注的测评项进行分析。

1 云计算安全

正如一件新鲜事物在带给我们好处的同时，也会带来问题一样，云计算的推广也遇到了诸多困难，其中安全问题已成为阻碍云计算推广的最大障碍。

云计算安全面临着七大风险，主要包括客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等。文献[3]提出了云计算安全测评框架，与传统信息系统安全测评相比，云计算安全测评应重点关注虚拟化安全、数据安全和应用安全等层面。

虚拟化作为云计算最重要的技术，其安全性直接关系到云环境的安全。虚拟化安全涉及虚拟化软件安全和虚拟化服务器安全，其中虚拟化服务器安全包括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。云计算的虚拟化安全问题主要集中在VM Hopping（一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机）、VM Escape（VM Escape攻击获得Hypervisor的访问权限，从而对其他虚拟机进行攻击）/远程管理缺陷（Hypervisor通常由管理平台来为管理员管理虚拟机，而这些控制台可能会引起一些新的缺陷）、迁移攻击（可以将虚拟机从一台主机移动到另一台，也可以通过网络或USB复制虚拟机）等[4]。

数据实际存储位置往往不受客户控制，且数据存放在云平台上，数据的所有权难以界定，多租户共享计算资源，可能导致客户数据被授权访问、篡改等。另外当客户退出云服务时，客户数据是否被完全删除等是云计算模式下数据安全面临的主要问题。

在云计算中对于应用安全，特别需要注意的是Web应用的安全。云计算应用安全主要包括云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等[3]。

2 云计算下等级保护测评的局限性

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。与之对应的是涉及国家秘密的信息系统安全测评，就是通常所说的分级保护测评。

信息系统安全等级保护的基本要求包括技术要求和管理要求两大类。其中技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个层面；管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个层面。

传统的安全已不足以保护现代云计算工作负载。换言之，将现行的等级保护相关标准生搬硬套到云计算模式存在局限性，具体体现在以下方面。

⑴ 物理安全

传统模式的信息系统数据中心或者在本单位，或者托管在第三方机构，用户可以掌握自身数据和副本存储在设备和数据中心的具置。然而，由于云服务商的数据中心可能分布在不同的地区，甚至不同的国家，GB/T 31167-2014明确了存储、处理客户数据的数据中心和云计算基础设施不得设在境外。

⑵ 网络安全

网络安全主要包括结构安全、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、网络设备防护等测评项。网络边界是网络信息安全的第一道防线，因此在网络边界采取安全防护措施就显得尤为重要。但在云计算模式下，多个系统同时运行在同一个物理机上，突破了传统的网络边界。由此可见，网络边界的界定、安全域的划分成为了云计算模式下网络边界安全面临的新挑战[5]。

⑶ 主机安全

主机安全主要包括身份鉴别、访问控制、安全审计等测评项。但在云计算模式下，虚拟化技术能够实现在一台物理机上运行多台虚拟机。尽管虚拟机之间具有良好的隔离性，但在云计算平台，尤其是私有云和社区云中，虚拟机之间通常需要进行交互和通信，正是这种交互为攻击和恶意软件的传播提供了可能。因此，虚拟机之间的安全隔离、用户权限划分、数据残留、跨虚拟机的非授权访问是云计算环境下虚拟机安全需要重点关注的内容。

⑷ 应用安全

应用系统作为承载数据的主要载体，其安全性直接关系到信息系统的整体安全，因此对整个系统的安全保密性至关重要。然而，当前绝大多数单位的应用系统在设计开发过程中，仅仅考虑到应用需求、系统的性能及技术路线的选择等问题，缺少了应用系统自身的安全性。客户的应用托管在云计算平台，面临着安全与隐私双重风险，主要包括多租户环境下来自云计算服务商和其他用户的未授权访问、隐私保护、内容安全管理、用户认证和身份管理问题[6]。

⑸ 数据安全及备份恢复

在云计算模式下，客户的数据和业务迁移至云服务商的云平台中，数据的处理、存储均在“云端”完成，用户一端只具有较少的计算处理能力，数据的安全性依赖于云平台的安全。如何确保数据远程传输安全、数据集中存储安全以及多租户之间的数据隔离是云计算环境下迫切需要解决的问题。

3 云安全之等级保护测评

参照等级保护测评的要求，结合上述分析，云安全之等级保护测评应重点关注以下方面。

⑴ 数据中心物理与环境安全：用于业务运行和数据处理及存储的物理设备是否位于中国境内，从而避免产生司法管辖权的问题。

⑵ 虚拟网络安全边界访问控制：是否在虚拟网络边界部署访问控制设备，设置有效的访问控制规则，从而控制虚机间的互访。

⑶ 远程访问监控：是否能实时监视云服务远程连接，并在发现未授权访问时，及时采取恰当的防护措施。

⑷ 网络边界安全：是否采取了网络边界安全防护措施，如在整个云计算网络的边界部署安全防护设备等。

⑸ 虚拟机安全：虚拟机之间的是否安全隔离，当租户退出云服务时是否有数据残留，是否存在跨虚拟机的非授权访问等。

⑹ 接口安全：是否采取有效措施确保云计算服务对外接口的安全性。

⑺ 数据安全：多租户间的数据是否安全隔离，远程传输时是否有措施确保数据的完整性和保密性，租户业务或数据进行迁移时是否具有可移植性和互操作性。

4 结束语

云计算因其高效化、集约化和节约化的特点，受到越来越多党政机关、企事业单位的青睐，与此同时云计算带来的风险也是不容忽视的。本文结合云计算的特点分析了云计算模式下现行等级保护测评标准的一些局限性，并提出了云计算下等级保护测评需要特别关注的测评项，对云服务商、租户和测评机构提供借鉴。值得注意的是，租户在进行云迁移之前，首先应确定自身迁移业务的等级，其次是租用的云计算平台等级不能低于业务系统的等级。

参考文献（References）：

[1] 尹丽波.美国云计算服务安全审查值得借鉴.中国日报网.

[2] 陈军，薄明霞，王渭清.云安全研究进展及技术解决方案发展

趋势[J].技术广角，2011：50-54

[3] 潘小明，张向阳，沈锡镛，严丹.云计算信息安全测评框架研究[J].

计算机时代，2013.10：22-25

[4] 房晶，吴昊，白松林.云计算的虚拟化安全问题[J].电信科学，

2012.28（4）：135-140

[5] 陈文捷，蔡立志.云环境中网络边界安全的等级保护研究[C].

第二届全国信息安全等级保护技术大会会议论文集，2013.

[6] 刘玮，王丽宏.云计算应用及其安全问题研究[J].计算机研究

与发展，2012.49（S2）：186-191