云计算环境下信息安全等级保护测评研究
2016-10-18吴齐跃王永琦
吴齐跃,王永琦
(1.北京科技大学东凌经济管理学院,北京100083;2.教育信息安全等级保护测评中心,北京100816)
云计算环境下信息安全等级保护测评研究
吴齐跃1,2,王永琦2
(1.北京科技大学东凌经济管理学院,北京100083;2.教育信息安全等级保护测评中心,北京100816)
安全问题是制约云计算发展的重要因素,如何判断云服务安全性是否可以达到安全要求,需要在现有的等级保护体系下进一步丰富完善涉及云计算相关的内容,为等级测评提供必要的依据。文章在教育等级保护测评中心实际测评工作实践基础上对信息安全在云计算环境下面临的新挑战与问题进行了分析,提出信息安全等级保护建设在云计算环境下的若干建议,并就如何对云计算环境进行等级测评提出参考办法,给出了云计算环境下信息安全等级保护的思考,阐述了云计算相关安全标准和配套法规目前不够完善,亟需补充加强。
云计算;等级保护;等级测评
引言
云计算(cloudcomputing)发展如火如荼,在各个行业都得到了广泛应用,政府部门以及产业界和学术界对此非常关注。云计算的本质就是将大量计算资源统一整合,这个资源远离终端用户,通过网络高速链接提供给用户进而云化,这里的计算资源也包括了存储资源以及软件资源。云计算服务商藉此对外提供便捷的IT服务。云计算可以说是继互联网经济繁荣以来IT产业的又一个重要增长点,其主要特点是成本低、通用型、可扩展性强、服务灵活。云计算极大提高了IT资源的使用效率,但也必须充分认识到这一新技术的发展给用户的信息资产安全及隐私保护等带来了巨大威胁和考验。安全问题是云计算服务使用过程中用户最为关注的关键性问题。伴随随着云计算应用的不断推广与普及,云计算安全与否已成为用户选择云计算服务商的重要因素之一。从国家层面到许多信息安全企业以及学术研究团体、国家标准化组织对云计算安全课题已经开始进行研究,同时国内外云服务商联合传统安全厂商也在研究开发基于云计算的信息安全产品并有一些应用。本文拟通过对当前云计算所面临的安全问题以及云计算环境下等级保护工作开展中遇到的问题进行分析与总结,探索云计算安全等级保护建设和测评的方法,希望可以为各测评机构和用户在云计算安全与信息系统安全等级保护工作实践做出有益的探索。
一、云计算概述
根据NIST对云计算的定义:云计算是一种基于互联网实现的可以随时随地、按需、便捷地访问共享资源池(如计算设施、存储设备、应用程序等)的计算模式[1]。
云计算融合与发展了互联网技术、分布式计算、大规模资源管理等技术,云计算的应用研究是一个复杂的系统工程,其知识领域覆盖了信息安全、虚拟化资源管理、云数据中心管理、大规模数据处理等重要问题。云计算最主要的特征,就是提供按需服务的弹性资源,其主要特点有:运用虚拟化技术、低成本、高可用、高可靠、横向扩展能力强、按需服务、不受规模限制等特点。
云计算服务可以分为三个层次:基础设施即服务(IaaS,infrastructureasaservice)、平台即服务(PaaS,platformasaservice)、软件即服务 (SaaS,softwareasa service)[2]。其中:
(1)IaaS基础设施服务:封装云数据中心的基础设施,为用户提同服务,提供给用户不同的操作系统,数据库软件等来部署不同的业务,自主完成应用系统的搭建,典型的如Amazon的EC2、S3、VPC等分别为用户提供计算、存储和虚拟网络服务;
(2)PaaS平台服务:通过整合各种应用程序所需的运行环境对外提供服务,用户只需安装自己的软件即可,典型的有微软的AZURE;
(3)SaaS软件服务,是云服务商将应用软件以服务的方式封装提供给用户,用户可以不要安装部署任何软件,直接使用云端提供的服务(预装软件)即可,微软的OfficeLive就是这样的一种服务。
云计算服务的参考体系架构[3]可以用图1表示。云计算服务管理的重点是对云计算核心服务(IaaS、PaaS、SaaS)进行管理,保证这些服务的安全性、可用性、可靠性等是有保障的。服务管理的内容主要包括云计算的安全管理、云计算服务质量保证、云计算服务计费管理、资源监控等。云计算服务管理的的核心是云平台本身的运行管理和服务质量管理。
图1 云计算服务参考体系结构
云计算部署可以分为公有云、私有云、混合云和社区云四种[4]。其中公有云,是由云服务商负责搭建并以服务的方式提供给用户共享使用的云环境;而私有云一半是由企业自己出资独立构建并只为用户自己使用的私有云环境;混合云是对前两种云部署模式的折衷,用户一方面部署了自己的私有云,此外由购买使用第三方的公有云服务,通过一定技术手段实现了公有云和私有云之间的数据和应用交互;所谓社区云则是指那些有着共同利益的企业和用户自己出资的共享基础设施的云环境,本质是一种私有云,只是不是由一个用户独立投资建设使用。
二、云计算所带来的安全挑战
随着信息系统和用户数据向云端的转移,云计算数据中心势必成为网络信息安全攻击的核心目标。云计算环境下数据中心内系统的规模都比较巨大,云管理平台系统本身就非常的复杂、对多租户的管理及权限的划分也是一大管理难点,基于以上因素给云计算的安全性带来了非常严峻的考验:①云环境下提供的各种云计算服务都没有独立的主机、网络、存储等基础设施,各用户的服务之间没有明确安全边界,用户的数据安全和隐私保护需要较传统数据中心更加高强度的保护;②云服务的环节较多,涉及不同的云数据中心,云平台的管理、不同云计算资源的管理、带来了较大程度上的管理复杂性,在安全防护的统一规划部署上有一定的局限、而且有的云服务商需要用户自己进行安全防护;③云计算服务汇聚了多用户的数据与计算,在存储与读取上,安全策略的制定上,要求能够满足的规模并发信息处理的需求[5]。
云计算模式所带来的的核心安全问题是用户对自身数据失去了完全控制权,而对元计算环境基本不可控。一般而言,云计算的安全保障是由云计算服务提供商来提供的,但也不完全是,云计算的安全问题主要集中在云数据中心的安全,云管理平的安全、数据的安全,虚拟化应用部署的安全,服务器的安全,云计算本身的安全,瘦客户端的安全,云服务的法律保障等方面。怎么来解决云计算安全,需要重点分析与解决以下问题:
1.云计算数据存储的安全
对私有云和社区云而言,数据存储可以认为还是在用户可控的存储服务器内,但对于业选择使用公有云环境的用户而言,云计算服务商实际掌控了用户的数据物理存储,用户很难限制其数据访问权[6]。云计算服务商应保证:用户的数据被正确合理地存储、传递及使用,证明该用户的数据没有被盗用或者泄漏、确保用户的相关行为数据没有被记录并分析、非业务数据已被彻底清楚,最终要的是该用户数据被正确存储在中国境内等等;
2.虚拟化应用安全问题
在云计算环境中,计算、存储、网络等都是宿主机虚拟出来的,很多云计算用户共享基础资源,存在不同虚拟资源运行于相同的物理资源上的可能。虚拟化层面的安全漏洞,极有可能导致虚拟机逃逸和用户数据的泄露。
3.云计算的服务安全问题
在公有云计算环境下,根据用户选择不同的云服务,用户和云计算服务商的安全边界比较模糊。不同的云服务可能涉及到多个云计算服务提供商,当用户同时选择了多个云服时,而云服务又是由不同的云计算服务商来提供,那么这些服务的衔接之间可能存在着多层转包问题会将云服务管理的复杂性进一步放大,从而使得云计算服务的安全风险变得更大。
4.云计算软件平台的安全问题
云计算软件平台因为设计或配置不当,可能导致在云计算资源调度、用户访问控制隔离等方面存在安全问题,存在云计算环境下的非授权用户访问不当资源、进一步造成数据泄露等安全风险。
5.云管理平台的安全问题
云管理平台对云计算环境进行统一监控和运维管理,对云管理平台的操作或配置不当将导致云计算服务水平下降。
6.网络边界问题
虚拟网络和SDN的出现打破了传统网络的边界,虚拟网络的访问控制和恶意代码检查变得更加复杂。
三、信息系统安全等级保护概述
信息安全等级保护制度是国家实施网络与信息安全工作的抓手,信息安全等级保护制度是一系列的管理规范和标准体系的总和,主要包括了30多个国家标准,其中基础核心标准主要有:
(1)《计算机信息系统安全等级保护划分准则》(GT/T 17859-1999);
(2)《信息系统安全管理要求》(GB/T20269-2006);
(3)《信息系统安全等级保护基本要求》(22239-2008);
(4)《信息系统安全等级保护定级指南》(GB/T22240-2008)等。
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理、对信息系统中发生的信息安全事件分等级响应、处置[7]。
图2 等级保护有关标准及关系图
如图2所示,我国的信息安全等级等保护标准体系的组成包含了等级保护工作过程中所需的各标准共同组成。这些标准按照基本分类的视角可以划分为三大类:基础类标准、管理类标准和产品类标准;根据标准制定对象视角可以分为基础标准、系统标准、产品标准、安全服务标准和安全时间标准五大类;而根据等级保护的生命周期则可以分为通用/基础标准、系统定级应用标准、安全建设用标准、等级测评用标准、运行维护用标准等[8]。
我国的信息系统安全等级保护主要工作主要有:定级备案、建设整改、等级测评和监督检查。其中《计算机信息系统安全保护等级划分准则》(GB17859-1999)是基础性标准、其他标准在GB17859-1999的基础上做了进一步的扩展。《信息系统安全等级保护实施指南》(GB/ T25058-2010)指导等级保护工作如何开展;《信息系统安全保护等级定级指南》(GB/T22240-2008)指导系统定级;《信息系统安全等级保护基本要求》(GB/T22239-2008)是建设整改和测评的依据;在等级测评环节主要参考 《信息系统安全等级保护测评要求》(GB/T28448-2012)和《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)。
《信息安全等级保护管理办法》(公通字[2007]43号)明确要求:信息系统运营、使用单位依据[2007]43号文和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。《信息系统安全等级保护测评要求》明确提出应定期开展等级测评工作,其中三级系统的测评频率是年度至少一次,四级系统至少半年一次,五级系统的测评要求不低于四级,依据特殊安全需求进行等级测评——实践中还没有系统为五级,暂是没有可参考的数据。
四、云计算环境下的等级测评
和传统的信息系统安全等级测评不同,云计算环境可以被视为是一类特殊的信息系统,等级保护虽然对于云计算而言有一定的局限性,但依然可以参考适用于云计算环境。
在选择不同的云计算环境前,用户和企事业单位应对重要的信息系统(主要指三级及以上系统)进行研究,从系统安全性、运营成本等方面综合考虑,考察是否符合等级保护建设的要求,建议重要信息系统(三级及以上系统)应当以私有云建设为主[9]。
云计算环境下的测评,主要针对云基础设施如云计算数据中心、云管理软件如云平台、其他云应用服务如操作系统、虚拟机、存储、应用软件、身份认证识别与管理等,其中云计算数据中心是基础,云平台是管理核心。和传统的数据中心相比较而言,云计算数据中心的规模经济效应更为明显、可扩展性更强、具有更强的自治性[10]。超大规模的的云计算数据中心有数万个计算节点,而且其规模一直在呈上升趋势。大规模云计算中心的网络结构非常复杂,网络虚拟化和主机虚拟化技术被广泛深入应用在云计算中,为硬件资源池化提供了技术基础,使得为用户提供按需服务得以实现,充分利用硬件的性能而没有浪费。
唐国纯在文献[11]中提出了云安全框架,如图3所示。该架构指出云计算安全问题不仅是云服务提供商的责任,用户也要为自身安全承担责任。云服务提供商承担数据安全、信息加密安全、身份识别、业务连续性等云服务公共安全问题,其中云计算数据中心的基础设施安全、运维安全管理、云平台的安全管理是根本,而云用户主则要对自身使用的终端、身份及密码负责,保证与云端链接的是用户自己。
图3 云安全框架
等级保护测评需要根据信息系统安全保护对象,按照其对应的安全功能要求项进行检测,通过表1对云计算环境下的保护对象与传统环境下的保护对象进行了简单的对比。
针对云计算环境下保护对象特点,总结教育信息安全等级保护测评中心的项目实施经验以及与公安部三所及不同云服务商的交流结果,根据云环境中所特有的安全风险,等级保护测评在传统环境下测评之外应重点检查以下内容:
(1)云计算环境中的网络虚拟化结构是否合理,边界是否清晰,访问控制策略是否合理,虚拟化网络设备配置是否恰当;
(2)云计算环境中云平台的管理是否得到恰当的授权,资源的访问和申请是否得到有效控制,关键业务系统是否采取了加固的操作系统;
(3)云计算环境中对数据传输是否有完整性、保密性和抗抵赖性保障安全措施;
(4)云计算环境中的虚拟机之间是否隔离,是否存在隐蔽信道;
(5)云计算服务商是否对访问用户数据做了限制,是否记录了用户隐私;
(6)云计算环境中的用户数据是否按照指定加密算法进行了加密;
(7)云计算环境中的用户数据及管理数据是否有合理的备份策略并能及时恢复;
(8)云环境中的数据是否采用了数据审计的策略,包括云服务方和用户方各自的审计,以保证数据的可溯源性;
(9)云计算中心是否采用剩余信息保护机制以防止用户数据泄露。
(10)云计算服务内容的审查和服务水平的约定,以及云服务提供商与用户的责任与权限的界定;
(11)云计算环境中虚拟机镜像是否不定期进行安全加固、涉及敏感信息的快照应当加密以防止非法访问;
(12)云计算的软件平台应该进行访问控制和身份鉴别,并能进行安全审计,应检查其通信接口是否统一并进行了加密。
表1 云计算环境与传统信息系统保护对象比较
五、云计算环境下等级保护工作的思考
我们国家的信息系统安全等级保护体系经过20多年的发展已经基本建立并逐步完善,各行业也陆续推出了自己的行业标准,但基本仍然是在国标的基础上针对本行业的信息系统特点进行的特殊归纳总结,面对大数据和云计算的应用模式仍然存在这一定的局限性。国标GB/T22239-2008主要从物理、网络、主机、数据保护、应用安全等方面对信息系统安全等级保护提出了明确的要求,其立足点主要是针对信息系统,鉴于标准本身的滞后性,其面对当前广泛应用的云计算,不是非常的适用,对于云计算的服务模式、云计算应用构架、云计算的安全模型等方面亟须补充一个统一规范和标准。从目前云计算服务的发展来看,不同的云计算服务商服务平台的建设存在较大差异,用户和云计算服务商都对云计算环境的安全保障存在着不同的理解。考虑到国内外复杂的信息安全形势,出台配套的云计算安全保障相关的规范和标准用以指导云计算环境下的信息系统安全建设变得尤为迫切,对云计算的安全风险进行分析,在此基础上建立一个安全框架,提供云计算安全服务体系与云计算安全标准及其测评规范,并积极开展其中各个云安全的关键技术研究,为实现云计算环境下的安全目标提供技术支撑,为云计算服务平台和云计算安全体系的同步规划建设提供依据,指导用户在国内云计算环境下的信息系统安全建设,减少云计算环境下的信息安全风险,实现对云计算环境有效管理和控制。
从当前教育等级保护中心开展的测评实践来看,依照现有的基本要求和测评指南,对大的云计算中心进行测评比较困难,我们认为要从根本上解决云计算安全问题,可以首先考虑从国家层面上补充建立云计算安全标准和云计算安全服务等级测评办法和实施指南。通过云计算安全标准规范云计算服务商为云计算用户提供一个可以度量的云用户安全目标,同时为等级保护测评机构检验云服务商安全服务能力提供依据,通过云计算安全服务等级测评版和试试指南指导信息系统安全等级测评机构为云计算安全服务提供商的云计算中心和提供的云服务进行测评,以满足我国信息安全等级保护法规的相关要求。
结束语
云计算安全既包含技术问题和管理管理问题,更是相关技术标准和服务监管模式等问题的综合,更离不开国家在大数据及隐私保护方面的法律法规的进一步完善。要解决云计算环境下的安全问题,单从信息安全技术本身出发是远远不够的,云计算安全是IT厂商、云计算服务商、信息安全领域的厂商和学者以及政府信息安全主管部门的共同责任,需要大家的共同努力才有可能实现。
等级保护制度是国家信息安全的基本制度,坚定不移地推动等级保护工作,丰富和完善等级保护相关标准制度,通过测评机构在信息安全等级测评及时发现当前云计算环境下暴露出来的信息安全问题,指导云计算服务商和用户及时整改,是推动和加速云计算应用健康发展的基石。本文从信息安全等级保护机构从业者的角度出发,把我们遇到的一些问题进行分析,为等级保护从业人员及云计算终端用户提供一些思考,为在云计算环境下的国家信息安全等级保护标准系统的补充制定和推广提供参考。
[1]MELLP,GRANCET.TheNISTDefinitionof CloudComputing[R].NationalInstituteofStandardsand Technology,2011.
[2]黄河,刘旭东,孙海龙.云计算环境下服务中间件动态管理框架的设计与实现[J].计算机工程与科学,2013,35 (1):30-35.
[3]罗军舟等.云计算:体系架构与关键技术[J].通信学报,2011(7).
[4]王宗江,郑秋生,曹健.混合云中的一个高效协调器[J].计算机科学,2015,42(1):92-95.
[5]冯登国等.云计算安全研究[J].软件学报,2011(1).
[6]赵雅琴.以用户为中心的云计算服务存在的问题[J].信息系统工程,2012(3):152-153.
[7]刘静,王鹏.基于等级保护的检察系统信息安全保障体系建设[C].全国计算机安全学术交流会论文集(第二十二卷),2007:29-31.
[8]赵林,郭启全,任卫红等.信息安全等级保护系列标准应用案例[J].中国信息安全,2012(4):73-77.
[9]孙铁.云环境下开展等级保护工作的思考[J].信息网络安全,2011(6):11-13.
[10]GreenbergA,HamiltonJ,MaltzDA,etal.The CostofaCloud:ResearchProblemsinDataCenterNetworks [J].AcmSigcommComputerCommunicationReview,2009,39(1):68-73.
[11]唐国纯.云安全的体系结构及关键技术研究[J].信息技术,2015(7).
[12]黄海.关于云计算的数据安全关键技术研析[J].科技创新与应用,2015(25).
[13]王静宇.面向云计算环境的访问控制关键技术研究[D].北京科技大学,2015.
[14]陈敏刚,胡芸,蔡立志.云计算环境下数据安全的等级保护研究[C].第二届全国信息安全等级保护技术大会会议论文集,2013.
(编辑:王晓明)
TP319
B
1673-8454(2016)11-0013-05
