◆余海发 郭龙华



企业云存储服务信息安全策略应用研究

◆余海发 郭龙华

（上海交通大学电院网络空间安全学院 上海 200240）

本文通过对企业使用云存储服务的基本现状与相关风险管理问题的研究，从实践应用角度提出了一种基于云存储服务应用场景的安全需求分析方法和一种从应用场景、安全需求、风险分析三个维度来确定风险控制措施的方法，用于帮助企业制定云存储服务信息安全策略。

云存储服务；信息安全风险管理；信息安全管理体系；信息安全策略

0 引言

近几年企业云存储服务市场在快速增长。根据文献[1]中TechTarget的调查显示，大部分受参与调查的企业存储首席技术官们普遍认为：在新的开发和管理技术的帮助下，在2017年企业对云存储的使用将会飙升。在此背景下，云存储服务给企业带来的信息安全风险不容忽视。根据本文的研究，从信息安全策略的角度来开展风险管理工作，即通过制定针对性的信息安全策略来应对云存储带来的风险，这不失为一种有效而可行的方法。

1 企业云存储服务风险管理现状

根据文献[2]和文献[3]，云存储是在云计算概念上延伸和发展出来的一个新的概念。云存储系统可以视为一个以数据存储和管理为核心的云计算系统。云存储服务是基于云存储系统所提供的各种服务。云存储的技术架构和业务模式相对传统存储技术发生了根本性的变化，给企业带来了数据隐私和数据保护问题、合规性和法律约束问题、应对各种新型攻击的问题、风险可视化和管理问题等各种新的安全问题。

企业对云存储服务的利用形式多样，有的企业把云存储服务作为一种基础存储设施来使用，或者是作为一种数据备份及灾备服务，还有的企业将云存储用于企业网上协同办公，如在文件共享、在线文档编辑、协作办公，还有许多企业利用云存储服务时行二次开发，为自己或客户提供多种服务。多种形式的云存储服务出现在企业IT环境中，在提供了许多的新特性和能力的同时，云存储也如其它的云服务一样面临着多种威胁和风险。云存储服务有着不同于传统存储的风险特性，灵活而复杂的云存储架构和业务模式会带来各种技术风险和管理风险，云存储服务从基础设施到上层业务以及应用接口都可能受到攻击，此外，云存储服务风险还包括关于隐私保护、数据安全、网络安全、法律合规等多方面的风险。

企业对于信息安全的要求更高，许多企业在使用云存储服务方面比较谨慎。以上这些问题如果不能得到妥善地处理，企业就难以放心地使用云存储服务。

2 制定针对性信息安全策略的意义

在一个平衡的动态体系中，新的事物的进入通常会打破原有的平衡，系统需要相应地进行调整以重新达到新的平衡。同理，引入云存储服务也给企业带来新的信息安全风险，打破了原有的动态风险平衡。

为了缓解云存储服务带来的风险，企业需要在建设信息安全管理体系之初就考虑云存储服务的信息安全，或是对已有体系进行补充和改进。企业的信息安全管理体系通常都会借鉴一些基础的信息安全管理模型，比如： P2DR模型（Policy、Protection、Detection、Response）、P2DR2模型（Policy、Protection，Detection、Response、Restore）等。在这些参考模型中，信息安全策略通常是位于核心位置。以P2DR模型为例，根据文献[4]和文献[5]中对P2DR模型的描述，如图1所示，信息安全策略作为P2DR模型的核心，它定义了企业的安全目标，从宏观管理层面说明企业安全管理的基本方法和原则，是所有信息安全实践活动的方针和指南。企业建立并发布了信息安全策略之后，才能开始进一步构建信息安全程序。

信息安全策略没有覆盖的地方是非常危险的。如果云存储服务这部分所产生的风险不为企业所知，就不会有针对的防范措施，更谈不上风险可控。根据“木桶原理”，一个云存储风险管理上的短板影响到整个企业的整体风险。云存储涉及更多的数据安全方面的内容，其面临的风险有着其独特性，在对云存储的信任、契约、法规、第三方监管、内部管理等多方面都有针对性的考虑。云存储服务的风险需要进行针对性的重点管理，并且将其及时纳入到企业的整体风险管理体系之中。因此，制定云存储服务信息安全策略就成为企业引入云存储服务的首要工作。

3 制定云存储服务信息安全策略的具体工作

信息安全策略是一组规则，定义了企业的安全目标和实现途径。制定云存储信息安全策略必须符合企业的整体安全目标，也要符合企业使用云存储服务的实际需求情况。我们参考文献[6]的观点，从企业的安全需求角度来制定云存储服务安全策略。

3.1 安全需求分析

编写针对云存储服务的安全策略之前必须要先了解企业对云存储服务的基本安全需求。在这一步中，既要考虑企业整体的安全需求，又要考虑云存储服务特有的安全需求。在需求分析的最初阶段，安全需求可以是基本的、整体的要求。随着需求工作的深入，安全需求会变得越来越详细和周全。为了弄清企业对云存储服务的基本安全需求，企业先要确定云存储的应用范围，然后在这个范围内讨论安全需求。建议企业可以参考以下方式分二步进行需求分析：

（1）发掘云存储服务应用场景

企业可以把对云存储服务的安全需求分不同的应用场景进行需求分析，从“应用形式”、“服务类型”、“服务对象”、“角色”等四个维度来定义应用场景。

表1 应用场景

表1中每个维度的内容可以由企业自行定义，把这四个维度进行组合就可以构成许多的应用场景。但并不是所有组合出的应用场景都适用于企业，企业应从自身的实际情况出发来确定云存储服务的应用场景。比如：企业使用企业IT（角色）运维的私有云存储（服务类型）进行某业务数据的备份（应用形式），仅为内部员工（服务对象）服务。这4个维度组合就构成了一个具体的企业云存储应用场景。这个场景可用于后续的安全需求定义工作。

（2）根据不同应用场景来定义安全需求

安全需求首先要说明哪些业务场景是否允许使用云存储服务。其次，对于可以使用云存储服务的具体应用场景还考虑要有哪些安全目标。在确定具体安全需求时，通常会有很多的考虑因素。对于欠缺实践经验的企业，可以借鉴行业内的相关成功的实践经验。这里根据文献[7]总结了一个安全需求检查表可作为实践参考，它适用于企业IT的自建私有云存储以及云存储供应商提供的云存储。对于在第一步中定义的每一个应用场景，可以从表2中的14个与云存储安全相关的方面来考虑安全目标和需求。

表2 云存储服务安全需求检查表

3.2 选择适当的策略形式

云存储相关的安全策略可以单独写成一个或多个策略文件，也可以集成到其它的策略文件中。策略文档要说明策略的目的、适用范围、具体策略规定、策略合规要求等。图2是一个策略的文档结构示例。

其中最关键的部分是“策略规定”。这部分代表了企业经过思考后对风险的具体态度。“策略规定”不要求细化到具体的安全控制流程和工具，这些可以放到后继的标准和流程文档中进行说明。“策略规定”中的“具体规定”部分要能覆盖各种类型的云存储服务及应用场景，并简单的说明对云存储服务的控制原则和要求。

3.3 策略开发方法

开展策略开发工作需要获得企业高层的支持，需要与关键人员进行访谈，进行业务影响分析（Business Impact Analysis, BIA）等。根据云存储的复杂应用情况，我们建议企业可以采取一种基于应用场景、安全需求、风险分析三个维度确定风险控制措施的方法来定义“策略规定”。即首先选取云存储的应用场景、通过应用场景与企业的安全需求相关联，然后进行风险分析，根据风险程度来确定风险控制措施，开发策略时还可参考一些相关的信息安全标准，比如：文献[8]《ISO 27001:2013》中关于“控制措施”描述部分。

举例来说，假设一个云存储应用场景是员工使用公有云存储给客户分享数据。公司管理层对安全的关注点是保护公司机密数据。则针对此场景的策略规定就可以这样来具体定义：“当员工使用未经公司批准的公有云存储服务时仅可分享公开级别的公司数据；当员工使用公司IT批准的公有云存储服务时，则可以存储公开或普通机密级别的公司数据，但严禁存储高度机密数据；当员工使用公司的私有云存储时，则可以存储各个级别的公司数据。”

3.4 策略要点解析

不论云存储服务安全策略的形式如何，企业的制定策略内容时有几个重要的关注点不可忽视：

（1）全面说明基本安全要求

企业有权根据自身实际情况来说明对各方面的信息安全需求，而且越全面、越明确的安全需求越有利于对后续工作的指导。有了基本安全要求，各部门在碰到云存储服务相关的安全问题时，就可以找到依据并做出自己的合理判断，而这个判断的结果也会是企业希望员工遵守的行为。

（2）声明对法律法规的符合性

企业必须要明确规定在使用云存储服务时必须遵守国家法律法规、符合公司策略精神，不得违反基本道德要求。另外，对于涉及国家政府、公众客户信息等情况，要经过专门的风险审查，以确保企业充分了解相关风险。除了知识产权保护、隐私保护等通用法规，还特别要注意与云存储相关的一些法规，包括不同国家和地区对云存储的一些特殊规定。

（3）说明基本的安全控制要求

为了满足对云存储的各种安全需求，需要针对不同需求情况作出基本的安全控制方面的规定和说明。控制措施可以宽松也可以严格，建议企业根据自身安全需求来考虑。云存储相关的常见控制包括：云存储制定分级的安全服务、存储操作的追踪和问责、加强安全管理管控等。

（4）企业要声明自己的权利

由于云存储可能涉及到云存储服务供应商、客户、员工等，企业在采取信息安全控制措施时，有可能会触及到各方的利益，而引发争论和冲突。这时候，策略中如果事先声明了企业的权利，就有利于相关工作的开展。在合法的前提下，企业有权批准和中断云存储服务、有权对云存储服务活动进行监控、有权对通过云上传和下载的数据内容进行审查。

（5）说明与其它策略的关系

云存储服务与企业使用的其它服务同样存在一些共同的属性和要求，对于这些共性的安全要求，比如：在数据分类、分级的策略同样适用于存储在云存储服务中的数据。云存储策略中应该重申对其它相关的安全策略的遵从性。而对于云存储策略中与其它策略产生冲突的条款，需要对不一致的情况进行说明。尽量保持策略之间的一致性。

3.5 编写配套文档

企业的信息安全策略文档体系通常如图3所示的金字塔结构。金字塔最顶层是策略文档本身，在其下层依次有标准、流程、指南等文档，它们与策略文档共同构成一个完整的策略文档体系。

在这个完整的策略文档体系中，策略文档处于宏观层次。策略文档中规定一个云存储应用场景要达到哪些安全目标，但策略不会说明如何具体去操作或是使用什么具体技术和规格，更详细的规定需要通过配套的标准、流程、指南等文档来定义。其中，标准文档将涉及更多技术层面的细节，流程文档则涉及更多管理层面的规定，指南文档包括更多技术、操作细节、建议和选项。云存储的流程、标准和指南等文档的开发与其它方面的文档开发相似。但是它们要求对云存储技术和服务有深入的了解，同时还要保持与策略文档的精神相一致。

3.6 策略后续问题

云存储安全策略发布之后并不代表可以一劳永逸了，有三个后续问题需要特别重视：

（1）策略落实问题

策略越复杂，落实起来就越有难度。由于云存储不仅仅涉及到企业自身人员，还涉及到云存储服务供应商以及其它第三方，所以针对云存储服务的策略往往比较复杂、策略的落实更有难度。加强反馈和主动测试是两种有效的落实方法，此外，企业还要积极宣传相关策略，加强员工的安全意识教育。

（2）策略更新问题

企业首先需要定期审查和更新安全策略，云存储服务作为一种综合性的新技术，在技术和应用上仍在不断快速发展变化，企业需要持续跟踪云存储技术的发展、关注针对云存储的威胁情况，并适时调整云存储安全策略以覆盖新出现的风险盲点。其次，企业还要继续开展云存储安全相关的流程、标准的建设和完善工作，这部分的工作不是一蹴而就的，需要长期进行。

（3）策略失效问题

在制定云存储策略时，需要预料各种意外情况。但安全本身就充满了各种意外和变化，所以要针对于某种失效以及灾难的可能情况作出准备，并始终保持警惕，根据实际需要随时作出调整。

4 结束语

不断丰富和发展的企业级云存储服务正在影响着企业的数据存储方式和信息安全管理方式。面对云存储服务给企业带来的新的信息安全风险，企业需要重新审视自身的信息安全管理过程，识别自身风险管理体系中对于云存储服务风险管理部分的缺失或薄弱环节，并通过分析云存储服务的安全需求和目标来制定云存储服务信息安全策略，从而让企业可以有所根据有所指导地开展安全工作，以确保云存储服务相关的风险得到了充分而有效地管理。

[1]http://searchcloudstorage.techtarget.com/news/450411407/Cloud-storage-for-enterprise-use-should-spike-in,2017.

[2]https://en.wikipedia.org/wiki/Cloud_storage.

[3]张继平，龚靖.云存储解析.人民邮电出版社，2013.

[4]ISO 7498-2-1989,Information Processing Systems- Open Systems Interconnection-basic Reference.

[5]ISO/IEC 15408,Information Technology-Security techniques-Evaluation criteria for IT Security Model-Part 2: Security Architecture.

[6]王世伟，赵付春.企业用户感知视角下的云计算信息安全策略研究[J].图书情报工作，2012.

[7] Aaron Wheeler,Michael Winburn.Cloud Storage Security.Elsevier,2015.Chapter 6 Best Practices.

[8]ISO/IEC 27001:2013,Information technology Securit- y techniques-Information security management systems Re- quirements,Chapter A16.