◆王和平 朱凱華

(內(nèi)蒙古自治區(qū)人民檢察院 內(nèi)蒙古 010000)

基于云計(jì)算環(huán)境下的等級保護(hù)基本要求思考與改進(jìn)

◆王和平 朱凱華

(內(nèi)蒙古自治區(qū)人民檢察院 內(nèi)蒙古 010000)

云計(jì)算破壞了傳統(tǒng)安全邊界，對傳統(tǒng)安全防護(hù)是一種威脅，更對等級保護(hù)系列標(biāo)準(zhǔn)產(chǎn)生沖擊。本文通過對云計(jì)算環(huán)境下等級保護(hù)面臨的挑戰(zhàn)描述，引入虛擬化技術(shù)在主機(jī)安全、網(wǎng)絡(luò)安全、存儲安全及安全管理方面的安全防護(hù)措施，以增加虛擬化安全要求項(xiàng)，指導(dǎo)等級保護(hù)相關(guān)工作和云計(jì)算安全建設(shè)的開展，從而使等級保護(hù)更具適用性、完整性。

云計(jì)算；虛擬化；等級保護(hù)

0 引言

自2013年“棱鏡門”、RSA安全事件發(fā)生后，無論從政策層面，還是市場層面國家都加大了對網(wǎng)絡(luò)空間安全的規(guī)范、監(jiān)管及控制，網(wǎng)絡(luò)空間安全建設(shè)已上升到國家戰(zhàn)略。

云計(jì)算作為網(wǎng)絡(luò)空間中的“新興技術(shù)”，其安全性直接影響到網(wǎng)絡(luò)空間的穩(wěn)定。云計(jì)算中用到的虛擬化、云計(jì)算平臺管理、海量數(shù)據(jù)分布存儲及管理等技術(shù)已比較成熟，但與其相對應(yīng)的安全防護(hù)手段匱乏（傳統(tǒng)安全手段居多），且在云安全管理、運(yùn)營方面沒有探索出與之相匹配的管理模式，加之當(dāng)前云安全沒有統(tǒng)一的標(biāo)準(zhǔn)規(guī)范，而云安全標(biāo)準(zhǔn)規(guī)范是安全技術(shù)、安全管理及安全運(yùn)營的一切先決條件,所以目前云計(jì)算安全處于混亂狀態(tài)。

為保證云計(jì)算安全的標(biāo)準(zhǔn)性、合規(guī)性，現(xiàn)主要參照信息系統(tǒng)等級保護(hù)系列標(biāo)準(zhǔn)、ISO27000標(biāo)準(zhǔn)、CSA認(rèn)證及相關(guān)行業(yè)安全標(biāo)準(zhǔn)等標(biāo)準(zhǔn)規(guī)范，其中等級保護(hù)是云計(jì)算安全基本參考物。

1 云計(jì)算對等級保護(hù)挑戰(zhàn)

1.1 等級保護(hù)體系

等級保護(hù)系列標(biāo)準(zhǔn)規(guī)范（包含定級、備案、建設(shè)及整改、測評、評估及管理等）是對傳統(tǒng)信息系統(tǒng)即邊界分明、自主管理、靜態(tài)可控特點(diǎn)系統(tǒng)進(jìn)行全生命周期的安全防護(hù)，其適用于黨政、軍工、檢察及企業(yè)的傳統(tǒng)信息化系統(tǒng)，為其安全保駕護(hù)航，并為其新建、整改及升級提供標(biāo)準(zhǔn)規(guī)范參考。

1.2 對等級保護(hù)挑戰(zhàn)

基于等級保護(hù)標(biāo)準(zhǔn)適用系統(tǒng)特點(diǎn)，云計(jì)算固有特性（即資源池化、無邊界性、動態(tài)性、權(quán)限分離性等）造成云環(huán)境下的等級保護(hù)面臨新的挑戰(zhàn)：

1.2.1 虛擬化平臺安全

云計(jì)算中引入虛擬化技術(shù)，帶來以下等級保護(hù)基本要求內(nèi)容缺失：

（1）虛擬化平臺自身安全

現(xiàn)在市場上流通的服務(wù)器虛擬化平臺分為開源、商用；開源相對漏洞較多，不適用于企業(yè)用途。而商用主流服務(wù)器虛擬化軟件Citrix、Hyper-V、VMware ESX等屬于國外產(chǎn)品，一是有違國產(chǎn)自主可控原則；二是可能有后門等漏洞。

（2）資源池安全

等級保護(hù)中的設(shè)備資源完全是物理設(shè)備，是獨(dú)立的、彼此隔離的，并且是自建或托管的，對設(shè)備具有可控性。而云計(jì)算通過虛擬化技術(shù)后，形成了資源池，云服務(wù)商具有對資源的可控性，并且資源共享物理設(shè)施。

資源池包括計(jì)算池、存儲池、網(wǎng)絡(luò)池。計(jì)算池中虛機(jī)與虛機(jī)/虛機(jī)與物理機(jī)之間隔離安全、遷移安全、通信安全；存儲池中邊界隔離、數(shù)據(jù)加密、數(shù)據(jù)可用等安全；網(wǎng)絡(luò)池中實(shí)體網(wǎng)絡(luò)設(shè)備/安全設(shè)備與虛擬網(wǎng)絡(luò)設(shè)備/安全設(shè)備之間的隔離、通信安全及傳統(tǒng)網(wǎng)絡(luò)架構(gòu)與虛擬網(wǎng)絡(luò)架構(gòu)之間的安全等。

這兩方面的安全可能帶來的安全風(fēng)險(xiǎn)是數(shù)據(jù)丟失、數(shù)據(jù)泄露、網(wǎng)絡(luò)流量劫持及共享技術(shù)漏洞等。

業(yè)界對等級保護(hù)標(biāo)準(zhǔn)是否適合云計(jì)算存在不同的觀點(diǎn)。其中，中國工程院沈昌祥院士指出“云計(jì)算屬于信息系統(tǒng)，具有信息系統(tǒng)的普遍特點(diǎn)和共性，就應(yīng)該有信息系統(tǒng)的安全保護(hù)需求，就應(yīng)該有等級保護(hù)去保護(hù)它”。

基于沈院士的觀點(diǎn)，如何在現(xiàn)有等級保護(hù)安全基線基礎(chǔ)之上完善等級保護(hù)，使之更好地適用于云計(jì)算安全是工作重點(diǎn)。

1.2.2 管理規(guī)范

云的介入，使系統(tǒng)的參與方增多，包括云客戶、云服務(wù)提供商、云集成商、云安全風(fēng)險(xiǎn)評估/測評機(jī)構(gòu)、云審計(jì)機(jī)構(gòu)、云中間商等，怎樣梳理之間的關(guān)系、制定相應(yīng)的管理制度，明確職責(zé)成為等級保護(hù)中應(yīng)該關(guān)注的問題。

1.3 云計(jì)算下等級保護(hù)基本要求需求改進(jìn)

虛擬化技術(shù)的應(yīng)用涉及到主機(jī)、網(wǎng)絡(luò)、存儲及管理等方面，對現(xiàn)有等級保護(hù)基本要求中的技術(shù)要求、管理要求需進(jìn)行虛擬化要求項(xiàng)的增加。

1.3.1 虛擬化安全

為使等保要求符合云環(huán)境下的安全建設(shè)及測評工作，且為虛擬化構(gòu)建安全措施，從虛擬化技術(shù)防護(hù)角度補(bǔ)充云計(jì)算等級保護(hù)基本要求內(nèi)容是必要的。

（1）虛擬化平臺安全

虛擬化平臺自身安全性，直接關(guān)系到其上的虛擬主機(jī)系統(tǒng)安全、業(yè)務(wù)應(yīng)用安全及底層物理設(shè)備安全。

購買原則：應(yīng)參照政府采購原則，購買“國產(chǎn)自研、自主可控”的虛擬化平臺或安全二次開發(fā)平臺。

架構(gòu)安全：Hypervisor/VMM 自身軟件層漏洞、硬件鏡像安全、存儲安全及虛擬平臺網(wǎng)絡(luò)與系統(tǒng)安全等，這就要求對虛擬化平臺實(shí)施實(shí)時的版本升級及補(bǔ)丁修復(fù)（版本應(yīng)通過第三方安全測評機(jī)構(gòu)認(rèn)證）。

身份認(rèn)證：對登錄虛擬平臺、云OS的管理員進(jìn)行相應(yīng)的身份鑒別，為其分配最小使用權(quán)限，確保越權(quán)、非授權(quán)訪問、云租戶賬號冒用（特別是企業(yè)租戶賬戶）等惡意行為的發(fā)生。

訪問權(quán)限分配：Hypervisor/VMM 層面權(quán)限是對整個虛擬化平臺的管理，應(yīng)嚴(yán)格控制好Admin權(quán)限和普通管理員權(quán)限分配，防止未授權(quán)創(chuàng)建、重啟、刪除及關(guān)閉等更改虛擬操作系統(tǒng)配置的權(quán)限，防止管理員不當(dāng)操作或惡意刪除等行為。

變更控制安全：云中采用虛擬化技術(shù)需對其進(jìn)行必要的變更，而其特殊性使得 Admin管理員對虛擬資源的變更應(yīng)嚴(yán)格參照變更控制流程，若分配不均則影響業(yè)務(wù)開展。其次，在變更之前應(yīng)做好風(fēng)險(xiǎn)評估及相應(yīng)的日志記錄，便于失敗后的回退。

（2）虛擬主機(jī)安全

多虛擬主機(jī)共享底層物理硬件，虛機(jī)之間的隔離和防護(hù)容易受到攻擊、跨虛機(jī)的非授權(quán)數(shù)據(jù)訪問風(fēng)險(xiǎn)突出，一旦某個虛機(jī)自身被攻破，那么所有虛機(jī)都將受到威脅，所以應(yīng)對虛機(jī)系統(tǒng)安全進(jìn)行防護(hù)。

身份認(rèn)證：各虛機(jī)根據(jù)業(yè)務(wù)應(yīng)用場景的不同，設(shè)置不同的身份驗(yàn)證方式（雙因子認(rèn)證、生物識別認(rèn)證及復(fù)雜密碼等），確保安全接入、非授權(quán)訪問。

限制訪問系統(tǒng)資源：虛擬化平臺可針對不同的虛機(jī)制定不同的訪問權(quán)限，虛機(jī)的每個訪問請求都需經(jīng)過資源控制策略的檢測，每個虛機(jī)只能訪問分配給它的資源，且禁止虛機(jī)直接訪問實(shí)體主機(jī)的物理硬件。

代碼庫及補(bǔ)丁更新：應(yīng)確保虛機(jī)從休眠轉(zhuǎn)為活動或從備份恢復(fù)出來時，虛機(jī)的病毒庫、惡意代碼庫及虛機(jī)補(bǔ)丁保持最新。

虛機(jī)漏洞掃描：針對不同虛機(jī)進(jìn)行漏洞掃描，最新漏洞跟蹤，漏洞補(bǔ)丁管理等防護(hù)。

安全配置：包括限制虛機(jī)對外開放端口、虛機(jī)外設(shè)控制管理等。其中限制虛機(jī)對外開放端口應(yīng)根據(jù)虛機(jī)實(shí)際部署的系統(tǒng)開放必要的服務(wù)端口及開發(fā)端口，其他不必要的一律關(guān)閉，縮小攻擊范圍；虛機(jī)外設(shè)控制管理通過虛擬化平臺控制各虛機(jī)外設(shè)接入設(shè)備管理（如USB）。

日志管理：虛擬化平臺通過收集虛機(jī)日志信息，并對日志信息分析，得出虛機(jī)的異常行為。

虛機(jī)鏡像文件加密：強(qiáng)化對物理磁盤上存儲大量的、各種狀態(tài)的虛機(jī)鏡像文件保護(hù)，通過虛機(jī)鏡像加密技術(shù)對鏡像文件加密，從而不被惡意病毒修改，且鏡像加密對虛機(jī)本身是透明的。

資源控制：為每臺虛機(jī)分配有限的、特定的資源（CPU、內(nèi)存），以防止針對虛機(jī)的DDoS攻擊，并保證虛機(jī)使用的內(nèi)存和存儲空間回收時完全清除。

（3）虛擬網(wǎng)絡(luò)安全

網(wǎng)絡(luò)虛擬化是在傳統(tǒng)網(wǎng)絡(luò)虛擬化（VLan、VPN）基礎(chǔ)上，對核心/接入網(wǎng)絡(luò)設(shè)備和安全設(shè)備接口、物理網(wǎng)卡的虛擬，其主要虛擬方式為“橫向擴(kuò)展”、“縱向擴(kuò)展”，安全防護(hù)主要表現(xiàn)為以下四點(diǎn)：

網(wǎng)絡(luò)架構(gòu)：應(yīng)明確劃分物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)，并提供相關(guān)文檔說明，并符合實(shí)際的數(shù)據(jù)傳輸安全策略。

訪問控制：虛機(jī)與虛機(jī)之間、虛機(jī)與外網(wǎng)之間通過采用虛擬防火墻與物理防火墻相結(jié)合方式設(shè)置訪問控制策略，確保每層網(wǎng)絡(luò)流量都被監(jiān)聽到并且訪問是安全的。

邊界完整性檢查：增加對同一物理主機(jī)上虛機(jī)之間通信的入侵檢測，防止攻擊者入侵一臺虛機(jī)后，以此為跳板，入侵同一物理主機(jī)上的其他虛機(jī)。

網(wǎng)絡(luò)監(jiān)管：對整個物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)控和管理，包括網(wǎng)絡(luò)中的帶寬使用、網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況及流量數(shù)據(jù)。

虛擬網(wǎng)口安全：虛機(jī)應(yīng)明確定義虛擬網(wǎng)口（網(wǎng)口個數(shù)、IP地址）、虛擬MAC地址，防止虛機(jī)修改MAC地址，監(jiān)聽及偽造包對其他虛機(jī)進(jìn)行攻擊。

虛擬化接口管理：通過集中管理平臺對網(wǎng)絡(luò)設(shè)備（核心交換機(jī)/路由器、接入交換機(jī)等）各虛擬化接口進(jìn)行統(tǒng)一分配、調(diào)度及管理。

安全策略遷移：借助集中管理平臺，實(shí)現(xiàn)安全策略隨虛機(jī)遷移，保證虛機(jī)在遷移情況下繼續(xù)受到安全策略的防護(hù)。

（4）分布式存儲安全

分布式存儲技術(shù)將海量異構(gòu)數(shù)據(jù)分布的存儲到不同物理設(shè)備上，這種模式不僅擺脫了硬件設(shè)備的限制，同時擴(kuò)展性更好，并與虛擬化計(jì)算在存取速度、存取可用性方面相匹配。其存放了不同安全等級的數(shù)據(jù)（虛機(jī)鏡像文件、物理文件等），為保證各等級數(shù)據(jù)安全采取以下措施：

數(shù)據(jù)隔離：為保證數(shù)據(jù)完整性，采用技術(shù)措施將虛擬鏡像文件、物理文件等進(jìn)行邏輯隔離，并訪問控制。確保授權(quán)合法訪問，非授權(quán)阻隔訪問。

數(shù)據(jù)保密性：包括數(shù)據(jù)傳輸加密、存儲加密。對于傳輸加密，在IP SAN網(wǎng)絡(luò)中可采用IP Sec加密、SSL加密保證數(shù)據(jù)的保密性，采用IP Sec摘要和防回復(fù)功能可保證數(shù)據(jù)完整性;對于存儲加密，可分為三種情況：第一、主機(jī)加密；第二、專用加密設(shè)備；第三、存儲設(shè)備加密。

數(shù)據(jù)可用性：應(yīng)對虛擬鏡像文件、物理文件進(jìn)行備份（全備份、增量備份）。對于特別重要的數(shù)據(jù)，如 Hypervisor/VMM 的數(shù)據(jù)（訪問策略、安全配置等）需作為關(guān)鍵數(shù)據(jù)進(jìn)行備份，并實(shí)現(xiàn)異地備份。

1.3.2 管理規(guī)范

建議參照GB/T31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全標(biāo)準(zhǔn)指南》、GB/T31168-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等云計(jì)算國家標(biāo)準(zhǔn)，完善管理制度規(guī)范。

（1）管理制度

制定云租戶申請、變更、撤銷等云服務(wù)的規(guī)章流程；

制定云服務(wù)商的參與、退出機(jī)制；

制定云租戶、云服務(wù)提供商、云中間商等各方的安全責(zé)任、職責(zé)；

制定虛機(jī)的創(chuàng)建、使用、回收及注銷等操作的流程與規(guī)定；

對云租戶、資源（虛擬資源、物理資源）進(jìn)行分級、分類，對不同級別的云租戶分配不同類型的資源。

（2）管理機(jī)構(gòu)

應(yīng)組建云計(jì)算安全組，設(shè)置虛擬化安全員、審計(jì)員，明確職責(zé)分工，且不同職位不能由同一人擔(dān)任，關(guān)鍵行業(yè)/大中型企業(yè)應(yīng)設(shè)置CISO職位；

云服務(wù)相關(guān)的授權(quán)與審批；

加強(qiáng)云安全技術(shù)的溝通和交流。

（3）人員安全管理建立專門的云安全員的錄用、調(diào)動、離崗等安全管理流程；對云安全員進(jìn)行定期考核、教育及培訓(xùn)（ISO27001、CISP及CISSP等）。

2 總結(jié)

在沒有權(quán)威的云安全標(biāo)準(zhǔn)規(guī)范發(fā)布之前，等級保護(hù)系列標(biāo)準(zhǔn)是云計(jì)算安全基本參照的，但等級保護(hù)是針對傳統(tǒng)信息系統(tǒng)的，直接將其套用是不合適宜的。本文從虛擬化安全、管理規(guī)范兩方面補(bǔ)充了《等級保護(hù)基本要求》內(nèi)容的缺失，為等級保護(hù)適用于云計(jì)算安全做工作鋪墊。

隨著云計(jì)算的普及，需進(jìn)一步對云環(huán)境下的等級保護(hù)開展研究工作，相應(yīng)地對等級保護(hù)系列標(biāo)準(zhǔn)規(guī)范進(jìn)行動態(tài)調(diào)整、改進(jìn)。

[1]沈昌祥.云計(jì)算安全與等級保護(hù).信息安全與通信保密，2012.

[2]王希忠，王建立，黃俊強(qiáng).云計(jì)算環(huán)境下等級保護(hù)測評.信息技術(shù)，2015.

[3]朱圣才.基于等級保護(hù)基本要求的云計(jì)算安全研究.綜述與評論，2013.

[4]黃銳.云計(jì)算環(huán)境與等級保護(hù)探討.信息安全與通信保密，2015.

[5]張京海，張保穩(wěn)，楊冰等.云計(jì)算信息系統(tǒng)等級保護(hù)框架研究.信息安全與通信保密，2013.