紀 方，田海波，劉鵬宇

（中國鐵路信息科技集團有限公司，北京 100844）

云計算自2006年提出至今，已成為各國信息化建設的首選。隨著云計算的發(fā)展，相應的安全性問題逐漸引起關注。為進一步提升安全風控能力，各國標準化組織和機構都展開了云計算安全標準化工作。本論文重點研究了我國網絡安全等級保護（簡稱：等級保護）中的云計算安全擴展要求，闡述了鐵路云計算安全實踐情況和中國國家鐵路集團有限公司（簡稱：國鐵集團）主數據中心云平臺的等級保護測評情況。

1 云計算安全標準研究概況

1.1 國外云計算安全標準研究概況

2011年，美國國家標準與技術研究院在NIST SP800-53 的基礎上，根據云計算的特點制定了《Fed-RAMP 安全控制措施》，給出了云計算環(huán)境下需增強的安全控制措施[1]。2012年，歐洲網絡與信息安全局（ENISA）發(fā)布了《云計算–信息安全收益、風險和建議》，整理了云計算面臨的安全風險，并在同年發(fā)布了《云計算合同安全服務水平監(jiān)測指南》，制定了反應服務等級協(xié)議運行情況的8 項指標[2]。2015年，國際標準化組織ISO 下設技術委員會發(fā)布了《ISO-27 017：2015 云服務信息安全管理體系》[3]，提出了7 個針對云服務的控制措施。同年，云安全聯(lián)盟（CSA）發(fā)布了云安全控制矩陣CCM 3.0，其中包含16 個控制域，136 條控制措施，并于2017年發(fā)布了《云計算關鍵領域安全指南 V4.0》，對云計算安全中的14 個關鍵領域進行了詳細描述[4]。

1.2 國內云計算標準研究概況

近幾年，國內云計算安全的宏觀政策環(huán)境已逐漸完善。2014年，針對政府部門的云計算安全需求，中央網絡安全和信息化委員會辦公室發(fā)布了《信息安全技術 云計算服務安全指南》[5]，制定了使用云計算服務時的安全管理要求；并針對云服務商發(fā)布了《信息安全技術 云計算服務安全能力要求》[6]，制定了云服務商應具備的安全能力要求。

2019年5月，國家標準化管理委員會正式發(fā)布了《信息安全技術 網絡安全等級保護基本要求》，標志著等級保護正式進入2.0 時代。該標準已于2019年12月開始正式實行。

2 等級保護研究

2017年《中華人民共和國網絡安全法》正式頒布實施，其中，第二十一條和第三十一條均明確了等級保護制度的適用范圍

2.1 等級保護1.0 與2.0 的對比

新發(fā)布的等級保護2.0 在10年前的1.0 版本基礎上進行了優(yōu)化，提出了面向云計算等新技術的安全擴展要求；從被動防御向事前防御、事中響應、事后審計的動態(tài)保障體系轉變；用可信計算等新的防護要求，取代了過時的測評項。等級保護2.0 與1.0 版本相比主要有以下3 個特點。

（1）將云計算等新興技術的安全擴展要求列入了標準范圍。云計算擴展要求與安全通用要求有較多的重合子項，但也有其獨有的條例，如圖1 所示。

圖1 云計算等級保護技術要求

（2）依據等級保護標準，分層面采取“一個中心，三重防御”的體系架構，同時，應考慮構建縱深的防御體系，采取互補的安全措施，保證一致的安全強度，建立統(tǒng)一的支撐平臺，進行集中安全管理的總體性要求[7]，保證等級保護對象的整體安全防護能力。

（3）等級保護2.0 中強化了對可信驗證技術的使用要求，把其加入到等級保護的各個級別中，如表1 所示，并提出了在各個關鍵環(huán)節(jié)的可信驗證要求[8]。不同等級保護級別的可信驗證對應不同的監(jiān)管要求、保護級和可信保障。

結合以上3 個要求，從技術和管理兩方面進行安全設計，做到可信、可控、可管。

表1 等級保護可信驗證技術要求

2.2 第三級云計算安全擴展要求研究

云計算安全擴展要求是等級保護2.0 的重要內容之一[9]。等級保護2.0 明確了云計算的定義和應用場景，基于基礎設施即服務（IaaS，Infrastructure as a Service）、平臺即服務（PaaS，Platform as a Service）和軟件即服務（SaaS，Software as a Service）3 種不同的服務模式，提出云服務客戶和云服務商的控制范圍和安全責任邊界，并針對其安全責任邊界提出相應的安全要求。

等級保護有5 個不同的安全級別，本文主要研究等級保護第三級的安全要求，原因有以下兩點：

（1）等級保護中要求“應根據云平臺承載或將要承載的等級保護對象的重要程度確定其安全保護等級，原則上應不低于其承載的等級保護對象的安全保護等級”[10]。第三級云平臺可滿足大多數云平臺應用的安全要求。

（2）在等級保護云計算安全擴展要求中，第四級和第三級的主要差異在于，第四級業(yè)務應用系統(tǒng)應劃分獨立的資源池，承載第四級應用的云系統(tǒng)應為獨立系統(tǒng)，采取獨立的防護機制。其他安全要求與第三級相比無過多增加。

第三級云計算安全擴展要求中包括7 個安全類、16 個安全控制點和46 個測評項，如表2 所示。

與通用要求相比，技術安全類仍是“一個中心，三重防御”的體系架構。管理安全類則縮減為兩個，主要對云服務商選擇提出相應要求。

在具體測評項中，針對云計算特性增加了保護對象，包括云平臺、虛擬網絡、虛擬網絡邊界、虛擬機、宿主機、虛擬機鏡像和快照等。

結合等級保護附錄D 中的責任分擔模型可知，云服務商與云用戶有著各自的安全責任邊界，在不同云服務模式下，兩者的控制范圍和安全責任邊界如圖2 所示。

表2 第三級云計算安全擴展要求指標

圖2 云計算服務模式與控制范圍的關系

擴展要求中提出云服務商應對云用戶在安全上進行必要的幫助，包括：協(xié)助進行業(yè)務遷移，支持自行加解密，提供接口或開放性安全服務。同時，對云服務商的操作在安全上進行了一定的限制，規(guī)定應通過審計、雙向驗證等手段確保云服務商對云用戶進行敏感操作的安全性和不可抵賴性。

3 鐵路云計算安全等級保護進展情況

3.1 鐵路云計算安全現(xiàn)狀

鐵路行業(yè)云計算安全經過多年建設，初見成效，主要體現(xiàn)在以下兩方面。

（1）云計算安全防護能力不斷提升。2018年，鐵路業(yè)務網絡安全一體化保障工程（簡稱：鐵網護欄工程）開始實施，其中包含面向云計算環(huán)境的應用安全保障系統(tǒng)模塊，主要用于提升云計算安全防護能力。

（2）等級保護工作穩(wěn)步推進。國鐵集團目前已經完成國鐵集團主數據中心（簡稱：主數據中心）云平臺的定級、備案、測評工作。

3.2 鐵路云計算安全建設情況

主數據中心于2018年6月開始設計、建設，采用云計算架構，其云平臺定為等級保護第三級。

根據分區(qū)、分域原則，結合鐵路信息系統(tǒng)的實際網絡情況，構建了主數據中心安全架構，如圖3所示。主數據中心網絡可分為業(yè)務區(qū)和管理區(qū)。外部服務網與互聯(lián)網之間做邊界防護。內部服務網與鐵路局間網絡做邊界防護。內外部服務網之間由內外網安全平臺進行邊界防護。

3.3 鐵路云計算安全等級保護測評情況

國鐵集團在2019年遵循等級保護制度，完成了對主數據中心云平臺的等級保護定級、備案和測評等工作。主數據中心云平臺針對其面臨的主要安全風險，采取相應的安全控制措施，基本滿足了等級保護第三級中的安全要求[11]。

（1）基礎環(huán)境方面。主數據中心云平臺所在機房具有防風、防雨、防震等基本能力，機房配備有視頻監(jiān)控系統(tǒng)、自動消防系統(tǒng)、電力供應系統(tǒng)等安全防護措施。網絡、主機層面采取充分的冗余措施，網絡設備、安全設備、服務器等均在上線前按照要求統(tǒng)一進行基線配置核查和漏洞掃描，并根據檢查結果進行安全加固。

圖3 主數據中心安全架構

（2）安全控制措施方面。主數據中心云平臺按照等級保護責任分擔模型，在基礎結構安全中部署有終端安全防護、主機安全防護、補丁管理系統(tǒng)、日志審計等安全控制措施；在縱深防御體系中部署有邊界網絡安全設備、虛擬化網絡安全設備、主機防病毒、運維審計、漏洞掃描等安全措施；在積極防御體系中部署有態(tài)勢感知平臺、集中安全管理平臺。符合等級保護中“一個中心，三重防御”的安全要求。

（3）安全責任制方面。主數據中心云平臺的安全管理機構較為完善，責任明確，成立了網絡安全和信息化領導小組，制定了《信息安全方針策略》，明確定義部門及各個工作崗位的職責[12]。

（4）管理制度體系方面。建立了由安全策略、管理制度、操作規(guī)程等構成的安全管理制度體系，制定了信息安全工作的總體方針和安全策略，確定了機構安全工作的總體目標、范圍、原則和安全框架等[13]。制度涵蓋崗位配置與職責、人員管理與培訓考核、軟件開發(fā)、工程實施、資產介質管理、備份與恢復管理、變更與應急管理等。

（5）系統(tǒng)規(guī)劃與建設方面。制定了《中國鐵路總公司主數據中心項目信息系統(tǒng)集成工程施工圖》，包含云平臺的安全設計方案及工程實施方案，內容覆蓋云平臺基礎環(huán)境、網絡、主機、應用、數字證書等方面。

4 結束語

本文分析了國內外云計算安全標準的研究情況，并對我國新發(fā)布的等級保護制度中的云計算安全擴展要求進行了重點研究。基于等級保護第三級要求，研究了云服務商與云用戶的相互關系，結合主數據中心云平臺實際情況，對基礎環(huán)境、安全控制措施、安全責任、管理制度體系等方面進行了全面分析與論述。

目前，本文只研究了主數據中心云平臺的測評情況，根據等級保護定級的要求，主數據中心云平臺承載的信息系統(tǒng)同樣需要滿足等級保護的相應要求。未來可結合具體的鐵路信息系統(tǒng)，對云用戶端等級保護的建設和測評情況進行深入研究，為鐵路云計算安全合規(guī)性建設提供參考。