1 云計算面臨的典型威脅

    為了云計算的健康發(fā)展和等級保護工作在新形勢下順利推進，就不能忽視對云計算面臨的各類安全威脅的研究和分析，并制定和建立相應的等級保護政策、技術體系，應對即將到來的云浪潮。在云環(huán)境中，除了傳統(tǒng)意義所面臨的各類安全威脅外，也有新的商務模式帶來的新威脅。

    1．1逃逸威脅和隱蔽信道

    逃逸威脅是指在已控制一個虛擬化應用(VM)的前提下，通過利用各種虛擬系統(tǒng)安全漏洞，進一步拓展?jié)B透到Hypervisor甚至其它VM中，進行Hypervisor級、其它虛擬化應用后門安裝，DDoS(抗拒絕服務攻擊)等攻擊。這類威脅以及相關通信由于是在虛擬機以上各個VM之間發(fā)生的，而且大部分是在同一物理實體之上，根本不經(jīng)過安全網(wǎng)關、硬件防火墻等安全設備，即由于虛擬機之間共享硬件資源而引發(fā)的隱蔽通道，這些威脅通過傳統(tǒng)防護設備根本無法檢測和防護。虛擬化環(huán)境下缺乏對VM間通信流量的可見性是我們面對的一大安全難題。

    1．2 Web安全漏洞

    云計算服務推動了Internet的Web化趨勢，Internet是一個開放的、無控制機構的網(wǎng)絡，而且與傳統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫、C／S系統(tǒng)的安全漏洞相比，應用層面安全問題更為突出，多客戶、虛擬化、動態(tài)、業(yè)務邏輯服務復雜、用戶參與等這些web2．0和云服務的特點對網(wǎng)絡安全來說意味著巨大的挑戰(zhàn)，甚至是災難。云計算的安全問題還必須考慮比網(wǎng)絡安全更為復雜的問題。

    1．3拒絕服務攻擊

    由于云平臺的大規(guī)模與高性能，一旦遭受DDoS攻擊，云平臺是否有能力提供應對的技術手段，使正常的應用不受影響，是評價云計算平臺的一個重要指標。

    拒絕服務攻擊DoS和DDoS雖不是云服務所特有的。但是，在云服務的技術環(huán)境中，單位中的關鍵核心數(shù)據(jù)、服務如果離開了內(nèi)部網(wǎng)，遷移到了云服務中心。更多的應用和集成業(yè)務開始依靠互聯(lián)網(wǎng)。拒絕服務帶來的后果和破壞將會明顯地超過傳統(tǒng)的網(wǎng)絡環(huán)境。因此服務和數(shù)據(jù)的隨時可用性本身不僅是一項非常重要的安全指標，而且其質(zhì)量的保證在一個存在惡意攻擊的環(huán)境里會造成其復雜度大大增加。如何防止破壞正常應用的DDoS攻擊是一個很大的挑戰(zhàn)。

    1．4內(nèi)部的數(shù)據(jù)泄漏和濫用

    相對而言，安裝在現(xiàn)有內(nèi)部環(huán)境中的應用更易于檢查，而且也有了完善的檢查技術，然而，對安裝在外部的云計算應用如果沒有妥善的保護，這些數(shù)據(jù)可能從外部云計算被非法泄露，而且對其進行檢查的難度非常大。

    當用戶的敏感數(shù)據(jù)在云端處理的時候，單位的重要數(shù)據(jù)和業(yè)務應用處于云平臺的IT系統(tǒng)中。在多用戶環(huán)境中，云平臺很難提供與單獨客戶環(huán)境相同的資源隔離等級和相關保障，用戶無法對風險進行直接的控制，數(shù)據(jù)的擁有者不能控制，甚至不知道數(shù)據(jù)的存儲位置，多個不同等級的計算任務可能在一臺或多臺機器上運行。

    有效保障云服務商自身內(nèi)部的安全管理和職責分離體系、安全審計，避免云計算環(huán)境中多客戶共存帶來的潛在風險，都成為云計算環(huán)境下用戶的重大安全顧慮。

    1．5身份管理

    在等級保護中，主客體認證、強制訪問控制—直是討論的焦點，在云環(huán)境中如果不切實際解決這兩個問題，云的廣泛應用是不現(xiàn)實的。原先為了安全放在防火墻內(nèi)的數(shù)據(jù)，現(xiàn)在放在了外部云計算環(huán)境中，如何在多項服務中應用角色，策略的管理、多個身份有效管理、身份鑒定均面臨著很大的安全挑戰(zhàn)。對員工、客戶、參與者和工作負載的身份鑒定、授權和審計是云計算安全性的未來方向。

    1．6不同云之間的互聯(lián)互通(可移植性)

    由于我國現(xiàn)實狀況，在我國云平臺建設必將以各地、各行業(yè)私有云的建設為主，尤其是對于國家重要信息系統(tǒng)和網(wǎng)絡，由于目前云計算尚未在業(yè)界形成一個統(tǒng)一的標準化體系，無論是云平臺還是云服務的統(tǒng)一標準都沒有形成，這就給云計算產(chǎn)業(yè)的發(fā)展帶來了瓶頸，各個單位為了自己的云服務發(fā)展推出各自的平臺和服務標準，使得眾多云平臺和運用服務用戶的利益和長遠發(fā)展得不到保證，極大地阻礙了云計算通用性和替代性以及軟件的適合性和繼承性的發(fā)展。

2 云計算給等級保護帶來新的挑戰(zhàn)

    對于傳統(tǒng)意義的數(shù)據(jù)大集中，現(xiàn)有的等級保護政策及標準已有了比較明確的保障思路和方法，并在實踐中有了比較成熟的案例，但對于云來說，“虛擬化”和“分散處理”兩種技術是云計算兩項關鍵技術，也是云區(qū)別于以上業(yè)務的明顯特點，給云平臺按照等級保護思路開展安全保障帶來了新的問題。對于云計算帶來的新挑戰(zhàn)，筆者認為主要有以下幾點：

    2．1業(yè)務可控性

    等級保護工作的主要目的是提高國家重要信息系統(tǒng)、網(wǎng)絡的信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設，強調(diào)可控，不同地區(qū)、單位或個人的系統(tǒng)安全建設需要符合所在國家和地區(qū)的法規(guī)，目前國家層面、行業(yè)層面要求IT部門應對單位關鍵信息實現(xiàn)自主可控。

    但在云計算環(huán)境下，依賴虛擬化技術提供服務，數(shù)據(jù)可能會在數(shù)據(jù)中心和物理主機之間移動，以確保負載均衡，用戶可能根本無法知道其數(shù)據(jù)存儲位置，甚至更不用說哪個國家或地區(qū)了。因此從實現(xiàn)可控目標，定位數(shù)據(jù)的精確位置對于公共云的應用來說是一個值得考慮的問題。而且所有數(shù)據(jù)放在公共云上，并且使用共享資源，就很難證明遵從了法規(guī)的要求，云平臺的安全等級建設是否符合所服務業(yè)務和數(shù)據(jù)的安全等級要求也是要考慮的問題。

    2．2核心技術的自主可控

    面對云計算，雖然在我國建設了不少公有、私有云計算平臺，并不能保證我們就能夠控制云平臺中的信息資源，也不能保證我們就是唯一的控制者。由于很多技術仍然控制在國外企業(yè)手中，大規(guī)模的云計算平臺可能成為國外勢力控制中國的平臺，一些從國外購買獲得而不加以認真研究改良的所謂自主產(chǎn)品，更在很大程度麻痹了國人，這種自主知識產(chǎn)權的本質(zhì)就是買下了推廣他人產(chǎn)品的權利，更為重要的是，互聯(lián)網(wǎng)是云發(fā)揮作用的基礎，基于互聯(lián)網(wǎng)的云計算本身就是巨大安全隱患。

    如何在云計算核心技術并不在我們掌控的條件下實現(xiàn)核心安全技術自主可控是需要重點考慮的問題。

    2．3虛擬化技術安全問題及測評

    在云平臺的安全保障中，僅僅采用傳統(tǒng)的網(wǎng)絡安全技術是不夠的，虛擬化所帶來新的安全問題應該得到重視，而且傳統(tǒng)的安全防護手段基本安裝在系統(tǒng)的內(nèi)容環(huán)境中，易于檢查，而且，目前也有了完善的檢查技術。但對在系統(tǒng)之外的云計算應用進行檢查的難度非常大，如何對虛擬化的安全防護和保障技術進行測評是等級保護中面臨的又一問題。

3 相關思考

    雖然云計算本身，以及在云計算環(huán)境中開展等級保護工作面臨著很多問題，但云計算的發(fā)展和等級保護工作的推進并不能因為其存在這樣那樣的問題而停滯，目前這兩項工作已經(jīng)不是停留在做與不做的層面了，而是到了要解決如何做的問題了，應以積極態(tài)度研究在云環(huán)境下如何開展等級保護工作方式、方法。

    3．1云應用的適合性

    對于等級保護工作保護的重點——重要系統(tǒng)和網(wǎng)絡來說，雖然都可能定為3級或4級，但由于所承載業(yè)務對于計算、存儲、安全等的需求不同，在安全整改過程中不應是千篇一律的，是否應用云平臺也不能干篇一律。重要信息系統(tǒng)將自己的業(yè)務應用和數(shù)據(jù)保存到云平臺上，什么都沒考慮就突然應用云服務是一種輕率的選擇，應對國家重要信息系統(tǒng)(3級以上含3級)進行適合性研究，對云應用符合性提出建議參考。

    如果一定要進行云計算化，建議重要信息系統(tǒng)以私有云建設為前期重點，從開銷、運用程度、安全等方面考慮，將內(nèi)部的系統(tǒng)分為幾個領域，為以后的云遷移預先設計道路是最理想的方法。在運用云之前，必須對已有系統(tǒng)和業(yè)務進行整理，并對云化事物和非云化事物進行區(qū)分。

    3．2針對云環(huán)境安全保障政策、標準體系的研究

    目前由于國家在云計算方面無論應用架構、安全模型均沒有明確的規(guī)范和標準，導致各地云平臺的建設從基礎設施到平臺乃至業(yè)務軟件結構、技術、通訊、認證、授權差異性極大，在安全保障措施方面也缺少指導，對于云計算環(huán)境的安全保障則是各自為戰(zhàn)。

    各地云平臺的建設者均賦予了比傳統(tǒng)業(yè)務模式更為深刻的意義和作用，已成為本地、本行業(yè)的業(yè)務楔0點，因此需要完整清晰的標準族指導云平臺安全保障。但如今無論是云平臺還是云安全保障國內(nèi)外標準均沒有形成，這就給云計算產(chǎn)業(yè)的發(fā)展帶來了瓶頸，極大地阻礙了各類云平臺長期發(fā)展、軟硬件通用性。目前，等級保護工作還缺乏對云環(huán)境安全建設的指導性文件和標準。在新形勢下，應對云環(huán)境下帶來的新的安全問題進行相關標準政策的研究并在標準和政策上提供支持。滿足國內(nèi)信息服務對云計算的安全需求，實現(xiàn)對整個鏈條的有效控制和管理。

    3．3云環(huán)境新安全問題測評方法開發(fā)

    云平臺建設是否能夠廣泛開展，需要解決一個問題，即向使用云平臺的各個單位提供安全信心。等級保護現(xiàn)已成為各類云平臺安全建設參考的重要依據(jù)，很多平臺要求按等級保護3級或更高級標準進行建設。

    但對現(xiàn)有的虛擬化防護產(chǎn)品，在云平臺環(huán)境中的有效性還缺乏驗證方法，這些虛擬化防護技術缺乏統(tǒng)一的規(guī)范指導，功能各異，判斷是否能滿足某等級系統(tǒng)安全需求更無從談起，而且也為以后等級測評帶來—定難度。

    因此虛擬化條件下如何開展等級保護測評已經(jīng)成為一個比較緊迫的問題，新的形勢要求應開展云條件下測評流程、測評用例、測評工具的研究和應用。

    3．4等級保護工作云平臺建設

    在研究虛擬化環(huán)境下如何實施等級保護工作，即如何對云平臺進行安全保障的同時，還應基于云自身特有的服務特性，對如何利用云這種模式推進和完善等級保護各項工作進行探討和實踐。

    在等級保護現(xiàn)有政策體系、標準體系、測評體系、監(jiān)管體系建設相對比較完備的情況下，應考慮建立等級保護相關工作的云平臺，成為全國等級保護工作的監(jiān)管、決策核心。利用這個平臺不但將等級保護5項工作(定級、備案、整改、測評、整改)更好地集成起來，而且通過等級保護云平臺行使監(jiān)督、管理、指導、服務、培訓等功能。如圖1所示。

圖1 等級保護工作云平臺

    等級保護云平臺不僅僅是個數(shù)據(jù)收集、分析的平臺，還應實現(xiàn)如下業(yè)務職能：

    1)管理平臺，對全國的等級保護實施工作進行指導、監(jiān)督；2)分析平臺，將各行業(yè)、各地區(qū)、各時期的等級保護工作情況、發(fā)現(xiàn)的安全問題進行分級匯總，發(fā)揮云平臺計算能力，進行統(tǒng)一匯總分析，目標是一切數(shù)據(jù)結構化，形成全國等級保護工作的決策系統(tǒng)；3)展示平臺，將分析結果按照各類需求進行靈活呈現(xiàn)，如各地區(qū)主要安全問題趨勢、各行業(yè)等級保護實施狀況、提供輔助決策分析等；4)服務平臺，利用云平臺集成的技術，對用戶及測評機構提供各類安全服務，如網(wǎng)站測試和監(jiān)控、漏洞掃描、配置檢查等；5)培訓平臺，對定級單位及測評機構提供各類安全培訓，如等級保護政策標準培訓、攻防演練等。

    通過等級保護云平臺建設，更好發(fā)揮主管機關、測評機構的職能，提供更為規(guī)范的監(jiān)管和服務，等級保護工作的深度和廣度得到加強，促進各方面能力的提升。

4 結束語

    云計算給單位和用戶帶來了廉價、可靠、隨處可得和非常便利的信息服務，得到了各國政府和諸多大公司的大力支持，大量的科研和開發(fā)資金正源源不斷地投入到云計算產(chǎn)業(yè)中，越來越多的單位、企業(yè)和用戶被拉到各種云服務上，因此，必須對云計算面臨的各類安全威脅進行深入研究，通過等級保護的管理和技術手段，為脆弱的云計算業(yè)務應用提供切實的安全保障。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：云環(huán)境下開展等級保護工作的思考

本文網(wǎng)址：http://www.oesoe.com/html/support/1112154891.html