浅谈等级保护技术与云计算

0 引言

云计算是信息技术领域的一次重大变革，通过跨配地域、跨国界的整合，将计算资源以服务的形式提供给用户，将用户从复杂的底层硬件、软件与网络协议中解放出来，具有超强的技术能力和低成本、规模化等特性，是下一代互联网的发展趋势。尽管云计算有很多优势，例如提高的业务灵活性、可扩展性、效率以及盈利能力，但同时也会带来新的安全风险和问题。安全问题是阻碍云计算发展主要原因。

随着国内开展信息安全等级保护，国务院颁布《中华人民共和国信息系统安全保护条例》（国务院［19941147号令）在传统架构的信息系统下发挥了很大的作用。云计算的出现，带来了一系列系统架构上的变化，但是无论其如何发展，终究是属于信息系统，具有信息系统的普遍特点。云计算的安全管理，依然可以按照等级保护的要求实施。

通过信息安全等级保护对云计算应用提供一定的安全保障，推动云计算的向前发展。同时云计算在应用上面临不断深化的攻击危害，对等级保护技术的要求也逐步提高。云计算与等级保护技术在一定时期内相互伴随发展。

1 云计算的安全现状

云计算（cloud computing）是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。云是网络、互联网的一种比喻说法。然而安全问题是阻碍云计算普及的主要障碍，以下是云计算的一些常见的安全顾虑。

所有权和责任：云服务提供商应负责提供高级别的安全保证服务，但是提供商和用户之间的界线可能会变得模糊。例如，对于 IaaS 用户来说，应该主要由他们自己负责部署用于其云操作的云安全资源。另一方面，PaaS 和 SaaS 用户可能无需亲自管理安全基础架构组件，但是仍需要在安全方面与其云服务提供商密切协作，尤其是在身份和访问管理等领域。

攻击界面扩大：新技术会造成新的安全漏洞。例如，虚拟化是云计算的基础技术。虚拟接入层会带来新的攻击载体。离线虚拟机（VM）如果未经严格的修补就重新联线，很可能会携带不被注意的安全漏洞。由于公共接口暴露于众，会增加云用户经由互联网进行管理访问和应用访问的风险。

共享环境（多用户）：传统的安全策略要求在涉及高度敏感数据时采取物理隔离措施。而在云环境中，用户通常共享基础架构、应用和其他资源。外部云用户可能缺乏充分的安全措施，甚至怀有恶意企图，因此当与这些身份不明的外部用户共享网络和计算资源时，用户所面临的威胁可能会增大。

2 云特点及部署模型

据国际标准与技术研究所（NIST）的研究，云具有五大特点，云部署分为四个模型：

云特点包括：

按需自助服务：用户可根据需要单方面自动调配计算功能（例如服务器时间和网络存储），无需与各服务提供商开展人际互动。

资源汇集：提供商的计算资源可汇集在一起，为使用多租户模式的多个用户提供服务，并按照用户需求，动态分配和重新分配不同的物理和虚拟资源。这里有一个位置独立感，客户通常无法控制或得知所提供资源的具体位置，但可以在更高的抽象层次上指定位置。可以汇集的资源包括存储、处理、内存和网络带宽。

快速弹性：可弹性地调配和释放功能，某些情况下可自动调配和释放，以与需求成正比的形式快速向外和向内扩展。对消费者而言，似乎可用于调配的功能是无限的，且可随时提供任何数量的功能。

可计量的服务：云计算系统通过适用于服务类型（例如存储、处理、带宽以及活动用户帐户）的某些抽象级别的计量功能，自动控制和优化资源使用。可监控、控制和报告资源使用情况，为使用服务的提供商和消费者提供透明度。

广泛的网络接入：各功能通过网络提供，并通过标准机制接入，可推动在异类厚客户端或瘦客户端平台（例如移动终端、平板电脑、便携式终端和工作站）上的使用。

云部署模型包括：

社区云：社区云在多个来自特定社区的组织中共享基础设施，这些组织面临相同的问题（例如安全、合规或管辖）。社区云可由内部或第三方管理，并可托管在内部或外部。

公有云：如使用公有云，云基础设施由云提供商调配，供任何类型的客户使用。基础设施可能由企业、学术或政府机构、或者这些实体的组合拥有、管理以及运营。

私有云：在私有云中，基础设施完全由一个组织调配，可能在内部管理或由第三方管理，并托管在外部（作为虚拟专用云）。此外，在私有云中，可用多租户分隔多个业务部门。提供商拥有基础设施，因此对资源位置了然于胸。

混合云：混合云由两个或多个保留独立实体但绑定在一起的（私有、社区或公有）云构成，具有多种部署模型的优势。混合云也可由多个云系统构成，这些系统连接的方式能够让程序和数据从一个部署系统轻松移动至另一个系统。

3 云计算的三大服务模式

根据NIST的权威定义，云计算有SPI，即SaaS、PaaS和IaaS三大服务模式。这是目前被业界最广泛认同的划分。PaaS和IaaS源于SaaS理念。PaaS和IaaS可以直接通过SOA/Web Services向平台用户提供服务，也可以作为SaaS模式的支撑平台间接向最终用户服务。

（1）SaaS（Software-as-a-service）软件即服务

提供给客户的服务是运营商运行在云计算基础设施上的应用程序，用户可以在各种设备上通过客户端界面访问，如浏览器。消费者不需要管理或控制任何云计算基础设施，包括网络、服务器、操作系统、存储等等；一些用作商务的SaaS应用包括Citrix的 GoToMeeting，Cisco的WebEx，Salesforce的CRM，ADP，Workday和SuccessFactors。

（2）PaaS（Platform as a Service）平台即服务

PaaS，某些时候也叫做中间件。公司所有的开发都可以在这一层进行，节省了时间和资源。

PaaS公司在网上提供各种开发和分发应用的解决方案，比如虚拟服务器和操作系统。这节省了你在硬件上的费用，也让分散的工作室之间的合作变得更加容易。网页应用管理，应用设计，应用虚拟主机，存储，安全以及应用开发协作工具等。一些大的PaaS提供者有Google App Engine，Microsoft Azure，Force.com，Heroku，Engine Yard。

（3）IaaS（Infrastructure as a Service）基础设施即服务

IaaS提供给消费者的服务是对所有设施的利用，包括处理、存储、网络和其它基本的计算资源，用户能够部署和运行任意软件，包括操作系统和应用程序。消费者不管理或控制任何云计算基础设施，但能控制操作系统的选择、储存空间、部署的应用，也有可能获得有限制的网络组件（例如，防火墙，负载均衡器等）的控制。一些大的IaaS公司包括Amazon，Microsoft，VMWare，Rackspace和 Red Hat.不过这些公司又都有自己的专长，比如Amazon和微软给你提供的不只是IaaS，他们还会将其计算能力出租给你来host你的网站。

4 云计算所面临的危害

为了云计算的健康发展和等级保护工作在新形势下顺利推进，就不能忽视对云计算面临的各类安全威胁的研究和分析，并制定和建立相应的等级保护政策、技术体系，应对即将到来的云浪潮。在云环境中，除了传统意义所面临的各类安全威胁外，也有新的商务模式带来的新威胁。

4.1 逃逸威胁和隐蔽信道

逃逸威胁是指在已控制一个虚拟化应用（VM）的前提下，通过利用各种虚拟系统安全漏洞，进一步拓展渗透到Hypervisor甚至其它VM中，进行Hypervisor级、其它虚拟化应用后门安装，DDoS（抗拒绝服务攻击）等攻击。这类威胁以及相关通信由于是在虚拟机以上各个VM之间发生的，而且大部分是在同一物理实体之上，根本不经过安全网关、硬件防火墙等安全设备，即由于虚拟机之间共享硬件资源而引发的隐蔽通道，这些威胁通过传统防护设备根本无法检测和防护。虚拟化环境下缺乏对VM间通信流量的可见性是我们面对的一大安全难题。

4.2 Web安全漏洞

云计算服务推动了Internet的Web化趋势，Internet是一个开放的、无控制机构的网络，而且与传统的操作系统、数据库、C/S系统的安全漏洞相比，应用层面安全问题更为突出，多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些 web2.0和云服务的特点对网络安全来说意味着巨大的挑战，甚至是灾难。云计算的安全问题还必须考虑比网络安全更为复杂的问题。

4.3 拒绝服务攻击

由于云平台的大规模与高性能，一旦遭受DDoS攻击，云平台是否有能力提供应对的技术手段，使正常的应用不受影响，是评价云计算平台的一个重要指标。

拒绝服务攻击DoS和DDoS虽不是云服务所特有的。但是，在云服务的技术环境中，单位中的关键核心数据、服务如果离开了内部网，迁移到了云服务中心。更多的应用和集成业务开始依靠互联网。拒绝服务带来的后果和破坏将会明显地超过传统的网络环境。因此服务和数据的随时可用性本身不仅是一项非常重要的安全指标，而且其质量的保证在一个存在恶意攻击的环境里会造成其复杂度大大增加。如何防止破坏正常应用的DDoS攻击是一个很大的挑战。

4.4 内部的数据泄漏和滥用

相对而言，安装在现有内部环境中的应用更易于检查，而且也有了完善的检查技术，然而，对安装在外部的云计算应用如果没有妥善的保护，这些数据可能从外部云计算被非法泄露，而且对其进行检查的难度非常大。

当用户的敏感数据在云端处理的时候，单位的重要数据和业务应用处于云平台的IT系统中。在多用户环境中，云平台很难提供与单独客户环境相同的资源隔离等级和相关保障，用户无法对风险进行直接的控制，数据的拥有者不能控制，甚至不知道数据的存储位置，多个不同等级的计算任务可能在一台或多台机器上运行。

有效保障云服务商自身内部的安全管理和职责分离体系、安全审计，避免云计算环境中多客户共存带来的潜在风险，都成为云计算环境下用户的重大安全顾虑。

4.5 身份管理

在等级保护中，主客体认证、强制访问控制—直是讨论的焦点，在云环境中如果不切实际解决这两个问题，云的广泛应用是不现实的。原先为了安全放在防火墙内的数据，现在放在了外部云计算环境中，如何在多项服务中应用角色，策略的管理、多个身份有效管理、身份鉴定均面临着很大的安全挑战。对员工、客户、参与者和工作负载的身份鉴定、授权和审计是云计算安全性的未来方向。

4.6 不同云之间的互联互通（可移植性）

由于我国现实状况，在我国云平台建设必将以各地、各行业私有云的建设为主，尤其是对于国家重要信息系统和网络，由于目前云计算尚未在业界形成一个统一的标准化体系，无论是云平台还是云服务的统一标准都没有形成，这就给云计算产业的发展带来了瓶颈，各个单位为了自己的云服务发展推出各自的平台和服务标准，使得众多云平台和运用服务用户的利益和长远发展得不到保证，极大地阻碍了云计算通用性和替代性以及软件的适合性和继承性的发展。

5 云计算在政务部门的部署应用

随着云计算的不断向前发展，大家开始接受云计算的应用。根据实际的应用需求逐步部署各种云结构。同时云带来了巨大的风险，其中云最重要、最核心的风险是：国家安全风险和产业经济信息失控风险。因此，对于云的应用，以混合云组成的应用需求为主。

政务部门涉及民生服务，同时存在许多敏感的运行数据。其云计算部署可根据信息安全等级评定办法，对云计算系统进行等级评定。并通过组建混合云的方式对系统业务划分与不同的云内。把与核心业务无关的，并涉及民生服务系统通过组建公有云系统提高政务部门服务，享受云计算带来的便利。同时，把属于核心业务的系统通过组建私有云，增强内部流转效率。对于存在的数据交互，建议采用物理隔离单项数据共享方式共享部分必要数据。保证私有云运行数据不受到来自公有云的危害。

6 对云内系统进行等级保护

等级保护的技术安全整体架构是从信息系统本身来出发，而云计算也是信息系统，具有信息系统的本质特征，因此，云模式下的信息系统是否也需要构建云计算环境、云通信网络、云接入边界，以及云安全管理中心，这与等级保护的整体技术架构设计如出一辙，只是，这样的云计算体系安全架构需要在“可信”的条件下来进行。等级保护技术设计要求主要包含“安全计算环境‘安全区域边界 安全通信网络 安全管理中心”四大部分的内容。云端整体结合等级保护措施采用安全分区，数据隔离，身份认证，权限受控，数据加密，流程管控，日志记录审计等安全防护技术。

7 结束语

云端应用应结合应用及安全需求，发挥云端技术优势，对其薄弱的安全环节需要严格按照信息安全等级保护措施加以防护。同时对于各个行业部门重要的核心业务如采用云技术，应只建立社区云或私有云的部署方式。目前安全技术状况暂时不满足公有云需求。云所面临的危害将还一直存在，正是这些危害使等级保护技术伴随着提高及发展，两者是相辅发展的。