《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于等級(jí)保護(hù)基本要求的云計(jì)算安全研究
基于等級(jí)保護(hù)基本要求的云計(jì)算安全研究
來(lái)源:微型機(jī)與應(yīng)用2013年第14期
朱圣才
(上海市信息安全測(cè)評(píng)認(rèn)證中心,上海 200011)
摘要: 隨著云計(jì)算的進(jìn)一步推進(jìn)和發(fā)展,云計(jì)算面臨的安全問(wèn)題變得越來(lái)越突出,特別是在云計(jì)算安全中的用戶數(shù)據(jù)機(jī)密性、完整性和可用性方面尤為突出,云計(jì)算安全已經(jīng)成為云計(jì)算推進(jìn)過(guò)程中的首要障礙和難題。從云計(jì)算應(yīng)用安全和系統(tǒng)安全兩個(gè)層面,提出了云計(jì)算安全中應(yīng)用安全和系統(tǒng)安全的威脅所在以及相應(yīng)的基本保護(hù)要求。
Abstract:
Key words :

摘  要: 隨著云計(jì)算的進(jìn)一步推進(jìn)和發(fā)展,云計(jì)算面臨的安全問(wèn)題變得越來(lái)越突出,特別是在云計(jì)算安全中的用戶數(shù)據(jù)機(jī)密性、完整性和可用性方面尤為突出,云計(jì)算安全已經(jīng)成為云計(jì)算推進(jìn)過(guò)程中的首要障礙和難題。從云計(jì)算應(yīng)用安全系統(tǒng)安全兩個(gè)層面,提出了云計(jì)算安全中應(yīng)用安全和系統(tǒng)安全的威脅所在以及相應(yīng)的基本保護(hù)要求。
關(guān)鍵詞: 云計(jì)算;云安全;應(yīng)用安全;系統(tǒng)安全;分類(lèi)保護(hù)

    云計(jì)算的目標(biāo)是實(shí)現(xiàn)將各種共享的IT計(jì)算資源以服務(wù)的方式通過(guò)互聯(lián)網(wǎng)交付給終端用戶使用。云計(jì)算以其特有的優(yōu)勢(shì)逐步贏得了信息技術(shù)市場(chǎng)的認(rèn)可,與此同時(shí),云計(jì)算的出現(xiàn)也在不知不覺(jué)中掀起了一場(chǎng)IT技術(shù)革命。云計(jì)算的顯著優(yōu)勢(shì)包括按需服務(wù)、高帶寬網(wǎng)絡(luò)接口、共享資源池、快速可伸縮性和服務(wù)可測(cè)量等特點(diǎn)[1-6]。
    在傳統(tǒng)的計(jì)算模式下,用戶對(duì)數(shù)據(jù)的存儲(chǔ)與計(jì)算擁有完全的控制權(quán),由于傳統(tǒng)信息系統(tǒng)的等級(jí)保護(hù)在等級(jí)保護(hù)基本要求中都有非常具體的體現(xiàn),使得傳統(tǒng)信息系統(tǒng)的整體安全性在一個(gè)可以控制的范圍中;而在云計(jì)算模式下,用戶數(shù)據(jù)與機(jī)器的管理將完全依賴(lài)于與計(jì)算服務(wù)提供商,終端用戶僅僅保留對(duì)虛擬機(jī)的控制權(quán)限,使得信息系統(tǒng)的安全性出現(xiàn)了一些不可控的因素,在這種服務(wù)模式下,終端用戶完全有可能不知道服務(wù)提供商的系統(tǒng)的物理地點(diǎn)和系統(tǒng)配置等詳細(xì)內(nèi)容。這種不可控因素的存在導(dǎo)致了云計(jì)算安全成為云計(jì)算推廣過(guò)程的首要障礙和難題[7-10]。
    本文從等級(jí)保護(hù)基本要求出發(fā),結(jié)合云計(jì)算技術(shù)現(xiàn)狀分析與研究,從等級(jí)保護(hù)基本要求的應(yīng)用安全和系統(tǒng)安全兩個(gè)層面,探討如何在云計(jì)算平臺(tái)下實(shí)施等級(jí)保護(hù),為實(shí)現(xiàn)云計(jì)算平臺(tái)下信息系統(tǒng)安全的可控性拋磚引玉,并且針對(duì)等級(jí)保護(hù)基本要求給出了具體的操作方式和解決方案。
1 云計(jì)算中的應(yīng)用安全
    本文從應(yīng)用安全角度分析云計(jì)算中應(yīng)用安全威脅,在等級(jí)保護(hù)基本要求框架下針對(duì)威脅給出具體的解決方法,為實(shí)現(xiàn)云用戶安全目標(biāo)提供技術(shù)支撐。
1.1 云計(jì)算中應(yīng)用安全威脅
    在大量研究CSA相關(guān)成果及CAM標(biāo)準(zhǔn)的基礎(chǔ)上,結(jié)合上海市“云海”項(xiàng)目的研究,以及2013年7月微軟將在上海部署微軟云計(jì)算數(shù)據(jù)中心和OFFICE365項(xiàng)目的研究,給出云計(jì)算中應(yīng)用安全主要面臨的威脅及描述,如表1所示。

1.2 云計(jì)算中應(yīng)用安全基本保護(hù)要求
    根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239:2008)控制層面、控制點(diǎn)和控制項(xiàng)的框架,給出針對(duì)云計(jì)算中應(yīng)用安全的基本要求,具體如表2所示。

2 云計(jì)算中的系統(tǒng)安全
    云計(jì)算安全中系統(tǒng)安全很大程度依賴(lài)于云服務(wù)商的云服務(wù)能力和云服務(wù)架構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,分析系統(tǒng)安全威脅弱點(diǎn)所在和基本要求是對(duì)云計(jì)算安全的基本保障。本章依據(jù)微軟Windows Azure平臺(tái)中分析的系統(tǒng)弱點(diǎn)和對(duì)應(yīng)的基本要求進(jìn)行總結(jié)分析,給出具體的威脅分析表和基本保護(hù)要求表。
2.1 云計(jì)算中系統(tǒng)安全威脅
    針對(duì)Windows Azure云計(jì)算平臺(tái)中系統(tǒng)安全,分析研究得出Windows Azure系統(tǒng)安全的威脅如表3所示。

2.2 云計(jì)算中系統(tǒng)安全基本保護(hù)要求
    根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239:2008)控制層面、控制點(diǎn)和控制項(xiàng)的框架,給出針對(duì)Windows Azure云計(jì)算平臺(tái)中系統(tǒng)安全的基本要求,具體如表4所示。

3 云安全
    云計(jì)算等開(kāi)放網(wǎng)絡(luò)服務(wù)環(huán)境的安全問(wèn)題成為企業(yè)是否采用云計(jì)算等開(kāi)放網(wǎng)絡(luò)服務(wù)的重要疑慮之一。關(guān)注基于云計(jì)算等開(kāi)放網(wǎng)絡(luò)服務(wù)的IT應(yīng)用中的安全設(shè)計(jì)并去解決開(kāi)放網(wǎng)絡(luò)服務(wù)所引發(fā)的安全問(wèn)題勢(shì)在必行。其中重點(diǎn)需要解決的是可信問(wèn)題,因?yàn)殚_(kāi)放網(wǎng)絡(luò)服務(wù)的模式改變了傳統(tǒng)IT環(huán)境的可控性,使得針對(duì)傳統(tǒng)信息系統(tǒng)構(gòu)建模式的“等級(jí)保護(hù)”、“分級(jí)保護(hù)”等安全增強(qiáng)方法難以奏效。如何使各類(lèi)云計(jì)算安全提供足夠的可信度并能夠提供用戶足夠的可控性是亟待解決的問(wèn)題。
    經(jīng)過(guò)對(duì)云計(jì)算各類(lèi)安全需求和機(jī)制的研究,總結(jié)出云計(jì)算安全防護(hù)機(jī)制的總體框架如圖1所示。
    圖1是對(duì)云計(jì)算安全問(wèn)題的歸納總結(jié),并且創(chuàng)新地為每個(gè)安全問(wèn)題劃分了對(duì)應(yīng)的層次,例如“數(shù)據(jù)安全”對(duì)應(yīng)的層次是客戶端到IaaS,而“應(yīng)用安全”對(duì)應(yīng)的層次是客戶端到SaaS。

 

 

    本文從信息系統(tǒng)等級(jí)保護(hù)基本要求研究云計(jì)算平臺(tái)下如何實(shí)施傳統(tǒng)可控的信息系統(tǒng)等級(jí)保護(hù);另外,本文還結(jié)合了微軟OFFICE365項(xiàng)目和微軟Azure云計(jì)算平臺(tái),研究云計(jì)算中關(guān)于應(yīng)用安全和系統(tǒng)安全兩個(gè)具體關(guān)注點(diǎn),給出兩個(gè)層面的威脅點(diǎn),并依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239:2008)要求下給出威脅點(diǎn)的具體基本保護(hù)要求,從等級(jí)保護(hù)角度探索解決云計(jì)算安全的整體解決方案,進(jìn)一步促進(jìn)云計(jì)算安全走向成熟。
參考文獻(xiàn)
[1] CSA.云計(jì)算關(guān)鍵領(lǐng)域安全指南 V2.1[Z]. 2010.
[2] 中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239:2008)[S]. 2008.
[3] ENISA.云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南[Z].2012.
[4] JOHN R, JAMES R. Cloud computing: implementation, management, and security[M]. Beijing:China Machine Press,2010.
[5] RINGS T, GRABOWSKI J, SCHULZ S. Grid and cloud  computing: opportunities for integration with the next generation Network[J]. Grid Computing,2009(7):375-393.
[6] Zhang Liangjie, Zhou Qun. CCOA: cloud computing openarchitecture[C]. Proc of 2009 IEEE International Conference on Web Services, New Youk: IEEE Computer Society Press,2009:607-616.
[7] YOUSEF L, BULRICO M, SILVA D. Toward a unified ontology of cloud computing[EB/OL].(2010-xx-xx)[2013-01-10]http://www.collabogce.org/gce08/images/7/76/Lamia Yousef.pdf.
[8] 馮登國(guó),張敏,張妍,等.云計(jì)算安全研究[J]. 軟件學(xué)報(bào),2011,22(01):71-83.
[9] 陳尚義.淺談云計(jì)算安全問(wèn)題[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(10):20-22.
[10] 李瑋.云計(jì)算安全問(wèn)題研究與探討[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2012(4):44-48.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。