基于云计算环境下的等级保护基本要求思考与改进

◆王和平 朱凯华

(内蒙古自治区人民检察院 内蒙古 010000)

基于云计算环境下的等级保护基本要求思考与改进

◆王和平 朱凯华

(内蒙古自治区人民检察院 内蒙古 010000)

云计算破坏了传统安全边界，对传统安全防护是一种威胁，更对等级保护系列标准产生冲击。本文通过对云计算环境下等级保护面临的挑战描述，引入虚拟化技术在主机安全、网络安全、存储安全及安全管理方面的安全防护措施，以增加虚拟化安全要求项，指导等级保护相关工作和云计算安全建设的开展，从而使等级保护更具适用性、完整性。

云计算；虚拟化；等级保护

0 引言

自2013年“棱镜门”、RSA安全事件发生后，无论从政策层面，还是市场层面国家都加大了对网络空间安全的规范、监管及控制，网络空间安全建设已上升到国家战略。

云计算作为网络空间中的“新兴技术”，其安全性直接影响到网络空间的稳定。云计算中用到的虚拟化、云计算平台管理、海量数据分布存储及管理等技术已比较成熟，但与其相对应的安全防护手段匮乏（传统安全手段居多），且在云安全管理、运营方面没有探索出与之相匹配的管理模式，加之当前云安全没有统一的标准规范，而云安全标准规范是安全技术、安全管理及安全运营的一切先决条件,所以目前云计算安全处于混乱状态。

为保证云计算安全的标准性、合规性，现主要参照信息系统等级保护系列标准、ISO27000标准、CSA认证及相关行业安全标准等标准规范，其中等级保护是云计算安全基本参考物。

1 云计算对等级保护挑战

1.1 等级保护体系

等级保护系列标准规范（包含定级、备案、建设及整改、测评、评估及管理等）是对传统信息系统即边界分明、自主管理、静态可控特点系统进行全生命周期的安全防护，其适用于党政、军工、检察及企业的传统信息化系统，为其安全保驾护航，并为其新建、整改及升级提供标准规范参考。

1.2 对等级保护挑战

基于等级保护标准适用系统特点，云计算固有特性（即资源池化、无边界性、动态性、权限分离性等）造成云环境下的等级保护面临新的挑战：

1.2.1 虚拟化平台安全

云计算中引入虚拟化技术，带来以下等级保护基本要求内容缺失：

（1）虚拟化平台自身安全

现在市场上流通的服务器虚拟化平台分为开源、商用；开源相对漏洞较多，不适用于企业用途。而商用主流服务器虚拟化软件Citrix、Hyper-V、VMware ESX等属于国外产品，一是有违国产自主可控原则；二是可能有后门等漏洞。

（2）资源池安全

等级保护中的设备资源完全是物理设备，是独立的、彼此隔离的，并且是自建或托管的，对设备具有可控性。而云计算通过虚拟化技术后，形成了资源池，云服务商具有对资源的可控性，并且资源共享物理设施。

资源池包括计算池、存储池、网络池。计算池中虚机与虚机/虚机与物理机之间隔离安全、迁移安全、通信安全；存储池中边界隔离、数据加密、数据可用等安全；网络池中实体网络设备/安全设备与虚拟网络设备/安全设备之间的隔离、通信安全及传统网络架构与虚拟网络架构之间的安全等。

这两方面的安全可能带来的安全风险是数据丢失、数据泄露、网络流量劫持及共享技术漏洞等。

业界对等级保护标准是否适合云计算存在不同的观点。其中，中国工程院沈昌祥院士指出“云计算属于信息系统，具有信息系统的普遍特点和共性，就应该有信息系统的安全保护需求，就应该有等级保护去保护它”。

基于沈院士的观点，如何在现有等级保护安全基线基础之上完善等级保护，使之更好地适用于云计算安全是工作重点。

1.2.2 管理规范

云的介入，使系统的参与方增多，包括云客户、云服务提供商、云集成商、云安全风险评估/测评机构、云审计机构、云中间商等，怎样梳理之间的关系、制定相应的管理制度，明确职责成为等级保护中应该关注的问题。

1.3 云计算下等级保护基本要求需求改进

虚拟化技术的应用涉及到主机、网络、存储及管理等方面，对现有等级保护基本要求中的技术要求、管理要求需进行虚拟化要求项的增加。

1.3.1 虚拟化安全

为使等保要求符合云环境下的安全建设及测评工作，且为虚拟化构建安全措施，从虚拟化技术防护角度补充云计算等级保护基本要求内容是必要的。

（1）虚拟化平台安全

虚拟化平台自身安全性，直接关系到其上的虚拟主机系统安全、业务应用安全及底层物理设备安全。

购买原则：应参照政府采购原则，购买“国产自研、自主可控”的虚拟化平台或安全二次开发平台。

架构安全：Hypervisor/VMM 自身软件层漏洞、硬件镜像安全、存储安全及虚拟平台网络与系统安全等，这就要求对虚拟化平台实施实时的版本升级及补丁修复（版本应通过第三方安全测评机构认证）。

身份认证：对登录虚拟平台、云OS的管理员进行相应的身份鉴别，为其分配最小使用权限，确保越权、非授权访问、云租户账号冒用（特别是企业租户账户）等恶意行为的发生。

访问权限分配：Hypervisor/VMM 层面权限是对整个虚拟化平台的管理，应严格控制好Admin权限和普通管理员权限分配，防止未授权创建、重启、删除及关闭等更改虚拟操作系统配置的权限，防止管理员不当操作或恶意删除等行为。

变更控制安全：云中采用虚拟化技术需对其进行必要的变更，而其特殊性使得 Admin管理员对虚拟资源的变更应严格参照变更控制流程，若分配不均则影响业务开展。其次，在变更之前应做好风险评估及相应的日志记录，便于失败后的回退。

（2）虚拟主机安全

多虚拟主机共享底层物理硬件，虚机之间的隔离和防护容易受到攻击、跨虚机的非授权数据访问风险突出，一旦某个虚机自身被攻破，那么所有虚机都将受到威胁，所以应对虚机系统安全进行防护。

身份认证：各虚机根据业务应用场景的不同，设置不同的身份验证方式（双因子认证、生物识别认证及复杂密码等），确保安全接入、非授权访问。

限制访问系统资源：虚拟化平台可针对不同的虚机制定不同的访问权限，虚机的每个访问请求都需经过资源控制策略的检测，每个虚机只能访问分配给它的资源，且禁止虚机直接访问实体主机的物理硬件。

代码库及补丁更新：应确保虚机从休眠转为活动或从备份恢复出来时，虚机的病毒库、恶意代码库及虚机补丁保持最新。

虚机漏洞扫描：针对不同虚机进行漏洞扫描，最新漏洞跟踪，漏洞补丁管理等防护。

安全配置：包括限制虚机对外开放端口、虚机外设控制管理等。其中限制虚机对外开放端口应根据虚机实际部署的系统开放必要的服务端口及开发端口，其他不必要的一律关闭，缩小攻击范围；虚机外设控制管理通过虚拟化平台控制各虚机外设接入设备管理（如USB）。

日志管理：虚拟化平台通过收集虚机日志信息，并对日志信息分析，得出虚机的异常行为。

虚机镜像文件加密：强化对物理磁盘上存储大量的、各种状态的虚机镜像文件保护，通过虚机镜像加密技术对镜像文件加密，从而不被恶意病毒修改，且镜像加密对虚机本身是透明的。

资源控制：为每台虚机分配有限的、特定的资源（CPU、内存），以防止针对虚机的DDoS攻击，并保证虚机使用的内存和存储空间回收时完全清除。

（3）虚拟网络安全

网络虚拟化是在传统网络虚拟化（VLan、VPN）基础上，对核心/接入网络设备和安全设备接口、物理网卡的虚拟，其主要虚拟方式为“横向扩展”、“纵向扩展”，安全防护主要表现为以下四点：

网络架构：应明确划分物理网络与虚拟网络，并提供相关文档说明，并符合实际的数据传输安全策略。

访问控制：虚机与虚机之间、虚机与外网之间通过采用虚拟防火墙与物理防火墙相结合方式设置访问控制策略，确保每层网络流量都被监听到并且访问是安全的。

边界完整性检查：增加对同一物理主机上虚机之间通信的入侵检测，防止攻击者入侵一台虚机后，以此为跳板，入侵同一物理主机上的其他虚机。

网络监管：对整个物理网络和虚拟网络的运行情况进行监控和管理，包括网络中的带宽使用、网络设备的运行状况及流量数据。

虚拟网口安全：虚机应明确定义虚拟网口（网口个数、IP地址）、虚拟MAC地址，防止虚机修改MAC地址，监听及伪造包对其他虚机进行攻击。

虚拟化接口管理：通过集中管理平台对网络设备（核心交换机/路由器、接入交换机等）各虚拟化接口进行统一分配、调度及管理。

安全策略迁移：借助集中管理平台，实现安全策略随虚机迁移，保证虚机在迁移情况下继续受到安全策略的防护。

（4）分布式存储安全

分布式存储技术将海量异构数据分布的存储到不同物理设备上，这种模式不仅摆脱了硬件设备的限制，同时扩展性更好，并与虚拟化计算在存取速度、存取可用性方面相匹配。其存放了不同安全等级的数据（虚机镜像文件、物理文件等），为保证各等级数据安全采取以下措施：

数据隔离：为保证数据完整性，采用技术措施将虚拟镜像文件、物理文件等进行逻辑隔离，并访问控制。确保授权合法访问，非授权阻隔访问。

数据保密性：包括数据传输加密、存储加密。对于传输加密，在IP SAN网络中可采用IP Sec加密、SSL加密保证数据的保密性，采用IP Sec摘要和防回复功能可保证数据完整性;对于存储加密，可分为三种情况：第一、主机加密；第二、专用加密设备；第三、存储设备加密。

数据可用性：应对虚拟镜像文件、物理文件进行备份（全备份、增量备份）。对于特别重要的数据，如 Hypervisor/VMM 的数据（访问策略、安全配置等）需作为关键数据进行备份，并实现异地备份。

1.3.2 管理规范

建议参照GB/T31167-2014《信息安全技术 云计算服务安全标准指南》、GB/T31168-2014《信息安全技术 云计算服务安全能力要求》等云计算国家标准，完善管理制度规范。

（1）管理制度

制定云租户申请、变更、撤销等云服务的规章流程；

制定云服务商的参与、退出机制；

制定云租户、云服务提供商、云中间商等各方的安全责任、职责；

制定虚机的创建、使用、回收及注销等操作的流程与规定；

对云租户、资源（虚拟资源、物理资源）进行分级、分类，对不同级别的云租户分配不同类型的资源。

（2）管理机构

应组建云计算安全组，设置虚拟化安全员、审计员，明确职责分工，且不同职位不能由同一人担任，关键行业/大中型企业应设置CISO职位；

云服务相关的授权与审批；

加强云安全技术的沟通和交流。

（3）人员安全管理建立专门的云安全员的录用、调动、离岗等安全管理流程；对云安全员进行定期考核、教育及培训（ISO27001、CISP及CISSP等）。

2 总结

在没有权威的云安全标准规范发布之前，等级保护系列标准是云计算安全基本参照的，但等级保护是针对传统信息系统的，直接将其套用是不合适宜的。本文从虚拟化安全、管理规范两方面补充了《等级保护基本要求》内容的缺失，为等级保护适用于云计算安全做工作铺垫。

随着云计算的普及，需进一步对云环境下的等级保护开展研究工作，相应地对等级保护系列标准规范进行动态调整、改进。

[1]沈昌祥.云计算安全与等级保护.信息安全与通信保密，2012.

[2]王希忠，王建立，黄俊强.云计算环境下等级保护测评.信息技术，2015.

[3]朱圣才.基于等级保护基本要求的云计算安全研究.综述与评论，2013.

[4]黄锐.云计算环境与等级保护探讨.信息安全与通信保密，2015.

[5]张京海，张保稳，杨冰等.云计算信息系统等级保护框架研究.信息安全与通信保密，2013.