林森 李钢
摘 要:当前互联网技术的飞速发展,云计算、大数据等新技术在信息系统建设过程中得到了广泛应用,更多的互联网用户将自己的信息系统部署在云平台上。随着大量信息系统在云平台上的部署,云平台制度环境建设及安全策略研究就显得尤为重要。文章旨在研究云平台环境下的信息安全制度和安全策略。从云服务用户、云服务商、云链路供应商以及第三方评估机构的角度,对安全管理制度、安全管理机构、人员安全管理、系统安全建设管理和系统运维管理等方面的安全策略进行研究,从而完善云平台制度环境建设及安全策略。
关键词:云平台;制度环境;策略
中图分类号:TP393.0 文献标识码:J
Abstract: At present, with the rapid development of Internet technology, new technologies such as cloud computing and big data have been widely used in the process of information system construction. More and more Internet users deploy their information systems on cloud platform. In this way, with the deployment of a large number of information systems on cloud platforms, the system environment construction and security strategy research of cloud platforms are particularly important. This paper aims to study the information security system and security strategy under the cloud platform environment. From the point of view of cloud service users, cloud service providers, cloud link providers and third-party evaluation agencies, this paper studies security strategies in security management system, security management institutions, personnel safety management, system security construction management and system operation and maintenance management, so as to improve the system environment construction and security strategy of cloud platform.
Key words: cloud platform;institutional environment;strategy
1 引言
加強有关云平台策略研究,规范互联网系统安全运营,有助于净化互联网空间、“扫黄打非”杜绝淫秽色情等不良信息在网络传播,对于维护网络生态文明建设具有至关重要的意义。目前,公有云服务中运行维护制度化管理工作,是确保系统的安全可靠运行的关键和基础。本文拟就如何加强云平台环境下的安全策略设计,提出若干安全策略措施,提供给大家研究商榷。
根据国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》显示,发生在我国主流云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受分布式拒绝服务攻击次数占境内目标被攻击次数的69.6%,被植入后门链接数量占境内全部被植入后门链接数量的63.1%,被篡改网页数量占境内被篡改网页数量的62.5%[1]。基于上述现状,说明加强互联网云平台制度环境建设,对于网络安全非常重要。
2 云计算平台服务的主体角色及安全职责
云计算服务从广义上说,网络云计算服务是与信息技术、软件、互联网相关的一种服务,这种计算资源共享池叫做“云”,云计算把许多计算资源集合起来,通过软件实现自动化管理,只需要很少的人参与,就能让资源被快速提供。计算能力作为一种商品,可以在互联网上流通,可以方便地取用,且价格较为低廉[2]。网络系统采用云计算服务过程中通常会涉及到的云服务用户、云服务商、云用户供应链服务商和第三方评估机构四个角色。本文的4个角色都有其各自的安全职责,为系统采用云计算服务提供指导。
云计算服务用户是信息安全的责任主体,其主要职责:对系统采用云计算服务的过程制定相应的管理制度,并指定安全负责人;参照相关数据安全标准,对数据的敏感程度、业务的重要性进行分类;组织人员开展安全培训,明示使用云计算服务带来的安全风险;配合监管部门对入云系统的安全检查,并对发现的安全问题进行整改;根据系统的功能、性能及安全指标对系统采用云计算服务的需求进行分析,确定采用云计算服务的数据、业务范围;根据信息的敏感程度、人员技能、业务需求的动态性等来选择应用的部署模式。
云服务商在网络云计算服务过程中的安全职责主要表现:保证提供的云计算服务符合国家法律法规要求且安全可靠;遵守云计算服务相关标准及安全要求提供服务,并具备相关服务资质;参照有关信息安全国家标准逐步通过政务云审查;确保提供服务的云计算平台、数据中心等设在安全可靠的环境内;遵守国家有关信息安全政策规定、信息安全等级保护要求、技术标准,落实安全管理和防护措施;及时响应云服务用户的服务需求。
云供应链服务商在网络云计算服务过程中的安全职责主要表现:向云服务用户详细介绍服务内容、服务流程、安全责任等;根据云服务用户的要求,对云服务用户采用云服务模式的需求进行分析,梳理入云系统架构、功能、性能等安全方面的要求;在云服务用户的协调下,与云服务商对提供的服务内容进行功能和责任区分,并通过服务协议或者合同等进行约束;在云服务用户的统筹协调下,供应链服务商之间应该进行边界梳理,能够达成兼容协同的综合服务。
第三方评估机构在网络云计算服务过程中的安全职责表现:在开展安全评估工作前,与云服务用户签订服务协议、保密协议,并根据云服务用户委托对系统进行风险评估。
3 云平台安全建设现状及面临的主要问题
随着云计算技术的发展,现有很多系统部署在云平台。在云平台环境下,传统安全解决方案根本无法在云环境中运行,或者说传统安全策略在云平台环境下只能发挥很少的作用。
通过调研发现,在现有云平台环境下的安全問题主要表现为四点。一是目前云平台缺乏合格的安全人员,原有的安全人员不能及时掌握云计算、大数据等新技术。二是原有的安全工具落后,传统环境下的安全检测工具不能在云环境下发挥安全壁垒的作用。三是由于部署环境的变化,导致安全策略发生改变。原有系统制定的安全策略无法满足现有的云平台环境。四是在安全体系中增加了云平台环境,对应增加云服务商、云链路商等环节。在这些环节中增加了新环境下的安全隐患。所以,对于上述问题,本文对云平台的安全策略研究就显得尤为重要。
4 加强云平台策略研究的意义
随着云计算技术的发展,云服务商、云链路供应商新的角色出现在信息安全的体系当中。因此,原有的信息安全体系中需要进一步完善新的平台制度环境建设。建立平台制度环境建设的意义在于:一是有助于为系统运行制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架;二是对安全管理活动中的各类管理内容建立安全管理制度;三是对安全管理人员或操作人员执行的日常管理操作建立操作规程[3];四是成为由安全政策、安全策略、管理制度、操作规程等构成的全面信息安全管理制度体系。
网络云计算服务安全策略体系建立的价值在于推进信息安全管理体系的建立、安全策略和制度体系的建设、安全组织体系的建设、安全运作体系的建设。
安全制度的首要问题是对安全制度的制定,对于在安全制度的制定的过程中,应考虑两个方面的问题。一是界定安全策略制度的制定权限。信息安全领导小组和管理小组负责制定公司层的安全策略,公司各部门信息安全组织遵照下发的安全策略,结合本部门系统实际情况,制定和细化成适用于本部门的具体管理办法、实施细则和操作规程。二是加强对安全策略的制定要求。对安全策略进行汇编时,保留各安全策略的版本控制信息和密级标识。
网络云计算服务的制度建设应在信息安全职能部门的总体负责下,组织相关人员制定。保证安全管理制度具有统一的格式风格,并进行版本控制。组织相关人员对制定的安全管理进行论证和审定。安全管理制度经过管理层签发后按照一定的程序以文件形式发布。安全管理制度需注明发布范围,并对收发文进行登记。
在云平台制度的评审和修订过程中,信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。定期或不定期地对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订[4]。
5 加强云平台安全体系建设的对策建议
安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据[5]。
安全策略是依据国家、行业政策、法规、标准(比如国内的信息安全等级保护制度、计算机信息系统安全保密防护要求及检测评估方法、风险评估准则等),结合单位的安全实际需求,制定出符合单位特征的安全策略。安全策略可以划分为安全技术策略和安全管理策略,安全技术策略需要集合相应的安全技术或安全设备,演变为安全技术规则,配发到相应的系统或安全设备上。安全管理策略需要根据单位中不同部门的具体情况,演变为一种具体的安全管理制度,落实到相应的部门和人员。
云安全策略体系主要包括:安全管理制度、安全管理机构策略、人员安全管理策略、安全建设策略、安全运维策略等。
5.1 安全管理制度
遵从总体策略中规定的安全领域所应遵守的原则方法,是指导性策略引出具体管理规定、管理办法和实施办法,规定安全管理活动中各项管理内容,如组织安全、人员安全、系统建设和运行维护安全等管理目标、要求、责任以及过程,技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突[6]。建立由信息安全策略、安全管理制度、安全技术规范以及流程组成的一整套信息安全管理体系。对安全管理类制度的制定负责,应组织相关人员,包括安全专家,制度适用的应用系统承建单位和业主单位等,对制定的安全管理制度进行论证和审定。安全管理制度制定后,必须有效发布,发布过程中必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关内容的充分培训,保证每个人员都知道和了解与自己相关的内容。建立并执行管理制度评审的工作制度,每年审视安全策略系列文档[7],对其中不适用的或欠缺的条款及时进行修改和补充。
5.2 安全管理机构策略
安全管理机构是对信息系统安全管理全权负责的组织,机构成员应由相关处室组成,明确安全管理机构的职责。
安全管理机构主要由信息安全领导小组、信息安全管理组和信息安全执行组组成。信息领导小组由组长、信息化、信息安全、其他业务部门领导组成。信息安全管理组由组长、信息化、信息安全及安全保密、其他业务部门人员组成。信息安全执行组主要由信息化、信息安全人员组成,包括系统管理人员、安全管理人员、安全审计人员,其中系统管理人员主要包括网络、主机、应用、数据等管理人员,安全管理人员主要包括信息安全管理人员和安全保密管理人员。