云計算安全現(xiàn)狀及我國政策思考＊

馬飛 中國信息通信研究院通信標準研究所工程師

馬可 中國信息通信研究院電信設備認證中心助理工程師

郭晨 中國信息通信研究院電信設備認證中心助理工程師

網(wǎng)絡技術——云計算與數(shù)據(jù)中心專題

云計算安全現(xiàn)狀及我國政策思考＊

馬飛 中國信息通信研究院通信標準研究所工程師

馬可 中國信息通信研究院電信設備認證中心助理工程師

郭晨 中國信息通信研究院電信設備認證中心助理工程師

隨著云計算的發(fā)展，其安全問題也日益突出，已成為制約云計算發(fā)展的關鍵因素。本文探討了云計算安全問題的范疇及其特征，介紹了云計算安全的發(fā)展現(xiàn)狀，分析了我國云計算安全面臨的主要問題，并提出了我國云計算安全發(fā)展的建議。

云計算 云安全 現(xiàn)狀 政策

1 引言

云計算已經(jīng)成為當前ICT領域關注的熱門話題之一，但云計算的發(fā)展也面臨著諸多關鍵性的問題，其中安全問題首當其沖，并且隨著云計算的深入普及，安全問題也越來越突出，已成為制約云計算發(fā)展的關鍵因素。據(jù)IDC報告，超過74%的用戶認為安全威脅是制約云計算發(fā)展的主要問題。近年來，Amazon、Google等公司的云計算服務不斷爆出各種安全事故更加劇了人們對云計算安全問題的擔憂。

2 云計算安全概述

2.1 云計算

云計算是指能夠通過網(wǎng)絡隨時、方便、按需訪問可配置的共享資源池的資源管理和使用模式，可共享的資源包括網(wǎng)絡、服務器、存儲、應用、服務等，它們能通過輕量管理被快速部署和釋放。

按照服務類型，云計算服務一般可分為3類：基礎設施即服務（InfrastructureasaService，IaaS）、平臺即服務（Platform asaService，PaaS）和軟件即服務（Software asaService，SaaS）。

2.2 云計算安全

在云計算出現(xiàn)之后，云計算就與安全密切交織在一起，產(chǎn)業(yè)界、學術界提出了多種不同的云安全概念?？傮w來看，目前對于云安全一詞，業(yè)界還沒有明確的定義。但是，云安全可以從以下兩方面來理解：

（1）云計算本身的安全

主要針對云計算自身存在的安全隱患，研究相應的安全防護措施和解決方案，如云計算安全體系架構、云計算環(huán)境的數(shù)據(jù)保護、云計算應用服務安全等。

（2）云計算在信息安全領域的具體應用

主要利用云計算架構，采用云服務模式，實現(xiàn)安全的服務化或者統(tǒng)一安全監(jiān)控管理。

本文聚焦于云計算本身的安全。

2.3 云計算安全的特征

由于云計算的資源虛擬化和服務化，與傳統(tǒng)安全相比，云計算安全具有一些新的特征：

（1）傳統(tǒng)的物理安全邊界正在消失

在傳統(tǒng)安全中，可以通過在物理和邏輯上劃分安全域的方式來定義安全邊界，但是由于云計算采用了虛擬化技術并且具有多租戶的特征，因此傳統(tǒng)的物理邊界被打破，從而使基于物理安全邊界的防護機制難以在云計算的環(huán)境中得到有效的應用。

（2）云計算服務具有較強的動態(tài)性

在云計算環(huán)境中，用戶的數(shù)量和需求不同，而且變化頻率較高。云計算服務的動態(tài)性和移動性，要求其安全防護也需要進行相應的動態(tài)調(diào)整。

（3）云計算服務需要全生命周期的安全保障

云計算涉及服務的設計、開發(fā)和交付，需要對服務的全生命周期進行保障，確保服務的可用性和機密性。

（4）數(shù)據(jù)安全保護在云計算環(huán)境下變得尤為重要

在云計算中用戶的數(shù)據(jù)不在本地存儲，數(shù)據(jù)的加密、恢復和完整性保護等安全保護手段對于用戶數(shù)據(jù)的私密性和安全性顯得更加重要。

（5）云計算服務需要第三方監(jiān)管和審計

在云計算服務模式中，云服務提供商的權利較大，導致用戶的權利可能受到擠壓，如何確保和維護兩者之間權益平衡，需要第三方的監(jiān)管和審計。

圖1 FedRAMP認證程序

3 云計算安全現(xiàn)狀

3.1 各國政府對云計算安全的關注

云計算在美國和歐洲等國得到了政府的大力支持和推廣，同時云計算安全和風險問題也受到了各國政府的廣泛重視。

（1）美國

在政策法規(guī)的指導下，以評估、授權、監(jiān)視為監(jiān)管抓手實施云計算安全監(jiān)管。其中，最主要的評估方法是聯(lián)邦風險與授權管理計劃項目（FederalRisk and AuthorizationManagementProgram，F(xiàn)edRAMP）。該項目主要針對政府采用云服務時進行評估，要被納入政府采購范圍的服務商必須通過該評估。

FedRAMP是美國預算管理辦公室（OMB）與美國國家標準與技術研究院（NIST）、美國總務管理局（GSA）、美國國家安全局、聯(lián)邦CIO委員會和美國國土安全部（DHS）聯(lián)合開展的，其認證程序如圖1所示。

（2）歐盟

為保護云服務安全，歐盟出臺了監(jiān)管政策，并制定了相應指南，規(guī)范服務商行為。另外，歐盟的《安全港協(xié)議》確保其他國家和地區(qū)能達到歐盟要求，并促進數(shù)據(jù)共享，同時可以限制云服務數(shù)據(jù)跨境隨意流動。

此外，“棱鏡門”事件后，歐盟考慮修改數(shù)據(jù)跨境流動的規(guī)定，包括與美國之間的協(xié)定。

3.2 國內(nèi)外云計算安全標準研究及進展

目前，各國政府、標準組織等正在積極著手云計算安全標準研究、制定工作。國內(nèi)外云計算安全標準組織及其目前研究進展如下：

（1）ISO/IECJTC1SC27

ISO/IEC JTC1SC27是信息安全領域中最具代表性的國際標準化組織，其為國際標準化組織（ISO）和國際電工委員會（IEC）的信息技術聯(lián)合技術委員會（JTC1）下專門從事信息安全標準化的分技術委員會（SC27）。SC27下設了5個工作組，包括信息安全管理體系（WG1）、密碼與安全機制（WG2）、安全評價準則（WG3）、安全控制與服務（WG4）和身份管理與隱私保護技術（WG5），這些工作組的工作范圍涵蓋了信息安全管理和技術領域。目前，SC27已經(jīng)基本確定了云計算安全和隱私的概念體系架構，并明確了云計算安全和隱私標準研制的3個領域，即信息安全管理、安全技術、身份管理和隱私技術。

（2）CSA

CSA（云安全聯(lián)盟）是在2009年的RSA信息安全大會上宣布成立的，其致力于提供云計算環(huán)境下的最佳安全解決方案。CSA的主要成果包括《云安全聯(lián)盟的云控制矩陣》、《云計算關鍵領域安全指南》、《身份管理和訪問控制指南》和《云計算的主要風險》。CSA目前已經(jīng)與ITU-T、ISO等標準組織建立了定期的交流機制，互相通報并吸收各自在云計算安全方面的進展和成果。CSA所有的成果均以研究報告的形式發(fā)布，并沒有制定相應的標準。

（3）ITU

ITU（國際電信聯(lián)盟）于2010年6月成立了ITU-T云計算焦點組，聚焦于云計算在電信領域的應用研究，包括電信領域的云計算安全和管理，輸出有《云安全》報告。2011年12月，云計算焦點組關閉后，后續(xù)的工作已經(jīng)轉移到第十三研究組SG13（未來互聯(lián)網(wǎng)）和第十七研究組SG17（安全）。其中，SG13成立了云計算工作組，工作組負責輸出ITU-T推薦的關于云服務互操作性、云數(shù)據(jù)可移植性的相關技術標準；SG17開展了針對云計算的安全框架和需求等標準的研究工作。

（4）CCSA

CCSA（中國通信標準化協(xié)會）于2011年9月在網(wǎng)絡與信息安全技術工作委員會（TC8）的安全基礎工作組（WG4）下成立了云計算安全子工作組，專門負責云計算安全標準的研發(fā)工作。目前，工作組在云計算總體架構、云中隱私和數(shù)據(jù)保護、訪問控制、基于云計算的IDC、行業(yè)云、云計算應用安全等方面正在制定相應的標準。

4 我國云計算安全問題分析

現(xiàn)階段，我國云計算安全方面的問題主要表現(xiàn)為：

（1）我國缺乏數(shù)據(jù)安全、個人隱私保護、知識產(chǎn)權保護、數(shù)據(jù)跨境流動等方面的法律法規(guī)

云計算帶來的集中托管和數(shù)據(jù)跨境流動增加了管控難度，而目前我國關于個人數(shù)據(jù)、政府及企業(yè)重要信息保護方面的法律法規(guī)存在較大的缺失，一方面影響了用戶對云計算的接受程度，另一方面也給國家的信息安全造成了一定的風險。

（2）云計算安全領域的關鍵技術與國外先進水平存在較大差距

●一方面表現(xiàn)在分布式系統(tǒng)管理、面向虛擬化的核心芯片等關鍵技術領域仍由國外公司掌握。

●另一方面，擁有核心技術主導權的公司可以通過開源系統(tǒng)來影響云計算技術的發(fā)展方向，而我國企業(yè)目前掌握的技術和解決方案更多源自開源系統(tǒng)，在技術路徑、知識產(chǎn)權等方面都存在風險。

（3）云服務運維和管理效率低下

●特權用戶如管理員的過失行為，可能造成服務中斷等嚴重后果。

●云服務的運維層級發(fā)生了變化，原來基于物理主機的監(jiān)控不再有效，尚無法有效監(jiān)控虛擬主機是否已經(jīng)出現(xiàn)問題。

●我國云服務還處于發(fā)展初期，云服務商在管理上的漏洞較多，對運維人員缺少針對性管理，缺少專門的機構、崗位和管理制度等。

（4）我國云計算安全領域的人才匱乏

我國云計算公司的信息安全管理人員嚴重不足，雖然也有一些安全設備做防護，但是沒發(fā)揮出應有的作用。對于安全設備上的告警，一般的IT管理人員可能不能做出正確的識別是否是安全攻擊。

5 我國云計算安全發(fā)展對策

云計算可以說是一把“雙刃劍”，其中的安全問題不容小視，否則可能無法享受其帶來的信息化便利，而且會面臨更加嚴峻的信息安全問題。因此，需要充分認識云計算的特點和服務模式，制定較為完善的安全監(jiān)管要求，建設精確、精細的技術管控手段，確保云平臺的可管可控，以便更好地發(fā)揮和利用云計算，從而帶來技術上的創(chuàng)新和變革。

（1）加快推進我國云計算安全法律法規(guī)建設

●研究制定國家、商業(yè)機構和個人的核心數(shù)據(jù)云端管理規(guī)范，解決云計算模式下的知識產(chǎn)權、用戶隱私保護、商業(yè)保密信息等一系列問題。

●盡快建立云計算服務平臺的建設規(guī)范、運營服務軟件的驗收規(guī)范，建立云服務資格許可證制度，建立云計算產(chǎn)品技術準入制度。

●對于涉及國家政治、經(jīng)濟、國防、社會公共安全的云計算信息系統(tǒng)的引進和建設，應建立行政審核機制，引導采用自主品牌的產(chǎn)品和技術。

（2）加強和完善我國云計算安全標準體系建設

●研究梳理國內(nèi)云計算應用及標準化的需求，解決云計算的規(guī)劃設計、系統(tǒng)建設、服務運營和質量保障等各個環(huán)節(jié)的問題。

●標準化工作需要產(chǎn)業(yè)鏈上各方的共同參與，包括政府、行業(yè)協(xié)會、專家學者、第三方研究機構、云計算相關軟硬件和服務提供商，以及最終用戶。

●積極參與ISO、ITU等國際標準化組織的標準研制工作，在與國際標準的交流和產(chǎn)業(yè)發(fā)展的實踐中不斷修改完善國家和行業(yè)標準，用標準指導國內(nèi)云計算產(chǎn)業(yè)的有序發(fā)展。

（3）加強我國云計算的自主知識產(chǎn)權創(chuàng)新和人才培養(yǎng)

●大力支持云計算關鍵技術的研發(fā)，加快推進云計算軟件、硬件、中間件及網(wǎng)絡設施等資源的創(chuàng)新，提高云計算技術和產(chǎn)業(yè)的自主可控能力。

●完善培養(yǎng)人才模式，積極推進教育培訓，建立云計算認證、評測及安全體系，推動院校開設課程培育云計算人才隊伍。

1 Mell P,Grance T.The NISTDefinition of Cloud Computing. National Institute of Standards and Technology.Information Technology Laboratory.2009

2段翼真,王曉程,劉忠.云計算安全:概念,現(xiàn)狀與關鍵技術.信息網(wǎng)絡安全.2012

3 FedRAMP.http://cloud.cio.gov/fedramp

4 ISO.JTC 1/SC 27 IT Security Techniques[EB/OL].http// www.iso.org/iso/iso_technical_committee?comm id=45306

5 Cloud SecurityAllianc.https://cloudsecurityalliance.org/

6 ITU-TFG-Cloud.http://www.itu.int/ITU-T/focusgroups/cloud

ThoughtsonCloudComputingSecurity PresentandPolicy

With thedevelopmentofcloud computing,itssecurity issuehasbecomeincreasinglyoutstanding,andhasbecome thekey factorof restricting thedevelopmentofcloud computing.Thispaper firstly discussesthedefinitionand characteristics of cloud computing security,then introduces thepresentdevelopmentofcloud computing security,finally analysisthemajor problemsofcloud computingsecurity inChina,andputsforward thesuggestionsofcloud computingsecurity inChina.

cloudcomputing,cloudcomputingsecurity,present,policy

2015-01-28）

云計算標準與測試驗證北京市重點實驗室項目資助