云計(jì)算環(huán)境下信息系統(tǒng)安全防護(hù)

湯 飛，張 彥

（1.中國鐵道科學(xué)研究院 研究生部，北京 100081；2.中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

云計(jì)算環(huán)境下信息系統(tǒng)安全防護(hù)

湯 飛1,2，張 彥2

（1.中國鐵道科學(xué)研究院 研究生部，北京 100081；2.中國鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

本文通過綜合分析云計(jì)算系統(tǒng)存在的安全風(fēng)險(xiǎn)，結(jié)合云計(jì)算系統(tǒng)分層架構(gòu)特點(diǎn)，提出了一種基于“一個(gè)中心、五個(gè)層面，兩重保障”策略的云計(jì)算安全防護(hù)方案。該方案針對云計(jì)算系統(tǒng)安全風(fēng)險(xiǎn)設(shè)計(jì)，并與云計(jì)算系統(tǒng)分層架構(gòu)特點(diǎn)相適應(yīng)，為云計(jì)算技術(shù)全方位安全防護(hù)提供了一種新的方法。

云計(jì)算安全；云計(jì)算安全風(fēng)險(xiǎn)；云計(jì)算系統(tǒng)架構(gòu)；云計(jì)算安全防護(hù)

云計(jì)算基于資源虛擬化的方式，利用高速互聯(lián)網(wǎng)的傳輸能力，將網(wǎng)絡(luò)上分布的計(jì)算、存儲、服務(wù)構(gòu)件、網(wǎng)絡(luò)軟件等資源集中起來，把數(shù)據(jù)的處理過程從個(gè)人計(jì)算機(jī)或服務(wù)器轉(zhuǎn)移到一個(gè)大型的計(jì)算中心，以服務(wù)的形式為用戶提供計(jì)算能力和存儲能力[1]，實(shí)現(xiàn)計(jì)算與存儲的分布式與并行處理。云計(jì)算以其獨(dú)特的技術(shù)特點(diǎn)和優(yōu)勢，越來越多地被部署到實(shí)際應(yīng)用中，隨之而來的云計(jì)算安全問題也日益突出。

1 云計(jì)算技術(shù)安全背景

云計(jì)算技術(shù)為用戶帶來了極大便利，也成為攻擊者的最佳目標(biāo)，近年云計(jì)算安全事件層出不窮。頻繁的安全事件，使得云計(jì)算安全的重要性和緊迫性更加突出地展現(xiàn)在研究者面前。

云計(jì)算安全存在于特權(quán)用戶權(quán)限、法規(guī)遵從、數(shù)據(jù)存放位置、數(shù)據(jù)隔離及恢復(fù)和追溯支持等方面[2]；云安全聯(lián)盟CSA在云計(jì)算安全指南中提出，云計(jì)算安全管理需從云的治理和云的運(yùn)行兩方面著手[3]；IT安全管理指南ISO/IEC TR 13335的風(fēng)險(xiǎn)管理模型[4]，通過管理驅(qū)動技術(shù)，利用技術(shù)實(shí)現(xiàn)管理，給出了一種實(shí)現(xiàn)安全云計(jì)算的思路；遵照動態(tài)安全事件處理[5]（PDR模型）發(fā)展出的“花瓶模型”，使用安全基線來實(shí)現(xiàn)云計(jì)算安全；此外，隨著國內(nèi)信息安全等級保護(hù)[6]工作的進(jìn)一步開展，分等級保護(hù)的思想也為云計(jì)算安全提供了借鑒。

本文針對云計(jì)算平臺分層架構(gòu)的特點(diǎn)，通過分析云計(jì)算在應(yīng)用系統(tǒng)中的安全風(fēng)險(xiǎn)，給出了一種與分層架構(gòu)特點(diǎn)相適應(yīng)的云計(jì)算安全保護(hù)方案。

2 云計(jì)算系統(tǒng)架構(gòu)及安全風(fēng)險(xiǎn)

2.1 云計(jì)算系統(tǒng)分層架構(gòu)

云計(jì)算模式下信息系統(tǒng)架構(gòu)分為云計(jì)算平臺和云計(jì)算終端，云計(jì)算平臺包括基礎(chǔ)設(shè)施層、虛擬化層、平臺層、應(yīng)用層4層結(jié)構(gòu)[7]。

云計(jì)算模式下信息系統(tǒng)架構(gòu)如圖1所示。

云計(jì)算終端是信息系統(tǒng)的各業(yè)務(wù)端，按需獲取云計(jì)算平臺的存儲、網(wǎng)絡(luò)及計(jì)算資源，是云計(jì)算系統(tǒng)的服務(wù)使用者。

圖1 云計(jì)算模式下信息系統(tǒng)架構(gòu)

2.2 云計(jì)算系統(tǒng)安全風(fēng)險(xiǎn)

2.2.1 網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)

云模式下信息系統(tǒng)網(wǎng)絡(luò)實(shí)體可分為終端用戶實(shí)體和云平臺實(shí)體。攻擊者可從云計(jì)算終端與云計(jì)算平臺邊界、云計(jì)算平臺內(nèi)部邊界侵入，對云計(jì)算系統(tǒng)實(shí)施破壞。因此，云計(jì)算信息系統(tǒng)邊界安全應(yīng)從云終端與云平臺間邊界和云平臺內(nèi)邊界綜合考慮。

（1）云終端與云平臺間邊界風(fēng)險(xiǎn)

云終端與云平臺間邊界風(fēng)險(xiǎn)來自于云平臺外部，攻擊者可利用外部邊界的安全弱點(diǎn)和漏洞，如云平臺未對訪問數(shù)據(jù)執(zhí)行SYN檢查，對信息系統(tǒng)發(fā)起拒絕服務(wù)攻擊，破壞信息系統(tǒng)安全。

（2）云平臺內(nèi)邊界風(fēng)險(xiǎn)

云平臺內(nèi)邊界風(fēng)險(xiǎn)指組成云平臺不同功能模塊間的安全風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)來自于云平臺內(nèi)部，如管理人員誤操作、某功能模塊感染病毒引起擴(kuò)散等，此類邊界安全風(fēng)險(xiǎn)也需得到有效控制。

2.2.2 數(shù)據(jù)安全風(fēng)險(xiǎn)

（1）數(shù)據(jù)存儲、傳輸及處理安全

云計(jì)算系統(tǒng)租戶數(shù)據(jù)的整個(gè)生命周期，包括存儲、傳輸及處理，數(shù)據(jù)的機(jī)密性、可用性和完整性均可能會受到破壞。非法復(fù)制、獲取、移動將會導(dǎo)致數(shù)據(jù)在存儲過程的安全受到威脅，非法竊聽、攔截、篡改等將導(dǎo)致數(shù)據(jù)在傳輸過程的安全受到威脅，非法侵入、滲透、溢出將會導(dǎo)致數(shù)據(jù)在處理過程的安全受到威脅。

（2）數(shù)據(jù)隔離安全

云計(jì)算模式下，不同租戶共享網(wǎng)絡(luò)、存儲和計(jì)算能力，使得租戶數(shù)據(jù)可能在同一網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳輸，在同一磁盤中進(jìn)行數(shù)據(jù)存儲，在同一內(nèi)存區(qū)中進(jìn)行數(shù)據(jù)處理，這為租戶間數(shù)據(jù)的非法訪問提供了便利條件。云計(jì)算平臺應(yīng)采取有效措施對數(shù)據(jù)進(jìn)行隔離，保證不同租戶數(shù)據(jù)的安全及隱私。

（3）數(shù)據(jù)剩余信息安全

云計(jì)算環(huán)境下，數(shù)據(jù)使用共享的方式存儲，租戶數(shù)據(jù)在業(yè)務(wù)發(fā)生遷移或刪除時(shí)，需防止惡意恢復(fù)盜取數(shù)據(jù)。若存儲資源重新分配前數(shù)據(jù)擦除不徹底，惡意恢復(fù)事件將導(dǎo)致用戶私密信息泄漏。

2.2.3 虛擬化安全風(fēng)險(xiǎn)

（1）虛擬機(jī)隔離

多租戶環(huán)境下，不同租戶虛擬機(jī)共享物理資源。虛擬機(jī)不徹底的安全隔離，會導(dǎo)致非法租戶在未經(jīng)授權(quán)情況下，訪問其他租戶的數(shù)據(jù)，甚至干擾其他租戶應(yīng)用程序的正常運(yùn)行。

（2）虛擬機(jī)監(jiān)控

同一物理主機(jī)下不同虛擬機(jī)間數(shù)據(jù)交互產(chǎn)生的流量，并不經(jīng)過物理交換機(jī)，因而無法被物理交換機(jī)檢測到；導(dǎo)致物理安全防護(hù)設(shè)備無法監(jiān)控虛擬機(jī)間的數(shù)據(jù)交換過程，無法察覺虛擬機(jī)間的攻擊行為，這為虛擬機(jī)間的互相攻擊提供了方便。

（3）虛擬機(jī)防護(hù)

與傳統(tǒng)物理主機(jī)類似，虛擬機(jī)也面臨著病毒、木馬、惡意代碼等破壞性程序的安全威脅，因此虛擬機(jī)應(yīng)加強(qiáng)自身安全防護(hù)，如操作系統(tǒng)最小化配置、及時(shí)更新補(bǔ)丁等，防止遭到外部安全威脅攻擊導(dǎo)致系統(tǒng)無法正常提供服務(wù)。

2.2.4 服務(wù)可用性風(fēng)險(xiǎn)

（1）內(nèi)部軟件風(fēng)險(xiǎn)

云計(jì)算平臺是由多種軟件組合協(xié)同構(gòu)成的復(fù)雜龐大體系，這些軟件內(nèi)部及軟件之間，可能存在影響云服務(wù)可用性的安全風(fēng)險(xiǎn)。如軟件運(yùn)行因介質(zhì)損壞、外部攻擊，或自身錯誤、安全漏洞等無法正常進(jìn)行，會導(dǎo)致云計(jì)算服務(wù)的可靠性和穩(wěn)定性遭到破壞，無法正常為終端租戶提供服務(wù)。

（2）外部接口風(fēng)險(xiǎn)

云計(jì)算平臺按照統(tǒng)一的標(biāo)準(zhǔn)和格式，開放API接口給租戶，實(shí)現(xiàn)云平臺與租戶間的交互。不安全的API接口將給云計(jì)算系統(tǒng)帶來安全風(fēng)險(xiǎn)，利用它攻擊者可實(shí)施注入攻擊、拒絕服務(wù)攻擊，甚至繞過安全機(jī)制獲取系統(tǒng)權(quán)限，給系統(tǒng)帶來災(zāi)難性后果。

（3）備份與恢復(fù)風(fēng)險(xiǎn)

云模式下終端租戶不再介入數(shù)據(jù)處理過程，數(shù)據(jù)的存儲維護(hù)管理工作全部交由云平臺接管，若云數(shù)據(jù)中心所在位置發(fā)生不可預(yù)知、不可抵抗的災(zāi)難性事件，數(shù)據(jù)和服務(wù)將可能完全丟失。

3 云計(jì)算系統(tǒng)安全方案

根據(jù)云計(jì)算系統(tǒng)分層架構(gòu)特點(diǎn)，提出基于“一個(gè)中心、五個(gè)層面，兩重保障”策略的云計(jì)算系統(tǒng)安全設(shè)計(jì)方案。

一個(gè)中心，是指云計(jì)算安全管理中心，內(nèi)容包括統(tǒng)一的安全監(jiān)控管理、統(tǒng)一的認(rèn)證及權(quán)限管理、統(tǒng)一的脆弱性管理和統(tǒng)一的安全審計(jì)管理；五個(gè)層面，是指5個(gè)安全防護(hù)層面，包括基礎(chǔ)設(shè)施層安全防護(hù)、虛擬化層安全防護(hù)、OS平臺層安全防護(hù)、應(yīng)用層安全防護(hù)、云終端安全防護(hù)?！耙粋€(gè)中心、五個(gè)層面”架構(gòu)如圖2所示。

圖2 “一個(gè)中心、五個(gè)層面”架構(gòu)

兩重保障，是指兩重災(zāi)備安全保障，包括同城數(shù)據(jù)災(zāi)備中心保障和異地?cái)?shù)據(jù)災(zāi)備中心保障[8]，其架構(gòu)如圖3所示。

圖3 “兩重保障”架構(gòu)

3.1 “一個(gè)中心、五個(gè)層面”安全設(shè)計(jì)

3.1.1 基礎(chǔ)設(shè)施層安全設(shè)計(jì)

（1）物理安全

服務(wù)提供者應(yīng)確保其物理設(shè)施的接入點(diǎn)是被保護(hù)的，利用值班員看守、安全攝像機(jī)、全身掃描及其他措施防止違規(guī)行為的發(fā)生，對接入點(diǎn)環(huán)境的溫濕度、煙霧、漏水等實(shí)施全天監(jiān)控。

（2）網(wǎng)絡(luò)結(jié)構(gòu)安全

虛擬化后網(wǎng)絡(luò)邊界模糊，網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)邊界設(shè)計(jì)，在云計(jì)算平臺內(nèi)部邊界及云計(jì)算平臺與云計(jì)算終端間邊界采取措施保證網(wǎng)絡(luò)結(jié)構(gòu)安全。

3.1.2 虛擬化層安全設(shè)計(jì)

（1）虛擬機(jī)隔離

虛擬機(jī)應(yīng)進(jìn)行安全隔離，實(shí)現(xiàn)虛擬機(jī)與物理機(jī)、虛擬機(jī)之間可靠隔離，保證虛擬機(jī)和物理機(jī)上的租戶間業(yè)務(wù)互不干擾。同一物理機(jī)的不同虛擬機(jī)間數(shù)據(jù)的通信可采取VPN方式，既實(shí)現(xiàn)了虛擬機(jī)間的安全隔離，又保證了數(shù)據(jù)的安全。

（2）虛擬機(jī)監(jiān)控

對虛擬機(jī)進(jìn)行全面安全監(jiān)控，包括資源使用狀態(tài)、進(jìn)程狀態(tài)、流量狀態(tài)等，為解決虛擬機(jī)間流量不可見問題，可擴(kuò)充虛擬化層功能，實(shí)施流量監(jiān)控。

（3）虛擬機(jī)安全

對虛擬機(jī)系統(tǒng)本身，按照主機(jī)安全的要求，進(jìn)行主機(jī)安全加固，對操作系統(tǒng)功能模塊進(jìn)行最小化配置、及時(shí)更新補(bǔ)丁等。

3.1.3 平臺層安全設(shè)計(jì)

（1）數(shù)據(jù)傳輸安全

用戶終端到云端傳輸通道采用VPN和數(shù)據(jù)加密等技術(shù)，實(shí)現(xiàn)用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程的安全；系統(tǒng)管理員及維護(hù)人員對云端的維護(hù)操作采用加密通道，保證管理過程的安全。

（2）數(shù)據(jù)存儲安全

使用數(shù)據(jù)安全隔離技術(shù)，實(shí)現(xiàn)不同用戶間的數(shù)據(jù)信息的隔離；使用數(shù)據(jù)存儲加密技術(shù)，對數(shù)據(jù)存儲實(shí)施加密；各用戶享用獨(dú)立的存儲空間；具備完善數(shù)據(jù)銷毀機(jī)制，存儲資源在分配給其他用戶時(shí)必須進(jìn)行徹底擦除；依據(jù)保密級別設(shè)置數(shù)據(jù)敏感標(biāo)記，按照用戶權(quán)限和標(biāo)識類型執(zhí)行訪問控制。

3.1.4 應(yīng)用層安全設(shè)計(jì)

（1）分級安全防護(hù)

云計(jì)算信息系統(tǒng)應(yīng)依據(jù)系統(tǒng)的重要類型、用戶類型，執(zhí)行不同等級的身份認(rèn)證、訪問控制等策略，按照不同等級實(shí)施分級應(yīng)用安全防護(hù)。

（2）身份鑒別

建立統(tǒng)一完善的身份注冊登記制度，對新注冊的用戶實(shí)行嚴(yán)格審核報(bào)批，防止非法用戶的惡意注冊和對云資源的惡意利用；對用戶身份進(jìn)行統(tǒng)一授權(quán)認(rèn)證，實(shí)行多重身份認(rèn)證機(jī)制。

（3）訪問控制

將傳統(tǒng)自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制方法結(jié)合，按照實(shí)際業(yè)務(wù)需求設(shè)計(jì)訪問控制粒度級別，實(shí)現(xiàn)云模式下鐵路信息系統(tǒng)用戶與資源的訪問控制。

3.1.5 云終端安全設(shè)計(jì)

云終端應(yīng)部署安全軟件，包括防病毒軟件、個(gè)人防火墻以及IPS等；應(yīng)使用自動更新功能，定期完成瀏覽器及操作系統(tǒng)補(bǔ)丁更新工作，降低終端用戶被攻擊的風(fēng)險(xiǎn)。

3.1.6 云計(jì)算安全管理中心設(shè)計(jì)

（1）統(tǒng)一的安全監(jiān)控管理

對云計(jì)算系統(tǒng)下的所有軟硬件資產(chǎn)、各類事件，包括系統(tǒng)程序、應(yīng)用程序、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、云終端和攻擊事件、入侵事件、網(wǎng)絡(luò)事件、報(bào)警事件等，實(shí)施統(tǒng)一監(jiān)控管理，確保系統(tǒng)資源及事件狀態(tài)的可見性和可管控性。

（2）統(tǒng)一的認(rèn)證及權(quán)限管理

構(gòu)建基于CA證書的PKI認(rèn)證系統(tǒng)，對用戶認(rèn)證過程實(shí)施統(tǒng)一管理，既保證信息傳輸時(shí)的機(jī)密性、完整性和不可抵賴性，又保證認(rèn)證過程的一致性；對系統(tǒng)所有用戶權(quán)限實(shí)施統(tǒng)一集中管理，細(xì)化訪問控制粒度，僅授予用戶完成自身業(yè)務(wù)所需的最小權(quán)限。

（3）統(tǒng)一的脆弱性管理

云計(jì)算平臺應(yīng)具備統(tǒng)一的脆弱性管理功能，實(shí)現(xiàn)自動脆弱性掃描分析和補(bǔ)救修復(fù)。構(gòu)建基于云計(jì)算平臺的脆弱性掃描分析引擎和脆弱性補(bǔ)救修復(fù)引擎以及病毒漏洞庫和修復(fù)補(bǔ)丁庫，定期對云計(jì)算系統(tǒng)的脆弱點(diǎn)進(jìn)行掃描分析，并按照統(tǒng)一的補(bǔ)丁分發(fā)策略對系統(tǒng)的脆弱點(diǎn)進(jìn)行修復(fù)。

（4）統(tǒng)一的安全審計(jì)管理

對系統(tǒng)內(nèi)各類日志的采集、傳輸、存儲、分析、處理、分類、展示等過程實(shí)現(xiàn)統(tǒng)一管理，采取措施防止日志遭到未預(yù)期的刪除、修改和覆蓋，日志內(nèi)容包括日期時(shí)間、事件類型、用戶、事件操作結(jié)果等字段，保證日志具有對不良事件發(fā)生后的審查能力。

3.2 “兩重保障”安全設(shè)計(jì)

云計(jì)算信息系統(tǒng)使用“兩重保障”進(jìn)行災(zāi)備建設(shè)，包括在同城建立的2個(gè)云存儲中心和異地建立的數(shù)據(jù)備份災(zāi)備中心，如圖4所示。

圖4 云計(jì)算數(shù)據(jù)中心災(zāi)備方案

同城的2個(gè)云存儲中心可分別獨(dú)立承擔(dān)系統(tǒng)運(yùn)行，雙中心利用高速鏈路完成實(shí)時(shí)數(shù)據(jù)同步，日常情況下可同時(shí)對外提供服務(wù)，并能切換運(yùn)行。異地建立的云存儲災(zāi)備中心，使用異步復(fù)制方式同步雙中心數(shù)據(jù)，當(dāng)同城雙中心全部故障后，可進(jìn)行災(zāi)備應(yīng)急切換，使用備份數(shù)據(jù)恢復(fù)業(yè)務(wù)，實(shí)現(xiàn)在基本不丟失數(shù)據(jù)前提下確保業(yè)務(wù)連續(xù)運(yùn)行。

4 結(jié)束語

本文依據(jù)云計(jì)算技術(shù)特點(diǎn)，提出了一種基于“一個(gè)中心、五個(gè)層面，兩重保障”策略的云計(jì)算安全設(shè)計(jì)方案，該方案與云計(jì)算系統(tǒng)分層架構(gòu)特點(diǎn)相適應(yīng)，為云計(jì)算技術(shù)的全面安全防護(hù)提供了一種新思路。

[1] 周澤巖，馬超群，付衛(wèi)霖，張 彥. 鐵路客票系統(tǒng)云計(jì)算模式及其安全策略的研究 [C] . 第八屆中國智能交通年會優(yōu)秀論文集—軌道交通，2013.

[2] Jay Heiser, Mark Nicolett. Assessing the Security Risks of Cloud Computing [R] . Stanford:Gartner Group, 2008.

[3] Security Guidance for Critical Areas of Focus in Cloud Computing [EB/OL]. https://cloudsecurityalliance.org/guidance/csaguide. v3.0.pdf, 2011.

[4] ISO/IEC TR 13335. Guidelines for the Management of IT Security [S]. 1998.

[5] Winn Schwartau. Time Based Security[M]. Interpact Pr, 1999.

[6] 中華人民共和國國家標(biāo)準(zhǔn). GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求 [S] .北京：中國標(biāo)準(zhǔn) 出版社，2008.

[7] 中國電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2012.

[8] 康東明，吳建國，于微偉.面向服務(wù)災(zāi)備平臺的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2011，33（4）：145-149.

責(zé)任編輯 陳 蓉

Security Protection Scheme for Cloud Computing Systems

TANG Fei1,2, ZHANG Yan2
( 1.Postgraduate Department, China Academy of Railway Sciences, Beijing 100081, China; 2.Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

After analyzing security risks and combining with the layered architecture of cloud computing systems, this paper proposed a policy-based cloud computing security scheme with one core, f i ve f i elds and two safeguards. This scheme was adapted to layered architecture of cloud computing systems, which was provided a new approach to security protection of cloud computing.

security of cloud computing; security risks of cloud computing; architecture of Cloud Computing Systems; security protection for cloud computing

U29-39

A

1005-8451（2015）02-0071-05

2014-10-08

湯 飛，在讀碩士研究生；張 彥，研究員。