鐵路云計(jì)算安全標(biāo)準(zhǔn)研究與實(shí)踐

紀(jì) 方，田海波，劉鵬宇

（中國鐵路信息科技集團(tuán)有限公司，北京 100844）

云計(jì)算自2006年提出至今，已成為各國信息化建設(shè)的首選。隨著云計(jì)算的發(fā)展，相應(yīng)的安全性問題逐漸引起關(guān)注。為進(jìn)一步提升安全風(fēng)控能力，各國標(biāo)準(zhǔn)化組織和機(jī)構(gòu)都展開了云計(jì)算安全標(biāo)準(zhǔn)化工作。本論文重點(diǎn)研究了我國網(wǎng)絡(luò)安全等級保護(hù)（簡稱：等級保護(hù)）中的云計(jì)算安全擴(kuò)展要求，闡述了鐵路云計(jì)算安全實(shí)踐情況和中國國家鐵路集團(tuán)有限公司（簡稱：國鐵集團(tuán)）主數(shù)據(jù)中心云平臺(tái)的等級保護(hù)測評情況。

1 云計(jì)算安全標(biāo)準(zhǔn)研究概況

1.1 國外云計(jì)算安全標(biāo)準(zhǔn)研究概況

2011年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院在NIST SP800-53 的基礎(chǔ)上，根據(jù)云計(jì)算的特點(diǎn)制定了《Fed-RAMP 安全控制措施》，給出了云計(jì)算環(huán)境下需增強(qiáng)的安全控制措施[1]。2012年，歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布了《云計(jì)算–信息安全收益、風(fēng)險(xiǎn)和建議》，整理了云計(jì)算面臨的安全風(fēng)險(xiǎn)，并在同年發(fā)布了《云計(jì)算合同安全服務(wù)水平監(jiān)測指南》，制定了反應(yīng)服務(wù)等級協(xié)議運(yùn)行情況的8 項(xiàng)指標(biāo)[2]。2015年，國際標(biāo)準(zhǔn)化組織ISO 下設(shè)技術(shù)委員會(huì)發(fā)布了《ISO-27 017：2015 云服務(wù)信息安全管理體系》[3]，提出了7 個(gè)針對云服務(wù)的控制措施。同年，云安全聯(lián)盟（CSA）發(fā)布了云安全控制矩陣CCM 3.0，其中包含16 個(gè)控制域，136 條控制措施，并于2017年發(fā)布了《云計(jì)算關(guān)鍵領(lǐng)域安全指南 V4.0》，對云計(jì)算安全中的14 個(gè)關(guān)鍵領(lǐng)域進(jìn)行了詳細(xì)描述[4]。

1.2 國內(nèi)云計(jì)算標(biāo)準(zhǔn)研究概況

近幾年，國內(nèi)云計(jì)算安全的宏觀政策環(huán)境已逐漸完善。2014年，針對政府部門的云計(jì)算安全需求，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室發(fā)布了《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》[5]，制定了使用云計(jì)算服務(wù)時(shí)的安全管理要求；并針對云服務(wù)商發(fā)布了《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》[6]，制定了云服務(wù)商應(yīng)具備的安全能力要求。

2019年5月，國家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》，標(biāo)志著等級保護(hù)正式進(jìn)入2.0 時(shí)代。該標(biāo)準(zhǔn)已于2019年12月開始正式實(shí)行。

2 等級保護(hù)研究

2017年《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布實(shí)施，其中，第二十一條和第三十一條均明確了等級保護(hù)制度的適用范圍

2.1 等級保護(hù)1.0 與2.0 的對比

新發(fā)布的等級保護(hù)2.0 在10年前的1.0 版本基礎(chǔ)上進(jìn)行了優(yōu)化，提出了面向云計(jì)算等新技術(shù)的安全擴(kuò)展要求；從被動(dòng)防御向事前防御、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變；用可信計(jì)算等新的防護(hù)要求，取代了過時(shí)的測評項(xiàng)。等級保護(hù)2.0 與1.0 版本相比主要有以下3 個(gè)特點(diǎn)。

（1）將云計(jì)算等新興技術(shù)的安全擴(kuò)展要求列入了標(biāo)準(zhǔn)范圍。云計(jì)算擴(kuò)展要求與安全通用要求有較多的重合子項(xiàng)，但也有其獨(dú)有的條例，如圖1 所示。

圖1 云計(jì)算等級保護(hù)技術(shù)要求

（2）依據(jù)等級保護(hù)標(biāo)準(zhǔn)，分層面采取“一個(gè)中心，三重防御”的體系架構(gòu)，同時(shí)，應(yīng)考慮構(gòu)建縱深的防御體系，采取互補(bǔ)的安全措施，保證一致的安全強(qiáng)度，建立統(tǒng)一的支撐平臺(tái)，進(jìn)行集中安全管理的總體性要求[7]，保證等級保護(hù)對象的整體安全防護(hù)能力。

（3）等級保護(hù)2.0 中強(qiáng)化了對可信驗(yàn)證技術(shù)的使用要求，把其加入到等級保護(hù)的各個(gè)級別中，如表1 所示，并提出了在各個(gè)關(guān)鍵環(huán)節(jié)的可信驗(yàn)證要求[8]。不同等級保護(hù)級別的可信驗(yàn)證對應(yīng)不同的監(jiān)管要求、保護(hù)級和可信保障。

結(jié)合以上3 個(gè)要求，從技術(shù)和管理兩方面進(jìn)行安全設(shè)計(jì)，做到可信、可控、可管。

表1 等級保護(hù)可信驗(yàn)證技術(shù)要求

2.2 第三級云計(jì)算安全擴(kuò)展要求研究

云計(jì)算安全擴(kuò)展要求是等級保護(hù)2.0 的重要內(nèi)容之一[9]。等級保護(hù)2.0 明確了云計(jì)算的定義和應(yīng)用場景，基于基礎(chǔ)設(shè)施即服務(wù)（IaaS，Infrastructure as a Service）、平臺(tái)即服務(wù)（PaaS，Platform as a Service）和軟件即服務(wù)（SaaS，Software as a Service）3 種不同的服務(wù)模式，提出云服務(wù)客戶和云服務(wù)商的控制范圍和安全責(zé)任邊界，并針對其安全責(zé)任邊界提出相應(yīng)的安全要求。

等級保護(hù)有5 個(gè)不同的安全級別，本文主要研究等級保護(hù)第三級的安全要求，原因有以下兩點(diǎn)：

（1）等級保護(hù)中要求“應(yīng)根據(jù)云平臺(tái)承載或?qū)⒁休d的等級保護(hù)對象的重要程度確定其安全保護(hù)等級，原則上應(yīng)不低于其承載的等級保護(hù)對象的安全保護(hù)等級”[10]。第三級云平臺(tái)可滿足大多數(shù)云平臺(tái)應(yīng)用的安全要求。

（2）在等級保護(hù)云計(jì)算安全擴(kuò)展要求中，第四級和第三級的主要差異在于，第四級業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)劃分獨(dú)立的資源池，承載第四級應(yīng)用的云系統(tǒng)應(yīng)為獨(dú)立系統(tǒng)，采取獨(dú)立的防護(hù)機(jī)制。其他安全要求與第三級相比無過多增加。

第三級云計(jì)算安全擴(kuò)展要求中包括7 個(gè)安全類、16 個(gè)安全控制點(diǎn)和46 個(gè)測評項(xiàng)，如表2 所示。

與通用要求相比，技術(shù)安全類仍是“一個(gè)中心，三重防御”的體系架構(gòu)。管理安全類則縮減為兩個(gè)，主要對云服務(wù)商選擇提出相應(yīng)要求。

在具體測評項(xiàng)中，針對云計(jì)算特性增加了保護(hù)對象，包括云平臺(tái)、虛擬網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)邊界、虛擬機(jī)、宿主機(jī)、虛擬機(jī)鏡像和快照等。

結(jié)合等級保護(hù)附錄D 中的責(zé)任分擔(dān)模型可知，云服務(wù)商與云用戶有著各自的安全責(zé)任邊界，在不同云服務(wù)模式下，兩者的控制范圍和安全責(zé)任邊界如圖2 所示。

表2 第三級云計(jì)算安全擴(kuò)展要求指標(biāo)

圖2 云計(jì)算服務(wù)模式與控制范圍的關(guān)系

擴(kuò)展要求中提出云服務(wù)商應(yīng)對云用戶在安全上進(jìn)行必要的幫助，包括：協(xié)助進(jìn)行業(yè)務(wù)遷移，支持自行加解密，提供接口或開放性安全服務(wù)。同時(shí)，對云服務(wù)商的操作在安全上進(jìn)行了一定的限制，規(guī)定應(yīng)通過審計(jì)、雙向驗(yàn)證等手段確保云服務(wù)商對云用戶進(jìn)行敏感操作的安全性和不可抵賴性。

3 鐵路云計(jì)算安全等級保護(hù)進(jìn)展情況

3.1 鐵路云計(jì)算安全現(xiàn)狀

鐵路行業(yè)云計(jì)算安全經(jīng)過多年建設(shè)，初見成效，主要體現(xiàn)在以下兩方面。

（1）云計(jì)算安全防護(hù)能力不斷提升。2018年，鐵路業(yè)務(wù)網(wǎng)絡(luò)安全一體化保障工程（簡稱：鐵網(wǎng)護(hù)欄工程）開始實(shí)施，其中包含面向云計(jì)算環(huán)境的應(yīng)用安全保障系統(tǒng)模塊，主要用于提升云計(jì)算安全防護(hù)能力。

（2）等級保護(hù)工作穩(wěn)步推進(jìn)。國鐵集團(tuán)目前已經(jīng)完成國鐵集團(tuán)主數(shù)據(jù)中心（簡稱：主數(shù)據(jù)中心）云平臺(tái)的定級、備案、測評工作。

3.2 鐵路云計(jì)算安全建設(shè)情況

主數(shù)據(jù)中心于2018年6月開始設(shè)計(jì)、建設(shè)，采用云計(jì)算架構(gòu)，其云平臺(tái)定為等級保護(hù)第三級。

根據(jù)分區(qū)、分域原則，結(jié)合鐵路信息系統(tǒng)的實(shí)際網(wǎng)絡(luò)情況，構(gòu)建了主數(shù)據(jù)中心安全架構(gòu)，如圖3所示。主數(shù)據(jù)中心網(wǎng)絡(luò)可分為業(yè)務(wù)區(qū)和管理區(qū)。外部服務(wù)網(wǎng)與互聯(lián)網(wǎng)之間做邊界防護(hù)。內(nèi)部服務(wù)網(wǎng)與鐵路局間網(wǎng)絡(luò)做邊界防護(hù)。內(nèi)外部服務(wù)網(wǎng)之間由內(nèi)外網(wǎng)安全平臺(tái)進(jìn)行邊界防護(hù)。

3.3 鐵路云計(jì)算安全等級保護(hù)測評情況

國鐵集團(tuán)在2019年遵循等級保護(hù)制度，完成了對主數(shù)據(jù)中心云平臺(tái)的等級保護(hù)定級、備案和測評等工作。主數(shù)據(jù)中心云平臺(tái)針對其面臨的主要安全風(fēng)險(xiǎn)，采取相應(yīng)的安全控制措施，基本滿足了等級保護(hù)第三級中的安全要求[11]。

（1）基礎(chǔ)環(huán)境方面。主數(shù)據(jù)中心云平臺(tái)所在機(jī)房具有防風(fēng)、防雨、防震等基本能力，機(jī)房配備有視頻監(jiān)控系統(tǒng)、自動(dòng)消防系統(tǒng)、電力供應(yīng)系統(tǒng)等安全防護(hù)措施。網(wǎng)絡(luò)、主機(jī)層面采取充分的冗余措施，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等均在上線前按照要求統(tǒng)一進(jìn)行基線配置核查和漏洞掃描，并根據(jù)檢查結(jié)果進(jìn)行安全加固。

圖3 主數(shù)據(jù)中心安全架構(gòu)

（2）安全控制措施方面。主數(shù)據(jù)中心云平臺(tái)按照等級保護(hù)責(zé)任分擔(dān)模型，在基礎(chǔ)結(jié)構(gòu)安全中部署有終端安全防護(hù)、主機(jī)安全防護(hù)、補(bǔ)丁管理系統(tǒng)、日志審計(jì)等安全控制措施；在縱深防御體系中部署有邊界網(wǎng)絡(luò)安全設(shè)備、虛擬化網(wǎng)絡(luò)安全設(shè)備、主機(jī)防病毒、運(yùn)維審計(jì)、漏洞掃描等安全措施；在積極防御體系中部署有態(tài)勢感知平臺(tái)、集中安全管理平臺(tái)。符合等級保護(hù)中“一個(gè)中心，三重防御”的安全要求。

（3）安全責(zé)任制方面。主數(shù)據(jù)中心云平臺(tái)的安全管理機(jī)構(gòu)較為完善，責(zé)任明確，成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，制定了《信息安全方針策略》，明確定義部門及各個(gè)工作崗位的職責(zé)[12]。

（4）管理制度體系方面。建立了由安全策略、管理制度、操作規(guī)程等構(gòu)成的安全管理制度體系，制定了信息安全工作的總體方針和安全策略，確定了機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等[13]。制度涵蓋崗位配置與職責(zé)、人員管理與培訓(xùn)考核、軟件開發(fā)、工程實(shí)施、資產(chǎn)介質(zhì)管理、備份與恢復(fù)管理、變更與應(yīng)急管理等。

（5）系統(tǒng)規(guī)劃與建設(shè)方面。制定了《中國鐵路總公司主數(shù)據(jù)中心項(xiàng)目信息系統(tǒng)集成工程施工圖》，包含云平臺(tái)的安全設(shè)計(jì)方案及工程實(shí)施方案，內(nèi)容覆蓋云平臺(tái)基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)字證書等方面。

4 結(jié)束語

本文分析了國內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)的研究情況，并對我國新發(fā)布的等級保護(hù)制度中的云計(jì)算安全擴(kuò)展要求進(jìn)行了重點(diǎn)研究?；诘燃壉Ｗo(hù)第三級要求，研究了云服務(wù)商與云用戶的相互關(guān)系，結(jié)合主數(shù)據(jù)中心云平臺(tái)實(shí)際情況，對基礎(chǔ)環(huán)境、安全控制措施、安全責(zé)任、管理制度體系等方面進(jìn)行了全面分析與論述。

目前，本文只研究了主數(shù)據(jù)中心云平臺(tái)的測評情況，根據(jù)等級保護(hù)定級的要求，主數(shù)據(jù)中心云平臺(tái)承載的信息系統(tǒng)同樣需要滿足等級保護(hù)的相應(yīng)要求。未來可結(jié)合具體的鐵路信息系統(tǒng)，對云用戶端等級保護(hù)的建設(shè)和測評情況進(jìn)行深入研究，為鐵路云計(jì)算安全合規(guī)性建設(shè)提供參考。