《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 解決方案 > 云計算安全國家標(biāo)準(zhǔn)研究

云計算安全國家標(biāo)準(zhǔn)研究

2015-02-04
作者:姚 遠(yuǎn),,左曉棟
來源:來源:電子技術(shù)應(yīng)用2014年第8期

     隨著越來越多的政府部門將數(shù)據(jù)和信息遷移到云計算平臺,為了防范其中的風(fēng)險,網(wǎng)絡(luò)安全主管部門正在建立政府部門云計算安全審查制度,并啟動了云計算安全國家標(biāo)準(zhǔn)的編制工作。根據(jù)國家標(biāo)準(zhǔn)委的項目安排,,中國電子下屬的中國信息安全研究院牽頭起草該標(biāo)準(zhǔn)。經(jīng)過一年多的努力,標(biāo)準(zhǔn)報批稿已經(jīng)完成并報國家標(biāo)準(zhǔn)委,。
1 國外云計算安全標(biāo)準(zhǔn)研究制定情況
    美國已要求為聯(lián)邦政府提供的云計算服務(wù)必須通過安全審查。為此美國啟動了FedRAMP(聯(lián)邦風(fēng)險及授權(quán)管理)項目,其審查標(biāo)準(zhǔn)是《云計算安全基線》[1],。該基線來源于NIST SP800-53《美國聯(lián)邦系統(tǒng)安全控制的建議》,,共提出了17類安全要求。截至2014年6月,,美國已有17項云計算服務(wù)通過了安全審查,,29項在審查過程中,7項在等待審查,。

 


    國際標(biāo)準(zhǔn)化組織ISO下的SC27(第27分技術(shù)委員會)于2010年10月啟動了“云計算安全和隱私”研究項目,。目前,SC27已基本確定了云計算安全和隱私的概念體系架構(gòu),,圍繞云安全管理,、隱私保護、供應(yīng)鏈安全提出了國際標(biāo)準(zhǔn)草案[2],。
    CSA(云安全聯(lián)盟)是近年來成立的一個非盈利性組織,,目前已獲得業(yè)界廣泛認(rèn)可。CSA于2011年11月發(fā)布了《云安全指南》第3版,,對云安全的14個關(guān)鍵域進(jìn)行了深入闡述[3],。基于此,,CSA已開展了自愿性的云安全認(rèn)證項目,。
    此外,ITU(國際電聯(lián)),、ENISA(歐洲網(wǎng)絡(luò)與信息安全局)也都提出了云安全研究報告,,對云計算安全標(biāo)準(zhǔn)化工作產(chǎn)生了積極影響。
2 云計算安全風(fēng)險分析
    對云計算的安全風(fēng)險分析報告已有很多,,以美國NIST(國家標(biāo)準(zhǔn)和技術(shù)研究院)的研究最具代表性[4],。我們的研究是立足于國家網(wǎng)絡(luò)安全審查背景,主要關(guān)注攻擊者通過云計算平臺控制,、破壞政府部門敏感數(shù)據(jù)和重要業(yè)務(wù)的風(fēng)險,。我們在標(biāo)準(zhǔn)中總結(jié)了云計算給政府客戶帶來的7類安全風(fēng)險。
    (1)客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱
    傳統(tǒng)模式下,,客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心,,在客戶的直接管理和控制下。在云計算環(huán)境里,,客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上,,失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力,反而是云服務(wù)商擁有了訪問,、利用或操控客戶數(shù)據(jù)的能力,。
    (2)客戶與云服務(wù)商之間的責(zé)任難以界定
    傳統(tǒng)模式下,按照誰主管誰負(fù)責(zé),、誰運行誰負(fù)責(zé)的原則,,信息安全責(zé)任相對清楚。在云計算模式下,,云計算平臺的管理和運行主體與數(shù)據(jù)安全的責(zé)任主體不同,,相互之間的責(zé)任如何界定,缺乏明確的規(guī)定,。
    (3)可能產(chǎn)生司法管轄權(quán)問題
    在云計算環(huán)境里,,數(shù)據(jù)的實際存儲位置往往不受客戶控制,客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心,。一些外國政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑,,甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)。此類事件已經(jīng)發(fā)生多起,。
    (4)數(shù)據(jù)所有權(quán)保障面臨風(fēng)險
    客戶將數(shù)據(jù)存放在云計算平臺上,,沒有云服務(wù)商的配合很難獨自將數(shù)據(jù)安全遷出。在服務(wù)終止或發(fā)生糾紛時,,云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾,,損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。云服務(wù)商通過對客戶的資源消耗,、通訊流量,、繳費等數(shù)據(jù)的收集統(tǒng)計,可以獲取客戶的大量相關(guān)信息,,對這些信息的歸屬往往沒有明確規(guī)定,,容易引起糾紛。
    (5)數(shù)據(jù)保護更加困難
    云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算資源,,虛擬機之間的隔離和防護容易受到攻擊,,跨虛擬機的非授權(quán)數(shù)據(jù)訪問風(fēng)險突出。隨著復(fù)雜性的增加,,云計算平臺實施有效的數(shù)據(jù)保護措施將更加困難,,客戶數(shù)據(jù)被未授權(quán)訪問、篡改,、泄露和丟失的風(fēng)險增大,。
    (6)數(shù)據(jù)殘留
    存儲客戶數(shù)據(jù)的存儲介質(zhì)由云服務(wù)商擁有,客戶不能直接管理和控制存儲介質(zhì),。當(dāng)客戶退出云計算服務(wù)時,,云服務(wù)商應(yīng)該完全刪除客戶的數(shù)據(jù),包括備份數(shù)據(jù)和運行過程中產(chǎn)生的客戶相關(guān)數(shù)據(jù),。目前,,還缺乏有效的機制,、標(biāo)準(zhǔn)或工具來驗證云服務(wù)商是否實施了完全刪除操作,客戶退出云計算服務(wù)后其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上,。
    (7)容易產(chǎn)生對云服務(wù)商的過度依賴
    由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口,,不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移,同樣也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心,。云服務(wù)商出于自身利益考慮,,往往不愿意為客戶的數(shù)據(jù)和業(yè)務(wù)提供可遷移能力。
3 難點及對策
    云計算模式的特殊性決定了其安全標(biāo)準(zhǔn)與傳統(tǒng)標(biāo)準(zhǔn)有很大差異,,需作出特殊考慮,。
3.1 云安全某些問題還沒有形成妥善的解決方案
    云計算的發(fā)展應(yīng)用速度顯然快于安全,這也是導(dǎo)致云計算安全事件頻出的原因,。特別是,,云環(huán)境下的加密解決方案仍不成熟。在2013年中美信息安全技術(shù)和標(biāo)準(zhǔn)圓桌論壇上,,美國一些專家甚至向我們直陳,,云加密不可能實現(xiàn)。此外,,云遷移也缺少解決方案,,目前業(yè)界也無一例云遷移的成功案例。在這種情況下,,標(biāo)準(zhǔn)要既能規(guī)范服務(wù)商的責(zé)任,,又要具有現(xiàn)實可操作性,還應(yīng)為將來的發(fā)展留下空間,。為此,,標(biāo)準(zhǔn)對此類問題只提出原則性要求,即要求服務(wù)商能夠支持相關(guān)方案的部署,,但不限制具體的實現(xiàn)方式,。
3.2 安全措施與安全利益不一致
    云服務(wù)商的某些安全措施可能與客戶的安全利益不一致。在云環(huán)境下,,一些看似很自然的安全要求反而可能會有損于安全,。如審計要求,這是任何一個系統(tǒng)中的必備安全功能,。但如果云平臺上政府機關(guān)工作人員利用辦公軟件起草的文件名,、通過郵件發(fā)送的數(shù)據(jù)量等都被審計下來,且被云服務(wù)商所知,,那么這顯然會造成敏感數(shù)據(jù)的泄露,。對此類問題,我們的解決辦法是將安全要求的顆粒度進(jìn)一步細(xì)分,,審計內(nèi)容要經(jīng)過客戶與云服務(wù)商進(jìn)行協(xié)商,,且嚴(yán)格規(guī)范審計管理員行為,。同時,還要增加對審計管理員的審計角色,,并由客戶擔(dān)任,。
3.3 安全責(zé)任邊界問題
    云計算平臺及系統(tǒng)的安全由客戶和服務(wù)商共同負(fù)責(zé),安全責(zé)任邊界在不同模式下不一樣,。云計算環(huán)境的安全性由云服務(wù)商和客戶共同保障。云計算有軟件即服務(wù)(SaaS),、平臺即服務(wù)(PaaS),、基礎(chǔ)設(shè)施即服務(wù)(IaaS)3種主要服務(wù)模式。不同服務(wù)模式下云服務(wù)商和客戶對計算資源的控制范圍不同,,控制范圍則決定了安全責(zé)任的邊界,。圖1對此作了分析。


    如圖1所示,,圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的控制范圍,,具體為:
    (1)在SaaS模式下,客戶僅需要承擔(dān)自身數(shù)據(jù)安全,、客戶端安全等相關(guān)責(zé)任,;云服務(wù)商承擔(dān)其他安全責(zé)任。
    (2)在PaaS模式下,,軟件平臺層的安全責(zé)任由客戶和云服務(wù)商分擔(dān),。客戶負(fù)責(zé)自己開發(fā)和部署的應(yīng)用及其運行環(huán)境的安全,,其他安全由云服務(wù)商負(fù)責(zé),。
    (3)在IaaS模式下,虛擬化計算資源層的安全責(zé)任由客戶和云服務(wù)商分擔(dān),??蛻糌?fù)責(zé)自己部署的操作系統(tǒng)、運行環(huán)境和應(yīng)用的安全,,對這些資源的操作,、更新、配置的安全和可靠性負(fù)責(zé),。云服務(wù)商負(fù)責(zé)虛擬機監(jiān)視器及底層資源的安全,。
    通過以上分析,我們在標(biāo)準(zhǔn)中提供了指南,,指導(dǎo)客戶根據(jù)具體的服務(wù)模式選擇不同的安全責(zé)任邊界,。
4 網(wǎng)絡(luò)安全審查要點分析
    我們對《云計算安全能力要求》的定位是,這是一部面向云的網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn),,而不是一部云計算安全解決方案的白皮書,。因此,,標(biāo)準(zhǔn)的關(guān)注點應(yīng)該反映國家正在制定的網(wǎng)絡(luò)安全審查制度的主旨。
    今年5月,,我國政府宣布,,為維護國家網(wǎng)絡(luò)安全、保障中國用戶合法利益,,我國即將推出網(wǎng)絡(luò)安全審查制度[5],。審查的重點在于該產(chǎn)品的安全性和可控性,旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便,,非法控制,、干擾、中斷用戶系統(tǒng),,非法收集,、存儲、處理和利用用戶有關(guān)信息,。由此可見,,僅僅對產(chǎn)品和服務(wù)的功能進(jìn)行關(guān)注,已經(jīng)難以排除產(chǎn)品和服務(wù)供應(yīng)商可能實施惡意行為的風(fēng)險,。
    因此,,為了反映國家網(wǎng)絡(luò)安全審查關(guān)切,標(biāo)準(zhǔn)的重點不是云計算服務(wù)的安全功能,,而是云服務(wù)商的安全保障(Assurance)能力,。安全保障最初來源于TCSEC(《可信計算機系統(tǒng)安全評估準(zhǔn)則》),指系統(tǒng)中的安全組件能夠按預(yù)期運轉(zhuǎn)的能力[6],。ITSEC(《信息技術(shù)安全評估準(zhǔn)則》)則指出,,安全保障是對安全功能的正確性和有效性的一種度量[7]。CC(《信息技術(shù)安全通用評估準(zhǔn)則》)則將安全保障分為6類:開發(fā)類,;指導(dǎo)性文檔類,;生命周期支持類;測試類,;脆弱性評定類,;組合類[8]。
    從目前網(wǎng)絡(luò)安全對抗形勢看,,上述安全保障要求只涉及開發(fā)和運行安全,,也還不能客觀反映云服務(wù)商是否具有主觀惡意。為此,,我們重點關(guān)注云服務(wù)商的背景以及愿意配合審查的意愿,,并在標(biāo)準(zhǔn)中重點提出了以下要求:
    (1)對云服務(wù)商的采購過程提出要求,確保下級供應(yīng)商在設(shè)計開發(fā)系統(tǒng)時采用了安全工程方法,。
    (2)要求云服務(wù)商對外部系統(tǒng)服務(wù)供應(yīng)商進(jìn)行審核,,包括實施人員背景調(diào)查,、關(guān)注外部系統(tǒng)服務(wù)供應(yīng)商的資本變化等。
    (3)對云服務(wù)商或其系統(tǒng)開發(fā)商的開發(fā)過程,、標(biāo)準(zhǔn)和工具提出要求,。
    (4)要求云服務(wù)商對不再受廠商支持的軟硬件提出解決方案。防止Windows XP停止升級服務(wù)等事件發(fā)生,。
    (5)要求云服務(wù)商不得購買特定地區(qū)或企業(yè)產(chǎn)品,,且優(yōu)先選擇透明度好的開發(fā)商。
5 云計算安全技術(shù)對策
    針對已分析的云計算安全風(fēng)險,,我們研究并提出了10類安全措施,,每一類安全要求包含若干項具體要求。10類安全要求分別是:
    (1)系統(tǒng)開發(fā)與供應(yīng)鏈安全:云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全措施,。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息,,配合客戶完成對信息系統(tǒng)和業(yè)務(wù)的管理,。
    (2)系統(tǒng)與通信保護:云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視,、控制和保護網(wǎng)絡(luò)通信,并采用結(jié)構(gòu)化設(shè)計,、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性,。
    (3)訪問控制:云服務(wù)商應(yīng)嚴(yán)格保護云計算平臺的客戶數(shù)據(jù),在允許人員,、進(jìn)程,、設(shè)備訪問云計算平臺之前,應(yīng)對其進(jìn)行身份標(biāo)識及鑒別,,并限制其可執(zhí)行的操作和使用的功能,。
    (4)配置管理:云服務(wù)商應(yīng)對云計算平臺進(jìn)行配置管理,在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺(包括硬件,、軟件,、文檔等)的基線配置和詳細(xì)清單,并設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù),。
    (5)維護:云服務(wù)商應(yīng)維護好云計算平臺設(shè)施和軟件系統(tǒng),,并對維護所使用的工具、技術(shù),、機制以及維護人員進(jìn)行有效的控制,,且做好相關(guān)記錄。
    (6)應(yīng)急響應(yīng)與災(zāi)備:云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃,,并定期演練,,確保在緊急情況下重要信息資源的可用性。
    (7)審計:云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求,,制定可審計事件清單,,明確審計記錄內(nèi)容,。
    (7)風(fēng)險評估與持續(xù)監(jiān)控:云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時,對云計算平臺進(jìn)行風(fēng)險評估,,確保云計算平臺的安全風(fēng)險處于可接受水平,。
    (9)安全組織與人員:云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員(包括供應(yīng)商人員)上崗時具備履行其安全責(zé)任的素質(zhì)和能力,還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對其進(jìn)行審查并定期復(fù)查,,在人員調(diào)動或離職時履行安全程序,,對于違反安全規(guī)定的人員進(jìn)行處罰。
    (10)物理與環(huán)境保護:云服務(wù)商應(yīng)確保機房位于中國境內(nèi),,機房選址,、設(shè)計、供電,、消防,、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機房進(jìn)行監(jiān)控,,嚴(yán)格限制各類人員與運行中的云計算平臺設(shè)備進(jìn)行物理接觸,,確需接觸的,需通過云服務(wù)商的明確授權(quán),。
    《云計算服務(wù)安全能力要求》的重要意義在于,,這不但是我國首部云計算安全國家標(biāo)準(zhǔn),也是我國首部網(wǎng)絡(luò)安全審查的技術(shù)支撐文件,。這部標(biāo)準(zhǔn)反映了網(wǎng)絡(luò)安全審查工作的重點關(guān)注:不但涉及安全功能,,還涉及保障過程;不但涉及產(chǎn)品和服務(wù)自身,,還涉及開發(fā)商,、供應(yīng)商的背景。其最終是為了全面反映云服務(wù)的可信性,、可控性和透明性,。目前,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正在組織開展對此標(biāo)準(zhǔn)的試點,,試點獲得的經(jīng)驗將有利于標(biāo)準(zhǔn)的進(jìn)一步完善,。
參考文獻(xiàn)
[1] FedRAMP.Security Controls Baseline Version 1.1[Z].2012.
[2] ISO/IEC 27017—Information technology—Security tech-
     niques—Security in cloud computing(Draft)[S].2010.
[3] CSA(Cloud Security Alliance).Guidelines on Security and
     Privacy in Public Cloud Computing V3.0[Z].2011.
[4] NIST.SP 800-144:Guidelines on Security and Privacy in
     Public Cloud Computing[Z].2011.
[5] 中國將出臺網(wǎng)絡(luò)安全審查制度[EB/OL].(2014-05-22)
     [2014-06-08].http://news.xinhuanet.com/2014-05/22/
     c_1110811034.htm.
[6] National Computer Security Center.Trusted Computer System
     Evaluation Criteria,5200.28-STD,,1985.
[7] Information Technology Security Evaluation Criteria(ITSEC).
     Preliminary Harmonised Criteria[Z].1991.
[8] Common Criteria for Information Technology Security Evalua-
     tion,,Part 1-Part 3,Version 2.1[Z].CCIMB-99-031,,1999.
(收稿日期:2014-06-08)  
作者簡介:
    姚遠(yuǎn),,男,1981年生,工程師,,主要研究方向:信息安全,。
    左曉棟,男,,1975年生,,高級工程師,主要研究方向:信息安全,。
云計算安全國家標(biāo)準(zhǔn)研究

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。