1. 引言
自Google 公司提出云計算的概念以來,各類與云計算相關的服務紛紛涌現,隨之而來的就是人們對云安全問題的關注。云安全的策略構想是:使用者越多,每個使用者就越安全,因為如此龐大的用戶群,足以覆蓋互聯網的每個角落,只要某個網站被掛馬或某個新木馬病毒出現,就會立刻被截獲。
云安全發展迅速,各主流安全廠商紛紛推出了云平臺安全解決方案。2010 年10 月22 日,工信部和國家發改委聯合發布的通知明確,在北京、上海、深圳、杭州、無錫等五個城市先行開展云計算服務創新發展試點示范工作。相信在兩部委的推動下,云計算在中國的市場規模有望在3 年內突破1 萬億元,產業鏈上下游的多家上市公司將迎來發展機遇。
云計算主要具有六種特點。
1)超大規模。“云計算管理系統”具有相當的規模,Google的云計算已經擁有100 多萬臺服務器,Amazon、IBM、微軟、Yahoo 等的“云”均擁有幾十萬臺服務器。“云”能賦予用戶前所未有的計算能力。
2)虛擬化。云計算支持用戶在任意位置、使用各種終端獲取應用服務。所請求的資源來自“云”,而不是固定的有形的實體。應用在“云”中某處運行,但實際上用戶無需了解、也不用擔心應用運行的具體位置。
3)高可靠性。“云”使用了數據多副本容錯、計算節點同構可互換等措施來保障服務的高可靠性,使用云計算比使用本地計算機可靠。
4)通用性。云計算不針對特定的應用,在“云”的支撐下可以構造出千變萬化的應用,同一個“云”可以同時支撐不同的應用運行。
5)高可擴展性。“云”的規模可以動態伸縮,滿足應用和用戶規模增長的需要。
6)廉價。由于“云”的特殊容錯措施可以采用極其廉價的節點來構成云,因此用戶可以充分享受“云”的低成本優勢。
目前各家所提的云安全解決方案,大都根據自己企業對云平臺安全的理解,結合本企業專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個整體,急需一套針對云平臺的整體保護技術方案。針對云平臺的信息安全整體保護技術的研究的是大勢所趨,整體保護技術體系的建立,必將使云計算得以更加健康、有序的發展。
2. 安全體系架構
2.1 面臨的問題
要想建立安全的云平臺,并使之正常運行,應解決四大問題:第一,需要合理的安全體系架構;第二,需要專業的技術和經驗;第三,需要大量的資金和技術投入;第四,應是開放的系統,且需要大量合作伙伴的加入。
合理的安全體系架構。只有擁有合理的安全體系架構,才能對云平臺中上出現的病毒、木馬、掛馬網站以及非法行為有最靈敏的感知能力,并在第一時間運用成熟的技術,對其進行最有針對性的處理。
專業的技術和經驗。反病毒技術的積累、配置安全策略的經驗,對安全事件第一時間的感知能力,都是云平臺安全得以有力維護的保障。大量專利技術、虛擬機、智能主動防御、大規模并行運算等技術的綜合運用,使得“云安全”系統能夠及時處理海量的上報信息并將處理結果共享給“云安全”系統的每個成員。
大量的資金和技術投入。云安全環境較之傳統的安全環境更為復雜,系統也更加龐大,安全設備、軟件具有覆蓋面廣、性能要求高等特點。因此要建立安全的云平臺,充足的資金和技術投入是不可或缺的。
開放的系統以及大量合作伙伴的加入。云安全環境應該是個開放性的系統,其“探針”與所有軟件完全兼容,即使用戶使用不同廠商的軟件,也應該可以享受“云安全”系統帶來的成果。而加入的廠家越多,云安全系統的覆蓋能力也應該越強。邏輯云安全環境如圖1 所示。
圖1 邏輯云安全環境
2.2 安全體系架構
云平臺下信息安全整體保護體系建設的目標是依據云計算的特點,建立滿足云計算的建設要求,能夠涵蓋云計算的基礎設施、業務支撐、運維管理、安全保障與智能服務等五方面內容的信息安全整體保障體系。云平臺的信息安全整體保護體系還應體現等級保護的思想,依據《信息系統等級保護安全技術設計要求》, 本文將云平臺的安全保護環境從邏輯上分為云安全計算環境、云安全區域邊界、云安全通信網絡以及云安全管理中心四個部分,提出一套針對云平臺的信息安全整體保護技術方案,如圖2 所示。
圖2 云平臺信息安全整體保護技術方案
云計算平臺和傳統計算平臺的最大區別在于計算環境,云平臺的計算環境是通過網絡把多個成本相對較低的計算實體整合而形成的一個具有強大計算能力的系統,這樣的一個系統勢必比傳統意義上的計算環境要更加復雜。對云平臺的計算環境的保護也是云平臺下信息安全整體保護體系的重中之重。
強大、方便的云計算服務是通過客戶端最終展現給用戶的,在云計算環境完成了客戶所要求的工作或服務后,這些工作、服務的成果應通過一個安全的途徑傳輸并最終展現在客戶端上。云計算環境下的通信網絡就是保證云計算環境到客戶端、云計算環境之間進行信息傳輸以及實施安全策略的部件。
區域邊界是云計算環境與云通信網絡實現邊界連接以及實施安全策略的相關部件。真正的云計算環境應是可控的,在這一可控的云區域與其外部的不可控區域之間,應遵循一套規則來確保只有通過認證的用戶才能管理和使用云,從而保證云計算環境區域的安全。
云計算環境內部的各個部件的正常運轉、數據在云內的安全傳輸、云計算環境以及云區域邊界上的安全機制的執行,都需要進行統一的安全管理。操作、使用云服務,也應遵守一定的管理規章制度。云計算環境下的安全管理就是一套對云計算環境內部以及云邊界的安全機制實施統一管理,并控制操作、使用云計算服務的行為的手段。
3. 安全技術要求
3.1 安全性分析
云計算時代的到來,主要給信息安全帶來了三方面挑戰。首先是云計算環境的安全防護問題。在云計算環境中,用戶的數據以共享和動態的方式被保存,這使其安全性面臨巨大風險。如果無法有效限制云計算的服務提供商對數據的訪問權,則服務商便可以隨意處置用戶的數據,甚至可能產生倒賣行為,造成用戶數據權利的損失。而對于這類行為,用戶往往難于追查和取證。
其次,云計算還將對現有安全體系產生沖擊。云計算為用戶提供了更強大的計算和存儲能力,但云服務商很難識別用戶行為的目的,無法區分用戶的所要求的云計算服務是否合法。而對于一些用戶的非法請求所造成的潛在風險是現有安全體系很難應對的。
最后則是來自安全監管方面的問題。在云計算時代如何對信息內容進行有效地監管和引導,是關系到社會穩定和國家安全的關鍵問題。現有的監管與預警體系主要針對傳統的Web等開放式應用,而云計算則給監管體系的建立帶來新的挑戰,需要對現有監管體系進行重新定義。
下面,就針對邏輯劃分的云計算環境、云區域邊界、云通信網絡以及云安全管理中心等部分,對它們的安全性逐一地進行分析。
在云計算環境中,主要應關注數據存儲安全、數據訪問安全以及系統安全等方面的問題。眾所周知,數據往往是用戶最重要的財富。云計算環境中所存儲和使用的數據對于數據所有者以外的其他云計算用戶是保密的,但這些數據對于提供云計算的服務提供商而言卻是可見的。隨著基于云計算的服務日益發展,云計算服務往往由多家服務商共同提供,這就使得多家服務提供商共同承擔風險的現象不可避免。
用戶的機密文件經過層層傳遞,在無形中就增大了安全風險。這就要求云計算環境中要具有針對數據和系統的保護措施,如訪問控制和身份認證機制等,以保證用戶數據和系統的安全性。云安全計算環境的構建,是整個云平臺安全中最重要的部分。
在云區域邊界中,主要應關注外部環境到云平臺的接入安全、數據通過邊界的安全等。云區域邊界是云環境和非云環境之間的一道屏障,對于云區域邊界的建設,應能保證外部進入到云平臺中的數據是安全無害的,外部對云平臺的訪問應是合規的,同時,對于經內部云計算服務得出的數據,應能夠無損的經由云區域邊界到外部環境中去。云安全區域邊界中要具有針對數據進出和訪問控制的相關安全措施,從而保證數據交換和訪問的安全性。
在云通信網絡中,主要應關注通信網絡提供服務的安全保護、通信網絡傳輸以及交換數據的整體安全保護等。云通信網絡的任務是安全、完整地將用戶的請求或云計算服務的結果傳遞到目的地。因此數據通過云通信網絡傳遞的過程中,應采取相應安全機制,從而保證所傳遞的數據不被篡改或竊取,并實現傳遞數據的加密。
應該指出的是,不同于傳統信息系統整體保護框架中的通信網絡,在本文所提出的整體保護框架中,云通信網絡實際上由兩部分組成,一部分為云計算環境內部的互聯通信網絡,另一部分為通過云區域邊界連接到云計算環境外部的通信網絡。內部的安全通信網絡可納入云安全管理中心統一管理,外部的安全通信網絡并不納入云安全管理中心進行統一管理,而是遵循自己的安全機制,并作為云平臺下信息安全整體保護的一個重要組成部分。
云安全管理中心主要負責監視和記錄云平臺中重要的服務器、網絡設備以及所有應用系統的安全狀況。對所涉及的計算機、網絡以及應用系統的安全機制實施統一管理、統一監控、統一審計、協同防護,發揮安全機制的整體作用,提高安全防護的質量和水平。
一個云平臺中可能提供多種不同的云計算服務,云安全管理中心應對云計算環境內的通信網絡、主機和應用軟件的運行狀況、網絡流量、用戶行為等進行監測和報警,形成記錄并妥善保存;應對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理;組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,并采取必要的應對措施。
表1 給出了傳統平臺與云平臺在各邏輯區域的主要安全要點對比情況。
表1 傳統平臺與云平臺安全要點對比
3.2 設計目標
云安全機制可通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序以及各類非法行為的最新信息,推送到服務端進行自動分析和處理,再把各類安全問題的解決方案依照不同需要,有針對性的分發到各類客戶端上。在這樣的體系中,每個客戶端本身都是整個安全體系一個探針,這使得整個云平臺,成為一個具有整體防護能力的安全環境,從而達到云安全的目標。
云平臺下的信息安全整體保護,仍應遵循“一個中心,三維防護”的理念。建立以云計算環境安全為基礎,以云區域邊界安全、云通信網絡安全為保障,以云安全管理中心為核心的信息安全整體保障體系。
應用云安全技術識別和查殺病毒、阻斷非法行為,將不再僅僅依靠本地硬盤中的病毒庫或安全策略,而是依靠龐大的網絡服務,對系統實行實時信息采集、分析以及處理的整體保護。整個云平臺就像是一個巨大的軟件,每個參與者都為云平臺做出自己的一份貢獻。因此參與者越多,每個參與者就越安全,整個云平臺就會越安全。
對于一般的云安全環境,建議按照等級保護三級系統的要求標準進行建設。設計策略是:在等級保護第二級系統安全保護環境的基礎上,構造非形式化的安全策略模型,對主、客體進行安全標記,表明主、客體的級別分類和非級別分類的組合,以此為基礎,按照強制訪問控制規則實現對主體及其客體的訪問控制。
其中云安全計算環境應著重從以下八個方面進行設計:用戶身份鑒別,自主訪問控制,標記和強制訪問控制,系統安全審計,用戶數據完整性保護,用戶數據保密性保護,客體安全重用以及程序可執行保護;云安全區域邊界應著重從以下四個方面進行設計:區域邊界訪問控制,區域邊界包過濾,區域邊界安全審計以及區域邊界完整性保護;云安全通信網絡應著重從以下四個方面進行設計:通信網絡安全審計,通信網絡數據傳輸完整性保護,通信網絡數據傳輸保密性保護以及通信網絡可信接入保護;云安全管理中心應著重從系統管理,安全管理以及審計管理三個方面進行設計。
3.3 技術設計要求
3.3.1 云安全計算環境設計要求
對于云安全計算環境,主要從以下技術點進行設計:用戶身份鑒別,自主訪問控制,標記和強制訪問控制,系統安全審計,用戶數據完整性保護,用戶數據保密性保護,客體安全重用以及程序可信執行保護。
用戶身份鑒別應支持用戶標識和用戶鑒別。在對每一個用戶注冊到系統時,采用用戶名和用戶標識符標識用戶身份,并確保在系統整個生存周期用戶標識的唯一性;在每次用戶登錄系統時,采用受安全管理中心控制的口令、令牌、基于生物特征、數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別,并對鑒別數據進行保密性和完整性保護。
自主訪問控制應在安全策略控制范圍內,使用戶對其創建的客體具有相應的訪問操作權限,并能將這些權限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級,客體的粒度為文件或數據庫表級和(或)記錄或字段級。自主訪問操作包括對客體的創建、讀、寫、修改和刪除等。
標記和強制訪問控制在對安全管理員進行身份鑒別和權限控制的基礎上,應由安全管理員通過特定操作界面對主、客體進行安全標記;應按安全標記和強制訪問控制規則,對確定主體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級,客體的粒度為文件或數據庫表級。應確保安全計算環境內的所有主、客體具有一致的標記信息,并實施相同的強制訪問控制規則。云計算環境訪問控制工作流程如圖3 所示。
圖3 云計算環境訪問控制工作流程
系統安全審計應記錄系統的相關安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結果等內容。應提供審計記錄查詢、分類、分析和存儲保護;確保對特定安全事件進行報警;確保審計記錄不被破壞或非授權訪問。應為安全管理中心提供接口;對不能由系統獨立處理的安全事件,提供由授權主體調用的接口。
用戶數據完整性保護應采用密碼等技術支持的完整性校驗機制,檢驗存儲和處理的用戶數據的完整性,以發現其完整性是否被破壞,且在其受到破壞時能對重要數據進行恢復。
用戶數據保密性保護應采用密碼等技術支持的保密性保護機制,對在安全計算環境中存儲和處理的用戶數據進行保密性保護。
客體安全重用應采用具有安全客體復用功能的系統軟件或具有相應功能的信息技術產品,對用戶使用的客體資源,在這些客體資源重新分配前,對其原使用者的信息進行清除,以確保信息不被泄露。
程序可信執行保護可構建從操作系統到上層應用的信任鏈,以實現系統運行過程中可執行程序的完整性檢驗,防范惡意代碼等攻擊,并在檢測到其完整性受到破壞時采取措施恢復,例如采用可信計算等技術。
3.3.2 云安全區域邊界設計要求
對于云安全區域邊界,主要從以下技術點進行設計:區域邊界訪問控制,區域邊界包過濾,區域邊界安全審計以及區域邊界完整性保護。
區域邊界訪問控制應在安全區域邊界設置自主和強制訪問控制機制,實施相應的訪問控制策略,對進出安全區域邊界的數據信息進行控制,阻止非授權訪問。
區域邊界包過濾應根據區域邊界安全控制策略,通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等,確定是否允許該數據包進出該區域邊界。
區域邊界安全審計應在安全區域邊界設置審計機制,由安全管理中心集中管理,并對確認的違規行為及時報警。
區域邊界完整性保護應在區域邊界設置探測器,例如外接探測軟件,探測非法外聯和入侵行為,并及時報告安全管理中心。云區域邊界子系統如圖4 所示。
圖4 云區域邊界子系統
3.3.3 云安全通信網絡設計要求
對于云安全通信網絡,主要從以下技術點進行設計:通信網絡數據傳輸完整性保護,通信網絡數據傳輸保密性保護以及通信網絡可信接入保護。
通信網絡數據傳輸完整性保護應采用由密碼等技術支持的完整性校驗機制,以實現通信網絡數據傳輸完整性保護,并在發現完整性被破壞時進行恢復。
通信網絡數據傳輸保密性保護應采用由密碼等技術支持的保密性保護機制,以實現通信網絡數據傳輸保密性保護。
通信網絡可信接入保護可采用由密碼等技術支持的可信網絡連接機制,通過對連接到通信網絡的設備進行可信檢驗,確保接入通信網絡的設備真實可信,防止設備的非法接入。云平臺安全通信網絡模塊組成如圖5 所示。
圖5 云平臺安全通信網絡模塊
3.3.4 云安全管理中心設計要求
對于云安全管理中心,主要從以下技術點進行設計:系統管理,安全管理以及審計管理。
系統管理應通過系統管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份管理、系統資源配置、系統加載和啟動、系統運行的異常處理以及支持管理本地和(或)異地災難備份與恢復等。應對系統管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行系統管理操作,并對這些操作進行審計。
圖6 云安全管理子系統
安全管理應通過安全管理員對系統中的主體、客體進行統一標記,對主體進行授權,配置一致的安全策略。應對安全管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全管理操作,并進行審計。
審計管理應通過安全審計員對分布在系統各個組成部分的安全審計機制進行集中管理,包括根據安全審計策略對審計記錄進行分類;提供按時間段開啟和關閉相應類型的安全審計機制;對各類審計記錄進行存儲、管理和查詢等。對審計記錄應進行分析,并根據分析結果進行處理。應對安全審計員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作。云平臺安全管理子系統如圖6 所示。
4. 結論
一個國家和地區的計算能力現在已經成為一種重要的戰略資源,不亞于石油和其他戰略物資的重要性。云計算就是把普通的服務器或者個人計算機連接起來以獲得超級計算機即高性能和高可用性計算機的功能,而成本更低。云計算模式必定能大大提高科學計算機和商業計算能力。目前云計算應用正處在高速發展階段,在發展應用的同時,應該充分考慮云平臺安全方面的要求。
目前各家提供云計算服務的廠商都是結合自己的特長,各自遵循自己的安全解決方案,大都只是針對某一方面的安全,缺乏統一的整體安全解決方案。本文根據云計算的特點,結合信息安全等級保護體系要求,提出了一套云平臺下信息安全整體保護技術框架,將云平臺從邏輯上分為云計算環境,云區域邊界,云通信網絡以及云安全管理中心四個部分,強調對云平臺的整體保護,以“面”的視角保證云平臺的整體安全。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:云平臺信息安全整體保護技術研究
相關文章
