论文浅谈云计算环境下的等级保护思路由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“云计算等级保护方案”。
浅谈云计算环境下的等级保护思路
林XX
(XXX科技有限公司,XXXX 570102)
摘要: 通过对云计算的技术特征与常规网络集成系统的对比分析,结合当前对云计算环境下的信息安全等级保护测评过程中遇到的问题,针对云建设、云转移、云运维过程中数据保护的重要性,找出其中的差异性,从政策、标准等技术层面进行分析,并提出适用于当前环境的参考建议,进一步分析云计算等新技术的出现给目前的等级保护测评体系所带来的冲击,以及在提供相关支撑的政策、标准、法律法规等安全技术的进一步研究完善的必要性。关键字:云计算;虚拟云;云安全
Summary: To reinforce the importance of protecting data in the proce of Cloud Construction, Cloud Transfer and Cloud OPS and to highlight the diversity among it, we comparatively analyze differences between technical characters of Cloud Computing and traditional integrated network systems to find solutions based on the consideration of situations that may occur in the proce of Measuring of the level protection of Cloud Computing information.From a multi-dimensional and technical perspective, include but no least from policy and standard, we apply analyses and offer advices which suit the contemporary situation most.Furthermore, we’re also devoted to enhancing the neceity of researching and perfecting safe practice in relevant aspects as policies, standards and laws by analyzing forces that affect the stability of the existing Measurement of level protection System with the emerging of new technology like Cloud Computing, and better solving the problems we’re encountering with in building up a safer environment for the development of Cloud Computing.Keyword: cloud computing;virtual cloud;Cloud security
1.引言
随着美国棱镜门等其他泄密事件以来,信息安全受到越来越多的国家和企业的重视,特别是2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。并与当年7月6日将《中华人民共和国网络安全法(草案)》向社会公开征求意见,可见国家层面对信息安全的足够重视。
云计算经过一段时间的技术积累和发展,已经在各行各业中广泛推广和应用,并得到业界的普遍认可。作为一项新生事物,云计算的推广刚开始也没有想象的那么顺畅,同样遇到了很多困难,其中遇到的最大困难是如何消除用户对云安全问题的担忧。Gartner、IDC 等专业机构的调研也表明,云安全问题已成为阻碍云计算推广的最大障碍。鉴于云计算的复杂性,它的安全问题也应该是一个涵盖技术、管理,甚至法律、法规的综合体。云计算环境下,信息系统的安全就成了一个不容忽视、不可绕过的严峻问题。如何保障云计算环境下安全问题,依然值得我们深入研究。
2.云计算
当前,IT业界同行对于云计算的解读并未形成统一的意见。简单地讲,云计算可以从技术层面和运营服务层面来分析云计算的概念。从技术层面分析,云计算其实并不是一项技术,而是代表一系列计算方式发展趋势的综合概念,是并行计算(parallel computing)、分布式计算(distributed computing)和网格计算(grid computing)的发展。事实上,云计算不是指一项独立的技术,而是在从C/S 结构、分布式计算到网格计算、效用计算、SaaS 的计算方式发展大趋势下,一系列包括虚拟化、按需服务在内的概念总和。从运营服务层面分析,云计算只是提供了一种按需租用计算能力的服务,对于外部使用者来说,这种服务就像天上的云一样透明,不需要考虑自身服务性能的问题,也不对其背后的实现细节进行过于关注,从而可以集中精力专注于自身业务,有利于企业单位业务创新创新及节约成本。对整个IT行业来说,这是一次革命性的创新。可以说,云计算已经不仅仅只是技术的进一步发展,更是一种业务模式的创新发展。
有一个简单的公式可以很直观地表达云计算的服务关系: 云计算 =(基础设施+ 平台+ 软件+ 数据)* 服务。
从该公式我们可以很直观地看到,云计算通过基础措施、平台、软件、数据构成技术层面的基础环境,既然有技术,相应的还要具备良好的服务,两者是互利的相乘关系。简单来讲,就是在同等技术条件下,所能提供的服务越好,云计算的价值就会越大。
3.云环境下的等级保护问题探讨
综上所述,云计算在实际的推广中遇到的最大阻碍是用户对云安全问题的担忧。数据依托云端来处理和存储,有利于用户节约成本,但用户本身数据的敏感性及重要程度同样会加深用户对云安全的担忧。所以用户在选择云计算服务的时候首先会考虑其安全性。对于普通用户来讲,云计算的安全性在技术层面因其本身技术能力问题,不会做过于关注,普通用户关注点在于云计算所提供服务的安全合规性是否达到相关政策标准。当前,针对云计算服务的安全合规性规范主要由等级保护、ISO27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,但与其他政策规范文件一样,当前的等级保护相关标准面临新的挑战。
传统的等级保护标准主要面向静态的具有固定边界的网络系统集成环境。然而,对于云计算而言,因其技术特点,安全等级保护对象和保护区域边界都具有动态性。在具有动态性的网络环境中如何来确定等级保护对象及保护业务,是当前云计算下的信息安全等级保护需要面临的一个挑战。
云计算环境下,由于等级保护的对象和保护区域边界具有动态性,相应的业务数据可能会在数据中心和物理主机之间移动,导致用户无法知道数据真实存储位置。另外,云平台引入了虚拟抽象层,其覆盖范围可以涵盖不同区域的物理设施,传统的等级保护并没有考虑这种情况。由于云计算的技术特点,在云计算安全保障中,仅仅采用传统的安全技术是不够的,每一项新的技术都会带来新的安全风险,虚拟化也不例外。当前,对云计算技术还不够成熟,在等级保护测评层面缺少针对性的指导性的规范文件,对云计算的安全防护和保障技术测评已成为云环境等级保护的一大难题。
当前,信息系统安全等级保护作为应对云计算安全的重要手段,能一定程度降低云计算所面临的安全风险。对于云计算环境下的等级保护建设问题,可参照GB/T 22239-2008《信息系统安全等级保护基本要求》和GB/T25070-2010《信息系统安全等级保护设计技术要求》,按照传统模式把云计算从用户网络接入、访问应用边界、计算环境和管理平台进行划分,构建在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架,并按照GB/17859《计算机信息系统安全保护等级划分准则》评估准则进行评估。
4.云计算环境下等级保护工作开展
云计算虚拟化技术相对于传统的基于物理计算资源的信息技术而言,在数据备份和快速恢复方面具有很强的优势,通过以上分析得知,每一项新技术的诞生都会带来相应的安全问题,云计算也不例外。按照信息系统安全等级保护测评的基本要求框架,参照传统模式可以将云计算虚拟化新技术所带来的新的安全问题归类到五大技术保障类和五大管理保障类中,根据云虚拟化技术特点增加相应的控制点中的要求项,为虚拟机技术的安全评估提供新的思路。
在物理安全层面,可采用全备份结合增量备份的方式对云计算数据中心的数据、应用、配置等关键资源进行异地备份和恢复校验,确保在异常灾难情况下实现数据中心的数据及服务的快速恢复。在备份冗余层面,可采用冗余设备、冗余链路、准入控制等安全措施保障云计算虚拟化终端接入的链路安全性和可靠性。在物理安全区域规划和数据存放层面,应根据用户等级、数据敏感性、应用重要性、流量特征的不同,对虚拟化环境中的存储区域进行模块化的划分,并在数据的使用、存储和传输过程中,在没有任何加密及控制的情况下与其他客户数据进行隔离控制,以支持虚拟化环境下数据的安全存放及资源的快速分配、调度和回收。
在网络安全层面,应对物理网络和虚拟网络的划分在相关标准文件的规范下提供明确的文档说明,并符合实际的数据传输安全策略。在应用“瘦客户端”的模式下,应在“瘦客户端”与虚拟VM之间,虚拟VM与应用之间部署防火墙,同时采用虚拟防火墙与物理防火墙相结合的方式,并配置严格的安全访问控制策略,确保每个层的网络流量都是可控的并且是安全的。边界完整性检查的范围不仅仅只是物理网络层面,还应包括虚拟网络。在同一台物理主机上的虚拟VM之间的通信进行入侵检测,避免因某一台虚拟机存在高危安全漏洞,被攻击者成功利用并被入侵该虚拟机,并以此为跳板,跳过其他安全防护设备,入侵同一服务器同一网段内的其他重要虚拟机。在用户终端和数据中心虚拟机之间的网络通信过程采用可靠的技术手段进行加密传输,防止通过过程被窃听,造成数据被篡改或破坏。同时,部署相应的网络安全运维平台对整个物理网络和虚拟网络的运行情况进行有效监控和管理,以便及时发现系统异常并及时处理。
在主机安全层面,应根据物理主机性能情况,以及虚拟机实际使用需求,为每一台虚拟机分配适当的资源空间,并设置相应的资源使用上限,避免虚拟机受到拒绝服务攻击(Ddos),影响到其他虚拟机的正常使用。以及应通过相应的备份及更新策略,保障虚拟上的病毒库代码及系统补丁保持最新。最重要一点,针对物理硬盘中的重要镜像文件,要重点保护及数据备份,避免受到恶意代码攻击及破坏。
在应用安全层面,这里要重点说的一点是关于Hypervisor的访问控制。在整个虚拟环境中,Hypervisor是核心的管理控制程序,负责对硬件资源的调度,对整个系统的安全稳定运行至关重要,有必要将Hypervisor作为一个应用进行单独的安全性核查,且Hypervisor本身的安全等级不能低于整个系统的安全等级。
在数据安全及恢复备份层面,针对数据安全的解决方案通常是采取数据隔离、数据加密、数据切分、数据屏蔽、数据删除技术来保障数据的完整性、保密性和可用性。在数据完整性和可用性方面,可重点对虚拟镜像文件进行保护,采取相关可靠技术对镜像文件的完整性进行检测,并在检测发现异常的情况下能及时进行快速恢复。在数据保密性层面,可采用可靠的加密技术手段对虚拟镜像文件进行加密保存及传输,确保镜像文件的安全。
在五个管理安全层面(安全管理制度、安全管理机构、人员安全管理、系统建设管理以及系统建设管理),安全管理体系的侧重点跟传统的等级保护模式无太大区别,可在原来的基础上针对虚拟化的技术特点做进一步的完善和提升,并制定符合用户实际情况的管理制度。最重要的一点是已制定的相关安全管理制度要切实落地执行,不能当成政绩工程,以及要在实际的执行过程中根据记录信息进一步完善制度体系。
5.结论
云计算的发展趋势已经有目共睹,并且已经成为当前IT 界关注的热点话题,但云计算的发展也面临许多关键性问题,而安全问题首当其冲,并且随着云计算的不断普及和推广,其重要性呈现逐步上升趋势,已成为制约云计算发展的核心因素。因此,对云计算的安全进行系统研究显得迫切而重要。
在传统的网络,经过长久发展的网络依然没有绝对安全的网络,“没有绝对的安全,只有相对的安全”,云计算的安全环境也一样,没有绝对安全的网络,但我们需要做的是使用一些现有的有效云安全技术来让我们的云服务能够达到相对的安全。对于云提供商,这是一个值得着重专研的一项技术。通过这些技术来促使信息安全建设与信息化建设同步发展。
云计算仍然是一个不断发展的技术,它在带来我们诸多好处的同时,也带来了不少的隐忧。不过新的云安全技术也在水涨船高,在信息系统安全等级保护测评层面,相关单位也在抓紧制定针对性云计算的等级保护标准,以及去年发布的《中华人民共和国网络安全法(草案)》,从技术及政策标准为云计算环境提供着越来越高级别的防护。从以上种种迹象表明,不论是公用网络还是私用网络,云计算技术带给我们的不仅仅是方便,而且比以往任何时候都更加安全,可以说云计算技术或许是当前乃至未来最好的信息系统安全解决方案。关键在于我们怎么去完善云计算的安全防护体系。
6.参考文献
[1]王春海.VMware虚拟化与云计算应用案例详解[M].北京:中国铁道出版社,2013 [2]马博峰.VMware,Citrix和Microsoft虚拟化技术详解与应用实践[M].北京:机械工业出版社,2012 [3]马博峰.VMware,Citrix和Microsoft虚拟化技术详解与应用实践[M].北京:机械工业出版社,2012 [4] 《虚拟化与云计算》小组.虚拟化与云计算[M].北京:电子工业出版社,2009 [5] [美] Michael J.Kavis(迈克尔·J·凯维斯)著;陈志伟 译.让云落地:云计算服务模式(SaaS、PaaS和IaaS)设计决策[M].北京:电子工业出版社,2016 [6] [美] Thomas ERL,[英] Zaigham Mahmood,[巴西] Ricardo Puttini 著;龚奕利,贺莲,胡创 译.云计算:概念、技术与架构[M].北京:机械工业出版社,2014 [7] 陈驰,于晶.信息安全国家重点实验室信息安全丛书:云计算安全体系[M].北京:科学出版社,2014 [8] 李智勇,李蒙,周悦.大数据时代的云安全[M].北京:化学工业出版社,2016 [9] 赵国祥,刘小茵,李尧.云计算信息安全管理 CSA C-STAR实施指南[M].北京:电子工业出版社,2015 [10] [美] 戴夫.沙克尔福 著;张小云 等 译.虚拟化安全解决方案[M].北京:机械工业出版社,2015 [11] 陈晓峰,马建峰,李晖,李进.云计算安全[M].北京:科学出版社,2016 [12] 李虹,李昊.可信可信云安全的关键技术与实现[M].北京:人民邮电出版社,2010 [13] 邢利荣,何晓龙.从虚拟化到云计算[M].北京:电子工业出版社,2013 [14] Brendan Gregg(布兰登·格雷格)著;徐章宁,吴寒思,陈磊 译.性能之巅:洞悉系统、企业与云计算[M].北京:电子工业出版社,2015 [15] GB/T 22239-2008信息系统安全等级保护基本要求[S].北京.2008
浅谈云计算环境下的隐私权保护崔之武 孟光胜(河南科技大学林业职业学院河南洛阳 471002)[摘要] 云计算是当前计算机领域的一个热点。它的出现宣告了低成本提供超级计算时代的......
分析论文:云计算环境下大数据1大数据处理流程基本的大数据的处理流程可以分成数据采集、数据处理与集成、数据分析和数据解释4个阶段。首先获取数据源的数据,因为在数据源端的......
刀豆文库小编为你整合推荐4篇分析论文:云计算环境下大数据,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
随着计算机技术和互联网技术的发展和应用,网络信息和数据量正在高速增长。传统的并行计算、分布计算等方式由于各种限制,往往都难以满足实际的计算要求。基于此,采用基于云计算......
刀豆文库小编为你整合推荐3篇云计算环境下大规模数据处理技术研究论文,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
