云計算安全測評框架與實施

張 玲， 李 愷， 廖 云

(中國電子科技集團公司第三十研究所，四川成都610041)

0 引言

云計算是一種基于信息網(wǎng)絡，將信息技術資源以服務方式動態(tài)、彈性提供，用戶可按需使用的計算模式和服務模式，它代表了未來信息網(wǎng)絡發(fā)展的趨勢。但是在云計算技術與應用迅速發(fā)展的同時，也面臨著不少新的安全威脅和挑戰(zhàn)。2007年至2011年針對云計算系統(tǒng)的攻擊和風險漏洞在60個左右，而2012年則增至137個［1］。一些云計算的潛在用戶因云安全問題對其采取保守態(tài)度，云安全問題成為阻礙云計算產(chǎn)業(yè)發(fā)展的一個重要因素。

為保障和提高云應用安全，使云產(chǎn)業(yè)得到更大規(guī)模的發(fā)展與應用，必須有一套標準和規(guī)范的云計算安全評估體系，用于分析和指導解決云計算信息系統(tǒng)所遇到的各種安全問題。美國、歐盟等較早提出云計算安全保障要求。美國2011年12月啟動的FedRAMP項目，其中一項重要內(nèi)容就是制定一致的、獨立的第三方評估程序，對云服務提供商實施的安全控制措施進行評估［2］。而在我國，在強調(diào)自主可控信息安全戰(zhàn)略背景下，對云計算的安全測評更是提升到國家戰(zhàn)略層面，由國家主導進行，云安全測評成為云產(chǎn)業(yè)鏈中的重要一環(huán)。

在上述背景之下，本文從我國云計算產(chǎn)業(yè)的應用環(huán)境出發(fā)，首先分析和總結了當前云計算所面臨的安全威脅，由此建立了云安全測評框架，并對云安全測評實施過程中的關鍵技術進行了分析。

1 云面臨的威脅

云計算應用環(huán)境具有動態(tài)性、多租戶、虛擬化等特點，其面臨的安全威脅與傳統(tǒng)信息系統(tǒng)安全威脅有所不同。……