云計算等新環(huán)境下的信息安全等級保護

◆劉 磊

（北京得安信息技術(shù)有限公司 北京 100032）

云計算等新環(huán)境下的信息安全等級保護

◆劉 磊

（北京得安信息技術(shù)有限公司 北京 100032）

云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新型計算環(huán)境對信息安全等級保護提出了新的需求，本文從新型環(huán)境下的信息安全等級保護的安全需求出發(fā)，介紹了云計算等新型環(huán)境的安全保障技術(shù)和方案，可用于這些新環(huán)境下的信息安全等級保護的實施和評測。

信息安全等級保護；可信計算；云計算；密碼技術(shù)

0 前言

信息安全等級保護[1]是對信息系統(tǒng)進行分等級安全保護、分等級監(jiān)督，按照定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查等5個環(huán)節(jié)，開展系統(tǒng)性的等級保護工作。

云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控系統(tǒng)等新型計算環(huán)境、應(yīng)用環(huán)境的不斷發(fā)展，對信息安全等級保護的技術(shù)體系和管理體系等提出了新的需求，需要針對新的計算環(huán)境，設(shè)計、提出對應(yīng)的新技術(shù)、新方案，滿足這些新環(huán)境下的等級保護的需求。

本文從新型環(huán)境下的信息安全等級保護的安全需求出發(fā)，采用可信計算等技術(shù)，分析了云計算、大數(shù)據(jù)等新型環(huán)境的安全保障技術(shù)和方案，可用于這些新型計算環(huán)境下的信息安全等級保護的實施和評測。

1 信息安全等級保護的要求

根據(jù)《信息系統(tǒng)安全等級保護基本要求》[1，5]，分為基本技術(shù)要求和基本管理要求兩大類，重視管理和技術(shù)相結(jié)合。其中，技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)等5個方面；管理要求分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運行管理等5個方面。

《信息安全等級保護管理辦法》（公通字[2007]43號）[2]規(guī)定，第三級以上信息系統(tǒng)應(yīng)選擇使用我國自主研發(fā)、核心技術(shù)具有自主知識產(chǎn)權(quán)的信息安全產(chǎn)品。采用密碼技術(shù)進行等級保護的單位，應(yīng)遵照《信息安全等級保護商用密碼管理辦法》[3]、《信息安全等級保護商用密碼技術(shù)要求》[4]等規(guī)定。

2 新型計算環(huán)境下的信息安全等級保護

在“Security+ 2015金融信息安全峰會”上，中國工程院院士沈昌祥介紹了新型計算環(huán)境下的信息安全等級保護工作，他表示雖然隨著云計算與大數(shù)據(jù)的應(yīng)用，傳統(tǒng)的安全管理的區(qū)域邊界被模糊化了，但是通過構(gòu)建可信計算安全主體結(jié)構(gòu)，仍然可以用等級保護制度進行安全防護體系建設(shè)。

沈昌祥院士[6，7]提出：可信計算是指計算運算的同時進行安全防護，使計算結(jié)果總是與預(yù)期一樣，計算全程可測可控，不被干擾。可信計算體系結(jié)構(gòu)[6，7]以國產(chǎn)密碼體系為基礎(chǔ)，以可信平臺控制模塊為信任根，以可信網(wǎng)絡(luò)連接作為紐帶，為通用計算體系提供主動度量控制等服務(wù)，形成可信的雙體系結(jié)構(gòu)，保障信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境的整體安全。

在云計算等新型計算環(huán)境下，需要利用可信計算、網(wǎng)絡(luò)安全、系統(tǒng)安全和密碼技術(shù)，分析在不同環(huán)境下的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及其備份恢復(fù)等5個方面等技術(shù)防護措施和管理方案。

2.1 物理安全

物理安全[1，5]包括機房、應(yīng)用環(huán)境以及辦公場所等環(huán)境的物理安全設(shè)計，例如機房進出的物理訪問控制、防盜竊、防破壞、防雷擊、防火、防水、防潮、電力供應(yīng)安全、電磁防護等。

隨著公有云、私有云、混合云等云計算平臺、大數(shù)據(jù)平臺的發(fā)展，原來的各單位自己建設(shè)機房的方式，逐漸變成云平臺機房的方式，由云服務(wù)商統(tǒng)一負責(zé)機房設(shè)施、溫濕度控制、設(shè)備管理保護等服務(wù)，對物理安全的指標(biāo)要求更高，物理安全防護也由云服務(wù)商負責(zé)實施和管理。

2.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全[1，5]主要是對信息系統(tǒng)的通信網(wǎng)絡(luò)進行安全設(shè)計，包括通信過程中的訪問控制、身份鑒別、可靠性、安全審計、入侵防范、數(shù)據(jù)保密性、數(shù)據(jù)完整性等，可采用路由器、交換機、防火墻、IPSec/SSL VPN、防病毒系統(tǒng)、入侵檢測系統(tǒng)等實現(xiàn)網(wǎng)絡(luò)安全。

在云計算平臺中，虛擬化使得網(wǎng)絡(luò)邊界已不再是傳統(tǒng)意義上的物理主機或路由器之間的邊界，而是在云計算系統(tǒng)中虛擬化的網(wǎng)絡(luò)，應(yīng)在虛擬機之間、虛擬網(wǎng)絡(luò)邊界部署訪問控制系統(tǒng)。在移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控系統(tǒng)等環(huán)境中，各種手機、PAD、可穿戴終端、嵌入式設(shè)備等的網(wǎng)絡(luò)安全部署都具有各自的功能和性能特點。

2.3 主機安全

主機安全[1，5]主要是對信息系統(tǒng)的大型機、小型機、服務(wù)器、工作站、PC機進行安全設(shè)計，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、主機入侵防御系統(tǒng)、身份鑒別、訪問控制、安全審計等。

隨著云計算和大數(shù)據(jù)平臺的發(fā)展，服務(wù)端一般以集群式的服務(wù)器為主，單臺主機的安全防護演變?yōu)橐蕴摂M機和租戶為單位的安全防護措施。隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等系統(tǒng)的發(fā)展，對單個安全終端和手持設(shè)備的安全防護越來越重要。

2.4 應(yīng)用安全

應(yīng)用安全[1，5]主要是對應(yīng)用系統(tǒng)軟件、中間件平臺等進行安全設(shè)計，包括身份鑒別、訪問控制、安全標(biāo)記、安全審計、資源控制等。

在大數(shù)據(jù)平臺中，大數(shù)據(jù)應(yīng)用比較復(fù)雜，包括的安全方面比較多，應(yīng)對安全開發(fā)、接口安全、訪問控制、數(shù)據(jù)隱私等方面進行安全設(shè)計。在云計算環(huán)境中，每一個租戶擁有自己的應(yīng)用環(huán)境，應(yīng)保證不同租戶之間的應(yīng)用安全的隔離和保護。

2.5 數(shù)據(jù)安全及其備份恢復(fù)

數(shù)據(jù)是信息系統(tǒng)的核心資源。數(shù)據(jù)安全[1，5]主要是對數(shù)據(jù)的保密性、可靠性、完整性等進行安全設(shè)計，包括數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)加密、數(shù)據(jù)完整性驗證等方面。

在云計算和大數(shù)據(jù)平臺中，對數(shù)據(jù)安全的要求更高，數(shù)據(jù)的可靠性可用備份恢復(fù)系統(tǒng)、冗余設(shè)計、負載均衡等技術(shù)實現(xiàn)，數(shù)據(jù)保密性和完整性可用密碼技術(shù)實現(xiàn)，需要適合云計算環(huán)境的云密碼服務(wù)平臺，例如云劍—云安全平臺。

3 總結(jié)

信息安全等級保護是保護國家關(guān)鍵基礎(chǔ)設(shè)施和重要業(yè)務(wù)系統(tǒng)的基本制度，需要不斷發(fā)展和完善，實現(xiàn)對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工控系統(tǒng)等新型信息系統(tǒng)的安全保障，建立全方位的縱深安全防護體系。

[1]GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[S].中國標(biāo)準(zhǔn)出版社，2008.

[2]信息安全等級保護管理辦法（公通字[2007]43號）[R].公安部，2007.

[3]信息安全等級保護商用密碼管理辦法（國密局發(fā)[2007]11號）[R].國家密碼管理局，2007.

[4]信息安全等級保護商用密碼技術(shù)要求[R].國家密碼管理局，2007.

[5]郭啟全.信息安全等級保護政策培訓(xùn)教程（2016版）[M].北京：電子工業(yè)出版社，2016.

[6]沈昌祥.用可信計算構(gòu)筑網(wǎng)絡(luò)安全[J].求是，2015.

[7]沈昌祥.創(chuàng)新驅(qū)動 構(gòu)筑網(wǎng)絡(luò)強國技術(shù)保障[J].中國信息安全，2015.