云服務(wù)安全風(fēng)險(xiǎn)評(píng)估方法研究

朱 璇，潘 平，毛新月

（貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽(yáng) 550025）

云服務(wù)安全風(fēng)險(xiǎn)評(píng)估方法研究

朱 璇，潘 平，毛新月

（貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽(yáng) 550025）

相對(duì)于傳統(tǒng)的信息系統(tǒng)而言，云服務(wù)具有虛擬化、流動(dòng)性、邊界模糊等特點(diǎn)，因此其安全性的評(píng)價(jià)也成為人們最關(guān)注的問題之一。于是，以云服務(wù)安全架構(gòu)為研究?jī)?nèi)容，分析云服務(wù)存在的主要威脅形式，以目前云服務(wù)安全風(fēng)險(xiǎn)評(píng)估體系結(jié)構(gòu)的分析為基礎(chǔ)，進(jìn)一步修補(bǔ)完善了評(píng)估體系，使云服務(wù)安全風(fēng)險(xiǎn)評(píng)估可以根據(jù)自身情況選擇適合的風(fēng)險(xiǎn)評(píng)估模型，以進(jìn)一步適用于風(fēng)險(xiǎn)評(píng)估實(shí)踐，提高云服務(wù)的安全性、風(fēng)險(xiǎn)管理能力以及業(yè)務(wù)連續(xù)性。

云服務(wù)；安全架構(gòu)；評(píng)估模型；風(fēng)險(xiǎn)評(píng)估

0 引 言

網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，促使傳統(tǒng)的網(wǎng)絡(luò)服務(wù)模式發(fā)生了根本性的變革，使難以解決的海量數(shù)據(jù)存儲(chǔ)與處理、軟硬件維護(hù)困難、應(yīng)用系統(tǒng)部署花費(fèi)高等一系列問題得以有效解決。這些方案源于Amazon、Google等公司創(chuàng)新性的“云計(jì)算”構(gòu)想與實(shí)現(xiàn)。云計(jì)算是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的拓展、增加、使用和交付模式，是通過互聯(lián)網(wǎng)來提供動(dòng)態(tài)易擴(kuò)展組件和服務(wù)，以資源虛擬化提高資源利用[1]。

云計(jì)算的出現(xiàn)“使得用戶獲得低成本、高性能、快速配置和海量化的計(jì)算服務(wù)成為可能，也使得中小企業(yè)甚至個(gè)人企業(yè)可以低成本實(shí)現(xiàn)信息化管理和協(xié)同工作”[2]。目前，很多傳統(tǒng)的IT廠商和互聯(lián)網(wǎng)提供商，如IBM、HP、Google、Amazon、阿里巴巴、百度等，都開始轉(zhuǎn)型成為云服務(wù)提供商。在云技術(shù)發(fā)展的同時(shí)，云中的數(shù)據(jù)存儲(chǔ)及處理的安全性，云服務(wù)提供商的可靠性、用戶的隱私性等如何保障，成為云服務(wù)應(yīng)用的主要瓶頸。

論文主要以云服務(wù)安全架構(gòu)為研究?jī)?nèi)容，根據(jù)云服務(wù)環(huán)境存在的主要威脅類型，結(jié)合云計(jì)算的結(jié)構(gòu)及安全控制模型，改進(jìn)云計(jì)算（服務(wù)）環(huán)境的安全體系及其安全風(fēng)險(xiǎn)評(píng)估體系結(jié)構(gòu)；分析目前主要的云服務(wù)環(huán)境安全風(fēng)險(xiǎn)評(píng)估模型，并根據(jù)不同的云服務(wù)模式選擇相適應(yīng)的評(píng)估方法。

1 云服務(wù)概述

云是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種抽象。云服務(wù)的內(nèi)涵是指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。本質(zhì)上講，“云服務(wù)”就是在“云計(jì)算”技術(shù)架構(gòu)支撐下，對(duì)外提供的按需分配、可計(jì)量的IT服務(wù)，用以替代用戶本地自建的IT服務(wù)。因此，“云服務(wù)”的核心是“云計(jì)算”技術(shù)架構(gòu)。這就意味著“云計(jì)算”是一種可作為通過互聯(lián)網(wǎng)進(jìn)行流通的資源。根據(jù)NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所）的定義，“云服務(wù)具有五個(gè)基本特征：按需自助服務(wù)、寬帶網(wǎng)絡(luò)連接、位置無關(guān)資源池、快速伸縮能力、可被測(cè)量的服務(wù)”[3]。

目前，普遍認(rèn)可的云服務(wù)模式為：即基礎(chǔ)設(shè)施即服務(wù)（IaaS）、即平臺(tái)即服務(wù)（PaaS）和即軟件即服務(wù)（SaaS）三種基本服務(wù)模式。

即基礎(chǔ)設(shè)施即服務(wù)（IaaS）：IaaS位于云服務(wù)三層中的最底層，即將IT基礎(chǔ)設(shè)施以服務(wù)的形式提供給用戶。這些服務(wù)包括CPU、內(nèi)存、存儲(chǔ)、操作系統(tǒng)及一些軟件。為了防止用戶制定自己的服務(wù)器，提供商借助服務(wù)器模板技術(shù)，將一定的服務(wù)配置與操作系統(tǒng)和軟件進(jìn)行綁定，并提供制定的功能。

即平臺(tái)即服務(wù)（PaaS）：PaaS具有“云計(jì)算操作系統(tǒng)”的美稱，它提供的是經(jīng)過封裝的IT能力，或者說是一些邏輯的資源，如數(shù)據(jù)庫(kù)、文件系統(tǒng)和應(yīng)用開發(fā)環(huán)境等。若是基于互聯(lián)網(wǎng)的應(yīng)用開發(fā)環(huán)境，則PaaS提供了包括應(yīng)用編程接口和運(yùn)行平臺(tái)。

即軟件即服務(wù)（SaaS）：這是一種最常見的服務(wù)模式，用戶只需要使用WEB瀏覽器便能使用服務(wù)商提供的軟件，其維護(hù)和管理則由服務(wù)提供商負(fù)責(zé)。SaaS主要涉及Web2.0、多用戶和虛擬化三種技術(shù)。

在云服務(wù)中，基礎(chǔ)設(shè)施提供商向平臺(tái)運(yùn)營(yíng)商與平臺(tái)開發(fā)商提供硬件設(shè)備的虛擬化服務(wù)；平臺(tái)提供商為平臺(tái)運(yùn)營(yíng)商提供網(wǎng)絡(luò)化平臺(tái)；平臺(tái)運(yùn)營(yíng)商通過網(wǎng)絡(luò)平臺(tái)支撐軟件服務(wù)提供商的業(yè)務(wù)；軟件服務(wù)開發(fā)商開發(fā)、組合多種服務(wù)，滿足服務(wù)提供商的業(yè)務(wù)需求；軟件服務(wù)提供商則向廣大用戶提供個(gè)性化與專業(yè)化的軟件服務(wù)。這為廣大用戶的應(yīng)用帶來了極大便利，但同時(shí)也面臨很大的安全風(fēng)險(xiǎn)。

2 云服務(wù)面臨的風(fēng)險(xiǎn)

云服務(wù)具有復(fù)雜、開放、共享等特征，眾多用戶完全可能擁有或共享同一資源；使用的核心技術(shù)就是虛擬化技術(shù)，即將物理實(shí)體資源轉(zhuǎn)換為邏輯上可以管理的資源，以突破物理實(shí)體間的不可切割障礙。因此，它的安全威脅與傳統(tǒng)信息系統(tǒng)的威脅有所不同，且更具挑戰(zhàn)性。目前，云計(jì)算面臨的最主要安全威脅表現(xiàn)在數(shù)據(jù)破壞、數(shù)據(jù)丟失、云服務(wù)濫用、賬戶或服務(wù)通信劫持、非安全APIs、拒絕服務(wù)、惡意內(nèi)部用戶、審查不充分、共享技術(shù)漏洞九個(gè)方面[4]。

本質(zhì)上，SaaS一方面是云服務(wù)提供商為滿足某種特定需求而提供消費(fèi)的軟件計(jì)算能力，另一方面，究其安全服務(wù)模式而言，這種服務(wù)包含了其他兩種服務(wù)模式，即IaaS?PaaS?SaaS 。因此，可以以SaaS服務(wù)模式作為一種普遍的“云安全風(fēng)險(xiǎn)”測(cè)評(píng)模式。由于SaaS服務(wù)模式存在的風(fēng)險(xiǎn)涉及云服務(wù)的供應(yīng)方和應(yīng)用方兩大主體，則其面臨如表1所示的主要威脅。

表1 云服務(wù)常見威脅形式

遷移攻擊在遷移過程中，攻擊者能夠改變?cè)磁渲梦募吞摂M機(jī)的特性。當(dāng)接觸到虛擬硬盤時(shí)，攻擊者可攻破所有的安全措施。虛擬機(jī)之間的相互影響隔離是虛擬機(jī)技術(shù)的主要特點(diǎn)，當(dāng)一臺(tái)虛擬機(jī)控制另一臺(tái)虛擬機(jī)時(shí)，則會(huì)出現(xiàn)安全漏洞。被控虛擬機(jī)可被任意操作，甚至造成服務(wù)中斷。宿主機(jī)與虛擬機(jī)之間的相互影響相對(duì)于虛擬機(jī)，宿主機(jī)是控制者，宿主機(jī)負(fù)責(zé)對(duì)虛擬機(jī)的檢測(cè)、改變和通信。根據(jù)虛擬機(jī)技術(shù)的不同，宿主機(jī)在調(diào)整CPU數(shù)量、內(nèi)存大小、硬盤數(shù)量、虛擬接口、監(jiān)控虛擬機(jī)運(yùn)行運(yùn)用程序等方面，對(duì)虛擬機(jī)的運(yùn)行和虛擬機(jī)上的服務(wù)都有影響。隨著多用戶、多個(gè)組織共享一個(gè)物理服務(wù)器，該用戶或組織的虛擬機(jī)可能會(huì)被其他用戶或非法用戶采用各種手段進(jìn)行攻擊。旁道攻擊就是通過共享CPU和內(nèi)存緩存來提取或推斷敏感信息，造成用戶或組織的信息泄露。虛擬機(jī)需要通過調(diào)用應(yīng)用程序接口（API）向VMN發(fā)出請(qǐng)求，惡意代碼通過API來實(shí)現(xiàn)攻擊。通常VMM和虛擬機(jī)使用的是同一個(gè)網(wǎng)絡(luò)接口設(shè)備，虛擬機(jī)很有可能連接到VMM的IP地址并入侵VMM，造成其他虛擬機(jī)上的服務(wù)進(jìn)程中斷。惡意代碼的攻擊對(duì)VMM攻擊符合性管理能力威脅由于管理者管理信念不強(qiáng)、管理能力不熟練、不按安全規(guī)定操作或者產(chǎn)生誤操作，都容易導(dǎo)致組織內(nèi)部信息泄露，造成社會(huì)工程攻擊。技術(shù)性管理能力威脅組織內(nèi)部工作人員專業(yè)性不強(qiáng)，未經(jīng)評(píng)估對(duì)系統(tǒng)升級(jí)、軟件升級(jí)以及對(duì)系統(tǒng)打補(bǔ)丁，極易造成業(yè)務(wù)中斷。旁道攻擊

不難發(fā)現(xiàn)，潛在的威脅存在于系統(tǒng)的內(nèi)部與外部之中。外部威脅主要是因?yàn)橄到y(tǒng)或平臺(tái)存在漏洞或缺陷，給攻擊者可乘之機(jī)。內(nèi)部威脅包括符合性管理能力威脅和技術(shù)性管理能力威脅，主要是因?yàn)閮?nèi)部人員缺乏運(yùn)維操作安全意識(shí)。因此，系統(tǒng)的安全需要及其安全構(gòu)建，成為云服務(wù)設(shè)計(jì)及其具體應(yīng)用的關(guān)鍵。

3 云安全基本架構(gòu)

目前，云計(jì)算在服務(wù)、部署模式、資源和管理等方面呈現(xiàn)出了不同的形態(tài)，云服務(wù)也因?yàn)槎嘧鈶舻男枨蟛町惗尸F(xiàn)出不同的消費(fèi)模式。這些客觀因素使得云計(jì)算相比于傳統(tǒng)網(wǎng)絡(luò)服務(wù)具有不同的安全風(fēng)險(xiǎn)、安全職責(zé)和安全控制范圍，“需要從安全控制的角度建立云計(jì)算的參考模型，以描述不同屬性組合的云服務(wù)架構(gòu)，并實(shí)現(xiàn)云服務(wù)架構(gòu)之間的映射，為風(fēng)險(xiǎn)識(shí)別、安全控制和決策提供依據(jù)”[5]。云計(jì)算三種服務(wù)模式的安全防護(hù)措施在方法和責(zé)任上存在差異。云安全聯(lián)盟（Cloud Security Alliance，CSA）從云計(jì)算服務(wù)模式的角度提出了安全參考模型，并描述了三種服務(wù)模式的層次及其關(guān)系；陳馳等人[6]進(jìn)一步明確了云計(jì)算框架、安全控制模型以及合規(guī)性模型之間的關(guān)系，從云服務(wù)模式、合規(guī)性、控制性三個(gè)方面構(gòu)建了相應(yīng)的安全架構(gòu)。但是，這些安全架構(gòu)本質(zhì)上是基于符合性的規(guī)則性策略，不能解決不斷變化的各種威脅。本文在此基礎(chǔ)上，從風(fēng)險(xiǎn)評(píng)估的基本要素和實(shí)施風(fēng)險(xiǎn)評(píng)估的目的出發(fā)，構(gòu)建了一種能具體實(shí)施的風(fēng)險(xiǎn)評(píng)估模型，如圖1所示。

該模型根據(jù)云服務(wù)模型的特點(diǎn)，采用基于等級(jí)保護(hù)的安全評(píng)估要求，檢查系統(tǒng)的安全策略符合性情況，找出系統(tǒng)存在的安全威脅，再根據(jù)安全威脅可能造成的安全風(fēng)險(xiǎn)，確定系統(tǒng)的安全控制措施。相較于陳馳等人提出的云計(jì)算框架、安全控制模型以及合規(guī)性模型，該模型可以應(yīng)對(duì)不斷變化的威脅，并確定控制措施，提高系統(tǒng)安全性。

根據(jù)CSA安全參考模型及其主要關(guān)注安全域，本文在陳馳等人構(gòu)造的云計(jì)算（服務(wù)）環(huán)境的安全體系及其安全風(fēng)險(xiǎn)評(píng)估體系結(jié)構(gòu)基礎(chǔ)上，對(duì)模型進(jìn)行了修改補(bǔ)充。將云安全風(fēng)險(xiǎn)評(píng)估劃分為邊界策略、安全技術(shù)策略、數(shù)據(jù)安全策略、控制與審計(jì)策略和安全管理策略五個(gè)方面，如圖2所示。

由此可見，云安全的關(guān)鍵技術(shù)在于：虛擬化安全、數(shù)據(jù)安全、身份認(rèn)證和訪問管理、加密與解密、容災(zāi)與恢復(fù)、訪問控制、用戶隔離、網(wǎng)絡(luò)安全和安全審計(jì)。

4 云安全風(fēng)險(xiǎn)評(píng)估模型

為了能對(duì)云服務(wù)的安全風(fēng)險(xiǎn)進(jìn)行有效和可靠的評(píng)估，必須清楚認(rèn)識(shí)到云安全技術(shù)體系與傳統(tǒng)安全技術(shù)體系的關(guān)系。事實(shí)上，傳統(tǒng)信息系統(tǒng)安全技術(shù)體系只是云服務(wù)安全技術(shù)體系的一個(gè)重要組成部分，即云安全技術(shù)體系包含傳統(tǒng)安全技術(shù)體系。

圖1 云服務(wù)模型、等級(jí)保護(hù)、威脅與安全控制之間的關(guān)系

圖2 云安全體系及其安全風(fēng)險(xiǎn)評(píng)估體系結(jié)構(gòu)

目前，國(guó)內(nèi)外的云計(jì)算安全風(fēng)險(xiǎn)評(píng)估模型，主要表現(xiàn)在：（1）基于計(jì)算機(jī)安全等級(jí)保護(hù)的風(fēng)險(xiǎn)評(píng)估模型；（2）基于云計(jì)算信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估模型；（3）基于云計(jì)算信息安全管理能力的風(fēng)險(xiǎn)評(píng)估模型；（4）基于云計(jì)算信息系統(tǒng)技術(shù)能力的風(fēng)險(xiǎn)評(píng)估模型，其核心思想仍然是基于標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估模型。

雖然在國(guó)內(nèi)目前主要采用由賽寶論證中心提出的基于CSA的針對(duì)環(huán)境的C-STAR模型和基于信息安全工程能力成熟度模型（Systems Security Engineering Capability Maturity Model，SSECMM）。然而，由于風(fēng)險(xiǎn)是隨機(jī)的，各種模型都存在著一定的缺陷。

4.1 C-STAR模型

C-STAR云安全管理能力成熟度評(píng)估用于評(píng)價(jià)組織的云安全管理能力成熟度。它將組織的云安全管理能力成熟度劃分為六個(gè)等級(jí)：未實(shí)施、基本執(zhí)行、計(jì)劃和跟蹤、充分定義、量化控制以及持續(xù)改進(jìn)。主要作用為：①對(duì)被評(píng)估方的云安全管理能力進(jìn)行評(píng)估；②為被評(píng)估方的云安全管理體系的改進(jìn)提供方向和指引。因此，這種評(píng)估模型在評(píng)估過程中幾乎不用工具，即這種評(píng)估模型不需要對(duì)物理資產(chǎn)的脆弱性進(jìn)行檢查，只需要核實(shí)相關(guān)安全管理文件的具體落實(shí)和執(zhí)行過程。

C-STAR模型的評(píng)估指標(biāo)是CCM云安全控制矩陣所描述的162個(gè)檢查項(xiàng)。針對(duì)CCM的某一控制域，分析各條控制措施及與之關(guān)聯(lián)的管理過程中的管理、測(cè)量和制度化，判定其表現(xiàn)出的特征是否滿足某一能力級(jí)別要求。若滿足，則可判定此項(xiàng)控制措施處于對(duì)應(yīng)的能力級(jí)別。

評(píng)估中，評(píng)估人員需要對(duì)一個(gè)控制域中所有的控制措施進(jìn)行合理評(píng)估，以確保組織已基于風(fēng)險(xiǎn)評(píng)估，對(duì)風(fēng)險(xiǎn)實(shí)施了適當(dāng)?shù)陌踩刂啤Ｈ绻鸆CM中的一項(xiàng)安全控制措施沒有“切實(shí)落地”，提供商需要證明該項(xiàng)控制措施沒有包含在他們的風(fēng)險(xiǎn)評(píng)估/適用性聲明中的原因，或者沒有實(shí)施補(bǔ)償控制的理由。

4.2 SSE-CMM模型

SSE-CMM是系統(tǒng)安全工程能力成熟度模型的縮寫。它是一個(gè)二維模型，將安全工程劃分為三個(gè)基本過程區(qū)域：風(fēng)險(xiǎn)、工程、保障。它描述了一個(gè)組織的安全工程過程必須包含的本質(zhì)特征，是完善的安全工程的保證，也是系統(tǒng)安全工程實(shí)施的度量標(biāo)準(zhǔn)[7]。它強(qiáng)調(diào)：（1）作為工程組織的工具，用于評(píng)價(jià)安全工程的實(shí)施活動(dòng)，并定義它們的改進(jìn)；（2）作為用戶評(píng)價(jià)一個(gè)供應(yīng)商的安全工程能力的標(biāo)準(zhǔn)機(jī)制；（3）作為安全工程評(píng)價(jià)機(jī)構(gòu)的工作基礎(chǔ)，用于建立基于整體組織能力的信任度。SSE-CMM模型的能力包含了五個(gè)級(jí)別：非正式執(zhí)行級(jí)、計(jì)劃和跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)和連續(xù)改進(jìn)級(jí)[8]。

SSE-CMM模型的兩個(gè)維度分別是“域”和“能力”，描述了一個(gè)組織的安全工程的能力。“域”表征了所有定義的安全工程的過程，即過程區(qū)域；“能力”則刻畫了由過程管理和制度化能力組成的組織能力，是一些實(shí)施活動(dòng)的“公共特征”，而執(zhí)行一個(gè)公共特征是一個(gè)組織能力的標(biāo)志。

4.3 基于等級(jí)保護(hù)的云安全風(fēng)險(xiǎn)評(píng)估模型

安全等級(jí)測(cè)評(píng)是目前較為成熟并體系化的系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法。該方法以國(guó)家相關(guān)標(biāo)準(zhǔn)文件為標(biāo)準(zhǔn)，以單元測(cè)評(píng)為基礎(chǔ)，開展的整體測(cè)評(píng)。信息系統(tǒng)安全等級(jí)測(cè)評(píng)分為單元測(cè)量、系統(tǒng)整體測(cè)評(píng)和綜合分析三個(gè)過程。

在云服務(wù)平臺(tái)下，平臺(tái)要為不同的用戶提供不同的服務(wù)，承載多個(gè)用戶的不同業(yè)務(wù)、不同數(shù)據(jù)；云服務(wù)提供商為不同的管理責(zé)任主體提供相應(yīng)的云服務(wù)；由于虛擬化技術(shù)使用戶與其他用戶業(yè)務(wù)之間沒有獨(dú)立的邊界，因此，云計(jì)算平臺(tái)不具有《定級(jí)指南》中定級(jí)對(duì)象的原則。但是，通過研究云平臺(tái)與傳統(tǒng)信息系統(tǒng)等級(jí)保護(hù)的相關(guān)要求發(fā)現(xiàn)，針對(duì)云平臺(tái)的基于等級(jí)保護(hù)的安全風(fēng)險(xiǎn)評(píng)估，可實(shí)施一種稱為“雙向”定級(jí)的方法來實(shí)現(xiàn)。具體方法如下：

（1）云服務(wù)提供商負(fù)責(zé)根據(jù)自身的安全能力，委托獨(dú)立的第三方測(cè)評(píng)機(jī)構(gòu)確定云平臺(tái)的安全保護(hù)能力等級(jí)；

（2）用戶根據(jù)數(shù)據(jù)業(yè)務(wù)的重要程度，參照《定級(jí)指南》明確業(yè)務(wù)系統(tǒng)重要性的安全級(jí)別。

原則上，云服務(wù)提供商不能向高于云平臺(tái)安全保護(hù)能力等級(jí)的業(yè)務(wù)系統(tǒng)提供服務(wù)。云計(jì)算平臺(tái)確定安全保護(hù)等級(jí)后，可以選擇獨(dú)立第三方測(cè)評(píng)服務(wù)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)活動(dòng)。一般而言，等級(jí)測(cè)評(píng)活動(dòng)可以由云服務(wù)提供商發(fā)起。

云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)流程和方法與傳統(tǒng)等級(jí)測(cè)評(píng)不存在本質(zhì)上的差異，而主要安全測(cè)評(píng)技術(shù)上有所區(qū)別。主要體現(xiàn)在：分布式數(shù)據(jù)中心、虛擬化安全測(cè)評(píng)（包括主機(jī)虛擬化、網(wǎng)絡(luò)虛擬化和存儲(chǔ)虛擬化）、云計(jì)算數(shù)據(jù)安全測(cè)評(píng)（如存儲(chǔ)備份、數(shù)據(jù)保護(hù)、數(shù)據(jù)隔離）等。我國(guó)的信息系統(tǒng)等級(jí)保護(hù)體系分為技術(shù)與管理兩個(gè)部分。因此，基于等級(jí)保護(hù)的云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)評(píng)估的測(cè)評(píng)指標(biāo)具體從技術(shù)和管理兩個(gè)方面劃分。其中，技術(shù)方面包括物理安全層面、網(wǎng)絡(luò)安全層面、主機(jī)安全層面、應(yīng)用安全層面和數(shù)據(jù)安全與備份恢復(fù)層面五個(gè)層面；管理方面包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理和服務(wù)協(xié)議管理六個(gè)層面[9]。

根據(jù)目前評(píng)估模型所面臨的問題以及目前云計(jì)算環(huán)境安全及其建設(shè)的具體情況，本文提出目前環(huán)境下，云安全風(fēng)險(xiǎn)方法的選擇過程。

4.4 云安全風(fēng)險(xiǎn)評(píng)估方法選擇

由于云計(jì)算平臺(tái)自身的特點(diǎn)，所以導(dǎo)致其安全問題比傳統(tǒng)的信息系統(tǒng)安全更為復(fù)雜。因此，在云計(jì)算安全風(fēng) 險(xiǎn)評(píng)估過程中，如何確定安全風(fēng)險(xiǎn)評(píng)估方案具有的重要意義，直接關(guān)系到風(fēng)險(xiǎn)評(píng)估的有效性和可靠性。為止，可通過前期的調(diào)查、訪談、協(xié)商等，確定針對(duì)一個(gè)用戶或云服務(wù)提供商的安全風(fēng)險(xiǎn)評(píng)估需求來確定其評(píng)估方案，如圖3所示。

圖3 評(píng)估方案選擇流程

首先，確定評(píng)估對(duì)象及其數(shù)據(jù)中心是否通過等級(jí)保護(hù)或者相應(yīng)的風(fēng)險(xiǎn)測(cè)評(píng)。如果通過，需要檢查其相關(guān)的文件資料是否完備。若符合要求，則按照傳統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法進(jìn)行評(píng)估。需要注意的是，云計(jì)算風(fēng)險(xiǎn)評(píng)估新增加的安全指標(biāo)。如果測(cè)評(píng)文件資料不符合要求，或者未通過等級(jí)保護(hù)或風(fēng)險(xiǎn)評(píng)估，則需要重新進(jìn)行安全風(fēng)險(xiǎn)評(píng)估需求分析，明確評(píng)估對(duì)象。

其次，根據(jù)評(píng)估對(duì)象的情況選擇相應(yīng)的評(píng)估方法。在云服務(wù)架構(gòu)中，用戶和云服務(wù)提供商的安全職責(zé)不盡相同，其檢測(cè)重點(diǎn)也存在差異。當(dāng)評(píng)估對(duì)象為用戶時(shí)，需根據(jù)用戶的需求判定云服務(wù)系統(tǒng)的狀態(tài)。如果在假設(shè)驗(yàn)收階段，則建議采用SSE-CMM方法；如果在運(yùn)營(yíng)中，則建議采用C-STAR方法。當(dāng)評(píng)估對(duì)象為服務(wù)提供商時(shí)，若其在建設(shè)中，則建議采用SSE-CMM方法；若在運(yùn)營(yíng)中，則建議采用C-STAR方法或者基于等級(jí)保護(hù)的風(fēng)險(xiǎn)評(píng)估方法。

SSE-CMM方法強(qiáng)調(diào)的是安全過程，用于評(píng)價(jià)安全工程的實(shí)施。在系統(tǒng)建設(shè)階段，采用這種方法進(jìn)行評(píng)估可以有效評(píng)價(jià)安全工程實(shí)施的能力，評(píng)價(jià)服務(wù)提供商的安全工程能力，并為之后的系統(tǒng)建設(shè)提供改進(jìn)建議。在系統(tǒng)運(yùn)營(yíng)過程中，安全管理是保證整個(gè)系統(tǒng)安全的關(guān)鍵。C-STAR方法用于評(píng)估用戶或者服務(wù)提供商的云安全管理能力。使用C-STAR方法對(duì)運(yùn)營(yíng)中的對(duì)象進(jìn)行評(píng)估，可判定其安全管理能力等級(jí)，發(fā)現(xiàn)安全管理過程中的薄弱環(huán)節(jié)，提升云服務(wù)安全水平。基于等級(jí)保護(hù)的云安全風(fēng)險(xiǎn)評(píng)估是綜合的測(cè)評(píng)方法，對(duì)運(yùn)營(yíng)中系統(tǒng)的安全管理及安全防護(hù)等都進(jìn)行了相應(yīng)測(cè)評(píng)。因此，對(duì)于不同的評(píng)估對(duì)象以及不同對(duì)象所處的不同系統(tǒng)狀態(tài)，使用這種方法可以快速找出相適應(yīng)的評(píng)估方案，提高安全風(fēng)險(xiǎn)評(píng)估的有效性和可靠性，減少因評(píng)估方案不合理帶來的風(fēng)險(xiǎn)。

由圖3不難看出，如果采用基于等級(jí)保護(hù)的云安全風(fēng)險(xiǎn)評(píng)估模型，則測(cè)評(píng)的核心技術(shù)在于對(duì)虛擬服務(wù)器、虛擬網(wǎng)絡(luò)、VMM、數(shù)據(jù)存儲(chǔ)、隔離與遷移、服務(wù)水平協(xié)議管理的測(cè)評(píng)，其他的與傳統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估一致。如果采用C-STAR和SSECMM模型，其測(cè)評(píng)技術(shù)主要是云控制矩陣（CCM）的制定及其測(cè)量的關(guān)鍵檢測(cè)點(diǎn)的制定。

由于現(xiàn)有的云安全評(píng)估都是采用基于標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估模型，在風(fēng)險(xiǎn)評(píng)估實(shí)踐過程中還存在缺陷。因此，建議在采用基于等級(jí)保護(hù)的安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，再加上管理能力以及建設(shè)與運(yùn)維能力的評(píng)估，以完善云服務(wù)體系的安全風(fēng)險(xiǎn)評(píng)估。

5 結(jié) 語(yǔ)

云計(jì)算的安全既是復(fù)雜的技術(shù)過程，也是綜合性的、動(dòng)態(tài)的社會(huì)系統(tǒng)工程。但是，由于其自身的虛擬化、流動(dòng)性、邊界模糊等特點(diǎn)，對(duì)云服務(wù)的安全也帶來了一些新的挑戰(zhàn)。因此，在云計(jì)算不斷發(fā)展的同時(shí)，也需要探索行之有效的云安全解決方案，并建立系統(tǒng)化的云服務(wù)安全評(píng)估體系，以保障云服務(wù)系統(tǒng)的安全性，提高云服務(wù)的連續(xù)性。

[1] 羅軍舟,金嘉暉,宋愛波等.云計(jì)算:體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報(bào),2011,32(07):3-21. LUO Jun-zhou,JIN Jia-hui,SONG Ai-bo,et al.Cloud Computing:Architecture and Key Technologies[J].Journal of Communication,2011,32(07):3-21.

[2] 薄明霞,陳軍,王渭清.云計(jì)算安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全,2011(08):79-81. BO Ming-xia,CHEN Jun,WANG Wei-qing.Study of the System Architecture of Cloud Security[J].Netinfo Security,2011(08):79-81.

[3] 李連,朱愛紅.云計(jì)算安全技術(shù)研究綜述[J].信息安全與技術(shù),2013(05):42-45,52. LI Lian,ZHU Ai-hong.Review of Cloud Computing Security Research[J].Information Security and Technology, 2013(05):42-45,52.

[4] 馬飛,李娟.云計(jì)算安全技術(shù)最新研究進(jìn)展[J].通信技術(shù),2016,49(05):509-518. MA Fei,LI Juan.Latest Research Progress on Security Technology of Cloud Computing[J].Communications Technology,2016,49(05):509-518.

[5] 陳龍,肖敏.云計(jì)算安全:挑戰(zhàn)與策略[J].數(shù)字通信,2010(03):43-47. CHEN Long,XIAO Min.Cloud Computing Security:Challenge and Strategy[J].Digital Communication,2010(03):43-47.

[6] 陳馳,于晶.云計(jì)算安全體系[M].北京:科學(xué)出版社,2014:64. CHEN Chi,YU Jing.Cloud Computing Security System[M].Beijing:Science Press,2014:64.

[7] 郭曙光.信息安全評(píng)估標(biāo)準(zhǔn)研究與比較[J].信息技術(shù)與標(biāo)準(zhǔn)化,2007(11):27-29. GUO Shu-guang.Studying of the Relevant Standards of the Information Security Evaluation[J].Information Techn ology&Standardization,2007(11):27-29.

[8] 王貴駟,張利,江常青.一種復(fù)雜信息系統(tǒng)安全評(píng)估與認(rèn)證的等級(jí)劃分方法[J].信息安全與通信保密,2003(05):67-68. WANG Gui-si,ZHANG Li,JIANG Chang-qing.A Grade Division Method of Security Evaluation and Authentication of Complex Information System[J].China Information Security,2003(05):67-68.

[9] 張劍,王琦.淺析管理在信息系統(tǒng)安全中的必要性[J].信息網(wǎng)絡(luò)安全,2012(06):1-2. ZHANG Jian,WANG Qi.Analysis on Necessity of Management in Information System Security[J].Netinfo Security,2012(06):1-2.

朱 璇（1991—），女，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、軟件安全；

潘 平（1962—），男，學(xué)士，副教授，主要研究方向?yàn)樾畔踩c信息處理；

毛新月（1990—），女，碩士，主要研究方向?yàn)樾畔踩芾砼c取證。

Security Risk Assessment of Cloud Service

ZHU Xuan, PAN Ping, MAO Xin-yue
(College of Computer Science and Technology, Guizhou University, Guiyang Guizhou 550025, China)

In respect to the traditional information systems, cloud service is characterized by virtualization, mobility, fuzzy boundary and so on, thus its security evaluation becomes one of the most concerned problems. With cloud service security architecture as the research content, the main threat forms aganist of cloud service are analyzed, the evaluation system based on the analysis of the current cloud service security risk assessment system further modified and improved. Cloud service security risk assessment, based on their own situation, may choose the appropriate risk assessment model, thus to be further suitable for risk assessment practice, improve cloud-service security, risk management ability and business continuity.

cloud service; security architecture; evaluation model; risk assessment

TP309

A

1002-0802(2016)-12-1695-07

10.3969/j.issn.1002-0802.2016.12.023

2016-08-11

2016-11-15 Received date:2016-08-11;Revised date:2016-11-15

貴州省高等學(xué)校教學(xué)內(nèi)容和課程體系改革重點(diǎn)項(xiàng)目（No.SJJG201404）；安順學(xué)院航空電子電氣與信息網(wǎng)絡(luò)貴州省高校工程技術(shù)研究中心開放基金項(xiàng)目（No.HKDZ201406）

Foundation Item:Teaching Contents and Curriculum System Reform (key) Project in Colleges and Universities in Guizhou Province(No. SJJG201404); Guizhou Provincial Education Department and Engineering Center of Avionics Electrical and Information Network of Guizhou Province Colleges and Universities(No.HKDZ201406)