企業云存儲服務信息安全策略應用研究

◆余海發 郭龍華

?

企業云存儲服務信息安全策略應用研究

◆余海發 郭龍華

（上海交通大學電院網絡空間安全學院 上海 200240）

本文通過對企業使用云存儲服務的基本現狀與相關風險管理問題的研究，從實踐應用角度提出了一種基于云存儲服務應用場景的安全需求分析方法和一種從應用場景、安全需求、風險分析三個維度來確定風險控制措施的方法，用于幫助企業制定云存儲服務信息安全策略。

云存儲服務；信息安全風險管理；信息安全管理體系；信息安全策略

0 引言

近幾年企業云存儲服務市場在快速增長。根據文獻[1]中TechTarget的調查顯示，大部分受參與調查的企業存儲首席技術官們普遍認為：在新的開發和管理技術的幫助下，在2017年企業對云存儲的使用將會飆升。在此背景下，云存儲服務給企業帶來的信息安全風險不容忽視。根據本文的研究，從信息安全策略的角度來開展風險管理工作，即通過制定針對性的信息安全策略來應對云存儲帶來的風險，這不失為一種有效而可行的方法。

1 企業云存儲服務風險管理現狀

根據文獻[2]和文獻[3]，云存儲是在云計算概念上延伸和發展出來的一個新的概念。云存儲系統可以視為一個以數據存儲和管理為核心的云計算系統。云存儲服務是基于云存儲系統所提供的各種服務。云存儲的技術架構和業務模式相對傳統存儲技術發生了根本性的變化，給企業帶來了數據隱私和數據保護問題、合規性和法律約束問題、應對各種新型攻擊的問題、風險可視化和管理問題等各種新的安全問題。

企業對云存儲服務的利用形式多樣，有的企業把云存儲服務作為一種基礎存儲設施來使用，或者是作為一種數據備份及災備服務，還有的企業將云存儲用于企業網上協同辦公，如在文件共享、在線文檔編輯、協作辦公，還有許多企業利用云存儲服務時行二次開發，為自己或客戶提供多種服務。多種形式的云存儲服務出現在企業IT環境中，在提供了許多的新特性和能力的同時，云存儲也如其它的云服務一樣面臨著多種威脅和風險。云存儲服務有著不同于傳統存儲的風險特性，靈活而復雜的云存儲架構和業務模式會帶來各種技術風險和管理風險，云存儲服務從基礎設施到上層業務以及應用接口都可能受到攻擊，此外，云存儲服務風險還包括關于隱私保護、數據安全、網絡安全、法律合規等多方面的風險。

企業對于信息安全的要求更高，許多企業在使用云存儲服務方面比較謹慎。以上這些問題如果不能得到妥善地處理，企業就難以放心地使用云存儲服務。

2 制定針對性信息安全策略的意義

在一個平衡的動態體系中，新的事物的進入通常會打破原有的平衡，系統需要相應地進行調整以重新達到新的平衡。同理，引入云存儲服務也給企業帶來新的信息安全風險，打破了原有的動態風險平衡。

為了緩解云存儲服務帶來的風險，企業需要在建設信息安全管理體系之初就考慮云存儲服務的信息安全，或是對已有體系進行補充和改進。企業的信息安全管理體系通常都會借鑒一些基礎的信息安全管理模型，比如： P2DR模型（Policy、Protection、Detection、Response）、P2DR2模型（Policy、Protection，Detection、Response、Restore）等。在這些參考模型中，信息安全策略通常是位于核心位置。以P2DR模型為例，根據文獻[4]和文獻[5]中對P2DR模型的描述，如圖1所示，信息安全策略作為P2DR模型的核心，它定義了企業的安全目標，從宏觀管理層面說明企業安全管理的基本方法和原則，是所有信息安全實踐活動的方針和指南。企業建立并發布了信息安全策略之后，才能開始進一步構建信息安全程序。

信息安全策略沒有覆蓋的地方是非常危險的。如果云存儲服務這部分所產生的風險不為企業所知，就不會有針對的防范措施，更談不上風險可控。根據“木桶原理”，一個云存儲風險管理上的短板影響到整個企業的整體風險。云存儲涉及更多的數據安全方面的內容，其面臨的風險有著其獨特性，在對云存儲的信任、契約、法規、第三方監管、內部管理等多方面都有針對性的考慮。云存儲服務的風險需要進行針對性的重點管理，并且將其及時納入到企業的整體風險管理體系之中。因此，制定云存儲服務信息安全策略就成為企業引入云存儲服務的首要工作。

3 制定云存儲服務信息安全策略的具體工作

信息安全策略是一組規則，定義了企業的安全目標和實現途徑。制定云存儲信息安全策略必須符合企業的整體安全目標，也要符合企業使用云存儲服務的實際需求情況。我們參考文獻[6]的觀點，從企業的安全需求角度來制定云存儲服務安全策略。

3.1 安全需求分析

編寫針對云存儲服務的安全策略之前必須要先了解企業對云存儲服務的基本安全需求。在這一步中，既要考慮企業整體的安全需求，又要考慮云存儲服務特有的安全需求。在需求分析的最初階段，安全需求可以是基本的、整體的要求。隨著需求工作的深入，安全需求會變得越來越詳細和周全。為了弄清企業對云存儲服務的基本安全需求，企業先要確定云存儲的應用范圍，然后在這個范圍內討論安全需求。建議企業可以參考以下方式分二步進行需求分析：

（1）發掘云存儲服務應用場景

企業可以把對云存儲服務的安全需求分不同的應用場景進行需求分析，從“應用形式”、“服務類型”、“服務對象”、“角色”等四個維度來定義應用場景。

表1 應用場景

表1中每個維度的內容可以由企業自行定義，把這四個維度進行組合就可以構成許多的應用場景。但并不是所有組合出的應用場景都適用于企業，企業應從自身的實際情況出發來確定云存儲服務的應用場景。比如：企業使用企業IT（角色）運維的私有云存儲（服務類型）進行某業務數據的備份（應用形式），僅為內部員工（服務對象）服務。這4個維度組合就構成了一個具體的企業云存儲應用場景。這個場景可用于后續的安全需求定義工作。

（2）根據不同應用場景來定義安全需求

安全需求首先要說明哪些業務場景是否允許使用云存儲服務。其次，對于可以使用云存儲服務的具體應用場景還考慮要有哪些安全目標。在確定具體安全需求時，通常會有很多的考慮因素。對于欠缺實踐經驗的企業，可以借鑒行業內的相關成功的實踐經驗。這里根據文獻[7]總結了一個安全需求檢查表可作為實踐參考，它適用于企業IT的自建私有云存儲以及云存儲供應商提供的云存儲。對于在第一步中定義的每一個應用場景，可以從表2中的14個與云存儲安全相關的方面來考慮安全目標和需求。

表2 云存儲服務安全需求檢查表

3.2 選擇適當的策略形式

云存儲相關的安全策略可以單獨寫成一個或多個策略文件，也可以集成到其它的策略文件中。策略文檔要說明策略的目的、適用范圍、具體策略規定、策略合規要求等。圖2是一個策略的文檔結構示例。

其中最關鍵的部分是“策略規定”。這部分代表了企業經過思考后對風險的具體態度。“策略規定”不要求細化到具體的安全控制流程和工具，這些可以放到后繼的標準和流程文檔中進行說明。“策略規定”中的“具體規定”部分要能覆蓋各種類型的云存儲服務及應用場景，并簡單的說明對云存儲服務的控制原則和要求。

3.3 策略開發方法

開展策略開發工作需要獲得企業高層的支持，需要與關鍵人員進行訪談，進行業務影響分析（Business Impact Analysis, BIA）等。根據云存儲的復雜應用情況，我們建議企業可以采取一種基于應用場景、安全需求、風險分析三個維度確定風險控制措施的方法來定義“策略規定”。即首先選取云存儲的應用場景、通過應用場景與企業的安全需求相關聯，然后進行風險分析，根據風險程度來確定風險控制措施，開發策略時還可參考一些相關的信息安全標準，比如：文獻[8]《ISO 27001:2013》中關于“控制措施”描述部分。

舉例來說，假設一個云存儲應用場景是員工使用公有云存儲給客戶分享數據。公司管理層對安全的關注點是保護公司機密數據。則針對此場景的策略規定就可以這樣來具體定義：“當員工使用未經公司批準的公有云存儲服務時僅可分享公開級別的公司數據；當員工使用公司IT批準的公有云存儲服務時，則可以存儲公開或普通機密級別的公司數據，但嚴禁存儲高度機密數據；當員工使用公司的私有云存儲時，則可以存儲各個級別的公司數據。”

3.4 策略要點解析

不論云存儲服務安全策略的形式如何，企業的制定策略內容時有幾個重要的關注點不可忽視：

（1）全面說明基本安全要求

企業有權根據自身實際情況來說明對各方面的信息安全需求，而且越全面、越明確的安全需求越有利于對后續工作的指導。有了基本安全要求，各部門在碰到云存儲服務相關的安全問題時，就可以找到依據并做出自己的合理判斷，而這個判斷的結果也會是企業希望員工遵守的行為。

（2）聲明對法律法規的符合性

企業必須要明確規定在使用云存儲服務時必須遵守國家法律法規、符合公司策略精神，不得違反基本道德要求。另外，對于涉及國家政府、公眾客戶信息等情況，要經過專門的風險審查，以確保企業充分了解相關風險。除了知識產權保護、隱私保護等通用法規，還特別要注意與云存儲相關的一些法規，包括不同國家和地區對云存儲的一些特殊規定。

（3）說明基本的安全控制要求

為了滿足對云存儲的各種安全需求，需要針對不同需求情況作出基本的安全控制方面的規定和說明。控制措施可以寬松也可以嚴格，建議企業根據自身安全需求來考慮。云存儲相關的常見控制包括：云存儲制定分級的安全服務、存儲操作的追蹤和問責、加強安全管理管控等。

（4）企業要聲明自己的權利

由于云存儲可能涉及到云存儲服務供應商、客戶、員工等，企業在采取信息安全控制措施時，有可能會觸及到各方的利益，而引發爭論和沖突。這時候，策略中如果事先聲明了企業的權利，就有利于相關工作的開展。在合法的前提下，企業有權批準和中斷云存儲服務、有權對云存儲服務活動進行監控、有權對通過云上傳和下載的數據內容進行審查。

（5）說明與其它策略的關系

云存儲服務與企業使用的其它服務同樣存在一些共同的屬性和要求，對于這些共性的安全要求，比如：在數據分類、分級的策略同樣適用于存儲在云存儲服務中的數據。云存儲策略中應該重申對其它相關的安全策略的遵從性。而對于云存儲策略中與其它策略產生沖突的條款，需要對不一致的情況進行說明。盡量保持策略之間的一致性。

3.5 編寫配套文檔

企業的信息安全策略文檔體系通常如圖3所示的金字塔結構。金字塔最頂層是策略文檔本身，在其下層依次有標準、流程、指南等文檔，它們與策略文檔共同構成一個完整的策略文檔體系。

在這個完整的策略文檔體系中，策略文檔處于宏觀層次。策略文檔中規定一個云存儲應用場景要達到哪些安全目標，但策略不會說明如何具體去操作或是使用什么具體技術和規格，更詳細的規定需要通過配套的標準、流程、指南等文檔來定義。其中，標準文檔將涉及更多技術層面的細節，流程文檔則涉及更多管理層面的規定，指南文檔包括更多技術、操作細節、建議和選項。云存儲的流程、標準和指南等文檔的開發與其它方面的文檔開發相似。但是它們要求對云存儲技術和服務有深入的了解，同時還要保持與策略文檔的精神相一致。

3.6 策略后續問題

云存儲安全策略發布之后并不代表可以一勞永逸了，有三個后續問題需要特別重視：

（1）策略落實問題

策略越復雜，落實起來就越有難度。由于云存儲不僅僅涉及到企業自身人員，還涉及到云存儲服務供應商以及其它第三方，所以針對云存儲服務的策略往往比較復雜、策略的落實更有難度。加強反饋和主動測試是兩種有效的落實方法，此外，企業還要積極宣傳相關策略，加強員工的安全意識教育。

（2）策略更新問題

企業首先需要定期審查和更新安全策略，云存儲服務作為一種綜合性的新技術，在技術和應用上仍在不斷快速發展變化，企業需要持續跟蹤云存儲技術的發展、關注針對云存儲的威脅情況，并適時調整云存儲安全策略以覆蓋新出現的風險盲點。其次，企業還要繼續開展云存儲安全相關的流程、標準的建設和完善工作，這部分的工作不是一蹴而就的，需要長期進行。

（3）策略失效問題

在制定云存儲策略時，需要預料各種意外情況。但安全本身就充滿了各種意外和變化，所以要針對于某種失效以及災難的可能情況作出準備，并始終保持警惕，根據實際需要隨時作出調整。

4 結束語

不斷豐富和發展的企業級云存儲服務正在影響著企業的數據存儲方式和信息安全管理方式。面對云存儲服務給企業帶來的新的信息安全風險，企業需要重新審視自身的信息安全管理過程，識別自身風險管理體系中對于云存儲服務風險管理部分的缺失或薄弱環節，并通過分析云存儲服務的安全需求和目標來制定云存儲服務信息安全策略，從而讓企業可以有所根據有所指導地開展安全工作，以確保云存儲服務相關的風險得到了充分而有效地管理。

[1]http://searchcloudstorage.techtarget.com/news/450411407/Cloud-storage-for-enterprise-use-should-spike-in,2017.

[2]https://en.wikipedia.org/wiki/Cloud_storage.

[3]張繼平，龔靖.云存儲解析.人民郵電出版社，2013.

[4]ISO 7498-2-1989,Information Processing Systems- Open Systems Interconnection-basic Reference.

[5]ISO/IEC 15408,Information Technology-Security techniques-Evaluation criteria for IT Security Model-Part 2: Security Architecture.

[6]王世偉，趙付春.企業用戶感知視角下的云計算信息安全策略研究[J].圖書情報工作，2012.

[7] Aaron Wheeler,Michael Winburn.Cloud Storage Security.Elsevier,2015.Chapter 6 Best Practices.

[8]ISO/IEC 27001:2013,Information technology Securit- y techniques-Information security management systems Re- quirements,Chapter A16.