鐵路云計算安全標準研究與實踐

紀 方，田海波，劉鵬宇

（中國鐵路信息科技集團有限公司，北京 100844）

云計算自2006年提出至今，已成為各國信息化建設(shè)的首選。隨著云計算的發(fā)展，相應(yīng)的安全性問題逐漸引起關(guān)注。為進一步提升安全風控能力，各國標準化組織和機構(gòu)都展開了云計算安全標準化工作。本論文重點研究了我國網(wǎng)絡(luò)安全等級保護（簡稱：等級保護）中的云計算安全擴展要求，闡述了鐵路云計算安全實踐情況和中國國家鐵路集團有限公司（簡稱：國鐵集團）主數(shù)據(jù)中心云平臺的等級保護測評情況。

1 云計算安全標準研究概況

1.1 國外云計算安全標準研究概況

2011年，美國國家標準與技術(shù)研究院在NIST SP800-53 的基礎(chǔ)上，根據(jù)云計算的特點制定了《Fed-RAMP 安全控制措施》，給出了云計算環(huán)境下需增強的安全控制措施[1]。2012年，歐洲網(wǎng)絡(luò)與信息安全局（ENISA）發(fā)布了《云計算–信息安全收益、風險和建議》，整理了云計算面臨的安全風險，并在同年發(fā)布了《云計算合同安全服務(wù)水平監(jiān)測指南》，制定了反應(yīng)服務(wù)等級協(xié)議運行情況的8 項指標[2]。2015年，國際標準化組織ISO 下設(shè)技術(shù)委員會發(fā)布了《ISO-27 017：2015 云服務(wù)信息安全管理體系》[3]，提出了7 個針對云服務(wù)的控制措施。同年，云安全聯(lián)盟（CSA）發(fā)布了云安全控制矩陣CCM 3.0，其中包含16 個控制域，136 條控制措施，并于2017年發(fā)布了《云計算關(guān)鍵領(lǐng)域安全指南 V4.0》，對云計算安全中的14 個關(guān)鍵領(lǐng)域進行了詳細描述[4]。

1.2 國內(nèi)云計算標準研究概況

近幾年，國內(nèi)云計算安全的宏觀政策環(huán)境已逐漸完善。2014年，針對政府部門的云計算安全需求，中央網(wǎng)絡(luò)安全和信息化委員會辦公室發(fā)布了《信息安全技術(shù) 云計算服務(wù)安全指南》[5]，制定了使用云計算服務(wù)時的安全管理要求；并針對云服務(wù)商發(fā)布了《信息安全技術(shù) 云計算服務(wù)安全能力要求》[6]，制定了云服務(wù)商應(yīng)具備的安全能力要求。

2019年5月，國家標準化管理委員會正式發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》，標志著等級保護正式進入2.0 時代。該標準已于2019年12月開始正式實行。

2 等級保護研究

2017年《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布實施，其中，第二十一條和第三十一條均明確了等級保護制度的適用范圍

2.1 等級保護1.0 與2.0 的對比

新發(fā)布的等級保護2.0 在10年前的1.0 版本基礎(chǔ)上進行了優(yōu)化，提出了面向云計算等新技術(shù)的安全擴展要求；從被動防御向事前防御、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變；用可信計算等新的防護要求，取代了過時的測評項。等級保護2.0 與1.0 版本相比主要有以下3 個特點。

（1）將云計算等新興技術(shù)的安全擴展要求列入了標準范圍。云計算擴展要求與安全通用要求有較多的重合子項，但也有其獨有的條例，如圖1 所示。

圖1 云計算等級保護技術(shù)要求

（2）依據(jù)等級保護標準，分層面采取“一個中心，三重防御”的體系架構(gòu)，同時，應(yīng)考慮構(gòu)建縱深的防御體系，采取互補的安全措施，保證一致的安全強度，建立統(tǒng)一的支撐平臺，進行集中安全管理的總體性要求[7]，保證等級保護對象的整體安全防護能力。

（3）等級保護2.0 中強化了對可信驗證技術(shù)的使用要求，把其加入到等級保護的各個級別中，如表1 所示，并提出了在各個關(guān)鍵環(huán)節(jié)的可信驗證要求[8]。不同等級保護級別的可信驗證對應(yīng)不同的監(jiān)管要求、保護級和可信保障。

結(jié)合以上3 個要求，從技術(shù)和管理兩方面進行安全設(shè)計，做到可信、可控、可管。

表1 等級保護可信驗證技術(shù)要求

2.2 第三級云計算安全擴展要求研究

云計算安全擴展要求是等級保護2.0 的重要內(nèi)容之一[9]。等級保護2.0 明確了云計算的定義和應(yīng)用場景，基于基礎(chǔ)設(shè)施即服務(wù)（IaaS，Infrastructure as a Service）、平臺即服務(wù)（PaaS，Platform as a Service）和軟件即服務(wù)（SaaS，Software as a Service）3 種不同的服務(wù)模式，提出云服務(wù)客戶和云服務(wù)商的控制范圍和安全責任邊界，并針對其安全責任邊界提出相應(yīng)的安全要求。

等級保護有5 個不同的安全級別，本文主要研究等級保護第三級的安全要求，原因有以下兩點：

（1）等級保護中要求“應(yīng)根據(jù)云平臺承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級，原則上應(yīng)不低于其承載的等級保護對象的安全保護等級”[10]。第三級云平臺可滿足大多數(shù)云平臺應(yīng)用的安全要求。

（2）在等級保護云計算安全擴展要求中，第四級和第三級的主要差異在于，第四級業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)劃分獨立的資源池，承載第四級應(yīng)用的云系統(tǒng)應(yīng)為獨立系統(tǒng)，采取獨立的防護機制。其他安全要求與第三級相比無過多增加。

第三級云計算安全擴展要求中包括7 個安全類、16 個安全控制點和46 個測評項，如表2 所示。

與通用要求相比，技術(shù)安全類仍是“一個中心，三重防御”的體系架構(gòu)。管理安全類則縮減為兩個，主要對云服務(wù)商選擇提出相應(yīng)要求。

在具體測評項中，針對云計算特性增加了保護對象，包括云平臺、虛擬網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)邊界、虛擬機、宿主機、虛擬機鏡像和快照等。

結(jié)合等級保護附錄D 中的責任分擔模型可知，云服務(wù)商與云用戶有著各自的安全責任邊界，在不同云服務(wù)模式下，兩者的控制范圍和安全責任邊界如圖2 所示。

表2 第三級云計算安全擴展要求指標

圖2 云計算服務(wù)模式與控制范圍的關(guān)系

擴展要求中提出云服務(wù)商應(yīng)對云用戶在安全上進行必要的幫助，包括：協(xié)助進行業(yè)務(wù)遷移，支持自行加解密，提供接口或開放性安全服務(wù)。同時，對云服務(wù)商的操作在安全上進行了一定的限制，規(guī)定應(yīng)通過審計、雙向驗證等手段確保云服務(wù)商對云用戶進行敏感操作的安全性和不可抵賴性。

3 鐵路云計算安全等級保護進展情況

3.1 鐵路云計算安全現(xiàn)狀

鐵路行業(yè)云計算安全經(jīng)過多年建設(shè)，初見成效，主要體現(xiàn)在以下兩方面。

（1）云計算安全防護能力不斷提升。2018年，鐵路業(yè)務(wù)網(wǎng)絡(luò)安全一體化保障工程（簡稱：鐵網(wǎng)護欄工程）開始實施，其中包含面向云計算環(huán)境的應(yīng)用安全保障系統(tǒng)模塊，主要用于提升云計算安全防護能力。

（2）等級保護工作穩(wěn)步推進。國鐵集團目前已經(jīng)完成國鐵集團主數(shù)據(jù)中心（簡稱：主數(shù)據(jù)中心）云平臺的定級、備案、測評工作。

3.2 鐵路云計算安全建設(shè)情況

主數(shù)據(jù)中心于2018年6月開始設(shè)計、建設(shè)，采用云計算架構(gòu)，其云平臺定為等級保護第三級。

根據(jù)分區(qū)、分域原則，結(jié)合鐵路信息系統(tǒng)的實際網(wǎng)絡(luò)情況，構(gòu)建了主數(shù)據(jù)中心安全架構(gòu)，如圖3所示。主數(shù)據(jù)中心網(wǎng)絡(luò)可分為業(yè)務(wù)區(qū)和管理區(qū)。外部服務(wù)網(wǎng)與互聯(lián)網(wǎng)之間做邊界防護。內(nèi)部服務(wù)網(wǎng)與鐵路局間網(wǎng)絡(luò)做邊界防護。內(nèi)外部服務(wù)網(wǎng)之間由內(nèi)外網(wǎng)安全平臺進行邊界防護。

3.3 鐵路云計算安全等級保護測評情況

國鐵集團在2019年遵循等級保護制度，完成了對主數(shù)據(jù)中心云平臺的等級保護定級、備案和測評等工作。主數(shù)據(jù)中心云平臺針對其面臨的主要安全風險，采取相應(yīng)的安全控制措施，基本滿足了等級保護第三級中的安全要求[11]。

（1）基礎(chǔ)環(huán)境方面。主數(shù)據(jù)中心云平臺所在機房具有防風、防雨、防震等基本能力，機房配備有視頻監(jiān)控系統(tǒng)、自動消防系統(tǒng)、電力供應(yīng)系統(tǒng)等安全防護措施。網(wǎng)絡(luò)、主機層面采取充分的冗余措施，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等均在上線前按照要求統(tǒng)一進行基線配置核查和漏洞掃描，并根據(jù)檢查結(jié)果進行安全加固。

圖3 主數(shù)據(jù)中心安全架構(gòu)

（2）安全控制措施方面。主數(shù)據(jù)中心云平臺按照等級保護責任分擔模型，在基礎(chǔ)結(jié)構(gòu)安全中部署有終端安全防護、主機安全防護、補丁管理系統(tǒng)、日志審計等安全控制措施；在縱深防御體系中部署有邊界網(wǎng)絡(luò)安全設(shè)備、虛擬化網(wǎng)絡(luò)安全設(shè)備、主機防病毒、運維審計、漏洞掃描等安全措施；在積極防御體系中部署有態(tài)勢感知平臺、集中安全管理平臺。符合等級保護中“一個中心，三重防御”的安全要求。

（3）安全責任制方面。主數(shù)據(jù)中心云平臺的安全管理機構(gòu)較為完善，責任明確，成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，制定了《信息安全方針策略》，明確定義部門及各個工作崗位的職責[12]。

（4）管理制度體系方面。建立了由安全策略、管理制度、操作規(guī)程等構(gòu)成的安全管理制度體系，制定了信息安全工作的總體方針和安全策略，確定了機構(gòu)安全工作的總體目標、范圍、原則和安全框架等[13]。制度涵蓋崗位配置與職責、人員管理與培訓(xùn)考核、軟件開發(fā)、工程實施、資產(chǎn)介質(zhì)管理、備份與恢復(fù)管理、變更與應(yīng)急管理等。

（5）系統(tǒng)規(guī)劃與建設(shè)方面。制定了《中國鐵路總公司主數(shù)據(jù)中心項目信息系統(tǒng)集成工程施工圖》，包含云平臺的安全設(shè)計方案及工程實施方案，內(nèi)容覆蓋云平臺基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)字證書等方面。

4 結(jié)束語

本文分析了國內(nèi)外云計算安全標準的研究情況，并對我國新發(fā)布的等級保護制度中的云計算安全擴展要求進行了重點研究。基于等級保護第三級要求，研究了云服務(wù)商與云用戶的相互關(guān)系，結(jié)合主數(shù)據(jù)中心云平臺實際情況，對基礎(chǔ)環(huán)境、安全控制措施、安全責任、管理制度體系等方面進行了全面分析與論述。

目前，本文只研究了主數(shù)據(jù)中心云平臺的測評情況，根據(jù)等級保護定級的要求，主數(shù)據(jù)中心云平臺承載的信息系統(tǒng)同樣需要滿足等級保護的相應(yīng)要求。未來可結(jié)合具體的鐵路信息系統(tǒng)，對云用戶端等級保護的建設(shè)和測評情況進行深入研究，為鐵路云計算安全合規(guī)性建設(shè)提供參考。