云的等級保護*

趙尚偉，陸寶華

（1.太極計算機股份有限公司，北京 100000；2.雄安新區管理委員會，河北 雄安 071000）

0 引 言

“云怎么分等級？”這是一位院士在一次網絡安全大會上提出的問題。

筆者試圖就這個問題進行分析。

云：是利用虛擬機技術，通過軟件定義并根據用戶的計算任務來分配算力，為用戶提供按需服務的計算資源的集合。而這個集合往往是由成百上千臺甚至是更多物理計算資源組成（一般為PC 服務器）。

等級保護：1994 年第一次提出等級保護，是指對信息和信息系統分等級進行保護。等級的劃分是依據GB/T 22240—2008《信息安全技術 信息系統安全等級保護定級指南》[1]來進行的。

對于云來說，可以為用戶提供IAAS（基礎設施即服務）、PAAS（平臺即服務）和SAAS（軟件即服務）服務。無論何種服務，云和用戶之間，都是建立由云提供給用戶的服務，只是這種服務，用戶主導權的大小是不一樣的，對于IAAS來說，云僅僅給用戶提供基礎設施和所有的物理算力資源；而對PAAS 來說，云不僅提供基礎的物理算力資源，同時還提供系統平臺軟件，僅應用程序是由用戶自己部署；對于SAAS 來說，云給用戶提供完全的服務，用戶可以直接使用。

1 動態信息系統

云無論給用戶提供何種服務，當云將某些算力提供給用戶之后，在用戶使用這些算力的過程中，這些算力與用戶的終端設備，就構成一個動態信息系統，如圖1 所示。對于這個信息系統，它的安全等級可以依據GB/T 22240—2008 給出的方法進行確定。

圖1 動態信息系統的生成

因此，信息系統可以按照等級保護的各類標準進行保護。但必須清楚的是，算力資源是動態分配出來的，在某一個時段，這個算力資源是屬于這個信息系統的，而在下一個時段，這個算力資源可能屬于其他的信息系統。

對于信息系統，1994 年，中華人民共和國國務院令第147 號發布的《中華人民共和國計算機信息系統安全保護條例》給出的定義是：“由計算機及相關和相配套的設備、設施（包含網絡）按照一定的應用目標和規則，對信息進行采集、加工、存儲、傳輸處理的人機系統。”當時的專家們很嚴謹地給信息系統進行準確的定義，具有以下幾層含義：一是計算機及相關和相配套的設備、設施（包含網絡），這是構成信息系統的物理資源；二是一定的應用目標和規則，說明一定具有特定的應用，沒有特定應用，無論網絡規模有多大，都不是信息系統，而是基礎信息網絡；三是對這個應用下的信息進行各類處理；四是包括使用這個系統的管理、運行、編寫和維護系統的人。

云中心所提供的算力資源與相關的租戶和租戶的授權用戶，以及相關的、相配套的設備、設施（包含網絡）構成了一個獨立的、動態的信息系統。

2 動態信息系統與信息系統之間的差別

動態的信息系統與傳統的信息系統存在以下幾個差別：

差別一：傳統的信息系統安全責任完全由這個信息系統的運維者負責，責任邊界是清晰的，而對于動態的信息系統來說，安全責任則必須由云中心與租戶共同承擔。

差別二：傳統的信息系統提供核心算力的物理服務器，是該用戶組獨享的。而云給這個用戶組提供的算力資源則是要與其他的用戶分時共享，也就是說，這個算力資源組在為當前用戶組提供服務之后，還可能為其他用戶組提供服務。這個差別提示我們，當前用戶組使用的內存資源，在當前用戶組撤消后，其他的用戶組仍然要使用這個內存資源。而當前用戶在使用內存時的數據包括用戶業務數據和SSF數據（包括用戶登錄信息數據、授權數據、審計數據等與安全相關的數據），在這段內存中并沒有真正的消除。下一個用戶如果存在惡意，使用一些數據恢復工具就可以把這段內存中的數據恢復并讀出，導致前一個用戶的數據泄露。

差別三：傳統的信息系統是以物理服務器作為核心的算力資源，此時服務器與用戶之間通過網絡進行有效聯結，這種聯結通道和邊界是清晰的，而在云環境下，由于使用虛擬計算資源，往往可以在一臺物理機上虛擬出若干個虛擬機，會共享CPU、共享內存和總線等一些資源，就難免出現不同虛擬機之間通信的暗通道，即東西向流量問題。雖然我們可以利用指針等技術，將內存進行分段，但其可靠性不強。以前發生的緩存區溢出漏洞，其機理與之相同。

差別四：傳統的信息系統不存在算力核心資源在計算的過程中發生遷移的問題，而在云所提供的算力核心資源中，這種遷移是有可能發生的。

差別五：在傳統的信息系統中，數據在外存儲器中的存儲過程，用戶組是可以完全控制的，一般與這個用戶組無關的人員，除非獲得特別許可或者是通過入侵的手段，才有可能獲得外部存儲器中數據的控制權。但在云環境下，就會存在以下一些情況，導致在外部存儲器中的數據，在用戶未授權的情況下被遷移，甚至被復制。例如，當云的外部存儲器容量不夠用時，一些云系統會將部分用戶的冷數據、溫數據向其他的存儲池中遷移；云的維護人員可能在未授權情況之下，利用工作和管理上的漏洞，對這些數據進行復制甚至是克隆。

3 解決方法

云平臺等級保護解決方法主要針對云環境的差異分析和對策，從云租戶安全責任劃分、剩余信息保護、虛擬機隔離防護等方面進行考慮。

3.1 云租戶的安全責任劃分

解決上述差別一，需要清晰地劃分出關于云與租戶之間的安全責任，實際上有相應的國家標準（參考GB/T 31167—2014 和 GB/T 31168—2014），在此，我們還可以考慮比IAAS、PAAS、SAAS 服務更細的安全責任劃分。

云平臺必然要涉及以下的幾個層面，如圖2所示：

圖2 云計算中心分層

機房環境層：包括接地、防雷、消防、電磁防護、溫濕度控制、防水、人員的管控、鼠害、有害氣體防護等，除此之外，還要考慮供電保護。這些安全責任，由云中心負責，租戶可以提出特殊的安全需求。

物理算力資源層：服務器或者小型機，這些是物理計算設備，形成核心的算力資源。任何物理設備自身也存在安全風險，例如BIOS 安全問題。

公共外部存儲資源層：包括磁性介質、光介質。

虛擬化工具層：Hypervisor 是虛擬必備的系統工具軟件，這個層要保證各虛擬機之間隔離的基礎。對于云中心來說，隔離的任務包括應用（不同租戶）之間的隔離；獨立應用（一個租戶）內，不同用戶之間的隔離；系統與應用之間的隔離。虛擬機之間防止東西向流量是最基本的隔離。

操作系統及數據庫等系統軟件層：系統軟件中的安全子系統提供了最基本的用戶授權訪問機制，系統軟件的安全等級決定著信息系統安全等級的基礎，同時系統軟件也提供了對應用程序安全機制的基礎保證。

應用程序層：應用程序是實現用戶信息使命的關鍵，在這一層里必須要考慮相應的安全機制。操作系統、數據庫和應用程序共同構成完整的計算環境，這個計算環境必須解決主體對客體操作的“正確授權”問題。

網絡層：網絡層不僅解決用戶與云之間的網絡通信連接問題，同時也要解決在云內的多個虛擬機之間的連接。網絡連接中存在很多安全問題，例如，信道安全、網絡邊界安全、節點安全等。

數據層：數據對于用戶來說，是最重要的資源，無論是從資產屬性還是從生產要素屬性上來看，其重要性不言而喻。從授權的角度來看，用戶數據授權訪問的權利和責任是云租戶的，但是，云要對租戶的授權機制給予保證。

對于信息系統來說，安全任務有基本兩項，一項是數據保護，核心是基礎；另一項是系統所提供服務功能的保護。由于云具有大冗余的基礎，所以服務功能的保護是容易實現的，當遭到拒絕服務攻擊時，需另當別論。

最核心的安全任務是保護數據。我們要解決的是“保證正確授權操作”的問題。授權操作是在計算環境中，由系統軟件和應用程序共同實現，如何授權、是否正確，則應該由租戶根據策略來決定。而其他的層面，都需要對這個授權機制提供相應保證。

安全責任的劃分應該遵循一個基本原則，除開機房（云中心負責全責）和數據（用戶負責正確授權訪問、云提供保證機制），其他各層的安全責任，應該是誰提供誰負責。

3.2 剩余信息保護問題

剩余信息主要包括硬盤的存儲空間和應用程序在內存中遺留信息，鑒于云平臺內存共享的特性，增加了對剩余信息保護難度。剩余信息保護需要遵循GB/T 22239—2008《信息安全技術 信息系統安全等級保護基本要求》[2]中技術和管理要求。

3.2.1 要求

在傳統的信息系統中，差別二剩余信息保護的問題也是存在的，為此，國家的等級保護標準中明確規定，要解決剩余信息保護的問題（也稱客體重用），這一點對需要機密性保護的數據來說，是非常重要的。需要機密性保護的數據包括所有的安全功能數據（SSF 數據，也有標準中稱之為TSF 數據）和一些標記為保密保護要求較高的數據。

但是，在傳統的信息系統中，由于大家認為設備和人員都是內部的，基本上沒有對剩余信息進行保護。在云環境下，這個問題變得突出，由于內存具有共享特性，在沒有相應防范措施的情況下，可能會導致嚴重的機密性數據泄露，甚至是更嚴重的安全問題出現。

剩余信息保護解決方法也要考慮分等級。對于二級以下信息系統，應該考慮從安全屬性上進行分析，同時TSF 數據是需要保護的，在當前用戶退出后，下一個使用用戶不可以用任何方法獲知當前用戶的所有登錄信息。對于用戶數據如果是安全等級為一級的，則可以不必要考慮。而對于完整性保護，則完全不需要剩余信息保護。

而對于三級以上，需要機密性保護的數據，則一定要做好剩余信息保護，要比二級的強度更高。

3.2.2 解決方案

在信息系統中，數據保護極為重要，特別是標記為機密性三級以上的數據和TSF 數據，絕對不可以泄露。建設云平臺，必須要考慮到這一點，我們現在對云的管控水平還處于低水平和粗放階段。

在云管中心，要增加對動態信息系統的安全等級識別能力。這種識別可以是預先登記的，也可以通過對數據標簽的識別來確定，凡處理標記為機密性三級的數據，其相關的信息系統安全等級必然是機密性三級。

對于不同安全等級的信息系統和標記為機密性三級以上的數據及訪問該數據的主體進行識別。動態信息系統為三級的應用，對標記為機密性三級的數據所使用過的內存，在當前用戶退出后，該內存區域必須進行全0 全1 的多次覆蓋，以確保在分配給新用戶之前，這段內存中所保留的數據痕跡全部清除且不能被恢復。

3.3 隔離問題

對于差別三，云的隔離機制，這里要求的隔離包括：系統與應用的隔離、應用與用戶的隔離、用戶與用戶的隔離、不同應用之間的隔離和虛擬機之間的隔離。

在傳統的信息系統中，除了虛擬機的隔離，其他的隔離方法一般是利用內存的指針對內存劃區進行隔離。只是這種隔離可靠性較低，例如緩存區溢出的漏洞就能破壞這種隔離。

3.3.1 虛擬機之間的隔離

針對虛擬機之間的隔離，目前已經有了一些技術和產品，但是，是否完全可靠，同時對資源的消耗等問題，是接下來要考慮的。簡單介紹兩種方案，一種方案是在每臺物理機中，抽出一臺虛擬機，將其定義為防火墻，所有在這臺物理機上的流量，必須通過這個虛擬防火墻，安全策略由這個防火墻進行管控。另一種方案是在每臺虛擬機上安裝相應的Againt 工具，所有的系統操作都要通過這個代理工具。

這兩種方案在實際操作中還存在著一些問題，其根本問題在于這兩種方案都沒有和等級保護思想結合起來。對于安全要求較低的信息系統，沒有必要配置高強度的隔離，從而減少系統開銷、增強應用效率；對于安全要求較高的信息系統，安全是第一位的，犧牲一些系統開銷則是必要的。對于一個云平臺來說，如果我們不按照等級保護思想，對動態的信息系統加以分析，就可能帶來系統安全性差，開銷重的后果。

因此云的管理中心需要對動態的信息系統進行識別，對于安全要求較高的信息系統，要實現強度足夠的隔離，而對于大量的、對安全要求不高的信息系統，則可以降低系統的開銷，更加方便于應用。

3.3.2 其他的隔離

對于其他的隔離機制問題，仍然可以采用內存劃區管理的方法來解決，需要特別說明的是，對于云來說，雖然面向的可能是一個用戶團隊，但是這個團隊在云上可能具有多個應用系統，不同的應用系統，每個主體的權限是不一樣的，就算是同一個主體，在不同應用中扮演的角色不同，其權限也是不同的，所以應用之間的隔離是必須的。

3.4 計算任務的遷移問題

對于差別四，要考慮到兩大類的遷移，一個是計算任務的遷移；另一個是數據從原來的存儲容器中，向其他的容器遷移。

在遷移過程中，可能會發生計算任務、數據丟失的問題，說到底是虛擬機發生變化的問題，分配給某一虛擬機的CPU 及內存資源發生了變更，可能是擴大或者縮小，還有可能是發生完全的遷移。

提出的要求是在云上，計算資源是與計算任務相匹配的，當云管中心發現資源有變動時，就可能發生計算任務的遷移問題。在計算任務遷移過程中，要保證計算任務、相關主體和相關數據不丟失。

最保險的辦法是在計算任務結束之前，相關的虛擬機資源不作大的變更，如果確實需要變更，也應該僅僅是在原來的物理主機上進行擴大或者縮小，盡可能不進行跨物理機的變更，更不要實現跨網的變更。

對于數據從容器中遷移，建議一定要做到源數據與元數據的同時遷移，保證遷移后的關聯并未發生改變。

3.5 云內部的管理問題

對于差別五，提出以下要求：

（1）云管中心的運維人員，必須從后臺通過堡壘機，登錄到云中。

（2）不允許云管人員進入用戶的應用系統中。

（3）不允許在未經許可的情況下，查看各類用戶數據。

（4）機房要有視頻監控設備，并且沒有死角。

（5）機柜上要有監控功能，同時還要有相關的日志審計數據。

最好的方法是一旦虛擬機分配出去后，所有對這臺虛擬機的管理權和控制權完全交給用戶，減輕云平臺責任的同時使用戶放心很多。突出說明一個維護問題，特別是各類補丁的升級問題，應該建立一個好的機制，云平臺向各虛擬機的管理維護人員推送相關的補丁程序，由各管理維護人員自行進行升級，并將升級證明回送給云平臺的管理人員。

4 結 語

在云計算高速發展和應用普及的同時，也面臨著安全問題所帶來的挑戰。對于云計算的安全防護問題并沒有真正解決好，還需要在不斷發展中進行完善，“保證正確的授權操作”是我們要牢牢記住的綱。