网络安全等级保护云计算安全防护技术体系设计

随着云计算应用越来越广泛，政务、通信、金融、电子商务等越来越多的领域开始使用云计算，云计算服务正稳步成为IT基础服务和信息技术关键基础设施。云计算从2008年至今，经历了技术储备期、服务发展期，基于其独特的优势，例如减少开销和能耗、提高业务的灵活性、按需服务、提升业务系统可用性和高可扩展性等，可为用户提供更加便捷且成本低廉的服务，云计算服务正向模式成熟期迈进，期望实现方便、快捷、按需获取服务的远景目标。

然而，在云计算发展过程中安全可信问题成为阻碍其发展的首要因素。尤其云计算服务具有按需自助服务、资源池化、泛在接入、快速弹性伸缩、服务可计算等五大特征，并且具有公有云、社区云、混合云和私有云等四种部署模式，IaaS、PaaS和SaaS三种主流的服务模式，云计算服务提供者和云服务客户两大责任主体，因此，如何确定安全责任，如何定级、如何监管、如何进行安全防护技术体系设计都具有前所未有的难度。

此次修订对云计算平台、系统的扩展设计要求进行了规范，针对不同安全等级的云计算平台或采用云计算技术的信息系统明确安全设计目标、确定安全设计策略，并提出包括第一级至第四级云计算平台系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。适用于指导网络安全等级保护云计算平台系统安全技术方案设计和实施，也可以作为网络安全职能部门对云计算平台系统进行监督、检查和指导的依据。

确定定级对象

1云计算功能框架

云计算功能架构分为五个逻辑层，资源层、云服务层、云访问层、云用户层和云管理层，具体如图1所示。

云用户层：云用户指访问云计算平台的各类用户，包括云服务提供者和云服务使用者。用户层主要是指云服务与租户或云用户的交互界面，例如云服务使用者对云资源的管理、对云服务的监控，云服务使用者向云服务提供者追加或减少云资源的订购等。

云访问层：访问层主要面向云服务提供者、云服务使用者提供访问和管理，包括网络通信访问、面向云服务提供者和使用者的服务访问以及面向最终用户的应用访问等，各层之间的粗实线表示访问的接口。基于访问层，云服务使用者可以实现对云服务的自动或手动访问。访问层访问云服务的方式是多样的，可以基于浏览器的方式，也可以基于远程通信的方式（例如WebService）。实现安全控制是访问层的重要功能，主要包括授权、访问特定服务的请求安全加固和完整性校验、通信协议管控等。

云服务层：云服务层主要是面向用户提供虚拟机等基础服务、平台服务和应用服务，也可以分为网络服务、弹性计算服务、云存储服务以及面向用户的应用服务，主要的服务包括但不局限于负载均衡、虚拟主机、对象存储服务、分布式数据库与大数据计算服务等。
资源层：资源层包括云资源层和硬件设施层。云资源层包括网络资源、计算资源和存储资源等的资源池，并实现资源管理、任务调度和服务管理等方面功能。硬件设施层主要包括计算存储设备、网络设备和安全设备等硬件设备及硬件设备的运行环境等。
云管理层（跨层功能）：云管理层主要是跨层访问功能的集合，包括对云服务的业务管理、云平台及云服务的运维运营管理、以及对云平台系统和服务的安全管理。业务管理主要包括产品目录、账户管理、计费等；运维管理主要包括服务策略管理、服务水平协议等；安全管理主要包括认证管理、授权管理、审计管理等。

2定级对象确定及管理职责划分

云计算保护环境是云服务商的云计算平台，及云服务客户在云计算平台之上部署的软件及相关组件的集合。其中，云计算平台的等级保护定级和按照等级的保护工作由云服务商负责，对于大型云计算平台可以将云计算基础设施平台及辅助支撑系统划分为不同的等级对象，各自独立定级。如果云服务客户在云计算平台上部署的软件及相关组件可以构成等级保护定级对象，则一般称为云服务客户信息系统，针对其的具体定级和按等级开展的保护工作由云服务客户负责。

云服务商的云计算平台可以承载多个不同等级的云服务客户信息系统，云计算平台的安全保护等级应不低于其承载云服务客户信息系统的最高安全保护等级。对于提供公共服务的云计算平台安全保护等级应不低于第二级。

定级的重点在于定级对象管理职责的划分，根据不同云服务模式职责划分边界有所不同，具体如下：

对于IaaS基础设施服务模式，云服务商的职责范围包括虚拟机监视器和硬件，云租户的职责范围包括操作系统、数据库、中间件、应用；
对于PaaS平台即服务模式，云服务商的职责范围包括虚拟机监视器、硬件，操作系统、数据库、中间件，云租户的职责范围主要为应用；
对于SaaS软件即服务模式，云服务商的职责范围包括虚拟机监视器、硬件，操作系统、数据库、中间件、应用。云租户的职责范围主要有用户访问和用户账号安全。
根据数据安全管理职责不变的原则，业务数据永远由云租户负责，但是对于数据的传输、存储等完整性和保密性措施是否能够实现则取决于云计算平台提供的安全功能或服务。

3确定安全保护对象

相对传统信息系统，云计算平台或系统的安全保护对象所有增加，具体如表1所示。

云计算安全防护体系框架建立

云安全防护技术体系是云计算平台或系统安全建设的重要指导和依据，我们将等级保护思想融入到云安全防护体系的构建，清晰描述了云安全防护体系建立的原则及方法，提出了基于等级保护的云安全防护技术体系框架。

1云安全防护技术体系的设计方法

首先，明确保护对象；
其次，采用蛛网图法分析保护对象所面临的安全威胁及自身所存在的安全漏洞；
最后，结合威胁分析和系统的脆弱性提出安全防护措施。
利用蛛网图法提出了针对保护对象的安全威胁、脆弱性及安全保护措施分析方法，具体如下图所示：

1. 威胁及漏洞分析：可针对云计算信息系统的保护对象从威胁场景、威胁来源和威胁对象三个方面来分析云计算信息系统所面临的安全威胁、自身的弱点以及潜在影响和发生的可能性等因素，进而分析并确定具体的安全防护需求。利用此分析方法，识别出近百种安全威胁场景，包括虚拟机逃逸、虚拟机间相关攻击、恶意虚拟机进行网络攻击、API持续攻击等。并且根据不同等级信息系统应该实现的安全防护能力，明确不同等级云计算系统应对抗的安全威胁。

2. 防护措施：对于云计算安全防护措施的选定，可采用德尔菲法来进行，广泛邀请云计算安全领域“政、产、学、研”的专家参与，充分利用专家的经验和学识，确保建立的安全防护措施能够对抗相应等级云计算系统面临的安全威胁。

2云安全防护技术体系框架

基于上述方法明确云计算安全保护措施是单点的、离散的，无法体现出云计算平台或云计算信息系统整体防护、纵深防护的思想，更重要的是针对云计算服务的两大责任主体的责任边界需要明确，只有根据职责明确一个组织建设云计算平台或云计算信息系统的目标、对象、范围，才能更好的进行安全设计、规划和建设实施。云计算安全防护技术体系框架设计方法：
根据云计算安全防护体系框架设计方法，我们需要以云计算平台或云计算信息系统的界定及特征为基础，充分考虑云计算的功能框架和服务模式；云计算功能框架包括用户层、访问层、资源层、服务层和管理层（跨层功能），服务模式主要包括IaaS 、 PaaS 和SaaS，不同服务模式云服务商或云计算服务提供者与云租户或云计算服务使用者的责任边界不同；
以等级保护“一个中心，三重防护”的纵深防护思想为指导，从通信网络到区域边界再到计算环境进行重重防护，通过安全管理中心进行集中监控、调度和管理，经过20年的信息系统安全建设实践，证明这是非常有效的安全设计指导方法。
云计算安全防护技术体系框架具体如图下图所示：

用户通过安全的通信网络以网络直接访问、API接口访问和Web服务访问等方式安全地访问云服务商提供的安全计算环境，其中用户终端自身的安全保障不在本部分范畴内。

安全计算环境包括资源层安全和服务层安全。

其中，资源层分为物理资源和虚拟资源，需要明确物理资源安全设计技术要求和虚拟资源安全设计要求，其中物理与环境安全不在本部分范畴内。

服务层是对云服务商所提供服务的实现，包含实现服务所需的软件组件，根据服务模式不同，云服务商和云服务客户承担的安全责任不同。

服务层安全设计需要明确云服务商控制的资源范围内的安全设计技术要求，并且云服务商可以通过提供安全接口和安全服务为云服务客户提供安全技术和安全防护能力。

云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。结合本框架对不同等级的云计算环境进行安全技术设计，同时通过服务层安全支持对不同等级云服务客户端（业务系统）的安全设计。

分等级安全设计实现

修订中的云计算要求的级差与原标准保持一致。但是考虑到公共云平台会部署多个租户、多个业务系统，一旦云计算平台发生安全事件，影响范围较大。因此，公共云的云计算平台安全保护等级最低应该为二级。

结合云计算安全防护技术体系框架，针对不同等级云计算平台或云计算信息系统的明确具体的安全设计目标、策略和技术要求，具体如下：
第1步：基于上述分析和云等保系列标准的强度要求，确定各等级云计算平台安全设计的设计目标、设计策略；
第2步：从安全计算环境、安全区域边界、安全通信网络和安全管理中心等维度明确安全技术要求，明确具体安全机制；
第3步：结合云计算功能框架各个层次以及具体保护对象，针对各个功能层次及保护对象的安全技术机制实现的要求。

云计算的总体框架如下图所示：

在安全计算环境方面，主要增加了虚拟化安全、接口安全、镜像和快照安全等云计算安全相关的控制点，同时也将身份鉴别、访问控制等安全控制措施与云计算不同层次对象安全特性相结合提出相应的安全措施，上图给出了针对第三级接口安全、镜像和快照安全的具体设计要求。

区域边界设计除了互联网边界、第三方边界、不同物理区域的边界安全防护外，增加了虚拟网络区域边界、虚拟机与宿主机之间的区域边界等防护安全要求。安全通信网络在物理通信网络基础上增加了虚拟网络通信的安全保护要求，安全管理中心高等级增加了对云计算安全态势的预测、预判能力要求以及运维地域的限定要求。

小结

随着云计算技术的应用和推广，政务、金融、通信、公共服务等越来越多的行业和领域开始进行云计算平台建设，云计算安全与云计算平台系统建设同步规划、同步设计是迫切需要解决的问题，亟需相关的标准出台给予指导。

本文提出云计算安全防护体系设计的方法论：
首先，研究云计算平台或采用云计算技术的信息系统的界定及突出特征，确定定级对象及安全保护对象；
其次，分析云计算平台或云计算系统面临的安全威胁；
第三，按照“一个中心，三重防护”的纵深防御思想进行云计算平台安全防护体系设计；
第四，给出安全体系结构实现的技术方法，即安全设计要求指标体系；
最后，结合等级保护不同等级的级差特点，明确不同等级的技术要求，并给出结合云计算功能框架、保护对象的安全保护机制实现技术要求。

修订工作分别针对公共云、行业云和某单位政务云安全建设开展了试点验证，在安全解决方案设计和安全建设过程中具有重要的指导作用，大大提升了试点平台系统的安全防护能力。目前，云计算建设、应用越来越广泛，大型云计算平台已经成为国家关键基础设施，保障云计算的安全成为关注焦点，标准的颁布实施将成为指导云计算安全、稳定和健康发展的基石。