云计算的环境下信息安全等级保护测评的研究.docVIP

云计算的环境下信息安全等级保护测评的研究 　　摘 要：安全问题是制约云计算发展的重要因素，如何判断云服务安全性是否可以达到安全要求，需要在现有的等级保护体系下进一步丰富完善涉及云计算相关的内容，为等级测评提供必要的依据。文章在教育等级保护测评中心实际测评工作实践基础上对信息安全在云计算环境下面临的新挑战与问题进行了分析，提出信息安全等级保护建设在云计算环境下的若干建议，并就如何对云计算环境进行等级测评提出参考办法，给出了云计算环境下信息安全等级保护的思考，阐述了云计算相关安全标准和配套法规目前不够完善，亟需补充加强。 　　关键词：云计算；等级保护；等级测评 　　中图分类号：TP319 文献标志码：B 文章编号：1673-8454（2016）11-0013-05 　　引言 　　云计算（cloud computing）发展如火如荼，在各个行业都得到了广泛应用，政府部门以及产业界和学术界对此非常关注。云计算的本质就是将大量计算资源统一整合，这个资源远离终端用户，通过网络高速链接提供给用户进而云化，这里的计算资源也包括了存储资源以及软件资源。云计算服务商藉此对外提供便捷的IT 服务。云计算可以说是继互联网经济繁荣以来IT 产业的又一个重要增长点，其主要特点是成本低、通用型、可扩展性强、服务灵活。云计算极大提高了IT资源的使用效率，但也必须充分认识到这一新技术的发展给用户的信息资产安全及隐私保护等带来了巨大威胁和考验。安全问题是云计算服务使用过程中用户最为关注的关键性问题。伴随随着云计算应用的不断推广与普及，云计算安全与否已成为用户选择云计算服务商的重要因素之一。从国家层面到许多信息安全企业以及学术研究团体、国家标准化组织对云计算安全课题已经开始进行研究，同时国内外云服务商联合传统安全厂商也在研究开发基于云计算的信息安全产品并有一些应用。本文拟通过对当前云计算所面临的安全问题以及云计算环境下等级保护工作开展中遇到的问题进行分析与总结，探索云计算安全等级保护建设和测评的方法，希望可以为各测评机构和用户在云计算安全与信息系统安全等级保护工作实践做出有益的探索。 　　一、云计算概述 　　根据NIST对云计算的定义：云计算是一种基于互联网实现的可以随时随地、按需、便捷地访问共享资源池（如计算设施、存储设备、应用程序等）的计算模式[1]。 　　云计算融合与发展了互联网技术、分布式计算、大规模资源管理等技术，云计算的应用研究是一个复杂的系统工程，其知识领域覆盖了信息安全、虚拟化资源管理、云数据中心管理、大规模数据处理等重要问题。云计算最主要的特征，就是提供按需服务的弹性资源，其主要特点有：运用虚拟化技术、低成本、高可用、高可靠、横向扩展能力强、按需服务、不受规模限制等特点。 　　云计算服务可以分为三个层次：基础设施即服务（IaaS， infrastructure as a service）、平台即服务（PaaS， platform as a service）、软件即服务（SaaS， software as a service）[2]。其中： 　　（1）IaaS基础设施服务：封装云数据中心的基础设施，为用户提同服务，提供给用户不同的操作系统，数据库软件等来部署不同的业务，自主完成应用系统的搭建，典型的如Amazon的EC2、S3、VPC等分别为用户提供计算、存储和虚拟网络服务； 　　（2）PaaS平台服务：通过整合各种应用程序所需的运行环境对外提供服务，用户只需安装自己的软件即可，典型的有微软的AZURE； 　　（3）SaaS软件服务，是云服务商将应用软件以服务的方式封装提供给用户，用户可以不要安装部署任何软件，直接使用云端提供的服务（预装软件）即可，微软的Office Live就是这样的一种服务。 　　云计算服务的参考体系架构[3]可以用图1表示。云计算服务管理的重点是对云计算核心服务（IaaS、PaaS、SaaS）进行管理，保证这些服务的安全性、可用性、可靠性等是有保障的。服务管理的内容主要包括云计算的安全管理、云计算服务质量保证、云计算服务计费管理、资源监控等。云计算服务管理的的核心是云平台本身的运行管理和服务质量管理。 　　云计算部署可以分为公有云、私有云、混合云和社区云四种[4]。其中公有云，是由云服务商负责搭建并以服务的方式提供给用户共享使用的云环境；而私有云一半是由企业自己出资独立构建并只为用户自己使用的私有云环境；混合云是对前两种云部署模式的折衷，用户一方面部署了自己的私有云，此外由购买使用第三方的公有云服务，通过一定技术手段实现了公有云和私有云之间的数据和应用交互；所谓社区云则是指那些有着共同利益的企业和用户自己出资的共享基础设施的云环境，本质是一种私有云，只是不是由一个用户独立投资建设使用。 　　二