云的等级保护

摘 要

在当前新基建浪潮中,cloud平台的安全防护工作逐渐成为关注焦点,主要从三个方面进行探讨:一是cloud platform的概念理解与应用;二是cloud computing中的分层架构设计;三是cloud平台的安全防护策略实施。对比分析了两者的异同点,并深入探讨了当前cloud computing面临的主要挑战以及潜在的安全隐患,重点阐述了cloud platform管理系统需要强化的能力:一是动态系统的安全等级划分;二是数据属性的标签化管理;三是核心主体的安全性标识。

内容目录：

0 引 言

1 动态信息系统

2 动态信息系统与信息系统之间的差别

3 解决方法

3.1 云租户的安全责任划分

3.2 剩余信息保护问题

3.2.1 要求

3.2.2 解决方案

3.3 隔离问题

3.3.1 虚拟机之间的隔离

3.3.2 其他的隔离

3.4 计算任务的迁移问题

3.5 云内部的管理问题

4 结 语

０引 言

“云怎么分等级？”这是一位院士在一次网络安全大会上提出的问题。

笔者试图就这个问题进行分析。

云概念基于虚拟机技术，在线提供弹性伸缩的计算资源池。该软件通过自动分析用户计算任务需求，在线划分算力资源，并动态管理由数百甚至数千台物理服务器组成的弹性服务集群。

等级保护概念：自1994年起首次提出该概念。它是指对信息资源与信息系统实施分级保护的制度化管理措施。其划分依据是国家信息安全管理标准GB/T 22240—2008《信息安全技术 信息系统安全等级保护定级指南》。

对于云计算而言，在线基础设施即服务（IAaaS）、平台即服务（PAaaS）以及软件即服务（SAaaS）都是向用户提供了多样化的服务选择。在这些不同类型的云计算服务中，在线基础设施即服务主要侧重于提供基础硬件设施及全部计算能力；而平台即服务则不仅包括基础硬件设施外，并且还提供了系统平台软件的支持；至于软件即服务模式，则是最全面的支持软件应用的服务模式，在这种模式下，用户即可供其直接调用并使用各种功能组件以构建完整的业务解决方案。

１动态信息系统

云无论提供何种服务，在为用户提供这些服务后，在用户实际使用这些算力的过程中（即当这些算力与用户的终端设备相互作用时），它们就共同构成了一个动态的信息系统（如图1所示）。对于这个信息系统而言（即该系统中的安全等级），其确定方法可参考GB/T 22240—2008的相关规定。

图1 动态信息系统的生成

基于等级保护的各项标准, 信息系统应当实施相应的防护措施. 需要注意的是, 在某一时段内特定的算力资源归该信息系统所有; 到了下一时间段, 则可能归属于其他信息系统.

在1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）首次对信息系统进行了明确界定。该条例对信息系统的界定具有三层核心内涵：其一为构成信息系统的物理基础——相关设备、设施及网络；其二是明确规定的信息处理目标与操作规范；其三是针对特定目标下的数据进行全方位管理与处理；其四是涉及系统运行维护人员的日常管理与技术支持。

由云平台提供的计算能力与关联的一组租户及其被赋予的权利持有者配上相应的硬件配置及配套设施（其中包含网络基础设施），形成了一个自给自足且能够实时响应需求的信息架构。

由云平台提供的计算能力与关联的一组租户及其被赋予的权利持有者配上相应的硬件配置及配套设施（其中包含网络基础设施），形成了一个自给自足且能够实时响应需求的信息架构。

２动态信息系统与信息系统之间的差别

动态的信息系统与传统的信息系统存在以下几个差别：

差别一：传统的信息系统安全责任完全归运维者负责，并且其责任范围是清晰的；而针对动态的信息系统而言，则要求相关方应当共同承担相应责任。

差别二：传统信息系统通过物理服务器实现核心计算能力，并专为本用户组独立配置；而在云平台上的计算资源则采用分时共享模式，在同一时段内可支持多个用户的使用需求。
即，在当前时段为本用户提供服务后，并非 exclusive；同一时间段内仍可支持其他用户的请求。
从这一差异我们可以看出，在本用户的内存占用未释放的情况下（即内存中的数据尚未被其他进程清除），前一个用户组仍然可以继续使用该内存空间。
而当前用户在使用内存时的数据包括但不限于：

1. 用户业务数据
2. SSF数据（包括但不限于：
   • 用户登录信息
   • 权限相关数据
   • 审计日志等与安全相关的元数据）
     需要注意的是，在这段内存空间中并没有真正意义上的消除过程；如果后续有恶意攻击者利用数据恢复工具对这段内存空间进行操作，则可能导致前一个用户的敏感信息泄露。

差异三：传统的信息系统是以物理服务器为中心的算力资源体系，在这种架构下服务器与用户的联结较为直接和明确，在网络层面上形成了清晰的通道和边界。而云计算环境下由于采用了虚拟化的计算资源模型，在一台物理服务器上可以实现多台虚拟机的并行运行状态，在这种情况下虽然实现了资源利用率的最大化提升但同时也带来了新的挑战即不同虚拟机之间在东西向方向的数据传输通道变得不再透明造成通信效率上的瓶颈效应（即所谓的"东西向流量问题"）。尽管我们可以通过内存分段技术实现一定程度上的隔离管理但这并不能从根本上解决潜在的安全风险隐患；以前存在的缓存区溢出漏洞其内在原理与当前所面临的系统安全威胁具有高度相似性因此亟需采取更加有效的防护措施。

差别四：传统的信息系统没有算力核心资源发生迁移的问题，在云服务提供的算力核心资源中，则存在这种迁移的可能性。

在传统的信息系统中，在外存储器中的数据存储过程由特定用户组负责掌控，在没有该用户组授权的情况下其他人除非经过特别授权或者采取非法手段否则无法对外存储器中的数据拥有控制权但在云环境下由于架构设计上的特殊性就会出现以下几种情况导致在未经用户授权的情况下外部存储器中的数据被非授权迁移甚至被复制例如当云平台的存储资源出现紧张情况时一些云服务系统会自动将部分用户的冷态热态数据迁移到其他存储池中以解决资源不足的问题另外由云平台管理人员可能利用工作权限或管理漏洞在未授权情况下复制或克隆这些数据

３解决方法

该平台等级保护方案主要聚焦于云环境中的异构化特点，在具体实施过程中需要从以下几个方面着手：一是明确各云租户的安全责任划分；二是对非关键信息的安全保障措施；三是建立虚拟机间的隔离防护措施等各项防护策略。

3.1 云租户的安全责任划分

针对上述问题一，在确保信息安全的前提下有必要对云服务与租户间的安全责任划分进行明确界定。实际上已有相关国家标准可供参考（如GB/T 31167—2014和GB/T 31168—2014）。在此基础上我们还可以进一步细化现有IaaS、PaaS和SaaS服务的安全责任划分。

云平台必然要涉及以下的几个层面，如图2所示：

图2 云计算中心分层

机房环境层：包含接地网络建设、防雷系统部署、消防设施配置、电磁防护装置安装、温控措施实施以及防渗漏工程等技术要求。此外，在供电保护方面还需要做相应的安排。具体的安全责任划分，则由云数据保护中心负责执行；对于特殊的安全需求，则需要根据实际情况来确定。

物理算力资源层：物理计算资源如服务器或小型机等构成了关键的算力支撑架构。各类物理设备均可能面临安全威胁，在实际应用中需特别关注如BIOS安全漏洞等问题。

公共外部存储资源层：包括磁性介质、光介质。

Hypervisor作为实现虚拟化功能的关键层次软件，在多设备协同运行中发挥着基础作用。该层次作为保障多虚拟机间相互隔离的关键功能模块，在云服务环境中承担着重要保障职责。其主要任务体现在以下几个方面：首先，在跨租户服务间的业务安全隔离；其次，在同一租户下的独立业务单元内部进行异构用户环境下的身份认证与权限控制机制；最后构建设备级的安全防护体系以实现对物理设备资源的有效管控。在实际运行中，默认情况下应确保多虚拟机间的双向通信流量实现完全阻断是保障基础配置的核心要求。

操作系统及数据库等系统的相关部分：该系统的安全子系统实现了基础的用户权限管理功能。该系统的运行环境直接关联着整个信息系统的最低安全级别。同时该体系还为应用层的安全运行建立了必要的防护机制。

在应用程序层：该系统是完成用户信息使命的核心，在这一层次必须建立相应的安全控制措施。操作系统、数据库以及应用软件共同构建了一个完整的计算平台，在这个平台上必须解决主体对客体操作的正确授权问题。

在网络安全架构中，网络层的主要职责包括实现用户与云端服务之间的通信连接功能，并且在云端内部也需要妥善处理多台虚拟机之间的连接问题。该层架构面临诸多网络安全挑战，在实际应用中尤其需要注意以下几点：其一是在信道层面的安全防护；其二是网络边界的安全保障；其三是各个节点的安全性维护等各项核心要素的完善与优化工作。此外，在内部还需要妥善处理资源分配的问题，并采取相应的技术手段来提升整体系统的安全性水平。

在数据层面分析,对于用户而言的数据资源具有至高重要性,无论是在资产属性维度还是生产要素属性维度上.其重要性不可忽视.就权限管理而言,用户的数据显示访问权限及其责任归属云租户.然而,云平台必须确保租户的权限管理机制完善.
在线租赁场景的数据安全管理面临诸多挑战.首先,在不同阶段的安全策略需因时而变以确保有效性;其次,在共享环节必须保证结果的高度可追踪和可验证.

在信息系统领域中，安全任务主要包含两大类：其核心要素在于保障基础系统的安全性；另一项则是对系统提供的各项服务功能进行防护。得益于云计算技术带来的大规模冗余架构设计，在大多数情况下这类防护措施相对较为容易实施；然而，在遭遇拒绝服务攻击时，则需要采取更为复杂的应对策略以确保系统的稳定运行与数据的安全性得到充分保障

安全的核心任务在于保护数据。我们负责处理'确保正确授权操作'这一问题。在计算环境中由系统软件和应用程序共同完成这些授权操作。采用何种方式实施这些操作以及如何判断其合法性，则应依据租户设定的策略来决定。其他相关方面则需从多角度加强保障。

开机房（即云中心）应负全面责任；对于数据资源，则要求用户不仅正确授权访问、还需配合云平台提供必要的保障措施；其余各层的安全责任则应由对应层级自行承担。

3.2 剩余信息保护问题

剩余信息主要包含存储介质容量以及程序运行过程中产生的数据。基于资源池化的云平台架构特点，剩余信息保护面临着更高的挑战。剩余信息保护需按照GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》中的相关规范进行技术与管理方面的遵循。

3.2.1 要求

在现有的传统信息系统架构中，剩余信息的保护问题同样存在。基于此，在国家信息安全等级防护标准的相关规定中明确规范了这一技术要求，并将其定义为客体数据重用需求的实现过程。其中涉及机密性保障的数据主要包括所有安全功能相关数据（简称为SSS数据）以及部分被明确标注为保密需求的数据。

然而，在传统的信息系统中，人们普遍认为设备和人员都是内部资源，并未对剩余信息实施有效的保护。而在云环境下这一问题愈发突出：由于内存是共享的，在缺乏有效的保护措施的情况下可能会导致严重的机密性数据泄露甚至更为严重的安全风险。

在实施剩余信息保护时需分层次策略。在实际操作中应当根据系统的不同特征采取相应的防护措施，在实施过程中需关注哪些方面呢？首先针对处于二级及以下级别的信息系统应当从安全性角度展开评估，并确保其关键要素如TSF数据的安全性不受威胁。在系统运行中必须确保其安全性不受影响。当用户的敏感数据仅处于安全等级一级时，则无需额外防护措施。而针对系统的完整性要求，则可完全免除剩余信息保护措施的必要性。

而针对三级以上涉及机密性数据，则需实施更为严格的敏感信息的保护措施，并须高于二级标准的强度要求。

3.2.2 解决方案

在信息系统中对数据保护具有重要意义尤其是标有机密性三级以上标签的数据以及TSF类数据绝对禁止泄露为此我们必须将这些关键点纳入云平台建设考量目前我们对云平台的管控仍处于较为粗放的状态

为提升云管中心的安全管理效能，在动态信息系统中需建立安全等级识别机制。该机制可采取事前登记的方式实施；同时也可以通过分析数据标签来进行分类。对于标注为机密性三级的数据内容进行处理的信息系统，则其所属的安全等级必然定为机密性三级。

对不同级别的安全等级信息系统及其涉及的机密程度达到一级以上的数据以及相关主体实施身份识别工作。其中动态信息系统的级别设定为三级，在当前用户注销后需对该内存区域执行多次全0或全1覆盖操作以确保在分配给新用户前完全清除所有残留痕迹并防止任何恢复机制从该内存区域提取敏感信息。

3.3 隔离问题

针对差别三

在传统的信息系统架构中，除虚拟机实现的完全隔离外，在资源管理层面通常采用基于内存地址的空间划分作为主要的物理安全手段。然而该种隔离机制的可靠度相对较低，在实际应用中容易受到缓存溢出等漏洞的影响而被突破。例如当缓存区发生溢出时，可能会导致该漏洞被利用来突破这种隔离机制。

3.3.1 虚拟机之间的隔离

对于虚拟机间的隔离管理问题，目前已有诸多解决方案和产品可供选择。然而，在可靠性方面仍需进一步验证，在资源利用效率等方面也存在优化空间。下面将介绍两种主要的技术方案。第一种方案是通过从每台物理服务器中提取一台虚拟机作为专用防火墙，并对所有流量进行统一的安全监控与防护处理。第二种方案则是为每台虚拟机器部署Againt代理工具，并通过该工具实现对系统操作的全程监控与管理。

在实际应用过程中，这两种方案仍存在一些不足之处，在很大程度上与其未能与分级保护的思想相结合有关。具体而言，在安全性较低的信息系统中，并无需设置高度隔离措施即可满足基本需求；而对于安全性要求较高的信息资源，则必须将安全性置于首位；即使需要牺牲部分资源利用效率来换取更高的安全性保障也是必要的。就一个典型的云平台而言，在未遵循分级保护原则对动态变化的信息系统进行深入分析的情况下，则可能导致云平台系统的安全性存在问题以及较高的运行成本。

因此云管理中心必须识别动态信息系统的特征；针对高安全性的信息系统必须实施足够的隔离措施；而大量且对安全性要求不高的信息系统则可减少运行开销；从而使这些系统更容易被应用。

3.3.2 其他的隔离

对其他类型的隔离机制问题而言，则可采取内存划区管理的方式加以应对。需要注意的是，在云端一个由多个应用系统组成的用户团队可能存在多种配置场景：尽管同一个主体在不同应用场景中的角色也有所不同但其权限设置也会有所不同因此实现各系统的独立性是非常必要的

3.4 计算任务的迁移问题

在处理差别四时，需要考虑两种迁移类型：一种是计算任务的迁移；另一种是从原有的存储容器迁移到其他容器。

在迁移过程中可能出现计算任务和数据丢失的问题，在这种情况下可能归因于虚拟机的变化导致某台虚拟机会面临CPU和内存资源数量的变化包括数量增加减少或完全迁移的情况

应在云端设立要求，在这一前提下，确保配置的计算资源应与相应的计算任务相匹配。当云管中心察觉到资源发生变化时，则可能会导致相应计算任务的迁移问题。在迁移过程中必须确保所有涉及的数据、作业及服务的安全性得到妥善保护。

采用最优策略，在任务完成后不做大幅调整是最佳选择。若需修改配置，则应局限于同一物理主机，并尽量避免在不同物理主机之间进行配置调整；同时必须杜绝任何越区域或越网域范围内的配置更改。

在容器中的数据迁移过程中，在操作过程中应当优先考虑同步进行源数据及元数据的迁移，并确保迁移后的关系保持不变。

3.5 云内部的管理问题

对于差别五，提出以下要求：

（1）云管中心的运维人员，必须从后台通过堡垒机，登录到云中。

（2）不允许云管人员进入用户的应用系统中。

（3）不允许在未经许可的情况下，查看各类用户数据。

（4）机房要有视频监控设备，并且没有死角。

（5）机柜上要有监控功能，同时还要有相关的日志审计数据。

最佳方案是，在虚拟机分配给用户后立即转移所有对其的管理权和控制权。这样做不仅能够分担用户的负担、让他们感到更加安心；更重要的是为维护工作提供了一个有效机制：即云平台应定期推送必要的补丁更新至各虚拟机的维护人员处，并由这些人员自行安装并提交相关证明文件给云端管理人员确认。

４结 语

云计算发展迅速的同时，在广泛应用中也出现了安全威胁的出现。针对云计算的安全防护问题尚未得到彻底解决，则需要持续改进。“确定为实现‘正确权限访问控制’的关键标准。”

云计算发展迅速的同时，在广泛应用中也出现了安全威胁的出现。针对云计算的安全防护问题尚未得到彻底解决，则需要持续改进。“确定为实现‘正确权限访问控制’的关键标准。”