曹瑞，刘新龙

（北京启明星辰信息安全技术有限公司，北京 100193）

云安全解决方案

曹瑞，刘新龙

（北京启明星辰信息安全技术有限公司，北京 100193）

云计算技术实现了信息和服务资源的共享共用，不同于传统的安全防护对象，云平台的边界防护及内部虚拟化网络的防护将面临严重的安全问题。启明星辰云安全能力整体框架由4大方面构成：一是针对云上基础服务安全防御、攻击检测的云安全保障；二是面向监管的云安全监管能力建设以及以此为基础的云安全服务体系建设；三是保障云上核心数据安全的云数据安全；四是针对企业云接入终端的云安全接入。

云安全；云安全威胁；云数据安全；云安全解决方案；企业专有云

1 云计算概述

1.1 云计算服务

云计算服务是一种新兴的计算资源利用方式，其核心业务模式是提供服务。根据GB/T 31167—2014《信息安全技术：云计算服务安全指南》（简称安全指南）的定义，在云计算模式下客户不需要投入大量资金去建设、运维和管理自己专有的数据中心等基础设施，只需要为动态占用的资源付费，即按需购买服务[1]。

同时，安全指南还提出云计算服务具有按需自助服务、泛在接入、资源池化、快速伸缩性以及服务可计量等主要特征，并提供软件即服务（SaaS）、平台即服务（PaaS）以及基础设施即服务（IaaS）3种服务模式。

（1）软件即服务：在SaaS模式下，云服务商向客户提供的是运行在云基础设施之上的应用软件。客户不需要购买、开发软件，可利用不同设备上的客户端（如Web浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。

（2）平台即服务：在PaaS模式下，云服务商向客户提供的是运行在云基础设施之上的软件开发和运行平台，如标准语言与工具、数据访问、通用接口等，客户可利用该平台开发和部署自己的软件。客户通常不能管理或控制支撑平台运行所需的低层资源，如网络、服务器、操作系统、存储等，但可对应用的运行环境进行配置，控制自己部署的应用。

（3）基础设施即服务：在IaaS模式下，云服务商向客户提供虚拟计算机、存储、网络等计算资源，提供访问云基础设施的服务接口。客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。客户通常不能管理或控制云基础设施，但能控制自己部署的操作系统、存储和应用，也能部分控制使用的网络组件，如主机防火墙。

1.2 企业云技术架构

企业专有云（简称企业云）作为一个服务于企业的云计算平台，具备通用云计算平台所拥有的按需自助服务、泛在接入、资源池化、快速伸缩性以及服务可计量等主要特征，并可为各使用单位提供SaaS、PaaS及IaaS 3种服务模式。其典型的技术逻辑架构可以概括为2纵3横体系架构，即2种体系3个层次：安全防护体系、管理服务体系，以及IaaS、PaaS、SaaS（见图1）。其中，安全防护体系为基础设施层、资源抽象与控制层、管理服务层提供相应的安全防护及服务，包括云安全接入、云安全防护、云数据安全、云安全监管及云安全服务等组件；管理服务体系为整个企业私有云平台提供管理和运维服务，包括资源管理、资源编排、资源监控、计费管理、流程管理、用户管理，以及日志和报表管理等组件，用于满足企业私有云平台的运营管理维护需求。

1.3 政策法规和标准

云安全的相关政策法规和标准如下：

（1）ISO/IEC 27001—2013《信息技术：安全技术：信息安全管理体系要求》；

（2）ISO/IEC 27002—2013《信息技术：安全技术：信息安全控制实用规则》；

（3）GB/T 20984—2007《信息安全技术：信息安全风险评估规范》；

（4）GB/T 22239—2008《信息安全技术：信息系统安全等级保护基本要求》；

（5）《中华人民共和国网络安全法（草案）》；

（6）《关于加强党政部门云计算服务网络安全管理的意见》（中网办发文［2014］14号）；

（7）《国务院关于促进云计算创新发展培育信息产业新业态的意见》（国发［2015］5号）；

（8）GB/T 31167—2014《信息安全技术云计算服务安全指南》；

（9）GB/T 31168—2014《信息安全技术：云计算服务安全能力要求》。

2 安全威胁分析

图1 企业云平台技术逻辑架构

2.1 企业云面临的问题

虽然国内企业云建设和发展面临难得的机遇，但在具体建设过程中也存在一些突出问题，特别是信息安全问题。如果不能通过有效手段予以解决，甚至会威胁到国家安全。

与其他云计算环境一样，企业云也面临着网络安全恶意攻击、破坏、数据泄露等安全威胁，特别是在数据管理权与所有权分离的状态下，应用和数据高度集中，这些问题显得更加突出，总体包括以下3个方面：

（1）法律法规和标准不健全。当前国内缺乏完善的云计算服务平台建设规范和信息安全管理规范，传统的等级保护制度在云计算环境中无法完全适用，而健全的云计算安全法律法规可以从管理上最大限度地降低安全隐患。

（2）虚拟化环境的安全威胁。从技术层面上讲，云计算与传统IT环境最大的区别在于其虚拟的计算环境，当前国内云服务商的虚拟化核心技术及安全技术比较欠缺，新形态的安全技术产品还没有发展起来。这对于云计算环境下多用户间资源的隔离及安全防护是一个新的挑战。

（3）数据与应用集中带来的风险。云计算具备2个核心要素，一是大集中，把数据和应用集中在云端；另一个是把资源以服务的形式发布交付。这种规模化的效应对云计算的可用性和安全性都带来了极大挑战，数据集中后，如果受到恶意攻击或破坏，其产生的安全威胁规模和影响会更深远。

2.2 CSA云安全威胁报告

云安全联盟（Cloud Security Alliance，CSA）作为业界权威组织，致力于在云计算环境下为业界提供最佳安全解决方案。其发布的《云计算关键领域安全指南》在业界最为熟知，该指南从架构、治理和实施3个部分、14个关键域对云安全进行深入阐述。

CSA发布的2016年“十二大云安全威胁”报告指出云环境下的安全威胁[2]包括：（1）数据泄露；（2）身份验证和凭证被盗；（3）界面和应用程序编程接口（API）安全；（4）系统漏洞问题；（5）账户劫持；（6）内部恶意人员；（7）高级持续性威胁（APT）寄生虫；（8）永久的数据丢失；（9）缺乏尽职调查；（10）云服务滥用；（11）拒绝服务攻击；（12）共享技术&共享危险。

3 安全需求分析

3.1 云安全保障需求

云计算技术实现了信息和服务资源的共享共用，不同于传统的安全防护对象，云平台的边界防护及内部虚拟化网络的防护将面临严重的安全问题。因此要保证云环境的正常运行，需要在云平台的物理边界及内部虚拟化网络中部署访问控制、攻击行为感知、网络行为感知等安全保障能力，同时辅以能够对云环境中重要业务系统进行脆弱性感知的安全能力，以有效阻挡黑客及不法组织的非法破坏。

3.2 云安全监管与服务需求

云计算独具特色的服务提供方式必将带来新技术的应用，随着新技术的产生必将带来多种安全挑战。因此要精确掌握并有效呈现现有云上资产、脆弱性状态和安全威胁，实现对海量安全数据进行分析并依托分析结果进行预判，达到提前防御和治理的目标，因而需要全面围绕云安全保障体系构建云安全服务的态势感知能力。

同时，云环境新的技术方式也导致需要专业对口的安全人员对云环境网络的生态安全提供针对性的支撑服务，诸如测试、检查、维护、分析、评估等必要的工作内容。由安全团队综合运用态势感知系统提供的安全感知、分析能力，才能有效保障云安全体系的正常运行。

3.3 云数据安全需求

云平台的一个关键特征是其服务通过网络提供，所有业务数据都依托于虚拟化技术存放在云端。由于云计算是分布式的，并且为提高资源使用效率，用户之间可能共用计算或存储资源，导致数据在存储、传输等方面面临严峻的考验。如果用户之间安全隔离限制不够完善或被恶意用户进行攻击，将导致数据安全受到严重威胁。在云计算环境下，必须确保不对用户数据带来风险的同时，又提供必要的数据管理支持，以便协助监管方及用户对数据的存储和传输进行安全和准确的审计，并对数据进行相关的敏感性处理。

同时，云平台数据被高度集中，形成了各种业务系统建设的前提，在使用大数据技术建设业务系统的过程中，新的技术方式也给数据安全带来了新的挑战。针对大数据技术不完善的安全策略，身份认证及访问控制机制等安全薄弱环节的，将给入侵者、越权者带来可乘之机。

3.4 云安全接入需求

云环境可以提供包括计算机终端和移动智能终端在内的多种接入方式，在数据整合及共享的前提下，云环境对接入终端的身份合法性、自身系统安全性、终端合规性、数据安全性等几方面都需要在云环境中部署相应的软硬件安全产品，同时对终端本身进行加固与防护，甚至对终端接入APP的发布渠道进行监测。

同时，由于云环境下不可避免的用户远程接入性质，在接入传输线路的加密能力上也提出更高的要求。

4 云安全能力整体框架

启明星辰云安全能力整体框架由4大方面构成：一是针对云上基础服务安全防御、攻击检测的云安全保障；二是面向监管的云安全监管能力建设以及以此为基础的云安全服务体系建设；三是保障云上核心数据安全的云数据安全；四是针对企业云接入终端的云安全接入。云安全能力整体框架见图2。

图2 云安全能力整体框架

4.1 云安全保障

云安全保障关注企业云平台在基础安全保障方面需求的实现，以及安全能力如何与云平台的结合。云安全保障能力由3部分组成（见图3）。

图3 云安全保障能力

第一部分是企业云边界的安全防护能力，重点关注对云平台接入边界的网络流量中攻击数据的控制、检测；在企业云出口，关注恶意代码、入侵攻击、信息窃取、拒绝服务等攻击行为的发生，需要针对企业云上的业务系统提供相应的防护能力。

第二部分是针对云上的业务防护，采用启明星辰软件定义安全框架来实现云环境下基础安全能力的部署，借助虚拟化的优势实现自适应的安全体系架构，可以实现云上的安全能力根据业务安全需求进行动态调整，实现更加智能化的安全。软件定义安全框架由3个组件构成：第一个组件是用以驱动云上数据转发的智慧流平台，目前已经可以采用虚拟导流、软件定义网络（SDN）等方式进行流量转发，进行企业云南北向、东西向流量的灵活调度，进行网络流量的分析和控制；第二个组件是安全资源池，启明星辰Vetrix平台实现安全设备的资源管理，Vetrix安全资源平台由各种物理形态或虚拟形态的网络安全设备组成，兼容各厂商的安全系统；第三个组件是管理控制中心，安全资源池内的安全系统不再采用单独部署、各自为政的工作模式，而是由管理中心统一部署、管理、调度，以实现相应的安全功能。安全资源可以按需取用，支持高扩展性、高弹性。

第三部分是云上安全保障能力的调度和展现平台——CloudSOC云安全管理平台。CloudSOC主要完成各类云上安全信息如日志、攻击数据、漏洞数据、情报数据、流量数据等内容的集中采集，然后采用大数据分析技术，对各类数据进行关联分析、聚类挖掘，依据前期设定的场景规则，匹配驱动流平台和安全资源池的调度，以实现根据不同安全场景进行安全能力的调整，实现自适应的安全体系架构。

4.2 云安全监管及服务

企业云安全面临大量新型威胁形态，攻击者的攻击手段、攻击频率大大加强，需要建立一套安全监测监管系统（见图4），用于实时感知企业云安全态势情况，并基于态势感知的结果，提供云上的安全服务。

整个监管服务体系分2步实施。

第一步，构建企业云安全监管平台。通过相关检测、分析能力的部署，实现对云上安全态势的实时分析。在感知内容上，主要针对威胁感知、脆弱性与资产感知、威胁情报获取和使用、流量感知等，通过感知采集的相关数据，使用安全大数据分析工具（BDSA）和相关分析算法，并通过可视化展现将安全态势情况进行整体描绘与呈现，以驱动安全服务等工作的进行。

图4 云安全监测监管系统

第二步，基于监管平台的监测数据提供安全服务（见图5）。安全服务内容区别于传统信息系统的服务，结合企业云业务的生命周期特点及云架构的特点展开。

图5 基于监管平台的监测数据提供安全服务

检查测试类服务内容为：基础IaaS/PaaS平台的安全周期性安全评估，主要判断基础架构中如操作系统、数据库中间件等基础平台是否存在普遍性的安全漏洞；企业云上线的安全检测主要是指业务上云或新业务发布时，是否能符合企业云整体的安全要求，原有的在云下的安全能力是否能正常切换到企业云上等；在前两类服务之外，也融合基于黑盒的渗透测试和白盒的代码审计等服务内容，服务项目相互融合，贴合企业云业务特点展开。

保障支撑类服务主要基于监管平台态势感知的实时数据，展开响应企业云上的安全监管。如，实时针对企业云安全威胁的分析，境外组织对重要信息系统的攻击情况分析；重大紧急漏洞的快速响应，如影响范围分析，利用该漏洞的攻击监测等。

合规评估服务是针对各类云上安全标准，如国标GB/T 31167、GB/T 31168，ISO 27001延伸的CSA STAR，等级保护云标准等，以及各类地方标准的符合性角度，进行企业云平台的合规性评估。

4.3 云数据安全

云数据安全主要考虑云上数据安全问题。企业云上数据可以分为结构化数据、非结构化数据形态，以及企业大数据平台内的混合型数据。云数据安全框架见图6。

图6 云数据安全框架

结构化数据主要是指企业云上各企业门户网站数据、各企业服务平台、企业OA系统以及其他业务平台的关系型数据库中的结构化数据，主要威胁为攻击者针对业务平台或暴露在外的数据管理接口上的攻击，直接导致数据失窃；另外还存在运维过程中运维人员直接对数据库的操作风险。

非结构化数据存在2种数据泄露途径：一是内部人员直接数据外发，二是攻击者直接获取系统控制权限后的数据窃取。

针对大数据平台，主要面临的风险是数据平台上各组件的认证过程中存在越权、非授权访问的问题，导致直接获取大数据平台中的相关数据。

针对结构化数据的防护主要从应用防护角度展开，针对云上业务平台的应用界面攻击（如注入、针对数据库接口的攻击），防护能力由上述云安全保障部分防御能力来完成，主要涉及入侵防御系统或Web应用安全网关。

针对非结构化数据，如企业云平台上存在的文件、图表等非结构化数据，可以使用数据防泄漏（DLP）方案应对。在企业云平台上需要特别针对网络流量及邮件数据进行数据防泄密监控。

面对认证、授权、审计3个大数据安全核心问题，大数据安全管理系统面向大数据基础平台，兼容各主流大数据平台的版本。为不同角色用户提供快捷服务的门户系统，其核心的基础就是用户身份的管控，包括用户管理、机构管理、角色管理、权限管理、操作行为管控、统一用户信息管理等部分，即通常所说的3个统一：统一认证管理、统一授权管理和统一安全审计。

企业云平台建设过程中通常会涉及不同级别的网络间的数据交换，如互联网区域和企业外网区域，采用数据交换平台，可以实现异构数据间的安全可信交换。

另外，针对于敏感数据，如公民的身份证、住址、电话和其他个人信息等，在企业云各平台使用过程中要做到数据的按需求传递，如有些场景下并不需要完整字段的数据，可以采用数据库脱敏技术对数据漂白，如采用模糊、替换、转义等方式进行数据脱敏。

各业务平台的非授权或越权使用，也是数据泄露的重要途径，可以通过系统日志、网络日志、业务日志、运维审计（堡垒机）等方式采集各类业务操作数据，基于业务操作数据的分析，可以发现企业云上违规操作、恶意操作行为，从业务审计自身的角度解决数据安全的问题。

云数据安全还需要采用安全评估的方法，针对云上业务的互访关系、数据的分类分级等进行评估，找出各类数据传递过程中可能存在的安全威胁，再使用前面提到的各类安全技术措施，采用适当的安全策略，才能达到有效数据安全防护能力的落地。

4.4 云安全接入

企业云上主要承载各类企业业务应用，以上针对数据、监管、保障的防护方案主要针对云上的业务安全需求展开。企业云的使用除了互联网区域的对公业务外，还有很多应用是针对于政府工作人员，使用企业终端的接入进行业务操作和数据传递，在这个过程中，如果对于接入的终端控制不严格，会导致恶意代码对企业应用的影响、敏感数据非受控传输等。云安全接入框架见图7。

图7 云安全接入框架

云安全接入主要包含3方面内容：

（1）针对移动端的安全主要涉及企业应用移动终端的管控，如移动执法、移动办公的手机和平板电脑等，采用企业移动管理（EMM）方案，对移动端进行统一的设备管理、应用管理，以及文件的数据落地管理，保障移动端的应用、数据的安全可控。

（2）针对桌面操作终端，主要实现对终端层面的恶意代码防护、终端DLP、终端行为管理等能力，保证接入企业云的桌面终端的安全可控。

（3）无论是移动端或桌面端，需要采用统一的认证、可靠的方式，限定非认证的终端不允许接入云端。同时，对于终端到企业云的数据连接，采用有效的加密通信过程。

[1] GB/T 31167—2014 信息安全技术：云计算服务安全指南[S].

[2] CSA. The Treacherous 12 Cloud Computing Top Threats in 2016[R]，2016.

责任编辑 卢敏

A Solution to Cloud Security

CAO Rui，LIU Xinlong
（Venustech，Beijing 100193，China）

The cloud computing technology makes information and service resources sharable. Unlike traditional safeguarding object, the cloud platform will face severe security issues in terms of boundary protection and safeguard of inside virtualization network. The overall framework of Venustech cloud security ability consists of four aspects: f rstly, the cloud security safeguard targeting security defense and attack detection of fundamental cloud services; secondly, construction of cloud security supervision ability and of cloud security service system on this basis; thirdly, security of cloud data which safeguard the core data of the cloud; fourthly, the cloud security access for the enterprise cloud.

cloud security；cloud security threat；cloud data security；a solution to cloud security；enterprise-dedicated cloud

TP391；U298

A

1001-683X（2017）02-0077-07

10.19549/j.issn.1001-683x.2017.02.077

2017-01-05

曹瑞（1978—），男，高级工程师。E-mail：caorui@venustech.com.cn

刘新龙（1976—），男，高级工程师。E-mail：13910912512@139.com

“中国画火车第一人”王忠良先生火车钢笔画系列作品——“MG”型蒸汽机车