王喆峰

(海装信息系统局，北京 100161)

0 引 言

本文讨论了舰载指控云计算安全问题以及相关的安全风险（包括其威胁、风险和漏洞）。自云计算时代开始多年来，云计算的应用导致大量私有价值的信息资产的泄漏和损坏，甚至互联网上已经出现对云计算供应商的公开网络攻击。本文讨论了针对云安全应采取的步骤、在应用云计算前需清楚的问题、安全策略技术和应用云计算的利弊，并分析在信息安全管理领域中采用云计算的收益和成本。

云计算在不断进化，市场上已经出现诸多云计算供应商，比如阿里、百度、亚马逊、Google和微软等等，它们提供软件即服务SaaS、平台即服务PaaS、存储即服务和信息架构即服务IaaS。如图1中云安全架构所示，云安全问题涉及云计算的各个方面。在云计算安全领域，已经出现大量学者研究和期刊文章。计算机安全专业研究人员不断研究云计算中的安全风险、潜在威胁、漏洞和应采取的对策。在舰载指控云计算应用中值得借鉴这些研究。

1 背景研究

目前，云计算技术朝着经济性、高可靠性、高可用的方向发展，广泛地采用分布式的数据存储，服务器通常以大规模集群的方式进行部署，以充分实现资源共享、自动化维护、按需服务、自服务、可扩展等云计算特性。企业云计算技术应用高速发展，通过减少设备资产和维护人员来降低成本和提高利润。与此同时，各国在军用和民用船只上应用云计算，以降低成本和提升效能。

虽然云计算产业具有巨大的市场增长前景，云安全问题成为领域发展的最大挑战。云安全是一个综合的概念和问题，研究的是云计算过程涉及的环境、流程、技术、管理、服务等各个层面的安全问题。云安全领域研究工作的努力目标是达成安全云或安全云计算。云安全领域研究不断进展，但目前云服务商在信息安全的工作还非常有限，一般只对存储数据进行加密，使用SSL，SSH等安全协议保证数据传输安全和用户访问，但是当用户数据在后端服务器的内存中计算处理时，则必须是以明文的形式才能进行处理的，这为利用操作系统漏洞攻击载入内存中的数据提供了可能。

Clavister提出图2所示的安全云，其中公共云中用户的数据与其他组织的数据充分隔离存储，通过采用安全独立的云区域提供虚拟机资源保证高度隔离，最重要的是数据进行了由专家设计并测试的加密处理。云服务商与组织内部的通信通过加密的VPN专用通道，符合用户组织安全策略设计的日志管理和资源安全管理措施。

根据毛文波等关于面向服务的云计算架构，其相关安全技术从云计算前端（客户端、用户端）到后端（服务器端、数据中心）逐层进行分解展开，如图3所示。

然而在军用舰船的云计算应用方面，安全问题尤为重要。美国2015年海军科技战略Naval S&T Strategy将网络信息优势Information Dominance-Cyber作为九大关注领域之一。美军认为应将全谱域网络操作Full Spectrum Cyber Operations（包括计算机网络的攻防和信息探索）作为网络信息优势领域重要研究方向，以应对连续快速增长的网络威胁，保障其指挥控制能力和网络计算机系统安全，将信息环境作为美海军的核心作战能力。在云计算方面，将“战术云”作为该关注领域内计算与信息建设的一个细分研究方向。美海军科技战略期望：美军未来信息系统必须在高度动态、分散和不利环境下，实现和维护通信网络；将使用弹性的信息计算架构，通过增强网络的节点和数据共享集成，提供对数据的操作和理解能力，以支持美军指挥控制、情报、侦察和监视系统；全谱域网络要求提供对敌方数据和网络的利用和操作能力。

2 安全威胁、风险和漏洞

随着云计算的日益普及，并且很多云与互联网连接，导致云计算成为病毒、蠕虫、黑客和网络恐怖分子攻击目标。尽管舰载指控云通常不直接连接互联网，但是无线设备互联网连接和接入云网络的外部电脑仍将舰载指控云暴露给病毒、蠕虫、黑客和网络恐怖分子。随着云在舰船上的推广应用，病毒、蠕虫、黑客和网络攻击导致的云漏洞必然增加。有组织的黑客、恐怖分子、甚至敌对国家必然将利用云漏洞破坏云服务、损坏云网络并偷窃有价值信息。

对舰载指控云，数据的物理存储位置通常是位于本舰上或本国的计算、存储和通信设备中。但是在海外作战任务中，有可能接入外部网络/设备以获取其他国家的敏感数据，如果该国突然变得敌对，如何保证舰载指控云的安全将是重大问题。当本舰船云受到外部攻击并损坏时，舰船云服务将停止工作，通常花费舰员数小时甚至数天的时间来解决。舰载指控系统设备数小时或数天的失效对于海外的舰船是灾难性的。

2.1 威胁

来自舰载指控系统设备内外的计算平台、网络、内联网乃至互联网的诸多安全威胁时刻威胁着舰载指控云计算。常见的7个主要威胁有：

1）云计算的滥用和恶意使用。云计算为舰载指控系统设备用户提供了可动态扩展调度的计算、网络和存储能力，但也为病毒和木马等威胁的传播提供了温床；

2）不安全的应用程序接口API。用于云服务管理和交互的API是通常公开的，因此它们的安全等级决定云服务的安全等级；

3）恶意的内部人员。舰载指控云计算使服务和用户聚集在一起，管理透明的缺乏将导致恶意内部人员威胁的放大；

4）共享技术的漏洞。云计算通过共享基础设施、平台和软件提供服务，因此需监控未授权的变更和活动；

5）数据丢失/泄露。云计算架构和运维特性放大了数据丢失/泄露的威胁；

6）互联网对敏感信息的劫持。钓鱼、欺骗和探索漏洞是互联网行业的常见威胁。当攻击者获取某部分系统控制权限，该部分系统将成为攻击者新的攻击发源地；

7）未知的安全范围。

2.2 风险

风险是指可能产生潜在危害的当前过程或未来事件。在信息安全方面，风险管理是指对导致信息系统的机密性、完整性和可用性的失效因素的理解和应对流程。

由于云计算模型的动态扩展、服务抽象和位置透明等特征，所有在云平台基础设施中的应用和数据没有固定的安全界限。当出现安全入侵时，很难隔离某一危险的物理资源。另外，由于云的开放性和资源虚拟化共享，未授权用户可能获取用户数据访问权限。

迁移到云端的舰载指控系统给设备厂商带来一系列风险。比如需要保护知识产权、商业秘密和重要身份信息等关键信息不落入他人手中。特别地，如果将敏感信息放在互联网上，需要对安全控制和访问监视做相当大的投资。在云环境中，底层的存储和备份操作可能对舰载指控应用是不可见的，而且云计算供应商通常不开放的存储设备的直接物理访问。因此当来自多个用户的数据存储在同一存储库中，合理的底层存储媒介访问控制和记录是云计算设计的一个重大挑战。

2.3 漏洞

他人可以利用信息系统漏洞损害信息系统。如果舰载指控应用通过互联网接收数据，同其他连接互联网的技术一样，舰载指控云计算同样是脆弱的。当舰载指控系统设备具有潜在外部连接时，其漏洞包括窃听、黑客、破解、恶意攻击和服务中断，所以说把数据迁移到云服务是“把鸡蛋放在一个篮子里”。

研究表明，攻击者能精准地找到目标数据在云中的物理位置，并使用各种技巧来获取数据。另一种对漏洞的攻击是使用拒绝服务攻击DoS，如果攻击者与受害者处于相同的云服务器，很容易通过增加其资源使用率来启动常规的拒绝服务攻击DoS。

2009年加利福尼亚大学圣地亚哥分校和麻省理工的研究人员做过研究试验。他们从亚马逊购买云服务，并将虚拟机与目标程序放置在相同的物理机器上，就可以使用虚拟机访问物理机器的共享资源并窃取目标程序的数据和密码。研究人员表示“该技术是以实验为目的的，并不总能成功，但它表明云易受到针对云漏洞的新型攻击”。虽然他们的攻击是在亚马逊的EC2云内进行的，研究人员称他们的方法对其他供应商的云也有效。

研究人员强调试验中使用的云和虚拟环境较新，因此可以用来探索发现未知的漏洞，但这并不意味着云服务不安全而不应该被使用。

云计算的应用避免了数据存储在独立电脑或其他媒介上，可以限制数据的泄露威险。并且漏洞会驱使云计算供应商使用更高效的安全软件。密歇根大学的研究人员发现，云可以作为一个更好的反病毒检测手段，如果防病毒软件工具从PC移动到云，可以检测到比单PC防病毒程序多35%的最新病毒。舰载指控系统设备应用云的底线是应该对云保持怀疑态度，并评估云服务的风险，只将能容忍该风险的数据提交给云服务。

2.4 舰载指控系统设备中PaaS和IaaS的安全问题

舰载指控系统设备中通常提供的云服务是PaaS和IaaS。安全威胁潜伏在舰载指控云架构中。

对于PaaS，云计算将一部分安全防护交由用户在平台上开发的应用程序实现，因此PaaS的内置安全防护能力并不完整。但分层化的安全设计使安全设计更加丰富灵活。

对于IaaS，只要虚拟化管理器VMM没有安全漏洞，用户则拥有更完善的安全控制权限；但在实践中，虚拟机仍存在大量的安全问题。由于数据存储在云计算硬件中，数据的所有者更关心如何确保对数据的最终控制能力。IaaS面临的安全风险和解决方案如图4例示。

3 云计算的实施指南

3.1 实施云计算的安全要点

舰载指控云计算用户应使用如下步骤了解和验证云安全：

1）了解云。通过了解云独特的松散结构如何影响数据安全，深入了解云计算如何传输和操作数据。

2）提高透明度。确保云供应商提供云安全体系结构的详细信息，并愿意接受定期的安全审核提高透明度。云安全审核应由第三方机构完成。

3）强化内部安全性。确保云供应商落实强大的内部安全技术（包括防火墙和用户访问控制），并与云安全流程完美结合。

4）关注。对任何可能影响数据安全的云技术开发和变更给予监控。

3.2 采用云计算前需要顾虑的问题

舰载指控云计算用户在采用云计算前应解决的5个安全顾虑：

1）用户访问。要求供应商提供关于云管理员的特权信息和访问监视控制手段。

2）符合规范。确保云供应商愿意接受外部审计。

3）数据隔离。了解数据如何隔离，并要求云供应商部署加密方案并验证其有效性。

4）灾难恢复验证。确定当灾难发生时，是否能够完全恢复数据和服务，并确定需要多长时间。

5）长期生存力。当云计算失效时如何取回数据，并确定是否很容易将数据导入其他替代云中。

3.3 治理策略和技术

采用云计算前，需要研究良好的治理策略和治理技术，因为云计算的应用需要云服务供应商和云用户之间的信任。云计算的治理需要云服务供应商和用户的积极参与和有效沟通。为将云风险管理纳入云计算治理，舰载指控系统设计的决策者需要具有风险意识，清楚对舰载指控系统设备的风险需求，了解云安全规范，提高风险透明度，并将风险管理责任纳入各方。

3.4 数据安全问题

数据安全牵涉到数据生命周期的每个阶段。数据生命周期指的是数据从产生到销毁的整个过程，共分为7个阶段，如图5所示。

1）数据的产生关系到数据的用户所有权，当数据被迁移到舰载指控云中，必须考虑如何维护数据的用户所有权；

2）数据在舰载指控系统设备和云计算应用之间传输，必须确保数据的保密性和完整性，以防止未授权用户的窃取和篡改；

3）数据的使用。云计算牵涉到大量数据传输、存储和操作，加密大量数据的处理速度和计算效率需要采用对称加密算法。使用简单存储服务的静态数据，可采用数据加密，但对用于PaaS和SaaS的静态数据，由于索引和查询的原因，云应用中的数据通常不加密。舰载指控应用中不同涉密等级的数据存放在一起，并提供给不同用户访问，未加密的数据对数据安全造成严重威胁；

4）数据的共享扩展了数据的使用范围。当数据所有者将数据共享给他人时，他人可不经过数据所有者同意将数据共享给第三方，因此需要更复杂的数据访问控制模式；

5）数据的存储需要考虑保密性、完整性和可用性；

6）针对舰载指控引用数据存档，需要提供舰外存档的措施，以确保数据的可用性；

7）考虑到舰载指控系统设备有被敌方俘获的可能，需要有应对的数据销毁手段。

4 云计算在舰载指控信息风险管理中的利弊

4.1 云计算的优点

在舰载指控信息风险管理中，云计算的优势在于能够集中管理风险，并更有效应用安全更新和新补丁，从而在进行软件更新时保障业务不间断。

4.2 云计算的缺点

在舰载指控系统设备上，应用云计算的问题包括：在公共数据中心存储的业务数据的安全性和隐私性，锁定到特定的云平台技术，可靠性/性能问题，以及在新的云技术应用成熟前选择错误技术路径。

4.3 云计算在信息安全管理中的收益和成本

云计算在舰载指控信息安全管理方面的主要收益包括：

1）规模化产生的安全性收益。当大规模实施各种安全防御应用时，这些诸如过滤、补丁管理和云节点强化等安全手段会更便宜。对于舰载指控系统设备，规模化的好处还包括云资源的互备、对入侵事件的及时响应和集中化的威胁管理。

2）云安全作为云计算的一个差异化因素，更强有力地推动云计算供应商不断改进。

3）大型云供应商可提供一个标准化的开放的云安全管理接口，从而使云安全服务市场化、专业化和定制化。

4）快速智能的动态调整资源，采用云计算的舰载指控系统设备可重新动态分配资源，以确保各种信息安全手段的使用。

5）日志审计，允许在不影响性能条件下全面记录和处理日志信息。

在信息安全管理方面，云计算在舰载指控系统设备中应用的成本包括应用迁移、云实施、系统重新设计和集成、人员培训等成本。新的系统架构在重新设计和部署实施过程中产生新的安全漏洞，从而进一步增加成本。

5 建议

在舰载指控系统设备中应用云计算，可采用如下建议和策略来评估云服务的安全可行性：

1）风险/收益分析。必须识别、理解和分析云服务的风险和收益。必须识别可能影响舰载指控系统设备安全的云故障。分析舰载指控系统设备的安全目标，包括信息保密性、数据完整性、系统可用性和可控性。

2）咨询。在评估过程中咨询行业专家、用户和其他关系人。

3）保障条件。对特权用户访问、数据隔离、数据可恢复性、变更管理、用户配置、人员操作、事件响应计划和支撑管理等保障条件做认真审查。

4）退出策略。在确定退出策略和灾难恢复计划前，不建立云服务。确保舰载指控系统设备数据和应用的及时恢复。

6 结 语

云计算是由多年来不断演进成熟的几种关键技术组合而成。云计算可为舰载指控系统设备节约成本并提升效能，但安全风险很大。因此应认真分析云计算的安全风险。

云计算在信息风险管理中的优点在于能够集中管理风险，并更有效应用安全更新和新补丁，从而在进行软件更新时保障业务不间断。云计算缺点包括：在公共数据中心存储的业务数据的安全性和隐私性，锁定到特定的云平台技术，可靠性/性能问题，以及在新的云技术应用成熟前选择错误技术路径。

舰载指控系统用户应该了解、分析并验证云安全，在应用云计算之前给出云安全问题解决方式。应建立试点项目。建立良好的治理机制，以有效地处理安全问题。