◆张 浩

云计算环境下的等级保护浅析

◆张 浩

（中国联合网络通信有限公司河南省分公司 河南 450000）

云计算是传统计算机技术与互联网技术进行整合之后获得的结果，而伴随其不断的推广，云安全问题引起了各界人士的注意。笔者以云计算特点和安全要求为基础，在信息体系安全等级保护系统下探究了云计算等级保护基本要求，同时对各种等保层级下云计算的基本要求展开研究，给国内等保方面的工作提供了依据。

云计算；等级保护；基本要求；威胁

0 引言

云计算作为传统计算机技术与互联网技术进行整合之后获得的结果，目的是借助互联网将多项成本较小的计算机实体转变为一个计算功能完善的体系，同时根据不同的商业形式，将这种计算功能传输至终端用户。这种理念是借助大范围的数据中心与功能完善的服务器使互联网应用软件开始正常工作并供给相应的服务，让所有的线上用户可以访问该软件[1]。此类独特的运用形式促使云计算获得了服务虚拟化、普适性强、扩展性高等优点。它属于一类新的概念，运用形式方面的探究依旧比较匮乏，而且存在许多影响其发展的问题，而云计算问题则是当前面临的亟待解决的问题。

现阶段，我国将等级保护的原则用来保护重要信息体系的安全，然而针对云计算体系此类独特的运用形式，等级保护的要求大体上并未做出详细的探究。针对原有的计算形式来说，用户对于数据具备全部的控制权，但是在云计算形式下，用户对于数据和机器的管控全部受制于供给服务的商家，用户只剩下了对于虚拟机的控制权，所以以用户的视角而言，怎样确保用户信息的保密性、完善性以及价值是至关重要的[2]。由于这种新形式的诞生，云边界逐渐在人们的视野消失了，云环境下的大部分存在风险的因素导致等级保护技术要求变得更为严格了，在云计算诞生之后，各种风险因素也伴随其诞生，所以怎样确保新形势下的信息安全就变成了等级保护方面需要重视的主要内容。

1 信息系统等级保护框架

信息安全等级保护是我国对于重要信息体系展开安排评价的重要基础，而《信息系统安全等级保护基本要求》则为引导信息体系构建、定级以及评价等方面的重要依据。此文件中把信息体系当作保护的目标，根据信息体系的重要等级可分成以下几个保护层级，借助研究保护目标面对的4个威胁因素，对各个保护层级的威胁进行了描述。对于各种层级的威胁，该文件明确了安全保护水平的需求，包含对抗水平与恢复水平，各种信息体系的保护层级，需要各种强度的保护能力来确保信息体系免受威胁。

为了确保与检验信息体系各层保护能力，该基本要求以国际上权威的信息安全指标，同时以国内信息安全发展的真实状况作为出发点，推出了技术和管理两个层面的改善措施。首先，针对技术来说，应当从物理、网络、主机、应用以及数据等几个层面着手，而针对管理来说，应当从体制、机构、人员、建设以及运维等层面着手[3-4]。针对不同措施来阐释存在的重要控制点和要求项，并以此当作等级保护基本要求的详细内容。

现阶段，国内信息体系等级保护工作依旧需要面临较多的问题，而其基本要求项的阐释具有一定的有效性，适用于目前的实际情况。伴随云计算体系的持续完善与推广，应将等级保护当作其安全标准与国内信息化发展的切实要求。

2 云计算安全研究概况

由于云计算服务的特点，让信息体系内的资源、数据以及信息在较大规模中进行传输与整理，此范畴主要包含地域、物理设施和相关人士，所以云计算的威胁重点是由服务计算这个特点逐渐扩延形成的。针对威胁层面的探究来说，云安全联盟于2010 年明确描述了它在云安全方面面临的7个威胁，并得到了普遍的认同与应用。2013年，该组织又阐述了9大威胁，主要包含数据破坏、数据丢失、账户劫持、不安全的API、拒绝服务、恶意的内部人员、滥用和恶意使用、审查不足与共享技术[5]。以实践要求作为出发点进行分析可知，除了以往的安全问题，云计算新添加的安全威胁重点关乎以下几个层面的要求：

（1）可信计算。计算的稳定性，也就是服务资源的可信性，云计算应当将可信的技术形式供给服务资源，借助软硬件可信调控的体系证实资源的可信水平。

（2）数据保护。包含对动、静态数据的分离、保护和残存数据的清理，保证数据资源满足在所有传输、处理、储存等环节内的机密性、完善性和实用性方面设定的条件。

（3）服务可用。供给服务是它存在的价值体现，应当确保云计算供给服务的可访问性、服务的不间断性和服务功能的灵活性，保证服务效果。

（4）虚拟安全。云计算的关键技术为虚拟技术，应当保证宿主机与虚拟技术自身的安全，对享受服务的对象供给资源分离保护机制。

3 云计算等级保护基本要求

因为云计算属于原有信息体系发展的产物，当前的等级保护基本要求可以满足保证云系统内大多数的保护能力需求。针对以往的基本要求来说，很难实现这个目标，因此不得不面临一定的威胁与风险，下文在以GB/T 22239-2008为基础的条件下，研究了云等保基本要求需要遵守的标准，主要表现为以下几个方面：

（1）将当前的5大技术与5大管理保障类当作框架，保证云等保基本要求对于结构方面的兼容性，以当前的系统为基础进一步展开优化。

（2）把威胁相应的保护能力要求实施划分，借助强化当前基础要求控制点要求项实现的，强化详细要求的介绍实现，对于难以包含在当前控制点下的威胁，借助提出新控制点同时确定详细要求项实现。

（3）云计算的核心为服务形式的转变，所以基本要求的更新针对管理方面来说，主要表现为服务的管理，而针对技术方面来说，主要表现为服务的能力，对于以上两个方面添加新的控制点与要求项，构建对云计算服务的保障能力。

按照云计算所特有的特点，它的基本要求重点定位于服务保障与资源管理两个方面。针对技术要求来说，因为云计算重点供给虚拟化的服务资源，所以对于资源和服务的虚拟化管理和监控技术需要培养核心的技术要求。管理要求上应当进行细化，主要包含分析服务的管理、保护，尤其应当确定分析云体系之间的安全保护能力与管理要求。

对于云计算信息体系新增的威胁来说，云计算等级保护基本要求注重对用户的管理、虚拟资源的安全与监管、云服务的保护与制约、数据资源的分离和辨识。针对技术方面来说，在数字密钥、数据隐私防护和虚拟安全等技术层面都获得了进一步地优化与创新。针对管理方面来说，应当深入健全云计算服务领域的法规、第三方监控评价和规范服务合同与管理。借助云计算等级保护要求的有效实行，达到对云服务从出生至死亡的管理。

4 结语

十八大指出，应当重视海洋、太空以及网络空间的安全，完善信息安全保护机制，要在拓展云计算技术使用规模的基础上，深入健全其信息体系的安全保护机制。将我国的战略作为支撑，云计算系统结构下的信息安全保护与评价机制会从根本上获得推广与优化。信息体系等级保护机制是我国重要的原则与评价指标，从推出之后，就发挥了显著的作用，对于保证我国信息基本设施与信息资源的安全提供了重要的保障。本文在概括目前云计算安全探究进展的前提下，以其服务形式的基础特点作为出发点，笔者以创新的眼光推出了以云计算信息体系等级保护为基础的会面临的威胁，重视怎样开发与完善当前的保护系统，在不断研究云框架和等保特点的状况下，推出了一个新型的评价标准系统。对于云计算信息体系服务计算的特征，探究性地拓展了等保要求，同时给出了各个层级之下云计算等保的基础保护能力要求，为等保评价系统在云计算结构下的优化与推广提供了依据。

[1]杨健，汪海航，王剑等.云计算安全问题研究综述[J].小型微型计算机系统，2012.

[2]孙铁,云计算下开展等级保护工作的思考[J].信息网络安全，2011.

[3]张云勇，陈清金，潘松柏等.云计算安全关键技术分析 [J].电信科学，2010.