潘一飛

【摘要】 近年來，隨著社會經(jīng)濟的快速發(fā)展和計算機網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，信息系統(tǒng)逐漸融入到了社會各領(lǐng)域，同時系統(tǒng)的安全也備受關(guān)注?；诨ヂ?lián)網(wǎng)的云計算服務(wù)模式，提供了一種全新的動態(tài)易擴展虛擬資源。本文將對云安全模型下的信息系統(tǒng)安全等級保護(hù)測評問題進(jìn)行分析，并在此基礎(chǔ)上提出一些建設(shè)性建議，以供參考。

【關(guān)鍵詞】 云安全模型 信息系統(tǒng) 安全等級保護(hù) 測評 研究

實踐中可以看到，云安全技術(shù)具有較強的技術(shù)要求，尤其是物理資源、網(wǎng)絡(luò)、主機以及應(yīng)用和數(shù)據(jù)信息安全。云計算中心以虛擬技術(shù)居多，基于等級保護(hù)之要求，對云計算信息系統(tǒng)難以開展安全等級保護(hù)測評，具有非常重要的作用。

一、云安全服務(wù)模型

云產(chǎn)品在部署模型、服務(wù)模型以及資源物理位置和管理屬性方面，呈現(xiàn)出較大區(qū)別的形態(tài)模式，安全風(fēng)險特征、控制職責(zé)范圍也存在著較大的差異性?；诖?，需基于安全控制角度健全和完善云計算模型， 實現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)的有效映射，從而為風(fēng)險識別、決策以及安全控制提供重要參考。

基礎(chǔ)設(shè)施即服務(wù)，其主要有計算機網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)設(shè)備、主機以及服務(wù)器等硬件平臺；在基礎(chǔ)設(shè)施建設(shè)過程中，首先是將硬件資源抽象起來，并且將這些資源有效的納入到基礎(chǔ)設(shè)施邏輯節(jié)點之中，向用戶提供可統(tǒng)一編程應(yīng)用程序接口，然后讓用戶通過應(yīng)用程序?qū)?yīng)用程序編程接口調(diào)用，從而實現(xiàn)物理設(shè)備的相互應(yīng)用。對于IaaS層而言，其關(guān)注的主要安全問題是網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境、物理、環(huán)境、主機以及網(wǎng)絡(luò)連接設(shè)備和系統(tǒng)虛擬化等方面的安全。

對于云安全管理中心而言，基于云安全服務(wù)所提出的云安全管理概念，對用戶、安全事件以及資產(chǎn)等進(jìn)行統(tǒng)一監(jiān)管，集中審計分析研究；同時，通過高效化、專業(yè)化支撐平臺，以及先進(jìn)的監(jiān)測工具，預(yù)警安全事件，并且及時對安全狀態(tài)進(jìn)行掌控，從而發(fā)現(xiàn)基于云計算環(huán)境的病毒傳播、網(wǎng)絡(luò)攻擊以及異常行為等事件，為應(yīng)急響應(yīng)、預(yù)警和事件調(diào)查提供技術(shù)方面的支撐；同時，還要采取有效的主動防護(hù)措施保護(hù)用戶數(shù)據(jù)信息，并且對云計算中心進(jìn)行全面安保。

二、基于云安全模型的信息安全等級測評

所謂云安全模式下的信息安全等級測評，主要是基于云安全中心模型、云安全服務(wù)模型以及云安全領(lǐng)域的不同要求，得出一個安全模型，并且在信息安全等級保護(hù)基礎(chǔ)上確定其所處位置。云安全模型的一端與等級保護(hù)技術(shù)要求相連接，另一端則與等級保護(hù)管理要求相連接。實踐中，通過云安全信息中心建模操作，全面分析安全模型下的云安全核心基礎(chǔ)，并且得出安全等級測評模型，以此來開展相關(guān)測評工作?；谝陨戏治?，筆者認(rèn)為將在云安全模型中有效的嵌套云安全等級保護(hù)建模，即可實現(xiàn)與云信息安全等級相關(guān)的測評操作，對安全模型下的控制項實施細(xì)粒度分析。

云認(rèn)證及其授權(quán)：對于云認(rèn)證、授權(quán)而言，其重點在于全面查看登錄認(rèn)證、程序運行授權(quán)、服務(wù)認(rèn)證以及敏感文件授權(quán)等事項。云訪問控制過程中，基于訪問控制模型對是否為強制訪問、自主訪問以及角色型訪問控制進(jìn)行確定，以便于能夠采用不同的方式和方法對其進(jìn)行有效的分析。對于云安全邊界與隔離而言，主要是全面了解安全隔離機制、安全區(qū)域劃分以及硬件安全技術(shù)支撐等問題。對于云安全存儲而言，可將數(shù)據(jù)信息存儲成加密格式，而且用戶需將數(shù)據(jù)信息獨立出來，區(qū)分開來。在惡意代碼防范過程中，可了解是否有惡意代碼檢測、攻擊抵御策略。同時，還要具備安全管理功能，對所有物理/虛擬硬件、軟件以及網(wǎng)絡(luò)資源等加強管理，管理測評要求與等級保護(hù)管理要求應(yīng)當(dāng)保持一致。對于網(wǎng)絡(luò)安全傳輸而言，主要了解計算機網(wǎng)絡(luò)安全傳輸采用加密的方式與否。對于網(wǎng)絡(luò)配置及其安全策略而言，應(yīng)當(dāng)使訪問控制、資源分配確實有效，而且還要以統(tǒng)一、安全可靠的方式進(jìn)行定義，并且有效解 決、執(zhí)行實踐中的相應(yīng)安全策略。

結(jié)語：總而言之，云安全快速發(fā)展的條件下，基于云安全模型的信息系統(tǒng)安全等級保護(hù)方法也在不斷的完善，如何應(yīng)當(dāng)云計算虛擬化技術(shù)的漏洞以及數(shù)據(jù)泄露和共享訪問模式問題，成為需要深化研究的要點。

參 考 文 獻(xiàn)

[1] 邱建勛. 信息系統(tǒng)安全等級保護(hù)定級方法的思考[J]. 數(shù)字與縮微影像，2012（04）

[2] 馬澤生，孫瑞. 云計算時代淮委信息系統(tǒng)安全等級保護(hù)架構(gòu)初探[J]. 治淮，2012（04）

[3] 池仁隆，張超. 信息系統(tǒng)安全等級保護(hù)建設(shè)與測評方法簡析[J]. 軟件產(chǎn)業(yè)與工程，2012（02）endprint