基于等级保护基本要求的云计算安全研究.docx

基于等级保护基本要求的云计算安全研究朱圣才(上海市信息安全测评认证中心，上海200011)摘要：随着云计算的进一步推进和发展，云计算面临的安全问题变得越来越突出，特别是在云计算安全中的用户数据机密性、完整性和可用性方面尤为突出，云计算安全已经成为云计算推进过程中的首要障碍和难题。从云计算应用安全和系统安全两个层面，提出了云计算安全中应用安全和系统安全的威胁所在以及相应的基本保护要求。关键词：云计算；云安全；应用安全；系统安全；分类保护中图分类号：TP309文献标识码：A文章编号：1674—7720(2013)14—0003—04ResearchofCloudComputingSecuritybasedonclassifiedpI．0teetionZhuShengcai(ShanghaiInfo瑚ationsecurit)，TestingEvaluation锄dCenificationCenter，ShaIlgllai2000ll，China)Abstract：WiIhfurtherpmmotionanddevelopmentofcloudcomputing，t}lesecurityproblemsfacedbycloudcomputingarebecomingmoreandmorepmminent，especiaUyinuserdataco—identiality，integrity锄davailabilit)r，CloudComputingSecurityismorepr；0minent，CloudComputingSecurityisbecomingtheprimaryobstacle锄dpmblemsint}Iepmmotingprocessofcloudcom-puting．Atthetwolevelsof印plicationssecurityaJldsystemsecurityofCloudComputing，tIlispaperpmposestllelocalityofthreattoapplicationsecurit)randsystemsecurityaIldpmtectionrequirementstothesethreats．Keywords：CloudComputing；CloudSecurity；applicationsecurit)，；systemsecurity；classifiedpmtection云计算的目标是实现将各种共享的IrI计算资源以护，为实现云计算平台下信息系统安全的可控性抛砖引服务的方式通过互联网交付给终端用户使用。云计算以玉，并且针对等级保护基本要求给出了具体的操作方式其特有的优势逐步赢得了信息技术市场的认可，与此同和解决方案。时，云计算的出现也在不知不觉中掀起了一场IT技术革1云计算中的应用安全命。云计算的显著优势包括按需服务、高带宽网络接口、本文从应用安全角度分析云计算中应用安全威胁，共享资源池、快速可伸缩性和服务可测量等特点【l“】。在等级保护基本要求框架下针对威胁给出具体的解决在传统的计算模式下，用户对数据的存储与计算拥方法，为实现云用户安全目标提供技术支撑。有完全的控制权，由于传统信息系统的等级保护在等级1．1云计算中应用安全威胁保护基本要求中都有非常具体的体现，使得传统信息系在大量研究CSA相关成果及CAM标准的基础上，统的整体安全性在一个可以控制的范围中；而在云计算结合上海市“云海”项目的研究，以及2013年7月微软模式下，用户数据与机器的管理将完全依赖于与计算服将在上海部署微软云计算数据中心和0FFICE365项目务提供商，终端用户仅仅保留对虚拟机的控制权限，使的研究，给出云计算中应用安全主要面临的威胁及描得信息系统的安全性出现了一些不可控的因素，在这种述，如表1所示。服务模式下，终端用户完全有可能不知道服务提供商的1．2云计算中应用安全基本保护要求系统的物理地点和系统配置等详细内容。这种不可控因根据《信息系统安全等级保护基本要求》(GB，素的存在导致了云计算安全成为云计算推广过程的首他2239：2008)控制层面、控制点和控制项的框架，给出要障碍和难题【7‘1们。针对云计算中应用安全的基本要求，具体如表2所示。本文从等级保护基本要求出发，结合云计算技术现2云计算中的系统安全状分析与研究，从等级保护基本要求的应用安全和系统云计算安全中系统安全很大程度依赖于云服务商安全两个层面，探讨如何在云计算平台下实施等级保的云服务能力和云服务架构，依据《信息系统安全等级《微型机与应用》2013年第32卷第14期欢迎网上投稿www．pcacllina．com3万方数据表1云计算中应用安全威胁分析表表2云计算中应用安全基本要求要求实现应用程序日志管理云应用日志分级管理，并且不可以进