您好, 访客   登录/注册

基于云平台的安全策略研究

来源:用户上传      作者:

  摘   要:当前互联网技术的飞速发展,云计算、大数据等新技术在信息系统建设过程中得到了广泛应用,更多的互联网用户将自己的信息系统部署在云平台上。随着大量信息系统在云平台上的部署,云平台制度环境建设及安全策略研究就显得尤为重要。文章旨在研究云平台环境下的信息安全制度和安全策略。从云服务用户、云服务商、云链路供应商以及第三方评估机构的角度,对安全管理制度、安全管理机构、人员安全管理、系统安全建设管理和系统运维管理等方面的安全策略进行研究,从而完善云平台制度环境建设及安全策略。
  关键词:云平台;制度环境;策略
  中图分类号:TP393.0          文献标识码:J
  Abstract: At present, with the rapid development of Internet technology, new technologies such as cloud computing and big data have been widely used in the process of information system construction. More and more Internet users deploy their information systems on cloud platform. In this way, with the deployment of a large number of information systems on cloud platforms, the system environment construction and security strategy research of cloud platforms are particularly important. This paper aims to study the information security system and security strategy under the cloud platform environment. From the point of view of cloud service users, cloud service providers, cloud link providers and third-party evaluation agencies, this paper studies security strategies in security management system, security management institutions, personnel safety management, system security construction management and system operation and maintenance management, so as to improve the system environment construction and security strategy of cloud platform.
  Key words: cloud platform;institutional environment;strategy
  1 引言
  加強有关云平台策略研究,规范互联网系统安全运营,有助于净化互联网空间、“扫黄打非”杜绝淫秽色情等不良信息在网络传播,对于维护网络生态文明建设具有至关重要的意义。目前,公有云服务中运行维护制度化管理工作,是确保系统的安全可靠运行的关键和基础。本文拟就如何加强云平台环境下的安全策略设计,提出若干安全策略措施,提供给大家研究商榷。
  根据国家互联网应急中心发布的《2019年上半年我国互联网网络安全态势》显示,发生在我国主流云平台上的各类网络安全事件数量占比仍然较高,其中云平台上遭受分布式拒绝服务攻击次数占境内目标被攻击次数的69.6%,被植入后门链接数量占境内全部被植入后门链接数量的63.1%,被篡改网页数量占境内被篡改网页数量的62.5%[1]。基于上述现状,说明加强互联网云平台制度环境建设,对于网络安全非常重要。
  2 云计算平台服务的主体角色及安全职责
  云计算服务从广义上说,网络云计算服务是与信息技术、软件、互联网相关的一种服务,这种计算资源共享池叫做“云”,云计算把许多计算资源集合起来,通过软件实现自动化管理,只需要很少的人参与,就能让资源被快速提供。计算能力作为一种商品,可以在互联网上流通,可以方便地取用,且价格较为低廉[2]。网络系统采用云计算服务过程中通常会涉及到的云服务用户、云服务商、云用户供应链服务商和第三方评估机构四个角色。本文的4个角色都有其各自的安全职责,为系统采用云计算服务提供指导。
  云计算服务用户是信息安全的责任主体,其主要职责:对系统采用云计算服务的过程制定相应的管理制度,并指定安全负责人;参照相关数据安全标准,对数据的敏感程度、业务的重要性进行分类;组织人员开展安全培训,明示使用云计算服务带来的安全风险;配合监管部门对入云系统的安全检查,并对发现的安全问题进行整改;根据系统的功能、性能及安全指标对系统采用云计算服务的需求进行分析,确定采用云计算服务的数据、业务范围;根据信息的敏感程度、人员技能、业务需求的动态性等来选择应用的部署模式。
  云服务商在网络云计算服务过程中的安全职责主要表现:保证提供的云计算服务符合国家法律法规要求且安全可靠;遵守云计算服务相关标准及安全要求提供服务,并具备相关服务资质;参照有关信息安全国家标准逐步通过政务云审查;确保提供服务的云计算平台、数据中心等设在安全可靠的环境内;遵守国家有关信息安全政策规定、信息安全等级保护要求、技术标准,落实安全管理和防护措施;及时响应云服务用户的服务需求。   云供应链服务商在网络云计算服务过程中的安全职责主要表现:向云服务用户详细介绍服务内容、服务流程、安全责任等;根据云服务用户的要求,对云服务用户采用云服务模式的需求进行分析,梳理入云系统架构、功能、性能等安全方面的要求;在云服务用户的协调下,与云服务商对提供的服务内容进行功能和责任区分,并通过服务协议或者合同等进行约束;在云服务用户的统筹协调下,供应链服务商之间应该进行边界梳理,能够达成兼容协同的综合服务。
  第三方评估机构在网络云计算服务过程中的安全职责表现:在开展安全评估工作前,与云服务用户签订服务协议、保密协议,并根据云服务用户委托对系统进行风险评估。
  3 云平台安全建设现状及面临的主要问题
  随着云计算技术的发展,现有很多系统部署在云平台。在云平台环境下,传统安全解决方案根本无法在云环境中运行,或者说传统安全策略在云平台环境下只能发挥很少的作用。
  通过调研发现,在现有云平台环境下的安全問题主要表现为四点。一是目前云平台缺乏合格的安全人员,原有的安全人员不能及时掌握云计算、大数据等新技术。二是原有的安全工具落后,传统环境下的安全检测工具不能在云环境下发挥安全壁垒的作用。三是由于部署环境的变化,导致安全策略发生改变。原有系统制定的安全策略无法满足现有的云平台环境。四是在安全体系中增加了云平台环境,对应增加云服务商、云链路商等环节。在这些环节中增加了新环境下的安全隐患。所以,对于上述问题,本文对云平台的安全策略研究就显得尤为重要。
  4 加强云平台策略研究的意义
  随着云计算技术的发展,云服务商、云链路供应商新的角色出现在信息安全的体系当中。因此,原有的信息安全体系中需要进一步完善新的平台制度环境建设。建立平台制度环境建设的意义在于:一是有助于为系统运行制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架;二是对安全管理活动中的各类管理内容建立安全管理制度;三是对安全管理人员或操作人员执行的日常管理操作建立操作规程[3];四是成为由安全政策、安全策略、管理制度、操作规程等构成的全面信息安全管理制度体系。
  网络云计算服务安全策略体系建立的价值在于推进信息安全管理体系的建立、安全策略和制度体系的建设、安全组织体系的建设、安全运作体系的建设。
  安全制度的首要问题是对安全制度的制定,对于在安全制度的制定的过程中,应考虑两个方面的问题。一是界定安全策略制度的制定权限。信息安全领导小组和管理小组负责制定公司层的安全策略,公司各部门信息安全组织遵照下发的安全策略,结合本部门系统实际情况,制定和细化成适用于本部门的具体管理办法、实施细则和操作规程。二是加强对安全策略的制定要求。对安全策略进行汇编时,保留各安全策略的版本控制信息和密级标识。
  网络云计算服务的制度建设应在信息安全职能部门的总体负责下,组织相关人员制定。保证安全管理制度具有统一的格式风格,并进行版本控制。组织相关人员对制定的安全管理进行论证和审定。安全管理制度经过管理层签发后按照一定的程序以文件形式发布。安全管理制度需注明发布范围,并对收发文进行登记。
  在云平台制度的评审和修订过程中,信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。定期或不定期地对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订[4]。
  5 加强云平台安全体系建设的对策建议
  安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据[5]。
  安全策略是依据国家、行业政策、法规、标准(比如国内的信息安全等级保护制度、计算机信息系统安全保密防护要求及检测评估方法、风险评估准则等),结合单位的安全实际需求,制定出符合单位特征的安全策略。安全策略可以划分为安全技术策略和安全管理策略,安全技术策略需要集合相应的安全技术或安全设备,演变为安全技术规则,配发到相应的系统或安全设备上。安全管理策略需要根据单位中不同部门的具体情况,演变为一种具体的安全管理制度,落实到相应的部门和人员。
  云安全策略体系主要包括:安全管理制度、安全管理机构策略、人员安全管理策略、安全建设策略、安全运维策略等。
  5.1 安全管理制度
  遵从总体策略中规定的安全领域所应遵守的原则方法,是指导性策略引出具体管理规定、管理办法和实施办法,规定安全管理活动中各项管理内容,如组织安全、人员安全、系统建设和运行维护安全等管理目标、要求、责任以及过程,技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突[6]。建立由信息安全策略、安全管理制度、安全技术规范以及流程组成的一整套信息安全管理体系。对安全管理类制度的制定负责,应组织相关人员,包括安全专家,制度适用的应用系统承建单位和业主单位等,对制定的安全管理制度进行论证和审定。安全管理制度制定后,必须有效发布,发布过程中必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关内容的充分培训,保证每个人员都知道和了解与自己相关的内容。建立并执行管理制度评审的工作制度,每年审视安全策略系列文档[7],对其中不适用的或欠缺的条款及时进行修改和补充。
  5.2 安全管理机构策略
  安全管理机构是对信息系统安全管理全权负责的组织,机构成员应由相关处室组成,明确安全管理机构的职责。
  安全管理机构主要由信息安全领导小组、信息安全管理组和信息安全执行组组成。信息领导小组由组长、信息化、信息安全、其他业务部门领导组成。信息安全管理组由组长、信息化、信息安全及安全保密、其他业务部门人员组成。信息安全执行组主要由信息化、信息安全人员组成,包括系统管理人员、安全管理人员、安全审计人员,其中系统管理人员主要包括网络、主机、应用、数据等管理人员,安全管理人员主要包括信息安全管理人员和安全保密管理人员。   5.3 人员安全管理策略
  人员安全管理过程中的安全责任应由人力部门、资产管理部门共同承担。人员培训应从整体考虑,对人员技能需求进行分析,形成人员培训计划,设计培训内容,明确培训方式。应注意根据岗位特点,针对不同岗位制定不同的培训计划,同时对培训的情况和结果进行记录并归档保存。人员考核应形成文件化的岗位考核计划,有序地安排各岗位人员进行考核,至少应定期对涉及信息安全管理、检查和执行的岗位人员进行安全技能的考核,以及对各个岗位的人员进行安全认知的考核[8]。当员工违反了安全策略和安全流程时,应依据处罚条款进行惩戒,记录惩戒结果,并从惩戒事件本身进行总结,分析惩戒原因和规避措施。加强软件开发商、硬件供应商、系统集成商、设备维护商和服务提供商代表,以及实习生、临时工等非本单位人员的访问管理。
  人员安全管理主要包括人员录用、离岗、考核、培训、外部人员、人员安全保密管理等方面规定的制定。
  5.4 系统安全建设管理策略
  系统安全建设管理策略主要覆盖系统建设的全过程,包括系统规划、产品采购与使用、系统实施及系统验收各个阶段,以下为各阶段具体安全管理策略。
  (1)信息系统规划阶段安全管理包括项目立项、项目需求与要求、项目审批和项目招标相关阶段的信息安全管理要求。规划中根据信息系统的等级划分情况和整体安全策略,统一考虑安全技术框架、安全管理策略、总体建设规划和初步设计方案。
  (2)产品的采购和使用必须符合国家的有关规定,产品的采购和使用应指定或授权专门的处室负责。
  (3)信息系统实施阶段安全管理包括项目签约、项目计划、项目实施和试运行相关阶段的安全管理要求。制定系统实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。工程实施方应当制定详细的系统实施方案,控制系统实施过程,并组织相关处室和专家对系统实施方案进行论证和审定。工程实施方必须确保正式地执行安全工程过程,提供系统实施的相关文档和实施过程控制记录[9]。
  (4)测试验收的标准需要保证功能、性能和安全三方面满足要求,要由专门人员或处室负责,在系统测试验收控制方法和人员行为准则的约束下执行测试验收工作。对于自身缺少测试能力的单位,需要委托外部单位帮助完成测试工作,并出具公正的安全性测试报告。系统运营单位应对系统交付的要求,包括系统交付的控制方法和人员行为准则进行规定,根据合同要求制定系统交付的清单,依据交付清单进行清点。系统建设单位应对负责系统使用和维护人员进行相应培训,并履行服务承诺。
  5.5 系统运维管理策略
  系统运维管理策略的范围主要包括对环境、资产、介质、设备、恶意代码防护、安全服务、监控和安全审计、网络、系统、密码、变更、备份与恢复、安全事件、应急管理等方面,确保系统始终处于相应等级安全状态中。
  对信息系统实施安全审计的目的是避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息安全管理符合安全方针和标准要求,作为自我保障和改进机制的一部分,在保证信息安全管理体系持续有效运作的同时,不断地改进和完善[10]。
  6 结束语
  在信息化飞速发展的今天,伴随着云计算、大数据等新技术的日益发展,与之匹配的云平台制度环境建设显得尤为重要。信息系统安全安全策略的不断完善要做到同新技术的发展与时俱进。云平台制度环境的建设及安全策略,将会为信息系统安全起到坚实壁垒的重要作用。
  参考文献
  [1] 李向东.2012金融行业信息系统信息安全等级保护测评指南(2012报批稿)[R].学术网文 http://www.sciencenet.cn/.
  [2] 罗晓慧.浅谈云计算的发展[J].电子世界,2019(08):104.
  [3] 韩红光.校园网网络安全策略构建与应用研究——以浙江农业商贸职业学院为例[J].电脑知识与技术, 2016,12(08):57-59.
  [4] 姜立群,刘畅,井柯.城市轨道交通CBTC信号系统网络安全方案[J].自动化博览,2018,35(12):56-59.
  [5] 杨尚瑾,董超.浅谈电力系统信息安全策略[J].中国电力教育,2009(09):219-220.
  [6] 张晓炜,等.信息系统的安全策略与实现[J].中国通信学会2006国防通信技术委员会学术研讨会,2016:(12).
  [7] 王璐.信息安全風险评估系统的研究与实现[J].中国科学院计算机网络信息中心,2008:(6).
  [8] 中国人民银行河池市中心支行课题组.基于个人信用信息基础数据库客户端模拟漏洞分析及防范措施研究[J].金融参考,2016:(1).
  [9] 林炜.信息安全检查和技术审计工作实践与建议[J].金融科技时代,2012,20(06):73-74.
  [10] 吕杰.某网站信息安全管理策略研究与设计[J].北京工业大学学报,2010:(12).
转载注明来源:https://www.xzbu.com/1/view-15129072.htm