云安全等保风险分析

1、云安全等保风险分析由于本系统是新建设系统，并且尚未部署应用。机房环境目 前已经非常完备，具备很好的物理安全措施。因此当前最主要的工作是依据等级保护基本要求，着重进行 网络层、主机层、数据层等方面的等级保护安全技术建设工 作。此外，天融信具有等级保护的专家团队，深入了解国家等级 保护相关政策，熟悉信息系统规划和整改工作的关键点和流 程，将通过等级保护差距分析、文档审核、现场访谈、现场 测试等方式，发掘目前云平台系统与等保技术和管理要求的 不符合项。并针对不符合项，进行逐条分析，确认建设方案。 在云架构下传统的保护模式如何建立层次型的防护策略，如 何保护共享虚拟化环境下的云平台建设中需重点考虑的环

2、 节；健康云和智慧云将实现基于云的数据存储和集中管理， 必须采用有效措施防止外部入侵和内部用户滥用权限；在信 息安全保障体系实现时仍需满足国家信息安全等级保护政 策要求，同时需要解决信息安全等级保护政策在云计算技术 体系下如何落地的重要课题。健康云和智慧云计算平台引入了虚拟化技术，实现数据资 源、服务资源、平台资源的云共享，计算、网络、存储等三 类资源是云计算平台依赖重要的系统资源，平台的可用性(Availability)可靠性(Reliability)、数据安全性、运维管 理能力是安全建设的重要指标，传统的密码技术、边界防护 技术、入侵检测技术、审计技术等在云计算环境下仍然需要， 并需要针对

3、云计算给信息安全带来的新问题，重点解决，虚 拟化安全漏洞，以及基于云环境下的安全监控、用户隔离、 行为审计、不同角色的访问控制、安全策略、安全管理和日 志审计等技术难点，这就更加需要借助内外网等级保护的建 设构建满足健康云、智慧云平台业务需要的安全支撑体系， 提高信息化环境的安全性，并通过运维、安全保障等基础资 源的统一建设，有效消除安全保障中的“短板效应”，增强整 个信息化环境的安全性。1.1合规性风险XX云平台的安全建设需满足等级保护三级基本要求的标准，即需要建设安全技术、管理、运维体系，达到可信、可 控、可管的目标。但是目前在云计算环境下的等级保护标准 尚未出台，可能会面临信息系统可信、

4、可控、可管的巨大挑 战，如下图:未掌握云计算核心技术，自主可控难度较大;缺乏相应的法律法规M亍业监控评价体系；口更大规模异构共享和虚拟动态的运言环境难以控制;口网络虚拟化后，虚拟机之间的通信控制；口多租户环境下不同租户间的隔离；传统的安全测评面对虚拟化环境；云计算的安全管理制度和运维体系；此外，在今后大量XX自有应用以及通过SaaS方式，纵向引 入各下属单位应用。为了满足各类不同应用的合规性需求，需要在安全技术、运维、管理等方面进行更加灵活、高可用 性的冗余建设。1.2系统建设风险虚拟化平台架构，品牌的选择是一个很慎重的问题。其架构 依据不同品牌，导致接口开放程度不同，运行机制不同。而 与虚拟

5、化平台相关的如：信息系统应用架构、安全架构、数 据存储架构等，都与虚拟化平台息息相关，也是后续应用迁 入工作的基础。此外，在后期迁入应用，建设过程中的质量 监控，建设计划是否合理可靠等问题，均有可能造成风险。 以下为具体的风险：1.2.1应用迁入阻力风险XX的云平台规划愿景包括：应用数据大集中，管理大集中， 所以要求今后非云环境的各类应用逐步的迁移入虚拟化环 境，各应用的计算环境也需要调整入虚拟化环境。由此可能会引发一些兼容性风险问题，带来迁入阻力的风险。1.2.2:拟化平台品牌选择风险因现有虚拟化平台已经采购完成，是VMware 的 vSphere虚拟化平台，因其对国内其他IT平台，尤其是对

6、国内安全厂商 的开放性严重不足，导致许多安全机制无法兼顾到云平台内 部。因此造成了安全监控、安全管理、安全防护机制在云平台内 外出现断档的现象，使现有的自动化安全管理、网络管理、 安全防护等措施无法有效覆盖虚拟化环境。1.2.3建设质量计量、监督风险因为本次XX云平台的建设打算采用市场化建设的方式进 行，但是现有云计算平台是否符合建设要求，是否符合安全 需求，如何进行质量的计量，如何进行评审监督，都是亟待 解决的问题。1.2.4安全规划风险在云平台的规划过程中，应同时规划安全保障体系的；保证 在建设过程中，同步实施计算环境和安全保障建设。如出现 信息安全建设延后，可能带来保障体系的脆弱性，放大

7、各其 他基础设施的脆弱性，导致各类安全风险的滋生。1.2.5建设计划风险云平台的建设因其复杂性，导致系统投入使用前，需要进行 完善详实的规划、设计和实施。需协调好各相关部门，以及 第三方合作厂商，群策群力的建设云平台，而建设计划是需 要先行一步制定好的，从而可以指导规范整个项目的生命周 期。1.3安全技术风险基于虚拟化技术的云平台带来了许多优势，如计算资源按需 分配，计算资源利用效率最大化等等。但是，在引入优势的 同时，也会带来许多新的安全风险。因此对于XX云平台的 信息安全风险分析也应根据实际情况作出调整，考虑虚拟化 平台、虚拟化网络、虚拟化主机的安全风险。同时，为了满足等级保护的合规性要求

8、，需要结合等级保护 三级的基本要求中关于安全技术体系的五个层面的安全需 求，即：物理安全、网络安全、主机安全、应用安全及数据 安全。虽然目前阶段，云平台尚未引入有效应用和数据，但是在安 全规划中需要为未来出现的情况进行先期预测，将其可能引 入的安全风险进行考虑。因此，在经过总结后，可得出八个方面的安全风险。1.3.1物理安全风险因目前物理机房的基础设施已完善，在实地考察后，发现 XX现有机房已满足等级保护三级合规性要求，物理安全风 险已经得到有效控制。1.3.2网络安全风险本节主要讨论非虚拟化环境中的传统网络安全风险。网络可用性风险有多种因素会对网络可用性造成负面影响，主要集中于链路 流量负载

9、不当，流量分配不当，以及拒绝服务攻击、蠕虫类 病毒等威胁。此外，对网络内部流量和协议的审计也非常关 键，运维人员需要了解这些信息以协调网络资源，充分保障 网络的可用性，进一步保障应用业务的可用性。网络边界完整性风险网络边界包含云平台边界、内部各安全域的边界，租户边界 （主机/虚拟主机/业务系统），互联网接入边界。在此讨论非 虚拟化环境下的网络边界完整性风险。云平台网络边界、互联网接入边界、内部各安全域网络边界 以及物理主机的网络边界可能会因缺乏边界访问控制管理， 访问控制策略不当，身份鉴别失效，非法内联，非法外联等 因素而被突破，导致网络边界完整性失去保护，进一步可能 会影响信息系统的保密性和

10、可用性。安全通信风险第三方运维人员，采用远程终端访问云中的各类应用。如果 不对应用数据的远程通信数据进行加密，则通信信息就有被 窃听、篡改、泄露的风险，破坏通信信息的完整性和保密性。入侵防护风险网络入侵可能来自各边界的外部或内部。如果缺乏行之有效 的审计手段和防护手段，则信息安全无从谈起。为避免信息 安全保障体系成为了聋子、瞎子，需要审计手段发现入侵威胁，需要防护手段阻断威胁。恶意代码风险当网络边界被突破后，信息系统会暴露在危险的环境下，最 为突出的风险就是恶意代码的风险，可能会造成系统保密性 和可用性的损失。包括端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和

11、网络蠕虫攻 击等。系统随时会面临各类恶意代码攻击的风险，尤其是 APT攻击，即使系统具备较为完善的防御体系，也很难防范 此类攻击。1.3.3主机安全风险在虚拟化环境下，主机安全也应对物理服务器主机和虚拟化 主机进行区别对待，存在的安全风险问题有所不同。本节只讨论物理服务器和远程接入应用的操作终端的安全 风险。应用操作终端风险云平台搭建后，系统资源统一放在云端，而用户是通过终端远程接入云中的应用。除了上述的身份鉴别和授权的风险 外，终端使用的浏览器自身存在漏洞，甚至终端本身的健康 状况不良，都可能会造成云端受到相应的威胁。服务器主机操作系统漏洞风险服务器主机操作系统因自身设计原因，存在固有的漏洞

12、和脆 弱性，具有被突破、被潜伏、被利用、被破坏的各类风险。服务器主机平台风险目前服务器的硬件架构中，采用的CPU、主板、内存等配件 的核心技术仍然受制于人，为了业务的性能需求，仍然需要 采用国外的技术架构。可能会带来后门入侵的风险。1.3.4应用安全风险身份鉴别、授权、审计风险应用放置在云端，在实现资源共享的同时，会带来信息泄漏 的风险。由于网络的不确定性，首要问题就是要确认使用者 的身份、确保身份的合法性。由于工作需要，不同部门、不 同职责的工作人员应用需求不同，信息使用权限不同，必须 要对使用者身份进行统一的认证，统一授权，统一审计。一旦攻击者获取使用者的身份验证信息，假冒合法用户，用 户

13、数据完全暴露在其面前，其他安全措施都将失效，攻击者 将可以为所欲为，窃取或修改用户数据。因此，身份假冒是 政务云面对的首要安全威胁。应用服务可用性风险任何形式的应用都存在可用性风险，而一旦可用性风险被威 胁利用，进一步引发了安全事件，则会带来应用的不可用， 进而导致业务受阻。缺乏对应用服务的审计也会带来可用性风险，如果通过审计 和分析策略在故障或入侵之前可以察觉到异常信息，可能就 避免了事故的发生。而在云计算环境下，因为应用的高度集中和边界模糊，可能 一次单台主机的不可用，都会带来多种业务的不可用。因此 云计算环境下的应用可用性问题相比传统计算环境下，具备 影响范围广，程度深的特点。 WEB攻

14、击风险WEB攻击主要指针对WEB服务的各类应用恶意代码攻击， 诸如SQL注入攻击、XSS攻击、网页篡改等，通常是由于 对HTTP表单的输入信息未做严格审查，或WEB应用在代 码设计时存在的脆弱性导致的。如果不对这类攻击进行专门的防护，很容易造成安全保障体 系被突破，以WEB服务作为跳板，进一步威胁内部的应用 和数据。1.3.5数据安全风险数据保密性和完整性风险XX云因其业务特点，所处理的数据关乎公众服务，以及为 国家提供舆情服务。虽然会有部分应用会对互联网用户提供 服务，但只是提供有限的接口，访问有限的，关乎个人的等 非敏感数据。但大部分敏感的，不宜公开的政务云数据还会 面临来自非法入侵后进行

15、窃取或篡改，进而带来的数据保密 性和完整性风险。数据可用性风险当数据的完整性遭受破坏时，数据可用性也会遭受影响，数 据失真，尤其是应用的关键参数失真最为严重。尤其是虚拟 化环境下，数据碎片化存储，在整合时出现问题，导致应用 服务中断，进而造成应用可用性的风险。所以如何进行容灾， 备份，恢复也是一个严峻的问题。数据审计风险因为在云环境中，用户的数据不再保存在用户本地，因此目 前在云计算环境中，多依靠完整性验证的方式使用户确信他 们的数据被正确的存储和处理。为了保证数据可恢复性及冗 余性，在云计算环境中，通常会采用冗余存储的手段。这就 需要特定的审计方法保证多个版本数据的一致性和完整性。此外，针对

16、数据的使用者信息，也需要通过审计措施来进行 记录。数据安全检测风险在政务云环境下，数据往往是离散的分布在“云”中不同的位 置，用户无法确定自己的数据究竟在哪里，具体是由哪个服 务器进行管理。也因此造成当数据出现不可用，破坏，甚至泄露时，很难确定具体的问题点。数据库安全风险数据库通常作为非结构化数据的索引，通过结构化表的表现 形式，为前端应用和后方数据提供桥梁；同时，对于结构化 的数据，数据库本身就进行了数据存储。恶意攻击通常会通过数据库漏洞或恶意代码的方式进行非法提权，从而通过数据库结构化语句窃取、篡改甚至破坏后台存储的数据，威胁到数据的保密性、完整性和可用性。1.3.6虚拟化平台安全风险虚拟

17、化是云计算最重要的技术支持之一，也是云计算的标志 之一。然而，虚拟化的结果，却使许多传统的安全防护手段 失效。从技术层面上讲，云计算与传统IT环境最大的区别 在于其虚拟的计算环境，也正是这一区别导致其安全问题变 得异常“棘手”。虚拟化平台自身安全风险虚拟化平台自身也存在安全漏洞，虚拟主机可能会被作为跳板，通过虚拟化网络攻击虚拟化平台的管理接口；或者由虚 拟机通过平台的漏洞直接攻击底层的虚拟化平台，导致基于 虚拟化平台的各类业务均出现不可用或信息泄露。安全可信、可控风险虚拟化平台技术是从国外引进的，目前常见的主流商用虚拟 化平台被几个大的国外厂商垄断，且不对外提供关键、核心 接口，更不提供源码，

18、导致在其上构建和部署安全措施困难， 可控性差。再加上可能的利益驱使和网络战需要，无法判别 是否留有控制“后门”，可信度有待商榷。虚拟资源池内恶意竞争风险处于虚拟资源池内的多虚拟主机会共享统一硬件环境，经常 会出现恶意的抢占资源，影响了平台资源的可用性，进而影 响虚拟化平台的服务水平。1.3.7虚拟化网络安全风险虚拟化的网络结构，使得传统的分域防护变得难以实现，虚 拟化的服务提供模式，使得对使用者身份、权限和行为鉴别、控制与审计变得更加困难。造成虚拟化网络不可见风险、网络边界动态化风险、多租户混用安全风险等。虚拟化网络不可见风险在云环境中，虚拟化资源会放在同一的资源池中，供各应用 调配资源来实现

19、业务的运行。在这种情况下，传统安全防护 设备无法深入虚拟化平台内部进行安全防护，难以达到恶意 代码的防护，流量监控，协议审计等安全要求。网络边界动态化风险为了实现虚拟化环境下的动态负载，出现了虚拟机动态漂移 技术，导致虚拟化主机的真实位置也会随之改变，造成边界 的安全策略也需要随之转移。若边界隔离、安全防护措施与 策略不能跟随虚拟机漂移，会使得边界防护措施和防护策略 难以起效，造成安全漏洞。多租户混用安全风险在XX云平台的规划愿景中，包含对下属机构提供SaaS类服 务，必然会引入其他租户的应用。这么多的业务系统有着不 同的安全等级和访问控制要求，业务系统自身的安全保障机制也参差不齐。所有业务系

20、统的安全防护策略和需求也是不 同的，而安全策略一刀切常常会使整体安全度降低，高安全 等级要求的业务系统无法得到应有的安全保障，导致越权访 问、数据泄露。网络地址冲突风险由于用户对虚拟机有完全控制权，所以可以随意修改虚拟机 的mac地址，可能造成与其他虚拟机的mac冲突，从而影响 虚拟机通信。恶意虚拟机实施攻击风险虚拟机通信隔离机制不强，恶意虚拟机可能监听其他虚拟机的运行状态，实施Dos攻击，恶意占用资源（cpu，内存，网 络带宽等），影响其他VM的运行。1.3.8:拟化主机安全风险:拟机恶意抢占资源风险虚拟机完全由最终用户控制，恶意份子和被控制的虚拟机可 能恶意抢占网络、存储和运算资源，导致整

21、体云平台资源耗尽，从而影响其他关键业务系统的正常运行扰乱正常政务办 公。虚拟机安全审计风险在云平台构建完成后，将同时运转数量众多的虚拟机。并且， 对虚拟机的操作人员各异，安全意识和安全防范措施也参差 不齐。缺乏安全审计会导致某些虚拟机感染病毒后进行非法 操作，甚至可能利用hypervisor的已有漏洞，获得更高权限， 从而实施各种攻击。虚拟机镜像安全风险比起物理主机，虚拟机镜像是以文件形式存在，因此，容易 被复制和修改，同时，不同安全级别的版本镜像可能被替换。 虚拟机镜像文件如缺乏控制措施，可能存在完整性修改，镜 像回滚失败等风险。1.3.9安全管理风险当云平台系统进入上线运行阶段后，相关安全

22、管理人员在管 理过程中可能会遭遇多种问题，引发安全管理风险。在云计算环境下，应用系统和硬件服务器不再是一一绑定的关系，安全管理职责发生了变化，失去了对基础设施和应用 的绝对管理权和控制权。另外，政务云系统的管理层面发生 了变化，XX的云环境运维部门负责管理基础设施，而应用 系统因为租户众多，使得应用系统的维护者众多。也因此管 理职责复杂化，需要明晰职权。在多租户迁入应用和数据的 情况下，区别于传统的私有云，管理人员的队伍也发生了变 化，需要多个部门进行人员的协调。因为人员是由多个部门 组成，也因此要求安全管理制度，应急响应的策略和制度依 据实际情况作出调整。1.3.10 云环境下的特有安全管理

23、风险在云环境下，“资源池”管理技术主要实现对物理资源、虚 拟资源的统一管理，并根据用户需求实现虚拟资源（虚拟机、 虚拟存储空间等）的自动化生成、分配、回收和迁移，用以 支持用户对资源的弹性需求。这突破了传统的安全区域，使得传统基于物理安全边界的防 护机制不能有效地发挥作用，削弱了云平台上各租户对重要 信息的管理能力。另外，在传统网络环境中，网络中的各类 资产通常由不同的管理员进行管理。但在虚拟化环境中，往 往都由同一管理员负责，可能会出现管理员权限过于集中的 风险。对管理员的操作审计和行为规范都提出了很高的要 求。安全组织建设风险要应对云平台进入运行阶段的各类问题，首先对进行安全管 理运维的组

24、织保障能力提出了挑战。没有依据实际情况建设的安全组织，无法应对云平台复杂环 境下的安全管理要求，无法顺利完成安全管理工作，无法保 障各类云业务的顺利进行。而且鉴于本次云平台建设的实际 情况：即迁入多租户的大量应用，所以在进行安全管理时， 如何划分管理权限，明晰职责，也成为了需要解决的问题。因此，需求合理的、务实的、专业的多类安全队伍来应对挑 战，保障云平台业务顺利通畅的进行。人员风险再安全的网络设备和安全管理系统也离不开人的操作和管 理，再好的安全策略也最终要靠人来实现，因此人员也是整 个网络安全中的重要一环。需求具备完备的信息安全意识， 专业的信息安全素养，职业化的信息安全态度人才，来管理

25、和维护政务云系统，保障业务。安全策略风险在应对云平台未来可能遇到的信息安全事件时，除了具备组 织、人员外，还需要制定适合云平台系统复杂环境的安全制 度和安全策略，让组织和人员可以有效的，合规的完成信息 安全事件相关的各类工作，以保证信息安全管理可以高效， 高质量的进行。安全审计风险在云平台投入使用后，因业务系统和底层架构较为复杂，需 要进行全方位的监控审计，以便及时发现各类可能和信息安 全相关、业务状态相关的信息，并及时作出管理策略的响应 和调整。而具体由谁来监控审计，审计结果是否有效而客观，是否可 以及时传达至相关责任人，这些问题都需要妥善解决，才能 够实现全方位，及时，有效的审计。1.4安

26、全运维风险因为XX的采购方式是通过市场化建设，提供基础设施平台， 平台建设完成后，将引入各下属机构的应用系统。所以在云 平台投入使用后，运维人员、审计监控以及应急响应等都发 生了职责、权限、流程的变化，引入了新型的，在云环境下 特有的新型风险。此外，还包括一些传统的安全运维风险，例如：环境与资产， 操作与运维，业务连续性，监督和检查，第三方安全服务等 风险。1.4.1云环境下的特有运维风险运维职权不明风险 在云平台投入使用后，基础设施由XX进行运维，而基于基础设施的各类应用由各租户的相关人员进行运维。但是当发 生事故的时候，无法在第一时间确定事故的波及方；处理事 故时，无法分配具体任务；事故追责时，无法确定到底由谁 来负责。尤其是在云环境中，资源池内如果发生了安全事故， 资源边界更加模糊。因此确定运维职责非常重要。运维流程不明风险因为运维参与者众多，属于不同的参与方，也导致在进行运 维过程中，很多流程要涉及到不同参与方的多个部门。因此 确定一个统一的，合理的安全运维制度是保障运维工作顺利 进行的必要条件。、* tv.、一 、r. k_ r人在安全技术上，传统的运维审计手段缺乏对虚拟机的运维审 计能力。流量不可视也带来了协议无法审计，虚拟机动态迁 移