实践中可以看到,云安全技术具有较强的技术要求,尤其是物理资源、网络、主机以及应用和数据信息安全。云计算中心以虚拟技术居多,基于等级保护之要求,对云计算信息系统难以开展安全等级保护测评,具有非常重要的作用。
一、云安全服务模型
云产品在部署模型、服务模型以及资源物理位置和管理属性方面,呈现出较大区别的形态模式,安全风险特征、控制职责范围也存在着较大的差异性。基于此,需基于安全控制角度健全和完善云计算模型, 实现云服务架构到安全架构的有效映射,从而为风险识别、决策以及安全控制提供重要参考。
基础设施即服务,其主要有计算机网络设施、网络设备、主机以及服务器等硬件平台;在基础设施建设过程中,首先是将硬件资源抽象起来,并且将这些资源有效的纳入到基础设施逻辑节点之中,向用户提供可统一编程应用程序接口,然后让用户通过应用程序对应用程序编程接口调用,从而实现物理设备的相互应用。对于IaaS层而言,其关注的主要安全问题是网络基础设施环境、物理、环境、主机以及网络连接设备和系统虚拟化等方面的安全。
对于云安全管理中心而言,基于云安全服务所提出的云安全管理概念,对用户、安全事件以及资产等进行统一监管,集中审计分析研究;同时,通过高效化、专业化支撑平台,以及先进的监测工具,预警安全事件,并且及时对安全状态进行掌控,从而发现基于云计算环境的病毒传播、网络攻击以及异常行为等事件,为应急响应、预警和事件调查提供技术方面的支撑;同时,还要采取有效的主动防护措施保护用户数据信息,并且对云计算中心进行全面安保。
二、基于云安全模型的信息安全等级测评
所谓云安全模式下的信息安全等级测评,主要是基于云安全中心模型、云安全服务模型以及云安全领域的不同要求,得出一个安全模型,并且在信息安全等级保护基础上确定其所处位置。云安全模型的一端与等级保护技术要求相连接,另一端则与等级保护管理要求相连接。实践中,通过云安全信息中心建模操作,全面分析安全模型下的云安全核心基础,并且得出安全等级测评模型,以此来开展相关测评工作。基于以上分析,笔者认为将在云安全模型中有效的嵌套云安全等级保护建模,即可实现与云信息安全等级相关的测评操作,对安全模型下的控制项实施细粒度分析。
云认证及其授权:对于云认证、授权而言,其重点在于全面查看登录认证、程序运行授权、服务认证以及敏感文件授权等事项。云访问控制过程中,基于访问控制模型对是否为强制访问、自主访问以及角色型访问控制进行确定,以便于能够采用不同的方式和方法对其进行有效的分析。对于云安全边界与隔离而言,主要是全面了解安全隔离机制、安全区域划分以及硬件安全技术支撑等问题。对于云安全存储而言,可将数据信息存储成加密格式,而且用户需将数据信息独立出来,区分开来。在恶意代码防范过程中,可了解是否有恶意代码检测、攻击抵御策略。同时,还要具备安全管理功能,对所有物理/虚拟硬件、软件以及网络资源等加强管理,管理测评要求与等级保护管理要求应当保持一致。对于网络安全传输而言,主要了解计算机网络安全传输采用加密的方式与否。对于网络配置及其安全策略而言,应当使访问控制、资源分配确实有效,而且还要以统一、安全可靠的方式进行定义,并且有效解 决、执行实践中的相应安全策略。
结语:总而言之,云安全快速发展的条件下,基于云安全模型的信息系统安全等级保护方法也在不断的完善,如何应当云计算虚拟化技术的漏洞以及数据泄露和共享访问模式问题,成为需要深化研究的要点。
参 考 文 献
[1] 邱建勋. 信息系统安全等级保护定级方法的思考[J]. 数字与缩微影像,2012(04)
[2] 马泽生,孙瑞. 云计算时代淮委信息系统安全等级保护架构初探[J]. 治淮,2012(04)
