1、引言

自2006年云計算的概念產生以來，各類與云計算相關的服務紛紛涌現，隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案，大都根據自己企業對云平臺安全的理解，結合本企業專長，專注于某一方面的安全。然而，對于用戶來說云平臺是一個整體，需要構建云平臺的整體安全防護體系。

因此，針對云計算中心的安全需求建立信息安全防護體系已經是大勢所趨，云安全防護體系的建立，必將使云計算得以更加健康、有序的發展。

2、云計算的安全問題解析

云計算模式當前已得到業界普遍認同。成為信息技術領域新的發展方向。但是，隨著云計算的大量應用。云環境的安全問題也日益突出。我們如果不能很好地解決相關的安全管理問題，云計算就會成為過眼"浮云"。在眾多對云計算的討論中，SafeNet的調查非常具有代表性："對于云計算面臨的安全問題。88.5%的企業對云計算安全擔憂"。各種調研數據也表明：安全性是用戶選擇云計算的首要考慮因素。近年來，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。

2.1云安全與傳統安全技術的關系

云計算引入了虛擬化技術。改變了服務方式，但并沒有顛覆傳統的安全模式。從這張對比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計算環境下，由于虛擬化技術的引入，需要納入虛擬化安全的防護措施。而在基礎層面上，仍然可依靠成熟的傳統安全技術來提供安全防護。

如圖1所示。云計算安全和傳統安全在安全目標、系統資源類型、基礎安全技術方面是相同的，而云計算又有其特有的安全問題，主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上，我們可以把云安全看做傳統安全的一個超集，或者換句話說，云安全是傳統安全在云計算環境下的繼承和發展。

綜合前面的討論，可以推導出一個基本的認識，云計算的模式是革命性的：虛擬化安全、數據安全和隱私保護是云安全的重點和難點。云安全將基于傳統安全技術獲得發展。

2.2云計算的安全需求與防護技術

解決安全問題的出發點是風險分析，CSA云安全聯盟提出了所謂"七重罪"的云安全重點風險域。

Threat 1：Abuse and Nefarious Use of Cloud Computing(計算的濫用、惡用、拒絕服務攻擊);

Threat 2：Insecure Interfaces and APIs(不安全的接口和API);

Threat 3：Malicious Insiders(惡意的內部員工);

Threat4：Shared Technology Issues(共享技術產生的問題);

Threat 5：Data Loss or Leakage(數據泄漏);

Threat 6：Account or Service Hijacking(賬號和服務劫持);

Threat 7：Unknown Risk Profile(未知的風險場景)。

信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性。用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。

機密性安全需求：要求上傳到云端的信息及其處理結果以及所要求的云計算服務具有排他性，只能被授權人訪問或使用，不會被非法泄露。

完整性安全需求：要求與云計算相關的數據或服務是完備、有效、真實的，不會被非法操縱、破壞、篡改、偽造，并且不可否認或抵賴。

可用性安全需求：要求網絡、數據和服務具有連續性、準時性，不會中斷或延遲，以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。

根據云計算中心的安全需求，我們會相應得到一個安全防護技術的層次結構：底層是基礎設施安全，包括基礎平臺安全、虛擬化安全和安全管理;中間是數據安全。上層是安全服務層面，外圍還包括安全接入相關的防護技術。

3、等級保護背景下的云安全體系

3.1等級保護標準與云安全

自1994年國務院147號令開始。信息安全等級保護體系歷經近20年的發展，從政策法規、國家標準、到測評管理都建立了完備的體系，自2010年以來，在公安部的領導下。信息安全等級保護落地實施開展得如火如荼，信息安全等級保護已經成為我國信息化建設的重要安全指導方針。

盡管引入了虛擬化等新興技術，運營模式也從出租機房進化到出租虛擬資源，乃至出租服務。但從其本質上看，云計算中心仍然是一類信息系統，需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外。云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。因此，云計算中心防護體系應當是以等級保護為指導思想，從云計算中心的安全需求出發。從技術和管理兩個層面全方位保護云計算中心的信息安全：全生命周期保證云計算中心的安全建設符合等保要求：將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求。做到等保成果的可視化，做到安全工作的持久化。

3.2云計算中心的安全框架

一個云計算中心的安全防護體系的構建。應以等級保護為系統指導思想，能夠充分滿足云計算中心的安全需求為目標。根據前面的研究，我們提出一個云計算中心的安全框架，包括傳統安全技術、云安全技術和安全運維管理三個層面的安全防護。

云安全框架以云安全管理平臺為中心，綜合安全技術和管理運維兩個方面的手段確保系統的整體安全。在安全技術方面，除了傳統的物理安全、網絡安全、主機安全、應用安全、數據安全、備份恢復等保障措施，還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。

3.3云安全防護體系架構

在實際的云安全防護體系建設中。首先要在網絡和主機等傳統的安全設備層面建立基礎信息系統安全防護系統。基礎信息安全防護體系是以等級保護標準為指導進行構建，符合等級保護標準對相應安全級別的基本安全要求。

在此基礎上，通過SOC安全集中管理系統、虛擬安全組件、SMC安全運維管理系統和等保合規管理系統四個安全子系統共同組成云安全管理中心。如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協同工作，為云計算中心提供從實體設備到虛擬化系統的全面深度安全防護，同時通過專業的SLC等保合規管理系統來確保云安全體系對于等級保護標準的合規性。