云计算安全体系架构研究

网络安全等级保护云计算安全防护技术体系设计

摘要：网络安全等级保护云计算安全防护技术体系是一项为了保证国家安全、推动信息化社会体系健康发展的基本制度要求，随着国家经济信息化、社会信息化的不断发展，以云计算为代表的新技术相继走进人民的生活。为了响应国家对于网络安全等级保护的需要，应当建立健全的云计算安全防护技术体系，本文主要针对当前网络安全等级保护云计算安全防护技术体系的发展前景以及问题进行讨论，并对相关技术未来的良好发展提出合理建议。

关键词:网络安全等级保护；云计算；防护技术体系 引言：随着国家网络信息技术不断更新发展，云计算技术也被政务、金融等更多领域所运用。在信息化不断发展的大前提下，在国家安全中占据重要地位的便是网络安全，这是国家发展过程中不可忽视的问题，网络的发展性也为某些犯罪分子提供了新的犯罪途径，严重危害着国家以及社会的健康发展，在一定程度上也会影响国家的社会秩序，加剧社会矛盾，严重阻碍社会经济可持续发展，因此国家要加强对网络安全防护体系的设计。

一、建设网络安全等级保护云计算安全防护体系的重要性 （一）推动国家信息化建设 为了加快当前国家信息化的发展速度，完成国家信息化建设，全面提升国家网络安全性、全面化以及应急响应效率，应当全面推进网络安全等级保护云计算安全防护体系的建设。 当前我国的云计算服务具有泛在介入、自助服务等特征，同时还拥有云有云、社区云、混合云、私有云等四种部署模式，可以有效减少体系建设的开销，提高建设的效率，为用户提供更加优质的服务体验。

（二）保障国家信息安全 在云计算的发展过程中，阻碍体系建设发展最为关键的一点就是安全可信问题，这也对网络安全等级保护安全防护体系的设建设带来了前所未有的困难。对于不同安全等级的云计算平台系统要设置不同于的安全目标，并提出不同等级云计算平台系统的安全计算环境、安全边界、安全管理中心的技术方案，提升系统平台的安全防护能力。当前云计算的建设以及应用范围正在逐渐扩大，也逐步成为国家关键性的基础设施建设，实行有效的网络安全防护体系建设可以保障我国的网络空间安全建设以及全面发展。

中国云计算技术研究报告摘要：创造性地提出云计算概念，解决云计算技术建构问题，指明云计算技术应用经济前景。

关键词：云计算云计算甄别标准云计算体系架构云安全中图分类号：tp3 文献标识码：a 文章编号：1007-3973（2013）007-081-021 引言云计算是自1980年以来，从大型计算机转换到客户端服务器的过程。

云计算（cloud computing）是网格计算（grid computer）、分布式计算（distributed computing）、并行计算（parallel computing）、效用计算（utility computing）等传统计算机和网络技术发展融合的产物。

其特点是：通过使计算分布在大量的分布式计算机上，而非本机计算机或远程服务器上，企业数据中心的运行将与互联网更相似，这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。

2 云计算的概念界定对云计算的定义可谓仁者见仁，智者见智，笔者提供以下定义供读者参考。

百科名片上的定义：云计算（cloud computing）是基于互联网上相关服务的增加，使用和交付模式，经常关系到通过互联网来提供易扩展且通常是虚拟化的资源。

狭义云计算是指通过网络把工厂的基础设备交付和使用模式以需求、易扩展的方法获取所需资源；在广义上来讲，云计算指的是服务的交付和使用模式，通过网络按需、易扩展方式获得所需服务。

它的这种服务于it、软件互联网是息息相关的。

甚至它意味着可以把计算能力看做是一种商品，目前云计算商业化产品主要四大类：（1）基础设施服务产品；（2）平台服务产品；（3）软件服务产品；（4）云软件产品。

本人认为云计算就是把存储个人电脑、移动电话和其他设备上大量信息和处理器资源集中在一起，协同工作在极大的规模上可扩展信息技术能力，向外部客户作为服务来提供的一种计算方式。

3 云计算的体系架构目前业界普遍共识认为云计算包括三层服务架构体系：（1）共有云端：共有云端服务提供者只是逻辑和法律上拥有和管理的权利。

云计算相关规范随着云计算技术的迅速发展和普及，越来越多的企业开始将自己的业务转向云端。

为了保证云计算的安全、高效运行，各国纷纷制定了一系列相关规范和标准。

本文将重点介绍国际云计算相关规范的主要内容和标准。

一、ISO 27017云计算信息安全管理体系ISO 27017是国际标准化组织（ISO）下属的工作组制定的云计算信息安全管理体系。

该标准主要涉及云服务供应商应当考虑的安全控制措施，旨在确保用户的数据和隐私得到有效保护。

其中主要包括对云服务场所的安全评估、物理安全、网络安全、虚拟化安全、操作系统安全以及云服务供应商的安全合规性等方面的要求。

二、HIPAA云计算规范HIPAA（Health Insurance Portability and Accountability Act）是美国制定的关于个人健康信息保护的法规。

针对云计算服务中的健康信息存储和处理问题，HIPAA提出了严格的安全和隐私要求，要求云服务供应商采取必要的措施确保个人健康信息的保密性、完整性和可用性。

三、EU GDPR（欧盟通用数据保护条例）EU GDPR是欧盟制定的关于个人数据保护的法规。

针对云计算服务中的个人数据处理问题，EU GDPR对云服务供应商提出了一系列要求，包括对数据主体知情权的保障、明确的数据处理目的、数据保留期限、数据安全措施等方面的规定。

此外，EU GDPR还强调了云服务供应商需要承担数据处理责任，包括数据泄露的追责和赔偿等。

四、PCI-DSS（支付卡行业数据安全标准）PCI-DSS是由国际主要支付卡组织共同推出的安全标准，旨在保护支付卡持有人的敏感信息。

对于采用云计算服务的支付行业来说，合规性是关键问题之一。

PCI-DSS要求云服务供应商需要建立并遵守严格的安全策略，包括网络安全、访问控制、系统监测、敏感数据加密以及物理安全等方面的规定。

五、NIST云计算安全参考架构NIST（美国国家标准与技术研究所）的云计算安全参考架构提供了一个综合性的安全框架，用于指导云计算环境下的安全管理和实施。

开放云计算体系及云架构设计——核心技术与IaaS曹玮祺博士资深云计算架构师Systems LOB -Greater ChinaSystems EngineeringSun Microsystems, Inc.1.云计算的来龙去脉2.云计算的核心技术2.1 虚拟化技术2.2 大规模分布式数据管理与并行计算3.落地的IaaS存储云解决方案及演示4.落地的IaaS计算云解决方案及演示5.围绕“APIs”构建云平台及演示6.弹性自适应承载的计算云7.云计算数据中心自动化8.云计算的新起点内容IT到云计算的演进所有的人都在谈论云计算•Database as a Service •Utility Computing•Virtualization •Application Hosting•Infrastructure as a Service•Grid Computing •Platform as a Service •Storage as a Service•Software as a Service•SOA不同视角•用户•开发者•云的架构师/建设者用户希望从云中得到什么Must be easy, automated and friendly.开发者希望从云中得到什么架构师眼中的云但是云可以如此不同Software as a ServicePlatform as a ServiceInfrastructure as a ServiceHPCAnalyticsFinanceWebMedicalPublicPrivateHybridApplication DomainsXaaSLayersCloudBusinessModel云计算层次Software as a ServiceApplications offered on-demand over the network(, Oracle CRM on-demand)Platform as a ServiceDeveloper platform with built-in services(Google App Engine)Infrastructure as a ServiceBasic storage and compute capabilities offeredas a service (Amazon web services)关键挑战构建云计算服务面临的关键挑战构建不同层面的云计算面临着不同的关键挑战，如SaaS服务需要在多租户复用时提高用户体验，PaaS需要支撑服务的开发、编排及混搭，IaaS要实现低成本、高可用和透明化的基础设施提供。

云计算服务平台架构规划第一章云计算服务平台概述 (3)1.1 云计算服务平台定义 (3)1.2 云计算服务平台发展历程 (3)1.2.1 初始阶段 (4)1.2.2 发展阶段 (4)1.2.3 成熟阶段 (4)1.3 云计算服务平台发展趋势 (4)1.3.1 混合云成为主流 (4)1.3.2 边缘计算兴起 (4)1.3.3 行业解决方案不断丰富 (4)1.3.4 安全性成为关键因素 (4)第二章云计算服务平台架构设计原则 (5)2.1 安全性原则 (5)2.2 可扩展性原则 (5)2.3 高可用性原则 (5)2.4 成本效益原则 (6)第三章基础设施架构 (6)3.1 数据中心规划 (6)3.1.1 场地选择 (6)3.1.2 设施布局 (7)3.1.3 供电系统 (7)3.1.4 网络接入 (7)3.2 网络架构设计 (7)3.2.1 网络层次 (7)3.2.2 网络设备 (7)3.2.3 网络冗余 (7)3.2.4 安全防护 (7)3.3 存储架构设计 (7)3.3.1 存储设备选择 (8)3.3.2 存储网络设计 (8)3.3.3 数据备份与恢复 (8)3.3.4 存储资源管理 (8)3.4 服务器架构设计 (8)3.4.1 服务器选型 (8)3.4.2 服务器集群 (8)3.4.3 虚拟化技术 (8)3.4.4 系统监控与维护 (8)第四章虚拟化技术 (8)4.1 虚拟化技术概述 (8)4.2 虚拟化技术分类 (9)4.3 虚拟化技术选型 (9)第五章服务架构 (10)5.1 服务架构设计 (10)5.2 服务组合与编排 (10)5.3 服务标准化与规范化 (11)5.4 服务质量保障 (11)第六章数据管理 (12)6.1 数据存储与备份 (12)6.1.1 数据存储策略 (12)6.1.2 数据备份方法 (12)6.1.3 备份周期与恢复 (12)6.2 数据共享与同步 (12)6.2.1 数据共享策略 (12)6.2.2 数据同步方法 (12)6.2.3 同步周期与异常处理 (13)6.3 数据安全与隐私保护 (13)6.3.1 数据加密 (13)6.3.2 访问控制 (13)6.3.3 隐私保护 (13)6.4 数据挖掘与分析 (13)6.4.1 数据预处理 (13)6.4.2 数据挖掘方法 (13)6.4.3 数据可视化 (13)第七章安全管理 (14)7.1 安全策略制定 (14)7.2 身份认证与权限管理 (14)7.3 数据加密与安全传输 (14)7.4 安全监控与应急响应 (15)第八章监控与运维 (15)8.1 监控系统设计 (15)8.1.1 监控目标 (15)8.1.2 监控架构 (15)8.1.3 监控工具选型 (16)8.2 运维管理流程 (16)8.2.1 系统部署 (16)8.2.2 系统监控 (16)8.2.3 故障处理 (16)8.3 自动化运维工具 (17)8.3.1 配置管理工具 (17)8.3.2 日志分析工具 (17)8.4 功能优化与故障处理 (17)8.4.1 功能优化 (17)8.4.2 故障处理 (18)第九章用户管理与接入 (18)9.1.1 用户认证 (18)9.1.2 用户授权 (18)9.2 用户接入方式设计 (18)9.2.1 Web端接入 (18)9.2.2 移动端接入 (19)9.3 用户服务定制与个性化 (19)9.3.1 用户偏好设置 (19)9.3.2 内容推荐 (19)9.3.3 个性化服务 (19)9.4 用户支持与售后服务 (19)9.4.1 常见问题解答 (19)9.4.2 在线客服 (19)9.4.3 售后服务 (19)第十章业务流程管理 (19)10.1 业务流程设计 (19)10.2 业务流程优化 (20)10.3 业务流程自动化 (20)10.4 业务流程监控与改进 (20)第十一章云计算服务平台功能评估 (21)11.1 功能评估指标体系 (21)11.2 功能评估方法与工具 (21)11.3 功能优化策略 (22)11.4 功能评估与改进 (22)第十二章云计算服务平台发展趋势与展望 (22)12.1 云计算服务平台技术发展趋势 (22)12.2 云计算服务平台市场发展趋势 (23)12.3 云计算服务平台在行业中的应用前景 (23)12.4 云计算服务平台的挑战与对策 (24)第一章云计算服务平台概述1.1 云计算服务平台定义云计算服务平台是指基于云计算技术，为用户提供计算资源、存储资源、网络资源以及软件应用等服务的平台。

云计算安全国际标准云计算安全国际标准主要包括以下几个方面：一、ISO/IEC 27001信息安全管理体系标准ISO/IEC 27001是信息安全管理体系的国际标准，它规定了信息安全管理体系的要求和指南。

在云计算中，ISO/IEC 27001可以用来指导云服务提供商建立信息安全管理体系，确保云计算服务的安全性和可靠性。

二、ISO/IEC 27017云计算安全控制标准ISO/IEC 27017是云计算安全控制的国际标准，它规定了云计算服务提供商应该采取哪些安全控制措施，以确保云计算服务的安全性和可靠性。

ISO/IEC 27017包括了云计算中的数据保护、身份认证、访问控制、数据加密等方面的内容。

三、ISO/IEC 27018云计算个人信息保护标准ISO/IEC 27018是云计算个人信息保护的国际标准，它规定了云服务提供商应该采取哪些措施来保护用户的个人信息。

ISO/IEC 27018包括了用户数据的收集、使用、处理、存储、传输等方面的内容。

四、NIST云计算安全标准NIST云计算安全标准是由美国国家标准技术研究所（NIST）制定的一系列云计算安全标准。

它包括了云计算中的安全架构、安全管理、安全控制等方面的内容。

五、CSA云计算安全标准CSA云计算安全标准是由云安全联盟（CSA）制定的一系列云计算安全标准。

它包括了云计算中的数据安全、身份认证、访问控制、合规性等方面的内容。

总结起来，云计算安全国际标准主要包括了ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、NIST云计算安全标准和CSA云计算安全标准等方面的内容。

这些标准可以帮助云服务提供商建立信息安全管理体系，采取安全控制措施，保护用户的个人信息，确保云计算服务的安全性和可靠性。

浅析云计算安全摘　要首先介绍云计算安全的产业发展情况，之后重点讨论数据安全、应用安全、虚拟化安全、云服务滥用等云安全问题，并提出应对策略，最后指出云计算安全的发展方向。

关键词云计算安全；虚拟化；云服务滥用当前，云计算已经成为通信、IT界关注的重点，各方均看好其市场发展前景。

云计算本质上是传统电信IDC增值业务的延伸和扩展，通过互联网对用户提供IT基础资源(包括计算、存储、网络、软件等)的按需租用，能够降低用户的IT运维成本，使得用户可以专注于自身业务。

由于云计算的独特优势，欧美等国家政府均大力推广使用此项技术，云计算的广泛普及对工业化和信息化的快速融合及国民经济发展均有促进作用。

云计算具有按需服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点，不但对传统的安全提出了挑战，同时也为IT系统引入了新的风险。

因此，在云计算快速推进、广泛普及的同时，有必要重点对云安全技术进行研究，在云中引入更强大的安全措施，否则，云的特性以及云提供的服务不仅无法有效利用，而且还可能给国家、企业、个人用户带来严重的安全威胁。

一般来说，云计算的安全包括两个不同的研究方向：1)云安全，即保护云计算系统本身的安全；2)安全云，属于云计算应用范畴，即利用云的特性，将云作为一种安全服务提供给第三方。

本文的随后章节将对云计算安全的第一个层次进行阐述。

1云计算模型本文使用NIST(美国国家标准与技术研究院)给出的云计算模型[1]。

简要地说，云模型可以解读为一个平台，两个支付方案(按使用量收费和按服务收费)，三个交付模式(Iaa S、Paa S、S aaS)，四个部署模式(私有云、公有云、社区云、混合云)、五个关键特性(基础资源租用、按需弹性使用、透明资源访问、自助业务部署、开放公众服务)，详见图1。

Broa dNe twor k Access Rapid El a sticity Mea surd e S er viceOn-Dem andS elf-Se rviceRe s our c e P oolingSof twa r e a s aS ervic e(Sa a S)Public Priva te Hy brid CommunityDe p loy me ntM ode lsSe rviceM ode lsEs s entia lCharoc te ris tic sPlatf orm a s aS e rv ic e(Pa a S)Inf ra stru c tu re as aSe rv ic e(I a a S)图1云计算模型N IS T制订的《云计算工作定义》[1]归纳了云计算的三种交付模式，即基础设施即服务(Ia a S，In fra s tru cture as a S ervice)，平台即服务(P aa S，Platform as a Service)，软件即服务(SaaS，Software as a Service)。