浅谈面向云服务信息安全质量评估的度量模型分析

　　1 引言
　　针对IT 领域计算资源集约化、规模化和专业化等需求，云计算(cloud computing)服务(云服务)模式应运而生。云服务不断提高生产效率，但同时也暴露出各种不容小觑的信息安全问题，这已经成为阻碍其发展的关键因素。要解决云服务信息安全问题，首先需要提出其信息安全检测、度量、评估等模型或方法，形成良性反馈机制，促进和提高云服务信息安全质量。然而，云服务信息安全质量评估面临诸多难题，由于没有完备的评估标准和指标，面临信息安全质量评估不了和评估不准的问题。
　　2 现有信息安全质量评估标准及面临的挑战
　　现有信息安全质量评估标准主要被信息产品或服务的用户、开发者、第三方评估者、管理员等使用，涉及的信息产品和服务门类广，部分还对产品给出特定的信息安全质量评估标准。评估中最常用的有信息技术安全性评估准则(CC,common criteria)，简称通用准则。
　　通用准则是确定适用于所有IT 产品和系统的评估准则，具有普适性和通用性。通用准则只规定准则，不涉及评估方法，评估方法的选择留给其他评估体制确定。通用准则提出了3 个重要概念，评估对象(TOE，target of evaluation)、保护轮廓(PP，protection profile)和安全目标(ST，security target)。TOE 包括作为评估主体的IT产品和系统以及相关文档。PP 和ST 是用于描述待评估IT 产品或系统的重要文档。PP 描述满足特定需求且独立于现实的一组安全要求，是目标说明。ST 描述依赖于现实的一组安全说明，是评估基础。通用准则安全功能要求提出了11 个需要满足安全要求的功能组件类，包括密码支持、用户数据保护、私密性等。安全保证要求提出了9 个需要安全保证的类别，包括生命周期支持、脆弱性评定、指导性文档等。安全功能要求和安全保证要求为云服务信息安全评估指标的拟定提供了全面的依据。在度量方面，通用准则提出了评估级别的概念。
　　2000 年7 月，美国NIST(National Instituteof Standards and Technology ) 和CSSPAB(Computer System Security and Privacy AdvisoryBoard)联合举办了一个针对信息安全度量的讨论会。该会议指出，通用准则虽然在指导安全评估方面是个很好的标准，但在全面解决安全度量问题方面还有很多需要进一步研究的内容，包括信息安全度量定义、信息系统的安全度量、针对特定安全威胁的安全度量、定性的安全度量、大规模网络中的实时安全度量、安全度量和保证等级等之间的关系，从而使人们对安全保护有一个更加深刻的理解。
　　3 云服务信息安全评估方法
　　2009 年4 月，RSA 大会成立了云安全联盟CSA(Cloud Security Alliance)，致力于云服务安全解决方案，发布了《云计算关键领域安全指南》，从攻击者角度归纳云服务可能有账户或服务劫持、数据丢失或泄露、不安全API、恶意内部人员、可信连接等风险。除了这些，由于计算和数据在托管方，数据安全和计算是云服务最大的安全问题。
　　3.1 云服务信息安全评估模型
　　云服务信息安全可以从不同的角度确定其度量指标体系，本文只从评估者角度确定这种分布式计算系统或服务的信息安全指标体系。云服务信息安全质量评估模型。该模型首先对云服务信息安全策略和功能进行形式化，分成不同的信息安全功能类和族，抽象出族中的功能组件和依赖关系。针对信息安全可测要求，提出功能组件的量化方法和指标基准，最终形成标准，提供给评估者，解决云服务信息安全质量评估中评估不了和评估不准的问题。
　　在这个模型中，关键点在于能否全面形式化云服务信息安全策略以满足需求。模型形式化中的遗漏内容，包括虚拟资源访问控制等重要功能类，会导致信息安全上的缺陷。形式化中的错误依赖关系，包括信任传递等重要功能内容，会导致信息安全上存在后门。所以，云服务信息安全形式化是模型中的核心。
　　由于云服务涉及计算资源、存储资源、进程、通信等实体的信息安全，在云服务信息安全策略和功能形式化中，对每个实体建立独立的子模型，在实体之间建立信任和安全功能的传递，可以评估整个分布式系统的信息安全。
　　从云服务的特征来说，云服务主要存在计算安全、虚拟资源访问控制、数据保护和可信连接这4 个主要问题。对每一个实体，云服务依据计算安全、云数据保护、网络流量安全、可信连接等进行分类形式化，产生信息安全的指标，包括云服务虚拟资源访问控制方法、访问控制覆盖范围、服务并发会话数、计算数据保护方式、云终端控制可信连接、资源退回能力等。对这些指标进行基准测试和量化，实现信息安全的可测量、可重复、可比较等，并进行度量。
　　3.2 云服务信息安全策略与功能组件形式化
　　云服务中重要的信息安全功能组件类有可信连接、计算安全、数据保护，还有通用的鉴别与标识、安全审计、安全管理等。这里重点讨论计算安全、虚拟资源控制、数据保护、可信连接4 类指标。
　　1) 计算安全
　　云服务的特点是把计算托管到云端，存在物理的安全风险问题，所以云服务计算安全应考虑物理安全性、计算私密性等。
　　云服务物理安全性的目的是使云服务硬件机房有一个良好的电磁兼容工作环境，不仅具有应对自然灾害的能力，而且可以防止非法用户进入云服务控制室和各种偷窃、破坏活动的发生。物理安全性从机房选址、机房管理、机房环境、设备与介质管理这4 个方面考虑。
　　云服务计算私密性涉及用户隐私和数据安全性问题。部分云服务计算具有密文计算的能力，包括密文搜索、同态加密等，具有很好的计算私密性，能提高云服务的信息安全质量。云服务应当支持建立快照，方便租户在误操作或云服务发生故障时资源退回，这大大加强了服务的容错性。
　　2) 虚拟资源访问控制能力
　　虚拟资源是云服务商提供给租户(用户)的资源，存在双方共管虚拟资源的信息安全问题。虚拟资源访问控制包括区域访问控制和边界访问控制。区域访问控制是指云服务商或云平台维护人员对数据的使用。租户无法判断云服务供应商是否完全忠诚地执行了其设定的操作，因此区域访问控制是必要的。边界访问控制对由互联网方向进出的网络数据进行双向的访问控制应用。云服务中，云服务商的权限高于云租户，即使检测到虚拟机流量异常也难以对其进行管理，但可以通过对虚拟资源边界访问控制技术实现管理。
　　虚拟化技术是云服务的核心，云端存在很多租户，云服务商应该保证各租户之间是完全隔离的，避免不良租户利用云服务漏洞对其他租户实施攻击。
　　3) 数据保护安全性
　　云服务存储了用户和租户的数据，所以需要考虑数据私密性、数据丢失风险、隐私泄露风险。数据私密性要考虑云服务是否对数据存储进行了加密，计算时是否能够处理密文，是否把数据存储到私密数据库等。
　　数据丢失在云服务中也十分普遍，常常因存储设备可靠性不够，没有采用多副本存储技术，存储设备保管不妥而经常失窃，服务中断，受到攻击等，十分影响信息安全质量。
　　隐私泄露是云服务最大的安全问题，有云服务提供商的技术问题，也有租户的技术问题，更大的问题是云服务中存在不可知漏洞。随着大数据挖掘的出现，通过数据的关联关系，也有可能泄露隐私。恶意租户的出现，使隐私泄露问题变得更加严重。
　　4) 可信连接
　　云服务与移动终端或计算机建立可信连接。保证服务的安全是云服务的首要任务。而身份验证又是安全性首要考虑的问题。身份认证是所有信息服务类产品均要面对的问题。身份认证不仅是对云租户的认证，也是对云服务商的认证，是一种双向认证机制。
　　4 结束语
　　云服务信息安全质量评估尚在起步阶段，存在缺少指标体系和度量模型的问题，通过对云服务信息安全的计算安全、数据私密性、可信连接、虚拟资源控制等重要特点的形式化，可逐步建立云信息安全的指标体系。现有大量的信息安全度量模型，通过改进(在原有可信根模型上增加可信连接等模块)，可解决云服务中的信息安全指标度量问题。
　　在度量模型中，静态度量实时性和隐私保护性较差，而实时度量以牺牲系统运行性能为代价，基于内存代码监控的动态度量还存在控制监控粒度的问题。基于语义的度量需要较强硬件的支持。云服务信息安全质量间接评估是对直接评估的一种补充，通过信息安全质量跟踪和结果的对比，可提高信息安全质量直接评估的水平。