铁路云计算安全标准研究与实践

纪 方，田海波，刘鹏宇

（中国铁路信息科技集团有限公司，北京 100844）

云计算自2006年提出至今，已成为各国信息化建设的首选。随着云计算的发展，相应的安全性问题逐渐引起关注。为进一步提升安全风控能力，各国标准化组织和机构都展开了云计算安全标准化工作。本论文重点研究了我国网络安全等级保护（简称：等级保护）中的云计算安全扩展要求，阐述了铁路云计算安全实践情况和中国国家铁路集团有限公司（简称：国铁集团）主数据中心云平台的等级保护测评情况。

1 云计算安全标准研究概况

1.1 国外云计算安全标准研究概况

2011年，美国国家标准与技术研究院在NIST SP800-53 的基础上，根据云计算的特点制定了《Fed-RAMP 安全控制措施》，给出了云计算环境下需增强的安全控制措施[1]。2012年，欧洲网络与信息安全局（ENISA）发布了《云计算–信息安全收益、风险和建议》，整理了云计算面临的安全风险，并在同年发布了《云计算合同安全服务水平监测指南》，制定了反应服务等级协议运行情况的8 项指标[2]。2015年，国际标准化组织ISO 下设技术委员会发布了《ISO-27 017：2015 云服务信息安全管理体系》[3]，提出了7 个针对云服务的控制措施。同年，云安全联盟（CSA）发布了云安全控制矩阵CCM 3.0，其中包含16 个控制域，136 条控制措施，并于2017年发布了《云计算关键领域安全指南 V4.0》，对云计算安全中的14 个关键领域进行了详细描述[4]。

1.2 国内云计算标准研究概况

近几年，国内云计算安全的宏观政策环境已逐渐完善。2014年，针对政府部门的云计算安全需求，中央网络安全和信息化委员会办公室发布了《信息安全技术 云计算服务安全指南》[5]，制定了使用云计算服务时的安全管理要求；并针对云服务商发布了《信息安全技术 云计算服务安全能力要求》[6]，制定了云服务商应具备的安全能力要求。

2019年5月，国家标准化管理委员会正式发布了《信息安全技术 网络安全等级保护基本要求》，标志着等级保护正式进入2.0 时代。该标准已于2019年12月开始正式实行。

2 等级保护研究

2017年《中华人民共和国网络安全法》正式颁布实施，其中，第二十一条和第三十一条均明确了等级保护制度的适用范围

2.1 等级保护1.0 与2.0 的对比

新发布的等级保护2.0 在10年前的1.0 版本基础上进行了优化，提出了面向云计算等新技术的安全扩展要求；从被动防御向事前防御、事中响应、事后审计的动态保障体系转变；用可信计算等新的防护要求，取代了过时的测评项。等级保护2.0 与1.0 版本相比主要有以下3 个特点。

（1）将云计算等新兴技术的安全扩展要求列入了标准范围。云计算扩展要求与安全通用要求有较多的重合子项，但也有其独有的条例，如图1 所示。

图1 云计算等级保护技术要求

（2）依据等级保护标准，分层面采取“一个中心，三重防御”的体系架构，同时，应考虑构建纵深的防御体系，采取互补的安全措施，保证一致的安全强度，建立统一的支撑平台，进行集中安全管理的总体性要求[7]，保证等级保护对象的整体安全防护能力。

（3）等级保护2.0 中强化了对可信验证技术的使用要求，把其加入到等级保护的各个级别中，如表1 所示，并提出了在各个关键环节的可信验证要求[8]。不同等级保护级别的可信验证对应不同的监管要求、保护级和可信保障。

结合以上3 个要求，从技术和管理两方面进行安全设计，做到可信、可控、可管。

表1 等级保护可信验证技术要求

2.2 第三级云计算安全扩展要求研究

云计算安全扩展要求是等级保护2.0 的重要内容之一[9]。等级保护2.0 明确了云计算的定义和应用场景，基于基础设施即服务（IaaS，Infrastructure as a Service）、平台即服务（PaaS，Platform as a Service）和软件即服务（SaaS，Software as a Service）3 种不同的服务模式，提出云服务客户和云服务商的控制范围和安全责任边界，并针对其安全责任边界提出相应的安全要求。

等级保护有5 个不同的安全级别，本文主要研究等级保护第三级的安全要求，原因有以下两点：

（1）等级保护中要求“应根据云平台承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级”[10]。第三级云平台可满足大多数云平台应用的安全要求。

（2）在等级保护云计算安全扩展要求中，第四级和第三级的主要差异在于，第四级业务应用系统应划分独立的资源池，承载第四级应用的云系统应为独立系统，采取独立的防护机制。其他安全要求与第三级相比无过多增加。

第三级云计算安全扩展要求中包括7 个安全类、16 个安全控制点和46 个测评项，如表2 所示。

与通用要求相比，技术安全类仍是“一个中心，三重防御”的体系架构。管理安全类则缩减为两个，主要对云服务商选择提出相应要求。

在具体测评项中，针对云计算特性增加了保护对象，包括云平台、虚拟网络、虚拟网络边界、虚拟机、宿主机、虚拟机镜像和快照等。

结合等级保护附录D 中的责任分担模型可知，云服务商与云用户有着各自的安全责任边界，在不同云服务模式下，两者的控制范围和安全责任边界如图2 所示。

表2 第三级云计算安全扩展要求指标

图2 云计算服务模式与控制范围的关系

扩展要求中提出云服务商应对云用户在安全上进行必要的帮助，包括：协助进行业务迁移，支持自行加解密，提供接口或开放性安全服务。同时，对云服务商的操作在安全上进行了一定的限制，规定应通过审计、双向验证等手段确保云服务商对云用户进行敏感操作的安全性和不可抵赖性。

3 铁路云计算安全等级保护进展情况

3.1 铁路云计算安全现状

铁路行业云计算安全经过多年建设，初见成效，主要体现在以下两方面。

（1）云计算安全防护能力不断提升。2018年，铁路业务网络安全一体化保障工程（简称：铁网护栏工程）开始实施，其中包含面向云计算环境的应用安全保障系统模块，主要用于提升云计算安全防护能力。

（2）等级保护工作稳步推进。国铁集团目前已经完成国铁集团主数据中心（简称：主数据中心）云平台的定级、备案、测评工作。

3.2 铁路云计算安全建设情况

主数据中心于2018年6月开始设计、建设，采用云计算架构，其云平台定为等级保护第三级。

根据分区、分域原则，结合铁路信息系统的实际网络情况，构建了主数据中心安全架构，如图3所示。主数据中心网络可分为业务区和管理区。外部服务网与互联网之间做边界防护。内部服务网与铁路局间网络做边界防护。内外部服务网之间由内外网安全平台进行边界防护。

3.3 铁路云计算安全等级保护测评情况

国铁集团在2019年遵循等级保护制度，完成了对主数据中心云平台的等级保护定级、备案和测评等工作。主数据中心云平台针对其面临的主要安全风险，采取相应的安全控制措施，基本满足了等级保护第三级中的安全要求[11]。

（1）基础环境方面。主数据中心云平台所在机房具有防风、防雨、防震等基本能力，机房配备有视频监控系统、自动消防系统、电力供应系统等安全防护措施。网络、主机层面采取充分的冗余措施，网络设备、安全设备、服务器等均在上线前按照要求统一进行基线配置核查和漏洞扫描，并根据检查结果进行安全加固。

图3 主数据中心安全架构

（2）安全控制措施方面。主数据中心云平台按照等级保护责任分担模型，在基础结构安全中部署有终端安全防护、主机安全防护、补丁管理系统、日志审计等安全控制措施；在纵深防御体系中部署有边界网络安全设备、虚拟化网络安全设备、主机防病毒、运维审计、漏洞扫描等安全措施；在积极防御体系中部署有态势感知平台、集中安全管理平台。符合等级保护中“一个中心，三重防御”的安全要求。

（3）安全责任制方面。主数据中心云平台的安全管理机构较为完善，责任明确，成立了网络安全和信息化领导小组，制定了《信息安全方针策略》，明确定义部门及各个工作岗位的职责[12]。

（4）管理制度体系方面。建立了由安全策略、管理制度、操作规程等构成的安全管理制度体系，制定了信息安全工作的总体方针和安全策略，确定了机构安全工作的总体目标、范围、原则和安全框架等[13]。制度涵盖岗位配置与职责、人员管理与培训考核、软件开发、工程实施、资产介质管理、备份与恢复管理、变更与应急管理等。

（5）系统规划与建设方面。制定了《中国铁路总公司主数据中心项目信息系统集成工程施工图》，包含云平台的安全设计方案及工程实施方案，内容覆盖云平台基础环境、网络、主机、应用、数字证书等方面。

4 结束语

本文分析了国内外云计算安全标准的研究情况，并对我国新发布的等级保护制度中的云计算安全扩展要求进行了重点研究。基于等级保护第三级要求，研究了云服务商与云用户的相互关系，结合主数据中心云平台实际情况，对基础环境、安全控制措施、安全责任、管理制度体系等方面进行了全面分析与论述。

目前，本文只研究了主数据中心云平台的测评情况，根据等级保护定级的要求，主数据中心云平台承载的信息系统同样需要满足等级保护的相应要求。未来可结合具体的铁路信息系统，对云用户端等级保护的建设和测评情况进行深入研究，为铁路云计算安全合规性建设提供参考。