大数据时代的云计算安全管理方法研究

大数据与云计算就像一枚硬币的正反面一样密不可分。云计算安全管理对于在大数据时代实现和保障信息安全有着举足轻重的意义。云计算作为一种信息服务平台，需要参照安全管理框架，实现基本的安全措施，同时作为一种新的服务模式又有其新的风险特征，需要在安全管理的基础上构建基于云计算安全的管理框架。

大数据与云计算的关系就像一枚硬币的正反面一样密不可分。随着大数据战略的提速，云计算也成为了产业界、学术界、乃至政府等各界十分关注的焦点，自概念提出到今年正好10年，已是当前信息技术领域的热门话题之一。云计算，通过网络以自助服务的方式获得所需要的IT资源的模式，体现了“网络就是计算机”的思想，将大量计算资源、存储资源与软件资源链接在一起，形成巨大规模的共享虚拟 IT 资源池，为远程计算机用户提供 IT 服务。云计算以其便利、经济、高可扩展性等优势吸引了越来越多的企业的目光。大数据产业蓬勃发展，也形成大数据所依赖的云计算平台的巨大需求。

然而，作为一种与传统互联网模式不同的新型计算模式，云计算带来诸多便利和优势的同时也给信息安全管理带来多个层面的冲击与挑战。云计算的服务计算模式、动态虚拟化管理模式以及多层服务模式等引发新的安全管理问题；云服务合约所具有的动态性及多方参与的特点，对责任认定以及现有的信息安全管理标准体系带来了新的冲击；云计算的强大计算与存储能力被非法利用时，对现有的安全管理体系产生巨大影响等等。相比较于传统平台，云计算由于具有超大规模、通用性强的特点，因此云计算管理需要进行监管的范围更大，所需监管力度也更强，它需要负责监视和记录大数据所依赖的云平台中重要的服务器、网络设备以及所有的应用系统的安全状况，对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、协同防护，从而发挥安全机制的整体作用，提高安全防护的质量和水平。

云计算作为一种信息服务平台，需要参照信息安全管理框架，部署基本的信息安全管理措施。同时，云计算作为一种新的服务模式，也引入了新的安全风险。因此还需要根据具体的技术部署方式和应用场景，在信息安全管理框架的基础上构建云安全管理框架。

一、信息系统安全管理标准

目前针对信息服务、安全管理等，国际和国内都制定了许多相关的标准和规范，对于云计算安全的管理标准和规范方面的工作，各国也相继展开。

典型的代表是美国联邦政府的FedRAMP计划，即联邦政府风险和授权管理计划（Federal Risk and Authorization Management Program）。另外在政务云（GovCloud）方面，英国G-Cloud、澳大利亚IRAP、新加坡MTCS以及日本CS Mark等也给出了云计算认证标准。

国内方面，2014年5月，国家互联网信息办公室发布（《中网办发【2014】（14号）文件》）要求：为维护国家网络安全、保障中国用户合法利益，制定和推出网络安全审查制度。该审查制度规定关系到国家安全和公共利益系统使用的重要信息技术和服务，应通过网络安全审查，云计算服务赫然在列。在2015年4月1日云计算相关标准《云技术服务安全指南》（GB/T31167-2014）和《云计算安全能力要求》（GB/T31168-2014）正式实施，使云计算安全管理标准的缺位问题更加凸显。云计算作为一种新的信息系统模式，需要在结合自身特点的前提下，借鉴信息服务、安全管理相关的多个标准，形成云计算管理标准框架。

1.1 信息系统安全管理分类

关于信息系统安全管理的标准可分为三类：总体标准、最佳实践标准、实际实施标准。这三类标准可以使用金字塔的形式表示，如图所示，层层递进。

（1）总体标准：位于该金字塔的的顶端，是关于ITSM（Information Technology Service Management，信息技术服务管理）的总体标准。这些标准规定了ITSM的各个方面所需要达到的目标。

（2）最佳实践标准：位于中间层次的最佳实践标准是对总体标准的进一步的扩充与细化。这些标准提供了一个通用框架，指出为了实现总体标准中规定的各项目标，信息技术服务提供商应如何采取措施、激励那些阶段、采用怎样的的组织架构等。

（3）实际实施标准：位于金字塔的底层，是ISM（Information security Management，信息安全管理）的实际应用标准。这些标准对最佳时间标准中提供通用标准框架进行定制和改变，从而满足不同行业、不同服务进行ISM的实际需求。

总的来说，信息技术服务提供商采用“自顶而下”如上“金字塔”型的管理模式时，需要先依照总体标准明确安全管理的各个方面所要达到的目标，再依照最佳实践标准建立安全管理的基础架构，最后根据自身所处的行业与所提供的服务项目的不同，按照实际实施标准制定信息安全管理具体的实施方案。

1.2 云安全管理标准框架

云计算是架构在传统的软硬件等基础设施上的一种新型的服务使用模式，因此云计算除了面临传统IT架构下会出现的一些安全风险外，同时也会面临政策法规在内的一些新的安全风险。所以对于云安全管理需要在原先考虑的基础上融合ITSM、法律、政策等多类框架。

在云安全管理框架中，处于最核心位置的是ITSM框架，此外必不可少的还有安全框架，IT审计框架、法律框架、政策框架、服务交付模型框架等。这些框架相互有重合，构成了云安全管理框架：

（1）ITSM框架：ITSM以流程为基础，指导IT服务企业和组织实现从服务战略、服务设计、服务导入、服务运营到服务改进的服务全生命周期管理的标准体系。它结合了高质量服务不可或缺的流程、人员和技术三大要素，保证了服务的质量和效率。

（2）安全框架：安全框架能够建立有效的ISMS（Information Security Management System，信息安全管理体系），包括安全策略、人员安全、资产分类与控制、系统开发与维护、访问控制、组织安全、通信与运作管理、业务持续性管理、物理与环境安全、合规性等十个方面。

（3）服务交付模型框架：按照服务类型，云计算可以分为IaaS（Infrastructure as a Service,基础设施即服务）、PaaS（Platform asa Service,平台即服务）和SaaS（Software as a Service，软件即服务）三类；按照部署模型分类，可以分为公有云、私有云、社区云和混合云四种。虽然在云计算中，云计算责任有云提供商和云用户共同承担，三运的类别不同，责任比重会有所不同。因此在实施云安全管理前，需要根据交付模型确定安全管理方案。

（4）IT审计框架：安全审计是安全管理的重要组成部分。因此在云安全管理框架中，IT审计框架必不可少。建设一个能够将计算机资源，云计算建设过程和企业的规划联系起来的审计框架，对于企业能够平衡利益和风险的关系。

（5）政策框架：政策框架包含安全管理动态变化的部分，旨在为云安全框架的维护提供一个弹性空间。在管理方式、政策形式以及法律变动时能够及时作出相应的变化。

（6）法律框架：该部分包含和信息安全相关的法律法规，为云安全管理奠定法律基础。

二、云计算安全管理流程分析

云计算安全管理作为保障大数据平台安全中的重要一环，需要对云计算安全管理流程进行构建，这样才会形成有层次、有针对性的部署安全管理措施，形成一个完整的，切实有效的大数据所需的云平台安全管理体系。

在管理学中，国内成长型企业结合自身的管理实践，总结形成了一个通用模型--“4Y”模型。“4Y”模型分别指的是:Y1计划到位、Y2责任到位、Y3检查到位、Y4激励到位。其中Y1计划到位：好的结果来自于充分的事前准备和有效的协同配合；Y2责任到位：计划的完成需要行动的支撑，责任到人才会有真正的行动；Y3检查到位：人们不会做你期望的，只会做你监督和检查的；Y4激励到位：有反馈必有激励，好报才会有好人。4Y模型具有很强的结果导向，能够决定着企业的有效产出。因此“4Y”模型同样适应于ISMS过程。适用于ISMS的“4Y”模型如图3所示：

2.1ISMS计划到位

在大数据所依赖的云计算平台，其安全问题在规划阶段需要到位。对于云计算安全管理体系的整体框架，整体目标需要做好前期规划，为各项管理措施的制定和检查提供指导。其次要为云计算安全管理提供组织保障，从而使得云计算安全管理能够顺利进行。

在计划环节，需要对目标的规划做到位。对于云安全的管理目标，就是通过各项措施增强大数据平台的安全性，并且要实现平台性能与安全性之间的平衡。从安全性来说，云计算安全管理体系需要通过实施各项管理措施，保障云计算安全的有效性，完整性，非否认性标准。做到安全策略的有效，安全产品正常工作，同时也要确保技术人员、管理人员所做的操作都是合规合法的，尤其是要切实保障对配置信息、用户账号等一些敏感信息的处理工作的安全性。

云安全管理在计划阶段需要建立起云安全管理体系的基本框架，明确部署云计算安全管理措施使用方面：物理安全、架构安全、应用安全以及数据安全四个方面来做好保障准备，使得安全贯穿到整个安全管理的所有阶段。

2.2ISMS责任到位

“4Y”模型中责任到位，要求在云计算安全整个开始周期内，相关人员需要做到权责一致。云计算安全管理组织管理需要到位。云安全管理体系，云安全技术指导体系，云计算安全领导组织体系，审计体系设计合理，使得在整个管理阶段所需职责能够由各个体系进行管理。不同的体系下有不同的职责，这些职责需要有专门的人员来承担。领导体系负责制定、评审和批准云安全管理方针、启动云计算安全管理方案、引导云安全管理措施的实施。因此在整个管理组织中起到核心地位；指导体系负责在整个流程中专业方面的建议与指导，为整个安全管理提供具体的方法与建议；管理体系负责实施具体的云计算安全管理措施，各项安全管理工作由管理人员承担；安全审计监督体系对整个管理阶段的实施，运维阶段的管理负责监督操作。

2.3ISMS检查到位

在云计算安全管理的检查阶段，需要对云计算安全管理体系的各个方面进行审查，已评估云计算安全管理的各项措施是否有效，云计算安全管理是否全面合理，发现可能影响云计算安全的措施和事件。审查审计人员对管理人员操作过程和结果的记录进行分析，检查是否按照要求规范操作。

对于云计算安全体系的检查主要包括如下三个方面：安全策略、管理措施、法律要求。在计划阶段，实施阶段，维护阶段中的安全策略、安全标准、安全要求是否全面；组织架构是否清晰，责任认定是否明确；对于敏感度不同的数据、重要性不同的设备管理是否实施不同等级的管理措施，安全访问控制机制是否达到相应的安全性标准的要求；安全事件的通报，处理，核查机制是否合理等。

2.4 ISMS激励到位

人的行为通常是特定激励、约束机制下的产物。哈佛大学管理学家威廉·詹姆斯研究发现，在缺乏激励的一般岗位上，员工仅能发挥其实际工作能力的20%~30%，而受到充分激励的员工，其潜能则可以发挥出80%左右。由此可见，有效的激励是激发员工积极性、创造性的核心变量。在云计算安全管理中，其实质是对各类人的管理。因此相应的激励措施则能够有助于云计算管理的效果。

三、 总结

大数据所依赖的云计算平台，其安全管理体系的构建非常重要。构筑云计算安全管理体系，需要将技术，标准，制度要求与云计算企业管理，信息管理有机的结合。

本文把“4Y”企业管理模型应用到云计算安全管理当中，在计划阶段，将安全管理的目标，要求，标准设计到位。使得云计算安全管理贯彻到整个管理过程当中；在实施阶段，无论是领导体系、管理体系、指导体系还是审计体系，要求各体系中的人员必须做到责任到位；无论是管理人员日常的安全检查，还是审计人员的监督工作，对于云安全的管理需要做到检查到位，从数字中，结果中分析工作情况是否到位；激励对于员工能够激发起创新力，工作欲，到位的激励措施有利于降低，避免安全事件的发生。

——END——