云平台信息安全整体保护技术研究.doc

云平台信息安全整体保护技术研究目前云计算发展迅速，云平台的安全问题也应引起足够重视。本文根据云平台的结构特点，结合信息系统整体保护要求，提出了一种针对云平台的信息安全整体保护技术方案。该方案将云平台分为云计算环境，云区域边界，云通信网络以及云安全管理中心四个部分，分别对这四部分做了安全性分析，并提出了每一部分的安全保障技术设计要求。1. 引言 自Google 公司提出云计算的概念以来，各类与云计算相关的服务纷纷涌现，随之而来的就是人们对云安全问题的关注。云安全的策略构想是：使用者越多，每个使用者就越安全，因为如此庞大的用户群，足以覆盖互联网的每个角落，只要某个网站被挂马或某个新木马病毒出现，就会立刻被截获。 云安全发展迅速，各主流安全厂商纷纷推出了云平台安全解决方案。2010 年10 月22 日，工信部和国家发改委联合发布的通知明确，在北京、上海、深圳、杭州、无锡等五个城市先行开展云计算服务创新发展试点示范工作。相信在两部委的推动下，云计算在中国的市场规模有望在3 年内突破1 万亿元，产业链上下游的多家上市公司将迎来发展机遇。 云计算主要具有六种特点。 1)超大规模。“云计算管理系统”具有相当的规模，Google的云计算已经拥有100 多万台服务器，Amazon、IBM、微软、Yahoo 等的“云”均拥有几十万台服务器。“云”能赋予用户前所未有的计算能力。 2)虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”，而不是固定的有形的实体。应用在“云”中某处运行，但实际上用户无需了解、也不用担心应用运行的具体位置。 3)高可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性，使用云计算比使用本地计算机可靠。 4)通用性。云计算不针对特定的应用，在“云”的支撑下可以构造出千变万化的应用，同一个“云”可以同时支撑不同的应用运行。 5)高可扩展性。“云”的规模可以动态伸缩，满足应用和用户规模增长的需要。 6)廉价。由于“云”的特殊容错措施可以采用极其廉价的节点来构成云，因此用户可以充分享受“云”的低成本优势。 目前各家所提的云安全解决方案，大都根据自己企业对云平台安全的理解，结合本企业专长，专注于某一方面的安全。然而，对于用户来说云平台是一个整体，急需一套针对云平台的整体保护技术方案。针对云平台的信息安全整体保护技术的研究的是大势所趋，整体保护技术体系的建立，必将使云计算得以更加健康、有序的发展。2. 安全体系架构 2.1 面临的问题 要想建立安全的云平台，并使之正常运行，应解决四大问题：第一，需要合理的安全体系架构；第二，需要专业的技术和经验；第三，需要大量的资金和技术投入；第四，应是开放的系统，且需要大量合作伙伴的加入。 合理的安全体系架构。只有拥有合理的安全体系架构，才能对云平台中上出现的病毒、木马、挂马网站以及非法行为有最灵敏的感知能力，并在第一时间运用成熟的技术，对其进行最有针对性的处理。 专业的技术和经验。反病毒技术的积累、配置安全策略的经验，对安全事件第一时间的感知能力，都是云平台安全得以有力维护的保障。大量专利技术、虚拟机、智能主动防御、大规模并行运算等技术的综合运用，使得“云安全”系统能够及时处理海量的上报信息并将处理结果共享给“云安全”系统的每个成员。 大量的资金和技术投入。云安全环境较之传统的安全环境更为复杂，系统也更加庞大，安全设备、软件具有覆盖面广、性能要求高等特点。因此要建立安全的云平台，充足的资金和技术投入是不可或缺的。 开放的系统以及大量合作伙伴的加入。云安全环境应该是个开放性的系统，其“探针”与所有软件完全兼容，即使用户使用不同厂商的软件，也应该可以享受“云安全”系统带来的成果。而加入的厂家越多，云安全系统的覆盖能力也应该越强。逻辑云安全环境如图1 所示。点击图片查看大图 图1 逻辑云安全环境 2.2 安全体系架构 云平台下信息安全整体保护体系建设的目标是依据云计算的特点，建立满足云计算的建设要求，能够涵盖云计算的基础设施、业务支撑、运维管理、安全保障与智能服务等五方面内容的信息安全整体保障体系。云平台的信息安全整体保护体系还应体现等级保护的思想，依据信息系统等级保护安全技术设计要求, 本文将云平台的安全保护环境从逻辑上分为云安全计算环境、云安全区域边界、云安全通信网络以及云安全管理中心四个部分，提出一套针对云平台的信息安全整体保护技术方案，如图2 所示。点击图片查看大图 图2 云平台信息安全整体保护技术方案 云计算平台和传统计算平台的最大区别在于计算环境，云平台的计算环境是通过网络把多个成本相对较低的计算实体整合而形成的一个具有强大计算能力的系统，这样的一个系统势必比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息安全整体保护体系的重中之重。 强大、方便的云计算服务是通过客户端最终展现给用户的，在云计算环境完成了客户所要求的工作或服务后，这些工作、服务的成果应通过一个安全的途径传输并最终展现在客户端上。云计算环境下的通信网络就是保证云计算环境到客户端、云计算环境之间进行信息传输以及实施安全策略的部件。 区域边界是云计算环境与云通信网络实现边界连接以及实施安全策略的相关部件。真正的云计算环境应是可控的，在这一可控的云区域与其外部的不可控区域之间，应遵循一套规则来确保只有通过认证的用户才能管理和使用云，从而保证云计算环境区域的安全。 云计算环境内部的各个部件的正常运转、数据在云内的安全传输、云计算环境以及云区域边界上的安全机制的执行，都需要进行统一的安全管理。操作、使用云服务，也应遵守一定的管理规章制度。云计算环境下的安全管理就是一套对云计算环境内部以及云边界的安全机制实施统一管理，并控制操作、使用云计算服务的行为的手段。3. 安全技术要求 3.1 安全性分析 云计算时代的到来，主要给信息安全带来了三方面挑战。首先是云计算环境的安全防护问题。在云计算环境中，用户的数据以共享和动态的方式被保存，这使其安全性面临巨大风险。如果无法有效限制云计算的服务提供商对数据的访问权，则服务商便可以随意处置用户的数据，甚至可能产生倒卖行为，造成用户数据权利的损失。而对于这类行为，用户往往难于追查和取证。 其次，云计算还将对现有安全体系产生冲击。云计算为用户提供了更强大的计算和存储能力，但云服务商很难识别用户行为的目的，无法区分用户的所要求的云计算服务是否合法。而对于一些用户的非法请求所造成的潜在风险是现有安全体系很难应对的。 最后则是来自安全监管方面的问题。在云计算时代如何对信息内容进行有效地监管和引导，是关系到社会稳定和国家安全的关键问题。现有的监管与预警体系主要针对传统的Web等开放式应用，而云计算则给监管体系的建立带来新的挑战，需要对现有监管体系进行重新定义。 下面，就针对逻辑划分的云计算环境、云区域边界、云通信网络以及云安全管理中心等部分，对它们的安全性逐一地进行分析。 在云计算环境中，主要应关注数据存储安全、数据访问安全以及系统安全等方面的问题。众所周知，数据往往是用户最重要的财富。云计算环境中所存储和使用的数据对于数据所有者以外的其他云计算用户是保密的，但这些数据对于提供云计算的服务提供商而言却是可见的。随着基于云计算的服务日益发展，云计算服务往往由多家服务商共同提供，这就使得多家服务提供商共同承担风险的现象不可避免。 用户的机密文件经过层层传递，在无形中就增大了安全风险。这就要求云计算环境中要具有针对数据和系统的保护措施，如访问控制和身份认证机制等，以保证用户数据和系统的安全性。云安全计算环境的构建，是整个云平台安全中最重要的部分。 在云区域边界中，主要应关注外部环境到云平台的接入安全、数据通过边界的安全等。云区域边界是云环境和非云环境之间的一道屏障，对于云区域边界的建设，应能保证外部进入到云平台中的数据是安全无害的，外部对云平台的访问应是合规的，同时，对于经内部云计算服务得出的数据，应能够无损的经由云区域边界到外部环境中去。云安全区域边界中要具有针对数据进出和访问控制的相关安全措施，从而保证数据交换和访问的安全性。 在云通信网络中，主要应关注通信网络提供服务的安全保护、通信网络传输以及交换数据的整体安全保护等。云通信网络的任务是安全、完整地将用户的请求或云计算服务的结果传递到目的地。因此数据通过云通信网络传递的过程中，应采取相应安全机制，从而保证所传递的数据不被篡改或窃取，并实现传递数据的加密。 应该指出的是，不同于传统信息系统整体保护框架中的通信网络，在本文所提出的整体保护框架中，云通信网络实际上由两部分组成，一部分为云计算环境内部的互联通信网络，另一部分为通过云区域边界连接到云计算环境外部的通信网络。内部的安全通信网络可纳入云安全管理中心统一管理，外部的安全通信网络并不纳入云安全管理中心进行统一管理，而是遵循自己的安全机制，并作为云平台下信息安全整体保护的一个重要组成部分。 云安全管理中心主要负责监视和记录云平台中重要的服务器、网络设备以及所有应用系统的安全状况。对所涉及的计算机、网络以及应用系统的安全机制实施统一管理、统一监控、统一审计、协同防护，发挥安全机制的整体作用，提高安全防护的质量和水平。 一个云平台中可能提供多种不同的云计算服务，云安全管理中心应对云计算环境内的通信网络、主机和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；应对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理；组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施。 表1 给出了传统平台与云平台在各逻辑区域的主要安全要点对比情况。点击图片查看大图 表1 传统平台与云平台安全要点对比 3.2 设计目标 云安全机制可通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序以及各类非法行为的最新信息，推送到服务端进行自动分析和处理，再把各类安全问题的解决方案依照不同需要，有针对性的分发到各类客户端上。在这样的体系中，每个客户端本身都是整个安全体系一个探针，这使得整个云平台，成为一个具有整体防护能力的安全环境，从而达到云安全的目标。 云平台下的信息安全整体保护，仍应遵循“一个中心，三维防护”的理念。建立以云计算环境安全为基础，以云区域边界安全、云通信网络安全为保障，以云安全管理中心为核心的信息安全整体保障体系。 应用云安全技术识别和查杀病毒、阻断非法行为，将不再仅仅依靠本地硬盘中的病毒库或安全策略，而是依靠庞大的网络服务，对系统实行实时信息采集、分析以及处理的整体保护。整个云平台就像是一个巨大的软件，每个参与者都为云平台做出自己的一份贡献。因此参与者越多，每个参与者就越安全，整个云平台就会越安全。 对于一般的云安全环境，建议按照等级保护三级系统的要求标准进行建设。设计策略是：在等级保护第二级系统安全保护环境的基础上，构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制访问控制规则实现对主体及其客体的访问控制。 其中云安全计算环境应着重从以下八个方面进行设计：用户身份鉴别，自主访问控制，标记和强制访问控制，系统安全审计，用户数据完整性保护，用户数据保密性保护，客体安全重用以及程序可执行保护；云安全区域边界应着重从以下四个方面进行设计：区域边界访问控制，区域边界包过滤，区域边界安全审计以及区域边界完整性保护；云安全通信网络应着重从以下四个方面进行设计：通信网络安全审计，通信网络数据传输完整性保护，通信网络数据传输保密性保护以及通信网络可信接入保护；云安全管理中心应着重从系统管理，安全管理以及审计管理三个方面进行设计。 3.3 技术设计要求 3.3.1 云安全计算环境设计要求 对于云安全计算环境，主要从以下技术点进行设计：用户身份鉴别，自主访问控制，标记和强制访问控制，系统安全审计，用户数据完整性保护，用户数据保密性保护，客体安全重用以及程序可信执行保护。 用户身份鉴别应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 自主访问控制应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。 标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。云计算环境访问控制工作流程如图3 所示。点击图片查看大图 图3 云计算环境访问控制工作流程 系统安全审计应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；确保对特定安全事件进行报警；确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体调用的接口。 用户数据完整性保护应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。 用户数据保密性保护应采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。 客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。 程序可信执行保护可构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如采用可信计算等技术。 3.3.2 云安全区域边界设计要求 对于云安全区域边界，主要从以下技术点进行设计：区域边界访问控制，区域边界包过滤，区域边界安全审计以及区域边界完整性保护。 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。 区域边界包过滤应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。 区域边界安全审计应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。 区域边界完整性保护应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。云区域边界子系统如图4 所示。点击图片查看大图 图4 云区域边界子系统 3.3.3 云安全通信网络设计要求 对于云安全通信网络，主要从以下技术点进行设计：通信网络数据传输完整性保护，通信网络数据传输保密性保护以及通信网络可信接入保护。 通信网络数据传输完整性保护应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。 通信网络数据传输保密性保护应采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。 通信网络可信接入保护可采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法接入。云平台安全通信网络模块组成如图5 所示。点击图片查看大图 图5 云平台安全通信网络模块 3.3.4 云安全管理中心设计要求 对于云安全管理中心，主要从以下技术点进行设计：系统管理，安全管理以及审计管理。 系统管理应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理