云計(jì)算平臺(tái)全周期安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)

文/周衛(wèi)國

1 引言

根據(jù)NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)的定義，云計(jì)算是一種能夠通過網(wǎng)絡(luò)以便利的、按需付費(fèi)的方式獲取計(jì)算資源并提高其可用性的模式。其中計(jì)算資源包括：網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)等，這些資源來自一個(gè)共享的、可配置的資源池，并能夠以最省力和無人干預(yù)的方式獲取和釋放。

按照云計(jì)算平臺(tái)提供的服務(wù)種類，云計(jì)算平臺(tái)的三層架構(gòu)定義如下：基礎(chǔ)設(shè)施作為服務(wù)(IaaS)，提供給用戶的能力是云供應(yīng)了處理、存儲(chǔ)、網(wǎng)絡(luò)，及其它基礎(chǔ)性的計(jì)算資源，以供用戶部署或運(yùn)行任意自己的軟件，包括操作系統(tǒng)或應(yīng)用；平臺(tái)作為服務(wù)(PaaS)，提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語言或工具開發(fā)；軟件作為服務(wù)(SaaS)，提供給用戶的能力是使用服務(wù)商運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用。用戶使用各種客戶端設(shè)備通過“瘦”客戶界面(例如瀏覽器)等來訪問應(yīng)用(例如基于瀏覽器的郵件)。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，云計(jì)算可以大幅度降低開銷成本并提高運(yùn)營效率，因此其應(yīng)用和推廣勢在必行。但是，云計(jì)算集中式運(yùn)作的特性也使之成為一把雙刃劍。一方面，從管理、維護(hù)和花銷的角度來看，云計(jì)算能夠在降低成本的同時(shí)提供更高效的服務(wù)；另一方面，集中式運(yùn)作可能會(huì)造成諸如數(shù)據(jù)泄露之類的嚴(yán)重后果。因此，云計(jì)算所帶來的安全隱患不容小覷。

2 云計(jì)算平臺(tái)安全問題及思考

目前，安全問題已經(jīng)成為阻礙云計(jì)算發(fā)展的主要問題之一。為了讓企業(yè)放心地采用云計(jì)算服務(wù)，相應(yīng)的安全評(píng)估機(jī)制就顯得至關(guān)重要。然而，目前還不存在足夠全面的云架構(gòu)安全評(píng)估機(jī)制。雖然近年來國內(nèi)外有不少學(xué)者針對(duì)云的安全性評(píng)估和可信性評(píng)測開展了很多相關(guān)工作，但是其研究工作卻普遍存在一個(gè)問題：沒有分層次分析云平臺(tái)的安全性。而云平臺(tái)架構(gòu)十分復(fù)雜，要評(píng)測其整體安全性，也應(yīng)該分層考慮其各層的安全隱患，進(jìn)而對(duì)云平臺(tái)的整體安全性進(jìn)行評(píng)估。

圖1：云安全評(píng)估系統(tǒng)架構(gòu)示意圖

信息安全評(píng)估工具是基于傳統(tǒng)信息安全等級(jí)保護(hù)，采用漏洞探測、木馬檢測、軟件代碼安全分析、安全攻擊仿真、網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)性能壓力測試等方法，對(duì)傳統(tǒng)信息系統(tǒng)的主機(jī)、網(wǎng)絡(luò)、操作系統(tǒng)、主機(jī)中文件和數(shù)據(jù)進(jìn)行安全測評(píng)。

隨著云計(jì)算的推廣，上云的單位和遷移至云上的業(yè)務(wù)日益增多，亟需對(duì)云上安全情況進(jìn)行檢測評(píng)估。隨著云安全等級(jí)保護(hù)和云安全指南也順應(yīng)需求落地，要求云上安全評(píng)估范圍和傳統(tǒng)信息安全評(píng)估范圍有差異，即需要對(duì)云計(jì)算信息系統(tǒng)中業(yè)務(wù)系統(tǒng)及相關(guān)云平臺(tái)資源進(jìn)行統(tǒng)一定級(jí)，測評(píng)。傳統(tǒng)的信息安全等保安全評(píng)估工具已經(jīng)不能滿足云計(jì)算信息系統(tǒng)安全評(píng)估定級(jí)需求，當(dāng)前云安全等保和云安全對(duì)云計(jì)算信息系統(tǒng)安全比較概括化，缺少針對(duì)云計(jì)算信息系統(tǒng)的安全指標(biāo)體系；需要出現(xiàn)一種遵照云安全要求和標(biāo)準(zhǔn)設(shè)計(jì)的云安全評(píng)估系統(tǒng)和指標(biāo)體系，來解決云計(jì)算信息系統(tǒng)安全定級(jí)評(píng)估的問題。

目前存在的傳統(tǒng)安全評(píng)估產(chǎn)品對(duì)傳統(tǒng)信息系統(tǒng)環(huán)境進(jìn)行事前(部署時(shí)或其他某個(gè)時(shí)刻)掃描評(píng)估，不能對(duì)信息環(huán)境進(jìn)行持續(xù)檢測；由于云環(huán)境和平臺(tái)由服務(wù)商提供，業(yè)務(wù)上云后用戶對(duì)云上資產(chǎn)、業(yè)務(wù)和數(shù)據(jù)的掌控程度變低，需要一種能夠支持對(duì)云全生命周期持續(xù)監(jiān)測掃描的風(fēng)險(xiǎn)評(píng)估方法，即運(yùn)行前對(duì)云環(huán)境，包括：云機(jī)房、云平臺(tái)、虛擬化層等，進(jìn)行安全評(píng)估；運(yùn)行中，對(duì)云上資源及業(yè)務(wù)進(jìn)行持續(xù)監(jiān)控和評(píng)估；運(yùn)行后，對(duì)云上用戶行為存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，確定當(dāng)前安全水平和風(fēng)險(xiǎn)情況；

由于云計(jì)算信息系統(tǒng)環(huán)境龐大，結(jié)構(gòu)復(fù)雜，為保證云安全評(píng)能夠恰當(dāng)?shù)母鶕?jù)環(huán)境的實(shí)際情況得到合理的結(jié)果，需要提供可配置的云計(jì)算信息系統(tǒng)安全評(píng)估基線；同時(shí)可引入專家評(píng)估機(jī)制，一方面提高準(zhǔn)確度，降低誤報(bào)漏報(bào)率；另一方面能夠?qū)υ粕铣霈F(xiàn)的未知安全問題(0-Day)及時(shí)找到合適的處置評(píng)價(jià)方法。

檢測評(píng)估后需形成定級(jí)，產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告。通過評(píng)估在所監(jiān)測的潛在不安全事件的嚴(yán)重等級(jí)下各相關(guān)風(fēng)險(xiǎn)點(diǎn)的嚴(yán)重程度，可準(zhǔn)確的預(yù)警哪些風(fēng)險(xiǎn)點(diǎn)具有觸發(fā)該潛在不安全事件的較大風(fēng)險(xiǎn)，及時(shí)預(yù)警，有效避免嚴(yán)重等級(jí)較高的風(fēng)險(xiǎn)點(diǎn)引發(fā)不安全事件，導(dǎo)致安全事故的問題。且由于云上環(huán)境龐雜，持續(xù)檢測發(fā)現(xiàn)的云安全問題緊靠手動(dòng)處理效率低下，需要根據(jù)評(píng)估狀態(tài)和結(jié)果能夠?qū)σ恍┬迯?fù)類、防御類等工具產(chǎn)生聯(lián)動(dòng)，達(dá)到高效修復(fù)和防護(hù)效果。

3 云計(jì)算平臺(tái)全周期安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)探討

針對(duì)以上研究，提出云計(jì)算平臺(tái)全周期安全評(píng)估系統(tǒng)及方法，可以遵照云安全等級(jí)保護(hù)和安全指南，能夠?qū)υ朴?jì)算系統(tǒng)進(jìn)行全生命周期的安全評(píng)估；原來針對(duì)云安全評(píng)估的指標(biāo)體系，可用于云計(jì)算系統(tǒng)安全評(píng)估，風(fēng)險(xiǎn)事件發(fā)現(xiàn)，云安全測試，云安全基線配置檢查等領(lǐng)域；支持云計(jì)算安全基線配置檢查和專家評(píng)估機(jī)制結(jié)合，提高準(zhǔn)確度，降低誤報(bào)漏報(bào)率；同時(shí)能夠?qū)υ粕铣霈F(xiàn)的未知安全問題找到合適的評(píng)估處置方法。檢測評(píng)估后形成定級(jí)，產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告。根據(jù)評(píng)估狀態(tài)和結(jié)果產(chǎn)生對(duì)其他模塊的聯(lián)動(dòng)。

圖2：云計(jì)算平臺(tái)全周期安全評(píng)估方法主要流程示意圖

如圖1所示，云計(jì)算平臺(tái)全周期安全評(píng)估系統(tǒng)包括配置當(dāng)前云環(huán)境安全基準(zhǔn)的云安全基線配置模塊、檢測和收集云機(jī)房信息系統(tǒng)安全相關(guān)的安全評(píng)估指標(biāo)數(shù)據(jù)的云機(jī)房信息系統(tǒng)監(jiān)測模塊、檢測收集虛擬機(jī)管理器相關(guān)的安全信息的虛擬化層安全監(jiān)測模塊、檢測收集云計(jì)算平臺(tái)系統(tǒng)相關(guān)安全信息的云計(jì)算平臺(tái)系統(tǒng)安全監(jiān)測模塊、檢測收集云上業(yè)務(wù)信息及相關(guān)操作行為安全情況的云上業(yè)務(wù)數(shù)據(jù)安全監(jiān)測模塊、提供計(jì)算模型對(duì)各個(gè)監(jiān)測模塊檢測到的數(shù)據(jù)進(jìn)行分析技術(shù)得出云安全評(píng)估等級(jí)的云安全分析計(jì)算模塊、為整個(gè)評(píng)估系統(tǒng)提供分析對(duì)比指標(biāo)的安全體系檢測指標(biāo)庫、對(duì)系統(tǒng)錯(cuò)判進(jìn)行糾正以及對(duì)漏判和未知安全情況進(jìn)行分析的專家評(píng)估系統(tǒng)、對(duì)整個(gè)評(píng)估系統(tǒng)的數(shù)據(jù)檢測指標(biāo)進(jìn)行統(tǒng)一維護(hù)管理的安全檢測數(shù)據(jù)指標(biāo)體系統(tǒng)一維護(hù)模塊、將安全信息分析結(jié)果以評(píng)估報(bào)告的形式輸出的安全評(píng)估報(bào)告輸出模塊、根據(jù)安全評(píng)估結(jié)構(gòu)對(duì)會(huì)產(chǎn)生嚴(yán)重威脅的部位進(jìn)行預(yù)警通知的預(yù)警通知輸出模塊、根據(jù)檢測結(jié)果針對(duì)安全薄弱地方聯(lián)動(dòng)安全防護(hù)和修復(fù)軟件進(jìn)行加強(qiáng)的外接系統(tǒng)聯(lián)動(dòng)模塊、提供安全防護(hù)和修護(hù)軟件的安全防護(hù)模塊。

具體來說，云安全基線配置模塊用于在啟動(dòng)評(píng)估前配置當(dāng)前云環(huán)境的的安全基準(zhǔn)，安全基線配置內(nèi)容是云安全評(píng)估指標(biāo)體系的子集。云機(jī)房信息系統(tǒng)安全監(jiān)測模塊檢測收集云機(jī)房信息系統(tǒng)安全相關(guān)的安全評(píng)估指標(biāo)數(shù)據(jù)。與傳統(tǒng)安全評(píng)估指標(biāo)體系有重疊，為保障云機(jī)房可靠穩(wěn)定，包含機(jī)房溫度、濕度等運(yùn)維檢測指標(biāo)在內(nèi)。虛擬化層安全監(jiān)測模塊檢測收集虛擬化管理器相關(guān)的安全信息，包括，虛擬化管理器本身的安全漏洞、弱點(diǎn)，利用虛擬化管理器弱點(diǎn)導(dǎo)致的虛擬機(jī)逃逸、虛擬機(jī)跳躍、隱藏通道攻擊等安全結(jié)果，作為對(duì)虛擬化層安全評(píng)估量化輸入。云計(jì)算平臺(tái)系統(tǒng)安全監(jiān)測模塊檢測收集云計(jì)算平臺(tái)系統(tǒng)相關(guān)安全信息，包括虛擬機(jī)遷移過程中的安全，虛擬網(wǎng)絡(luò)、云存儲(chǔ)等的安全信息。對(duì)不同的監(jiān)測對(duì)象采用的方式不盡相同，如：對(duì)于虛擬網(wǎng)絡(luò)的監(jiān)測需要部署探針到虛擬交換機(jī)處。隨著云計(jì)算推廣，云上部署的用戶業(yè)務(wù)也日趨增多，云上業(yè)務(wù)數(shù)據(jù)安全監(jiān)測模塊檢測收集云上業(yè)務(wù)信息，包括；性能、漏洞、后門等；云上業(yè)務(wù)產(chǎn)生的數(shù)據(jù)的存儲(chǔ)訪問安全情況；云上操作云資源和數(shù)據(jù)的操作行為安全情況等。云安全分析計(jì)算模塊提供計(jì)算模型，對(duì)上述多個(gè)模塊收集檢測到的數(shù)據(jù)進(jìn)行分析計(jì)算，得出云安全評(píng)估等級(jí)。專家評(píng)估系統(tǒng)引入專家評(píng)估機(jī)制，一方面根據(jù)實(shí)際情況，對(duì)系統(tǒng)中的錯(cuò)判進(jìn)行糾正；另一方面，對(duì)漏判的已知和未知安全情況進(jìn)行分析，并更新維護(hù)表體系。指標(biāo)體系維護(hù)模塊是指統(tǒng)一維護(hù)一套適用于云安全的監(jiān)測指標(biāo)庫。指標(biāo)體系維護(hù)流程：判斷安全檢測數(shù)據(jù)是否為安全檢測指標(biāo)庫中包含的類型，如不包含，則啟用專家評(píng)估機(jī)制，組織專家審核云安全監(jiān)測數(shù)據(jù)，分析位置安全事件，并得到專家評(píng)定結(jié)果，整理安全事件指標(biāo)，并添加到指標(biāo)庫中。安全評(píng)估報(bào)告輸出模塊將安全信息分析結(jié)果以評(píng)估報(bào)告的形式輸出，內(nèi)容包括但不限：安全評(píng)估等級(jí)、嚴(yán)重安全漏洞、安全弱點(diǎn)等。預(yù)警通知輸出模塊根據(jù)安全評(píng)估結(jié)果，對(duì)可能產(chǎn)生嚴(yán)重威脅的部位產(chǎn)生預(yù)警通知。外接系統(tǒng)聯(lián)動(dòng)模塊：檢測結(jié)果聯(lián)動(dòng)安全防護(hù)和修護(hù)軟件，針對(duì)安全薄弱地方進(jìn)行加強(qiáng)；檢測到有木馬病毒，可以啟動(dòng)對(duì)應(yīng)類型的安全殺毒軟件，檢測到弱點(diǎn)能夠聯(lián)動(dòng)補(bǔ)丁包下載安裝等。

如圖2所示，云計(jì)算平臺(tái)全周期安全評(píng)估方法采用如下步驟：

（1）安裝部署云商評(píng)估檢測客戶端工具云安全評(píng)估系統(tǒng)；

（2）在云安全評(píng)估系統(tǒng)中設(shè)置云安全評(píng)估基線；

（3）啟動(dòng)安全掃描檢測；

（4）根據(jù)步驟（3）進(jìn)行云安全評(píng)估數(shù)據(jù)收集；

（5）按照云安全評(píng)估指標(biāo)體系，分析步驟（4）中的云安全評(píng)估數(shù)據(jù)，同時(shí)引入專家評(píng)估機(jī)制；

（6）根據(jù)步驟（5）的分析，對(duì)云安全情況定級(jí)；

（7）根據(jù)步驟（6）對(duì)云安全情況的定級(jí)，形成云安全評(píng)估報(bào)告；

（8）根據(jù)云安全評(píng)估報(bào)告判斷是否有等級(jí)嚴(yán)重的安全風(fēng)險(xiǎn)，若是，轉(zhuǎn)到步驟（9），若否，轉(zhuǎn)到步驟（10）；

（9）對(duì)等級(jí)嚴(yán)重的風(fēng)險(xiǎn)產(chǎn)生預(yù)警；

（10）連接其他云安全評(píng)估進(jìn)行整改聯(lián)動(dòng)，對(duì)嚴(yán)重安全問題進(jìn)行安全防護(hù)和修復(fù)。

4 小結(jié)

該云計(jì)算平臺(tái)全周期安全評(píng)估系統(tǒng)及方法遵照云安全等級(jí)保護(hù)和安全指南，能夠?qū)υ朴?jì)算系統(tǒng)進(jìn)行全生命周期的安全評(píng)估；針對(duì)云安全評(píng)估的指標(biāo)體系，也可用于云計(jì)算系統(tǒng)安全評(píng)估，風(fēng)險(xiǎn)事件發(fā)現(xiàn)，云安全測試，云安全基線配置檢查等領(lǐng)域；支持云計(jì)算安全基線配置檢查和專家評(píng)估機(jī)制結(jié)合，提高準(zhǔn)確度，降低誤報(bào)漏報(bào)率；同時(shí)能夠?qū)υ粕铣霈F(xiàn)的未知安全問題找到合適的評(píng)估處置方法。檢測評(píng)估后形成定級(jí)，產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告。根據(jù)評(píng)估狀態(tài)和結(jié)果產(chǎn)生對(duì)其他模塊的聯(lián)動(dòng)。