肖 慧，譚 彥，畢喜軍，譚志遠

（1.中國電信股份有限公司廣東分公司 廣州510081；2.中國電信股份有限公司廣東研究院 廣州510630）

1 引言

業(yè)務(wù)平臺在遷移到云平臺之后，由于虛擬化層的引入，產(chǎn)生了額外的安全風(fēng)險，管理者在決策過程中都對云平臺的風(fēng)險管理感到疑惑：虛擬化層所產(chǎn)生的安全風(fēng)險是否能夠接受，業(yè)務(wù)平臺云化遷移的過程中是否存在一個量化指標(biāo)足以反映這個過程中所產(chǎn)生的風(fēng)險情況？

這一系列的問題源于業(yè)務(wù)平臺遷移到云平臺之前，在所處的環(huán)境下已部署的多種安全控制措施，由于遷移到云平臺之后，安全防護條件均發(fā)生了變化，一些傳統(tǒng)的安全防御手段無法過渡到虛擬化的環(huán)境下繼續(xù)使用，因此，管理者可能會采用新的基于虛擬化的安全防護手段，而原有的風(fēng)險評價標(biāo)準(zhǔn)體系需要重新計算甚至無法適用。評估云平臺的安全風(fēng)險時，需要綜合多方面的因素，將各種風(fēng)險因素通過一套面向云平臺的全面測評體系進行量化。量化的安全風(fēng)險系數(shù)的意義在于能夠衡量安全工作產(chǎn)生的真實價值與績效，使安全防護有了清晰的目標(biāo)。但安全風(fēng)險管理是個動態(tài)的過程，在進行風(fēng)險測評的過程中，一方面需要考慮管理方面的因素，如安全制度的執(zhí)行情況；另一方面需要考慮技術(shù)方面的因素，如是否有認(rèn)可的風(fēng)險測評工具，以確保相關(guān)的風(fēng)險系數(shù)能夠順利落地。

2 業(yè)務(wù)平臺云化后的風(fēng)險管理策略

業(yè)務(wù)平臺遷移到云平臺之后，業(yè)務(wù)平臺成為云平臺的租戶，這時，業(yè)務(wù)平臺的管理者需要同時考慮業(yè)務(wù)平臺和云平臺的風(fēng)險。這是因為從攻擊者或黑客的角度，只需要找出業(yè)務(wù)平臺或云平臺的一個漏洞就可以完成入侵，但從業(yè)務(wù)平臺安全管理員的角度，還需要持續(xù)關(guān)注業(yè)務(wù)平臺自身的脆弱性，盡可能修復(fù)云平臺的所有漏洞及問題。在實際情況下，要解決所有的問題是不可能的，所以在運營過程中，關(guān)鍵是做到有的放矢，將有限的資源投入在迫切需要的地方，所以需要一個能夠評估系統(tǒng)目前的安全狀態(tài)、衡量現(xiàn)狀與安全策略制度目標(biāo)之間的差距、定義當(dāng)前安全威脅級別的綜合系數(shù)，該系數(shù)可反映業(yè)務(wù)平臺當(dāng)前安全管理和安全防護的水平，幫助安全管理員找出最需要關(guān)注的問題。系數(shù)的計算精簡了安全水平的判斷依據(jù)，使對系統(tǒng)安全水平的評估更為科學(xué)有效，同時也能持續(xù)跟蹤安全策略落地執(zhí)行的效果。

2.1 業(yè)務(wù)平臺云化后面臨新的威脅

虛擬化技術(shù)引入了Hypervisor層和其他新的管理模塊，在帶來許多新功能的同時，由于其脆弱性也必然成為新的攻擊層面，而另外一方面則可能是管理操作上的疏忽，例如，在虛擬化應(yīng)用中，大多數(shù)提供安全保護的進程和功能在初始安裝時都未被選擇加入，而這些進程和功能在安裝之后考慮到系統(tǒng)穩(wěn)定性問題很難被重新安裝，那么，如何代替它們的功能是需要解決的問題。而由于以上的原因，虛擬化產(chǎn)生了如下一些新威脅。

（1）虛擬機逃逸

由于配置失當(dāng)，虛擬系統(tǒng)間以及虛擬系統(tǒng)和Hypervisor隔離措施不足，產(chǎn)生安全問題，該安全問題可以使虛擬系統(tǒng)脫離原來分配給它的虛擬環(huán)境，而逃逸到Hypervisor，繼而控制Hypervisor甚至其他虛擬系統(tǒng)。

（2）流量監(jiān)控失效

虛擬機間通過硬件的背板而不是網(wǎng)絡(luò)進行通信，因此，這些通信流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的，無法對它們進行監(jiān)測、在線封堵，這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。

（3）虛擬機惡性遷移

虛擬機的動態(tài)遷移用于快速解決眾多客戶的虛擬機租用需求問題，但可能導(dǎo)致虛擬機系統(tǒng)脆弱性的快速傳播，同一個供應(yīng)商提供的虛擬機幾乎源于相同的鏡像。顯然，動態(tài)遷移過程使得原鏡像中的安全漏洞也在不斷地復(fù)制和傳播。攻擊者在充分收集已控虛擬機特點及脆弱性的基礎(chǔ)上，從網(wǎng)絡(luò)中通過合適的滲透手段對其他虛擬機進行攻擊。

2.2 風(fēng)險管理的整體功能需求

風(fēng)險管理的目標(biāo)是實現(xiàn)整體風(fēng)險的可視化，可根據(jù)安全控制目標(biāo)及資產(chǎn)范圍反映當(dāng)前業(yè)務(wù)系統(tǒng)的風(fēng)險，其依據(jù)是各種安全風(fēng)險的量化指標(biāo)。量化過程中，根據(jù)資產(chǎn)的價值、影響的范圍、威脅發(fā)生的可能性等統(tǒng)一的標(biāo)準(zhǔn)衡量不同系統(tǒng)的風(fēng)險值，風(fēng)險計算通過機密性、完整性、可用性與訪問復(fù)雜度、訪問因素、認(rèn)證方式綜合建模確定風(fēng)險數(shù)值。得出業(yè)務(wù)系統(tǒng)的風(fēng)險數(shù)值之后，在風(fēng)險管理上可以根據(jù)當(dāng)前的情況定制未來風(fēng)險的下降目標(biāo)，用于衡量風(fēng)險趨勢并實施改進計劃。

在業(yè)務(wù)平臺向云遷移的過程中，經(jīng)歷“規(guī)劃—開發(fā)—實施—運維—廢棄”等信息系統(tǒng)周期，存在以下一些需要管理者考慮的風(fēng)險因素。

·原來多種多樣的操作系統(tǒng)，在P2V或者V2V的過程中如何實現(xiàn)安全遷移？哪些應(yīng)該遷移，哪些不能？原來的安全策略如何在基礎(chǔ)架構(gòu)上得到滿足（包括安全配置等）？

·云遷移過程的安全性評估，遷移中全生命周期都可能引入新的風(fēng)險，評估的過程應(yīng)該怎樣，需要檢查哪些地方？風(fēng)險如何評定？最終的安全標(biāo)準(zhǔn)又是什么？

·安全技術(shù)標(biāo)準(zhǔn)的問題，需要關(guān)注哪些云平臺的漏洞？云平臺的配置是否規(guī)范？

·虛擬資產(chǎn)的識別和風(fēng)險管理，虛擬機、操作系統(tǒng)、中間件、數(shù)據(jù)庫、虛擬網(wǎng)絡(luò)設(shè)備等風(fēng)險管理的原則。

除了對虛擬化層的風(fēng)險管理需求外，還需要輔以以下其他方面的管理需求。

（1）策略管理

實現(xiàn)制度管理流程化與KPI考核是減少運維過程中安全風(fēng)險的一個重要的管理環(huán)節(jié)，可對安全制度進行生命周期管理，如創(chuàng)建、草稿、復(fù)審、發(fā)布等。制度的發(fā)布需要進行一定的流程，同時涉及不同崗位人員的審批，最終發(fā)布后還包括意見的收集與修訂等。應(yīng)通過風(fēng)險管理平臺實現(xiàn)對安全管理制度的流程化管理，滿足制度流程中不同角色的需求。策略管理執(zhí)行的水平可以用量化級別進行衡量。

（2）業(yè)務(wù)虛擬資產(chǎn)管理

風(fēng)險管理的一個重要目標(biāo)是實現(xiàn)虛擬資產(chǎn)的識別和管理，可通過多種方式將資產(chǎn)信息導(dǎo)入風(fēng)險管理平臺中，在管理物理資產(chǎn)的同時形成邏輯資產(chǎn)，如一個數(shù)據(jù)庫運行多個業(yè)務(wù)實例，這樣邏輯上將屬于多個業(yè)務(wù)資產(chǎn)，其風(fēng)險與合規(guī)性將同時影響多個業(yè)務(wù)系統(tǒng)資產(chǎn)組。所有的資產(chǎn)可根據(jù)資產(chǎn)的重要性進行賦值。

（3）控制框架映射

實現(xiàn)安全控制目標(biāo)與具體措施、管理制度及標(biāo)準(zhǔn)的映射，實現(xiàn)管理要求及標(biāo)準(zhǔn)的落地，通過這種方式了解策略的符合度情況。首先，將制度映射至控制框架，再映射至具體保護措施，從而反映制度與保護措施的間隙，或者制度的實際符合度情況；其次，控制框架映射至標(biāo)準(zhǔn)法規(guī)，如ISO27001、SOX、COBIT等，反映現(xiàn)行保護措施與標(biāo)準(zhǔn)的間隙，即標(biāo)準(zhǔn)、法規(guī)的符合度，符合度水平可以用量化級別進行衡量。

3 業(yè)務(wù)平臺云化風(fēng)險量化方法研究

3.1 業(yè)界的研究現(xiàn)狀

目前業(yè)界提到云計算風(fēng)險評估相關(guān)內(nèi)容的標(biāo)準(zhǔn)或草案主要有：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的《云計算安全障礙與緩和措施》和歐洲網(wǎng)絡(luò)信息安全局（ENSIA）發(fā)布的 《云計算—信息安全保障框架》、《云計算—信息安全的好處、風(fēng)險和建議》。

ITU SG17是國際電信聯(lián)盟（ITU）在安全領(lǐng)域的主導(dǎo)研究組，主要致力于電信網(wǎng)安全、身份管理和語言與描述技術(shù)的項目研究和標(biāo)準(zhǔn)制定。2011年ITU TSAG（電信標(biāo)準(zhǔn)化顧問組）將SG17確定為ITU云安全研究的領(lǐng)導(dǎo)小組。在ITU-T SG17 2009-2012研究期第7次全會上，Q8更名為“Cloud Computing Cecurity（云安全）”，牽頭負責(zé)SG17的云安全研究工作。目前Q8正在立項研究云計算的安全威脅和風(fēng)險量化中的相關(guān)問題，還沒有相關(guān)的標(biāo)準(zhǔn)發(fā)布。

3.2 業(yè)務(wù)平臺云化后風(fēng)險量化測評方法

當(dāng)業(yè)務(wù)平臺向云平臺遷移過渡時，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)：彈性、多租戶、新的物理和邏輯架構(gòu)以及抽象的控制需要新的信息安全策略，而在許多的云部署中，甚至?xí)?shù)據(jù)傳輸?shù)酵獠可踔凉姷沫h(huán)境中，這種新方式使網(wǎng)絡(luò)安全管理員在評估整個業(yè)務(wù)平臺的安全風(fēng)險時，不得不充分考慮到這種開放環(huán)境中帶來的各種新的風(fēng)險因素，而風(fēng)險的量化有助于充分控制風(fēng)險，提高整個平臺的安全水平，風(fēng)險量化的方法和工具如下所述。

3.2.1 風(fēng)險量化方法

向云遷移的過程中，云平臺的整體安全風(fēng)險可以看作Hypervisor層與租戶操作系統(tǒng)嵌套產(chǎn)生的風(fēng)險，而云平臺自身的安全風(fēng)險可以作為一個因子，這個因子由于嵌套作用會疊加到每個租戶的風(fēng)險系數(shù)上，因此，每個租戶的風(fēng)險系數(shù)是租戶自身的系統(tǒng)風(fēng)險值與云平臺自身系統(tǒng)風(fēng)險值的疊加。

每個租戶的風(fēng)險系數(shù)應(yīng)該如下計算：

其中，Rsvr表示遷移到云平臺后每個租戶的整體風(fēng)險值，Rvm表示每個租戶自身的系統(tǒng)風(fēng)險值，Rcp表示云平臺自身的系統(tǒng)風(fēng)險值。

那么整個云平臺的風(fēng)險系數(shù)是：

其中，Recp表示整個云平臺在租戶遷移進來之后的整體風(fēng)險值，等于所有租戶的整體風(fēng)險值之和再疊加云平臺自身的系統(tǒng)風(fēng)險值Rcp；那么，如果將云平臺自身的系統(tǒng)風(fēng)險值單獨分離出來，Recp就等于所有租戶自身的系統(tǒng)風(fēng)險值之和再疊加n+1倍的云平臺自身的系統(tǒng)風(fēng)險值。

可見，云平臺的自身風(fēng)險系數(shù)Rcp會疊加每個租戶的安全風(fēng)險系數(shù)，租戶越多，整個云平臺的安全風(fēng)險系數(shù)就會相應(yīng)地增加，使云平臺面臨更大的風(fēng)險。因此，量化確認(rèn)云平臺的安全風(fēng)險系數(shù)，對于提高整個云平臺安全性至關(guān)重要。

3.2.2 風(fēng)險量化測評工具

風(fēng)險量化測評評估主要存在于業(yè)務(wù)平臺生命周期中的“實施”和“運維”階段，該階段的任務(wù)主要是采用各種測評手段對業(yè)務(wù)平臺存在的弱點進行評估，而業(yè)務(wù)平臺的弱點往往具有隱蔽性，有些需要一定的條件和環(huán)境才能顯現(xiàn)，這是在運維階段無法通過數(shù)據(jù)統(tǒng)計發(fā)現(xiàn)的，必須借助于一些測評工具，在等同的實驗環(huán)境中，構(gòu)造各種可能的運行環(huán)境和外在威脅，找出各種不正確、起不到應(yīng)有作用或者沒有實施的安全措施，并根據(jù)其潛在的影響一一賦值。在這個過程中，需要借助兩種測評工具，分別是安全配置核查工具和漏洞風(fēng)險量化測評工具。

（1）安全配置核查工具

安全配置核查工具可針對業(yè)務(wù)系統(tǒng)建立安全檢查點、與操作指南相符的基準(zhǔn)安全標(biāo)準(zhǔn)，并采用自動化方法逐一對云平臺的配置進行核查，找出其中不符合安全配置要求的不正確或沒有實施的項。安全配置核查工具具有以下特點。

·標(biāo)準(zhǔn)化：虛擬化系統(tǒng)的安全檢查項需要標(biāo)準(zhǔn)化，這些檢查項由安全配置、標(biāo)準(zhǔn)進程等有關(guān)檢查內(nèi)容構(gòu)成，基于標(biāo)準(zhǔn)化的技術(shù)安全操作框架。在安全配置核查的框架和標(biāo)準(zhǔn)上，最值得借鑒的是基于SCAP（security content automation protocol）的FDCC（federal desktop core configuration，聯(lián)邦桌面核心配置）計劃項目。

·自動化：在FDCC的基礎(chǔ)上，針對云平臺主機及虛擬化系統(tǒng)的特性，構(gòu)建安全檢查要求，并通過自動化的工具執(zhí)行，為自動化的技術(shù)安全操作提供支持。

規(guī)范與安全配置基準(zhǔn)點讓運維人員有了檢查默認(rèn)風(fēng)險的標(biāo)桿，通過配置核查工具，對云平臺中種類繁雜、數(shù)量眾多的虛擬機系統(tǒng)、虛擬網(wǎng)絡(luò)設(shè)備和軟件，進行快速、有效的檢查，并集中收集核查的結(jié)果以及制作風(fēng)險審核報告，最終識別那些與安全規(guī)范不符合的項目，以達到整改合規(guī)的要求。

（2）漏洞風(fēng)險量化測評工具

漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)。安全漏洞有很多種分類方式，按照漏洞宿主的不同，可以分為三大類：

·由于操作系統(tǒng)本身設(shè)計缺陷帶來的安全漏洞，這類漏洞將被運行在該系統(tǒng)上的應(yīng)用程序所繼承，例如，云平臺自身的漏洞會被所有租戶繼承，識別云平臺的漏洞尤為重要；

·應(yīng)用軟件程序的安全漏洞，云平臺和租戶如果安裝了新的應(yīng)用程序，也會引入該程序的漏洞；

·應(yīng)用服務(wù)協(xié)議的安全漏洞，云平臺和租戶開放了不必要的應(yīng)用服務(wù)協(xié)議會產(chǎn)生漏洞。

近年來，針對虛擬化的應(yīng)用軟件程序和應(yīng)用服務(wù)協(xié)議的安全漏洞發(fā)布得越來越多，同時利用病毒、木馬技術(shù)以虛擬機作為平臺進行網(wǎng)絡(luò)盜竊和詐騙的網(wǎng)絡(luò)犯罪活動數(shù)量呈上升趨勢，在一些國家和地區(qū)產(chǎn)生了大范圍的危害，由此造成的經(jīng)濟損失也越發(fā)巨大。因此，在此趨勢下，做好最新漏洞的定期檢查，及時為云平臺及虛擬機安裝漏洞補丁顯得尤為重要。

漏洞評估測評工具將識別虛擬資產(chǎn)、漏洞和威脅緊密結(jié)合，通過可量化的模型呈現(xiàn)，幫助運維人員對復(fù)雜的云平臺網(wǎng)絡(luò)中存在的風(fēng)險有一個整體、直觀的認(rèn)識。

4 結(jié)束語

安全風(fēng)險是決策者判斷業(yè)務(wù)平臺是否應(yīng)該遷移到云中的重要指標(biāo)之一，是科學(xué)、客觀地判斷云計算安全狀況的基礎(chǔ)，只有切實做好云平臺全生命周期的信息安全風(fēng)險管理，才能確?？梢詾橛脩籼峁┛煽?、可信、高性價比的云計算服務(wù)，企業(yè)才有可能在云計算服務(wù)領(lǐng)域取得成功。本文在總結(jié)、分析業(yè)務(wù)平臺遷移到云中所面臨的技術(shù)層面安全威脅和風(fēng)險管理要求的基礎(chǔ)上，對業(yè)務(wù)平臺云化后的風(fēng)險量化方法進行了系統(tǒng)分析與研究，并分別從風(fēng)險量化的角度提出了量化過程中使用工具的建議。相信隨著政府監(jiān)管部門相關(guān)法律法規(guī)的不斷完善，云計算相關(guān)的安全標(biāo)準(zhǔn)的不斷推出，業(yè)務(wù)平臺的云化過程將會朝著可靠、安全、可信的方向健康發(fā)展。

1 Cloud Security Alliance.Security guidance for critical areas offocus in cloud computing V2.1.http://www.cloudsecurityalliance.org/csaguide.pdf

2 汪來富,沈軍,金華敏.云計算應(yīng)用安全研究.電信科學(xué),2010,26(6):67～70

3 汪來富,沈軍,金華敏.電信級云計算平臺安全策略研究.電信科學(xué),2011(10):19～23