邱成相

私有云（Private Clouds）是在云計(jì)算平臺上發(fā)展起來的。在未來信息技術(shù)發(fā)展與各類應(yīng)用中，這種以虛擬化為主的構(gòu)架會逐漸占據(jù)主導(dǎo)地位。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，私有云平臺上的應(yīng)用逐漸增多，對于平臺安全也有了更高的要求。本文從私有云平臺安全的角度，分別對私有云安全概念、建設(shè)意義及安全設(shè)置等方面進(jìn)行探討。

【關(guān)鍵詞】私有云 安全 研究

1 前言

云平臺是一個(gè)非常大的技術(shù)轉(zhuǎn)型市場，如微軟的office就已經(jīng)完成了到office365云化轉(zhuǎn)型。私有云也稱內(nèi)部云，核心屬性是專有資源，部署在企業(yè)內(nèi)部數(shù)據(jù)中心的防火墻內(nèi)或某個(gè)安全的主機(jī)托管場所，通過網(wǎng)絡(luò)對合法用戶提供數(shù)據(jù)管理、資源共享及各類應(yīng)用服務(wù)。私有云平臺能夠有效應(yīng)對以APT（Advanced Persistent Threat，高級持續(xù)性威脅）攻擊為代表的下一代安全威脅，通過監(jiān)測大量客戶端在網(wǎng)絡(luò)中各種異常行為，分析傳輸?shù)臄?shù)據(jù)中各類病毒、惡意代碼以及運(yùn)行的程序是否安全流暢等，提供對用戶身份、共享業(yè)務(wù)及用戶數(shù)據(jù)等方面的安全保障。近年來，國內(nèi)外安全廠商分別提出各自云安全技術(shù)理念，并推出相應(yīng)的云安全產(chǎn)品，它們主要通過特征碼檢測的方式，只是采用不同的計(jì)算方式和提取技術(shù)，理念及產(chǎn)品本質(zhì)上沒有太多的差別。

2 私有云安全平臺建設(shè)的意義

隨著社會與經(jīng)濟(jì)的快速發(fā)展，政府、企業(yè)、教育及各類組織結(jié)構(gòu)信息化應(yīng)用能力的提升，各行業(yè)對信息化產(chǎn)品及服務(wù)的需求也越來越高?？茖W(xué)技術(shù)的進(jìn)步，為各行業(yè)信息化水平的提高提供有效的技術(shù)支撐。根據(jù)自身固有特點(diǎn)，各行業(yè)的絕大部分業(yè)務(wù)系統(tǒng)基本部署在特定的封閉環(huán)境中。封閉環(huán)境能提供較高的安全防御能力，但對跨部門、跨業(yè)務(wù)系統(tǒng)的數(shù)據(jù)共享及服務(wù)帶來較多限制。建設(shè)私有云平臺，可有效整合各類資源，打通信息孤島，提升效率和質(zhì)量。相對的，對于平臺環(huán)境安全性提出新要求。

中國政府將信息安全問題上升至國家戰(zhàn)略層面，各行業(yè)特別是各級政府機(jī)關(guān)、特殊領(lǐng)域的國有企業(yè)等對知識產(chǎn)權(quán)、涉密信息的安全管控有迫切需求。傳統(tǒng)的信息威脅防御技術(shù)主要基于已有經(jīng)驗(yàn)知識的建模和模式匹配，通過捕獲的威脅信息與原有攻擊模式比較來識別攻擊行為，再利用識別的結(jié)果采取應(yīng)對措施。隨著網(wǎng)絡(luò)惡意攻擊方式朝著復(fù)雜、隱蔽和重復(fù)可利用方向發(fā)展，攻擊模式的識別和提取越來越困難。私有云安全平臺打破傳統(tǒng)防控模式的局限性，構(gòu)建集病毒防護(hù)、環(huán)境安全檢測、異常修復(fù)及問題評估為一體、自主可控、安全可信的智能信息終端安全運(yùn)維體系，綜合利用云安全設(shè)備與軟件結(jié)合的私有云安全平臺來構(gòu)建一個(gè)安全、健康的信息網(wǎng)絡(luò)環(huán)境。

3 私有云安全的概念及特點(diǎn)

3.1 私有云安全平臺

由云安全設(shè)備和云安全軟件組成私有云安全平臺，它擁有一套完整的“發(fā)現(xiàn)、評估、處置、審計(jì)”威脅應(yīng)對流程，并對用戶提供平臺應(yīng)用流程定制和按需參與?！鞍l(fā)現(xiàn)”潛在安全威脅通過云安全軟件的監(jiān)控能力來實(shí)現(xiàn)，“評估”機(jī)制依靠定制用戶可參與的多級分析鑒定系統(tǒng)，“處置”方案基于用戶完全可控的安全策略，“審計(jì)”功能保證上述的所有操作都可以事后追查。

3.2 私有云安全平臺特點(diǎn)

（1）私有云安全平臺的防御系統(tǒng)通過構(gòu)建基于用戶自定義的安全生態(tài)防御體系，從傳統(tǒng)依靠黑名單的威脅防御模式提升至利用可分級、自定義的安全基線為基礎(chǔ)的精確安全防御模式。

（2）私有云安全平臺通過改進(jìn)傳統(tǒng)云安全軟件的監(jiān)控模式，能夠?qū)崟r(shí)監(jiān)測網(wǎng)絡(luò)中新出現(xiàn)的程序、數(shù)據(jù)及各類異常。

（3）采用靜態(tài)和動態(tài)結(jié)合的多級多維文件分析鑒定系統(tǒng)，通過它來判別各類文件是否安全可信。

（4）通過各種云安全設(shè)備，實(shí)時(shí)反饋私有云安全平臺上各類威脅風(fēng)險(xiǎn)，同時(shí)作出風(fēng)險(xiǎn)評估。根據(jù)風(fēng)險(xiǎn)評估結(jié)果，根據(jù)多級防御、威脅處置策略得出的防控方案提供給用戶。

4 私有云安全平臺的安全設(shè)置研究

4.1 新型惡意代碼查殺方案

根據(jù)私有云安全平臺自身靈活、可定制性，私有云安全平臺上的安全設(shè)置方案具備多元化的特點(diǎn)。傳統(tǒng)方式下通過掃描用戶數(shù)據(jù)，和特征代碼庫對比來識別惡意代碼，進(jìn)而采取相應(yīng)措施。新型惡意代碼防御方式通過程序行為及可信任檢測引擎捕獲所運(yùn)行程序行為，通過正向和反向程序行為算法來辨別所捕獲程序是否包含惡意代碼。如判定為惡意代碼，查殺引擎立即進(jìn)行清理；如果無法判定，先將該程序進(jìn)行隔離，通過云端代碼行為自動分析系統(tǒng)進(jìn)行處理，將新的惡意代碼行為寫入程序行為算法庫，同時(shí)將結(jié)果反饋到客戶端。該方式下，可有效提升新型惡意代碼防御能力。

4.2 封閉環(huán)境鎖定方案

大型企業(yè)或者政府行政部門的涉密信息通過信息網(wǎng)絡(luò)傳輸，對網(wǎng)絡(luò)環(huán)境的安全保密性提出更高要求。因此，私有云平臺須有與外部網(wǎng)絡(luò)相隔離功能。封閉環(huán)境下，通過分級、用戶自定義的安全基線的方式來判別威脅源。安全防御系統(tǒng)判定在安全基線內(nèi)傳輸?shù)臄?shù)據(jù)及程序是安全可信的，允許通過網(wǎng)絡(luò)傳輸或運(yùn)行；如果用戶數(shù)據(jù)及程序在安全基線外，安全防御系統(tǒng)將其實(shí)時(shí)鎖定，不允許用戶直接訪問。發(fā)現(xiàn)未知程序在云平臺運(yùn)行，防御系統(tǒng)判斷分析該程序是否通過外部網(wǎng)絡(luò)惡意入侵或內(nèi)部違規(guī)操作，提醒用戶并給出處理建議，用戶在終端根據(jù)具體情況采取針對性措施。

4.3 APT攻擊防御方案

網(wǎng)絡(luò)環(huán)境中隨時(shí)存在各種未知威脅，最常見的包括APT攻擊。APT攻擊通過非法手段獲取系統(tǒng)控制權(quán)限，對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊。在私有云網(wǎng)絡(luò)安全平臺采取多級防御性設(shè)置，根據(jù)安全級別的不同，不同的終端采取不一樣的防御措施，常見的防御技術(shù)包括沙箱技術(shù)和可信身份認(rèn)證技術(shù)。

沙箱技術(shù)通過構(gòu)造一個(gè)與本地系統(tǒng)共存但相互間完全隔離的獨(dú)立封閉式環(huán)境，其中裝入進(jìn)程、內(nèi)存、注冊表、應(yīng)用程序等各類信息，按照安全策略控制程序行為。按采用技術(shù)方式分，可分為基于規(guī)則和基于虛擬化技術(shù)。用戶數(shù)據(jù)和程序在沙箱中運(yùn)行，通過重定向技術(shù)定位到特定位置，通過APT攻擊入侵的各類可疑文件或程序無法對系統(tǒng)關(guān)鍵數(shù)據(jù)和文件造成影響。

APT攻擊的一種方式是利用帶身份欺騙的手段獲取控制權(quán)，可信身份認(rèn)證技術(shù)可保證當(dāng)前操作者的數(shù)字身份真實(shí)合法性?？尚派矸菡J(rèn)證技術(shù)包括口令認(rèn)證、密碼技術(shù)、生物識別等技術(shù)，其中基于口令認(rèn)證方式是最簡單、最直觀方式，相應(yīng)的安全性較差。密碼認(rèn)證通過密鑰持有者利用密鑰向驗(yàn)證方證明自己身份真實(shí)性，主要有基于對稱加密技術(shù)的Kerberos認(rèn)證體系和基于公鑰加密技術(shù)的PKI/CA系統(tǒng)。生物識別技術(shù)通過人體唯一、可靠的生物特征和穩(wěn)定的行為特征為依據(jù)，利用計(jì)算機(jī)數(shù)據(jù)挖掘和行為模式識別技術(shù)來實(shí)現(xiàn)身份認(rèn)證，目前主要有指紋識別、虹膜識別、面部識別、聲音識別等。和口令認(rèn)證方式相比較，密碼技術(shù)和生物識別技術(shù)能提供更高的安全性。實(shí)際使用中，通過多重認(rèn)證技術(shù)來提高私有云平臺的安全防御能力。

5 結(jié)束語

虛擬化、大數(shù)據(jù)和云計(jì)算已經(jīng)成為未來信息技術(shù)發(fā)展趨勢。私有云安全平臺的特點(diǎn)符合我國當(dāng)前網(wǎng)絡(luò)信息安全的需求，和傳統(tǒng)云安全系統(tǒng)相比在防御各類威脅的能力上有很大提高。從安全管控的角度，我國在理論及技術(shù)研究、產(chǎn)品研發(fā)水平的提升上有進(jìn)一步拓展的空間。

參考文獻(xiàn)

[1]歐陽中輝，張曉瑜，涂帥，顧佼佼.“云安全”在計(jì)算機(jī)防病毒應(yīng)用中的問題研究[J].計(jì)算機(jī)與現(xiàn)代化，2016（12）：72-75.

[2]王朝陽，李云.基于“云安全”的指揮信息系統(tǒng)網(wǎng)絡(luò)防病毒模型[J].指揮控制與仿真，2015（06）：24-26.

[3]姚小兵，高媛.淺談網(wǎng)絡(luò)時(shí)代的云安全技術(shù)[J].硅谷，2015（05）：72.

[4]李菊.基于私有云安全平臺的網(wǎng)絡(luò)安全部署研究與實(shí)施[J].信息網(wǎng)絡(luò)安全，2013（08）：48-51.

[5]陳榮.私有云安全平臺的網(wǎng)絡(luò)安全設(shè)置[J].信息化建設(shè)，2015（11）：113.

作者單位

云南普洱學(xué)院 云南省普洱市 665000