王 瑛，裴 升，李大勇，李海波，劉坤禹，周 波

（1.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.北京北方車輛集團(tuán)有限公司，北京 100072）

0 引言

云計(jì)算（Cloud Computing）是當(dāng)今IT 界的熱門技術(shù)。借助云計(jì)算網(wǎng)絡(luò)服務(wù)，管理者可以在瞬息之間處理數(shù)以千萬(wàn)計(jì)甚至億計(jì)的信息，實(shí)現(xiàn)接近超級(jí)計(jì)算機(jī)甚至更強(qiáng)的效能。此外，用戶可以按需彈性地使用這些資源和服務(wù)，并將計(jì)算能力視為能夠隨時(shí)隨地使用的信息公用設(shè)施。

虛擬化作為實(shí)現(xiàn)云計(jì)算能力的基礎(chǔ)性技術(shù)，有利于資源的整合和透明存取，幫助云計(jì)算大大降低了復(fù)雜度、提升了運(yùn)行效率，從而使云計(jì)算能夠在信息領(lǐng)域得到越來(lái)越廣泛的應(yīng)用。然而，虛擬化在技術(shù)和實(shí)現(xiàn)層面存在脆弱性和安全風(fēng)險(xiǎn)。虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間的越權(quán)訪問(wèn)是虛擬化環(huán)境正常工作的極大隱患。通過(guò)對(duì)虛擬化安全監(jiān)測(cè)及評(píng)估的研究，及時(shí)發(fā)現(xiàn)虛擬環(huán)境在運(yùn)行狀態(tài)和行為表現(xiàn)兩方面的安全問(wèn)題，使管理員能夠?qū)μ摂M環(huán)境的運(yùn)行情況進(jìn)行準(zhǔn)確把握，及時(shí)處置風(fēng)險(xiǎn)，保證虛擬化環(huán)境中信息資產(chǎn)的安全[1-2]。

對(duì)計(jì)算環(huán)境運(yùn)行情況進(jìn)行監(jiān)控是信息安全的基本手段之一。在該領(lǐng)域已經(jīng)有許多成熟的商業(yè)或開(kāi)源解決方案，如Ganglia、Nagios、BackTrackert 和Livewire 等[3]。Ganglia 是傳統(tǒng)集群監(jiān)控軟件的代表，主要用于收集系統(tǒng)級(jí)的信息如CPU 利用率、磁盤空間信息，并且由于其良好的性能和簡(jiǎn)單直觀的特點(diǎn)受到廣泛歡迎。Nagios 是一款網(wǎng)絡(luò)主機(jī)監(jiān)控軟件，能監(jiān)視本地或遠(yuǎn)程主機(jī)以及服務(wù)，同時(shí)提供異常通知。在傳統(tǒng)領(lǐng)域監(jiān)控手段向虛擬化環(huán)境遷移的典型產(chǎn)品方面，有虛擬環(huán)境日志監(jiān)控系統(tǒng)BackTrackert和VMWare 虛擬化環(huán)境監(jiān)控器Livewire。但這些監(jiān)控手段大多仍針對(duì)虛擬化后的原有計(jì)算設(shè)施的監(jiān)控能力，對(duì)虛擬機(jī)管理器、虛擬機(jī)調(diào)度器和虛擬化安全設(shè)備等新要素的關(guān)注不足。值得注意的是，上述要素的監(jiān)控對(duì)于構(gòu)建完善的虛擬化虛擬體系而言是不可或缺的，甚至意義更重大。

論文的第1 節(jié)簡(jiǎn)要介紹了虛擬化環(huán)境監(jiān)測(cè)的關(guān)注點(diǎn)；第2 節(jié)給出了虛擬化環(huán)境的監(jiān)測(cè)系統(tǒng)，以及關(guān)聯(lián)的監(jiān)測(cè)組件結(jié)構(gòu)及功能；第3 節(jié)提出了云計(jì)算虛擬化安全評(píng)估方法，包括評(píng)估過(guò)程和安全風(fēng)險(xiǎn)量化途徑；第4 節(jié)總結(jié)了全文。

1 虛擬化環(huán)境監(jiān)測(cè)關(guān)注點(diǎn)

近年來(lái)，計(jì)算機(jī)硬件技術(shù)遵循摩爾定律迅猛發(fā)展，但現(xiàn)有操作系統(tǒng)無(wú)法充分利用多核硬件平臺(tái)的并行性潛能，造成了嚴(yán)重的資源和能源浪費(fèi)。在這種背景下，能夠提高硬件資源利用率的虛擬化技術(shù)應(yīng)運(yùn)而生。從高性能計(jì)算中心到個(gè)人電腦，虛擬化技術(shù)通過(guò)將物理平臺(tái)虛擬成多個(gè)計(jì)算平臺(tái)，能夠極大提高硬件資源的使用效率，降低擁有者的運(yùn)維成本。

但是虛擬化技術(shù)在解決已有信息安全問(wèn)題的同時(shí)又帶來(lái)了新的安全問(wèn)題。虛擬化技術(shù)現(xiàn)在仍在發(fā)展，并且功能越來(lái)越強(qiáng)大，但是其安全漏洞也隨之增加。

1.1 虛擬化環(huán)境面臨的安全威脅

針對(duì)虛擬機(jī)操作系統(tǒng)內(nèi)核級(jí)的攻擊可以突破系統(tǒng)邊界，造成比在非虛擬化環(huán)境中更大的危害。虛擬化的邊界模糊、流動(dòng)性和內(nèi)存共享等特性，使其面臨較多新的安全威脅。這些威脅給安全防護(hù)的實(shí)現(xiàn)帶來(lái)了極大的沖擊。目前，主要面臨以下3 個(gè)層面的安全威脅。

1.1.1 基礎(chǔ)設(shè)施層面的安全威脅

虛擬化環(huán)境面臨多種類型的安全威脅，如網(wǎng)絡(luò)攻擊、滲透和信息竊取等傳統(tǒng)網(wǎng)絡(luò)安全威脅，以及新引入的越權(quán)訪問(wèn)、反向控制和內(nèi)存泄露等安全威脅。由于虛擬化擁有的特性，拒絕服務(wù)攻擊是惡意用戶針對(duì)虛擬化在網(wǎng)絡(luò)安全方面的主要攻擊類型。

1.1.2 應(yīng)用與桌面層面的安全威脅

服務(wù)的網(wǎng)絡(luò)化趨勢(shì)也推動(dòng)了虛擬化環(huán)境的變化。與傳統(tǒng)的基于操作系統(tǒng)、數(shù)據(jù)庫(kù)的瀏覽器/服務(wù)器系統(tǒng)（Brower/Server，B/S）或客戶機(jī)/服務(wù)器系統(tǒng)（Client/Server，C/S）相比，虛擬化服務(wù)調(diào)用方式具有統(tǒng)一接口、多租戶、動(dòng)態(tài)和復(fù)雜業(yè)務(wù)實(shí)現(xiàn)等特點(diǎn)，因此在服務(wù)安全、身份認(rèn)證和訪問(wèn)控制等方面也具有相應(yīng)的安全需求。

1.1.3 數(shù)據(jù)層面的安全威脅

虛擬化環(huán)境中數(shù)據(jù)威脅主要表現(xiàn)為內(nèi)部的數(shù)據(jù)泄漏和濫用。由于數(shù)據(jù)和業(yè)務(wù)應(yīng)用由云服務(wù)提供商控制和維護(hù)，在這種模式下如何實(shí)現(xiàn)虛擬化環(huán)境內(nèi)部的安全管理、職責(zé)分離和審計(jì)追蹤，如何避免多客戶共存帶來(lái)的潛在數(shù)據(jù)風(fēng)險(xiǎn)，如何確保數(shù)據(jù)的私有性及傳輸數(shù)據(jù)的抗監(jiān)聽(tīng)風(fēng)險(xiǎn)等都是需要重點(diǎn)考慮和關(guān)注的安全問(wèn)題。

1.2 虛擬化環(huán)境監(jiān)測(cè)目標(biāo)

虛擬化監(jiān)測(cè)借鑒了網(wǎng)絡(luò)、主機(jī)監(jiān)控審計(jì)和入侵檢測(cè)等傳統(tǒng)安全手段的優(yōu)點(diǎn)，同時(shí)又側(cè)重考慮了虛擬化風(fēng)險(xiǎn)的特點(diǎn)。虛擬化監(jiān)測(cè)通常關(guān)注服務(wù)器虛擬化、存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化等模式的運(yùn)行狀態(tài)和安全脆弱性，監(jiān)測(cè)目標(biāo)包括以下幾點(diǎn)。

（1）隔離機(jī)制。虛擬化的一般運(yùn)行模式包括：多個(gè)組織共享一個(gè)虛擬機(jī)；在一臺(tái)計(jì)算機(jī)上，多種密級(jí)要求的業(yè)務(wù)并存；在物理機(jī)上的服務(wù)合并；一個(gè)硬件平臺(tái)承載多個(gè)操作系統(tǒng)等。由于在這幾種運(yùn)行模式中均存在著隔離的要求，這就要求管理者正確嚴(yán)格劃分虛擬區(qū)間，并隨時(shí)監(jiān)控虛擬機(jī)狀態(tài)。如果處理不當(dāng)，就會(huì)產(chǎn)生因數(shù)據(jù)泄露或跳板攻擊導(dǎo)致系統(tǒng)全面癱瘓的嚴(yán)重后果。

（2）遷移過(guò)程。在虛擬環(huán)境中，一臺(tái)服務(wù)器可能跨越不同的物理設(shè)備。比如，進(jìn)行數(shù)據(jù)災(zāi)備或是性能擴(kuò)充時(shí)，在不同物理設(shè)備之間遷移。遷移過(guò)程的安全管理更加復(fù)雜，因?yàn)殡S著網(wǎng)絡(luò)地址、端口等特性的變化，安全設(shè)置很容易出現(xiàn)問(wèn)題。

（3）虛擬機(jī)管理器行為。宿主機(jī)對(duì)運(yùn)行在其上的虛擬機(jī)應(yīng)當(dāng)具有完全的控制權(quán)，且對(duì)虛擬機(jī)的監(jiān)測(cè)、改變、通信都在宿主機(jī)上完成。由于宿主機(jī)能夠監(jiān)控所有虛擬機(jī)的網(wǎng)絡(luò)數(shù)據(jù)，因此對(duì)于宿主機(jī)的安全要進(jìn)行嚴(yán)格管理。

（4）虛擬機(jī)行為。虛擬機(jī)的設(shè)計(jì)目的是分享主機(jī)的資源并提供隔離，但由于技術(shù)的限制和虛擬化軟件的漏洞，在某些情況下虛擬機(jī)里運(yùn)行的程序會(huì)繞過(guò)底層，從而取得宿主機(jī)的控制權(quán)。由于宿主機(jī)的特權(quán)地位，如果宿主機(jī)被控制則整個(gè)安全模型會(huì)全面崩潰。

（5）虛擬化性能。由于虛擬機(jī)和宿主機(jī)共享資源，虛擬機(jī)會(huì)強(qiáng)制占用一些資源，使得其他虛擬機(jī)拒絕服務(wù)。通常的做法是限制單一虛擬機(jī)的可用資源，防止虛擬機(jī)無(wú)節(jié)制地濫用導(dǎo)致的拒絕服務(wù)攻擊。

（6）虛擬化網(wǎng)絡(luò)安全。由于虛擬化網(wǎng)絡(luò)環(huán)境的特點(diǎn)，虛擬機(jī)之間的網(wǎng)絡(luò)流量有可能不會(huì)通過(guò)物理網(wǎng)絡(luò)設(shè)備而直接以其他方式交換，從而逃避傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的監(jiān)管，造成安全盲點(diǎn)。

2 虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)

為能夠覆蓋云計(jì)算中虛擬化環(huán)境的監(jiān)測(cè)關(guān)注點(diǎn)，盡早發(fā)現(xiàn)攻擊行為并及時(shí)阻斷，需要圍繞云基礎(chǔ)設(shè)施的關(guān)鍵要素構(gòu)建虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)。虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)能夠感知虛擬機(jī)資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢(shì)，精確區(qū)分出惡意攻擊，保護(hù)計(jì)算域工作；加強(qiáng)虛擬域之間信息流控制，并對(duì)虛擬機(jī)行為進(jìn)行審計(jì)；呈現(xiàn)系統(tǒng)資源及服務(wù)運(yùn)行情況，使管理者和用戶更直觀地了解系統(tǒng)的可用性和安全性等。其監(jiān)控內(nèi)容包括：

（1）虛擬機(jī)運(yùn)行時(shí)，CPU、內(nèi)存、外設(shè)狀態(tài)；

（2）虛擬機(jī)的創(chuàng)建、銷毀以及伸縮、遷移；

（3）虛擬機(jī)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)服務(wù)狀態(tài)以及虛擬資源池狀態(tài)；

（4）虛擬環(huán)境安全重構(gòu)過(guò)程、虛擬機(jī)鏡像管理。

虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)采集的數(shù)據(jù)來(lái)自Hypervisor、虛擬機(jī)及虛擬應(yīng)用軟件等，具有分布性、冗余性、多樣性、不準(zhǔn)確性和不完整性等特點(diǎn)。虛擬計(jì)算環(huán)境中基礎(chǔ)硬件、網(wǎng)絡(luò)設(shè)備及邊界安全設(shè)備的數(shù)據(jù)采集與傳統(tǒng)方法一致，但其分布式、層次化的特點(diǎn)使數(shù)據(jù)采集過(guò)程更加復(fù)雜。由于對(duì)虛擬機(jī)的狀態(tài)探測(cè)必須深入至虛擬機(jī)內(nèi)部或Hypervisor 層次中以內(nèi)省方式運(yùn)行，此時(shí)探針的位置和采集策略發(fā)生了變化，需要檢測(cè)的事件種類增加，如虛擬機(jī)休眠、備份、遷移中產(chǎn)生的安全事件，或是虛擬網(wǎng)絡(luò)設(shè)備中匹配到的風(fēng)險(xiǎn)流量等。

虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)通過(guò)策略驅(qū)動(dòng)，其組件包括運(yùn)行于虛擬機(jī)和虛擬設(shè)備中的帶內(nèi)監(jiān)視器、嵌入Hypervisor 中的帶外監(jiān)視模塊、監(jiān)控服務(wù)器、可視化用戶接口和數(shù)據(jù)庫(kù)。其結(jié)構(gòu)如圖1 所示。

圖1 虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)

虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)中的各個(gè)部分的功能如下文所述。

（1）帶內(nèi)監(jiān)視器與虛擬機(jī)Guest 操作系統(tǒng)位于同一特權(quán)級(jí)，用于監(jiān)視虛擬機(jī)操作系統(tǒng)的執(zhí)行中的狀態(tài)變化和行為事件，并根據(jù)監(jiān)控服務(wù)器下發(fā)的監(jiān)控規(guī)則和策略對(duì)虛擬機(jī)操作系統(tǒng)的行為進(jìn)行檢查和審計(jì)，如識(shí)別虛擬機(jī)跨域訪問(wèn)和檢測(cè)虛擬機(jī)資源過(guò)度使用。

（2）嵌入Hypervisor 中的監(jiān)視模塊以帶外方式運(yùn)行，利用其位于虛擬機(jī)管理器層面的優(yōu)勢(shì)，通過(guò)硬件的行為監(jiān)控來(lái)監(jiān)視虛擬機(jī)操作系統(tǒng)的狀態(tài)變化和事件行為，從而為帶內(nèi)監(jiān)視器提供較強(qiáng)的保護(hù)能力。此外，監(jiān)視模塊可以感知帶內(nèi)監(jiān)視器的狀態(tài)變化，保證帶內(nèi)監(jiān)控工具不受攻擊，保持其可信性。

（3）監(jiān)控服務(wù)器位于虛擬化基礎(chǔ)設(shè)施外部，其核心功能與應(yīng)用程序進(jìn)行隔離的特點(diǎn)可以有效保證其不受攻擊。其主要作用是維護(hù)系統(tǒng)資源模型、制訂并下達(dá)安全策略、聚合安全數(shù)據(jù)、分析并處置安全事件以及向用戶呈現(xiàn)虛擬化環(huán)境的安全信息。監(jiān)控服務(wù)器根據(jù)監(jiān)控安全事件信息所反映的虛擬化環(huán)境實(shí)時(shí)安全狀態(tài)，并基于預(yù)先制訂的安全目標(biāo)和告警規(guī)則與虛擬化環(huán)境的控制器通信，實(shí)現(xiàn)安全監(jiān)測(cè)與防護(hù)的聯(lián)動(dòng)。

（4）可視化用戶接口以多種視圖呈現(xiàn)的方式方便管理員和用戶快速地查看、下載監(jiān)控信息，同時(shí)針對(duì)不同的用戶角色提供不同的信息可見(jiàn)度。管理員用戶可以查看全部監(jiān)控信息并且具有調(diào)整安全監(jiān)控策略的權(quán)限，而普通用戶只能獲得自己使用的資源（虛擬機(jī)）或服務(wù)的信息。在接口的可視化呈現(xiàn)方面通過(guò)物理機(jī)－虛擬機(jī)視圖、用戶－虛擬機(jī)視圖和應(yīng)用－虛擬機(jī)視圖將物理資源、虛擬資源和應(yīng)用這3 個(gè)層次聯(lián)系起來(lái)。

（5）數(shù)據(jù)庫(kù)實(shí)現(xiàn)監(jiān)控信息和系統(tǒng)運(yùn)行日志的存儲(chǔ)能力。根據(jù)安全目標(biāo)和安全策略的需要，數(shù)據(jù)庫(kù)中的數(shù)據(jù)將保存幾個(gè)月或更長(zhǎng)的時(shí)間。

為了使監(jiān)測(cè)得到的數(shù)據(jù)便于安全評(píng)估過(guò)程處理，在信息采集后必須首先進(jìn)行標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化的目的是為了避免來(lái)自多源的信息由于異構(gòu)性而引起的混亂，為安全評(píng)估構(gòu)建提供統(tǒng)一定義的源數(shù)據(jù)集。標(biāo)準(zhǔn)化的首要步驟是消除重復(fù)報(bào)警并聚合取值相近的數(shù)據(jù)，這樣可以大大節(jié)省需要傳遞的數(shù)據(jù)占用的帶寬；其次通過(guò)二值化、歸一化處理將不同類型的參數(shù)值映射至同一類型空間中，避免數(shù)據(jù)的多樣性增加分析處理的復(fù)雜度。標(biāo)準(zhǔn)化的具體實(shí)現(xiàn)方法包括Min-max 標(biāo)準(zhǔn)化、Z-score 標(biāo)準(zhǔn)化、Decimal scaling 和枚舉方法等[4]。

3 虛擬化環(huán)境安全評(píng)估

3.1 安全評(píng)估方法

虛擬化安全防護(hù)不是靜態(tài)的、孤立的、一成不變的過(guò)程。安全手段的實(shí)時(shí)運(yùn)行狀態(tài)信息需要通過(guò)監(jiān)測(cè)手段得到及時(shí)匯總并進(jìn)行關(guān)聯(lián)分析，從而發(fā)現(xiàn)單方面難以辨別出的、潛在的安全問(wèn)題和安全威脅，從而在安全事件發(fā)生時(shí)及時(shí)調(diào)用響應(yīng)措施加以應(yīng)對(duì)，由此確保虛擬化環(huán)境運(yùn)行在高安全等級(jí)之上。虛擬化環(huán)境安全評(píng)估方法主要由安全目標(biāo)識(shí)別、虛擬化安全監(jiān)測(cè)、安全威脅過(guò)程建模、安全風(fēng)險(xiǎn)量化、安全策略回歸等過(guò)程組成。該評(píng)估方法具有重點(diǎn)突出、特征匹配、閉環(huán)完善的特點(diǎn)。評(píng)估方法流程如圖2 所示。

圖2 虛擬化環(huán)境安全評(píng)估方法流程

圖2 從虛擬化環(huán)境的安全目標(biāo)識(shí)別開(kāi)始，到安全策略回歸，完成對(duì)整個(gè)虛擬化環(huán)境安全的評(píng)估。具體的評(píng)估過(guò)程描述如下。

（1）安全目標(biāo)識(shí)別：對(duì)目標(biāo)虛擬化環(huán)境的關(guān)鍵信息資產(chǎn)和安全需求進(jìn)行分析，確認(rèn)需要保護(hù)的安全目標(biāo)，包括通常意義上價(jià)值較大的目標(biāo)，如數(shù)據(jù)庫(kù)服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)和管理程序等。

（2）虛擬化安全監(jiān)測(cè)：依賴在虛擬化環(huán)境中部署的帶內(nèi)、帶外檢測(cè)模塊，感知虛擬機(jī)資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢(shì)，對(duì)虛擬化環(huán)境的資產(chǎn)主體、防御主體、威脅主體和脆弱性進(jìn)行參數(shù)抽取。

（3）安全威脅過(guò)程建模：根據(jù)虛擬化環(huán)境脆弱性特征和安全監(jiān)測(cè)的結(jié)果進(jìn)行建模，識(shí)別虛擬化環(huán)境所有可能存在的風(fēng)險(xiǎn)路徑，并輸出風(fēng)險(xiǎn)過(guò)程模型，用于明確系統(tǒng)中存在安全風(fēng)險(xiǎn)的類型。

（4）安全風(fēng)險(xiǎn)量化：根據(jù)風(fēng)險(xiǎn)過(guò)程模型計(jì)算安全目標(biāo)所面臨的最大風(fēng)險(xiǎn)概率、潛在的風(fēng)險(xiǎn)路徑和系統(tǒng)的安全風(fēng)險(xiǎn)指數(shù)，用以衡量虛擬化環(huán)境下各類安全威脅的相對(duì)大小，以指導(dǎo)安全防護(hù)手段的實(shí)施。

（5）安全策略回歸：在改進(jìn)環(huán)節(jié)完成后，針對(duì)可能存在的殘留風(fēng)險(xiǎn)調(diào)整安全策略，并通過(guò)安全監(jiān)測(cè)定期監(jiān)測(cè)風(fēng)險(xiǎn)的變化情況，觸發(fā)新一輪的安全評(píng)估周期。

3.2 安全風(fēng)險(xiǎn)量化

安全風(fēng)險(xiǎn)量化是虛擬化環(huán)境安全評(píng)估的核心過(guò)程。它根據(jù)監(jiān)測(cè)取得的安全事件和狀態(tài)數(shù)據(jù)，針對(duì)安全防護(hù)目標(biāo)，計(jì)算其面臨的各類風(fēng)險(xiǎn)概率和指標(biāo)，其結(jié)論可以直接應(yīng)用于安全措施的完善和改進(jìn)。指標(biāo)是虛擬化環(huán)境中某一安全參數(shù)匯總、計(jì)算的結(jié)果，代表了標(biāo)準(zhǔn)化后虛擬化環(huán)境某項(xiàng)安全特征的狀態(tài)。由于指標(biāo)之間可能存在依賴關(guān)系，因此狀態(tài)取值可能常發(fā)生變化。

安全風(fēng)險(xiǎn)量化的方式是逐步計(jì)算虛擬化安全指標(biāo)體系。指標(biāo)體系由完成評(píng)估目標(biāo)的一系列指標(biāo)以層次化的方式構(gòu)成，指標(biāo)間通過(guò)要素的關(guān)聯(lián)程度定義不同的權(quán)值，較為上層的指標(biāo)由所有相關(guān)的下層指標(biāo)經(jīng)過(guò)權(quán)值計(jì)算得到?？茖W(xué)的指標(biāo)體系能夠較完整地反映當(dāng)前虛擬化環(huán)境中存在的安全風(fēng)險(xiǎn)，對(duì)于提升虛擬化環(huán)境的應(yīng)急響應(yīng)能力、緩解攻擊的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等都具有十分重要的意義[5]。安全評(píng)估指標(biāo)體系如圖3 所示。

圖3 虛擬化環(huán)境安全評(píng)估指標(biāo)體系

具體地，指標(biāo)由數(shù)據(jù)源產(chǎn)生的原始數(shù)據(jù)經(jīng)一定的變換得到，指標(biāo)根據(jù)其構(gòu)成綜合安全指數(shù)的占比和粒度可以分為一級(jí)、二級(jí)、三級(jí)和葉指標(biāo)等幾類。葉指標(biāo)作為獨(dú)立性較強(qiáng)、層次最低的指標(biāo)，是構(gòu)成其余大部分指標(biāo)的基本要素。三級(jí)和二級(jí)指標(biāo)是經(jīng)過(guò)一定程度匯總后的指標(biāo)，可以反映較為上層的安全參數(shù)特征。一級(jí)指標(biāo)是粒度最粗、最宏觀的態(tài)勢(shì)指標(biāo)，直接體現(xiàn)虛擬化環(huán)境的綜合安全情況。

監(jiān)控服務(wù)器先匯總?cè)~指標(biāo)使用到的所有原始數(shù)據(jù)，經(jīng)安全資產(chǎn)分布、聚集程度判定、增長(zhǎng)度評(píng)估及權(quán)重計(jì)算等形成初級(jí)指標(biāo)量化數(shù)值；然后依據(jù)指標(biāo)體系的定義逐步求精，對(duì)虛擬化環(huán)境的流量、服務(wù)狀態(tài)、資源消耗、漏洞狀態(tài)、防護(hù)措施、安全遷移和隔離等指數(shù)給出初步計(jì)算結(jié)果；進(jìn)而匯集成虛擬化網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器安全和脆弱性4 類較宏觀的指標(biāo)；最終得到的虛擬化環(huán)境綜合安全指數(shù)，可用于反映虛擬化環(huán)境的整體安全情況，即內(nèi)部、外部威脅對(duì)虛擬化環(huán)境中應(yīng)用服務(wù)和數(shù)據(jù)的機(jī)密性、完整性和服務(wù)的可用性造成威脅的嚴(yán)重程度。

表1 展示了在虛擬化環(huán)境中安全事件發(fā)生的可能性及其對(duì)業(yè)務(wù)的影響兩個(gè)參數(shù)共同作用下的風(fēng)險(xiǎn)級(jí)別。

風(fēng)險(xiǎn)值用0～8 的數(shù)字來(lái)表示。其中：低風(fēng)險(xiǎn)為0～2；中風(fēng)險(xiǎn)為3～5；高風(fēng)險(xiǎn)為6～8。管理員通過(guò)對(duì)風(fēng)險(xiǎn)值的理解和觀察，能夠迅速掌握虛擬化環(huán)境安全級(jí)別和脆弱性的分布，使安全控制的目標(biāo)更有針對(duì)性。在安全事件發(fā)生之前針對(duì)不同安全級(jí)制定相應(yīng)的策略預(yù)案，在威脅到來(lái)時(shí)從容應(yīng)對(duì)，實(shí)現(xiàn)重點(diǎn)防護(hù)重要資產(chǎn)，確保業(yè)務(wù)連續(xù)性，使得系統(tǒng)整體的應(yīng)急響應(yīng)過(guò)程更加有效。

4 結(jié)語(yǔ)

本文通過(guò)歸納現(xiàn)有虛擬化環(huán)境監(jiān)測(cè)分析方法，以及通過(guò)聚焦虛擬化安全檢測(cè)目標(biāo)，設(shè)計(jì)了一種新的云計(jì)算虛擬化環(huán)境安全監(jiān)測(cè)系統(tǒng)。通過(guò)策略驅(qū)動(dòng)，將監(jiān)測(cè)組件模塊嵌入Hypervisor 層次，并給出了系統(tǒng)的關(guān)鍵結(jié)構(gòu)組件以及功能要求。此外，提出了通過(guò)目標(biāo)識(shí)別、安全監(jiān)測(cè)、過(guò)程建模、風(fēng)險(xiǎn)量化和策略回歸等流程進(jìn)行安全監(jiān)測(cè)數(shù)據(jù)分析的虛擬化環(huán)境安全評(píng)估方法，并細(xì)致闡述了安全量化的指標(biāo)體系。本文所提方法通過(guò)集成安全監(jiān)測(cè)系統(tǒng)和安全監(jiān)測(cè)方法，可發(fā)現(xiàn)傳統(tǒng)方法難以辨別的潛在安全威脅，為今后實(shí)現(xiàn)虛擬化環(huán)境安全管理和響應(yīng)水平提升打下堅(jiān)實(shí)的基礎(chǔ)。