邱成相

私有云（Private Clouds）是在云計算平臺上發(fā)展起來的。在未來信息技術(shù)發(fā)展與各類應(yīng)用中，這種以虛擬化為主的構(gòu)架會逐漸占據(jù)主導(dǎo)地位。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，私有云平臺上的應(yīng)用逐漸增多，對于平臺安全也有了更高的要求。本文從私有云平臺安全的角度，分別對私有云安全概念、建設(shè)意義及安全設(shè)置等方面進(jìn)行探討。

【關(guān)鍵詞】私有云 安全 研究

1 前言

云平臺是一個非常大的技術(shù)轉(zhuǎn)型市場，如微軟的office就已經(jīng)完成了到office365云化轉(zhuǎn)型。私有云也稱內(nèi)部云，核心屬性是專有資源，部署在企業(yè)內(nèi)部數(shù)據(jù)中心的防火墻內(nèi)或某個安全的主機(jī)托管場所，通過網(wǎng)絡(luò)對合法用戶提供數(shù)據(jù)管理、資源共享及各類應(yīng)用服務(wù)。私有云平臺能夠有效應(yīng)對以APT（Advanced Persistent Threat，高級持續(xù)性威脅）攻擊為代表的下一代安全威脅，通過監(jiān)測大量客戶端在網(wǎng)絡(luò)中各種異常行為，分析傳輸?shù)臄?shù)據(jù)中各類病毒、惡意代碼以及運行的程序是否安全流暢等，提供對用戶身份、共享業(yè)務(wù)及用戶數(shù)據(jù)等方面的安全保障。近年來，國內(nèi)外安全廠商分別提出各自云安全技術(shù)理念，并推出相應(yīng)的云安全產(chǎn)品，它們主要通過特征碼檢測的方式，只是采用不同的計算方式和提取技術(shù)，理念及產(chǎn)品本質(zhì)上沒有太多的差別。

2 私有云安全平臺建設(shè)的意義

隨著社會與經(jīng)濟(jì)的快速發(fā)展，政府、企業(yè)、教育及各類組織結(jié)構(gòu)信息化應(yīng)用能力的提升，各行業(yè)對信息化產(chǎn)品及服務(wù)的需求也越來越高?？茖W(xué)技術(shù)的進(jìn)步，為各行業(yè)信息化水平的提高提供有效的技術(shù)支撐。根據(jù)自身固有特點，各行業(yè)的絕大部分業(yè)務(wù)系統(tǒng)基本部署在特定的封閉環(huán)境中。封閉環(huán)境能提供較高的安全防御能力，但對跨部門、跨業(yè)務(wù)系統(tǒng)的數(shù)據(jù)共享及服務(wù)帶來較多限制。建設(shè)私有云平臺，可有效整合各類資源，打通信息孤島，提升效率和質(zhì)量。相對的，對于平臺環(huán)境安全性提出新要求。

中國政府將信息安全問題上升至國家戰(zhàn)略層面，各行業(yè)特別是各級政府機(jī)關(guān)、特殊領(lǐng)域的國有企業(yè)等對知識產(chǎn)權(quán)、涉密信息的安全管控有迫切需求。傳統(tǒng)的信息威脅防御技術(shù)主要基于已有經(jīng)驗知識的建模和模式匹配，通過捕獲的威脅信息與原有攻擊模式比較來識別攻擊行為，再利用識別的結(jié)果采取應(yīng)對措施。隨著網(wǎng)絡(luò)惡意攻擊方式朝著復(fù)雜、隱蔽和重復(fù)可利用方向發(fā)展，攻擊模式的識別和提取越來越困難。私有云安全平臺打破傳統(tǒng)防控模式的局限性，構(gòu)建集病毒防護(hù)、環(huán)境安全檢測、異常修復(fù)及問題評估為一體、自主可控、安全可信的智能信息終端安全運維體系，綜合利用云安全設(shè)備與軟件結(jié)合的私有云安全平臺來構(gòu)建一個安全、健康的信息網(wǎng)絡(luò)環(huán)境。

3 私有云安全的概念及特點

3.1 私有云安全平臺

由云安全設(shè)備和云安全軟件組成私有云安全平臺，它擁有一套完整的“發(fā)現(xiàn)、評估、處置、審計”威脅應(yīng)對流程，并對用戶提供平臺應(yīng)用流程定制和按需參與?！鞍l(fā)現(xiàn)”潛在安全威脅通過云安全軟件的監(jiān)控能力來實現(xiàn)，“評估”機(jī)制依靠定制用戶可參與的多級分析鑒定系統(tǒng)，“處置”方案基于用戶完全可控的安全策略，“審計”功能保證上述的所有操作都可以事后追查。

3.2 私有云安全平臺特點

（1）私有云安全平臺的防御系統(tǒng)通過構(gòu)建基于用戶自定義的安全生態(tài)防御體系，從傳統(tǒng)依靠黑名單的威脅防御模式提升至利用可分級、自定義的安全基線為基礎(chǔ)的精確安全防御模式。

（2）私有云安全平臺通過改進(jìn)傳統(tǒng)云安全軟件的監(jiān)控模式，能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)中新出現(xiàn)的程序、數(shù)據(jù)及各類異常。

（3）采用靜態(tài)和動態(tài)結(jié)合的多級多維文件分析鑒定系統(tǒng)，通過它來判別各類文件是否安全可信。

（4）通過各種云安全設(shè)備，實時反饋私有云安全平臺上各類威脅風(fēng)險，同時作出風(fēng)險評估。根據(jù)風(fēng)險評估結(jié)果，根據(jù)多級防御、威脅處置策略得出的防控方案提供給用戶。

4 私有云安全平臺的安全設(shè)置研究

4.1 新型惡意代碼查殺方案

根據(jù)私有云安全平臺自身靈活、可定制性，私有云安全平臺上的安全設(shè)置方案具備多元化的特點。傳統(tǒng)方式下通過掃描用戶數(shù)據(jù)，和特征代碼庫對比來識別惡意代碼，進(jìn)而采取相應(yīng)措施。新型惡意代碼防御方式通過程序行為及可信任檢測引擎捕獲所運行程序行為，通過正向和反向程序行為算法來辨別所捕獲程序是否包含惡意代碼。如判定為惡意代碼，查殺引擎立即進(jìn)行清理；如果無法判定，先將該程序進(jìn)行隔離，通過云端代碼行為自動分析系統(tǒng)進(jìn)行處理，將新的惡意代碼行為寫入程序行為算法庫，同時將結(jié)果反饋到客戶端。該方式下，可有效提升新型惡意代碼防御能力。

4.2 封閉環(huán)境鎖定方案

大型企業(yè)或者政府行政部門的涉密信息通過信息網(wǎng)絡(luò)傳輸，對網(wǎng)絡(luò)環(huán)境的安全保密性提出更高要求。因此，私有云平臺須有與外部網(wǎng)絡(luò)相隔離功能。封閉環(huán)境下，通過分級、用戶自定義的安全基線的方式來判別威脅源。安全防御系統(tǒng)判定在安全基線內(nèi)傳輸?shù)臄?shù)據(jù)及程序是安全可信的，允許通過網(wǎng)絡(luò)傳輸或運行；如果用戶數(shù)據(jù)及程序在安全基線外，安全防御系統(tǒng)將其實時鎖定，不允許用戶直接訪問。發(fā)現(xiàn)未知程序在云平臺運行，防御系統(tǒng)判斷分析該程序是否通過外部網(wǎng)絡(luò)惡意入侵或內(nèi)部違規(guī)操作，提醒用戶并給出處理建議，用戶在終端根據(jù)具體情況采取針對性措施。

4.3 APT攻擊防御方案

網(wǎng)絡(luò)環(huán)境中隨時存在各種未知威脅，最常見的包括APT攻擊。APT攻擊通過非法手段獲取系統(tǒng)控制權(quán)限，對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊。在私有云網(wǎng)絡(luò)安全平臺采取多級防御性設(shè)置，根據(jù)安全級別的不同，不同的終端采取不一樣的防御措施，常見的防御技術(shù)包括沙箱技術(shù)和可信身份認(rèn)證技術(shù)。

沙箱技術(shù)通過構(gòu)造一個與本地系統(tǒng)共存但相互間完全隔離的獨立封閉式環(huán)境，其中裝入進(jìn)程、內(nèi)存、注冊表、應(yīng)用程序等各類信息，按照安全策略控制程序行為。按采用技術(shù)方式分，可分為基于規(guī)則和基于虛擬化技術(shù)。用戶數(shù)據(jù)和程序在沙箱中運行，通過重定向技術(shù)定位到特定位置，通過APT攻擊入侵的各類可疑文件或程序無法對系統(tǒng)關(guān)鍵數(shù)據(jù)和文件造成影響。

APT攻擊的一種方式是利用帶身份欺騙的手段獲取控制權(quán)，可信身份認(rèn)證技術(shù)可保證當(dāng)前操作者的數(shù)字身份真實合法性。可信身份認(rèn)證技術(shù)包括口令認(rèn)證、密碼技術(shù)、生物識別等技術(shù)，其中基于口令認(rèn)證方式是最簡單、最直觀方式，相應(yīng)的安全性較差。密碼認(rèn)證通過密鑰持有者利用密鑰向驗證方證明自己身份真實性，主要有基于對稱加密技術(shù)的Kerberos認(rèn)證體系和基于公鑰加密技術(shù)的PKI/CA系統(tǒng)。生物識別技術(shù)通過人體唯一、可靠的生物特征和穩(wěn)定的行為特征為依據(jù)，利用計算機(jī)數(shù)據(jù)挖掘和行為模式識別技術(shù)來實現(xiàn)身份認(rèn)證，目前主要有指紋識別、虹膜識別、面部識別、聲音識別等。和口令認(rèn)證方式相比較，密碼技術(shù)和生物識別技術(shù)能提供更高的安全性。實際使用中，通過多重認(rèn)證技術(shù)來提高私有云平臺的安全防御能力。

5 結(jié)束語

虛擬化、大數(shù)據(jù)和云計算已經(jīng)成為未來信息技術(shù)發(fā)展趨勢。私有云安全平臺的特點符合我國當(dāng)前網(wǎng)絡(luò)信息安全的需求，和傳統(tǒng)云安全系統(tǒng)相比在防御各類威脅的能力上有很大提高。從安全管控的角度，我國在理論及技術(shù)研究、產(chǎn)品研發(fā)水平的提升上有進(jìn)一步拓展的空間。

參考文獻(xiàn)

[1]歐陽中輝，張曉瑜，涂帥，顧佼佼.“云安全”在計算機(jī)防病毒應(yīng)用中的問題研究[J].計算機(jī)與現(xiàn)代化，2016（12）：72-75.

[2]王朝陽，李云.基于“云安全”的指揮信息系統(tǒng)網(wǎng)絡(luò)防病毒模型[J].指揮控制與仿真，2015（06）：24-26.

[3]姚小兵，高媛.淺談網(wǎng)絡(luò)時代的云安全技術(shù)[J].硅谷，2015（05）：72.

[4]李菊.基于私有云安全平臺的網(wǎng)絡(luò)安全部署研究與實施[J].信息網(wǎng)絡(luò)安全，2013（08）：48-51.

[5]陳榮.私有云安全平臺的網(wǎng)絡(luò)安全設(shè)置[J].信息化建設(shè)，2015（11）：113.

作者單位

云南普洱學(xué)院 云南省普洱市 665000