導(dǎo)語：租戶安全風(fēng)險(xiǎn)自適應(yīng)防護(hù)機(jī)制研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】隨著互聯(lián)網(wǎng)時(shí)代的極速發(fā)展，網(wǎng)絡(luò)虛擬機(jī)的數(shù)量與日俱增，租戶范圍也較廣，不同租戶在安全運(yùn)維能力方面略有不同，不少租戶在安全風(fēng)險(xiǎn)和預(yù)警能力方面較弱，使云環(huán)境受到安全風(fēng)險(xiǎn)的影響。云安全管控平臺(tái)針對(duì)租戶的網(wǎng)絡(luò)安全適應(yīng)能力，根據(jù)租戶定制的處置策略，短信通知租戶進(jìn)行決策，對(duì)資源實(shí)行靜態(tài)評(píng)測(cè)和動(dòng)態(tài)檢測(cè)的彈性模式；按需分配，并按照租戶的決策進(jìn)行處置，通過對(duì)虛擬安全的應(yīng)用研究，提出了基于租戶安全風(fēng)險(xiǎn)的自適應(yīng)防護(hù)機(jī)制。

【關(guān)鍵詞】安全風(fēng)險(xiǎn);云計(jì)算;自適應(yīng);防護(hù)機(jī)制

互聯(lián)網(wǎng)時(shí)代的發(fā)展，為網(wǎng)絡(luò)平臺(tái)的搭建提供了更多發(fā)展機(jī)遇。以前人們僅關(guān)注網(wǎng)絡(luò)安全邊界，也在邊界一側(cè)，做各種防御，而今自適應(yīng)安全帶來的理念轉(zhuǎn)變?，F(xiàn)在，安全的防線已深入到業(yè)務(wù)平臺(tái)一側(cè)，監(jiān)測(cè)平臺(tái)網(wǎng)絡(luò)業(yè)務(wù)的各項(xiàng)指標(biāo)并分析，進(jìn)而進(jìn)行預(yù)防或及時(shí)處置。為了適應(yīng)系統(tǒng)規(guī)模的彈性化發(fā)展，采用云計(jì)算技術(shù)解決資源共享問題，多數(shù)資源池是通過防火墻設(shè)備布署，對(duì)于租戶而言，諸如數(shù)據(jù)泄露等來自外網(wǎng)的網(wǎng)絡(luò)安全威脅怎樣進(jìn)行自適應(yīng)，采取合理的應(yīng)對(duì)機(jī)制是當(dāng)務(wù)之急。

一、云計(jì)算安全性評(píng)測(cè)指標(biāo)

技術(shù)指標(biāo)體系和管理指標(biāo)體系是包括在云計(jì)算安全指標(biāo)體系內(nèi)。技術(shù)安全指標(biāo)體系有：主機(jī)的系統(tǒng)安全、APP應(yīng)用安全、網(wǎng)絡(luò)數(shù)據(jù)安全、恢復(fù)或備份等[1]。管理安全指標(biāo)有安全管理機(jī)構(gòu)、安全管理制度、人員的安全管理、系統(tǒng)建設(shè)管理、運(yùn)營維護(hù)管理等。上述批標(biāo)體系，一定程度上滿足了云計(jì)算在安全評(píng)估方面的需要?；谠朴?jì)算安全性評(píng)測(cè)體系的構(gòu)建方法，形成云計(jì)算安全性評(píng)測(cè)所需增加的控制點(diǎn)，并對(duì)大量威脅云安全的計(jì)算進(jìn)行整理、歸納、分析，然后結(jié)合傳統(tǒng)信息系統(tǒng)測(cè)評(píng)的指標(biāo)體系，把這些控制點(diǎn)整合到大的指標(biāo)項(xiàng)，最終形成面向云計(jì)算的管理指標(biāo)和技術(shù)指標(biāo)。技術(shù)指標(biāo)的物理安全部分，基于傳統(tǒng)信息安全系統(tǒng)測(cè)評(píng)的指標(biāo)項(xiàng)內(nèi)容，經(jīng)過分析得出云計(jì)算的安全部分無新增控制點(diǎn)，故可直接采用傳統(tǒng)的指標(biāo)項(xiàng)內(nèi)容，有：網(wǎng)絡(luò)防護(hù)、網(wǎng)絡(luò)環(huán)境安全、設(shè)備安全、物理系統(tǒng)安全。指標(biāo)項(xiàng)共10個(gè)，評(píng)測(cè)子項(xiàng)19個(gè)。1.1靜態(tài)評(píng)測(cè)系統(tǒng)安全。（1）評(píng)測(cè)布署。過程有：評(píng)測(cè)前期準(zhǔn)備、實(shí)地評(píng)測(cè)、方案的編制、分析及報(bào)告編制；雙方的溝通與洽談應(yīng)在評(píng)測(cè)過程中一直持續(xù)。評(píng)測(cè)前的準(zhǔn)備階段：調(diào)研現(xiàn)場(chǎng)，對(duì)被測(cè)系統(tǒng)的基本情況了如指掌[2]?，F(xiàn)場(chǎng)評(píng)測(cè)階段：實(shí)地評(píng)測(cè)準(zhǔn)備、現(xiàn)場(chǎng)評(píng)測(cè)活動(dòng)、記錄測(cè)評(píng)結(jié)果、確認(rèn)測(cè)評(píng)結(jié)果等。方案編制階段：包括制定評(píng)測(cè)對(duì)象、確定評(píng)測(cè)指標(biāo)等。分析及編制報(bào)告階段：判斷單項(xiàng)評(píng)測(cè)結(jié)果、風(fēng)險(xiǎn)分析、形成等級(jí)評(píng)測(cè)結(jié)論、編制報(bào)告等。（2）評(píng)測(cè)方法。評(píng)測(cè)方法通常有：訪談、測(cè)試、檢查。訪談本次評(píng)測(cè)的某傳輸系統(tǒng)，根據(jù)傳輸系統(tǒng)的二級(jí)信息系統(tǒng)對(duì)評(píng)測(cè)強(qiáng)度的要求。在廣度上，基本覆蓋有關(guān)信息系統(tǒng)安全相關(guān)人員的類型。在深度方面，應(yīng)包含通用的問題、高難度問題、可實(shí)施的問題。針對(duì)某傳輸系統(tǒng)可能被攻擊的問題，采用EASKS方法，應(yīng)對(duì)云計(jì)算環(huán)境下的入侵檢測(cè)和響應(yīng)，并對(duì)該模型的工作流程進(jìn)行測(cè)試[3]。（3）基本指標(biāo)。參照信息系統(tǒng)使用情況，明確安全保護(hù)等級(jí)，選擇或制定有效的評(píng)測(cè)指標(biāo)，并列出表格形式。備注“新增”指標(biāo)，是云計(jì)算方案新增加的打分項(xiàng)，如果沒有“新增”指標(biāo)，就以傳統(tǒng)的評(píng)測(cè)指標(biāo)來考慮。（4）總體評(píng)價(jià)。某傳輸系統(tǒng)是一項(xiàng)重要的信息系統(tǒng)，安全保護(hù)等級(jí)為第二級(jí)，有：傳輸系統(tǒng)的業(yè)務(wù)信息安全保護(hù)、系統(tǒng)服務(wù)，最終確定信息安全保護(hù)等[4]。主機(jī)安全：用戶口令復(fù)雜度、訪問控制功能、操作系統(tǒng)啟用身份識(shí)別功能，部署專門的企業(yè)版殺毒軟件；唯一用戶名，禁止操作系統(tǒng)賬戶登錄，數(shù)據(jù)庫系統(tǒng)已啟用身份鑒別功能[5]。應(yīng)用安全：系統(tǒng)的登錄控制模塊，管理端口啟用人臉識(shí)別、手勢(shì)、復(fù)雜密碼，以大大提高鑒別復(fù)雜信息的準(zhǔn)確驗(yàn)證功能；在法律規(guī)定范圍內(nèi)有允許數(shù)據(jù)存儲(chǔ)位置；安全管理制度：制定總體方針及利于信息安全策略的工作，有完善的安全管理人員操作規(guī)程。1.2動(dòng)態(tài)檢測(cè)系統(tǒng)安全。網(wǎng)絡(luò)數(shù)據(jù)獲取。采用基于網(wǎng)絡(luò)的入侵檢測(cè)方法，在對(duì)外InternetSecurity互聯(lián)網(wǎng)+安全出口的網(wǎng)絡(luò)中增設(shè)一臺(tái)數(shù)據(jù)包截獲器，由總部控制并監(jiān)測(cè)該網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)包[6]。截獲器采用通用工具Tcpdump。廣泛應(yīng)用的Tcpdump數(shù)據(jù)包抓取分析工具，它可以從網(wǎng)絡(luò)下截取數(shù)據(jù)包，并過濾一些特定屬性[7]。將網(wǎng)卡設(shè)置為混雜模式，是為了方便截取器能實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，采用Tcpdump的網(wǎng)絡(luò)抓包、服務(wù)器、網(wǎng)絡(luò)設(shè)備的Netflow日志、虛擬機(jī)的Syslog日志。協(xié)議解析。獲取數(shù)據(jù)包用Tcpdump，在數(shù)據(jù)鏈路上都有采集，比如TCP、ICMP、UDP。必須采集到的所有數(shù)據(jù)進(jìn)行分類、整理、分析，這樣才能從原始復(fù)雜且龐大的數(shù)據(jù)中提取出更多有效有用的信息。提取和選擇特征。為了降低數(shù)據(jù)的廣度和維度，先截獲網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分解，然后還需過濾數(shù)據(jù)記錄，并從這些數(shù)據(jù)中提取和選擇特征。對(duì)于檢測(cè)網(wǎng)絡(luò)入侵問題，提取和選擇特征的首要任務(wù)，是在所有記錄數(shù)據(jù)的屬性中，查找需要采用的屬性特征。如果運(yùn)用原始數(shù)據(jù)集，計(jì)算的復(fù)雜程度，檢測(cè)方法都不合適。

二、業(yè)務(wù)平臺(tái)自適應(yīng)防護(hù)機(jī)制

平臺(tái)云應(yīng)用?；谧赃m應(yīng)安全架構(gòu)這樣的業(yè)務(wù)平臺(tái)，形成整個(gè)安全閉環(huán)的同時(shí)，能夠降低安全行業(yè)里用戶的投入成本[8]。網(wǎng)絡(luò)數(shù)據(jù)庫、操作系統(tǒng)、相關(guān)應(yīng)用軟件的定期更新、病毒防護(hù)及補(bǔ)丁更新等，都屬于業(yè)務(wù)平臺(tái)云應(yīng)用安全[9]。從技術(shù)角度來看，安全虛擬機(jī)是可以采取的方式之一，每臺(tái)服務(wù)器有安全策略。優(yōu)化云環(huán)境。因虛擬化環(huán)境的特殊性，需要優(yōu)化傳統(tǒng)的安全防護(hù)技術(shù)，避免病毒風(fēng)暴帶來的影響[10]，對(duì)所有虛擬機(jī)已經(jīng)共享的掃描結(jié)果，不再重復(fù)掃描虛擬文件[11]。還須在各操作系統(tǒng)的官網(wǎng)手動(dòng)下載補(bǔ)丁文件，用戶進(jìn)入管理平臺(tái)后，可通過搜索獲取并下載補(bǔ)丁，此時(shí)系統(tǒng)會(huì)記錄、匯總相關(guān)補(bǔ)丁的下載日志，然后將這一動(dòng)作路徑，傳輸?shù)桨踩O(jiān)控模塊。新一代安全管理平臺(tái)，對(duì)虛擬化資源進(jìn)行海量事件采集和統(tǒng)計(jì)分析，對(duì)全網(wǎng)安全事情進(jìn)行綜合的智能分析，并提供直接而翔實(shí)的報(bào)告，滿足用戶需求[12]。通過大量分析報(bào)告，管理員也可以輕松地了解區(qū)域網(wǎng)絡(luò)過去某個(gè)時(shí)間段的安全狀況，及未來的發(fā)展趨勢(shì)，實(shí)時(shí)幫助管理員掌握網(wǎng)絡(luò)攻擊的重點(diǎn)，一旦發(fā)現(xiàn)有安全風(fēng)險(xiǎn)，提早防范，降低損失。

三、安全風(fēng)險(xiǎn)自適應(yīng)防護(hù)機(jī)制

在云環(huán)境下，網(wǎng)絡(luò)功能虛擬化能力由云平臺(tái)提供[13]。為了降低網(wǎng)絡(luò)設(shè)備高昂的成本，需要使用常用的硬件設(shè)備和虛擬化技術(shù)等。多種功能軟件的承載，使資源得到最大化利用、靈活共享，實(shí)現(xiàn)新業(yè)務(wù)的快速開展及部署。網(wǎng)絡(luò)設(shè)備功通過功能抽象和軟硬件解耦，不依賴于專用硬件，自動(dòng)部署、故障隔離和自愈基于實(shí)際業(yè)務(wù)需求，并進(jìn)行彈性伸縮。SDN管理平面控制動(dòng)態(tài)下發(fā)流表，需要通過南向接口，根據(jù)應(yīng)用軟件的需要完成定向數(shù)量的統(tǒng)計(jì)及流量轉(zhuǎn)發(fā)功能，實(shí)現(xiàn)多臺(tái)控制器同時(shí)運(yùn)行，在云平臺(tái)中諸如新建、存儲(chǔ)、刪除，或虛擬機(jī)被遷移的生命周期發(fā)生變化，云平臺(tái)可以根據(jù)虛擬機(jī)的變化情況，通過該管理平面，完成虛擬網(wǎng)絡(luò)伴隨虛擬計(jì)算資源同時(shí)變化，完成數(shù)據(jù)平面流表調(diào)度。對(duì)于自適應(yīng)安全防護(hù)，全球最具權(quán)威的顧問咨詢公司Gartnet認(rèn)為有4個(gè)階段，“提前預(yù)測(cè)－實(shí)時(shí)防御－隨時(shí)監(jiān)控－安全回溯”，簡稱PPDR(PreditivePreventiveDetectiveRetrospective)。從租戶角度，實(shí)現(xiàn)對(duì)安全業(yè)務(wù)的“監(jiān)、管、查、追”的安全防護(hù)策略。自適應(yīng)云安全架構(gòu)目的是達(dá)到系統(tǒng)的安全運(yùn)營，滿足用戶對(duì)安全防護(hù)的需求。為租戶適應(yīng)安全能力構(gòu)建，首先通過全方位收集云環(huán)境下的數(shù)據(jù)，進(jìn)行統(tǒng)一歸類、過濾整理，上報(bào)到自適應(yīng)安全主體進(jìn)行有針對(duì)性的處理，最后生成動(dòng)態(tài)的安全策略，再由管理平面下發(fā)到云環(huán)境中[14]。云平臺(tái)的高度融合與彈性擴(kuò)展，通常由功能層的對(duì)調(diào)功能與結(jié)果展示，再通過統(tǒng)一接口來完成，以保證自適應(yīng)安全的主體即：安全功能層，實(shí)時(shí)監(jiān)控云網(wǎng)絡(luò)安全的每一項(xiàng)指標(biāo)數(shù)據(jù)，實(shí)時(shí)完成預(yù)測(cè)，及時(shí)形成分析報(bào)告，并有針對(duì)性的適時(shí)做出更改防御策略的方案，并通過安全資源池和云資源池兩個(gè)接口，下發(fā)策略給租戶，以做好積極應(yīng)對(duì)。自適應(yīng)云安全框架，通過管理平面下發(fā)安全策略，完成安全目標(biāo)。根據(jù)對(duì)云計(jì)算網(wǎng)絡(luò)計(jì)算資產(chǎn)重要性，生成動(dòng)態(tài)安全策略，實(shí)現(xiàn)租戶安全的自適應(yīng)。自適應(yīng)動(dòng)態(tài)云安全將云環(huán)境中的虛擬計(jì)算資源等資產(chǎn)信息，進(jìn)行統(tǒng)一識(shí)別，并把資產(chǎn)與用戶作為策略的客體信息存入策略對(duì)象庫中[15]。根據(jù)受威脅程度、頻率、范圍、深度及重要性，安全功能層自動(dòng)生成安全策略，并下發(fā)到云資源層。

根據(jù)云計(jì)算發(fā)展和使用，通過評(píng)測(cè)租戶所面臨的云計(jì)算安全性評(píng)測(cè)問題，從兩個(gè)方面：靜態(tài)的安全性評(píng)測(cè)和動(dòng)態(tài)的入侵檢測(cè)，開展了深入研宄，提出了一種云環(huán)境下業(yè)務(wù)平臺(tái)自適應(yīng)防護(hù)機(jī)制，及安全風(fēng)險(xiǎn)自適應(yīng)防護(hù)機(jī)制。隨著我國對(duì)網(wǎng)絡(luò)安全相關(guān)政策的不斷完善，基于租戶安全風(fēng)險(xiǎn)的自適應(yīng)防護(hù)機(jī)制將迎來大好的發(fā)展機(jī)會(huì)。

作者:張征 單位:中國移動(dòng)通信集團(tuán)廣東有限公司