肖 慧，譚 彥，畢喜軍，譚志遠(yuǎn)

（1.中國電信股份有限公司廣東分公司 廣州510081；2.中國電信股份有限公司廣東研究院 廣州510630）

1 引言

業(yè)務(wù)平臺(tái)在遷移到云平臺(tái)之后，由于虛擬化層的引入，產(chǎn)生了額外的安全風(fēng)險(xiǎn)，管理者在決策過程中都對(duì)云平臺(tái)的風(fēng)險(xiǎn)管理感到疑惑：虛擬化層所產(chǎn)生的安全風(fēng)險(xiǎn)是否能夠接受，業(yè)務(wù)平臺(tái)云化遷移的過程中是否存在一個(gè)量化指標(biāo)足以反映這個(gè)過程中所產(chǎn)生的風(fēng)險(xiǎn)情況？

這一系列的問題源于業(yè)務(wù)平臺(tái)遷移到云平臺(tái)之前，在所處的環(huán)境下已部署的多種安全控制措施，由于遷移到云平臺(tái)之后，安全防護(hù)條件均發(fā)生了變化，一些傳統(tǒng)的安全防御手段無法過渡到虛擬化的環(huán)境下繼續(xù)使用，因此，管理者可能會(huì)采用新的基于虛擬化的安全防護(hù)手段，而原有的風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)體系需要重新計(jì)算甚至無法適用。評(píng)估云平臺(tái)的安全風(fēng)險(xiǎn)時(shí)，需要綜合多方面的因素，將各種風(fēng)險(xiǎn)因素通過一套面向云平臺(tái)的全面測(cè)評(píng)體系進(jìn)行量化。量化的安全風(fēng)險(xiǎn)系數(shù)的意義在于能夠衡量安全工作產(chǎn)生的真實(shí)價(jià)值與績(jī)效，使安全防護(hù)有了清晰的目標(biāo)。但安全風(fēng)險(xiǎn)管理是個(gè)動(dòng)態(tài)的過程，在進(jìn)行風(fēng)險(xiǎn)測(cè)評(píng)的過程中，一方面需要考慮管理方面的因素，如安全制度的執(zhí)行情況；另一方面需要考慮技術(shù)方面的因素，如是否有認(rèn)可的風(fēng)險(xiǎn)測(cè)評(píng)工具，以確保相關(guān)的風(fēng)險(xiǎn)系數(shù)能夠順利落地。

2 業(yè)務(wù)平臺(tái)云化后的風(fēng)險(xiǎn)管理策略

業(yè)務(wù)平臺(tái)遷移到云平臺(tái)之后，業(yè)務(wù)平臺(tái)成為云平臺(tái)的租戶，這時(shí)，業(yè)務(wù)平臺(tái)的管理者需要同時(shí)考慮業(yè)務(wù)平臺(tái)和云平臺(tái)的風(fēng)險(xiǎn)。這是因?yàn)閺墓粽呋蚝诳偷慕嵌龋恍枰页鰳I(yè)務(wù)平臺(tái)或云平臺(tái)的一個(gè)漏洞就可以完成入侵，但從業(yè)務(wù)平臺(tái)安全管理員的角度，還需要持續(xù)關(guān)注業(yè)務(wù)平臺(tái)自身的脆弱性，盡可能修復(fù)云平臺(tái)的所有漏洞及問題。在實(shí)際情況下，要解決所有的問題是不可能的，所以在運(yùn)營(yíng)過程中，關(guān)鍵是做到有的放矢，將有限的資源投入在迫切需要的地方，所以需要一個(gè)能夠評(píng)估系統(tǒng)目前的安全狀態(tài)、衡量現(xiàn)狀與安全策略制度目標(biāo)之間的差距、定義當(dāng)前安全威脅級(jí)別的綜合系數(shù)，該系數(shù)可反映業(yè)務(wù)平臺(tái)當(dāng)前安全管理和安全防護(hù)的水平，幫助安全管理員找出最需要關(guān)注的問題。系數(shù)的計(jì)算精簡(jiǎn)了安全水平的判斷依據(jù)，使對(duì)系統(tǒng)安全水平的評(píng)估更為科學(xué)有效，同時(shí)也能持續(xù)跟蹤安全策略落地執(zhí)行的效果。

2.1 業(yè)務(wù)平臺(tái)云化后面臨新的威脅

虛擬化技術(shù)引入了Hypervisor層和其他新的管理模塊，在帶來許多新功能的同時(shí)，由于其脆弱性也必然成為新的攻擊層面，而另外一方面則可能是管理操作上的疏忽，例如，在虛擬化應(yīng)用中，大多數(shù)提供安全保護(hù)的進(jìn)程和功能在初始安裝時(shí)都未被選擇加入，而這些進(jìn)程和功能在安裝之后考慮到系統(tǒng)穩(wěn)定性問題很難被重新安裝，那么，如何代替它們的功能是需要解決的問題。而由于以上的原因，虛擬化產(chǎn)生了如下一些新威脅。

（1）虛擬機(jī)逃逸

由于配置失當(dāng)，虛擬系統(tǒng)間以及虛擬系統(tǒng)和Hypervisor隔離措施不足，產(chǎn)生安全問題，該安全問題可以使虛擬系統(tǒng)脫離原來分配給它的虛擬環(huán)境，而逃逸到Hypervisor，繼而控制Hypervisor甚至其他虛擬系統(tǒng)。

（2）流量監(jiān)控失效

虛擬機(jī)間通過硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信，因此，這些通信流量對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的，無法對(duì)它們進(jìn)行監(jiān)測(cè)、在線封堵，這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。

（3）虛擬機(jī)惡性遷移

虛擬機(jī)的動(dòng)態(tài)遷移用于快速解決眾多客戶的虛擬機(jī)租用需求問題，但可能導(dǎo)致虛擬機(jī)系統(tǒng)脆弱性的快速傳播，同一個(gè)供應(yīng)商提供的虛擬機(jī)幾乎源于相同的鏡像。顯然，動(dòng)態(tài)遷移過程使得原鏡像中的安全漏洞也在不斷地復(fù)制和傳播。攻擊者在充分收集已控虛擬機(jī)特點(diǎn)及脆弱性的基礎(chǔ)上，從網(wǎng)絡(luò)中通過合適的滲透手段對(duì)其他虛擬機(jī)進(jìn)行攻擊。

2.2 風(fēng)險(xiǎn)管理的整體功能需求

風(fēng)險(xiǎn)管理的目標(biāo)是實(shí)現(xiàn)整體風(fēng)險(xiǎn)的可視化，可根據(jù)安全控制目標(biāo)及資產(chǎn)范圍反映當(dāng)前業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)，其依據(jù)是各種安全風(fēng)險(xiǎn)的量化指標(biāo)。量化過程中，根據(jù)資產(chǎn)的價(jià)值、影響的范圍、威脅發(fā)生的可能性等統(tǒng)一的標(biāo)準(zhǔn)衡量不同系統(tǒng)的風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)計(jì)算通過機(jī)密性、完整性、可用性與訪問復(fù)雜度、訪問因素、認(rèn)證方式綜合建模確定風(fēng)險(xiǎn)數(shù)值。得出業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)數(shù)值之后，在風(fēng)險(xiǎn)管理上可以根據(jù)當(dāng)前的情況定制未來風(fēng)險(xiǎn)的下降目標(biāo)，用于衡量風(fēng)險(xiǎn)趨勢(shì)并實(shí)施改進(jìn)計(jì)劃。

在業(yè)務(wù)平臺(tái)向云遷移的過程中，經(jīng)歷“規(guī)劃—開發(fā)—實(shí)施—運(yùn)維—廢棄”等信息系統(tǒng)周期，存在以下一些需要管理者考慮的風(fēng)險(xiǎn)因素。

·原來多種多樣的操作系統(tǒng)，在P2V或者V2V的過程中如何實(shí)現(xiàn)安全遷移？哪些應(yīng)該遷移，哪些不能？原來的安全策略如何在基礎(chǔ)架構(gòu)上得到滿足（包括安全配置等）？

·云遷移過程的安全性評(píng)估，遷移中全生命周期都可能引入新的風(fēng)險(xiǎn)，評(píng)估的過程應(yīng)該怎樣，需要檢查哪些地方？風(fēng)險(xiǎn)如何評(píng)定？最終的安全標(biāo)準(zhǔn)又是什么？

·安全技術(shù)標(biāo)準(zhǔn)的問題，需要關(guān)注哪些云平臺(tái)的漏洞？云平臺(tái)的配置是否規(guī)范？

·虛擬資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)管理，虛擬機(jī)、操作系統(tǒng)、中間件、數(shù)據(jù)庫、虛擬網(wǎng)絡(luò)設(shè)備等風(fēng)險(xiǎn)管理的原則。

除了對(duì)虛擬化層的風(fēng)險(xiǎn)管理需求外，還需要輔以以下其他方面的管理需求。

（1）策略管理

實(shí)現(xiàn)制度管理流程化與KPI考核是減少運(yùn)維過程中安全風(fēng)險(xiǎn)的一個(gè)重要的管理環(huán)節(jié)，可對(duì)安全制度進(jìn)行生命周期管理，如創(chuàng)建、草稿、復(fù)審、發(fā)布等。制度的發(fā)布需要進(jìn)行一定的流程，同時(shí)涉及不同崗位人員的審批，最終發(fā)布后還包括意見的收集與修訂等。應(yīng)通過風(fēng)險(xiǎn)管理平臺(tái)實(shí)現(xiàn)對(duì)安全管理制度的流程化管理，滿足制度流程中不同角色的需求。策略管理執(zhí)行的水平可以用量化級(jí)別進(jìn)行衡量。

（2）業(yè)務(wù)虛擬資產(chǎn)管理

風(fēng)險(xiǎn)管理的一個(gè)重要目標(biāo)是實(shí)現(xiàn)虛擬資產(chǎn)的識(shí)別和管理，可通過多種方式將資產(chǎn)信息導(dǎo)入風(fēng)險(xiǎn)管理平臺(tái)中，在管理物理資產(chǎn)的同時(shí)形成邏輯資產(chǎn)，如一個(gè)數(shù)據(jù)庫運(yùn)行多個(gè)業(yè)務(wù)實(shí)例，這樣邏輯上將屬于多個(gè)業(yè)務(wù)資產(chǎn)，其風(fēng)險(xiǎn)與合規(guī)性將同時(shí)影響多個(gè)業(yè)務(wù)系統(tǒng)資產(chǎn)組。所有的資產(chǎn)可根據(jù)資產(chǎn)的重要性進(jìn)行賦值。

（3）控制框架映射

實(shí)現(xiàn)安全控制目標(biāo)與具體措施、管理制度及標(biāo)準(zhǔn)的映射，實(shí)現(xiàn)管理要求及標(biāo)準(zhǔn)的落地，通過這種方式了解策略的符合度情況。首先，將制度映射至控制框架，再映射至具體保護(hù)措施，從而反映制度與保護(hù)措施的間隙，或者制度的實(shí)際符合度情況；其次，控制框架映射至標(biāo)準(zhǔn)法規(guī)，如ISO27001、SOX、COBIT等，反映現(xiàn)行保護(hù)措施與標(biāo)準(zhǔn)的間隙，即標(biāo)準(zhǔn)、法規(guī)的符合度，符合度水平可以用量化級(jí)別進(jìn)行衡量。

3 業(yè)務(wù)平臺(tái)云化風(fēng)險(xiǎn)量化方法研究

3.1 業(yè)界的研究現(xiàn)狀

目前業(yè)界提到云計(jì)算風(fēng)險(xiǎn)評(píng)估相關(guān)內(nèi)容的標(biāo)準(zhǔn)或草案主要有：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的《云計(jì)算安全障礙與緩和措施》和歐洲網(wǎng)絡(luò)信息安全局（ENSIA）發(fā)布的 《云計(jì)算—信息安全保障框架》、《云計(jì)算—信息安全的好處、風(fēng)險(xiǎn)和建議》。

ITU SG17是國際電信聯(lián)盟（ITU）在安全領(lǐng)域的主導(dǎo)研究組，主要致力于電信網(wǎng)安全、身份管理和語言與描述技術(shù)的項(xiàng)目研究和標(biāo)準(zhǔn)制定。2011年ITU TSAG（電信標(biāo)準(zhǔn)化顧問組）將SG17確定為ITU云安全研究的領(lǐng)導(dǎo)小組。在ITU-T SG17 2009-2012研究期第7次全會(huì)上，Q8更名為“Cloud Computing Cecurity（云安全）”，牽頭負(fù)責(zé)SG17的云安全研究工作。目前Q8正在立項(xiàng)研究云計(jì)算的安全威脅和風(fēng)險(xiǎn)量化中的相關(guān)問題，還沒有相關(guān)的標(biāo)準(zhǔn)發(fā)布。

3.2 業(yè)務(wù)平臺(tái)云化后風(fēng)險(xiǎn)量化測(cè)評(píng)方法

當(dāng)業(yè)務(wù)平臺(tái)向云平臺(tái)遷移過渡時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)和數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)：彈性、多租戶、新的物理和邏輯架構(gòu)以及抽象的控制需要新的信息安全策略，而在許多的云部署中，甚至?xí)?shù)據(jù)傳輸?shù)酵獠可踔凉姷沫h(huán)境中，這種新方式使網(wǎng)絡(luò)安全管理員在評(píng)估整個(gè)業(yè)務(wù)平臺(tái)的安全風(fēng)險(xiǎn)時(shí)，不得不充分考慮到這種開放環(huán)境中帶來的各種新的風(fēng)險(xiǎn)因素，而風(fēng)險(xiǎn)的量化有助于充分控制風(fēng)險(xiǎn)，提高整個(gè)平臺(tái)的安全水平，風(fēng)險(xiǎn)量化的方法和工具如下所述。

3.2.1 風(fēng)險(xiǎn)量化方法

向云遷移的過程中，云平臺(tái)的整體安全風(fēng)險(xiǎn)可以看作Hypervisor層與租戶操作系統(tǒng)嵌套產(chǎn)生的風(fēng)險(xiǎn)，而云平臺(tái)自身的安全風(fēng)險(xiǎn)可以作為一個(gè)因子，這個(gè)因子由于嵌套作用會(huì)疊加到每個(gè)租戶的風(fēng)險(xiǎn)系數(shù)上，因此，每個(gè)租戶的風(fēng)險(xiǎn)系數(shù)是租戶自身的系統(tǒng)風(fēng)險(xiǎn)值與云平臺(tái)自身系統(tǒng)風(fēng)險(xiǎn)值的疊加。

每個(gè)租戶的風(fēng)險(xiǎn)系數(shù)應(yīng)該如下計(jì)算：

其中，Rsvr表示遷移到云平臺(tái)后每個(gè)租戶的整體風(fēng)險(xiǎn)值，Rvm表示每個(gè)租戶自身的系統(tǒng)風(fēng)險(xiǎn)值，Rcp表示云平臺(tái)自身的系統(tǒng)風(fēng)險(xiǎn)值。

那么整個(gè)云平臺(tái)的風(fēng)險(xiǎn)系數(shù)是：

其中，Recp表示整個(gè)云平臺(tái)在租戶遷移進(jìn)來之后的整體風(fēng)險(xiǎn)值，等于所有租戶的整體風(fēng)險(xiǎn)值之和再疊加云平臺(tái)自身的系統(tǒng)風(fēng)險(xiǎn)值Rcp；那么，如果將云平臺(tái)自身的系統(tǒng)風(fēng)險(xiǎn)值單獨(dú)分離出來，Recp就等于所有租戶自身的系統(tǒng)風(fēng)險(xiǎn)值之和再疊加n+1倍的云平臺(tái)自身的系統(tǒng)風(fēng)險(xiǎn)值。

可見，云平臺(tái)的自身風(fēng)險(xiǎn)系數(shù)Rcp會(huì)疊加每個(gè)租戶的安全風(fēng)險(xiǎn)系數(shù)，租戶越多，整個(gè)云平臺(tái)的安全風(fēng)險(xiǎn)系數(shù)就會(huì)相應(yīng)地增加，使云平臺(tái)面臨更大的風(fēng)險(xiǎn)。因此，量化確認(rèn)云平臺(tái)的安全風(fēng)險(xiǎn)系數(shù)，對(duì)于提高整個(gè)云平臺(tái)安全性至關(guān)重要。

3.2.2 風(fēng)險(xiǎn)量化測(cè)評(píng)工具

風(fēng)險(xiǎn)量化測(cè)評(píng)評(píng)估主要存在于業(yè)務(wù)平臺(tái)生命周期中的“實(shí)施”和“運(yùn)維”階段，該階段的任務(wù)主要是采用各種測(cè)評(píng)手段對(duì)業(yè)務(wù)平臺(tái)存在的弱點(diǎn)進(jìn)行評(píng)估，而業(yè)務(wù)平臺(tái)的弱點(diǎn)往往具有隱蔽性，有些需要一定的條件和環(huán)境才能顯現(xiàn)，這是在運(yùn)維階段無法通過數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)的，必須借助于一些測(cè)評(píng)工具，在等同的實(shí)驗(yàn)環(huán)境中，構(gòu)造各種可能的運(yùn)行環(huán)境和外在威脅，找出各種不正確、起不到應(yīng)有作用或者沒有實(shí)施的安全措施，并根據(jù)其潛在的影響一一賦值。在這個(gè)過程中，需要借助兩種測(cè)評(píng)工具，分別是安全配置核查工具和漏洞風(fēng)險(xiǎn)量化測(cè)評(píng)工具。

（1）安全配置核查工具

安全配置核查工具可針對(duì)業(yè)務(wù)系統(tǒng)建立安全檢查點(diǎn)、與操作指南相符的基準(zhǔn)安全標(biāo)準(zhǔn)，并采用自動(dòng)化方法逐一對(duì)云平臺(tái)的配置進(jìn)行核查，找出其中不符合安全配置要求的不正確或沒有實(shí)施的項(xiàng)。安全配置核查工具具有以下特點(diǎn)。

·標(biāo)準(zhǔn)化：虛擬化系統(tǒng)的安全檢查項(xiàng)需要標(biāo)準(zhǔn)化，這些檢查項(xiàng)由安全配置、標(biāo)準(zhǔn)進(jìn)程等有關(guān)檢查內(nèi)容構(gòu)成，基于標(biāo)準(zhǔn)化的技術(shù)安全操作框架。在安全配置核查的框架和標(biāo)準(zhǔn)上，最值得借鑒的是基于SCAP（security content automation protocol）的FDCC（federal desktop core configuration，聯(lián)邦桌面核心配置）計(jì)劃項(xiàng)目。

·自動(dòng)化：在FDCC的基礎(chǔ)上，針對(duì)云平臺(tái)主機(jī)及虛擬化系統(tǒng)的特性，構(gòu)建安全檢查要求，并通過自動(dòng)化的工具執(zhí)行，為自動(dòng)化的技術(shù)安全操作提供支持。

規(guī)范與安全配置基準(zhǔn)點(diǎn)讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)桿，通過配置核查工具，對(duì)云平臺(tái)中種類繁雜、數(shù)量眾多的虛擬機(jī)系統(tǒng)、虛擬網(wǎng)絡(luò)設(shè)備和軟件，進(jìn)行快速、有效的檢查，并集中收集核查的結(jié)果以及制作風(fēng)險(xiǎn)審核報(bào)告，最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目，以達(dá)到整改合規(guī)的要求。

（2）漏洞風(fēng)險(xiǎn)量化測(cè)評(píng)工具

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)。安全漏洞有很多種分類方式，按照漏洞宿主的不同，可以分為三大類：

·由于操作系統(tǒng)本身設(shè)計(jì)缺陷帶來的安全漏洞，這類漏洞將被運(yùn)行在該系統(tǒng)上的應(yīng)用程序所繼承，例如，云平臺(tái)自身的漏洞會(huì)被所有租戶繼承，識(shí)別云平臺(tái)的漏洞尤為重要；

·應(yīng)用軟件程序的安全漏洞，云平臺(tái)和租戶如果安裝了新的應(yīng)用程序，也會(huì)引入該程序的漏洞；

·應(yīng)用服務(wù)協(xié)議的安全漏洞，云平臺(tái)和租戶開放了不必要的應(yīng)用服務(wù)協(xié)議會(huì)產(chǎn)生漏洞。

近年來，針對(duì)虛擬化的應(yīng)用軟件程序和應(yīng)用服務(wù)協(xié)議的安全漏洞發(fā)布得越來越多，同時(shí)利用病毒、木馬技術(shù)以虛擬機(jī)作為平臺(tái)進(jìn)行網(wǎng)絡(luò)盜竊和詐騙的網(wǎng)絡(luò)犯罪活動(dòng)數(shù)量呈上升趨勢(shì)，在一些國家和地區(qū)產(chǎn)生了大范圍的危害，由此造成的經(jīng)濟(jì)損失也越發(fā)巨大。因此，在此趨勢(shì)下，做好最新漏洞的定期檢查，及時(shí)為云平臺(tái)及虛擬機(jī)安裝漏洞補(bǔ)丁顯得尤為重要。

漏洞評(píng)估測(cè)評(píng)工具將識(shí)別虛擬資產(chǎn)、漏洞和威脅緊密結(jié)合，通過可量化的模型呈現(xiàn)，幫助運(yùn)維人員對(duì)復(fù)雜的云平臺(tái)網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)有一個(gè)整體、直觀的認(rèn)識(shí)。

4 結(jié)束語

安全風(fēng)險(xiǎn)是決策者判斷業(yè)務(wù)平臺(tái)是否應(yīng)該遷移到云中的重要指標(biāo)之一，是科學(xué)、客觀地判斷云計(jì)算安全狀況的基礎(chǔ)，只有切實(shí)做好云平臺(tái)全生命周期的信息安全風(fēng)險(xiǎn)管理，才能確?？梢詾橛脩籼峁┛煽?、可信、高性價(jià)比的云計(jì)算服務(wù)，企業(yè)才有可能在云計(jì)算服務(wù)領(lǐng)域取得成功。本文在總結(jié)、分析業(yè)務(wù)平臺(tái)遷移到云中所面臨的技術(shù)層面安全威脅和風(fēng)險(xiǎn)管理要求的基礎(chǔ)上，對(duì)業(yè)務(wù)平臺(tái)云化后的風(fēng)險(xiǎn)量化方法進(jìn)行了系統(tǒng)分析與研究，并分別從風(fēng)險(xiǎn)量化的角度提出了量化過程中使用工具的建議。相信隨著政府監(jiān)管部門相關(guān)法律法規(guī)的不斷完善，云計(jì)算相關(guān)的安全標(biāo)準(zhǔn)的不斷推出，業(yè)務(wù)平臺(tái)的云化過程將會(huì)朝著可靠、安全、可信的方向健康發(fā)展。

1 Cloud Security Alliance.Security guidance for critical areas offocus in cloud computing V2.1.http://www.cloudsecurityalliance.org/csaguide.pdf

2 汪來富,沈軍,金華敏.云計(jì)算應(yīng)用安全研究.電信科學(xué),2010,26(6):67～70

3 汪來富,沈軍,金華敏.電信級(jí)云計(jì)算平臺(tái)安全策略研究.電信科學(xué),2011(10):19～23