林 林，王樹偉，繆 綸，段媛媛

（中國水利水電科學研究院 信息中心，北京 100038）

水利專業(yè)軟件云服務平臺安全風險處置研究

林 林，王樹偉，繆 綸，段媛媛

（中國水利水電科學研究院 信息中心，北京 100038）

水利專業(yè)軟件專業(yè)性強、功能復雜、標準化程度低，軟件研發(fā)長期采用小團隊開發(fā)，小范圍使用的模式，這種開發(fā)模式效率低，不利于軟件的共享和復用。運用云計算技術建設水利軟件專業(yè)軟件平臺，變革原有的軟件開發(fā)模式，是擺脫現(xiàn)有水利專業(yè)軟件研發(fā)困境的一種有益嘗試。云平臺在提升軟件開發(fā)效率和降低使用成本的同時，卻也帶來了安全性的問題。本文旨在分析和探討水利專業(yè)軟件云平臺面臨的安全風險，并給出了具有針對性的解決方案。

水利專業(yè)軟件；云平臺安全；精英軟件；群體軟件

1 研究背景

水利專業(yè)軟件是指在水利行業(yè)使用的具有水利專業(yè)特性的計算機軟件［1］，兼具專業(yè)性強、功能復雜、對計算性能要求高、標準化程度低、可復用性弱、質量評價困難等特點。長期以來，水利專業(yè)軟件的開發(fā)都是采用獨立小團隊模式進行軟件設計、開發(fā)和維護。這種研發(fā)模式效率低，不利于軟件成果的應用推廣和可持續(xù)利用。

云計算作為一種新的資源使用和交付模式，已經(jīng)從最初的概念階段發(fā)展到目前實用化的成熟階段，是當前信息化建設的發(fā)展方向之一［2］。云計算技術也是水利專業(yè)軟件開發(fā)瓶頸的解決方案之一。運用云計算技術建設水利專業(yè)軟件云平臺，可以革新水利專業(yè)軟件研發(fā)模式；提供水利專業(yè)軟件共享平臺，分享已經(jīng)開發(fā)成型的水利專業(yè)軟件；建立水利專業(yè)軟件公共服務平臺，提供軟件在線升級更新、自主選擇模型生成軟件的服務；為水利專業(yè)軟件開發(fā)所面臨的問題提供了新的解決途徑。

隨著水利專業(yè)軟件云平臺的建立及其應用推廣，平臺安全愈來愈引起人們的重視。平臺安全關系到能否保障軟件開發(fā)者的權益，也關系到軟件開發(fā)者是否愿意提供自主知識產權軟件放到云端與其他用戶分享，以及水利專業(yè)軟件云平臺是否能夠持續(xù)良性發(fā)展。

本文介紹了水利專業(yè)軟件云平臺的功能結構，對水利專業(yè)軟件平臺面臨的安全風險進行了探討，并針對這些安全風險提出了相應的解決方案。

2 水利專業(yè)軟件云平臺概述

在水利科研、管理過程中，面臨著眾多科學技術問題，大量問題都需要利用一些通用的技術分析流程和標準化的軟件工具，采用詳細的水文、水力學、結構、巖土等模型，通過大量分析計算工作，才能提出合理的評價以及經(jīng)濟有效的工程措施。在計算機技術日益發(fā)展的今天，水利專業(yè)軟件有力地支撐了水利勘測、規(guī)劃、設計、建設、以及科研和管理等工作，已逐漸成為推動我國水利現(xiàn)代化發(fā)展的重要力量。

水利專業(yè)軟件大體可分為精英軟件和群體軟件。精英軟件是指由水利專業(yè)領域里具有較高知名度的專家、學者領銜開發(fā)，具有自主知識產權，在行業(yè)中受到廣泛好評，精確性在實際應用中已經(jīng)得到認可的軟件。群體軟件是指軟件功能原理相對簡單，使用方便快捷，用戶參與軟件開發(fā)的開源專業(yè)軟件。與精英軟件相比，群體軟件開發(fā)大眾化，具有群體性，開發(fā)組織多是社團，開發(fā)模式上鼓勵大眾參與。精英軟件面臨的主要問題是軟件開發(fā)效率低，成果評價和推廣困難，而群體軟件的主要問題是標準化程度低，軟件產品質量難以得到控制和保障，功能和性能不能滿足應用需求。為上述水利專業(yè)軟件開發(fā)過程中存在的問題提供解決思路，已經(jīng)有人提出采用云計算技術，搭建水利專業(yè)軟件云平臺，進行水利專業(yè)軟件開發(fā)模式的轉換。

云計算的概念是谷歌公司在2006年首先提出的［3］，其理念是將硬件、開發(fā)平臺、應用軟件作為服務設施集成提供給用戶，傳遞資源和服務的形式類似于電力輸送模式。云計算平臺架構主要包括三個層次：基礎設施即服務層（IaaS），為用戶提供完善的計算機基礎設施服務；平臺即服務層（PaaS），用戶無需下載或安裝，即可通過因特網(wǎng)為用戶提供服務平臺和軟件研發(fā)環(huán)境等相關服務；軟件即服務層（SaaS），為用戶提供應用軟件服務。用戶使用云平臺，無需購置硬件設備、操作系統(tǒng)，只需根據(jù)應用需求購買適量的云服務，便可搭建屬于自己的應用系統(tǒng)、滿足應用需求。云計算技術的應用使研究人員能夠更加關注于專業(yè)的業(yè)務處理，而非軟硬件系統(tǒng)設施的架構。

水利專業(yè)軟件云服務平臺旨在運用云計算技術建設水利專業(yè)軟件公共服務平臺，借助于互聯(lián)網(wǎng)的普適性、泛在性、開放性、標準化和可評價等優(yōu)良特點，支持水利專業(yè)軟件的研發(fā)和應用推廣。水利專業(yè)軟件平臺采用私有云模式SPI架構搭建，自底向上由水利專業(yè)軟件基礎平臺（IaaS）、水利專業(yè)軟件開發(fā)平臺（PaaS）和水利專業(yè)軟件應用軟件平臺（SaaS）三層組成［4］。水利專業(yè)軟件基礎平臺基于虛擬化技術和云計算技術，提供高速度、大容量、高可靠性、可伸縮的基礎設施平臺；水利專業(yè)軟件開發(fā)平臺提供遵循水利軟件模型標準的、基于模型庫的軟件自動生成技術，實現(xiàn)快速、優(yōu)質、標準化自動生成軟件的功能；水利專業(yè)軟件應用平臺提供面向水利行業(yè)的標準化水利專業(yè)軟件成果（產品）資源，包括水利精英軟件和群體軟件。該平臺基于水利軟件庫，遵循水利專業(yè)軟件平臺數(shù)據(jù)標準和軟件標準，為有效促進水利行業(yè)自主知識產權專業(yè)軟件成果的應用推廣提供技術和服務保障。

3 水利專業(yè)軟件云服務平臺面臨的安全風險

云平臺的搭建解決了水利專業(yè)軟件存在的推廣應用難，開發(fā)持續(xù)性差等問題，然而隨之而來的云平臺安全問題也備受業(yè)界關注。保障水利專業(yè)軟件云平臺的安全，是關系到云平臺順利運行和持續(xù)發(fā)展的重要因素。如何讓用戶放心將自己的軟件放入云平臺與他人分享，是云平臺迫切需要解決的問題。云平臺安全與傳統(tǒng)的信息安全或網(wǎng)絡安全相比，除繼承性之外，還具有自身的新特點：（1）由物理計算資源共享帶來的虛擬機的安全問題；（2）由數(shù)據(jù)的擁有者與數(shù)據(jù)之間的物理分離帶來的用戶隱私保護與云計算可用性之間的矛盾；（3）來自網(wǎng)絡的攻擊增加且難以辨別；（4）訪問控制和服務授權復雜化；（5）由于水利專業(yè)軟件的特殊性帶來的安全威脅等。這些在傳統(tǒng)計算模式下未曾出現(xiàn)過的問題都需要新的科學技術予以解決。雖然水利專業(yè)軟件云平臺屬于私有云，與公有云相比其安全性要高很多，但是仍然不可避免的存在云平臺的安全問題。

3.1 虛擬機安全風險虛擬化技術是云計算技術的核心，該技術應用于操作系統(tǒng)和基礎物理介質中間，允許多個操作系統(tǒng)和應用共享硬件資源，同時負責動態(tài)的分配虛擬機資源。傳統(tǒng)的物理防護措施，如防火墻、入侵檢測（IDS和IPS）等，能夠檢查出網(wǎng)絡通信中的可疑信息，但是運行于同一臺服務器上的不同虛擬機之間可以通過虛擬機管理程序直接通信。因此，如果一個虛擬機被攻破，運行于同一臺物理服務器上的其他虛擬機也會被波及，而傳統(tǒng)的檢查物理網(wǎng)絡數(shù)據(jù)的防護措施對此則束手無策。

3.2 數(shù)據(jù)安全風險在水利專業(yè)軟件云平臺上，用戶對放置在云平臺上的專業(yè)軟件及相關數(shù)據(jù)失去物理控制，對于自身的數(shù)據(jù)是否受到保護，計算任務是否被正確執(zhí)行等都不能確定。傳統(tǒng)的數(shù)據(jù)中心采用集中的數(shù)據(jù)存儲方式，通過數(shù)據(jù)加密、防火墻等對用戶存儲的數(shù)據(jù)進行保護。在云平臺上，數(shù)據(jù)存儲在數(shù)據(jù)中心，采用分布式、異地存儲的方式，單一的數(shù)據(jù)加密和防火墻保護已經(jīng)不能保障云平臺數(shù)據(jù)的安全。云平臺的信息傳遞方式依賴于公共互聯(lián)網(wǎng)，如何在公共網(wǎng)絡中對傳輸中的數(shù)據(jù)進行安全保護，確保數(shù)據(jù)的完整性、可信性和不被干擾，這都對傳統(tǒng)的數(shù)據(jù)加密方式和保護方法提出了新挑戰(zhàn)。

3.3 來自網(wǎng)絡的攻擊風險與傳統(tǒng)數(shù)據(jù)中心相比，云平臺由于資源相對集中更容易受到黑客關注，因此受攻擊的數(shù)量也較傳統(tǒng)數(shù)據(jù)中心顯著上升。在云環(huán)境下，攻擊和病毒的數(shù)量大幅度增加，提高了辨別難度，造成的破壞程度明顯超過了傳統(tǒng)的數(shù)據(jù)中心。而且，在云平臺的多租戶環(huán)境下，網(wǎng)絡攻擊也可連帶破壞多個終端系統(tǒng)。

3.4 服務授權與訪問控制復雜化風險傳統(tǒng)平臺的身份認證與訪問體系中，都有一套各自獨立的用戶信息管理子系統(tǒng)，負責該系統(tǒng)的帳號管理、用戶認證和授權，并且以日志形式審計操作者的系統(tǒng)內行為。在云計算環(huán)境下，存在多個系統(tǒng)組成的系統(tǒng)群，每個系統(tǒng)根據(jù)其各自的權限和應用范圍，提供不同的身份認證體系，導致用戶需要提供多個賬戶和密碼，增加了用戶操作的復雜性。而傳統(tǒng)的單一身份認證和服務授權機制，無法規(guī)避云平臺環(huán)境下的訪問控制風險。

3.5 針對水利專業(yè)軟件特殊應用的安全威脅經(jīng)過多年的積累，已經(jīng)沉淀下來很多優(yōu)秀的水利專業(yè)軟件，既包括群體軟件也包括精英軟件。這些寶貴的財富要通過云平臺更加合理的利用，共享已有的優(yōu)秀軟件，鼓勵大眾開發(fā)新的軟件，并能夠實現(xiàn)軟件模型在線組裝的功能。如何既提供軟件共享服務，又確保軟件的知識產權安全，是云平臺安全需要解決的問題。

4 水利專業(yè)軟件云平臺安全解決方案

鑒于以上分析，基于云計算技術的水利專業(yè)軟件平臺在安全風險和技術要求上與傳統(tǒng)的信息化平臺有著本質的不同。2009年12月17日，云安全聯(lián)盟（CSA）發(fā)布了《云安全指南》，介紹了云計算的架構、云計算安全控制模型等。CSA指出，對于云計算的安全保護，通過單一手段是遠遠不夠的，需要一個完備的安全體系［5］。傳統(tǒng)安全技術，如加密機制、安全認證機制、訪問控制策略等通過集成創(chuàng)新，可提供一定的支撐，但不能完全解決云計算的安全問題。需要進一步研究多層次的云安全體系（模型）、加密算法、動態(tài)服務授權、虛擬機隔離、病毒防護策略、攻擊防御檢測、安全域設定等方法，為云計算提供全方位的技術支持。為此，本文提出了一個云計算平臺的安全體系架構（見圖1），針對不同層次、不同應用，以安全監(jiān)控為核心，結合傳統(tǒng)攻擊防御手段，采用多層次的安全技術措施，多方位的解決云計算平臺所面臨的安全問題。

圖1 水利專業(yè)軟件云計算平臺安全體系架構

4.1 虛擬安全云計算平臺中，虛擬機間能夠跳過傳統(tǒng)的物理網(wǎng)絡鏈路，通過虛擬機管理程序直接通訊，從而導致某些新的安全風險。為解決這一問題，首先應該為每一個虛擬機提供一個完全獨立的運行環(huán)境，使之擁有獨占的計算、存儲和網(wǎng)絡資源。同時，還應使用虛擬機安全機制（例如虛擬機蜜罐、虛擬機鏡像等），對虛擬機背板上的流量進行細粒度的監(jiān)測和凈化。建議把不同類別的應用程序分離，使之分別運行在不同物理服務器的虛擬機上，而對同臺物理服務器的虛擬機實施同等級別的信任控制，防止旁側攻擊造成平臺安全性的降低。

4.2 數(shù)據(jù)加密采用傳統(tǒng)的加密方式，數(shù)據(jù)在云平臺計算時需要完成繁瑣地加密和解密操作，極大地增加了云平臺資源開銷，因此傳統(tǒng)的加密機制不完全適用于云計算平臺這種新型計算模式。完全同態(tài)加密為這一矛盾的解決提供了新的技術途徑。在理想的情況下，云端在密文上的任何操作都能夠直接對應到明文上的相應操作（即完全同態(tài)加密性）。用戶可以放心地要求云端對數(shù)據(jù)進行指定的計算操作而不用擔心泄露自己的隱私，因為這些被操作的數(shù)據(jù)在云計算中心都是以密文的形式存在的。如果完全同態(tài)加密能夠高效安全地實現(xiàn)，我們就可以在不完全信任云計算中心的情況下既實現(xiàn)保護用戶隱私的目的，同時享有云計算中心提供的各種計算服務。

在完全同態(tài)數(shù)據(jù)加密基礎上，輔以傳統(tǒng)的數(shù)據(jù)混淆、數(shù)據(jù)完整性驗證、平臺軟件安全驗證和服務安全驗證等安全措施，可以從根本上解決軟件與數(shù)據(jù)在平臺上的安全運行問題。

4.3 訪問控制和安全域管理在云平臺采用基于跨域的聯(lián)邦身份認證機制［6］進行跨域管理或安全域的身份認證和訪問權限管理。統(tǒng)一的身份認證、信任服務授權和動態(tài)訪問控制，將擁有一致用戶群的系統(tǒng)進行關聯(lián)，統(tǒng)一用戶信息，提供單登錄認證入口。對于用戶，一次登錄之后便可以在相應的應用系統(tǒng)群中自由訪問，而不必在每一個系統(tǒng)分別使用獨立的賬號和密碼登錄。用戶通過云平臺身份認證后，繼續(xù)對用戶進行動態(tài)行為審計，通過行為軌跡來判斷是否存在違規(guī)操作。這種方法并非只依賴于身份認證，而是在身份認證后仍然對用戶進行監(jiān)控、審計。

對用戶及管理人員實施基于安全域的分級管理，授權應用和管理模塊根據(jù)用戶信息數(shù)據(jù)庫中的數(shù)據(jù)進行分級授權管理，不同級別的用戶只能在特定安全域范圍內操作，享有特定域環(huán)境下的權利和服務，禁止跨域的非法訪問。安全域之間根據(jù)安全需求，采用防火墻進行隔離，確保安全域之間的數(shù)據(jù)傳輸符合相應的訪問控制策略，確保本區(qū)域內的數(shù)據(jù)安全。

采用云平臺安全審計技術，對云平臺運行過程中，正常流量、異常狀態(tài)和安全事件進行記錄和監(jiān)管，對用戶以及管理員操作進行實時監(jiān)控和日志記錄，防止違反云平臺安全策略的情況發(fā)生，也可用于責任認定、性能調優(yōu)和安全評估等目的。通過分析審計記錄，輔助管理者對云平臺運行情況進行有效認知。

4.4 安全監(jiān)控在水利專業(yè)軟件云計算平臺中，終端用戶對數(shù)據(jù)的計算、傳輸和存儲都需要通過網(wǎng)絡，這給數(shù)據(jù)竊取提供了可乘之機。因此，應該通過加密數(shù)據(jù)、建立SSL隧道、采用VPN技術等方式來保障數(shù)據(jù)傳輸過程中的安全性。同時，通過防火墻、防病毒墻、IDS、網(wǎng)路崗等安全組件對基礎設施、中間件和服務軟件的整個結構進行全方位的檢查和全過程的監(jiān)控。

4.5 保障水利專業(yè)軟件安全群體軟件、精英軟件以及模型軟件是水利軟件云計算平臺的核心內容，防止該類軟件和數(shù)據(jù)的非法獲取和傳播是平臺安全的第一要務。針對云平臺軟件安全采取以下措施：

（1）群體軟件安全。群體軟件覆蓋范圍廣泛，這里以水利工程計算中常用的Excel計算表格為例。在云平臺上運行的Excel文件通常采用宏代碼進行功能計算，而宏代碼是明文表示，放在云平臺的Excel軟件通過部分功能禁用，來保障Excel文件的宏代碼不被非法查看?？刹捎密浖踩巛^為通用的Hook技術，對在云平臺上運行的Excel文件進行指令劫持。凡運行于平臺上的Excel文件，對用戶操作中涉及打開宏的指令，給予攔截和干擾，改變其原有的“打開或查看宏”的功能，這樣就可以保證平臺用戶無法在線查看到Excel宏的源代碼，可在平臺層面解決群體軟件源代碼泄漏的問題。針對部分授權用戶可以下載Excel計算文件這一功能，可以采用對Excel宏的源代碼進行水印技術處理，下載后的軟件僅供授權用戶自行使用，如果授權用戶進行散播或盜版，可以通過水印技術找到傳播源頭，并對其進行責任追究，水印技術對保護自主知識產權起到電子取證作用。

（2）精英軟件安全。以可執(zhí)行軟件（EXE文件）為例，采用軟件加密與平臺防拷貝技術相結合的方案進行解決。軟件加密技術分為軟加密和硬加密兩種：軟加密是指通過授權碼進行解密使用的加密方式；硬加密主要是指將密鑰存儲于硬件加密狗中，運行的過程中需要帶狗運行，保障軟件安全。通過軟件加密處理，軟件即使被拷貝沒有密鑰也無法運行；所采用的加密算法參考國家標準，采用密鑰長度在128位以上，保障精英軟件破解難度；也可采用安全芯片技術進行軟件的秘鑰存儲。

（3）對模型軟件的安全問題，同樣可以采用軟件加密和軟件防拷貝技術保障其安全。

5 結論

云計算技術是面向服務的新型計算模式，為水利專業(yè)軟件研發(fā)過程中存在的問題提供了解決思路，幫助水利專業(yè)軟件的開發(fā)擺脫目前所面臨的困境，有效促進水利專業(yè)軟件的發(fā)展。同時，隨著新技術的出現(xiàn)，現(xiàn)有的安全體系逐漸不再適應新的攻擊，安全防范措施也要隨之改進和更新。云平臺的安全是復雜的問題，需要構建一個安全體系來保障云平臺的運行，實現(xiàn)軟件與數(shù)據(jù)的安全共享和復用。本文提出了系統(tǒng)化的水利云平臺安全保障方案，對水利專業(yè)軟件云的實用化具有重要現(xiàn)實意義。

［1］ 陳煜，王樹偉，王冠華.水利工程建設管理云計算平臺的研究與實踐［J］.水利信息化，2013（5）：14-18.

［2］ 賈克，李筱琳.云計算的關鍵技術及發(fā)展前景［J］.數(shù)字技術與應用，2013（8）：242-242.

［3］ Ling Qian，Luo ZG.Cloud Computing：An Overview［J］.Springer Berlin/Heidelberg，2009（5931）：626-631.

［4］ 閻繼軍，王冠華，等.水利專業(yè)軟件云計算平臺的研究與實踐［C］//第五屆中國水利水電巖土力學與工程學術研討會.北京：中國水利水電出版社，2014.

［5］ Jansen W，Timothy G.Security Guidance for Critical Areas of Focus in Cloud Computing v3.0［M］.Phoenix：Cloud Security A lliance，2011.

［6］ 李崴，張華.基于SAML的聯(lián)邦身份管理機制研究［C］//全國計算機技術與應用學術會議.合肥：中國科學技術大學出版社，2008.

Security risks of water software cloud computing platform and solutions to them

LIN Lin，WANG Shuwei，MIAO Lun，DUAN Yuanyuan
（Information Center，IWHR，Beijing 100038，China）

Water software is professional and complex in functions with a low degree of standardization，which are usually developed by small teams and used on a small scale.This development mode is ineffi?cient and not conducive to sharing and reusing，so it requires a change.It is auseful attempt to construct aprofessional water software platform with cloud computing technologies，and the difficulties in water soft?ware development can be overcome.Cloud platform，while improving the software development efficiency and reducing the cost，also brings security issues.This paper aims to analyze and discuss the security risks of water software cloud platform，and propose specific solutions.

water software；cloud p latform security；elite software；groupware

53

Adoi：10.13244/j.cnki.jiwhr.2015.04.012

1672-3031（2015）04-0312-05

（責任編輯：王冰偉）

2015-01-07

水利部公益性行業(yè)科研專項（201401033）

林林（1983-），女，北京人，工程師，博士生，主要從事網(wǎng)絡通信技術、水信息學和云平臺等研究。E-mail：linlin@iwhr.com