導語：租戶安全風險自適應防護機制研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】隨著互聯網時代的極速發展，網絡虛擬機的數量與日俱增，租戶范圍也較廣，不同租戶在安全運維能力方面略有不同，不少租戶在安全風險和預警能力方面較弱，使云環境受到安全風險的影響。云安全管控平臺針對租戶的網絡安全適應能力，根據租戶定制的處置策略，短信通知租戶進行決策，對資源實行靜態評測和動態檢測的彈性模式；按需分配，并按照租戶的決策進行處置，通過對虛擬安全的應用研究，提出了基于租戶安全風險的自適應防護機制。

【關鍵詞】安全風險;云計算;自適應;防護機制

互聯網時代的發展，為網絡平臺的搭建提供了更多發展機遇。以前人們僅關注網絡安全邊界，也在邊界一側，做各種防御，而今自適應安全帶來的理念轉變。現在，安全的防線已深入到業務平臺一側，監測平臺網絡業務的各項指標并分析，進而進行預防或及時處置。為了適應系統規模的彈性化發展，采用云計算技術解決資源共享問題，多數資源池是通過防火墻設備布署，對于租戶而言，諸如數據泄露等來自外網的網絡安全威脅怎樣進行自適應，采取合理的應對機制是當務之急。

一、云計算安全性評測指標

技術指標體系和管理指標體系是包括在云計算安全指標體系內。技術安全指標體系有：主機的系統安全、APP應用安全、網絡數據安全、恢復或備份等[1]。管理安全指標有安全管理機構、安全管理制度、人員的安全管理、系統建設管理、運營維護管理等。上述批標體系，一定程度上滿足了云計算在安全評估方面的需要。基于云計算安全性評測體系的構建方法，形成云計算安全性評測所需增加的控制點，并對大量威脅云安全的計算進行整理、歸納、分析，然后結合傳統信息系統測評的指標體系，把這些控制點整合到大的指標項，最終形成面向云計算的管理指標和技術指標。技術指標的物理安全部分，基于傳統信息安全系統測評的指標項內容，經過分析得出云計算的安全部分無新增控制點，故可直接采用傳統的指標項內容，有：網絡防護、網絡環境安全、設備安全、物理系統安全。指標項共10個，評測子項19個。1.1靜態評測系統安全。（1）評測布署。過程有：評測前期準備、實地評測、方案的編制、分析及報告編制；雙方的溝通與洽談應在評測過程中一直持續。評測前的準備階段：調研現場，對被測系統的基本情況了如指掌[2]。現場評測階段：實地評測準備、現場評測活動、記錄測評結果、確認測評結果等。方案編制階段：包括制定評測對象、確定評測指標等。分析及編制報告階段：判斷單項評測結果、風險分析、形成等級評測結論、編制報告等。（2）評測方法。評測方法通常有：訪談、測試、檢查。訪談本次評測的某傳輸系統，根據傳輸系統的二級信息系統對評測強度的要求。在廣度上，基本覆蓋有關信息系統安全相關人員的類型。在深度方面，應包含通用的問題、高難度問題、可實施的問題。針對某傳輸系統可能被攻擊的問題，采用EASKS方法，應對云計算環境下的入侵檢測和響應，并對該模型的工作流程進行測試[3]。（3）基本指標。參照信息系統使用情況，明確安全保護等級，選擇或制定有效的評測指標，并列出表格形式。備注“新增”指標，是云計算方案新增加的打分項，如果沒有“新增”指標，就以傳統的評測指標來考慮。（4）總體評價。某傳輸系統是一項重要的信息系統，安全保護等級為第二級，有：傳輸系統的業務信息安全保護、系統服務，最終確定信息安全保護等[4]。主機安全：用戶口令復雜度、訪問控制功能、操作系統啟用身份識別功能，部署專門的企業版殺毒軟件；唯一用戶名，禁止操作系統賬戶登錄，數據庫系統已啟用身份鑒別功能[5]。應用安全：系統的登錄控制模塊，管理端口啟用人臉識別、手勢、復雜密碼，以大大提高鑒別復雜信息的準確驗證功能；在法律規定范圍內有允許數據存儲位置；安全管理制度：制定總體方針及利于信息安全策略的工作，有完善的安全管理人員操作規程。1.2動態檢測系統安全。網絡數據獲取。采用基于網絡的入侵檢測方法，在對外InternetSecurity互聯網+安全出口的網絡中增設一臺數據包截獲器，由總部控制并監測該網絡的相關數據包[6]。截獲器采用通用工具Tcpdump。廣泛應用的Tcpdump數據包抓取分析工具，它可以從網絡下截取數據包，并過濾一些特定屬性[7]。將網卡設置為混雜模式，是為了方便截取器能實時監控數據，采用Tcpdump的網絡抓包、服務器、網絡設備的Netflow日志、虛擬機的Syslog日志。協議解析。獲取數據包用Tcpdump，在數據鏈路上都有采集，比如TCP、ICMP、UDP。必須采集到的所有數據進行分類、整理、分析，這樣才能從原始復雜且龐大的數據中提取出更多有效有用的信息。提取和選擇特征。為了降低數據的廣度和維度，先截獲網絡數據包，并對數據包進行協議分解，然后還需過濾數據記錄，并從這些數據中提取和選擇特征。對于檢測網絡入侵問題，提取和選擇特征的首要任務，是在所有記錄數據的屬性中，查找需要采用的屬性特征。如果運用原始數據集，計算的復雜程度，檢測方法都不合適。

二、業務平臺自適應防護機制

平臺云應用。基于自適應安全架構這樣的業務平臺，形成整個安全閉環的同時，能夠降低安全行業里用戶的投入成本[8]。網絡數據庫、操作系統、相關應用軟件的定期更新、病毒防護及補丁更新等，都屬于業務平臺云應用安全[9]。從技術角度來看，安全虛擬機是可以采取的方式之一，每臺服務器有安全策略。優化云環境。因虛擬化環境的特殊性，需要優化傳統的安全防護技術，避免病毒風暴帶來的影響[10]，對所有虛擬機已經共享的掃描結果，不再重復掃描虛擬文件[11]。還須在各操作系統的官網手動下載補丁文件，用戶進入管理平臺后，可通過搜索獲取并下載補丁，此時系統會記錄、匯總相關補丁的下載日志，然后將這一動作路徑，傳輸到安全監控模塊。新一代安全管理平臺，對虛擬化資源進行海量事件采集和統計分析，對全網安全事情進行綜合的智能分析，并提供直接而翔實的報告，滿足用戶需求[12]。通過大量分析報告，管理員也可以輕松地了解區域網絡過去某個時間段的安全狀況，及未來的發展趨勢，實時幫助管理員掌握網絡攻擊的重點，一旦發現有安全風險，提早防范，降低損失。

三、安全風險自適應防護機制

在云環境下，網絡功能虛擬化能力由云平臺提供[13]。為了降低網絡設備高昂的成本，需要使用常用的硬件設備和虛擬化技術等。多種功能軟件的承載，使資源得到最大化利用、靈活共享，實現新業務的快速開展及部署。網絡設備功通過功能抽象和軟硬件解耦，不依賴于專用硬件，自動部署、故障隔離和自愈基于實際業務需求，并進行彈性伸縮。SDN管理平面控制動態下發流表，需要通過南向接口，根據應用軟件的需要完成定向數量的統計及流量轉發功能，實現多臺控制器同時運行，在云平臺中諸如新建、存儲、刪除，或虛擬機被遷移的生命周期發生變化，云平臺可以根據虛擬機的變化情況，通過該管理平面，完成虛擬網絡伴隨虛擬計算資源同時變化，完成數據平面流表調度。對于自適應安全防護，全球最具權威的顧問咨詢公司Gartnet認為有4個階段，“提前預測－實時防御－隨時監控－安全回溯”，簡稱PPDR(PreditivePreventiveDetectiveRetrospective)。從租戶角度，實現對安全業務的“監、管、查、追”的安全防護策略。自適應云安全架構目的是達到系統的安全運營，滿足用戶對安全防護的需求。為租戶適應安全能力構建，首先通過全方位收集云環境下的數據，進行統一歸類、過濾整理，上報到自適應安全主體進行有針對性的處理，最后生成動態的安全策略，再由管理平面下發到云環境中[14]。云平臺的高度融合與彈性擴展，通常由功能層的對調功能與結果展示，再通過統一接口來完成，以保證自適應安全的主體即：安全功能層，實時監控云網絡安全的每一項指標數據，實時完成預測，及時形成分析報告，并有針對性的適時做出更改防御策略的方案，并通過安全資源池和云資源池兩個接口，下發策略給租戶，以做好積極應對。自適應云安全框架，通過管理平面下發安全策略，完成安全目標。根據對云計算網絡計算資產重要性，生成動態安全策略，實現租戶安全的自適應。自適應動態云安全將云環境中的虛擬計算資源等資產信息，進行統一識別，并把資產與用戶作為策略的客體信息存入策略對象庫中[15]。根據受威脅程度、頻率、范圍、深度及重要性，安全功能層自動生成安全策略，并下發到云資源層。

根據云計算發展和使用，通過評測租戶所面臨的云計算安全性評測問題，從兩個方面：靜態的安全性評測和動態的入侵檢測，開展了深入研宄，提出了一種云環境下業務平臺自適應防護機制，及安全風險自適應防護機制。隨著我國對網絡安全相關政策的不斷完善，基于租戶安全風險的自適應防護機制將迎來大好的發展機會。

作者:張征 單位:中國移動通信集團廣東有限公司