劉鵬飛

（北京思特奇信息技術(shù)股份有限公司 北京 100086）

1 全體系結(jié)構(gòu)

面臨的安全問題主要有四點(diǎn)。第一需要有合理的安全體系架構(gòu)；第二需要專業(yè)的技術(shù)和經(jīng)驗(yàn)；第三需要大量的自盡和技術(shù)投入；第四系統(tǒng)為開放系統(tǒng)。并且需要大量的伙伴加入。

云平臺(tái)下信息安全整體保護(hù)體系建設(shè)的目標(biāo)是一句云計(jì)算的特點(diǎn)，建立能滿足云計(jì)算建設(shè)要求并能云該云計(jì)算的基礎(chǔ)設(shè)施，業(yè)務(wù)支撐，運(yùn)維管理，安全保障和智能服務(wù)等五個(gè)方面內(nèi)容的完整信息安全保障體系。云平臺(tái)的安全保護(hù)環(huán)境從邏輯上分為云安全計(jì)算環(huán)境，云安全區(qū)域邊界，云拿權(quán)通信網(wǎng)絡(luò)以及云安全管理中心。

云計(jì)算平臺(tái)和傳統(tǒng)計(jì)算平臺(tái)最大的區(qū)別是計(jì)算環(huán)境，云計(jì)算將多個(gè)計(jì)算實(shí)體整合行成為一個(gè)系統(tǒng)，相對(duì)的比傳統(tǒng)計(jì)算平臺(tái)更加復(fù)雜。云計(jì)算環(huán)境完成了客戶要求的工作后，成果通過一個(gè)俄安全的途徑傳輸并最終展現(xiàn)在客戶端上。云計(jì)算環(huán)境的通信網(wǎng)絡(luò)就是保證云計(jì)算環(huán)境到客戶端，云計(jì)算環(huán)境之間進(jìn)行信息傳輸以及實(shí)施安全策略的一個(gè)部件。區(qū)域邊界是云計(jì)算環(huán)境云通信網(wǎng)絡(luò)實(shí)現(xiàn)邊界連接和實(shí)施安全策略的相關(guān)部件。云計(jì)算環(huán)境應(yīng)該是可控的，在這一可控的云區(qū)域與外部的不可控區(qū)域之間，應(yīng)遵循一套規(guī)則來確保通過認(rèn)證的用戶才能管理和使用云平臺(tái)和他的應(yīng)用程序，從而保證環(huán)境區(qū)域的安全。

2 安全機(jī)制

云計(jì)算的最終用戶要求他們的服務(wù)請(qǐng)求會(huì)被云計(jì)算平臺(tái)正確的執(zhí)行，而且他們的數(shù)據(jù)不會(huì)被惡意修改或使用，反之，云計(jì)算平臺(tái)對(duì)使用他的大量的用戶所請(qǐng)求服務(wù)器的應(yīng)用也有要求，他必須保證來自用戶的應(yīng)用安全攻擊不會(huì)影響到整個(gè)平臺(tái)，需要通過雙向約束來完成，其中通過chaos系統(tǒng)進(jìn)行對(duì)惡意操作系統(tǒng)的約束，shepherd是對(duì)用戶的惡意應(yīng)用進(jìn)行控制。

行為約束就是通過活動(dòng)主體的行為監(jiān)控，管理約束的措施，使得其行為不會(huì)對(duì)活動(dòng)的客體造成不良的影響，行為制約有練個(gè)特性：一致性和強(qiáng)制性，一致性指對(duì)所有活動(dòng)主體行為采取統(tǒng)一約束機(jī)制。行為制約的強(qiáng)制性指對(duì)所有的主體，不論其醫(yī)院如何，都必須接受并遵守行為制約機(jī)制的約束。

基于云計(jì)算的行為制約包括了兩個(gè)不同層次的制約，即云計(jì)算平臺(tái)外部的和云計(jì)算內(nèi)部的，售前從云計(jì)算平臺(tái)的外部來說就是對(duì)云計(jì)算平臺(tái)和用戶行為之前的約束，其次是進(jìn)入與計(jì)算平臺(tái)內(nèi)部之后，多個(gè)用戶的數(shù)據(jù)或應(yīng)用程序和云計(jì)算平臺(tái)中的操作系統(tǒng)行為之間的約束。

對(duì)云計(jì)算平臺(tái)外部的行為約束機(jī)制而言，約束主體是云計(jì)算的用戶，客體是云平臺(tái)，云計(jì)算用戶和云計(jì)算平臺(tái)之間的關(guān)系并不是可靠的，一方面用戶需要確定平臺(tái)提供服務(wù)是正確的，應(yīng)用是否被執(zhí)行，另一方面，云平臺(tái)中有多少用戶，云平臺(tái)需要確認(rèn)用戶的所用服務(wù)安全攻擊不會(huì)影響到平臺(tái)本身，還要保證其他用戶的數(shù)據(jù)或應(yīng)用不被惡意使用。

在云計(jì)算內(nèi)部：首先，多個(gè)用戶的數(shù)據(jù)或應(yīng)用程序要存儲(chǔ)或運(yùn)行在因計(jì)算的平臺(tái)中，云計(jì)算通過用戶文件隔離來解決數(shù)據(jù)保護(hù)的問題。云計(jì)算同時(shí)考慮傳統(tǒng)操作系統(tǒng)不可靠的問題。

3 CHAOS系統(tǒng)

CHAOS的設(shè)計(jì)目標(biāo)是對(duì)操作系統(tǒng)行為進(jìn)行約束，在不可信的環(huán)境匯總完成對(duì)云計(jì)算的保護(hù)。它能建立一個(gè)對(duì)應(yīng)與操作系統(tǒng)透明的行為約束層，這個(gè)約束層完全控制數(shù)據(jù)在操作系統(tǒng)和應(yīng)用之間的交互，這樣保護(hù)了數(shù)據(jù)，避免了惡意竊取。CHAOS建立的行為約束層具有透明性和強(qiáng)制性。透明性保證了應(yīng)用可以不需要專門進(jìn)行修改就可以運(yùn)行在CHAOS中；強(qiáng)制性則使得操作系統(tǒng)操作硬件資源必須通過CHAOS，惡意的操作系統(tǒng)因?yàn)闆]有權(quán)限而無法進(jìn)行調(diào)用。CHAOS系統(tǒng)將用戶分為兩類：正常應(yīng)用與受約束的應(yīng)用。正常應(yīng)用在進(jìn)行系統(tǒng)調(diào)用時(shí)不用通過CHAOS進(jìn)行約束，以提高效率。受約束的在進(jìn)行交互是必須經(jīng)過CHAOS，以確保操作都是被允許的。

在操作系統(tǒng)匯總，應(yīng)用是以相關(guān)進(jìn)程的形式執(zhí)行的每個(gè)進(jìn)行可以分為三部分：

①進(jìn)程上下文：進(jìn)程執(zhí)行時(shí)CPU寄存的值，進(jìn)行運(yùn)行的狀態(tài)，堆棧中的信息一起被稱為上下文，為了確保下次運(yùn)行時(shí)可以繼續(xù)執(zhí)行。

②內(nèi)存頁：內(nèi)存管理中是以頁為單位進(jìn)行處理的。

③輸入輸出數(shù)據(jù)。

4 Shepherd系統(tǒng)

Shepherd是對(duì)于與西寧在云平臺(tái)上的用戶進(jìn)行行為約束，他也是虛擬監(jiān)控器的基礎(chǔ)上實(shí)現(xiàn)對(duì)異常進(jìn)程進(jìn)行行為監(jiān)控，以防止異常行為對(duì)平臺(tái)的破壞。Shepherd的三個(gè)功能為：權(quán)限審查，異常檢測(cè)和安全隔離。

Shepherd的權(quán)限審查,來建立對(duì)硬件設(shè)備資源調(diào)用的安全策略。當(dāng)用戶進(jìn)行系統(tǒng)調(diào)用時(shí)，審計(jì)魔窟啊根據(jù)制定的安全策略對(duì)應(yīng)用進(jìn)程將要使用的資源進(jìn)行權(quán)限審查，以確定涉及的資源是否被允許。Hepherd的安全策略可以阻止異常系統(tǒng)調(diào)用對(duì)特權(quán)資源的不安全操作，也阻止用戶越權(quán)限等操作。

Shepherd的異常監(jiān)測(cè)，其工作是用來判斷一個(gè)進(jìn)程的運(yùn)行是否屬于安全范圍。Shepherd首先會(huì)建立一個(gè)關(guān)于系統(tǒng)調(diào)用進(jìn)行對(duì)比的模型，通過應(yīng)用正常執(zhí)行時(shí)通過機(jī)器學(xué)習(xí)的方法，對(duì)執(zhí)行過程進(jìn)行學(xué)習(xí)和記錄。建立模型之后，異常監(jiān)控模塊會(huì)對(duì)一般進(jìn)程進(jìn)行監(jiān)控，在這個(gè)過程中與模型進(jìn)行對(duì)比，如果不一致，則判斷為異常進(jìn)程。異常進(jìn)程監(jiān)控分兩種執(zhí)行模式：訓(xùn)練模式和監(jiān)控模式。訓(xùn)練模式中，徐彤對(duì)正常自行進(jìn)程的系統(tǒng)調(diào)用序列進(jìn)行記錄，此時(shí)要求環(huán)境比較安全，以確保收集的信息為正常序列。收集到的信息形成模型后，進(jìn)入監(jiān)控模式，進(jìn)行監(jiān)控，當(dāng)出現(xiàn)一個(gè)調(diào)用時(shí)，將其和模型的進(jìn)行對(duì)比，未出現(xiàn)過的額序列，視為異常調(diào)用。

Shepherd的安全隔離

當(dāng)出現(xiàn)一個(gè)異常進(jìn)程后，shepherd系統(tǒng)中的安全隔離模塊會(huì)對(duì)該進(jìn)程所涉及的操作進(jìn)行安全隔離。如果異常進(jìn)程中涉及文件系統(tǒng)有關(guān)的系統(tǒng)調(diào)用，安全隔離模塊會(huì)為其專門建立一個(gè)執(zhí)行環(huán)境實(shí)現(xiàn)隔離。安全隔離模塊先去的異常系統(tǒng)調(diào)用所設(shè)計(jì)的文件名，然后再抓們進(jìn)行隔離的文件處理的隔離文件系統(tǒng)中常見對(duì)應(yīng)的影像文件再將此進(jìn)程的文件操作重定向到對(duì)應(yīng)的映像文件。如果進(jìn)程在長時(shí)間內(nèi)沒有進(jìn)行異常操作，那么安全隔離模塊會(huì)將其放回到主文件系統(tǒng)中。如果一個(gè)進(jìn)程涉及的文件只有自己使用，shepherd就會(huì)把它的映像文件放到文件系統(tǒng)匯總，反之如果一個(gè)行程的操作文件被其他的進(jìn)程做了修改，那么這就很可能是一個(gè)攻擊。此時(shí)安全隔離模塊會(huì)將其他進(jìn)程修改的影響文件重命名，然后放置到一個(gè)主文件系統(tǒng)中的特殊區(qū)域，并進(jìn)行安全告警。

5 結(jié)束語

云計(jì)算的安全問題成為了目前阻礙云計(jì)算發(fā)展的一個(gè)重要問題，隨著虛擬平臺(tái)更廣泛的應(yīng)用，安全問題帶來的隱患也更加的明顯。只有發(fā)展虛擬云平臺(tái)概念時(shí)將安全問題放到首要考慮的位置，才能將虛擬化更好的發(fā)展下去。

[1]李開復(fù).云計(jì)算.第十七屆國際萬維網(wǎng)大會(huì)報(bào)告。2009.6

[2]歐陽璟。云計(jì)算，未來的趨勢(shì)。程序員。2008.11