陳鵬　劉軍娥　李倩　張莉

摘 要

隨著云計(jì)算的推進(jìn)和發(fā)展，云平臺(tái)的建設(shè)由基礎(chǔ)設(shè)施向高端的軟件服務(wù)延伸，作為一種平臺(tái)，云平臺(tái)允許開發(fā)者們或是將寫好的服務(wù)放在“云”里運(yùn)行，或是使用“云”里提供的服務(wù)，或二者皆是。與此同時(shí)，云平臺(tái)的可信性問題越來(lái)越引起業(yè)界及用戶的關(guān)注，構(gòu)建可信性平臺(tái)變得越來(lái)越重要。云平臺(tái)除了證明平臺(tái)自身的可信性之外，還必須保證由第三方提供的、運(yùn)行在云平臺(tái)上的服務(wù)在云平臺(tái)運(yùn)行過程中，不會(huì)給云平臺(tái)引入新的風(fēng)險(xiǎn)和隱患，保證云平臺(tái)上的服務(wù)不會(huì)影響云平臺(tái)的可信性。本文結(jié)合與上海證券交易所合作的“證券業(yè)云平臺(tái)研發(fā)與運(yùn)營(yíng)”課題 ，對(duì)可信云平臺(tái)的服務(wù)運(yùn)行管理模式進(jìn)行了探討，結(jié)合ITIL規(guī)范和本單位參與制訂的《可信計(jì)算平臺(tái)可信性度量》系列標(biāo)準(zhǔn)，提出一種對(duì)云平臺(tái)服務(wù)在運(yùn)行階段的可信性管理的機(jī)制。

【關(guān)鍵詞】可信 云平臺(tái) ITIL 威脅模型 防御模型 配置管理 服務(wù)部署

1 前言

云平臺(tái)允許第三方服務(wù)提供商提供的服務(wù)放在“云”里運(yùn)行。云計(jì)算的靈魂在于服務(wù)，服務(wù)的靈魂在于安全可靠，如何打造可信、安全的云平臺(tái)是云服務(wù)商和用戶關(guān)心的問題。由于云平臺(tái)對(duì)于第三方服務(wù)的開放性，打造可信的云平臺(tái)需要滿足：（1）云平臺(tái)自身具有可信保證機(jī)制；（2）云平臺(tái)上的第三方服務(wù)在運(yùn)行中是可靠的。

本文假定云平臺(tái)是已被證明是可信的，作為本文研究的可信根。云平臺(tái)提供一套可信服務(wù)管理框架，以保證運(yùn)行在云平臺(tái)上的服務(wù)是可信的。信任云平臺(tái)的用戶可以安全地使用云平臺(tái)上的。該框架能夠?qū)崿F(xiàn)：（1）防止服務(wù)提供商在服務(wù)運(yùn)行過程中篡改程序代碼，獲取用戶數(shù)據(jù)進(jìn)行惡意操作；（2）防止服務(wù)因其程序依賴的其他程序包和部署環(huán)境發(fā)現(xiàn)的漏洞而受到攻擊。

2 威脅模型

本節(jié)介紹在用戶在使用第三方服務(wù)的過程中可能遇到的威脅模型，及在可信云平臺(tái)中通過計(jì)算手段克服這些威脅的解決方案，使得信任云平臺(tái)的用戶能夠使用可信的服務(wù)。在本文中，云服務(wù)提供商擔(dān)任可信根。

2.1 來(lái)自服務(wù)提供商的威脅

部署在云平臺(tái)上的第三方服務(wù)在運(yùn)行過程中主要受到兩種來(lái)源的威脅，分別來(lái)自服務(wù)提供商和黑客等外部群體。本節(jié)對(duì)服務(wù)提供商在服務(wù)運(yùn)行過程中篡改服務(wù)源碼的威脅及防御措施進(jìn)行介紹。

2.1.1 威脅模型

圖2-1展示了一個(gè)用戶在使用第三方提供的服務(wù)時(shí)存在的威脅模型。服務(wù)提供商提供了一個(gè)惡意服務(wù)程序，部署在服務(wù)提供商的服務(wù)器上，服務(wù)提供商對(duì)服務(wù)進(jìn)行運(yùn)行和控制。一個(gè)信任這個(gè)服務(wù)提供商的用戶發(fā)現(xiàn)了這個(gè)服務(wù)并訪問該服務(wù)。該服務(wù)能夠獲取到用戶的數(shù)據(jù)，并有可能不正確地使用用戶數(shù)據(jù)，或在用戶未知的情況下，將用戶數(shù)據(jù)泄露給其他的惡意服務(wù)。但在此模型中，用戶想要使用該服務(wù)，只能相信服務(wù)提供商，此外并無(wú)其他選擇。

2.1.2 防御模型

圖2-2展示了針對(duì)威脅模型1的防御模型。云平臺(tái)提供商作為中立的第三方可信平臺(tái)，對(duì)發(fā)布在云平臺(tái)上的服務(wù)進(jìn)行嚴(yán)格的驗(yàn)證，并對(duì)服務(wù)實(shí)例進(jìn)行封裝，防止實(shí)例被篡改。驗(yàn)證主要包括服務(wù)是否存在漏洞，是否存在惡意代碼等進(jìn)行全方面的檢查。封裝即保證一旦實(shí)例運(yùn)行起來(lái)后就不能被修改。在云平臺(tái)，云服務(wù)提供商將服務(wù)封裝在虛擬機(jī)鏡像中，以實(shí)例的方式運(yùn)行服務(wù)，使得實(shí)例被隔離并防止服務(wù)提供商對(duì)實(shí)例的修改。這樣，在云服務(wù)提供商將服務(wù)部署到云平臺(tái)之后，服務(wù)提供商無(wú)法在其中增加惡意代碼，也無(wú)法獲取用戶數(shù)據(jù)。

通過上述措施，信任云平臺(tái)的用戶可以放心的使用云平臺(tái)中部署的第三方服務(wù)。

2.2 來(lái)自外部的攻擊

除了前文介紹的來(lái)自服務(wù)提供商的威脅，服務(wù)還可能因其程序依賴的程序包或者部署環(huán)境存在漏洞而受到黑客等外部群體的攻擊。本節(jié)對(duì)該類威脅模型和針對(duì)該類威脅的防御模型進(jìn)行介紹。

2.2.1 威脅模型

圖2-3展示了服務(wù)在運(yùn)行過程中存在的漏洞威脅模型。2013年7月17日的Struts2高危漏洞事件造成了大規(guī)模的信息泄露。利用漏洞，黑客能夠發(fā)起遠(yuǎn)程攻擊，輕則竊取網(wǎng)站數(shù)據(jù)信息，嚴(yán)重的可取得網(wǎng)站服務(wù)器控制權(quán)，構(gòu)成信息泄露和運(yùn)行安全威脅，無(wú)數(shù)的網(wǎng)民受其影響。7.17事件只是我們的漏洞威脅模型中的一個(gè)案例。服務(wù)實(shí)例在運(yùn)行過程中，可能會(huì)因?yàn)槌绦蛞蕾嚨陌ㄈ鏢truts2的Jar包）或部署環(huán)境（如操作系統(tǒng)、數(shù)據(jù)庫(kù)等）存在的漏洞而受到攻擊，在這種情況下，用戶的信息可能會(huì)泄露而造成損失。

2.2.2 防御模型

圖2-4描述了針對(duì)漏洞威脅模型的防御模型，云平臺(tái)構(gòu)建漏洞預(yù)防機(jī)制。云平臺(tái)通過爬蟲實(shí)時(shí)獲得互聯(lián)網(wǎng)上公布的漏洞信息，對(duì)安全信息庫(kù)進(jìn)行不斷更新。可心服務(wù)檢測(cè)引擎監(jiān)測(cè)安全信息庫(kù)中的漏洞，并發(fā)現(xiàn)漏洞可能影響的運(yùn)行在云平臺(tái)中的服務(wù)實(shí)例，并將發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)通知云平臺(tái)提供商，以采取預(yù)防措施，防止服務(wù)受到攻擊，也防止第三方服務(wù)將風(fēng)險(xiǎn)引入云平臺(tái)。

3 解決方案

為了提高云平臺(tái)服務(wù)管理的標(biāo)準(zhǔn)化程度及規(guī)范性，在云平臺(tái)對(duì)第三方服務(wù)的管理中引入了ITIL規(guī)范。ITIL（信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)）于上世紀(jì)八十年代被提出，用于指導(dǎo)IT組織提供更加經(jīng)濟(jì)高效的IT服務(wù)，是一套與產(chǎn)品和行業(yè)無(wú)關(guān)的國(guó)際最佳實(shí)踐。ITIL運(yùn)維服務(wù)支持五大流程，即事件、問題、配置、變更、發(fā)布管理流程。本文基于ITIL規(guī)范及本單位參與制訂的《可信計(jì)算平臺(tái)可信性度量》系列標(biāo)準(zhǔn)，提出一種對(duì)云平臺(tái)服務(wù)可信性管理的機(jī)制。本節(jié)對(duì)與第二章威脅模型相關(guān)的流程進(jìn)行介紹。

3.1 服務(wù)發(fā)布管理

對(duì)于第三方服務(wù)提供商提交給云平臺(tái)的服務(wù)，云平臺(tái)依據(jù)圖3-1的發(fā)布管理流程對(duì)服務(wù)的發(fā)布進(jìn)行嚴(yán)格管理，以預(yù)防服務(wù)提供商在服務(wù)發(fā)布到云平臺(tái)之后，對(duì)于服務(wù)源代碼的惡意篡改行為。

在上述流程中，服務(wù)提供商只負(fù)責(zé)向云平臺(tái)提交服務(wù)，在服務(wù)部署到云平臺(tái)之后，不再具有對(duì)服務(wù)的控制權(quán)，無(wú)法對(duì)運(yùn)行中的服務(wù)進(jìn)行代碼修改等操作，有效預(yù)防威脅模型1中描述的威脅。

服務(wù)驗(yàn)證包括云平臺(tái)服務(wù)管理員對(duì)服務(wù)提供商的資質(zhì)、信用，對(duì)服務(wù)的漏洞掃描等操作，保證初始的服務(wù)是安全的。

服務(wù)封裝指云平臺(tái)將服務(wù)封裝在KVM虛擬機(jī)鏡像中，通過運(yùn)行虛擬機(jī)實(shí)例的方式運(yùn)行服務(wù)，而虛擬機(jī)對(duì)服務(wù)提供商而言是不可見也不可控制的，從而保證服務(wù)實(shí)例的安全性。云平臺(tái)采用Eucalyptus云計(jì)算軟件作為底層的管理軟件，利用Eucalyptus的管理能力能夠?qū)崿F(xiàn)對(duì)服務(wù)實(shí)例的隔離并防止服務(wù)提供商對(duì)服務(wù)實(shí)例的修改，使服務(wù)提供商無(wú)法以root身份登陸去修改軟件代碼和設(shè)置信息。具體過程為：

（1）云平臺(tái)管理員制作KVM鏡像，鏡像中包含服務(wù)提供商上傳的服務(wù)包及運(yùn)行依賴的環(huán)境；

（2）將制作的鏡像相關(guān)文件上傳到云平臺(tái)CLC機(jī)器，Eucalyptus對(duì)鏡像進(jìn)行管理；非云平臺(tái)管理員無(wú)法獲取鏡像和修改鏡像；

（3）用鏡像啟動(dòng)虛擬機(jī)，服務(wù)可對(duì)外訪問?？赏ㄟ^SSH協(xié)議遠(yuǎn)程登陸虛擬機(jī)，SSL私鑰保持機(jī)密，服務(wù)提供商不能通過自己的私鑰來(lái)訪問虛擬機(jī)。

3.2 服務(wù)配置管理

按照?qǐng)D3-2展示的服務(wù)配置管理，云平臺(tái)對(duì)第三方服務(wù)商提供的服務(wù)進(jìn)行規(guī)范的配置管理，規(guī)范化的服務(wù)配置信息存儲(chǔ)在配置信息庫(kù)中。

配置信息由服務(wù)提供商在提交服務(wù)的同時(shí)，提交給云平臺(tái)。配置信息主要包括兩類信息：

（1）服務(wù)依賴的運(yùn)行環(huán)境配置，包括Web服務(wù)器、數(shù)據(jù)庫(kù)等。

（2）服務(wù)程序中依賴的第三方程序包，如Struts Jar包等，本文采用類似Maven的配置文件pom.xml格式的XML文件提交服務(wù)依賴程序包信息，服務(wù)提供商如果使用Maven管理項(xiàng)目則可以直接提交項(xiàng)目的pom.xml文件，否則需按照云平臺(tái)提供的類似pom.xml的文件填寫。

提交之后，云平臺(tái)會(huì)對(duì)配置項(xiàng)信息的完整性進(jìn)行檢查，并將完整的配置項(xiàng)信息提交到配置信息庫(kù)，此后如果發(fā)現(xiàn)配置項(xiàng)信息變化則進(jìn)行變更配置項(xiàng)的操作。

3.3 服務(wù)漏洞監(jiān)測(cè)

在服務(wù)提供商將服務(wù)及服務(wù)配置信息提交給云平臺(tái)，并且云平臺(tái)對(duì)服務(wù)進(jìn)行檢驗(yàn)、封裝并運(yùn)行之后，運(yùn)平臺(tái)的可信服務(wù)監(jiān)測(cè)引擎則不斷監(jiān)測(cè)服務(wù)可能存在的漏洞，并觸發(fā)風(fēng)險(xiǎn)預(yù)警，如圖3-3所示。

云平臺(tái)執(zhí)行網(wǎng)絡(luò)爬蟲程序，實(shí)時(shí)從互聯(lián)網(wǎng)上的多個(gè)權(quán)威的漏洞和安全信息頁(yè)面爬取漏洞和安全信息，并存儲(chǔ)在采集庫(kù)中，采集庫(kù)中的信息經(jīng)過清洗、提取等處理形成不斷更新的安全信息庫(kù)，包括漏洞、補(bǔ)丁、安全事件等信息?？尚欧?wù)監(jiān)測(cè)引擎實(shí)時(shí)監(jiān)測(cè)安全信息庫(kù)中的信息，并根據(jù)這些漏洞、補(bǔ)丁影響的軟件、程序包等信息以及云平臺(tái)服務(wù)的配置項(xiàng)信息，判斷可能會(huì)受到影響的服務(wù)，從而生成風(fēng)險(xiǎn)預(yù)警信息，并進(jìn)入事件管理流程。

通過該系統(tǒng)，云平臺(tái)能夠?qū)崿F(xiàn)對(duì)漏洞、補(bǔ)丁相關(guān)威脅的預(yù)先防范和及時(shí)發(fā)現(xiàn)，降低服務(wù)和云平臺(tái)的風(fēng)險(xiǎn)。

3.4 事件管理

對(duì)于可信服務(wù)監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn)的漏洞風(fēng)險(xiǎn)進(jìn)行規(guī)范的事件管理。首先云平臺(tái)管理員接收全部風(fēng)險(xiǎn)預(yù)警信息，并進(jìn)行判別，對(duì)誤報(bào)的風(fēng)險(xiǎn)直接關(guān)閉。對(duì)于服務(wù)真正存在的潛在風(fēng)險(xiǎn)進(jìn)行分類和在線支持，對(duì)于能夠直接處理的問題直接進(jìn)行解決，否則派發(fā)給云平臺(tái)運(yùn)維工程師進(jìn)行調(diào)查、診斷和解決。

4 總結(jié)

本文基于ITIL服務(wù)管理及《可信計(jì)算平臺(tái)可信性度量》系列標(biāo)準(zhǔn)，制定了可信云平臺(tái)服務(wù)管理方案。云平臺(tái)作為可信根，對(duì)部屬在云平臺(tái)上的服務(wù)進(jìn)行規(guī)范管理，避免了兩種安全威脅：（1）防止服務(wù)提供商在服務(wù)運(yùn)行過程中篡改程序代碼，獲取用戶數(shù)據(jù)進(jìn)行惡意操作；（2）防止服務(wù)因其程序依賴的其他程序包和部署環(huán)境發(fā)現(xiàn)的漏洞而受到攻擊。從而使得信任云平臺(tái)的用戶能夠安全使用云平臺(tái)上部署的第三方服務(wù)提供上提供的服務(wù)。

參考文獻(xiàn)

[1]翰緯ITIL Version 3白皮書[Z].翰緯IT管理研究咨詢中心，2007（O7）.

[2]Web安全：技術(shù)與危機(jī)并進(jìn)[Z].信息安全與通信保密，2010.

[3]可信云平臺(tái)服務(wù)技術(shù)研究，http：//www.doc88.com/p-296946252314.html[Z].2012（06）.

作者簡(jiǎn)介

陳鵬（1979-），男，博士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司總經(jīng)理助理。

劉軍娥（1986-），女，碩士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司軟件工程師。主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)。

李倩（1987-），女，碩士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司軟件工程師。主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)。

張莉（1969-），女，碩士學(xué)位，北京中科院軟件中心有限公司IT服務(wù)部副總經(jīng)理、技術(shù)總監(jiān)，中國(guó)科學(xué)院大學(xué)碩士生導(dǎo)師。主要研究方向?yàn)檐浖軜?gòu)、數(shù)據(jù)挖掘、產(chǎn)品數(shù)據(jù)管理、云計(jì)算。

作者單位

北京中科院軟件中心有限公司 北京市 100190

服務(wù)驗(yàn)證包括云平臺(tái)服務(wù)管理員對(duì)服務(wù)提供商的資質(zhì)、信用，對(duì)服務(wù)的漏洞掃描等操作，保證初始的服務(wù)是安全的。

服務(wù)封裝指云平臺(tái)將服務(wù)封裝在KVM虛擬機(jī)鏡像中，通過運(yùn)行虛擬機(jī)實(shí)例的方式運(yùn)行服務(wù)，而虛擬機(jī)對(duì)服務(wù)提供商而言是不可見也不可控制的，從而保證服務(wù)實(shí)例的安全性。云平臺(tái)采用Eucalyptus云計(jì)算軟件作為底層的管理軟件，利用Eucalyptus的管理能力能夠?qū)崿F(xiàn)對(duì)服務(wù)實(shí)例的隔離并防止服務(wù)提供商對(duì)服務(wù)實(shí)例的修改，使服務(wù)提供商無(wú)法以root身份登陸去修改軟件代碼和設(shè)置信息。具體過程為：

（1）云平臺(tái)管理員制作KVM鏡像，鏡像中包含服務(wù)提供商上傳的服務(wù)包及運(yùn)行依賴的環(huán)境；

（2）將制作的鏡像相關(guān)文件上傳到云平臺(tái)CLC機(jī)器，Eucalyptus對(duì)鏡像進(jìn)行管理；非云平臺(tái)管理員無(wú)法獲取鏡像和修改鏡像；

（3）用鏡像啟動(dòng)虛擬機(jī)，服務(wù)可對(duì)外訪問。可通過SSH協(xié)議遠(yuǎn)程登陸虛擬機(jī)，SSL私鑰保持機(jī)密，服務(wù)提供商不能通過自己的私鑰來(lái)訪問虛擬機(jī)。

3.2 服務(wù)配置管理

按照?qǐng)D3-2展示的服務(wù)配置管理，云平臺(tái)對(duì)第三方服務(wù)商提供的服務(wù)進(jìn)行規(guī)范的配置管理，規(guī)范化的服務(wù)配置信息存儲(chǔ)在配置信息庫(kù)中。

配置信息由服務(wù)提供商在提交服務(wù)的同時(shí)，提交給云平臺(tái)。配置信息主要包括兩類信息：

（1）服務(wù)依賴的運(yùn)行環(huán)境配置，包括Web服務(wù)器、數(shù)據(jù)庫(kù)等。

（2）服務(wù)程序中依賴的第三方程序包，如Struts Jar包等，本文采用類似Maven的配置文件pom.xml格式的XML文件提交服務(wù)依賴程序包信息，服務(wù)提供商如果使用Maven管理項(xiàng)目則可以直接提交項(xiàng)目的pom.xml文件，否則需按照云平臺(tái)提供的類似pom.xml的文件填寫。

提交之后，云平臺(tái)會(huì)對(duì)配置項(xiàng)信息的完整性進(jìn)行檢查，并將完整的配置項(xiàng)信息提交到配置信息庫(kù)，此后如果發(fā)現(xiàn)配置項(xiàng)信息變化則進(jìn)行變更配置項(xiàng)的操作。

3.3 服務(wù)漏洞監(jiān)測(cè)

在服務(wù)提供商將服務(wù)及服務(wù)配置信息提交給云平臺(tái)，并且云平臺(tái)對(duì)服務(wù)進(jìn)行檢驗(yàn)、封裝并運(yùn)行之后，運(yùn)平臺(tái)的可信服務(wù)監(jiān)測(cè)引擎則不斷監(jiān)測(cè)服務(wù)可能存在的漏洞，并觸發(fā)風(fēng)險(xiǎn)預(yù)警，如圖3-3所示。

云平臺(tái)執(zhí)行網(wǎng)絡(luò)爬蟲程序，實(shí)時(shí)從互聯(lián)網(wǎng)上的多個(gè)權(quán)威的漏洞和安全信息頁(yè)面爬取漏洞和安全信息，并存儲(chǔ)在采集庫(kù)中，采集庫(kù)中的信息經(jīng)過清洗、提取等處理形成不斷更新的安全信息庫(kù)，包括漏洞、補(bǔ)丁、安全事件等信息?？尚欧?wù)監(jiān)測(cè)引擎實(shí)時(shí)監(jiān)測(cè)安全信息庫(kù)中的信息，并根據(jù)這些漏洞、補(bǔ)丁影響的軟件、程序包等信息以及云平臺(tái)服務(wù)的配置項(xiàng)信息，判斷可能會(huì)受到影響的服務(wù)，從而生成風(fēng)險(xiǎn)預(yù)警信息，并進(jìn)入事件管理流程。

通過該系統(tǒng)，云平臺(tái)能夠?qū)崿F(xiàn)對(duì)漏洞、補(bǔ)丁相關(guān)威脅的預(yù)先防范和及時(shí)發(fā)現(xiàn)，降低服務(wù)和云平臺(tái)的風(fēng)險(xiǎn)。

3.4 事件管理

對(duì)于可信服務(wù)監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn)的漏洞風(fēng)險(xiǎn)進(jìn)行規(guī)范的事件管理。首先云平臺(tái)管理員接收全部風(fēng)險(xiǎn)預(yù)警信息，并進(jìn)行判別，對(duì)誤報(bào)的風(fēng)險(xiǎn)直接關(guān)閉。對(duì)于服務(wù)真正存在的潛在風(fēng)險(xiǎn)進(jìn)行分類和在線支持，對(duì)于能夠直接處理的問題直接進(jìn)行解決，否則派發(fā)給云平臺(tái)運(yùn)維工程師進(jìn)行調(diào)查、診斷和解決。

4 總結(jié)

本文基于ITIL服務(wù)管理及《可信計(jì)算平臺(tái)可信性度量》系列標(biāo)準(zhǔn)，制定了可信云平臺(tái)服務(wù)管理方案。云平臺(tái)作為可信根，對(duì)部屬在云平臺(tái)上的服務(wù)進(jìn)行規(guī)范管理，避免了兩種安全威脅：（1）防止服務(wù)提供商在服務(wù)運(yùn)行過程中篡改程序代碼，獲取用戶數(shù)據(jù)進(jìn)行惡意操作；（2）防止服務(wù)因其程序依賴的其他程序包和部署環(huán)境發(fā)現(xiàn)的漏洞而受到攻擊。從而使得信任云平臺(tái)的用戶能夠安全使用云平臺(tái)上部署的第三方服務(wù)提供上提供的服務(wù)。

參考文獻(xiàn)

[1]翰緯ITIL Version 3白皮書[Z].翰緯IT管理研究咨詢中心，2007（O7）.

[2]Web安全：技術(shù)與危機(jī)并進(jìn)[Z].信息安全與通信保密，2010.

[3]可信云平臺(tái)服務(wù)技術(shù)研究，http：//www.doc88.com/p-296946252314.html[Z].2012（06）.

作者簡(jiǎn)介

陳鵬（1979-），男，博士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司總經(jīng)理助理。

劉軍娥（1986-），女，碩士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司軟件工程師。主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)。

李倩（1987-），女，碩士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司軟件工程師。主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)。

張莉（1969-），女，碩士學(xué)位，北京中科院軟件中心有限公司IT服務(wù)部副總經(jīng)理、技術(shù)總監(jiān)，中國(guó)科學(xué)院大學(xué)碩士生導(dǎo)師。主要研究方向?yàn)檐浖軜?gòu)、數(shù)據(jù)挖掘、產(chǎn)品數(shù)據(jù)管理、云計(jì)算。

作者單位

北京中科院軟件中心有限公司 北京市 100190

服務(wù)驗(yàn)證包括云平臺(tái)服務(wù)管理員對(duì)服務(wù)提供商的資質(zhì)、信用，對(duì)服務(wù)的漏洞掃描等操作，保證初始的服務(wù)是安全的。

服務(wù)封裝指云平臺(tái)將服務(wù)封裝在KVM虛擬機(jī)鏡像中，通過運(yùn)行虛擬機(jī)實(shí)例的方式運(yùn)行服務(wù)，而虛擬機(jī)對(duì)服務(wù)提供商而言是不可見也不可控制的，從而保證服務(wù)實(shí)例的安全性。云平臺(tái)采用Eucalyptus云計(jì)算軟件作為底層的管理軟件，利用Eucalyptus的管理能力能夠?qū)崿F(xiàn)對(duì)服務(wù)實(shí)例的隔離并防止服務(wù)提供商對(duì)服務(wù)實(shí)例的修改，使服務(wù)提供商無(wú)法以root身份登陸去修改軟件代碼和設(shè)置信息。具體過程為：

（1）云平臺(tái)管理員制作KVM鏡像，鏡像中包含服務(wù)提供商上傳的服務(wù)包及運(yùn)行依賴的環(huán)境；

（2）將制作的鏡像相關(guān)文件上傳到云平臺(tái)CLC機(jī)器，Eucalyptus對(duì)鏡像進(jìn)行管理；非云平臺(tái)管理員無(wú)法獲取鏡像和修改鏡像；

（3）用鏡像啟動(dòng)虛擬機(jī)，服務(wù)可對(duì)外訪問?？赏ㄟ^SSH協(xié)議遠(yuǎn)程登陸虛擬機(jī)，SSL私鑰保持機(jī)密，服務(wù)提供商不能通過自己的私鑰來(lái)訪問虛擬機(jī)。

3.2 服務(wù)配置管理

按照?qǐng)D3-2展示的服務(wù)配置管理，云平臺(tái)對(duì)第三方服務(wù)商提供的服務(wù)進(jìn)行規(guī)范的配置管理，規(guī)范化的服務(wù)配置信息存儲(chǔ)在配置信息庫(kù)中。

配置信息由服務(wù)提供商在提交服務(wù)的同時(shí)，提交給云平臺(tái)。配置信息主要包括兩類信息：

（1）服務(wù)依賴的運(yùn)行環(huán)境配置，包括Web服務(wù)器、數(shù)據(jù)庫(kù)等。

（2）服務(wù)程序中依賴的第三方程序包，如Struts Jar包等，本文采用類似Maven的配置文件pom.xml格式的XML文件提交服務(wù)依賴程序包信息，服務(wù)提供商如果使用Maven管理項(xiàng)目則可以直接提交項(xiàng)目的pom.xml文件，否則需按照云平臺(tái)提供的類似pom.xml的文件填寫。

提交之后，云平臺(tái)會(huì)對(duì)配置項(xiàng)信息的完整性進(jìn)行檢查，并將完整的配置項(xiàng)信息提交到配置信息庫(kù)，此后如果發(fā)現(xiàn)配置項(xiàng)信息變化則進(jìn)行變更配置項(xiàng)的操作。

3.3 服務(wù)漏洞監(jiān)測(cè)

在服務(wù)提供商將服務(wù)及服務(wù)配置信息提交給云平臺(tái)，并且云平臺(tái)對(duì)服務(wù)進(jìn)行檢驗(yàn)、封裝并運(yùn)行之后，運(yùn)平臺(tái)的可信服務(wù)監(jiān)測(cè)引擎則不斷監(jiān)測(cè)服務(wù)可能存在的漏洞，并觸發(fā)風(fēng)險(xiǎn)預(yù)警，如圖3-3所示。

云平臺(tái)執(zhí)行網(wǎng)絡(luò)爬蟲程序，實(shí)時(shí)從互聯(lián)網(wǎng)上的多個(gè)權(quán)威的漏洞和安全信息頁(yè)面爬取漏洞和安全信息，并存儲(chǔ)在采集庫(kù)中，采集庫(kù)中的信息經(jīng)過清洗、提取等處理形成不斷更新的安全信息庫(kù)，包括漏洞、補(bǔ)丁、安全事件等信息?？尚欧?wù)監(jiān)測(cè)引擎實(shí)時(shí)監(jiān)測(cè)安全信息庫(kù)中的信息，并根據(jù)這些漏洞、補(bǔ)丁影響的軟件、程序包等信息以及云平臺(tái)服務(wù)的配置項(xiàng)信息，判斷可能會(huì)受到影響的服務(wù)，從而生成風(fēng)險(xiǎn)預(yù)警信息，并進(jìn)入事件管理流程。

通過該系統(tǒng)，云平臺(tái)能夠?qū)崿F(xiàn)對(duì)漏洞、補(bǔ)丁相關(guān)威脅的預(yù)先防范和及時(shí)發(fā)現(xiàn)，降低服務(wù)和云平臺(tái)的風(fēng)險(xiǎn)。

3.4 事件管理

對(duì)于可信服務(wù)監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn)的漏洞風(fēng)險(xiǎn)進(jìn)行規(guī)范的事件管理。首先云平臺(tái)管理員接收全部風(fēng)險(xiǎn)預(yù)警信息，并進(jìn)行判別，對(duì)誤報(bào)的風(fēng)險(xiǎn)直接關(guān)閉。對(duì)于服務(wù)真正存在的潛在風(fēng)險(xiǎn)進(jìn)行分類和在線支持，對(duì)于能夠直接處理的問題直接進(jìn)行解決，否則派發(fā)給云平臺(tái)運(yùn)維工程師進(jìn)行調(diào)查、診斷和解決。

4 總結(jié)

本文基于ITIL服務(wù)管理及《可信計(jì)算平臺(tái)可信性度量》系列標(biāo)準(zhǔn)，制定了可信云平臺(tái)服務(wù)管理方案。云平臺(tái)作為可信根，對(duì)部屬在云平臺(tái)上的服務(wù)進(jìn)行規(guī)范管理，避免了兩種安全威脅：（1）防止服務(wù)提供商在服務(wù)運(yùn)行過程中篡改程序代碼，獲取用戶數(shù)據(jù)進(jìn)行惡意操作；（2）防止服務(wù)因其程序依賴的其他程序包和部署環(huán)境發(fā)現(xiàn)的漏洞而受到攻擊。從而使得信任云平臺(tái)的用戶能夠安全使用云平臺(tái)上部署的第三方服務(wù)提供上提供的服務(wù)。

參考文獻(xiàn)

[1]翰緯ITIL Version 3白皮書[Z].翰緯IT管理研究咨詢中心，2007（O7）.

[2]Web安全：技術(shù)與危機(jī)并進(jìn)[Z].信息安全與通信保密，2010.

[3]可信云平臺(tái)服務(wù)技術(shù)研究，http：//www.doc88.com/p-296946252314.html[Z].2012（06）.

作者簡(jiǎn)介

陳鵬（1979-），男，博士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司總經(jīng)理助理。

劉軍娥（1986-），女，碩士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司軟件工程師。主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)。

李倩（1987-），女，碩士學(xué)位，現(xiàn)為北京中科院軟件中心有限公司軟件工程師。主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)。

張莉（1969-），女，碩士學(xué)位，北京中科院軟件中心有限公司IT服務(wù)部副總經(jīng)理、技術(shù)總監(jiān)，中國(guó)科學(xué)院大學(xué)碩士生導(dǎo)師。主要研究方向?yàn)檐浖軜?gòu)、數(shù)據(jù)挖掘、產(chǎn)品數(shù)據(jù)管理、云計(jì)算。

作者單位

北京中科院軟件中心有限公司 北京市 100190