肖 慧，谭 彦，毕喜军，谭志远

（1.中国电信股份有限公司广东分公司 广州510081；2.中国电信股份有限公司广东研究院 广州510630）

1 引言

业务平台在迁移到云平台之后，由于虚拟化层的引入，产生了额外的安全风险，管理者在决策过程中都对云平台的风险管理感到疑惑：虚拟化层所产生的安全风险是否能够接受，业务平台云化迁移的过程中是否存在一个量化指标足以反映这个过程中所产生的风险情况？

这一系列的问题源于业务平台迁移到云平台之前，在所处的环境下已部署的多种安全控制措施，由于迁移到云平台之后，安全防护条件均发生了变化，一些传统的安全防御手段无法过渡到虚拟化的环境下继续使用，因此，管理者可能会采用新的基于虚拟化的安全防护手段，而原有的风险评价标准体系需要重新计算甚至无法适用。评估云平台的安全风险时，需要综合多方面的因素，将各种风险因素通过一套面向云平台的全面测评体系进行量化。量化的安全风险系数的意义在于能够衡量安全工作产生的真实价值与绩效，使安全防护有了清晰的目标。但安全风险管理是个动态的过程，在进行风险测评的过程中，一方面需要考虑管理方面的因素，如安全制度的执行情况；另一方面需要考虑技术方面的因素，如是否有认可的风险测评工具，以确保相关的风险系数能够顺利落地。

2 业务平台云化后的风险管理策略

业务平台迁移到云平台之后，业务平台成为云平台的租户，这时，业务平台的管理者需要同时考虑业务平台和云平台的风险。这是因为从攻击者或黑客的角度，只需要找出业务平台或云平台的一个漏洞就可以完成入侵，但从业务平台安全管理员的角度，还需要持续关注业务平台自身的脆弱性，尽可能修复云平台的所有漏洞及问题。在实际情况下，要解决所有的问题是不可能的，所以在运营过程中，关键是做到有的放矢，将有限的资源投入在迫切需要的地方，所以需要一个能够评估系统目前的安全状态、衡量现状与安全策略制度目标之间的差距、定义当前安全威胁级别的综合系数，该系数可反映业务平台当前安全管理和安全防护的水平，帮助安全管理员找出最需要关注的问题。系数的计算精简了安全水平的判断依据，使对系统安全水平的评估更为科学有效，同时也能持续跟踪安全策略落地执行的效果。

2.1 业务平台云化后面临新的威胁

虚拟化技术引入了Hypervisor层和其他新的管理模块，在带来许多新功能的同时，由于其脆弱性也必然成为新的攻击层面，而另外一方面则可能是管理操作上的疏忽，例如，在虚拟化应用中，大多数提供安全保护的进程和功能在初始安装时都未被选择加入，而这些进程和功能在安装之后考虑到系统稳定性问题很难被重新安装，那么，如何代替它们的功能是需要解决的问题。而由于以上的原因，虚拟化产生了如下一些新威胁。

（1）虚拟机逃逸

由于配置失当，虚拟系统间以及虚拟系统和Hypervisor隔离措施不足，产生安全问题，该安全问题可以使虚拟系统脱离原来分配给它的虚拟环境，而逃逸到Hypervisor，继而控制Hypervisor甚至其他虚拟系统。

（2）流量监控失效

虚拟机间通过硬件的背板而不是网络进行通信，因此，这些通信流量对标准的网络安全控制来说是不可见的，无法对它们进行监测、在线封堵，这些安全控制功能在虚拟化环境中都需要采用新的形式。

（3）虚拟机恶性迁移

虚拟机的动态迁移用于快速解决众多客户的虚拟机租用需求问题，但可能导致虚拟机系统脆弱性的快速传播，同一个供应商提供的虚拟机几乎源于相同的镜像。显然，动态迁移过程使得原镜像中的安全漏洞也在不断地复制和传播。攻击者在充分收集已控虚拟机特点及脆弱性的基础上，从网络中通过合适的渗透手段对其他虚拟机进行攻击。

2.2 风险管理的整体功能需求

风险管理的目标是实现整体风险的可视化，可根据安全控制目标及资产范围反映当前业务系统的风险，其依据是各种安全风险的量化指标。量化过程中，根据资产的价值、影响的范围、威胁发生的可能性等统一的标准衡量不同系统的风险值，风险计算通过机密性、完整性、可用性与访问复杂度、访问因素、认证方式综合建模确定风险数值。得出业务系统的风险数值之后，在风险管理上可以根据当前的情况定制未来风险的下降目标，用于衡量风险趋势并实施改进计划。

在业务平台向云迁移的过程中，经历“规划—开发—实施—运维—废弃”等信息系统周期，存在以下一些需要管理者考虑的风险因素。

·原来多种多样的操作系统，在P2V或者V2V的过程中如何实现安全迁移？哪些应该迁移，哪些不能？原来的安全策略如何在基础架构上得到满足（包括安全配置等）？

·云迁移过程的安全性评估，迁移中全生命周期都可能引入新的风险，评估的过程应该怎样，需要检查哪些地方？风险如何评定？最终的安全标准又是什么？

·安全技术标准的问题，需要关注哪些云平台的漏洞？云平台的配置是否规范？

·虚拟资产的识别和风险管理，虚拟机、操作系统、中间件、数据库、虚拟网络设备等风险管理的原则。

除了对虚拟化层的风险管理需求外，还需要辅以以下其他方面的管理需求。

（1）策略管理

实现制度管理流程化与KPI考核是减少运维过程中安全风险的一个重要的管理环节，可对安全制度进行生命周期管理，如创建、草稿、复审、发布等。制度的发布需要进行一定的流程，同时涉及不同岗位人员的审批，最终发布后还包括意见的收集与修订等。应通过风险管理平台实现对安全管理制度的流程化管理，满足制度流程中不同角色的需求。策略管理执行的水平可以用量化级别进行衡量。

（2）业务虚拟资产管理

风险管理的一个重要目标是实现虚拟资产的识别和管理，可通过多种方式将资产信息导入风险管理平台中，在管理物理资产的同时形成逻辑资产，如一个数据库运行多个业务实例，这样逻辑上将属于多个业务资产，其风险与合规性将同时影响多个业务系统资产组。所有的资产可根据资产的重要性进行赋值。

（3）控制框架映射

实现安全控制目标与具体措施、管理制度及标准的映射，实现管理要求及标准的落地，通过这种方式了解策略的符合度情况。首先，将制度映射至控制框架，再映射至具体保护措施，从而反映制度与保护措施的间隙，或者制度的实际符合度情况；其次，控制框架映射至标准法规，如ISO27001、SOX、COBIT等，反映现行保护措施与标准的间隙，即标准、法规的符合度，符合度水平可以用量化级别进行衡量。

3 业务平台云化风险量化方法研究

3.1 业界的研究现状

目前业界提到云计算风险评估相关内容的标准或草案主要有：美国国家标准与技术研究院（NIST）发布的《云计算安全障碍与缓和措施》和欧洲网络信息安全局（ENSIA）发布的 《云计算—信息安全保障框架》、《云计算—信息安全的好处、风险和建议》。

ITU SG17是国际电信联盟（ITU）在安全领域的主导研究组，主要致力于电信网安全、身份管理和语言与描述技术的项目研究和标准制定。2011年ITU TSAG（电信标准化顾问组）将SG17确定为ITU云安全研究的领导小组。在ITU-T SG17 2009-2012研究期第7次全会上，Q8更名为“Cloud Computing Cecurity（云安全）”，牵头负责SG17的云安全研究工作。目前Q8正在立项研究云计算的安全威胁和风险量化中的相关问题，还没有相关的标准发布。

3.2 业务平台云化后风险量化测评方法

当业务平台向云平台迁移过渡时，传统的网络安全架构和数据安全方法将遭到云模式架构的挑战：弹性、多租户、新的物理和逻辑架构以及抽象的控制需要新的信息安全策略，而在许多的云部署中，甚至会将数据传输到外部甚至公众的环境中，这种新方式使网络安全管理员在评估整个业务平台的安全风险时，不得不充分考虑到这种开放环境中带来的各种新的风险因素，而风险的量化有助于充分控制风险，提高整个平台的安全水平，风险量化的方法和工具如下所述。

3.2.1 风险量化方法

向云迁移的过程中，云平台的整体安全风险可以看作Hypervisor层与租户操作系统嵌套产生的风险，而云平台自身的安全风险可以作为一个因子，这个因子由于嵌套作用会叠加到每个租户的风险系数上，因此，每个租户的风险系数是租户自身的系统风险值与云平台自身系统风险值的叠加。

每个租户的风险系数应该如下计算：

其中，Rsvr表示迁移到云平台后每个租户的整体风险值，Rvm表示每个租户自身的系统风险值，Rcp表示云平台自身的系统风险值。

那么整个云平台的风险系数是：

其中，Recp表示整个云平台在租户迁移进来之后的整体风险值，等于所有租户的整体风险值之和再叠加云平台自身的系统风险值Rcp；那么，如果将云平台自身的系统风险值单独分离出来，Recp就等于所有租户自身的系统风险值之和再叠加n+1倍的云平台自身的系统风险值。

可见，云平台的自身风险系数Rcp会叠加每个租户的安全风险系数，租户越多，整个云平台的安全风险系数就会相应地增加，使云平台面临更大的风险。因此，量化确认云平台的安全风险系数，对于提高整个云平台安全性至关重要。

3.2.2 风险量化测评工具

风险量化测评评估主要存在于业务平台生命周期中的“实施”和“运维”阶段，该阶段的任务主要是采用各种测评手段对业务平台存在的弱点进行评估，而业务平台的弱点往往具有隐蔽性，有些需要一定的条件和环境才能显现，这是在运维阶段无法通过数据统计发现的，必须借助于一些测评工具，在等同的实验环境中，构造各种可能的运行环境和外在威胁，找出各种不正确、起不到应有作用或者没有实施的安全措施，并根据其潜在的影响一一赋值。在这个过程中，需要借助两种测评工具，分别是安全配置核查工具和漏洞风险量化测评工具。

（1）安全配置核查工具

安全配置核查工具可针对业务系统建立安全检查点、与操作指南相符的基准安全标准，并采用自动化方法逐一对云平台的配置进行核查，找出其中不符合安全配置要求的不正确或没有实施的项。安全配置核查工具具有以下特点。

·标准化：虚拟化系统的安全检查项需要标准化，这些检查项由安全配置、标准进程等有关检查内容构成，基于标准化的技术安全操作框架。在安全配置核查的框架和标准上，最值得借鉴的是基于SCAP（security content automation protocol）的FDCC（federal desktop core configuration，联邦桌面核心配置）计划项目。

·自动化：在FDCC的基础上，针对云平台主机及虚拟化系统的特性，构建安全检查要求，并通过自动化的工具执行，为自动化的技术安全操作提供支持。

规范与安全配置基准点让运维人员有了检查默认风险的标杆，通过配置核查工具，对云平台中种类繁杂、数量众多的虚拟机系统、虚拟网络设备和软件，进行快速、有效的检查，并集中收集核查的结果以及制作风险审核报告，最终识别那些与安全规范不符合的项目，以达到整改合规的要求。

（2）漏洞风险量化测评工具

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。安全漏洞有很多种分类方式，按照漏洞宿主的不同，可以分为三大类：

·由于操作系统本身设计缺陷带来的安全漏洞，这类漏洞将被运行在该系统上的应用程序所继承，例如，云平台自身的漏洞会被所有租户继承，识别云平台的漏洞尤为重要；

·应用软件程序的安全漏洞，云平台和租户如果安装了新的应用程序，也会引入该程序的漏洞；

·应用服务协议的安全漏洞，云平台和租户开放了不必要的应用服务协议会产生漏洞。

近年来，针对虚拟化的应用软件程序和应用服务协议的安全漏洞发布得越来越多，同时利用病毒、木马技术以虚拟机作为平台进行网络盗窃和诈骗的网络犯罪活动数量呈上升趋势，在一些国家和地区产生了大范围的危害，由此造成的经济损失也越发巨大。因此，在此趋势下，做好最新漏洞的定期检查，及时为云平台及虚拟机安装漏洞补丁显得尤为重要。

漏洞评估测评工具将识别虚拟资产、漏洞和威胁紧密结合，通过可量化的模型呈现，帮助运维人员对复杂的云平台网络中存在的风险有一个整体、直观的认识。

4 结束语

安全风险是决策者判断业务平台是否应该迁移到云中的重要指标之一，是科学、客观地判断云计算安全状况的基础，只有切实做好云平台全生命周期的信息安全风险管理，才能确保可以为用户提供可靠、可信、高性价比的云计算服务，企业才有可能在云计算服务领域取得成功。本文在总结、分析业务平台迁移到云中所面临的技术层面安全威胁和风险管理要求的基础上，对业务平台云化后的风险量化方法进行了系统分析与研究，并分别从风险量化的角度提出了量化过程中使用工具的建议。相信随着政府监管部门相关法律法规的不断完善，云计算相关的安全标准的不断推出，业务平台的云化过程将会朝着可靠、安全、可信的方向健康发展。

1 Cloud Security Alliance.Security guidance for critical areas offocus in cloud computing V2.1.http://www.cloudsecurityalliance.org/csaguide.pdf

2 汪来富,沈军,金华敏.云计算应用安全研究.电信科学,2010,26(6):67～70

3 汪来富,沈军,金华敏.电信级云计算平台安全策略研究.电信科学,2011(10):19～23