张培晶，　冉春风，　顾益军

(1.中国人民公安大学网络信息中心， 北京　100038； 2.中国人民公安大学网络安全保卫学院， 北京　100038;

3.中国矿业大学机电与信息工程学院， 北京　100083)

高校数据中心云计算平台安全研究

张培晶1，3，冉春风1，顾益军2

(1.中国人民公安大学网络信息中心， 北京100038； 2.中国人民公安大学网络安全保卫学院， 北京100038;

3.中国矿业大学机电与信息工程学院， 北京100083)

摘要针对高校数据中心云计算平台的部署模式和服务模式，梳理高校数据中心面临的主要威胁，深入研究国内外有关云计算的安全技术和标准规范，结合国家信息安全等级保护规范，设计适用于高校数据中心云计算平台的安全框架、生命周期安全模型和状态转换模型，探讨安全体系各层次的技术实现，指导数据中心云计算平台生命周期全过程的安全防护和监管。

关键词数据中心； 云计算； 安全； 框架； 模型

0引言

近年来，随着教育信息化的快速发展，高校数据中心的信息化应用规模和软硬件数量呈现爆发式增长，基于独立服务器部署业务应用的传统模式已经不能满足高校快速增长的信息化业务需要。为节约运营成本，提高学校软硬件资源的利用率，提升信息化业务应用的部署效率，国内高校普遍建设了数据中心云计算平台。

数据中心云计算平台在提供便捷、高效、多样化服务的同时，也带来了更多安全风险。在云计算环境下，大规模的业务应用和数据集合都构建在同一个云平台上，统一依靠云平台管理软件进行资源调度和管理，平台一旦受到攻击被破坏，相比传统数据中心受到的攻击，其破坏性更加显著。并且，随着云计算平台结构复杂性的增加，实施系统和数据的有效保护更加困难，用户数据被篡改、泄露或未经授权访问的风险增大。因此，高校数据中心在安全部署、安全防护和安全监管等方面都面临更加严峻的挑战，迫切需要对云计算平台的安全架构、安全机制和安全技术开展深入研究，指导高校数据中心云计算全方位、多层次、全过程的安全保护。

1高校数据中心云计算平台概况

1.1　高校数据中心云计算平台部署模式分析

按照国内外研究机构公认的云计算定义，根据服务客户范围的不同，云计算平台可以分为公有云、私有云、社区云和混合云四种部署模式。高校数据中心云计算平台主要由高校信息化部门自行建设、管理和运维，面向校内用户或特定用户群提供云计算服务，属于典型的场内私有云或场内社区云。高校拥有云计算平台基础架构的自主权，可以根据学校信息化业务需求改进云服务，开展更有针对性的安全防护。

1.2　高校数据中心云计算平台服务模式分析

根据提供服务资源的不同，云计算可以分为基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)3种服务模式。高校数据中心云计算平台的主要功能定位是通过内部网络将现有的计算资源、存储资源以及软件资源连接起来，组成虚拟化资源共享池，统一为校内用户提供服务。高校数据中心云计算平台为个人用户直接提供的电子邮件、门户网站、办公系统等服务属于SaaS服务；为部门或个人用户提供的校园数字平台、虚拟桌面等服务属于PaaS服务；为部门用户提供的虚拟服务器、虚拟存储、虚拟网络等服务属于IaaS服务。云计算平台安全是一个整体工程，需要完整的安全体系。不论云计算平台提供何种服务模式，各层级的安全防护措施都是必不可少的，区别只在于安全措施由平台提供者实施，还是由用户实施。

2高校数据中心云计算平台面临的安全威胁

由于云计算平台复杂的体系架构和大量新技术的应用，云环境下的数据中心面临前所未有的安全风险。一方面，传统网络环境下的安全问题在云计算平台中有增无减。另一方面，云计算技术又带来现有场景中新的安全问题。根据云计算平台的特性，数据中心云计算环境的安全威胁在以下3个方面较为突出。

2.1　云计算环境下传统安全风险更具隐蔽性

云计算平台复杂体系架构和模糊边界的特性，导致因为错误配置或操作失误出现安全漏洞的概率随之增加，扩大了系统的受攻击面。在多层次、分布式网络云环境下，不同节点和不同层次都可能会存在脆弱性和安全隐患，导致攻击者的攻击往往是分布式和渗透性的，其攻击痕迹可能遍布多个系统节点，攻击行为具有很强的隐蔽性。

2.2　虚拟化运行环境引入更多安全威胁

(1)主机虚拟化引入的安全威胁。主机虚拟化容易导致的虚拟机逃逸、邻位虚拟机干扰等问题。其中，虚拟机逃逸(VM escape)是指以虚拟机为跳板，利用虚拟化软件的安全漏洞对下层主机发起攻击，造成主机系统被恶意篡改和管理接口被非法访问。虚拟机邻位干扰是指在虚拟化环境下，由于信息系统物理边界消失，一旦虚拟机管理程序设计缺陷或系统配置错误，容易造成同驻系统资源被强占，影响正常使用。

(2)存储虚拟化引入数据安全清洗问题。多租户之间共享下层物理资源，在硬盘和内存等物理存储资源的再分配过程中，如果服务商没有采取相应机制和技术对其原有数据进行有效清除，后续的租户可以利用数据恢复技术获取之前租户的数据，导致租户隐私的泄漏。另外，虚拟机的镜像文件在迁移或删除过程中如果没有在物理存储设备上实现有效清除，也会造成租户数据隐私的泄露。

(3)网络虚拟化导致的网络流量监控失效。由于同驻一台物理机上虚拟机之间可以通过虚拟网卡直接进行数据交换，数据不需要经过实体的网络交换机，导致诸如网络防火墙、入侵检测系统等传统的网络安全系统对通信数据不可见，无法对虚拟机之间的通信进行有效的监控和安全隔离。特别是在私有云和社区云中，虚拟机之间由于业务往来所进行的通信更加频繁，为僵尸网络攻击和恶意软件在云平台内部传播提供了更多机会。

2.3　多租户和跨域共享引入新的安全威胁

多租户共享大规模异构资源，使得服务授权和访问控制变得更加复杂；云计算服务提供者与用户之间信任关系的建立、管理和维护更加困难。另外，多租户共享资源也为恶意租户抢占或攻击其他租户的资源和数据提供了便利。如当多个租户共享的虚拟资源由同一物理资源所分配时，存在恶意租户通过侧通道技术(也称隐蔽信道)探测和攻击同驻租户的威胁，造成租户隐私数据的泄露或系统可用性受损。

3数据中心云计算安全体系框架

数据中心云计算平台系统安全需要安全技术、安全产品和安全管理的综合运用，是一项系统性工程。加强云计算平台系统安全的首要任务是，从数据中心云计算平台的安全需求出发，设计构建符合国家信息化管理规范的云计算安全框架和完备的安全体系，指导整个云计算平台安全策略的制定、安全技术的应用和安全措施的部署。

3.1　基于等级保护的数据中心云计算安全框架

按照我国教育管理部门规定，高校应当依据国家信息安全等级保护相关标准，对非涉及国家秘密信息系统执行相应的安全等级保护。高校数据中心云平台的安全保护也应当遵循等级保护相关要求。因此，完整的云计算平台安全框架应当提供全方位(机密性、可控性、可用性)、多层次的安全支持，满足不同保护等级、不同服务类型的安全需求。并且，云计算平台安全框架还应当具备良好的适应性，提供基于安全服务的可选配保护措施，支持在各种服务模式下随系统安全等级变化自适应调整安全策略和安全措施。

综合考量上述因素，参考IBM信息安全框架、ITU云安全框架[1]、CSV云安全框架3.0[2]，结合数据中心云计算平台自身的特性，设计一个适用于安全等级保护的全过程云平台安全框架。该框架主要包括3个组成部分：云计算安全等级评定与测评体系、云计算安全防护体系和云计算安全监控体系。其中，云计算安全等级评价与测评体系是基础，负责对云计算平台进行安全定级，并根据相应的安全等级，对云计算安全防护体系和安全监控体系提出安全要求和策略指导；还负责根据安全等级保护标准对部署安全防护措施的云计算平台进行安全测评。云计算安全防护体系为云平台提供覆盖各层次、全方位的安全防护，主要依赖系统访问控制、身份认证、完整性检验、数据加密、防火墙等安全技术手段和工具，是一种静态的基础安全保护机制。云计算安全监控体系负责实时或近实时的安全检测，并及时启动响应、警告和恢复机制，是一种动态的安全机制。云计算平台安全框架的完整组成结构如图1所示。其中，云计算安全防护体系中灰色部分为增强级保护措施。

图1　基于等级保护的全过程云计算安全框架图

3.2　云计算安全等级评定与测评体系

云计算安全等级评定与测评体系是开展云计算平台安全治理顶层设计的基础，也是评价云计算服务安全程度的工具。该体系主要功能是依据国家信息系统安全等级保护相关标准，对云计算平台及服务进行安全保护等级评定和安全测评。

3.2.1云计算服务安全保护等级评定

云计算服务安全保护等级评定是指，在信息系统安全保护等级划分准则的基础上，根据云计算服务支持的业务应用的类型和性质进行安全等级保护定级。等级评定的意义在于帮助用户更加准确地选择所需的安全服务，在合理投入的情况下将安全风险限制在允许范围，实现安全、性能与成本的平衡。

3.2.2云计算服务安全测评

3.3　云计算安全防护体系

云计算平台多层次、分布式的体系架构，对云计算环境下信息系统和数据的基础安全防护提出了更高要求，涉及大量信息安全新技术的应用。依据云计算平台的层次结构介绍可供使用的安全防护策略与关键技术。

3.3.1物理层安全

云计算平台的物理层由物理主机、存储设备和交换设备组成，为云计算提供基础硬件支持。物理层安全直接影响着云平台的整体安全。

为实现增强级的主机安全，可以采购具有可信计算模块(Trusted Platform Module，TPM)的物理服务器主机。可信平台模块是嵌在服务器主板上的一个含有密码运算部件和存储部件的安全芯片。利用可信计算模块可以构建一条信任链，将可信根由底至上传递，将信任关系扩展到整个计算机系统，确保上层虚拟机启动前的可靠性和完整性[6]。并且，利用TPM还可以实现基于硬件的内容加密，实现虚拟机运行环境的机密性。

在存储设备安全方面，可以利用传统的磁盘阵列和快照技术，实现数据备份和恢复；也可以利用云计算平台的动态迁移技术，实现云计算平台内部的数据备份和系统迁移。

3.3.2虚拟层安全

加强虚拟层安全需要从虚拟化软件(Hypervisor)安全和虚拟机自身安全以及虚拟机隔离3个方面入手。

Hypervisor也称为虚拟机监视器(VMM，Virtual Machine Monitor)，位于物理主机和Guest OS之间，可以认为是虚拟环境中的元操作系统，负责协调硬件资源的访问，为虚拟机提供虚拟化的执行环境。Hypervisor作为虚拟层的核心，其安全性至关重要。一方面要加强Hypervisor自身的安全防护。具体包括：针对Hypervisor软件自身可能存在的脆弱性，加强Hypervisor的漏洞扫描和安全配置管理；针对Hypervisor管理通信的安全，采用VPN加密通信或者设立独立的管理网络。另一方面要加强Hypervisor对虚拟机的安全控制，包括设立虚拟机的访问控制机制，管理虚拟机对物理资源的访问，管理虚拟机之间的通信等。

（4）服务社会发展供水经济。积极拓展供水市场，做好工农业、生活及城市生态供水，每年为工业生产及城镇生活供水近亿m3。按照水利工程水价管理办法，规范水价分类，成本监审，积极推进水价改革，切实做好水源保护，加强供水调度，确保供水质量，服务社会发展。

虚拟机自身安全需要依靠防火墙、防病毒软件等技术来加强。但是按照传统的做法，在每台虚拟机上部署上述软件，将造成资源的巨大浪费。无代理病毒防护技术是一种解决上述安全风险的有效方法。该技术采用虚拟平台的安全组件来检测虚拟机病毒文件，用户端无需安装任何代理软件即可实现云计算安全杀毒，从而保证用户数据的安全。另外，由于云计算平台的安全边界消失，传统的防火墙技术已经很难有效进行安全防护。虚拟防火墙(Hypervisor-based防火墙)的推出解决了云计算平台内部数据流的访问控制。虚拟防火墙不同于传统防火墙产品，是运行在虚拟环境下的防火墙，可以是Hypervisor中的一个内核程序，或者是一个具有安全功能的虚拟机交换机。同时，及时进行虚拟机补丁修复也是提升虚拟机安全性的重要措施。

虚拟机之间的隔离程度是衡量虚拟化平台的重要安全指标。为了提高虚拟机隔离技术水平，国内外学者和平台厂商做了大量研究。如基于Intel VT.d技术的虚拟机安全隔离模型已被广泛应用在Xen开源平台上。该技术通过对读写I/O和内存的管理，实现了管理域内存和用户域内存的物理隔离[7]。另外，云计算服务商还可以根据用户业务系统的性质、安全保护等级对虚拟机实现分类部署，通过设立VLAN或隔离区的方式加强不同安全等级虚拟机之间的隔离保护。

3.3.3服务层安全

服务层面向系统开发人员提供虚拟机操作系统、中间件、数据库和开发平台等平台级云服务。服务层安全主要涉及开发平台接口安全、多租户应用程序隔离、数据库安全等内容。

在Paas服务中，用户自行开发的应用程序通过服务层提供的各类接口，实现对云计算环境配置、虚拟资源调用和数据库访问的控制。如果这些接口被恶意程序所使用，将对云计算平台底层安全构成巨大威胁。加强接口安全的技术主要包括：对访问云计算平台受保护资源的业务应用进行认证检验和授权；对云计算平台接口API提供SSL安全服务，保证通信数据的完整性；部署防止DDos攻击等网络威胁的安全防御设施等。

多租户应用程序的逻辑隔离是服务层的一项重要安全需求。为此，沙盒隔离技术被广泛应用于服务层[8]。该技术的核心理念是为来源不明、具备一定破坏性或者尚未判明意图的应用程序，提供一个虚拟的隔离环境。该技术通过严格的权限管理策略，将应用程序运行环境和执行权限被限定在合理的范围内，从而有效避免了不同应用程序的相互影响。

数据库安全主要包括数据的安全存储、安全传输和访问控制等方面内容。其中，云环境下的分布式非关系型数据库安全是一个难点问题，涉及数据库内部多个节点之间数据交互安全等诸多问题。

3.3.4应用层安全

应用层直接面向用户提供具体业务应用，面临用户口令攻击、漏洞扫描攻击、网络渗透攻击、大规模拒绝服务攻击和网站信息篡改等安全威胁。应用层安全应注重加强用户身份鉴别与权限控制、web应用防护、统一威胁管理等方面。

云计算平台首先应建立可信的用户管理和统一身份认证机制，防止非法用户的恶意攻击和资源滥用。为解决云计算平台身份鉴别问题，近年来应用最为广泛的是基于安全凭证的身份鉴别技术和单点登录的联合认证技术。此外，用户密钥和访问凭证的安全管理也很关键。

云计算平台应用层的主要服务都是通过HTTP和HTTPS协议提供的，容易受到诸如拒绝式服务、SQL注入和跨站XSS等Web攻击手段的威胁。为此，应用防火墙技术应受到重视。应用防火墙与传统网络防火墙和虚拟防火墙不同，主要部署在应用层，采用无代理部署模式和主动防御技术，实现对未知安全漏洞的防护，阻止针对网络应用的攻击。

在云计算平台建设过程中，为了全面保护云平台安全，经常会出现简单堆叠安全产品的情况。诸如购买不同安全厂商的防病毒软件、漏洞扫描系统、网络防火墙和入侵检测设备等，多种安全设备无法实现协同防护，容易造成兼容性差、安全策略不统一和安全效能低下等问题。针对安全设备堆叠问题，统一威胁管理技术是行之有效的整体安全解决方案。该技术将主流的安全解决方案整合到统一的安全设备上，实现智能化立体防御。统一威胁管理技术非常适合云计算平台复杂的应用环境，能够为应用层提供一站式整体安全保护。

3.4　云计算安全监控体系

为提高云计算平台安全事件监管和风险预防能力，云计算服务商必须构建适应云计算虚拟化环境监测、适应大量监测数据融合分析，具备态势感知能力的云计算平台监控体系和系统。

3.4.1云计算安全监测机制

为及时了解云计算平台的运行状态和安全状况，应对其进行持续的安全监测。运行状态监测主要是对云计算环境下的网络流量、虚拟机运行状态、CPU运行状态和存储设备运行状态的监测，以期及时发现主机系统、虚拟服务器、存储服务以及托管应用程序的故障与错误。安全事件监测主要是对用户滥用、不恰当使用和恶意使用云计算服务行为的监测，以期及时发现和识别云计算环境下的安全攻击。

云计算环境的特殊性使一些传统的监测技术束手无策。针对云计算的安全监测已成为业界研究的一个热点，这里介绍两个常见问题的解决方案。第一个问题是如何实现虚拟网络环境下同驻一台物理机上的虚拟机之间通信数据的监测。常见的解决方法有两种：一种是使用虚拟交换机技术。以VMware为例，在物理网卡与虚拟化平台(Hypervisor)之间创建一个虚拟交换机(vSwitch)，使得虚拟机通过这个软件模拟的交换设备进行通信，然后借助VMware公开的VMsafe API接口即可实现对Hypervisor层通信数据的监测。该方案应用成熟度较高，但存在消耗主机CPU资源、缺乏网络控制策略等不足。另一种是使用虚拟边缘桥接(virtual Edge Bridge)技术，利用转发机制将虚拟机生成的通信数据转移到外部网络交换机上，实现对网络流量的监测。典型的应用有Cisco的VN-TAG技术和HP的VEPA(Virtual Ethernet Port Aggregate)技术。该方案支持使用外部网络交换机的控制策略实现全网端到端的策略统一部署，但目前实施成本较高。第二个问题是在云计算提供的IaaS服务中，服务商对IaaS层上租户部署的操作系统和应用程序无管理权限的情况下，如何实现对虚拟机内部状态的监测。这可以使用虚拟机自省(Vendor Managed Inventory，VMI)技术实现从虚拟机外部对虚拟机内部运行状态的检测。其原理是在虚拟机管理器(VMM)中部署监控点，拦截被监测虚拟机中发生的事件，通过下层低级语义向上层高级语义的重构后，提供给监测工具[9]。利用这种方式可以在虚拟机外部统一实现无代理模式的虚拟机防病毒保护。但虚拟机自省技术涉计复杂的语义转换问题，检测性能还有待提高。

3.4.2云计算安全审计机制

安全审计机制是云计算监控体系的重要组成部分，通过对各类运维日志、操作日志和报警数据的综合审计分析，实现对违规事件的审查。审计机制主要包括审计数据的采集和分析两个方面。审计数据的采集应当尽可能地完备，其来源主要是网络与系统层的各类日志信息、告警信息，以及业务应用层的各类用户操作记录。审计分析的关键在于安全事件关联分析策略的部署，即合理制定关联分析规则和条件。云计算环境复杂的体系结构和庞大系统规模，对审计数据采集的完备性、审计数据的结构清洗和大规模审计数据的综合分析提出了更大挑战。

3.4.3云计算安全态势评估与预警机制

基于审计机制的风险监测与响应处理，是一种事后行为，具有滞后性，属于被动防御。云计算环境下大规模系统和数据的集中管理以及系统安全边界模糊容易导致风险的扩散，需要监控系统能够提供网络感知能力，加快分析速度，实时或近乎实时的发现安全事件并及时采用响应措施，实现主动的防御，以尽可能地降低云计算安全风险，减少损失。这引发了近年来对安全态势评估与预测预警方面的研究。态势评估技术源于信息融合领域。云平台安全态势评估旨在综合利用数据融合、数据挖掘、风险评估等技术，对云平台多个设备节点、不同软硬件层级的告警信息和日志数据进行统一收集和处理，基于先验知识库进行融合分析，及时发现可能存在的安全隐患，评定云平台当前的安全状况，并通过知识学习进行再预测[10]。其关键点在于通过合理的知识获取和决策制定，实现对多点协同式攻击或隐蔽性强的渗透式攻击的模式予以识别，以及对威胁演变规律和发展趋势的预测。

4基于等级保护的云计算平台生命周期安全模型

完整的数据中心云计算平台安全等级保护应当涵盖平台生命周期全过程。这里，根据云计算平台的特性，给出一个基于等级保护的云计算生命周期安全模型，指导数据中心云平台的安全建设、运维与废弃。

4.1　云计算平台安全等级保护相关标准

探索适用于云计算平台安全等级保护的相关标准是实施云计算安全等级保护的前提条件。近年来，我国在信息系统安全等级保护的标准建设方面做了大量工作，已经形成较完备的信息系统等级保护标准体系，总体可以归纳为等级评定、安全要求、保护方法、测评准则4个方面。但是，上述标准在制定过程中，未将云计算环境新引入的安全需求考虑在内，并且业界也缺少专门用于云计算安全等级保护的标准。这使得在云计算安全等级评定、保护和测评的过程中，虽然可以借鉴和参考上述标准，但也存在很大的不适应性。一种解决方案是，参考云计算安全相关标准，对传统等级保护标准进行补充和细化。该方案仍然坚持传统等级保护标准定义的5个等级划分准则，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级。可参考的主流云计算安全标准有：CSA发布的云计算安全指南、云计算风险控制矩阵等白皮书；ISO SC27提出的有关云安全管理、隐私保护等方面的标注草案；NIST制定的有关云安全定义和参考架构方面的标准草案。上述云计算安全标准在云安全等级保护中的应用，仍需要用户进行深入研究。另一种解决方案是，参考我国国标委2014年9月发布的《云计算服务安全指南》(GB/T 31167—2014)和《云计算服务安全能力要求》(GB/T 31168—2014)，采用一般保护、增强保护、高级保护3个等级。其中《能力要求》从一般保护和增强保护两个层面给出了云计算服务应具备的安全能力，可以为云计算安全等级评定、安全保护和安全测评提供参考。

4.2　基于等级保护的云计算生命周期安全模型描述

云计算平台生命周期安全模型主要包括安全保护定级、安全保护设计、安全保护部署、安全保护测评、安全监控管理、安全废弃等6个重要环节。各环节在相应的国家信息安全等级保护标准和云计算安全标准指导下展开，涵盖云计算平台的生命周期全过程。模型关系结构如图2所示。(1)安全等级评定。在云计算平台建设前的规划阶段，应当依据国家信息系统安全等级保护定级指南，对云计算平台及其提供的服务进行安全保护等级确定。云计算平台的安全等级应当由其所承载的所有业务应用的安全等级决定。这要求云计算平台基础设施的安全等级不低于规划中最高安全等级业务应用对下层基础设施的安全要求。此后，在已运行的云计算平台上扩充或变更应用服务，也需对该应用服务进行安全等级评定。

图2　基于等级保护的云计算生命周期安全模型

(2)安全保护设计。在云计算平台设计阶段，根据前期确定的安全等级，参考信息系统等级保护安全要求和相关云安全指南，确定云计算平台及其承载业务系统的具体安全要求，并设计适用的平台整体安全保护方案和安全监控方案。云计算平台的安全设计还要根据同一云计算平台上业务应用(或虚拟机)之间安全等级的差别，设定相应的安全保护区域，采用诸如“中国墙”等访问控制策略，避免不同安全等级的虚拟机服务器共享相同的下层硬件资源。

(3)安全保护部署。在云计算平台建设部署阶段，根据既定安全策略和方案，选择可以支撑安全方案实施的云计算平台和产品，确定安全、合理的云计算平台体系架构，并基于选定的云计算平台采购和部署相应的安全服务和安全产品。不同的云计算平台，在安全措施的支持程度和安全保护的实现方式等方面存在差别，这是云计算平台建设阶段需要重点关注的问题。如在虚拟化技术的实现上就存在完全虚拟化、半虚拟化、混合虚拟化等多种形式，不同虚拟化形式的安全防护方案也不尽相同。

(4)安全测评。云计算平台安全部署完成后，在平台上线运行前，应根据等级保护测评准则，对平台的安全性进行符合性测试，检验云安全保护能力是否满足相应的安全等级保护要求。另外，鉴于云计算平台的易扩展性，在云计算平台上线运行后，还应当定期开展安全测评。

(5)安全运维管理。在云计算平台的运行阶段，应做好云计算平台的运行维护和安全监管，对发生的安全事件和运行故障，做到及时感知发现，并进行快速响应处理和恢复。

(6)安全废弃。安全废弃是信息系统生命周期中容易被忽略的一环，但云计算平台中虚拟资源的废弃存在很多安全隐患。在虚拟资源的废弃中，应当做好存储数据的清洗和云平台系统日志的清理，防止用户隐私泄露。如果是整个平台的废弃，还需要进行整体安全废弃评估。

5基于动态响应的云计算平台状态转换模型

数据中心云计算平台复杂的体系结构和快速增长的系统规模，使得基于实体服务器的传统信息安全分析模型已无法满足云平台安全需求，需要构建一个动态循环的自适应安全模型。这里，在前文基于等级保护的云计算安全框架基础上，从状态模型入手，整合云平台性能监测技术和信息安全技术，给出一个云计算平台虚拟机状态转换模型，指导云计算平台的安全运维和应急响应处理。

5.1　基于动态响应的云计算平台状态转换模型描述

根据云计算平台运行特性，状态转换模型将云平台虚拟机的运行状态抽象为部署态、运行态和隔离态。在动态检测与响应机制的作用下，3种状态依据一定的规则策略进行不同状态间的相互转换，形成一个完备的、封闭的动态安全系统。转换关系如图3所示。

图3　基于动态响应的云计算平台状态转换模型

部署态是云计算平台虚拟机运行前的初始状态。根据指定的安全等级保护要求，配置恰当的安全防护措施，通过相应的安全检测与性能测试后，云计算平台将虚拟机转换为运行状态。另外，部署态也是一种中间状态。当运行态的虚拟机受到攻击后响应失败，导致虚拟机宕机，则转换为部署态，重新部署；处于隔离状态的虚拟机恢复失败，也将转换为部署态。

运行态是状态转换模型的目标状态。虚拟机如果处于运行态，则表明该虚拟机部署的业务系统运行正常，能够为用户提供服务。当虚拟机出现被黑客攻击、服务器资源过载或网络链接故障等问题时，云计算平台安全监控设施应根据问题的严重级别对虚拟机进行响应处理。如果虚拟机出现的问题已经威胁到其他虚拟机或者整个平台的安全，问题虚拟机状态则被转换为隔离态。

隔离态是状态转换模型的核心。根据虚拟化平台和安全设备发现的问题，按照危险等级对虚拟机实施相应的安全隔离。隔离态的安全隔离策略主要有存储隔离、网络隔离和全面隔离。如漏洞扫描系统发现某一虚拟机存在数据泄露风险，云计算平台自动将该虚拟机转入隔离态，并断开虚拟机与所分配存储设备的连接，从而保障不会造成整体数据泄露。如果入侵检测系统发现某一服务器经常攻击其他服务器，云计算平台自动将该虚拟机转入隔离态，并立即执行网络隔离策略。全面隔离是最为严格的策略，执行该策略的虚拟机将会被迁移到独立的物理主机上，并且中断所有网络链接。虚拟机处于隔离态时，应立即产生告警信息通知系统管理员进行安全处理。受损虚拟机成功修复后，则转换为运行态。

5.2　基于状态转换模型安全策略的云安全管理中心

以状态转换模型为指导的云计算平台动态响应安全策略的自动执行，需要借助专门的云计算平台安全管理中心。云安全管理中心按照状态转换模型设置云计算平台的安全策略及应急响应机制，并按照设置的策略规则对云计算环境下发生的安全事件予以自动检测和响应处理，控制云计算平台虚拟机状态的转换，实现有效的安全运维管理。《信息系统等级保护安全设计技术要求》(GB/T 24856：2009)指出，第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心，其功能与云安全管理中心类似。

构建云计算环境下的安全管理中心，应当集安全配置管理、监测管理、分析管理、响应管理于一体，支持安全配置文件的创建与应用，管理监测预警并采取相应的响应措施应对威胁，以及向服务器发布安全更新等功能。现有的一些云计算安全产品已经提供功能类似的集中式安全管理工具，可以一定程度上支持状态转换模型安全策略的自动执行。趋势科技的Deep Security安全产品的管理中心、McAfee安全产品的集中式安全管理平台(McAfee ePolicy Orchestrator)。这些位于云计算平台外部的安全管理中心的优势还在于：能够自动执行安全策略，减轻安全维护人员的工作，并提高响应速度。并且，可以管理配套的云安全产品实现跨物理资源、虚拟资源和云计算服务器的统一安全监测与响应，从整体上提高云计算环境的安全性。

6结语

云计算的安全威胁已经成为制约云计算平台应用发展的重要因素。本文从安全等级保护的角度出发，结合数据中心云计算平台的特性，探索适用于高校数据中心云计算平台的安全体系框架、生命周期安全模型和动态响应模型，给出了具体实现方案。但是，云计算平台一些安全问题的解决方案还存在局限性，仍需要不断完善。另外，关于云计算安全标准与国家现有信息系统安全等级保护相关标准的适应性方面，也需要进一步研究。随着云计算平台整体规模快速扩张，云计算平台安全问题的不断累积，需要更多的安全技术来为云计算平台的持续发展护航。

参考文献

[1]ITU-T SG17:security[EB/OL]. 2014-01 http:∥www.itu.int/en/ITU-T/studygroups/2013—2016/17/Pages/default.aspx.

[2]ALLIANIE C. Security guidance for critical areas of focus in cloud security computing V3.0[J].Cloud Security Alliance, 2011.

[3]Kallepalli C, Tian J. Measuring and modeling usage and reliability for statistical web testing[J]. IEEE Transactions on Software Engineering, 2001,27(11):1023-1036.

[4]Halfond W G, Anand S, Orso A. Precise interface identification to improve testing and analysis of web applications[C]. Proceedings ofthe 18thInternational Symposium on Software Testing and Analysis. Chicago,USA,2009: 285-296.

[5]Zech P. Risk-BasedSecurity Testing in Cloud Computing Environments[C].Proceedings of the 2011 IEEE 4th International Conference on Software Testing. Berlin, Germany, 2011:411-414.

[6]Trusted Computing Group. TCG PC Specific Implementation Specification Version 1.1[EB/OL]. 2003-08 https:∥www.trustedcomputinggroup.org.Aug 2003.

[7]林昆.基于Intel VT-d技术的虚拟机安全隔离研究[D].上海：上海交通大学,2011.

[8]徐传印.基于安全云架构的虚拟沙箱的设计与实现[D].武汉：华中科技大学,2013.

[9]XIANG G F, JIN H, ZOU D Q, et al. Virtualization based security monitoring[J]. Journal of Software, 2012, 23(8): 2173-2187.

[10]赵鹏宇,刘丰,张宏莉,等.大规模网络安全态势评估系统[J].计算机工程与应用,2008,44(33): 122-124,127.

(责任编辑陈小明)

作者简介张培晶(1979—)，男，山西人，讲师，硕士。研究方向为计算机应用技术、安全防范技术。

基金项目中国人民公安大学基本科研业务费项目(2015JKF01210)。

中图分类号D035.393