张 玲， 李 恺， 廖 云

(中国电子科技集团公司第三十研究所，四川成都610041)

0 引言

云计算是一种基于信息网络，将信息技术资源以服务方式动态、弹性提供，用户可按需使用的计算模式和服务模式，它代表了未来信息网络发展的趋势。但是在云计算技术与应用迅速发展的同时，也面临着不少新的安全威胁和挑战。2007年至2011年针对云计算系统的攻击和风险漏洞在60个左右，而2012年则增至137个［1］。一些云计算的潜在用户因云安全问题对其采取保守态度，云安全问题成为阻碍云计算产业发展的一个重要因素。

为保障和提高云应用安全，使云产业得到更大规模的发展与应用，必须有一套标准和规范的云计算安全评估体系，用于分析和指导解决云计算信息系统所遇到的各种安全问题。美国、欧盟等较早提出云计算安全保障要求。美国2011年12月启动的FedRAMP项目，其中一项重要内容就是制定一致的、独立的第三方评估程序，对云服务提供商实施的安全控制措施进行评估［2］。而在我国，在强调自主可控信息安全战略背景下，对云计算的安全测评更是提升到国家战略层面，由国家主导进行，云安全测评成为云产业链中的重要一环。

在上述背景之下，本文从我国云计算产业的应用环境出发，首先分析和总结了当前云计算所面临的安全威胁，由此建立了云安全测评框架，并对云安全测评实施过程中的关键技术进行了分析。

1 云面临的威胁

云计算应用环境具有动态性、多租户、虚拟化等特点，其面临的安全威胁与传统信息系统安全威胁有所不同。从我国云计算产业的应用环境出发，我们将云面临的安全威胁归纳为数据风险、虚拟化风险、应用风险和自主可控风险。

1.1 数据风险

在云计算环境下，数据中心的管理者对信息资源进行统一管理、分配、控制。首先，数据集中导致用户对数据控制力度减弱。用户数据存放于云端，内容的机密性和完整性被破坏的风险存在、用户数据大批量丢失可能性增加、云平台运维人员非授权访问可能性增加，因此数据存储安全受到挑战。另外，由于云计算的多用户租用的模式，当发生云用户切换时，在共享存储介质中的用户数据可能存在残留导致数据泄露。此外，还可能面临由于数据隔离不彻底而导致数据泄露的风险等等［3］。

2.2 虚拟化风险

在虚拟化技术下，如果恶意用户非法取得足够权限，就有可能威胁到同一台物理服务器上其他虚拟机;另外，恶意用户可能利用虚拟机软件或者虚拟机中运行软件的漏洞攻击或控制宿主操作系统，进而进行非授权的操作行为。对这类攻击，传统安全防护措施防范能力非常有限。除恶意用户外，虚拟机实现机制不健全也可能带来风险。迁移风险发生在虚拟机迁移到资源空闲的另一台物理机的过程中，如果内存数据没有得到保护可能导致数据泄露。虚拟化风险还包括镜像、模板和快照等虚拟机文件缺乏保护导致虚拟机面临安全风险，Hypervisor管理员权限过大导致信息泄露等。

2.3 应用风险

云计算应用风险主要在访问控制、云用户身份管理等方面。首先，与传统IT架构相比，云计算在访问控制方面所面临的风险增大。既要解决类别众多的云终端设备的接入控制，以确保终端设备的可定位追踪;又要考虑云计算是多安全级、多用户并存的应用环境，在访问控制、安全隔离、交换管理策略的设计与实现上面临挑战。其次，不合理的身份管理策略也将大大增加云应用风险，如云管理员拥有存储、网络及计算资源配置的最高权限，一旦被滥用将导致较高风险。

2.4 自主可控风险

使用国外产品、开源代码带来的风险，包括预留软件后门、预留硬件后门、预留密码算法后门等。如何测试、评估云产品、云服务是否自主可控，防范预留后门，应从技术角度是云安全测评中的新问题，应从管理上、技术上研究测评方法，在此不做进一步讨论。

2 云安全测评框架

我国高度重视云计算安全问题，目前已出台《信息技术产品供应行为安全准则》、《云计算服务安全指南》、《云计算服务安全能力要求》等国家标准。我国的云安全测评体系正在构建，也有不少的关于云安全测评的研究成果出现［4－5］。参考我国等级保护测评框架及相关的云安全测评的基本框架研究成果，结合自身的云测评实践，在仅考虑通过技术手段进行安全测评的前提下，建立测评框架如下:

图1 云安全测评框架

在安全测评服务体系构架中，物理和环境安全、网络安全、平台安全与传统信息系统的相应安全问题基本类似，原有的测评技术研究较充分，并形成了相应的测评标准和要求。而虚拟化安全、数据安全、应用安全由于云计算采用的新服务计算模式、动态虚拟化管理方式和多租户共享运营模式引入了新的安全威胁，在这方面测评技术研究很不充分，本文主要对虚拟化安全、数据安全、应用安全测试的具体实施进行研究。

3 关键技术实施

虚拟化安全、数据安全、应用安全是云安全测评的三个重要的方面。虚拟化安全测试划分为系统虚拟化安全、网络虚拟化安全及存储虚拟化安全测试。数据安全测试涉及数据传输安全、数据访问控制、数据存储安全、数据删除安全以及数据备份和恢复等。云计算应用安全测试涉及云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等等。

3.1 虚拟化安全测试

系统虚拟化是指将一台物理主机虚拟化为一台或多台虚拟计算机系统的技术，虚拟对象为物理计算机所拥有的关键资源如CPU、内存和I/O设备。系统虚拟化测试应包括性能测试与功能测试两个方面。性能测试应模拟服务器整合环境下的应用，对不同负载的测量进行综合评价，涵盖CPU性能测试、内存性能测试、存储性能测试、网络性能测试、虚拟化应用测试等。测试可借助于测试工具，如SPECvirt_SC2010、HPC Challenge套件、Vmmark等。功能测试应对虚拟机监控、虚拟化平台的资源隔离、安全隔离机制、管理员权限分离机制、事件审计等机制及其实施进行测评。以资源隔离测试为例，测试时可在一台物理机上新建并运行多台虚拟机，其中一台大量使用CPU，另一个虚拟机空闲，检查两个虚拟机CPU是否相互干扰。

网络虚拟化是对基础设施进行细粒度虚拟分割成为逻辑上独立的虚拟网络，将物理设施与网络服务解耦，用软件实现网络的物理功能。测评应以性能测评为辅，功能测试为主，覆盖网络逻辑隔离、访问控制措施、接口带宽管理机制实现等方面。网络逻辑隔离测试时，除使用测试仪器进行性能测试外，应进行端口扫描、网络拓扑探测、边界流量监听等测试。访问控制测试除正向测试外，应以渗透测试作为补充。接口带宽管理测试应检查虚拟机的带宽管理配置信息，分析其是否能够限制虚拟机的网络接口带宽，带宽限制阈值是否符合当前安全需求，可使用Netperf、NetIQ chariot等测试工具。

存储虚拟化是将实际的物理存储实体与存储的逻辑表示分离开来，应用系统只与所分配的逻辑卷打交道，而不用关心其数据具体是在哪个物理存储实体上。测评应关注安全控制措施的落实、限制对物理存储实体的直接访问、虚拟存储资源的逻辑隔离、虚拟存储资源释放后的清除、虚拟存储数据审计手段、虚拟存储数据访问控制手段、虚拟存储冗余备份支持。以虚拟存储资源的逻辑隔离为例，测试是考察两个要点:其一，保证虚拟机只能访问分配给该虚拟机的存储空间;其二，保证逻辑卷同一时刻只能被一个虚拟机挂载。测评实施时可在一台物理机上新建并运行至少两台虚拟机，进行虚拟机间存储空间互访尝试;将逻辑卷挂载到一个虚拟机上后，尝试在另一个虚拟机上挂载该逻辑卷。

3.2 数据安全测评

数据传输安全测试应以分析传输协议安全性为前提，最大化地排除协议设计漏洞。在此基础上，对数据包进行在线捕获分析，验证与协议实现的一致性。

数据访问安全测试内容为访问控制机制、身份认证、鉴别、权限管理等，考察其是否能够防止数据传输过程中被非授权用户获取、截获和访问。以访问控制机制的测评为例，测评要素包括:①测试云平台能否识别和确认访问系统的用户;②是否只向用户提供其访问权限内的资源。

数据存储安全的核心在于保障数据的完整性和机密性，使得存放在存储设备内的数据在非法用户绕过访问安全机制的情况下不被轻易地窃密、修改、删除和破坏。一般的技术手段包括完整性校验、数据加密存储、备份恢复等。以完整性校验为例，测评要素包括:①系统是否提供完整性校验算法;②系统所使用的算法是否是其声称的算法，是否符合国家相关密码规范;③所提供的算法是否能有效进行完整性检测。对于机密数据、敏感数据和用户私有数据存储时，测评要素具体测试要素还应包括:①是否对所有的机密数据、敏感数据和用户私有数据均进行完整性校验;②能否对上述数据提供完整性监视，当上述数据遭到完整性攻击时系统能否报警。

数据删除安全测试以检查项目设计文档为依据，测试用户数据清除机制的是否落实，数据清除的技术手段是否为有效。重点测试租户解除存储资源的使用、虚拟机迁移过程的镜像文件、快照文件、用户数据等重要数据的清除。

数据备份和恢复测试要素应包括:①对系统备份过程进行跟踪，测试是否有用户明文数据泄露;②测试备份数据的机密性、完整性;③跟踪备份数据的恢复过程，考察数据的可用性。测试中应对备份数据量、备份时间、恢复时间等关键指标进行记录。

3.3 应用安全测试

在云用户身份管理、云访问控制、云安全审计等应用安全需求中，有些是云计算服务本身设计、提供的应用安全，如云安全审计、软件代码安全等。而有些则是云计算服务需要借助外部提供的安全机制，如身份管理、云访问控制、云加密、抗抵赖等。针对第一类应用安全测试，参考等保测试要求，以云安全审计为例，测试要素包括:①审计要素是否完整;②审计实施是否及时、有效;③对异常事件的安全审计。针对第二类应用安全测试，外部提供的安全机制也应在测评内容之列。以云加密测评为例，测评要素包括:①加密机的部署和应用方式能否满足云服务较高加密性能要求;②加密解决方案是否适应云应用的多样化;(加密数据来源具有不确定性，可能来源于虚拟应用，也有可能来源于实际应用，需要一个灵活多层解决方案)③密码管理中心密钥及密码应用策略评估;④对于虚拟密码运算资源和设备，应具备独立的管理员权限，可以随时监控、调整策略的配置实现情况，并且支持多个虚拟设备的管理员同时操作;⑤密码应用的自主可控性，包括密码算法及其应用的自主可控、密码产品(如密码芯片)的自主可控。

4 结语

本文在分析和总结了云威胁的基础上建立了云安全测评框架，重点地对云安全测评实施过程中的虚拟化安全、数据安全、应用安全测试关键技术进行了研究，对具体实施提出了工作思路。

云安全测评技术的研究是一个长期而持续的过程，随着云计算技术发展而不断发展。但无容置疑的是，云安全测评对推动我国云计算产业化发展将起到非常重要的作用，是未来研究的重要内容。

［1］ Top Threats to Cloud Computing［EB/OL］.https://cloudsecurityalliance.org/research/topthreats/#_downloads.

［2］ 王惠莅，杨晨，杨建军.美国云计算安全FedRAMP项目研究［J］.信息技术与标准化.2012(8):34－37.

［3］ 张文科，刘桂芬.云计算数据安全和隐私保护研究［J］，信息安全与通信保密.2012(11):38－40.

［4］ 潘小明，张向阳，沈锡镛，等.云计算信息安全测评框架研究［J］，计算机时代，2013(10):22－25.

［5］ 张京海，张保稳，杨冰，等.云计算信息系统等级保护框架研究［J］，信息安全与通信保密，2013(9):98－105.