基于私有云安全平台的安全设置

邱成相

私有云（Private Clouds）是在云计算平台上发展起来的。在未来信息技术发展与各类应用中，这种以虚拟化为主的构架会逐渐占据主导地位。随着网络信息技术的发展，私有云平台上的应用逐渐增多，对于平台安全也有了更高的要求。本文从私有云平台安全的角度，分别对私有云安全概念、建设意义及安全设置等方面进行探讨。

【关键词】私有云 安全 研究

1 前言

云平台是一个非常大的技术转型市场，如微软的office就已经完成了到office365云化转型。私有云也称内部云，核心属性是专有资源，部署在企业内部数据中心的防火墙内或某个安全的主机托管场所，通过网络对合法用户提供数据管理、资源共享及各类应用服务。私有云平台能够有效应对以APT（Advanced Persistent Threat，高级持续性威胁）攻击为代表的下一代安全威胁，通过监测大量客户端在网络中各种异常行为，分析传输的数据中各类病毒、恶意代码以及运行的程序是否安全流畅等，提供对用户身份、共享业务及用户数据等方面的安全保障。近年来，国内外安全厂商分别提出各自云安全技术理念，并推出相应的云安全产品，它们主要通过特征码检测的方式，只是采用不同的计算方式和提取技术，理念及产品本质上没有太多的差别。

2 私有云安全平台建设的意义

随着社会与经济的快速发展，政府、企业、教育及各类组织结构信息化应用能力的提升，各行业对信息化产品及服务的需求也越来越高。科学技术的进步，为各行业信息化水平的提高提供有效的技术支撑。根据自身固有特点，各行业的绝大部分业务系统基本部署在特定的封闭环境中。封闭环境能提供较高的安全防御能力，但对跨部门、跨业务系统的数据共享及服务带来较多限制。建设私有云平台，可有效整合各类资源，打通信息孤岛，提升效率和质量。相对的，对于平台环境安全性提出新要求。

中国政府将信息安全问题上升至国家战略层面，各行业特别是各级政府机关、特殊领域的国有企业等对知识产权、涉密信息的安全管控有迫切需求。传统的信息威胁防御技术主要基于已有经验知识的建模和模式匹配，通过捕获的威胁信息与原有攻击模式比较来识别攻击行为，再利用识别的结果采取应对措施。随着网络恶意攻击方式朝着复杂、隐蔽和重复可利用方向发展，攻击模式的识别和提取越来越困难。私有云安全平台打破传统防控模式的局限性，构建集病毒防护、环境安全检测、异常修复及问题评估为一体、自主可控、安全可信的智能信息终端安全运维体系，综合利用云安全设备与软件结合的私有云安全平台来构建一个安全、健康的信息网络环境。

3 私有云安全的概念及特点

3.1 私有云安全平台

由云安全设备和云安全软件组成私有云安全平台，它拥有一套完整的“发现、评估、处置、审计”威胁应对流程，并对用户提供平台应用流程定制和按需参与。“发现”潜在安全威胁通过云安全软件的监控能力来实现，“评估”机制依靠定制用户可参与的多级分析鉴定系统，“处置”方案基于用户完全可控的安全策略，“审计”功能保证上述的所有操作都可以事后追查。

3.2 私有云安全平台特点

（1）私有云安全平台的防御系统通过构建基于用户自定义的安全生态防御体系，从传统依靠黑名单的威胁防御模式提升至利用可分级、自定义的安全基线为基础的精确安全防御模式。

（2）私有云安全平台通过改进传统云安全软件的监控模式，能够实时监测网络中新出现的程序、数据及各类异常。

（3）采用静态和动态结合的多级多维文件分析鉴定系统，通过它来判别各类文件是否安全可信。

（4）通过各种云安全設备，实时反馈私有云安全平台上各类威胁风险，同时作出风险评估。根据风险评估结果，根据多级防御、威胁处置策略得出的防控方案提供给用户。

4 私有云安全平台的安全设置研究

4.1 新型恶意代码查杀方案

根据私有云安全平台自身灵活、可定制性，私有云安全平台上的安全设置方案具备多元化的特点。传统方式下通过扫描用户数据，和特征代码库对比来识别恶意代码，进而采取相应措施。新型恶意代码防御方式通过程序行为及可信任检测引擎捕获所运行程序行为，通过正向和反向程序行为算法来辨别所捕获程序是否包含恶意代码。如判定为恶意代码，查杀引擎立即进行清理；如果无法判定，先将该程序进行隔离，通过云端代码行为自动分析系统进行处理，将新的恶意代码行为写入程序行为算法库，同时将结果反馈到客户端。该方式下，可有效提升新型恶意代码防御能力。

4.2 封闭环境锁定方案

大型企业或者政府行政部门的涉密信息通过信息网络传输，对网络环境的安全保密性提出更高要求。因此，私有云平台须有与外部网络相隔离功能。封闭环境下，通过分级、用户自定义的安全基线的方式来判别威胁源。安全防御系统判定在安全基线内传输的数据及程序是安全可信的，允许通过网络传输或运行；如果用户数据及程序在安全基线外，安全防御系统将其实时锁定，不允许用户直接访问。发现未知程序在云平台运行，防御系统判断分析该程序是否通过外部网络恶意入侵或内部违规操作，提醒用户并给出处理建议，用户在终端根据具体情况采取针对性措施。

4.3 APT攻击防御方案

网络环境中随时存在各种未知威胁，最常见的包括APT攻击。APT攻击通过非法手段获取系统控制权限，对特定目标进行长期持续性网络攻击。在私有云网络安全平台采取多级防御性设置，根据安全级别的不同，不同的终端采取不一样的防御措施，常见的防御技术包括沙箱技术和可信身份认证技术。

沙箱技术通过构造一个与本地系统共存但相互间完全隔离的独立封闭式环境，其中装入进程、内存、注册表、应用程序等各类信息，按照安全策略控制程序行为。按采用技术方式分，可分为基于规则和基于虚拟化技术。用户数据和程序在沙箱中运行，通过重定向技术定位到特定位置，通过APT攻击入侵的各类可疑文件或程序无法对系统关键数据和文件造成影响。

APT攻击的一种方式是利用带身份欺骗的手段获取控制权，可信身份认证技术可保证当前操作者的数字身份真实合法性。可信身份认证技术包括口令认证、密码技术、生物识别等技术，其中基于口令认证方式是最简单、最直观方式，相应的安全性较差。密码认证通过密钥持有者利用密钥向验证方证明自己身份真实性，主要有基于对称加密技术的Kerberos认证体系和基于公钥加密技术的PKI/CA系统。生物识别技术通过人体唯一、可靠的生物特征和稳定的行为特征为依据，利用计算机数据挖掘和行为模式识别技术来实现身份认证，目前主要有指纹识别、虹膜识别、面部识别、声音识别等。和口令认证方式相比较，密码技术和生物识别技术能提供更高的安全性。实际使用中，通过多重认证技术来提高私有云平台的安全防御能力。

5 结束语

虚拟化、大数据和云计算已经成为未来信息技术发展趋势。私有云安全平台的特点符合我国当前网络信息安全的需求，和传统云安全系统相比在防御各类威胁的能力上有很大提高。从安全管控的角度，我国在理论及技术研究、产品研发水平的提升上有进一步拓展的空间。

参考文献

[1]欧阳中辉，张晓瑜，涂帅，顾佼佼.“云安全”在计算机防病毒应用中的问题研究[J].计算机与现代化，2016（12）：72-75.

[2]王朝阳，李云.基于“云安全”的指挥信息系统网络防病毒模型[J].指挥控制与仿真，2015（06）：24-26.

[3]姚小兵，高媛.浅谈网络时代的云安全技术[J].硅谷，2015（05）：72.

[4]李菊.基于私有云安全平台的网络安全部署研究与实施[J].信息网络安全，2013（08）：48-51.

[5]陈荣.私有云安全平台的网络安全设置[J].信息化建设，2015（11）：113.

作者单位

云南普洱学院 云南省普洱市 665000