1、云安全等保風(fēng)險(xiǎn)分析由于本系統(tǒng)是新建設(shè)系統(tǒng)，并且尚未部署應(yīng)用。機(jī)房環(huán)境目 前已經(jīng)非常完備，具備很好的物理安全措施。因此當(dāng)前最主要的工作是依據(jù)等級保護(hù)基本要求，著重進(jìn)行 網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)層等方面的等級保護(hù)安全技術(shù)建設(shè)工 作。此外，天融信具有等級保護(hù)的專家團(tuán)隊(duì)，深入了解國家等級 保護(hù)相關(guān)政策，熟悉信息系統(tǒng)規(guī)劃和整改工作的關(guān)鍵點(diǎn)和流 程，將通過等級保護(hù)差距分析、文檔審核、現(xiàn)場訪談、現(xiàn)場 測試等方式，發(fā)掘目前云平臺系統(tǒng)與等保技術(shù)和管理要求的 不符合項(xiàng)。并針對不符合項(xiàng)，進(jìn)行逐條分析，確認(rèn)建設(shè)方案。 在云架構(gòu)下傳統(tǒng)的保護(hù)模式如何建立層次型的防護(hù)策略，如 何保護(hù)共享虛擬化環(huán)境下的云平臺建設(shè)中需重點(diǎn)考慮的環(huán)

2、 節(jié)；健康云和智慧云將實(shí)現(xiàn)基于云的數(shù)據(jù)存儲和集中管理， 必須采用有效措施防止外部入侵和內(nèi)部用戶濫用權(quán)限；在信 息安全保障體系實(shí)現(xiàn)時(shí)仍需滿足國家信息安全等級保護(hù)政 策要求，同時(shí)需要解決信息安全等級保護(hù)政策在云計(jì)算技術(shù) 體系下如何落地的重要課題。健康云和智慧云計(jì)算平臺引入了虛擬化技術(shù)，實(shí)現(xiàn)數(shù)據(jù)資 源、服務(wù)資源、平臺資源的云共享，計(jì)算、網(wǎng)絡(luò)、存儲等三 類資源是云計(jì)算平臺依賴重要的系統(tǒng)資源，平臺的可用性(Availability)可靠性(Reliability)、數(shù)據(jù)安全性、運(yùn)維管 理能力是安全建設(shè)的重要指標(biāo)，傳統(tǒng)的密碼技術(shù)、邊界防護(hù) 技術(shù)、入侵檢測技術(shù)、審計(jì)技術(shù)等在云計(jì)算環(huán)境下仍然需要， 并需要針對

3、云計(jì)算給信息安全帶來的新問題，重點(diǎn)解決，虛 擬化安全漏洞，以及基于云環(huán)境下的安全監(jiān)控、用戶隔離、 行為審計(jì)、不同角色的訪問控制、安全策略、安全管理和日 志審計(jì)等技術(shù)難點(diǎn)，這就更加需要借助內(nèi)外網(wǎng)等級保護(hù)的建 設(shè)構(gòu)建滿足健康云、智慧云平臺業(yè)務(wù)需要的安全支撐體系， 提高信息化環(huán)境的安全性，并通過運(yùn)維、安全保障等基礎(chǔ)資 源的統(tǒng)一建設(shè)，有效消除安全保障中的“短板效應(yīng)”，增強(qiáng)整 個(gè)信息化環(huán)境的安全性。1.1合規(guī)性風(fēng)險(xiǎn)XX云平臺的安全建設(shè)需滿足等級保護(hù)三級基本要求的標(biāo)準(zhǔn)，即需要建設(shè)安全技術(shù)、管理、運(yùn)維體系，達(dá)到可信、可 控、可管的目標(biāo)。但是目前在云計(jì)算環(huán)境下的等級保護(hù)標(biāo)準(zhǔn) 尚未出臺，可能會面臨信息系統(tǒng)可信、

4、可控、可管的巨大挑 戰(zhàn)，如下圖:未掌握云計(jì)算核心技術(shù)，自主可控難度較大;缺乏相應(yīng)的法律法規(guī)M亍業(yè)監(jiān)控評價(jià)體系；口更大規(guī)模異構(gòu)共享和虛擬動態(tài)的運(yùn)言環(huán)境難以控制;口網(wǎng)絡(luò)虛擬化后，虛擬機(jī)之間的通信控制；口多租戶環(huán)境下不同租戶間的隔離；傳統(tǒng)的安全測評面對虛擬化環(huán)境；云計(jì)算的安全管理制度和運(yùn)維體系；此外，在今后大量XX自有應(yīng)用以及通過SaaS方式，縱向引 入各下屬單位應(yīng)用。為了滿足各類不同應(yīng)用的合規(guī)性需求，需要在安全技術(shù)、運(yùn)維、管理等方面進(jìn)行更加靈活、高可用 性的冗余建設(shè)。1.2系統(tǒng)建設(shè)風(fēng)險(xiǎn)虛擬化平臺架構(gòu)，品牌的選擇是一個(gè)很慎重的問題。其架構(gòu) 依據(jù)不同品牌，導(dǎo)致接口開放程度不同，運(yùn)行機(jī)制不同。而 與虛擬

5、化平臺相關(guān)的如：信息系統(tǒng)應(yīng)用架構(gòu)、安全架構(gòu)、數(shù) 據(jù)存儲架構(gòu)等，都與虛擬化平臺息息相關(guān)，也是后續(xù)應(yīng)用遷 入工作的基礎(chǔ)。此外，在后期遷入應(yīng)用，建設(shè)過程中的質(zhì)量 監(jiān)控，建設(shè)計(jì)劃是否合理可靠等問題，均有可能造成風(fēng)險(xiǎn)。 以下為具體的風(fēng)險(xiǎn)：1.2.1應(yīng)用遷入阻力風(fēng)險(xiǎn)XX的云平臺規(guī)劃愿景包括：應(yīng)用數(shù)據(jù)大集中，管理大集中， 所以要求今后非云環(huán)境的各類應(yīng)用逐步的遷移入虛擬化環(huán) 境，各應(yīng)用的計(jì)算環(huán)境也需要調(diào)整入虛擬化環(huán)境。由此可能會引發(fā)一些兼容性風(fēng)險(xiǎn)問題，帶來遷入阻力的風(fēng)險(xiǎn)。1.2.2:擬化平臺品牌選擇風(fēng)險(xiǎn)因現(xiàn)有虛擬化平臺已經(jīng)采購?fù)瓿?，是VMware 的 vSphere虛擬化平臺，因其對國內(nèi)其他IT平臺，尤其是對

6、國內(nèi)安全廠商 的開放性嚴(yán)重不足，導(dǎo)致許多安全機(jī)制無法兼顧到云平臺內(nèi) 部。因此造成了安全監(jiān)控、安全管理、安全防護(hù)機(jī)制在云平臺內(nèi) 外出現(xiàn)斷檔的現(xiàn)象，使現(xiàn)有的自動化安全管理、網(wǎng)絡(luò)管理、 安全防護(hù)等措施無法有效覆蓋虛擬化環(huán)境。1.2.3建設(shè)質(zhì)量計(jì)量、監(jiān)督風(fēng)險(xiǎn)因?yàn)楸敬蝀X云平臺的建設(shè)打算采用市場化建設(shè)的方式進(jìn) 行，但是現(xiàn)有云計(jì)算平臺是否符合建設(shè)要求，是否符合安全 需求，如何進(jìn)行質(zhì)量的計(jì)量，如何進(jìn)行評審監(jiān)督，都是亟待 解決的問題。1.2.4安全規(guī)劃風(fēng)險(xiǎn)在云平臺的規(guī)劃過程中，應(yīng)同時(shí)規(guī)劃安全保障體系的；保證 在建設(shè)過程中，同步實(shí)施計(jì)算環(huán)境和安全保障建設(shè)。如出現(xiàn) 信息安全建設(shè)延后，可能帶來保障體系的脆弱性，放大

7、各其 他基礎(chǔ)設(shè)施的脆弱性，導(dǎo)致各類安全風(fēng)險(xiǎn)的滋生。1.2.5建設(shè)計(jì)劃風(fēng)險(xiǎn)云平臺的建設(shè)因其復(fù)雜性，導(dǎo)致系統(tǒng)投入使用前，需要進(jìn)行 完善詳實(shí)的規(guī)劃、設(shè)計(jì)和實(shí)施。需協(xié)調(diào)好各相關(guān)部門，以及 第三方合作廠商，群策群力的建設(shè)云平臺，而建設(shè)計(jì)劃是需 要先行一步制定好的，從而可以指導(dǎo)規(guī)范整個(gè)項(xiàng)目的生命周 期。1.3安全技術(shù)風(fēng)險(xiǎn)基于虛擬化技術(shù)的云平臺帶來了許多優(yōu)勢，如計(jì)算資源按需 分配，計(jì)算資源利用效率最大化等等。但是，在引入優(yōu)勢的 同時(shí)，也會帶來許多新的安全風(fēng)險(xiǎn)。因此對于XX云平臺的 信息安全風(fēng)險(xiǎn)分析也應(yīng)根據(jù)實(shí)際情況作出調(diào)整，考慮虛擬化 平臺、虛擬化網(wǎng)絡(luò)、虛擬化主機(jī)的安全風(fēng)險(xiǎn)。同時(shí)，為了滿足等級保護(hù)的合規(guī)性要求

8、，需要結(jié)合等級保護(hù) 三級的基本要求中關(guān)于安全技術(shù)體系的五個(gè)層面的安全需 求，即：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全及數(shù)據(jù) 安全。雖然目前階段，云平臺尚未引入有效應(yīng)用和數(shù)據(jù)，但是在安 全規(guī)劃中需要為未來出現(xiàn)的情況進(jìn)行先期預(yù)測，將其可能引 入的安全風(fēng)險(xiǎn)進(jìn)行考慮。因此，在經(jīng)過總結(jié)后，可得出八個(gè)方面的安全風(fēng)險(xiǎn)。1.3.1物理安全風(fēng)險(xiǎn)因目前物理機(jī)房的基礎(chǔ)設(shè)施已完善，在實(shí)地考察后，發(fā)現(xiàn) XX現(xiàn)有機(jī)房已滿足等級保護(hù)三級合規(guī)性要求，物理安全風(fēng) 險(xiǎn)已經(jīng)得到有效控制。1.3.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)本節(jié)主要討論非虛擬化環(huán)境中的傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)有多種因素會對網(wǎng)絡(luò)可用性造成負(fù)面影響，主要集中于鏈路 流量負(fù)載

9、不當(dāng)，流量分配不當(dāng)，以及拒絕服務(wù)攻擊、蠕蟲類 病毒等威脅。此外，對網(wǎng)絡(luò)內(nèi)部流量和協(xié)議的審計(jì)也非常關(guān) 鍵，運(yùn)維人員需要了解這些信息以協(xié)調(diào)網(wǎng)絡(luò)資源，充分保障 網(wǎng)絡(luò)的可用性，進(jìn)一步保障應(yīng)用業(yè)務(wù)的可用性。網(wǎng)絡(luò)邊界完整性風(fēng)險(xiǎn)網(wǎng)絡(luò)邊界包含云平臺邊界、內(nèi)部各安全域的邊界，租戶邊界 （主機(jī)/虛擬主機(jī)/業(yè)務(wù)系統(tǒng)），互聯(lián)網(wǎng)接入邊界。在此討論非 虛擬化環(huán)境下的網(wǎng)絡(luò)邊界完整性風(fēng)險(xiǎn)。云平臺網(wǎng)絡(luò)邊界、互聯(lián)網(wǎng)接入邊界、內(nèi)部各安全域網(wǎng)絡(luò)邊界 以及物理主機(jī)的網(wǎng)絡(luò)邊界可能會因缺乏邊界訪問控制管理， 訪問控制策略不當(dāng)，身份鑒別失效，非法內(nèi)聯(lián)，非法外聯(lián)等 因素而被突破，導(dǎo)致網(wǎng)絡(luò)邊界完整性失去保護(hù)，進(jìn)一步可能 會影響信息系統(tǒng)的保密性和

10、可用性。安全通信風(fēng)險(xiǎn)第三方運(yùn)維人員，采用遠(yuǎn)程終端訪問云中的各類應(yīng)用。如果 不對應(yīng)用數(shù)據(jù)的遠(yuǎn)程通信數(shù)據(jù)進(jìn)行加密，則通信信息就有被 竊聽、篡改、泄露的風(fēng)險(xiǎn)，破壞通信信息的完整性和保密性。入侵防護(hù)風(fēng)險(xiǎn)網(wǎng)絡(luò)入侵可能來自各邊界的外部或內(nèi)部。如果缺乏行之有效 的審計(jì)手段和防護(hù)手段，則信息安全無從談起。為避免信息 安全保障體系成為了聾子、瞎子，需要審計(jì)手段發(fā)現(xiàn)入侵威脅，需要防護(hù)手段阻斷威脅。惡意代碼風(fēng)險(xiǎn)當(dāng)網(wǎng)絡(luò)邊界被突破后，信息系統(tǒng)會暴露在危險(xiǎn)的環(huán)境下，最 為突出的風(fēng)險(xiǎn)就是惡意代碼的風(fēng)險(xiǎn)，可能會造成系統(tǒng)保密性 和可用性的損失。包括端口掃描、強(qiáng)力攻擊、木馬后門攻擊、 拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和

11、網(wǎng)絡(luò)蠕蟲攻 擊等。系統(tǒng)隨時(shí)會面臨各類惡意代碼攻擊的風(fēng)險(xiǎn)，尤其是 APT攻擊，即使系統(tǒng)具備較為完善的防御體系，也很難防范 此類攻擊。1.3.3主機(jī)安全風(fēng)險(xiǎn)在虛擬化環(huán)境下，主機(jī)安全也應(yīng)對物理服務(wù)器主機(jī)和虛擬化 主機(jī)進(jìn)行區(qū)別對待，存在的安全風(fēng)險(xiǎn)問題有所不同。本節(jié)只討論物理服務(wù)器和遠(yuǎn)程接入應(yīng)用的操作終端的安全 風(fēng)險(xiǎn)。應(yīng)用操作終端風(fēng)險(xiǎn)云平臺搭建后，系統(tǒng)資源統(tǒng)一放在云端，而用戶是通過終端遠(yuǎn)程接入云中的應(yīng)用。除了上述的身份鑒別和授權(quán)的風(fēng)險(xiǎn) 外，終端使用的瀏覽器自身存在漏洞，甚至終端本身的健康 狀況不良，都可能會造成云端受到相應(yīng)的威脅。服務(wù)器主機(jī)操作系統(tǒng)漏洞風(fēng)險(xiǎn)服務(wù)器主機(jī)操作系統(tǒng)因自身設(shè)計(jì)原因，存在固有的漏洞

12、和脆 弱性，具有被突破、被潛伏、被利用、被破壞的各類風(fēng)險(xiǎn)。服務(wù)器主機(jī)平臺風(fēng)險(xiǎn)目前服務(wù)器的硬件架構(gòu)中，采用的CPU、主板、內(nèi)存等配件 的核心技術(shù)仍然受制于人，為了業(yè)務(wù)的性能需求，仍然需要 采用國外的技術(shù)架構(gòu)?？赡軙砗箝T入侵的風(fēng)險(xiǎn)。1.3.4應(yīng)用安全風(fēng)險(xiǎn)身份鑒別、授權(quán)、審計(jì)風(fēng)險(xiǎn)應(yīng)用放置在云端，在實(shí)現(xiàn)資源共享的同時(shí)，會帶來信息泄漏 的風(fēng)險(xiǎn)。由于網(wǎng)絡(luò)的不確定性，首要問題就是要確認(rèn)使用者 的身份、確保身份的合法性。由于工作需要，不同部門、不 同職責(zé)的工作人員應(yīng)用需求不同，信息使用權(quán)限不同，必須 要對使用者身份進(jìn)行統(tǒng)一的認(rèn)證，統(tǒng)一授權(quán)，統(tǒng)一審計(jì)。一旦攻擊者獲取使用者的身份驗(yàn)證信息，假冒合法用戶，用 戶

13、數(shù)據(jù)完全暴露在其面前，其他安全措施都將失效，攻擊者 將可以為所欲為，竊取或修改用戶數(shù)據(jù)。因此，身份假冒是 政務(wù)云面對的首要安全威脅。應(yīng)用服務(wù)可用性風(fēng)險(xiǎn)任何形式的應(yīng)用都存在可用性風(fēng)險(xiǎn)，而一旦可用性風(fēng)險(xiǎn)被威 脅利用，進(jìn)一步引發(fā)了安全事件，則會帶來應(yīng)用的不可用， 進(jìn)而導(dǎo)致業(yè)務(wù)受阻。缺乏對應(yīng)用服務(wù)的審計(jì)也會帶來可用性風(fēng)險(xiǎn)，如果通過審計(jì) 和分析策略在故障或入侵之前可以察覺到異常信息，可能就 避免了事故的發(fā)生。而在云計(jì)算環(huán)境下，因?yàn)閼?yīng)用的高度集中和邊界模糊，可能 一次單臺主機(jī)的不可用，都會帶來多種業(yè)務(wù)的不可用。因此 云計(jì)算環(huán)境下的應(yīng)用可用性問題相比傳統(tǒng)計(jì)算環(huán)境下，具備 影響范圍廣，程度深的特點(diǎn)。 WEB攻

14、擊風(fēng)險(xiǎn)WEB攻擊主要指針對WEB服務(wù)的各類應(yīng)用惡意代碼攻擊， 諸如SQL注入攻擊、XSS攻擊、網(wǎng)頁篡改等，通常是由于 對HTTP表單的輸入信息未做嚴(yán)格審查，或WEB應(yīng)用在代 碼設(shè)計(jì)時(shí)存在的脆弱性導(dǎo)致的。如果不對這類攻擊進(jìn)行專門的防護(hù)，很容易造成安全保障體 系被突破，以WEB服務(wù)作為跳板，進(jìn)一步威脅內(nèi)部的應(yīng)用 和數(shù)據(jù)。1.3.5數(shù)據(jù)安全風(fēng)險(xiǎn)數(shù)據(jù)保密性和完整性風(fēng)險(xiǎn)XX云因其業(yè)務(wù)特點(diǎn)，所處理的數(shù)據(jù)關(guān)乎公眾服務(wù)，以及為 國家提供輿情服務(wù)。雖然會有部分應(yīng)用會對互聯(lián)網(wǎng)用戶提供 服務(wù)，但只是提供有限的接口，訪問有限的，關(guān)乎個(gè)人的等 非敏感數(shù)據(jù)。但大部分敏感的，不宜公開的政務(wù)云數(shù)據(jù)還會 面臨來自非法入侵后進(jìn)行

15、竊取或篡改，進(jìn)而帶來的數(shù)據(jù)保密 性和完整性風(fēng)險(xiǎn)。數(shù)據(jù)可用性風(fēng)險(xiǎn)當(dāng)數(shù)據(jù)的完整性遭受破壞時(shí)，數(shù)據(jù)可用性也會遭受影響，數(shù) 據(jù)失真，尤其是應(yīng)用的關(guān)鍵參數(shù)失真最為嚴(yán)重。尤其是虛擬 化環(huán)境下，數(shù)據(jù)碎片化存儲，在整合時(shí)出現(xiàn)問題，導(dǎo)致應(yīng)用 服務(wù)中斷，進(jìn)而造成應(yīng)用可用性的風(fēng)險(xiǎn)。所以如何進(jìn)行容災(zāi)， 備份，恢復(fù)也是一個(gè)嚴(yán)峻的問題。數(shù)據(jù)審計(jì)風(fēng)險(xiǎn)因?yàn)樵谠骗h(huán)境中，用戶的數(shù)據(jù)不再保存在用戶本地，因此目 前在云計(jì)算環(huán)境中，多依靠完整性驗(yàn)證的方式使用戶確信他 們的數(shù)據(jù)被正確的存儲和處理。為了保證數(shù)據(jù)可恢復(fù)性及冗 余性，在云計(jì)算環(huán)境中，通常會采用冗余存儲的手段。這就 需要特定的審計(jì)方法保證多個(gè)版本數(shù)據(jù)的一致性和完整性。此外，針對

16、數(shù)據(jù)的使用者信息，也需要通過審計(jì)措施來進(jìn)行 記錄。數(shù)據(jù)安全檢測風(fēng)險(xiǎn)在政務(wù)云環(huán)境下，數(shù)據(jù)往往是離散的分布在“云”中不同的位 置，用戶無法確定自己的數(shù)據(jù)究竟在哪里，具體是由哪個(gè)服 務(wù)器進(jìn)行管理。也因此造成當(dāng)數(shù)據(jù)出現(xiàn)不可用，破壞，甚至泄露時(shí)，很難確定具體的問題點(diǎn)。數(shù)據(jù)庫安全風(fēng)險(xiǎn)數(shù)據(jù)庫通常作為非結(jié)構(gòu)化數(shù)據(jù)的索引，通過結(jié)構(gòu)化表的表現(xiàn) 形式，為前端應(yīng)用和后方數(shù)據(jù)提供橋梁；同時(shí)，對于結(jié)構(gòu)化 的數(shù)據(jù)，數(shù)據(jù)庫本身就進(jìn)行了數(shù)據(jù)存儲。惡意攻擊通常會通過數(shù)據(jù)庫漏洞或惡意代碼的方式進(jìn)行非法提權(quán)，從而通過數(shù)據(jù)庫結(jié)構(gòu)化語句竊取、篡改甚至破壞后臺存儲的數(shù)據(jù)，威脅到數(shù)據(jù)的保密性、完整性和可用性。1.3.6虛擬化平臺安全風(fēng)險(xiǎn)虛擬

17、化是云計(jì)算最重要的技術(shù)支持之一，也是云計(jì)算的標(biāo)志 之一。然而，虛擬化的結(jié)果，卻使許多傳統(tǒng)的安全防護(hù)手段 失效。從技術(shù)層面上講，云計(jì)算與傳統(tǒng)IT環(huán)境最大的區(qū)別 在于其虛擬的計(jì)算環(huán)境，也正是這一區(qū)別導(dǎo)致其安全問題變 得異?！凹帧?。虛擬化平臺自身安全風(fēng)險(xiǎn)虛擬化平臺自身也存在安全漏洞，虛擬主機(jī)可能會被作為跳板，通過虛擬化網(wǎng)絡(luò)攻擊虛擬化平臺的管理接口；或者由虛 擬機(jī)通過平臺的漏洞直接攻擊底層的虛擬化平臺，導(dǎo)致基于 虛擬化平臺的各類業(yè)務(wù)均出現(xiàn)不可用或信息泄露。安全可信、可控風(fēng)險(xiǎn)虛擬化平臺技術(shù)是從國外引進(jìn)的，目前常見的主流商用虛擬 化平臺被幾個(gè)大的國外廠商壟斷，且不對外提供關(guān)鍵、核心 接口，更不提供源碼，

18、導(dǎo)致在其上構(gòu)建和部署安全措施困難， 可控性差。再加上可能的利益驅(qū)使和網(wǎng)絡(luò)戰(zhàn)需要，無法判別 是否留有控制“后門”，可信度有待商榷。虛擬資源池內(nèi)惡意競爭風(fēng)險(xiǎn)處于虛擬資源池內(nèi)的多虛擬主機(jī)會共享統(tǒng)一硬件環(huán)境，經(jīng)常 會出現(xiàn)惡意的搶占資源，影響了平臺資源的可用性，進(jìn)而影 響虛擬化平臺的服務(wù)水平。1.3.7虛擬化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)，使得傳統(tǒng)的分域防護(hù)變得難以實(shí)現(xiàn)，虛 擬化的服務(wù)提供模式，使得對使用者身份、權(quán)限和行為鑒別、控制與審計(jì)變得更加困難。造成虛擬化網(wǎng)絡(luò)不可見風(fēng)險(xiǎn)、網(wǎng)絡(luò)邊界動態(tài)化風(fēng)險(xiǎn)、多租戶混用安全風(fēng)險(xiǎn)等。虛擬化網(wǎng)絡(luò)不可見風(fēng)險(xiǎn)在云環(huán)境中，虛擬化資源會放在同一的資源池中，供各應(yīng)用 調(diào)配資源來實(shí)現(xiàn)

19、業(yè)務(wù)的運(yùn)行。在這種情況下，傳統(tǒng)安全防護(hù) 設(shè)備無法深入虛擬化平臺內(nèi)部進(jìn)行安全防護(hù)，難以達(dá)到惡意 代碼的防護(hù)，流量監(jiān)控，協(xié)議審計(jì)等安全要求。網(wǎng)絡(luò)邊界動態(tài)化風(fēng)險(xiǎn)為了實(shí)現(xiàn)虛擬化環(huán)境下的動態(tài)負(fù)載，出現(xiàn)了虛擬機(jī)動態(tài)漂移 技術(shù)，導(dǎo)致虛擬化主機(jī)的真實(shí)位置也會隨之改變，造成邊界 的安全策略也需要隨之轉(zhuǎn)移。若邊界隔離、安全防護(hù)措施與 策略不能跟隨虛擬機(jī)漂移，會使得邊界防護(hù)措施和防護(hù)策略 難以起效，造成安全漏洞。多租戶混用安全風(fēng)險(xiǎn)在XX云平臺的規(guī)劃愿景中，包含對下屬機(jī)構(gòu)提供SaaS類服 務(wù)，必然會引入其他租戶的應(yīng)用。這么多的業(yè)務(wù)系統(tǒng)有著不 同的安全等級和訪問控制要求，業(yè)務(wù)系統(tǒng)自身的安全保障機(jī)制也參差不齊。所有業(yè)務(wù)系

20、統(tǒng)的安全防護(hù)策略和需求也是不 同的，而安全策略一刀切常常會使整體安全度降低，高安全 等級要求的業(yè)務(wù)系統(tǒng)無法得到應(yīng)有的安全保障，導(dǎo)致越權(quán)訪 問、數(shù)據(jù)泄露。網(wǎng)絡(luò)地址沖突風(fēng)險(xiǎn)由于用戶對虛擬機(jī)有完全控制權(quán)，所以可以隨意修改虛擬機(jī) 的mac地址，可能造成與其他虛擬機(jī)的mac沖突，從而影響 虛擬機(jī)通信。惡意虛擬機(jī)實(shí)施攻擊風(fēng)險(xiǎn)虛擬機(jī)通信隔離機(jī)制不強(qiáng)，惡意虛擬機(jī)可能監(jiān)聽其他虛擬機(jī)的運(yùn)行狀態(tài)，實(shí)施Dos攻擊，惡意占用資源（cpu，內(nèi)存，網(wǎng) 絡(luò)帶寬等），影響其他VM的運(yùn)行。1.3.8:擬化主機(jī)安全風(fēng)險(xiǎn):擬機(jī)惡意搶占資源風(fēng)險(xiǎn)虛擬機(jī)完全由最終用戶控制，惡意份子和被控制的虛擬機(jī)可 能惡意搶占網(wǎng)絡(luò)、存儲和運(yùn)算資源，導(dǎo)致整

21、體云平臺資源耗盡，從而影響其他關(guān)鍵業(yè)務(wù)系統(tǒng)的正常運(yùn)行擾亂正常政務(wù)辦 公。虛擬機(jī)安全審計(jì)風(fēng)險(xiǎn)在云平臺構(gòu)建完成后，將同時(shí)運(yùn)轉(zhuǎn)數(shù)量眾多的虛擬機(jī)。并且， 對虛擬機(jī)的操作人員各異，安全意識和安全防范措施也參差 不齊。缺乏安全審計(jì)會導(dǎo)致某些虛擬機(jī)感染病毒后進(jìn)行非法 操作，甚至可能利用hypervisor的已有漏洞，獲得更高權(quán)限， 從而實(shí)施各種攻擊。虛擬機(jī)鏡像安全風(fēng)險(xiǎn)比起物理主機(jī)，虛擬機(jī)鏡像是以文件形式存在，因此，容易 被復(fù)制和修改，同時(shí)，不同安全級別的版本鏡像可能被替換。 虛擬機(jī)鏡像文件如缺乏控制措施，可能存在完整性修改，鏡 像回滾失敗等風(fēng)險(xiǎn)。1.3.9安全管理風(fēng)險(xiǎn)當(dāng)云平臺系統(tǒng)進(jìn)入上線運(yùn)行階段后，相關(guān)安全

22、管理人員在管 理過程中可能會遭遇多種問題，引發(fā)安全管理風(fēng)險(xiǎn)。在云計(jì)算環(huán)境下，應(yīng)用系統(tǒng)和硬件服務(wù)器不再是一一綁定的關(guān)系，安全管理職責(zé)發(fā)生了變化，失去了對基礎(chǔ)設(shè)施和應(yīng)用 的絕對管理權(quán)和控制權(quán)。另外，政務(wù)云系統(tǒng)的管理層面發(fā)生 了變化，XX的云環(huán)境運(yùn)維部門負(fù)責(zé)管理基礎(chǔ)設(shè)施，而應(yīng)用 系統(tǒng)因?yàn)樽鈶舯姸啵沟脩?yīng)用系統(tǒng)的維護(hù)者眾多。也因此管 理職責(zé)復(fù)雜化，需要明晰職權(quán)。在多租戶遷入應(yīng)用和數(shù)據(jù)的 情況下，區(qū)別于傳統(tǒng)的私有云，管理人員的隊(duì)伍也發(fā)生了變 化，需要多個(gè)部門進(jìn)行人員的協(xié)調(diào)。因?yàn)槿藛T是由多個(gè)部門 組成，也因此要求安全管理制度，應(yīng)急響應(yīng)的策略和制度依 據(jù)實(shí)際情況作出調(diào)整。1.3.10 云環(huán)境下的特有安全管理

23、風(fēng)險(xiǎn)在云環(huán)境下，“資源池”管理技術(shù)主要實(shí)現(xiàn)對物理資源、虛 擬資源的統(tǒng)一管理，并根據(jù)用戶需求實(shí)現(xiàn)虛擬資源（虛擬機(jī)、 虛擬存儲空間等）的自動化生成、分配、回收和遷移，用以 支持用戶對資源的彈性需求。這突破了傳統(tǒng)的安全區(qū)域，使得傳統(tǒng)基于物理安全邊界的防 護(hù)機(jī)制不能有效地發(fā)揮作用，削弱了云平臺上各租戶對重要 信息的管理能力。另外，在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)中的各類 資產(chǎn)通常由不同的管理員進(jìn)行管理。但在虛擬化環(huán)境中，往 往都由同一管理員負(fù)責(zé)，可能會出現(xiàn)管理員權(quán)限過于集中的 風(fēng)險(xiǎn)。對管理員的操作審計(jì)和行為規(guī)范都提出了很高的要 求。安全組織建設(shè)風(fēng)險(xiǎn)要應(yīng)對云平臺進(jìn)入運(yùn)行階段的各類問題，首先對進(jìn)行安全管 理運(yùn)維的組

24、織保障能力提出了挑戰(zhàn)。沒有依據(jù)實(shí)際情況建設(shè)的安全組織，無法應(yīng)對云平臺復(fù)雜環(huán) 境下的安全管理要求，無法順利完成安全管理工作，無法保 障各類云業(yè)務(wù)的順利進(jìn)行。而且鑒于本次云平臺建設(shè)的實(shí)際 情況：即遷入多租戶的大量應(yīng)用，所以在進(jìn)行安全管理時(shí)， 如何劃分管理權(quán)限，明晰職責(zé)，也成為了需要解決的問題。因此，需求合理的、務(wù)實(shí)的、專業(yè)的多類安全隊(duì)伍來應(yīng)對挑 戰(zhàn)，保障云平臺業(yè)務(wù)順利通暢的進(jìn)行。人員風(fēng)險(xiǎn)再安全的網(wǎng)絡(luò)設(shè)備和安全管理系統(tǒng)也離不開人的操作和管 理，再好的安全策略也最終要靠人來實(shí)現(xiàn)，因此人員也是整 個(gè)網(wǎng)絡(luò)安全中的重要一環(huán)。需求具備完備的信息安全意識， 專業(yè)的信息安全素養(yǎng)，職業(yè)化的信息安全態(tài)度人才，來管理

25、和維護(hù)政務(wù)云系統(tǒng)，保障業(yè)務(wù)。安全策略風(fēng)險(xiǎn)在應(yīng)對云平臺未來可能遇到的信息安全事件時(shí)，除了具備組 織、人員外，還需要制定適合云平臺系統(tǒng)復(fù)雜環(huán)境的安全制 度和安全策略，讓組織和人員可以有效的，合規(guī)的完成信息 安全事件相關(guān)的各類工作，以保證信息安全管理可以高效， 高質(zhì)量的進(jìn)行。安全審計(jì)風(fēng)險(xiǎn)在云平臺投入使用后，因業(yè)務(wù)系統(tǒng)和底層架構(gòu)較為復(fù)雜，需 要進(jìn)行全方位的監(jiān)控審計(jì)，以便及時(shí)發(fā)現(xiàn)各類可能和信息安 全相關(guān)、業(yè)務(wù)狀態(tài)相關(guān)的信息，并及時(shí)作出管理策略的響應(yīng) 和調(diào)整。而具體由誰來監(jiān)控審計(jì)，審計(jì)結(jié)果是否有效而客觀，是否可 以及時(shí)傳達(dá)至相關(guān)責(zé)任人，這些問題都需要妥善解決，才能 夠?qū)崿F(xiàn)全方位，及時(shí)，有效的審計(jì)。1.4安

26、全運(yùn)維風(fēng)險(xiǎn)因?yàn)閄X的采購方式是通過市場化建設(shè)，提供基礎(chǔ)設(shè)施平臺， 平臺建設(shè)完成后，將引入各下屬機(jī)構(gòu)的應(yīng)用系統(tǒng)。所以在云 平臺投入使用后，運(yùn)維人員、審計(jì)監(jiān)控以及應(yīng)急響應(yīng)等都發(fā) 生了職責(zé)、權(quán)限、流程的變化，引入了新型的，在云環(huán)境下 特有的新型風(fēng)險(xiǎn)。此外，還包括一些傳統(tǒng)的安全運(yùn)維風(fēng)險(xiǎn)，例如：環(huán)境與資產(chǎn)， 操作與運(yùn)維，業(yè)務(wù)連續(xù)性，監(jiān)督和檢查，第三方安全服務(wù)等 風(fēng)險(xiǎn)。1.4.1云環(huán)境下的特有運(yùn)維風(fēng)險(xiǎn)運(yùn)維職權(quán)不明風(fēng)險(xiǎn) 在云平臺投入使用后，基礎(chǔ)設(shè)施由XX進(jìn)行運(yùn)維，而基于基礎(chǔ)設(shè)施的各類應(yīng)用由各租戶的相關(guān)人員進(jìn)行運(yùn)維。但是當(dāng)發(fā) 生事故的時(shí)候，無法在第一時(shí)間確定事故的波及方；處理事 故時(shí)，無法分配具體任務(wù)；事故追責(zé)時(shí)，無法確定到底由誰 來負(fù)責(zé)。尤其是在云環(huán)境中，資源池內(nèi)如果發(fā)生了安全事故， 資源邊界更加模糊。因此確定運(yùn)維職責(zé)非常重要。運(yùn)維流程不明風(fēng)險(xiǎn)因?yàn)檫\(yùn)維參與者眾多，屬于不同的參與方，也導(dǎo)致在進(jìn)行運(yùn) 維過程中，很多流程要涉及到不同參與方的多個(gè)部門。因此 確定一個(gè)統(tǒng)一的，合理的安全運(yùn)維制度是保障運(yùn)維工作順利 進(jìn)行的必要條件。、* tv.、一 、r. k_ r人在安全技術(shù)上，傳統(tǒng)的運(yùn)維審計(jì)手段缺乏對虛擬機(jī)的運(yùn)維審 計(jì)能力。流量不可視也帶來了協(xié)議無法審計(jì)，虛擬機(jī)動態(tài)遷 移