云安全防护项目需求

4.1.1 总体研究内容

课题1：基于典型电力云计算系统架构的统一防护体系设计

课题1是项目研究的基础。选取系统架构覆盖面广、使用规模庞大、应用场景复杂的电力云终端系统作为典型电力云计算系统，对其进行全面的风险分析，进而针对各风险点进行相应防护手段的研究。通过对防护手段成熟度、有效性以及实现基于风险调节的安全控制的完全程度进行维度划分和体系构建，最终形成电力云安全统一防护体系的顶层设计。

课题2：基于多虚拟化传输协议下的行为安全审计关键技术研究与实现

课题2属于对用户侧的安全防护手段。完成基于多虚拟化传输协议下的行为安全审计关键技术研究，并形成与虚拟化底层无关的行为安全审计产品，从而实现对虚拟环境下的用户活动进行系统而独立的检查验证功能。本课题的研究重点在于行为审计产品对ICA、SPICE、PCOIP、RDP等主流云计算传输协议的横向支持。

课题3：虚拟环境下的恶意软件防护关键技术研究与应用

完成虚拟环境下的恶意软件后台统一查杀关键技术的研究，形成电力云病毒查杀产品，解决云计算环境下的资源争抢、扫描风暴和零保护时间等特殊问题。通过使用虚拟化层开放出来的API接口，对虚拟机进行病毒扫描和病毒查杀。同时采用一定的调度机制，对扫描和升级进行排程作业，防止网络、CPU、IO等资源冲突。电力云查杀系统在占用较低带宽的情况下能够提供完善的防病毒服务，提升公司电力云终端系统的安全可控能力及安全防护体系在国内的领先性。电力云病毒查杀产品同时需要实现在电力云终端系统中的试点部署应用。

课题4：基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现

实现对宿主机和虚拟机之间的数据使用控制，完成基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现。在虚拟机里运行的程序会绕过底层，从而利用宿主机，这种技术叫做虚拟机逃逸技术，由于宿主机的特权地位，其结果是整个安全模型完全崩溃。本课题将基于进程对文件操作的行为监控进行虚拟机防逃逸监控，同时实现和宿主机的安全隔离，进行完成虚拟机防逃逸监控的技术手段实现。

4.1.2基于典型电力云计算系统架构的安全防护体系设计

内容一：典型电力云计算系统的架构分析

对电力云终端系统、电力云存储系统、云资源池、云资源管理平台等电力系统内的典型云计算环境进行架构分析,形成相关分析报告，为全面分析电力云的安全风险提供支撑。

内容二：电力云计算系统的风险分析

以电力云终端系统为例，其安全风险大致包括:

（1）网络安全风险

信任边界扩大：网络信任边界由以往的单机系统扩展到整个云终端系统。同一资源池内的虚拟机之间、虚拟机与宿主机之间存在互相攻击风险。

（2）主机安全风险

虚拟机漏洞：安装系统补丁的进度和防毒病毒库的升级跟不上虚拟机数量的增长；灾难恢复的虚拟机可能没有更新系统补丁和防毒病毒库文件；通过该虚拟机漏洞攻击其它虚拟机或宿主机。

虚拟机逃逸：利用虚拟机软件或者虚拟机中运行软件的漏洞进行攻击，以达到攻击或控制虚拟机宿主机的目的。

主机超载：更改用户资源配置信息，包括CPU、内存、硬盘等，造成主机资源利用率过高，影响用户体验。

（3）应用安全风险

身份鉴别单一：试点使用的“用户名+口令”身份验证方式较为单一，存在盗用风险。

策略更改：云终端系统根据用户业务场景，为不同用户类型不同工作场景制定细粒度的安全访问控制策略，限定用户可识别的外设、可用的软件、办公时间段等。非法更改策略，如时间同步策略、用户漫游配置策略、外设接入策略等，将会影响桌面的正常使用。

非法设备登录：非指定版本的接入设备无法满足终端安全需求。

（4）数据安全风险

非法软件安装：资源型用户拥有安装软件的权限，非法安装软件容易造成病毒传播、信息泄密等风险。

（5）终端安全风险

更改瘦终端固件：修改基础程序版本及信息，破坏程序的完整性，用户将无法接入使用。

内容三：电力云安全统一防护体系设计

面向电力云的统一防护体系研究将建立在对公司关键云计算系统的深入分析基础之上。通过对典型电力云计算系统的安全防护设计，形成适用于虚拟化环境下的安全防护方法论。因此安全防护体系的首要工作是研究对象的选择。电力云终端系统部署范围广，应用场景复杂，其防护涉及网络、主机、数据、应用、终端等多个方面，适宜作为本次课题的主要研究对象。

针对电力云终端系统，在网络、主机、数据、应用、终端五个方面细化安全防护粒度，完善安全监控体系，减少安全风险发生的可能性。

图4-2典型电力云计算系统的防护架构图

（1）网络安全防护研究

沿用现有防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）以及多因素身份认证等网络安全控制手段，在云终端系统边界网络增加虚拟化系统特有的安全防护。

针对云终端系统虚拟化特点，强化系统内网络安全防护，增加以下安全防护措施：

➢虚拟机间的网络监控

在虚拟化层对网络地址、端口、连通性进行细颗粒度的监控，确保虚拟机之间、虚拟机与宿主机之间的安全通信；

➢桌面资源的准入管理

针对云终端系统的不同办公场景和安全需求划分不同准入域，对不同安全域之间的异常连接进行监控；

➢云终端网络入侵监控

针对拒绝服务的攻击，使用软硬件安防设备等防范措施效果不明显，仅能起到降低攻击级别的效果。需要针对云终端的虚拟化架构开发相应的后台入侵监控和告警分析工具，并辅以应急响应技术来应对，提高云终端网络入侵监控粒度。

（2）主机安全防护研究

沿用传统主机安全防护机制，结合智能云终端运维管理系统实时监控主机虚拟化层运行状态，确保系统安全稳定运行。

针对虚拟化特有的虚拟机逃逸、虚拟化安全漏洞、资源共享等风险，补充主机安全加固及监控手段：

➢主机虚拟化漏洞监控

对虚拟化主机进行安全加固，更新虚拟化层补丁，监控主机补丁安装率，减少主机安全漏洞；

➢虚拟机逃逸监控

定期扫描虚拟机漏洞，监控主机及虚拟机的端口状态，防止恶意攻击或控制宿主机的风险发生；

➢主机负载监控

集中监控主机运行的虚拟桌面资源配置信息，比较系统当前资源配置（CPU、内存、存储空间）和标准配置的一致性，防止主机过载、崩溃引起关键服务中断。

➢日志和安全事件监控

监视主机和虚拟机事件日志和安全事件，以备审计。

（3）应用安全防护研究

为保障云终端系统应用的安全性，需严格控制用户权限，定期检查系统策略，细化应用安全防护粒度：

➢策略标准化监控