0引言近幾年，云計算、大數據等技術應用迅速發展，云服務在政府部門各業務領域的部署逐漸延伸。雖然面向政府電子政務的私有云逐步建立，但是，政府部門構建的電子政務系統自身的保密性、一致性和安全性都使得私有云計算環境下的安全威脅越來越大，如何掌握私有云環境中不同維度的資源安全狀態，并在云環境中使用完善的安全監控措施，實現對私有云環境的資源、設備、應用以及數據等多維度進行實時監控，成為需要重點研究的內容。下面，我們將從私有云架構安全服務平臺構建、基于該私有云平臺實現的虛擬資源、主機設備、基礎平臺和重要數據等多維度安全監控及其安全態勢來進行研究。1私有云架構下的安全問題私有云平臺的搭建有助于政府部門自建的IT系統從粗放式、離散化的建設模式向集約化、整體化的可持續發展模式轉變，使IT管理服務從各自為政、相互封閉的運作方式向跨部門跨區域的協同互動和資源共享轉變。但是，私有云平臺的運行環境比傳統意義上的平臺支撐環境更加復雜，隨之面臨的安全防護需求也更加重要。歸納起來，私有云平臺整體安全問題主要存在如下幾個方面。1.1邊界模糊化改變傳統服務架構的邊界，邊界的模糊化和動態化使得邊界安全與隔離策略失效，無法解決云內部南北向傳輸邊界的安全問題，給應用系統運行服務帶來了巨大的安全風險。1.2資源顆粒度粗放傳統安全防護體系無法支撐云計算環境下虛擬主機粒度的安全防護。傳統的主機終端安全防護由于適配性和補丁管理等問題，無法部署在虛擬主機端進行安全防護，更無法對虛擬主機安全資源進行有效統計。1.3敏捷性缺失在私有云計算服務架構高度資源化、集成化以及服務化的環境下，分散的安全能力無法滿足應用系統的安全防護需求，在業務量爆發時也無法快速進行擴展。1.4安全設計滯后在私有云計算服務架構下，僅僅依靠防御來保護系統安全的機制無法滿足應用系統的復雜性和多樣性需求，需要構建一套集預測、防御、監控和響應于一體的自適應安全防護體系。2私有云計算服務的主要架構私有云計算服務平臺為系統提供涵蓋底層資源、虛擬主機、支撐軟件、運維管控以及安全防護等綜合的信息化基礎架構服務。從服務的類別上分為資源級別服務、主機級別服務、平臺級別服務和運維級別服務，整體架構如圖1所示。圖1私有云計算服務平臺整體架構2.1資源級別服務該服務主要是面向用戶提供統一的資源級別服務。用戶能夠在授權范圍內通過平臺門戶自主管理分配的計算、存儲、網絡和安全資源，并基于各類資源按需創建虛擬主機、搭建服務網絡、構建安全防護，為應用系統的部署運行提供平臺支撐。私有云計算資源級別服務主要包括計算虛擬化、網絡虛擬化、存儲虛擬化和安全虛擬化等內容。2.2主機級別服務主機級別服務可實現主機全生命周期的管理服務，能夠根據需求定制主機的資源配置、運行環境軟件，并能通過控制臺、界面等多種方式登錄使用。私有云計算主機級別服務主要包括虛擬主機和物理主機。2.3平臺級別服務平臺級別服務主要是面向云平臺和主要應用，如Web應用提供服務。私有云計算平臺級別服務主要包括容器集群和數據庫兩個方面。2.4運維級別服務運維級別服務主要是實現虛擬資源的快速部署和資源管理的自動化，提升運維工作的效率。私有云計算運維級別服務主要包括快速自動化部署、云平臺監控及多級權限管理等內容。3私有云架構下多維度安全監控服務平臺構建私有云計算平臺構建完成后，能夠提供涵蓋底層資源、虛擬主機、支撐軟件、運維管控以及安全防護等綜合的信息化基礎架構服務，具備完整的服務體系，豐富的服務內容，高效的服務輸出能力。為了保障私有云計算平臺服務輸出的安全性，圍繞細粒度的虛擬主機部署單元，分別針對私有云計算平臺的各類服務提供相應的安全防護策略。私有云計算平臺安全防護構建主要圍繞平臺進行系統的體系安全防護，私有云安全按服務內容可劃分為兩部分，如圖2所示。第一，云計算基礎服務平臺安全，是對網絡邊界、數據存儲以及主機病毒等基礎資源的安全防護；第二，云平臺內部安全，是指云內部的通信安全、數據加密、應用安全和虛擬化安全等內容的安全管理。針對私有云安全內容，建立相應的多維度私有云安全監控平臺和云安全態勢監控平臺，實現對各類資源的實時動態監控和威脅態勢感知，以此發現處置漏洞攻擊、新型病毒攻擊事件，幫助云上用戶實現云上業務安全可視和可感知。圖2私有云計算安全服務平臺3.1私有云計算基礎服務平臺安全主要內容針對私有云云計算服務平臺運行特點，重點針對網絡安全、主機安全、數據安全和用戶可信訪問等方面加強安全管控。3.1.1網絡安全（1）網絡隔離。按照“分區保護、區域管控”的思路，強調網絡健壯性，可將系統后臺運行環境劃分安全控制區域、核心交換區域和應用服務區域等邏輯子網，按照業務數據流向制定各子網間交互策略，在網絡層杜絕內部非授權訪問。（2）網絡邊界防護。在網絡邊界部署防火墻、安全網關等邊界防護設備,實現區域間的訪問控制、流量控制，基于預設安全規則過濾進出子網的網絡流量，阻斷非授權的訪問及連接。（3）網絡攻擊監測。依托網絡監測探針采集網絡流量，基于網絡入侵特征加載檢測規則庫，分析原始安全數據，發現內部網絡中出現的針對系統的攻擊行為、非法操作及惡意代碼，根據預設安全策略及時做出反應并提取網絡攻擊數據樣本。（4）局域網接入控制。對入網設備進行網絡接入認證，驗證入網主機身份合法性和安全狀態合規性，防止不滿足安全要求的主機接入網絡。3.1.2主機安全（1）主機監控。針對主機終端的外設控制、外聯控制、網絡控制以及程序控制等各種管控功能，掌握全網信息資產情況和終端運行狀態，實現終端用戶行為的有效管控，防止非授權硬件接入、軟件運行和用戶登錄等。（2）病毒查殺及補丁分發。檢測查殺主機病毒木馬，掃描分析安全漏洞，掌握主機安全態勢；針對主流操作系統和常用應用軟件的補丁分發功能修復安全漏洞，提高主機安全水平，確保系統防護效能。（3）漏洞掃描。部署漏洞掃描設備，定期對終端、服務器、網絡設備以及安全設備進行脆弱性掃描探測，發現操作系統、數據庫和應用軟件等方面的安全漏洞，并給出解決建議，便于掌握系統服務域內的安全漏洞情況，及時組織漏洞修復、補丁升級等工作。3.1.3數據安全（1）數據庫審計。基于核心交換機干路鏡像流量，審計系統數據庫訪問行為，主動實時監控、識別、告警繞過傳統網絡邊界防護的外部數據攻擊和來自內部高權限用戶的數據竊取、破壞等，從而應對來自內部和外部的數據安全威脅。（2）數據災備。搭建數據災備專用網絡，連接災備目標服務器、客戶端、災備管理系統和數據存儲設備建立災備數據傳輸的專用通道。部署存儲備份一體機和磁盤陣列，通過數據災備專用網絡，基于預設的數據保護和備份策略，為災備目標服務器上的數據提供多種保護和備份手段，并提供備份數據的重刪和壓縮。3.2私有云平臺內部安全云計算服務平臺內部安全同樣可從網絡安全、主機安全、數據安全和用戶可信訪問等方面進行考慮。但是，與傳統安全防護不同，云模式下網絡邊界更加模糊動態，主機資源調用更加敏捷。為適應上述情況，需要建立主要業務系統云安全防護資源池，使云主機按需調用安全資源。云安全防護資源池根據云環境內的流量形態，劃分為南北向安全資源池和東西向安全資源池。南北向安全資源池負責為系統云主機接入網絡提供安全保障；東西向安全資源池為系統云主機和云主機間通信流量提供安全保障。3.2.1南北向資源池設計建立南北向資源池，主要針對云計算服務平臺的資源層，提供入侵檢測、邊界安全防護、運維審計等不同層次、多維度的安全防護，以安全資源池化的方式為云服務平臺應用提供服務。云主機可根據自身南北向流量安全需求，調用安全資源池相關資源。南北向安全資源池采用并聯部署，包括邊界安全、應用安全和運維安全。（1）邊界安全服務。為云環境下系統內部署運行提供虛擬邊界安全防護。通過邊界安全管理系統虛擬化技術，將邊界安全系統虛擬成多個相互隔離并獨立運行的虛擬邊界安全系統。每一個虛擬系統都可以為應用系統提供定制化的安全防護功能，分別為云平臺應用提供獨立運行、管理的虛擬邊界安全隔離。在業務不斷擴展時，動態擴充虛擬邊界，降低網絡復雜度，提升靈活性。虛擬邊界安全系統間通信通過預置接口實現，不占用網絡鏈路，提高云服務平臺內南北向傳輸的安全性。（2）應用安全服務。目前，多數系統為B/S架構，以Web方式提供服務，容易受到SQL注入、跨站腳本以及網頁掛馬等Web攻擊。應用安全服務針對Web安全漏洞、攻擊手段及最終攻擊結果進行掃描、防護及診斷，提供綜合Web應用安全服務即虛擬化WAF服務，建立應用服務漏洞或安全隱患周期性檢測、網頁防篡改等機制，形成應用安全服務檢測和應用安全服務防御阻斷能力。（3）運維安全服務。建立系統管理員、運維人員、口令管理員以及審計管理員等角色，為云環境下系統云主機、服務器和其他網絡設備提供全面的安全訪問控制功能。3.2.2東西向資源池設計東西向資源池主要針對系統云主機存在的病毒破壞、攻擊感染和漏洞利用等安全風險問題，提供云主機安全防護能力，保證云主機安全穩定運行，解決云主機的安全隱患和風險，增強云主機的攻擊抵御能力，減少安全運維成本。基于云主機虛擬化特點，東西向資源池設計通過輕代理的方式實現，部署方式如圖3所示。在云主機上安裝云主機安全代理軟件，實現主機防病毒、主機防火墻、主機入侵防御、webshell檢測、安全基線、防暴力破解、虛擬化加固、主機流量統計以及數據庫審計等功能。虛擬化安全管理平臺收集代理軟件反饋的相關信息，實時跟蹤云主機安全狀態，并通過管理員統一調配，下發安全管理策略。圖3東西向資源池部署東西向資源池在功能上采用模塊化設計，具備靈活的安全功能擴展能力，主要功能包括虛擬主機殺毒、虛擬主機防火墻、虛擬主機入侵檢測及虛擬主機后門檢測。（1）虛擬主機殺毒。建立惡意代碼防范機制，對系統云主機關鍵位置進行主動防護和監測，以解決病毒木馬感染云主機的問題。周期性檢測虛擬主機基礎環境合規性，發現系統漏洞、病毒，及時掃描修復。（2）虛擬主機防火墻。實現云主機間的網絡隔離、訪問控制、威脅防護和快捷管理。（3）虛擬主機入侵檢測。針對每臺云主機抓取網絡封包，根據過濾規則逐一檢查數據流。當發現入侵威脅時，丟棄該數據包，并記錄攻擊來源，阻止利用應用層漏洞發起的攻擊，第一時間防御新型漏洞和病毒攻擊，阻攔可疑的行為，保護業務系統云主機免受攻擊。（4）虛擬主機后門檢測。虛擬主機后門檢測包括主機防逃逸和應用后門防護兩部分。主機防逃逸檢測服務器上所有物理設備和虛擬主機，監控虛擬主機運行狀態，并針對主機逃逸情況進行監測。應用后門防護通過云主機安全代理軟件對主機進行安全加固，對已知的應用后門從文件特征、代碼特征等多個維度進行檢測，攔截攻擊行為，抵御來自外部網絡的黑客攻擊，保證宿主機不受破壞。（5）數據庫審計。數據庫審計服務用于實現數據庫訪問行為分析，保障云環境下核心數據的安全防護。由云主機安全代理軟件采集報文，然后將報文發給云數據庫審計統一檢測、告警、存儲及挖掘分析。3.3私有云多維度安全監控平臺私有云計算監控平臺主要包括數據采集層、數據處理層和數據展示層三個層次，體系架構如圖4所示。圖4云計算監控平臺體系架構3.3.1數據采集層數據采集層是整個云計算監控平臺的基礎，負責采集被監控設備的運行狀態數據存入數據庫，供上層平臺分析和展示。數據采集層的工作流程如圖5所示，每臺被監控設備的數據采集代理負責采集設備上的資源數據、虛擬主機數據、中間件數據以及應用程序數據。為了保證數據的安全性，可以使用基于證書的加密或者對稱加密方式對采集后的數據進行加密，以密文的形式發送給監控服務器進行解析和運算。數據采集代理包括代理方式下的監控代理和無代理方式下的協議代理。為了降低監控服務器的數據處理負載，數據采集層支持分布式監控模式，即配置相應的監控代理負責采集某個域內被監控設備的運行狀態數據，進行匯總處理后統一發送給監控服務器。圖5數據采集層的工作流程3.3.2數據處理層數據處理層中的被動數據檢查采集器和主動數據檢查采集器，負責接收匯總來自各個被監控設備的運行狀態數據，然后將采集的數據發送給消息隊列緩存模塊進行處理，并綜合利用數據庫引擎、存儲引擎和計算引擎等模塊實現對采集數據的分析管理，包括數據備份、歷史數據管理、趨勢數據管理和事件數據管理，獲取設備、云平臺、應用系統當前的運行狀況和長期的變化規律與趨勢，供上層平臺進行圖形化展示，具體架構如圖6所示。圖6數據處理層體系架構3.3.3數據展示層數據展示層是整個云計算監控平臺的統一門戶，提供權限管理、告警管理、用戶管理、可視化管理、主機管理、模板管理和資源管理七個模塊，將具有多個維度的功能在同一維度進行集中展示。3.4安全態勢監控平臺安全態勢監控平臺采用“數據資源—數據采集—數據分析—態勢管理—態勢呈現”的多層次體系架構，依托私有云平臺資源池提供的虛擬化資源數據和安全資源池提供的安全設備日志數據，緊貼私有云平臺運行監管的實際需求，運用面向開放融合的架構理念，進行標準化管理接口和數據接口設計，構建安全資源池、安全數據采集、安全數據分析和態勢管理模塊，并開發可視化組件，從安全設備防護效果、攻擊分布和趨勢、安全威脅分布和趨勢以及用戶等保合規等視角，對私有云計算平臺的運行狀態進行定性和定量的綜合呈現。私有云安全態勢監控平臺的系統架構如圖7所示。圖7私有云安全態勢監控平臺架構私有云安全態勢監控平臺系統架構主要包括數據資源層、數據采集層、數據分析層、態勢管理層和態勢呈現層，具體功能描述如下。（1）數據資源層。數據資源層主要包括云計算服務平臺的虛擬化資源池和云安全管理平臺的安全資源池。其中，虛擬化資源池包括云平臺的計算虛擬化資源、網絡虛擬化資源和存儲虛擬化資源。安全資源池包括虛擬化防火墻、Web應用防火墻、堡壘機、虛擬化主機安全以及數據庫審計等安全組件。數據資源層作為整個體