云安全防护项目需求

4.1.1 总体研究内容

课题1：基于典型电力云计算系统架构的统一防护体系设计

课题1是项目研究的基础。选取系统架构覆盖面广、使用规模庞大、应用场景复杂的电力云终端系统作为典型电力云计算系统，对其进行全面的风险分析，进而针对各风险点进行相应防护手段的研究。通过对防护手段成熟度、有效性以及实现基于风险调节的安全控制的完全程度进行维度划分和体系构建，最终形成电力云安全统一防护体系的顶层设计。

课题2：基于多虚拟化传输协议下的行为安全审计关键技术研究与实现

课题2属于对用户侧的安全防护手段。完成基于多虚拟化传输协议下的行为安全审计关键技术研究，并形成与虚拟化底层无关的行为安全审计产品，从而实现对虚拟环境下的用户活动进行系统而独立的检查验证功能。本课题的研究重点在于行为审计产品对ICA、SPICE、PCOIP、RDP等主流云计算传输协议的横向支持。

课题3：虚拟环境下的恶意软件防护关键技术研究与应用

完成虚拟环境下的恶意软件后台统一查杀关键技术的研究，形成电力云病毒查杀产品，解决云计算环境下的资源争抢、扫描风暴和零保护时间等特殊问题。通过使用虚拟化层开放出来的API接口，对虚拟机进行病毒扫描和病毒查杀。同时采用一定的调度机制，对扫描和升级进行排程作业，防止网络、CPU、IO等资源冲突。电力云查杀系统在占用较低带宽的情况下能够提供完善的防病毒服务，提升公司电力云终端系统的安全可控能力及安全防护体系在国内的领先性。电力云病毒查杀产品同时需要实现在电力云终端系统中的试点部署应用。

课题4：基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现

实现对宿主机和虚拟机之间的数据使用控制，完成基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现。在虚拟机里运行的程序会绕过底层，从而利用宿主机，这种技术叫做虚拟机逃逸技术，由于宿主机的特权地位，其结果是整个安全模型完全崩溃。本课题将基于进程对文件操作的行为监控进行虚拟机防逃逸监控，同时实现和宿主机的安全隔离，进行完成虚拟机防逃逸监控的技术手段实现。

4.1.2基于典型电力云计算系统架构的安全防护体系设计

内容一：典型电力云计算系统的架构分析

对电力云终端系统、电力云存储系统、云资源池、云资源管理平台等电力系统内的典型云计算环境进行架构分析,形成相关分析报告，为全面分析电力云的安全风险提供支撑。

内容二：电力云计算系统的风险分析

以电力云终端系统为例，其安全风险大致包括:

（1）网络安全风险

信任边界扩大：网络信任边界由以往的单机系统扩展到整个云终端系统。同一资源池内的虚拟机之间、虚拟机与宿主机之间存在互相攻击风险。

（2）主机安全风险

虚拟机漏洞：安装系统补丁的进度和防毒病毒库的升级跟不上虚拟机数量的增长；灾难恢复的虚拟机可能没有更新系统补丁和防毒病毒库文件；通过该虚拟机漏洞攻击其它虚拟机或宿主机。

虚拟机逃逸：利用虚拟机软件或者虚拟机中运行软件的漏洞进行攻击，以达到攻击或控制虚拟机宿主机的目的。

主机超载：更改用户资源配置信息，包括CPU、内存、硬盘等，造成主机资源利用率过高，影响用户体验。

（3）应用安全风险

身份鉴别单一：试点使用的“用户名+口令”身份验证方式较为单一，存在盗用风险。

策略更改：云终端系统根据用户业务场景，为不同用户类型不同工作场景制定细粒度的安全访问控制策略，限定用户可识别的外设、可用的软件、办公时间段等。非法更改策略，如时间同步策略、用户漫游配置策略、外设接入策略等，将会影响桌面的正常使用。

非法设备登录：非指定版本的接入设备无法满足终端安全需求。

（4）数据安全风险

非法软件安装：资源型用户拥有安装软件的权限，非法安装软件容易造成病毒传播、信息泄密等风险。

（5）终端安全风险

更改瘦终端固件：修改基础程序版本及信息，破坏程序的完整性，用户将无法接入使用。

内容三：电力云安全统一防护体系设计

面向电力云的统一防护体系研究将建立在对公司关键云计算系统的深入分析基础之上。通过对典型电力云计算系统的安全防护设计，形成适用于虚拟化环境下的安全防护方法论。因此安全防护体系的首要工作是研究对象的选择。电力云终端系统部署范围广，应用场景复杂，其防护涉及网络、主机、数据、应用、终端等多个方面，适宜作为本次课题的主要研究对象。

针对电力云终端系统，在网络、主机、数据、应用、终端五个方面细化安全防护粒度，完善安全监控体系，减少安全风险发生的可能性。

图4-2典型电力云计算系统的防护架构图

（1）网络安全防护研究

沿用现有防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）以及多因素身份认证等网络安全控制手段，在云终端系统边界网络增加虚拟化系统特有的安全防护。

针对云终端系统虚拟化特点，强化系统内网络安全防护，增加以下安全防护措施：

虚拟机间的网络监控

在虚拟化层对网络地址、端口、连通性进行细颗粒度的监控，确保虚拟机之间、虚拟机与宿主机之间的安全通信；

桌面资源的准入管理

针对云终端系统的不同办公场景和安全需求划分不同准入域，对不同安全域之间的异常连接进行监控；

云终端网络入侵监控

针对拒绝服务的攻击，使用软硬件安防设备等防范措施效果不明显，仅能起到降低攻击级别的效果。需要针对云终端的虚拟化架构开发相应的后台入侵监控和告警分析工具，并辅以应急响应技术来应对，提高云终端网络入侵监控粒度。

（2）主机安全防护研究

沿用传统主机安全防护机制，结合智能云终端运维管理系统实时监控主机虚拟化层运行状态，确保系统安全稳定运行。

针对虚拟化特有的虚拟机逃逸、虚拟化安全漏洞、资源共享等风险，补充主机安全加固及监控手段：

主机虚拟化漏洞监控

对虚拟化主机进行安全加固，更新虚拟化层补丁，监控主机补丁安装率，减少主机安全漏洞；

虚拟机逃逸监控

定期扫描虚拟机漏洞，监控主机及虚拟机的端口状态，防止恶意攻击或控制宿主机的风险发生；

主机负载监控

集中监控主机运行的虚拟桌面资源配置信息，比较系统当前资源配置（CPU、内存、存储空间）和标准配置的一致性，防止主机过载、崩溃引起关键服务中断。

日志和安全事件监控

监视主机和虚拟机事件日志和安全事件，以备审计。

（3）应用安全防护研究

为保障云终端系统应用的安全性，需严格控制用户权限，定期检查系统策略，细化应用安全防护粒度：

策略标准化监控

集中监控系统计算机策略及用户策略的详细信息，比较系统当前策略配置和标准策略配置的一致性，确保系统策略的合理性，保障应用安全；

权限规范化监控

集中监控系统管理员权限设置信息，比较系统当前管理员权限配置和标准管理员权限配置的一致性，确保系统权限的规范化，防止越权使用。

行为合规性监控

集中监控用户操作行为，按桌面会话、应用会话，实时写入桌面终端审计信息，及时发现终端审计异常事件，保障审计信息的完整性。

非法设备登录监控

对使用非指定版本终端设备登录系统的事件进行监控统计，记录接入次数和用户名，规避非法设备或用户恶意接入。

巡检及时性监控

监控巡查系统日志，获取管理员最近巡查云终端系统的时间，确保管理员及时巡检。

（4）数据安全防护研究

云终端系统的安全保障沿用现有操作系统及数据安全防护措施，严格控制用户权限，后台集中升级资源型及作业型操作系统补丁及软件（杀毒软件、办公软件等）。在云终端虚拟操作系统使用过程中，增加以下监控信息： 数据库监控

定期记录用户访问系统时数据库平均响应时长及系统数据库表空间大小，记录数据库表空间异常增长情况，保障系统数据的安全性。

用户数据监控

在用户文档操作过程中，结合保密检测系统，监控、检测敏感文件的传播，记录非法外发事件，防止敏感信息泄密。

非法软件安装监控

在云终端系统分发的桌面资源中，检查安装运行的软件与定义的非法软件安装列表的一致性，记录不一致项，防止非法软件安装。

（5）终端安全防护研究

为保障云终端接入环境的安全性，持续完善优化瘦终端嵌入式Linux操作系

统基础程序及使用策略，开发相应的监控和告警分析工具，完善终端安全防护机制：

固件版本监控

开发终端固件版本监控工具，监控统计不符合版本要求的接入终端信息，确保接入环境的安全性。

程序完整性监控

开发终端基础程序完整性监测工具，监控不符合程序完整性的接入终端，确保接入环境的安全性。

非法进程监控

开发终端进程监控工具，及时发现非可信进程，集中告警处理。

登录信息监控

对管理员及普通用户终端登录信息进行审计监控（日志文件等形式），及时发现非可信用户登录信息，集中告警处理。

内容4：电力云安全统一防护体系产品化方向研究

在形成电力云安全防护体系的基础上，对其中关键的防护手段进行原理分析和优先级选择。对其中优先级较高同时又是国内研究空白的技术手段进行深入研究和产品化实现。面向电力云的安全防护体系是云环境下电力系统信息安全建设的枢纽和技术支撑平台，其系统功能结构如图3-1所示：

图4-3电力云安全防护关键技术

电力云安全防护的关键技术手段从纵向分成三层：操作层、虚拟机层、资源

层。在操作层，云用户通过各种云计算技术手段和工具对电力信息系统中各种网络设备、安全设备、重要服务器、数据库和重要应用以及数字资产的状态、传播进行监控操作，确保电力系统处于可监控状况。虚拟机层通过虚拟化技术，作为信息处理和存储的虚拟载体，对电力系统运行中产生的各种信息进行分析处理，确保电力系统的正常运行。资源层是指在云环境下的各种物理网络和计算资源，这一层作为计算和通信的物理载体。

本项目设计统一访问控制、安全审计、防恶意软件、安全监测、虚拟机逃逸监控、自动隔离等六个关键技术研究项。在体系构建中，关键技术项将以子系统形式进行产品化呈现。通过电力云的安全防护体系将各自相对比较独立的子系统和子系统形成一个有机的安全防护整体。统一访问控制子系统和安全审计子系统统构成管理平台的操作层。统一访问控制子系统提供统一身份安全管理接口，限制分配的帐户权限，对系统和应用为用户接入虚拟资源提的访问权限进行控制，以减少恶意用户或进程影响环境的可能性。安全审计子系统对整个云终端系统综合安全操作行为状态进行全面感知，形成对安全决策有帮助的分析结果。虚拟机层由防恶意软件子系统和安全监测子系统构成。防恶意软件子系统部分采用传统病毒查杀技术保证系统安全，同时通过虚拟机弱代理和新的文件过滤模式来降低安全防护对虚拟机性能的影响。安全监测子系统用于分析和截获被监控系统中的异常操作，并实现虚拟机监视器和被监测系统之间对于系统状态的监控策略和通信。虚拟机逃逸监控子系统和自动隔离子系统构成电力云安全防护体系的资源层。虚拟机逃逸监控子系统用来防止恶意用户利用病毒通过普通虚拟机进入宿主机系统，对宿主机造成威胁。安全隔离子系统保证虚拟机之间、虚拟机与宿主机之间的资源、数据和操作行为的自动安全隔离。

4.1.3多种虚拟化传输协议下的行为安全审计关键技术研究与实现

内容一：多种虚拟化传输协议分析

（1）研究虚拟桌面中主流的ICA协议

ICA的英文全称为Independent Computing Architecture，能够通过整个企业网络来提供配置Windows、UNIX以及Java应用程序访问，而不需考虑用户的位置、客户端硬件设备或者可用带宽的限制。

（2）研究开源协议SPICE协议

SPICE能用于在服务器和远程计算机如桌面和瘦客户端设备上部署虚拟桌面。它类似于其它用于远程桌面管理的协议，如微软的RDP或Citrix的ICA，它支持Windows XP、Windows 7和Red Hat Enterprise Linux等虚拟机实例。但SPICE协议也有不足的地方。许多SPICE的功能只能部分实现或者只能由第三方手动添加，如智能卡与USB支持。

（3）研究PCoIP协议

PCoIP协议由VMware与Teradici共同开发，是一种高效率的数据交换协议，采用了数据压缩、加密和连接优化技术，用户在较低的的网络带宽下均能使用，而实际运行的桌面位于后台的数据中心高速网络内，因此终端用户在低带宽链路就可以享受到局域网内的运行速度。其最大特点就是将用户的会话以图像的方式进行压缩传输。

（4）研究其他厂商各自主打的桌面显示协议，包括X协议、AIP协议、EOP 协议等。

内容二：多种传输协议下用户桌面矢量图捕捉机制研究

通过用户桌面矢量图捕捉机制记录用户执行的每一个动作，形成视频文件记录并生成相应审计日志，管理员通过视频记录、录像回放、视频内容分析，查找审计用户执行的所有动作，并可按照用户名、时间、应用等关键词进行快速搜索定位，提供审计报表及录像回放。

图4-4 行为审计基本原理图

录屏审计的实现主要是通过捕获本地和远程操作会话，对用户操作时的屏幕进行整体的录制，并可按条件对录制信息进行检索定位，从而达到审计用户行为的技术。传统的审计分析软件通过网络抓包、并分析数据包进行工作，需要用户把权限、加密算法等透明才能进行审计，产品适应性差。录屏审计技术在系统底层直接开发，通用性强，支持本地登录和所有远程会话协议的审计，而且能够按照用户、服务器、应用、文件名、目录名、Windows窗口新信息等检索，迅速找到审计录像。

内容三：行为分析及审计功能实现

为了对整个电力云系统安全状态进行全面审计，如：用户网络和安全平台配置更改、系统权限非法获取、暴力登录、核心业务合规操作、恶意程序篡改进程、关键数据的访问、云终端用户操作等行为进行全面审计；安全审计子系统将对电力云系统的综合操作行为进行全面监视，并提供多维度的行为分析和查询功能，如：操作查询、应用查询、内容查询、进程查询、行为日志查询、行为分析报表等；以便审计人员、行为管理人员、安全管理人员、系统管理人员、运维人员等云系统平台管理人员对系统进行全面的安全分析、评估，及时掌握系统安全状态，调整所执行的不合理的云安全策略、加固对核心业务合规操作管理、精细化帐户权限颗粒度管理、定位数据泄漏出口等。它和其他子系统一起确保整个安全体系的完备性、合理性和适用性，该子系统的结构如图3-3所示：

图4-5安全审计子系统体系结构

（1）行为分析

由于电力云涉及的设备、系统、业务、应用种类多，数量大，而产生审计的信息多，基于实时监控及分析原理，安全审计子系统根据根据管理策略对审计的对象实时进行操作审计，数据收集、分析，动态对用户的非法的操作、暴力登录、非法访问等事件进行归类，做到在云系统遇到安全威胁实时知晓。

由于用户操作行为的不确定性、模糊性及动态变化性，必须为电力云管理员建立一个能够集中收集、管理和分析各种安全操作行为的审计系统，使得电力云的安全管理人员、行为审计人员、系统管理人员和运维人员无需从庞杂的操作行为数据中手工搜寻就能获得所需信息。安全审计子系统做到对电力云综合安全行为进行全面行为审计，并提供多维度的行为分析和查询功能，使得管理人员对电力云安全信息进行全面的分析评估，实时掌握云系统的安全状态，发现问题，能及时调整系统安全策略。

该安全子系统通过获取电力云中的管理员或用户对各个网络设备、安全设备、操作系统以及核心业务系统的操作行为，使得不同设备之间的被操作的行为信息能够在同一个平台上进行审计，同时也能在同一个界面上供管理人员集中查看系统被操作的信息。在审计中心，也为管理员提供了用户行为的操作查询、操作次数的排名及统计等基本审计操作，也可以以报表方式展现。

（2）行为审计

电力云中设备和系统众多，信息安全运行维护涉及到对网络设备、安全设备、业务系统等操作及管理。在管理过程中，可能涉及设备配置、账户管理、数据访问等行为，不合规的管理操作将对电力云的正常运行带来安全的隐患，需要对这部分的行为安全进行审计，及时发现安全问题，调整安全策略，尽量降低风险。

综合利用二次身份认证技术、操作审计技术、高可用性技术和集群技术，实现对“人（操作者）”在“机密数据、核心业务等重要资源（操作对象）”上的“操作行为（操作内容）”的集中审计。

4.1.4虚拟环境下的恶意软件防护关键技术研究与应用

云计算环境下的恶意软件防护一定程度上借鉴了传统杀毒软件的查杀方式，主要是依靠文件信息与木马病毒库、白名单库等进行比对检测进行拦截和查杀。

但在虚拟化系统下，很多特殊问题会因为部署模式和架构的关系而更为凸显，例如当每一虚拟化服务器都安装相同的安全防护机制时，有可能造成资源冲突。当所有的虚拟机都同时进行扫毒时，将同时抢占CPU、内存及存储资源，而导致该虚拟化平台上所有虚拟机都无法正常运行。本课题正是为了解决资源争抢的矛盾，从系统后台的统一调度查杀及弱代理模式入手，进行虚拟环境下的恶意软件防护关键技术研究。

内容一：恶意软件识别及查杀机制研究

识别病毒的能力决定了这款杀毒软件的病毒查杀能力。检测病毒方法通常有：特征代码法、校验和法、行为监测法、软件模拟法几种，结合云终端技术特点，在设计过程采用几种技术相结合，根据实际情况和应用场合配合运用相应的检测手段。

（1）特征代码法：这种方法根据正常程序与病毒程序代码的差别来识别病毒文件。优点是检测的准确率较高，误报率低；缺点是查杀速度慢，由于已知病毒越来越多，因此病毒特征码也随之增加，因此查杀速度也会越来越慢。不能检测未知病毒和多态性病毒以及隐蔽性病毒。

（2）校验和法：此法计算文件的校验和并保存，可定期或调用文件时进行对比，从而判断文件是否被病毒感染。此法误报率较高，本次系统建设中不予采用。

（3）行为监测法：此法根据病毒的行为特征来识别病毒，这需要对病毒行为进行详细的分类和研究，分析那些病毒共同的行为，以及正常程序的罕见行为，根据程序运行时的行为进行病毒判断和预警。

（4）软件模拟法：这种方法通过模拟病毒运行的方式来检测病毒特征，由于特征码法无法检测多态性病毒，虽然行为监测法可以发现病毒，但是无法确定病毒名称，也无法对其进行相应的杀除，因此产生了软件模拟法。

内容二：基于弱代理模式的病毒查杀架构设计

恶意软件防护子系统采用基于虚拟化的新型防病毒、防攻击技术，其业务架构可以在虚拟主机注册后，主要包括图3-5所示的六大模块：

图4-6恶意软件防护子系统体系结构

（1）虚拟主机注册

恶意软件防护的管理端需要借助注入到虚拟化底层的一台虚拟主机来实现对同一虚拟化底层上所有虚拟桌面的防病毒、防攻击。

（2）防病毒管理

防病毒管理的流程需要串联下述模块：

账户管理：给登陆用户分配相应的权限。

防护策略管理：允许登陆用户查看、制定策略，控制杀毒、防木马、防火墙、升级、漏洞补丁处理等操作行为。

病毒特征管理：管理员和用户根据自身权限以及策略，对病毒特征（病毒码等）进行管理。

名单管理：查看、增删改管理员或用户权限内的黑白名单。

升级与补丁管理：根据策略实现云操作系统的升级和漏洞完善。

备份管理：在升级和打补丁之前，需要对系统数据进行备份。相应的管理者和用户可对备份进行管理。

内容三：虚拟化恶意软件防护的各应用组件实现

安全防护主要包含三个应用组件：

虚拟防护终端：在云终端系统的虚拟桌面上提供基于弱代理的病毒查杀、网络应用程序保护和应用程序控管，透明化地加强安全策略。防护系统主要通过安

全虚拟终端进行病毒的扫描和查杀。

安全弱代理：一个非常轻小的代理软件组件，部署于服务器及被保护的虚拟机器上，能有效协助执行数据中心的安全政策，但不进行病毒的扫描、查杀等工作。

安全管理平台：提供集中式策略管理、发布安全更新并通过警报和报告进行监控，针对威胁采取的预防措施，安全更新和生成报告也在此进行。

4.1.5基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现

内容一：虚拟机逃逸监控机制研究

在某些情况下，在虚拟机里运行的程序会绕过底层，从而利用宿主机，这种技术叫做虚拟机逃逸技术，由于宿主机的特权地位，其结果是整个安全模型完全崩溃。这也就是说，在虚拟机如果遇到病毒、恶意软件，这些威胁有可能就会通过虚拟机进入宿主机系统。

为了解决以上问题，我们采用基于如图3-6所示的设计实现对宿主机和虚拟机之间的数据使用控制，从而达到虚拟机逃逸监控的问题。由前述可知，在宿主机操作系统和虚拟机操作系统之间可视文件的互访实现主体是进程，所以将虚拟机进程作为监控的主体，以API为过滤对象采用如前所述的方法监控其在操作系统中对文件的操作。为了能够实时获取进程对文件操作的行为，过滤进程行为需要挂钩文件操作的API。

图4-7虚拟机逃逸监测与控制子系统

图3-8中涉及到主要的功能模块如下：

使用控制模型：下一代访问控制模型的使用控制（usage control，UCON）

模型，包含3个基本元素:主体(subject)、客体(object)、权限(right)和另外3个与授权有关的元素：授权规则(authorization rule)、条件(condition)、义务(obligation)。通过这三种规则来设定权限。

逃逸检测模块：对使用控制模型中的决策结果进行分类，检测出虚拟机逃逸操作及攻击。

内容二：虚拟机安全隔离机制研究

在电力云环境下，需要虚拟机间或虚拟机与宿主机之间共享资源或者通信，很重要的一点是要保证虚拟机上的重要信息与宿主操作系统或其他虚拟机的隔离。在多用户共享计算资源的云环境中，存在许多新型的攻击。在这种应用环境下，主要的为难题是如何在计算端和网络端实现有效的资源隔离。系统和网络的复杂性使得由人来实现的手工安全维护已经不是不可能的。这样，虚拟环境中的计算和网络自动化是非常有必要的。

安全隔离子系统的体系架构如图3-6所示。体系架构中，包含虚拟机层、宿主机层和物理层。关键的安全隔离设计是在虚拟机层和宿主机层进行。在虚拟机层，我们考虑两类虚拟机：用户虚拟机和管理虚拟机。在宿主机层，主要对内存和I/O进行了安全设计。主要模块及其功能的介绍如下：

一个用户虚拟机至少包含两个组件：一个防火墙用来隔离网络数据和杀毒软件来保护数据执行、程序隔离和内核信号。

在杀毒核心模块，有个探测器来检测客户操作系统。用户虚拟机可以与宿主机进行通信，把它们的虚拟资源映射到物理资源。

管理虚拟机从每个层和连接探测器并且组织相应的决策。管理虚拟机起到了一个安全管理接口的作用，收集了威胁信息并且做出相应的反应。

在每个层，自动管理器能够与横向协调模块和层管理API进行协商

纵向协调模块使所有的跨层的云资源隔离管理行为同步，比如，如果层之间存在不一致，纵向协调模块会在制定的层里面根据管理规则来决定执行特定的行为。横向协调模块使每个层内计算和网络资源隔离行为同步。

图4-8自动安全隔离子系统体系架构

虚拟机自动隔离机制重点包括两方面功能：

在每个层，为IaaS虚拟机资源的安全隔离提供一个统一的自动管理框架。

防止攻击者从客户虚拟机所占用的内存或者I/O中读到敏感信息，同时防止攻击者将攻击扩散到虚拟机管理域和它上层的所有虚拟域。

5.1 预期目标

5.1.1 总体目标

本项目的总体目标是：在各参与单位的原有研究基础上，通过产学研用的合作模式充分发挥各单位的科研优势，深入研究云计算环境下电力信息系统安全防护与传统安全防护的特殊需求，提出面向国网公司现有云计算系统的统一防护体系设计方案，对其中多虚拟化协议下的行为审计、虚拟机恶意软件防护、虚拟机逃逸监控等关键技术进行产品化实现，并在试点单位进行示范应用，从而加强公司信息化建设的底层基础安全，落实国家信息化安全可控的发展政策，促进电力行业云计算环境安全防护水平的全面升级。

本次项目建设的安全防护体系应该考虑到既落实解决云带来的新的安全问

题，又可以采用最新的有效技术，提高系统的扩展性和兼容性。同时，产品需符合GB/T 20281-2006、GB/T 20275-2006和GB/T 18336-2008等国家标准中3级以上的相关要求，并符合《国家电网公司信息安全综合管理与监控平台技术规范》等国网公司相关安全规范。

具体到项目的需求，系统应该满足以下主要功能：

（1）针对电力系统用户对电力云操作的安全需求，实现适用于电力云虚拟化认证授权和访问控制功能，包括：核实用户和系统身份的功能、确定用户或系统身份并授予权限、查看和检查有关认证、授权的记录和活动等。

（2）针对电力云中的资源安全需求，实现系统监测和安全审计功能，包括：对云计算系统的底层组件、关键服务、虚拟桌面等进行监测，对虚拟机逃逸行为进行监控，对云计算系统在使用过程中的内容、相关用户的行为和机器数据等按照国网公司内部及外部的流程进行审计。

（3）针对电力云中的虚拟机保护需求，实现防恶意软件加载及安全隔离功能。这些功能的实现主要是从既采用传统技术保证系统安全，又寻找新的部署模式来降低安全防护对虚拟机性能的影响这一需求点着手。

5.1.2 课题分目标

本项目将通过以下四个子课题的研究来实现整体的项目目标：

（1）基于典型电力云计算系统架构的统一防护体系设计

选取系统架构覆盖面广、使用规模庞大、应用场景复杂的电力云终端系统作为典型电力云计算系统，对其进行全面的风险分析，进而针对各风险点进行相应防护手段的研究。通过对防护手段成熟度、有效性以及实现基于风险调节的安全控制的完全程度进行维度划分和体系构建，最终形成电力云安全统一防护体系的顶层设计。。

（2）基于多虚拟化传输协议下的行为安全审计关键技术研究与实现

完成基于多虚拟化传输协议下的行为安全审计关键技术研究，并形成与虚拟化底层无关的行为安全审计产品，从而实现对虚拟环境下的用户活动进行系统而独立的检查验证功能。本课题的研究重点在于行为审计产品对ICA、SPICE、PCOIP、RDP等主流云计算传输协议的横向支持。

（3）虚拟环境下的恶意软件防护关键技术研究与应用

完成虚拟环境下的恶意软件后台统一查杀关键技术的研究，形成电力云病毒查杀产品，解决云计算环境下的资源争抢、扫描风暴和零保护时间等特殊问题。通过使用虚拟化层开放出来的API接口，对虚拟机进行病毒扫描和病毒查杀。同时采用一定的调度机制，对扫描和升级进行排程作业，防止网络、CPU、IO等资源冲突。电力云查杀系统在占用较低带宽的情况下能够提供完善的防病毒服务，提升公司电力云终端系统的安全可控能力及安全防护体系在国内的领先性。电力云病毒查杀产品同时需要实现在电力云终端系统中的试点部署应用。

（4）基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现

实现对宿主机和虚拟机之间的数据使用控制，完成基于宿主机软隔离的虚拟机防逃逸关键技术研究与实现。在虚拟机里运行的程序会绕过底层，从而利用宿主机，这种技术叫做虚拟机逃逸技术，由于宿主机的特权地位，其结果是整个安全模型完全崩溃。本课题将基于进程对文件操作的行为监控进行虚拟机防逃逸监控，同时实现和宿主机的安全隔离，进行完成虚拟机防逃逸监控的技术手段实现。

5.2.2 主要技术指标

最大事件处理能力达到 20,000 条/分钟；

数据库存储能力≥1亿条记录；

预案库存储能力≥10000条；

事务失败率不得超过0.1%。

应用服务器和数据库服务器的CPU平均利用率不得超过60%，且CPU利用率不得连续30秒超过80%。

事件告警准确率≥95%，漏报率≤10%；

下级系统失连发现时间≤30秒；

事件反应速度≤5秒；

态势生成速度≤10秒；

均SQL响应时间不得超过5秒；SQL查询涉及多表，并且多表笛卡尔积的数据量小于10万条数据时，该SQL语句执行时间不得超过3秒；SQL查询涉及到多表，并且多表笛卡尔积的数据量小于100万条数据时，该SQL语句执行时间不得超过5秒；SQL查询涉及到多表，并且多表笛卡尔积的数据量小于1000万条数据时，该SQL语句执行时间不得超过8秒。

当系统进行多用户并发操作时，应满足如下要求：首页访问平均响应时间不得超过3秒；系统登录平均响应时间不得超过5秒；执行简单查询、添加和删除业务时，平均响应时间不得超过5秒；执行复杂的综合业务时，平均响应时间不得超过8秒；在执行统计业务时，月统计业务的平均响应时间不得超过20秒，年统计业务的平均响应时间不得超过30秒。

系统年运行率单机不低于95％，双机不低于99.95％；

对被采集对象的资源占用不超过3％，对网络带宽占用不超过10％；

系统的防病毒检测性能：对病毒样本基本库至少能检测其中的95%；对流行病毒样本库至少能检测其中的98%；对特殊格式病毒样本库至少能检测其中的95%。

系统对检验机构指定文件组成的误报检验样本库的误报率不能高于

0.1%。

关联分析支持3000EPS事件或告警的实时处理；

采集支持6000EPS的突发数据采集；

当系统并发用户数在设计要求范围内时，系统网络带宽平均利用率不得超过60%。

在同一局域网内至少支持1000台设备的直接监控与管理。

5.2 研究成果形式

本次项目的最终成果预计包括：

（1）研究报告：

?电力私有云安全防护体系顶层设计报告

?统一访问控制子系统技术实现研究报告

?多虚拟协议的行为审计子系统研制报告

?电力云的恶意软件防护子系统研制报告

?虚拟机逃逸监控子系统研制报告

?虚拟机安全隔离子系统技术实现研究报告

（2）装备：

?面向多种虚拟传输协议的行为审计系统1套;

?面向电力云终端系统的恶意软件防护系统1套；

?虚拟机逃逸监控系统1套。

（3）其它：

?申请发明专利4项，软件著作权3项

?发表核心期刊论文6篇

?每个子系统不低于300点的示范应用。

其他过程成果物包括：需求分析文档、产品顶层设计、概要设计文档等。