云安全防护行为模式分析的研究及应用

云安全防护行为模式分析的研究及应用

摘要：随着以云计算、物联网、大数据为代表的“互联网+”技术的大量引入，导致在应用虚拟化、边界模糊化、数据资产化、终端移动化等方面引入了新的安全风险，将会给网络安全的防护工作带来严峻挑战。本文通过基于实时监测与分析虚拟边界数据，来发现合规应用行为模式，建立虚拟边界的访问管控模型，最终建立云计算平台的多层次、纵深防御体系。从而提高运营商信息系统和业务整体安全性，降低了运维人力成本的投入，有力推动运营商行业的信息化进程，促进我国云计算平台安全应用的快速发展。

关键字：云计算，运营商，安全防护，行为模式

中图分类号：TP309 文献标识码：A

Research and application of cloud security protection behavior pattern analysis （China Telecom Yunnan branch，Kunming 650000，China）

云安全防护行为模式分析的研究及应用

LI Weixian， Liu yong，Fu WenLan，Yang Xi

Abstract: With cloud computing, Internet of things, big data represented by the introduction of "Internet +" technology, resulting in application virtualization, boundary blurred, data introduced asset-like, mobile terminal and the new security risks, will bring serious challenges of network security protection work. This paper based on the real-time monitoring and analysis of the virtual boundary data, to find out the compliance application behavior model, set up access control model of the virtual boundary, eventually establish a cloud computing platform system of multi-level and defense in depth. To improve the safety of operators information systems and business as a whole, reduce the cost of the operations of human activity, boost the operator the informatization process of the industry, promote the rapid development of cloud computing platform security applications.

Key words: Cloud computing, operators, safety protection, behavior patterns

1 引言

随着以云计算、物联网、大数据为代表的“互联网+”技术的大量引入，以及大量智能终端设备（手机、移动终端、云端）的接入，电信运营商的网络基础环境也随之发生了巨大变化。也正由于在信息的获取方法、存储形态、传输渠道和处理方式发生了新的变化，导致在应用虚拟化、边界模糊化、数据资产化、终端移动化等方面引入了新的安全风险。

信息安全暴露面迅速增加，以高级持续性网络攻击（APT, Advanced Persistent Threat）为代表的新型攻击手段不断演进，将会给网络安全的防护工作带来严峻挑战。

本文基于长期对云计算安全的探索和研究，借鉴行业最佳实践，并结合近期在云计算安全建设方面的经验，提出了云计算安全保障框架和典型的安全防护场景。此外，通过在云平台上引入业务行为模式分析过滤策略，利用该策略对云计算应用场景提供业务异常行为的针对性检测和分析，最终可形成安全可靠的公有云安全防护体系。

2 云安全应用行为模式分析研究

2.1基本思路

通过围绕电信行业的主要业务应用安全需求，采用安全可控的技术和产品，实施云平台整体安全防护措施部署，使云平台具备租户、虚拟机和安全域隔离，形成云平台边界安全防护机制。防护机制不但保障用户使用大数据分析平台Web应用的可用性和安全性，具备对云计算应用平台进行漏洞扫描、配置基线检查、弱口令检测、版本检测、数据防泄漏和补丁管理等功能，还能对虚拟化环境中VM流量进行细粒度监测，具备虚拟化环境中对用户身份进行强认证和日志审计的能力，能够对用户访问敏感信息行为进行报警、阻断、跟踪和追溯，支持对虚拟化环境下各类设备的状态监测、数据取证等安全管理。此防护机制还制定了云计算和大数据应用的安全管理机制、责任认定机制、数据保护和使用安全机制与规范，最终建立起电信业务应用行为分析模型，可及时发现可疑的应用操作。通过云安全应用行为安全防护机制的建立，并最终构建云安全应用行为模式分析体系。

2.2构建云安全行为模式分析防护体系

2.2.1云平台安全防护

充分利用现有云安全控制措施及最新的产品虚拟化技术，实现对云运营平台自身的安全防护以及承载业务的安全防护。

2.2.2构建基于安全域的纵深防护体系

对于云计算系统，可以根据威胁、安全需求及策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护、内部防护等策略部署相应的防护措施，从而构造纵深防护体系。

2.2.3建立并实现基于云平台业务应用行为分析模式过滤系统

通过定制版本的NIDS（网络入侵检测系统）/SAS（安全审计系统）或其虚拟化产品（VIDS/VSAS）作为网络探针收集云平台相关业务系统的业务数据流，构建软件ESPC行为分析和策略管控平台，从而建立起云平台业务应用行为分析模型，通过对业务应用正常行为模式基调的分析来发现、检测和甄别业务异常行为。

2.3云安全保障体系关键技术

2.3.1云安全整体防护总体架构设计

云安全防护设计充分考虑云计算的特点和要求，基于对安全威胁的分析，明确来自各方面的安全需求，充分利用现有的、成熟的安全控制措施，结合云计算的特点和最新技术进行