于  然1，庞思睿1，张姣姣1，许鸿飞1，寇晓溪1，赵庆凯1，程  杰2，刘  识2

　　（1. 国网冀北电力有限公司信息通信分公司，北京 100053；2. 国家电网公司信息通信分公司，北京 100053）

　　摘  要： 对云计算中的安全问题进行了研究，分析了传统的安全威胁，并对智能电网中的云计算安全需求进行了研究，包括对虚拟机安全、虚拟化软件安全、虚拟机镜像安全、数据安全、存储隔离、网络保护和灾难恢复进行了分析。最后给出了在智能电网中确保云安全所需的功能。

　　关键词： 云计算；智能电网；虚拟机安全；数据安全

0 引言

　　云计算是继PC、互联网之后信息产业的第三次变革，将对社会信息化发展产生深远影响，而安全则是云计算无法回避的重要话题，是用户选择云计算应用时的首要考虑因素，也是云计算实现健康可持续发展的基础。传统的安全威胁在云计算服务中同样存在，而且由于云计算虚拟化、资源共享、弹性分配等特点，又面临新的安全威胁。云计算应用安全运营在服务可用性、内容安全与隐私保护方面存在诸多安全隐患。如何保障云计算安全成为云计算系统亟需解决的问题。

　　在智能电网中，电力信息在电力传输系统中传输，数据将在智能电网内的各个部分间流动，产生的海量电网相关数据每天都需要进行分析和处理。采用云计算，可以提高运算效率。智能电网需要在各个层面为用户提供服务，而且终端数量巨大，如何保障安全性成为云计算系统在电力行业应用的重要议题。

1 云计算面临的传统安全威胁

　　传统的安全威胁包括IP攻击、操作系统与软件漏洞、病毒、蠕虫、木马、僵尸网络、拒绝服务攻击和Web攻击等。

　　（1）网络IP攻击：如端口扫描、IP地址欺骗、Land攻击、IP选项攻击、IP路由攻击、IP分片报文攻击、泪滴攻击等。

　　（2）操作系统与软件漏洞：常见的操作系统与软件的漏洞有缓冲区溢出、滥用特权操作、下载未经完整性检查的代码等。

　　（3）病毒：病毒是一种恶意程序，操作系统感染病毒后，影响其正常工作的同时，还可能扩散、影响其他设备及整个云计算平台。

　　（4）蠕虫：蠕虫不需要附在别的程序内，可以自我复制或执行。电脑蠕虫未必会直接破坏被感染的系统，但可能会执行垃圾代码以发动拒绝服务攻击，直接影响云平台网络。

　　（5）木马：木马是一种恶意后门程序，是黑客用来盗用其他用户的个人信息，甚至是远程控制对方的计算机，操作系统被植入木马，将影响云平台安全，并有可能造成用户数据泄露。

　　（6）拒绝服务攻击：IDC作为DDOS重灾区，面临着大量拒绝服务攻击威胁，云平台同样面临拒绝服务攻击的威胁。云平台拒绝服务攻击不仅仅来自于外部，同样面临内部虚拟机（VM）拒绝服务攻击的威胁。

　　（7）僵尸网络：VM被攻击后，有可能作为跳板攻击其他VM，云平台中VM数量巨大，一旦扩散，将形成僵尸网络，造成巨大危害。

　　（8）Web攻击：云平台用户侧面临XSS、SQL注入等Web攻击的威胁，用户信息有可能被篡改或泄露。

2 云计算面临的新安全威胁

　　2.1 虚拟化软件存在漏洞或错误配置

　　如同传统的IT 系统一样，虚拟化软件也可能存在大量漏洞，从而被攻击者所利用。类似地，虚拟化系统中也同样会有配置错误的情况。包括对Hypervisor管理接口的访问限制的配置不够严格，对VM可访问物理接口的配置错误。当攻击者完全控制一个VM后，通过利用各种Hypervisor安全漏洞，可以进一步渗透到Hypervisor甚至其他VM中。这就是所谓的虚拟机逃逸。同时还可能导致数据泄漏以及针对其他VM的DoS攻击。

　　2.2 隐蔽信道攻击

　　隐蔽信道攻击是指允许进程以危害系统安全策略的方式传输信息的通信信道，通过构建隐蔽信道可以实现从高安全级主体向低安全级别主体的信息传输，是导致信息泄露的重要威胁。这种攻击的源头可以是来自虚拟化环境以外的其他实体，也可以是来自虚拟化系统中其他物理主机上的VM，还可以是相同物理机上的其他VM。

　　2.3侧信道攻击

　　侧信道攻击是一种新型密码分析方法,其利用硬件的物理属性（如功耗、电磁辐射、声音、红外热影像等）来发现CPU利用率、内存访问模式等信息，进而达到获取加密密钥，破解密码系统的目的。这类攻击实施起来相当困难，需要对主机进行直接的物理访问。

　　2.4 虚拟机的安全威胁

　　虚拟机的安全威胁包括资源隔离不当、非授权访问等。虚拟机镜像文件或自身防护不足，引发安全问题。虚拟机之间的通信安全防护不足，导致出现攻击、嗅探。攻击者利用虚拟机迁移过程中的漏洞对虚拟机形成攻击。特权虚拟机存在安全隐患，造成对其他VM的非法攻击或篡改等。

　　2.5 云计算资源的被滥用风险

　　一些恶意用户通过利用云计算服务的这些特性，更加方便地实施各种破坏活动。密码破解者、DoS攻击者、垃圾邮件发送者、恶意代码制作者以及其他恶意攻击者都可以使用云计算环境提供的丰富资源开展攻击，从而进一步扩大攻击面及其影响力。

　　2.6 恶意的内部运维人员窃取用户数据

　　内部的运维人员能够接触到越来越多的用户数据，这种访问范围的扩大，以及缺乏有效的监督和管理，增加了恶意的“内部运维人员”滥用数据和服务，甚至实施犯罪的可能性，也使得恶意内部运维人员的安全威胁变得更为严重。

3 电网中的云计算安全需求

　　3.1 虚拟机安全

　　虚拟机安全包括系统安全加固、系统安全防护和系统访问控制。

　　系统安全加固：虚拟机模板系统上线前，应对其进行全面的安全评估，并进行安全加固。应遵循安全最小化原则，关闭未使用的服务组件和端口。同时进行系统补丁控制，采用专业安全工具对虚拟机系统进行定期评估。

　　系统安全防护：包括恶意代码防范，在云计算数据中心网络中部署设备，实时检测各类非法入侵行为，发生严重入侵事件时提供报警。

　　系统访问控制：完善账户管理，身份鉴别和远程访问控制。

　　3.2 虚拟化软件安全

　　虚拟化软件Hypervisor是服务器虚拟化的核心环节，其安全性直接关系到上层的虚拟机安全，因此Hypervisor自身必须防止客户机利用溢出漏洞取得高级别的运行等级，从而获得对物理资源的访问控制，给其他客户带来极大的安全隐患。

　　3.3 虚拟机镜像安全

　　虚拟机镜像是云计算环境中的特殊资产。应当执行合适的安全规则，用来保护虚拟机镜像在整个生命周期的安全。在虚拟机运行和休眠阶段，采用访问控制，防止虚拟机镜像被窃取和修改；在虚拟机镜像启动之前，进行安全检查，防止预先配置的虚拟机镜像的误配置和欺骗。

　　3.4 数据安全

　　应保障数据在通信、存储、计算过程中的安全，具体包括数据加密传输安全，保障用户数据的网络传输安全，确保数据存储安全，数据进行安全隔离，数据访问控制，同时要建立数据备份与恢复机制，而且要对剩余信息进行保护。

　　3.5 存储隔离

　　电力云要提供灵活的、可扩展的存储功能。根据虚拟机的执行要求，它的存储需求是动态变化的。在数据中心，会部署不同的存储解决方案。各种存储技术互操作性和安全保护是一个重要的问题。必须确保它的存储系统的隔离是随时有效的，而不会受到实际方案选择的限制。

　　3.6 网络保护

　　电力云中用了很多虚拟网络技术。相对于传统的网络，因为虚拟网络的隔离是逻辑的而非物理的，所以，电力云计算中的虚拟网络将出现更多的安全漏洞。当前为了实现网络区域划分，主要通过虚拟防火墙来实现网络保护。另外，为了阻止电力云服务之间相互影响而造成安全问题，应该实施网络边界控制机制。为了响应电力云执行环境的动态演变，需要提供网络资源的弹性分配和快速供给，同时，也需要部署适应其的保护机制。有效的网络安全保护机制是云服务端到端安全的重要保证。

　　3.7 灾难恢复

　　可用性是IT系统的三个主要安全目标之一。在任何时刻，电网中的云计算系统应该保持可用。灾难恢复表示应对特大灾难和恢复到安全状态的能力。此机制可以保证提供服务的连续性。

4 电力云安全功能

　　4.1 身份管理、认证和授权

　　云服务涉及很多的管理员和用户，并且用户可以从内部和外部以多种方式访问云资源。认证和授权在云计算多租户的环境中，对于保证云服务安全访问是非常重要的。身份管理可以辨别一个实体。通过整合认证和授权服务，可以有效保护身份，防止由于袭击和漏洞暴露而造成的身份泄漏和盗窃。身份保护用于防止身份假冒，授权用于防止云计算资源，例如网络、设备、存储系统、信息等的未授权访问。在身份管理中，整合认证和授权，可以使用基于角色的访问控制，用来构造不同授权登记的云计算服务。

　　4.2 网络安全

　　在云计算环境中，网络安全机制要使物理和逻辑的网络隔离。基于安全策略，它划分网络安全域、网络边界访问控制、网络流量隔离等，并且在物理和虚拟网络环境中，能有效地保护网络防止袭击。

　　4.3虚拟化安全

　　虚拟化安全机制用于保护虚拟机管理器和虚拟机。它保护虚拟机管理器防止外部的袭击，并且隔离虚拟机。虚拟机可以获得和物理机相同级别甚至在某些方面更强的安全性。考虑云计算实质上是一个虚拟化的计算资源平台，并以虚拟机的方式为用户提供运行环境，云计算平台中的虚拟机安全是核心。

　　4.4安全协调

　　在云计算中，虚拟资源的快速提供和弹性扩展，使得安全管理变得非常困难。当前已有的安全方案，例如VPN的弹性和动态管理、云基础设施的自动安全监控，需要一个强壮的、弹性的安全管理功能来协调在整个云计算系统中多个不同的安全功能。这个安全功能允许云计算系统从异构的保护机制中管理相互作用的特性。

　　4.5事件管理

　　事件管理服务包括事件监控、预测和响应。为了知道云计算服务是否在整个基础设施中如期运行，需要持续地监控用来捕捉云服务的安全状态，预测异常情况和提供警告。例如，监控虚拟化平台和虚拟机的实时性能。在发生失败，有问题的事件，或者计算机安全事件后，问题应该得到判断，并且事件得到快速响应。

　　4.6灾难恢复

　　可用性是IT系统的重要安全目标。灾难恢复代表了应对灾难，快速恢复到安全状态和正常运转的能力。这个机制可以保证云服务的持续性，保证云服务不会中断。

　　4.7运营安全

　　在运营过程中，要建立业务云安全测评和监管体系，包括安全风险评估方法、安全风险测评规范体系、安全风险辅助评测工具和安全监管体系等。安全风险评估方法为云计算安全的风险评估提供技术手段和方法支撑。安全风险测评规范为云计算安全风险测评提供测评指标和方案规范。安全风险辅助评测工具为云计算应用模式下移动互联网安全风险测评提供评测工具和管理平台。风险辅助评测工具的开发主要包含云计算应用模式下移动互联网风险评估模块的开发和云计算应用模式下移动互联网安全测评模块的开发。

　　4.8数据隔离和隐私保护

　　这个域关注数据保护问题。在云计算环境中，一个云用户应该永远不能访问数据其他用户的数据，即使数据已经加密。所有在云中的数据应该只有获得云用户的授权才可以访问和管理。隐私保护意味着数据的收集、传输、处理和销毁应该遵从应用隐私规则和法律。每个云服务提供商需要保证云用户有能力遵守应用隐私规则或法律。

　　4.9 存储安全

　　分布式存储系统作为云存储重要的组成部分，一般架构由源数据服务器、数据服务器和客户端组成。分布式存储系统通常都是采取数据和元数据分离的架构。典型的分布式存储系统如Google File System(GFS)架构，系统由三部分组成：元数据服务器(Master)、数据服务器(Chuck Server)和客户端(Client)，在GFS描述中一个文件会按固定大小被分割为多个数据块，数据块存储在Chunk Server上，Master则保存了文件和其对应数据块的映射关系，Master还保存了每个数据块存放的位置等元数据信息。Client作为一个用户访问接口，用户通过Client访问GFS系统。

　　4.10 互操作性、便利性和可逆性

　　在云环境中，一个端到端的服务，应该是基于多个元服务整合实现的。一个数据中心经常有一系列异构的硬件和软件组成，包括服务器、磁盘阵列、交换机、虚拟机管理器、中间件、软件等。互操作性使得这些异构方案共存和合作运行。便利性使得云用户可以从一个云服务提供商迁移到另一个云服务提供商。可逆性使得云用户可以将IT系统从云中迁回到传统的IT基础设施。

　　4.11 安全即服务

　　将云计算技术应用于网络安全领域，通过对网络安全设施资源及业务能力进行云化，形成安全能力资源池，并基于互联网为客户提供按需的网络安全服务，从而实现网络安全即服务的一种技术和业务模式。

5 结束语

　　在智能电网中应用云计算系统是一个复杂的系统，由于电网的重要性，一旦出现问题将会带来灾难性的后果。在电网中引入云计算技术，将会带来更加复杂的安全性问题，在不同的复杂环境下，针对不同情况进行分析，采用灵活的方案，才能保证智能电网中运用云计算技术的安全性。

　　参考文献

　　[1] 闫晓丽.云计算安全问题[J].信息安全与技术，2014，5（3）：3-5.

　　[2] 周祥峰.智能电网中虚拟化云计算安全的研究[J].计算机安全，2013（5）:71-73.

　　[3] 徐波.云计算安全关键技术分析[J].吉林工程技术师范学院学报，2014，30（5）：93-94.

　　[4] 姜茸，杨明.云计算安全风险研究[J].计算机技术与发展，2014（3）：126-129.

　　[5] 王操.云计算安全的发展现状和趋势述评[J].网络安全技术与应用， 2015（1）：202-204.

　　[6] 袁源.云计算安全架构、机制与标准的研究与探讨[J].电信技术，2014（11）：67-70.