基于本體的云計算虛擬化等級保護擴展與建模*

凌彥騖， 張保穩(wěn)（上海交通大學(xué)信息安全工程學(xué)院，上海200240）

基于本體的云計算虛擬化等級保護擴展與建模*

凌彥騖， 張保穩(wěn)
（上海交通大學(xué)信息安全工程學(xué)院，上海200240）

虛擬化技術(shù)是云計算的重要技術(shù)組成部分，虛擬化安全也是制約云計算安全的一大因素。本體語言是規(guī)范化的形式化語言，是提供客觀描述的一種表述方式。本文首先結(jié)合了信息系統(tǒng)等級保護框架以及本體描述語言，對云計算虛擬化安全的等級保護制度進行擴展；接下來通過本體建模進行等級保護制度建模；最后通過實際案例，對評估模型進行了示范和驗證。

云計算；本體建模；等級保護；虛擬化

［Abstract］Virtualization is the key technical component of cloud computing，and security issue for virtualization also an important restricting factor of cloud security.As a normalized and formalized language，ontology provides an expression of objective description. This essay firstly expands the current classified protection mechanism for virtual cloud computing in combination of the ontological technology and the classified protection framework for information system，and then the modeling process for the classified protection is realized with the ontological technology.By applying the model to an existing system，the assessment model is finally demonstrated and validated.

［Key words］cloud computing；ontology modeling；classified protection；virtualization

0 引言

近年來，隨著信息技術(shù)的不斷發(fā)展，云計算技術(shù)進步顯著。基于其高效、低成本、分布式的特點，云計算的應(yīng)用也逐漸為業(yè)界所接受。在云計算技術(shù)中，虛擬化技術(shù)是非常核心的技術(shù)組成部分，正是因為虛擬化技術(shù)的應(yīng)用，使得云計算服務(wù)供應(yīng)商能夠提供高整合，高信息共享率的云服務(wù)［1］。然而，虛擬化給云計算帶來重要支持的同時，也伴隨了許多安全問題。日前，世界上公認(rèn)的幾個比較值得關(guān)注的虛擬化安全問題包括：虛擬機管理機安全，VM ESCAPE，DOS攻擊，基于虛擬機的rootkit惡意攻擊等等［2］。信息系統(tǒng)的安全關(guān)系到了社會的穩(wěn)定［3］，雖然日前常用的信息系統(tǒng)中，對于系統(tǒng)的數(shù)據(jù)安全和用戶的認(rèn)證及保密性問題已經(jīng)有了比較成熟的一套安全保證框架，但是這些傳統(tǒng)的安全保證模式卻不能完全照搬到虛擬化技術(shù)的應(yīng)用中去，需要為虛擬化技術(shù)量身定制一份獨有的安全評估框架。在國外的研究中，日前最具有影響力的是美國的TCSEC安全評估指南［4］。而在我國，對于信息系統(tǒng)使用的是信息安全等級保護制度，是一種對于數(shù)據(jù)和信息載體根據(jù)其具有的等級進行劃分類別并且進行分級保護的措施［5］。等級保護是對于信息系統(tǒng)的安全評估的一種方式，通過其規(guī)范化的語言和描述制定了一系列的規(guī)則，并應(yīng)用在對應(yīng)的信息系統(tǒng)中。對于等級保護標(biāo)準(zhǔn)的制定，需要使用表述清晰，邏輯性強，意義準(zhǔn)確的語言進行描述，本體語言正滿足了這些特點。本體語言是一種形式化的表述語言，通過運用自定義的約束和具有的概念進行規(guī)范規(guī)約化。運用本體語言進行形式化建模，可以清晰地表達(dá)出各個規(guī)則的邏輯意義以及規(guī)則之間的邏輯關(guān)系，真正實現(xiàn)客觀、無二義性的評估框架。運用包含圖形化界面的本體描述工具，可以更專注于本體結(jié)構(gòu)的構(gòu)建，減少語言描述中容易產(chǎn)生的錯誤，方便建模［6］。

本文基于日前對于云計算環(huán)境下虛擬化系統(tǒng)安全評估和等級保護的現(xiàn)實要求，對現(xiàn)有的等級保護制度進行基于虛擬化的定制及擴展，并提出基于本體語言的信息安全等級保護建模框架進行云虛擬化安全等級保護建模，最后實例化現(xiàn)有系統(tǒng)對建模成果進行分析。

1 本體及虛擬化等級保護體茅擴展

1.1 本體的概念

本體是形式化和顯示的規(guī)范概念［7］。本體可以分為四種類型：領(lǐng)域、通用、應(yīng)用和表示［8］。在信息系統(tǒng)和等級保護的建設(shè)中，本體可以很好地發(fā)揮其特點和作用。本體通過制定對信息系統(tǒng)規(guī)范化的約束，設(shè)計并使用統(tǒng)一的、被共同認(rèn)可的描述語言，然后給出這些描述之間的規(guī)范化的，標(biāo)準(zhǔn)化的關(guān)系定義，以幫助建立去除主觀化評判，明確約束之間的制約關(guān)系的等級保護制度。

本文在構(gòu)建本體建模的過程中，使用的是protégé開源軟件，protégé提供了本體的類，關(guān)系，屬性和實例［9］，本體的建模過程包括以下幾步：

1）對于已有的描述列出對應(yīng)的詞條。

2）按照該詞條的屬性以及層次關(guān)系，建立分類規(guī)劃的類和具有層次性的分類模型。

表1 技術(shù)安全要求控制節(jié)點增強

3）使用本體語言設(shè)計約束關(guān)系連接類與分類模型。

4）添加實例，使規(guī)范化的本體模型具象化。

使用protégé軟件進行建模，不僅能減少虛擬化等保模型構(gòu)建的開銷和復(fù)雜度，同時減少了使用模型的用戶的學(xué)習(xí)成本和使用成本，并且通過其模型化的體系和直觀的表達(dá)方式，保證了指標(biāo)體系的客觀性以及統(tǒng)一性。

1.2 云慮擬化的等級保護體系應(yīng)用與擴展

日前現(xiàn)有的安全等級保護框架將系統(tǒng)安全分為技術(shù)安全與管理安全兩個大類，每個大類下又分別包括五個子控制點。該等級保護制度具有指導(dǎo)性和總體的模板性作用，因此基于虛擬化技術(shù)的云計算安全等級保護框架也應(yīng)該在該等級保護制度下進行擴展和定制，針對云虛擬化安全進行控制的增強和補充。

由于虛擬化云環(huán)境不同于普通信息系統(tǒng)的特性，云虛擬化等級保護制度的安全控制重心應(yīng)該著重于虛擬資源和用戶管理的安全審核上，針對虛擬化環(huán)境的虛擬化屬性和虛擬化安全問題，本文分別對技術(shù)安全控制點和管理安全控制點提出了新的安全要求。

針對技術(shù)要求和管理要求的新增控制節(jié)點，設(shè)定針對信息安全等級保護制度的等級。通過對不同等級的能力劃分，區(qū)別不同系統(tǒng)的安全等級，最后達(dá)到劃分信息安全等級保護指標(biāo)的日的。對于云計算的虛擬化環(huán)境，本文提出了需要增強的控制點以及控制點需要增強的具體內(nèi)容。

對于技術(shù)要求，以數(shù)據(jù)安全中的數(shù)據(jù)通信安全控制點為例：

S1：應(yīng)對到數(shù)據(jù)中心虛擬 VM之間的敏感傳輸數(shù)據(jù)進行加密。

S2：a）應(yīng)對到數(shù)據(jù)中心虛擬VM之間的敏感傳輸數(shù)據(jù)進行加密。

b）防止密碼等信息在傳輸過程中被竊聽。

S3：a）應(yīng)對到數(shù)據(jù)中心虛擬VM之間的敏感傳輸數(shù)據(jù)進行加密。

b）防止密碼等信息在傳輸過程中被竊聽。

c）防止通信數(shù)據(jù)被篡改和破壞。

對于管理要求，以人員安全管理中的多租戶管理安全控制點為例：

G1：應(yīng)對使用虛擬化環(huán)境的租戶進行符合安全等級的身份驗證和登記。

G2、G3：a）應(yīng)對使用虛擬化環(huán)境的租戶進行符合安全等級的身份驗證和登記。

b）應(yīng)制定虛擬資源分配策略，根據(jù)租戶的不同等級分配相應(yīng)的虛擬資源和訪問權(quán)限。

對所有的控制點進行更新和增強以后，形成了云虛擬化等級保護的基本框架，基于該等級保護框架進行本體建模，既保證了等級保護框架的結(jié)構(gòu)以及規(guī)范性，又保證了建模的理論依據(jù)。

圖1 惡意代碼防苑控制點對象類結(jié)構(gòu)圖

2 基于本體的虛擬化等級保護評估規(guī)約建模

本體建模是一種形式化建模的過程，是一種規(guī)范化概念含義的過程。對于云計算的虛擬化環(huán)境本體建模，需要對虛擬化信息安全的各個方面的術(shù)語進行規(guī)約和提取，對各個術(shù)語之間以及各條形式化規(guī)定之間的關(guān)系進行形式化約定。

本體建模的形式化過程的日標(biāo)就是將需要建模的日標(biāo)語句進行術(shù)語的形式化，本體的建模對象一共可以分為以下幾大類：

對象類（object）：本體語言中最基本的術(shù)語組成本體的對象類，云計算虛擬化系統(tǒng)中包括物理系統(tǒng)、虛擬系統(tǒng)、用戶和網(wǎng)絡(luò)鏈路等靜態(tài)對象組成了本體建模的對象類。

屬性（property）：本體中所有對象類之間的關(guān)系形成了本體的屬性類，屬性類約定了對象類之間的行為，決定了本體對象的從屬關(guān)系以及層次關(guān)系。

能力（ability）：對象類中的對象在實現(xiàn)某些安全需求或者安全日標(biāo)時具有的能力被形式化為能力類，安全本體的能力類決定了對象能達(dá)到安全日標(biāo)時的能力劃分。

需求類（requirement）：在安全系統(tǒng)的構(gòu)建和維護過程中，存在某些對安全對象所提出的安全需求，是對于安全等級擁有制約作用的安全需求。

約束值（value）：在等級保護框架中，經(jīng)常會用到一些程度副詞來決定日標(biāo)系統(tǒng)的安全等級，這些程度副詞描述了系統(tǒng)安全性不同的安全等級，用來區(qū)分不同系統(tǒng)在同一指標(biāo)上的安全能力，本體建模將這些程度副詞形式化為約束值。

圖2 惡意代碼防苑控制點的本體結(jié)構(gòu)樹

本文以主機安全中的惡意代碼防范控制節(jié)點為例，描述本體化建模過程。

G1：應(yīng)對從休眠狀態(tài)恢復(fù)的或者從備份狀態(tài)激活的虛擬VM保證惡意代碼庫和惡意代碼防范軟件的更新。

G2：a）應(yīng)對從休眠狀態(tài)恢復(fù)的或者從備份狀態(tài)激活的虛擬VM保證惡意代碼庫和惡意代碼防范軟件的更新。

b）應(yīng)設(shè)置虛擬機占用的資源上限，防止拒絕服務(wù)攻擊。

c）應(yīng)保護物理硬盤中保存的不同狀態(tài)的大數(shù)據(jù)量的虛擬機鏡像，保證其不會被病毒惡意修改。

G3：a）應(yīng)對從休眠狀態(tài)恢復(fù)的或者從備份狀態(tài)激活的虛擬VM保證惡意代碼庫和惡意代碼防范軟件的更新。

b）應(yīng)具有安裝惡意代碼防范代理的功能，并能夠防止虛擬VM在并行掃描惡意代碼的時候不會因為過大的物理資源消耗造成系統(tǒng)崩潰。

c）應(yīng)保護物理硬盤中保存的不同狀態(tài)的大數(shù)據(jù)量的虛擬機鏡像，保證其不會被病毒惡意修改［10］。

節(jié)點設(shè)置三級等級保護制度，等級由低到高逐級增加安全控制要求，依照上文所說的本體對象對等保內(nèi)容進行形式化規(guī)約和構(gòu)建。

·對象類：虛擬VM、防惡意代碼軟件版本、惡意代碼庫、虛擬機占用的資源上限、拒絕服務(wù)攻擊、物理硬盤、虛擬機鏡像、安裝惡意代碼防范代理、系統(tǒng)崩潰

·屬性：擁有、更新、設(shè)置、保護、防止

·能力類：不能被惡意的病毒修改

·約束值：從休眠狀態(tài)恢復(fù)的、從備份狀態(tài)激活的、大數(shù)據(jù)量的、不同狀態(tài)的、物理計算資源消耗過大

對等級保護進行形式化后，結(jié)合所有的對象類和屬性關(guān)系，對等級保護內(nèi)容進行客觀化的形式化描述，就可以使用所有的類和關(guān)系對等級保護進行建模。

G1：（Update some（（Anti-malwareSoftwareVersion and MaliciousCodeLuibrary）

and（hasValue some ConvertedFromHibernation）

and（hasValue some RestoreFromBackup）））

G2：（Update some（（Anti-malwareSoftwareVersion and MaliciousCodeLuibrary）

and（hasValue some ConvertedFromHibernation）

and（hasValue some RestoreFromBackup）））

and（Set some（VMResourceUsageUpperLimit

and（Prevent some ForVM＇sVirtualDDosAttack）））

and（Protect some（VMImage

and（hasValue some ALargeNumber）

and（hasValue some VariousStates）

and（hasAbility some CanNotBeModifiedByVirus）））

G3：（Update some（（Anti-malwareSoftwareVersion and MaliciousCodeLuibrary）

and（hasValue some ConvertedFromHibernation）

and（hasValue some RestoreFromBackup）））

and（Protect some（VMImage

and（hasValue some ALargeNumber）

and（hasValue some VariousStates）

and（hasAbility some

CanNotBeModifiedByVirus）））

and（Set some

（InstallMaliciousCodePreventionAgency

and（Prevent some（SystemCrashes

and（hasValue some VMMaliciousCodeScanning）

and（hasValue some

ExcessiveConsumptionOfPhysicalComputingResources）））））

運用以上建模內(nèi)容，即形成了主機安全一級控制節(jié)點下的惡意代碼防范控制節(jié)點的G1～G3等級保護控制內(nèi)容，完成所有的節(jié)點建模之后，就完成了對等級保護制度的總體框架的建模，設(shè)置總體等級保護框架，劃分不同等級的等保層次，整體等級保護框架如下圖3所示。

圖3 等級保護框架安全控制節(jié)點結(jié)構(gòu)樹

3 實例分析

本文以某公司云平臺管理節(jié)點服務(wù)器XManager的主機安全測評結(jié)果作為輸入，提取其中與云虛擬化相關(guān)的安全技術(shù)要求，運用本體建模對其主機安全節(jié)點進行等級保護評判，最終通過評估模型得出其安全評估的等級。

對其四個控制節(jié)點的測評結(jié)果內(nèi)容運用先前構(gòu)建的本體模型進行本體形式化建模，得出該系統(tǒng)的等級保護形式化描述為：

（hasObject some（VMManager and（Discriminate some（Information and（hasObject some Wiretap）and（hasValue some Network-Transmission）））and（Set some NecessaryMeasures）and（hasValue some SubmitVMAccessApplication）））

and

（Guarantee some（VirtualResource and（（Include some（CPU and Memory and Network and Storage））and（Prevent some IllegalAccess）and（Prevent some IllegalRecovery）and（Set some CompletelyCleared）and（hasValue some BeforeReleasedOrRedistribution））））

and

（Update some（（Anti-malwareSoftwareVersion and Malicious-CodeLuibrary）and（hasValue some ConvertedFromHibernation）and （hasValue some RestoreFromBackup）））

and

（（hasObject some（VirtualResource and（Include some（Network and Storage and Memory））and

（hasAbility some RationalAllocation）and（Specific some Usage）and（Base some（AppImportance and UserFeatures and

UserNeeds））））and（Set some（Caps and（Alarm some Over-Run）and（hasValue some Non-criticalAppAndUsers）））and（Set some（Limit and（Alarm some OverRun）and（hasValue some CriticalAppAndUsers））））

表3 XManager主機安全項測評結(jié)果記錄

使用protégé輸入該本體模型，運用本體推理機進行推理，最終得出該系統(tǒng)的等級和等級保護等級之間的關(guān)系如下圖：

圖4 XManager等級保護評級結(jié)果圖

XManager服務(wù)器滿足等級介于等級保護1和等級保護2要求之間，因此該系統(tǒng)不滿足等級保護2的要求，該系統(tǒng)達(dá)到了等級保護1級標(biāo)準(zhǔn)。

4 結(jié)語

云計算是日前非常熱門的技術(shù)和話題，運用信息系統(tǒng)的等級保護制度對其進行安全評估滿足了必須的安全需求。使用本體建模對云計算虛擬化安全進行等級保護建模，實現(xiàn)了等級保護評估過程的集成、規(guī)約化和半自動化，本體的建模給予評估人員更直觀和客觀的結(jié)果表現(xiàn)，是一便于管理并且規(guī)范化的評估系統(tǒng)模型。

［1］ ［1］Sabahi F.Virtualization-Level Security in Cloud Computing［C］//Communication Software and Networks（ICCSN）. San Francisco：IEEE，2011：250-254.

［2］ 張瑞霞.云計算的虛擬化安全問題的研究［D］.南京：南京郵電大學(xué)，2014.

［3］ David R，George G.A Practical Guide for Deciding What's Really Safe and What's Dangerous in the World Around You ［R］.New York：Houghton Mifflin Company，2002.

［4］ 周濟禮，先學(xué)人.美國信息系統(tǒng)分類分級保護的主要內(nèi)容及啟示［J］.中國信息安全，2013（11）：102-105.

［5］ 張京海，張保穩(wěn)，楊冰等.云計算信息系統(tǒng)等級保護框架研究［J］.信息安全與通信保密，2013（9）：98-105.

［6］ 杜小勇，李昌，王珊.本體學(xué)習(xí)研究綜述［J］.軟件學(xué)報，2006，17（9）：1837-1847.

［7］ Gruber T R.A Translation Approach to Portable Ontology Specifications［J］.Knowledge Acquisition，1993，5（2）：199 -220.

［8］ Guarino N.Semantic Matching：Formal Ontological Distinctions for Information Organization，Extraction，and Integration［M］. Frascati：Information Extraction A Multidisciplinary Approach to an Emerging Information Technology，1997：139-170.

［9］ 章勇，呂俊白.基于Protege的本體建模研究綜述［J］.福建電腦，2011，27（1）：43-45.

［10］ 楊冰.云計算中虛擬化安全評估技術(shù)研究［D］.上海：上海交通大學(xué)，2013.

Modeling of the Classified Protection for Virtual Cloud on Ontology

LING Yan-ao，ZHANG Bao-wen
（School of Information Security Engineering，Shanghai Jiaotong University，Shanghai 200240，China）

TP391.1

A

1009-8054（2016）02-0093-06

2015-11-01

凌彥驁（1990—），男，碩士，研究生，主要研究方向為信息安全系統(tǒng)評估；

張保穩(wěn)（1973—），男，博士后，碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)信息安全和人工智能。