云计算大数据平台安全运维方案

11云计算大数据平台安全运维方案PAGEPAGE15目录第一章现状与需求分析 1...1.1.1信息化现状 1.1.2关键问题分析02.1开放的统计云数据平台 21.2.2数据采集与拓展21.2.3创新应用开发31.3基础平台建设需求4第二章总体架构设计 .1总体架构.2.3.第三章信息安全中心设计 .3.1统计云安全风险分析 8统计云环境面临的传统安全威胁 8统计云环境面临的新型安全威胁 93.2统计云安全建设方案 51IaaS层安全建设方案 53.2.2平台安全03S层安全建设方案 84Saa层安全建设方案15安全服务中心建设方案 6第四章运维监控中心设计 .1云计算中心运维服务方案 41运维服务体系建设说明 42运维服务体系架构 63云计算中心运维服务内容 04.1.4云计算中心监控方案和排障方法 55体系建设的效果分析 74.2系统迁移方案规划91迁移原则.2迁移步骤.第一章 现状与需求分析总体现状分析信息化现状统计信息化是中国统计走向现代化的核心， 是提高统计数据质量的关键， 中国统计更加规范统一的重要支撑。 统计信息化是统计建设的重要内容， 是推动统计改革的内在动力。经过多年的信息化建设，国际统计局已经建成了比较完备的IT软硬件基础设施和专业应用系统，在统计业务的各个环节特别是数据的采集生产环节提供了较为有力的支撑。基础设施建设在基础设施建设方面，统计局通过骨干网扩容提速，实现国家局到 31个省（市、区）统计局和新疆生产建设兵团统计局的一级主干网，采用了双设备、双线路的冗余架构，专线的网络带宽已提升到 155M（数据）+2*2M（音视频外还有1*2链路用来对网络系统的带外管理， 大部分异地办公的省级调查总队实现了同城百兆光线的链接。目前，统计局的互联网出口带宽已经提升至 1G（联通、电信各 M。局域网实现了核心万兆交换，桌面千兆接入，部分省及省以下统计信息网络系统进行了扩容改造的配套建设， 提升了带宽，有的已将统计信息网延伸到了乡镇一级，全国县以上政府统计机构的 3068家统计局、调查分别以专线、VPN 专线、政务网等方式接入国家统计信息主干网，并且各省都建设了独立的互联网出口。国家统计系统的信息交换、数据传输能力不断提升。（图7：国家统计信息网络拓扑结构）近年来，统计局利用虚拟化、资源池、云计算等新技术、新理念，对国家统计核心业务系统进行资源整合， 构建了大规模联机业务处理和高并发事务处理能力的核心业务系统，进一步提升了统计数据处理系统的可靠性、 安全性，为未来全国统计业务的统一在线处理提供云服务打下了基础。 同时，利用农业普查、济普查、人口普查等大型普查的中央投资以及各地配套资金，为乡镇、县市、省统计局也配备了大量的微机、激光打印机、服务器、小型机、存储、数据库、中间件等软硬件设备，进一步推动了统计信息化基础建设。以三里河西楼为主的机房面积大约3000IDC存储机房和UPS机房。目前大约有小型机近40PC服务器300余台，并建立了集中的网络设备监控管理系统。目前核心机房的设备大约分为三大部分：小型机系统：主要承载统计局核心业务系统的各个关键应用及 Oracle据库；虚拟化平台：包括 300多台PC服务器、150TB磁盘阵列的虚拟化资源池，部署了 160多个不同类型和部门的应用软件系统；PC系统与OA系统。（图8：统计局机房设备分布）应用系统建设依托基础设施资源，统计局信息化应用开发取得了显著进展，特别是 2012年1月份以来，统计局正式实施统计“四大工程（一库、一表、一台、一网） 带来了统计数据生产方式的重要变革， 在新的数据生产方式下，原有的分散设计改为统一设计，调查制度由原来的分散布置改为统一布置， 原始数据由间接采集改为直接采集，实现了统计局直接掌握原始数据并加工和汇总， 各级统计机构在线实时共享数据，大大提升了统计局信息化应用的整体水平。 统计局开发的数据处理软件，已成功应用于农业普查、经济普查、 “R&D”资源清查、人口普查等大型普查，以及畜牧业监测、城乡住户一体化、 “一套表”等多项统计调查。采用3G/4G无线网络技术，已在全国 500个城市开展了手持移动电子采价系统在统计数据采集工作中的应用。 按照全国一库在线、分级管理维护的模式， 建成了全国统一的基本单位名录库系统，并建立了与质监、工商、税务、编办、民政等部门的单位信息共享交换机制和名录比对系统。统计局的 OA办公自动化系统已在全国大部分个省级统计局、 调查总队推广使用。遥感、空间定位和地理信息系统等空间技术，已在农作物对地调查、 主要粮食作物种植面积测量与估产、 口普查、经济普查和投资项目监测等统计业务应用。统计局核心业务系统采用采用虚拟化技术，提供统一的WEB服务、数据库服务、存储服务以及管理调度，支持企业联网直报系统、第六次人口普查和第二次、第三次经济普查等重要统计业务的数据采集和处理工作。（图9：核心业务系统逻辑架构）基础应用系统大型普查：支持人口普查、农业普查、经济普查等大型普查任务专项调查：人口变动、投入产出、 R&D等；经常性调查：支持各专业的常规性调查、如月报、季报、年报等。联网直报系统实现工业、能源、投资贸易和重点服务业等主要专业 以上“四上”共100多万多家单位的联网直报的工作。 目前联网直报系统采用全国集中部署和使用，17个省（区、市）的企业通过网络直接向统计局数据中心报送数据， 个省（区、市）的企业通过网络向国家批准的省级节点报送数据，国家实时从省级节点抓取原始数据。目前企业上报数据以月报方式为主， 平均每月3~4张报表大约共有200多个统计指标。在数据采集和处理环节，采用统一兼容的数据采集软件系统进行数据采集、录入、审核、编辑和汇总，提高了统计生产过程的可控性和规范性，减轻了调查对象和基层的工作负担，促进了地区数据与国家数据、 专业数据与综合数据的效衔接。（图10：联网直报系统体系结构）遥感、空间定位与地理信息系统利用遥感（、地理信息系统（ GIS）和全球定位系统（ GP）为代表的空间信息技术，构建相关统计应用。以农村社会经济调查司为例， 该司目前通高分遥感卫星（863项目结合 、GIS对农产品进行种植面积、产量、灾情等数据的调查、统计、预测及可视化展现。其他应用系统统计分析建模软件办公自动化（OA）电子邮件系统视频会议系统统计局内、外网站微信、微博、手机客户端信息发布平台各司局内部专业应用系统等数据资源建设国家统计数据资源体系由基础支撑数据库、 专业原始数据库、专业工作数库、综合应用数据库等功能子系统初步构成；按统一设计、分级建设、同构互联的原则，由中央和地方的统计数据库系统共同组成。专业原始数据库专注于基础性调查数据的集中管理、 维护需要统筹考虑统计数据结构及相关安全域划分管理；支持微观的专业报表基础数据文件、 中观的主题数据文件宏观的综合数据报表文件的归档管理，提供接收、下载、导入导出、整理维护、加载更新等管理功能，是统计数据处理系统与统计数据库体系的数据管理和交换子系统。这部分内容需在物理隔断的涉密网部署管理。专业工作数据库使用数据仓库和专业统计分析、 数据挖掘工具软件，建设形成专业性的主题数据库或数据仓库系统，支持数据处理阶段后专业内部针对基础数据深入的分析汇总和结构查询，这部分功能应在物理隔断的涉密网运行管理； 支持跨专业、部门的综合数据共享查询， 支持综合应用库的建设和应用， 这部分功能需在逻辑隔断的内网运行管理。综合应用数据库以常规数据库系统对供宏观决策支持、 部门共享或公开发布的综合指标、 合数据进行管理，形成以应用查询为主要功能的数据库系统。 本系统以数据处理结果、专业工作数据库为来源， 根据共享程度及安全域划分， 分别在物理隔断的涉密网、逻辑隔断的内网或外网运行管理。 国家统计数据库等发布数据库属于此类。基础支撑数据库一是统计调查项目管理数据库、 基本单位名录库等元数据管理系统， 二是理信息和遥感信息等基础信息管理系统， 为统计工作和其他数据库提供基础性共享信息支撑。安全体系建设统计局城域网划为 14个安全域，配置了防火墙、入侵检测、网络信息审计客户端安全管理、漏洞扫描、病毒防范、 VPN 登录认证、数据库审计、网上行为管理系统、防病毒网关、恶意代码拦截网关、网页防篡改系统、主机保护、安全服务器、网络异常流量分析等信息安全软硬件系统技术措施； 并实行用户上网实名制管理；实现核心统计业务应用系统的安全身份认证管理； 同时，在系统组织安全系统的建设，实现全网一致的安全策略。安全管理制定了国家统计信息系统安全保障体系五年总体规划；全国统计信息系统的二级、三级安全管理中心布局，整体进度已完成90%以上。实施统计局重要信息系统的安全等级保护定级工作。物理安全保障全国约3/4的统计部门建设了专用机房，大多数机房配置了专用设备，采取了安全措施。国家局机关建设了标准屏蔽机房。网络安全国家统计系统骨干网采用了冗余技术， 配置了各类安全防护系统， 建设了一的国家、省、地市三级网络管理系统，实现对网络运行状况的实时监控，实现网络资源的动态调控与分配。主机安全、应用安全和数据安全建立了CA认证系统，正在建立网络用户实名制制度， 保证网络用户的合性，确保统计信息网络的安全性。1.1.2关键问题分析随着经济全球化和中国经济的快速增长，各级党委和政府、企业、社会团体和社会公众都越来越多地关注统计信息，对统计数据的准确及时、客观完整提出了更高的要求。建立既符合中国国情，又与国际一般规则基本接轨的现代统计体系， 切实提高统计数据的科学性、准确性和统计工作的权威性， 提高统计工作能力，提高计数据质量，提高政府统计公信力，为党和政府、国内、国际社会提供优质高效的统计服务是统计工作一贯不变的方针。 在新的形势和信息技术高速发展的背景下，给统计工作带来了新的发展机遇和挑战。经过多年的建设，统计局信息化有了相当的信息资产积累， 具备了一定的发展基础。但从技术视角来看，还存在需要进一步改进提升的空间和薄弱环节， 要表现在：信息化建设缺乏有效的顶层设计和统筹规划；各个系统技术架构封闭，整合交互少，信息孤岛多；缺乏统一的数据和技术标准，系统融合困难；现有技术架构缺乏对大数据的有效处理能力。随着大数据时代的到来，对统计学与政府统计具有划时代的意义。 对统计学而言，大数据将突破通过样本推断总体的传统方法，直接对总体进行相关分析，并更加注重结论的相关性和实时性； 对政府统计工作而言，大数据是采用多种数据收集方式、整合多种数据来源的数据， 是采用现代信息技术和架构高速处理及挖掘、具有高度应用价值和决策支持功能的数据、 方法及其技术集成。大数据让官方统计迎来重要的发展战略机遇期，也使其面临着前所未有的课题。一方面，计算机技术、网络技术和空间信息技术的巨大进步， 为提高统计产力提供了广阔空间。海量的非结构化、电子化数据，极大地丰富了统计数据的来源，为数据提供了更多的收集手段； 另一方面，统计调查主体的多元化发展趋势和电子商务、电子政务、搜索引擎等领域的飞速发展， 也对现有的统计业务模式、工作方法和 IT架构提出了新的挑战。业务需求理解随着智能分析和互联网数据挖掘技术的日益成熟，从海量数据中挖掘出更多有价值的信息资源成为可能，这对保证统计工作的顺利开展、提升数据信息处理质量和效率，都将起到至关重要的作用。作为国家数据信息的官方生产和管理部门， 统计局对于加强系统内部的统计信息化建设建立大数据平台服务的需求较为迫切， 主要集中在统计云平台建设数据采集与拓展、创新应用等方面。开放的统计云数据平台目前，政府统计部门对企业、 家庭、个人的调查都是通过预先设定好的统计标准报表，要求调查对象按照表中的统计指标填报数据， 然后整理汇总成最终的统计数据并对外公布。统计部门希望通过应用大数据，实现政府统计部工作从“有指标再有数据”到“先有数据再有指标”的质变。建立标准的指标平台：针对统计数据标准各异的特点，统计局希望能够搭建一个标准的指标平台，实现对元数据、指标的统一报表管理以及数字化管理，从而解决数据不统一的问题。 规范政府统计部门应用大数据的统计标准， 也是数据资源的利用与共享提供可靠的平台支持。大数据计算和存储：通过建设稳定的大数据资源平台来支持数据库技术和云存储技术，解决对基础设施的管控和数据计算和存储问题， 形成整个系统的台处理基础。资源协同共享：打破原有的闭源数据分析处理思路和模式，各司局之间的业务数据可以用过开源的数据平台进行沟通和查询， 建立信息互通机制，一方可以根据不同的业务模型和角度来分析平台上的共有数据； 另一方面也为数据的有效性提供更多维度的评估参考。数据采集与拓展如何通过大数据采集技术来实现统计局现有数据的成功拓展，成为统计系统内部业务提升的核心需求。统计局关于互联网数据的采集与拓展需求，主要是实现从互联网海量数据资源中挖掘出更多数据资源的问题。数据采集与拓展方面的主要需求有：非结构化数据激活：目前的政府统计是在统一标准下处理结构化数据，然而统计局现存的历史数据多以文本、音频、视频、照片等非结构化形式存在，处理大量缺乏统一标准的非结构化数据是现阶段统计分析业务应首要解决的问题。通过技术手段来激活历史数据、 扩充有效数据来源，可以拓宽统计分析的时间度和信息视角，为统计工作后期的分析汇总工作增加评判依据。互联网信息精准采集：现有政府统计的工作中，统计标准的应用范围大多局限在统计系统内部。利用互联网信息发布速度快、 分布广等特性，统计局希可以通过大数据技术对互联网信息进行精准采集， 用以增加数据采集来源、拓统计标准的应用范围，从而提升统计数据分析的应用水平。按需分类：从非标准化、信息量繁杂的网络信息中抓取核心的关键数据数据技术有效补充现有统计数据的不足，从多个维度全面解释社会经济现象，从而更好的提高统计数据的适用性。创新应用开发基于平台建设与数据采集拓展的基础上， 统计局各业务部门希望可以在可化、自动化、评估预测等方面实现技术突破。可视化：摒弃传统的表格、饼柱图等分析方式，借助图形化手段，清晰有效地传达与沟通信息。例如，可以将统计局收集到的二手房交易价格信息、 农物种植及病虫害信息等分别用地图 GIS的形式集中展示，从而更清晰的表达数据与数据之间的逻辑关系，赋予数据内在价值和活力。自动化：希望数据处理平台可以提供自动生成分析报表的创新功能，可根实现报表的一键分析处理和发布。评估预测：现有的数据来源广泛，数据质量校验的形式大多依靠人工经验分析，且数据验证的标准较为单一。 统计局各业务司希望可以利用大数据的分析处理技术，挖掘更多数据资源来作为现有数据基础的验证和参考。 同时希望可在数据资源丰富的基础上，依靠专业的建模分析工具来发现数据背后所表达的客观规律，从而准确描述和预测未来的发展趋势， 为国家宏观决策提供可参考的据依据。1.3 基础平台建设需求主干系统采用应用和数据大集中模式， 为了满足业务系统对可用性、 可靠性和安全性的要求，保障数据中心业务数据的安全、 可靠，提高业务系统稳定性和业务连续性，须建立多个数据中心来承载业务系统实现应用的高可用性， 主干系统大集中的数据中心整体部署采用 两地三中心（同城双活、异地灾备）架（上节第四种架构）：在北京同城部署两个生产数据中心，生产数据中心以双活模式工作，在这种工作模式下，所有的业务系统同时在两个生产数据中心运行，同时为用户提供服务，当某个数据中心的应用系统出现问题时，由另一个数据中心的应用来持续的提供服务；双活数据中心最大的特点是：一、充分利用资源，避免了一个数据中心常年处于闲置状态而造成浪费。通过资源整合，双活数据中心的服务能力是双倍的。二、双活数据中心如果中断了一个数据中心，另外一个数据中心还在运行，对用户来说是不可感知的。在南宁部署容灾数据中心，为北京生产双中心业务系统提供灾备机制，当北京生产中心的出现故障时，可以将单个应用或者数据中心整体切换到容灾数据中心。三中心完全按照应用级灾备目标建设， 每个中心均具有独自承担业务运行数据管理的相关能力，三中心的设置既可以在同城范围有效保证数据的同步性、安全性、负载均衡性和业务连续性， 又可以在远距离进行异地数据保护和灾难业务接管，在提高业务处理性能的同时防范同城与异地范围内的灾难。第二章总体架构设计II数据洞察服务II随资源服务数即干放肢务I采集整合服务1质控治理服务第三章 信息安全中心设计统计云安全风险分析统计云环境面临的传统安全威胁1、自然灾害、供电中断等不可测风险? 自然灾害类风险：地震、火山、洪水等? 备故障? 坏2、遭受常规网络攻击风险? 对政府或社会不满者、黑客：通过社会工程及黑客技术，通过统云服务，进行未授权访问、系统入侵等； --安全风险较低? 入侵等；--安全风险较高? 据等敏感信息；--安全风险较高3、遭受APT攻击攻击风险? 合社会工程。? 针对统计网络的渗透攻击测试。4、基础软硬件不可控风险? 目前采用VmwardfoundryWindowServer、redhat商业版、开源Ubuntu、开源Centos，Oracle，X86 该风在统计云物理隔离环境下，对常规网络攻击者而言风险小，对国家级攻击对手而言风险较大。5、统计云终端接入风险? 和互联网，缺乏固定终端上一机跨两网的防范手段。统计云环境面临的新型安全威胁IaaS 安全威胁（一）威胁来源与安全防护的核心资源威胁来源：安全威胁主要来自外部攻击、意外内部人员的错误、有意破坏；设备安置不当导致的资源泄露；内部用户的权限过大、误操作或者恶意滥用资源，主机层、虚拟化层的安全威胁主要考虑传统信息安全威胁、 类型的攻击、内部用户的滥用，对操作系统资源、虚拟化层资源所造成的信息窃取、 丢失篡改权限提升等，所有破坏系统机密性、完整性、可用性，以及破坏原有系统安全机制的风险。核心资源：环境中受保护的核心资源包括：各级网络交换机、路由器、服务器、服务器上所承载的业务；与传统计算环境相比，云环境中的“管理程序”或“虚拟机监控器”（虚拟机监控器）是操作系统和软件平台间增加的一层软件。在虚拟化层的受攻击面主要包括：虚拟化计算资源： 虚拟机监控器（虚拟机监控器）、运行与虚拟机监控器上的管理服务、虚拟机（虚拟机）、虚拟机内的操作系统（ GuestO、虚拟机内关键应用程序、虚拟机内的辅助性数据、通信数据；虚拟化存储资源：Hadoop组件、共享的非结构化数据（文件）、数据库内的结构化数据（数据表项）；信、虚拟机与其他用户设备的应用通信；（二）统计云网络层主要安全威胁：1、主要安全威胁：威胁1：恶意扫描威胁来源：外部。受攻击面：网络设备或服务器。攻击行为：一般攻击者想要实施网络攻击，尤其是入侵前，先做扫描，第一步做 IP扫描；第二步，对可达的 IP做端口扫描，通过开放的端口预判开放的服务类型甚至设备类型（网络设备还是服务器） ；第三步，基已知的服务漏洞直接实施入侵尝试或暴力破解获取登录系统权限。产生的后果：入侵设备。主要原因：开放了不该开放的端口；重要服务器未屏蔽对扫描信息的回应，比如应用的版本信息；威胁2：内向外的攻击威胁来源：内部受攻击面：服务器、网络资源攻击行为：黑客通过注入病毒木马，将内部服务器当作“肉鸡” ，制内部服务器由内向外发起 攻击产生的后果：占用系统计算资源，严重时影响网络上行带宽，导致统计云平台服务中断。主要原因：限；威胁3：非法入侵威胁来源：外部。受攻击面：网络设备或服务器。攻击行为：暴力破解? 对网络设备的暴力破解：大多数厂商提供的网络设备 root 密都具备其显著的特点，设备上线后，用户一般没有更改账户密码的安全意识，导致暴力破解成功率很高；? 常见服务的暴力破解，如 SS、FTWE、Mail 等登陆账户的力破解。利用应用漏洞入侵? 操作系统漏洞；? 应用系统漏洞；? 数据库系统漏洞；? 网络系统漏洞。产生的后果：服务器被植入木马，危及数据安全；跳板，继续攻陷更多的服务器或网络设备；服务器或网络设备成为僵尸后，向外发起攻击或垃圾邮件，占用系统计算资源，严重时影响网络上行带宽，甚至因此被其它安全厂商加入黑名单；如果入侵的是 授权服务器，修改记录导致访问指向非法网站。主要原因：各系统的管理员账户、系统补丁、病毒木马等防护手段缺失， 在账户暴力破解、利用系统漏洞进行入侵的安全问题。全网无任何网络安全防护措施 （如：防火墙、IPS/IDS防毒墙、等大的安全威胁。威胁4：网络资源拥堵威胁来源：内部。受攻击面：网络设备或服务器。络设备资源占满。产生的后果：平台内机器或网络设备的独占资源造成整个云环境性能下降。主要原因：未合理划分安全域，各网络边界不够清晰， 网络设配置不当。威胁5：网络基础设施单点故障威胁来源：内部。受攻击面：单点网络设备。攻击行为：设备故障。产生的后果：单点网络设备发生故障将造成大数据服务器和 PAE服务器对外服务中断。威胁6：移动终端接入安全威胁来源：外部。受攻击面：服务器。攻击行为：利用移动终端系统漏洞注入木马，盗取数据信息。产生的后果：数据泄露。主要原因：无专用手持移动设备，智能终端的系统安全不可控；智能手机安装云服务或应用后， 即可接入互联网又可接入安网2、统计云主机层主要安全威胁操作系统安全威胁威胁1：脆弱认证体系导致身份可能被冒用1）威胁来源：内部、外部受攻击面：主机层所有数据和口令，直接登录主机访问数据产生的后果：主机被控制。5) 主要原因：当前统计云中的系统不管是 Linux还是多数采用是用户名口令的方式，只要有用户名和口令，即可登录系统进行操作，无法确认自然人是否是真实的用户。威胁2：系统管理员权限一权独大导致数据泄密1）威胁来源：内部受攻击面：主机层所有数据攻击行为：内部系统管理员通过登录系统，看到或者拷贝走敏感数据产生的后果：数据泄密5) 主要原因：当前主流的 和Linux系统中总有一个 Root或者Administrator 这样的拥有所有权限的系统管理员， 可以访问系统中所有的数据可能导致敏感数据泄露，比如领导的邮件，所有统计人员的信息等。威胁3：自主访问控制机制导致越权操作1）威胁来源：内部、外部受攻击面：主机层所有数据攻击行为：利用自主访问控制机制中权限传递机制，越权访问核心数据产生的后果：主机被控、数据泄密5) 主要原因：当前或者Linux系统都采用自主访问控制机制， 颗粒度为用户和文件，由于自主访问控制机制具有权限传递， 所以极易出现越权访问，比如Tomca等We服务启动的通常默认为 root或者syste权限这样导致访问的用户其实也是root或者system权限仅仅通过获取网站的权限即可获得系统管理员权限。威胁4：系统漏洞可能导致主机受到 0day和Nday攻击威胁来源：内部、外部受攻击面：主机系统系统权限，或者进行拒绝服务攻击，或者病毒和木马感染产生的后果：主机被控、拒绝服务、数据泄密5) 主要原因：系统每个月的周二都会发布补丁修复近几个月的安全漏洞，而Linux由于开源和系统不统一，补丁难以传递给用户，而升级补丁可能导致业务不兼容。在这些补丁之前系统随时都可能遭受漏洞的攻击， 尤其是黑客手中未被暴露出来的 漏洞。威胁5：应用层安全问题蔓延至主机1）威胁来源：外部受攻击面：主机系统、数据、内存存、建立帐户、破坏数据等产生的后果：主机被控、数据泄密、数据破坏5) 主要原因：应用运行在主机之上，会通过主机系统的各种接口与磁盘、内存等交互，应用层的安全问题可能导致主机系统遭受攻击， 比如OPENS“心脏出血”漏洞导致内存中数据泄露， Strut2漏洞导致可以执行主机任意指令， 括创建系统管理员帐户。威胁6：非开源主机系统可能导致存在后门威胁来源：外部受攻击面：主机系统所有层面窃取数据等产生的后果：主机被控、数据泄密、拒绝服务5) 主要原因：和部分Linux由于属于国外系统，不开源，无法进安全审计，可能存在后门或者隐蔽信道，比如 密钥事件，斯诺登暴露的棱镜门事件。2、统计云虚拟化层主要安全威胁：虚拟化计算资源安全威胁威胁1：国外虚拟机监控器后门风险威胁来源：内部受攻击面：中的关键用户数据攻击行为：Hypervisor 通过隐藏的内存共享、虚拟网络接口、虚拟磁接口未经V用户允许窃取V中处理的数据。产生的后果：用户信息泄露、 V数据机密性、完整性被破坏主要原因国外r 如Vmwar私有的ESX含有大量的未公开 并且被揭露出有厂商预制的后门。 ESXi并不是中国用户可以信任的 Hypervisor组件，窃取运行在其上的信息完全有技术可能性威胁2：Hypervisor 受恶意代码感染威胁来源：外部、内部攻击源受攻击面：Hypervisor 本身攻击行为：恶意代码通过网络传播，通过 Hypervisor 自身的漏洞对Hypervisor 进行攻击。产生的后果：信息泄露、破坏 Hypervisor 可用性主要原因：Hypervisor 中存在Bufferover flow、服务缺陷等漏洞，具被恶意程序攻击的可能性。威胁3：通过网络对虚拟机监控器的拒绝服务攻击威胁来源：外部、内部攻击源受攻击面：Hypervisor 本身攻击行为：恶意代码通过构造畸形报文，利用 自身的漏洞引起崩溃；或者恶意重复请求 Hypervisor 的网络服务使Hypervisor 无法正常工作产生的后果：破坏Hypervisor 可用性，从而引起整个计算资源池崩溃主要原因：Hypervisor 中存在Bufferoverflow 、服务缺陷等漏洞威胁4：虚拟机攻破虚拟机监控器窃取其他虚拟机数据威胁来源：内部攻击源受攻击面：Hypervisor 与VM攻击行为恶意的V用户或者受到攻击者控制的 V通过V与之间的内存通道、管理接口的安全缺陷，穿透Hypervisor 对其上的其他进行击，窃取其他内的内存数据和静态存储数据。产生的后果：信息窃取、信息篡改主要原因：Hypervisor 与之间的内存共享、网络通信机制存在安全陷，并被攻击者利用； Hypervisor 与之间可能存在信息隐通道。威胁5：恶意虚拟机对虚拟机监控器的的攻击与滥用威胁来源：外部、内部攻击源受攻击面：Hypervisor 本身攻击行为恶意的V用户或者受到攻击者控制的 V通过V与之间的内存通道、管理接口的安全缺陷对 Hypervisor 进行攻击。产生的后果：破坏Hypervisor 可用性主要原因：Hypervisor 中存在Bufferover flow、服务缺陷等漏洞；或有与V之间的隐通道。威胁6：系统管理员非法访问客户 内机密数据（非法挂卷）威胁来源：内部攻击源受攻击面：VM攻击行为：系统管理员或者盗用管理员权限的攻击者可以通过创建一个新的虚拟机，并使用该虚拟机挂接其他 所属的虚拟磁盘，从而获得对另一用虚拟机内数据的一切使用权限。产生的后果：信息泄露、身份冒用；主要原因：管理员可以直接访问所有的虚拟磁盘，每个用户 V上的虚磁盘没有加密机制；威胁7：针对VM上Linux、Windows操作系统安全攻击威胁来源：内部/外部攻击源受攻击面：上的Linux、操作系统攻击行为：病毒、远程网络攻击破坏 Linux、系统的安全性。产生的后果：信息泄露、系统崩溃威胁8：恶意虚拟机挤占服务器计算资源威胁来源：内部攻击源受攻击面：VM攻击行为：恶意的VV，通过合法途径在关键V造成关键V任务延误。产生的后果：破坏可用性，使其拒绝服务主要原因：资源共享机制使得对资源的恶意挤占成为可能；对单一 资源使用缺乏优先级设置机制；虚拟化网络资源安全威胁威胁9：虚拟机监听窃取其他虚拟机的网络通信数据威胁来源：内部攻击源受攻击面：VM攻击行为 ：恶意的 用户或者受到攻击者控制的 通过将攻击Hypervisor 将虚拟机虚拟网卡设置为混杂模式， 对同Host之上的其他之间网络通信报文进行监听。产生的后果：信息窃取、信息篡改主要原因：统计云的 V基于桥接模式通过 IP地址互联，虚拟计算资源的虚拟网络没有安全机制；不同安全等级的 之间没有虚拟网络隔离机制；威胁 10：攻击在虚拟机间扩散，攻击者以某台虚拟机为跳板攻击其他虚拟机威胁来源：内部攻击源受攻击面：VM攻击行为：系统中任意一台 V感染了恶意代码之后，攻击会迅速在统计云内的所有V之间扩散。产生的后果：破坏系统安全性主要原因：防护能力；V之间没有网络隔离机制；威胁11：虚拟机之间的非法数据访问威胁来源：内部攻击源受攻击面：VM攻击行为：攻击者（外部攻击者或者内部合法用户） 通过网络服务（如网络邻居等）对系统内其他 V上的数据进行直接访问。产生的后果：数据泄露主要原因：基于桥接模式互联。 之间没有网络隔离机制；对 上网络服务没有安全防护机制；、IaaS层安全威胁分类属性与防护技术建议：威胁名称威胁名称威胁成因建议解决方案优先级类别1、恶意扫描高危端口未做限制、访问控制策略不严格高传统2、内向外的DDos攻击系统漏洞被黑客利用，