基于可追溯数据云安全审计方案的研究.docVIP

基于可追溯数据云安全审计方案的研究 　　摘 要：云计算和分布式系统发展迅猛，云端的数据安全变得日趋重要。文中针对现有云安全框架进行了分析，并通过对底层云数据隐私安全的相关技术进行了比较，在Cloud Accountability Life Cycle模型的基础上提出了可信任云框架；同时面对云端数据可能产生泄露的潜在威胁，指出在保证云安全的前提下，对云端可追溯数据进行审计是一种非常有效的方法，并提出对系统内核日志的采集与分析，是确保可追溯的一种可信且稳定的云安全审计模式。最后通过对比不同基于检测控制的数据安全审计机制，分析各自的优势与存在的问题，并针对其中的不足进行了有效改进，对实现基于日志分析的云安全审计模式提供了可行性认证。 　　关键词：云安全审计；可追溯数据；可信任云框架；日志分析 　　中图分类号：TP309.2 文献标识码：A 文章编号：2095-1302（2016）06-0-05 　　0 引 言 　　云计算是当今最热门的应用和研究领域，其特性要求公司和个人用户将自己私有资源的一部分甚至全部控制权移交给云服务提供商，这势必引起用户对数据安全的担忧。向用户完整可信地提供其私有数据的被操作状态，可以有效解决双方的信任问题。 　　针对以上潜在威胁，预防控制（Preventive Controls）被广泛应用（例如加密技术和基于ID分析的访问控制）。这些方案有效提高了云环境中数据的安全性，但依然无法直观地为用户提供云服务信任证明，因此很有必要采取措施来提升云服务提供商的透明度、监管力度和可信度。欧洲网络与信息安全委员会在云计算风险评估报告里指出，云计算中最具有风险的一种表现是“监管缺失”[1]。因此提出了检测控制（Detective Controls）方案， 而对云端数据进行审计是检测控制的一个重要体现。 　　尽管很多云服务提供商如亚马逊[2]等认识到了审计对提高用户信任度的重要性，但依然没有能力对发生在物理和虚拟服务器上的数据进行审计。云计算研究小组（现云安全联盟）意识到了这个问题，并在《云计算面临的最大威胁》中提出7大风险[3]，指出对文件被使用情况进行追踪，可有效降低云服务的信任风险，同时可自然运用于云安全审计的研究。 　　HP云安全实验室在2010年提出“云计算的信任”这一概念，用以描述用户对云环境的信任程度，并给出了影响云环境受信任度的因素。 　　（1）安全性[4，5]。使未授权用户难以获取越权信息的机制。 　　（2）隐私性[6，7]。防止个人信息泄露和丢失的保护措施。 　　（3）可信度[8，9]。勇于承担达成共识及声明的责任与义务。这一个因素也被很多组织所认同，例如OECD， APEC， PIPEDA等。 　　（4）审计性 [10]。系统或者环境的审计难易程度与相关的记录保存和系统是否能提供高效的审计手段有很大关系，弱审计性可能没有完整记录保存或者无法提供有效审计，而高审计性则相反，能够检测出违反相关政策的行为。 　　预防控制能够防止违法行为的持续发生，而检测控制则能识别出违法行为的出现和相关安全风险。检测控制很好地弥补了预防性控制的不足，本文将预防性控制和检测控制有机结合，基于CALC（Cloud Accountability Life Cycle，CALC）模型[11]构建一个有效且可信任的云安全审计框架，并与现有的基于日志的云安全审计解决方案进行分析对比。 　　1 可信任云安全审计框架 　　R.K.L Ko等人在2010年提出了CALC模型，指出了“可信云”的概念，本节将在CALC的基础上提出新的可信云框架，并详细论述框架间的逻辑关系和框架的组成元素。 　　1.1 CALC模型 　　云计算的发展给相关审计带来了较高的复杂性。因此一个包含所有关键阶段的流程就显得特别重要，它可以简化很多复杂问题，让云安全审计的研究者们一目了然，并且可以帮助他们专注于某一阶段进行更深入的研究，CALC模型的目的正在于此。CALC理论模型如图1所示。 　　1.1.1 政策制定 　　云服务提供商必须决定日志采集对象以及哪些事件需要被日志记录，这里有四种比较重要的信息： 　　（1）事件数据：一系列活动和相关信息； 　　（2）操作人员：发起操作事件（例如人或者网络爬虫）的对象； 　　（3）时间戳：事件发生的时间和日期； 　　（4）事件发生的物理和虚拟地址。 　　1.1.2 识别和追踪 　　识别和追踪阶段的目的是识别云端的全部操作。审计工具对非法操作的识别和追踪需要从底层系统的读写操作追踪到分布在物理服务器上的虚拟端的高层工作流，同时包括云内部网络通信包 [12]。 　　1.1.3 记录日志 　　以文件为中心的日志记录需要在云端的虚拟和物理层进行，同时需要考虑日志在云内的有效时间、