信通院董航等：基于内生安全的云服务平台安全度量指标体系研究_云资讯

随着近年来云计算、大数据等热门技术逐步发展，各地电子政务信息系统上云迁移工作有序推进，云服务平台存在的内生安全问题，给网络安全带来巨大威胁和挑战。保障内生安全云服务平台正常稳定安全运行，是我国网络信息安全的关键一环。

理论和实践均证明，一旦软硬件设计漏洞被利用或在相关产业链中被植入恶意代码，就可能因为产品的内生安全问题而导致相关网络安全体系崩溃。云计算作为新一代信息基础设施，面临的网络安全问题更加复杂严峻，依赖于攻击先验知识的传统外挂式安全防护技术，无法有效应对网络空间软硬件产品中的漏洞后门等内生安全问题，近期多起大型信息系统和云服务平台暴露出安全问题，充分说明现有安全技术的不足。2013年，邬江兴院士原创了网络空间拟态防御理论，发明的动态异构冗余（拟态）防御架构，旨在从根本上改变当前网络空间安全现状，开辟网络空间内生安全研究新方向[。

此前的研究多是围绕基于拟态防御的内生安全路由器、防火墙等网络基础设施，或是对传统网络系统的安全度量和云计算安全度量指标体系研究。基于我国网络空间拟态防御理论及已取得的系列关键技术突破和系统成果，采用拟态防御技术研究内生安全云服务平台等典型信息系统，为开展拟态化改造、迁移上云，打造新一代内生安全的信息服务云样板工程打下坚实基础。本文主要针对云服务平台关键技术，提出内生安全云服务平台的系统架构。在此基础上，提出其安全度量指标体系，并给出测试评估方法。

1 云服务平台内生安全架构

支持拟态防御功能的云服务平台（简称“拟态云服务平台”）是基于通用云计算架构，基于拟态防御理论构建云服务系统，典型架构由云基础设施、拟态云管理平台、拟态云应用构成。拟态云服务平台总体架构如图1所示，主要由云管理平台、云基础设施（计算环境、网络环境、存储环境、内生安全支撑环境）和拟态云应用等组成。

图1 拟态云服务平台总体架构

其中，云基础设施由拟态基础组件、拟态交换网络、拟态存储系统和异构计算资源池构成，拟态基础组件将业务请求分发给多个异构的云应用执行体，并对执行体的响应结果进行拟态裁决，依据裁决结果确定是否存在功能安全或网络安全问题，进而基于负反馈控制机制进行执行体轮换，变换防御场景从而有效抵御面向云应用的网络攻击行为，为用户提供内生安全的云服务。

2 安全度量指标体系设计分析

2.1 构建原则

基于内生安全云服务平台高动态性和开放性的特点，面临着拟态基元安全、系统安全、应用安全、网络安全，以及其他各种安全问题。如何确保有效度量内生安全云服务平台安全，成为内生安全领域的一个迫切需求。为解决其安全难度量的问题，通过深入研究内生安全云服务平台架构、功能特性、性能特性、安全特性，分析内生安全云服务平台基本特征，结合网络安全度量评估历史经验，包括作为主动防御的关键特点之一的多样性与安全性的量化关系研究，提出内生安全云服务平台安全度量指标体系，用于指导安全度量工作。为了确保建立的安全度量指标能够全面体现内生安全云服务平台的安全性，指标体系的建立过程均按照可测性、完备性、独立性建立。

其中，可测性是指安全指标分为可定量指标和定性指标，对于两类指标均可以通过测试仪器或实验统计等方法度量，对于定量和定性分析均具有可测性；完备性是指建立指标体系过程中充分考虑现阶段内生安全机制以及系统特性，多角度对内生安全云服务平台安全进行度量，为后续的研究提供参考；独立性是指建立安全度量指标体系中各指标的独立程度，当指标体系中两个指标间的独立性较低时，表明他们评估的范围可能相似，那么一定程度上表明这两个指标存在冗余。

2.2 拟态基元对安全性影响分析

输入代理、表决器、执行体等拟态基元作为内生安全云服务平台的主要构成主体，其拟态防御能力直接影响云服务平台的安全性。

（1）输入代理安全性：输入代理是动态异构冗余构造（Dynamic Heterogeneous Redundancy，DHR）组成部分，拟态防御系统的输入代理将输入转发给各执行体，这些执行体的输出矢量提交给表决器进行表决，得到系统输出。输入代理是DHR的第一步也是重要一步，其安全性对于拟态防御系统的安全性影响较大。

（2）表决器安全性：表决器与输入代理一样，均为DHR的重要组成部分，执行体输出矢量会提交表决器进行表决来产生输出，所以输入代理和多模表决器也被称为“拟态括号”（Mimic Bracket，MB）。表决器是DHR进行裁决的重要一环，其安全性对于拟态防御系统的安全性影响较大。

（3）执行体通信误码率：拟态防御系统中各执行体的动态选择、与输入代理的通信、与表决器的通信等过程均通过数据通信进行，如果通信信道的误码率过高会影响系统执行体的选择和输出结果，从而对拟态防御系统的安全性造成影响。

（4）执行体故障率：由功能等价冗余执行体构成的异构构建集合是DHR的执行主体，这些执行体的故障率直接影响到DHR的准确性，从而对拟态防御系统的安全性造成影响。

（5）针对执行体攻击的独立性：非相似余度构造（Dissimilar Redundancy Structure，DRS）依赖于异构执行体间的功能等价特性，如果针对执行体的攻击不具备独立性，会影响执行体之间的异构特性，从而导致功能等价的原因与预期不符。失去DRS的特有效果会对拟态防御系统的安全性造成影响。

（6）执行体集合的多样性：执行体集合中的执行体数量、属性数量和每个属性的类型数量，决定了执行体集合的多样性，进而影响拟态防御系统的安全性。增大每个属性的类型数量提高执行体集合的多样性，构建相同冗余度下具有更高安全性的执行体集合，或者通过恰当的异构化属性组合也能够达成较高的多样性。

3 安全度量指标体系架构设计

拟态云服务平台作为提供基于硬件资源和软件资源服务的基础性支撑平台，在国内外日趋严峻的网络安全环境背景下，其已成为国内外主要的攻击目标。与传统信息系统相比，拟态云服务平台有其自身架构特点,，现行的测试评估方法并不能对拟态云服务平台网络安全能力进行评估，其安全度量指标评估体系仍属空白。基于对其架构研究设计和工程实践经验总结，从云管理平台安全指标、云应用拟态化组件安全指标、拟态云应用安全指标3个维度构建拟态云服务平台安全能力评估体系。

拟态云服务平台安全能力评估体系，分别从云管理平台、云应用拟态化组件、拟态云应用的功能和性能对其安全性影响角度出发，包含3个一级指标和26个二级指标组成，具体拟态云服务平台安全度量指标体系架构如图2所示。

图2 拟态云服务平台安全度量指标体系架构

3.1 拟态云管理平台安全指标

拟态云管理平台安全评估，是针对拟态云服务平台架构中的云管理平台进行场景测试评估，验证真实网络攻击场景下云管理平台的业务操作和平台安全能力是否正常。云管理平台安全评估指标一定程度上反应了拟态云服务平台的安全性，拟态云服务平台的云管理平台安全指如图3所示。

图3 拟态云管理平台安全评估指标

其中，对拟态云管理平台的安全评估主要包括功能安全防护能力、性能安全防护能力两个方面。

（1）功能安全防护能力，主要是评估拟态云管理平台各功能模块功能安全防护能力。具体可以划分出8个安全评估指标，设计评估指标如下。

• 云管执行体：验证各个云管执行体在约定功能上是否保持一致，且包含加密管理、模板与镜像管理、异构资源统一管理、异构资源调度控制等云管理层功能组件，确保云管执行体之间应相互隔离，每个云管执行体应能够独立工作。

• 云管代理：将外部输入的数据或来自计算节点、存储节点和网络节点的管理控制消息复制分发到多个在线的云管异构执行体，分发给每个执行体的内容应一致。

• 云管裁决器：通过接收多个异构云管执行体处理后的数据，并基于预先配置的多模裁决机制进行判决，能够选择其一输出给用户或云计算节点/网络节点/存储节点。裁决策略要能支持大数表决、带权重表决等裁决策略。

• 云管负反馈控制器：评估是否具备反馈控制、动态调度等基本功能，并可控制异构云管执行体进行清洗、重置操作，确保反馈控制与调度过程不应干扰正常的云管功能。

• 主动防御：通过调度执行体或者主动回应外部探测信息的方法，使得系统对外呈现动态可变的CPU、操作系统、软件等层面的指纹特征。

• 日志接口：拟态云管的日志接口用于裁决和调度信息的输出。裁决相关信息要包含裁决时间、被裁决内容、执行体标识、裁决结果。同时调度相关信息要包含调度触发时间、调度执行体标识、调度执行体当前状态、调度原因编码。

• 拟态化管理：能够进行拟态资源管理，既包括实施拟态化所需计算、网络、存储资源的配置、添加、删除等，也包括云应用拟态化组件的管理、配置和维护等。

• 拟态可靠性：确认其云管拟态组件能够满足故障恢复、业务高可用等可靠性要求。

（2）性能安全防护能力，主要是评估拟态云管理平台性能对其安全的影响。具体参数可根据项目及任务需求设置，设计评估指标如下。

• 云管执行体轮换时间：云管执行体轮换时间Tr是指对云管执行体进行上下线操作，从下线指令下达到新的云管上线并正常提供服务所需的时间。

• 云管执行体定时调度周期：拟态云管执行体调度周期Ts是指定期对在线执行体进行轮换调度时间间隔，该周期可以用户自定义。

• 云管执行体清洗还原时间：执行体清洗时间Te是云管执行体从异常恢复至健康状态所需要的时间。

• 拟态云应用部署时间：拟态云应用部署时间Td是指在给定应用执行体、节点部署规模、拟态化策略等条件下，完成应用拟态化部署所需的时间。

3.2 云应用拟态化组件安全评估指标

云应用拟态化组件的功能和性能安全直接影响其安全能力，设计评估指标如图4所示。

图4 云应用拟态化组件安全评估指标

其中，对云应用拟态化组件安全评估主要包括平台功能安全防护能力、性能安全防护能力两个方面。

（1）功能安全防护能力，主要是评估云应用拟态化组件各功能模块功能安全防护能力。具体可以划分出5个安全评估指标，设计评估指标如下。

• 代理要求：输入代理要按照“极简”原则设计，尽量降低攻击表面，同时应能够建立输入代理与用户连接，托管用户会话请求，并将会话请求复制分发转给应用执行体，将来自裁决器的会话响应发送给用户。

• 裁决器要求：验证其接收代理的上行会话数据，接应用执行体的下行响应数据能力，和是否能够对云应用执行体返回的响应按照裁决策略进行裁决。

• 负反馈控制器要求：接收裁决器上报的裁决异常事件，根据特定调度策略，向云管理平台发出调度指令；负反馈控制器应支持对单个执行体、多个执行体或某一应用的所有执行体触发调度指令。

• 与其他安全机制的联动要求：云应用拟态化组件应支持与云中部署的其他安全机制联动，云应用拟态化组件生成的裁决日志信息应作为威胁情报提供给威胁分析平台；并且支持与威胁分析平台的联动，接收来自威胁分析平台或其他安全机制的威胁情报作为执行体清洗、重置等依据。

• 拟态可靠性要求：云应用拟态化组件应满足故障恢复、业务高可用等可靠性要求。

（2）性能安全防护能力，主要是评估云应用拟态化组件性能对其安全的影响。具体参数可根据项目及任务需求设置，设计评估指标如下。

• 用户会话托管连接数：用户会话托管连接数N是指云应用拟态化组件能够代理的用户大会话数，包括TCP会话和UDP会话两种类型，分别表示为Ntcp和Nudp。

• 附加处理时延：附加处理时延Ta是指采用拟态机制后，在统计意义上引入的裁决平均时延、会话转发平均时延等。

3.3 拟态云应用安全评估指标拟态云服务平台架构中的拟态云应用安全评估指标，主要从其功能安全能力和性能安全能力两方面进行评估，其具体指标要求如图5所示。

图5 拟态云应用安全评估指标

其中，对拟态云应用安全评估指标主要包括其功能安全防护能力、性能安全防护能力两个方面。

（1）功能安全防护能力，主要是评估拟态云应用的安全防护能力。具体可以划分出3个安全评估指标，设计评估指标如下。

• 云应用执行体异构性：云应用执行体在约定的功能上应保持一致，应在CPU/操作系统/虚拟化层/运行环境/软件等层面异构；云应用执行体的异构版本应不少于3种，在线运行的异构执行体不少于3个；云应用执行体支持动态生成。

• 云应用执行体适配：云应用执行体应具备标识维持功能，将云应用拟态化组件注入的用户请求会话标识保留并返回给云应用拟态化组件。

• 云应用执行体隔离性：云应用执行体之间应满足隔离性，每个云应用执行体能够独立工作，执行体之间无通信通道，任意执行体无法与其他执行体直接通信。

（2）性能安全防护能力，主要是评估拟态云应用性能对其安全的影响。具体参数可根据项目及任务需求设置，设计评估指标如下。

• 执行体间处理性能指标相对差异：执行体间处理性能指标相对差异是指在同等条件下，不同执行体间主要服务性能指标如响应时间、吞吐量、事务数等方面的相对差异。

• 云应用执行体定时调度时间：拟态云应用执行体调度周期Ts是指定期对在线执行体进行轮换调度时间间隔。

• 云应用执行体轮换时间：云应用执行体轮换时间Tr是指对应用执行体进行上下线操作，应用执行体从下线指令下达到新的应用执行体上线并正常提供服务所需的时间。

• 云应用执行体清洗还原时间：执行体清洗时间Te是云应用执行体从异常恢复至健康状态所需要的时间。

4 测试评估方法

4.1 构建原则

根据具体评估任务要求，可采用自定义设置的方式从安全度量指标体系中选取构建评估指标，配置评估指标权重，通过评估指标的增加、删除、组合，构建拟态云服务平台的测试评估方法，并据此形成相应的评估方案。

测试评估方法构建过程中应遵循保证正确性原则。正确性主要指可结合大数据分析等技术，借助一定的数学模型方法进行量化计算，判断测试评估结果是否符合预期情况。计算结果和期望结果进行比较，从定性和定量两个方面对指标体系的合理性进行分析。定性方面，指标结果必须符合主观认知；定量方面，定义偏差度为：|计算值-标准值|/标准值，反映计算结果和标准值的偏差。如果偏差度太大，那么应该认为结果不合理。

4.2 拟态云服务平台

拟态云服务平台安全度量指标体系主要由二级指标构成，由于云服务平台指标较为复杂，对构建的内生安全云服务平台安全度量评估体系中二级指标含义均给出了详细的阐述说明。典型的网络安全属性包括机密性、完整性、可用性，基于云服务平台自身特性，其度量指标体系也具有很强的弹性和可扩展性，可根据具体情况将适合评价云服务平台的指标补充或者删减使用。

通过设计的拟态云服务平台安全度量评估体系及评估指标，采用适当的评估方法对内生安全云服务平台的安全能力进行评估,就可以发现存在的风险点，最终量化评估安全风险，给出拟态云服务平台安全能力的评估结论。

5 结束语

随着5G商用落地，伴随云计算、人工智能等新兴技术逐步研究发展，网络将面临更加复杂的内生安全问题，迫切需要建立新的实践规范来应对网络空间中“未知的未知”安全威胁。内生安全解决方案的逐步推广和国内信息系统对安全效能方面要求日益提升，内生安全云服务平台必能在新一代信息基础设施建设浪潮中取得瞩目的成就。本文从网络安全问题和电子政务需求背景出发，阐述了内生安全云服务平台的系统架构以及多样性度量方法。针对存在的内生安全共性问题带来的网络安全威胁和挑战，以拟态防御理论为基础，提出内生安全云服务平台的系统架构，设计科学全面的内生安全云平台安全度量指标体系，以解决内生安全云服务平台网络安全难以量化分析的问题。

通过完善的网络安全度量指标体系，合理的评估指标和评估方法，可以验证真实网络环境下内生安全云服务平台的安全性和稳定性，支撑测评机构开展相关安全能力的评估工作，针对风险问题提升安全服务能力。同时，也为不同行业类别、不同业务场景、不同组成对象的内生安全云服务平台建设，提供可复制可推广的指导性经验，为后续内生安全云服务平台的产业推广、测试评估奠定了坚实基础，对推动内生安全创新实践和产业化具有重要意义，推进我国在网络空间内生安全领域技术的创新与应用，对新一代信息基础设施向内生安全方向发展起示范与引领作用，提升国产新一代信息系统的核心竞争力。