1 取证分析SaaS云安全体系

    针对取证分析SaaS云计算环境的安全保障目标，把网络和信息安全机制融入到取证分析SaaS云计算平台的建设过程中，取证分析SaaS云计算安全体系架构可以对应分为取证分析基础硬件安全层、取证分析基础环境安全层、取证分析云服务安全层、取证分析云应用安全层等四个层次，云安全取证是贯穿各个层次的安全技术。

    1）基础硬件安全层：主要提供有关基础应用和网络结构的安全性，包括固件安全、硬件容错、硬件冗余、介质备份等。

    2）基础环境安全层：主要为海量云存储系统、弹性云计算系统、高速网络系统等云计算基础环境提供安全防护，具体技术包括：操作系统安全、虚拟机隔离、数据加密、完整性保护；当用户需要对数据完整性进行验证时，委托完整性验证服务商或调用相应的云服务，向云存储服务商提出验证请求；数据自销毁—采用密钥自销毁和数据覆盖式自销毁两种方式，确保用户隐私数据的安全性。

    3）云服务安全层：为IaaS、Paas、SaaS 等云应用与服务接口提供安全性保障，具体包括云服务平台安全（IaaS、Paas、SaaS）、用户隔离、漏洞扫描监测、云入侵检测、云恶意行为检测、远程安全接入。

    4）云应用安全层：为云服务层以上的云应用提供安全保障，具体内容包括：Web安全——先进、可靠的Web可信度判断机制，能够有效抵御Web安全威胁渗入；应用安全审计——针对云计算用户的动态数据操作进行审计，支持多用户数据批量审计；

    源代码安全—针对应用程序的源代码进行安全漏洞分析，发现和修改应用程序源代码中的安全问题，确保应用程序源代码的安全性。

    5）云安全取证：跨越云计算各个层面提供内置的、统一的安全取证功能，确保整个云计算环境中重要的操作和行为的可追溯性，为云计算环境的调查取证提供有效的证据支持。

    2 虚拟化环境安全防护技术

    虚拟化的应用带来了新的攻击，比如同一台服务器不同虚拟机共享系统资源，必然会彼此之间发生一些关联，这给黑客攻击带来了新的攻击方式，如虚拟路由探测与攻击技术。除此之外，还有虚拟机的镜像备份与恢复技术，虚拟机的BIOS固件攻击等都给用户使用虚拟机产生新的安全威胁。

    虚拟化隔离与加固层是位于各数据中心各虚拟化管理层之间的一个隔离与加固的安全保障层，基于对虚拟化管理层的请求审计，以及虚拟机的虚拟网络接口发送的数据包过滤，实现虚拟机之间的有效隔离，包括计算隔离、数据隔离、存储隔离、网络隔离、访问隔离等。同时，它也是一个可以扩展的功能层，可以集成各类恶意代码过滤、虚拟机操作系统漏洞扫描等各类安全功能，实现对虚拟化软硬件的加固。

[page]    3 取证分析SaaS云数据同态加密技术

    本文采用全同态加密技术在保证存储资源池敏感数据机密性的同时，还提供相应的加密数据共享技术。全同态加密技术采用信息检索中的向量空间模型，计算检索出的文档与待查询信息之间的相关度，对检索词词频和倒排文档频率进行统计，然后对文档进行加密并建立索引方法。提交检索之前，同样先对检索语句进行分词、词干化，得到关键词明文序列并对明文进行加密。数据中心对提交密文序列进行检索时，提交加密后的检索词。文档由每个关键词的权重向量表示，权重是词频与倒排文档频率对数的乘积的归一化。对用全同态加密后的词频、倒排文档频率进行操作可以得到权重。

    对于检索词采用同样方法来描述，取两者的内积即可得到两者的相关度，然后根据大小进行排序，将有效排序后的文档返回给用户。用户得到加密文档后，用私钥对文档解密得到原始文档。

    即加密的明文数据可以在不恢复明文信息的情况下被有效检索出来，即把最相关的文档返回给用户。既保护了用户的数据安全，又提高了检索的性能。

    4 取证分析SaaS云环境安全评估技术

    云环境安全评估技术实现云计算环境中有关虚拟存储、虚拟化应用、云终端等的安全相关信息的自动提取，并进行智能分析，发现其中存在的安全隐患，以便进行修复和弥补，主要研究解决的安全评估内容包括：

    1）虚拟机映像安全检查：检查虚拟机映像的完整性，检查虚拟机安全性违背问题，检查发现虚拟机中存在的恶意代码。2）虚拟机运行状态安全检查：对处于运行状态的虚拟机实例，采用模拟攻击和探测的形式对虚拟机的操作系统和应用软件可能存在的安全漏洞进行逐项检查。3）非法虚拟机检查和发现：基于虚拟机注册机制，实现检查和发现非法虚拟机。4）虚拟机源代码安全检查：采用动态安全分析和静态安全分析方法对虚拟机的源代码进行安全检查。5）虚拟环境取证：采用数据恢复技术和计算机取证技术，实现对虚拟环境的取证，为虚拟环境的事件调查和取证分析提供技术支撑。

[page]    5 取证分析SaaS 云数据自销毁技术

    在云计算平台的存储安全系统中，提供具有自销毁特性的数据加密机制，采用基于数据加密的可靠的远程自销毁技术，确保云存储数据在被恶意访问或者用户其它需要时，能自动销毁且无法恢复，保证云存储的数据不被泄露，真正做到重要数据的安全性和隐私保护。由于数据自销毁后将无法进行恢复，因此需要进行自销毁的数据一定要做好数据完善的处置预案。

    本文中云存储安全中具有自销毁特性的数据加密机制包括两种重要的数据自销毁方式：密钥自销毁和数据覆盖式自销毁。密钥自销毁方式销毁的仅仅是解密密钥，销毁对应的数据量小，因此销毁速度快，同时解密密钥的销毁也可能采用数据覆盖式自销毁方式进行彻底销毁；这种方式下加密存放的数据仍然存在于云存储中，存在泄露风险，因此数据的销毁并不彻底。数据覆盖式自销毁方式采用多次完全数据覆盖的方式销毁数据，能够确保数据彻底销毁而无法恢复，但是大批量数据覆盖需要花费更多的时间，在某些情况下可能没有充足时间完成自销毁任务。

    数据自销毁的触发条件设置为：用户连续5次（次数可配置）输入密码错误，系统即自动锁定帐户；如果连续输错密码10次（次数可配置），系统自动触发自动销毁功能，实现云计算存储中相关数据的自销毁。这种情况要在明确告知云计算用户，以引起云计算用户的注意，以免引起纠纷。

    云计算环境中的安全检测模块检测到某些云存储数据正在遭受恶意访问或者入侵后，如果判断认为存在较大的数据泄露风险，则可以调用数据自销毁功能；这种情况需要经过严密的论证，并且要制定明确的处理措施放在处理预案中。

    用户在紧急情况下，或者确认要永久删除云存储环境中的数据时，可以通过云计算终端所提供的自毁功能按钮销毁所存储的数据。

    6 取证分析SaaS云审计取证技术

    云审计系统是一套对云计算环境进行日志记录和审计分析的系统，它记录和审计的主要信息包括虚拟机相关日志、云计算软硬件环境日志、云计算安全日志等，本文同时实现了利益无关的第三方对用户数据远程完整性审计技术。

    1）虚拟机相关日志：包括虚拟机部署日志、虚拟机迁移、虚拟机活动日志等；2）云计算软硬件环境日志：包括服务器、工作站和应用软件等的等软硬件环境日志；3）云计算安全日志：

    包括防火墙、安全网关、虚拟机入侵检测等的日志。

    云审计系统的日志记录了有关日常事件、安全事件或者误操作警报的日期及具体内容等必要的、有价值的信息，这些对云计算网络管理员和云环境犯罪调查人员都非常有用。同时，它还能提供系统监控、查询、报表等功能，能为恢复系统和生成调查报告提供帮助。

    本文的云审计系统在审计上具有更多的安全性，能支持远程数据完整性验证并提供数据隐私保护，还能支持动态数据操作和多用户数据批量审计。

    传统的安全审计只是将日志数据通过网络传输到一个专用的日志服务器并进行分析，这种方法会造成一些重要的日志数据在云计算环境中被窃取、篡改，同时这些日志在服务器上也没有得到良好的保护，也存在被窃取和篡改的可能性。

[page]    本文通过共享内存传输日志数据，能克服传统的备份日志数据方法的缺点。日志数据传输的整个过程都是通过用户域和特权域之间的共享内存，避免了被网络上一些木马程序窃取的危险。云审计系统运行在特权域操作系统上的文件系统中，各客户操作系统之间完全隔离，他们有各自隔离的物理内存和文件系统，因此，即使客户操作系统己经被攻击者攻破，要破坏云审计系统在特权域操作系统中文件系统上的日志数据是很困难的。这种云审计系统运行在虚拟环境中，对系统的CPU 和内存等资源的影响很小，相对于这个虚拟环境对日志数据备份安全性的提高所起到的作用来说，对系统资源的占用相对显得微不足道，同时通过共享内存的方式传输日志，大大提高日志传输的效率。

    云审计系统主要包括四个模块：日志采集模块，共享内存读取模块，共享内存模块，虚拟机监控器接口模块、分析统计模块。

    1）日志采集模块负责将各种产生的日志数据采集到一个指定的文件系统中，并且对这个指定的文件系统进行实时的监控，当发现有新的日志数据产生后，通过共享内存将日志数据备份到安全的文件系统中。2）共享内存读取模块将已经写入共享内存的日志数据读取出来，并存放在预制好的一个安全的文件系统中。3）共享内存模块为日志的传输提供了一个安全的传输路径，以及一个合理的数据缓冲区。4）虚拟机监控器接口模块为特权域操作系统和用户域操作系统提供了通信接口，使得日志采集模块和共享内存读取模块通过接口发送消息，以期达到同步运行，提高安全审计的实时性。5）分析统计模块提供查询、分析、统计功能，自动发现审计日志中的异常行为，并进行报警。

    7 结束语

    目前，计算机犯罪带来的问题日益严重。自“熊猫烧香”案发以来，社会对于计算机犯罪的关注度越来越高。与此同时，计算机取证技术作为打击计算机犯罪的重要手段也逐渐成为业内研究的热点。如何在“云”中找到攻击的证据，以及如何提取证据，并对证据适当地保存与分析，都是在云计算环境下的取证要点。我们必须及时发现攻击者的位置，及时地处理应对这样的攻击，至少能记录到相关的证据。由于这里牵涉到诸多的因素和环节，它将是云计算取证的难点之一。本文在这方面也只是作了一些初步的研究，还有许多问题需要进一步深入研究。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。