基于本体的云计算虚拟化等级保护扩展与建模*

凌彦骛， 张保稳（上海交通大学信息安全工程学院，上海200240）

基于本体的云计算虚拟化等级保护扩展与建模*

凌彦骛， 张保稳
（上海交通大学信息安全工程学院，上海200240）

虚拟化技术是云计算的重要技术组成部分，虚拟化安全也是制约云计算安全的一大因素。本体语言是规范化的形式化语言，是提供客观描述的一种表述方式。本文首先结合了信息系统等级保护框架以及本体描述语言，对云计算虚拟化安全的等级保护制度进行扩展；接下来通过本体建模进行等级保护制度建模；最后通过实际案例，对评估模型进行了示范和验证。

云计算；本体建模；等级保护；虚拟化

［Abstract］Virtualization is the key technical component of cloud computing，and security issue for virtualization also an important restricting factor of cloud security.As a normalized and formalized language，ontology provides an expression of objective description. This essay firstly expands the current classified protection mechanism for virtual cloud computing in combination of the ontological technology and the classified protection framework for information system，and then the modeling process for the classified protection is realized with the ontological technology.By applying the model to an existing system，the assessment model is finally demonstrated and validated.

［Key words］cloud computing；ontology modeling；classified protection；virtualization

0 引言

近年来，随着信息技术的不断发展，云计算技术进步显著。基于其高效、低成本、分布式的特点，云计算的应用也逐渐为业界所接受。在云计算技术中，虚拟化技术是非常核心的技术组成部分，正是因为虚拟化技术的应用，使得云计算服务供应商能够提供高整合，高信息共享率的云服务［1］。然而，虚拟化给云计算带来重要支持的同时，也伴随了许多安全问题。日前，世界上公认的几个比较值得关注的虚拟化安全问题包括：虚拟机管理机安全，VM ESCAPE，DOS攻击，基于虚拟机的rootkit恶意攻击等等［2］。信息系统的安全关系到了社会的稳定［3］，虽然日前常用的信息系统中，对于系统的数据安全和用户的认证及保密性问题已经有了比较成熟的一套安全保证框架，但是这些传统的安全保证模式却不能完全照搬到虚拟化技术的应用中去，需要为虚拟化技术量身定制一份独有的安全评估框架。在国外的研究中，日前最具有影响力的是美国的TCSEC安全评估指南［4］。而在我国，对于信息系统使用的是信息安全等级保护制度，是一种对于数据和信息载体根据其具有的等级进行划分类别并且进行分级保护的措施［5］。等级保护是对于信息系统的安全评估的一种方式，通过其规范化的语言和描述制定了一系列的规则，并应用在对应的信息系统中。对于等级保护标准的制定，需要使用表述清晰，逻辑性强，意义准确的语言进行描述，本体语言正满足了这些特点。本体语言是一种形式化的表述语言，通过运用自定义的约束和具有的概念进行规范规约化。运用本体语言进行形式化建模，可以清晰地表达出各个规则的逻辑意义以及规则之间的逻辑关系，真正实现客观、无二义性的评估框架。运用包含图形化界面的本体描述工具，可以更专注于本体结构的构建，减少语言描述中容易产生的错误，方便建模［6］。

本文基于日前对于云计算环境下虚拟化系统安全评估和等级保护的现实要求，对现有的等级保护制度进行基于虚拟化的定制及扩展，并提出基于本体语言的信息安全等级保护建模框架进行云虚拟化安全等级保护建模，最后实例化现有系统对建模成果进行分析。

1 本体及虚拟化等级保护体茅扩展

1.1 本体的概念

本体是形式化和显示的规范概念［7］。本体可以分为四种类型：领域、通用、应用和表示［8］。在信息系统和等级保护的建设中，本体可以很好地发挥其特点和作用。本体通过制定对信息系统规范化的约束，设计并使用统一的、被共同认可的描述语言，然后给出这些描述之间的规范化的，标准化的关系定义，以帮助建立去除主观化评判，明确约束之间的制约关系的等级保护制度。

本文在构建本体建模的过程中，使用的是protégé开源软件，protégé提供了本体的类，关系，属性和实例［9］，本体的建模过程包括以下几步：

1）对于已有的描述列出对应的词条。

2）按照该词条的属性以及层次关系，建立分类规划的类和具有层次性的分类模型。

表1 技术安全要求控制节点增强

3）使用本体语言设计约束关系连接类与分类模型。

4）添加实例，使规范化的本体模型具象化。

使用protégé软件进行建模，不仅能减少虚拟化等保模型构建的开销和复杂度，同时减少了使用模型的用户的学习成本和使用成本，并且通过其模型化的体系和直观的表达方式，保证了指标体系的客观性以及统一性。

1.2 云虑拟化的等级保护体系应用与扩展

日前现有的安全等级保护框架将系统安全分为技术安全与管理安全两个大类，每个大类下又分别包括五个子控制点。该等级保护制度具有指导性和总体的模板性作用，因此基于虚拟化技术的云计算安全等级保护框架也应该在该等级保护制度下进行扩展和定制，针对云虚拟化安全进行控制的增强和补充。

由于虚拟化云环境不同于普通信息系统的特性，云虚拟化等级保护制度的安全控制重心应该着重于虚拟资源和用户管理的安全审核上，针对虚拟化环境的虚拟化属性和虚拟化安全问题，本文分别对技术安全控制点和管理安全控制点提出了新的安全要求。

针对技术要求和管理要求的新增控制节点，设定针对信息安全等级保护制度的等级。通过对不同等级的能力划分，区别不同系统的安全等级，最后达到划分信息安全等级保护指标的日的。对于云计算的虚拟化环境，本文提出了需要增强的控制点以及控制点需要增强的具体内容。

对于技术要求，以数据安全中的数据通信安全控制点为例：

S1：应对到数据中心虚拟 VM之间的敏感传输数据进行加密。

S2：a）应对到数据中心虚拟VM之间的敏感传输数据进行加密。

b）防止密码等信息在传输过程中被窃听。

S3：a）应对到数据中心虚拟VM之间的敏感传输数据进行加密。

b）防止密码等信息在传输过程中被窃听。

c）防止通信数据被篡改和破坏。

对于管理要求，以人员安全管理中的多租户管理安全控制点为例：

G1：应对使用虚拟化环境的租户进行符合安全等级的身份验证和登记。

G2、G3：a）应对使用虚拟化环境的租户进行符合安全等级的身份验证和登记。

b）应制定虚拟资源分配策略，根据租户的不同等级分配相应的虚拟资源和访问权限。

对所有的控制点进行更新和增强以后，形成了云虚拟化等级保护的基本框架，基于该等级保护框架进行本体建模，既保证了等级保护框架的结构以及规范性，又保证了建模的理论依据。

图1 恶意代码防苑控制点对象类结构图

2 基于本体的虚拟化等级保护评估规约建模

本体建模是一种形式化建模的过程，是一种规范化概念含义的过程。对于云计算的虚拟化环境本体建模，需要对虚拟化信息安全的各个方面的术语进行规约和提取，对各个术语之间以及各条形式化规定之间的关系进行形式化约定。

本体建模的形式化过程的日标就是将需要建模的日标语句进行术语的形式化，本体的建模对象一共可以分为以下几大类：

对象类（object）：本体语言中最基本的术语组成本体的对象类，云计算虚拟化系统中包括物理系统、虚拟系统、用户和网络链路等静态对象组成了本体建模的对象类。

属性（property）：本体中所有对象类之间的关系形成了本体的属性类，属性类约定了对象类之间的行为，决定了本体对象的从属关系以及层次关系。

能力（ability）：对象类中的对象在实现某些安全需求或者安全日标时具有的能力被形式化为能力类，安全本体的能力类决定了对象能达到安全日标时的能力划分。

需求类（requirement）：在安全系统的构建和维护过程中，存在某些对安全对象所提出的安全需求，是对于安全等级拥有制约作用的安全需求。

约束值（value）：在等级保护框架中，经常会用到一些程度副词来决定日标系统的安全等级，这些程度副词描述了系统安全性不同的安全等级，用来区分不同系统在同一指标上的安全能力，本体建模将这些程度副词形式化为约束值。

图2 恶意代码防苑控制点的本体结构树

本文以主机安全中的恶意代码防范控制节点为例，描述本体化建模过程。

G1：应对从休眠状态恢复的或者从备份状态激活的虚拟VM保证恶意代码库和恶意代码防范软件的更新。

G2：a）应对从休眠状态恢复的或者从备份状态激活的虚拟VM保证恶意代码库和恶意代码防范软件的更新。

b）应设置虚拟机占用的资源上限，防止拒绝服务攻击。

c）应保护物理硬盘中保存的不同状态的大数据量的虚拟机镜像，保证其不会被病毒恶意修改。

G3：a）应对从休眠状态恢复的或者从备份状态激活的虚拟VM保证恶意代码库和恶意代码防范软件的更新。

b）应具有安装恶意代码防范代理的功能，并能够防止虚拟VM在并行扫描恶意代码的时候不会因为过大的物理资源消耗造成系统崩溃。

c）应保护物理硬盘中保存的不同状态的大数据量的虚拟机镜像，保证其不会被病毒恶意修改［10］。

节点设置三级等级保护制度，等级由低到高逐级增加安全控制要求，依照上文所说的本体对象对等保内容进行形式化规约和构建。

·对象类：虚拟VM、防恶意代码软件版本、恶意代码库、虚拟机占用的资源上限、拒绝服务攻击、物理硬盘、虚拟机镜像、安装恶意代码防范代理、系统崩溃

·属性：拥有、更新、设置、保护、防止

·能力类：不能被恶意的病毒修改

·约束值：从休眠状态恢复的、从备份状态激活的、大数据量的、不同状态的、物理计算资源消耗过大

对等级保护进行形式化后，结合所有的对象类和属性关系，对等级保护内容进行客观化的形式化描述，就可以使用所有的类和关系对等级保护进行建模。

G1：（Update some（（Anti-malwareSoftwareVersion and MaliciousCodeLuibrary）

and（hasValue some ConvertedFromHibernation）

and（hasValue some RestoreFromBackup）））

G2：（Update some（（Anti-malwareSoftwareVersion and MaliciousCodeLuibrary）

and（hasValue some ConvertedFromHibernation）

and（hasValue some RestoreFromBackup）））

and（Set some（VMResourceUsageUpperLimit

and（Prevent some ForVM＇sVirtualDDosAttack）））

and（Protect some（VMImage

and（hasValue some ALargeNumber）

and（hasValue some VariousStates）

and（hasAbility some CanNotBeModifiedByVirus）））

G3：（Update some（（Anti-malwareSoftwareVersion and MaliciousCodeLuibrary）

and（hasValue some ConvertedFromHibernation）

and（hasValue some RestoreFromBackup）））

and（Protect some（VMImage

and（hasValue some ALargeNumber）

and（hasValue some VariousStates）

and（hasAbility some

CanNotBeModifiedByVirus）））

and（Set some

（InstallMaliciousCodePreventionAgency

and（Prevent some（SystemCrashes

and（hasValue some VMMaliciousCodeScanning）

and（hasValue some

ExcessiveConsumptionOfPhysicalComputingResources）））））

运用以上建模内容，即形成了主机安全一级控制节点下的恶意代码防范控制节点的G1～G3等级保护控制内容，完成所有的节点建模之后，就完成了对等级保护制度的总体框架的建模，设置总体等级保护框架，划分不同等级的等保层次，整体等级保护框架如下图3所示。

图3 等级保护框架安全控制节点结构树

3 实例分析

本文以某公司云平台管理节点服务器XManager的主机安全测评结果作为输入，提取其中与云虚拟化相关的安全技术要求，运用本体建模对其主机安全节点进行等级保护评判，最终通过评估模型得出其安全评估的等级。

对其四个控制节点的测评结果内容运用先前构建的本体模型进行本体形式化建模，得出该系统的等级保护形式化描述为：

（hasObject some（VMManager and（Discriminate some（Information and（hasObject some Wiretap）and（hasValue some Network-Transmission）））and（Set some NecessaryMeasures）and（hasValue some SubmitVMAccessApplication）））

and

（Guarantee some（VirtualResource and（（Include some（CPU and Memory and Network and Storage））and（Prevent some IllegalAccess）and（Prevent some IllegalRecovery）and（Set some CompletelyCleared）and（hasValue some BeforeReleasedOrRedistribution））））

and

（Update some（（Anti-malwareSoftwareVersion and Malicious-CodeLuibrary）and（hasValue some ConvertedFromHibernation）and （hasValue some RestoreFromBackup）））

and

（（hasObject some（VirtualResource and（Include some（Network and Storage and Memory））and

（hasAbility some RationalAllocation）and（Specific some Usage）and（Base some（AppImportance and UserFeatures and

UserNeeds））））and（Set some（Caps and（Alarm some Over-Run）and（hasValue some Non-criticalAppAndUsers）））and（Set some（Limit and（Alarm some OverRun）and（hasValue some CriticalAppAndUsers））））

表3 XManager主机安全项测评结果记录

使用protégé输入该本体模型，运用本体推理机进行推理，最终得出该系统的等级和等级保护等级之间的关系如下图：

图4 XManager等级保护评级结果图

XManager服务器满足等级介于等级保护1和等级保护2要求之间，因此该系统不满足等级保护2的要求，该系统达到了等级保护1级标准。

4 结语

云计算是日前非常热门的技术和话题，运用信息系统的等级保护制度对其进行安全评估满足了必须的安全需求。使用本体建模对云计算虚拟化安全进行等级保护建模，实现了等级保护评估过程的集成、规约化和半自动化，本体的建模给予评估人员更直观和客观的结果表现，是一便于管理并且规范化的评估系统模型。

［1］ ［1］Sabahi F.Virtualization-Level Security in Cloud Computing［C］//Communication Software and Networks（ICCSN）. San Francisco：IEEE，2011：250-254.

［2］ 张瑞霞.云计算的虚拟化安全问题的研究［D］.南京：南京邮电大学，2014.

［3］ David R，George G.A Practical Guide for Deciding What's Really Safe and What's Dangerous in the World Around You ［R］.New York：Houghton Mifflin Company，2002.

［4］ 周济礼，先学人.美国信息系统分类分级保护的主要内容及启示［J］.中国信息安全，2013（11）：102-105.

［5］ 张京海，张保稳，杨冰等.云计算信息系统等级保护框架研究［J］.信息安全与通信保密，2013（9）：98-105.

［6］ 杜小勇，李昌，王珊.本体学习研究综述［J］.软件学报，2006，17（9）：1837-1847.

［7］ Gruber T R.A Translation Approach to Portable Ontology Specifications［J］.Knowledge Acquisition，1993，5（2）：199 -220.

［8］ Guarino N.Semantic Matching：Formal Ontological Distinctions for Information Organization，Extraction，and Integration［M］. Frascati：Information Extraction A Multidisciplinary Approach to an Emerging Information Technology，1997：139-170.

［9］ 章勇，吕俊白.基于Protege的本体建模研究综述［J］.福建电脑，2011，27（1）：43-45.

［10］ 杨冰.云计算中虚拟化安全评估技术研究［D］.上海：上海交通大学，2013.

Modeling of the Classified Protection for Virtual Cloud on Ontology

LING Yan-ao，ZHANG Bao-wen
（School of Information Security Engineering，Shanghai Jiaotong University，Shanghai 200240，China）

TP391.1

A

1009-8054（2016）02-0093-06

2015-11-01

凌彦骜（1990—），男，硕士，研究生，主要研究方向为信息安全系统评估；

张保稳（1973—），男，博士后，硕士生导师，主要研究方向为网络信息安全和人工智能。