水利专业软件云服务平台安全风险处置研究

林 林，王树伟，缪 纶，段媛媛

（中国水利水电科学研究院 信息中心，北京 100038）

水利专业软件云服务平台安全风险处置研究

林 林，王树伟，缪 纶，段媛媛

（中国水利水电科学研究院 信息中心，北京 100038）

水利专业软件专业性强、功能复杂、标准化程度低，软件研发长期采用小团队开发，小范围使用的模式，这种开发模式效率低，不利于软件的共享和复用。运用云计算技术建设水利软件专业软件平台，变革原有的软件开发模式，是摆脱现有水利专业软件研发困境的一种有益尝试。云平台在提升软件开发效率和降低使用成本的同时，却也带来了安全性的问题。本文旨在分析和探讨水利专业软件云平台面临的安全风险，并给出了具有针对性的解决方案。

水利专业软件；云平台安全；精英软件；群体软件

1 研究背景

水利专业软件是指在水利行业使用的具有水利专业特性的计算机软件［1］，兼具专业性强、功能复杂、对计算性能要求高、标准化程度低、可复用性弱、质量评价困难等特点。长期以来，水利专业软件的开发都是采用独立小团队模式进行软件设计、开发和维护。这种研发模式效率低，不利于软件成果的应用推广和可持续利用。

云计算作为一种新的资源使用和交付模式，已经从最初的概念阶段发展到目前实用化的成熟阶段，是当前信息化建设的发展方向之一［2］。云计算技术也是水利专业软件开发瓶颈的解决方案之一。运用云计算技术建设水利专业软件云平台，可以革新水利专业软件研发模式；提供水利专业软件共享平台，分享已经开发成型的水利专业软件；建立水利专业软件公共服务平台，提供软件在线升级更新、自主选择模型生成软件的服务；为水利专业软件开发所面临的问题提供了新的解决途径。

随着水利专业软件云平台的建立及其应用推广，平台安全愈来愈引起人们的重视。平台安全关系到能否保障软件开发者的权益，也关系到软件开发者是否愿意提供自主知识产权软件放到云端与其他用户分享，以及水利专业软件云平台是否能够持续良性发展。

本文介绍了水利专业软件云平台的功能结构，对水利专业软件平台面临的安全风险进行了探讨，并针对这些安全风险提出了相应的解决方案。

2 水利专业软件云平台概述

在水利科研、管理过程中，面临着众多科学技术问题，大量问题都需要利用一些通用的技术分析流程和标准化的软件工具，采用详细的水文、水力学、结构、岩土等模型，通过大量分析计算工作，才能提出合理的评价以及经济有效的工程措施。在计算机技术日益发展的今天，水利专业软件有力地支撑了水利勘测、规划、设计、建设、以及科研和管理等工作，已逐渐成为推动我国水利现代化发展的重要力量。

水利专业软件大体可分为精英软件和群体软件。精英软件是指由水利专业领域里具有较高知名度的专家、学者领衔开发，具有自主知识产权，在行业中受到广泛好评，精确性在实际应用中已经得到认可的软件。群体软件是指软件功能原理相对简单，使用方便快捷，用户参与软件开发的开源专业软件。与精英软件相比，群体软件开发大众化，具有群体性，开发组织多是社团，开发模式上鼓励大众参与。精英软件面临的主要问题是软件开发效率低，成果评价和推广困难，而群体软件的主要问题是标准化程度低，软件产品质量难以得到控制和保障，功能和性能不能满足应用需求。为上述水利专业软件开发过程中存在的问题提供解决思路，已经有人提出采用云计算技术，搭建水利专业软件云平台，进行水利专业软件开发模式的转换。

云计算的概念是谷歌公司在2006年首先提出的［3］，其理念是将硬件、开发平台、应用软件作为服务设施集成提供给用户，传递资源和服务的形式类似于电力输送模式。云计算平台架构主要包括三个层次：基础设施即服务层（IaaS），为用户提供完善的计算机基础设施服务；平台即服务层（PaaS），用户无需下载或安装，即可通过因特网为用户提供服务平台和软件研发环境等相关服务；软件即服务层（SaaS），为用户提供应用软件服务。用户使用云平台，无需购置硬件设备、操作系统，只需根据应用需求购买适量的云服务，便可搭建属于自己的应用系统、满足应用需求。云计算技术的应用使研究人员能够更加关注于专业的业务处理，而非软硬件系统设施的架构。

水利专业软件云服务平台旨在运用云计算技术建设水利专业软件公共服务平台，借助于互联网的普适性、泛在性、开放性、标准化和可评价等优良特点，支持水利专业软件的研发和应用推广。水利专业软件平台采用私有云模式SPI架构搭建，自底向上由水利专业软件基础平台（IaaS）、水利专业软件开发平台（PaaS）和水利专业软件应用软件平台（SaaS）三层组成［4］。水利专业软件基础平台基于虚拟化技术和云计算技术，提供高速度、大容量、高可靠性、可伸缩的基础设施平台；水利专业软件开发平台提供遵循水利软件模型标准的、基于模型库的软件自动生成技术，实现快速、优质、标准化自动生成软件的功能；水利专业软件应用平台提供面向水利行业的标准化水利专业软件成果（产品）资源，包括水利精英软件和群体软件。该平台基于水利软件库，遵循水利专业软件平台数据标准和软件标准，为有效促进水利行业自主知识产权专业软件成果的应用推广提供技术和服务保障。

3 水利专业软件云服务平台面临的安全风险

云平台的搭建解决了水利专业软件存在的推广应用难，开发持续性差等问题，然而随之而来的云平台安全问题也备受业界关注。保障水利专业软件云平台的安全，是关系到云平台顺利运行和持续发展的重要因素。如何让用户放心将自己的软件放入云平台与他人分享，是云平台迫切需要解决的问题。云平台安全与传统的信息安全或网络安全相比，除继承性之外，还具有自身的新特点：（1）由物理计算资源共享带来的虚拟机的安全问题；（2）由数据的拥有者与数据之间的物理分离带来的用户隐私保护与云计算可用性之间的矛盾；（3）来自网络的攻击增加且难以辨别；（4）访问控制和服务授权复杂化；（5）由于水利专业软件的特殊性带来的安全威胁等。这些在传统计算模式下未曾出现过的问题都需要新的科学技术予以解决。虽然水利专业软件云平台属于私有云，与公有云相比其安全性要高很多，但是仍然不可避免的存在云平台的安全问题。

3.1 虚拟机安全风险虚拟化技术是云计算技术的核心，该技术应用于操作系统和基础物理介质中间，允许多个操作系统和应用共享硬件资源，同时负责动态的分配虚拟机资源。传统的物理防护措施，如防火墙、入侵检测（IDS和IPS）等，能够检查出网络通信中的可疑信息，但是运行于同一台服务器上的不同虚拟机之间可以通过虚拟机管理程序直接通信。因此，如果一个虚拟机被攻破，运行于同一台物理服务器上的其他虚拟机也会被波及，而传统的检查物理网络数据的防护措施对此则束手无策。

3.2 数据安全风险在水利专业软件云平台上，用户对放置在云平台上的专业软件及相关数据失去物理控制，对于自身的数据是否受到保护，计算任务是否被正确执行等都不能确定。传统的数据中心采用集中的数据存储方式，通过数据加密、防火墙等对用户存储的数据进行保护。在云平台上，数据存储在数据中心，采用分布式、异地存储的方式，单一的数据加密和防火墙保护已经不能保障云平台数据的安全。云平台的信息传递方式依赖于公共互联网，如何在公共网络中对传输中的数据进行安全保护，确保数据的完整性、可信性和不被干扰，这都对传统的数据加密方式和保护方法提出了新挑战。

3.3 来自网络的攻击风险与传统数据中心相比，云平台由于资源相对集中更容易受到黑客关注，因此受攻击的数量也较传统数据中心显著上升。在云环境下，攻击和病毒的数量大幅度增加，提高了辨别难度，造成的破坏程度明显超过了传统的数据中心。而且，在云平台的多租户环境下，网络攻击也可连带破坏多个终端系统。

3.4 服务授权与访问控制复杂化风险传统平台的身份认证与访问体系中，都有一套各自独立的用户信息管理子系统，负责该系统的帐号管理、用户认证和授权，并且以日志形式审计操作者的系统内行为。在云计算环境下，存在多个系统组成的系统群，每个系统根据其各自的权限和应用范围，提供不同的身份认证体系，导致用户需要提供多个账户和密码，增加了用户操作的复杂性。而传统的单一身份认证和服务授权机制，无法规避云平台环境下的访问控制风险。

3.5 针对水利专业软件特殊应用的安全威胁经过多年的积累，已经沉淀下来很多优秀的水利专业软件，既包括群体软件也包括精英软件。这些宝贵的财富要通过云平台更加合理的利用，共享已有的优秀软件，鼓励大众开发新的软件，并能够实现软件模型在线组装的功能。如何既提供软件共享服务，又确保软件的知识产权安全，是云平台安全需要解决的问题。

4 水利专业软件云平台安全解决方案

鉴于以上分析，基于云计算技术的水利专业软件平台在安全风险和技术要求上与传统的信息化平台有着本质的不同。2009年12月17日，云安全联盟（CSA）发布了《云安全指南》，介绍了云计算的架构、云计算安全控制模型等。CSA指出，对于云计算的安全保护，通过单一手段是远远不够的，需要一个完备的安全体系［5］。传统安全技术，如加密机制、安全认证机制、访问控制策略等通过集成创新，可提供一定的支撑，但不能完全解决云计算的安全问题。需要进一步研究多层次的云安全体系（模型）、加密算法、动态服务授权、虚拟机隔离、病毒防护策略、攻击防御检测、安全域设定等方法，为云计算提供全方位的技术支持。为此，本文提出了一个云计算平台的安全体系架构（见图1），针对不同层次、不同应用，以安全监控为核心，结合传统攻击防御手段，采用多层次的安全技术措施，多方位的解决云计算平台所面临的安全问题。

图1 水利专业软件云计算平台安全体系架构

4.1 虚拟安全云计算平台中，虚拟机间能够跳过传统的物理网络链路，通过虚拟机管理程序直接通讯，从而导致某些新的安全风险。为解决这一问题，首先应该为每一个虚拟机提供一个完全独立的运行环境，使之拥有独占的计算、存储和网络资源。同时，还应使用虚拟机安全机制（例如虚拟机蜜罐、虚拟机镜像等），对虚拟机背板上的流量进行细粒度的监测和净化。建议把不同类别的应用程序分离，使之分别运行在不同物理服务器的虚拟机上，而对同台物理服务器的虚拟机实施同等级别的信任控制，防止旁侧攻击造成平台安全性的降低。

4.2 数据加密采用传统的加密方式，数据在云平台计算时需要完成繁琐地加密和解密操作，极大地增加了云平台资源开销，因此传统的加密机制不完全适用于云计算平台这种新型计算模式。完全同态加密为这一矛盾的解决提供了新的技术途径。在理想的情况下，云端在密文上的任何操作都能够直接对应到明文上的相应操作（即完全同态加密性）。用户可以放心地要求云端对数据进行指定的计算操作而不用担心泄露自己的隐私，因为这些被操作的数据在云计算中心都是以密文的形式存在的。如果完全同态加密能够高效安全地实现，我们就可以在不完全信任云计算中心的情况下既实现保护用户隐私的目的，同时享有云计算中心提供的各种计算服务。

在完全同态数据加密基础上，辅以传统的数据混淆、数据完整性验证、平台软件安全验证和服务安全验证等安全措施，可以从根本上解决软件与数据在平台上的安全运行问题。

4.3 访问控制和安全域管理在云平台采用基于跨域的联邦身份认证机制［6］进行跨域管理或安全域的身份认证和访问权限管理。统一的身份认证、信任服务授权和动态访问控制，将拥有一致用户群的系统进行关联，统一用户信息，提供单登录认证入口。对于用户，一次登录之后便可以在相应的应用系统群中自由访问，而不必在每一个系统分别使用独立的账号和密码登录。用户通过云平台身份认证后，继续对用户进行动态行为审计，通过行为轨迹来判断是否存在违规操作。这种方法并非只依赖于身份认证，而是在身份认证后仍然对用户进行监控、审计。

对用户及管理人员实施基于安全域的分级管理，授权应用和管理模块根据用户信息数据库中的数据进行分级授权管理，不同级别的用户只能在特定安全域范围内操作，享有特定域环境下的权利和服务，禁止跨域的非法访问。安全域之间根据安全需求，采用防火墙进行隔离，确保安全域之间的数据传输符合相应的访问控制策略，确保本区域内的数据安全。

采用云平台安全审计技术，对云平台运行过程中，正常流量、异常状态和安全事件进行记录和监管，对用户以及管理员操作进行实时监控和日志记录，防止违反云平台安全策略的情况发生，也可用于责任认定、性能调优和安全评估等目的。通过分析审计记录，辅助管理者对云平台运行情况进行有效认知。

4.4 安全监控在水利专业软件云计算平台中，终端用户对数据的计算、传输和存储都需要通过网络，这给数据窃取提供了可乘之机。因此，应该通过加密数据、建立SSL隧道、采用VPN技术等方式来保障数据传输过程中的安全性。同时，通过防火墙、防病毒墙、IDS、网路岗等安全组件对基础设施、中间件和服务软件的整个结构进行全方位的检查和全过程的监控。

4.5 保障水利专业软件安全群体软件、精英软件以及模型软件是水利软件云计算平台的核心内容，防止该类软件和数据的非法获取和传播是平台安全的第一要务。针对云平台软件安全采取以下措施：

（1）群体软件安全。群体软件覆盖范围广泛，这里以水利工程计算中常用的Excel计算表格为例。在云平台上运行的Excel文件通常采用宏代码进行功能计算，而宏代码是明文表示，放在云平台的Excel软件通过部分功能禁用，来保障Excel文件的宏代码不被非法查看。可采用软件安全界较为通用的Hook技术，对在云平台上运行的Excel文件进行指令劫持。凡运行于平台上的Excel文件，对用户操作中涉及打开宏的指令，给予拦截和干扰，改变其原有的“打开或查看宏”的功能，这样就可以保证平台用户无法在线查看到Excel宏的源代码，可在平台层面解决群体软件源代码泄漏的问题。针对部分授权用户可以下载Excel计算文件这一功能，可以采用对Excel宏的源代码进行水印技术处理，下载后的软件仅供授权用户自行使用，如果授权用户进行散播或盗版，可以通过水印技术找到传播源头，并对其进行责任追究，水印技术对保护自主知识产权起到电子取证作用。

（2）精英软件安全。以可执行软件（EXE文件）为例，采用软件加密与平台防拷贝技术相结合的方案进行解决。软件加密技术分为软加密和硬加密两种：软加密是指通过授权码进行解密使用的加密方式；硬加密主要是指将密钥存储于硬件加密狗中，运行的过程中需要带狗运行，保障软件安全。通过软件加密处理，软件即使被拷贝没有密钥也无法运行；所采用的加密算法参考国家标准，采用密钥长度在128位以上，保障精英软件破解难度；也可采用安全芯片技术进行软件的秘钥存储。

（3）对模型软件的安全问题，同样可以采用软件加密和软件防拷贝技术保障其安全。

5 结论

云计算技术是面向服务的新型计算模式，为水利专业软件研发过程中存在的问题提供了解决思路，帮助水利专业软件的开发摆脱目前所面临的困境，有效促进水利专业软件的发展。同时，随着新技术的出现，现有的安全体系逐渐不再适应新的攻击，安全防范措施也要随之改进和更新。云平台的安全是复杂的问题，需要构建一个安全体系来保障云平台的运行，实现软件与数据的安全共享和复用。本文提出了系统化的水利云平台安全保障方案，对水利专业软件云的实用化具有重要现实意义。

［1］ 陈煜，王树伟，王冠华.水利工程建设管理云计算平台的研究与实践［J］.水利信息化，2013（5）：14-18.

［2］ 贾克，李筱琳.云计算的关键技术及发展前景［J］.数字技术与应用，2013（8）：242-242.

［3］ Ling Qian，Luo ZG.Cloud Computing：An Overview［J］.Springer Berlin/Heidelberg，2009（5931）：626-631.

［4］ 阎继军，王冠华，等.水利专业软件云计算平台的研究与实践［C］//第五届中国水利水电岩土力学与工程学术研讨会.北京：中国水利水电出版社，2014.

［5］ Jansen W，Timothy G.Security Guidance for Critical Areas of Focus in Cloud Computing v3.0［M］.Phoenix：Cloud Security A lliance，2011.

［6］ 李崴，张华.基于SAML的联邦身份管理机制研究［C］//全国计算机技术与应用学术会议.合肥：中国科学技术大学出版社，2008.

Security risks of water software cloud computing platform and solutions to them

LIN Lin，WANG Shuwei，MIAO Lun，DUAN Yuanyuan
（Information Center，IWHR，Beijing 100038，China）

Water software is professional and complex in functions with a low degree of standardization，which are usually developed by small teams and used on a small scale.This development mode is ineffi⁃cient and not conducive to sharing and reusing，so it requires a change.It is auseful attempt to construct aprofessional water software platform with cloud computing technologies，and the difficulties in water soft⁃ware development can be overcome.Cloud platform，while improving the software development efficiency and reducing the cost，also brings security issues.This paper aims to analyze and discuss the security risks of water software cloud platform，and propose specific solutions.

water software；cloud p latform security；elite software；groupware

53

Adoi：10.13244/j.cnki.jiwhr.2015.04.012

1672-3031（2015）04-0312-05

（责任编辑：王冰伟）

2015-01-07

水利部公益性行业科研专项（201401033）

林林（1983-），女，北京人，工程师，博士生，主要从事网络通信技术、水信息学和云平台等研究。E-mail：linlin@iwhr.com