云安全体系十篇
时间:2023-12-14 17:38:35
云安全体系篇1
关键词:云计算平台 安全体系 安全应对
中图分类号:TP399 文献标识码:A 文章编号:1674-098X(2017)01(c)-0127-02
在2012年,温总理在召开国务院会议的时候,对信息工作进行了阐述,并且研究了信息技术的发展趋势及信息技术的安全问题,最终确定了信息技术工作的重点内容:保障信息网络的安全管理及防护。在发展迅速的社会中,云计算作为一个新型技术也在快速发展,也是我国互联网今后的发展趋势,安全问题是云计算用户在使用过程中第一考虑的因素,云计算是否能够实现全面安全也是云计算在推广及可持续发展中的重要因素。
1 云计算平台体系分析
云计算平台详见图1[1],从图1中可以看出云计算平台安全体系由两部分组成,分别是基础设备及远程终端,运程终端又包含计算终端和智能终端。基础设备包含虚拟化层、维护管理层、平台服务层、软件服务层及基础支撑组成。
2 云计算平台安全分析
自从虚拟化、多租户等全新的技术引入云计算平台中,云计算平台的安全特点就有:其一,由于云计算平台中的用户多种,就要保障云计算平台的服务可以永续性;其二,云计算平台中有多种信息,就要保障云计算平台中的数据安全;其三,云计算平台是为用户提供不同的服务,就要保障各用户之间的安全及运行环境的安全;其四,不同等级对云计算平台中的安全需求是不同的,就要保障虚拟机之间的安全。
2.1 虚拟化安全
虚拟化层的安全隐患主要有5个方面:其一,虚拟机的监控漏洞,对方往往会利用漏洞攻击云计算平台;其二,没有对镜像及快照文件实施保护,此方面的安全性关乎到镜像后,使用用户信息的安全性;其三,虚拟机在工作的时候,会由于本身的负载失衡或者自身存在的安全问题等多方面因素,在虚拟机向物理机移动的过程中,可能会存在数据信息泄露的风险;其四,随着云计算的不断进步,传统对流量监控的手段已经满足不了虚拟机网络流量监控需求,这就造成对虚拟流量监控方面非常困难;其五,传统的审计宿主机的方式已经不适用于审计虚拟主机的方式,这就造成对虚拟机审计方面的监管较为困难。
信息资源存储方面的安全风险主要类似于SAN技术的虚拟化存储技术方面的安全问题,包括虚拟化存储设备中的软件/硬件问题和信息在网络中的接受和传送等安全问题。
2.2 数据存储安全
数据存储的安全隐患主要有3个方面:其一,用户将数据信息存放到云端中,数据信息没有较好的安全性及完成性,就会对其造成安全风险,这也是由于用户对数据信息没有一个较好的管理程度;其二,在模拟多租户的背景下,用户可以实现资源共享及计算,在此过程中切换用户的时候,用户在资源共享的数据信息就有可能泄露,以此对其造成风险;其三,由于是模拟多租户的环境,所以传统的审计数据没有办法满足云端审计数据的需求。
2.3 基础软/硬件安全
在云计算平台安全体系中,要密切注意存在软/硬件中的预埋后门风险、(芯片、CPU等)硬件风险、(应用软件、开发软件、开发工具等)软件风险。
2.4 终端安全
在云计算平台中,由于终端具有不同的设备及不同的类别,这就大大加强了对接入和认证控制方面的难度。另外终端和服务器之间主要是对键盘、图形、鼠标、输入/输出信号等信息进行传输,除了对远程连接方面有安全协议,对于其他符合国家密码法的信息传输等方面并没有制定保护措施或者安全协议,这造成了这方面存在被修改、窃听等安全问题。同时终端还具有计算和缓存功能,在进行信息加密传输的过程中,就不能确定信息是否被缓存保存,这就使信息有泄露安全风险。
2.5 Paas和SaaS运行安全
云计算平台中的管理员有存储、缓存、计算等权利,这就会造成云计算管理员权利受到他方控制的安全隐患。其次在Paas和SaaS运行的过程中,各租户与各租户之间及各租户与基础设备之间并没有科学有效的访问及隔离控制手段,这就可能会使各租户或者基础设备造成他方对其的肆意破坏及攻击等安全风险。最后在虚拟化背景下,相同的物理服务器中的节点具有不同的虚拟服务器,所以对两者的区分会有较大的难度,这就造成有多种安全保护的用户会受到访问限制等一系列的挑战[2]。
3 云计算平台安全应对措施
针对云计算平台中虚拟化安全、数据存储安全、基础软/硬件安全、终端安全及Paas和SaaS运行安全,应该采取以下措施,以此使云计算平台可以有一个安全的运行环境。
3.1 虚拟化安全应对措施
虚拟化存在5种安全隐患,所以也要有5种应对措施。其一,要定期对云计算平台进行漏洞风险扫描、修复、升级等,及时发现漏洞并且及时对其进行解决;其二,对于镜像、快照文件进行加密存储,保障其是完整且具有机密性的;其三,可以在虚拟机向物理机移动的过程中进行加密技术或者限制权限等技术,防止其中的文件、信息等被恶意篡改和非法访问等;其四,可以在虚拟网络流量监控中使用虚拟标记和审计措施,实现对其的实施监控;其五,首先要全面了解虚拟化环境中的审计监管,对于虚拟化网络及虚拟化硬件资源方面采取细致的审计措施,保障对虚拟机的监控是实时且有效的。
3.2 数据存储安全应对措施
数据存储中存在安全隐患,所以也要采取3种应对措施。其一,使用数据加密或者磁盘加密等加密措施,使云计算平台中存储的数据具有完整性及机密性;其二,对于数据的残留,可以对其进行销毁,有效地整理数据,使数据不被泄露;其三,提高数据处理、使用、销毁的周期,为之后的数据审计打下良好基础。
3.3 基础软/硬件安全应对措施
对于软/硬件后门风险,可以使用国产CPU、芯片或者国产化的软件来研究及开发云计算平台,防止软/硬件安全隐患的发生。
3.4 终端安全应对措施
首先可以对终端进行统一有效的接入授权,然后针对终端在传输过程中发生的泄露信息的风险,对远程传输协议实施安全加固,使用国家规定的密码算法对信息传输进行保护,使其具有完整性及机密性。最后可以使用物理断电对终端中残留的敏感信息进行清理,使信息彻底消除,降低信息泄露风险。
3.5 Paas和SaaS运行安全应对措施
首先可以对云计算平台中的管理员及虚拟机的管理员进行控制和分配权限。其次使用虚拟机隔离、进程隔离等隔离方式对各租户之间进行有效隔离,限制各租户之间的访问,降低各租户的信息泄露风险。最后可以重新构建安全芯片,使用密码隔离对同一物理机上存在的风险进行安全隔离[3]。
4 结语
随着云计算技术的不断发展,被广泛运用到我国各行各业中,云计算技术也改变着我们的日常生活。云计算平台在发展的过程中也会面临着不同的安全问题,所以就要对这些问题制定相应的措施,这也是使云计算技术可持续发展的有效途径。
参考文献
[1] 徐宗标.云计算平台安全体系及应对措施[J].电信技术, 2014(2):36-39.
云安全体系篇2
【关键词】云平台 多层次网络安全防护 面向切面
1 云平台服务模型
云计算就是通过大规模的分布式计算为消费者提供相关服务,云平台由集群的虚拟化计算机组成,通过统一的接口以面向服务的形式为用户提供服务,在现阶段,云计算平台提出了三种服务模式,即基础设施即服务、平台即服务和软件即服务,基础设施即服务提供包括数据处理、存储等服务,平台即服务提供给用户按自身需求在云服务提供商的平台上构建主机应用,软件即服务软件即服务即通过云平台使用软件服务提供商提供的服务。
2 云平台安全概述
云平台的搭建是需要很多支撑技术的,如:主流操作系统文件、加密通信技术、身份认证技术、虚拟化技术和开源代码库等,还需要各种基本组件、核心组件等。云平台如此众多的支撑技术,相关的漏洞这个刚被堵塞,另一个新的漏洞又被发现,漏洞总是难以避免的,这就要求一个多层次的云平台安全防护体系是必要的,以使云平台某个漏洞被利用,某层防护被突破的时候却无法突破云平台下一层的安全防护。
云平台除了复杂的架构和众多的支撑技术容易出现漏洞以外,云平台对外提供的大量开放式服务也为云平台的安全防护带来很大的挑战,例如,用户上传自己的服务代码和数据、用户需要网络连接、用户需要访问磁盘、用户需要使用数据库等等,这些都是云平台提供的对外开放式服务,云平台的安全防护需要多层次的防护同时还需要能够灵活的配置和功能扩展。
3 云平台安全防护技术分析
目前主流的云平台主要有亚马逊的 Web Service、谷歌的 Cloud以及微软的Azure等,我国在这方面虽然有些落后,但也出现了阿里云、新浪SAE等综合云服务平台。本节主要分析一下这些主流云平台的安全防护策略。
3.1 亚马逊Web Service
亚马逊Web Service云计算平台是现阶段市场占有率最大的云计算平台,其防护策略主要包括以下几个主要方面: Https安全网络通信技术用以保证用户和云平台之间的网络通信安全;防火墙规则用于防范拒绝服务攻击等,另外,防火墙规则可由用户自行设定从而使用户可自行灵活配置访问策略;亚马逊的AWS通过 Identity and Access Management (IAM)授权管理工具来对用户的访问进行管理;多重认证;允许用户创建私有子网,私有子网的网络安全防护可由用户自行O置,这是额外增加的一层安全防护;支持用户数据加密和密钥管理,另外还可对密钥进行加密存储Trusted Advisor服务监控用于监控用户操作和云平台资源、配置可能存在的漏洞;支持专用数据连接。
3.2 各平台安全防护总结和分析
综合分析亚马逊的AWS,微软的Azure和谷歌的 Cloud的云安全防护措施,它们都拥有很多的共性,都是提供镜像隔离机制和一些已有的安全技术进行安全防护,对某些关键点加强防护。这些防护措施已经能起到很好的效果,有一定的多层次深度防御特性,但也存在不少缺点:
(1)亚马逊的AWS,微软的Azure和谷歌的 Cloud都使用了大量的支撑技术和开源代码,这些支撑技术和开源代码大多未考虑在云计算场景下的安全需求,这就使得在云计算场景下,这些支撑技术和开源代码本身就存在一些漏洞,有的漏洞还未被发现,云计算平台在未来有可能会因为这些漏洞被逐渐发现而受到攻击,也就是说,云计算平台应该对这些支撑技术进行改进以使其适应开放的云计算平台;
(2)传统的安全防护方案在云计算平台下有些可以直接使用,但有的并不能直接适用,从安全模式来看,在云环境下,每一个节点都可能会受到攻击,而对传统网络安全来说,一般有防火墙和入侵检测就能够满足要求。从数据存储来看,在云环境下,数据存储在云端比在内网的网络数据安全更加难以控制。从技术差异来看,云平台是建立在虚拟化技术基础之上的,而传统网络是没有虚拟化技术的。传统企业安全防护方案重在对通信安全防护和阻止外部攻击,对于来自内部其他用户的隔离防护以及内部人员的恶意攻击行为防护较少。
4 结语
本章为相关技术分析,对各个云平台安全防护技术进行了总结和分析,主要包括Amazon Web Service、微软 Azure和Google Cloud。
云计算就是通过大规模的分布式计算为消费者提供相关服务,云平台由集群的虚拟化计算机组成,通过统一的接口以面向服务的形式为用户提供服务,在现阶段,云计算平台提出了三种服务模式,即基础设施即服务、平台即服务和软件即服务,基础设施即服务提供包括数据处理、存储等服务,平台即服务提供给用户按自身需求在云服务提供商的平台上构建主机应用,软件即服务即通过云平台使用软件服务提供商提供的服务。
当前,基础设施即服务,平台即服务,软件即服务之间的界限已经越来越模糊,三种模型有日趋融合之势,云服务商大多也开始从提供单一服务向提供多种服务转变。综合的云平台比单一的云平台面临更多的安全问题,任何一个组件或者支撑技术出现安全问题都可能会影响到整个云平台的安全。
参考文献
[1]李程远.云平台信息安全整体保护技术研究[J].信息安全与技术,2011(09):1-5.
[2]孔丹.基于云平台的安全审计系统设计与实现[J].信息安全与通信保密,2013(10):6.
[3]吴文典.云平台信息安全整体保护技术研究[J].信息安全与技术,2014(02):12-13.
[4]LM Kaufman.Data security in the world of cloud computing. Security & Privacy,2009,14(01):33-38.
云安全体系篇3
摘要:
随着云计算蓬勃发展,云安全问题日益突出,云平台安全服务产品应运而生。文章对业界领先云服务提供商的云安全产品体系和发展策略进行了研究,并结合电信运营商特点,提出了电信运营商发展云平台安全服务产品的思路与建议。
关键词:
运营商;云平台;安全产品
1引言
近年来,随着云计算技术和应用的高速发展,国内外互联网巨头和电信运营商纷纷发力,投资建设高标准、大规模的云计算数据中心,作为承载自身业务和系统的重要IT基础设施,并基于多种服务模式,为客户提供可灵活定制、弹性扩容的云计算整体解决方案。根据SynergyResearchGroup年初的数据显示,全球云服务市场年均增长率达到28%[1]。然而在云计算蓬勃发展的背后,云服务宕机、云平台自身安全漏洞频现、针对云服务的网络攻击愈发增多等云安全问题日益突出。当前,用户对于云安全的需求主要集中在云应用安全、虚拟机保护、DDoS攻击防护等方面,需要云服务提供商制定集中化、显性化和标准化的安全策略,并通过针对性的安全服务或产品,构建多维度、多层次的云平台安全防御体系,切实保障客户云端业务的安全顺畅运行。
2业界领先云平台安全产品提供商对标研究
AWS(AmazonWebServices)云安全,将云服务与云安全高度结合,通过多种途径持续提升和整合安全能力,使AWS云安全产品成为AWS云服务的重要组成模块。AWS从应用安全、网络安全防护和事件管理等维度为用户提供Web应用防火墙、应用程序自动化安全评估、云监控、配置托管、云追踪等安全服务,并通过在全球合作伙伴计划中加强与安全解决方案提供商的合作,构建安全的云平台。Amazon还采用产品融合、共享客户资源形式吸纳合作方,同时引入数据库、网络、应用层面的安全厂商,形成对云安全功能的全面覆盖。在产品发展策略上,AWS保持云服务领域价格优势的同时加大安全管理投入,建立安全与服务的良性循环,持续整合产业链各环节的资源和能力,不断壮大云安全生态圈,完善云安全产品体系。阿里云安全,经历了云服务安全、云安全产品、云安全解决方案三个发展阶段,凭借强大的研发优势自主开发云盾系列安全产品,为客户提供层次化的立体安全服务。阿里云安全产品体系包括服务器安全、Web应用防火墙、DDoS高防IP、移动安全、数据风控、阿里绿网、加密服务、安全管家等产品,涵盖主机和网络安全、移动安全、数据安全、业务安全、内容安全以及安全技术和咨询服务等多个领域。阿里云基于大数据安全分析技术推出的态势感知产品,具备安全监控、入侵检测、弱点分析、威胁分析等功能,能够辅助客户建设自己的安全监控和防御体系。阿里云在推动自身产品创新和发展的同时,还广泛与国内外专业安全厂商合作,开放资源,共建云安全生态。作为北美电信巨头,Verizon较早将战略聚焦在云安全能力提升上,通过一系列收购、合作形成云安全产品的全球服务能力。Verizon企业级安全产品品类丰富,包括DDoS攻击防护、网络威胁监测/网络威胁高级分析、可管理安全服务(MSS)、统一安全服务、威胁与漏洞管理等,能够为企业用户提供综合的网络和信息安全服务。Verizon认为安全的云平台具备三个特征:强大的逻辑和物理安全控制手段,稳健的治理、风险和合规性策略以及丰富的增值安全服务。Verizon的可管理安全服务能够主动识别漏洞并优先处理云端威胁,改善IT安全策略和流程进而提升云计算安全,实现风险管理。在Gartner的2015年全球MSS市场魔力象限分析报告中,Verizon再次评选列入领导者象限。IBM云安全,通过其设计灵活的DynamicCloudSecurity产品组合为用户云计算中的工作负载提供分层防护[2]。IBM从访问管理、数据保护、可视化和优化安全运营等维度为用户提供云身份管理、云访问权限管理、云应用安全、云网络安全、终端管理、云安全情报、云安全管理服务等云安全产品。IBM具备的专业服务与整合能力以及可扩展的开发者关系优势,在混合云模型中尤为突显,在产品发展策略上,IBM充分利用其混合云优势,同时整合其他云平台推出关键,逐步形成自身完善的云安全产品体系。综上所述,国内外领先云服务提供商纷纷推出云平台安全产品以强化自身在云计算市场上的竞争优势。他们或采用合作共赢的策略建设云安全生态圈;或整合多层级的云平台安全防护产品,形成一体化的安全服务体系,其发展思路和产品策略可以为电信运营商所借鉴。
3电信运营商发展云平台安全产品的思路和策略
经过近年来的技术积累和大规模投资建设,电信运营商不同服务类型的云平台在规模商用阶段取得长足发展,并进一步凭借资源优势、网络优势、云网协同解决方案等持续拓展云计算市场。另一方面,电信运营商在网络和信息安全防护方面有着丰富的经验,面向企业和公众客户逐步推出涵盖应用、网络、终端等领域的云安全产品和服务,如云Web应用防护、DDoS攻击防护、移动终端防护、安全专家服务等。不过当前电信运营商的云平台安全产品体系普遍存在产品品类不足,核心功能有待完善,尚未实现内外部资源整合,难以满足广大云平台用户对安全服务的迫切需求等问题,同时欠缺整体的云安全产品规划和研发过程管控,互联网化运营资源和经验不足,客户需求响应速度有待提升。在上述背景下,电信运营商若要在激烈的市场竞争中占据主动地位,需要依托自身强大的网络资源、运营经验和渠道优势,联合业界领先的安全产品和服务提供商,深入挖掘云平台客户痛点,分步骤有序地发展重点产品,逐步构建并完善云安全产品体系,对外提供多维度、层次化的云安全服务能力,以持续性创新应用满足多样化的市场需求。云平台安全产品的目标体系可分层搭建,其中电信营商一体化的业务支撑体系、基于客户的云安全产品商业模式和云平台基础设施资源构成了整个目标产品体系的基石,也是对内部资源和商务体系中所有参与者整合所建立起的价值活动平台,将电信运营商与客户和产业链其他角色连接起来,实现高效的价值创造、交换和分配。目标体系的底层由可快速部署、灵活易用的安全服务单产品组成,此类产品技术成熟度较高,具备功能单一、可单独计费销售的特点。综合考虑目前产品成熟度和市场规模,结合业界标杆企业对比分析,以及客户的接受程度、业务吸引力等,在现有的云WAF、DDoS攻击防护等基础产品上,积极引入具备高级威胁防御、威胁预警能力的云安全Web网关,以及Hypervisor安全保护、vFW、云IDS/IPS等虚拟化级云安全产品,主要客户包括Web服务的受众、云托管网站、各类企业用户等。目标体系的中间层以安全信息和事件管理(SIEM)为核心,运营商可以采取与业界领先的服务提供商合作,构建面向云服务的SIEM平台,提供云中监测、云中审计、违规分析等功能,并为客户提供灵活多样的报表服务,进一步可根据不同应用场景及客户需求,与其他基础安全产品整合或根据行业特殊性形成安全服务包,面向具有较高信息安全要求的行业客户如金融、政府机构等。目标体系的顶层主要提供高端增值业务,如渗透测试、风险评估、安全调度以及完整、系统的客户解决方案。电信运营商可以采取自研自建与外购安全产品结合的方式完善云平台安全产品体系。基于运营商大网能力自行开发与云服务深度融合的核心安全产品,同时通过采购专业安全企业的成熟产品来扩展云安全产品业务线,增强相关竞争实力,建立并依赖合作伙伴生态圈,整合多样化的合作供应商和安全产品供用户选择,满足客户端到端的云平台安全需求。
4结语
云安全体系篇4
关键词:云环境;等级保护;安全部署
中图分类号:TP309
1 背景
云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规模的共享虚拟IT资源池,为远程计算机用户提供“召之即来,挥之即去”且似乎“能力无限”的IT服务。同时,云计算发展面临许多关键性问题,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。
2003年,中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。在信息系统等级保护的建设工作中,主要包括一下几方面的内容:(1)进行自我定级和上级审批。(2)安全等级的评审。(3)备案。(4)信息系统的安全建设。(5)等级评测。(6)监督检查。
2 云计算环境下的等级保护要求
在国家等级保护技术要求中,对物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复提出要求。在传统安全方案针对各项安全要求已经有较成熟解决方案。在云环境下安全等级保防护方案,还属于比较前延新兴技术,其核心至少应覆盖以下几方面内容:
2.1 云服务安全目标的定义、度量及其测评方法规范。帮助云用户清晰地表达其安全需求,并量化其所属资产各安全属性指标。清晰而无二义的安全目标是解决服务安全质量争议的基础。
2.2 云安全服务功能及其符合性测试方法规范。该规范定义基础性的云安全服务,如云身份管理、云访问控制、云审计以及云密码服务等的主要功能与性能指标,便于使用者在选择时对比分析。
2.3 云服务安全等级划分及测评规范。该规范通过云服务的安全等级划分与评定,帮助用户全面了解服务的可信程度,更加准确地选择自己所需的服务。尤其是底层的云基础设施服务以及云基础软件服务,其安全等级评定的意义尤为突出。
3 云计算安全关键技术研究
解决云计算安全问题的当务之急是,针对威胁,建立综合性的云计算安全框架,并积极开展其中各个云安全的关键技术研究,涉及内容如下:(1)可问控制;(2)密文检索与处理;(3)数据存在与可使用性证明;(4)数据隐私保护;(5)虚拟安全技术;(6)云资源访问控制;(7)可信云计算
4 云计算面临的主要安全问题
4.1 虚拟化安全问题。由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次,可以使客户在一台计算机上安全地同时运行多个操作系统,所以严格限制任何未经授权的用户访问面临着安全的问题。
4.2 数据集中后的安全问题。用户的数据存储、处理、网络传输等都与云计算系统有关。如果发生关键或隐私信息丢失、窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计,对数据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境所面临的安全挑战。
4.3 云平台可用性问题。用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
4.4 云平台遭受攻击的问题。云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
4.5 法律风险。云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至不同国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
5 虚拟服务器的安全防护
5.1 云系统防火墙。在云系统数据中心环境中需要部署很多应用系统,各个云及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战:传统硬件安全设备只能部署于物理边界,无法对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制。
因此,云系统防火墙应增强虚拟环境内部虚拟机流量的可视性和可控性,可以随时随地为用户提供虚拟环境内部的全方位网络安全防护。云系统防火墙应采用统一安全云控制引擎、基于应用的内容识别控制及主动云防御技术,实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。可用于针对主机及应用的安全访问控制。跟传统物理防火墙相比具有不受环境空间的限制,各云端节点采用同构可互换等架构措施,源服务器隐藏在云防火墙后面,云防火墙应支持用户服务器在任意位置。同时云防火墙具有带宽聚合优化能力。云防火墙网络拓扑示意图如下:
5.2 云系统威胁与智能分析系统。传统入侵检测系统(IDS)是利用交换机端口镜像技术,在需要被监测服务器所在交换部署引擎入侵检测引擎,对攻击服务器数据包进行分析和提供告警事件。云系统威胁检测与智能分析系统(简称TDS),除具备原有IDS全部软件功能和技术特点外,TDS由在云环境下,应增加检测能力,特征检测、精确检测算法以及基于基线的异常检测为一体,使其可以检测到云系统环境更为复杂的攻击;TDS还应具备以前产品所不具备的智能分析能力,通过对事件的智能分析,帮助使用者找到真正具有威胁能力的事件,大大降低用户的运维工作量,使威胁处理成为可能。同时,提供了对网络和重要信息系统的威胁态势分析,帮助决策者实现针对当前威胁态势的安全建设决策。
5.3 云系统漏洞扫描。传统漏洞扫描系统发现是操作系统、网络设备、安全设备、中间件、数据库存在安全漏洞,对云系统平台和云设备常规漏洞的自动发现还处于空白。云系统漏洞扫描需要支持云安全配置或虚拟机漏洞检测,同时云系统漏洞扫描产品继承现有传统环境下的漏洞库,可实现虚机上承载操作系统、应用漏洞扫描。云系统漏洞扫描的体系架构如下图所示:
5.4 云系统审计。云系统审计系统主要由数据中心和审计引擎两部分组成。数据中心对外提供管理接口,主要负责对审计系统进行管理,配置审计策略,存储审计日志供用户查询和分析。云审计引擎的工作基础为审计策略,设备内置捕包、解析、响应模块,捕包模块负责对网络数据包进行捕获和重组,并根据预置的审计范围进行初步过滤,为后续解析做好准备;解析模块利用状态审计、协议解析等技术,对网络数据包进行分类过滤和解析,然后依据审计规则对重要事件和会话进行审计,同时也会审计数据包是否携带关键攻击特征。审计事件、会话和攻击均会提交至响应模块,响应模块负责根据审计策略对此进行响应,包括将审计日志上传至数据中心进行存储、发送事件到实时告警界面进行告警、对关键威胁操作进行阻断,也能通过邮件、Syslog、SNMP信息的方式将审计日志发送给其他外部系统。
5.5 云系统防病毒系统。云系统防病毒系统应支持在云系统环境下对各种主流操作系统内的病毒以及木马等进行查杀,从而保障云系统环境下的各虚拟应用主机的安全性和稳定性。云系统防病毒系统支持以虚拟机的形式部署,可工作于云系统平台内部,实现云系统平台下的防病毒功能,通过云管控系统实现自动部署。使用全网智能管理功能,网络管理员可以快速制定每台云系统主机的主动防御规则,部署针对性的防挂马网站、防木马策略,从而在最大程度上阻止木马病毒、挂马网站的侵袭。
6 结束语
尽管基于云计算环境的安全建设模型和思路还需要继续实践和探索,但是将安全内嵌到云计算中心的虚拟基础网络架构中,并通过安全服务的方式进行交互,不仅可以增强云计算中心的安全防护能力和安全服务的可视交付,还可以根据风险预警进行实时的策略控制。这将使得云计算的服务交付更加安全可靠,从而实现对传统IT应用模式的转变。
云计算环境等保安全整体解决方案,是依托自身对于传统安全防护的优势,结合云环境的安全特点,有针对性执行相应的防护,其整体解决方案的重点是以安全管控为核心,以虚拟环境状态监控以及云计算环境下维护管理的合规控制为主要的管理目标,实现集中监控和管理;对于具体安全防护手段,提供云系统漏洞扫描,提高云环境的整体安全健壮性,实现自身安全性的提升;同时支持在虚机环境上部署审计产品,加强虚拟流量的协议分析,明晰虚拟环境流量传输状况和具体的操作协议内容,对虚拟环境内部的流量进行可视化呈现。通过上述解决方案提高云计算环境安全性,确保业务的正常运行。
参考文献:
[1]《信息系统安全等级保护基本要求 GB/T 22239―2008》.
[2]《公共基础设施 PKI系统安全等级保护技术要求 GB/T 21053―2007》.
[3]《云计算安全关键技术分析》.张云勇等主编.
[1]朱源.云计算安全浅析[J].电信科学,2011,26.
云安全体系篇5
关键词:云计算;应用;安全问题;策略
中图分类号:F27
文献标识码:A
doi:10.19311/ki.16723198.2016.25.028
1云计算内涵及其体系架构
1.1云计算内涵
云计算指的是综合运用现代化信息技术集成化、虚拟化管理大量信息,形成资源池,满足用户在数据方面各种需求的一种数据处理技术、商业服务模式。实践证明,云计算能够根据用户的实际需求来分配资源,并能够在最短时间内完成部署管理。在美国,云计算被划分为基础设施(Laa)、软件(Saa)、平台(Paa)服务三个层次。现今,为提供优质服务,很多公司(微软、IBM等)已开始建立多种云服务平台。
1.2云计算体系架构
就经典云计算体系架构来讲,其主要由三个层次(云服务层、物理层及虚拟层)构成。其中,云服务层主要是统一管理与分配虚拟层中的全部设备,其可将三种服务提供给用户;物理层在云计算计算模式中占据着最基础、核心的地位,对云平台正常发挥功能至关重要,其作用为存储介质、提供计算能力;虚拟层主要负责虚拟化处理物理层中的设备,且划分物理层中的存储功能和物理层中的计算能力,以为系统系统分配数据资源来满足用户的需求奠定坚实的基础。与此同时,虚拟层还调度设备,换句话说,为实现云服务提供有力保障。基于云计算计算模式,能够有效分离用户数据资源使用权和数据资源管理权。云计算平台的存在可集中、统一管理数据,用户访问和使用数据资源时可借助移动终端、互联网终端。深入研究云计算服务模式,笔者发现云计算实质上为超级计算模式,其一互联网为中心,其利用虚拟机(内部互联,数量为一组)存储数据资源、服务及应用,进而构建出优质系统(具备超强的计算能力和并行计算能力)。就当前来看,云计算具备多种应用服务模式,例如:云主机租用、云存储、在线软件租用服务、应用平台服务等。
2云计算中存在的安全问题
2.1安全问题之泄露用户信息
传输数据、存储数据与管理数据时,用户借助云平台。由此可见,用户数据信息安全性与云计算系统安全性存有密切的关系。在实际调查中,笔者发现黑客入侵、系统功能出现异常、病毒入侵等因素会导致云计算系统泄漏、丢失用户数据信息,甚至造成更为严重的损失。从安全等级标准角度来看,大多数云计算系统并不符合要求,用户数据信息很有可能被泄露、丢失。
2.2安全问题之漏洞和攻击
互联网网络迅猛发展背景下,计算机系统经常出现安全问题――漏洞、攻击,云计算体系亦是如此。就应计算系统而言,其是大量数据资源聚集的场所,拥有众多用户。正因如此,云计算极易受到黑客的攻击。另外,高度集中的运行环境增大了云计算体系发生漏洞的可能性。漏洞、攻击的存在严重威胁着云计算系统运行安全性,且不利于保护用户的个人信息。
2.3安全问题之服务
由上文论述可知,云计算体系提供基础设施服务、软件服务、平台服务三种服务。服务不同,其的服务模式、运行方式也不同,且所面临的安全风险不同,比如:软件服务中存在数据泄露、数据丢失等安全问题,平台服务中存在用户身份验证、信息缺少备案、平台存有漏洞以致用户访问权受限等安全问题。较以往的网络安全问题来讲,数据资源的高度集中是导致云计算发生安全问题的关键性因素。此外,云计算较为虚拟,增大了应用风险。
3防范云计算中安全问题的有效策略
3.1注重管理云计算中心和用户信息
云计算中心在云计算体系中占据着核心位置,云计算所有服务的安全性取决于其的安全性,因而处理好云计算中心安全问题尤为必要。对此,笔者提出以下建议:其一,提升事件处理制度的安全级别;其二,对安全审计计划加以优化;其三,加大监控云计算运行工作的力度;其四,及时发现并采取有效措施处理安全问题。同时,为减少用户数据信息泄露事件,应加强管理用户数据信息,将数据信息的隐私性、完整性、安全等级等提升,例如:设置数据信息访问权限、加密数据信息、安全隔离防护用户重要数据信息、完善用户数据信息管理体系等。如此,用户数据信息的保密性及安全性将会明显提升,有利于保护用户的利益。
3.2创建云计算安全管理机制
云计算应用存在的安全问题各式各样,因而创建云计算安全管理机制时应充分考虑隐私保护、技术体系、数据完整性、技术体系等内容,有机结合网络、数据、云平台运行管理安全。待测评安全之后,重点解决某些安全问题。基于现存的云安全标准之上,对云安全指导体系加以构建,以解决安全等价测评层面的问题。对于云计算平台运行管理,应高度关注用户数据信息管理,将访问认证和安全审计引入其中,以提升云平台运行的安全性;对于数据安全,应落实好备份数据和恢复数据工作,安全存储数据,加密数据,保护剩余数据等;对于网络安全,应实时防护网络,促使网络安全管理得到加强,以免云平台出现漏洞、受到攻击。如此,完整、科学的云计算安全管理机制可得到构建。
3.3完善云计算安全防御体系
在云计算的内部系统受到外界的攻击及病毒的入侵,或者系统出现漏洞的过程中需要建立云计算的安全防御机制,来解决云计算带来的安全问题,建立一种安全的保障机制是必不可少的一个环节。在创建安全机制的过程中,为了能够保障安全质量,云服务的供应商需要从三个方面进行入手,分别为数据的实时监控、病毒的防御过程、网络内部的部署,在对系统的中的数据进行监控的过程中,需要借助到先进的监控技术,与此同时还可能用到的技术包括数据的恢复技术、系统异常诊断技术、修复技术等。这不仅可以保障数据的安全高效的传输,而且可以提高系统对数据处理的能力。在内部系统受到病毒的侵袭时,需要建立高级的预防病毒攻破的系统,可以有效的防止病毒的传染,不仅可以对病毒进行隔离,而且可以彻底的清理。针对系统内部全方位的安全建立及完善部署安全防御机制,避免黑客对其进行攻击。
4结束语
综上所述,文章以云计算应用及云计算应用中存在的安全问题为中心展开了相关探讨,且提出了一系列有效策略来预防云计算中的安全问题。经仔细研究,笔者得知云计算属于新型计算模式,其具备超强的计算能力,可准确、高效处理大量数据资源,在很多领域中发挥着不可替代的作用。然而,受攻击、病毒、系统自身等因素的影响,云计算应用过程中会出现一些安全问题,对云计算技术的发展具有不可小觑的负面影响。因此,为解决云计算中存在的问题、提升云计算应用的安全性,有关人员应积极研发、采取措施,以保障云计算更好地服务用户。目前,云计算应用安全方面的研究较少,希望业内人士积极参与到该课题研究中来,以为其“添砖加瓦”。
参考文献
[1]刘玮,王丽宏.云计算应用及其安全问题研究[J].计算机研究与发展,2012,(S2):186191.
[2]房秉毅,张云勇,吴俊等.云计算应用模式下移动互联网安全问题浅析[J].电信科学,2013,(03):4147.
[3]关友亮.云计算应用及其安全问题分析[J].通讯世界,2016,(13):5152.
云安全体系篇6
关键词:云计算;传媒;信息安全
随着知识经济以不可逆转的力量推动着时代的车轮飞速前进,人类社会也正经历这前所未有的快速变革,自从联合国教科文组织提出知识经济的概念20年以来,人类创造的知识成果超过近5000年文明创造的总和;在新世纪刚过去的10年,经合组织GDP50%以上是依赖于知识经济;科技进步对经济增长的贡献率甚至超过了80%。
正是在这样的知识经济蓬勃发展大环境下,广西日报传媒集团(以下简称“广西日报”)顺应时代,抓住机遇,整合出版资源,做大做强经营性文化产业。努力开创和发展包括平面媒体、网络媒体、移动媒体等全方位覆盖的全媒体传播和多元化产业发展的新格局。信息技术作为知识经济的核心驱动技术,成为引领传媒业迈向新时代的关键因素。
1 信息化建设的需求分析
自从2009年底转制为集团企业后,随着业务的快速增长和技术日新月异,广西日报在信息化工作深入应用时也遇到了一些挑战,主要体现在以下几个方面:
第一、业务层面。随着广西日报业务的不断丰富和扩展,业务模式正在开始逐步的转型,主要是“传播者本位”向“受众本位”的转型、从“组织媒介”向“大众媒介”的转型、从“宏观内容”向“微观内容”的转型。业务模式转变对信息系统支撑并适应业务转型的要求提出了新的要求。
第二、管理层面。企业化管理体制对业绩和效率要求更为明确,同时对投入和成本的控制也较事业单位时期更为严格,信息科技工作量化管理本身就是个业界难题,如何有效地治理信息系统,规范管理,降低成本,也是信息化工作面临的重要挑战。
第三、技术层面。WEB2.0时代,新一代互联网发生了翻天覆地的变化,如P2P、RSS、博客、微博、WiKi、播客等资讯传播技术如雨后春笋般涌现出来,并将迅速成为推动传媒领域技术革命的关键因素,信息科技工作不仅要将如此众多的新兴技术学习、消化、吸收,更要将技术和实际业务工作结合,无疑为信息科技工作增加了工作压力和难度。
综上所述,如果仍然延续传统的信息科技工作模式,将不能适应集团业务转型和发展的要求。为了从根本上解决信息科技工作存在的问题,确保信息系统可持续发展,广西日报决定整合IT核心系统,规范相关业务流程,打造先进、灵活、安全的IT系统,具体需求如下:
第一,采用创新的云计算模式取代传统C/S或B/S计算模式,整合现有业务系统至统一运行平台,并采用松耦合思路进行协同整合,突破各IT系统的区域和边界限制,为业务系统转型提供技术支撑。
第二,引入成熟先进的IT管理体系和规范标准,结合业务实际情况制定包括系统生命周期、技术服务管理、信息安全管理等自身IT管控体系,为信息科技工作配套管理体系打下良好基础。
第三,建设严密、协同、灵活的信息安全体系,切实有效保障业务连续性,为业务健康可持续发展保驾护航;同时,提升资源利用率,优化系统性能价格比,降低系统总拥有成本,真正实现少花钱,多办事。
2 信息安全建设总体思路及安全实践
2.1 信息安全建设总体思路
根据总体规划、分步实施的总体思路,广西日报的信息安全建设分为两个阶段,第一期项目以建设私有云为主要内容,第二期则是在一期的基础上,建设私有云和社区云的混合云为主要内容。总体建设思路如图1所示。
2.2 总体技术架构
在传媒集团信息安全建设中,云计算的最关键技术,就是如何整合计算处理、数据存储和网络传输三大子系统。在传统的C/S或B/S计算模式中,往往这三者是松耦合的,而在云计算环境中,这三者是紧耦合的——通过高速的宽带网络虚拟化技术,将处理资源及存储资源紧密有机地整合在一个完整的系统中。要实现真正意义上的云计算,必须使处理、存储、网络三大子系统实现以下关键功能:
第一、处理资源虚拟化和网络化。处理资源主要包括CPU、内存及系统总线,通过虚拟化技术将CPU、内存抽象出来,作为虚拟资源池,再通过虚拟化网络将各资源池联通,并通过管理系统进行统一资源调度,做到即可多个物理资源整合一个逻辑资源,又可将一个物理资源分割成多个逻辑资源,如现在流行的InfiniBand技术就是将传统封闭的PCI/PCI-X/PCI-E总线网络化的实例。
第二、存储资源虚拟化和网络化。存储资源主要包括各种在线、近线甚至离线存储资源,主流存储产品均支持各种网络化解决方案,包括SAN、ISCSI、NAS等,可以非常便捷地用网络管理的思路来管理存储系统。先进的存储产品可以支持虚拟化或云计算环境中的数据无缝迁移、灾备、数据消重等重要功能,如现在流行的FCOE技术就是将封闭式存储数据传输迁移到高速以太网的实例。
第三、网络传输宽带化和标准化。和传统计算环境相比,云计算环境中,网络传递的不仅是传统的IP业务数据,更多的将是各种处理资源和存储资源的数据,这些数据具有极强的实效性(纳秒级)、高可用性(99.999999%),并且要求网络具备极高的吞吐能力(万兆级)。同样重要的是,在传统网络中,IP数据是无连接的,而云计算环境中,网络传输应保障端到端业务的可靠性,所以要求网络面向连接特性更为严格。这使云计算环境中核心网络和传统的局域网、广域网、园区网有本质的区别。如现在流行的零丢包非阻塞式网络就是云计算核心网络的实例。图2为广西日报私有云建设总体技术架构图。
2.3 安全的云计算环境
在论述云计算环境的安全性时候,有必要明确的是“安全云”还是“云安全”的概念。“云安全”是信息安全领域最近炒得比较热话题,但是,“云安全“是各安全厂家借鉴了云计算的共享协作基本理念和思路,用在各自的信息安全产品的更新和协作上。使其产品能够更快速灵活的应对各种潜在和突发的安全威胁。因此,“云安全”只是一种理念,在业界有相当一部分资深人士认为“云安全”原理上甚至只是分布拒绝式服务攻击或僵尸网络攻击的反其道而行之。而“安全云”的概念和范围则要比“云安全”要广得多,技术深度也不可同日而语。“安全云”是完整的云计算环境中的信息安全体系,不仅是理念,还包括了各种管理标准、技术架构。因此,在建设安全的云计算环境光考虑云安全是远远不够的,要结合管理、技术、业务,建设并完善整个云计算安全体系。图3是广西日报的安全云体系架构。
建设广西日报安全云计算环境考虑了三方面,一是云计算技术架构,二是传统信息安全体系架构,三是引入了国内外相关的信息安全法律、法规和先进的安全标准的最佳实践。这使得广西日报私有云安全体系建设较有成效,切实保障了业务系统的安全稳定运行。
2.3.1 云计算环境下面临的安全威胁和风险
在广西日报云计算环境中,主要存在以下的安全威胁和风险,如表1所示。
2.3.2 统一集中安全认证/授权/审记
云计算环境中用户最大顾虑可能是云计算打破了传统信息安全的边界概念,无边无际,看不见摸不到,如采用传统的基于边界和各系统独立的安全思路,可以设想下这样的场景:云计算无边界限制,入口众多,各系统权限分立,安全标准不统一,缺乏事后追溯和跟踪审记,必将给云计算环境带来巨大的安全隐患。因此,在私有云计算环境中,统一入口、统一认证、统一授权、统一审记(即AAA安全体系)是极为关键的。
统一入口可以通过建立统一云门户实现,用户在统一业务门户登陆后,通过统一认证产品,集成LDAP和数字证书等多因强认证技术,对用户提供安全的单点登录服务;用户成功登录后,由统一认证系统根据用户角色和业务系统安全规则进行集中授权;用户进行业务操作时或者登出后,由统一认证系统在后台记录下用户的操作行为,在必要的时候可支持操作回溯,通过对认证、授权、审记的统一集中,根本上改进了云计算环境下存在的安全隐患。图4为云计算环境下集成统一门户、统一认证系统的系统示意图。
2.3.3 可信计算体系
安全云可信计算体系包括可信身份确认、可信资源安全列表、异常操作行为检测等内容。可信身份确认可以采用PKI数字证书信任体系,确保参与云计算的各方的双法身份;可信资源安全列表可采用云安全技术,建立私有云可信安全列表,同时,可通过安全云快速部署异常行为检测功能至各主机和应用防火墙,通过云计算的灵活性和管理弹性,实现自适应、自防御的安全云。
2.3.4 数据私密性完整性
可借助基于开放性较好的SSL或SSH等安全技术,对云数据传输进行加密,采用HASH-1对数据进行校验,如安全级别要求更高,可采用数字证书签名对数据进行完整性校验。在实际云计算生产环境中部署要特别注意两点,一是如果用户数比较多或业务流量大,SSL性能应通过硬件加速来提升,二是CA中心自身信息安全要特别注意,建议CA采用物理隔离的方式,通过RA来和吊销证书。
2.3.5 业务连续性保障
对于生产业务,云计算环境需要确保其业务连续性,业务连续性主要包括系统高可用性、灾备和相关的业务切换管理体系。需要对涉及到所有环节,包括虚拟化的主机、存储和网络等各种资源和业务操作系统、中间件、数据库、业务应用做完整的评估分析,制定有针对性的业务连续性计划,实现系统无单一故障点,同时需要制定出当严重故障发生时业务切换计划,并采取定期演练验证和改进措施,云计算环境中业务的业务连续性架构如图5所示。
2.4 云计算环境对异构客户端的支持
广西日报由于新闻传媒业务的特殊性,必定有较多的移动用户和各种异构终端需要随时随地访问各种前端业务应用,云计算的特色优势之一就是能够完美地支持不同类型的用户和各种异构终端,包括传统桌面PC、笔记本电脑,也包括各种操作系统的智能移动终端。当然,完美支持iPad、iPhone等时尚数码终端也必不可少的。通过私有云的桌面虚拟化技术将前端界面展示和后端数据I/O的职能分别剥离,让统一的界面扩展到几乎所有类型的终端,显著的降低了应用开发和部署的投入,规范了标准的用户界面,简化了终端管理,对于二期扩展到混合业务云提供也了坚实的支持支撑。如图6所示。
3 云计算实施后的效益评估
第一,利用云计算虚拟化技术,充分整合前台和后台计算、处理、存储资源,极大地提升了硬件资源的利用率,降低了硬件采购成本、管理维护成本和使用成本,进而显著降低了总拥有成本(TCO)。
第二,通过集成统一门户和统一身份认证系统,从根本上改观了云计算存在的安全性的隐患,确保不同安全级别的业务应用能够在安全的区域内稳定可靠运行,结合数据保护和业务连续性保障,形成了云计算环境下信息安全体系,为业务提供了坚定稳固的信息安全保障。
第三,统一了用户界面,支持各种异构客户端访问,改善了用户体验,提升了用户满意度;通过先进云计算的技术创新为广西日报业务转型提供有力地支撑,为广西日报树立了本地区乃至国内的行业领先形象打下了良好的基础。
参考文献
[1] 周洪波.云计算:技术、应用、标准和商业模式[M].北京:电子工业出版社,2011.
[2] 宋迪.“传媒云”的畅想[J].中国传媒科技,2011(2).
[3] 本刊编辑部.漫步云端——共话云计算在传媒领域的应用与建设[J].中国传媒科技,2011(2).
[4] 云安全联盟.云计算关键领域安全指南V2.1.[DB/OL].cloudsecurityalliance.org/.2009.
云安全体系篇7
【关键词】 云数据中心 安全防护 防护挑战 解决方案
一、云数据中心概述
云计算简单而言就是一种以互联网技术为依托的计算方式,借助云计算网络上共享的各种信息以及软硬件等其它资源,都可以根据用户的实际需求被准确的提供给包括计算机在内的其它互联网终端设备。云计算的出现对于数据中心的发展起到了很好的促进作用,在功能实现方面,迫使其从以往传统的只是提供存储设备租用以及机房空间,向着真正的按需分配的资源虚拟云数据中心转型。就云数据中心的特点来讲,其主要是通过对虚拟技术的采用来将网络当中的各种资源实施虚拟化操作,以为资源用户之间的资源交互行为提供一种灵活多变的形式。
二、云数据中心安全防护目标
云数据中心安全防护工作的目标为在确保数据安全基础之上,为数据使用者提供更好的服务。在实现这一目标的过程中,云数据中心中数据的机密性、数据的完整性是十分关键的任务。
2.1数据的机密性
在云数据中心安全防护工作中,数据的机密性指的是数据的使用主体为授权用户,而不能泄露,更不能被非授权用户所使用。为了让云数据中心的数据体现出机密性的特征,云数据中心安全防护需要从以下三个方面做出努力:首先,需要提升云数据中心安全防护管理工作队伍专业素养,这一提升过程可以通过培训工作与人才引入工作来实现;其次,云数据中心安全防护工作要重视数据加密技术的广泛应用,如数据安全传输专用链路、云数据中心数据加密以及云数据中心用户授权管理技术等。其中,数据安全传输专用链路主要是采用VPN、SSL、NAT等链路技术确保云数据中心数据传输链路的安全性能。
云数据中心数据加密则可以利用DES系统、ECC系统以及RSA系统等避免云数据中心中的数据被窃取,当然,在加密技术的使用中,服务器内部的攻击是确保数据机密工作中面临的重要挑战,为此,数据加密过程和数据存储服务之间需要具备一定的分离性,在此过程中,加密工作可以在云数据中心客户端完成,而云存储用户所使用的不对称密钥则可以由第三方机构进行管理。
当前云数据中心的用户授权体现出了粗粒度的特征,授权级别主要包括两级,即云数据中心管理员以及从管理员受众得到授权的以及用户,由于这种访问控制机制具有着一定的安全问题,因此高安全性的访问管理技术和身体认证技术是十分必要的。
2.2数据的完整性
在云数据中心安全防护工作中,确保数据不被蓄意或者偶然的重置、修改是重要的工作目标之一,只有实现这一目标,云数据中心的数据才能够具备完整性。从影响云数据中心数据完整性的因素来看,这些因素包括自然灾害、设备故障、计算机病毒、误码等。从云数据中心数据完整性的防护手段来看,则主要包括预防数据丢失与恢复数据两个方面。在云数据中心中,为了能够保证数据在处理、传输以及存储中具备完整性,管理人员进场会运用到分记处理、奇偶校验、镜像以及分级存储等技术。事实上,在云计算环境中,如果运用IaaS进行存储,则数据迁移需要承担的成本较高,另外,数据集具有着明显的动态化特征,因此,传统的数据完整性检验机制很难得到良好的效果,为此,为了确保云数据中心数据的完整性,云数据中心安全防护工作者需要充分了解云计算环境所具有的特征,并使用复制服务器以及两阶段提交协议等技术,对云数据中心中数据的完整性做出检验。
三、面临的挑战
在IT技术迅猛发展的背景下,云数据中心体现出了逐步替代传统数据中心的趋势,在此过程中,云数据中心需要面临虚拟安全域隔离以及虚拟机安全防护等诸多问题,这些问题的存在,在一定程度上制约着云数据中心得到更加广泛的运用并体现出更大的应用价值。云数据中心网络虚拟化,会让网络边界呈现出动态性的特征,因此,网络安全系统对安全策略的制定与部署是至关重要的。具体而言,当前云数据中心安全防护工作主要面临着三个问题:首先,虚拟安全域的隔离问题以及虚拟机的防护问题。虚拟交换层是云数据中心网络虚拟化中新的网络层次,这种网络层次的出现导致了网络管理边界具有了模糊化的特点,与此同时,虚拟服务器难以被原有的网络系统感知,因此,数据中心在安全隔离租户虚拟域的工作中面临着较大的挑战;其次,云数据中心资源难以实现集中管理。在云数据中心中,一个数据流需要经过多重检测,在使用传统方法开展这项工作的过程中,一般需要对不同类型的功能与设备进行简化与堆叠,这一过程需要浪费消耗较多的软硬件资源。另外,由于安全设备所具有的模型和接口存在着一定的差异,所以云数据中心资源的集中管理也较难实现;最后,安全策略如何实现全局协同,也是需要考虑的重要问题。在云数据中心中,安全控制策略和传统的网络安全控制策略具有着一定差异,安全防护工作需要针对应用所具有的特性,对不同安全域进行有效区分,为制定出有效的安全策略,而为了避免产生策略冲突,这些安全策略也需要实现全局协同,这一问题是云数据中心安全防护工作中不得不面临的挑战之一。
四、技术
在当前的云数据中心安全防护工作中,软件定义网络技术能够发挥出不容忽视的作用,在这一技术的支撑下,经过云化处理之后的边界能够形成良好的网络结构,并且也能够确保用户对存储资源以及网络资源做出良好的分割使用。于此同时,在软件定义网络基础上衍生出的软件定义安全技术以及网络功能虚拟化技术等,也能够有效确保云数据中心安全性,并提升云数据中心数据资源的利用效率。
4.1软件定义网络技术
2006年,斯坦福大学首次提出了软件定义网络,2012年,软件定义网络所具有的三层架构也得到了行业内的普遍认可。软件定义网络所具有的三层架构包括应用层、控制层以及数据层,其中,控制层对网络设备中所有的控制功能进行了继承,并且具备可编程的特征,这让控制层与数据层实现了分离,并让数据层实现了简化,在充分发挥这一优势特征的基础上,数据的使用以及开发工作都会变得更加便捷,并且网络与系统也能够根据受众的业务需求做出更加快速的响应。在云数据中心安全防护中,软件定义网络技术具有着明显的优势,首先在运用软件定义网络技术的基础上,可以制定多租户安全服务策略。软件定义网络控制器能够对网络所具有的状态信息进行感知,并可以对云数据中心安全策略和转发策略进行联合编译,与此同时,软件定义网络技术还能蚋据租户虚拟网络拓扑以及租户所提出的需求,将安全策略分布在不同的网络节点之中,这一优势让云数据中心安全策略得到了简化。另外,基于软件定义网络架构,云数据中心安全策略的实施工作与制定工作能够实现较好的隔离,在此基础上,云数据中心安全策略的实施能够体现出更好的灵活性;其次,在运用软件定义网络的基础上,云数据中心能够构建起可复用的安全服务。软件功能模块化以及软件功能的重构,能够让云数据中心对公共处理模块进行合并,从而对软硬件性能进行优化。当然,实现不同控制模型以及接口的统一化,是发挥这一优势的必要前提;最后,在运用软件定义网络的基础上,云数据中心资源可以得到集中的管理与控制。软件定义网络技术能够为云数据中心提供全局网络视图,并能够推动数据调配实现精细化,与此同时,软件定义网络技术通过对虚拟化安全设备和虚拟网络进行协调,也能够为云数据中心安全防护工作提供便利。
4.2网络功能虚拟化技术
nfv网络功能虚拟化技术指的是将电信设备运用于通用服务器,并将各类网元部署在存储器、服务器、交换机等共同构成的平台之上,在此基础上,应用能够对虚拟资源进行快速的减少和增加,并实现快速缩容与扩容,促使系统具备更好的网络弹性。
在云数据中心安全防护工作中,网络功能虚拟化技术体现出两个明显优势,首先,云数据中心租户能够利用一个平台对不同租户以及不同版本的网络设备进行登录,从而实现更好的资源共享;其次,云数据中心可以以租户具体需求为依据,对自身服务能力进行降低或者特征,从而促使自身服务体现出更好的针对性。
五、解决方案
随着信息化时代的到来,社会的数据化发展在给人们带来极大的便利化的同时,信息、数据安全问题的发生也严重影响着人们的个人利益。为此,我们提倡大力发展云数据中心,构建完善的云数据中心安全方案的主要目标之一也是为了对用户的个人信息、相关数据进行保护。但在迈入云计算数据中心时代之后,在云模式构架的影响下,传统数据安全方法遇到了巨大的挑战,无论是抽象控制还是在物理逻辑方面都需要全新的数据安全策略。与此同时各种病毒威胁的发生以及计算机网络在技术、方向方面的发展等也会引发各种网络信息问题,从而对云数据安全造成极大的挑战。因此,我们急需针对当今各种网络信息问题的产生特点,来开发和制定出一套先进的云数据中心安全防御方案,以此来为新时期云数据信息用户以及云端信息的输出,提供一个安全的信息流通环境。切实保护双方安全利益,预防由信息危机而引发的各项社会安全问题的产生。由于云数据中心安全防护涉及范围较广,且面临问题具有一定的复杂、多样性。因此,我们对云数据中心安全方案的制定也必须从大的模式构建和细小的体系建立两个方面来做起,具体来讲主要包括以下内容:
5.1云计算应用模式构建
云计算英语模式作为云数据中心安全防护的主要构成模式,其构建完善与否在很大程度上将决定着云数据中心安全质量的高低。为此,就云服务终端来讲,其安全解决方案的建立首先要在其终端构建起一个独有的安全评估和防御体系,只有如此才能够在云端与终端开展信息流动的过程中,将云端信息安全被侵扰的几率降到最低。为此,我们需要为每一台终端机选择并安装,先进的防病毒、防火墙、恶意软件查找以及IPS等安全软件系统。极大的预防各类网络安全攻击事件的发生,防止个人计算机信息数据的泄露。与此同时,浏览器作为用户与云端开展信息交流的重要媒介,其浏览器的安全与否也在很大程度上决定着云计算安全水平的提升。为此,我们必须必须积极面对,在定期对计算机病毒进行查找的同时,做好浏览器的补丁修护工作,极大的保证浏览器的安全运行。此外,由于终端当中虚拟软件通信不在网络通信监控范围内,其一旦发生匿名网络攻击云端在难以察觉的情况下,很容易受到其攻击,为此我们还应当加强对虚拟软件管理工作。通过完善的信息安全预防工作的实施,来从各个方面预防信息数据安全事故的发生,将安全隐患消灭于微。
5.2云数据防御体系建立
云数据防御体系的建立使得各种网络病毒以及威胁能够在很大程度上被云防御发现并杜绝,提升了云数据防御体系的安全预防能力。具体而言云数据防御体系的建立主要包括以下几个方面:首先,构建web信誉服务体系,这是云数据安全防护的关键也是重要组成部分之一,其预防措施要赶在web威胁发生之前,防护对象主要包括IP、网页、网站等;其次,建立电子邮件信任模型,它主要是针对上面web信誉服务来进行优化作业,以将web当中那些包含不良信息的垃圾邮件直接在这一阶段过滤掉,以防止这些已经收到污染的不安全数据、信息对云端信息或计算机造成传染害,真正的将电子邮件的收发控制在合法范围内。此外还包括,行为关联分析技术体系、自动反馈机制信任体系、以及威胁信息汇总体系的构建。从功能和内容上来讲,无论何种体系的构建起目的都是为了对云安全防御体系进行完善,不断强化其安全防御能力,帮助计算机肃清其工作、运行环境,使其各方面功能得以良好的发挥。
参 考 文 献
[1]申晋. 云计算数据中心安全面临挑战及防护策略探讨[J]. W络安全技术与应用,2016,(03):65+67.
[2]张小梅,马铮,朱安南,姜楠. 云数据中心安全防护解决方案[J]. 邮电设计技术,2016,(01):50-54.
云安全体系篇8
【关键词】电子政务 安全云 云计算 安全框架设计
一、引言
电子政务云的安全问题是当前各方最关注的问题之一。为大力推动电子政务云安全平台的建设和广泛应用,来实施面对电子政务云平台所面临的安全隐患,使电子政务安全云的平台建设应用的安全工作能够落到实处。
二、云计算安全体系架构
云安全联盟在基于云计算的三种服务模式,给出了云计算的安全框架。IaaS层位于云服务的最底层,是保证云计算体系安全的核心环节,该层能够为云应用提供基础的IT资源服务工作。IaaS层大量使用了虚拟化技术,保证虚拟化软件、虚拟化服务器的安全,尽量降低虚拟化技术所面临的安全风险,降低了安全隐患。在IaaS层中,云服务能够为服务商提供最基本的服务设施和抽象层的安全防护。PaaS处于云服务的中间层,主要起着承上启下的作用,该中间层一方面为IaaS层平台提供基础的信息资源,此外,该中间层还能为最上层SaaS提供基本的应用服务。PaaS所面临的安全风险主要为分布式文件和数据库安全,用户接口和应用安全。在云服务的中间层中,主要负责云服务和应用程序的安全问题,而应用平台和软件开发的主要安全性主要由使用用户来进行负责。SaaS层处于云服务的第一层,大部分的云服务用户主要为系统软件平台提供数据资源信息。多租户技术是保证顺利解决该问题的关键要素,但是同时存在数据信息资源隔离、客户端设备的配制问题。服务提供商对云服务的SaaS层的安全需要承担主要责任。
(一)IaaS云计算安全框架设计
1、IaaS简介
IaaS服务的核心思想是以服务产品的形式向用户交付各种能力,而这些能力直接来自各种资源池,因此,IaaS服务提供商需要完成资源池化、服务和产品设计与组装以及服务产品交付等方面的工作。IaaS的技术架构是以数据中心IT基础架构为基础,以满足用户需求的特定IT基础架构为交付物的服务交付过程的层次化模型。在IaaS的技术架构中,通过采用资源池构建、资源调度、服务封装等手段,可以将IT资产迅速转变为可交付的IT服务,从而实现了IaaS云的随需自服务、资源池化、快速扩展和服务可度量等特性。
2、IaaS的信息安全系统
从表面上看,云计算更注重共享与弹性,对于安全云的构建需要充分考虑信息封闭和权限两方面问题。IaaS系统安全体系主要是对安全域所面临的安全风险进行分析,从而形成安全、可靠的IaaS的信息安全系统。IaaS云计算功能架构,主要为接入层:指提供给用户访问云系统或用于为其他服务提供调用接口的软硬件系统。虚拟资源层:指虚拟机、虚拟存储设备、虚拟交换机、虚拟服务器等虚拟化的实体。虚拟化平台层:指服务器虚拟化软件,存储虚拟化软件,网络虚拟化软件。硬件资源层:指各种服务器,存储设备及存储网络、网络设备及连接等资源。管理层:指提供IaaS服务管理、系统运行管理及安全管理功能相关软硬件系统。
(二)IaaS云计算安全框架
1、接入层安全,云服务是一种基于Web的服务模式,同时相关管理工作也通过Web方式来管理。因此,web安全包括Web 应用系统本身的安全和web内容安全。
2、API安全,API安全主要指IaaS作为云资源,除了可以直接为用户所使用外,也可以被PaaS云服务商所使用。因此,在进行服务调用对API的验证成为一个关注的问题。
3、虚拟资源层安全,虚拟资源层安全指资源被虚拟化为虚拟资源的安全风险。
4、虚拟化平台层安全,虚拟化平台层安全指虚拟化相关软件的安全风险,各种虚拟化软件引入了新的攻击界。
5、硬件资源层安全,服务器安全主要指云计算系统中的主机服务器、维护终端在内的所有计算机设备在操作系统和数据库的层面安全性。
6、物理安全,物理安全是整个云计算系统安全的前提,主要包括物理设备的安全、网络环境的安全等,以保护云计算系统免受各种自然及人为的破坏。
三、云计算数据中心的运维对象
对于云计算的数据信息资源中心的运维管理,实际上为数据中心信息服务相关的管理工作的总称。云计算的数据信息中心的运维对象主要有:
(一)机房环境基础设施部分:该运维对象是保证云计算数据信息中心所管理设备,在正常运行过程中所包括的网络通信资源、电力资源、环境资源等。云计算数据信息管理设备对于使用用户而言,数据信息是透明的,因此,大部分的用户大多数都会关注环境因素。
(二)在提供IT服务过程中所应用的各种设备,包括存储、服务器、网络设备、安全设备等硬件资源。这类设备主要功能是为云计算的安全提供基本的数据信息资源的计算、存储以及数据通信等功能,是保证IT服务正常运行的物理载体。
(三)系统和数据资源,该单元主要包括:操作系统、数据库、中间件、应用程序等资源;除此之外,数据资源主要包括业务数据、配置文件、日志等。
(四)管理工具,主要包括基础设施监控软件管理、工作流管理、报表管理和短信管理平台等。管理工具主要是辅助管理主体能明显提高管理数据信息资源中心,以及各种管理对象,除此之外,管理工具主要负责软硬件设施的维护。
(五)人员,主要是指云计算数据信息资源的技术人员、运维人员和系统管理人员,除此之外,还包括能够提供基础服务的厂商工作人员。其中,服务厂商的工作人员是保证IT服务正常运作的基础。
参考文献:
[1]陈江.电子政务信息安全评估与防御研究[J].现代教育.2012(09)
[2]汪玉凯.电子政务需要政务云[J].信息系统工程.2012(06)
[3]汪玉凯.电子政务需要政务云-2012年中国电子政务展望[J].信息化建设.2012(01)
云安全体系篇9
(一)云计算能够提供强大的信息检索服务功能
在电子商务环境下,具备丰富的商品种类是提高电商竞争力的重要途径,而丰富的商品数量和种类又都需要数据库网络具备强大的搜索引擎功能和灵活的响应用户需求能力。云计算强大的数据处理能力能为用户提供比较全面、强大的信息检索功能,并且结合用户的个性需求和个体差异进行海量搜索,同时及时准确的反馈数据。另一方面还能提供对热点信息进行推荐与推送等较新的信息检索服务。
(二)云计算能够提供准确的数据分析能力
在电子商务活动中,需要对各个经营环节产生的海量数据作实时分析,这种实时数据分析能力已成为电商竞争的关键性因素。而借助云计算强大的数据存储和分析能力能帮助电商在最短的时间内获得最精确地数据,并且能利用数据挖掘技术做出相关性分析,辅助决策者做出有效决策。根据一定的调度策略,云计算能对数百万的计算机联合来为用户提供强大的计算能力,使用户完成单台计算机无法完成的作业。当用户在“云”中提出一个请求时,云计算会合理安排计算资源完成计算任务,响应用户需求。
(三)云计算能够改善企业电子商务应用的安全性
对于规模较大的企业来说,需要存储和传输的信息量会急剧上升,而信息的传输不可避免的要借助于网络。这就要求企业必须加大在信息安全上的投入。在企业中应用云计算,可以把数据存储在云端。由云计算提供专业、高效和安全的数据存储,使企业不必再担心由于各种安全问题导致数据不一致。
(四)云计算有助于降低成本
为了满足越来越多的交易需求,企业必须购买大量的计算机和网络设备构建电子商务系统。而且在系统运行过程中,还要定期更换计算机和网络设备。建立电子商务系统的成本较大,软件的管理、数据库的管理、安全性等等都是很大的门槛,并且与快速成长的网络服务和商务应用要求也难以匹配。使用云计算能快速解决这类问题。云计算能够提供IT基础架构,此时再也不用购买昂贵的硬件设备,也不用负担高额的维护费,只需租用云端的设备就可以了。其次是在大流量迸发的时候,可以快速升级,按需购买。
二、云计算下的电子商务安全问题
随着云计算在电子商务中的广泛应用,对于个人、公司和企业来说,云计算包含他们的隐私资源信息,从而在一定程度上使得他们运营的方式可能会发生相应的变化。尽管目前在网络安全的相关方面已经开始应用云计算,但是对于云计算来说所面对的首要的不容忽视的问题任然是云计算是否安全。而云计算环境对于用户而言到底是否安全,对于公众到底能不能够给予更高层次的服务,取决于如下三个方面的安全性问题是否能够很好的解决。
(一)云计算服务方面的安全
在用户上网时提供一定程度的保护,避免代码对用户利益的恶意损害,这可以说是的最大特点,因为云计算在过滤网页的过程中可以高效的利用所有计算机的大计算能力,这就避免了用户在当前的网络环境下,单独依靠一个终端去检查木马病毒。在访问网页的过程中为了检测是不是存在恶意代码及木马程序,云安全系统会将所有网页的过滤工作提前完成。所以说,如果用户通过云安全系统,当其登录某一个网站的页面时,就可以判断出所要访问的网页内容进行下载的话到底安全与否,可以马上获悉将要访问的页面是不是存在安全隐患。不过从总体来说上网带来的威胁并非所有,例如对终端用户来说,有可能会使用U盘,有可能会收发电子邮件。在此过程中,用户一般并不希望自己的隐秘信息被别人所获悉,所以我们可以看到,云安全系统虽然基于这样一种模式,但其仍然存在隐患。
(二)云计算传输信道安全问题
为了利用云计算的超级存储和计算能力,用户将所有的信息和资源都交给云来处理,因而传输信息和资源的云传输信道安全问题就成为云安全体系中必须妥善解决的首要问题。所以,网络服务提供商必须和云服务提供商紧密结合起来,构建出一套安全的、适合云服务的宽带传输体系,使云计算能够提供更加安全、有效的服务。
(三)云计算用户安全问题
云安全体系篇10
精准对标 融合重构
新推出的云平台InitCloud可用于统一管理数据中心,对企业传统数据中心的IT基础设施进行“融合重构”,将传统的x86架构服务器集群变成一个透明的计算、网络和存储资源池,并支持多区域部署,从而帮助企业化繁为简,使企业的IT支撑系统从成本中心转型成为推动企业核心业务不断发展的引擎,实现商业价值最大化。
该产品功能设计精准对标国标、行标,打造最符合标准规范的云平台。它采用先进的openstack技术,参照国家云计算、公安警务云平台相关标准进行架构设计;整合云存储、云安全有关技术,为打造安全数据环境提供整套解决方案;让复杂的云技术更简单、更快捷、更安全。
自主可控 构建云生态环境
加强自主创新能力建设,加快发展自主可控的战略高新技术和重要领域核心关键技术。实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。在自主可控的基础上,我们还需要实现安全可控更高的要求。
云平台InitCloud全面自主研发,健全自主可控安全可靠的云生态环境。其一体化的云安全管控平台,保障云资源安全可靠;云化环境集中管控,分域分权管理,为数据保驾护航。
除此之外,云平台InitCloud采用IDRF大数据资源管理技术,在原有三层架构云平台的基础上,加入Daas数据服务层。通过数据服务层,整合数据资源,统一对外服务;通过IT数据智能分析技术,完成从底层硬件到上层应用的全流程监控审计等,真正全面实现多余业务系统数据的横向打通。
专业化设计定制专属云平台
在互联网+的环境之下,为了符合当前互联网用户的使用习惯需求,初志科技将根据特定需求,为用户量身打造专属云平台。
正式推出的全新国产自主可控云平台产品,其产品是基于自身云存储技术优势结合云安全领域相关技术,并将先进的OpenStack技术进行了深度二次开发的基础架构云平台,通过云平台建设可全面满足企业云化的需求,帮助企业打造自己的云计算生态系统。
不仅如此,还提供专业的软硬件集成、部署服务;提供私有云平台建设咨询、设计及培训服务。
提供这样的服务,源于云平台产品将多项复杂技术耦合,以帮助用户构建云计算一体化解决方案。其产品是云平台、云存储、云安全、智能应用平台、大数据技术的高度融合。
云平台产品的设计之初严格参照了国家对云平台的相关标准,并且对标公安行业警务云标准,以此为打造行业私有云奠定了坚实的基础。
通过智能应用平台,打造全信息系统统一访问平台,降低IT系统使用复杂程度,从应用前端到云数据中心端,一体化的端到端整体解决方案。
完全自动化的安装部署,降低云技术复杂程度,基础设施资源统一管理、按需分配、综合利用、高效运维,统一规划、集约建设、精简固定化流程,共建共享信息资源,实现基础资源快速部署,将复杂的云技术简单化。
打造安全云生态
初志科技自2009年成立以来,以中科院计算所为技术支撑,率先掌握了国内乃至国际上最前沿的分布式存储技术,并在业界开创性地实现了元数据节点群与数据节点群分离的“双群”存储架构。
初志科技紧密结合存储技术研究存储安全策略,开创性地研发了一系列提升数据安全的技术和产品,填补了行业空白,应用广泛,赢得了高端存储用户的广泛好评。
如今,大数据、云计算在方便了用户的同时也带来了巨大的安全隐患,初志科技充分认识到了这一点。因此在初志科技的云平台产品中,从底层到应用,都为用户设置了充分的安全保障和措施,以保护国家数据安全为己任,不但在技术上达到了国际领先水平,同时也保障了国家的信息安全,并致力于安全云生态的构建。