云安全防护服务篇1
关键词:云计算安全防护体系
一、云计算及特点
1.什么是云计算
云计算是当今信息领域的发展热点,它不仅建立了一种基于互联网为用户提供弹性计算资源服务的新型商业模式,也提出了一条可行的通过整合网络上分散信息资源来满足“大数据、大用户、大系统”需求的技术解决途径。由于云计算在经济、敏捷、创新方面的突出特点,已成为大数据时代信息产业发展的有力推手。
云计算通常包括“云平台”和“云服务”两个部分。“云平台”是由网络、服务器、软件、数据等大规模计算资源集合及其调度与管理系统组成的“实体”中心,可为用户提供各类“云服务”;“云服务”是“云平台”的外在表现形式,主要有iaaS(基础设施即服务)、paaS(平台即服务)和SaaS(软件及服务)。
2.云计算的特点
云计算的核心思想是通过一套高效的技术机制来将大量计算资源整合成资源池,按需提供服务。与传统的数据中心相比,云计算具备以下特点:
(1)资源虚拟化
云计算通过虚拟化技术将海量的服务器、存储、网络等整合为虚拟的“资源池”。用户只要通过终端接入云平台就可获取资源,不需要了解实际资源的具置、实现方式。实际计算资源即使因各种原因发生变化或调整,也不会对用户产生影响。
(2)弹性调整
一方面,云计算可按需动态调整资源,自动适应业务负载的动态变化,以保证用户使用的资源同业务需求一致,避免资源不足引起服务中断或资源分配过多引起闲置资源浪费;另一方面,云计算资源可以根据需求进行快速、弹性扩展,以满足用户增长的需要。
(3)多租户服务
云计算采用了分布式计算和资源动态分配技术,并按照资源使用来计费,按照服务计费。这样云计算所有资源都可以被多个用户共享,用户之间也可以分享资源及应用,提高了资源利用率,实现可扩展和更低的运行成本。
(4)高效可靠
云计算服务的交付和使用都是基于网络来实现的,网络的持续高效特点贯彻云计算的始终。与传统数据中心相比,云计算使用冗余技术来实现资源的可靠性,通过数据多副本容错、计算节点同构、数据分布式存储等措施来进行备份冗余,并能实现灾难恢复,可以更好的保障服务高可靠性。
二、云计算安全风险分析
与传统网络应用不同,云计算采用了用户数据放置云端、多租户共享资源、虚拟化整合资源等技术来整合海量资源为用户提供服务,在带来低成本、高性能等好处同时,由于云平台的巨大模以及其开放性与复杂性,成为被黑客集中攻击的目标,面临了比以往更为严峻的安全风险。安全问题已成为影响“云计算”推广应用的首要因素。
参考云计算体系基本架构,从iaaS安全、paaS安全、SaaS安全、终端安全等四个方面对云计算的风险进行了分析,见表1所示。
从表1可以看出,由云平台自身特性导致的主要风险包括以下几类:
1.应用与数据集中后的数据安全风险
数据安全是指数据机密性、完整性和可用性的安全。用户的应用和数据均存储于云平台,数据传输、访问、存储、审计等各个环节都存在安全风险,可能导致数据泄露、丢失甚至被篡改。
2.共享技术漏洞引入的虚拟化安全风险
虚拟化实现了计算和存储资源的共享。但若共享技术存在漏洞,如录入数据未有效隔离,虚拟机管理程序存在漏洞等,会导致用户信息泄露,甚至非法用户通过漏洞直接控制真实资源。
3.多租户模式带来的数据泄露风险
多租用应用服务模式下,租户的数据存储在非完全可信的虚拟的云上,恶意租户可通过共享资源对其它租户和云计算基础设施进行攻击,租户敏感信息面临着极大的泄露风险。
4.安全边界不确定带来的运营安全风险
由于没有传统的物理安全边界,攻击者可以利用接口进入云环境后安装恶意软件实施破坏,或通过网络拦截方式获取用户账号信息后,冒名登陆客户的虚拟机实施恶意破坏。
5.云平台自身缺陷导致的服务中断风险
由于云平台存储着大量的用户应用及数据,更容易成为黑客集中攻击的目标。一旦因云平台自身隐患或漏洞出现问题,将可能导致服务中断,造成难以挽回的损失。
三、云计算安全防护体系架构
从云计算的基本过程来看,其“端到端”的应用模式涉及到用户终端、网络传输以及云平台内部的“基础设施、平台和应用”各个环节,仅按照以往的边界防护方式难以防范运行在平台上的应用,不对用户端和应用过程进行监管,也无法防范非法用户和恶意攻击。因此,解决云计算安全问题必须从实施基于风险的安全管理入手,即建立云计算安全防护体系。
1.云计算安全防护目标
通过整体防护,为云用户提供端到端的安全可信的云计算服务环境,保证用户的数据安全与隐私不泄露,确保应用的完整性、保密性、可用性;通过过程管理,对云计算服务各个环节进行防护管理,保证云平台运行安全可靠。
2.云计算安全防护体系基本架构
云计算安全防护体系,应按照“过程防护、分层防护、多手段综合、实时监管”的思路构建,其基本架构由基础设施安全防护、平台安全防护、应用安全防护和终端安全防护和安全管理等五部分组成。
(1)基础设施安全防护
iaaS为用户按需提供实体或虚拟的计算、存储和网络等资源,是云计算体系的基石。iaas安全除应具备传统数据中心的物理安全、网络安全、系统安全等安全防护手段外,虚拟化安全是iaaS安全防护最重要的任务。主要安全措施包括:
应用安全保护,主要是通过采取快速切换、容错虚拟机、资源冗余备份等措施,当出现硬件故障、虚拟机故障时,能及时保存用户应用进程、分配备份资源,以保证用户应用的高可用性。
虚拟化安全防护,重点是做好虚拟机与真实系统的隔离。一方面,要做好虚拟服务器的数据隔离备份和逻辑隔离,保证虚拟服务器安全;另一方面,通过虚拟化管理软件对虚拟器服务的创建、运行和销毁进行管理,保证用户不能介入虚拟化软件层;
资源安全防护,主要是用户审计,避免非授权认证用户接入、资源被非法访问。
(2)平台安全防护
paaS层又称中间层,主要包括操作系统和数据库、开发软件等中间件,为用户提供软件的应用开发和运行环境。paaS层安全包括平台安全、接口安全和应用安全,除保证为用户提供可信的软件开发运行环境外,重点是保证用户接入安全、用户应用隔离。主要安全措施包括:
用户身份认证,通过使用身份联合、单点登录和统一授权等措施,保证云环境下能安全共享用户身份信息并对其认证、授权,确保合法用户按权限安全合理的使用云资源。
云密码服务,为保证接入安全、用户数据安全,基于公钥体制为用户提供云密码服务,使用户能利用云密码服务来对自己的业务流进行加解密,保证接入安全、用户数据安全。
云审计服务,即由第三方对云环境安全进行审计,并公布相关证据及其可信度。一方面云服务提供商向用户证明提供的中间件及运行环境可信,另一方面通过对用户的应用软件审计,避免云环境被非法利用。
(3)应用安全防护
SaaS层面向云终端用户,为其提供基于互联网的应用软件服务。SaaS安全的重点是应用安全,主要安全措施包括:
数据隔离,云平台下的应用软件是将所有用户数据共同保存在一个软件实例中的,需要采用共享表结构、共享数据库等方式进行数据隔离,保证用户数据不被泄露。
数据加密,为保证放置于云端的用户敏感数据不被泄露,可通过数据加密技术在数据传输、访问、存储、审计等各个环节进行防护,保证数据的机密性。
访问权限控制,包括身份识别和访问控制,通过对用户访问权限的合理划分,建立安全的访问控制机制,来将用户对数据和应用的访问控制在云平台的不同信任域中,更好的实现用户隔离。
(4)终端安全防护
用户是通过终端浏览器接入云计算中心访问云端的各类服务,因此,云计算终端安全性直接影响到了云计算服务安全,必须纳入至安全防护体系中。主要安全措施包括:
基于用户端的终端防护,由用户在终端上部署防病毒、防火墙、漏洞扫描、防木马等各类第三方安全防护手段,避免终端和浏览器软件因自身漏洞被控制,防止用户登录云平台密码被窃取。
基于云端的终端防护,用云服务提供商采用安全云理念,在用户终端部署可信的浏览器及安全监控软件,建立从终端到云端的可信使用、加密传输路径,并通过软件监控、软件升级来发现并弥补浏览器软件存在的漏洞。
(5)安全管理
安全管理是保证云安全防护体系可靠运行、及时弥补安全隐患的重要环节。云计算安全管理包括系统管理、身份管理和运营管理三个方面。
系统管理,通过建立专用的云平台安全管理系统,对云平台的各类安全防护手段、软硬件系统进行统一管理和自动化部署,对云平台运行状态进行集中监控、智能分析,自动化进行安全策略动态调整。
身份管理,对内部的云平台管理及应用人员进行身份认证、权限管理和操作审计,避免因内部人员的操作失误或其他原因导致的安全风险。
运营管理,主要是针对云平台可能面临的风险,建立相应的登记审核、监管报告、风险评估、安全审计等一系列安全管理的制度,从制度上堵住在日常运营中因管理松懈е碌陌踩漏洞,保证安全防护体系能正常运行。
四、展望
云计算是当前发展迅速的新兴产业,但也面临极大的安全技术挑战。云计算安全不仅是技术问题,也涉及到产业标准化、行业监管、法律法规等很多方面。只有建立完整的云计算安全防护体系,通过对云计算安全风险分析,采取合理的安全技术与策略,才能更好的实现安全可信的云计算。
参考文献:
[1]肖红跃,张文科,刘桂芬.云计算安全需求综述.信息安全与通信保密,2012(11).
云安全防护服务篇2
关键词:云数据;虚拟化技术;入侵检测
1引言
云数据中心离不开云计算和虚拟化技术的支持[1],智能、高校、虚拟和融合的网络是云数据中心的主要特点。服务器的虚拟化被广泛应用到云数据中,云数据中心硬件和软件的安全问题面临着挑战,其中一个比较突出的问题是大数据在云存储中数据的安全性问题[2]。因此,分析了云数据中心存在的安全问题并提出了相应的策略。
2云数据中心网络概述
云数据中心是传统数据中心的升级,它主要根据客户的需求,利用云计算、自动化技术提供各种云计算的新服务。基于云计算技术构建新一代的数据中心,正将数据中心从“成本中心”转变为“利润中心”[3]。服务器的虚拟化被广泛应用到云数据中,该技术有效实现了底层物理设备和逻辑资源的去耦合。云数据中心网络的虚拟化感知能力可以实现资源的匹配和协调,还可以使一台物理主机承载数十台的虚拟机,同时提供多路径负载分担,从而实现高效的网络承载。随着高速以太网技术的成熟发展,相互独立的业务网络模式已不适应大规模、集约化数据中心的发展。在云数据中心中,网络融合、统一承载已成为一种趋势。
3云数据中心安全面临的挑战
网络安全法的颁布,已经将网络安全问题上升到了国家高度。云计算数据中心的网络安全技术防护措施,应从物理网络和虚拟网络同时入手防护[4]。云数据中心的安全包括物理网络安全、虚拟网络安全、虚拟机防护安全以及虚拟安全域隔离等。
3.1物理网络安全问题
物理网络安全问题主要体现在通信过程中遭遇的DDoS攻击。由于云计算的处理瓶颈,云计算服务器收到了大量的DDoS请求,使得服务器超负荷运行,阻碍或延迟了正常访问请求。一些不法分子利用此方式来监听或窃取用户数据,使用户个人信息受到安全威胁。
3.2虚拟网络安全问题
云计算数据中心采用传统防火墙模式,是基于虚拟化技术的环境,因此不能有效保证云数据的网络安全。云计算环境下的用户都是按需调用资源,一个物理主机中可能创建多个虚拟服务器。在这种多用户环境下如果监管不到位,用户的数据安全会受到严重威胁。
3.3虚拟机防护和虚拟安全域的隔离
云数据中心网络虚拟化将带来网络边界的动态性,使得云数据中心网络安全更加依赖于网络安全系统对流量的感知和安全策略的动态部署[5]。虚拟交换层是云数据中心在网络被虚拟化后增加的一个网络层次。由于虚拟交换层的出现,网络管理边界变得模糊化,虚拟服务器很难被原有的网络系统感知到,因此数据中心很难安全隔离租户的虚拟域。
4云计算环境下的数据安全技术
数据安全是云计算应用的核心和关键。为了确保数据的安全,有必要采用建立数据中心安全系统、完善认证身份管理体系、对数据进行加密等技术。
4.1建立数据中心安全系统
确保数据安全是云计算的关键所在。为了确保云中心的数据安全,首先应当建立安全的数据中心系统,通过云计算技术实现数据的共享。在确保数据安全的情况下,再对数据进行有效、全面的控制。其次,加密方法的选择和策略规则的使用。用户需要对数据进行访问或修改时,在满足规则的条件下才能进行相关操作。
4.2完善认证身份管理体系
完善身份管理体系是提高数据安全性、保密性的关键。用户可以在保证数据安全的情况下,适当放宽条件,选择合适的身份,以达到更好的用户请求。身份管理体系的完善认证可以有效改善管理体系的科学性,提高云计算的安全性。
4.3对数据进行加密
数据加密方式有两种。第一种是对数据操作进行加密,主要体现在用户对数据的查询操作方面,用户可以通过匿名认证的方式,向服务器提出访问、查询、解密、观看明文等操作,进而达到加密目的。第二种是对数据的存储进行加密。在数据存储加密过程中,用户开展加密工作时,首先要利用初始算法得到密文,然后再通过匿名认证的方法,将加密后的数据传输到云端服务器中,最后利用服务器对密文进行存储,从而达到理想的存储效果,提高数据的安全性。
5云计算安全防护策略
云计算安全防护策略有很多,针对上述数据中心存在的安全问题和采用的数据安全技术,提出了以下几项云数据安全防护策略。
5.1搭建算法可信的云架构
以服务角度来划分,目前云计算可分为公有云、混合云、私有云、移动云和行业云。无论哪一种云服务被用户使用,超文本传输协议都是必不可缺的。以互联网交易支付为例,为了加强传输的安全性,在HttpS通道中加入SSL层,利用身份验证和加密通讯的提供,分析研究发现SSL私钥是HttpS最重要的数据,如果泄露了私钥,整个通讯过程可能会被劫持,签名也可能被伪造,那么整个HttpS传输过程就无安全可言。传统的私钥和应用程序被绑定在一起,把私钥部署在云端存在着较大的安全隐患,容易造成信息泄露。在云端通过无密钥加载架构,迫使云端接触不到私钥,从而保证了用户私钥,减少了泄露的风险。
5.2加强云端安全管理
首先是对服务器安防的选择,必须建立严格的物理访问控制;其次是对自然灾害的预防,要防雷、防水、防火、防静电;最后要确保通讯线路安全,防止云端服务器遭到内部破坏。
5.3加强威胁发现管理
互联网最常见的安全防护是通过防火墙措施,它会事先定制好规则,然后对进出内部网络的数据进行一一比对,比对成功的则放行通过,对比失败的则认为是有害数据予以拦截,从而起到安全防护作用。但是,防火墙只能对来自外部的数据包进行检测和分析,对内部数据则束手无策。入侵检测系统则可以解决此类问题,保护云端数据安全。入侵检测系统先收集信息,然后对其进行分析,进而发现是否有恶意攻击的行为。由于传统的iDS对未知入侵行为检测效果不理想,因此在云端部署了iDS,让其与主机入侵检测相结合,形成一个新型分布式检测结构,以保障云计算的信息安全。
6结语
综上所述,随着网络技术的迅速发展,云计算的使用为人们的日常生活带来了极大便利,同时也给环境安全带来了极大挑战。为了有效解决这一问题,建立了全面的云计算网络体系,向人们普及信息安全管理防范意识,从而确保了网络健康、数据安全运行以及业务的稳定性。
参考文献
[1]陈鹏州.对云数据中心网络安全服务架构的研究[J].网络安全技术与应用,2018(8):64-65.
[2]孙莉娜.基于云计算的大数据存储安全探讨[J].网络安全技术与应用,2018(2):77-78.
[3]张小梅,马铮,朱安南,等.云数据中心安全防护解决方案[J].邮电设计技术,2016(1):50-54.
云安全防护服务篇3
abstract:Duetothecharacteristicsofcloudcomputingsuchasvirtualization,noboundary,mobility,itfacesalotofnewsecuritythreats.andcloudcomputingmakesallkindsofresources,data,applicationofahighdegreeofconcentration,itbringsmorerisksthantheapplicationsoftraditionalnetwork.So,theproblemofcloudsecurityistheintegrationofthetraditionalnetworksecurityandthenewsecurityproblembroughtbycloudcomputing.thisarticlegaveanalysisofthedifferencebetweenthecloudsecurityandthetraditionalnetworksecurity,cloudsecuritysituation,andgavemedium-sizedandsmallenterprisesthesecuritytransfermeasures,iaaSsecuritystrategy,paaSsecuritystrategy,SaaSsecuritystrategy,andputforwardthecloudsecurityrisksandprotectionsuggestionsformedium-sizedandsmallenterprises.
Keywords:medium-sizedandsmallenterprises;cloudsecurity;cloudsecurity;strategy
1云安全与传统网络安全的区别
云安全在广义上包含两层含义,一是云计算自身应用的安全,二是云计算在网络安全领域的应用。本文主要针对云计算自身应用的安全展开讨论。云计算安全与传统信息安全并无本质区别,许多安全问题并非云计算特有,不论黑客入侵、恶意代码攻击、拒绝服务攻击、网络钓鱼、敏感信息泄露等都是已经存在的信息安全问题,但由于云计算的虚拟化、无边界、流动性等特征,使其面临较多新的安全威胁;同时,云计算使各种资源、数据、应用高度集中,所带来的安全隐患与风险较传统网络应用高出很多。所以,云安全问题是传统网络安全问题和云计算带来的新的安全问题的综合。
2云安全现状分析
安全是用户权衡是否使用云计算服务的重要指标,是云计算健康发展的基础。目前,许多云服务提供商提出了相应的安全解决方案,amazon在保障用户系统和数据保密性、完整性、可靠性方面做了很多努力,包括认证鉴权、物理安全、备份、eC2安全、S3安全和SimpleDB等;iBm推出虚拟化网络安全平台,嵌入云计算基础构架里,具有入侵监测、网络应用程序保护、网络政策执行等安全防护功能,提供身份、访问、认证、审查等服务;CSa着重总结了云计算的技术架构模型、安全控制模型,围绕13个关注点,从用户角度阐述了可能存在的商业隐患、安全威胁,并推介安全措施。总体来说,目前云计算安全的研究主要集中在云计算系统自身的安全性、数据中心安全管理、服务连续性、用户数据的安全性、保密性等方面。
3中小企业向云的安全迁移
云计算服务可分为私有云、公共云、混合云。私有云一般在用户内网,专为某企业提供服务,但需专业的维护队伍,运行管理成本高。和私有云相比,公共云的规模效应使其成本较低、管理负担更轻,并且在资源弹性分配方面更具优势,出于性价比的考虑,中小企业应选择公共云服务,而公共云在安全方面所面临的风险要高于私有云,所以,中小企业在向公共云迁移时,应采取以下措施,规避迁移风险:
(1)选择信誉好、可信度高的云服务提供商,降低云服务提供商可能产生的负面影响。
(2)有选择性地向云服务迁移,对于企业重要数据或敏感信息,应做好各项测试和验证,谨慎迁移。
(3)做好业务迁移后的安全管理和监控,一方面应通过技术手段和合规审计验证云服务提供商的安全措施,另一方面做好自身系统的安全管理和监控,包括关键信息的备份等。
(4)详细了解服务协议、隐私协议,通过协议条款维护自身权益,包括要求云服务提供商及时更新保护系统,以及在协议终止时数据传回和提供商数据备份的流程监控等。
(5)明确云服务提供商存储企业数据的地点,尽可能控制数据的存放地,并且要注意避免因不同国家、地区的法律差异而可能引起的法律纠纷。
4中小企业iaaS安全策略
iaaS可以提供服务器、操作系统、存储、数据、信息资源。企业应用迁移到云端后,企业的数据被存放在云服务提供商的数据中心内,企业应关心数据中心的安全问题,谁能进入数据中心?进入数据中心的操作能否受到监控?除常规安全设备(如锁、门禁、摄像头、读卡器、报警器)外,中小企业iaaS在信息安全方面还需要考虑以下几个方面。
4.1物理环境的安全
(1)访问人员限制
除数据中心员工或承包商的契约条款外,还应具备有效安全机制,比如通过最小特权策略对访问进行限制,只有必要的人员才能获得特权并管理客户的应用程序和服务。
(2)身份验证
在标准安全协议中,对于站点项的身份验证、访问令牌、日志等内容,应明确列出所需验证的身份,如果要访问高敏感度数据,则需多因素身份验证。
(3)物理资产的访问管理
物理资产访问管理提供完整工作流程记录,包含申请、批准、交付、访问等活动的可审计的记录(含文档材料),并可编入工作流,以便获得来自多个身份验证方的审批,该流程遵循访问最低特权原则。
4.2网络与主机安全
在云端,企业的所有数据、应用、请求、回应都通过网络进行通信,网络与主机的安全是企业正常运营的关键,可以使用防火墙、防毒墙、入侵检测等防护系统,保障网络与主机安全。
5中小企业paaS安全策略
paaS提供应用基础设施,软件开发者可以在这个基础设施之上建立新的应用,或扩展已有的应用,它使中小企业从繁杂低效的程序开发环境的搭建、配置、维护工作中解脱出来。中小企业paaS在信息安全方面需要考虑以下几个方面。
5.1身份与访问管理
(1)身份认证/单点登录
启用单点登录,以简化应用程序访问中的用户(企业)体验,降低与额外的用户凭据有关的风险和管理负担。
(2)身份周期管理
管理企业的交付,以确保企业权限的精确。企业还应考虑采用联合身份验证,以增强现有权利在内部系统和云服务之间的便携性。
5.2信息保护
在云环境中,数据可能会处于多个范围或位置中,谁或哪些实体对数据享有“主权”至关重要,目前,云服务正在尝试允许客户(企业)指定数据的物理存储位置。
既然中小企业选择使用公共云服务,数据就会被存放在公共云中,那么承载数据的基础设施可能与其他组织共用,这就需要借助有力的数据保护措施进行数据隔离;同时,还要防范来自相同物理硬件上所共享的虚拟机被恶意攻击的威胁。
另外,还需做好数据备份、加密、验证,以及和云服务提供商之间有关数据访问和管理的协议。
5.3服务连续性
如果企业将关键业务迁移到云中,可能会有多个云服务提供商参与各环节的运作,其中包括安全监控、审计、法定责任、事件响应等,这一协作需要照顾各参与方的需求,体现出服务的连续性。若涉及高价值资产服务,则要有更严格的需求,如物理安全、额外的日志、更严格的管理员背景核查等。
云服务协议也应体现连续性,云服务协议除包含有关性能问题、管理问题的详细规划,以及网络和映像方面的责任,还应包含在服务交付遇到中断后,负责修复的责任人和流程。
6中小企业SaaS安全策略
中小企业通过SaaS,可以使用云服务提供商建立在云基础设施上的应用,用户(企业)可使用客户端设备通过浏览器进行访问。中小企业SaaS在信息安全方面需要考虑以下几个方面。
6.1工程安全
云计算环境的设计和开发应当遵循一定的流程,以在产品中包含安全和隐私保护功能,并且将安全和隐私保护贯彻到流程的每一个环节中:
(1)需求:这一阶段的任务是确定安全目标。
(2)设计:分析潜在攻击,建立威胁模型。
(3)实施:编写代码,并确保代码中不存在已知的安全漏洞。
(4)确认:确保代码满足前阶段建立的安全规则和隐私信条,开发团队还需完成公开的隐私评估。
(5):进行最终的安全审查,确保系统满足所有安全需求,包括额外的,与特定项目有关的安全需求。
(6)响应:成立安全小组,用于响应安全事件,以及对安全漏洞进行查找、监控、修复等,安全小组还需管理整个公司范围的安全流程,并承担协调和沟通工作。
6.2安全设计框架
安全设计框架用以加强SaaS服务的安全性,包括如下几个方面:
(1)审计和日志:对安全相关事件的记录、监控、查看。
(2)身份验证:证明身份的过程,如用户名和密码。
(3)授权:应用程序为角色、资源及运作提供访问控制。
(4)通信:决定数据安全传输的方式。
(5)配置管理:从安全的角度考虑,管理应用程序和处理配置的方式。如:应用程序以谁的身份运行?链接到哪个数据库?设置是如何保护的?
(6)算法:用于保证应用程序的机密性和完整性。
(7)例外管理:用于处理应用程序错误和例外事件。
(8)敏感数据:用于保护数据在内存、网络以及存储过程中的安全。
(9)会话管理:用于保护用户和应用程序间的操作。
(10)验证:在开始处理之前,对数据进行验证、筛选或约束,确保收到的数据可信、安全;验证还包括对输出进行整理。
7中小企业云安全风险与防护
由于中小企业大多处于公共云环境,安全威胁和私有云相比更为直接,情况也更为复杂,针对中小企业的云安全风险,分析以下几点,并提出防护建议:
7.1黑客入侵
云数据中心集存大量敏感数据,成为黑客攻击的目标。应包括针对网络的防护(防火墙、ipS、DDoS)、针对系统的防护(弱点管理、主机型入侵防护)、针对应用的防护(应用程序渗透测试、waF),并强调纵深的层层防护,阻挡黑客攻击。
7.2恶意员工
为防止云服务提供商内部的恶意员工窃取企业的敏感数据,应强化数据访问权限控制,并定期对访问日志进行审计;另外,加密敏感数据,并提供安全的传送通道。
7.3共享基础设施的安全隐患
在公共云中,用户(企业)无法选择“邻居”,在多租户的环境下,恶意的云用户,可能利用共享的设备或资源,窃取其他用户的数据。防护措施是:在各租户间建立完善的隔离机制,软硬件资源应有适当的权限划分;此外,各租户间建立监控机制,同时定期执行弱点扫描,修补共享资源中的漏洞。
7.4云计算资源滥用
若有黑客入侵主机,其可能向主机发送垃圾邮件,或散播恶意代码;黑客有可能租用云计算资源从事非法活动(钓鱼网站、木马、僵尸网络等)。防护措施是:对租户进行严格身份验证,若有不良行为,追究法律责任;实施异常流量监控,采取有效措施防止恶意攻击或垃圾邮件。
7.5数据中心的安全审计
云用户(企业)不易对云服务提供商地安全控制措施和访问记录进行审计,目前也没有针对云数据中心的认证标准,但需提醒的是,现有的认证制度可以提升安全程度,但涵盖面可能不能完全包含云构架下的所有范围。
7.6灾备管理
应建立健全灾备管理机制,以避免数据中心因各种意外造成的如服务中断、数据遗失等损失。
云安全防护服务篇4
自计算机网络诞生以来,网络的安全防范问题就一直存在,计算机网络技术这个“盾”与各种网络攻击技术的“矛”一直并存,并从未消失。就整体而言,计算机网络安全可以分为信息安全和控制安全这两大部分,也即信息本身的安全和信息传递过程中的安全。常见的威胁因素也有很多,主要有毒程序的侵入、物理威胁、系统漏洞等。与传统的网络环境一样,威胁”云”计算下的网络安全的问题也很多,可以总结如下。
1.使用环境安全性
自然环境的安全问题是影响网络安全的最基本因素,它包括网络管理者的误操作、硬件设备的瘫痪、自然灾害的发生等。计算机网络是一个由网络硬件、网络软件共同组成的智能系统,容易受到诸如潮湿、电磁波、振动、撞击等外部使用环境的影响。虽然“云”计算网络环境有效改善了数据信息的存储安全问题,但对于传统网络下使用环境的安全性问题,在“云”计算网络环境下同样存在;并且由于“云”计算环境下的数据存储管理方式的改变,其对于其使用环境的安全性提出了更高的要求。
2.数据存储安全性
数据存储的安全与否,长久以来一直困扰着计算机网络的发展。传统网络环境下,虽已能实现数据共享,但数据多是单机存储,其安全性主要由单机防护能力、数据通信安全等方面决定。而在“云”计算网络环境下,数据主要存储在服务商提供的“云”里,数据存储的安全与否,很大程度上取决于“云”服务提供商的技术能力和诚信水平。这就对服务商的诚信及其“云”存储技术保障能力提出了更高的要求,也对用户安全使用数据的能力提出了更高的要求。
3.数据通信安全性
计算机网络产生的主要目的是为了数据的共享和信息的传递,数据的通信成为网络必不可少的环节,这也是传统网络环境下最易受到外部攻击的部分。“云”计算网络环境下,数据通信安全性主要体现在数据在传输过程中易受到安全威胁。其主要包括:(1)攻击“云”计算服务器,通过短时间内向“云”计算服务器发送超量的服务请求,堵塞信道,导致用户正常的服务请求无法完成;(2)侵入系统、篡改数据,通过黑客技术入侵“云”计算服务器或用户系统,对合法用户的数据进行篡改、删除,造成数据的破坏;(3)监听数据、窃取信息,通过对数据传输过程监听的方式,窃取相关的个人信息和数据信息。
4.身份认证安全性
“云”计算网络环境下,“云”服务器处于计算机网络环境的中心位置,其他用户正常使用的前提是要有合法用户的注册和身份认证。身份认证技术是网络信息主动自我防范和保护的重要手段,同时也是最易遭受攻击的环节。其主要表现为:(1)通过攻击“云”计算用户管理服务器,窃取诸如合法认证用户的用户名、密码等个人信息,非法登录,进行数据操作;(2)通过对网络信道进行非法监听、病毒侵入等手段,窃取合法用户信息,导致用户注册信息及系统数据的泄漏。
5.虚拟环境安全性
“云”计算网络环境不同于传统的网络环境,它整合网络资源构建虚拟的服务环境,用户使用的资源来自“云”端,而不是固定的网络实体。用户都是通过临时租用的方式获得服务,可以有效解决硬件设备不足、运算能力不够等问题,提高整体网络资源的使用度,提升整体计算机网络的运算能力。但是需要注意的是,“云”计算是高度整合的虚拟网络环境,数据中心缺少边界安全保障,传统入侵检测技术无法确保数据中心的安全。
二、“云”计算环境下网络安全防护策略
1.“云”端数据防护策略
目前大量的数据,特别是企业的重要核心业务数据大都采用“云”端存储方式。“云”端数据库的使用为用户带来了极大的方便,但也引发了大家对该存储方式安全性的疑虑。“云”计算服务提供商的网络安全吗?是否会造成数据的泄漏?对于这些问题都需要“云”计算服务商加以技术保障和解决。同时,国家也应出台相应的行业法规对“云”计算服务提供商的行为加以约束。另外,从用户的角度来说,要加强对存储数据安全性的防范,对于“云”端数据可以采用定期备份的形式加以保护。同时,为了保证备份数据的安全性,可以对其进行加密,从而保证客户信息的安全。
2.技术防护策略
有效的技术防护可以保障网络环境的安全性,比如:选用规模化的”云”计算软件,并及时更新,弥补软件漏洞;建立用户数据隔离机制,避免多个虚拟机相互攻击;加强诸如”云”加密等安全技术的使用;建立可靠的数据安全存储机制。“云”安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。结合“云”计算网络环境下只能实现逻辑划分的隔离,不能设立物理安全边界的特点,建设“云”计算安全防护中心,将原来基于子系统的安全防护,扩展到对整个“云”计算网络环境的防护,保证网络防护能力的提升。
3.多重身份认证策略
为了解决身份认证方面存在的不安全因素,可以建立多重身份认证的机制。例如,可以将诸如指纹、视网膜等生物认证技术,动态电子口令认证形式,USBKey认证技术加以引入,从而加强网络安全环境。在加强对合法用户登录使用的同时,还要加强对非法认证用户入侵的管理和防范,通过建立报警与黑名单锁定等机制,进一步加强“云”计算网络环境的防护能力。
4.访问控制策略
访问控制策略是维护网络系统安全、保护网络资源的重要手段。它的主要任务是防止网络资源被非法利用。其涉及的网络技术比较广,包括入网的访问控制、网络权限控制、属性安全控制、网络服务器安全控制等方面。在“云”计算网络环境下可以采用多种访问控制策略相互配合的方式,从而实现对不同用户的授权,满足不同用户设置不同级别的访问权限,有效保证“云”计算网络安全。
5.网络环境安全控制策略
在“云”计算网络环境下,为保证数据传输的安全性,可以使用网络安全协议。同时可以对数据进行加密,保证数据在信道传输时不被监听和窃取。同时,还可以建立基于信任的过滤机制,使用网络安全策略管理工具。
6.非技术性安全管理策略
在“云”计算网络安全中,除了采用上述的技术措施之外,还可以通过制定管理规章制度,加强网络安全管理,从而确保网络安全、可靠地运行。“云”计算网络的安全管理策略包括:确定安全管理等级和安全管理范围;所有添加到网络基础设施中的新设备都应该符合特定的安全需求;制订有关网络操作使用规程和人员管理制度;制定网络系统的维护制度和应急措施等。
三、结语
云安全防护服务篇5
社会经济的发展和网络技术的进步催生出一个全新的名词“云计算”。云计算这一概念始创于2007年,它以应用计算机技术为基础,以互联网发展为前提,为客户提供更加安全可靠的数据储存方式的同时以其强大的计算能力为人们的工作或学习提供了无限的便利。但是在网络信息技术交互性和开放性的特点下,云计算在实际运用中不可避免地存在着一系列的网络安全问题。而要更大程度地发挥云计算的效力,就需要立足于云计算的发展现状解决其中存在的问题。文章首先对云计算的概念及特点进行进一步的阐释,分析现阶段云计算运用时存在的网络安全问题及其相应的解决措施。
关键词:
云计算网络安全问题概念特点解决措施
云计算(cloudcomputing)依托于网络技术的进步而发展,作为一项新兴的技术,云计算的出现不仅打破了用户传统使用计算机的方式,也进一步推动了信息化时代的发展。云计算的涉及领域很广,由许多信息网络技术相互融合而产生,但是因为出现时间较短,其中很多技术比如web数据集成、个人数据空间管理、数据外包服务以及移动上网等还不是十分成熟,对于隐私的保护还不能尽如人意,但是相信随着时间的发展,云计算将会改变现有用户对网络的认知,将信息网络发展推向一个新高潮。
1云计算的概念及其特点
客观来看,云计算并非一个具体的技术而是多项技术的整合。之所以将其称为云计算是因为本身具有很多现实云的特征:规模很大,无法确定其具置,边界模糊,可动态伸缩等。虽然现在对于云计算这一概念还没有一个确切的定义,但是简单来说,云计算就是建立在网络技术上的数据处理库,但是由于其规模极大,性能极强,能够通过一个数据中心向多个设备或者用户提供多重数据服务,帮助使用者用以最少的空间获得最大的信息来源。因此,云计算的核心所在便是资源与网络,由网络组建的巨大服务器集群能够极大地提升资源的使用效率与平台的服务质量。从云计算的研究现状来看,云计算大致呈现出几个特点:首先,规模极大且虚拟性极强。迄今为止,已经有几百万台的服务器支撑着云计算的运转与数据的存储,同时通过网络技术的即时传播,用户能够在任何位置、任何地点获取到服务。同时,由于请求的“云”并非实体,云计算在实际运行中也显示出超强的虚拟性。其次,按需收费但价格低廉。云计算能够向终端提供各种资源,但是用户需要向平台缴纳一定的费用,但是在公用性与通用性极强的特点下,“云计算”的资源利用率极高,这也使得云计算的收费极为低廉。当然,云计算也具有极高的拓展性,不断地进行资源获取与资源处理以便更好地满足用户及其应用不断增长的信息需求。
2现阶段云计算在实际运用中面临的网络安全问题
2.1客户端信息的安全
就现阶段云计算的运作现状来看,云计算是建立在现有网络基础上的大型信息处理库,而在系统中的每一台计算机都被认为云计算的一个节点。换句话说,一旦一台计算机被接入网络,那么其中的信息就极有可能成为“云”资源的一部分。这就涉及隐私保护问题,如果没有做好信息安全防护,造成一些私密信息泄露,对于一些特殊机构如政府、医院、军队等来说将是极为沉重的打击。同时,如果大量的病患信息、军事机密、政府信息等泄出,也会造成整个社会的不稳定。
2.2服务器端的信息安全
当前,云计算发展中存在的最大障碍便是安全性与隐私性的保护问题。立足于服务器端的信息安全问题来看,数据的拥有者一旦选择让别人储存数据,那么其中的不可控因素便会大为增强。比如一家投资银行的员工在利用谷歌在做员工社会保障号码清单时,实际上进行了隐私保护和安全保护职能的转移,银行不再保有对数据保密以保证数据不受黑客侵袭的职责,相反这些责任落在了谷歌身上。在不通知数据所有者的基础上,政府调查人员有权让谷歌提供这一部分社会保障号码。就最近频发的各类信息泄露事件以及企业数据丢失数据事件如2007年轰动一时的tJXX零售商信用卡信息泄露等情况来看,云计算服务器端的信息安全现状不容乐观。
3解决当前云计算安全问题的具体措施
3.1建设以虚拟化为技术支撑的安全防护体系
云计算的突出特点就是虚拟性极强,这也成为云计算服务商向用户提供“有偿服务”的重要媒介和关键性技术。同时,在信息网络时代下,基础网络架构、储存资源及其相关配套应用资源的发展和完善都是建立在虚拟化技术发展的前提下的。因此,在解决云计算安全问题时也需要紧紧围绕虚拟化这一关键性技术,以用户的需求与体验感受为导向,为用户提供更为科学、有效的应用资源合理分配方案,提供更具个性化的存储计算方法。同时,在虚拟化技术发展运用过程中还需要构建实例间的逻辑隔离,利用基础的网络架构实现用户信息间的分流隔断,保障用户的数据安全。各大云计算服务商在优化升级时要牢记安全在服务中的重要性,破除由网络交互性等特点带来的系列弊端。
3.2建设高性能更可靠的网络安全一体化防护体系
云计算中的流量模型在运行环境时在不同时段或者不同运行模块中会产生一定的变化,在进行云计算安全防护时就需要进一步完善安全防护体系,建设更可靠的高性能网络节点,提升网络架构整体稳定性。但是在当前的企业私有云建设时不可避免地会存在大流量在高速链路汇聚的情况,安全设备如果不进行性能上的提升,数据极有可能出现泄漏。因此,要提升安全设备对高密度接口(一般在10G以上)的处理能力,安全设备要与各种安全业务引擎紧密配合,实现云计算中对云规模的合理配置。但是,考虑到云计算业务的连续发展性,设备不仅要具有较高性能,还需要更可靠。虽然近年来在这个方面已经取得了可喜的成就,如双机设备、配套同步等的引入与优化,但是云计算实现大规模流量汇聚完全安全防护还有很长一段路要走。
3.3以集中的安全服务中心对无边界的安全防护
与传统安全建设模型相比,云计算实现有效安全防护存在的一个突出的问题便是“云”的无边界性,但是就现代的科学技术条件来看,建成一个无边界的安全防护网络是极不现实的。因此,要尽快建立一个集中的安全服务中心,实现资源的高效整合。在集中的安全服务中心下,各个企业用户在进行云计算服务申请时能够进行信息数据的划分隔离,打破传统物理概念上的“安全边界”。云计算的安全服务中心负责对整个安全服务进行部署,它也取代了传统防护体制下对云计算各子系统的安全防护。同时,集中的安全服务中心也显现出极大的优越性,能够提供单独的用户安服务配置,进一步节省了安全防护成本,提升了安全服务能力。
3.4充分利用云安全模式加强云端与客户端的关联耦合
利用云安全模式加强云端与客户端的关联耦合,简单来说就是利用云端的超强极端能力帮助云安全模式下安全检测与防护工作的运行。新的云安全模型在传统云安全模型的基础上增加了客户端的云威胁检测与防护功能,其具体运作情况为客户端通过对不能识别的可疑流量进行传感测验并第一时间将其传送至安全检测中心,云计算对数据进行解析并迅速定位,进行安全协议的内容及特征将可疑流量推送至安全网关处进一步处理。总的来看,利用云安全模式加强云端与客户端的关联耦合可以提升整个云端及客户端对未知威胁的监测能力。
3.5在云计算中确保数据安全
对于普通云计算用户可能缺少解决云计算安全漏洞的能力,但是在云计算使用过程中同样可以采取一些措施对一些私密数据进行保密。首先,可以在保存文件和信息时对其加密,加密虽然不能阻碍数据上传但是可以有效减少数据信息泄露情况的发生。其次,要尽量使用信誉良好的服务,大的平台、大的服务抵御安全风险的能力较强,也不屑于与营销商共享数据。同时,采用过滤器对数据进行监控与检测,查看哪些数据离开了网络,防止敏感数据泄露。
4结语
云计算是网络技术不断发展的产物,为人们的生活提供了很多的便利。但是作为新生的事物,其安全性还存在一定的争议。进一步完善云计算的安全建设,确保用户信息的安全与私密是云计算发展的重要前提之一。在新的时期,需要利用虚拟性技术、集中的安全服务中心、更可靠的高性能安全防护体系等提升云计算服务的安全可靠性,实现云计算技术的进一步发展。
作者:蔡艳蔡豪单位:河南教育学院河南广播电视大学
[参考文献]
[1]张超.云计算网络安全态势评估研究与分析[D].北京:北京邮电大学,2014.
[2]李菊茵.云计算环境下的网络安全问题及应对措施探讨[J].通讯世界,2015(9):15-16.
[3]荆宜青.云计算环境下的网络安全问题及应对措施探讨[J].网络安全技术与应用,2015(9):75-76.
云安全防护服务篇6
安全宝是一个网络防护系统,利用云计算为企业网站提供一站式的安全解决方案,能有效抵御木马、XSS、SQL注入、零日攻击、僵尸网络等恶性攻击。用户只需要登录安全宝网站注册,进行域名等简单配置,通过审核后就可以让网站处在安全宝云平台实时保护中,无需装载软件,也无须自己维护。
User用户
10月30日正式上线后,已经有2500个网站成为安全宝的注册用户,申请用户以中小型网站为主。
team团队
目前有50名员工,其中70%是产品研发和维护人员。核心创业团队都来自信息安全行业,另一位创始人郑政曾是瑞星销售部总经理,现在担任安全宝市场销售副总裁。
Businessmodel商业模式
安全宝标准版永久免费,标准版已经包含所有核心安全功能,适用于国内80%以上的网站。主要收入来自为一些网站提供云安全定制服务,实行项目制。刚签下了几个订单,收入在千万级别。
ideafrom
这个主意来自在瑞星任研发部经理时,马杰曾为很多企业网站做安全维护,尝试了web应用防火墙、杀毒软件等各种解决方案,但效果不理想,很多网站还是会被攻击。马杰认为只有提供一站式服务才可以帮助企业真正解决问题。
marketpotention市场机会
服务网站数量积累到一定规模时,安全宝会推出安全防护外的其他增值服务,如网站管理监控、加速等。
Q1:与传统网络安全防护手段比,安全宝有哪些优势?
传统解决方案需要用户购买并部署反病毒软件、防火墙、入侵检测等一系列安全设备,对日常运营、配置、维护也有很高要求,一旦某个环节出现疏漏,整个安全防护体系都会功亏一篑。对网站来说,自建网络安全防护系统通常需要投入几十万甚至几百万元。而安全防护措施如果得不到及时更新和升级,不断翻新的攻击手段会设法绕过杀毒软件、防火墙直接攻击用户。
安全宝提供的更像是一种替身服务,把用户网站安全防护的压力转移到“云端”,阻断了对用户网站的安全威胁。另外,安全宝采用了跨运营商智能调度、页面优化、页面缓存等技术,可以帮助用户提升访问速度,降低故障率,在整体上改善网站的用户体验。
Q2:怎么保证安全宝平台上的信息安全?
安全宝利用自主研发的漏洞检测引擎,可以对网页内容进行特征分析、检查和过滤用户请求。有一支专家团队做技术支持,每天会对新的网络攻击手段进行分析。通过后台特殊算法,可以第一时间判断出网站的哪些访问请求是正常的,哪些是攻击。对于部分不易判别的异常情况,专家会根据自己的经验来分析,以保证防护系统实时更新。
Q3:安全宝给未来的竞争对手建立了一个怎样的门槛?
这些年来云安全领域一直是市场空白,不是没有人想到,而是因为技术门槛非常高。不同于私人网站,企业级网站上有订单、客户资料、财务数据等大量机密信息,受攻击频率很高。据国家互联网应急中心统计,2010年中国内地有近3.5万家网站被黑客篡改,有超过90%的网站存在安全漏洞。
高并发高流量情况下保持企业网站安全高效运作是这项服务的最大难点。这要求创业团队必须有跨网络安全、黑客攻击、云计算等多个领域的技术经验储备,短期内构建一支这样的团队很困难。
Q4:你认为竞争对手可能出现在什么领域?
像腾讯、阿里巴巴这样的互联网公司,本身用户流量巨大,云架构成熟,如果切入云安全领域难度相对不大。但这些大公司本身有完整的生态系统和很好的用户黏性,不见得会在这个领域大投入。传统安全公司都是做产品,如果转型做云安全相当于颠覆了原来的组织架构,这对他们来说是一件很困难的事。即使他们决心也做云安全,也要在云端技术积累一段时间,至少需要半年甚至一年时间才能实现。
Bigtrouble麻烦问题
安全宝现在要解决的是产品和服务的升级问题。用户增长超过了安全宝的预期,目前设计的安全架构容量可以为1万家网站提供服务,但上线不到一个月,已经有超过8000家网站申请使用。受服务能力所限,有的用户提交申请后需要等待一个星期才能通过审核,短时间内安全宝还不能为某些流量巨大、架构复杂的网站用户提供服务。
askmentor
最后一问希望请教马云:用云服务的方式来解决网站的安全问题,这个市场是否大有可为?
CBn质疑初始成本比较高,投入在服务器、带宽、云端部署调度等方面,只有很少用户量情况下,这个成本非常高昂。只有用户数量达到几百万、几千万,边际成本才降得下来。但负载海量数据以及满足不同行业、不同技术架构的网站对安全防护的需求,对安全宝的服务能力是一项考验。对安全宝而言,把控好业务扩展节奏很关键。
Founder创始人
马杰34岁
云安全防护服务篇7
关键词:智能电网;云计算;体系结构;应用模式;安全问题
abstract:thesmartgridisthedevelopmenttrendofthefuturepowergrid,theinformationplatformisanimportantfoundationtosupportstrongandsmartgrid.totakefulladvantageofcomputingresourcestomeettheneedforreliablestorageandefficientmanagementofalloftheinformationofthesmartgrid,giventhesmartgridinformationplatformbasedoncloudcomputing,andspecifiesthetwoapplications.Bystudyingitscausesandputsforwardsolutionsforcloudcomputingsecurityissuesthatmayexistinthesmartgridapplications.
Keywords:smartgrid;cloudcomputing;architecture;applicationmode;securityissues
中图分类号:tn819.1文献标识码:a文章编号:
0引言
随着智能电网建设的推进,云计算、物联网等相关新技术将得到广泛应用,这些技术为用户带来效益和便利的同时,也带来新的信息安全问题。研究和解决这些问题已成为当务之急,本文讨论智能电网中基于云计算的信息平台体系结构、应用模式及其安全问题。
1基于云计算的智能信息平台的体系结构
云计算(cloudcomputing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。
云计算应用于智能电网信息平台能有效解决智能电网环境下异构资源的整合、海量数据的分布式存储和快速并行计算等问题。
基于云计算的智能电网信息平台技术架构应该包括4个层次:基础设施层、平台层、业务应用层与服务访问层。
1)基础设施层:是经虚拟化后的硬件资源和相关管理功能的集合,通过虚拟化技术对计算机、存储设备与网络设备等硬件资源进行抽象,实现内部流程自动化与资源管理优化,包括数据管理、负载管理、资源部署、资源监控与安全管理等,从而向外部提供动态、灵活的基础设施层服务,包括系统管理、
用户管理、系统监控、镜像管理等。
2)平台层:是具有通用性和可重用性的软件资源的集合,为云应用提供软件开发套件(SDK)与应用编程接口(api)等开发测试环境,web服务器集群、应用服务器集群与数据库服务器集群等构成的运行环境,以及管理监控的环境。通过优化的“云中
间件”,能够更好地满足电力业务应用在可伸缩性、可用性和安全性等方面要求。
3)业务应用层:是云上应用软件的集合,对于智能电网信息平台而言,这些软件包括电力安全生产与控制、电力企业经营管理和电力营销与市场交易等领域的业务软件,以及经营决策智能分析、管理控制智能处理与业务操作智能作业等智能分析软件。
4)服务访问层:作为一种全新的商业模式,云计算以it即服务的方式提供给用户使用,包括iaaS、平台即服务(paaS)和软件即服务(SaaS),能够在不同应用级别上满足电力企业用户的需求。iaaS为用户提供基础设施,满足企业对硬件资源的需求;paaS为用户提供应用的基本运行环境,支持企业在
平台中开发应用,使平台的适应性更强;SaaS提供的支持企业运行的一般软件,使企业能够获得较快的软件交付,以较少的it投入获得专业的软件服务。
2云计算及其在智能电网中可能的应用模式
下面就目前云计算在智能电网中可能的两个应用模式做简要陈述。
1.1基于云计算的智能电网数据灾备
智能电网的电力传输系统用于双向传送电力信息。电力设备智能化后所产生的海量电网数据每天都需要进行分析和处理。因此,典型的应用是基于云计算的数据存储(云存储),即是将用户的大量电网信息等大容量数据包存储在网络的数据中心,而用户在需要时通过安全认证后可提取。云计算一般采用分布式存储的方式来存储数据,同时采用冗余存储的方式来保证存储的电力数据的可靠性。另外,云计算系统需要同时满足大量电力用户的需求,并行地为这些用户提供服务。因此,云计算的数据存储技术必须具有高吞吐率和高传输率的特点。
基于云计算的智能电网数据灾备系统体系架构包括资源层、中间层以及用户层组成:1、资源层,对于基于云计算的灾备系统来说,这里资源层主要包括各种存储资源;2、中间层,它是云存储系统的核心,包括数据管理、资源管理、作业管理、信息管理以及安全管理等模块。其中数据管理主要是云计算环境中的各个存储服务器之间的数据传输进行管理和控制;资源管理主要是针对云存储系统中可用的存储资源进行发现、管理和控制;作业管理主要是完成用户在云存储系统中的各种存储作业的管理和调度;信息管理主要是对云存储系统中的各种存储资源信息的获取和监控;安全管理是为使用云存储系统,向用户提供认证、授权以及各种证书的签发等功能;3、用户层,它为用户提供使用云存储系统友好的统一门户界面。
基于云计算的智能电网数据灾备系统体系架构满足健壮性、灵活性、可扩展性、简单性以及安全性等特点,可以保证电力企业利用已经构建好的云存储平台进行海量数据的容灾备份。
1.2基于云计算的智能电网病毒防护
云计算具有强大数据运算与同步调度能力,可以极大地提高各种安全产品对新威胁的响应速度,同时第一时间将补丁或安全策略分发到各个分支节点。
基于云计算来实现和保证电力信息网络的安全,首先企业总部应建立一个足够庞大的服务器集群,把以往各个电力企业客户端关于采集到的有关可疑样本的大量计算工作移植到服务器端,并和诸多客户端形成互动。在基于云计算的智能电网病毒防护架构中,主要包括数据采集中心、数据分析中心、病毒中心以及客户端组成。其工作流程如下:首先客户端运行云安全模块,向病毒中心中的可疑样本数据库查询由数据采集中心采集到得可疑样本,若可疑样本数据库中存在其特征,则直接查杀。否则进行下面操作:接收数据采集中心所提供的可疑样本数据,利用最先进的技术查杀技术来分析此可疑样本,同时把最后的分析结果插入到可疑样本数据库中,并由病毒中心向所有客户端。
3智能电网中云计算的安全问题及解决措施
3.1云计算的主要安全风险
1、云计算平台中运行的各类云应用没有固定不变的服务器等基础设施,没有固定不变的安全边界,同时由于智能电网各信息系统具有集成度高、交互性强等特点。因此,安全域的划分存在一些困难,存在用户数据安全和隐私保护问题。
2、云服务安全保证问题:由于数据、服务、通信网络被服务上所控制,一旦云计算服务商出现安全问题,如何确保服务的可用性、机密性等,使用户相关利益得到保护。
3、数据优先访问和管理权限风险:通常企业数据都有其机密性,但企业把数据交给云计算服务商后,具有数据优先访问权的并不是相应企业,而是云计算服务商,就不能排除企业数据被泄露出去的可能性。
4、数据隔离风险:在云计算服务平台中,大量用户的数据处于共享环境下,即使采用数据加密方式,也不能保证做到万无一失。
5)第三方监管和审计风险:由于云计算的模式使得服务提供商的权利巨大,导致用户的权利可能以保证,如何确保和维护两者之间平衡,需要有高级别的监管和第三方审计。
3.2智能电网中云计算的主要安全措施
要解决智能电网云计算中的安全问题,可采用如下安全防护措施:
1、坚持“分区分域、等级防护、多层防御”的安全策略,将智能电网中云计算系统进行等级保护定级,将各系统划分安全域进行防护。安全防护分域遵照“同级系统统一成域”的原则,即二级系统同一安全域进行防护,三级系统同一安全域进行防护。各系统跨安全域进行数据交换时采取强身份认证、权限控制、安全监控等安全防护措施以保证所交换数据的安全,二级与三级域间边界按三级要求就高防护,按照国家信息安全等级保护的要求,根据确定的等级在横向域间边界部署网络访问控制、信息入侵检测等安全控制措施;同时在物理、网络、主机、应用、数据等方面进行等级保护纵深防御。
2、云计算服务商通过建立多数据副本机制来保证用户存储数据的高可靠性,同时建立快速的数据迁移机制,使得发生数据容灾时,能够快速把用户迁移到备份数据源上。还可以根据不同用户的服务质量要求,对于数据存放机密性、完整性提供不同保护,同时提高可用性。
3、设计相应的数据优先权管理权限,这样即使数据存储在云计算服务商处,没有相应的权限,云计算服务商是没有权利使用这些数据的。同时又能够利用权限来远程管理这些数据。其次,用户设置相应的监控模块,可以监控属于自我的数据流向和存储服务器的地址。
4、由于云计算平台数据共享的特点,无法把每一个企业数据隔离开,可以通过设置相应的域来管理属于同一个域的数据源。对于不属于此域的用户不可以查看此域中的所有数据源,同一个域中的数据在实行数据加密的同时,还使用强身份认证的方式来使用数据。
5、建立高级别的第三方监管机构,防止关键业务信息系统数据或信息被窃取或篡改,防止网络被恶意渗透或监听,以确保智能电网业务系统安全稳定运行和业务数据安全。
4结束语
随着智能电网逐渐纳入国家战略,其建设将迅猛推进,基于云计算的数据存储和病毒防护将得到广泛应用,保障云计算系统的安全稳定运行,将加速电网智能化的实现进程,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。
参考文献
[1]江道灼,申屠刚,李海翔,等.基础信息的标准化和规范化在智能
电网建设中的作用与意义.电力系统自动化,2009,33(20):1-6.
[2]王晓波,樊纪元.电力调度中心统一数据平台的设计.电力系统
自动化,2006,30(22):89-92.
[3]林峰,胡牧,蒋元晨,等.电力调度综合数据平台体系结构及相关
技术.电力系统自动化,2007,31(1):61-64.
云安全防护服务篇8
关键词云安全模型信息系统保护测评
中图分类号:tp3文献标识码:a
文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。
1简述云计算信息系统安全特性
以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。
2建立云安全服务模型及管理中心
现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。
3云安全模型的信息安全等级测评办法
云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。
3.1分析等级测评云安全模型下的控制项
根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。
3.2分析等级测评云安全模型的风险性
依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。
(1)云身份认证、授权及访问控制
云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。
(2)设置云安全边界
云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。
(3)云安全储存及数据信息备份
一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。
4结束语
综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。
参考文献
云安全防护服务篇9
云安全或将成为黑客凶器
美国《信息周刊》评论道:“竞争与应用上的迫切感进一步加深了用户的恐惧与不安。”当然,这件事情可以从两个方面来看,一方面:依托于云计算、云存储、虚拟化、SaaS的“云应用”已经势不可当,然而相关的安全问题始终有增无减,另一方面,用户在试图选择云安全产品时,却找不到可以依据的标准。
具有讽刺意味的是,在如何理解云安全这一概念上,黑客似乎有着更为清晰的逻辑,并且很快付诸行动。我们看到,黑客利用“云”中的分布式计算能力,可以更快地破解用户密码,可以更高效地通过控制“僵尸网络”实现恶意攻击。近年来几次大规模的断网事件,以及高达十几倍的分布式拒绝服务攻击流量的增长,都很好地印证了这一点――云安全所追求的防护理念,正成为黑客肆虐的“凶器”。
虽然我们不能武断地认定,在运用技术方面,黑客比技术人员进步更快。但是我们不得不承认这样一个现实:安全问题正成为企业用户迈向“云”时代最重要的一个障碍和挑战。因此,云安全的技术和理念都迫切需要全面的提升与改变。
云安全不是简单工具
“云安全面临的困惑,实际上也是安全产业走向下一个转折点的契机。”趋势科技首席执行官陈怡桦对记者表示,“新一代的云安全应跳出简单‘工具论’,采用新的技术和新的模式,实现真正的云安全。”
陈怡桦所指的“工具论”,简单来说,就是目前众多杀毒厂商炒作与关注的焦点:怎样充分利用“云架构”,更快更敏锐地获取病毒与恶意程序的信息,从而对用户端实现保护。这一防护模式的重点,更多的是将“云”作为一种工具,借其加强企业的防护能力。业内有专家说,虽然这种云安全依然重要,但必须看到那些新的挑战和主要矛盾,即很多网络犯罪者不再去攻击用户的电脑,而是直接攻击数据中心与云端本身。这使得传统的基于单机版或基于局域网的信息安全保护方式无法胜任云安全计算环境的保护,用户的担忧和困惑也由此而来。
比如在“云”时代,企业it资源的虚拟化日渐普及,而在虚拟服务器混合的环境,安全及加固标准不同的情况下,一台标准较低的虚拟机将成为虚拟化资源的负担和安全漏洞。随着数据中心的不断扩大,黑客通过攻入这样一台低防护的虚拟机,所造成的扩散率和危害性都会大大增加。
此外,像“云”中企业数据的丢失和泄漏,虚拟化所造成的技术漏洞“共享”,用户账户、服务和身份的冒用等等,都是现阶段云安全的真正“痛点”。
云安全防护服务篇10
针对云计算时代的安全需求,3月27日,东软集团了基于云计算应用的交付安全网关(aDSG)、下一代应用防火墙(niSG-nG)、高性能防火墙(Fw-RoCKet)等9款网络安全新产品,在网络安全防护方面打出了组合拳。
组合产品保驾网络安全
“在所有关于云技术的理念中,我们更应该关注的是安全,即云安全怎样处理,包括云端、不同设备之间、虚拟机之间的安全。”东软集团股份有限公司网络安全产品营销中心副总经理巴连标认为,“对于云的安全防护,不应该用传统的方法,对某部手机或某台网络设备进行网络控制,要形成一个云的保护理念,形成统一的防护层。”这正是东软之所以同时推出九大产品,从各个层面保护网络安全的原因。
据东软介绍,此次的东软neteye应用交付安全网关(aDSG)产品,是部署在云的边界、解决云安全问题的信息安全产品,它支持多种云计算平台,可采用企业部署、iaaS提供商部署、应用部署、订阅部署和云部署等五种部署模式。neteye下一代应用防火墙(niSG-nG)着眼于应用层的防护和优化应用流量,采用基于neL核心技术的入侵检测和世界领先的云安全技术,具备更细粒度的应用层安全控制。neteyeRocket系列高性能防火墙产品集防火墙、Vpn、DoS/DDoS攻击防御、入侵防御、防病毒、反垃圾邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身,并且具有万兆的吞吐量,能满足大型企业、教育网络等用户的安全需求。
除了以上三款产品外,东软同时的还包括东软neteye数据库统一访问控制系统、统一身份管控系统、安全审计堡垒机、上网管理系统、统一身份认证系统、应用安全集成网关攻击等系列新品。
针对防火墙和Utm的概念和界限越来越模糊,在防火墙方面有16年开发经验的东软坚持走高端专业化防火墙的道路,其新的下一代防火墙产品也与这一思路相一致――用FpGa芯片技术做硬件的网络带宽加速,通过软件和硬件的优化提升防火墙的性能。“Utm会逐渐淡出市场,被下一代防火墙取代。未来东软的防火墙将坚持更深入、更快和更专业的发展思路。”东软网络安全产品营销中心总经理赵鑫龙表示:“与其他安全厂商在下一代防火墙方面的做法不同,东软将专业的防火墙硬件和Utm的多核软件叠加在一起,以满足用L2-L7层的所有安全防护、检测和性能的需求。”
目前,东软neteye应用交付安全网关(aDSG)已经在通过亚马逊服务平台向国外的用户提供服务。现在,通过亚马逊平台让用户租用自己的解决方案的模式,在国外的安全厂商之间逐渐流行起来,赛门铁克、Checkpoint的云解决方案通过亚马逊云平台向用户提供服务。之所以选择这种模式,赵鑫龙称是因为鉴于国内安全厂商同质化竞争激烈的状况,东软将市场拓展的重点转向了海外市场。
重点拓展海外市场
在市场策略方面,东软将其客户分为三类:一是针对存储量要求高的专业级用户,例如通信行业用户,强调绿色节能,通过软硬件的优化降低能耗;二是在中低端市场主推Utm产品,提供小而全但性能不高的综合防护产品;三是针对介于两者之间的中高端市场,依靠多核硬件加软件,提供具有足够性能和检测深度的综合防护解决方案。