云安全安全防护
云安全安全防护范文第1篇
业内有专家感叹,云计算与我们同在,每个人很快就会用它。但想到云计算并不安全的事实,也让人感到不安。如何确保云计算的安全成为今年RSA大会的重要议题。
云安全升级
实际上,全球的数据中心正在进行技术变革,采用云计算的数据中心由于节省成本和资源,绿色环保,效率高,用户可以按需购买等,正在替代传统的数据中心,成为未来的主流。“但是,由于缺乏专门针对云计算的安全解决方案,采用云计算的数据中心正面临着重大的安全挑战。”趋势科技企业策略发展部资深副总裁瓦埃勒・(Wael Mohamed)对记者说。
趋势科技2010年安全威胁报告指出,云计算与虚拟化虽然能够带来可观的效益,节省大量成本,但将服务器迁移至传统信息安全边界之外,也扩大了网络犯罪者的活动范围。
“网络犯罪者将不再去攻击用户的电脑,而是直接攻击数据中心与云端本身。我们正面临着一场全新的挑战,不能用传统的基于单机版或基于局域网的信息安全保护方式保护云安全计算环境,我们需要采用新的技术和新的模式,保护云计算架构的安全。”趋势科技首席执行官陈怡桦在年初的渠道大会上首次宣布,“2010年,趋势科技将在原有的基于云计算技术架构的安全服务下,提供新的面向云计算的安全服务。也就是从Security From CloudComputing(来自云计算的防护)到Security For CloudComputing(给云计算提供防护),这就是云计算3.0的概念。”
瓦埃勒说,经过多年在云计算市场的耕耘,趋势科技积累了丰富的云计算及信息安全保护经验。如果说云安全1.0专注于来自网页的Web安全,云安全2.0侧重于局域网的整体保护,如今的云安全3.0,进一步扩展到了对云安全自身的保护,从而适应目前虚拟化平台被广泛应用的市场新形势。
为了更好地提供云计算安全服务,在技术上,趋势科技于2009年收购了一家总部位于加拿大渥太华的专门提供云计算安全管理的软件公司Third Brigade,并将趋势科技的理念与该公司的技术深入整合。
瓦埃勒当初正是因为趋势科技并购Third Brigade而加入了趋势科技的团队,他当初作为Third Brigade董事长暨CEO,负责策略规划、统筹管理及日常营运等项目。瓦埃勒不仅是一个管理型人才,也是技术型人才。他不仅拥有达浩斯大学资讯工程学士学位、加拿大信息系统专业人士认证,而且还完成了加拿大皇后大学硕士班商学管理学程。当初在ZixCorp、Entrust、IBM等公司,他也担任过许多重要管理职务。
给云提供保护
来自国外某咨询公司的数据统计,目前全球95% 的数据中心在 2009 年已采用了虚拟化技术,但由于缺乏专门针对虚拟化终端的安全解决方案,虚拟化设备在网络环境中正面临着更加严峻的挑战。
瓦埃勒说,截止到2008年,过半数的网络安全威胁是由于应用程序漏洞造成的,今天这一比例还在逐步增加。针对Web应用程序面对的安全问题,为防止数据破坏和网络任务中断,降低运营成本,便于系统化的管理,更有效地遵从网络安全规范,企业数据中心服务器虚拟化和流动性的比例也大幅度增加。这就对云安全提出了更高的要求,需要重新配置安全策略。
从2006年开始到现在,趋势科技已经投入数亿美元的资金,在全球建立了几个巨型数据中心,构建了一套复杂的云计算环境,专门用于收集病毒,对全球Web进行信誉评估,最终对终端电脑进行安全防护。在这一过程中,趋势科技全面了解了云计算环境下的安全风险,并准备用这些经验,为更多的云计算数据中心用户提供安全服务。
趋势科技在收购Third Brigade后,经过一年多的整合和联合开发,双方在技术上不断互补,推出了面向云计算架构虚拟服务器保护的Deep Security 7.0新产品。
瓦埃勒介绍说,Deep Security 7.0是全世界第一套能够整合Hypervisor层次VMsafe API 安全性与虚拟化服务器额外防护的软件,能对VMware环境提供完整的保护。此版本还包括一些能够改善管理、简化法规遵循、降低整体持有成本的全新功能。作为一款全新的保护虚拟化服务器的安全解决方案,它将云计算环境中的全部服务器纳入保护范围,包括操作系统、网络、应用程序等,不论用户使用的是何种运算环境、虚拟化平台或储存系统,它都能提供优异而完整的安全保护。
“Deep Security 7.0,是从‘来自云计算的防护’到‘给云计算提供防护’的概念转变中应运而生的跨时代产品。云安全3.0技术将数据中心虚拟化安全防护作为重点,为虚拟设备防护和网络设备的防护提供了有效保证。”瓦埃勒表示。
记者了解到,这套方案的主要特色包括:在云端服务器中设置一套防护模式,预防信息的外泄与中断;降低虚拟环境和云端运算环境的安全管理成本;协助达成各种法规与标准的遵循要求,例如PCI、SAS 70、FISMA、HIPAA 等;为云计算数据中心解决各种黑客攻击问题,如SQL注入攻击、跨站攻击等。
云安全的生态系统
若想解决云计算的安全性问题,仅仅依靠一个厂商的力量是不够的,需要业界联合起来,组成一个完整的生态系统,共同保护云计算的安全。目前,虽然许多厂商都认识到保护云计算安全的重要性,但由于厂商各自经营范围的不同以及各自理解的不同,仍然存在信息安全厂商、虚拟化技术供应商、网络基础设备供应商、服务器供应商、应用系统供应商、操作系统厂商等在保护云计算安全方面各自为政的局面,这不仅会让用户产生困惑,也让安全保护工作陷入无序的状态。
云安全安全防护范文第2篇
【关键词】企业云 安全 防护 攻击
1 企业云安全面临的威胁
一个存储海量企业用户数据的云存储系统,存在着巨大的非法攻击诱惑,一旦攻击者通过某种手段攻击企业云数据系统,将带来不可估量的经济损失。目前,企业云安全所存在着普遍性的安全威胁主要包括以下几个方面:
1.1 数据丢失和泄露
数据安全是企业用户关注的重点问题,由于数据泄漏会给企业带来巨额损失,因此,一般会采取相应措施来保证数据的安全性。目前对于企业云数据,一方面攻击者会通过木马程序或其他恶意程序来控制客户端,进而获取和窜改企业数据。另一方面,因为云服务供应商隔离措施或安全策略的不当,也有可能导致数据丢失或信息篡改。
1.2 网络攻击
在云环境中,应用程序基本上是在网络上进行的,这就间接催生了网络攻击频繁性和危害性,网络攻击主要有以下两种类型。第一种是账户劫持。在云环境中,攻击者利用钓鱼网站或软件漏洞来攻击企业用户,进而获取用户账号及密码信息,这样就可以使用被窃取的账号密码登陆云计算系统,窃取或窜改企业用户云中的各类机密性数据,给企业带来巨大的损失。第二种是拒绝服务攻击。通过应用层DDOS攻击等方式阻止企业用户对云服务的正常访问,这样就会导致正常操作浪费大量的系统资源,如内存、硬盘空间和网络带宽等,降低云计算服务器的反应速度,也使企业用户由于资源的大量消耗而蒙受经济损失。这种攻击能够实现很大程度上是由于企业用户数据中心没有做好针对性的安全防范措施。
1.3 技术漏洞
由于云技术发展历程较短,其共享的平台组件及应用程序还存在着一些安全漏洞,这比其它安全问题更为危险和致命,严重情况下会导致整个云计算系统瘫痪。另外,云计算资源的虚拟化特征会给传统安全策略在整个虚拟网络的全面应用造成阻碍,虚拟化会增加认证的困难,恶意代码和病毒更容易传播,安全问题产生的机率也就更大。
2 企业云安全防护方案
基于上述企业云安全面临的威胁的主要威胁,可以通过以下综合性的安全防护技术措施来提高企业云安全性能。
2.1 云平台物理安全
物理安全是云计算系统的第一道安全防线,首先是环境安全的保障。温度、湿度等环境因素会影响云计算系统的稳定运行,因此,减少环境风险是企业云安全防护的基本前提。云服务提供商要通过各项措施来保证运维环境的安全性,除了安设一些必不可缺的设备外,如温度和湿度控制器、自动灭火系统等。还应配备支持特定环境的设备,如不间断电源等,以应对各种突变的自然环境。其次是设备的维护。为了保证设备的长期不间断运行,需要定期维护设备,并详细记录维护过程中所遇到的各种疑似故障及实际故障。最后是网络设备的配置。云计算系统整体设备性能的提高是安全防护的关键,特别是网络设备。应配置多台交换设备,网络设备与网络链路应有冗余备份。某一设备发生故障时应具备自动恢复功能,且企业网络应具有访问控制、安全检测、监控、报警、故障处理等功能。主机设备的核心应采用多机负载模式,某个主机若存在故障,其它主机仍能正常运行,同样服务器设备电源、风扇等也应采用冗余配置。
2.2 云平台访问控制
首先是网络安全访问控制。云平台和企业用户之间采用路由控制方式,通过安全访问路径的构建提高网络安全。避免在网络边界处安置重要网段,应对二者进行有效隔离。且利用防火墙、IPS、ACL等技术在重要业务网段边界进行隔离。具体而言主要可以采取以下措施来控制云平台网络:限制管理终端访问网络设备;设置安全的访问控制,过滤蠕虫的常用端口;关闭不使用的端口;关闭不必要服务,如FTP、TFTP服务等;修改BANNER提示,避免默认BANNER信息泄露系统平台及其他信息。其次是边界防护。清晰界定和综合防护系统边界,科学划分系统内部区域,加强便捷访问控制,增加访问控制配置,并使用防火墙等访问控制设备对高安全等级区域进行边界防护。最后是防火墙安全访问控制。在防火墙上配置常见病毒和攻击端口的ACL过滤控制策略,防止发生病毒或蠕虫扩散,影响核心设备正常工作。
2.3 云安全数据库及配置安全
对于云数据库,应采用C2以上安全控制标准及多层次安全控制原则。操作系统软件应能根据任务合理地分配系统资源,避免由于资源枯竭而停机。软件系统应具备良好的容错能力,保证某一进程故障的出现不会影响其它进程的运行,且能自动进行升级,并具备自动恢复功能,使系统在故障情况下能快速自动恢复。
2.4 云安全监控
云安全监控的目的是确保云平台的可用性,是安全防护过程中不可或缺的。首先是日志监控。通过监控系统的输出日志来监控相关事件。其次是性能监控。通过监控网络、系统以及应用等内容,保证云计算平台的稳定运行,一旦平台发生了故障,能迅速报警。
2.5 云安全审计
云安全审计包括日志收集、数据库审计、网络审计等。云服务提供商需要部署网络和数据审计措施,对网页内容、邮件内容等敏感信息进行审计;完善地记录其日志信息,建立良好的审核机制,并合理地整理相应的目志记录,增强违规事件发生之后的审查能力。
3 结语
企业云安全面临的威胁是复杂多样的,必须针对各类安全问题采取有效性的安全防护策略,进而保证企业的各类数据信息安全,同时也能促进云计算机系统在企业的推广和应用。
参考文献
[1]聂亚伟.企业网络安全解决方案研究与设计[D].邯郸:河北工程大学,2014.
作者简介
李常福(1973-),男,河南省信阳市人。大学本科学历。中级职称。主要研究方向为信息安全及云计算。
云安全安全防护范文第3篇
关键词:云计算;安全;防护策略
中图分类号:TP393.08
在科学技术飞速发展,信息技术广泛应用的当代,云计算充分体现了“网络就是计算机”的思想,是IT领域开始向集约化、专业化以及规模化的方向发展的标志,也是IT领域的一次重大变革。然而现阶段云计算的发展还存在着很多亟待解决的问题,尤其是云安全问题逐渐蔓延,成为制约云计算发展的重要因素。并且随着云计算的不断普及应用,其安全问题越来越不容忽视[1]。如2009年,谷歌发生大批用户文件外泄的事件。为此,许多企业组织和标准化组织都开始对云计算的安全问题进行深入的研究,云安全成为云计算产品开发的焦点问题。
1 云计算的概念
云计算是通过互联网提供虚拟化资源的一种计算方式,它是由基础设施服务、平台服务还有它所依赖的互联网技术构成的。云计算具有用户计算分布性、服务面向广泛性、设备成本低廉性等特点[2]。云计算是服务方式的改变,能够使人们不用关心云的位置和实现途径,随时随地享受互联网提供的服务。
2 云计算安全的现状
云安全的概念最早是是在国外产生的,后来由我国的瑞星提出了云安全计划。为了保证云计算产业的持续、健康发展,我国逐渐加强云计算信息安全的研究。现在云计算作为IT行业的革命代表,已经成为IT行业未来发展的目标和方向,世界各国都把云计算看成是信息软件产业发展的新机遇。但是,我们也要看到,云计算自身带有的安全风险使其未来的发展、进步面临不少困难。云安全中的数据保护技术、终端防护技术,还有一些虚拟环境中的风险管理等方面都是云安全制约云计算发展的主要问题,尤其是终端用户信息的安全管理是云安全面临的最大的挑战之一。与云计算的发展相比较来说,云安全的发展还处于初级阶段,与之相关的标准也都还没有形成。因此,进行云安全的研究,不仅对云计算的发展,还对整个信息技术产业的发展都有很大的促进空间。目前一些信息服务厂家已经开始尝试着在云安全系统方面做出一些改进,只是由于每个厂家的经营内容以及对云安全的理解观念的差异,导致云安全的研究、开发工作处于混乱无序的状态[3]。
3 云计算的安全隐患
云计算面临的安全威胁主要是云的安全风险和云中数据的安全风险两个方面的问题。
云的安全风险主要是指云自身设备中存在的不安全的接口或者API,导致云系统更容易受到病毒感染以及黑客的攻击;一些云应用供应商对用户的注册管理松散,为不良分子注册成功并对云服务进行破坏埋下了隐患。用户在云计算系统中进行数据存储,云服务供应商与用户之间在云计算的模式中建立起一种相互信任的关系。当用户把数据交给云服务供应商之后,供应商应该确保数据的保密性、完整性和可控制性。云计算采用的虚拟化的数据处理,数据的无边界性和流动性使其管理存在安全漏洞,加密会降低数据的利用率,再加上一些供应商对供应链的管理不严格,合同不规范以及服务商破产、被其他企业或个人收购等问题,使云中数据存在一定的安全风险[4]。
4 云计算中的安全防护策略
云计算虽然改变了服务方式,但是依然采用传统的互联网安全模式,因此云计算的安全防护策略与传统互联网安全防护在一定程度上有异曲同工之处。随着云安全防护技术的发展,云安全的内涵也在不断的发展变化,各种新技术都在不断的被尝试融入到加强云安全的应用中去[5]。在这种形式下,云安全防护技术在不断的得到进步和完善,其中新一代云安全2.0以其在信誉保障、终端安全管理、威胁发现管理等方面的绝对优势,受到了各大云服务供应商的青睐。
4.1 加强云客户端的信誉
面对着越来越多的网络安全威胁因素,用户单纯的通过更新病毒代码等传统方法已经不能对网络威胁进行有效的防御。最新研发的云安全2.0技术中的信誉技术方面将邮件信誉技术、文件信誉技术和互联网信誉技术集合了起来,能够对网络中的信息进行合理的信誉评估。云安全2.0对高效的客户端智能过滤还有威胁防护存储信息进行充分利用,提高了在威胁侵害之前的防御功用。
4.2 加强终端安全管理
企业的终端安全市场在整体上的发展速度非常快,导致终端产品的特征变得很复杂。企业的终端安全管理面临着极其严峻的挑战。新研发的云安全技术引入了一种新的协议,系统不需要与扫描引擎共处,而是将文件信息的检查任务转移给中央服务器,这进一步提升了云端与终端的维护效率。同时,新技术在云端就能够将大部分针对服务器的威胁解除,从而节省了大量的劳动力。
4.3 加强威胁发现管理
新云安全技术首先对网络内部的安全威胁进行检测,并对其进行关联性分析,识别恶意行为,充分利用新系统中的先进技术对威胁进行分析和追踪,反馈到云端的安全中心,以及时获得防御支持。
4.4 加强运营商的管理
云计算是在社会对信息化技术的需求中发展壮大起来的,运营商在对传统互联网的服务进行改革的过程中也面临着一些无法忽视的挑战。如何在进行业务转型中赢取用户优势、运营优势、品牌优势、规模优势以及政策优势等,是运营商需要慎重考虑的问题。运营商可以采取一下措施加强云安全防护:通过可信算法建立云构架,加强安全认证,同时从多方面、采用多种方式防治用户的信息外漏;充分发挥数据加密、身份认证、安全储存等综合安全防护手段,解决云计算的虚拟化安全,保障云计算的可用性和用户信息的安全性,构建面向客户的安全防御体系;采用分级控制和流程化管理的方式,加强对云系统运营的管理技术,健全企业内部机制,对员工行为进行规范;根据自身的发展特点,建立适合自身发展特色的云安全服务体系,稳步进行云计算安全的发展,同时也要加强与合作伙伴之间的云安全方面的合作关系。
5 总结语
在社会发展的推动下,云计算的优势发展势不可挡,但是我们也要加强其安全性和可信性的管理。云安全是新推出的概念,再加上互联网威胁的动态变化性,因此云安全防护技术需要我们投入更多的人力和物力,以促进其开发和完善。作为云服务运营商,也要时刻关注云计的发展态势,推动云计算安全的进步。
参考文献:
[1]党卫红.云计算的安全防护策略分析与研究[J].读与写(教育教学刊),2010(05):69-70.
[2]范伟.云计算及其安全问题探讨[J].保密科学技术,2011(10):51-51.
[3]姚小兵,高媛.浅谈网络时代的云安全技术[J].硅谷,2010(05):37-38.
[4]洪亮.云计算时代安全问题浅析[J].无线互联科技,2011(05):15-16.
[5]刘波.云计算的安全风险评估及其应对措施探讨[J].移动通信,2011(09):87-87.
云安全安全防护范文第4篇
【关键词】物流园区;云计算;应用;安全性防护
“物联网”使得很多物流企业尤其是中小型物流企业由于其自身能力的不足,难以适应新的需求,而基于云计算的“物流云”将是一个很好的解决途径,因此,运用云计算模式构建公共物流信息平台显得非常必要。
一、云计算及其在现代化物流园区应用
(一)云计算的基本概念。“云计算”(Cloud Computing)有广义云计算和狭义云计算之分。广义云计算是指服务的交付和使用模式,这种服务可以是信息技术与软件、互联网相关,也可以是提供包括计算能力在内的其他服务,这就意味着计算能力可作为一种商品通过互联网进行流通;狭义云计算是指信息技术基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件、数据)。
(二)云计算的特点。无论广义云计算还是狭义云计算,都具有快速部署资源或获得服务、按需扩展和使用、按使用量付费、通过互联网提供等特征。
(三)云计算的服务层次。一是基础设施即服务。消费者可以通过互联网从完善的计算机基础设施中获得服务。二是软件即服务。这是一种通过互联网提供软件的模式,用户无需购买软件,而是向提供商租用基于Web的软件进行企业管理经营活动。三是平台即服务。这实际上是指将软件研发的平台作为一种服务,以软件即服务的模式提交给用户。
(四)云计算的应用方式。一是计算能力的集合。云计算最主要的应用,也是它最初提出的概念应用就是计算能力的集合。二是人们在互联网上进行检索的时候,实际上使用了互联网上的检索服务,这样的服务是由网络服务器收集了海量的网络信息,并通过多台检索计算机用特定的算法析出所需要的信息,但使用这一检索的人,不需要也不知道其检索的过程。三是信息系统软件能力的交付。管理信息系统的使用,在网络出现以前是需要购买全部的系统软硬件,在云计算时代,企业可以不去购置软件,找到云计算服务公司,由这些专业公司来提供相关服务,同样达到管理好企业的目的。在这一应用中,企业获得的不仅仅是软件能力,相关的硬件平台也通过购买其工作能力而获得。
二、云计算与“物流云”
(一)物流云。“物流云”是云计算在物流行业的应用服务,即云计算派生出物流云。物流云利用云计算的强大通信能力、运算能力和匹配能力,集成众多的物流用户的需求,形成物流需求信息集成平台。
(二)物流云与云计算的关系。快递业提出物流云概念的本质是利用了云计算数据共享的特性,把快递行业的数据进行集合、整理,并用整理后的数据指导、控制快递公司的业务运作,最终提高快递的运输效率。
三、云计算在物流行业中的发展
物流与云计算的关系紧密。如何更好地把云计算应用到物流生产活动中,让云计算在物流领域乃至更大范围的流通领域发挥作用,是当务之急。
(一)云计算在快递行业的应用。在实际运作中,快递行业中的某个企业首先搭建一个“行业云”的平台,集中行业中的私有数据,即集中来自全球发货公司的海量货单;其次,对海量货单和货单的目的路径进行整理;再次,指定运输公司发送到快递公司,最后送达收件人。在这一过程中,物流云对快递行业的收货、运输、终端配送的运作模式进行了整合,实现了批量运输。但是,快递行业只是物流行业中的一小部分。
(二)云计算在整个物流行业的应用。物流从经济层面上可以分为宏观物流和微观物流。宏观物流通常是指物流范围较广、工程量较大、具有带动经济作用的物流活动。
四、云计算面临的主要安全威胁
一是服务可用性威胁。用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。二是云计算用户信息滥用与泄露风险。用户的资料存储、处理、网络传输等都与云计算系统有关。三是拒绝服务攻击威胁。云计算应用由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,同时由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。四是法律风险。云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
五、云计算安全防护应对措施
一是构建安全的逻辑边界。在典型云计算应用环境下,物理的安全边界逐步消失,取而代之的是逻辑的安全边界,应通过采用VPN和数据加密等技术,实现从用户终端到云计算数据中心传输通道的安全;在云计算数据中心内部,采用VLAN以及分布式虚拟交换机等技术实现用户系统、用户网络的安全隔离。二是数据加密与安全存储 采用数据加密技术实现用户信息在云计算共享环境下的安全存储与安全隔离;采用基于身份认证的权限控制方式,进行实时的身份监控、权限认证和证书检查,防止用户间的非法越权访问。三是虚拟化技术等安全漏洞风险防范 通过采用虚拟防火墙、防恶意软件和虚拟设备管理软件对虚拟机环境实施安全策略,确保构建的虚拟网络与构建的物理网络一样可靠、安全;采用版本和补丁管理控制机制防范虚拟化等安全漏洞引起的潜在安全隐患。
总之,安全是广大用户权衡是否使用云计算服务的重要指标之一,是云计算健康可持续发展的基础。只有为用户提供可靠、可信、高性价比的云计算服务,企业才有可能在云计算领域取得成功。本文在总结、分析云计算应用面临的技术层面安全威胁和法律合规风险的基础上,对云计算应用安全进行了系统分析与研究,并分别从云计算服务提供商和用户角度提出云计算应用安全策略与建议。相信随着整个云计算产业链的不懈努力,以及政府监管部门相关法律法规的不断完善,云计算应用及服务将朝着可靠、安全、可信的方向健康发展。
参考文献:
[1]陈康,郑维民.云计算与云物流:云技术的行业应用发展现状[J]。软件应用学报,2009.5.
[2] 刘鹏主编,云计算(第二版),电子工业出版社,2010年
云安全安全防护范文第5篇
关键词:云环境;等级保护;安全部署
中图分类号:TP309
1 背景
云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规模的共享虚拟IT资源池,为远程计算机用户提供“召之即来,挥之即去”且似乎“能力无限”的IT服务。同时,云计算发展面临许多关键性问题,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。
2003年,中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。在信息系统等级保护的建设工作中,主要包括一下几方面的内容:(1)进行自我定级和上级审批。(2)安全等级的评审。(3)备案。(4)信息系统的安全建设。(5)等级评测。(6)监督检查。
2 云计算环境下的等级保护要求
在国家等级保护技术要求中,对物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复提出要求。在传统安全方案针对各项安全要求已经有较成熟解决方案。在云环境下安全等级保防护方案,还属于比较前延新兴技术,其核心至少应覆盖以下几方面内容:
2.1 云服务安全目标的定义、度量及其测评方法规范。帮助云用户清晰地表达其安全需求,并量化其所属资产各安全属性指标。清晰而无二义的安全目标是解决服务安全质量争议的基础。
2.2 云安全服务功能及其符合性测试方法规范。该规范定义基础性的云安全服务,如云身份管理、云访问控制、云审计以及云密码服务等的主要功能与性能指标,便于使用者在选择时对比分析。
2.3 云服务安全等级划分及测评规范。该规范通过云服务的安全等级划分与评定,帮助用户全面了解服务的可信程度,更加准确地选择自己所需的服务。尤其是底层的云基础设施服务以及云基础软件服务,其安全等级评定的意义尤为突出。
3 云计算安全关键技术研究
解决云计算安全问题的当务之急是,针对威胁,建立综合性的云计算安全框架,并积极开展其中各个云安全的关键技术研究,涉及内容如下:(1)可问控制;(2)密文检索与处理;(3)数据存在与可使用性证明;(4)数据隐私保护;(5)虚拟安全技术;(6)云资源访问控制;(7)可信云计算
4 云计算面临的主要安全问题
4.1 虚拟化安全问题。由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次,可以使客户在一台计算机上安全地同时运行多个操作系统,所以严格限制任何未经授权的用户访问面临着安全的问题。
4.2 数据集中后的安全问题。用户的数据存储、处理、网络传输等都与云计算系统有关。如果发生关键或隐私信息丢失、窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计,对数据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境所面临的安全挑战。
4.3 云平台可用性问题。用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
4.4 云平台遭受攻击的问题。云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
4.5 法律风险。云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至不同国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
5 虚拟服务器的安全防护
5.1 云系统防火墙。在云系统数据中心环境中需要部署很多应用系统,各个云及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战:传统硬件安全设备只能部署于物理边界,无法对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制。
因此,云系统防火墙应增强虚拟环境内部虚拟机流量的可视性和可控性,可以随时随地为用户提供虚拟环境内部的全方位网络安全防护。云系统防火墙应采用统一安全云控制引擎、基于应用的内容识别控制及主动云防御技术,实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。可用于针对主机及应用的安全访问控制。跟传统物理防火墙相比具有不受环境空间的限制,各云端节点采用同构可互换等架构措施,源服务器隐藏在云防火墙后面,云防火墙应支持用户服务器在任意位置。同时云防火墙具有带宽聚合优化能力。云防火墙网络拓扑示意图如下:
5.2 云系统威胁与智能分析系统。传统入侵检测系统(IDS)是利用交换机端口镜像技术,在需要被监测服务器所在交换部署引擎入侵检测引擎,对攻击服务器数据包进行分析和提供告警事件。云系统威胁检测与智能分析系统(简称TDS),除具备原有IDS全部软件功能和技术特点外,TDS由在云环境下,应增加检测能力,特征检测、精确检测算法以及基于基线的异常检测为一体,使其可以检测到云系统环境更为复杂的攻击;TDS还应具备以前产品所不具备的智能分析能力,通过对事件的智能分析,帮助使用者找到真正具有威胁能力的事件,大大降低用户的运维工作量,使威胁处理成为可能。同时,提供了对网络和重要信息系统的威胁态势分析,帮助决策者实现针对当前威胁态势的安全建设决策。
5.3 云系统漏洞扫描。传统漏洞扫描系统发现是操作系统、网络设备、安全设备、中间件、数据库存在安全漏洞,对云系统平台和云设备常规漏洞的自动发现还处于空白。云系统漏洞扫描需要支持云安全配置或虚拟机漏洞检测,同时云系统漏洞扫描产品继承现有传统环境下的漏洞库,可实现虚机上承载操作系统、应用漏洞扫描。云系统漏洞扫描的体系架构如下图所示:
5.4 云系统审计。云系统审计系统主要由数据中心和审计引擎两部分组成。数据中心对外提供管理接口,主要负责对审计系统进行管理,配置审计策略,存储审计日志供用户查询和分析。云审计引擎的工作基础为审计策略,设备内置捕包、解析、响应模块,捕包模块负责对网络数据包进行捕获和重组,并根据预置的审计范围进行初步过滤,为后续解析做好准备;解析模块利用状态审计、协议解析等技术,对网络数据包进行分类过滤和解析,然后依据审计规则对重要事件和会话进行审计,同时也会审计数据包是否携带关键攻击特征。审计事件、会话和攻击均会提交至响应模块,响应模块负责根据审计策略对此进行响应,包括将审计日志上传至数据中心进行存储、发送事件到实时告警界面进行告警、对关键威胁操作进行阻断,也能通过邮件、Syslog、SNMP信息的方式将审计日志发送给其他外部系统。
5.5 云系统防病毒系统。云系统防病毒系统应支持在云系统环境下对各种主流操作系统内的病毒以及木马等进行查杀,从而保障云系统环境下的各虚拟应用主机的安全性和稳定性。云系统防病毒系统支持以虚拟机的形式部署,可工作于云系统平台内部,实现云系统平台下的防病毒功能,通过云管控系统实现自动部署。使用全网智能管理功能,网络管理员可以快速制定每台云系统主机的主动防御规则,部署针对性的防挂马网站、防木马策略,从而在最大程度上阻止木马病毒、挂马网站的侵袭。
6 结束语
尽管基于云计算环境的安全建设模型和思路还需要继续实践和探索,但是将安全内嵌到云计算中心的虚拟基础网络架构中,并通过安全服务的方式进行交互,不仅可以增强云计算中心的安全防护能力和安全服务的可视交付,还可以根据风险预警进行实时的策略控制。这将使得云计算的服务交付更加安全可靠,从而实现对传统IT应用模式的转变。
云计算环境等保安全整体解决方案,是依托自身对于传统安全防护的优势,结合云环境的安全特点,有针对性执行相应的防护,其整体解决方案的重点是以安全管控为核心,以虚拟环境状态监控以及云计算环境下维护管理的合规控制为主要的管理目标,实现集中监控和管理;对于具体安全防护手段,提供云系统漏洞扫描,提高云环境的整体安全健壮性,实现自身安全性的提升;同时支持在虚机环境上部署审计产品,加强虚拟流量的协议分析,明晰虚拟环境流量传输状况和具体的操作协议内容,对虚拟环境内部的流量进行可视化呈现。通过上述解决方案提高云计算环境安全性,确保业务的正常运行。
参考文献:
[1]《信息系统安全等级保护基本要求 GB/T 22239―2008》.
[2]《公共基础设施 PKI系统安全等级保护技术要求 GB/T 21053―2007》.
[3]《云计算安全关键技术分析》.张云勇等主编.
[1]朱源.云计算安全浅析[J].电信科学,2011,26.
