云计算安全防护技术范文1
【关键词】云计算;等级保护;研究
【Abstract】This paper introduces cloud computing and the basic knowledge of cloud computing security , and information security risk of cloud computing.and discuss the Application Security under level protection.
【Key words】Cloud computing; Level protection; Research
1 云计算及云计算安全
云计算是主要由分布式处理、并行处理和网络计算发展而来的一种动态的易于扩展的一种计算方式,它实质上是由大量的计算机资源组成共享的资源池,能够将动态创建高度虚拟的资源提供给用户。随着云计算的快速发展,云计算安全将面临重大考验,云计算安全问题将成为应用云计算的关键性问题,也直接关系到云计算产业能否持续健康发展。
目前云计算安全的研究主要集中在以下几个方面:(1)云计算系统自身的安全性和服务的连续性;(2)用户数据的安全性、完整性和保密性;(3)云计算用户身份认证与权限管理及云计算数据中心的安全管理等。
2 云计算等级保护
等级保护的本质是从管理和技术两个方面,对信息系统安全进行分级保护。从管理角度分析,等级保护制度是将信息系统按照社会化的组织原则进行有序规范化的管理,从而提升信息系统的安全防护水平。
从管理角度来讲,在云计算中进行等级保护和传统的 IT 环境下进行等级保护是一样的 ,并且在传统等级保护中涉及到的管理部分依旧适用于云计算,从技术角度分析等级保护制度是一项复杂的技术工程 , 是将各种技术保护手段应用到信息系统中,进而实现信息系统的安全设计和安全运维。
从技术角度来讲传统的技术手段是构建以安全管理中心支撑下的计算环境、区域边界与通信网络三重防护 ,在云计算模式下云边界变得模糊和消失, 以及云环境下的很多不确定因素,使得等级保护的技术要求也有所提升 ,特别是在应用安全和系统安全两个方面。在云计算环境中,出现的不确定因素更多 , 因此如何保护云计算环境中的应用安全和系统安全 将是云计算等级保护必须更多关注的焦点。
3 云计算的信息安全风险
由于云计算中采用了云服务模型运行模式以及提供云服务的技术要求,使得云计算信息安全所面临的风险比传统 IT 系统中信息、安全面临的风险有所增加 ,具体表现为:
(1)云应用存在的安全漏洞:由于云计算中包括aaS、 PaaS laaS 三种类型, SaaS 中云应用软件是否存在安全漏洞 , 将是个非常值得思考和研究的课题。
(2)云数据存储的完整性、机密性:由于云计算中 , 数据存储对用户来说只是一种逻辑存储方式,用户无法知道数据存放的具体物理位置。所以,在云计算中数据存储的完整性和机密性就变得不是非常清楚,进而对数据的保护就成为云计算中等级保护的重要关注点。
(3)云密钥的安全性:由于对数据的保护成为 云计算中等级保护的重要关注点。所以在很多方面 ,从管理和技术角度都对数据进行加密操作,还有很多身份验证操作也采用加密方式 ,所以云密钥的安全性 也是云计算中的重点保护对象。
(4)云日志的安全性:由于云计算的快速发展 , 越来越多的系统迁移到云计算系统上, 云服务商会保留所有的曰志,这些日志一般都是内部的,从而使得对这些日志的监控变得非常困难。
(5)云法律法规的不健全性:由于云计算中 ,各种法律法规还不是很健全,使得使用云计算服务的安全性没有健全的法律做保障。
4 云计算中的应用安全研究
云计算应用的安全,包括云计算平台系统安全、用户数据安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护,乃至合格审计等多个层面的安全。
为了有效地提高云计算应用安全,必须要结合云计算应用系统的主要特点,在加强互联网 IT 系统基本安全管理和监控基础上,全面结合安全存储、身份认证、 VPN 、数据加密 等多种安全技术措施,建立完善的云计算应用系统的安全防护体系。
4.1 构建安全的逻辑边界
在云计算应用系统环境下,用户之间的物理边界逐渐模糊,系统中的逻辑边界逐渐取代了物理边界,为了确保系统逻辑边界的数据 安全传输,要积极采用数据加密和VPN等网 络安全技术,提高云计算应用系统数据中心到用户终端之间的数据传输线路的安全性,同时 在云计算应用系统数据处理中心,采用虚拟交换机和分布式的 VLAN技术,将用户网 络和用户系统进行安全隔离。
4.2 安全存储和数据加密
在云计算应用系统中应用数据加密技术, 可以实现云计算应用环境下的安全隔离和安全 存储,利用云计算应用系统的身份认证机制, 对系统进行实时的证书检查、权限认证和身份监控,防止系统用户的越权非法访问。另外, 要做好系统的存储信息保护工作,在将系统的 储存数据资源分配给虚拟机时,要完整将数据 信息、擦除,避免系统入侵者对数据的非法恢复。
4.3 加强系统安全漏洞风险防范
利用虚拟的系统管理软件、防恶意软件、 虚拟防火墙对云计算应用系统的虚拟机环境进 行安全防护,构建安全、可靠的云计算应用系 统物理网络和虚拟网络,利用补丁和版本管理 机制,加强系统虚拟化安全漏洞风险防范,提 高云计算应用系统的安全性。
云计算应用安全是云计算应用系统用户 和云计算应用系统服务商共同的责任,云计算应用系统主要有软件即服务(SaaS)、平台即 服务(IaaS)和基础设施即服务(PaaS) 这三种, 不同的应用模式其自身的结构和特点都不同, 对于云计算应用系统的控制云计算资源的能力 也具有明显的差异,使得云计算应用系统用户 和云计算应用系统服务商承担的职责和责任各不相同。
SaaS云计算服务模式,系统服务商必须确保云计算应用系统为用户提供的服务, 具有应用层到基础设施的整体稳定性和安全性,云计算应用系统用户要不断维护自身的数 据信息,如终端安全、密码设置、身份认证等。
IaaS云计算服务模式,系统服务商需要为用户提供系统架构的基本服务内容,云计算 应用系统用户主要负责系统应用程序、操作系 统等系统应用层以上的安全问题。
PaaS云计算服务模式,系统服务商需要 为系统用户提供简化的部署环境、测试工具、 集成式软件开发设计,除了负责云计算应用系统的基础设施安全,还需要确保云计算应用系 统计算和数据的可用性以及系统底部的接口应用安全。云计算应用系统用户要负责系统应用 环境和操作系统以上层次的安全问题。
5 总结
云计算所面临的安全技术挑战将是前所未有的,如何保证云计算环境下信息安全将成为重要课题,本文从信息安全系统等级保护策略角度出发,介绍了云计算的安全风险,并研究了云计算的应用安全。
【参考文献】
[1]汪来富,沈军.金华敏云计算应用安全研究[J].电信科学,2012,6.
[2]冷鹏.云计算应用安全探析[J].数字技术与应用,2011,7.
[3]韩宇.云计算应用的安全问题分析[J].信息安全与技术,2014,1.
[4]刘皮.云计算的安全风险许估及其应对措施探讨[J].移动通信,2011,9.
云计算安全防护技术范文2
业内有专家感叹,云计算与我们同在,每个人很快就会用它。但想到云计算并不安全的事实,也让人感到不安。如何确保云计算的安全成为今年RSA大会的重要议题。
云安全升级
实际上,全球的数据中心正在进行技术变革,采用云计算的数据中心由于节省成本和资源,绿色环保,效率高,用户可以按需购买等,正在替代传统的数据中心,成为未来的主流。“但是,由于缺乏专门针对云计算的安全解决方案,采用云计算的数据中心正面临着重大的安全挑战。”趋势科技企业策略发展部资深副总裁瓦埃勒・(Wael Mohamed)对记者说。
趋势科技2010年安全威胁报告指出,云计算与虚拟化虽然能够带来可观的效益,节省大量成本,但将服务器迁移至传统信息安全边界之外,也扩大了网络犯罪者的活动范围。
“网络犯罪者将不再去攻击用户的电脑,而是直接攻击数据中心与云端本身。我们正面临着一场全新的挑战,不能用传统的基于单机版或基于局域网的信息安全保护方式保护云安全计算环境,我们需要采用新的技术和新的模式,保护云计算架构的安全。”趋势科技首席执行官陈怡桦在年初的渠道大会上首次宣布,“2010年,趋势科技将在原有的基于云计算技术架构的安全服务下,提供新的面向云计算的安全服务。也就是从Security From CloudComputing(来自云计算的防护)到Security For CloudComputing(给云计算提供防护),这就是云计算3.0的概念。”
瓦埃勒说,经过多年在云计算市场的耕耘,趋势科技积累了丰富的云计算及信息安全保护经验。如果说云安全1.0专注于来自网页的Web安全,云安全2.0侧重于局域网的整体保护,如今的云安全3.0,进一步扩展到了对云安全自身的保护,从而适应目前虚拟化平台被广泛应用的市场新形势。
为了更好地提供云计算安全服务,在技术上,趋势科技于2009年收购了一家总部位于加拿大渥太华的专门提供云计算安全管理的软件公司Third Brigade,并将趋势科技的理念与该公司的技术深入整合。
瓦埃勒当初正是因为趋势科技并购Third Brigade而加入了趋势科技的团队,他当初作为Third Brigade董事长暨CEO,负责策略规划、统筹管理及日常营运等项目。瓦埃勒不仅是一个管理型人才,也是技术型人才。他不仅拥有达浩斯大学资讯工程学士学位、加拿大信息系统专业人士认证,而且还完成了加拿大皇后大学硕士班商学管理学程。当初在ZixCorp、Entrust、IBM等公司,他也担任过许多重要管理职务。
给云提供保护
来自国外某咨询公司的数据统计,目前全球95% 的数据中心在 2009 年已采用了虚拟化技术,但由于缺乏专门针对虚拟化终端的安全解决方案,虚拟化设备在网络环境中正面临着更加严峻的挑战。
瓦埃勒说,截止到2008年,过半数的网络安全威胁是由于应用程序漏洞造成的,今天这一比例还在逐步增加。针对Web应用程序面对的安全问题,为防止数据破坏和网络任务中断,降低运营成本,便于系统化的管理,更有效地遵从网络安全规范,企业数据中心服务器虚拟化和流动性的比例也大幅度增加。这就对云安全提出了更高的要求,需要重新配置安全策略。
从2006年开始到现在,趋势科技已经投入数亿美元的资金,在全球建立了几个巨型数据中心,构建了一套复杂的云计算环境,专门用于收集病毒,对全球Web进行信誉评估,最终对终端电脑进行安全防护。在这一过程中,趋势科技全面了解了云计算环境下的安全风险,并准备用这些经验,为更多的云计算数据中心用户提供安全服务。
趋势科技在收购Third Brigade后,经过一年多的整合和联合开发,双方在技术上不断互补,推出了面向云计算架构虚拟服务器保护的Deep Security 7.0新产品。
瓦埃勒介绍说,Deep Security 7.0是全世界第一套能够整合Hypervisor层次VMsafe API 安全性与虚拟化服务器额外防护的软件,能对VMware环境提供完整的保护。此版本还包括一些能够改善管理、简化法规遵循、降低整体持有成本的全新功能。作为一款全新的保护虚拟化服务器的安全解决方案,它将云计算环境中的全部服务器纳入保护范围,包括操作系统、网络、应用程序等,不论用户使用的是何种运算环境、虚拟化平台或储存系统,它都能提供优异而完整的安全保护。
“Deep Security 7.0,是从‘来自云计算的防护’到‘给云计算提供防护’的概念转变中应运而生的跨时代产品。云安全3.0技术将数据中心虚拟化安全防护作为重点,为虚拟设备防护和网络设备的防护提供了有效保证。”瓦埃勒表示。
记者了解到,这套方案的主要特色包括:在云端服务器中设置一套防护模式,预防信息的外泄与中断;降低虚拟环境和云端运算环境的安全管理成本;协助达成各种法规与标准的遵循要求,例如PCI、SAS 70、FISMA、HIPAA 等;为云计算数据中心解决各种黑客攻击问题,如SQL注入攻击、跨站攻击等。
云安全的生态系统
若想解决云计算的安全性问题,仅仅依靠一个厂商的力量是不够的,需要业界联合起来,组成一个完整的生态系统,共同保护云计算的安全。目前,虽然许多厂商都认识到保护云计算安全的重要性,但由于厂商各自经营范围的不同以及各自理解的不同,仍然存在信息安全厂商、虚拟化技术供应商、网络基础设备供应商、服务器供应商、应用系统供应商、操作系统厂商等在保护云计算安全方面各自为政的局面,这不仅会让用户产生困惑,也让安全保护工作陷入无序的状态。
云计算安全防护技术范文3
云计算服务模式产生了一些新的安全风险,如:用户失去了对物理资源的直接控制,虚拟化环境下产生了虚拟化安全漏洞,多租户的安全隔离、服务专业化引发的多层转包带来的安全问题等。如何实现云安全,已经成为安全产业面临的巨大挑战。
保卫云的安全,需要基于“云”的手段,这可以从两个维度来理解,一个是用安全手段保护云计算环境,确保云计算下网络设施和信息的安全;另一个是采用云计算的架构模式,构建安全防护设施的云环境,以云的方式为企业提供安全保护。
云安全需要一些新的关键技术来保障,如:虚拟化安全,包括虚拟机安全、虚拟化环境下的通信安全等;数据安全和隐私保护技术,包括密文的检索和处理,满足云环境下的数据隐私、身份隐私和属私的保护等;安全云(安全即服务),包括安全系统的云化、安全系统的资源调度和接口互操作性的标准化;可信云计算。
在一次“云计算”项目调研中,信息安全专家卿斯汉发现,目前,我国的云计算项目对常规安全措施做得比较到位,但仍需加强,除需要无缝集成传统网络安全和系统安全的防护工具外,还需要考虑虚拟机安全、隐私性保护及不间断服务等。云计算的核心是虚拟化,保证虚拟机的安全至关重要。
在云计算时代,数据中心的安全建设可以划分为三个阶段:第一阶段,传统安全产品的虚拟化,即:让传统安全产品“跑”在虚拟化设备上,支持虚拟设备功能;第二阶段,融合到云计算平台的虚拟机安全设备,即:安全设备作为一个安全应用被融合在虚拟化平台上;第三阶段,自主安全可控的云计算平台,即:考虑云计算平台自身的安全性。目前,由于云计算应用本身处于基础阶段,革命性的安全技术也未出现,云安全建设多数仍处在第一阶段。不过,云计算应用已经为传统安全产业带来了新的驱动力,并加速了安全技术的融合,安全企业之间的合作也变得越来越紧密。
在云计算的道路上鲜有独行者,云安全生态链同样需要安全企业共同打造和完善。目前,虚拟化领军企业VMware公司就已经跟许多知名的安全企业开展了深度合作,如:CheckPoint、McAffee、RSA、赛门铁克等,通过对安全企业提供API,开发基于虚拟平台的安全产品,共同构建基于云的安全架构体系。而在国内,也很少有一家安全企业独立地把所有安全技术都做得很精,这样一来,多家公司合作,共同提供云安全所需的各种产品和服务,将成为未来的最佳模式。
作为目前全球市场占有率领先的云端安全防护提供商,趋势科技早在六年前就投入大量资金和人力研究虚拟化及云计算安全解决方案。而作为云安全联盟(CSA)成员单位,绿盟公司正在安全智能领域积极进行着前沿的研究与探索实践,启明星辰公司2010年开始在云计算安全领域展开关键技术的研究,并成功申报承担了电子发展基金“云计算关键支撑软件(平台安全软件)研发与产业化”等一系列国家研究项目。在云计算环境下的身份管理中,众人网络走出了一条新路,其方案在工业和信息化部软件与集成电路促进中心(CSIP)联合企业开展的“基于安全可控软硬件产品云计算解决方案”推介工作中,被推选为示范项目。将内容检测和网络安全技术相结合,提供专为安全服务的安全云,成为被安全企业看好新趋势,这也是一些安全企业新的努力方向,以高性能扫描和深度内容检测技术见长的稳捷网络就是如此。
将设备和资源纳入云身份管理
云计算改变了传统安全产业的服务模式,也给安全产业提出了新的挑战。其中,虚拟化安全、数据安全和隐私保护成为云计算应用安全防护的重点和难点。在云计算环境下,多租户模式让身份管理变得更为重要,也更加复杂。要实现云安全,身份管理是基础,因为当所有资源都虚拟化了,就必须对其进行标识,以便于对虚拟化的资源进行管理,明确这些资源的使用权限。
与传统的身份管理不同,在云计算环境下,身份管理的应用范围进一步扩大。在传统安全环境下,身份管理的应用范围有所局限,如:国内现有的30多家CA目前的服务对象主要集中在税务、工商、电子商务等领域。未来,一旦公有云全面建成,一个庞大的云身份体系将会出现,到那时,身份管理将真正形成一种服务,而非技术本身。现在,说到运营CA,更多是基于PKI体系的,其实身份服务还有另外一些不同的技术,如:动态密码体系、IBE体系。在云中,云身份服务可能基于多种技术体系,为云计算服务平台服务。
另外,传统的身份管理服务,更多的是针对人本身进行。而在云中,身份服务更多是针对人、设备和资源进行。上海众人网络安全技术股份有限任公司执行总裁何长龙认为,在云体系中,身份管理的技术架构也将改变,因为传统身份管理针对的互联网用户是有限的,但在云体系中,身份管理针对的数据量却是无限的。
目前,对于云计算环境下的身份认证服务,多数还是基于传统的方法,是原有产品的直接嫁接,即在进行身份管理之前,对现有资源并没有进行虚拟化,这样做无法对资源进行认证、标识和许可,只限于对人或设备进行认证。
与其他同类企业将原有技术直接嫁接到云端不同,众人网络科技公司已经基于私有云,形成了自己的云身份服务平台。众人网络提供的云身份服务是在用户对资源做了虚拟化的基础上进行。
云架构体系对安全企业的技术能力、服务能力提出了更高要求,对身份架构体系的要求也是如此。只有对资源进行了虚拟化,才能得以对其进行定义,由此将其与云身份进行对接。
目前,众人网络在资源虚拟化基础上进行的身份管理已经有了实际应用的案例。众人网络为一家通信类客户架构了一个总部级的身份服务体系,在该用户将现有的硬件资产和软件资源进行统一虚拟架构后,众人科技对其所有资源进行了标识许可,由此实现了对虚拟化的资源进行认证、许可和分配。
融合检测和网络技术,打造安全云
云计算环境正变得越来越开放,云数据和云应用也越来越多,这给传统的网络安全防护带来新的挑战。以防火墙为主的“看门式”安全管理将难以保证云的安全,云计算安全需要建立一个全新的安全管理模式。
与传统的企业网相比,云中心的网络流量变得极其庞大,如果再将安全防护寄望于传统网关设备将不可想象。目前,在云中心,最常用的措施是采用虚拟防火墙、虚拟杀毒软件或虚拟安全网关,这是对传统安全产品的虚拟化,但并没有对云中心进行虚拟化,只是让安全软件跑在一个一个服务器上,它会消耗大量服务器内存,这依然是基于主机的解决方案。在云中心,往往有成千上万个主机,如果给每个主机都装上杀毒软件,维护成本将会很高。因此,这种云中心防护手段不是十分理想。
另外一种云安全方案中,安全设备并没装在主机上,只是将扫描工作放在云中进行,病毒库也是存放在云中,如:360公司的云安全方案就是这样。这种方案将云计算技术应用于安全,但这种方案保护的是云的使用者,并不保护云中心本身。
有没有一种新的手段,对云中心进行更加有效的保护?一些安全企业正在为此而努力。以高性能扫描和深度内容检测技术见长的稳捷网络公司就在进行相关的尝试。
在传统思维下,网络安全厂商一般只负责网络协议、端口有无入侵等,而不去检测内容;而负责内容的杀毒软件厂商也很少想到去网络上做。稳捷网络从创办之初就定位于做基于网络的深度内容检测,把查杀病毒和网络安全两种技术相结合,在网络端对内容进行清洗检测。
稳捷网络公司中国区总经理彭朝晖向《中国计算机报》记者表示,未来,有一种趋势将被看好,那就是:将内容检测和网络安全技术相结合,提供专为安全服务的安全云。
另外,云安全数据中心凭借庞大的网络服务、实时的数据采集、分析及处理能力得到众多厂商青睐。随着卡巴斯基、瑞星、趋势、金山等一批安全厂商逐渐加快云安全数据中心建设,云安全数据中心已经投入到实际应用中。其中,趋势科技已在全球部署5个云安全数据中心。
图解云安全技术和模式
云安全带来了很多新的技术,也带来很多新的课题,如:风险管理与兼容性问题、身份认证与访问管理问题、服务与终端的完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等。围绕这些新课题,传统安全企业及其从业者展开了深入的研究。以下我们选取了部分与云安全相关的关键技术方案和模式图,分别涉及云计算环境下的数据防泄漏方案、虚拟化对于安全功能的拆解、下一代安全的关键能力,这些技术方案或研究成果分别来自RSA公司、启明星辰公司和绿盟公司。这些安全企业所关注的技术焦点也在一定程度上反映了他们在云安全道路上努力的方向。
数据安全是云安全的重中之重。数据防护领域的知名安全企业RSA公司的虚拟化专家Mike Foley认为,在实体环境中,DLP(数据防泄漏)是在操作系统中完成的,一旦操作系统受到威胁,就无法使用DLP的软件和功能。而在虚拟化环境中,相应的数据都储存在虚拟机里,数据防泄漏工作可以通过扫描虚拟机来进行。在这个过程中,需要有一个专门负责安全的虚拟机。
云计算安全防护技术范文4
关键词:云计算、信息安全、防护方案
【中图分类号】TP393.08
传统互联网的计算服务模式,存在计算机能量消耗、存储、信息产业人员和硬件成本不断提高等缺陷,已不能应对当前巨大的计算吞吐量,因此,云计算的概念应运而生,云计算具有超大规模、虚拟化、通用性、高可扩展性、按需服务、低成本、镜像部署、提升资源的使用效率等优势,但如果云计算的信息安全性得不到有效保障,则其所有优势都将无法体现。
1 云计算概述
云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物,核心思想是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。
被公众认可的服务模式有三种:(1)IaaS(基础设施服务):整个IT基础设施(服务器、存储设备等)的按需获取,如Amazon的弹性计算云(EC2);(2)PaaS(平台即服务):开放应用软件的基础平台,如Google App—Engine;(3)SaaS(软件即服务):应用软件的按需获取,如Sales force的客户关系管理服务等。
云计算具有以下特征:(1)基于虚拟化技术快速部署资源或获得服务;(2)实现动态的、可伸缩的扩展:该技术使云端的资源服务能力近乎极大化,进而提升用户的使用体验;(3)按需求提供资源、按使用量付费:用户无需与服务商交互,即可自动得到资助的计算资源能力;(4)通过互联网提供服务、面向海量信息处理:消费者可通过网络来支付所获服务的费用,进而获取不在本地的资源;(5)用户可方便地参与;(6)形态灵活:可根据消费者的需要在资源池中动态配置、部署或释放有关资源;(7)减少用户终端的处理负担;(8)降低了用户对于IT专业知识的依赖。
2 云计算环境下的信息安全问题
云用户的机器不再是独立的机器,而是网络中的一个节点,交给全球运行的服务网络。
云用户的数据存于云中,就意味着数据存在被盗用和滥用的可能。
市场分析公司Gartner的一项研究报告表明数据存放在云中存在七大风险:数据被未知的超级用户访问的风险、合规性检查风险、数据存储位置未知风险、数据未被真正隔离的风险、数据恢复风险、增加司法调查困难的风险、长期可用性保证的风险。
云安全联盟(CSA)与惠普公司的一项调查结果显示云计算存在七大安全漏洞,本论述结合相应的案例提出相应的防护方案建议:(1)账户、服务和通信劫持:数据、应用程序和资源都集中在云计算中,若云计算的身份验证机制很薄弱,则攻击者获得云服务用户的凭据后,即可导致云服务客户端问题,如推特DNS账户盗用,建议主动监控这种威胁,并采用双因素身份验证机制;(2)未正确运用云计算:黑客通常能够迅速部署新的攻击技术,来滥用和恶意使用云服务,如Amazon的EC2出现了垃圾邮件和恶意软件的问题,由于此类问题无法完全避免,建议做好监控部署;(3)数据丢失或泄露:API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄露;(4)共享技术问题:由于云计算环境中的很多虚拟服务器共享相同的配置,因此简单的错误配置可能造成严重影响,如VMware的脆弱部件,建议为网络和服务器配置执行服务水平协议(SLA);(5)内部人员:从云计算服务内部发起攻击,若企业使用了该云服务,威胁将进一步放大,如Verizon的2010数据泄露调查报告表明48%的数据泄露是业内人士造成的,建议企业对供应商进行评估并提出如何筛选员工的方案(6)不安全的应用程序接口:接口质量和安全没有得到保障及第三方插件的安全,如不加密流量,建议在应用程序的生命周期中,部署严格的审核过程;(7)未知的风险:未知的安全漏洞、软件版本、代码更新等。
3 云计算环境下的信息安全防护方案探索
云安全要解决安全性问题,很好的为云用户提供服务,解决办法要从两方面考虑:(1)
云计算用户的安全办法:a)在享受云计算服务之前,用户应清楚地了解其风险所在,选用商业信誉良好、相对可靠的提供商;b)根据内容感知的技术,用户应有意识地判断什么数据可以上载,什么数据不可以上载,若发现用户试图将敏感数据传到云端,系统将及时阻断并报警;c)将操作失误的影响降至最低,清楚的认识到风险,增强安全防范意识;d)存储在云中的数据,要经常备份,避免出现数据丢失或受到攻击时,得不到恢复。(2)云服务提供商的安全办法:a)采用必要的安全措施,包括传统的安全措施访问控制、入侵防御、反病毒部署、防止内部数据泄密、网络内容与行为的监控审计等;b)为防止云计算平台供应商“偷窥”客户的数据和程序,可采取分权分集管理,防止出现“内鬼”。
本文对于云计算环境下安全防护的防护方案的主要思路如下:
(1)建设以虚拟化为技术支撑的安全防护体系。云计算的核心技术和手段即通过虚拟化技术为大量用户提供“按需服务”,包含基础网络架构、计算资源、应用资源及应用资源。虚拟化之后,有效解决各用户信息的整体性与环境共享性的矛盾,是云服务系统有效运行和保证用户信息数据的隐私性与安全性的关键所在。
(2)网络安全基础架构的维护。对网络中的“网络点”开展实时的监控,对用户的不同工作要求,进行适当的调整与配合,保证虚拟机的负载均衡,进而确保网络运行的连续性和良好性能;使用过滤器,对于敏感数据进行隔离,有效防止网络攻击和数据外泄。
(3)安全防护的无边界用集中的安全服务中心应对。云计算的资源是高度整合的,不同的用户在申请云计算服务时,只能实现基于逻辑的划分隔离,已不存在物理上的安全边界。在此情况下,安全服务应基于整个网络的安全防护,建设集中的安全服务中心。
(4)桌面终端应用统一安全管理技术。在个人桌面系统上同时安装不同厂家的终端,但每种运行时,都需要重复占用CPU、内存等有限的系统资源,使运行速度变慢,系统性能下降,因此应形成统一的桌面管理平台,提供综合功能和安全性能,降低系统的负载度和维护管理成本。
4 总结
云计算作为新兴起的互联网服务方式,发展势不可挡,但是鉴于该技术正处在发展阶段,其安全性问题依旧没有良好的解决方案和统一标准,因此,需要学者、云服务提供商和企业用户共同合作,进而促进云计算技术的不断发展。
参考文献:
[1] 刘鹏.云计算[M].北京:电子工业出版社,2020:66-67.
[2] 陈尚义.云安全的本质和面临的挑战[J].信息安全与通信保密,2009(10):23-25.
[3] 黎连业,王安,李龙.云计算基础与实用技术[M].清华大学出版社社,2013(1):295-297.
云计算安全防护技术范文5
在技术和用户需求驱动下,网络和高端安全产品正在走向融合。未来,新一代信息技术将呈现出更加开放、智能、融合的属性,这将给信息安全从业者带来更大挑战。
从用户方面看,用户需求开始由被动向主动转型,对产品的选择也趋于理性。在产品结构方面,除防火墙、IDS(入侵检测系统)和防病毒这“老三样”产品外,用户对UTM(统一威胁管理)、Web安全、信息加密、身份认证、IPS(入侵防御系统)、VPN(虚拟专用网络)、安全审计、安全管理平台、专业安全服务等的需求逐步上升。
从防护对象看,用户对网络边界安全和内网安全防护都有所加强,服务器、终端、操作系统、数据库等软硬件系统防护体系建设全面推进。网络安全、应用安全、数据安全和系统安全体系将逐步健全。
2011年,随着网络威胁变得更加复杂多样,单一功能的安全产品越来越难以满足客户的安全防护需求,安全产品正在向多功能化方向发展,安全集成和产品功能融合已经是大势所趋,这种融合包括:软硬件、安全产品和IT设备的融合,厂商之间的产品和解决方案的融合等。如:UTM将多种安全功能集于一体,集成了防火墙、网关防病毒、网络入侵检测与防护等功能,有取代传统防火墙之势,有望成为未来的主流信息安全产品之一。
从具体产品看,防火墙已经从最初的包过滤防火墙发展到现在的深度检测防火墙,产品性能和对应用层数据的检测能力不断提高;UTM从简单的功能叠加,逐步发展到功能融合;IDS/IPS随着网络技术和相关学科的发展日趋成熟;内网(终端)安全产品需求快速增长;Web应用安全类产品从单一保护模式发展到多方保护模式;SOC(安全管理平台)产品正不断适应本地化需求。
东软NetEye安全运维管理平台(SOC)
东软NetEye安全运维管理平台(SOC)解决了海量数据和信息孤岛的困扰,整体上简化了安全管理的数据模型。通过将网络中各类IT基础设施的多类数据存储到一个通用数据库中,并根据科学的策略进行关联分析,协助安全维护人员更有效地回应不断变化的安全风险。
东软SOC采用创新的“私有云”架构,将数据收集、数据集成、数据分析等任务逐层下发到云端,实现了海量异构数据集成、数据归并、数据分析的多层次处理。基于云的系统能同时汇聚超大规模的数据信息,并扩大其监控的范围,从而提高分析的有效性。
东软SOC能实现人性化的触摸屏操作,可以进行形象化比拟安全状态,能对业务系统进行监控,全面展开数据收集,并能进行海量异构数据收集与分析,提供细致到位的平台支撑。
华赛Secospace USG5500万兆UTM
Secospace USG5500是华为赛门铁克面向大中型企业和下一代数据中心推出的新一代万兆UTM。USG5500集大容量交换与专业安全于一体,在仅3U的平台上提供了超过30G的处理能力,融合了IPS、AV、URL过滤、应用流量控制、反垃圾邮件等行业领先的专业安全技术,可精细化管理一千多种网络应用,同时传承了USG产品族优异的防火墙、VPN及路由特性,为用户打造更高速、更高效、更安全的网络。
USG5500有以下特点:更高速,能提供万兆多核全新硬件平台,实现海量业务处理;更高效,能进行超千种应用程序精细管理;更安全,重新演绎了专业内容安全防御技术。USG5500基于赛门铁克多年积累的反病毒技术,采用文件级内容扫描的AV引擎,结合全球领先的仿真环境虚拟执行技术,提供高达99%的精准检出率,多次获国际评测组织好评;专业漏洞补丁技术,让变形无所遁形:USG5500采用赛门铁克领先的漏洞防护技术,针对漏洞(而非攻击代码)提供“虚拟补丁”。
梭子鱼下一代防火墙F800
梭子鱼下一代防火墙F800是一个集成硬件设备和虚拟化软件的安全网关,它能全面防护企业网络架构,提升点对点连接流量,简化网络操作流程。除了强大的防火墙和VPN功能以外,产品还集成了一系列下一代防火墙的复杂技术,包括身份认证的七层应用控制、入侵检测、安全网关、垃圾邮件防护以及网络准入控制等。
梭子鱼下一代防火墙F800突出了智能点对点流量管理功能,大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径,根据多链路、多通道和不同的流量情况安排链路的优先顺序。产品支持多种链接接入方式,包括专用线路、XDSL、3G/UMTS无线移动网络及其他以太网的链路接口。
除了上述领先的下一代防火墙的卓越性能外,该产品还配备了业界领先的中央管理控制平台、功能更具弹性的VPN及智能流量管理技术,能保障用户在全面提升网络性能的同时缩减成本支出。
Hillstone云数据中心安全解决方案
采用Hillstone SG-6000-X6150高性能数据中心防火墙的弹性化安全方案,能为云数据中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G数据中心防火墙,它具有以下特点:电信级可靠性设计,高性能、高容量、低延迟,智能的业务自适应能力,深度应用检测及网络可视化,丰富的业务扩展能力,绿色、节能、环保。
该方案能为海量计算提供更高的性能保障。HillstoneSG-6000-X6150高性能数据中心防火墙可提供更为有效的保障,平台采用全并行安全架构,实现对安全业务的分布式处理;对软件处理流程进行了很大的优化,在业务安全处理流程上,实现一次解包全并行处理,达到最高的处理效率。
该方案还能为快速增长的业务提供高可扩展性支持。HillstoneSG-6000-X6150高性能数据中心防火墙采用弹性架构,在全模块化设计的基础上,实现数据输入/输出与安全计算的分离、控制与安全处理的分离,多个计算资源可为相同的接口服务,在增加业务处理模块后,为特定的业务提供更高性能的处理资源。这种弹性可扩展的特性,既降低了数据中心安全建设的初期成本,同时伴随着业务增长,也有效地保护了用户投资。
除以上功能外,该方案还能为云数据中心业务持续性提供高可靠保证,为云数据中心虚拟化提供支撑,并能提供云数据中心全局可视化管理。
趋势科技云计算安全解决方案
趋势科技的云计算安全整体解决方案可以全面保护超过22种平台和环境的数据资产。通过趋势科技的企业威胁管理战略配合“云计算安全5.0”解决方案,用户可全面地保护从物理机、虚拟机到云基础设施、云数据、云应用到移动互联网中的移动设备和智能手机等环境。趋势科技带给企业用户的全球领先的云计算安全技术,将成为云计算产业发展最坚实的基础,这使得用户能够迈向云端,安心地全力把握云计算浪潮所带来的宝贵商机。
云计算安全防护技术范文6
【关键词】 云计算 可信平台 设计
云计算技术的基础是虚拟化技术,其计算不处于本地计算机以及远程服务器中,而是分布在众多的分布式计算机上,用户能够通过自身需要,选择适当的计算机或者存储系统。使用云计算模式能大大节约计算成本,仅需向云计算服务商支付一定的费用就可以避免购买复杂的软、硬件,通过互联网能够实现存储以及计算。但是,在此过程中出现了一系列问题,例如用户资料外泄等安全事故,同时窃听、干扰、篡改等安全隐患普遍存在,由此可以看出云计算的发展首先就要解决这些安全风险问题。为了解决以上安全问题,可信计算TCG技术被提出,利用密码机制建立信任链,从而从根本上解决安全问题。
1 可信平台模块的概念
可信平台主要是由CPU、I/O、非易失性储存器等部分组成,计算机对于嵌入式可信终端开展度量,而后记录度量信息,除了可信平台对于平整性度量的度量和报告外,还具备加密以及用户身份的认证。密码生成器是可信平台模块中的重要组成部分,同时密码生成器是由加密算法引擎、HMAC引擎、随机数生成器等部分组成。首先由HMAC引擎生成随机密码,然后由HMAC引擎根绝实现数据以及命令流出现错误时的传输情况来确认数据的准确性。
2 建立可信平台的必要性
当前计算模式已经从大型计算机处理转变为网络分布式处理,并在此基础上发展为以需求分配的云计算模式,对于用户来说,云计算就是一种满足自身需求的服务,能够让用户在使用虚拟资源的时候不受时间、空间的限制,同时能够快速的处理计算问题。但是云计算技术毕竟刚被提及,目前还处在发展阶段,所以不可避免的出现了众多安全问题。云计算中的数据是处在云端当中,因此对数据难以实现完全的控制,所以服务商必须采取强有力的安全措施来保障系统安全,云计算安全问题基本能够概括为以下方面:访问控制、攻击检测、完整性、物理技术防范、多个子因素、恢复、实施、隐私机密性、不可否认性、安全审计。由此可见云计算安全工作具有全面性和复杂性,必须尽快解决。
3 云计算环境下存在的安全挑战
首先是使用云计算技术的企业,应该注意自身业务的安全性,强化风险管理意识。其次是身份与认证管理,云计算的目的是为了使各个服务商之间保持良好的合作关系,所以应该根据服务商之间的差异做好身份与认证管理,特别是与外国企业开展合作的时候。然后是服务与终端的完整性,安全性是云计算的生命线,因此对于云计算服务的拓展应该从安全性、兼容性、完整性出发,将终端的完整性作为重点的工作目标。最后是信息保护方面,信息保护应该建立事前、事中、事后全面的信息反馈机制。然后通过不同时间段的信息采取相应的措施进行保护。
4 可信接入安全技术分析
虽然在云计算环境当中用户能够将数据资料存放在服务商的平台上,便于访问,但是这种网络形式具有开放性以及复杂性,对于云计算的安全保障提出了更高的要求。从长远来看只有解决了云计算的安全问题,才能保障云计算技术健康发展。对于云计算的可信接入也是计算机技术主要的研究目标。纵观当前对于云计算环境的安全防护措施主要从两方面入手:第一,在传统软件当中设置防火墙;第二,更换硬件设备以达到安全防护的目的,但是最为有效的依然是可信计算技术,其核心理念就是将改变传统被动的防御模式,而采用积极主动的防护模式。可信计算技术的定义为:将可信作为系统运转的原则,将数据信息的通信控制在安全范围内。其计算模型的原始架构是在私人平台上增加隐身和信任功能,同时可信计算模型满足分布式环境下云计算的安全需求,因此具备可行性。以往的安全接入方式包括微软的网络接入保护NAP、TCG的可信网络连接技术TNC以及思科网络准入技术NAC。NAP平台的特点是能够以校验的方式分析接入网络的安全性,对不符合标准的用户设置权限;TNC基于可信计算技术将TPM的可信度量以及可信报告融入到网络连接系统的建设当中,从而能够控制网络访问;NAC能够在系统接入网络之前,就对系统的安全级别给予评价,隔离安全性不稳定的网络系统并且设置访问权限。由于云计算本身的技术难度较高,所以其风险也存在复杂性,仅依靠软件难以实现有效控制。因此有必要利用硬件芯片以及可信计算的技术支撑,然后建立TCB保护用户以及基础设施等,不仅要进行完整性度量,还要以云计算对身份以及软件进行可行性证明。
5 云计算的数据安全研究
数据安全是云计算系统安全保障的核心内容,不管是何种云计算服务,都要首先保护数据,避免数据出现流失和被窃。对于数据安全保障的方法主要有以下几点:第一,数据的传输要采取加密的方式,尤其是公共云的情况下,虽然非安全的传输协议难以保障数据的完整,但是能够使数据具有保密性,当数据不处于加密状态时,就容易发生流失和泄露;第二,由于云计算应用数据与用户数据存储在一起,用户没有专用的数据平台,因此就容易当混合数据被访问时,用户的数据就会被窃,尤其是PaaS以及SaaS,把关键的数据信息存储在公共云之外,能够有效避免数据泄露,如果存储到公共云中,则要提前做好加密措施,以区分关键信息与其他用户信息;第三,云计算的储存具有恢复的功能,当用户删除数据后,如果被他人恢复,同样会造成数据泄露,因此服务商要保证用户擦除数据之后不会有残留数据。同时还有服务商向用户提供的系统文件、数据库记录等,都要保证不会被他人恢复盗取信息。
6 结语
综上所述,本文首先研究了当下云计算环境下的安全隐患,然后引申出建立可信平台的必要性,即将可信计算技术与云计算有机结合。另外安全协议是网络安全的基本保障,总的得来说将可信计算技术融入云计算当中,能够较大程度提高云计算下的系统安全和稳定。
参考文献
[1]耿姝,刘鑫,刘荣军,方连众,陈刚.基于全同态加密的云计算安全方案的研究[J].中国新通信,2014(1).
[2]朱宪超.浅析云计算中的信息安全[J].科技风,2013(23).
[3]李建礼,夏红.云计算环境下个人信息管理的思考[J].农业图书情报学刊,2013(12).
