云安全服务的主要功能范文1
1.PKI技术
公开密钥基础设施(Public Key Infrastructure,PKI)是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。PKI是一种遵循标准的利用公钥加密技术为电子商务、电子政务的开展提供一整套安全的基础设施。它是保障大型开放式网络环境下网络和信息安全的最可行、最有效的措施。它基于Internet保密性应用要求,有一个真正可靠、稳定、高性能、安全、互操作性强、完全支持交叉认证的系统。PKI的本质就是实现了大规模网络中的公钥分发问题,建立了大规模网络中的信任基础。概括地说,PKI是创建、管理、存储、分发和撤消基于公钥加密的公钥证书所需要的一套硬件、软件、策略和过程的集合。
2.云计算
云计算是由分布式计算、并行处理、网格计算发展来的,是一种新兴的商业计算模型。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,随时扩展,按需使用,按使用付费。现有的云计算服务模式主要有基础设施即服务(IaaS )、平台即服务(PaaS)和软件即服务(SaaS ),此外还有硬件即服务(Haas)等。这就意味着云服务可以是IT和软件、互联网相关的,也可以是任意其他的服务。
3.云安全对PKI技术的需求
(1)用户把数据交给云服务商,具有数据优先访问权的并不是用户,而是云服务商,云服务商所享有的超级用户权限如果监管不严,就不能排除用户数据被泄露出去或非法操作的可能。这就需要引入权威的第三方认证。
(2)云计算是一个庞大的分布式系统,拥有海量的用户,如果云服务商对登记和验证程序管理不严,就会给犯罪分子可乘之机,导致云服务的滥用和云系统的安全隐患。这就要求云服务商需要有严格的注册制度和身份认证制度,不管用户在哪里登陆,云服务商和应用程序都需要知道用户身份,只有通过认证的授权用户才能访问云中相应的数据。
(3)云计算中数据在存储和传输过程中时刻面临被泄露或篡改的风险。因此,云服务商向用户提供服务时应该以安全的交互过程进行,构建一个信息安全传输平台,不管是跨公共Internet还是从办公室访问云,都需要确保数据传输过程中的保密性和完整性,使云用户可以方便的利用加密技术、数字签名技术,解决数据传输安全的问题。
(4)云计算的未来发展方向是跨云服务,用户不会把自己所需的服务全部选择一个云服务商来完成。例如一个企业把自己的数据交给云服务商A保管,而处理这些数据的软件系统却使用的是云服务商B提供的,而处理后得到的数据仍要交给云服务商A保管。这样如何相互认证彼此的身份相互调用数据同样需要强大的第三方认证。
4.总体设计
4.1云计算环境下PKI认证策略的选择
选择一种合适的认证策略是实现云计算安全传输的前提保障,在分析了各种PKI信任模型的优缺点后,结合云计算网络框架的特点,提出了基于桥接CA的PKI信任模型。不同于分布式结构的PKI,桥CA不直接向用户发放证书,也不同于严格层次结构的PKI,桥CA不作为一个可信任点供PKI中的用户使用。桥CA与不同的用户群体建立对等可信任关系,允许用户保持原有的可信任点,这些关系被结合形成“信任桥”,使得来自不同用户群体的用户通过指定信任级别的桥CA相互作用。
桥CA模型的优点:(1)现实性强 (2)证书路径较易发现 (3)证书路径较短(4)扩展性强
4.2系统各部分的设计思想和功能介绍
本系统框架是基于“云”中大规模认证和安全传输的需求设计的,在保留PKI系统和云计算平台基本架构的基础上,将两个相对独立的系统进行有机组合。
系统的网络拓扑图
1.根CA服务器(RCA):是各个认证系统互相交叉认证的媒介。它的主要功能是制定CA系统的总体政策;管理CA证书和CA证书注销列表;与其他CA系统进行交叉认证;签发功能CA的证书。
2.功能CA服务器:本系统中将功能CA服务器分给两个服务器完成它的工作,一个作用是保持离线方式进行签名,另一个功能是公布信息以及完成CA其它的在线服务,但不包括CA签名。这样既保证了安全又提高了服务效率。
3.RA服务器:在本系统中,由于各个PKI域中都设立了功能RA,所以许多本应由认证中心RA完成的工作都由功能RA完成了。RA服务器的职责是对功能RA签名的用户证书申请信息进行二次审核,通过后提交给功能CA给其签发证书。同时向PKI域中FLDAP服务器转发签发的数字证书和CRL。
4.LDAP服务器:为了满足可靠性和一些大型应用系统的性能要求,本系统采用双库热备份机制,LDAP服务器在认证中心CA中,功能LDAP在各个PKI域中,两库间通过VPN高速信道进行连接。功能CA对LDAP的任何修改操作可通过服务器的目录复制功能由LDAP实时的反应到功能LDAP中。两库如有一方发生故障,仍可以保持证书库的正常服务。
5.OCSP服务器:在OCSP响应应用系统以OCSP协议查询证书状态的请求,例如确定证书是否是本CA签发、是否已被撤销、并将结果返回给应用系统。
6.功能RA(FRA):把云计算平台的服务目录和功能RA整合到一台服务器中既可以响应用户的云服务请求和操作,又方便在用户使用云服务之前对其进行身份信息的审核与认证。作为分注册中心负责录入本PKI域内用户的证书申请信息,只有通过功能RA的审核才能将其交给认证中心RA,经审核后功能CA才能给其签发证书。
7.功能LDAP服务器:对外本PKI域中的用户证书,供用户查询/下载;对外本PKI域中用户证书注销列表库(CRL)。
结语:
云计算发展迅速,前景广阔,蕴含丰富商机。而安全问题始终是广大用户权衡是否使用云计算服务的重要指标,是云计算健康可持续发展的基础。本文通过对PKI技术和云计算技术的研究和分析,利用PKI中的桥接信任模型,把云计算平台的服务目录和PKI的功能RA整合到一台服务器中,设计出了一个适合于云计算网络的安全认证系统。较好的解决了云计算所面临的身份认证、数据安全传输等问题。同时在功能CA服务器、RA服务器和LDAP服务器的设置和功能上做了一定的改进,有效的提高了整个网络安全控制的工作效率。
但在本设计中也存在一些缺陷:
(1)过多的双服务器在实际应用中会增加云服务商的成本,也就提高了用户的使用费用。
(2)同一个用户可能会申请多个不同的PKI域的证书,这样增加了整个系统证书的管理难度。
参考文献
[1]谢冬青,冷健.《PKI原理与技术》.北京:清华大学出版社.2004
[2] 王庆波等.《云计算实践之道》.北京:电子工业出版社.2011
[3]邓劲生,徐捷,王鸿谷.认证中心构建的关键技术及实现.计算机工程.2005
云安全服务的主要功能范文2
整个云计算环境中,用户需要直接拥有基础设施的软件资源与硬件资源,而这种模式具有基本的特征就是开放性与虚拟化,这样也导致云传统信息安全体系与云计算的安全体系有一定的差异性。典型的云计算系统包含了云服务、云接口、云终端、虚拟化平台、数据中心等等。云计算高效管理与虚拟化的重要组成部分就是数据中心,最大限度保障能够集中管理、灵活方便与数据的安全,而数据中心是由储存设备、网络设备、服务器与数据资源等组成。在虚拟化平台的支持与推动下,IT环境逐渐被改造成为更具有弹性、更强大的架构,在一台高性能服务器上将多个操作系统进行整合,进而实现综合使用,可以对硬件平台上的所有资源进行最大化利用,同时还能一定程度上将资源管理的难度降低。云服务能提供用户基于云计算平台的相关所有服务,主要有这几个层次:基础设施,平台、软件,也就是服务IaaS、服务PaaS、服务SaaS。云服务能为不同类型的用户提供更加丰富的个性化服务。云接口针对各类云计算运用,其目标是向广大用户提供一系列的API,并且让用户有权限获取相关云计算资源,同时进行其它形式的交互。云终端为云计算用户提供了交互渠道。用户可以通过云终端浏览器对云计算资源进行收集与掌握,必要情况下还可以与本地资源进行协作,进一步建立较为完整的基于云平台的应用系统。
2云计算存在的安全隐患
云计算主要的基本特征有虚拟化的资源池、基于网络的访问、按需自助式服务、快捷弹性、使用成本可计量等。当前国内外已经开展了众多的云计算项目,其中各个IT巨头说开发的云计算项目是较为成功的,例如谷歌、亚马逊、微软、IBM、百度等是其中的代表。当前,中国云计算产业在经过了导入语准备阶段之后,已经开始构建产业生态链,在政府部门的监管之下,云软件服务提供商与软硬件、网络基础设施服务商以及云计算相关的咨询规划、交付、运维、集成服务商和终端设备厂商等一起构成了云计算产业生态链,为用户提供服务,也为云计算项目的开发打下了良好的基础。目前,北京、天津、上海、青岛、济南、南京、成都、重庆、深圳等地都已经建立起了大型的云计算中心。基于云计算的基本结构,是由基础设施、虚拟化云设备以及云客户端几个部分组成的,而安全隐患也是存在于这几个部分。
2.1基础设施
基础设施主要包括服务器、小型机等等物理计算设备。从用户的角度来看,云计算相关服务都是虚拟的,但是虚拟的东西最终还是会落实到物理机器与设备上,而这方面的安全问题包括了:数据储存的安全、设备故障以及自然因素等等都会影响到运算及对用户的服务,即使相关用户数据采用异地容灾,但是对实时性要求较高的服务业务,例如:远程医疗服务、视频会议等等,处理能力大幅度的下降便会直接影响到相关服务的质量。
2.2虚拟化云设备
上述提到,这部分包括了云计算的Saas、PaaS、IaaS机制服务模式。SaaS软件也就是服务模式,从当前所接触到的互联网与相关应用软件来进行分析,必然会存在一些已经出现或者还没有出现的漏洞,因此,不法分子完全可以利用这些漏洞,对应用软件进行攻击,并获得用户的信息,直接作为下一步占领客户虚拟机的跳板。通常采用的攻击方式有木马与病毒、应用软件攻击等。Paas即为平台服务:在这类服务的过程中可以充分利用操作系统的漏洞实施攻击,而这种攻击的难度也比较大,由于大部分服务器都会有基础安全加固,而黑客一般是将应用软件作为攻击载体或者跳板。首先,需要成功取得程序的相关权限,再通过缓冲区溢出等方式取得高级权限,然后安装控制程序或者后门程序,最终将服务主机或者虚拟机全部占领。Iaas虚拟机服务:云计算服务的出租单位是虚拟机,此类服务成本较低,并且具有一定的弹能力,同时也是入侵的与攻击的重点。虚拟机“溢出”:云计算中心为用多个用户提供相对安全的服务,整个过程会将用户之间进行隔离,最大限度避免用户之间的信息共享与访问。攻击者的主要目标是将这道限制进行突破,也被称之为“溢出”,一旦溢出之后,就可以成功访问“邻居”的系统与数据,而且还可以深入到后台的管理系统进行访问。类似于这类突破限制的技术,主要依赖于云计算中心使用的云计算服务平台的安全性,而当前众多安全隐患中,虚拟机“溢出”的问题对云计算安全存在的最大安全隐患,同时也是最普遍的。攻击者会将密码成功破译并获得相关资源;而入侵过程中破译密码的方式是最直接的方式,同时破译密码需要花费较多的计算能力,租用廉价的云计算,直接用于破解密码也是当前黑客使用最多的手段。基于云计算服务商来说,由于对用户“业务”的私密性考虑,不能对用户计算目的进行判别。
2.3云计算用户端安全
云计算用户端方面,也是安全隐患存在较多的地方,同时也是安全比较薄弱,情况比较复杂之处,例如:病毒、木马、蠕虫的传播,完全可以随着用户业务的流动,成功传播到云计算的服务端。若是云计算用户端不能被有效“净化”,也就无法真正保障云计算的安全。
3加强云计算安全的对策
综上所述,加强云计算安全可以从以下几个方面进行改善:
3.1加强数据安全
PaaS与SaaS在应用不断的发展过程中,为了将可用性与可扩性、管理以及运行效率等方面的“经济性”充分实现,通常采用的模式是多租户模式,因此,云计算应用的相关数据会和其他数据进行混合储存,云计算应用在设计阶段虽然采用了例如“数据标记”等技术,主要目的是为了防止非法访问中的混合数据,如果能利用程度的漏洞,非法访问还是防不胜防,例如:2009年3月发生的谷歌文件非法共享。通常对磁盘上的数据或者数据库中的数据进行加密,能一定程度上防范恶意的邻居“租户”以及某些类型应用的滥用,但是基于PaaS或者SaaS两者应用来说,数据不能被加密,一旦加密的数据会直接影响到相关搜索与使用。数据残留是数据在被以某种形式擦除之后所残留的物理表现,存储介质被擦除之后会遗留一些物理特性,而这类特性能帮助数据实现重建。云计算环境中,数据残留也会导致敏感信息泄漏,因此,云服务提供商应该向广大云计算用户保障其鉴别信息所在的存储空间被释放,或者保障其他云用户在使用之前能完全清楚,不管这些信息是存放于内存,还是存放于硬盘。
3.2虚拟化安全
虚拟化软件层通常会直接在裸机上进行部署,充分提供能够运行、建立与清除的虚拟服务器能力。可以采取这些方法来实现,例如:虚拟化操作系统、全虚拟化或者半虚拟化等等。IaaS平台服务过程中,云主机的用户可以不需要对虚拟软件层进行访问,它是由云服务提供商来进行直接管理的。虚拟化软件层的主要作用是为了保障客户的虚拟机在多租户的情况下对重要层次进行相互隔离,能让广大用户在一台计算上对多个操作系统共进行安全的使用与运行,因此,要对任何授权的用户访问虚拟化软件层进行严格的限制。因此,安全的控制对策必不可少,主要作用是对于Hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制进行限制。虚拟化软件之上就是虚拟服务器,物理服务器的安全原理与实践手段,可以被适当的修改并结合实际情况应用到虚拟服务器上,需要注意的是要考虑虚拟服务器的特征。可以选择具有TPM安全模块的物理服务器,TPM安全模块能在虚拟服务器启动的过程中对用户密码进行一次检测,若是发现密码与用户名的Hash的序列不对,就会及时采取阻止手段,不允许将此虚拟服务器启动。由此可见,针对一些新建的用户来说,选择具有这类功能的物理服务器作为虚拟机应用是非常必要的。如果条件允许的情况下可以采用带有多核的处理器,而且能支持虚拟技术的CPU,加强保障CPU之间的物理隔离,这样便能减少更多的安全隐患。图1:数据安全管理架构虚拟服务器安装的过程中,需要为每一台虚拟服务分配一个独立的硬盘分区,这样便能从逻辑上将各个虚拟服务隔离开来。虚拟服务器系统需要安装基于主机的杀毒软件、防火墙以及相关日志记录、IPS、备份恢复软件等等,这样也可以有效将他们隔离,而且与安全防范措施一起构建成多个层次的防范体系。关于逻辑隔离,每一台虚拟服务器需要通过VLAN与不同的IP网段的原则来实现隔离。某些虚拟服务器之间需要相互通信的,网络连接方式应该选择VPN的方式,其作用是保障传输过程的安全。当然,对应的备份策略与方案是必不可少的,例如:相关配置文件、虚拟机文件以及其中重要的数据都需要做好备份,需要注意的是备份一定要根据计划来进行,包括:增量备份、差量备份等等。
3.3应用安全
当前,SaaS应用过程中,云服务商将客户的数据进行混合储存的方法是普遍的手段,主要是结构化数据与非结构化数据,利用客户标志符,在实际应用过程中的逻辑执行层可以将客户数据实现逻辑上的隔离,但是一旦升级之后,就可能导致这种隔离在执行过程中变得脆弱。因此,客户应该了解SaaS提供商使用的虚拟数据储存架构与预防机制,最大限度保障多租户在一个虚拟环境所需要的隔离。SaaS提供商应在整个软件生命开发周期加强在软件安全性上的措施。大多数云安全应用的基础是SSL,尽可能采用一些手段来对SSL的攻击进行环节,能最大限度避免被暴露在默认攻击之下。用户要自己拥有一个可以变更的管理项目,并在服务商的指导下,对应用进行正确的布置或者及时更新配置补丁,保障SSL补丁与变更程序能及时发挥作用。若是PaaS应用使用了第三方的应用、组件或者Web服务,那么第三方应用提供商需要对相关服务的安全进行负责。与此同时,客户要对自己应用所依赖的服务进行明确,在采用第三方应用、组件或者Web服务的情况下用户应该对第三方提供必要的风险评估。PaaS平台运行引擎的安全需要由提供商进行维护,基于多租户模式下需要提供“沙盒”架构,云服务提供商负责监控新的程序缺陷和漏洞,以避免这些缺陷和漏洞被用来攻击PaaS平台和打破“沙盒”架构。例如:亚马逊EC2、GoGrid等IaaS提供商,会将客户在虚拟机上部署的应用当作一个黑盒子,云服务商不知道用户的相关运行与管理。用户的应用程序与运行引擎,不管在什么环境中、什么平台上,用户都有自主的权利进行管理与部署,因此,用户就要负责云主机之上应用安全的所有责任,这对于一些特殊的用户来说是非常必要的。另外,需要注意的是要有对应的管理措施来对租用IaaS服务的客户进行严格的控制。
4结语
云安全服务的主要功能范文3
随着移动互联网、物联网、云计算、大数据等新技术成为信息化新一轮发展的重要驱动力,迫切需要面向网络空间安全的监测预警和应急响应服务平台,实现网络安全态势感知、监测预警、应急处置和灾难恢复的一体化运作。
2 云应急服务
2.1 高性能云计算技术
云计算技术应用环境下,用户可以利用云端大型服务器的资源优势进行数据计算,通过对存储资源、计算资源的虚拟化处理和统一整合,云端服务商可以实现对硬件资源的按需分配,用户以较低廉的成本使用云端服务器、存储设备和各类应用程序;通过对信息资源进行统一标准化。
利用云安全应急服务平台,可防止诸如XSS、SQL注入、木马、漏洞攻击、僵尸网络等各种安全问题,同时,采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度、降低故障率,为用户提供服务式的信息安全。
2.2 云应急服务
信息安全应急管理是以云应急服务平台为技术支撑,系统采用先进的云计算分布式计算技术,将信息安全应急以在线服务方式提供给用户,用户的安全防护和应急处理的压力转移到云端。云应急服务平台可实现统一调配应急资源来实现应急响应、协同,直接面对攻击时可采取应急措施,将流量智能的分发到其它安全服务节点,避免传统安全中单台设备瓶颈或宕机导致服务不可用情况,安全应急服务因云计算而强大。
云安全应急服务是将用户的DNS切换到云平台,通过智能解析将用户流量引导至最近的云端节点,云端节点承载用户请求并过滤流量,为用户提供监控预警功能。云安全应急服务平台以分布式计算为基础云架构,采用多线智能解析调度,将单点Web资源动态负载至云端节点,高性能的云端节点可以承载高并发的用户请求,进行流量监控和分析。云安全应急平台网络架构分为中心和边缘两部分,中心是平台中的智能DNS系统和应急响应系统,主要负责发生信息安全事件的应急处置;边缘是分布在各地的节点,是信息内容的分发载体,由安全保护、Web优化、Cache和负载均衡器组成,主要实现监控预警功能,保障用户的正常应用。
3 系统总体架构
云应急系统可以部署在公有或私有云上,为广大电子政务或中小企业用户服务,通过云平台为用户提供日常的监测预警功能,并通过应急响应机制及时地确定与评估突发事件,有效、快速地对事态进行控制,保持事件发生后能够可靠地恢复,确保关键信息服务在面临各种威胁与攻击时仍然维持良好的运转。云应急服务平台采用主流的三层系统架构,如图1所示,分为为云应急技术支撑层、云应急服务层和应急业务层。
(1)技术支撑层。主要是指基础设施,包括支持系统运行所需的基本硬件、基础软件平台和网络设施。硬件主要包括各种服务器(数据服务器、应用服务器和Web服务器)以及相关的存储备份设备、防火墙及入侵检测设备。基础软件包括各种操作系统、数据库平台、中间件和其他系统平台。
(2)应用服务层。应用支撑平台是构筑在基础软件和数据资源之上,为应用系统提供支撑环境,实现应用系统共有的、与具体业务无关的功能,主要包括通讯服务、安全认证、日志管理、数据备份等。数据资源主要用来存储和管理平台涉及到的所有数据,内部封装了应急管理活动及其数据、知识、物资、人员等资源,可对服务进行高性能检索和调度,实现应急业务信息(如应急预案库、案例库、物资库、队伍库、专家库、模型库、病毒库等)的全面整合,它不仅包括各类数据在数据库中的存储内容、组织方式和存储机制,还指明了数据的管理模式和入库更新机制。
(3)业务层。应急平台功能模块划分监测预警、日常安全管理和应急响应三大模块,实现具体的业务应用。监测预警业务包括对云端用户的漏洞检测、入侵检测和智能分析;日常安全管理主要业务包括应急值守、预案管理、风险评估和应急资源;应急响应包括安全事件处置、事故恢复、事件统计分析和信息。
4 主要功能实现
信息安全应急系统设计的核心思想是在日常管理、监控预警、应急响应基本工作上,强化统一业务工作流的概念,云应急系统软件架构采用面向服务SOA的架构来实现,应用层采用组件技术MVC进行构建,具有很强的灵活性和兼容性,能很好地符合云应急模式的特征。
4.1 监控预警
主要对接入云端的网站或重要信息系统进行安全评估、脆弱性发现,对潜在风险进行分析并及时发出预警报告,包括渗透性测试、漏洞扫描、流量分析。
云应急服务平台可对监控对象进行安全评估,渗透测试是通过模拟黑客的攻击手段,来评估计算机网络系统安全和应用安全。这个过程包括对系统漏洞、应用漏洞、配置弱点和技术缺陷进行主动分析,完全以黑客的角色对测试目标展开全面技术攻击,并且可对预警事件进行实时监控、查询;同时还能根据资产的机密性价值、可用性价值、完整性价值、物理价值和威胁事件实时计算每个资产的风险值;支持漏洞扫描,对网站进行文件上传监测和注入监测;并支持对网络流量进行分析,判断;对整体的安全性进行评估。
4.2 应急值守
借助监控预警系统,在云端通过日志采集、流量采集、内容采集、漏洞扫描等多种技术手段获取安全信息,实时监控网络的安全态势,通过数据聚合、智能行为分析、专家团队综合研判信息系统的安全风险和安全事件,可根据事件信息实现事件的分类分级,自动关联事件处置预案和处置流程,并由值班人员对安全事件进行事件信息报送、处置跟踪、事件归档、事件处置管理等。
信息安全事件管理涉及查看所有的事件,包括高风险事件、低风险事件、历史事件和实时事件;按照不同的安全信息来源进行分类,例如可以分为Unix主机、Windows主机、路由器和交换机、防火墙、NIDS等;可查看所有的实时事件,提供过滤功能,只显示符合过滤条件的事件,过滤条件可以自定义,并且依据设定的审计策略对标准化的安全事件进行审计分析。
4.3 应急资源管理
信息安全应急资源的管理包括机房、重要设备设施、网络、工具软件、应急设备、应急专家、救援小组、应急知识、历史事件、法律法规等应急资源信息的管理。
通过建立应急资源数据库,包括IT基础设施数据库、关键应用系统数据库、应急预案库、应急专家数据库、通讯录、安全事件信息库、政策法规数据库、应急管理的基础数据。云端用户的应急管理人员,通过登录应急管理门户,利用应急资源,完成信息安全风险分析、业务影响分析、安全事件的预警预报管理。
安全知识库包括安全知识文章、漏洞库、病毒库、补丁库、安全事件案例库等。系统预置了大量的安全知识文章,包括安全知识、安全通告等。
4.4 风险管理
信息安全风险管理以资产为核心,结合等级保护中关于资产的价值、脆弱性、威胁,并按照相关标准分析资产风险及风险变化情况,给出降低风险的解决方案。
风险分析参照了国际安全管理标准中的“预定义风险价值矩阵法”。确定目标信息资产的价值、威胁发生的概率、脆弱性被威胁利用的概率,把风险进行量化。主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性。风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱点,并提供解决方案,帮助管理员对脆弱点做出正面积极的响应,预防可能发生的损害。
4.5 预案管理
建立各类信息安全事件应急预案并实现应急预案的数字化,在信息安全事件发生时,自动关联相关应急预案,应急人员参照预案完成信息安全事件应急处置。应急预案规制定包括:应急预案规划方案、应急预案程序、应急预案编制清单、恢复计划编制清单、应急预案规划报告、应急预案规划记录等。
数字化预案是将文本内容的预案通过结构化方法转化为可以为应急指挥提供指导意义的预案,按照适用范围、组织体系与职责分工、分类分级、应急资源、处置方法等应急相关信息、及应急流程信息进行分项数字化。
4.6 应急响应
应急响应是对监测分析发现的事件,协调各类技术资源,协助事发用户、关联单位和相关机构及时对信息安全威胁、预警及事件进行有效处理。信息安全应急响应与辅助决策系统围绕各类信息安全事件(有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件),以应急预案为核心,实现信息安全事件的处置跟踪、指挥调度和总结评估等功能。辅助决策功能使用户在处理安全事件时能够采用数字化预案,系统会根据事件的信息自动匹配预案,由用户决定是否对事件进行处理及如何处理,形成最终应急处置方案,动态实现安全策略的调整,最终保障网络的安全运行。
5 结束语
云计算技术具有强大的数据处理能力,同时可以优化资源配置,节省成本,提高资源利用效率,在云计算环境下信息安全应急系统特别重要,但目前没有一个标准的、规范的模式,特别是对信息数据的定义、来源、梳理、存储和共享都还没有统一认识,这些是以后需要进一步研究的问题。
云安全服务的主要功能范文4
【关键词】计算机网络;云计算;浅析
随着时代的发展,人们日常生活和工作中产生了大量的数据信息,为了能更有效的存储这些数据,计算机网络云计算应运而生。作为一门新兴技术,它还存在一些瑕疵和不足,需要我们发现、研究、解决。
1.计算机网络云计算概述
1.1计算机网络云计算的含义
计算机网络云计算一般被定义为利用计算机网络技术实现功能的一种形式,包含许多硬件系统和软件系统,其是基于web的一种服务形式,通过整合、管理、调配散布在网络各处的资源信息,统一向用户展示,提供服务。云计算既实现了云平台,提供资源的功能;又实现了云服务,基于基础设施提供扩展服务的功能。
1.2计算机网络云计算的分类
按照服务对象的不同可以分为公有云和私有云。公有云是供企业、政府等集体使用的,私有云是仅供个人单独使用的。按照服务类型还可以分为基础架构服务,平台即服务,以及软件即服务。
1.3计算机网络云计算的特点
计算机网络云计算的特点主要有以下几个方面:通用性、虚拟化、高扩展性、高可靠性、超大规模、成本低、按需服务。通用性是指一个云可以支持多个应用运行。虚拟化是指用户不需了解应用运行的具体的位置就可以获取相应的应用服务。高扩展性是指云可以随着用户的需求动态伸缩。高可靠性是指云对数据进行了多份副本保存,保障了数据的高可靠性。
2.计算机网络云计算应用中存在的问题
2.1访问的权限问题
用户将数据保存于计算机网络云计算的服务商,而非自己的硬盘或计算机上,需要使用相关数据时往往需要输入账号和密码来获取。虽然不影响用户的日常使用,可以满足用户的需求。但是用户无法直接控制数据信息,而是后台的服务商直接控制,就无法保障不会发生越权访问的现象,对数据安全产生影响。
2.2技术保密性问题
计算机网络云计算的保密性是广大用户最关心的问题,这直接关系的每一位用户的隐私与信息安全。但是目前计算机网络云计算的保密性技术还不成熟,容易被有心之人钻空子,给计算机网络云计算的用户带来不可估计的损失。在网络环境下,用户自由的获取所需的数据资源,一些集体与个人用户的共享数据容易被泄露,给用户带来无法挽回的损失。
2.3数据完整性问题
计算机网络云计算环境下数据的完整性也是目前比较严峻的问题之一。如果用户的数据没有被整体保存于一个位置里,而是被分散的存储在计算机网络云计算的不同位置,就会影响数据的整体功能,制约其发挥应有的作用。另外,计算机网络云计算服务商不能有效的对用户上传的数据进行管理,或者保存的不完整,也会影响其作用的有效发挥。
2.4法律法规不完善
目前计算机网络云计算还是一门新兴技术,相关的法律法规不够完善。但是想要有效的发挥计算机网络云计算应有的作用,必须有相关法律法规的建立。计算机网络云计算的安全标准和安全管理责任惩治制度缺乏,一旦发生安全问题就难以问责,不利于为计算机网络技术云计算的用户安全提供保障。
3.计算机网络云计算应用的改进措施
3.1合理设置访问权限
用户在使用计算机网络云计算时,应该合理设置访问权限,对访问自己相关数据设置权限,只有符合相应的权限后才有资格访问,才能够获取相关的数据资源。主要是为了有效制约计算机网络云计算服务商的行为,避免用户自身信息被修改、泄露。另外,用户还需要定期对计算机网络云计算的数据进行检查,防患于未然,查缺补漏。既保障了数据的安全,又方便用户获取。
3.2注重相关技术保密
计算机网络云计算的保密工作应该受到用户和服务商的共同重视,提高相关的技术保密意识。服务商采取相应的保密技术,用户提高账号和密码的保密意识,为计算机网络云计算创造一个安全的数据环境,有利于信息资源的有效利用,也避免的用户相关信息的泄露。
3.3确保数据完整可靠
用户需做好数据的保存工作,让数据有效完整的保存在计算机网络云计算中,避免数据分散保存的现象发生,以免影响数据的功能实现。将数据顺利保存在计算机网络云计算中后,用户需要加强日常管理和维护。计算机网络云计算服务商也要加强数据信息的管理工作,维护信息资源的安全与完整,保障用户数据长期的完整可靠。
3.4完善相关法律法规
按照计算机网络云计算发展的需求,完善相关的法律法规,使计算机网络云计算受到相关法律法规的保障,各项工作能够受到有效约束。需要明确云计算的安全标准,责任问责制度,制定相关规章制度的明细,并且严格遵守,有效落实这些措施和法律法规,使其充分发挥作用,为计算机网络云计算的运行提供有力保障。
3.5加强技术安全管理
根据实际情况,制定并采取有效措施,从而确保计算机网络云计算的有序运行,充分发挥作用。比如,建立起有效的监督措施,对计算机网络云计算进行分级分类监管处理,进一步推动计算机网络技术的发展,加强技术安全管理和创新,实现计算机网络云计算的服务功能。
4.计算机网络云计算的发展前景
4.1个人主机应用将被淘汰
计算机网络云计算时代的计算机结构将会非常简单,不再需要笨重的光驱、硬盘、软驱等硬件,只要能实现上网功能,也不需要安装和购买任何软件。用户只需连接网络,输入计算机网络云计算的账号和密码,进入计算机网络云计算的服务平台,就可以按需使用,按用付费,实现用户所有的需求。
4.2个人家庭数据主要改存在云端
目前用户的家庭数据,如照片、视频等都是保存在计算机的硬盘或者U盘中。在计算机网络云计算时代下,所有的家庭资料都将保存在的数据库中,在任何一台能实现上网功能的终端上都可以上传或者调用相关数据资料。
4.3不再担心电脑中病毒
使用计算机不可避免会发生中病毒的现象,极可能影响计算机的相关功能,或者导致计算机瘫痪、文件丢失。在计算机网络云计算时代,计算机没有了外部接口设备,也就避免了通过外部接口中病毒的风险。同时,计算机没有了存储功能,病毒也难以安装在计算机上。
云安全服务的主要功能范文5
云计算是下一代的IT架构。运用云计算,可以把应用软件和数据迁移到很大的数据中心。云计算的这一特点带来了很大的安全问题。要研究云计算数据的安全特征,就要首先了解云计算的数据安全模型。
1.1云计算数据应用系统模型
云计算的平台构架主要技术有并行编程的模式,分布式文件系统,数据处理模型。其层次如图1所示。云计算的数据应用共分为三个层次:应用层、索引层和数据存储层。同时要了解云计算数据应用系统的三个要素:用户、应用服务器和数据中心。这三个要素各有着不同的功能,用户的功能是存储数据,在数据计算的基础上,计算个体用户和组织用户的数据。应用服务器的功能是维护云计算的系统。数据中心的功能是存贮实际的数据信息。但是,在云计算数据应用系统模型中,存在着很大的安全威胁,主要是来自传统数据的威胁,容易受到影响的对象有客户端、主从结构和病毒的传播,通信的安全性。其中,病毒的传播主要是通过互联网的数据交易服务,病毒侵入计算机网络系统,它的破坏性远远大于单机系统,用户也很难进行防范。现在的互联网中,病毒一般有隐蔽性,传播速度也很快。另外,病毒的制造技术也越来越高级,不仅可以破坏用户的程序,还可以窃取信息,造成系统的交叉感染。这种感传染性的病毒危害性非常大。对于通信故障,网络中通常分为两种类型的安全攻击类型:主动攻击和被动攻击。常见的攻击手段有偷窃、分析、冒充、篡改。对于数据安全来说,除了上述的数据安全,还有新数据的安全威胁,主要表现在几个方面:保密失效威胁、分布式可用威胁、动态完整性威胁。
1.2云计算数据安全模型
典型云计算数据技术如图2所示。该数据安全模型主要分三个层次:第一层的功能是负责验证用户的身份,保证云计算中数据的安全;第二层的功能是负责对用户的数据进行保密处理,保护用户的隐私;第三层的功能是恢复用户误删的数据,是系统保护用户数据的最后一道防线。这三层结构是相互联系,层层深入。首先要验证用户的身份,保证用户的数据信息不被篡改。如果非法用户进入的系统,则进入系统后还要经过加密保护和防御系统。最后是文件恢复的层次,这一层次可以帮助用户在数据受损的情况下修复数据。
2多维免疫的云数据安全
2.1多维免疫算法
多维免疫算法的组成主要依靠生物原理、免疫系统的多维模型、多维免疫的基本原则组成。其中,生物原理是把生物学的理论应用在云计算中。人工免疫系统发展到现在,在免疫能力的发挥方面有了很大的发展。免疫能力的增长是一个漫长的过程,后天的免疫的生成更是一个艰难的过程。在一个系统生成初期,完全没有后天的免疫能力,但是随着身体的成长,免疫细胞逐渐增多,免疫系统也开始形成。多维免疫系统的形成也是这样的。
2.2多维免疫的数据安全原理
阻碍多维免疫的数据安全的因素主要有不可靠网络、节点故障、超大规模的用户访问、数据更新引起的数据不一致性等。为了提高数据管理的安全性,云计算为用户提供了一个一致的入口,只有向用户提供透明的文件,进行文件数据的定位数据选择。对于数据管理服务,应该注意,这项服务是连接用户和系统的。应用服务器和数据中心共同组成了云计算数据应用系统。应用服务器主要目的是方便用户访问历史和相关的文件信息。
2.3多维免疫的云数据安全策略
主要包括文件分布的策略,HDFS文件冗余度计算,多维免疫的文件分布,数据块选择机制等。对于云计算中的用户文件,需要考虑到数据块的数量分布、数据块的颗粒度和数据库的创建时间。多维免疫的文件分布中,首先要掌握文件分布的原理,多维免疫算法和云计算中文件的创建和文件块的分配法是一致的。
3结束语
云安全服务的主要功能范文6
〔关键词〕云计算;数字图书馆;资源调度;资源分配
〔中图分类号〕G250.76 〔文献标识码〕A 〔文章编号〕1008-0821(2012)09-0025-04 随着云计算技术的发展与成熟,云计算技术已成为数字图书馆运营和读者个性化阅读服务的支撑技术。云计算技术是一种新的IT资源管理、分配、使用模式,是将数字图书馆的云计算资源(主要为计算资源、存储资源、网络资源、基础设施资源、应用和服务等资源)虚拟化之后,划分为虚拟资源池的方式统一为用户动态分配,为读者提供以基础设施即服务(IAAS)、平台即服务(PAAS)、软件即服务(SAAS)3种服务模式为核心的用户服务。
云数字图书馆运营和读者服务活动中,云计算资源在地理位置上呈现分布式结构,具有设备异构性程度高,用户资源需求与管理动态性,以及资源管理与分配策略效率要求高的特点。如何加强云图书馆云计算架构的灵活性与可扩展性,提高云资源管理、调度系统的融合度,实现资源管理、调度、部署和配置的智能化与自动化,确保云虚拟化资源管理与调度安全、高效、可靠和经济,是提高云图书馆用户服务水平和市场竞争力的重要因素[1]。
1 图书馆云资源管理与调度平台的结构与系统功能设计需求 云计算环境下,数字图书馆云计算资源具有分布地域广、基础设施结构多样性、资源管理与分配动态、云资源多用户共享和互操作性强的特点。云资源管理与调度的目的为屏蔽云物理基础设施资源的异构性和动态性,通过为用户提供统一的访问接口来对云资源实施统一的管理、共享、分配和优化服务,确保为读者提供安全、高效、经济、低碳的QoS(服务质量)服务。
1.1 资源管理与调度平台的结构
云图书馆资源管理与调度平台结构主要由云物理基础设施层、虚拟化管理层、云应用阅读服务管理层和工作负荷环境4个层面组成,如图1所示:
图1 云图书馆资源管理与调度平台结构
云物理基础设施主要由云阅读应用服务器、供电系统、云存储服务器、云计算服务器和相应的云数据中心网络平台系统组成,是云应用服务的物理基础设施平台。虚拟化管理层在云物理层基础上,利用虚拟化技术将云物理资源和云计算资源划分为资源池统一管理,为云应用阅读服务的开展提供相应的虚拟化资源管理与调度支持。云应用阅读服务为读者提供所需的云服务和阅读活动行为监测、管理,确保读者云阅读应用活动安全、高效、经济、满意。工作负荷层是云图书馆资源管理与调度平台的最高层,是云应用阅读服务管理与资源调度的最终服务对象,为读者云应用阅读活动提供安全、高效的二次应用开发环境和安全的网络环境,保证读者利用形式多样的阅读终端开展满意的云个性化阅读活动。
云资源调度系统结构的科学性、复杂性、可控性和工作效率,决定了云图书馆系统运营的安全性与有效性。在图书馆云计算资源的管理与调度中,应采用集中式与计算经济相结合的调度方法,所有的云计算资源由一个中央调度程序统一控制、调度。根据云数字图书馆工作效率最优化和读者核心云阅读服务满意度相结合的原则,在安全、经济的前提下,实现云资源管理与调度策略、步骤的高可靠与最优化[2]。
1.2 资源管理与调度的过程
数字图书馆云计算资源管理与调度平台的基本功能,是通过对所接受的读者云阅读服务资源请求进行分析、处理、计算后,根据读者云阅读活动资源需求量进行资源管理、分配、调度和优化。按照云资源用户请求与管理过程划分,可分为资源发现、资源分发、资源管理和资源调度4个步骤。
虚拟化资源发现是资源管理与调度的前提,通过对云虚拟化资源、已分配资源、用户已释放资源进行探测,准确掌握云虚拟化资源的数量、存在的位置、存在的状态和可管理程度。资源分发是根据图书馆云业务运营和读者阅读活动的开展需求,对用户和云阅读应用进行云资源安全、高效、可靠、经济的分配。资源管理是指将云计算资源通过虚拟化技术划分为资源池统一管理,以便于有效的管理、分配、回收和再分配。资源调度是指依据云虚拟化资源池资源存储特点、用户云阅读服务虚拟化资源需求、云系统运营效率状况、云图书馆运营高效与经济性需求,对资源进行统一的管理和调度。
云图书馆读者服务模式和用户需求是资源管理与调度平台功能设计的主导因素,资源管理的安全性、效率、可靠性、经济性是平台设计的指导依据。因此,只有加强云资源管理与调度平台的界面统一与功能融合,提高平台的用户友好性和可操作性,才能降低平台设计、生产、运营费用,提高平台的身份认证与管理、调度活动的安全水平,确保数字图书馆云计算资源管理与调度平台安全、高效、开放、易用[3]。
2 数字图书馆云虚拟化资源管理机制
云计算环境下,数字图书馆通过虚拟化技术将云计算资源(主要由计算资源、存储资源、网络资源、应用资源组成)划分为资源池方式统一管理、分配、调度、优化,较大幅度地提高了云计算环境下数字图书馆系统资源统一划分、综合管理、弹性分配、全面优化的能力。但是,对云系统资源的虚拟化划分、管理与灵活使用,并不是关系云图书馆高效运营的主要方面。而利用有效的资源管理与调试系统,通过采用高效的管理与调度策略来确保虚拟化资源管理与调度活动安全、高效、经济、便捷,才是提高云图书馆运营效率,保证读者云阅读活动满意度和降低云图书馆建设与运营、维护成本,确保低碳运营和具有较强市场竞争力的关键[4]。
