云计算中的安全管理范文1
关键词:云计算;网络安全;虚拟化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)13-3021-02
1 国内外云计算发展现状
1.1 国外云计算发展现状
“云计算”的概念最早是在2006年由Google公司首席执行官埃里克・施密特在搜索引擎大会上提出。
在美国,政府从2010会计年度开始将轻量级的工作流程转到云端,并且加强了对云计算的安排,把云计算纳入了政府规划与架构中,资助了众多试点项目,包括中央认证、目标架构与安全、隐私以及采购相关内容。短短几年,云计算在美国政府机构的IT政策和战略中逐渐扮演越来越重要的角色。
在日本,政府出台了各种云计算发展计划政策,大力扶持和引领云计算在日本发展,旨在借此降低政府IT运营成本。云计算已经在各行各业得到了广泛的应用,汽车导航、实况视频转播、智能电网、智能城市等一大批应用被搬上了云端。
随着云计算在各国的应用与发展,云计算的安全风险问题也逐步显现出来,各国政府在支持和推广云计算的同时也在积极关注着云安全。2010年3月,欧洲领导人呼吁制定一个关于数据保护的全球协议,用以解决云计算的数据安全弱点,这个呼吁是由来自多个国家的300名网络法律专家在欧洲议会讨论网络犯罪法规和谐化的会议上提出的。欧洲网络和信息安全局(ENISA)也表示,将推动管理部门要求云计算提供商通知其客户关于云计算的安全问题。
1.2 国内云计算发展现状
我国云计算起步与国外相比较晚,但是增长速度相当快。从2008年开始,涉足云计算的IT企业在我国逐渐建立了多个云计算中心。国内最大的搜索引擎公司百度也已经投身云计算,网盘、相册、通讯录等云服务相继在百度上线,其实百度搜索天然就是“云”,搜索用户可以在1秒钟内得到大量搜索结果,完全依赖于远程服务器集群的高速数据运算和海量数据存储。
2 基于云计算的网络安全及管理系统实现
2.1 构建网络管理服务云平台
充分利用云计算无缝整合资源的特点,将网络中的计算资源、存储资源及网络资源进行规范化管理和整合,构建网络服务云平台。该平台包含私有云、公共云和混合云三个部分:私有云为网络管理部门内部提供相关的业务应用支撑服务;公共云为公众提供基本信息查询与核实服务;混合云面向政府等行业用户,为企事业单位提供与网络管理相关的数据整合与交互服务。
2.2 建立网络服务云平台安全体系
可信计算技术作为一种新型信息安全技术,已经广泛地应用到服务器、微机、PDA 和手机终端。在基于云计算的网络安全中,引入可信计算技术,通过可信存储服务、可信认证和行为可信评估等安全机制,保证网络服务云平台自身及使用者的安全。另外基于虚拟存储系统的云计算平台将物理存储设备统一管理与封装,每个虚拟机都分配在指定的云计算资源模块中工作,与数据安全密切相关的存储资源相互之间实现了有效的资源隔离,每个虚拟机中的数据与信息资源相对独立,保证了数据的隔离性和安全性。
2.3 提供基于统一身份认证和访问控制管理机制的网络管理云服务
身份认证与访问控制管理是实现网络服务云平台安全体系的重要机制。身份认证是整个安全体系的基础,为云服务平台用户身份的真实性提供安全保证。访问控制管理在身份认证的基础上,按用户身份及角色限制其对网络云服务以及相关资源的访问。网络服务云平台使用统一的身份认证与访问控制管理机制,云用户通过单点登录,即可获取相应的授权。用户信息的存储、处理、传输等都与云计算系统有关。关键信息或隐私信息的丢失或泄露,将严重影响整个系统的安全。通过在网络服务云内部实现统一的身份认证和访问控制机制,可以满足用户对网络服务云平台的安全需求。通过实施有效的行为,可以实现对访问和操作云服务虚拟资源的安全监控。
3 结束语
云计算的出现对网络的安全性、可靠性等技术指标提出了更高的要求,新的网络新技术应运而生。与可信计算、存储虚拟化相比,网络虚拟化技术更加复杂多样,随着云计算大规模的应用实施,云计算网络主流技术将逐渐明确统一。作为云计算来说,它给IT业大幅节约了成本,对于网络安全与管理也提出了新的挑战。
参考文献:
[1] 房秉毅,张云勇,陈清金,等.云计算网络虚拟化技术[J].信息通信技术,2011,5(1).
[2] 高婷.云计算的信息安全问题[J].硅谷,2011(21).
云计算中的安全管理范文2
【关键词】云计算;企业网络;安全管理;构建
近几年来,伴随着科学技术及其网络信息技术的快速发展,云计算在各个领域中均得到实施。信息网络技术已为人们的生产及生活带来较大便利,同时也带来了信息安全问题。企业网络安全问题日益凸显,云计算作为一种新型的核心技术,在各行各业中均得到广泛应用。
1云计算概述
云计算是2007年出现的新名词,只带现在还没有一个确切的定义。总的来说,云计算指的是把分布式计算,虚拟化等技术结合起来的一种计算方式,基于互联网为媒介,向用户提供各种技术说明、数据说明及应用,以方便用户使用起来更方便快捷。对于云计算而言,它是分布式处理、网络计算的发展,对分布式计算机中的数据、资源进行整合,实现协同工作。用户连上网络,运用云计算技术使标准化的讯息和数据更加的有效、精确、快速及多量化。云计算主要由计算与编程技术、数据存储技术、虚拟机技术、数据处理技术等技术构成。云计算技术不同于其他技术,它具有自身独特的特征,其中包括:超大规模、高真实性、高安全性、扩张性、按需求提供等。云计算技术具有独特的特征,即使用成本低,适应范围广泛、高效的运行速度,被各大企业广泛运用。云计算通过电脑进行数据,至电脑的算术功能更加强大,使那些繁琐的、量大的计算得到了提高。并且,启用云计算模式,使数据的储存更加的统一化,有利于数据在监管测试中更加的安全。在云计算模式的数据中心中,其对数据的统一化、资源配置的有效化、系统的优化、安全的监测环境和铺排软件,有效的提高了数据的完整性。并且,在云计算平台加入硬件、软件及技术资源,从而促进集中管理的实行,同时,增加动态的虚构化层次,促进了资源、硬软件的全面发展。云计算技术具有可持续性、虚拟化的特点,可持续性的特点,使系统的总体消耗费用在一定的程度上降低。云计算的种类可分为公共云、社区云、混合云及私有云。其中公共云主要用于公共服务的云平台,进而为公众提证供云存储及云计算的服务;社区云则是在某一区域内使用的云服务,进而为多家关联机构所提供的云服务;混合云是两种或两种以上的云所组成的;私有云是指企业内部所使用的云服务,适宜专网向结构采用。
2云计算在企业网络安全管理系统中的应用
随着科技的飞速发展和网络的普及,企业管理所形成的运用系统平台都向着规模化、多效用化、高效能、高机能的方向发展。以保障企业网络管理系统安全的正常运行、对其进行定时调度和维护,完善企业内部网络的建设发展,云计算技术在企业网络安全管理中的应用必不可少。基于云计算技术的应用将整合数据信息资源,可以确保企业安全管理系统数据的安全。
2.1云计算系统实现
作为多层服务的集合体系,电力云主要由物理存储层、基础管理层、高级访问层、应用接口层四个主要层次构成。云计算系统是在企业网络安全管理中,网络存储与设备是以物理存储层为基础的,其所分布的地理位置不同导致其云物理设备也不同,这些差异的地理位置及云物理设备之间的连接主要是通过内部网来实现的。基础管理层是采用集群式和分布式系统,促使云中的储存设备进行协同工作,在基础管理层中,还包括机密、数据备份内容。高级访问层主要包括管理系统的基础与高级应用,通过软件平台来实现安全管理软件快速有效的运行。云计算系统是在企业网络安全管理中,应用接口层是其最最活跃的部分,其系统中的运行管理机构信息及数据获取必需通过应用接口层完成。
2.2云计算的信息整合
云计算的信息整合很多都是通过云计算技术来实现的,如企业网络安全管理系统中的信息同享,利用公有信息模型,标准组件接口,让多个企业网络数据库中的数据进行交流、同享。同时,可利用自动分析与拆分技术,对系统中繁琐的资源进行统一,使其任务变成较小任务。经过企业网络安全管理系统中某个信息点将请求发云体系实现资源的统一,在请求接到后,将数据请求要求发送给企业网络安全管理中的公用信息平台,依照请求,对系统中的资源进行储蓄整理、推算。
2.3资源管理与调度
为了完成云计算技术在工作中的的有效使用,应该巩固对资源的处理、调度。其详细运行表现为:起初,为了保证企业网络安全管理系统的安定、稳固进行,应该对每一台使用云计算技术的计算机设施进行整合,对使用者权利、使用者因特网地址、用户终端级别进行整合。另外,描绘计算机资源近状,对Cache、MFLOPS等数据结构进行概述。最后,实现云内部任意终端的探问,运用云调度技能,有效处理云资源,完成对系统资源的灵验、科学整理,便于资源的询问、使用。企业网络安全管理系统与云计算的应用具有计算速度快、安全可靠性高、应用范围广的特点。为了使企业网络安全管理系统有效快速的运行,云计算技术还对技术标准合理的进行规范,利用数据模型,完成数据的平稳执行。
2.4云计算的关键技术
数据安全技术。在企业网络管理系统中采用云计算技术,数据的散落式储存保证了数据的安全问题、系统内的安全问题。在系统进行运行的过程中中,保障数据完好,应该对数据处理、用户约束、资源证实、权利管理等各技术的认真分析,保障应用数据的稳定性、整体性。因此,在系统运行过程中,云计算技术还要加强对数据的隐秘功能,从而保证数据的稳定性、整体性,可以通过数据加密技术进行维护。就像采用华为技术公司利用IaaS层资源管理软件,有用地解决了数据存在的安全问题。与此之外,数据的安全技术强化系统中的用户数据安全,保障用户数据的安全共享,保障了数据的交迭。动态任务调度技术。其于企业网络管理系统,其计算方式有暂态、静态等多样性,因为计算时间具有不稳定性因素,且计算之间是具有相互依靠关系,从而便增加了计算任务的调度的难度。因此,为了保证企业网络管理系统的高速运行,在系统的云计算中心,使用任务预分配与动态分配相配合,分布式文件与本地文件相配合的形式,从而提高资源的有效利用,促使数据运送、调整管理的时间损失降低了一定的程度。一体化数据管理技术。在系统的多种整理中,通过采用一体化数据管理技术与模型的方法来实现数据模型的统一化,以此减少不同模型转化的过程中所形成的数据丢失与失误,利用合并的计算数据准则。在当前的的数据模型中,大部分采取EICCIM国际标准,同时使用国网E格式标准数据替换,而关于计算输入数据而言,可使用BPA和PSASP兼并的方法。
3企业网络安全管理系统中云计算技术的应用
云计算在企业网络安全管理系统中的应用可分为三大层次,即:基础设施层、平台服务层及软件服务层。其中基础设施层是面向应用对象,平台服务层面向服务、软件服务层面向用户。在每一个层次中都能够根据功能需求加以细化。并且根据逻辑的顺序,在基础设施层上能够分为数据采集及其转化,并且根据硬件的不同,将其分为用户设备终端、存储设备及其服务器等。此外,在云计算的信息管理中,大多是通过虚拟化的技术来实现资源的形象化转变,并将数据传递到服务平台。同时根据设计及开发的相关流程,平台服务层可分为开发、测试及其运行。每一层都应根据相关设计来进行开发。如:在建立某企业的网络安全管理系统时,首先,应对该企业的业务类型进行全面调查分析,并给予分类,查看适合采用哪一种云计算分类。若企业的网络安全管理系统适宜采用私有云计算类型,则可采用私有云的管理系统。然后,企业应根据实际应用需求,需要配备足够的服务器设备等。再次,对企业内部IT资源、数据中心等加以整合,并选择较为合适的虚拟化方法,对存储设备及服务器给予虚拟化整合,将已虚拟化的集成管理器给予管理,并将其上传到云计算的平台之中。最后,在软件的服务层,应根据实际的应用对象及其需求进而用户终端提供不同的软件,并设置相应的操作系统。当企业采用云计算的技术后,应配置基础设施或功能软件等,最终向服务提供者提供费用,可有效降低计算成本。对于云计算的信息管理系统,其中影响较大的缺陷即所拥有的隐私保护力不够,且公享资源的较大则是服务提供者所拥有的任意数据,如何在确保资源共享的优点下,达到保护用户隐私的目的,是当前亟需解决的问题。
4结语
云计算中的安全管理范文3
【 关键词 】 云计算;云安全;CSA信息安全等级保护
1 云安全现状分析
1.1 全球企业和消费者对云计算安全的关注
云计算是一种新兴的商业计算模型,它利用高速互联网的传输能力,将数据的处理过程从个人计算机或服务器转移到一个大型的计算中心,并将计算能力、存储能力当作服务来提供。云计算模式已得到业界普遍认同,成为信息技术领域新的发展方向。但是随着云计算的大量应用,云环境的安全问题也日益突出。在拥抱云计算的同时云计算面对的风险也是不容忽视,如果不能很好的解决相关的安全管理问题,云计算就会成为过眼“浮云”。 在众多对云计算的讨论中,SafeNet的调查非常具有代表性。
“对于云计算面临的安全问题, 88.5%的企业对云计算安全担忧,占首位。一方面,安全保护被视为云计算广泛使用的绊脚石;另一方面,它也可以成为云计算的推动力量。在“云”模式下,通过找到一个有效的保护数据的方法,企业则可以将“云”模式所带来的商业潜力最大化,从而在行业中保持持续创新和增长。” 从调查和社会反馈来看,如何保证云环境的安全成为企业和消费者最为关注的问题,如何做好企业和消费者所关注的云计算的安全和管理问题也成为发展云计算产业急需解决的关键问题。
1.2 云计算安全理论研究及规范、标准现状分析
云计算作为全新的Web服务模式,其本质是计算与存储能力从桌面端到网络端(云端)迁移、以及网络资源的动态伸缩,包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)等内容,以实现缩减IT成本、提高企业业务运营效率等目的。可预见的是,云计算将在互联网、电信、IT、金融及政府企事业单位等领域的信息化建设中扮演重要角色,为现有工作方式以及商业应用带来根本性变化。
云计算应用安全研究目前还处于起步阶段,业界尚未形成统一标准,目前主要的研究组织主要包括CSA(Cloud Security Alliance,云安全联盟)、CAM(common assurance metric beyond the cloud通用保障测量体系)等相关论坛。 为了推动云计算应用安全的研究交流与协作发展,业界多家公司在2008年12月联合成立了CSA,该组织是一个非赢利组织,旨在推广云计算应用安全的最佳实践,并为用户提供云计算方面的安全指引。CSA在2009年12月17日的新版的《云计算安全指南》(V2.1),着重总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系,从云计算用户角度阐述了可能存在的商业隐患、安全威胁以及推荐采取的安全措施。另外,欧洲网络信息安全局(ENISA)和CSA联合发起了CAM项目。CAM项目的研发目标是开发一个客观、可量化的测量标准,供客户评估和比较云计算服务提供商安全运行的水平。 此外,2011年1月美国国家标准委员会推出了SP800-144标准草案,针对公有云计算的安全与隐私保护提出了指导性意见。
目前,国内专门针对云计算提出的安全管理标准和规范尚属空白,尚无云安全的相关法律法规政策出台。2007年,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级。现在相关部门正在针对云计算平台与传统信息系统的技术及管理方面的差别进行深入研究。未来将可能在此基础上对信息安全等级保护管理办法进行针对性的升级,作为国内云计算平台的安全管理标准及规范。
1.3 云安全的两种研究方向
当前,由于云计算方兴未艾,许多云服务提供商也纷纷出台了自己的云安全解决方案。目前云安全基本上有两种研究方向:云计算平台的安全和安全云。
安全云:是研究如何以云计算的模式提供安全服务,目前的服务比较单一,已防病毒为主,主要来源于传统的杀毒厂商,如瑞星、PANDA、McAfee等。
云计算安全:则是研究如何保护云计算平台本身的安全性,是目前很多云服务提供商和云安全研究机构研究的主体。
2 云安全需求分析
2.1 CSA云计算关键领域安全指南V2.1
CSA云计算关键领域安全指南V2.1中为云安全构建了技术及管理框架(如下图),其中包含了3个层面,13个关注点。
CSA安全指南v2.1在技术上面明确阐述了法律、电子证据发现(D3)以及虚拟化(D13)方面的安全关注建议,另外对于数据的可移植性和互操作性(D6)也是新版CSA安全指南的独特之处。这些内容在ISO27001或者PCI-DSS中或者没有要求,或者很少阐述。
D3和D6都是法律层面的关注点;而D13虚拟化则是安全技术关注点,这也是云计算中心相对于传统信息中心在技术方面最大的区别之一。
2.2 传统信息系统的基本安全需求
《信息安全等级保护管理办法》中对信息系统的安全需求的深入研究,对传统信息系统的安全做出了很全面的规定,主要包含两个层面的要求:技术层面和管理层面。
应用系统应根据《计算机信息系统安全保护等级划分准则》确定自身的等保级别,并根据《信息系统安全等级保护基本要求》的具体要求进行安全系统与制度建设。不同级别间的大项要求相同,细项不同。下图对不同级别系统控制项的差异进行了汇总。
云计算中的安全管理范文4
云计算(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的实现。
云计算不仅带来了是技术上的革新,更改变了传统的管理理念和服务模式。在云计算时代,人们对资源的管理与利用将会更加集成化,虚拟化,并且不再受时间、地域、物理条件的限制。在全球化背景下,人们可以方便地对云端的资源进行统一的管理调度,还可以利用云端强大的数据处理能力进行信息的深入开发。
2 企业信息安全管理应用云计算技术的必要性分析
从企业层面来说,目前的信息安全管理出现了许多新问题,比如呈几何级数增长的信息需要大型的存储设备和处理器进行存储和管理、人们对企业信息的共享需求日益增多、企业信息安全管理流程日益繁杂等等,这些都需要云计算技术加以解决。从环境来说,如笔者开头提到的,云计算的发展普及是大势所趋,而且云计算技术主要涉及的就是信息的存储、管理、开发等环节,企业作为社会发展的主要力量,在今后的发展中不可能离开信息与云计算,尤其是信息安全管理环节。
信息安全要掌握主动性原则,越早采取措施越好。因为如果越晚发现存在的风险,那么需要弥补的时间就越长,花费的成本就越多,对企业的造成的损失也越大。而且企业信息安全的基础数据、标准往往是在初期设定好的,如果后期出现问题需要更改,将会耗费巨大的工作量。
基于上述分析,尽管云计算才刚刚到来,但是企业已经有必要将强对云计算的了解和研究,并逐步开始涉及基于云计算的信息安全管理。
3 云计算环境下信息安全管理的新特点
云计算对信息安全管理的影响主要体现在技术和管理模式这两个方面。云计算的特点之一便是高安全性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。同时,有专业的团队负责云端数据的安全维护,保证云端服务器的正常运行和信息安全。云计算的构成有天然的优势,包括云计算的云端集中管理,超大规模服务器的同时运作,还有近期提出的“共有云”、“私有云“等等都从各个方面分散了信息安全的风险。
但与之相对应的,目前的云端往往存储着多个用户的数据,而且存储的数据的规模和设计范围都极为广泛,这样也就造成了风险的集中,一旦出现问题,损失也会加大。
在传统环境下,企业的信息安全管理多是相对封闭的,因为按照一些人的理解就是“越封闭,越安全”。封闭只能是先对的,完全封闭更是不可能的。企业的运作管理需要时刻保持与外界的交流,其中很大一部分就是信息的交流;而且在信息的价值越来越被人们重视的今天,企业对自身信息资源的开发与利用越来越多的展开,在这种背景下谈封闭无异于明清时期的“闭关锁国”。云计算技术是以网络为基础的,也就是说是一个相对开放的平台。根据目前的发展来看,在控制好权限,做好软硬件维护的前提下,云计算环境下(亦或网络环境下)的信息安全管理的安全性是完全可以保障的。
4 云时代的信息安全风险管理
云计算环境下,由于云端与用户端的功能、作用、管理工作环节的不同,云端与用户端的风险来源也会有明显的不同。
云端的风险主要来自实体的、技术性的,操作性的,用户端的风险则主要来自内部人员和组织管理的漏洞。
本文结合传统的信息安全评估方法,参照《信息安全管理》(人民邮电出版社),云计算特点,从资产的识别与估价,威胁的识别与评估,脆弱性评估、现有安全控制确认的角度给出基于云计算的测评分析方法。
(1)、资产的识别与估价。在云计算环境下,云服务商拥有大多数的实体资产,而企业用则输出自己的信息资产。因而在对资产进行评估的时候也是双向的,尤其是信息资产,企业和云服务商可能对其价值会有不同的理解。但是双方又比较能够达成一致,因为对信息资产的不同估价涉及到之后对不同价值信息的不同强度的保管。企业和云服务商会在信息安全和保管成本之间找到平衡。
(2)、威胁的识别与评估。威胁识别与评估的主要任务是识别产生威胁的原因、确认威胁的目标以及评估威胁发生的可能性。云计算环境由以往的封闭环境转变为开放的网络环境,所面临的威胁更为复杂。就目前云计算的发展情况来看,云计算的威胁主要来自人员威胁和系统威胁。谷歌公司、亚马逊公司和微软公司的云计算服务都曾因为代码编写失误、软件故障、硬件故障等造成中断,给用户造成了损失。
(3)脆弱性评估。脆弱性评估一般分为技术脆弱性、操作脆弱性和管理脆弱性。云计算的脆弱性主要表现在技术脆弱性方面。云服务商的平台都是统一的,就如电脑的操作系统一样。如果其中某一个小小的文件或者某一句代码出现问题,都可能对整个系统以及上面运行的服务造成极大地影响,可以说是牵一发而动全身。
(4)现有安全控制确认。在风险评估过程中,应当识别已有的安全控制措施,分析安全控制措施效力,有效地安全措施继续保持,而对于那些不适当的控制应当核查是否被取消,或者用更合适的控制代替。
云计算中的安全管理范文5
关键词:数字图书馆;基础设施即服务;云计算平台;安全策略
中图分类号:G250.76 文献标识码:A 文章编号:1008-0821(2012)07-O008-04
云计算是一种基于互联网的云超级基础设施资源与IT云服务租赁、使用和交付模式。通过高速互联网的传输能力,将云数据中心计算、存储、软件、服务等资源虚拟化,划分为一个动态易扩展的虚拟化资源池统一管理、按需分配。云计算平台可以分为基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(Seas)3种云服务模式。
随着云计算技术的发展与成熟,利用云计算技术建设安全、高效、经济、便捷的云图书馆成为必然。IaaS云平台是云图书馆基础设施资源与云服务的底层平台,为用户提供计算、存储、网络和其它云基础设施资源。用户可以在平台上部署和运行任意的软件而不用管理和控制底层基础设施,通过控制选择特定的操作系统、云储存空间、云应用部署、云网络组件,实现对所分配云资源的交付、管理、使用与开发。在图书馆的IaaS云平台应用中,凭证缺乏、协议风险和实现缺陷等应用风险会导致云基础设施安全防御体系过于薄弱,降低了云图书馆高层体系结构及云应用服务的可靠性。此外,云基础设施具有结构复杂、数量庞大、管理策略难度大及安全防范要求高的特点,自身也易成为病毒、黑客及其它非法云租户攻击的目标。因此,只有加强IaaS云应用平台安全,才能确保云图书馆系统的健壮与安全,才能为读者提供安全、高效、稳定、可靠的个性化云阅读服务。
1、图书馆IaaS云平台组成与安全需求
1.1 图书馆IaaS云平台组成与云业务流程
图书馆IaaS云平台是图书馆PasS与SaaS开展云应用服务的基础,IaaS平台的云组织与管理模式决定了图书馆云应用的效率与读者开展云阅读活动的满意度。通过虚拟化技术将图书馆IaaS平台统一整合为云资源划分、管理、调度、分配的资源池,依据读者云阅读行为需求按需分配系统资源,从而实现平台效率的最优化,完成了云基础设施物理资源和云应用系统的耦合。
1.1.1 图书馆IaaS云平台组成
云图书馆IaaS平台组成如图1所示:
按照云图书馆IaaS云平台资源分布与云系统功能划分,可将IaaS公有云平台分为云管理中心、云计算资源中心、云存储资源中心3个重要组成部份。云管理中心是图书馆对读者开展云服务的用户接口。也是对图书馆云系统资源统一管理、监控、调度与运营的中心。云管理中心采用虚拟化技术对云基础设施资源进行管理,并根据读者开展个性化云阅读需求,以科学、自动、智能的分配策略对整个云系统资源(如虚拟机、存储资源等)管理、调度,确保整个云系统高效、安全、经济、低碳运营。
云计算资源中心由云计算集群服务器与数据传输网络组成。根据云图书馆计算需求,将云计算集群服务器逻辑上划分为可管理的计算资源池,实现了云管理中心依据读者业务特点、云服务与安全需求对云资源的按需调度。同时。确保整个云计算平台的负载均衡。并实现对云计算资源的监控和安全报警。云存储资源中心由在逻辑上可划分、管理的物理云存储设备组成,采用虚拟技术将IaaS云存储资源划分为一个可管理的存储资源池,在确保云存储系统负载均衡、高效安全与存储区域网络畅通的基础上,根据读者云阅读需求对数据进行安全、高速的存储和读取。
1.1.2 云图书馆IaaS平台云业务流程
读者是云图书馆IaaS云平台业务服务、保障的核心,用户开展云阅读服务满意度反映了图书馆IaaS云平台组织结构的科学性与服务效率。首先,读者可远程访问云图书馆门户网站,采用点击云图书馆网站页面服务模式的方式。将云个性化阅读需求递交给图书馆云调度服务中心。云调度服务中心通过访问图书馆云数据中心元数据库资源,查阅读者云阅读活动中所涉及的固有性元数据、管理性元数据、描述性元数据,明确云数据中心数据构成、处理、本质的特征与信息架构,准确、快速、高效地查找读者所需要的云数据。其次,云数据中心系统调度服务器依据读者云阅读需求与云存储、计算集群工作实际,按照负载均衡与效率最优的原则,对图书馆云系统计算资源与存储资源进行划分、管理与动态分配。此外,云监控服务器通过对图书馆云系统安全、工作效率、负载量、读者云服务请求进行监测与报警。依据云系统效率与安全性最优原则。智能、自动地利用反馈信息控制调度服务器工作,确保云系统运行高效、安全。
1.2 图书馆IaaS云平台安全问题
图书馆IaaS云平台是一种按图书馆云基础结构建设与读者个性化云服务需求,为用户提供云计算与云存储的基础设施租赁服务模式。通过云系统调度服务器来管理、弹性分配云系统内部的云应用程序和云服务资源,确保云租赁系统与云图书馆运营在高效、安全、经济、便捷的工作状态。在影响图书馆IaaS云平台组织健壮性与读者服务满意度的因素中,IaaS云平台安全问题涉及云平台基础设施资源组织结构的科学性、云设备可靠性、抵抗病毒与非法攻击的自身健壮性与云管理策略有效性,是影响读者云阅读服务满意度的核心因素。
1.2.1 IaaS云平台的安全漏洞
随着读者对图书馆云个性化阅读服务需求的提高,要求云图书馆具备更安全、快速、准确、海量的云计算能力与存储能力。因此,在图书馆IaaS云平台建设中,云基础设施资源结构更加复杂、庞大,云图书馆设计、建设、维护人员无法彻底掌握IaaS云平台结构与云信息处理流程。
IaaS云平台组件在逻辑上的虚拟化隔离无法完全阻止用户共享物理资源,用户云应用过程中在内存、CPU缓存、云计算资源、云存储空间等物理设备上没有完全隔离,当黑客对某一云系统资源攻击成功后。可能会通过掌握云系统控制权而窃取其它用户信息。此外,如何规范管理云租户权限。制定有效的分区和防御策略,防止读者在云存储区域删除自己的驱动器后,云存储空间其它客户在创建新驱动器时对读者已删除的保密信息进行恢复。同时,加强对云用户权限和云行为的监管,及时发现问题并进行补丁。是防范IaaS云平台安全漏洞的有效方法。
1.2.2 IaaS云平台的授权和认证
云系统管理员虽然通过创建虚拟机并在虚拟机上运行云应用程序,实现了对云系统资源的管理、调度、分配与维护,但并不完全控制底层的云计算、网络和云存储基础架构。云系统在租赁、管理、运营活动中,通过加强对用户云应用进行授权和认证,提高用户接入认证与云应用的保密性、安全性、可靠性与鉴权的效率,防止其它云租户或云读者以非法手段进入或者盗取密码进入客户系统,影响云图书馆IaaS云平台与读者云阅读安全。此外,应重点防范不同虚拟化应用及不同虚拟机间的干扰,防止因病毒、DDOS攻击或者广播风暴而造成云系统综合运营效率的下降。还应加强图书馆IaaS云平台健壮性、安全监控、灾难恢复和取证能力的自动化与智能化水平。
1.2.3 防止IaaS云平台数据泄漏与丢失
数据是图书馆IaaS云平台信息处理的关键对象,涉及数据的云计算、存储、传输与安全等方面内容。lass云平台是否稳定、可靠,是否能够保证云基础设施资源与云传输网络的高效、不间断工作与数据备份,是否具备强大的系统性能确保完成用户交付的数据处理与传输任务,是I-aaS云平台可靠性与可用性的决定因素。此外,加强数据在云基础设施平台与云读者间传输控制、加密与流量隔离,并采用科学的云网络数据传输管理策略与加密算法,保证数据在多租户环境下不被恶意监听、窃取与还原,从IaaS云平台建设、管理与数据传输策略上防止数据的丢失、泄漏与窃取。
1.2.4 解决IaaS云平台数据异国存储安全问题
世界上开展云计算服务较成熟的运营商主要有Ama-zon、google、IBM、微软等公司。为了提高云系统运营效率与云用户服务满意度,运营商根据云服务地域与用户群特点,在世界上按地域分布建立若干个云数据运营中心保障不同客户。
不同的国家对云服务提供商与云数据中心管理的法规不同。当涉及国家利益时,可能会允许相关部门收集、检查、查封位于本国的云数据中心存储的数据,而造成用户数据泄露。此外,云服务提供商IaaS云平台管理员也有可能利用超级权限侵入用户数据库,获取客户保密数据。
2、图书馆Iaas云平台安全策略
2.1 图书馆IaaS云平台安全架构
图书馆IasS云平台安全架构主要由IaaS安全结构、I-aaS安全机制、IaaS安全服务3部分组成,如图2所示。
依据图书馆系统云基础设施资源建设模式、读者云服务提供方式与云安全需求,IaaS云平台安全结构可划分为6个层次,依次为物理安全、设备安全、网络安全、管理安全、虚拟化安全与数据安全。针对云信息流所处位置与信息状态模式特点,IaaS云平台安全机制分为信息加密、访问控制、云网络安全、云虚拟化安全、管理策略科学、数据冗余备份6个方面。同时,针对云图书馆IaaS安全机制特点,分别采用了相应的IaaS云安全服务措施。
2.2 加强图书馆laaS云平台数据的认证、授权、管理和监控
加强图书馆IaaS云平台数据安全,除通过采用传统的用户名、口令方式来管理用户访问并限制权限外,应根据IaaS云平台数据安全要求、访问方式、信息形态模式、读者云服务权限特点,实施双重因素或多种因素认证方式。此外,针对用户访问IaaS云平台权限、目的、方式的不同,将用户分为云图书馆IaaS平台系统超级管理员、云应用管理员、高级权限读者、普通读者等群体,并赋予不同的云应用权限与访问策略。此外,对于IaaS云平台应用应部署系统、全面的日志和报告,并对云基础设施资源池虚拟化划分、分配、动态迁移过程实施监控与智能管理。按照云系统信息流程对信息访问者、信息处理过程、信息状态、信息存储位置建立详细的日志和报告方案,并记录所有的云计算、云网络、内存和外存应用行为,确保所有的日志冗余存储并限制访问。同时,确保云系统管理员可以依据日志增强图书馆IaaS云平台安全性,当发生安全事件时及时弥补漏洞,确保IaaS云平台数据的安全。
2.3 加强图书馆IaaS云平台安全建设
云图书馆采用虚拟化技术,将IaaS云平台基础架构资源划分为可按需分配、管理与动态迁移的资源池,读者以Web服务访问方式共享云资源。图书馆laaS云平台在管理与使用过程中,如何加强IaaS平台规划、管理、使用、维护的科学性,不断提高云服务器、云存储、云基础应用软件、云系统应用的综合运营效率,增强数字图书馆管理员基于IaaS云平台的二次云应用开发能力,关系到IaaS云平台的健壮性与读者开展云阅读的可靠性与云服务满意度。
首先,应提高图书馆IaaS云平台共享性、标准化、弹性云服务水平,加强对IaaS云平台IT资源的虚拟化自动管理和监控,提高IaaS云平台资源虚拟机创建、启动、停止、更改、监控、删除活动的可控性与科学化、自动化、智能化管理水平,确保能够智能划分、动态分配IaaS云资源并根据负载强度自动均衡。其次,应以读者云阅读服务为主线加强读者云阅读流程管理,为读者提供可管理的虚拟资源访问权限,并通过IaaS云系统监控设备查看虚拟机资源(CPU、内存、硬盘和网络流量)使用情况。第三,加强对IaaS云平台读者个性化云阅读服务内容、服务质量、服务方式、服务目录的管理。通过自动监测云阅读服务对IaaS云平台资源使用效率与用户云阅读满意度,并利用反馈数据控制云调度服务器进行云资源优化配置,提高Iaas云平台易用性、运营效率与安全性。
2.4 对读者核心数据与IaaS云平台虚拟化应用加密
在不降低用户数据透明度、可移植性、有效性、关联性、可靠性的前提下,应加强云图书馆读者核心数据的安全性。首先,要确保核心数据在进入IaaS云平台之前已加密,或者确保整个云操作系统与文件结构有较高的安全等级。其次,数据在IaaS云平台与读者间传递时,要确保I-aaS云平台与读者间、主机操作系统和虚拟机之间的端到端的加密,通过使用动态共享密钥确保数据传输安全。第三,可以将IaaS云平台中的虚拟设备(虚拟的云存储器)完全加密并保存在操作系统中,当读者需要访问云存储器上加密过的数据时,那些数据会解密后自动发送到客户正在访问的云服务器上。同时,要重点监视数据在IaaS云平台设备中的流程、访问的用户和方式、访问者的IP与物理地址,并配置正确的访问控制策略。
2.5 图书馆IaaS云平台远程管理与云应用安全策略
读者在开展云个性化阅读活动时,首先登陆云图书馆网站进行身份认证,然后通过自主选择图书馆云个性化服务项目进行自主阅读。读者开展云阅读活动具有网络远程访问、云虚拟化应用、多租户共享云资源、基础设施设备非读者与云图书馆所有的特点。因此,图书馆IaaS云平台远程管理与云应用安全策略的高效、安全性,关系到云图书馆运营效率与读者云阅读活动满意度。
首先,应建立图书馆IaaS云平台集中的补丁关注和分发机制,在IaaS云平台安装虚拟防火墙、DDOS(分布式拒绝服务攻击)防火墙与IDP(入侵检测防御)设备,并制定专门的虚拟机访问策略,提高平台的健壮性与云资源动态调度的安全性。其次,对IaaS云平台基础设施采用端口绑定、端口隔离等措施,并对端口进行监测与绑定识别,防止因信息欺骗而影响云平台的正常运行。第三,当读者远程访问图书馆IaaS云平台时,可采用VPN连接、远程桌面控制、远程Shell、Web控制台UI、以及在连接过程中使用RSA密钥进行认证,通过加强IaaS云平台安全与读者的远程管理机制确保Iaas平台远程云应用安全。
云计算中的安全管理范文6
[关键词] 云数据;信息化;安全风险;策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 13. 037
[中图分类号] F270.7;TP309 [文献标识码] A [文章编号] 1673 - 0194(2016)13- 0074- 03
0 引 言
随着互联网技术、通信技术、虚拟化技术和SOA技术的发展,以服务形式向用户提供计算资源的云计算,正在改变人们的工作方式和企业运营模式。基于云计算进行企业信息化建设,能有效降低成本、提高效益和促进创新,许多企业已经投入到云计算的信息化浪潮中,实施了自己的云平台战略。目前,云服务商在提供云计算服务时,虽然绝大部分都采用了国际先进的信息安全保障技术,但云环境中的信息安全风险仍不容忽视。
1 公有云
“云”在网络拓扑图中常用来表示Internet,是对复杂的互联网的一种抽象。因此把这种基于Internet的计算方式形象地称为“云计算”。一般来说,云计算提供的服务有三种类型:软件即服务(Software as a Service,SaaS)、平台即服务(Platform as a Service,PaaS)、基础设施即服务(Infrastructure as a Service,IaaS)。公有云是云计算的重要模式之一,通常由第三方云服务商为用户提供。公有云的一般框架如图1所示。
2 基于公有云的企业信息安全分析
企业信息化过程中,云计算已受到众多企业的追捧,云计算可使企业将部分计算处理工作外包云服务商,企业可以通过互联网来访问云数据。与此同时云计算中的数据安全风险也不容忽视。一方面,云计算中的数据对于数据所有者以外的用户是保密的,但是对于提供服务的云服务商而言是透明的。另一方面,云数据在存储、传输与使用过程中,会不断遭遇不法行为的攻击。总得来说,云数据安全风险主要有三大来源:云计算中心数据丢失与泄露、数据传输窃取、终端数据泄露。从公有云安全风险所涉及的不同网络层次考虑,可以将安全风险主要归纳为 :云计算中心数据存储安全、云数据传输安全、云端用户安全、云数据审计安全、管理维护安全等,如表1所示。
3 云数据安全风险控制策略
为了更好地研究企业信息化过程中基于公有云的安全风险,下文提出了一种“三位一体”安全风险控制策略,如图2所示。要解决云计算环境下的数据安全问题,仅仅在云计算中心实施保护是不够的,必须要通过融合云中心数据安全技术、终端数据安全技术、网络安全技术为一体,实现对云数据的一体化控制策略。在云计算中心,重点完成用户身份认证、多租户模式下的数据隔离、用户异常行为检测、数据封装加密。在终端,重点完成用户密钥生成、终端环境安全、终端外设安全、终端文件加密保护。在网络传输过程,重点完成终端与云计算中心之间建立虚拟安全通道。
3.1 云计算中心数据存储安全策略
企业在使用云计算服务时,数据的存储是非常重要的一环,其中包括数据的存储位置、数据的灾难恢复、数据的隔离等。然而,云计算服务商为企业提供存储空间服务时,云端用户并不清楚自己的数据储存位置;云数据存储地是否存在信息安全问题、是否遵循当地的隐私协议、是否能确保企业数据不被泄露等安全因素。
3.1.1 数据安全隔离
基于分布式数据存储的思想,可以将数据中心的共享存储划分为不同区域,在不同区域之间配置安全策略,防止非授权的跨区域数据访问。在数据中心运行时,动态监测数据中心中的用户行为,根据采集到的行为数据进行识别。结合数据迁移策略,将受到威胁的数据迁移至其他区域,并停止恶意用户对于该部分数据的访问授权,使得恶意用户无法攻击该部分数据,从而防范云计算中数据隔离和攻击的问题,保护云计算中用户的数据与隐私安全。
3.1.2 数据库加密
传统的数据库、操作系统安全和物理安全访问控制机制,为数据库提供了一定的安全措施和技术,但并不能保证在云计算环境下数据库的安全需求,尤其是一些重要部门数据和敏感数据的安全。造成不安全的主要因素是数据库中的原始数据以可读形式存放,如果对数据库中的数据,采用安全数据库、可搜索加密等技术,对数据库系统及密文进行加密处理,即使受到非法入侵或者盗取数据存储介质,若没有相应的解密密钥,依然不可获取所需数据。
3.2 云数据网络安全策略
一般情况,企业数据中心存有大量的重要数据,如企业客户信息、商业秘密、财务数据、重要的业务流程等。在云计算环境下,企业将数据通过网络传输到云计算中心进行处理时,就会面临着网络传输数据的安全问题。目前,云计算服务商主要采用加密算法的安全通信协议与超文本传输安全协议,虽然这些协议具有完整性与认证性等特征,但也并不能确保云数据传输不被窃听或截取。
3.2.1 文件透明加密
云计算终端数据绝大多数以电子文件形式存在,系统提供文件透明加密,确保终端用户在操作方式不发生改变的情况下,电子文件以密文方式存储。采用驱动层透明动态加解密技术,自动对存储到磁盘的数据做加密运算,对从磁盘读取的数据做解密操作。通过指定文件类型或者处理进程,进行强制加密、强制访问控制和离线管理等技术手段,达到所有存储介质上存在的该类型文件全部加密,可以有效防止机密信息泄漏。
3.2.2 虚拟安全网络
构建先进的虚拟安全域网络,使用户可以同时访问多个应用的虚拟安全域,但相互之间是隔离的,用户终端无法使用来实现两个虚拟安全域之间的路由。并且根据权限和安全策略,动态地将被访问的各种应用系统资源划分到不同的虚拟安全网中,实现具体业务应用系统环境的动态专用性,并且从安全管理角度上对网络数据进行精细化的安全管理。
3.3 云端用户数据安全策略
云端用户存取云计算数据的途径方式多样,不同用户终端的安全防护措施差异也较大,云服务商难以有效监控云端用户的诸多安全风险。云服务商为吸引庞大的客户群,开辟了大量的外链接通道,严重威胁云数据安全。其次,部分云服务商的内部员工通过云管理平台的特权接口,隐蔽地访问云数据或通过旁路通道获取部分运行信息推演数据,造成云数据泄露或损毁。
3.3.1 身份认证管理
基于PKI安全体系,可以将安全策略、安全认证、安全管理等多应用深度整合,形成一个统一、坚强的安全防护体系,包含安全事件收集、事件分析、状态监视、资源管理、用户管理以及授权策略管理,并通过流程优化、系统联动、事件管理等方式深层次、全方位地整合各应用系统资源,最高效率地处理安全问题,保护系统资源整体安全。系统以核心安全服务中间件为引擎,以应用资源为中心,按照集中认证、统一授权、统一审计、统一管理的原则,深度整合系统资源,达到全面的安全目标,同时通过异地认证达到更广范围的跨区域整合。
3.3.2 终端桌面安全
在终端区域,可以通过远程监控、补丁推送、软硬件资产统计、终端程序控制策略、本地虚拟运行环境、进程安全管理、桌面资源管理和软件和补丁分发等技术,保障终端桌面工作环境安全。
3.4 云数据审计安全策略
用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。为了保证数据的准确性和有效性往往会引入第三方的认证机构进数据审计。在实施审计的过程中,还需保证审计机构不泄漏相关企业的敏感数据。
4 结 语
文中通过分析云计算环境下的云数据储存、网络传输及云端数据处理三方面存在的数据安全风险,结合云服务商数据资源管理和企业信息化过程,提供了针对云计算环境下的“云计算中心+数据传输+云端”的三位一体的数据安全控制策略,确保云计算数据的保密、完整、可用,为基于云计算的企业信息化建设提供参考。所采用的方法能够结合云计算服务提供商的需求进行扩展。
主要参考文献
[1]Peter Mell,Timothy Granee.The NIST Definition of Cloud Computing[R].Nation Institute of Standards & Technology,2011.
[2]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009,20(5):1337-1348.
