安全技术心得范文1
我国信息安全技术空缺主要体现在核心技术受制于人、关键技术不成体系、产业支撑能力不足、技术管理制度不完善、技术发展环境有待改善等五大方面。
针对我国信息安全技术空缺有五大对策建议:
第一,健全信息安全技术管理体系。一是健全国家网络安全组织架构,强化中央网络安全和信息化领导小组的统一协调指挥,提高总揽全局的整体规划能力和高层协调能力,同时明确公安部、工信部等信息安全各部门的职责;二是强化国家网络安全管理手段,制定关键基础设施网络安全保护条例、政府信息安全保护条例等法规;三是提升网络安全管理能力,不断提升相关机构的网络安全检测能力。
第二,改善信息安全技术自主创新环境。一是大力支持自主可控信息安全产业的发展,通过资金和其他优惠政策鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品,比如安全操作系统和安全芯片等;二是依托高校、研究机构和企业自主创新平台,加大核心信息技术的投入,严格管理研究资金,推动研究成果转化;三是加强信息安全市场的政策引导,合理利用国际规则,约束国外企业在国内市场的发展,为自主信息安全产品提供更好的生存空间。
第三,加强信息安全技术产品市场规范。一是启动核心信息技术产品的信息安全检查和强制性认证工作,对关键领域应用的产品进行源代码级检测,将安全产品的强制市场准入制度引入到核心信息技术产品领域;二是加强对国外进口技术、产品和服务的漏洞分析工作,对从事关键行业数据搜集和数据分析业务的企业采取备案和黑名单制度;三是建立新兴技术的信息安全预警机制,对掌握关键领域数据的企业进行管控。
安全技术心得范文2
北京江民新科技术有限公司董事长兼总经理。1996年成立北京江民新科技术有限公司,任董事长兼总经理。王江民是国内最早从事专业反病毒研究及开发的民营企业家,从1994年开始研发的KV系列反病毒产品多年来一直深受用户喜爱,十多次荣获国内最佳软件奖。
我国信息安全行业发展到今天,各方面都取得了长足的发展,但纵观整个行业,很多问题也开始显现出来。
第一,我国信息安全产业面临的问题是严重的人才缺失问题,使得本地信息安全产业后继发展动力不足。
目前,我国的信息安全产业骨干人才仍然是以创业阶段积累了长期实践经验的少部分精英为主。他们在我国信息安全产业的初创阶段起到了非常重要的作用,但由于现在各种计算机技术的日新月异,这部分人才越来越受到了来自各方面的挑战。
由于从业经历太长,消磨了奋斗的激情;由于已经取得了一定的成功,不愿意接受更大的挑战,或者由于害怕自己的地位受威胁,对于自己掌握的核心技术过分保密,目前已经开始阻碍了产业的进一步发展。一方面是现有人才的技术保守,另一方面是我国有针对性的专业人才培训却相当缺乏。很少部分信息安全方面的优秀人才又集中在部队和国家机关等核心部门,企业要招聘到一位信息安全方面的尖端人才十分困难。这种问题同样体现在需求方上,许多企事业单位采购了一些信息安全产品却最终在实施部署上出现了问题,由于缺少这方面的专业人才,许多十分昂贵的产品最终利用率很低。
第二,行业竞争越来越无序。竞争的激烈程度目前从防病毒和防火墙市场明显地表现了出来。
价格战、口水战纷纷出现,产品价格一路下跌,解决生存问题成为各厂商的头等大事。而核心技术的研发又需要十分巨大的人力和财力成本,因此,对于短期产生不了商业价值的核心技术研发,许多厂商显得越来越没有耐心。
第三,整个行业缺少国家统一的安全标准。
目前出现的情况是国家没有提出统一的科学的信息安全标准,而是过分依赖厂商的标准。而由于我国的信息安全产业发展时间很短,许多尖端的技术大多掌握在国外厂商手里,因此从某种程度讲我国的信息安全产业标准往往成为国外安全厂商的厂商标准。这对于国内的信息安全厂商是不公平的,大大阻碍了我国安全厂商进入一些高端安全领域。造成高端市场基本被国外安全产品垄断的现象。
当然,国家近年来对信息安全行业提供了种种政策上的扶持,例如在2004年开始的软件政府采购中,国内一些厂商即得益于国家优先采购国产安全软件的政策。然而,在核心技术培育方面,仍然需要国家相关部门提供进一步的扶持。
安全技术心得范文3
“非传统安全”(Nontraditional Security),这一词见于冷战后西方国际安全与国际关系研究界。冷战后,特别是“9.11事件”发生以后,包括中国在内的世界各国纷纷把由于恐怖主义、能源、经济、文化、信息安全等问题引起的非传统威胁提升到战略高度,纳入国家安全战略范畴。近些年来,信息安全问题已经成为非传统安全领域中最突出、最核心的问题之一。
在信息安全这一非传统安全领域,也出现了类似的情况。传统的信息安全观主张“三分技术,七分管理”,但无论是技术还是管理的核心都是围绕那些不断发展的物质技术因素和外在行为因素,而忽视了处于核心地位的人的内在心理因素。因此,当先进的技术和严密的管理也不能保证信息安全时,信息安全专家们意识到还要研究传统信息安全之外的东西。
这就是所谓的“非传统信息安全”,它是传统信息安全的延伸,主张信息安全防护采取“先发制人”的战略,突破传统信息安全在观念上的指导性被动,主动地分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而改变信息安全“头痛医头,脚痛医脚”的现状。实现传统和非传统的信息安全,要做到“三分技术、七分管理和十分警觉”。
随着不断开发出更好的安全技术,利用技术弱点进行攻击变得越来越困难,攻击者更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵检测系统和杀毒软件的“老三样”产品方案上,还有行为审计、授权认证、数据加密等先进的技术管理手段,使得信息安全在一定程度上产生了对技术手段的依赖。这本身并没有问题,但运用“社会工程学”的方式产生的信息安全事件,越来越强力地挑战了传统的信息安全观念。突破“人”这道防火墙常常是容易的,甚至不需要很多投资和成本,冒的风险也很小。
“社会工程学”(Social Engineering)是一种通过对受害者本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已经呈现迅速上升甚至滥用的趋势。它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕、最小心的人,一样会受到高明的社会工程学手段的损害。因为“社会工程学”主导着非传统信息安全,所以通过对它的研究可以提高应对非传统信息安全事件的能力。
凯文米特(Kevin Mitnick) 2002年出版的书――《欺骗的艺术》(The Art of Deception)堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法,这些方法并不需要太多的技术基础,但可怕的是,一旦懂得如何利用人的弱点(轻信、健忘、胆小、贪婪等),就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致。像变魔术一样,不知不觉地进入了包括美国国防部、IBM等几乎不可能潜入的网络系统,并获取了管理员特权。
安全技术心得范文4
学校根据我国国民经济建设与发展的需要和重庆市城乡统筹综合试验改革以及建设创新型城市的要求,抓住重庆市“一圈两翼”战略发展机遇,以“培养人才、发展科学、服务社会”为办学宗旨,明确“特色立校、文化兴校、人才强校”的发展战略,以“把学校建成为国内一流的高级应用型人才培养基地和西部地区新技术与应用技术研发和培训基地”为战略目标,全面贯彻落实全国科技大会精神,响应重庆市委市府关于构建产学研合作大平台的号召,充分发挥学校1957年依托石油、冶金两大行业办学的优势,利用石油、冶金、机械电子等特色学科的人才、科研成果和平台条件,以产学研合作为重要载体形成了一定的办学特色和办学模式。
依托石油、冶金两大行业办学,积极构建产学研合作平台
重庆科技学院与重庆钢铁(集团)公司在科研与人才培养方面有50多年的合作历史,在长期合作中建立起了良好的互信关系,特别是重庆科技学院受托于重庆钢铁(集团)公司完成的翻引钢机械手、棒材强力穿水冷却系统、轴承座自动拆卸及翻转系统、钢厂设备管理系统等科研项目取得良好的社会经济效益。近年来,重庆科技学院与中石油和航空航天企业合作开发的新项目得到了社会的肯定。
与中石油共建“油气井控及安全技术研究与培训中心”
重庆科技学院是重庆市唯一一所拥有石油天然气工程学科的高校,原重庆石油高等专科学校自1951年建校以来,50多年的从事石油天然气工程学科专业建设实践,造就了一支学术水平高、专业结构合理的师资、科研人才队伍,特别是油气井井控技术、现代油气钻井技术等学科方向形成了优势和特色,承担并完成了国家自然科学基金项目、国家“863”项目、国家重点科技攻关项目、国家创新基金项目及省部级科研项目等20余项,获国家发明专利1项,省部级科技奖多项。其中:现代井控技术研究(欠平衡钻井动态模拟及设计软件开发、空气钻井配套技术研究),包括高压气井、水平井的井控工艺技术和井控装备研制,成果具国内先进水平,已在大庆、辽河、胜利、中原、四川、长庆、塔里木等油气田推广应用;石油HSE风险管理配套技术研究及评价,其研究成果(行业评价标准)已在培训实践中应用,受到石油企业的好评;另外,石油安全工程技术研究及评价、油气井钻井工艺技术研究等方面,都已形成自己的特色。
在与中石油公司长期科研与人才培养合作的基础上,中石油公司拟投资近千万元与重庆科技学院共同建设油气井控及安全技术研究与培训中心,为石油行业企业提供技术支撑和培养技术、安全管理人才。
与航空航天企业合作,共建“功能磁性材料研发中心”
目前,在我国专门从事针对航空、航天及军工用的磁性材料研发的单位不多,从事磁性材料研究方面的人才培养的高校也较少,且主要集中在北方的一流高校,而这些重点大学还主要从事磁路设计、磁性材料的理论研究方面的工作,西南地区还没有从事功能磁性材料研发与应用型人才培养的高等院校。
重庆科技学院长期从事冶金与材料工程学科的教学与科研工作,现有金属材料工程、无机非金属材料工程、冶金工程三个本科专业和冶金技术、新材料技术两个专科专业,其中新型功能材料为主要专业方向之一,也是学校的专业特色。在50余年的教学科研活动中。培育了一支稳定的高素质、高水平的教师和科研队伍,建设有材料研发科技创新团队两个,致力于新型功能磁性材料的研究与开发制造,研发的产品已成功运用于我国的航天和国防产品中。转贴于
学校与南京晨光集团、中国航天科工集团等我国航天工业重点研发企业合作共建功能磁性材料研发中心,中心已获得了ISO2000质量管理体系认证,已承担了多项国防科研项目。
积极探索官产学合作新型道路
与重庆市科委、重庆三峰公司联合成立“重庆垃圾焚烧发电技术研究院”
2005年8月重庆科技学院与重钢集团签订了产学研合作办学协议,同时重庆科技学院与重庆三峰环境公司合作开展了“垃圾发电厂高速离心雾化器的研究与开发”、“垃圾发电厂焚烧炉液压控制技术及系统的研究”等项目研究。基于对未来社会可持续发展、能源与环境二者地位和制约关系的思考,面向国家能源、环境领域战略需求,在重庆市科委等市政府相关职能部门的大力支持下,重庆科技学院、重庆三峰环境公司、重庆市科委三方决定联合组建重庆垃圾焚烧发电技术研究院,在一个更高的平台上展开更深层次的合作,实现互利双赢,促进经济和社会发展。重庆三峰环境产业有限公司成立于1998年8月,是具有百年历史的特大型钢铁联合体——重钢集团旗下专门从事环保产业的子公司,重庆同兴垃圾处理厂、福州红庙岭垃圾焚烧发电厂等大型项目即由重庆三峰环境公司牵头进行投资、建设并承包运营。
重庆垃圾焚烧发电技术研究院是重庆科技学院与企业、政府部门合作搭建的产学研合作平台,属官产学合作。研究院建设所需资金、仪器设备、场地由学校、政府和企业共同投入。投入形成的固定资产按各自拥有、共同使用、统一管理的原则执行,运行费用由项目经费解决。研究院实行首席专家负责制,按市级工程技术研究中心的要求建设和管理,主要研究人员由学校教师和向社会聘请部分优秀研究人员组成,所有人员由研究院统一管理。
重庆垃圾焚烧发电技术研究院这一官产学合作平台的搭建显示出它的蓬勃生机。由研究院研制的垃圾焚烧发电高速离心雾化器和垃圾焚烧炉液压控制系统在福州红庙岭垃圾焚烧发电厂得到推广应用,为重庆三峰环境产业公司节省直接投资上千万元;目前,新的研究开发任务正在有条不紊地组织实施,已申请专利67项;获得重庆市科委重大科研项目、“十一五”国家科技支撑计划重点项目、国家火炬计划项目等多项,科研经费达1000余万元;与美国COVANTA公司签订了技术合作开发与联合开展人才培训备忘录,第一批技术合作开发经费164万美元已到位;与哥伦比亚大学合作,成立了美国哥伦比亚大学地球工程中心中国分中心;与重钢集团公司合作,在研究院设立重钢集团博士后工作站的工作室。培养高级人才和开展科学研究。
重庆垃圾焚烧发电技术研究院响应国家号召走引进、消化、吸收、再创新之路,开发出具有独立自主知识产权的技术,将为重庆市乃至我国环保装备制造业的发展发挥巨大作用。
与重庆市安监局联合成立“重庆安全工程学院”、“重庆安全生产科学研究院”
重庆科技学院有深厚的石油、天然气和冶金行业背景,具备安全工程的学科基础条件,有专业教师60余人,教学科研仪器设备1000余万元,已经在石油工程、冶金工程、化学工程与工艺等本专科专业中开设了安全工程相关课程。学校非常重视安全培训、咨询、科研及技术服务工作,建有国家甲级资质的重庆渝油安全评价所、中国石油天然气集团公司“IADC重庆(长城)国际井控培训中心”、中国石油天然气集团公司“HSE重庆培训中心”等中介与培训机构。近年来,学校为各行业培养了井控、HSE和安全监督管理等中层、基层技术管理干部5000多人次,并开展了广泛的安全技术服务工作。
鉴于近年来安全生产形势严峻、安全教育机构缺乏、安全科技人员严重不足、安全生产技术及科研缺乏支撑的现状,为了解决安全生产深层次问题,根据《重庆市人民政府关于2006年安全生产工作要点的通知》要求和重庆市王鸿举市长提出的“依托相关高等学校,筹备成立重庆安全工程学院”的指示精神,重庆科技学院与重庆安全生产监督管理局联合成立了重庆安全工程学院。
重庆安全工程学院集学历教育、短期培训、职业教育、科研开发、中介服务为一体,全方位辐射安全生产技术支撑领域。为政府安全生产决策、事故抢险及调查、重大事故隐患整治、安全人才培养、重大安全科技研究、企业安全技术服务提供技术和人才支持。是重庆科技学院与政府部门合作搭建的又一产学研合作平台。安全工程学院由学校提供办学场地、图书情报资料,市安监局提供政府专项资金和政策保障,双方共同提供师资,投入设备。安全工程学院实行理事会领导下的院长负责制管理模式,理事长和学院院长由双方派出,双方共建共管。目前,重庆安全工程学院已招收全日制专科学生240余人,全日制本科学生200余人,对全市安全生产人员的培训工作正在进行,安全中介服务及科研工作不断取得新的成果。
目前,重庆科技学院在重庆市安监局的指导下,整合全市安全研究与评价机构,并得到国家安监局的支持,组建了重庆安全生产科学技术研究院,同时也是国家安全生产科学研究院重庆分院;同时,根据“渝府[2008]3号文件”精神,积极参与构建“重庆市安全生产科技支撑体系”的工作。
重庆安全工程学院、重庆安全生产科学技术研究院随着不断的改革和发展,投入的不断到位,将会越来越发挥出为政府安全生产决策、事故抢险及调查、重大事故隐患整治、安全人才培养、重大安全科技研究、企业安全技术服务提供技术和人才支持的巨大作用。
充分利用大学城地缘优势,与重庆微电子园开展人才培养及技术研发合作
安全技术心得范文5
近年来,十矿职教中心以“敬业、博学、创新”为校训,不断强化服务意识,秉承服务企业的理念,本着“以人为本”的宗旨,不加强管理创新,从而确保培训质量。
一、提高质量,实现教学管理规范化
历年来,十矿职教中心坚持以提高培训质量为中心开展工作,不断完善了各项培训教学管理制度,突出质量管理,建立各个环节工作规范和工作标准,建立评价制度和考核制度并严格执行。十矿职教中心按照教学大纲要求严格落实教学计划,要求教师合理选用讲授、研讨、案例、角色扮演、模拟、实际操作等教学方法,教学手段多样化,全面实现了使用教具教学、多媒体课件教学或网络教学。
二、强化督导,实现教学管理健康化
为了强化培训工作督导检查,提高培训工作质量,2011年初,职教中心领导班子研究设立了培训督导检查组,负责职教中心培训和区队培训督导检查工作。特别是对脱产培训教学管理、学员管理和区队业余培训开展情况进行督导检查,并不定时对职工自救器使用和避灾路线的掌握情况进行抽查,发现问题及时向有关单位下发整改意见通知书,限期整改,对不按要求整改的单位进行通报和处罚。职教中心督导检查组成立以来,积极履行职责,下发整改意见通知书10份,及时发现纠正了各类培训工作中存在的问题和不足,有力促进了十矿培训工作的健康发展。
三、创立网页,实现教学管理信息化
进入2011年,十矿职教中心根据目前培训工作需要,在十矿网站创新建立了职教网页,主要内容包括:职教中心概况、职教通知、职工培训管理、持证管理、办班管理、区队培训和远程教育等。职教中心按时将培训办班情况、区队培训督导检查结果在网页上进行公布,要求全矿各区队主管技术员每天上午8点前点击网页,随时查看职教通知和职教动态。同时,职教中心将近年来集团及十矿制作的“三违”案例电教片和远程教育网下载的十多个工种的专业课讲座挂在职教网页上,各区队可以根据需要随时下载播放。职教网页的建立,较大地扩展了十矿职教中心的培训服务功能。
四、狠抓载体,突出安全培训
自2009年以来,我矿以安全培训为重点,努力开展各项培训工作,至2011年10月共举办各类脱产培训班256期,培训职工13780人次。职工素质得到较大提高,为构建平安和谐十矿提供了强有力的人才支撑。
(一)以新工人、特种作业人员及区队长、班组长安全培训为重点,培训基地得到充分发挥
2009年以来,十矿充分发挥职教中心三级安全培训基地的作用,强化职工安全培训。首先,是坚持“先培训,后上岗”的原则,加强新工人和转岗人员岗前安全技术培训,把好安全第一道关口。新工人和转岗人员培训由矿劳动人事部门提出培训需求,职教中心制定教学计划,并严格按照国家局规定的教学大纲进行培训。同时严把结业考试关,对于结业考试不合格人员继续参加培训,直至考核合格发证后方可分配上岗;其次,加强特种作业人员操作资格培训和复训。每年初对全矿特种作业人员培训持证情况进行调查摸底,并按照国家局有关规定,分期安排特种作业人员培训和复训计划,提前搞好特种作业人员培训和复训;再者,注重加强区队长、班组长的安全培训。年初,首先举办科队级干部培训班3期,每年培训科队级干部230人,培训内容涉及安全生产管理、形势任务教育、安全管理、经营管理、煤矿安全生产法律法规、学习型企业文化等。其次,每年分3次,每次分6期举办班组长安全培训班,2009年至2011年培训班组长3870人次。通过培训,班组长素质得到进一步提升,安全管理工作在班组得到落实,为夯实十矿安全生产管理水平奠定了基础。
(二)以“三个一活动”为主题,全员培训扎实有效开展
2009年以来,十矿认真推行以“三个一”(即“每日一题、每周一课、每月一考”)为主题的区队全员安全教育培训。首先对“三个一”活动进行了规范,印发考核标准,要求各区队按照标准组织开展区队全员培训工作。安检和职教部门每周对区队安全技术培训情况进行督促检查,考核结果与区队结构工资挂钩。通过加强管理和督促检查,区队安全技术培训工作取得了较好的成效。
(三)以“班组长大讲堂”活动为载体,班组建设明星闪耀
2010年4月份以来,我矿以学习推广“白国周班组管理法”为契机,创新开展了“班组长四级大讲堂”活动。即班组长结合自己的实际宣讲安全知识、技能知识、事故案例、对“三违”的认识以及班组管理经验等。在班组、区队、战线及全矿,分四级进行宣讲。各区队利用班前班后会或“二、五”安全学习日组织班组长重点在区队进行宣讲,宣讲材料于周末收缴职教中心备案。创新“班组长大讲堂”活动,是我矿进一步实施班组长素质提升工程,加强班组建设的重要举措,目的在于提高班组长的安全意识和综合素质,为实现十矿全年安全生产奠定坚实的基础。
(四)以技术比武和技术革新为手段,职工素质工程全面铺开
多年来,十矿以技术比武、技能大赛活动为载体,全面提升职工技术素质,努力造就一支“学习型、知识性、创新性”职工队伍。每年都组织开展20至30多个工种的职业技能大赛,提高职工学习技术、钻研技术的积极性和自觉性,涌现出了一批技术状元和技术明星。同时,我矿积极鼓励职工开展技术革新活动,多项技术革新成果通过在生产中应用,涌现出以张玉伟为代表的技术革新能手。我矿还建立了张玉伟技术创新工作室,为十矿技术革新工作搭建了发展平台。
(五)以导师带徒活动为亮点,青工业务技能得到提升
2009年以来,我矿把导师带徒活动纳入到企业的长远发展战略规划来实施,逐步完善了《导师带徒活动考核管理办法》《导师带徒活动监督管理办法》和《导师带徒活动奖惩及补贴发放办法》。规定矿技术比武前三名以及集团技术比武前十名、技术大拿、高级技师等必须带徒。导师带徒采取“一带一”“一带二”的形式,师徒自愿双向选择结对。矿每年组织一次“徒弟拜师仪式”,现场签订导师带徒合同,通过开展导师带徒活动,为我矿培养了一大批技能型人才,使新职工的操作技能水平和整体素质得到较大提高。
(六)以探索培训形式为创新点,实际培训效果凸显
安全技术心得范文6
【 关键词 】 云计算;云安全;等级保护;虚拟化安全
1 引言
自2006年云计算的概念产生以来,各类与云计算相关的服务纷纷涌现,随之而来的就是人们对云安全问题的关注。目前各个运营商、服务提供商以及安全厂商所提的云安全解决方案,大都根据自己企业对云平台安全的理解,结合本企业专长,专注于某一方面的安全。然而,对于用户来说云平台是一个整体,需要构建云平台的整体安全防护体系。
因此,针对云计算中心的安全需求建立信息安全防护体系已经是大势所趋,云安全防护体系的建立,必将使云计算得以更加健康、有序的发展。
2 云计算的安全问题解析
云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方向。但是,随着云计算的大量应用,云环境的安全问题也日益突出。我们如果不能很好地解决相关的安全管理问题,云计算就会成为过眼“浮云”。在众多对云计算的讨论中,SafeNet的调查非常具有代表性:“对于云计算面临的安全问题,88.5%的企业对云计算安全担忧”。各种调研数据也表明:安全性是用户选择云计算的首要考虑因素。近年来,云安全的概念也有多种层面的解读,本文所指云安全是聚焦于云计算中心的安全问题及其安全防护体系。
2.1 云安全与传统安全技术的关系
云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。从这张对比视图中,如图1所示,可以看出,安全的层次划分是大体类似,在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可依靠成熟的传统安全技术来提供安全防护。
如图1所示,云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的,而云计算又有其特有的安全问题,主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上,我们可以把云安全看做传统安全的一个超集,或者换句话说,云安全是传统安全在云计算环境下的继承和发展。
综合前面的讨论,可以推导出一个基本的认识,云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点,云安全将基于传统安全技术获得发展。
2.2 云计算的安全需求与防护技术
解决安全问题的出发点是风险分析,CSA云安全联盟提出了所谓“七重罪”的云安全重点风险域。
Threat 1: Abuse and Nefarious Use of Cloud Computing(云计算的滥用、恶用、拒绝服务攻击);
Threat 2: Insecure Interfaces and APIs(不安全的接口和API);
Threat 3: Malicious Insiders(恶意的内部员工);
Threat 4: Shared Technology Issues(共享技术产生的问题);
Threat 5: Data Loss or Leakage(数据泄漏);
Threat 6: Account or Service Hijacking(账号和服务劫持);
Threat 7: Unknown Risk Profile(未知的风险场景)。
信息的机密性、完整性和可用性被公认为信息安全的三个重要的基本属性,用户在使用云计算服务时也会从这三个方面提出基本的信息安全需求。
机密性安全需求:要求上传到云端的信息及其处理结果以及所要求的云计算服务具有排他性,只能被授权人访问或使用,不会被非法泄露。
完整性安全需求:要求与云计算相关的数据或服务是完备、有效、真实的,不会被非法操纵、破坏、篡改、伪造,并且不可否认或抵赖。
可用性安全需求:要求网络、数据和服务具有连续性、准时性,不会中断或延迟,以确保云计算服务在任何需要的时候能够为授权使用者正常使用。
根据云计算中心的安全需求,我们会相应得到一个安全防护技术的层次结构:底层是基础设施安全,包括基础平台安全、虚拟化安全和安全管理;中间是数据安全,上层是安全服务层面,还包括安全接入相关的防护技术。
3 等级保护背景下的云安全体系
3.1 等级保护标准与云安全
自1994年国务院147号令开始,信息安全等级保护体系历经近20年的发展,从政策法规、国家标准、到测评管理都建立了完备的体系,自2010年以来,在公安部的领导下,信息安全等级保护落地实施开展得如火如荼,信息安全等级保护已经成为我国信息化建设的重要安全指导方针。
图3表明了等级保护标准体系放发展历程。
尽管引入了虚拟化等新兴技术,运营模式也从出租机房进化到出租虚拟资源,乃至出租服务。但从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。此外,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。
因此,云计算中心防护体系应当是以等级保护为指导思想,从云计算中心的安全需求出发,从技术和管理两个层面全方位保护云计算中心的信息安全;全生命周期保证云计算中心的安全建设符合等保要求;将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求,做到等保成果的可视化,做到安全工作的持久化。
3.2 云计算中心的安全框架
一个云计算中心的安全防护体系的构建,应以等级保护为系统指导思想,能够充分满足云计算中心的安全需求为目标。根据前面的研究,我们提出一个云计算中心的安全框架,包括传统安全技术、云安全技术和安全运维管理三个层面的安全防护。
云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。
3.3 云安全防护体系架构
在实际的云安全防护体系建设中,首先要在网络和主机等传统的安全设备层面建立基础信息系统安全防护系统。基础信息安全防护体系是以等级保护标准为指导进行构建,符合等级保护标准对相应安全级别的基本安全要求。
在此基础上,通过SOC安全集中管理系统、虚拟安全组件、SMC安全运维管理系统和等保合规管理系统四个安全子系统共同组成云安全管理中心,如图4所示。通过实体的安全技术和虚拟化安全防护技术的协同工作,为云计算中心提供从实体设备到虚拟化系统的全面深度安全防护,同时通过专业的SLC等保合规管理系统来确保云安全体系对于等级保护标准的合规性。
参考文献
[1] 郝斐,王雷,荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全,2012,(03):38-41.
[2] 季一木, 康家邦,潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全,2012,(06):6-8.
[3] 黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,(07):3-5.
[4] 胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全,2012,(07):87-89.
[5] 王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012,(08):75-78.
[6] 海然.云计算风险分析[J].信息网络安全,2012,(08):94-96.
[7] 孙志丹,邹哲峰,刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全,2012,(12):50-52.
[8] 甘宏,潘丹.虚拟化系统安全的研究与分析[J].信息网络安全,2012,(05):43-45.
[9] 赛迪研究院.关于云计算安全的分析与建议[J].软件与信息服务研究,2011,5(5):3.
[10] 陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展,2010,20(2):99.102.
[11] 冯登国,孙悦,张阳.信息安全体系结构[M].清华大学出版社,2008:43-81.
[12] 张水平,李纪真.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计,2011,12(32):3965.
[13] 质监局,国标委.信息系统安全等级保护基本要求.GB/T 22239—2008:1~51.
[14] 王崇.以“等保”为核心的信息安全管理工作平台设计[J].实践探究,2009,1(5):73.
[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.
[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.
作者简介:
白秀杰(1973-),男,硕士,系统分析师;研究方向:云安全技术。
李汝鑫(1983-),男,本科,项目管理师;研究方向:信息安全技术。
