云安全防护服务范文
时间:2023-12-22 17:36:55
云安全防护服务篇1
一、前言
云计算的出现改变了传统电信运营商的发展模式,使电信企业实现了精细化管理,尤其是云计算资源集中成为了可能,便于计算信息服务,不仅降低了成本与能源消耗,还促进了企业进一步发展。但依然需要重视与计算资源池数据安全防护,并联系实际提出信息安全保障技术,只有这样才能促进企业又好又快发展。
二、云计算含义
云计算概念最早出现于2006年,其定义与内涵一直是IT界讨论重点,由于认识与理解不同,导致云计算含义始终没有明确定义。现阶段,美国相关部门对云计算框架模型进行了描述,并概括云计算的特征。
云计算特点有以下几点:第一,网络接入广泛,即通过云计算实现网络供应,并涉及大量客户端;第二,资源池,它以物理资源为基础,在虚拟化的作用下,逐渐映射成为具有虚拟化、模块功能化以及多用户服务的资源池,并按照系统要求为客户提供服务;第三,快速弹性计算,这一特征要求系统规模与计算资源一定联系用户需要实际进行调整;第四,按需自服务,它要求云计算服务是不需要人工参与就能进行的服务,以自助服务为主,如开通服务、更换配置、缴费等;第五,服务检测,它要求运服务是可以进行检测的,同时也制定了明确的收费标准与政策,所有服务都是透明的,便于服务者与用户查询[1]。
三、云计算资源池概述
云计算资源池就是将服务器物理资源转化为逻辑资源,使得一台服务器可以转化为几台甚至几百台相互隔离的虚拟服务器,不仅可以提升资源利用率,还可以使系统管理更加简化,便于服务器资源整合,同时也可以使IT界更好的应对业务变化。要利用云计算,就要构建大容量资源池,确保在业务高峰期能够满足用户各种要求,为用户提供优质服务。
四、云计算资源池数据的安全防护与保障技术分析
4.1软件安全防护措施与保障技术
云计算资源池平台中的各个虚拟终端都需要通过虚拟主机虚拟层与外部进行交互与联系,一旦虚拟层出现漏洞或被入侵,就会导致虚拟环境发生风险,因此,强化虚拟层安全异常重要。云计算资源池管理服务器属于虚拟化平台基础架构组成部分,用于虚拟主机、网络与各系统的统一控制与管理,这就需要联系实际情况做好虚拟服务器入侵检测工作,并建立起良好安全控制系统与防护功能,这也是确保虚拟架构安全加固的必要方式。在资源池中应用安全防护软件,主要是为给资源管理服务器提供入虚拟入侵检测策略,强化入侵防护能力。对于IDS入侵检测来说,因包括以下几点策略:首先,对重点虚拟化文件访问进行监控,同时也要对监控虚拟化软件关键命令与工具执行;其次,了解虚拟化软件关键配置变化情况,且实时关注虚拟机标准网络接口与各关键部分的工作情况,制定出较为简单的虚拟软件动作监控日志;再者,重视虚拟化管理服务器上的成功与失败访问,确定执行命令,并做好虚拟管理服务器关键事件通用与审计工作;最后,确保虚拟管理服务器主机始终保持完整,了解主机配置变化[2]。IPS入侵安全防护则要关注以下几点策略:第一,重视Windows安全防护,加强对管理服务器应用组件的保护,确定基本架构组件与应用程序文件,更要重视敏感数据目录的构建;第二,控制管理服务器网络访问权限,增加可信应用程序,对需要访问的管理服务器访问工具加以保护;第三,调整好Windows基线,了解用户与用户组的变化情况,一旦发生登录失败,就要检查重点配置文件等是否被篡改;第四,检查文件是否完整,若不完整就要通过管理平台调整检查策略,实时了解平台中各种文件的变更与配置情况,同时也要监控管理平台日志,尤其要重视Web交互日志[3]。
4.2核心业务主机安全防护与保障技术
不管是物理服务器还是虚拟化服务器,都会遇到相同的安全防护问题,主要有网络是否被入侵,是否遭到病毒攻击,是否存在漏洞或数据被盗等情况。资源池安全管理平台需要为物理机与虚拟化服务器提供全套安全防护体系,强化系统入侵,不断增强虚拟服务器系统的安全性,确保数据安全,所以,核心业务主机的安全防护与保障措施需要从以下几方面入手:第一,做到零日攻击,为实现这一目标可以利用沙盒技术与白名单技术来完成,可以有效减少恶意程序借助零日漏洞攻击重点业务服务器,同时也能有效防止恶意程序的传播。第二,加强对细粒度系统的访问与控制,通过锁定操作系统程序等,对各个操作系统与应用程序进行控制,并为其创建以行为虚拟Shell为基础,用于监控内核系统调用情况的策略,且通过设计访问控制列表,监控与访问程序,能够识别与核对用户身份与权限,明确可以访问的网址与访问时间、权限[4]。第三,确保文件等完整,主要是重视物理主机与虚拟主机的完整性,保证两者中的文件无论怎样变动都不会发生实时性改变;第四,收集与制定适用于物理与虚拟服务器使用的机制,并将其直接呈现在控制台上,联系手机应用程序确定策略控制与白名单;第五,重视系统与用户监控审计,不仅要监控用户登录核心进程,还要通过这种方式拦截用户登录过程,利用主机用户进行行为审计等;第六,构建高性能防火墙,强化防火墙性能,监控TCP/UDP实时流量,加大对缓冲区的防护,做好进程访问控制,重视各进程启动保护。此外,还要关注物理服务器与虚拟服务器系统的监控与审计,强化系统入侵防护,真正做好检测工作。
4.3运维管理的安全防护与保障技术
云计算资源池管理特性较为特殊,管理员权限较大,如果人员变化将直接影响业务安全。为保证运维安全,实时验证用户信息就要构建合适的云计算资源池堡垒机制,记录与保存操作过程。可以从以下几方面入手:首先,为云计算资源池供应细粒度访问控制,减少虚拟化平台的特权访问,重视用户访问虚拟资产管理;其次,做好自动定期系统配置与安全设置评估工作,准确记录成功操作与失败操作,以便为数据审计提供可靠依据,同时,重视命令级别的访问控制,区分管理权限,确定虚拟机访问对象;再者,重视账号集成管理,及时回收现有资源池管理员权限,无论是哪一用户都要经过运维管理软件认证以后才可以管理虚拟平台;最后,根据虚拟机的不同进行区分授权,通过多方认证以后才能使用服务器,这也是保证其身份合法的重要举措[5]。
结论:通过以上研究了解到,云计算资源池数据的安全防护与保障以及成为电信企业重点关注内容,不仅可以确保云计算安全,还可以完善云计算资源池平台,有效减少存在云计算中的安全问题,使其更具安全性,因此,本文联系实际实际情况,提出了一些构建安全防护的有效措施,希望能为相关人士带来参考。
云安全防护服务篇2
【关键字】 云计算 应用系统 安全 云防护
一、引言
当前网络空间安全面临的问题日益严重,台州市各政府网站作为台州市人民政府及其部门政府信息的重要平台和窗口,在提高行政效能、提升政府公信力等方面发挥了重要作用。同时,部分政府网站在建设、运维等环节存在着技术或管理上的漏洞与隐患。2015年省网络与信息安全信息通报中心组织专家对台州市600余家政府网站进行远程监测,发现存在问题的网站有151家,安全漏洞897条,发现了一大批存在问题的网站和安全漏洞。其中链接注入、Cookie SQL注入、mhtml协议、跨站脚本、框架注入等高危漏洞780多条,占漏洞数的86.9%。台州移动通过云防护平台的建设,实现对全市安全问题的统一检测,网络攻击实时防御,安全问题跟踪处置。
二、云上应用安全需求
2.1应用系统防护需求
台州市政府网站由于其承载着政府部门的重要业务,因此对Web应用防护有以下需求:
1)云WAF:为台州政府网站提供防攻击(跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问)、防篡改(隐藏变量篡改、页面防篡改)、防CC攻击等安全防护。
2)网页防篡改:防止台州政府网站系统被黑客恶意攻击后篡改页面。
3)云安全检测:对台州政府的云内业务信息系统进行全面的检测,需要覆盖可用性检测、木马检测、篡改检测、关键字检测,并定期进行漏洞扫描。
2.2基于云的外部威胁感知需求
对于云计算环境下安全防护,仅做好内部的工作是不足的,因为外部威胁在持续演变,对外部威胁也必须保持足够的关注,因此对云外部威胁的感知对于云安全来说,也是必不可少的一部分。
2.3云业务系统整体安全态势感知需求
不了解云端业务系统的整体安全态势, 安全防护就是各种盲目地、漫无目的地措施集合,容易造成安全资源浪费,并且不利于安全事件发生后制定决策。而对云业务系统整体安全态势有了全面感知,则能根据获取到的各项信息进行综合分析,为云的安全防护制定更具针对性的措施。
三、系统建设
台州移动为台州市政府建设的云安全防护平台以“SDN+NFV”技术为依托,聚焦应用安全灵活调度安全资源,具备安全可视、可控、安全资源自动化部署、弹性扩展、平台开放等特点。其内部示意图为:
3.1云上网站安全监测体系
为了能够及时保障台州市政府网站业务系统的安全,台州移动采用了基于外监测的大数据云安全监测系统,可自动定时对台州政府云上的应用漏洞进行深度的检查,确保在第一时间内发现政府网站中存在的一系列安全问题。
此次建设的大数据云安全监测系统可动态调度在全国各省部署的监测设备,结合在云系统内自身部署的本地监测引擎,对台州政府所有云上在线信息系统进行安全扫描,并配套提供各类系统采用的基础指纹数据。
通过对台州政府云上的所有重要站点和应用进行不间断服务质量监测,实时保障站点网站可用,能够正常对外提供服务。同时,还对这些应用和站点提供了定时的网站安全监测服务,及时快速地发现与定位网络安全问题的存在与网络安全事件的发生。
网络安全问题与事件发现能力建设包括网站脆弱性检测、网站可用性监测、网站挂马监测、网站链接监测、网站安全事件监测、网站敏感内容监测与网络主机监测七项内容。
3.2云上网站安全防护体系
本次台州移动为台州市政府网站建设的云防御体系是基于云计算和大数据技术,采用“事前安全检测”+“事中实时防护”+“事后分析加固”全生命周期解决方案。
事前安全检测发现网站漏洞、安全事件等问题;
事中采用零部署的云防护方案,防护黑客发起的Synflood、upd-flood、tcp-flood等DDOS攻击,在应用层防护上通过7层数据包分析防护注入攻击、跨站脚本、Webshell上传、网页木马、第三方组件漏洞和应用层CC等应用层攻击,有效保障网站的可用性和安全性;
事后通过对日志流量的大数据分析,有效识别异常流量、自动化攻击、规则误判等问题,对安全策略进行持续优化和改进。
本项目中云防御体系主要建设了以下方面的能力:
3.2.1 DDOS/CC防护
目前,WEB应用成为DDOS攻击的主要目标。有第三方数据显示,87.11%的DDOS目标为HTTP应用,通过DDOS攻击可对业务系统发起大量请求造成流量拥塞,从而造成网站拒绝服务。
而大部分用户只能通过部署硬件防护设备自身性能来防止DDOS攻击,但一旦攻击带宽超过出口带宽,或者连接数超过设备最大性能时,硬件防护设备就无能为力。通过云端DDOS防护服务,带宽可以最大化提供,防护端采用集群部署,因此防护性能可以无限扩展,当DDOS攻击流量增大时可弹性扩展带宽,而且可按需付费。
与此同时,近年来黑客开始采用攻击成本低的应用层CC攻击方法进行分布式拒绝服务攻击。CC攻击的特点是流量小、攻击精准,只需要少量肉机或服务器就可以完成,同行恶意竞争、刷票、黄牛抢票、商业爬虫抓取敏感信息等不法行为经常采用CC攻击。CC攻击可造成服务器访问慢和拒绝服务,因此对CC攻击的防护同样十分重要。
基于云安全可控原则,DDOS防护采用陆空联合防护体系,在本地利用云平台安全保障基础设施的互联网边界防御资源结合云内的云WAF虚拟设备建设DDOS防护系统,对于非大流量和应用层CC攻击进行本地防护;当攻击流量超过本地清洗能力时则切换到云端DDOS防护系统进行清洗。
3.2.2 Web应用防护
SQL注入、Webshell上传、第三方组件漏洞仍然是当前业务系统最主要的高危安全根源,黑客通过SQL注入攻击等可获取网站后台敏感信息。而在云上系统中,由于关键系统的相对集中,此类敏感信息的泄露,更会呈现明显的规模效应与更大的危害性。
另外,近年主流WEB服务器组件不时爆出0day漏洞,如连续爆出的Struts2漏洞、openssl心脏出血漏洞等,其造成的危害影响十分深远。对这些0day漏洞事件的应急处置情况,充分暴露出全网基础安全保障和用户数据安全保护不足的严峻现状。0day漏洞爆发时,黑客可通过利用该漏洞植入webshell获取服务器的控制权限,从而造成网站被篡改、挂马、插入暗链等严重的安全问题。
云端WEB应用防护可针对黑客发起的注入攻击、跨站脚本、Webshell上传、网页木马、信息泄漏、第三方组件漏洞等攻击进行有效防护,避免网站信息泄露和篡改,同时通过虚拟补丁技术加固WEB服务器组件漏洞。
3.2.3网页防篡改
国内网站被篡改事件屡见不鲜,一种出于炫耀目的,另一种出于政治目的,其攻击目标是国内政府和高校网站。
制造第二事件的黑客群体在攻击成功后篡改网页加入反动口号,的言论经常与当前一些时事热点进行结合,有很强的煽动性,对政府或高校等影响十分恶劣,但由于此类黑客通常在境外活动,甚至使用国内政府网站服务器作为跳板机进行攻击,因此很难抓捕。
信息安全正如木桶理论所描述的那样,WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大,而在于我们是否针对脆弱的防护御点采取了有效的措施,也许一个弱口令就可以将整个安全系统瞬间崩塌。
为了避免这样的问题,我们一方面要从安全意识上进行强化和加固,另一方面要部署最后的防线,通过在云端虚拟服务器上部署网页防篡改系统,从操作系统底层驱动实现多种保护模式,防止网站页面内容被非法篡改。
四、结语
此次台州移动为台州市建设的云安全监测防护一体化平台,实现了对台州政府网站的云监测和防御,并且建立了有效的安全事件应急与处置机制,形成了监测-防御-处置一整套较完整的安全管控流程,可有效督促台州市政府网站云上应用系统安全监管工作有效落地。
参 考 文 献
[1] Zhen Chen,FuyeHan,JunweiCao,XinJiang,Shuo Chen. Cloud Computing-Based Forensic Analysis for Collaborative Network Security Management System. Tsinghua Science and Technology. 2013(01)
云安全防护服务篇3
关键词:云数据;虚拟化技术;入侵检测
1引言
云数据中心离不开云计算和虚拟化技术的支持[1],智能、高校、虚拟和融合的网络是云数据中心的主要特点。服务器的虚拟化被广泛应用到云数据中,云数据中心硬件和软件的安全问题面临着挑战,其中一个比较突出的问题是大数据在云存储中数据的安全性问题[2]。因此,分析了云数据中心存在的安全问题并提出了相应的策略。
2云数据中心网络概述
云数据中心是传统数据中心的升级,它主要根据客户的需求,利用云计算、自动化技术提供各种云计算的新服务。基于云计算技术构建新一代的数据中心,正将数据中心从“成本中心”转变为“利润中心”[3]。服务器的虚拟化被广泛应用到云数据中,该技术有效实现了底层物理设备和逻辑资源的去耦合。云数据中心网络的虚拟化感知能力可以实现资源的匹配和协调,还可以使一台物理主机承载数十台的虚拟机,同时提供多路径负载分担,从而实现高效的网络承载。随着高速以太网技术的成熟发展,相互独立的业务网络模式已不适应大规模、集约化数据中心的发展。在云数据中心中,网络融合、统一承载已成为一种趋势。
3云数据中心安全面临的挑战
网络安全法的颁布,已经将网络安全问题上升到了国家高度。云计算数据中心的网络安全技术防护措施,应从物理网络和虚拟网络同时入手防护[4]。云数据中心的安全包括物理网络安全、虚拟网络安全、虚拟机防护安全以及虚拟安全域隔离等。
3.1物理网络安全问题
物理网络安全问题主要体现在通信过程中遭遇的DDoS攻击。由于云计算的处理瓶颈,云计算服务器收到了大量的DDoS请求,使得服务器超负荷运行,阻碍或延迟了正常访问请求。一些不法分子利用此方式来监听或窃取用户数据,使用户个人信息受到安全威胁。
3.2虚拟网络安全问题
云计算数据中心采用传统防火墙模式,是基于虚拟化技术的环境,因此不能有效保证云数据的网络安全。云计算环境下的用户都是按需调用资源,一个物理主机中可能创建多个虚拟服务器。在这种多用户环境下如果监管不到位,用户的数据安全会受到严重威胁。
3.3虚拟机防护和虚拟安全域的隔离
云数据中心网络虚拟化将带来网络边界的动态性,使得云数据中心网络安全更加依赖于网络安全系统对流量的感知和安全策略的动态部署[5]。虚拟交换层是云数据中心在网络被虚拟化后增加的一个网络层次。由于虚拟交换层的出现,网络管理边界变得模糊化,虚拟服务器很难被原有的网络系统感知到,因此数据中心很难安全隔离租户的虚拟域。
4云计算环境下的数据安全技术
数据安全是云计算应用的核心和关键。为了确保数据的安全,有必要采用建立数据中心安全系统、完善认证身份管理体系、对数据进行加密等技术。
4.1建立数据中心安全系统
确保数据安全是云计算的关键所在。为了确保云中心的数据安全,首先应当建立安全的数据中心系统,通过云计算技术实现数据的共享。在确保数据安全的情况下,再对数据进行有效、全面的控制。其次,加密方法的选择和策略规则的使用。用户需要对数据进行访问或修改时,在满足规则的条件下才能进行相关操作。
4.2完善认证身份管理体系
完善身份管理体系是提高数据安全性、保密性的关键。用户可以在保证数据安全的情况下,适当放宽条件,选择合适的身份,以达到更好的用户请求。身份管理体系的完善认证可以有效改善管理体系的科学性,提高云计算的安全性。
4.3对数据进行加密
数据加密方式有两种。第一种是对数据操作进行加密,主要体现在用户对数据的查询操作方面,用户可以通过匿名认证的方式,向服务器提出访问、查询、解密、观看明文等操作,进而达到加密目的。第二种是对数据的存储进行加密。在数据存储加密过程中,用户开展加密工作时,首先要利用初始算法得到密文,然后再通过匿名认证的方法,将加密后的数据传输到云端服务器中,最后利用服务器对密文进行存储,从而达到理想的存储效果,提高数据的安全性。
5云计算安全防护策略
云计算安全防护策略有很多,针对上述数据中心存在的安全问题和采用的数据安全技术,提出了以下几项云数据安全防护策略。
5.1搭建算法可信的云架构
以服务角度来划分,目前云计算可分为公有云、混合云、私有云、移动云和行业云。无论哪一种云服务被用户使用,超文本传输协议都是必不可缺的。以互联网交易支付为例,为了加强传输的安全性,在HTTPS通道中加入SSL层,利用身份验证和加密通讯的提供,分析研究发现SSL私钥是HTTPS最重要的数据,如果泄露了私钥,整个通讯过程可能会被劫持,签名也可能被伪造,那么整个HTTPS传输过程就无安全可言。传统的私钥和应用程序被绑定在一起,把私钥部署在云端存在着较大的安全隐患,容易造成信息泄露。在云端通过无密钥加载架构,迫使云端接触不到私钥,从而保证了用户私钥,减少了泄露的风险。
5.2加强云端安全管理
首先是对服务器安防的选择,必须建立严格的物理访问控制;其次是对自然灾害的预防,要防雷、防水、防火、防静电;最后要确保通讯线路安全,防止云端服务器遭到内部破坏。
5.3加强威胁发现管理
互联网最常见的安全防护是通过防火墙措施,它会事先定制好规则,然后对进出内部网络的数据进行一一比对,比对成功的则放行通过,对比失败的则认为是有害数据予以拦截,从而起到安全防护作用。但是,防火墙只能对来自外部的数据包进行检测和分析,对内部数据则束手无策。入侵检测系统则可以解决此类问题,保护云端数据安全。入侵检测系统先收集信息,然后对其进行分析,进而发现是否有恶意攻击的行为。由于传统的IDS对未知入侵行为检测效果不理想,因此在云端部署了IDS,让其与主机入侵检测相结合,形成一个新型分布式检测结构,以保障云计算的信息安全。
6结语
云安全防护服务篇4
关键词:云计算环境;计算机网络安全;策略研究
云计算依托互联网而存在,可以在虚拟的网络环境下,给人们提供更多的信息存储空间以及更丰富的信息资源。随着计算机在整个社会中的普及,应用计算机进行信息传输和存储,已经成为了几乎所有人以及所有行业的首选,所以如何保障计算机所存储的大量信息安全,也成为了重中之重。
1 云计算的含义及其特征
1.1 云计算的含义
云计算是依托互联网而存在的服务模式,以互联网为基础,进行虚拟信息的存储,给人们提供更丰富的信息资料,也更加的方便信息的共享,提高了信息利用率,避免了用户在管理信息上花费大量精力,在很大程度上减少了信息成本。
1.2 云计算的特征
1.2.1 超级大规模性。云计算具有运算速度快,运算水平高的特性,所以可以支持大规模的服务器一起运行。
1.2.2 可靠性更高。云计算的计算模式相较于其他更加复杂,所以在进行运算的时候可以保证运算结果更加可靠。
1.2.3 通用性更好。云计算具有更好的包容性,可以适用于各种不同种类、不同需求的运算,可以构造出不同模式以供使用。
1.2.4 扩展性更高。云计算超大型的计算模式,保证了其可伸缩的动态性质,使其可以满足不同类型、不同区域用户的需求。
1.2.5 虚拟性更强。在进行云计算的时候,用户只要利用IP就可以实现网络的访问和使用。
1.2.6 成本更低。自动化集中进行管理的模式,保证了用户可以用极小的成本获取高速、优质的信息资源。
2 云计算环境下的计算机网络安全相关问题
2.1 云计算环境下计算机网络安全现状
云计算环境下的计算机网络虽然已经在很多方面得到了保护,但是由于互联网是开放的、自由的,所以其信息在很大程度上并不具备隐蔽性,这就降低了原有的技术安全防护措施效果,如果收到人为攻击,很可能会导致计算机网络安全失控,导致信息泄露。现阶段主要影响计算机网络安全的原因主要有两种,分别如下:
2.1.1 被动地位。在云计算进行服务的时候,主要是通过服务商和用户间进行配合的过程,所以导致用户收到了服务商服务条款的制约,如果服务商网站技术出现问题,很可能导致服务终止,这就导致了用户的被动地位,很容易受到服务商影响。并且现阶段的网络中存在着大量的虚假网络地址,很容易导致用户上当,造成安全隐患。
2.1.2 黑客。随着计算机技术的普及,很多人开始对于计算机进行分析、学习,造就了大批计算机人才的出现,但是其中也存在着一些违法的黑客分子,他们会运用其优秀的计算机技术对他人信息进行窃取,云计算中蕴含的庞大信息对于这些不法分子来讲具有很大吸引力,所以这些认为的攻击很可能会造成信息失窃。
2.2 云计算环境下基础设施安全问题
云计算的基础设施安全指的是互联网和计算机的安全。互联网公用的信息资源收费低并且规模很大,由于其公开性,很难保证其隐私性,并且由于公开信息的节点太多,安全保护机制并不能确保覆盖每一个节点。计算机网络中的私有信息,虽然收费相较于公有信息高,但是其节点相对减少,更有利于安全保护。基础设施的安全是保证整个计算机网络安全的基础核心,只有保障了主机安全,才能更好地进行运行维护。
2.3 云计算环境下数据安全问题
云计算的数据安全应具备隐秘性、完整性和可用性。服务商的安全保障需同时满足这三个特质,无论哪一点都不可或缺。
2.3.1 数据隐秘性。用户的个人信息属于个人隐私,在无本人的同意下,绝不可被窥窃。服务商应提供强力有效的安全屏障来维护用户的隐私。
2.3.2 数据完整性。用户上传并存储的数据须保持从始至终的完整性,即在无用户自身的修改等操作时数据不应出现任何变动。一方面,服务商要提供完善的网络防火墙以防黑客对数据进行篡改和破坏;另一方面,服务商也要定期更新和维修自身的总服务器,确保不因服务器出现的问题而破坏数据的完整性。
2.3.3 数据可用性。服务商应提供稳定的网络运行系统,使用户能够随时对数据进行有效操作。
3 加强计算机网络安全防范的具体措施
3.1 建立“云计算”数据中心
在基础设施方面,“云计算”数据中心和传统数据中心同样需要旁挂核心或交换机来保证数据的分区部署;在特性方面,两者的数据部署都具备完整性、规范性和条理性;在功能方面,相同的是两者都需满足资源的最大化利用,不同的是,“云计算”数据中心比传统数据中心更快捷、更实用、更具体。
3.1.1 模式扩大。网络用户数量的急剧增加和网络应用程序开发速度的大幅增快,都对网络数据中心提出了更高的要求。“云计算”数据中心较之传统的数据中心拥有更大的规模。不仅是网络内外的传输,还是网络内部之间服务器的传输,都在最大程度上提高了供应量和存储量。数据中心还需确保每个节点之间、节点和服务器之间以及每个服务器之间的传输都能畅通无阻。
3.1.2 虚拟化。将云计算中的数据进行虚拟化不仅可以节约网络存储空间,还能够加快网络的运行速度,对于整体而言则是降低了网络运营的成本投人。因此,虚拟化是网络发展的必然趋势。计算机网络服务器和存储器已有了先进的虚拟化技术,但防火墙等重要计算机网络安全设备的虚拟化还有待加强。
3.2 加强防火墙的部署
在计算机网络安全防护设备中,防火墙无疑是最佳的选择。它不仅能够单向地抵挡病毒、木马等恶意攻击,还能将其安全防护性能扩展到其他插卡中以完成多方位的安全保障。
3.2.1 通用化。防火墙的通用化是指暂不升级防火墙的虚拟功能,只以其基础的安全屏障进行计算机网络安全的保护。但与一般的安全软件不同,服务商需针对不同的应用类型和需求提供不同的防火墙区域保护,做到因“域”制宜。
3.2.2 虚拟化。将防火墙虚拟化,即由一台防火墙设备投射到多个用户的网络系统中。这种方法实现了资源利用的最大化,同时也可满足对不同业务的共同控制。
3.2.3 多元化和独立化。这种既交叉又独立的管理方式和配置原则可确保每个设备都拥有可选择的基本版和加强版的计算机网络安全防护配置。
4 结论
网络的发展,云计算的出现,给经济发展带来了新的机遇,也给计算机网络带来了新的挑战。网络安全问题已经成为所有人需要重视的问题,只有所有人共同进行努力才能更好地打击黑客,只有更好的提高网络安全技术,才能有效地做好网络安全防护工作。也只有建立一个安全的网络环境,才能使云计算放心的发挥其优势,更好的为人们所服务。
参考文献
[1]冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2011(1).
云安全防护服务篇5
扬州市政府云计算中心位于扬州市广陵区的江苏信息服务产业基地(扬州),是扬州市政府于2011年,率先在江苏省13个省辖市中启动建设的“政务云”工程。作为扬州市智慧城市建设与运行的基石,云计算中心按照“顶层设计、分步实施、资源整合、共建共享”的理念,统一机房环境、统一政务网络、统一系统软硬件、统一标准规范、统一运行维护、统一安全保障,整合共享了五大基础数据库(人口、法人、地理信息、金融税收统计和信用),打造了四大应用支撑平台(协同办公、便民服务、城市运行监管和产业发展),已成为扬州市政府的基础设施管理中心、电子政务服务中心、信息资源交换中心、数据存储备份中心和信息安全保障中心。
扬州市“政务云”面临的问题和挑战
大数据基础服务能力还需进一步增强
物理级服务能力还需完善。扬州市政府云计算中心现有架构的数据处理能力,严重依赖于物理服务器的性能,政务数据存储方式单一,支持的数据类型较少。面对大数据时代海量数据的接入,对云计算中心的数据存储能力、处理能力、交换能力及数据挖掘能力都提出了更高的要求,对现有“政务云”架构提出了新的挑战。
平台级服务能力有待增强。扬州市政府云计算中心面向应用层的服务,只覆盖了扬州市政府的基础性政务应用,如网站群、协同办公等,以及部分市直部门业务应用,没能实现“全覆盖”,导致未纳入的政务应用的数据资源,也难以统一归集共享。同时有部分中间件、数据库和备份等“政务云”支撑软件,严重依赖国外主流商业软件,国产化率较低,采购许可证、软件后期维护等费用,变相提高了建设和维护成本。
数据资源整合共享的深度和广度还不够
缺乏统一的标准和规范。扬州市政府云计算中心对政务应用系统未做到深度整合,数据种类繁多,缺乏统一的规范,未制定统一的数据接口。整合的广度还需延伸,县(市、区)政务信息资源整合进度相对滞后,目前扬州全市6个县(市、区)仅整合了其中2个;市级信息资源共享交换平台实现了涉税数据、信用数据、处罚许可数据等政务数据的交换共享,未能实现扬州市政务数据资源目录内的所有数据共享。整合的深度还需挖掘,扬州市虽然所有新建信息化项目,均被要求建设在市“政务云”之上,但对部门已有业务系统的整合进展缓慢,因此实现已建系统的资源整合、数据共享,是下一步提升数据资源深度整合共享的关键。
应用安全防护措施有待完善
政务云终端防护还需加强。扬州市政府云计算中心虽然在互联网出口架设了入侵防御、防火墙等网络安全设备,形成了较完善的安全防护体系。但在内部政务网上,如“政务云”平台上各应用系统间、各部门网络接入口等区域的安全防护还需要再完善,例如对已接入的终端设备采用相应级别的安全防护策略,这项工作是下一步提升整个“政务云”安全性、稳定性的关键。
统一等级保护工作急需落实。等级保护是按照信息系统的重要性等级,分级别进行保护的一种工作机制。根据不同应用系统,制定相应的等保级别,由云计算中心统一来实施,整合并最大化利用安全防护资源,是“政务云”安全防护工作的保障。统一“政务云”上各应用系统的等级保护工作,可以减少重复性投资,提高安全防护工作效率,但目前该项目刚刚立项,尚未落地实施,也未能纳入政府年度预算。
运行维护和管理服务机制不够健全
考核机制不够健全。扬州市政府云计算中心通过本地化、专业、7*24小时的运维保障机制,已稳定运行近5年时间。但由于缺乏相应奖惩激励措施,导致“政务云”提供服务的质量参差不齐,如何对响应及时性、服务质量、服务满意度进行量化和考核,亟待研究。
人员技术水平要求颇高。扬州市政府云计算中心的运维工作十分依赖有充足经验的“老师傅”。从基础设施、网络设备等基础设施,到数据库、业务系统等应用软件,都需要有很强的专业知识储备和操作技能熟练,对运维人员技术水平要求较高。
提升“政务云”服务能力,大数据大有可为
大数据的核心价值是在从海量的复杂数据中挖掘出有价值的信息,通过大数据技术进行更快的分析、更准确的分析预测,进行资源的优化配置,进而服务民生、治理社会、发展产业。扬州市政府云计算中心作为全市“政务云”的技术支撑,需要思考如何进一步提升数据资源处理分析、信息系统安全保障等服务能力。
强化“政务云”基础设施建设,提升云计算支撑服务能力
构建分布式处理框架。采用分布式数据存储技术构建分布式存储,提高系统数据的可靠性、可用性和存储效率;引入分布式资源管理技术,构建服务器的分布式集群架构,提高扬州市政府云计算中心并行计算能力和可扩展性。
推进信息资源深度整合。启动市政府云计算中心二期工程,统筹市、县信息化联动发展,建设覆盖县(市、区)及所属部门、乡镇(街办)、村(社区)的政务信息基础设施,打造覆盖全市的电子政务外网,实现全市公共服务、城市治理等信息化应用的一贯到底。
规划“政务云”大数据平台建设,提升大数据服务能力
完善数据共享交Q平台。整合升级现有数据共享交换平台,根据扬州市政府信息资源目录,对全市政务数据进行清洗、整合和加工,实现全市统一的数据共享交换平台,提供信息承载服务和数据交换服务等;增加和完善主题数据库,实现人口、法人、地理、统计、计生、税务、财政收支、民生等各类主题数据的深度共享,为“政务云”上的应用提供公共数据库服务。
建设大数据分析、处理与挖掘平台。研究扬州市“政务云”大数据的信息架构,构建通用的大数据分析处理与挖掘平台,提供“大数据”服务,各部门通过配置即可搭建适用于本部门业务的大数据分析平台,并可基于标准接口进行二次开发,实现更加复杂的功能。
建设“扬州市大数据应用示范区”。目前国家正在规划建设大数据产业示范区,江苏省将以智慧城市和工业大数据为侧重进行申报。P州市紧盯示范区建设,成立大数据研究院扬州分院及政务大数据应用实验室,在民生服务、城市治理和产业发展等领域,开展大数据典型应用,探索政务大数据开放共享的机制及规范并向全国推广应用,将扬州市建成政务大数据应用的先导区、示范区。
建设政务大数据统一开放平台。扬州市将围绕“两化”融合,推进服务产业发展,以企业为主体,以市场为导向,制定政务大数据开放共享标准和计划,鼓励企业和公众发掘利用政务数据资源,激发创新创业活力,提升公共服务水平。选择重点行业及民生领域,开展基于扬州市“政务云”的大数据示范应用,推动专业化的大数据挖掘、分析、应用和服务发展,提高大数据行业应用能力。
完善“政务云”安全保护体系,提升云安全保障能力
强化政务云安全支撑能力。在继续做好扬州市“政务云”边界安全的前提下,打造可以有效隔离“政务云”内部非法访问和攻击的安全防护体系;提高网络安全监测预警能力和主动防范能力,加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制,提升重大网络安全事件应急处理能力。
落实信息系统等级保护和风险评估制度。对扬州市“政务云”上各应用定期开展统一的信息安全等级保护测评和风险评估工作,确保各信息系统满足相应等级要求,降低安全风险、提高安全防护能力。
统筹规划机房容灾建设。以自建、共建或租用共享灾备等方式统筹规划容灾建设,采取两地三中心的容灾模式,将主数据中心的关键业务数据实时同步到同城灾备中心,确保“政务云”的数据安全。
优化“政务云”运维管理机制,提升运维服务能力
制订“政务云”运维管理办法。应明确规定“政务云”的责任部门、承建者、用户部门等各方具体职责,制定考核奖惩机制、运维资金保障、资产管理制度、标准服务流程等,以保证“政务云”的序利用和平稳运行。
建立“政务云”运维服务团队。打造一支专业化的运行维护和管理服务团队,熟悉云计算平台软硬件设备,具备快速学习和快速响应能力,善于诊断分析和排除故障,具有良好的沟通协调能力和用户需求的洞察力,为“政务网”用户提供规范化、专业化服务。
探索“政务云”服务外包模式。将专业的“政务网”运维工作交由专业公司操作,将机构自身从繁琐的运维工作中解脱出来,集中精力于业务本身,降低管理和运营成本,并通过外包商专业化的服务和先进技术、项目管理专长与优势,提升“政务云”在大数据背景下的效能。
云安全防护服务篇6
云计算是以互联网相关服务的增加以及使用与交付为基础的,利用互联网提供动态易扩展的虚拟化资源分布计算技术。简单来说,云计算就是通过将用户数据的处理任务由原来的用户机转变至网络整合的企业级数据中心予以执行,进而帮助用户节省其网络占用资源的一项技术。由于云计算对数据存储的安全性较高,且对终端设备的要求较低,在节省成本的同时,也达到了资源收集、分析和分布利用的目的,故而被社会多个生产、生活领域所应用。云计算具有以下几方面的特点:(1)超大规模。相较于本地计算机管理系统,云计算的运行规模更为庞大,以Googel为例,其云计算已拥有100余万台服务器,而微软、Yahoo的云计算也已拥有数十万台服务器。(2)虚拟化。虚拟化是云计算的另一特点。云计算对用户在任意时刻、任意位置所选取的不同终端进而获取的应用服务均能够予以支持,而用户所发出的请求资源大都来源于“云”,并非有形实体,而资源的应用也大都在“云”中进行,而对于用户而言,其只需一台终端机便可经由网络实现其特定的资源需求。(3)可靠性与通用性。由于云计算利用计算节点同构以及多数据副本容错等方法降低资源分配的错误率,故具有较高的可靠性,加之其并不针对特定的应用予以资源支持,即能够同时对不同应用的运行予以支撑,故而又具有良好的通用性。在了解云计算的概念和特点的基础上,对云计算环境下的网络安全问题进行下述说明。
2云计算环境下的网络安全问题
2.1计算机网络环境安全
长期以来,自然环境有关的安全问题大都是对网络安全具有最直接影响的因素,其主要包括了网络硬件设备故障、网络管理员操作方面的失误和自然地质灾害等。由于网络是由软硬件共同构成的一类智能系统,故而极易受到振动、撞击和温湿度等环境因素的影响。云计算的应用虽然使得原有网络数据信息存储的安全性得到了大幅提升,但对于传统网络下的自然环境安全问题却并无明显改善。同时,因云计算环境下的数据处理方式已由传统的用户机处理转变为数据中心的集中处理,故而对使用环境的安全性又提出了更为严格的要求,由此可见,计算机网络环境的安全问题已成为云计算环境下网络安全的首要问题。
2.2数据存储与通信安全
数据存储是否安全是影响计算机网络健康、稳定发展的关键因素。对传统的网络环境进行分析可知,用户虽然能够借助广域网实现数据共享,但数据的存储大都是以单机存储的方式进行的,而存储安全大都由单个计算机的系统防护能力和进行数据通信过程中的安全性所决定的。而云计算环境下,数据存储的方式则由原有的单机存储变更为服务商所提供的存储,而在此种情况下,数据存储是否安全,在很大程度上取决于云服务的提供商本身,包括其当前所具备的技术能力以及诚信水平。一旦云服务提供商的信用度下降或其技术水平停滞不前时,其所存储数据的安全性必将受到严重威胁。云计算环境中的数据通信安全问题集中体现在数据传输过程中所受到的安全威胁,例如,DDoS攻击,即通过在短时间内向云计算服务器发送过量请求,从而导致信道拥塞,使得服务器无法对用户的正常请求做出及时回应等。此外,系统入侵以及篡改数据也是云计算环境下威胁数据通信安全的另一原因。例如,黑客通过侵入用户系统,从而篡改、删除合法用户的系统数据,使其终端通信无法完成。
2.3虚拟环境安全
对云计算网络环境进行分析可知,其与传统的网络环境并不相同,云计算通过对当前网络的资源进行全面整合,进而对虚拟的服务环境进行构建。对于用户而言,其所使用的资源大都来自云端,而非固定有形的网络实体,具体说来就是以临时租用的方法获取相关服务,以此来弥补网络硬件的不足和软件运算能力的缺陷,进而从整体上提高网络资源的利用效率。但由于云计算环境的实质是一个具有较高整合度的虚拟网络环境,而其数据中心尚不具备边界安全的保护措施,因此,传统的入侵检测技术并不能对云计算数据中心的安全予以良好的保障。
2.4身份认证安全
对云计算网络环境进行分析可知,服务商所提供的云服务器大都位于网络环境的中心,而用户通过向服务器发送请求进而获取其所需资源的前提是其自身的身份必须合法,并顺利通过身份认证。身份认证是网络信息进行自我保护的关键措施,也正因如此,身份认证环节也最容易受到网络不法分子的攻击。云计算环境下,身份认证安全所受到的威胁主要包括:(1)用户管理服务器受到黑客攻击时,合法用户的用户名以及密码等将会被窃取、盗用,并进行非法登录,通过对数据进行相应操作,从而增加、篡改或删除用户个人的数据信息,为其带来不可挽回的损失;(2)黑客可通过对云计算环境下的网络信道进行监听,或在网络信道中传播计算机病毒,从而使得用户的个人信息被非法窃取或计算机瘫痪,进一步扩大网络安全威胁。
3云计算环境下应对网络安全问题的策略
3.1技术防护策略
高效的技术防护是确保云计算网络环境安全的关键措施。可从以下几方面展开云计算网络环境的技术防护工作:(1)通过选用规模化的云计算软件,通过对其进行及时维护和更新,在修补软件漏洞的基础上,确保计算机网络运行安全;(2)在对网络内现有用户进行了解和信息资源分析的基础上,建立健全的用户数据隔离机制,在避免网络中多个虚拟机进行相互攻击的基础上,保证用户数据存储的相对安全。此外,由于在云计算网络环境中,数据信息只能够实现逻辑划分隔离,而难以被设立基于物理安全边界的隔离,故可靠率通过建设云计算的安全防护中心的方式,把原有的以子系统为基础的网络安全防护扩展至对整个云端环境的防护中来,从而在充分遵循云计算环境下数据信息隔离特点的基础上,全面提升网络的防护能力。
3.2云端数据防护
加强对云端数据的防护是确保云计算环境下网络安全的另一重要措施。虽然云端数据库的引入为用户对网络资源的获取带来了较大的便利,但由于云计算服务提供商的信用水平和技术能力等问题,使得用户难免会对其个人数据的安全性产生担忧。因此,对于云计算服务提供商而言,其有必要也必须加强对云端数据库的维护力度,通过制定相应的规章制度,保障其自身的高信用水平,同时,加大技术创新的力度,尽可能消除用户对其个人数据信息泄露方面的担忧。在用户方面,其也应加强对所存储数据的安全防范,对于存储在云端的数据,用户可通过对其进行定期备份,避免数据流失,亦可使用数据加密的方式,确保所存储数据信息的安全。
3.3通问与环境安全的控制策略
访问控制策略是确保数据通信安全的关键,其主要任务为避免网络资源被非法占用。访问控制策略主要包括了服务器安全、网络权限和网络访问的控制等内容。需要说明的是,在云计算环境当中,可选用多种通问策略相结合的方法,达到对不同用户授权的目的,并满足其对各级访问权限进行设定的需求,确保云计算网络通信的安全。而云计算网络环境的控制大都集中在数据传输方面,为了保证数据信息传输的安全性,可考虑将网络安全协议引入其中,通过对用户的各类数据进行加密,从而使数据在云计算网络信道的传输过程中不被窃取和盗用。
3.4身份认证防护
云计算环境下的身份认证问题可考虑引入多重身份认证机制予以解决。除了可引入视网膜以及指纹等生物识别技术来保护用户身份信息安全外,还可考虑将动态电子口令的认证模式引入到云计算复杂网络环境下的身份认证机制当中,以此来确保用户身份认证信息不被非法窃取和监听。与此同时,云计算服务提供商和用户还需配合政府,进一步加大对非法入侵云计算管理系统的打击力度,以健全的报警机制确保云计算网络环境的安全。
3.5基于服务器端的控制管理
加强对云计算服务器端的控制管理力度是降低网络安全威胁的重要方法。首先,服务商应采取多项计算机网络技术确保服务器运行环境的相对安全,尽可能地避免自然环境和人为因素所产生的网络威胁。其次,引入用电环境保护技术,在确保用户信息安全的基础上,针对云计算管理系统当中的程序漏洞,及时制定出相应的解决方案,降低程序风险,确保网络环境安全。此外,还可通过借助计算机网络防火墙和漏洞查核等措施阻止病毒程序的侵入,将系统风险降至最低。
4结束语
本文通过对云计算的概念进行阐述,并结合其虚拟化、通用型与可靠性等特点,对云计算环境下的网络安全问题展开了深入研究,并从技术防护、云端数据防护、通问与环境安全的控制以及多重身份认证等方面对解决云计算环境下网络安全问题的相关策略做出了全面探究。研究结果表明,当前,云计算环境下仍然存在诸多方面的网络安全问题,未来,还需进一步加大对此环境下网络安全的防护力度,在满足用户资源需求的同时,促进网络健康、稳定发展。
云安全防护服务篇7
关键词:云计算技术;云安全
美国国家标准与技术研究院认为,云计算技术是一种资源利用模式,它能以简便的途径和以按需的方式通过网络访问可配置的计算资源(网络、服务器、存储、应用、服务等),这些资源可快速部署,并能以最小的管理代价或只需服务提供商开展少量的工作就可实现资源。纵观云计算技术的概念和实际应用,可以看出云计算技术有两个特点。一是互联网的基础服务资源如服务器的硬件,软件,数据和应用服务开始于集中和统一;二是互联网用户不需再重复消耗大量资源,建立独立的软硬件设施和维护人员队伍,只需通过互联网接受云计算技术提供商的服务,就可以实现自己需要的功能。云计算技术的研究应用,不仅推动了经济的飞速发展,而且也影响着人类的生活方式。思科预测,到2020年,三分之一的数据都将存储在云上或通过云进行存储。目前,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,被写入了政府工作报告。因此,加强云计算技术的研究和应用,特别是与现代制造业相结合,对我国经济的发展和人民生活水平的提高A2.重大。在加强云计算技术应用推广的同时,做好云安全(Cloud Security)防护则显得尤为重要。
1 云安全概念
最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。云安全技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是继云计算技术、云存储之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,已经在反病毒软件中取得了广泛地应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全是我国企业创造的概念,在国际云计算技术领域独树一帜。“云安全”的概念在早期曾经引起过不小争议,已经被普遍接受。值得一提的是,中国网络安全企业在“云安全”的技术应用上走到了世界前列,金山毒霸、瑞星等公司都相继推出了云安全产品。
2 云计算技术存在的安全问题
随着云计算技术的不断发展,安全性问题将成为企业高端、金融机构和政府IT部门的核心和关键性问题,也直接关系到云计算技术产业能否持续健康发展。云计算技术涉及三个层面的安全问题。
2.1 云计算用户的数据和应用安全。
在用户数据方面,云用户和提供商需要避免数据丢失和被窃。如今,个人和企业数据加密都是强烈推荐的,甚至有些情况下是世界范围法律法规强制要求的。云用户希望他们的提供商为其加密数据,以确保无论数据物理上存储在哪里都受到保护。同样的,云提供商也需要保护其用户的敏感数据。云计算技术中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。同时,数据的完整性、可用性以及数据的可恢复性,都需要云计算技术去考虑。在应用安全方面,由于云环境的灵活性、开放性、以及公众可用性这些特性,在SaaS、PaaS、IaaS的所有层面,运行的应用程序安全设计也至关重要。同时,应用层的安全认证、审计以及数据的访问权限控制也需要考虑。
2.2 云计算服务平台自身的安全。
包括了云计算平台的硬件基础设施安全、共享技术安全和web安全等问题。在硬件基础设施方面,如网络、主机/存储等核心IT设备,网络层面的设备需要考虑包括网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等安全问题,主机层面的设备需要考虑包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等安全问题。在共享技术方面,如在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。在web安全方面,云计算模式中,Web应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种Web攻击手段,则直接影响到云计算的顺利发展。
2.3 云计算资源的滥用。
主要包括2个方面,一是使用外挂抢占免费试用主机,甚至恶意欠费,因为云计算的许多业务属于后付费业务,恶意用户可能使用虚假信息注册,不停的更换信息使用资源,导致云服务提供商产生资损。另一方面,许多攻击者也会租用云服务器,进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动。
这些安全问题实际上在传统的信息系统和互联网服务中也存在,只不过云计算技术业务高弹性、大规模、分布化的特性使这些安全问题变得更加突出。同时云计算技术的资源访问透明和加密传输通道等特性给信息监管带来了挑战,使得对信息和传输途径的定位跟踪变得异常困难。安全是云计算技术面临的首要问题。Google等云计算服务提供商造成的数据丢失和泄漏事件时有发生,这表明云计算的安全性和可靠性仍有待提高。根据IDC的调查结果,将近75%的受访企业认为安全是云计算发展路途上的最大挑战。相当数量的个人用户对云计算服务尚未建立充分的信任感,不敢把个人资料上传到“云”中,而观念上的转变和行为习惯的改变则非一日之功。安全已经成为云计算业务拓展的主要困扰。
3 云安全防护措施
针对云计算技术中暴露出的一些安全问题,必须强化云安全防护措施,这样才能让用户满意。云安全防护措施主要有以下几项。
3.1 强化数据安全和应用安全。
数据安全技术包括诸如数据隔离、数据加密解密、身份认证和权限管理,保障用户信息的可用性、保密性和完整性。密码学界正在努力研究谓词加密等新方法,避免在云计算中处理数据时对数据进行解密,近期公布的完全同态加密方法所实现的加密数据处理功能,都大大地推进了云计算的数据安全。基于云计算的应用软件,需要经过类似于DMZ区部署的应用程序那样的严格设计。这包括深入的前期分析,涵盖传统的如何管理信息的机密性、完整性、以及可用性等方面。在安全认证方面,可通过单点登录认证、强制用户认证、、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式,有效防止云资源滥用问题。在权限控制方面,服务提供商和用户提供不同的权限,对数据的安全提供保证。用户应该拥有完全的控制权限,对服务提供商限制权限。
3.2 强化基础平台的软硬件安全。
对于云计算平台的网络和主机设备,加强安全防护,可以通过网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等强化网络安全,通过主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等强化主机安全,控制防止非法用户使用云计算资源;对于合法用户的恶意使用,则可以通过审计日志来实现事后的追查。为了达到云计算终端到终端的安全,用户保持浏览器的良好安全状态是很必要的,这就需要对浏览器安装补丁和升级以降低浏览器漏洞的威胁。此外,针对目前几种典型的云计算模式,部分厂商采取了细化应用安全防护的手段,针对不同的应用,提供专业级的网关安全产品。在数据共享方面,可以根据用户的需求,建立所需的云服务,即SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础设施即服务)三种形式。
3.3 强化法律管理措施。
云计算的稳定运行和健康发展,需要一定的法律法规和规章制度进行完善。SAS70标准是由美国公共会计审计师协会制定的一套审计标准,主要用于衡量处理关键数据的基准,SAS70作为第三方验证来确保安全、政策执行和验证等问题,能够确保云供应商提供对客户数据的保护。萨班斯法案的颁布,也为数据的保护提供法律的依据,属于SarbanesOxley法案的企业在使用云计算服务的时候就必须确保他们的供应商符合SOX(萨班斯法案)。这些法案和制度的建立为云服务提供商更好地服务及避免数据丢失对客户的损害提供了法律保障,将更有利于云计算提供商开发更优秀的构架。
4 结语
云安全防护服务篇8
【关键词】云计算 应用 安全
随着云计算技术的广泛应用,越来越多的人们开始关注云计算应用安全问题,由于云计算技术具有较强的流动性和无边界性,在应用过程中出现了很多的安全问题,云计算应用安全,一方面是指云计算机在应用领域的安全应用,另一方面是指云计算技术本身的安全性。云计算应用安全是云计算技术健康发展的重要基础。
1 云计算应用面临的安全威胁
1.1 服务可用性威胁
在云计算系统中,用户的各种业务信息和数据都保存在系统中,用户的业务流程和服务方式也主要是依靠云计算应用系统提供的运营模式,这对于云计算应用服务的安全稳定性、突发实践分析和处理、安全策略、IT和SLA流程都提出了巨大的挑战,一旦云计算应用系统出现故障,及时保护和恢复用户的数据信息是云计算应用系统需要解决的重点问题。
1.2 云计算用户信息泄露和滥用风险
用户业务信息的网络传输、数据处理、资料保存等都是基于云计算应用系统平台,一旦系统中隐私信息或者关键数据窃取、丢失,严重威胁着用户的信息安全。如何控制和避免云计算应用系统中大量用户共存产生的潜在风险;如何采取有效地安全管理和审计措施,监控云计算应用系统的数据操作;如何确保云计算应用系统中的访问控制和安全管理机制能够满足用户的需求,这些都是云计算应用系统需要面对的重要问题。
1.3 拒绝服务攻击威胁
由于云计算应用系统中的信息资源、用户资料高度集中,很容易遭到非法入侵者的攻击,一旦遭受拒绝服务攻击,云计算应用系统会受到比传统网络应用威胁更大破坏。
1.4 法律风险
由于云计算应用系统是基于全球范围内的互联网系统,用户数据和信息服务可能分布在全球的各个国家或者地区,并且信息数据的流动性很大,地域性较弱,政府在监管系统信息安全时,容易产生法律纠纷,并且由于虚拟化网络技术,使得云计算应用系统模糊了用户之间的物理界限,如果出现安全问题,给司法取证带来很大的困难。
2 云计算应用安全研究
为了有效地提高云计算应用安全,必须要结合云计算应用系统的主要特点,在加强互联网IT系统基本安全管理和监控基础上,全面结合安全存储、身份认证、VPN、数据加密等多种安全技术措施,建立完善的云计算应用系统的安全防护体系。
2.1 构建安全的逻辑边界
在云计算应用系统环境下,用户之间的物理边界逐渐模糊,系统中的逻辑边界逐渐取代了物理边界,为了确保系统逻辑边界的数据安全传输,要积极采用数据加密和VPN等网络安全技术,提高云计算应用系统数据中心到用户终端之间的数据传输线路的安全性,同时在云计算应用系统数据处理中心,采用虚拟交换机和分布式的VLAN安全技术,将用户网络和用户系统进行安全隔离。
2.2 安全存储和数据加密
在云计算应用系统中应用数据加密技术,可以实现云计算应用环境下的安全隔离和安全存储,利用云计算应用系统的身份认证机制,对系统进行实时的证书检查、权限认证和身份监控,防止系统用户的越权非法访问。另外,要做好系统的存储信息保护工作,在将系统的储存数据资源分配给虚拟机时,要完整将数据信息擦除,避免系统入侵者对数据的非法恢复。
2.3 加强系统安全漏洞风险防范
利用虚拟的系统管理软件、防恶意软件、虚拟防火墙对云计算应用系统的虚拟机环境进行安全防护,构建安全、可靠的云计算应用系统物理网络和虚拟网络,利用补丁和版本管理机制,加强系统虚拟化安全漏洞风险防范,提高云计算应用系统的安全性。
云计算应用安全是云计算应用系统用户和云计算应用系统服务商共同的责任,云计算应用系统主要有软件即服务(SaaS)、平台即服务(IaaS)和基础设施即服务(PaaS)这三种,不同的应用模式其自身的结构和特点都不同,对于云计算应用系统的控制云计算资源的能力也具有明显的差异,使得云计算应用系统用户和云计算应用系统服务商承担的职责和责任各不相同。
SaaS云计算服务模式,系统服务商必须确保云计算应用系统为用户提供的SaaS服务,具有应用层到基础设施的整体稳定性和安全性,云计算应用系统用户要不断维护自身的数据信息,如终端安全、密码设置、身份认证等。
IaaS云计算服务模式,系统服务商需要为用户提供系统架构的基本服务内容,云计算应用系统用户主要负责系统应用程序、操作系统等系统应用层以上的安全问题。
PaaS云计算服务模式,系统服务商需要为系统用户提供简化的部署环境、测试工具、集成式软件开发设计,除了负责云计算应用系统的基础设施安全,还需要确保云计算应用系统计算和数据的可用性以及系统底部的接口应用安全。云计算应用系统用户要负责系统应用环境和操作系统以上层次的安全问题。
3 保护用户信息的完整性、隐私性和可用性
对系统用户的数据信息进行保护和安全隔离,提高系统用户之间的逻辑边界安全和信息存储安全防护,利用VPN、数据加密等网络安全技术,确保系统用户的网络传输安全,构建完善的用户数据信息分发、密钥管理以及数据加密机制,加强对系统用户信息的维护和安全管理。完善安全恢复和数据备份机制,一旦系统发生异常,能够及时地进行数据维护。
4 结束语
安全是云计算应用技术不断发展的重要基础,云计算应用系统要为用户提供多种高性价比、可信、可靠的系统服务,不断完善和加强云计算应用安全,推动云计算应用技术的可持续发展。
参考文献
[1]汪来富,沈军,金华敏.云计算应用安全研究[J].电信科学,2012,06:67-70.
[2]冷鹏.云计算应用安全探析[J].数字技术与应用,2011,07:189-190.
[3]韩宇.云计算应用的安全问题分析[J]. 信息安全与技术,2014,01:8-9.
作者单位