云计算安全防护篇1
[关键词]:云计算网络安全问题概念特点解决措施
一、云计算的概念及其特点
客观来看,云计算并非一个具体的技术而是多项技术的整合。之所以将其称为云计算是因为本身具有很多现实云的特征:规模很大,无法确定其具置,边界模糊,可动态伸缩等。虽然现在对于云计算这一概念还没有一个确切的定义,但是简单来说,云计算就是建立在网络技术上的数据处理库,但是由于其规模极大,性能极强,能够通过一个数据中心向多个设备或者用户提供多重数据服务,帮助使用者用以最少的空间获得最大的信息来源。因此,云计算的核心所在便是资源与网络,由网络组建的巨大服务器集群能够极大地提升资源的使用效率与平台的服务质量。
二、现阶段云计算在实际运用中面临的网络安全问题
1.客户端信息的安全
就现阶段云计算的运作现状来看,云计算是建立在现有网络基础上的大型信息处理库,而在系统中的每一台计算机都被认为云计算的一个节点。换句话说,一旦一台计算机被接入网络,那么其中的信息就极有可能成为“云”资源的一部分。这就涉及隐私保护问题,如果没有做好信息安全防护,造成一些私密信息泄露,对于一些特殊机构如政府、医院、军队等来说将是极为沉重的打击。同时,如果大量的病患信息、军事机密、政府信息等泄出,也会造成整个社会的不稳定。
2.服务器端的信息安全
当前,云计算发展中存在的最大障碍便是安全性与隐私性的保护问题。立足于服务器端的信息安全问题来看,数据的拥有者一旦选择让别人储存数据,那么其中的不可控因素便会大为增强。比如一家投资银行的员工在利用谷歌在做员工社会保障号码清单时,实际上进行了隐私保护和安全保护职能的转移,银行不再保有对数据保密以保证数据不受黑客侵袭的职责,相反这些责任落在了谷歌身上。在不通知数据所有者的基础上,政府调查人员有权让谷歌提供这一部分社会保障号码。就最近频发的各类信息泄露事件以及企业数据丢失数据事件如2007年轰动一时的TJXX零售商信用卡信息泄露等情况来看,云计算服务器端的信息安全现状不容乐观。
三、解决当前云计算安全问题的具体措施
1.建设以虚拟化为技术支撑的安全防护体系
云计算的突出特点就是虚拟性极强,这也成为云计算服务商向用户提供“有偿服务”的重要媒介和关键性技术。同时,在信息网络时代下,基础网络架构、储存资源及其相关配套应用资源的发展和完善都是建立在虚拟化技术发展的前提下的。因此,在解决云计算安全问题时也需要紧紧围绕虚拟化这一关键性技术,以用户的需求与体验感受为导向,为用户提供更为科学、有效的应用资源合理分配方案,提供更具个性化的存储计算方法。同时,在虚拟化技术发展运用过程中还需要构建实例间的逻辑隔离,利用基础的网络架构实现用户信息间的分流隔断,保障用户的数据安全。各大云计算服务商在优化升级时要牢记安全在服务中的重要性,破除由网络交互性等特点带来的系列弊端。
2.建设高性能更可靠的网络安全一体化防护体系
云计算中的流量模型在\行环境时在不同时段或者不同运行模块中会产生一定的变化,在进行云计算安全防护时就需要进一步完善安全防护体系,建设更可靠的高性能网络节点,提升网络架构整体稳定性。但是在当前的企业私有云建设时不可避免地会存在大流量在高速链路汇聚的情况,安全设备如果不进行性能上的提升,数据极有可能出现泄漏。因此,要提升安全设备对高密度接口(一般在10G以上)的处理能力,安全设备要与各种安全业务引擎紧密配合,实现云计算中对云规模的合理配置。但是,考虑到云计算业务的连续发展性,设备不仅要具有较高性能,还需要更可靠。虽然近年来在这个方面已经取得了可喜的成就,如双机设备、配套同步等的引入与优化,但是云计算实现大规模流量汇聚完全安全防护还有很长一段路要走。
3.以集中的安全服务中心对无边界的安全防护
与传统安全建设模型相比,云计算实现有效安全防护存在的一个突出的问题便是“云”的无边界性,但是就现代的科学技术条件来看,建成一个无边界的安全防护网络是极不现实的。因此,要尽快建立一个集中的安全服务中心,实现资源的高效整合。在集中的安全服务中心下,各个企业用户在进行云计算服务申请时能够进行信息数据的划分隔离,打破传统物理概念上的“安全边界”。云计算的安全服务中心负责对整个安全服务进行部署,它也取代了传统防护体制下对云计算各子系统的安全防护。同时,集中的安全服务中心也显现出极大的优越性,能够提供单独的用户安服务配置,进一步节省了安全防护成本,提升了安全服务能力。
4.充分利用云安全模式加强云端与客户端的关联耦合
利用云安全模式加强云端与客户端的关联耦合,简单来说就是利用云端的超强极端能力帮助云安全模式下安全检测与防护工作的运行。新的云安全模型在传统云安全模型的基础上增加了客户端的云威胁检测与防护功能,其具体运作情况为客户端通过对不能识别的可疑流量进行传感测验并第一时间将其传送至安全检测中心,云计算对数据进行解析并迅速定位,进行安全协议的内容及特征将可疑流量推送至安全网关处进一步处理。总的来看,利用云安全模式加强云端与客户端的关联耦合可以提升整个云端及客户端对未知威胁的监测能力。
四、结语
云计算是网络技术不断发展的产物,为人们的生活提供了很多的便利。但是作为新生的事物,其安全性还存在一定的争议。进一步完善云计算的安全建设,确保用户信息的安全与私密是云计算发展的重要前提之一。在新的时期,需要利用虚拟性技术、集中的安全服务中心、更可靠的高性能安全防护体系等提升云计算服务的安全可靠性,实现云计算技术的进一步发展。
参考文献:
云计算安全防护篇2
关键词:云安全;云计算;校园网;体系结构
1引言
随着现在数字化校园的建立,校园网系统形成了多种类、多功能、多任务的计算机网络,大量的数据依靠网络进行传输、处理和存储,而这些数据的可靠性、安全性也就愈发重要。然而目前主流的校园网仍然基于传统的杀毒软件进行安全防护,消耗大量存储空间,缺乏自适应能力,难以适应网络环境和资源的动态变化。
云安全是基于云计算的计算模型,将整个网络形成一个整体的安全防护系统,均衡了传统网络各级防护能力的差异,降低了对硬件依赖和减少了维护费用。云安全将成为未来数字化校园信息安全的必然发展趋势。本文首先阐述了云计算与云安全的概念,然后介绍了典型的云安全体系结构,并对云安全应用在校园网中的影响进行了分析,提出了一种智能化的云安全体系架构,最后对云安全的关键技术进行了分析。
2云计算与云安全概述
2.1云计算的定义
云计算(cloudComputing)是基于互联网的分布式处理、并行处理和网格计算的超级计算模式。它将单个用户需要的数据处理、数据存储和软件应用整合到互联网上的大型数据处理中心,形成大规模的虚拟计算资源池,互联网内的用户按需使用资源池内的计算资源。完整的云计算是一个动态的计算体系,提供托管的应用程序环境,能够动态部署、动态分配计算资源,并实时监控资源的使用情况,将复杂的运算以及其他的繁琐功能都转移到网络上完成,极大的减小了用户运算压力和终端成本。
2.2云安全的定义
云安全(CloudSecurity)是将云计算的计算模型应用于信息安全领域,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念。云安全通过互联网将用户和杀毒厂商技术平台连结起来,网状的大量客户端就是监测探针,对网络中软件的异常行为监测,获取互联网中木马、恶意程序的最新信息,并发送到云端服务器进行自动分析和处理,再把其解决方案分发到每一个客户端,实现云查杀。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。--
目前,云安全的研究主要分两个方向:一是云计算自身的安全也就是云计算安全,如云计算数据完整和机密性、云计算应用服务安全、云计算安全体系架构等。二是云计算在信息安全领域的应用,称为安全云计算,如基于云计算的木马检测技术、病毒防治技术等。本文主要从第+;y面进行云安全的体系架构研究。
2.3典型的云安全体系架构
目前,瑞星、趋势、卡巴斯基、McAfee等著名的安全软件厂商都推出了各自的“云安全”产品,根据采用的技术不同,大体上可以分为两大类:
(1)以瑞星“云安全”计划为代表的被动式防御:这类“云安全”体系的正常运转需要拥有海量的客户端数量,瑞星“云安全”将用户与瑞星技术平台相连,每一个参与“云安全”计划的客户端都是“云安全”探针。一旦用户终端监测到可疑木马,并上传到瑞星“木马/恶意软件自动分析系统”分析处理,瑞星安全资料库将把结果、解决办法分享给所有用户。
(2)以趋势科技推出的“SecureCloud”云安全网络为代表的主动式防御:趋势科技“云安全”网络在全球建立5个数据中心和3.6万台服务器,主动分析恶意程序,在云端网络主动阻止恶意程序到达网络或计算机。采用该“云安全”网络防护,使客户端不必时刻更新特征码病毒库,而是依靠强大的病毒库全球网络。
3云安全对数字化校园信息安全的影响
随着校园网内的新型设备的不断增多,多种业务的应用与服务将越来越依控网络。因此,提供一个安全、快捷的网络环境是发展数字化校园的基础性工程。通过云安全与校园网的结合,必然会对校园网的发展产生深刻的影响。
(1)节省校园网建设成本。传统的校园网信息安全硬件系统建设,需要大量的病毒库服务器、交换机、防火墙设备,硬件成本较大,后期维护费用较高,且受网络结构限制不利于升级转型。通过采用云安全技术,只需根据业务需要搭建云安全体系的中心数据平台,而无须在用户终端添加额外的硬件设备和承担维护费。
(2)高效的信息安全防护。校园网虽然与互联网等其他网络物理隔离,但是网站大都基于ASP技术开发,采用通用数据库,这就使得网站存在严重安全漏洞。在云安全系统下,云安全分析处理中心能随时监测扫描网络中的恶意软件行为,并立即自动分发解决方案给所有终端,突破了传统的人工定期更新病毒库来查杀病毒的手段,节省了终端的存储空间,自动高效的完成校园网的信息安全防护。
(3)网络自愈能力增强。当校园网中出现病毒时,被感染的终端会立即将病毒样本提交到“云端”的分析处理中心,经过分析后,会自动匹配合适的解决方案并将杀毒程序传送给终端,不需要去关闭整个网络,使校园网时刻保持通畅状态,方便使用。
4数字化校园的云安全体系架构
在数字化校园中构建云安全体系,需要分析校园网的结构特点和应用背景,由于现有的校园网内设备众多,形成了多种相对独立的异构子网,这就为云安全系统的实现提供了很好的构建条件。目前主流的两种云安全体系结构也有局限性:瑞星云安全计划实质上是一种被动式防御,由于主要依赖客户端的异常监测,分发病毒解决方案时一部分用户已经遭受攻击;趋势科技的云安全网络,依靠自身功能强大的集群服务器监测威胁,但是覆盖和监测范围还是有局限,而且集群服务器的成本和维护费用都很高。
针对以上典型云安全体系出现的弊端,从提高云安全体系中用户的同步防御能力,以及节约系统成本和维护费用的角度出发,借鉴云计算的思想,结合校园网的结构特点,本文提出了一种改进型的云安全体系架构,如图1所示。
在图1中,整个云安全体系包括多个自治的私有云,各私有云都连接到含有分析处理中心服务器的公共云。云安全体系中的每个用户都是监测探针,同时也是整个体系的组成部分。当私有云A中用户1受到病毒威胁时,首先协同私有云A内的其余用户共同判断威胁的类型,如果存在于私有云A内已知病毒库,将在更短时间找出解决方案并发送给本私有云内的其他用户。各结构不同的私有云通过公共云互相通信,也能在第一时间获取对同一类威胁的防御能力。系统检测流程如图2所示。
改进后的云安全体系使每个用户成为具有自主运算能力的探针,提高了受病毒攻击用户的防御响应能力,安全性更强。同时,充分利用了云安全体系中每个用户空闲的运算能力,只需为每个用户安装云计算客户端和相关病毒库的扩充,就可使每一个用户分布式协同完成病毒方案,降低了云安全中心的集群服务器负载;各私有云与公共云互联通信,保证整个体系的稳定运转,也降低了整个体系的运行维护成本,才可能实现“感知即破解”信息安全防御效果。
5云安全系统实现的关键技术
5.1云数据存储技术
为了保证高效、高可靠性的云安全系统,通常对数据进行分布式存储,使用冗余存储技术保证存储数据的可靠性。同时,云安全系统能够为大量用户提供功能强大的病毒特征库数据,要求数据存储技术要有高吞吐率和高传输率的特点。
5.2云数据管理技术
云安全系统中的数据管理技术能够高效的在海量数据中查找特定数据、确保数据的安全性,如数据隔离、数据加密及密钥、身份认证和访问管理,保障用户信息的可用性、保密性和完整性等。
5.3虚拟机安全技术
云安全系统利用虚拟化技术模糊云端分析处理中心与用户端的界限,为用户提供隔离的安全防护。虚拟机安全、虚拟网络安全以及Hypervisor的安全问题都会直接影响到云安全系统的健壮性。目前已有的虚拟机安全架构有Hypervisor架构sHype、可信虚拟机监视器TVMM、入侵检测系统Livewire等。
5.4先进的病毒识别算法
云安全系统通过分布式计算所能判断的病毒代码多数是已知类型的变种,必须采用更加先进的病毒识别算法,实现对未知威胁的自动判断。借鉴自主学习的模式识别原理,与其他安全软件的算法融合,形成具有自主学习判断能力的病毒识别算法,增加对未知安全威胁的自适应能力。
云计算安全防护篇3
【关键词】云资源池;网络安全;设计
随着当今时代互联网技术的不断发展,网络安全问题已经成为今前时代在一个重要问题,网络安全问题不仅关系到群众个人隐私权,更关系到个人财产安全。分析网络安全问题,做出有效解决方案,在保证网络安全的同时,促进互联网技术发展。
1云资源池网络环境面临的威胁
1.1窃取服务
云计算资源池分为公有与私有两种环境,公有云计算资源池有弹性计费特点。在这种弹性计费模式下,黑客可以对虚拟层漏洞进行攻击,使系统管理程序出现错误,从而窃取服务,占用他人资源。因为虚拟机调度机制并未检察跳读自身正确定,这也给他人窃取服务一个可乘之机。
1.2拒绝服务
在诸多攻击手段之中,拒绝服务攻击属于常用攻击手段,以消耗系统资源为目的,属于耗尽资源类攻击。遭到攻击的计算机网络,很可能就此瘫痪,在系统资源完全耗尽时,计算机网络就无法正常服务。
1.3僵尸网络
僵尸网络攻击是一种针对网络的攻击方式。攻击者通过传播僵尸程序感染大量主机,从而控制多个网络,这样就可以在无授权的情况下访问资源池。在僵尸网络控制之下,攻击者还可以通过控制病毒主机,隐藏自身身份,让人很难追踪与检测。
1.4代码攻击
恶意代码自身并不能攻击,但是自身存在隐患。对计算机网络来说,所有无意义代码均是恶意代码,病毒、木马和垃圾邮件等都属于恶意代码。在攻击者注入恶意代码之后,可以处理相关服务,获得访问权限,窃取用户数据,因为资源池属于虚拟化,这也导致恶意代码威胁越发严峻。
2云资源池目前存在的缺陷
2.1缺乏统一标准
云计算技术从互联网技术孕育而来,许多云端公司为了提高使用便捷性,调整防火墙等技术,进而威胁网络安全,使其安全无法得到保障。这与我国网络信息安全至今没有一个规范的标准体系有关。
2.2安全漏洞较多
当前云计算技术在不断发展,人们在享受互联网带来便利的同时,同样难免存在很多安全漏洞。云计算底层架构存在着诸多安全问题,这也使得在基础上云计算的安全性无法保证。如果有不法分子发现漏洞,就会导致用户信息和数据的泄露,甚至遭到黑客攻击,所以在云计算环境当中,安全漏洞较多这一问题也成了网络安全风险中最重要的一项。
2.3稳定性差
因为云计算技术具有扩张性,导致连接的终端和节点较多。在扩张时,如果其中某一节点出现安全风险问题,则对数据的源头也会造成一定的安全威胁,因此也就导致近年来电子商务用户的个人信息泄露事件。
2.4人权限模糊
用户在云资源池都是使用自己的网络身份运行,相对应的有一个资源人,其拥有较高权限,可以在云端修改资料、修改个人信息或进行其他操作。但是在这种高权限情况之下,往往会出现一些问题。因为在当前云资源池定义不准确,对于资源人职权也不明确,这种权限甚至可以修改或删除云端资源,威胁网络安全。
3云资源池虚拟环境下的网络安全设计
3.1设计安全架构
设计网络安全机构主要保证云资源池的不同网络设备安全与网络端口安全。安全技术架构主要从业务接入层、网络中心层、入口层、端口层等四个角度来分别提出安全要求以及提供解决方法。(1)接入层主要负责防御病毒攻击、评估主机风险、控制主机接入、对业务进行管理、防止网页被篡改。(2)核心层有着防火墙功能、检测外部入侵。(3)接入层负责管理客户端,不仅控制客户端访问,防御病毒攻击,对攻击行为进行回溯。(4)网络出口层有着防御DDOS攻击、防御IPS入侵。
3.2网络安全区域设计
为了方便虚拟服务器的日常维护,确保其服务器性能,就需要设计网络安全区域,做好计算、存储、接入隔离。充分结合工业以及信息化部对电信业务安全域划分建议,按照业务保障原则、分级保护原则、简单化原则,将其划分为不同区域,然后实现流量分隔。将业务区域划分为多个安全等级,然后在每个等级下面划分为虚拟服务器。
3.3网络安全防护设计
云资源池网络安全防护包括了两个方面,主机安全以及数据安全。(1)主机安全内容是虚拟机承载环境,该环境当中包括虚拟机的宿主机还有管理模块,在主机内容当中,应该进行安全加固,本着“安全最小化权限”原则,降低安全风险,检测入侵。(2)数据安全方面,云资源承载平台,需要完成网页保护、进行数据库安全审计、控制异常流量、防御攻击。在业务接入层有着防止网页被篡改的功能,有效保护内部云客户网站,将防篡改功能布置在接入口,防止网页服务器被恶意篡改或者在篡改之后及时恢复。
4维护云资源池网络环境安全的措施
4.1硬件防护
在对该问题进行研究时,首先应该考虑到对硬件防护安全的必要,同时认识到硬件层面的防护是网络信息安全防御第一道长城。对于硬件防护措施,还需做好优秀的管理制度:工作人员如果发现电脑被感染病毒或者出现系统瘫痪、数据泄露等危机时,切记一定要及时汇报并保护现场。另外,所有的办公用计算机都要安装杀毒软件,不能自行关闭或擅自卸载防火墙。
4.2应用程序防护
在当今云资源池技术不断发展,逐渐将服务模式分成了三种,并且其中各有差异,在网络架构和技术层面都有着极大差异,但是服务商所生产的应用程序却是无论有什么差别,最后都将是交给用户使用,这也是云计算技术的共同点。无论服务模式的差别还是架构差异,但都无法避免技术漏洞。比如:在SaaS服务模式中,首先需要将应用程序上传到云端,供用户选择。然后用户根据自身需要下载程序,然后下载完成之后自行安装程序。在这个环节之中,如果原本应用程序有病毒,那么用户在下载之后病毒就会自动安装,造成严重的安全问题。想要解决这种问题,就需要管理者自身加强投入,选择更有实力和技术的第三方,并且检查上传的应用程序,保证云端应用程序的安全。另外,还可以让相关技术人员对部分应用选择远程操作,隔离保护相对应的终端机。
4.3智能防火墙
在整个网络安全问题上,防火墙在其中起着不可或缺的作用,过去传统防火墙往往是被动防守,这样就会有一定安全漏洞,而不法分子可以针对这种防火墙缺陷进行研究并实施针对攻击,最后威胁网络安全。而技术革新之后的防火墙,不仅可以做到被动防御,还可以自行下载补丁修复自身安全漏洞,加强防护能力。为了确保云计算安全技术可以进一步提升,技术人员需要对防火墙技术进行不断研究,助力我国网络安全事业发展。
4.4构建安全协议
现在网络公司安全防护级别不同,同时国家在网络安全方面也没有相关规定,这就要求各个网络公司自行根据情况完善问题,使其更加标准,可以使各个企业自行建立安全协议,统一防护程度。对于各种不同网络安全问题,各个企业可以使用技术共享来解决问题,提升云计算网络防护能力。对各种不同级别的网络安全技术,协议还需保证其统一,除此之外,政府部门还可以将目前企业合作的安全协议作为参考,结合实际,根据未来形势,制定出更规范的网络安全制度。
4.5数据备份
移动设备不仅方便了生活,但也给外界造成了影响,导致用户数据丢失,甚至导致无法修复用户数据,这也就要求企业进一步强化数据备份技术,借助云端上传或备份一些数据内容,保证用户资料安全。在云资源池中,网络信息复杂,移动设备很容易受到外界影响,基于这种情况,为了保护用户数据,可以借助互联网进行备份,分析数据,保护资料。
4.6实名认证
在当前时代,计算机网络认证技术十分常见,比如用户在购买机票或火车票的时候需要进行实名认证,在多数情况下,办理银行业务的时候,也需要进行实名认证。简而言之,实名认证技术可以最大限度保护人员的个人财产与个人信息。在现阶段而言,互联网已经得到了大范围普及,在当前时代不断发展,电商范围不断扩大的时代背景之下,身份认证技术必然得到广泛应用。4.7更新杀毒软件电脑系统因为设计问题所以会存在漏洞,如果用户没有及时安装系统补丁,那么就会造成安全漏洞,造成数据丢失或损坏,在安装系统补丁时,需要更新杀毒软件,并且及时检测计算机,保证电脑处于安全的网络环境。除了服务商提供安全保护,用户也应该注意不浏览有安全隐患的网站,确保计算机网络安全,建立网络安全部门,严厉处罚网络犯罪,营造绿色网络环境。
云计算安全防护篇4
关键词:云环境;等级保护;安全部署
中图分类号:TP309
1背景
云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规模的共享虚拟IT资源池,为远程计算机用户提供“召之即来,挥之即去”且似乎“能力无限”的IT服务。同时,云计算发展面临许多关键性问题,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。
2003年,中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。在信息系统等级保护的建设工作中,主要包括一下几方面的内容:(1)进行自我定级和上级审批。(2)安全等级的评审。(3)备案。(4)信息系统的安全建设。(5)等级评测。(6)监督检查。
2云计算环境下的等级保护要求
在国家等级保护技术要求中,对物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复提出要求。在传统安全方案针对各项安全要求已经有较成熟解决方案。在云环境下安全等级保防护方案,还属于比较前延新兴技术,其核心至少应覆盖以下几方面内容:
2.1云服务安全目标的定义、度量及其测评方法规范。帮助云用户清晰地表达其安全需求,并量化其所属资产各安全属性指标。清晰而无二义的安全目标是解决服务安全质量争议的基础。
2.2云安全服务功能及其符合性测试方法规范。该规范定义基础性的云安全服务,如云身份管理、云访问控制、云审计以及云密码服务等的主要功能与性能指标,便于使用者在选择时对比分析。
2.3云服务安全等级划分及测评规范。该规范通过云服务的安全等级划分与评定,帮助用户全面了解服务的可信程度,更加准确地选择自己所需的服务。尤其是底层的云基础设施服务以及云基础软件服务,其安全等级评定的意义尤为突出。
3云计算安全关键技术研究
解决云计算安全问题的当务之急是,针对威胁,建立综合性的云计算安全框架,并积极开展其中各个云安全的关键技术研究,涉及内容如下:(1)可问控制;(2)密文检索与处理;(3)数据存在与可使用性证明;(4)数据隐私保护;(5)虚拟安全技术;(6)云资源访问控制;(7)可信云计算
4云计算面临的主要安全问题
4.1虚拟化安全问题。由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次,可以使客户在一台计算机上安全地同时运行多个操作系统,所以严格限制任何未经授权的用户访问面临着安全的问题。
4.2数据集中后的安全问题。用户的数据存储、处理、网络传输等都与云计算系统有关。如果发生关键或隐私信息丢失、窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计,对数据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境所面临的安全挑战。
4.3云平台可用性问题。用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
4.4云平台遭受攻击的问题。云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
4.5法律风险。云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至不同国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
5虚拟服务器的安全防护
5.1云系统防火墙。在云系统数据中心环境中需要部署很多应用系统,各个云及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战:传统硬件安全设备只能部署于物理边界,无法对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制。
因此,云系统防火墙应增强虚拟环境内部虚拟机流量的可视性和可控性,可以随时随地为用户提供虚拟环境内部的全方位网络安全防护。云系统防火墙应采用统一安全云控制引擎、基于应用的内容识别控制及主动云防御技术,实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。可用于针对主机及应用的安全访问控制。跟传统物理防火墙相比具有不受环境空间的限制,各云端节点采用同构可互换等架构措施,源服务器隐藏在云防火墙后面,云防火墙应支持用户服务器在任意位置。同时云防火墙具有带宽聚合优化能力。云防火墙网络拓扑示意图如下:
5.2云系统威胁与智能分析系统。传统入侵检测系统(IDS)是利用交换机端口镜像技术,在需要被监测服务器所在交换部署引擎入侵检测引擎,对攻击服务器数据包进行分析和提供告警事件。云系统威胁检测与智能分析系统(简称TDS),除具备原有IDS全部软件功能和技术特点外,TDS由在云环境下,应增加检测能力,特征检测、精确检测算法以及基于基线的异常检测为一体,使其可以检测到云系统环境更为复杂的攻击;TDS还应具备以前产品所不具备的智能分析能力,通过对事件的智能分析,帮助使用者找到真正具有威胁能力的事件,大大降低用户的运维工作量,使威胁处理成为可能。同时,提供了对网络和重要信息系统的威胁态势分析,帮助决策者实现针对当前威胁态势的安全建设决策。
5.3云系统漏洞扫描。传统漏洞扫描系统发现是操作系统、网络设备、安全设备、中间件、数据库存在安全漏洞,对云系统平台和云设备常规漏洞的自动发现还处于空白。云系统漏洞扫描需要支持云安全配置或虚拟机漏洞检测,同时云系统漏洞扫描产品继承现有传统环境下的漏洞库,可实现虚机上承载操作系统、应用漏洞扫描。云系统漏洞扫描的体系架构如下图所示:
5.4云系统审计。云系统审计系统主要由数据中心和审计引擎两部分组成。数据中心对外提供管理接口,主要负责对审计系统进行管理,配置审计策略,存储审计日志供用户查询和分析。云审计引擎的工作基础为审计策略,设备内置捕包、解析、响应模块,捕包模块负责对网络数据包进行捕获和重组,并根据预置的审计范围进行初步过滤,为后续解析做好准备;解析模块利用状态审计、协议解析等技术,对网络数据包进行分类过滤和解析,然后依据审计规则对重要事件和会话进行审计,同时也会审计数据包是否携带关键攻击特征。审计事件、会话和攻击均会提交至响应模块,响应模块负责根据审计策略对此进行响应,包括将审计日志上传至数据中心进行存储、发送事件到实时告警界面进行告警、对关键威胁操作进行阻断,也能通过邮件、Syslog、SNMP信息的方式将审计日志发送给其他外部系统。
5.5云系统防病毒系统。云系统防病毒系统应支持在云系统环境下对各种主流操作系统内的病毒以及木马等进行查杀,从而保障云系统环境下的各虚拟应用主机的安全性和稳定性。云系统防病毒系统支持以虚拟机的形式部署,可工作于云系统平台内部,实现云系统平台下的防病毒功能,通过云管控系统实现自动部署。使用全网智能管理功能,网络管理员可以快速制定每台云系统主机的主动防御规则,部署针对性的防挂马网站、防木马策略,从而在最大程度上阻止木马病毒、挂马网站的侵袭。
6结束语
尽管基于云计算环境的安全建设模型和思路还需要继续实践和探索,但是将安全内嵌到云计算中心的虚拟基础网络架构中,并通过安全服务的方式进行交互,不仅可以增强云计算中心的安全防护能力和安全服务的可视交付,还可以根据风险预警进行实时的策略控制。这将使得云计算的服务交付更加安全可靠,从而实现对传统IT应用模式的转变。
云计算环境等保安全整体解决方案,是依托自身对于传统安全防护的优势,结合云环境的安全特点,有针对性执行相应的防护,其整体解决方案的重点是以安全管控为核心,以虚拟环境状态监控以及云计算环境下维护管理的合规控制为主要的管理目标,实现集中监控和管理;对于具体安全防护手段,提供云系统漏洞扫描,提高云环境的整体安全健壮性,实现自身安全性的提升;同时支持在虚机环境上部署审计产品,加强虚拟流量的协议分析,明晰虚拟环境流量传输状况和具体的操作协议内容,对虚拟环境内部的流量进行可视化呈现。通过上述解决方案提高云计算环境安全性,确保业务的正常运行。
参考文献:
[1]《信息系统安全等级保护基本要求GB/T22239―2008》.
[2]《公共基础设施PKI系统安全等级保护技术要求GB/T21053―2007》.
[3]《云计算安全关键技术分析》.张云勇等主编.
[1]朱源.云计算安全浅析[J].电信科学,2011,26.
云计算安全防护篇5
【关键词】云计算云安全安全防护
云计算是当前发展十分迅猛的新型产业,是产业界、学术界、政府等各界均十分关注的焦点。云计算将计算任务分布到由大量计算机构成的资源池,从而使用户能够根据需要获取计算能力、存储空间和应用,这样不仅使用户能够更加专注于自己的业务,也有利于提高资源利用效率、降低成本。正如Internet的革新使大众可以访问信息,云计算也在对信息科技做着同样的变革。它不仅是互联网技术发展、优化和组合的结果,也为整个社会信息化带来了全新的服务模式,将对人类社会生活带来重大变革[1]。
虽然云计算产业具有巨大的市场增长前景,但它在提高使用效率的同时,为实现用户信息资产安全与隐私保护带来极大的冲击与挑战。安全问题已成为云计算领域亟待突破的问题,其重要性与紧迫性不容忽视。
一、理解云计算
云计算是传统计算机技术和网络技术如网格计算、分布式计算、并行计算、网络存储、虚拟化、负载均衡等技术发展融合的产物,是一种新兴的网络商业模式。在云计算模式下,软件、硬件、数据等资源均可以根据客户端的动态需求按需提供。
云计算不仅是一种技术,更是一种服务模式。普遍认为云计算的服务模式可以分为三类:软件即服务,平台及服务以及基础设施及服务。这三类服务模式被认为是云计算体系架构的三个层次,但他们在技术实现上并没有必然的联系,SaaS可以在IaaS的基础上实现,也可以在PaaS的基础上实现,也可以独立实现;类似的,PaaS可以在IaaS的基础上实现,也可以独立实现。从SaaS到PaaS到IaaS的服务模式变迁中,客户或租户可以对更多的资源有着更多的安全控制。
云计算作为一种全新的商业模式,它改变了计算分布或分配的模式。根据计算分配模式的不同,云部署模式分为四种:公共云,私有云,社区云和混合云。这四种模式解决了诸如池化云资源这类广泛存在的问题。从公共云迁移到社区云以及从社区云迁移到私有云,客户或租户可以对更多地资源有着更多的安全控制。云模型如图1所示[2]:
三、云计算面临的安全问题
云计算服务基于宽带网络特别是互联网提供,面临各类传统安全威胁,且安全问题随系统规模化而被放大。另一方面,云计算与传统的计算模式相比具有开放性、分布式计算与存储、无边界、虚拟性、多租户、数据的所有权和管理权分离等特点,同时,云中包含大量软件和服务,以各种标准为基础,数据量庞大,系统非常复杂,因而在技术、管理和法律等方面面临新的安全挑战。此外,云计算系统中存放着海量的重要用户数据,对攻击者来说具有更大的诱惑力,如果攻击者通过某种方式成功攻击云系统,将会给云计算服务提供商和用户带来重大损失,因此,云计算的安全性面临着比以往更为严峻的考验。与传统IT安全比较,云计算特有的安全问题主要有以下三个方面:(1)云计算平台导致的安全问题。云计算平台聚集了大量用户和数据资源,更容易吸引黑客攻击,而故障一旦发生,其影响范围多,后果更加严重。此外,其开放性对接口的安全也提出了更高的要求。另外,云计算平台上集成了多个租户,多租户之间的信息资源如何安全隔离也成为云计算安全的突出问题。(2)虚拟化环境下的技术及管理问题。传统的基于物理安全边的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。另外,云计算的系统如此之大,而且主要是通过虚拟机进算,一旦出现故障,如何快速定位问题所在也是一个重大挑战。(3)云计算这种全新的服务模式将资源的所有权、管理权及使权进行了分离,因此用户失去了对物理资源的直接控制,会面临与服务商协作的一些安全问题,如用户是否会面临服务退出障碍,不完整和不安全的数据删除会对用户造成损害,因此如何界定用户与服务提供商的不同责任也是一个重要问题。
四、云计算安全防护
4.1基础设施安全
云数据安全包含的内容远远不只是简单的数据加密。数据安全的需求随着三种服务模式,四种部署模式(公共云、私有云、社区云、混合云)以及对风险的承受能力而变化。满足云数据安全的要求,需要应用现有的安全技术,并遵循健全的安全实践,必须对各种防范措施进行全盘考虑,使其构成一道弹性的屏障。主要安全措施包括对不同用户数据进行虚拟化的逻辑隔离、使用身份认证及访问管理技术措施等,从而保障静态数据和动态数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。
4.3虚拟化安全
虚拟化的安全包括两方面的问题:一是虚拟技术本身的安全,二是虚拟化引入的新的安全问题。虚拟技术有许多种,最常用的是虚拟机(VM)技术,需考虑VM内的进程保护,此外还有Hypervisor和其他管理模块这些新的攻击层面。可以采用的安全措施有:虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM进程监控、VM的安全迁移等。
4.4身份认证与访问管理(IAM,IdentityandAccessManagement)
IAM是用来管理数字身份并控制数字身份如何访问资源的方法、技术和策略,用于确保资源被安全访问的业务流程和管理手段,从而实现对企业信息资产进行统一的身份认证、授权和身份数据集中化的管理与审计。IAM是保证云计算安全运行的关键所在。传统的IAM管理范畴,例如自动化管理用户账号、用户自助式服务、认证、访问控制、单点登录、职权分离、数据保护、特权用户管理、数据防丢失保护措施与合规报告等,都与云计算的各种应用模式息息相关。
IAM并不是一个可以轻易部署并立即产生效果的整体解决方案,而是一个由各种技术组件、过程和标准实践组成的体系架构[3]。标准的企业级IAM体系架构包含技术、服务和过程等几个层面,其部署体系架构的核心是目录服务,目录服务是机构用户群的身份、证书和用户属性的信息库。
4.5应用安全
由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来了很多挑战。云计算的应用主要通过Web浏览器实现。因此,在云计算中,对于应用安全,尤其需要注意的是Web应用的安全。要保证SaaS的应用安全,就要在应用的设计开发之初,制定并遵循适合SaaS模式的安全开发生命周期规范和流程,从整体生命周期上去考虑应用安全。可以采用的防护措施有访问控制、配置加固、部署应用层防火墙等。
五、结束语
本文针对云计算安全风险进行了深入的分析和探索,提出了一些较为合理的安全防范措施。但是,云计算安全并不仅仅是技术问题,它还涉及标准化、监管模式、法律法规等诸多方面,遵循已有的最佳安全实践可以加强云计算的安全。
参考文献
[1]中国电信网络安全实验室.云计算安全技术与应用.电子工业出版社.2012
云计算安全防护篇6
【关键词】云计算可信平台设计
云计算技术的基础是虚拟化技术,其计算不处于本地计算机以及远程服务器中,而是分布在众多的分布式计算机上,用户能够通过自身需要,选择适当的计算机或者存储系统。使用云计算模式能大大节约计算成本,仅需向云计算服务商支付一定的费用就可以避免购买复杂的软、硬件,通过互联网能够实现存储以及计算。但是,在此过程中出现了一系列问题,例如用户资料外泄等安全事故,同时窃听、干扰、篡改等安全隐患普遍存在,由此可以看出云计算的发展首先就要解决这些安全风险问题。为了解决以上安全问题,可信计算TCG技术被提出,利用密码机制建立信任链,从而从根本上解决安全问题。
1可信平台模块的概念
可信平台主要是由CPU、I/O、非易失性储存器等部分组成,计算机对于嵌入式可信终端开展度量,而后记录度量信息,除了可信平台对于平整性度量的度量和报告外,还具备加密以及用户身份的认证。密码生成器是可信平台模块中的重要组成部分,同时密码生成器是由加密算法引擎、HMAC引擎、随机数生成器等部分组成。首先由HMAC引擎生成随机密码,然后由HMAC引擎根绝实现数据以及命令流出现错误时的传输情况来确认数据的准确性。
2建立可信平台的必要性
当前计算模式已经从大型计算机处理转变为网络分布式处理,并在此基础上发展为以需求分配的云计算模式,对于用户来说,云计算就是一种满足自身需求的服务,能够让用户在使用虚拟资源的时候不受时间、空间的限制,同时能够快速的处理计算问题。但是云计算技术毕竟刚被提及,目前还处在发展阶段,所以不可避免的出现了众多安全问题。云计算中的数据是处在云端当中,因此对数据难以实现完全的控制,所以服务商必须采取强有力的安全措施来保障系统安全,云计算安全问题基本能够概括为以下方面:访问控制、攻击检测、完整性、物理技术防范、多个子因素、恢复、实施、隐私机密性、不可否认性、安全审计。由此可见云计算安全工作具有全面性和复杂性,必须尽快解决。
3云计算环境下存在的安全挑战
首先是使用云计算技术的企业,应该注意自身业务的安全性,强化风险管理意识。其次是身份与认证管理,云计算的目的是为了使各个服务商之间保持良好的合作关系,所以应该根据服务商之间的差异做好身份与认证管理,特别是与外国企业开展合作的时候。然后是服务与终端的完整性,安全性是云计算的生命线,因此对于云计算服务的拓展应该从安全性、兼容性、完整性出发,将终端的完整性作为重点的工作目标。最后是信息保护方面,信息保护应该建立事前、事中、事后全面的信息反馈机制。然后通过不同时间段的信息采取相应的措施进行保护。
4可信接入安全技术分析
虽然在云计算环境当中用户能够将数据资料存放在服务商的平台上,便于访问,但是这种网络形式具有开放性以及复杂性,对于云计算的安全保障提出了更高的要求。从长远来看只有解决了云计算的安全问题,才能保障云计算技术健康发展。对于云计算的可信接入也是计算机技术主要的研究目标。纵观当前对于云计算环境的安全防护措施主要从两方面入手:第一,在传统软件当中设置防火墙;第二,更换硬件设备以达到安全防护的目的,但是最为有效的依然是可信计算技术,其核心理念就是将改变传统被动的防御模式,而采用积极主动的防护模式。可信计算技术的定义为:将可信作为系统运转的原则,将数据信息的通信控制在安全范围内。其计算模型的原始架构是在私人平台上增加隐身和信任功能,同时可信计算模型满足分布式环境下云计算的安全需求,因此具备可行性。以往的安全接入方式包括微软的网络接入保护NAP、TCG的可信网络连接技术TNC以及思科网络准入技术NAC。NAP平台的特点是能够以校验的方式分析接入网络的安全性,对不符合标准的用户设置权限;TNC基于可信计算技术将TPM的可信度量以及可信报告融入到网络连接系统的建设当中,从而能够控制网络访问;NAC能够在系统接入网络之前,就对系统的安全级别给予评价,隔离安全性不稳定的网络系统并且设置访问权限。由于云计算本身的技术难度较高,所以其风险也存在复杂性,仅依靠软件难以实现有效控制。因此有必要利用硬件芯片以及可信计算的技术支撑,然后建立TCB保护用户以及基础设施等,不仅要进行完整性度量,还要以云计算对身份以及软件进行可行性证明。
5云计算的数据安全研究
数据安全是云计算系统安全保障的核心内容,不管是何种云计算服务,都要首先保护数据,避免数据出现流失和被窃。对于数据安全保障的方法主要有以下几点:第一,数据的传输要采取加密的方式,尤其是公共云的情况下,虽然非安全的传输协议难以保障数据的完整,但是能够使数据具有保密性,当数据不处于加密状态时,就容易发生流失和泄露;第二,由于云计算应用数据与用户数据存储在一起,用户没有专用的数据平台,因此就容易当混合数据被访问时,用户的数据就会被窃,尤其是PaaS以及SaaS,把关键的数据信息存储在公共云之外,能够有效避免数据泄露,如果存储到公共云中,则要提前做好加密措施,以区分关键信息与其他用户信息;第三,云计算的储存具有恢复的功能,当用户删除数据后,如果被他人恢复,同样会造成数据泄露,因此服务商要保证用户擦除数据之后不会有残留数据。同时还有服务商向用户提供的系统文件、数据库记录等,都要保证不会被他人恢复盗取信息。
6结语
综上所述,本文首先研究了当下云计算环境下的安全隐患,然后引申出建立可信平台的必要性,即将可信计算技术与云计算有机结合。另外安全协议是网络安全的基本保障,总的得来说将可信计算技术融入云计算当中,能够较大程度提高云计算下的系统安全和稳定。
参考文献
[1]耿姝,刘鑫,刘荣军,方连众,陈刚.基于全同态加密的云计算安全方案的研究[J].中国新通信,2014(1).
[2]朱宪超.浅析云计算中的信息安全[J].科技风,2013(23).
[3]李建礼,夏红.云计算环境下个人信息管理的思考[J].农业图书情报学刊,2013(12).
【云计算安全防护(6篇) 】相关文章:
季度工作总结范文(整理4篇) 2024-06-11
转正工作总结范文(整理10篇) 2024-05-21
数学教研组教学总结范文(整理10篇) 2024-05-20
幼儿园大班的工作总结范文(整理4篇 2024-05-15
班主任家访工作总结范文(整理4篇) 2024-05-15
慢病工作总结范文(整理7篇) 2024-04-28
学习委员工作总结范文(整理10篇) 2024-04-23
新生儿护理知识讲座总结(6篇) 2024-06-17
云计算安全防护(6篇) 2024-06-17
如何进行高效阅读教学(6篇) 2024-06-17