云安全

云安全（共12篇）

云安全 篇1

中国的移动互联网用户规模、业务模式已经跑在全球浪潮之巅, 但对安全的敬畏和研究还处于学习阶段。现时的互联网公司还裸奔在安全体系之外, 新兴的“工业4.0”、“互联网+”浪潮又将更多的传统公司推向互联网, 在互联网业态发生巨变的关口, 政府应该如何建立相应的互联网安全体系?

面对中国经济全球化、网络化趋势, 既要提高被动防御能力, 也要抓制度建设。在制度层面, 决策层需要加快信息安全立法进程, 推进法律法规和数据开放保护制度措施, 加强侵犯隐私的惩戒力度, 国家、企业建立安全预警平台, 及时识别网络安全的重大风险。

还应建立国家信息安全等级保护制度, 建立云计算、大数据环境下的信息安全认证审查机制和安全评估体系, 开展定级备案和评测等工作, 加强安全风险分析, 及时有效处置威胁信息安全的突发事件。

资深互联网法律专家林华则认为, 对安全的监管和立法分为两种:一种监管是为了加强国家控制, 一种监管是为了增加公众安全。而中国目前只做了前一种。

支付宝和携程事件备受质疑的一点在于, 事件发生以后, 二者都没有及时向外界详细披露技术故障的前因后果、产生了什么影响、未来改进方向等。这与亚马逊、微软、谷歌等大型国际互联网公司的成熟做法相差甚远。详细及时向外界公开信息, 其核心出发点在于, 需要给用户信心, 披露得越详细, 给社会的想象和争议空间越小。

此外, 这也是规避在美国法律体系中已经十分成熟的“集体诉讼”风险。在欧美等发达国家, 一旦有互联网公司出现网络故障或安全事故导致用户权益受损, 消费者往往选择通过集体诉讼的方式保护权益。

近两年来, 阿里巴巴、联想、聚美优品、兰亭集势等互联网公司都在美国遭遇过集体诉讼。美国的大型互联网公司也普遍遭遇过集体诉讼。近期, 一桩针对雅虎非法拦截由非雅虎邮箱发送至雅虎邮箱用户的邮件内容的集体诉讼被裁决。

裁决称, 自2011年10月2日以来, 凡是曾经向雅虎邮箱用户发送过或收到其发出的电子邮件的消费者, 根据美国《联邦储存信息保护法》 (SCA) 有关涉嫌侵犯隐私的规定, 均可作为原告提起集体诉讼。初步估计, 有集体诉讼资格的用户将超过百万。

在美国, 集体诉讼可以较低成本获得较大赔偿, 也能使诉讼者得到更为全面的解决办法, 更是倒逼互联网公司主动从根源上重视网络安全、尊重用户数据、主动改善用户体验的最佳方式。但在中国, 消费者诉讼企业一直处于弱势的局面, 更没有完善的集体诉讼制度和习惯。在互联网边界越来越宽的今天, 中国企业需要建立起对用户数据的足够尊重, 尽可能将安全问题扼杀在摇篮期。

云, 让这个时代变得更加无所不能, 也让所有人都在地图之外航行, 没有前人的标示和灯塔。无论是监管层, 还是产业链各方, 是时候动手解决安全问题了, 如果不解决, 可以预见:技术将倒退, 产业将停滞。

云安全 篇2

据介绍，瑞星安全浏览器最大的特点是：安全、快速、个性化。该软件拥有最全的恶意网址库，最新的云安全引擎，可有效阻截木马攻击、入侵及网络诈骗，与瑞星全功能安全软件、瑞星杀毒软件、瑞星防火墙等产品一同成为您安全上网的必备工具。

除了安全特性之外，瑞星安全浏览器使用了自主设计研发的全新技术构架，在大幅提升上网速度的同时，可以有效防止浏览器频繁出现的崩溃、假死现象，给用户带来更流畅的上网体验。同时瑞星安全浏览器提供了丰富的起始页为用户提供导航、搜索、热门新闻等功能一键浏览，

依靠瑞星公司多年专业信息安全经验和成果，“瑞星云安全”深度集成于浏览器之中，可以拦截过滤挂马网站和钓鱼网站；通过瑞星安全网址给广大用户提供日常上网的安全途径，安全网址中的全部网址均经过瑞星检测。

瑞星安全专家介绍，目前的网络威胁是多元化的，用户上网时在看网页、下载、游戏、网络支付时都可能面临不同的风险。瑞星安全浏览器正是在用户上网入口处，给用户提供了一道安全门，使用户访问到安全的网址。从而，与瑞星杀毒软件、防火墙、手机安全软件等产品形成了一整套个人信息安全完整解决方案。

点击阅读更多学院相关文章>>

喧闹的云安全 篇3

这一概念一经推出，很快得到业界的热烈追捧。2008年7月，国内安全厂商瑞星在推出“瑞星卡卡6.0”时，也放出了自己的“云安全”计划。

瑞星的“云安全”是通过在用户客户端安装软件监控网络申软件行为的异常，将发现的疑似木马、恶意程序最新信息推送到瑞星的服务器进行自动分析和处理，然后再把病毒和木马的解决方案分发到每一个客户端。当时瑞星此时的“云安全”计划还只是个雏形，本质上是安全厂商普遍釆用的病毒样本自动上报分析系统的进一步发展而已，到了2008年10月，瑞星又推出了其“云安全”2.0版，此次瑞星在其软件中加入“挂马网页”的自动诊断和收集模块，由此瑞星的“云安全”形成了比较完整的体系。而在2009年，瑞星将推出其“云安全”3.0版，在这一版中，主要工作会集中在扩大“云安全”的客户端量和对获取数据进行挖掘处理。

两种云安全概念采用的是两种完全不同的模式。前者强调的是阻止外来威胁，基础是庞大的服务器群；后者强调的则是对用户计算机上业已存在的未知威胁进行感知，基础是必须拥有大量的客户端用户。

作为后来者，卡巴斯基、江民、金山也纷纷在发布自家2009杀毒软件的同时，将“云安全”纳入宣传的重点，其技术要点则基本与瑞星相同。

业界一直有人认为“云安全”纯属一种概念炒作，因为其实现的基础基本都是已有技术，而纯粹从反病毒技术角度并没有显著进步。其实，“云安全”并不是一种反病毒技术，而更应该被理解为一种安全架构的理念。

利用“云安全”架构，杀毒软件能够更快地收集病毒样本，更快地对病毒进行处理，并能在网络威胁到达用户电脑前就对其进行阻止，反病毒的效率大大提升。另外，虽然传统的病毒防范模式具有一定局限性，但准确度和处理质量的优点也很突出，很多安全厂商通过添加启发式分析、主动防御、入侵侦测防御系统等安全模块，有效提升了其局限性。因此，2009年“云安全”技术将走向全面产品化和大规模推广阶段，并且会和基于在PC上的传统的病毒防御技术结合，构建一个由内而外的立体防御体系。

云安全技术研究 篇4

关键词：云计算,安全技术,管理服务

0 引言

云安全是确保云系统能够正常运行的关键技术, 为云计算和云存储等核心应用提供了安全保障。云计算安全与传统安全有着相同的目标, 保护数据信息的安全和完整;保护云计算使用对象, 保护计算、网络、存储的安全性;采用类似的安全技术, 比如边界防护技术、加解密技术、安全检测技术等。同时, 云计算和传统安全也存在一定的差异。在机密性、数据完整性、访问控制、身份认证、可信性、防火墙配置安全、虚拟机安全等方面都有了新的安全要求[1]。

传统的应用安全是通过边界的安全, 如防火墙、网关等来实现。但是在云环境下, 采用“云——终端”模式, 用户不知道硬件设备放在哪以及具体接入的方式。云环境实际是一个虚拟的环境, 这种情况下虚拟机之间存在着访问控制的问题, 即如何保障这些虚拟机的安全。通过把传统的硬件防护的产品虚拟化, 使得像过去的物理防护产品一样, 通过对虚拟环境下的应用, 实现云计算的安全防护。

针对云安全技术目前的发展和应用, 采用了针对性强的安全防护措施, 多层次、多角度, 从安全技术、安全管理、安全服务和法律法规以及当前的电力系统研究和应用的情况出发进行阐述, 为云安全建设和发展提供一种解决思路。

1 背景介绍

1.1 云分类和云安全现状

云计算按照应用的种类分为私有云、公有云和混合云3 种模式。在国家电网的云平台中涉及很多公司和个人保密信息, 云平台多采用私有云或者混合云模式来保障云安全[2]。

私有云 (Private Cloud) 将云基础设施与软硬件资源创建在防火墙内, 以供机构或企业内各部门共享数据中心的资源。创建私有云, 包括硬件资源和软件资源, 常用的商业软件有VMware的v Sphere和Platform Computing的ISF等。

公有云 (Public Cloud) 是云计算的主要形态, 通常指为所有用户提供的能够共同使用的云平台、云存储、云服务、云应用等。 公有云一般可通过Internet使用, 用户通过申请使用云基础设施、资源和服务。外部用户通过互联网访问服务, 并不拥有云计算资源。公有云的最大特点是免费和成本低廉。现在公有云在电信基础设施运营商、互联网公司等都有很广泛的应用。

混合云 (Mixed Cloud) 是云目标架构中私有云和公众云的结合。由于安全需求不同和应用等原因, 并非所有的企业信息都能放置在公有云上, 通常把企业的保密信息放在私有云上, 非保密信息放在公有云上, 这样模式的云计算称之为混合云模式, 即同时使用公有云和私有云。

不同类型的云涉及的安全问题侧重点不同, 但在目前的研究情况下, 总体来说云安全还处于起步阶段, 存在很多问题。

1.2 云安全问题分析

1.2.1典型层次架构

云计算的一种典型架构是从下至上分别为物理层、虚拟层和服务层 (见图1) 。物理层存放的是物理设备, 包括计算、存储等设备, 为云计算提供最基本的计算和存储能力;虚拟层主要存放虚拟机, 把物理资源虚拟化后提供给服务层;服务层主要对用户提供服务 (基础设施即服务、平台即服务、应用软件即服务) 。

1.2.2 物理层安全

物理层安全是整个云计算系统安全的基础, 主要包括服务器和存储介质等物理设备。由于云计算所引起的服务模式变革, 导致云租户的数据都要在云计算中心物理层进行计算和存储。大量的复杂计算和数据存储以及对用户隐私进行保护, 是物理层安全主要关注的问题。

1.2.3 虚拟层安全

虚拟层主要以虚拟控制器和虚拟机形式为服务层提供服务。对下控制物理层设备的工作, 对上为服务层提供用户接口。虚拟机运行在一个相对隔离的层, 把物理层的资源虚拟化提供给调用服务层服务的用户, 在一种安全的工作方式下隔离用户端和物理设备, 使之不相互干扰。但是云计算共享资源的特点决定了虚拟层也有很多安全威胁和隐患, 主要在于虚拟机资源的安全使用以及虚拟网络的互联和管理维护上。

1.2.4 服务层安全

服务层实现了对资源的服务化抽象。将各种应用进行封装形成服务, 如基础设施即服务 (Infra-structure as a Service, Iaa S) 、平台即服务 (Platform as a Service, Paa S) 、应用软件即服务 (Software as a Service, Saa S) 。按照提供服务的不同, 存在的安全需求也不同, 包括基础设施安全需求、平台安全需求、应用软件安全需求[3]。由于云服务为不同用户提供不同服务, 因此服务层需要维持大量的用户和资源的映射关系, 而处理各种复杂的映射关系给云计算平台引入了新的安全威胁。

1.3云安全规范

目前主要的云安全标准机构有:ISO/IEC第一联合技术委员会 (ISO/IEC JTC1) 、国际电信联盟—电信标准化部 (ITU-T) 、美国国家标准技术研究所 (NIST) 、区域标准组织 (美国) CIO委员会、欧洲网络与信息安全管理局 (ENISA) 、开放式组织联盟 (The Open Group) 。2011 年谷歌、Verizon、英特尔、Mc Afee、微软和Savvis加盟云安全联盟 (Cloud Security Alliance) 创建了一个自愿项目, 该项目会提供有关合作企业是否遵守该联盟推荐的云安全规范的公共信息。

虽然有很多相关标准规范在不断提出, 但是还没有真正的统一标准规范被多数业内的云服务提供商采用。云服务提供商倾向采用了自己所认可的准则, 现有的各种协议缺少统一规范, 对云计算的长远发展带来了不利影响。

1.4 云安全研究目标

1.4.1 可用性

云计算需要具有高可用性, 确保平台无中断运行, 拥有有效的故障系统诊断组件, 具有强的无闲置冗余性和容错性, 实现数据的备份和恢复, 以及对数据保护和防数据丢失。解决计划内日常错误维护操作或计划外系统崩溃所导致的停机问题, 提高系统的可用性, 主要涉及存储技术、网络技术、系统技术、数据库及中间件技术、数据中心技术、虚拟化技术等方面内容。

1.4.2 可靠性

云服务可靠性主要遵循三大设计指导原则:数据的完整性、容错能力、快速恢复。云计算设计可靠性随着云计算应用的持续增长, 对于实用服务可靠性的希望也越来越高。为了避免导致应用程序失败的故障造成整个系统的灾难性错误, 减少那些可能导致巨大损失的安全事件的发生概率。分布式数据库、分布式计算是解决可靠性问题的有效方式。

1.4.3 隐私性

云计算环境下, 用户数据直接在云端计算与存储, 数据的所有权与管理权相分离, 带来了云环境下数据和隐私的安全问题。隐私安全性直接影响了用户对云的信赖和使用程度。现阶段, 云计算数据和隐私安全防护技术主要有对数据进行加密、敏感数据过滤和隔离等。

2云安全措施研究

基于安全防护总体架构, 本文提供了云安全一系列的防护措施, 从云外部到云内部解决云安全现有的问题。

2.1 边界防护

云边界的安全防护基于云边界识别的基础之上, 可以借助传统网络的边界防护技术实现云的边界防护。

2.1.1 身份认证系统

为了提升云计算系统的安全性, 应采用多种组合的鉴别技术对用户进行用户身份鉴别, 如用户名/ 口令、动态口令、安全插件、物理设备、生物识别技术、数字证书等身份鉴别技术都是目前身份鉴别的有效手段。

采用数字签名技术 (MD5、SHA–1 等) 保证通信数据的完整性, 系统检测鉴别信息、传输数据在传输过程中完整性是否受到破坏, 并在检测到完整性受破坏时采取必要的恢复措施, 恢复原始数据。系统采用日志记录结合数字证书或其他技术实现为数据原发者或接收者提供数据原发或接收证据的功能。

2.1.2防火墙、网关

防火墙 (Fire Wall) 部署在云边界, 对云内部是一个保护屏障, 用于隔离云环境和非云环境, 或者私有云和公有云等。在云内部和云外部之间部署安全网关 (Security Gateway) , 从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4 个功能部分组成。安全网关主要用来阻止非法用户的访问。为了提高云边界安全, 还可以采用计算机硬件和软件结合的方式。

2.1.3 准入安全

云端控制终端设备接入安全通过在云端远程进行接入设备身份认证和管理。 可以采用IEEE802.1X协议等网络准入控制手段实行准入控制, 采用IP与MAC地址绑定等手段以防止网络地址欺骗, 采用较为安全的SSH、HTTPS等进行远程管理等措施。

准入控制的设计强调对交换机端口的控制, 但与网络兼容性较差。在用户使用终端接入前, 会将终端隔离在虚拟局域网中。只有在进行完身份认证后, 才将终端改放在应属的虚拟局域网中。在端口下挂Hub等情况下, 则无法实现对非法终端的虚拟局域网进行隔离, 应避免该情况发生。

2.1.4 跨区域使用安全

电力二次系统通常分为等级不同的4 个安全区域:安全工作区、实时控制区、非实时控制区、生产管理区[4]。相应的云资源也会存放在不同的地区、不同的安全域, 用户访问节点也可能会不断移动, 在访问过程中就跨了多个安全域。于是访问控制机制必须同步适应不断变换的网络环境, 采用适合的访问控制策略, 如角色访问委托等[5]实现外域角色与本域角色的映射和转换, 这是保障跨域安全使用的有效方式。

2.2 平台安全

平台安全与否直接关系到云计算的有用性和可靠性, 影响到整个系统有多少用户愿意使用。以下从几个方面来阐述平台安全建设的内容。

2.2.1 数据存储安全

云存储系统为云计算系统提供统一的安全存储服务, 云用户无需知道数据存储的物理位置和存放方式, 只是按使用权限调用云存储系统的数据。云计算中云存储系统提供包括数据处理、存储、资源使用等服务。每个用户根据权限进行范围内的操作, 禁止冒充和越权。用户的数据在云计算系统传输过程中, 数据存放在云存储系统中, 数据之间没有物理隔离, 所以不同用户的数据都要通过加密等方式存储。同时要实现在可信用户间共享数据, 所以需要有安全机制来保证共享安全性, 让存放的云端数据安全可靠[6]。

2.2.2 数据传输安全

在数据传输方面, 传统的企业数据中心中保存了大量代表企业核心竞争力的私密数据, 如企业的客户信息、财务信息、关键业务流程等, 这些数据是企业的核心数据, 对安全性要求较高。在云计算模式下, 这些核心数据通过网络传递给云服务提供商进行处理, 传输过程中的主要问题是如何确保企业的数据在网络传输中不被窃取、修改、破坏, 甚至即使被窃取也不会泄露企业的有用信息, 关键技术包括身份识别技术和数据加密传输技术进一步的发展和应用, 在网络传输过程中对用户进行严格的身份认证和权限管理, 使用数据加密技术用以确保合法的数据访问和该过程中完整的数据传输。

2.2.3 虚拟安全

云计算通过在其部署的服务器存储网络等基础设施之上搭建虚拟化系统以实现高密度、大数据量的云计算需求, 虚拟化技术的出现让用户使用边界都变得模糊, 给用户身份认证等问题带来困难, 另外产生了很多利用虚拟机产生的安全风险, 如伪造虚拟用户、虚拟机镜像文件泄露、虚拟网络攻击、虚拟化软件漏洞攻击、虚拟化用户认证等安全问题。

虚拟化作为云计算实现的一种特征, 虚拟化安全最重要的是虚拟化系统软件安全, 保护虚拟化软件环境安全, 保护虚拟化程序的运行安全、可信性, 阻止病毒、木马和漏洞等。同时需要进行虚拟化应用程序和虚拟化数据的隔离, 采用虚拟策略驱动加强、分割与隔离, 划分管理等级、服务等级并按等级和使用情况计费。采用包括加密、认证和访问控制等技术保障虚拟机、虚拟化网络的通信安全以及虚拟数据的安全迁移等。

2.3 数据库安全

数据库安全关系到存储信息的保密性, 是云安全非常重要的部分, 主要包括数据管理和使用安全、数据存储安全等内容。

数据管理与使用安全是对数据库管理用户的身份认证。包括制定普通用户和管理员用户安全策略和管理策略、口令管理的相关安全策略、用户管理策略、用户访问控制策略, 合理分配用户权限。

数据存储安全包括敏感的口令数据非明文存储, 对关键敏感的业务数据加密存储;提供本地数据的备份与恢复, 数据定期备份, 备份介质应当场外存放和异地备份;在环境发生变更时或定期进行备份恢复测试, 以保证所备份数据可恢复。

2.4 脆弱点扫描

脆弱点扫描分为系统弱点扫描、软件弱点扫描和网络设备弱点扫描等。

系统弱点扫描是使用弱点扫描工具定期对系统漏洞进行扫描, 保证漏洞的及时发现和处理, 应采用最新的漏洞扫描引擎工具, 及时更新漏洞库, 智能检测系统漏洞, 采用第三方应用软件漏洞和相关安全设置, 并帮助用户手动或自动修复漏洞, 实现漏洞的自动修复, 不仅简化了用户的操作, 同时也能更加及时帮助用户在第一时间安装补丁, 杜绝安全隐患。

定期对应用程序软件进行弱点扫描, 扫描之前应更新扫描器特征代码。弱点扫描应在非核心业务时段进行, 并制定回退计划, 对于运行状态的应用, 弱点扫描策略不能选择拒绝服务攻击类及应用服务端口缓冲区溢出类。及时同步更新已发布的核心安全补丁, 根据扫描结果的危害, 及时修复所发现的漏洞, 更新补丁之前应当在测试系统中进行测试, 并制定详细的回退方案。

2.5 系统安全加固

针对系统扫描出的弱点和漏洞, 还可以根据安全建设等级的需求进行安全加固。加固应在非高峰业务时间进行, 并制定回退计划, 完成加固后应再次采用弱点扫描工具进行系统扫描, 直到系统符合加固标准和要求。

3 云安全管理与服务

3.1 安全管理策略

云安全管理根据管理用户的角色分配权限, 实现管理用户的权限分离, 仅授予非管理员用户所需的最小权限, 操作系统特权用户不得同时作为数据库管理员。严格限制默认账号的访问权限。针对管理员的权限要求限制管理员账号的数量和权限、使用操作等。常规操作采用一般用户账号进行, 仅在必要时采用管理员账号进行操作。对所有用户都要启用权限的日志审计功能, 监控和记录其操作行为, 并对违规行为进行报警和阻断。

3.2 资源控制

采用网络管理系统或其他资源管理系统对重要服务器和主机的CPU、端口、硬盘、内存和其他资源使用量的运行状态进行监测。当使用水平降低到设定最小值以下和超过最大值以上时报警, 整合协调资源的使用, 从而提高云资源的使用率和运算效率。还要限制单个用户系统资源的最大使用量, 常用的方式包括采用磁盘限额等方式。

3.3 安全审计

在云计算模式下, 用户和企业的安全审计通常有云服务提供商提供, 在确保不对数据信息和相关计算带来风险的前提下由第三方信任机构提供必要的服务支持, 来满足用户和企业的数据信息和计算安全的审计需求, 以确保提供安全有效的云计算服务。

3.4法律法规和安全监管

云安全不只是一个技术问题, 还包括法律法规约束、标准规范的制定和安全监管。这是一个需要政府和供应商以及企业用户、个人用户共同努力解决的问题。

云计算作为一种新的IT运行模式, 监管、法律、法规的建设均比较滞后。从云安全建设的长远发展角度来看, 法律法规体系建设、安全监管制度建设与技术体系和管理体系同等重要。

1) 法律法规。目前中国针对云计算安全的法律法规制度不健全, 保密规范欠缺。这意味着很难对所有规划、操作和标准等进行合法合规的追踪监控, 主要包括安全责任的鉴定和取证、个人数据保护、隐私保护、信息安全的管理、电子签名及电子合同、取证法规、资源跨地域存储的监管等。

2) 安全监管。云安全监管需求主要有云计算平台安全监管、云计算平台网络流量监控、攻击识别和响应、传输内容监管、非法信息传播者监管、云计算平台运行监管、云安全系统测评及其标准监管等。

4 研究应用

云计算系统在国家电网公司已经开始了研究和开发应用。国家电网公司信息通信分公司在2010年8 月建立了电力云仿真实验室, 2011 年开始致力于云计算的云服务器、云柜、云存储、云集装箱、云网络、云终端等产品等基础设施的开发与建设和云操作系统、云虚拟化软件、云数据存储软件、云安全软件、云文件系统、云数据挖掘软件等云计算软件的研究开发[7]。隔离技术、虚拟化技术、加密存储技术等在保障云计算平台安全方面已经开展了一定应用。

5 结语

本文从云计算的层次结构的特征分析出发, 对云计算安全问题进行了分析, 阐述了云安全的主要技术方向、云安全服务管理和目前在国家电网公司进行的云计算研究应用。安全问题作为云计算应用最受关注的问题之一, 随着云计算的发展不断进化, 正在成为具有挑战性的研究课题。

相信云计算的“落地”工作不会遥远, 在不久的将来云安全作为云计算的可靠保障, 能够真正确保云计算为广大用户提供有效、便捷、可靠、稳定、安全的服务, 给人们日常工作和生活带来真正的实惠。

参考文献

[1]俞能海, 郝卓, 徐甲甲, 等.云安全研究进展综述[J].电子学报, 2013, 41 (2) :371–381.YU Neng-hai, HAO Zhuo, XU Jia-jia, et al.Review of cloud computing security[J].Acta Electronica Sinica, 2013, 41 (2) :371–381.

[2]路致远, 赵明字, 储毅, 等.基于云计算的电动汽车运营服务平台设计[J].华东电力, 2013, 41 (1) :152–156.LU Zhi-yuan, ZHAO Ming-yu, CHU Yi, et al.The design of EV`s service platform based on cloud computing[J].East China Electric Power, 2013, 41 (1) :152–156.

[3]肖红跃, 张文科, 刘桂芬.云计算安全需求综述[J].信息安全与通信保密, 2012 (11) :28–32.XIAO Hong-yue, ZHANG Wen-ke, LIU Gui-fen.Overview of cloud computing security[J].China Information Security, 2012 (11) :28–32.

[4]王利塞, 杨明玉, 孙月琴, 等.电力云研究综述[J].电力信息化, 2011, 9 (5) :20–23.WANG Li-sai, YANG Ming-yue, SUN Yue-qin, et al.Power cloud research summarization[J].Electric Power IT, 2011, 9 (5) :20–23.

[5]袁家斌, 魏利利, 曾青华.面向移动终端的云计算跨域访问委托模型[J].软件学报, 2013, 24 (3) :564–574.YUAN Jia-bin, WEI Li-li, ZENG Qing-hua.Delegation based cross-domain access control model under cloud computing for mobile terminal[J].Journal of Software, 2013, 24 (3) :564–574.

[6]谭武征.云安全存储解决方案[J].信息安全与通信保密, 2012 (11) :147–149.TAN Wu-zheng.A safe solution for cloud storage[J].China Information Security, 2012 (11) :147–149.

云安全 篇5

（Cloud Computing Expo）

（世界上最大最专业的云技术设备及云安全展览会之一）

一，展览时间：2018年5月9日-11日（每年一届）二，展览地点：日本

东京有明国际展示中心

三，展品内容：

此展是当今世界专业的云技术设备、云安全技术及设备贸易展览会，专业性极强。

四，展览会数据：（每年一届）2017届

云技术设备是日本IT周的其中一个子展：日本IT周总展商数量超过1，700家展商 2017届云展展商数量：365家展商（80%以上展商都是连续数届参展）

（此专业主题展同期举办日本最大的数据中心(存储)设备、信息安全、软件发展、嵌入式系统、网络数据市场、移动解决方案、IOT、电子商务等专业主题展，2017届日本IT周的总展商数量为1，654家展商，观众数量超过98，285人次）。

五，展览会介绍：

此展由当今世界英国著名的励展展览公司举办，励展公司已经将日本本主题展办成了极致，此展是当今世界最大、最专业的云技术设备纯贸易展览会之一，自创办以来，每年一届，每届的展会面积展商数量和观众人数都以35%的比率上涨，已经发展成为东亚乃至世界最著名的专业展览会之一。

该云主题展览会于2017年才正式引入中国，是中国相关企业开拓日本及全球市场，扩大出口的绝佳平台。展会聚集了来自世界众多国家的优秀云技术设备的供应商，展览会只针对专业观众开放，专业观众数量也是逐届高比率上涨，展览同期还举办其他相关IT主题展会及专业论坛会议。历届展商有：甲骨文、AMAZON、CANON IT SOLUTIONS、NEC JAPAN INC、HITACHI SOLUTIONS、日本电报电话公司NTT、PANASONIC SOLUTION、IBM、TOSHIBA CORPORATION等等众多行业内的国际知名公司参展。

当时世界上的贸易展览会都在向更专业化的方向发展，只有展览会在行业具有极强的专业性，对于展商来说才会有更好的实效性，保证展商和观众的绝对专业性，实现卖家与买家间的直接对接，保证贸易的成功率，（至于参加那些巨大型的综合类展览会的意义已经成为仅仅是凑人气和图热闹了）。

我们的这个展览会正是符合了极强的专业性这个关键点，非常适合这个产业内的积极企业参展。联系人： 曹力

***

趋势科技“云安全” 篇6

时下，一个非常美好的云时代已经来临。然而，在我们为这更加便捷的时代欢欣雀跃的时候，还有一部分人也在欢欣雀跃，这一部分人是病毒的始作俑者，他们利用美好云的时代来获取他们偏激的利益。如何确保云的安全使用，成为云计算发展的“护卫兵”。

“云”变“雨” 的隐忧

2011年2月和7月亚马逊的“简单存储服务”（SimpleStorageService，简称S3）两次中断，导致依赖于网络单一存储服务的网站被迫瘫痪。亚马逊解释服务中断是鉴定请求的数量增多造成的，S3问题阻止了新虚拟机在计算云上的注册，以至于有些虚拟机无法启动。对这些处于初创期公司的用户黏性还不大的企业来说，网站瘫痪的损失极易动摇他们的信心。让人们对云计算的可靠性产生了实质性的担忧。

2011年7月，被认为将要取代微软Office等传统应用程序的GoogleApps（在线办公应用软件）中断服务，用户的文件只能“呆”在“云”中；8月，Google的云计算服务出现严重问题，Blogger和Spreadsheet等服务均长时间当机，Gmail服务两周内三次停摆，不满的用户纷纷到Twitter网站上发出抱怨。经Google调查，这主要是因为Gmail所用的联系人系统存在储运损耗问题，从而导致Gmail邮箱无法正常下载数据。

云计算模式下，所有的业务处理都将在服务器端完成，服务器一旦出现问题，就将导致所有用戶的应用无法运行，数据无法访问。由于网络工程师的及时修复，解决云故障的时间并不长，然而足以作为一个对云计算的警示。毕竟这些云服务的规模十分庞大，在出现问题之后，很容易导致网民对于云计算模式的怀疑，动摇用户对云服务的信心。由此可见，如果云计算的可靠性和安全性的软肋不能很好解决的话，云计算的普及仍有很长一段路要走。

安全在“云端”

从理论上讲，云计算的强大数据运算与同步调度能力，可以极大的提升对新威胁的响应速度，同时第一时间将补丁或安全策略分发到各个分支节点。

对于传统反病毒厂商而言，云计算的引入可以极大的提升其对病毒样本的收集能力，减少威胁的响应时间。企业在恶意代码收集及应急响应方面也应当充分利用云计算的特征，在全球范围部署的蜜罐和网格计算的紧密结合，可以及时应对网络中不断出现的新型攻击行为，为其规则库的及时更新提供有力的支持。

实施安全云计算的前提是快速高效的收集用户的安全威胁。通过云计算的实施数据分析，来响应用户的安全需求。那么如何快速准确的收集用户的异常信息，成为安全云计算实施的第一个难题。

在云计算中提供大规模可升级的处理、存储和带宽的能力将要求以新的方式和由新的服务提供商向用户提供安全控制和功能。

目前，云计算还只是处于初级阶段，存在着许多安全风险，并不是要劝说用户不要使用云计算。对用户而言，更重要的是在云计算下增强安全意识，清楚地认识到风险，并采取必要的防范措施来确保安全。

“云”的反病毒技术

反病毒技术和云计算的技术，在服务端云端进行结合形成了一个云安全的平台。主要流程是：从互联网收集样本→数据自动处理→将识别结果下发到用户。我们可以看到，在这个过程中，并没有涉及到对白文件的识别，系统收集到的是“恶意软件样本”。如此一来，最重要的问题出现了：假如客户端不能识别恶意软件样本怎么办？岂不是会导致新的样本根本无法在短时间内被收集呢？

这里引申到了一款杀软是识别“黑文件”还是“白文件”的问题，假如是识别黑文件，那么云安全的收集系统将和普通的本地反病毒技术没有什么不同，病毒仍然可以通过加壳免杀等手段避免被传统云安全收集到。而识别白文件技术就不同了，病毒不管怎么变种，只要与白名单不符，统统收集。这就杜绝了病毒依靠变种来避免被云安全收集到的隐患。

新的云安全技术，必然要引入“云防御”的概念，达到“秒级防御”，才能从根本上保证病毒无法入侵个人计算机，并且其他人同时得到云安全的防护。

云计算与云安全 篇7

“云”本来是一个人们再熟悉不过的名词了,但是当它与“计算”联系到一块时,却就衍变成了IT界一个复杂的新兴名词。有关“云计算到底是什么”的话题可能比天上的云还多。简单来说,云计算=Saa S+Utility Computing[1]。Saa S提供的是服务,而Utility Computing提供的是基础设施(硬件,OS,软件等)。云计算意味着计算资源的获得、处理、存储,信息传递和数据库都来自公司本身的四堵墙之外,而用户只需为自己使用的那部分资源埋单。在过去数年,这种计算模式也被叫做网格(Grid Net)或效用计算(Utility Computing)—在需要的时候接入它,就像使用电力网络或者自来水一样,并且只为使用的那一部分付费。同时,它的应用边际成功扩张到SOA、虚拟化、Saa S、网络服务等等领域。

二、云计算的特点与面临的问题

1、云计算有四个方面的重要特点

(1)它们都构筑于很多协议和标准之上;(2)云中有数不清的服务和软件;

(3)它们的获得可以通过各种设备;(4)云上数据存储可达海量。

2、云计算所面临的问题

尽管云计算有很多的优点,像非常好的实用性;很容易部署和配置;可以减小用户所用的资金;具有可以扩展的特性;能够实现资源共享。但也存在一系列的问题如下:

(1)敏感数据的登录——你能够保证服务提供商或它的其他客户不会登录其系统保留或处理的敏感数据吗?

(2)服务可用性———假设你的某些业务流程有一定的重要性,而这些业务流程要依赖你的云计算提供商所提供的服务。你需要确保他们能够提供极高水平的可用性(无论是运行时间还是性能),并确保提供商在无法满足SLA要求时能够对你进行相应的赔偿。

(3)容灾———一些超过人们控制范围的不幸的事情总会发生。你不遗余力地确保自己的业务能够在任何灾难发生后迅速恢复过来。你要确保自己的云计算提供商也能做到这一点。

(4)管理,风险与合规性———你将自己的信息处理外包给第三方,这没有关系:股东、客户和监管者仍期望你能够对自己的运营风险进行管理。如果有外部稽核,你要确保自己的云计算提供商愿意支持你对他们的运营进行稽核的权利。

三、云安全

1、云安全的概念

“云安全”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

2、云安全技术核心

实现云安全有六大核心技术:

(1)Web信誉服务。借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。

(2)文件信誉服务。文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉,检查的依据包括已知的良性文件清单和已知的恶性文件清单。

(3)行为关联分析技术。通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。

(4)自动反馈机制。云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。

(5)威胁信息总汇。

(6)白名单技术[2]。作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。现在的白名单主要被用于降低误报率。

3、针对云计算所面临的上述问题,对云安全提出了以下几方面的具体要求

(1)数据隔离

云计算环境中,全体用户的数据都处在共享环境里面。大部分公司都不希望自己的数据被云计算供应商看到。毕竟数据就是商业机密。但是这个问题比较棘手。当我们把贵重的物品或钱存到银行的保险箱里时,银行即使可以看到它们,摸到它们,也无法在不被客户发现的情况下拿走它们。拷贝实物或钱等于制造赝品或伪钞,更没有实际意义。而当我们把数据放到云计算平台中时,它们可以在我们完全不知道地情况下被简单地拷贝走,从而让原始数据失去价值。解决方案是数据加密。但加密并不能100%地保证数据不被解密。更何况加密对应用程序是一个很大的改动,是一件很消耗资源的工作。加密能够起一定作用,但远远不足。即便云用户得到了统一配发的密钥,如何对密钥进行管理又是一个难点。

(2)数据位置

在接受云计算服务时,用户们自己并不知道数据储存的位置,所以用户应当询问服务提供商是否按照隐私协议提供服务。

(3)数据恢复

用户需要询问服务商在特殊情况发生时是否有没有恢复数据的能力,以及恢复数据所需要的时间。当我们把数据放到某个云计算平台上时,我们必须有信心未来可以把数据出来。如果数据迁移的成本很高,我们就会担心数据被锁定在这个云计算平台上。这就好比是把钱存到某个银行很容易,但如果提出来很麻烦,或者手续费很高,我们存钱的时候就会有顾虑。解决办法是将数据接口的API标准化,不同的云计算供应商都要按这个标准提供数据进进出出的接口。换句话说,就是让存钱和取钱都十分方便。我认为这是十分必要的。但还不够。还需要第三方公司来做担保。当云计算供应商自身能力不够时(例如倒闭时),第三方公司可以保证我们仍然可以把数据搬出来。这和当银行倒闭时,客户存的钱由保险公司来返还是一样的道理。

(4)云计算的标准化问题

云计算的本质是为用户提供各种类型和可变粒度的虚拟化服务[3],而实现一个开放云计算平台的关键性技术基础则是服务间的互联、互通和互操作。网络的互联现在都是遵循统一的协议标准。

云计算下任何可用的计算资源都以服务的形态存在。目前,许多商业企业或组织已经为云计算构建了自己的平台,并提供了大量的内部数据和服务,但这些数据和服务在语法和语义上的差异依然阻碍了它们之间有效的信息共享和交换。如何制订更高层次的开放与互操作性协议和规范来实现云(服务)-端(用户)及云-云间的互操作十分重要。

四、结论

综上所述,在当今蓬勃发展的云技术环境下,离不开云安全。云技术的提出促进了云安全的研究;而云安全铺就了云计算发展之路。

参考文献

[1]王鹏.走进云计算[M].人民邮电出版社,2009.

[2]李虹,李昊.可信云安全的关键技术与实现[M].人民邮电出版社,2010.6.

高校云安全现状分析 篇8

随着国家在信息化发展和改革上力度的不断加大,各个高等院校意识到信息化发展的程度将直接影响到学校未来在教学、科研、管理等方面发展的快慢,所以近年来各高校投入大量人力物力提高信息化水平,比如建设学校网站、各部门业务系统、数据中心等。但是由于在建设初期缺乏顶层统一规划,各个部门分散建设,造成硬件设备重复购买,资源浪费。而一些阶段性应用强的系统,如教务选课系统、迎新离校系统,则出现硬件设备在大部分时间空闲,需要运行时,却又难以支撑高并发,无法正常提供服务的情况。同时,分散建设也造成数据孤岛、能耗增加、运维困难等一系列问题。

云计算则很好地解决了这些问题。使用虚拟化技术,可以对学校现有的计算资源、存储资源、网络资源进行统一的调度和管理,按需分配资源,提高了资源的利用率,确保满足每个教职工以及学生的需求,同时大大简化了运维难度。但是,云计算的应用也使校园网将要面临着全新的安全威胁和漏洞,传统的硬件安全设备以及安全策略已经不能够为云环境提供足够的安全保障,所以如何在为师生提供优质服务的同时,为数据安全提供良好保障成为了未来急需解决的问题。

2 云计算安全威胁

2.1 数据安全威胁

云环境下大量数据在云服务器中被集中存储和传输,这些数据包含着个人信息、财务数据、科研信息等。数据的集中存储有可能会带来巨大隐患,如数据被存储在不可靠的介质上、用户丢失为了确保数据保密性的加密密钥、未对数据进行定期及时备份等,这些情况均可能会造成数据泄露、数据劫持、数据丢失等严重后果。

2.2 账户劫持

在云环境下,如果合法用户的账号和密码被攻击者所获取,攻击者可利用盗取的账号做出各种动作,如窃取篡改机密信息、监听用户行为、作为跳板进行内部攻击等,严重威胁到云计算内部环境安全。

2.3 分布式拒绝服务攻击

分布式拒绝服务攻击将直接影响到云服务的可用性。尤其是在云环境下,租户客户端逐渐轻量化,客户端原本的计算任务,大幅度向云端转移,云端的流量会越来越大,这将会被大流量分布式拒绝服务攻击所利用。其次是云环境更加复杂化,随着业务环境虚拟化,从业务运作模式到运维管理更加灵活多变,不断产生新的不确定性,这些因素都可能为新的分布式拒绝服务攻击创造机会。

2.4 云服务滥用

云服务的便捷易得特性会被恶意用户所利用进行违法活动,他们可以以低成本利用云平台资源发送大量垃圾邮件、传播恶意代码、暴力破解密码、DDOS攻击、制造和管理僵尸网络等。如果不能及时正确地识别云服务被滥用的类型,云计算平台将难以为合法用户及服务提供应得的资源。

2.5 边界安全威胁

云环境下多租户将共享基础设施、平台以及应用程序,所带来的问题是难以保证良好的隔离性,以及共享技术中有可能会存在漏洞,这使得服务授权和访问控制变得更加困难和复杂。恶意租户可能会利用漏洞来抢占资源和攻击其他合法用户,非法获取资源和数据,造成了用户隐私数据的泄漏,损害了系统的可用性。

2.6 接口或API存在漏洞

云计算平台管理人员会利用接口或API对云服务进行配置、维护、管理和监控,用户会通过接口或API获取服务和资源。可以说,云平台的可用性、保密性、身份认证、访问控制、活动检测等均依赖于这些接口和API,但同时接口和API因为其开放性又往往是系统中最脆弱的部分。为了给租户提供更加丰富的增值服务,接口和API将变得更加复杂,一旦存在着安全漏洞,这些接口很可能被黑客利用,对系统的保密性、完整性和可用性造成破坏。

3 云平台安全策略

3.1 物理环境以及基础设施安全策略

3.1.1 物理环境安全

物理环境指存放系统基础硬件设备的机房,机房的建设应当遵循规范的建设标准,尽量避开容易发生地震、火灾等危害的地区。机房内部应当建立完善的灾害防御手段,如针对火灾,机房内部有灭火设备;针对停电,应当安装UPS、发电机等设备;针对电磁泄漏,应当采用屏蔽和抗干扰等技术;针对非授权访问,应当设置门禁系统等。

3.1.2 基础设施安全

基础设施指支撑云平台的硬件设备如存储、服务器和网络设备等。首先应当对硬件设备做好物理防护措施,如静电防护、电量冗余、防电磁辐射等。其次,应当建立云计算统一管理平台,该平台可以实时监控所有硬件设备的运行情况,统一管理调度资源。对服务器上安装的操作系统,应当及时更新漏洞补丁、查杀病毒、关闭不必要的端口和服务,同时管理员不使用弱口令并定期更换口令。

3.2 安全隔离策略

3.2.1 安全域划分隔离

将学校内部不同使用区域按照其具体应用安全需求和防护需求进行安全域划分,如生产域、教学域、管理域、办公域等。不同的安全域对应不同的安全等级,在不同安全域之间,使用防火墙进行隔离,设定相应安全域的访问控制策略,确保各个安全域之间不会相互干扰,以及内部安全性。

3.2.2 多租户隔离

不同与传统的物理网络环境,在云环境下,用户数据被集中存储、传输在云服务器上,传统的物理安全边界逐渐消失,基于传统安全域或安全边界的防护机制已经难以满足多租户模式,为了确保用户数据安全,引入了多租户隔离技术。可根据应用具体需求,采用物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的安全隔离,以保护每个租户数据的安全性。

3.3 身份认证和权限管理策略

3.3.1 身份认证

身份认证帮助应用系统识别授权和非授权用户,只有通过身份认证的授权用户才能访问系统、获取资源和服务,身份认证可以有效防范非法入侵等问题,确保合法用户及时得到应有服务,确保用户数据的保密性。

3.3.2 权限管理

可采取基础角色访问控制策略(RBAC)。通过身份认证确定不同用户的角色的分配,并赋予不同角色不同的管理和访问权限,实现对用户的分级管理,防止非法越权操作。

3.4 用户数据安全

3.4.1 数据分类存储

根据数据的保密需求、性能需求、使用频率等因素将数据进行分类,再将不同类型的数据分配给FC或SATA等不同类型的存储介质,这样可以提高数据的使用效率和数据的安全性,降低管理人员的运维难度和存储成本。

3.4.2 数据加密

对于数据加密,由于所有用户的数据都被存储在云端,为保证数据的保密性,云计算应为用户提供数据加密处理的服务。数据在存储时,用户可自行选择对重要数据进行加密上传,防止数据被非法获取。

3.4.3 安全传输

数据在传输时,可以使用SSL、IPSec、VPN等安全传输方式,确保数据的安全性和保密性。

3.4.4 数据备份与恢复

在存储数据的同时,应当同时考虑到数据丢失和损坏的风险,所以为了应对突发的故障或者灾难,对云端的数据备份变得尤为重要。首先可以对云端不同的数据进行安全等级划分,如公开数据、一般数据、秘密数据、绝密数据等。对不同的安全等级的数据采取不同的备份策略,如一般数据进行定期常规备份,秘密数据进行冗余备份,绝密数据进行一式多份和异地备份。对不同类型的数据采用不同的备份策略可以降低运维管理难度,提高效率和数据安全性。

4 结论

云计算平台作为一种全新的服务模式,在为高校用户提供便利服务的同时,也为运维管理带来了很多新的挑战。与传统模式相比,在云计算平台中资源和数据被集中存储和整合,这使得传统的物理边界不再存在,如何保证合法用户得到应有的服务,以及如何保护数据的安全性,成了在构建一个安全、可信、可靠的云计算平台过程中急需解决的问题。只有从基础架构安全、用户信息安全、运维管理安全等角度全面构建完整的防御体系,才能确保为用户提供一个高效、安全、可靠的云计算平台。

摘要：随着信息技术的快速发展,各高校为了更好地支撑教学、科研和管理,先后建设完成云计算平台。云计算作为一种全新的服务模式,其特点决定着它相比较传统的模式将面临很多新的安全风险,这些新的安全风险制约着云计算的发展,以及云计算平台服务的高效性和可靠性,但是这些问题不能使用传统的安全策略解决。介绍了云计算环境下面临的主要威胁,以及为了应对各种安全威胁,应采取的安全策略。

关键词：高校,云计算,安全现状,安全威胁,安全策略

参考文献

[1]张培晶,冉春风,顾益军.高校数据中心云计算平台安全研究[J].中国人民公安大学学报(自然科学版),2015(3):44-51.

[2]黄志宏,巫莉莉,张波.基于云计算的网络安全威胁及防范[J].重庆理工大学学报(自然科学),2012,26(8):85-90.

[3]冯登国,张敏,张研,等.云计算安全研究[J].软件学报,2011(1):71-83.

[4]姜茸,马自飞,李彤,等.云计算安全风险挖掘及应对策略[J].现代情报,2015,35(1):85-90.

云安全的基础服务 篇9

云计算,是传统计算机和网络技术发展融合的产物,它意味这计算能力也可作为一种商品通过互联网进行流通。云计算利用网络获取各种资源和应用服务,减少了硬件建设和维护成本,提高了资源利用率,实现了高效费比的数据存储和计算能力。

1云计算的安全挑战

云计算为人们带来利益的同时,风险也伴随同行。高度共享、 灵活访问与数据安全是云计算发展过程中不可回避的一对矛盾。 云计算的安全,成为一项比看上去更加复杂和艰巨的任务,也由此,云计算的安全服务成为云计算中不可或缺的一部分。

2云安全的基础服务

云安全的基础服务基于云基础软件服务层,为各类应用提供共性信息安全服务,是支撑云应用、满足用户安全目标的重要手段。云安全的基础服务包括以下四个方面。

2.1云用户的身份管理服务

云用户的身份管理服务包括用户身份的创建、注销和认证过程。在云环境中,身份的联合认证可以支持合作企业之间方便地共享用户的身份认证信息,这样不仅减少了用户的重复认证,更使得认证过程具有更高的安全性。

用户的认证不仅基于软件(口令或个人身份识别码),还可基于硬件,例如访问卡、专有网络证书等。用户输入他们的个人身份识别码,在经过验证后可以使用快速访问计算环境,但他们还要接受虚拟专用网和应用验证,才能访问最终的目的网站,这样的设计可以进一步保证用户的信息安全。验证的级数越高,用户的信息越安全,但是其成本也越高。

云计算里的用户验证并不单以人作为用户来开始,自动化的验证也在不断地发展中。但是,无论是由人验证还是由系统验证, 身份都是安全管理的核心。

2.2云访问控制服务

云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型和各种授权策略语言标准扩展后移植入云环境。在云计算环境中,各个云应用属于不同的安全管理域,每个安全域都管理着本地的资源和用户;当用户跨域访问资源时,需要在域边界设置认证服务,对访问共享资源的用户进行统一的身份认证管理; 对于共享的资源,必须制定一个公共的、双方都认同的访问控制策略。

2.3云审计服务

云审计服务是确保云中信息系统运行安全、管理安全的有效途径。云审计服务必须提供满足审计事件列表的所有证据以及证据的可信度说明。此外,云审计服务也是保证云服务商满足各种合规性要求的重要方式。审计数据对于检查系统合规性、判定安全风险、例行运维管理、监督用户行为等都具有非常重要的意义。

2.4云密码服务

云密码服务不仅为用户简化了密码模块的设计和实施,也使得密码技术的使用更集中、规范,更易于管理。秘钥是当前运用广泛的加密方式,分为私钥和公钥。

私钥加密,即信息的发送方和接收方使用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。公钥加密,需要使用不同的密钥来分别完成加密和解密操作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者则用私用密钥去解密。公钥机制灵活,但加密和解密速度却比对称密钥加密慢得多。公钥基础设施(PKI) 是通过把一半的加密密钥与另一半的解密密钥耦合起来,对系统进行用户和数据的验证。公钥由密钥形成,但密钥无法从公钥中推导出来。认证权威可在一个被称为公钥证书的数字签名文档中,记录用户或数据对其公钥的连接,可用于安全套接层(SSL) 客户机、服务器、电子邮件和其他场所。其中安全套接层是Netscape公司率先采用的网络安全协议,它是在传输通信协议(TCP/IP)上实现的一种安全协议。

Entrust公司的子公司即Cygna Com解决方案公司的创建兼首席执行官桑托什.乔坎尼说:“如果使用公钥基础设施和带有客户机验证的安全套接层的公共访问卡,将可在云计算中实现强大的验证功能。”通过专业的云密码服务,将为用户信息安全更增一道密码锁。

3结束语

企业共有云安全策略研究 篇10

云是互联网的一个隐喻,云计算指使用互联网来接入远端存储或者运行在远程服务器端的应用、数据或服务。Garnter公司在对云计算的调研中,70%的人认为云计算最大的问题是安全[1]。

值得强调的是,相关联的企业群集采用专有云模式有其在安全方面的突出优势。由于共有云平台运营商的集约化经营,使得安全更专业、安全成本更低[2]。这包括专业技术人员和安全专家、集中的补丁关注和辅助分发、更完备的动态可调度的安全资源(虚拟防火墙、DDOS清洗设备、IDP等设施)等。

这种IDC运营商提供的专有云,因其物理资源多租户共享而不同于企业私有云,同时因其客户群既有信任与协作关系,以及共享某些特定Saa S的要求,也有别于任意多租户公有云的安全特征。这种针对特定用户群体、集约化运营的云平台,称为“共有云”。

IDC运营商需要针对此种需求,建设企业共有云数据中心,契合此类企业集群的云服务需求,特别是打消企业的安全顾虑,使企业群体在共有云数据中心“安居乐业”。

2 安全问题分析(Security problem analysis)

2.1 数据中心的传统安全问题

数据中心的传统安全首先是场地基础设施和IT基础设施的安全问题,包括物理安全和设备安全。物理安全涉及进出入门禁、视频监控、安保防卫和抗震防汛等机房因素。设备安全问题来自设备的可用性,关注数据中心是否双电、双网、UPS配置等[3]。

其次是网络与应用所带来的安全问题,网络为用户访问提供传输与控制通道,而应用系统本身在云或非云环境中行为逻辑没有发生本质的变化,用户接入、网络攻击、网络病毒感染等已是必须纳入应对的标配安全问题,相应对数据中心提出的安全需求包括:防火墙、IDS/IPS、Anti-DDOS、传输安全(SSL VPN)等。

进而,部分数据中心托管用户对于其系统或生产数据,还有备份的安全需求;如果租用数据中心的存储资源,对存储资源的专用性、对存储数据的安全性都会有相应的要求。

2.2 Iaa S云安全问题

虚拟化技术、多租户业务模式和特权用户(云平台运营商系统管理员)问题使得Iaa S服务面临着更大的风险。

具体可分为四类问题:一是系统与虚拟化安全问题;二是网络与边界安全问题;三是应用与数据安全问题;四是身份与安全管理问题。

2.2.1 系统与虚拟化安全问题

在多租户环境下内存的动态分配对安全是一个威胁。许多高等级的攻击极有可能利用剩余信息通过复杂的技术来获得其他用户的敏感信息。如果云操作系统在将内存重新分配给用户时,不能对分配的内存作写“零”处理,就不能防止新启动虚机中或有恶意内存检测软件检测到其他用户有用信息的可能[4]。

概况之,从云平台的角度看,虚拟机是云计算操作系统的一个应用;而从虚拟机的角度看,Hypervisor就是原来的硬件层。因此,云安全的核心控制点在云操作系统,云操作系统需要安全可控。

2.2.2 应用与数据安全问题

Iaa S使用共享存储。存储系统创建逻辑卷,并维护逻辑卷与磁盘条带化之间的对应关系。Hypervisor(或称云操作系统)则建立和维护不同的虚机与后端存储系统逻辑卷之间的映射关系,并根据这个映射关系提供存储路由控制。如果云操作系统不是安全可信的,就不能保证不同虚机间的存储隔离,不能防止不同虚机之间逻辑卷的非法访问。

同时,应用与数据安全要求企业客户的诸使用者分权分域,“各行其道”,不能有权限使用不该使用的资源;如客户顾虑到云端数据有被运营通过非法挂卷等手段而窃取的可能,还会有磁盘加密的要求。

2.3 共有云的安全问题

多租户的企业间、租户与云平台运营商之间,因为具有所有制背景、业务合作或隶属等关系纽带,具有相当程度的熟悉与信任。这为许多企业出于安全考虑而暂避公有云但能接受共有云奠定了基础。同时,共有云的租户也同样具有对自身应用相互隔离、对于共享应用确保集群内高安全高可用的安全需求。

2.4内部Saa S应用可访问的问题

企业租户在共有云平台上架构自用VPC,也通过共建VPC来实现高安全共享的特定业务,要求通过统一的网络入口接入云平台,同时各连接在网络层的逻辑上相区隔。这要求通过虚拟化技术、地址空间对外不可达等实现多通道防护的传输安全、接入认证和接入可靠性。

3安全框架(Security framework)

基于系统考虑,安全框架包括安全技术、安全管理功能、接口安全和法规遵从四个方面。

这四个部分既相对独立,又有机结合构成共有云整体安全框架。其中安全技术覆盖了Iaa S云服务数据中心的物理场地、设备高可用、网络层、虚拟化层、数据与应用层五个部分。

3.1安全技术

针对不同层面的安全需求,结合共有云多租户所特有的既信任又相对独立、既资源共享却彼此隔离、私有应用为主公有应用为辅等特征,提出如表3所示的共有云安全技术应用的层次框架。

传统的应用于高标准数据中心的安全技术继续适用。同时,在构建虚拟化安全、应对共有云网络安全的高性能要求,以及对共有云多租户接入安全(传输、内网地址规划)方面有新的技术对策。

3.1.1虚拟化安全

虚拟化安全包括虚拟机安全(包括虚拟化防病毒、多因素的认证、应用程序保护等措施)和VM管理系统(VMM)安全。后者可细分为虚拟机可信、虚拟化条件下的轻量级代理甚至无代理的防病毒解决方案、虚拟化防火墙、Hypervisor加固、虚拟机隔离等。

数据中心云可信操作系统利用服务器上TPM芯片,提供云操作系统完整性保护方案,实现云操作系统的可信启动和可信运行。磁盘加密则实现虚拟机上用户卷的全盘透明加密解密。

为防止虚拟机之间的攻击,主要是防止VM的地址欺骗。Hypervisor中的虚拟交换机可将VM的IP地址和MAC地址绑定,限制虚拟机只能发送本机地址的报文,防止VM IP地址欺骗和ARP地址欺骗。

3.1.2安全设备

针对安全设备性能与高可用需求,可采用具有网络虚拟化功能的安全设备,将多台物理安全设备虚拟成一台逻辑设备,结合Vlan等隔离技术,提供既集约又可靠的安全服务。

3.1.3共有云接入

当前阶段,企业核心应用平台(云或非云)与企业总部、企业分支节点的接入方式有广域网专线和通过Internet接入两种。使用VPN进行加密传输是通用的选择。不同的企业采纳不同的VPN技术(如IPsec VPN+GRE;或SSL VPN/L2TP+IPSec)。随着企业信息化的深入发展,从企业集群角度看,将有多种VPN类型客户的认证方式和繁复的访问权限划分。结合共有云的建设,引导企业使用统一的VPN接入平台,规范并统一VPN用户的权限控制,统一接入认证的方式,将给企业IT日常维护管理带来极大方便,提升整个企业群体的安全水平。

3.2法律与法规的遵从

云服务供方和企业需方应满足日益复杂的法规要求,不论是行业标准,管理制度,或客户特定的要求。信息安全相关标准可参考表3。

4 结论(Conclusion)

未来经济对云计算能力的依赖,将像传统工业对电的依赖一样。企业云平台建设与应用部署时,客观上存在着诸多可复用或可集约的环节,企业在政策上也趋于更多地采购IT服务而非资产投资。更有意义的是,企业集群具有共同的上级监管部门或控股公司,或有相同的孵化器或产业协作链,从发展来看,其在业务上或职能上要求有标准统一、数据集中的大数据系统或联动的O2O服务模式。构建共有云服务平台,在企业群体相互安全可信、云平台安全架构完备的基础上,工业化的IT运营加互联网思维的业务耦合,云数据中心运营商必然大有可为。

安全宝 重新定义云安全 篇11

解决“三高”问题

提起瑞星，大家都会记得那个活跃在屏幕右下角的小狮子。从2000年~2010年的10年中，马杰一直在瑞星做安全产品，这个小狮子就是马杰和他的团队一起创作的。

在瑞星的后几年，马杰的主要工作转向成立一条新产品线——企业级防火墙。在研发的过程中，他开始感觉到现有安全产品的一些缺点，想做一些新的尝试。“但是对于一家成熟的安全公司，想引进一种全新的业务是有困难的，特别是这个业务会侵害到原本赚钱的产品线，任何老板都很难下决心去做。”马杰说，这也是新公司有机会的地方，没有包袱就不会有顾忌。

在马杰看来，传统的安全产品有“三高”的问题——产品价格高、安装代价高、运维成本高。这些问题使得用户要么用不起，要么买了产品维护不起。用得不好，自然安全的效果也不好。

“其实用户要的并不是买一个软件或硬件，而是安全的效果。安全本身更偏重于服务属性，用户并不关心过程。基于这样的考虑，我们应该还原安全的服务本质，不再给用户提供产品，而是利用云的方式直接提供在线服务，帮助用户达到安全的效果就好了。”马杰说，创立安全宝的初衷就是想用云的方式来为用户的网站提供安全防护。

那么，是什么让马杰想到云安全的想法呢？

“其实业内探讨云安全已经很久了，但是以往的云安全只是利用云做一些数据传输，‘云’得不够彻底。”在马杰看来，真正的云应该既没有软件也没有硬件，而是一个SaaS服务，所以他一直在思考，如何用云的优势弥补安全原有的缺陷。比如在云模式下，规模效应可以使为单个用户提供服务的成本降低，收取的费用也随之降低，这就解决了价格高的问题；对于安装困难、部署成本高的问题，安全宝提供了一套基于云的方案，可以做到零部署，只需在安全宝网站申请账号，做一些配置，就可以平滑无缝地接入服务；在运维成本方面，安全宝的用户没有运维成本，所有的服务器和配置、升级工作都由安全宝来负责，用户只管用就可以了。

洗牌新安全市场

10年前，大家的电脑还在裸奔，只有一小部分用户开始用杀毒软件。后来，一拨又一拨的病毒爆发教育了市场和用户，越来越多的用户对杀毒软件有了需求。Cenzic的数据显示，超过90%的Web应用存在安全漏洞；Gartner的报告也指出，信息安全攻击中有75%都是发生在Web应用层面上。

“现在人们对企业安全的重视程度很像当年病毒还没有大规模爆发之前的状况，都知道有病毒，也知道会造成损害，但是觉得跟自己切身的关系不大。”虽然安全宝成立的时间并不长，但马杰已经构思了很久。

2011年，马杰来到创新工场，那时他对云安全的构思还只停留在一个想法上，并不成熟。而创新工场对于马杰这样在行业内有一定经验的人，都提供了优惠的创业条件。因此，马杰一边担任创新工场的技术总监，帮助创新工场做技术方面的工作，一边打磨自己的创业想法。

2011年6月，马杰与原来瑞星的伙伴郑政一拍即合，组建了新的团队，安全宝也正式入驻创新工场，加速了孵化进程。2011年11月1日，安全宝产品发布，成为国内最早以云模式为网站提供安全服务的云安全公司。

安全宝云系统在累积黑规则的同时通过创新的智能自学习功能为Web应用建立独有的白规则库，积极地精准防护每个Web应用。让用户实现零部署、零安装、零维护、零代码修改，无需购买昂贵的软件、硬件，无需聘用昂贵的安全专家即可享受到安全服务。

随后，在国际TechCrunch大会创业大赛上，安全宝凭借创新的云安全防护技术，获得第二名，创造了TechCrunch历史上中国企业获得的最高名次。

今年4月，安全宝产品正式发布不到半年时间，已经有几个注册网站用户。“我们一直在做试测，几乎没有做过任何推广，顶多发发微博、开过一两次新闻发布会。”马杰认为，安全宝现在还没到做广告的时候，而是在产品的成熟过程中。一方面，让用户体验了解一下全新的安全模式；另外一方面，安全宝也可以测试当网络负载越来越多时，可能会发生的问题，以此不断完善。

电信云安全市场发展低于预期 篇12

安全成云计算关注焦点

近期, IDC研究员王培分析指出, 由于云计算的成熟, 数据中心的内部资源逐渐被虚拟化, 传统的基于物理隔离的防护机制难以有效保护基于虚拟环境的信息安全。涉足云计算的厂商纷纷大力提高云计算平台的可靠性、可用性和保密性, 以解决云计算的安全问题。

绿盟科技首席战略官兼云安全联盟中国分会理事赵粮今年也指出, 目前云计算面临的最大威胁包括:数据外泄、数据丢失、账号被盗、API不安全、拒绝提供服务、恶意知情人、滥用云服务、尽职调查不足、共享技术问题。

“云计算多租户环境、虚拟技术、动态性、数据迁移等综合因素导致数据安全和隐私保护面临更大挑战。”中国联通相关人士介绍。

在中国, 云计算近两年来也快速落地, 与世界其他地方一样, 云安全问题也是中国企业对云服务心存忧虑的核心问题之一, 企业在把信息存放在云中后, 就会面临着传输过程中泄漏、数据被盗窃或者破坏等问题。

此外, 云计算发展催生较多云服务, 但是却面临较大安全威胁。工信部电信研究院规划所副所长徐志发认为, 目前来看, 我国尚未建成一个云服务的安全标准体系和等级相关的平台考核体系, 也没有一个规范化的标准, 包括等级评估, 这需要整个行业来推动促进, 从而打消用户的对云服务安全防护的担忧。

中国市场发展低于预期

虽然中国云安全市场发展迅速, 但与发达国家相比, 中国云安全投资占总安全行业投资总量的比重依然较低, 低于市场预期。去年, 多位业内人士曾告诉《通信世界》, 看好2013年云数据中心安全市场的发展趋势, 预测今年随着各运营商大力建设云数据中心, 市场或有“井喷式”增长。

但是山石网科电信安全专家谭仪指出, 电信运营商的云IDC安全发展目前还是在传统IDC安全防护的基础上简单引入了虚拟化的技术, 甚至有些人认为简单虚拟化后就是云了, 因而云IDC安全发展还是处于初级阶段。

迈克菲北亚区技术总监郑林也表示, 目前许多云数据中心建设更关注基础架构调整, 从整个中国市场看, 现在数据中心安全项目非常多, 大部分项目集中在传统项目, 如防火墙、入侵防护等。

此外, 被业界寄予厚望的云安全服务则处于新兴发展时期, 针对中国客户的安全消费特征, 商业模式需要进一步完善, 在用户使用习惯方面还需要运营商和安全厂商共同宣传引导。最后业界企业除了提供包括终端、邮件、web方面的云安全服务, 下一步需推广更多丰富的Saa S服务。