對云安全的理解精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的對云安全的理解主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:對云安全的理解范文
終端因為其儲存著大量敏感數據,因而成為黑客和病毒制造者的攻擊目標。因為每個病毒碼被部署到1000臺終端至少需4小時,而終端直接面對企業的內部員工,且難以管理,所以導致終端成為企業網絡中最脆弱的一環。雖然利用云安全技術,對病毒的響應時間縮短了九成。但是,我們仍然十分有必要重新對終端安全的價值進行判斷和思考。
思考
網關安全能否代替終端安全?
如果說云安全的不斷升溫顯示了信息安全領域正在技術上謀求變革,那么這背后所隱含的意義事實上更加引人關注。
在之前的很長一段時間里,網關安全都是一種受到推崇的防護模式。由于在網關處部署防御體系可以過濾大部分通信內容,所以有大量的組織都將安全保護的重心集中于網關位置。
然而事實結果證明,過分依賴于網關防護而忽視了對組織內部計算機節點的保護,導致的結果仍舊是較低的安全性。云安全所帶來的對技術和功能的改進令人欣喜,而其對終端安全乃至于對整個安全體系的補強,讓人看到了從核心層面變革安全防護的可能。
傳統安全體系的終端安全困局
在一些典型的安全案例中,組織雖然部署了防火墻、入侵檢測和VPN等安全保護措施,但是這些措施似乎只能防止外部威脅進入內部網絡,而對于信息存放失當、員工誤操作等內部安全管理問題卻束手無策。
很多調查報告都顯示,全球范圍內的企業員工在工作時間更容易進行具有安全風險的計算機操作,諸如訪問可能存在威脅的網站、打開來源未知的電子郵件附件等等。可能是企業缺乏足夠嚴格和有效的安全管理制度,也可能是員工對非私有財產的保護意識不足,總之人們在上班狀態下似乎沒有對網絡安全問題給予正確的認識和足夠的重視。
美國《Network World》報道,當前的網絡訪問控制解決方案往往只評估終端的初始狀態,一旦一個終端節點獲得安全系統的訪問許可,那么之后的操作將很少受到嚴格的監控,這也體現出當前終端保護體系缺乏動態反應能力的現狀。
正如趨勢科技全球高級副總裁暨大中華區總經理張偉欽所指出的,如果安全威脅的入侵原因及位置缺乏足夠的能見度,那么信息技術部門就無法確定正確的解決辦法,也無法真正提供有效和及時的安全響應服務。除了識別安全威脅存在誤區之外,傳統的安全管理體系也缺乏能夠有效對安全威脅進行預警和修補的工具。
賽門鐵克中國區技術支持部首席解決方案顧問林育民則表示,在發生安全事件的時候,信息技術部門往往需要耗費大量的時間去定位威脅源頭、識別威脅種類,進而制訂出處理方案并實施。從時間上來看,這往往都要滯后于威脅的傳播,經常是所有終端都已經受到波及之后信息技術部門才開始真正的處理工作。
云安全如何助力終端安全
事實上,在歷數云安全技術的諸多特點時會發現,很多云安全特性都能夠為提升終端安全提供幫助。在安全組件嘗試發現終端以及內部網絡中的安全威脅時,云安全體系可以提供更加及時有效的威脅識別能力。而利用云安全體系強大的關聯分析能力,也可以更好地發現安全威脅和定位威脅位置。
在新一代的云安全技術當中,領先的廠商都在嘗試植入一種新的特征碼管理機制,從而實現檢測引擎和特征碼的分離。通過云安全體系提供的通信方式,特征碼的存放和比對都可以放在云端進行,而將大量的特征碼更新到網絡中的每一臺終端將不再是保證安全性的必要條件。
在新一代的云安全網絡當中,大量的安全威脅檢測功能將從終端遷移至云端,而客戶端系統將只完成掃描等基本的安全功能。在實時防護過程中,客戶端不斷地與云服務器進行協作,從而減輕客戶端的負擔,即讓終端用戶在盡量少地受到干擾的情況下,實現更好的安全防護。
以趨勢科技提出的云安全2.0為例,其多協議關聯分析技術可以在近百種常見協議中進行智能分析,從而追蹤到真正的受攻擊位置,為管理員解決安全問題提供真正的支持。一個真正成熟的云安全體系,安全威脅發現和響應覆蓋了從網絡層到應用層的各個層次,而防護陣線也貫穿了云端、網關、終端等多個不同的位置和區域。
云安全2.0的到來,勢必會加速云安全在體系架構主流化進程上的速度。用戶應該從現在就開始認真地思考自己組織的計算機終端是否已經獲得了足夠的保護,云安全體系帶來的高管理效率和高ROI無疑會引起用戶的高度關注。
分析
遞增的網絡威脅與信息安全的出路
從供需角度來說,云安全技術的出現,無疑是為了對抗層出不窮的新安全威脅而產生的一種必然結果。根據測算,2008年全球每小時出現大約800種新的安全威脅,在2009年,每小時出現的新安全威脅數量已經達到1500種。按照這種發展速度,在最多不超過5年的時間里,每小時的新安全威脅產生量就將突破10000種。
高速的安全威脅增長態勢已經成為整個安全世界的大背景,傳統的依靠人工分析惡意軟件特征的安全響應體系,已經完全無法滿足現在的安全防護需要。在這種前提下,擁有共享全球安全威脅信息優點的云安全網絡,就成為了信息安全領域的一個重要出路。
云安全的正確認知
單從各個廠商的宣傳資料來看,也許安全專家也難以給云安全下一個準確的定義。事實上,從技術角度定義云安全并不困難,但是實際映射到產品和運營層面,就可謂是“橫看成嶺側成峰,遠近高低各不同”了。這一方面體現出云安全是一個非常復雜的系統,另外也說明不同的安全廠商對云安全存在著定位和投入上的不同。
有很多用戶將云安全理解為一種完全嶄新的安全模式,也有用戶將云安全理解為對傳統安全體系的升級。實際上這兩種理解都有可取之處,云安全更近似于云計算技術在安全領域的特定應用,而其創新之處則更多地來自于用戶和運營等層面。
云安全體系可以令安全廠商更準確地了解全球安全威脅的變化態勢,同時也有助于廠商發現新的安全威脅。無論是國外廠商還是國內廠商,真正在云安全領域有所投入的廠商,其采集威脅的速度和數量都呈現出幾何級數增長的態勢。趨勢科技自有的云服務器數量就達到數萬臺,而金山也在總部的辦公樓開辟了一層專門用于放置云安全系統,這些在云安全領域投入重金的廠商掌握的病毒樣本數量早已達到千萬級。
更重要的是,擁有了海量的安全威脅數據之后,廠商就可以根據安全威脅情況動態地變更其云防護體系的工作狀態。類似趨勢科技的安全爆發防御體系,它就需要足夠數量的監測點和統計數據作為支撐,也可以視為云安全最早的應用嘗試之一。
從核心模式上來說,當前的云安全應用主要側重于阻斷用戶訪問已經被辨識的安全威脅和可能存在風險的安全威脅,這主要源于云安全體系可以大幅度加快廠商對安全威脅的響應速度。這其中比較容易引起誤解的一點是,云安全是否能夠更好地應對未知安全威脅呢?從本質上來講,云安全的主要改進在于能夠更好地、更快地響應已知安全威脅。不過在一些特定條件下,云安全也可以對未知安全威脅防護提供幫助。
假設一個剛剛被放入互聯網的惡意軟件感染了第一臺計算機,這個惡意軟件對于這臺計算機是一個未知的安全威脅;如果該計算機將這個感染行為以及這個程序提交給了云安全網絡,那么相比傳統模式而言,其他使用該安全云服務的計算機就有更大的機會避免被該程序感染。也就是說,云安全體系更多地是避免一個未知安全威脅所帶來的破壞,讓廠商和用戶能更快地發現新出現的安全威脅,而與未知威脅檢測技術無關。
云安全的選擇及路徑
當“云安全”作為一個名詞吸引了公眾的注意之后,所有的安全廠商都陸續宣布了對云安全的支持,這一幕看起來與UTM剛剛問世時何其相似。如何正確看待云安全的效果,如何選擇真正支持云安全的產品,這些問題需要選購安全產品的用戶認真對待。
就目前的情況來看,選擇一線廠商的產品所獲得的保障無疑要更強一些,而這并非只是源于品牌和信譽。對一個云安全體系來說,其投入規模和所擁有的用戶數量,相當于云的大小和密度,也決定了云的工作質量。
第一代云安全技術:海量采集應對海量威脅
最開始被集成到安全產品中的云安全技術,主要集中于將從終端客戶處收集到的信息返回到安全云端,同時將分析后的結果返回給終端客戶。這種作法的好處在于能夠利用云安全體系的巨大運算處理能力和共享的安全威脅信息,為終端用戶提供更及時、更有效的安全保護服務。在傳統的安全防護模式下,安全廠商通常依賴人工方式采集安全威脅信息。
由于高速互聯網連接的普及,一個新出現的安全威脅完全有能力在數個小時甚至不到一個小時之內在全球網絡內實現傳播,而舊有的安全響應體系已經漏洞百出。在應用了云安全體系之后,廠商可以將威脅的采集工作更多地轉移到終端用戶的計算機上,根據其訪問行為和受感染情況來更準確地獲知安全威脅的產生和蔓延情況。
對于一些明顯可能造成破壞的安全操作,云安全系統會自主將其標示為安全威脅,這樣在其它計算機執行相同或相似的操作時,就會獲得來自云端的警告,從而以接近實時的速度獲得對安全威脅的免疫。事實上,在一個運行良好的云安全體系當中,從一個新威脅被識別到被標識,所耗費的時間極短,甚至要少于終端計算機更新病毒特征碼以及完成特征碼加載的時間,這為安全產品提高響應速度提供了很好的技術基礎。
第二代云安全技術:更加全面徹底的云安全
事實上,第一代的云安全技術表現在產品功能上,更多的是以信息采集為主,真正能夠產生效果的安全功能寥寥無幾。在第二代的云安全技術應用上,一個顯著的特征就是安全功能對云安全體系更充分、更廣泛的利用。目前已有多家主流的安全廠商都推出了具有云安全2.0技術特征的產品。以最先倡導云安全技術的趨勢科技來說,其最新版本的產品線都集成了被稱之為文件信譽的安全技術。
顧名思義,與在云端檢測Web地址安全性的Web信譽技術一樣,文件信譽技術旨在通過云安全體系判斷位于客戶端的文件是否包含惡意威脅。在傳統的特征碼識別技術中,通常是將文件內容不同部分的Hash值與所檢測文件的Hash值進行比較,從而判別文件是否受到感染。
與傳統的將特征碼放置在客戶端的方式不同,基于云安全體系的文件信譽技術,支持將特征等檢測所用的信息放置在云端(比如全球性的云安全網絡或局域網中的云安全服務器)。這樣做的顯見好處是,解決了從更新文件,到客戶端部署了更新這段時間間隔里,防護系統無法識別最新安全威脅的問題。
通過連接到云端服務器,終端計算機始終能獲得最新的防護。如果說第一代云安全技術提高了發現安全威脅的速度,那么第二代云安全技術則讓安全防護功能得以用接近實時的速度檢測和識別最新的安全威脅。
下一代云安全技術:靈動的云
相信用不了多久,幾乎所有的安全功能都將順暢地接入云端,從而實現云級別的安全防護。解決了安全威脅響應速度這一核心問題之后,對安全防護的質量提升將是云安全的下一命題。
由于云安全體系所擁有的龐大的資源配給,用戶無疑會對其能夠在多大程度上替代人工分析和操作,抱有極大的興趣。事實上,這也是能否從本質上提升安全產品保護能力的一個重要指標。
另一方面,終端用戶應期待可以通過自己的產品界面,對安全云進行更多的操作和管理。以往對于客戶端防護產品的定制能力將轉移到云端,用戶可以決定哪些安全功能需要連入云端,而哪些功能必須使用本地的防護引擎。在3.0乃至4.0的云安全技術體系中,用戶將獲得更大限度的自由,安全保護的新時代也將隨之展開。
模擬真實環境 破解云安全謎團
為了更好地模擬管理中心、服務器客戶端、工作站客戶端等常見的安全對象,在本次評測過程中我們啟用了五臺計算機,其中一臺用作管理服務器,其它計算機作為終端計算機。
在網絡環境方面,我們使用一臺TP-Link的TL-R 860路由器作為連接設備,所有測試用計算機都以百兆以太網形式接入該設備。同時在該設備上還接入了2Mbps的網通寬帶,用以提供互聯網連接。在測試過程中,我們對產品的測試實現完全分離,也即完整地測試完一個產品之后,再測試另一個產品,以避免測試過程中相互干擾。
本次測評參測產品4款,包括趨勢科技OfficeScan10.0、熊貓AdminSecure Business。令我們感覺有些遺憾的是,由于另外兩家參測廠商即將新的產品版本,所以在本次評測中隱去其真實廠商及產品名稱。在這里,我們將在總體上對其進行適當的點評,以讓讀者了解這些產品最新的發展狀況。文中以X和Y表示用來表示隱去其真實廠商的產品名稱。
在性能表現方面,產品安裝后的系統資源占用情況以及產品的運行速度都是關注的重點。通過比較安裝前后的磁盤空間占用情況,我們可以了解產品對硬盤的消耗。同時針對管理服務器、客戶端的處理器和內存資源使用情況,測試工程師也給出了相應的評價。檢測引擎的速度一直是評估安全產品性能的保留項目,本次評測過程中通過對一個包含4GB文件的系統內分區進行掃描來完成該項測試。為了判斷產品的檢測引擎是否支持文件指紋機制,該項測試共進行兩次,每次測試之間計算機會重新啟動以令時間記錄更加精確。
惡意軟件檢測
我們選用了100個采集自實際應用環境的惡意程序樣本。其中覆蓋了蠕蟲、木馬程序、腳本病毒、廣告軟件和黑客工具等多個常見的惡意軟件類別。另外,在測試樣本中也包含了一些未被驗證的、可能包含安全威脅的程序,用以驗證參測產品在檢測未知威脅方面的能力。在該項測試過程中,所有產品的檢測引擎的識別能力和識別范圍均開啟為最高,所有有助于提高檢測效果的選項也均被啟用。
防火墻測試
防火墻作為另一個核心的安全防護模塊,也設定了多個專門的測試項目。基于GRC網站提供的在線檢測工具Shields UP!,我們能夠了解一臺計算機的網絡端口在外網看起來是處于什么狀態。該檢測分析計算機的前1056個端口,并且提供計算機是否響應Ping請求的附加測試結果。另外,我們通過一組工具來測試在終端計算機上利用各種方法建立外向連接時,防火墻組件的反應行為是否正確。下面提供了這些測試工具的工作機制等相關描述。
• LeakTest:該工具在被測計算機上建立外向連接,如果防火墻組件發現了建立連接的行為,視為能夠識別基本的外向連接活動。
• FireHole:該工具調用系統中的缺省瀏覽器傳送數據到遠程主機,在計算機上建立具有攔截功能的DLL,從而偽裝瀏覽器進程進行數據發送。
• PCFlank:與FireHole工具類似,該工具檢驗一個防火墻信任的程序在調用另一個程序時,在工作方式上利用了Windows的OLE自動化機制。
• ZAbypass:該工具使用直接數據交換(DDE,Data Direct Exchange)技術,以借助系統中的IE瀏覽器訪問互聯網服務器上的數據。
• Jumper:該工具會生成一個DLL文件,將其掛接到Explorer.exe之后關閉和重啟該程序,從而執行該DLL。這項測試同時考察防火墻組件的防DLL注入能力以及對注冊表關鍵位置的保護能力。
• Ghost:通過修改瀏覽器進程的PID來欺騙防火墻組件,從而通過系統缺省瀏覽器向互聯網發送信息,主要用于測試防火墻是否能夠實現進程級別的監控。
云安全測試
針對當下最熱門的云安全技術,在本次評測中也專設了多個測試項目。首先我們的工程師會驗證參測產品是否支持云安全網絡,以及支持哪些云端安全功能。例如,通過訪問包含有惡意代碼的網站來判別參測產品是否支持云端Web威脅識別。另外,我們會嘗試使用產品的云端功能檢測前面所準備的100個惡意軟件樣本,比較其檢測率和處理能力相較使用傳統掃描引擎是否有所提高,從而驗證云安全機制對于產品效能的提高發揮的作用。管理
機制測試
管理能力是企業級安全產品的重中之重,通過對參測產品的終端管理、終端部署、權限管理、配置管理等諸多方面的能力進行考察和評估,我們可以獲得產品管理機制是否健壯有效的第一手證據。
與此同時,產品客戶端所具備的特性,特別是管理端對于客戶端的授權和控制,也是網絡版安全產品需要重點關注的問題。
易用性測試
在易用性方面,我們遵循軟件業內常見的一些評估方式,進行體現物理操作負擔的肌肉事件測試,針對界面設計的屏幕利用率測試以及體現操作流程的記憶負擔測試等諸多測試項目。
結合針對界面元素排布、界面指引等方面的分析,最終形成對軟件易用性的綜合性評價。在易用性的測試過程中,主要面向參測產品的控管中心模塊,對于部署于服務器和工作站上的終端軟件不進行評估。
評測總結
在本次評測中,通過對比應用云安全的產品和傳統形式的產品,我們發現云安全類型的產品帶給客戶端的負擔更小。趨勢科技已經近乎徹底地實現了產品的云安全化,無論從基礎架構還是從核心功能上看,云安全技術都在充分地發揮作用。而熊貓的云安全應用,則更多地停留在后臺輔助服務方面,用戶從前端功能還無法明確了解云安全的具體應用狀態。相對地,X和Y在云安全應用領域也取得了相當的成果,并且擁有相當規模的云安全網絡支持,對其安全威脅的發現和采集提供了相當的幫助。
通過評測,我們也發現目前的主流企業級安全產品并沒有走向完全趨同的發展道路。基于不同的市場理解和不同的客戶取向,不同廠商在構造自己的產品時,都體現出鮮明的功能和設計特點。
第2篇:對云安全的理解范文
云計算服務模式產生了一些新的安全風險,如:用戶失去了對物理資源的直接控制,虛擬化環境下產生了虛擬化安全漏洞,多租戶的安全隔離、服務專業化引發的多層轉包帶來的安全問題等。如何實現云安全,已經成為安全產業面臨的巨大挑戰。
保衛云的安全,需要基于“云”的手段,這可以從兩個維度來理解,一個是用安全手段保護云計算環境,確保云計算下網絡設施和信息的安全;另一個是采用云計算的架構模式,構建安全防護設施的云環境,以云的方式為企業提供安全保護。
云安全需要一些新的關鍵技術來保障,如:虛擬化安全,包括虛擬機安全、虛擬化環境下的通信安全等;數據安全和隱私保護技術,包括密文的檢索和處理,滿足云環境下的數據隱私、身份隱私和屬私的保護等;安全云(安全即服務),包括安全系統的云化、安全系統的資源調度和接口互操作性的標準化;可信云計算。
在一次“云計算”項目調研中,信息安全專家卿斯漢發現,目前,我國的云計算項目對常規安全措施做得比較到位,但仍需加強,除需要無縫集成傳統網絡安全和系統安全的防護工具外,還需要考慮虛擬機安全、隱私性保護及不間斷服務等。云計算的核心是虛擬化,保證虛擬機的安全至關重要。
在云計算時代,數據中心的安全建設可以劃分為三個階段:第一階段,傳統安全產品的虛擬化,即:讓傳統安全產品“跑”在虛擬化設備上,支持虛擬設備功能;第二階段,融合到云計算平臺的虛擬機安全設備,即:安全設備作為一個安全應用被融合在虛擬化平臺上;第三階段,自主安全可控的云計算平臺,即:考慮云計算平臺自身的安全性。目前,由于云計算應用本身處于基礎階段,革命性的安全技術也未出現,云安全建設多數仍處在第一階段。不過,云計算應用已經為傳統安全產業帶來了新的驅動力,并加速了安全技術的融合,安全企業之間的合作也變得越來越緊密。
在云計算的道路上鮮有獨行者,云安全生態鏈同樣需要安全企業共同打造和完善。目前,虛擬化領軍企業VMware公司就已經跟許多知名的安全企業開展了深度合作,如:CheckPoint、McAffee、RSA、賽門鐵克等,通過對安全企業提供API,開發基于虛擬平臺的安全產品,共同構建基于云的安全架構體系。而在國內,也很少有一家安全企業獨立地把所有安全技術都做得很精,這樣一來,多家公司合作,共同提供云安全所需的各種產品和服務,將成為未來的最佳模式。
作為目前全球市場占有率領先的云端安全防護提供商,趨勢科技早在六年前就投入大量資金和人力研究虛擬化及云計算安全解決方案。而作為云安全聯盟(CSA)成員單位,綠盟公司正在安全智能領域積極進行著前沿的研究與探索實踐,啟明星辰公司2010年開始在云計算安全領域展開關鍵技術的研究,并成功申報承擔了電子發展基金“云計算關鍵支撐軟件(平臺安全軟件)研發與產業化”等一系列國家研究項目。在云計算環境下的身份管理中,眾人網絡走出了一條新路,其方案在工業和信息化部軟件與集成電路促進中心(CSIP)聯合企業開展的“基于安全可控軟硬件產品云計算解決方案”推介工作中,被推選為示范項目。將內容檢測和網絡安全技術相結合,提供專為安全服務的安全云,成為被安全企業看好新趨勢,這也是一些安全企業新的努力方向,以高性能掃描和深度內容檢測技術見長的穩捷網絡就是如此。
將設備和資源納入云身份管理
云計算改變了傳統安全產業的服務模式,也給安全產業提出了新的挑戰。其中,虛擬化安全、數據安全和隱私保護成為云計算應用安全防護的重點和難點。在云計算環境下,多租戶模式讓身份管理變得更為重要,也更加復雜。要實現云安全,身份管理是基礎,因為當所有資源都虛擬化了,就必須對其進行標識,以便于對虛擬化的資源進行管理,明確這些資源的使用權限。
與傳統的身份管理不同,在云計算環境下,身份管理的應用范圍進一步擴大。在傳統安全環境下,身份管理的應用范圍有所局限,如:國內現有的30多家CA目前的服務對象主要集中在稅務、工商、電子商務等領域。未來,一旦公有云全面建成,一個龐大的云身份體系將會出現,到那時,身份管理將真正形成一種服務,而非技術本身。現在,說到運營CA,更多是基于PKI體系的,其實身份服務還有另外一些不同的技術,如:動態密碼體系、IBE體系。在云中,云身份服務可能基于多種技術體系,為云計算服務平臺服務。
另外,傳統的身份管理服務,更多的是針對人本身進行。而在云中,身份服務更多是針對人、設備和資源進行。上海眾人網絡安全技術股份有限任公司執行總裁何長龍認為,在云體系中,身份管理的技術架構也將改變,因為傳統身份管理針對的互聯網用戶是有限的,但在云體系中,身份管理針對的數據量卻是無限的。
目前,對于云計算環境下的身份認證服務,多數還是基于傳統的方法,是原有產品的直接嫁接,即在進行身份管理之前,對現有資源并沒有進行虛擬化,這樣做無法對資源進行認證、標識和許可,只限于對人或設備進行認證。
與其他同類企業將原有技術直接嫁接到云端不同,眾人網絡科技公司已經基于私有云,形成了自己的云身份服務平臺。眾人網絡提供的云身份服務是在用戶對資源做了虛擬化的基礎上進行。
云架構體系對安全企業的技術能力、服務能力提出了更高要求,對身份架構體系的要求也是如此。只有對資源進行了虛擬化,才能得以對其進行定義,由此將其與云身份進行對接。
目前,眾人網絡在資源虛擬化基礎上進行的身份管理已經有了實際應用的案例。眾人網絡為一家通信類客戶架構了一個總部級的身份服務體系,在該用戶將現有的硬件資產和軟件資源進行統一虛擬架構后,眾人科技對其所有資源進行了標識許可,由此實現了對虛擬化的資源進行認證、許可和分配。
融合檢測和網絡技術,打造安全云
云計算環境正變得越來越開放,云數據和云應用也越來越多,這給傳統的網絡安全防護帶來新的挑戰。以防火墻為主的“看門式”安全管理將難以保證云的安全,云計算安全需要建立一個全新的安全管理模式。
與傳統的企業網相比,云中心的網絡流量變得極其龐大,如果再將安全防護寄望于傳統網關設備將不可想象。目前,在云中心,最常用的措施是采用虛擬防火墻、虛擬殺毒軟件或虛擬安全網關,這是對傳統安全產品的虛擬化,但并沒有對云中心進行虛擬化,只是讓安全軟件跑在一個一個服務器上,它會消耗大量服務器內存,這依然是基于主機的解決方案。在云中心,往往有成千上萬個主機,如果給每個主機都裝上殺毒軟件,維護成本將會很高。因此,這種云中心防護手段不是十分理想。
另外一種云安全方案中,安全設備并沒裝在主機上,只是將掃描工作放在云中進行,病毒庫也是存放在云中,如:360公司的云安全方案就是這樣。這種方案將云計算技術應用于安全,但這種方案保護的是云的使用者,并不保護云中心本身。
有沒有一種新的手段,對云中心進行更加有效的保護?一些安全企業正在為此而努力。以高性能掃描和深度內容檢測技術見長的穩捷網絡公司就在進行相關的嘗試。
在傳統思維下,網絡安全廠商一般只負責網絡協議、端口有無入侵等,而不去檢測內容;而負責內容的殺毒軟件廠商也很少想到去網絡上做。穩捷網絡從創辦之初就定位于做基于網絡的深度內容檢測,把查殺病毒和網絡安全兩種技術相結合,在網絡端對內容進行清洗檢測。
穩捷網絡公司中國區總經理彭朝暉向《中國計算機報》記者表示,未來,有一種趨勢將被看好,那就是:將內容檢測和網絡安全技術相結合,提供專為安全服務的安全云。
另外,云安全數據中心憑借龐大的網絡服務、實時的數據采集、分析及處理能力得到眾多廠商青睞。隨著卡巴斯基、瑞星、趨勢、金山等一批安全廠商逐漸加快云安全數據中心建設,云安全數據中心已經投入到實際應用中。其中,趨勢科技已在全球部署5個云安全數據中心。
圖解云安全技術和模式
云安全帶來了很多新的技術,也帶來很多新的課題,如:風險管理與兼容性問題、身份認證與訪問管理問題、服務與終端的完整性問題、虛擬機應用的安全問題、數據保護與隱私保護問題等。圍繞這些新課題,傳統安全企業及其從業者展開了深入的研究。以下我們選取了部分與云安全相關的關鍵技術方案和模式圖,分別涉及云計算環境下的數據防泄漏方案、虛擬化對于安全功能的拆解、下一代安全的關鍵能力,這些技術方案或研究成果分別來自RSA公司、啟明星辰公司和綠盟公司。這些安全企業所關注的技術焦點也在一定程度上反映了他們在云安全道路上努力的方向。
數據安全是云安全的重中之重。數據防護領域的知名安全企業RSA公司的虛擬化專家Mike Foley認為,在實體環境中,DLP(數據防泄漏)是在操作系統中完成的,一旦操作系統受到威脅,就無法使用DLP的軟件和功能。而在虛擬化環境中,相應的數據都儲存在虛擬機里,數據防泄漏工作可以通過掃描虛擬機來進行。在這個過程中,需要有一個專門負責安全的虛擬機。
第3篇:對云安全的理解范文
[關鍵詞]云計算 云安全 平臺即服務 軟件即服務 基礎設施即服務
中圖分類號:TP309 文獻標識碼:A 文章編號:1009-914X(2015)05-0274-01
1 云計算
1.1 云計算的定義
云計算 (cloud computing)是基于互聯網的相關服務的增加、使用和交付模式,通常涉及通過互聯網來提供動態易擴展且經常是虛擬化的資源。云計算是繼1980年代大型計算機到客戶端-服務器的大轉變之后的又一種巨變。云計算(Cloud Computing)是分布式計算(Distributed Computing)、并行計算(Parallel Computing)、效用計算(Utility Computing)、網絡存儲(Network Storage Technologies)、虛擬化(Virtualization)、負載均衡(Load Balance)、熱備份冗余(High Available)等傳統計算機和網絡技術發展融合的產物。
1.2 云計算平臺
云計算平臺可以分為以下三類
(1)存儲型云平臺,以數據存儲為主。
(2)計算型云平臺,以數據處理為主。
(3)綜合云計算平臺,兼顧計算和數據存儲處理
2 云計算安全問題
云安全(Cloud security ),《著云臺》的分析師團隊結合云發展的理論總結認為,是指基于云計算[3] 商業模式應用的安全軟件,硬件,用戶,機構,安全云平臺的總稱。
“云安全”是“云計算”技術的重要分支,已經在反病毒領域當中獲得了廣泛應用。云安全通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。整個互聯網,變成了一個超級大的殺毒軟件,這就是云安全計劃的宏偉目標。
3 云計算安全參考模型
云計算模型之間的關系和依賴性對于理解云計算的安全非常關鍵,IaaS(基礎設施即服務)是所有云服務的基礎,PaaS(平臺即服務)一般建立在IaaS之上,而SaaS(軟件即服務)一般又建立在PaaS之上。
3.1 云計算安全關鍵技術
3.1.1 數據安全
云用戶和云服務提供商應避免數據丟失和被竊,無論使用哪種云計算的服務模式(SaaS/PaaS/IaaS),數據安全都變得越來越重要。以下針對數據傳輸安全、數據隔離和數據殘留等方面展開討論。
1、數據傳輸安全
在使用公共云時,對于傳輸中的數據最大的威脅是不采用加密算法。通過Internet傳輸數據,采用的傳輸協議也要能保證數據的完整性。如果采用加密數據和使用非安全傳輸協議的方法也可以達到保密的目的,但無法保證數據的完整性。
2、數據隔離
加密磁盤上的數據或生產數據庫中的數據很重要(靜止的數據),這可以用來防止惡意的云服務提供商、惡意的鄰居“租戶”及某些類型應用的濫用。但是靜止數據加密比較復雜,如果僅使用簡單存儲服務進行長期的檔案存儲,用戶加密他們自己的數據后發送密文到云數據存儲商那里是可行的。但是對于PaaS或者SaaS應用來說,數據是不能被加密,因為加密過的數據會妨礙索引和搜索。到目前為止還沒有可商用的算法實現數據全加密。
3、數據殘留
數據殘留是數據在被以某種形式擦除后所殘留的物理表現,存儲介質被擦除后可能留有一些物理特性使數據能夠被重建。在云計算環境中,數據殘留更有可能會無意泄露敏感信息,因此云服務提供商應能向云用戶保證其鑒別信息所在的存儲空間被釋放或再分配給其他云用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中。云服務提供商應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他云用戶前得到完全清除。
3.1.2 應用安全
由于云環境的靈活性、開放性以及公眾可用性等特性,給應用安全帶來了很多挑戰。提供商在云主機上部署的Web應用程序應當充分考慮來自互聯網的威脅。
1、終端用戶安全
對于使用云服務的用戶,應該保證自己計算機的安全。在用戶的終端上部署安全軟件,包括反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件。目前,瀏覽器已經普遍成為云服務應用的客戶端,但不幸的是所有的互聯網瀏覽器毫無例外地存在軟件漏洞,這些軟件漏洞加大了終端用戶被攻擊的風險,從而影響云計算應用的安全。因此云用戶應該采取必要措施保護瀏覽器免受攻擊,在云環境中實現端到端的安全。云用戶應使用自動更新功能,定期完成瀏覽器打補丁和更新工作。
2、SaaS應用安全
SaaS應用提供給用戶的能力是使用服務商運行在云基礎設施之上的應用,用戶使用各種客戶端設備通過瀏覽器來訪問應用。用戶并不管理或控制底層的云基礎設施,如網絡、服務器、操作系統、存儲甚至其中單個的應用能力,除非是某些有限用戶的特殊應用配置項。所有有安全需求的云應用都需要用戶登錄,有許多安全機制可提高訪問安全性,比如說通行證或智能卡,而最為常用的方法是可重用的用戶名和密碼。如果使用強度最小的密碼(如需要的長度和字符集過短)和不做密碼管理(過期,歷史)很容導致密碼失效,而這恰恰是攻擊者獲得信息的首選方法,從而容易被猜到密碼。因此云服務提供商應能夠提供高強度密碼;定期修改密碼,時間長度必須基于數據的敏感程度;不能使用舊密碼等可選功能。
3、 PaaS應用安全
PaaS云提供給用戶的能力是在云基礎設施之上部署用戶創建或采購的應用,這些應用使用服務商支持的編程語言或工具開發,用戶并不管理或控制底層的云基礎設施,包括網絡、服務器、操作系統或存儲等,但是可以控制部署的應用以及應用主機的某個環境配置。
4、IaaS應用安全
IaaS云提供商(例如亞馬遜EC2、GoGrid等)將客戶在虛擬機上部署的應用看作是一個黑盒子,IaaS提供商完全不知道客戶應用的管理和運維。客戶的應用程序和運行引擎,無論運行在何種平臺上,都由客戶部署和管理,因此客戶負有云主機之上應用安全的全部責任,客戶不應期望IaaS提供商的應用安全幫助。
參考文獻
[1] 馮志剛.馬超,淺談云計算安全科技風2010,(4).
[2] 陳丹偉.黃秀麗.任勛益 云計算及安全分析 計算機技術與發展,2010,20(2).
[3] 王鵬,黃華峰,曹珂.云計算:中國未來的IT戰略.北京:人民郵電出版社,2010.
第4篇:對云安全的理解范文
作為一個概念來說,云計算的定義是非常模糊的。很多希望對其界定的嘗試最終都失敗了。但是,我們又必須使用到它。畢竟,它是存在商業價值的,如果被忽略,就會影響到競爭優勢的增加。因此,我們需要了解如何將這一新興技術安全地融合到自身的業務流程中。
1 對云進行準確定義
為了讓概念更清晰。方便大家的理解,我將云計算定義為由第三方提供的為業務流程提供技術支持或者服務的所有基礎設施或服務。為了在最大程度上提高商業價值,這其中也應該包括按需擴展性和增強的業務流程連續性。舉例來說:
供應商開發和托管的網絡服務,它們已經被集成到內部開發的系統中。但需要通過網絡進行訪問。供應商對由內部工作人員開發和管理的服務器托管應用進行管理,將全部系統整體(包括工資、會計等部分在內)遷移到一家由供應商托管的網站上。
隨著云技術的逐漸成熟,它可以提供的服務也處于發展變化的過程中。但在這里有一個基本前提,它給大型企業提供的靈活性,給中小型企業提供的機會,是有可能超過預算限制的。
2 問題的關鍵在于風險
從一名安全專家的角度來看,我認為對和云服務有關的風險進行評估和管理就相當于對現有風險管理流程的調整。因此,答案非常簡單:實際執行需要花費一定量的工作時間。
如果貴公司中沒有應用風險管理框架的話,要做的第一件事情就是建立一個。保護公司數據安全的關鍵就是平衡業務面臨的風險。通常的處理模式是確定、減輕和匯總面臨的風險。并與業務經理和審計人員進行合作,將其控制在適當的范圍里。如果公司已經建立了備用框架的話,你要做的就是將它擴展開。
圖1顯示的就是一般公司風險邊界的簡單模型。在信息技術人員設計并實施內部解決方案前,安全分析人員需要對風險進行評估。無論如何,風險的可管理邊界是防火墻。如圖2所示。云安全的一體化前進道路導致危險的邊界進一步擴展。我們的目的不是希望云成為“外面”的東西。正好相反,它應該是連接到企業中的一個高增值環節。根據總體規劃,風險管理的邊界應該擴展到可以將所有業務服務都包括進去的情況。
3 差距在哪里
擴展風險邊界并不僅僅等于提出這樣的問題就萬事大吉了。將云整合起來需要考慮到供應商的提供商怎么進行特別處理這樣的額外因素。下面就是我認為對云服務提供商進行評估時,應該考慮到的幾個方面:
云服務提供商是否通過了來自外界的實體認證。可以實現對安全性的有效管理(采用美國注冊會計師協會第70號服務機構審計準則、信息安全管理體系國際標準等類規則)?是否存在內部控制機制?它們將怎么處理我的內部控制機制?這之間存在什么差距,這些差距是否合理?
有多少數據會被涉及進來?公司是否必須提供更多的數據?云服務提供商應該獲得多少數據,這樣做的原因是什么?
云服務提供商是否了解我對安全的期望?這些期望是否會包含在合同中?如果云服務提供商沒有遵守合同中對安全的要求,我可以采取什么樣的懲罰措施?合同是否容許我進行定期審計來確認數據受到保護的實際情況?
以上包含的就是最基本的問題。這基于我假設你已經實現了對傳輸過程的數據進行保護,擁有強大靈活的訪問控制機制的前提。如果沒有作到這一點的話,在擴展到云之前,你可能還有更大的問題需要解決。
第5篇:對云安全的理解范文
網頁:“我本善良”
很多人在遇到網站威脅時,可能都歸罪于網站,但其實網站的制作者更是冤枉,除了很少網站是黑客專門制作的掛馬陷阱網站外,包含木馬的網站都是被黑客利用(見圖1),本身就是受害者。黑客會利用掃描工具查找網站的漏洞,并實施攻擊,獲取管理權限,然后就可以輕松植入木馬了。例如在網站中插入:<iframe src=網頁木馬地址width=0 height=0></iframe代碼>,這樣當電腦訪問網站時就會自動彈出木馬程序(現在網頁木馬可以實現后臺運行模式),讓瀏覽的電腦用戶運行木馬。
要保安全 需知“管馬”三招
了解了這個情況,很多人又開始問了,木馬如何防御呢?那些殺毒軟件怎么知道網頁被植入木馬了呢?其實網頁木馬不是新的品種,它和普通木馬的區別只是載體的不同,以前都是放在文件、郵件中,現在大家的防范意識高了,瀏覽網頁的頻率也高了,所以黑客將木馬代碼放在網頁上,增加感染機會。
理解了這個,安全軟件防御網頁木馬的過程也就出來了,他們防御的原理是一樣的,只是途徑要首先在網絡傳輸中完成。目前,主要的方式有以下三種
1.攻擊代碼識別:如果網頁中被植入了木馬,那么在傳輸中,安全軟件就可以先檢測代碼,如果它的特征屬于木馬,那么就會提示網頁不安全,并進行攔截了。
2.行為識別:前面是簡單的代碼特征檢測,而高級一點的方式就是分析代碼的行為,不單單考察特征。如有程序對系統目錄進行修改,一起刪除整個分區文件等這些危險操作,那么殺毒軟件都會認為有病毒攻擊,從而加以阻止這些網頁。
3.中毒清理:網頁木馬攻擊成功后會釋放木馬程序到用戶計算機中,木馬程序一般會生成DLL文件、修改注冊表等操作,殺毒軟件檢測到這些,就會提示用戶某些程序是病毒程序,與用戶互動實現對木馬運行的阻止(見圖2),算是網頁木馬的后期防御。
火速連接
關于網頁木馬的防御可以參考2009年第12期《網馬隨處“跑” 手動如何“逃”》和11期《欲練此功必先自功 另類電腦防護》。
現代社會現代化“管馬”
針對網馬攻擊還有一種簡潔的防御軟件:外掛式瀏覽器防御軟件,如金山網盾。此類防御系統對木馬的防御原理與殺毒軟件的防火墻基本相似,訪問含有網馬的網站時,外掛防御系統會對IE、FireFox等瀏覽器的Cookies進行內容過濾保護,從而過濾網馬自我釋放的程序,從攻擊行為防御上實現對0-DAYS類的攻擊防護。
進入云安全時代,網頁木馬的防御也有了新的應用,例如,諾頓、邁克菲等安裝軟件增加了網頁安全的預檢測機制,當我們在谷歌等搜索引擎中搜索時(谷歌也推出過安全瀏覽功能,是利用算法來分析網頁本身,有威脅的會給予提示),在結果信息的返回過程中,安裝在瀏覽器中的安全組件會先對返回的網頁進行預讀,并首先對比已知的安全網頁名單,如果沒有則重新檢測,一旦發現威脅就將結果直接在搜索結果類別中列出(見圖3),這也就是使用這類軟件搜索時,結果出現的時間會落后一秒的原因。云安全的引入,將這些檢測更加快速,例如一旦發現某個網站掛馬,那么這個信息就會迅速與全球用戶共享,其他人瀏覽到該網頁就會提示有木馬,阻止網民瀏覽,當然,當檢測到該網站消除了木馬威脅后,這個網站也就又放行了。
第6篇:對云安全的理解范文
老沃森曾經說過,全世界只要有五臺計算機即可,這一說法在PC時代成為笑談。今天,我們又想起了這句話。似乎全球只需要有五塊云即可,然而出于安全和利益考慮,一些大公司總忍不住要弄自己的私有云,對于公有云和私有云的存在關系也是國家戰略規劃應該予以重視的。
谷歌可以說是推廣公有云的大力推廣者,而在國內,由于對私密性的重視,各大公司紛紛試圖發展私有云,這與云的精神相悖,卻又是現實所要求。對于云計算的集中與分布式運算之爭,也許很長時間內不會劃上一個句號。
向左走還是向右走?
根據觀察,大多數企業首選私有云作為云計算工具的運行環境,以此保護企業IT的安全。IT調查咨詢機構Info-Tech近期公布的報告顯示,76%的IT決策者會首選或只選部署私有云,只有33%的受訪者首選公有云。技術咨詢和外包公司Capgemini公司的CTO Joe Coyle說:“我們的大部分客戶都愿意選擇私有云。他們希望了解云計算,認為私有云是獲取云計算實踐經驗的最佳方式。”
出于對安全性、服務的可用性、技術的成熟度、服務商信譽度的擔心,許多企業對采用云存儲服務仍猶豫不決。但最為關鍵的是,這個私有云到底能夠給企業帶來什么?效率的提高?還是金錢的節約?功利的企業壓根不能從“私有云”上看到類似ERP這樣立竿見影的效能,而且似乎數據存儲這個問題并不是什么熱點問題。一個游戲企業的高管甚至對筆者如是說:“大不了多加兩個刀片服務器就好了。”私有云目前的實用性不強,還太過概念,沒有辦法在節約金錢和提高工作效率這兩大方面刺激用戶的神經。
“不做私有云的白日夢”?
錢雖然是萬惡的來源,但并不是衡量一切的決定因素。我們都知道一個再樸實不過的理兒,“掏錢多,稱鹽多”、“一分價錢一分貨”,公司也好,個人也好,當然會從經濟方面考慮是毋庸置疑的,但最后的決定并不總是用“錢”字一錘定音。我想,企業更是如此吧,雖然最先考慮的是錢,最后考慮的也是錢,但最后這個“錢”應該是從長遠來看獲得的收入吧。他們看重的是錢以外的東西。談到公共云計算,就容易聯想到我們現有的電力系統,電力系統至今發展了125年,整個行業成熟到從里到外都被研究透了,基礎設施也建設的差不多了。我們都很容易想明白,只要有集中發電的能力和大規模的配電網絡就能降低電力系統的成本,但鮮有企業自建發電廠以供內需。
私有云是比公共云計算服務高貴得多的選擇。根據微軟白皮書“云計算經濟學”對于少于100臺服務器的中小型公司來說,私有云是比公共云計算服務昂貴得多的選擇。對于這些小型的企業或部門來說,共享規模云計算優勢的唯一方法就是遷移至公共云計算模式。但是對于服務器裝置規模達到約1000臺的大型企業,私有云是可行的。但是仍需面對在相同服務、規模、需求多樣化和多租戶綜合效應下,私有云比公共云成本高10倍的問題。
技術是建立私有云計算服務中需首先克服的最簡單挑戰,規模和成本問題僅僅是個開端;管理軟件的不成熟也同樣是其發展的一個重大障礙。而且,私有云技術市場還尚顯稚嫩。無數的公司―從傳統的基礎設施和管理供應商到初創的虛擬化廠商―都在開發云計算的管理類產品。這一領域的擁擠只會使廠商選擇的過程復雜化。
將業務遷移至公共云平臺比起遷移至私有云平臺是更具革新意義的一步,而且反而比私有云平臺風險小。購買亞馬遜網絡服務(Amazon Web Services)提供的虛擬服務器成本低廉限制也少,而投資硬件軟件組建自己的內部云平臺肯定所費不菲,可能還意味著要大幅改進整個基礎架構。此外,當前的市場環境還一直動蕩不安。
云計算需要最終用戶的自助式服務。那些認為自己不需要投資就可以建立私有云的企業都是在做白日夢。要想實現自動化并實施流程重新設計,就需要投入大量的資源,這一過程絕對不可能是免費的。流程改進(即通常所稱的“流程重新設計”)需要的不僅僅是升級后的OmniGraffle流程圖。流程改進通常意味著,企業需要實施一些修改或重組,強迫某些部門在日常運營中接受一些不太重要的職責,而且在某些情況下還要歸入其他的部門,其職能則成為改組后部門中更大規模產品的一部分。
切勿只為開發的目的建立一個內部云。如果將云投資全部投向企業內部的IT優化,后果可能非常嚴重。或者采用一種“混合云”的方法,可以不對自己的數據中心進行重組,相反可以使用一個公共服務商來實現云計劃。很難理解為什么有些人特別熱衷于實施內部云。數據中心大部分都要用來支持現有的應用,而這些應用通常不需要云環境。為什么在這些應用還在運行時就要實施云呢?況且實施后的云也無法給這些應用帶來任何的優勢。
企業不應將大量的資本投入自己的數據中心,為什么不使用他人的資源呢?這樣企業所要支付的只是一些運營費用而已。
私有云沒辦法達到公共云所能帶來的規模效應。基于Web的公共云在服務質量、利用率、成本、多樣性的優勢等方面具有獨特的優勢。由此可見,私有云確實沒有辦法和公共云相媲美。至此,我們也可以得出這樣一個結論:私有云遲早會被淘汰,沒什么前途可言。然而,對于現實的環境而言,私有云又是不可或缺的。
企業:我的安全我做主
HyperStratus咨詢公司首席執行官伯納德?戈爾登(Bernard Golden)撰文指出,一個接一個的調查表明,對于公共云計算,安全是潛在用戶最擔心的問題。例如,2010年4月的一項調查指出,45%的以上的受訪者感到云計算的風險超過了收益。CA和Ponemon Institute進行的一項調查也發現了類似的擔心。但是,他們還發現,盡管有這些擔心,云應用還是在部署著。類似的調查和結果的繼續表明人們對安全的不信任繼續存在。
當然,大多數對云計算的擔心與公共云計算有關。全球IT從業者不斷地對使用一個公共云服務提供商提出同樣的問題。例如,戈爾登本星期去了臺灣并且在臺灣云SIG會議上發表了演講。有250人參加了這個會議。正如預料的那樣,人們向他提出的第一個問題是“公共云計算足夠安全嗎,我是否應該使用私有云以避免任何安全問題?”所有地方的人們似乎都認為公共云服務提供商是不可信賴的。
然而,把云安全的討論歸結為“公共云不安全,私有云安全”的公式似乎過于簡單化。簡單地說,這個觀點是一個大謊言(或者說是一個基本的誤會)。主要原因是這種新的計算模式迫使安全產品和做法發生的巨大變化。
這個謊言是:私有云是安全的。這個結論的依據僅僅是私有云的定義:私有云是在企業自己的數據中心邊界范圍內部署的。這個誤解產生于這樣一個事實:云計算包含與傳統的計算不同的兩個關鍵區別:虛擬化和活力。第一個區別是,云計算的技術基礎是在一個應用的管理程序的基礎上的。管理程序能夠把計算(及其相關的安全威脅)與傳統的安全工具隔離開,檢查網絡通訊中不適當的或者惡意的數據包。由于在同一臺服務器中的虛擬機能夠完全通過管理程序中的通訊進行溝通,數據包能夠從一個虛擬機發送到另一個虛擬機,不必經過物理網絡。一般安裝的安全設備在物理網絡檢查通訊流量。
至關重要的是,這意味著如果一個虛擬機被攻破,它能夠把危險的通訊發送到另一個虛擬機,機構的防護措施甚至都不會察覺。換句話說,一個不安全的應用程序能夠造成對其它虛擬機的攻擊,機構的安全措施對此無能為力。僅僅因為一個機構的應用程序位于私有云并不能保護這個應用程序不會出現安全問題。
當然,人們也許會指出,這個問題是與虛擬化一起出現的,沒有涉及到云計算的任何方面。這個觀察是正確的。云計算代表了虛擬化與自動化的結合。它是私有云出現的另一個安全缺陷的第二個因素。
云計算應用程序得益于自動化以實現靈活性和彈性,能夠通過迅速遷移虛擬機和啟動額外的虛擬機管理變化的工作量方式對不斷變化的應用狀況做出回應。這意味著新的實例在幾分鐘之內就可以上線,不用任何人工干預。這意味著任何必要的軟件安裝或者配置也必須實現自動化。這樣,當新的實例加入現有的應用程序池的時候,它能夠立即作為一個資源使用。
同樣,它還意味著任何需要的安全軟件必須自動化地安裝和配置,不需要人的干預。遺憾的是,許多機構依靠安全人員或者系統管理員人工安裝和配置必要的安全組件,通常作為這臺機器的其它軟件組件安裝和配置完畢之后的第二個步驟。
因此,關于云計算的一個大謊言的結果是私有云本身就是不安全的。一個管理不善和配置糟糕的私有云應用程序是非常容易受到攻擊的。一個管理妥當的和配置合格的公共云應用程序能夠達到很好的安全性。把這種情況描繪成非黑即白是過度簡單化,會危害這個討論。
私有云:棄之不舍,食之無味
6月8日,惠普CEO李艾科(Léo Apotheker)在拉斯維加斯舉行的惠普Discover 2011會議上介紹了惠普云平臺方案,承諾將斥資數十億美元用于研發創新,以及推進惠普混合型云技術的研發。此外,惠普還展示了一系列融合存儲戰略下的硬件和軟件平臺,以及移動技術的新產品。
業內首次談及混合云計算還是在2008年,純云計算追求者反擊很艱難。畢竟,他們認為私有云只不過是數據中心的一個新的法,而且很傻。對于他們來說,利用私有云或是傳統的計算平臺搭建的混合云更是可笑。
目前看來,公有云依舊是一種不可忽視的云發展趨勢。隨著公有云安全性等核心問題的解決,最終目標是私有云盡可能移到公有云。可以說,私有云是轉向公有云的第一步。公有云與私有云之間通過維護不同的技術形式搭建起了橋梁,公有云正在證明它的價值吸引新的用戶。
公共云是IT業互聯網化的體現,可以為用戶提供較為完整的IT應用外包服務;在一定程度上解決了存儲安全問題;完全以SaaS模式交付服務;由于本身已經SOA化,用戶之后的應用擴展會變得很便利。因此,通過公共云多種服務可以一次性完成,無疑能降低IT外包成本。
私有云是一個模棱兩可的詞匯。很多人在目前概念仍混亂的時期會不假思索地亂用這一概念。IT的根本變化,即應用和數據的爆炸性增長,將使傳統的工作方法及其人工操作步驟和機構孤島變得成一種過時和浪費的代名詞。
第7篇:對云安全的理解范文
北京奇虎科技有限公司:
360手機衛士
360手機衛士基于360云安全平臺,實現手機病毒“云查殺”、垃圾短信“云攔截”、數據加密“云備份”功能。為用戶提供一系列從核心安全到泛安全的產品服務,起到防騷擾、防扣費、防隱私泄露的全面保護,是手機用戶的必備裝機軟件。目前,360手機衛士的用戶數超過7000萬,市場占有率超過60%,是國內首家通過英國西海岸實驗室認證的手機殺毒軟件,也是移動安全行業的技術領導者。
2011年中國互聯網最具價值項目獎
蒙牛酸酸乳:巨星夢想學院
蒙牛酸酸乳:巨星夢想學院以“堅持實現夢想”為理念,搭建專屬蒙牛酸酸乳自己的SNS互動社交平臺,在技術上融合了QQ、人人網、新浪微博、MSN一鍵登錄功能,降低了用戶參與門檻,巧妙融合新浪微博,相互打通,增加用戶粘性。此案例在用戶登錄、用戶分享、用戶之間的互動上充分地體現了技術與創意的完美結合。
2011年中國互聯網最佳數字營銷獎
Autonomy中國:
MBM基于語義理解的營銷解決方案
Autonomy是基于語義理解的智能營銷(MBM)領域的先驅,是惟一一家能夠提供全套模塊,并利用基于語義的營銷,幫助企業促銷并維持業務增長的供應商。通過統一平臺,Autonomy提供了業界功能最豐富的技術,不僅可以無限擴展,而且對格式和語言沒有特別要求,從而達到促進營銷、降低成本、提高業務指標、增加客戶滿意度等效果。
2011年中國互聯網創新企業獎
滿座網
“團購”是2010年的熱門關鍵詞,滿座網作為國內最早上線的團購網站之一,突破傳統廣告模式,率先把精準營銷、線上支付和線下消費帶到了中國,開O2O模式之先河。同時,作為一家國內領先的本地服務消費平臺,它提供了多達6種電子券認證方式和即時結算體系,成為廣大消費者和商家最值得信賴的團購網站,為電子商務在傳統本地服務行業的普及做出了自己的貢獻。
2011年最佳IDC服務質量獎
尚航科技
尚航科技專注于IT基礎服務,以快速、精準、協作、求真為行為準則,專注于提升IDC服務質量,立志成為業界最可信賴的IT基礎服務商。尚航科技秉承“成就伙伴、成就自我”的經營理念,恪守“誠信、盡責、專注、極致”的核心價值觀,與三大運營商深度合作,為廣泛的客戶提供專業、穩定的IDC服務。目前,尚航先進的服務模式已經吸引了知名天使投資人的青睞,完成了首輪資金的注入。
網宿科技股份有限公司:
第8篇:對云安全的理解范文
《物聯網信息安全》教學大綱
課程代碼:
0302040508
課程名稱:物聯網信息安全
學
分:
4
總
學
時:
64
講課學時:
64
實驗學時:
上機學時:
適用對象:物聯網工程專業
先修課程:《物聯網工程概論》、《通信原
理》、《計算機網絡技術》
一、課程的性質與任務
1.
課程性質:
本課程是物聯網工程專業一門重要的專業課。
課程內容包括物聯網安全特
征、物聯網安全體系、物聯網數據安全、物聯網隱私安全、物聯網接入安全、物聯網系統安
全和物聯網無線網絡安全等內容。
2.
課程任務:
通過對本課程的學習,
使學生能夠對物聯網信息安全的內涵、
知識領域和
知識單元進行了科學合理的安排,
目標是提升對物聯網信息安全的
“認知”
和“實踐”
能力。
二、課程教學的基本要求
1.
知識目標
學習扎實物聯網工程基礎知識與理論。
2.
技能目標
掌握一定的計算機網絡技術應用能力。
3.
能力目標
學會自主學習、獨立思考、解決問題、創新實踐的能力,為后續專業課程的學習培養興
趣和奠定堅實的基礎。
三、課程教學內容
1.
物聯網與信息安全
(
1)教學內容:物聯網的概念與特征;物聯網的起源與發展;物聯網的體系結構;物聯網安全問題分析;物聯網的安全特征;物聯網的安全需求;物聯網信息安全。
(
2)教學要求:了解物聯網的概念與特征,了解物聯網的體系結構,了解物聯網的安全特征,了解物聯網的安全威脅,熟悉保障物聯網安全的主要手段。
(
3)重點與難點:物聯網的體系結構,物聯網的安全特征;物聯網的體系結構,物聯網的安全特征;物聯網安全的主要手段。
2.
物聯網的安全體系
(
1)教學內容:物聯網的安全體系結構;物聯網感知層安全;物聯網網絡層安全;物聯網應用層安全。
(
2)教學要求:
了解物聯網的層次結構及各層安全問題,
掌握物聯網的安全體系結構,掌握物聯網的感知層安全技術,
了解物聯網的網絡層安全技術,
了解物聯網的應用層安全技術,了解位置服務安全與隱私技術,
了解云安全與隱私保護技術,
了解信息隱藏和版權保護
1
歡。迎下載
精品文檔
技術,實踐物聯網信息安全案例。。
(
3)重點與難點:信息隱藏和版權保護技術,物聯網的感知層安全技術,物聯網的網絡層安全技術,物聯網的應用層安全技術。
3.
數據安全
(
1)教學內容:密碼學的基本概念,密碼模型,經典密碼體制,現代密碼學。
(
2)教學要求:掌握數據安全的基本概念,了解密碼學的發展歷史,掌握基于變換或
置換的加密方法,
掌握流密碼與分組密碼的概念,
掌握
DES算法和
RSA算法,
了解散列函數
與消息摘要原理,
掌握數字簽名技術,
掌握文本水印和圖像水印的基本概念,
實踐
MD5算法
案例,實踐數字簽名案例。
(
3)重點與難點:數據安全的基本概念,密碼學的發展歷史;基于變換或置換的加密
方法,流密碼與分組密碼的概念,
DES算法和
RSA算法;數字簽名技術,文本水印和圖像水印的基本概念。
4.
隱私安全
(
1)教學內容:隱私定義;隱私度量;隱私威脅;數據庫隱私;位置隱私;外包數據
隱私。
(
2)教學要求:掌握隱私安全的概念,了解隱私安全與信息安全的聯系與區別,掌握
隱私度量方法,
掌握數據庫隱私保護技術,
掌握位置隱私保護技術,
掌握數據共享隱私保護方法,實踐外包數據加密計算案例。
(
3)重點與難點:隱私安全的概念,隱私安全與信息安全的聯系與區別;隱私度量方法,數據庫隱私保護技術,位置隱私保護技術;數據共享隱私保護方法。
5.
系統安全
(
1)教學內容:系統安全的概念;惡意攻擊;入侵檢測;攻擊防護;網絡安全通信協
議。
(
2)教學要求:掌握網絡與系統安全的概念,了解惡意攻擊的概念、原理和方法,掌握入侵檢測的概念、原理和方法,掌握攻擊防護技術的概念與原理,掌握防火墻原理,掌握病毒查殺原理,了解網絡安全通信協議。
(
3)重點與難點:雙音多頻信號的概念以及雙音多頻編譯碼器工作原理;信號編解碼器芯片引腳組成與工作原理,信號編解碼器芯片的典型應用電路圖及軟件編程。
6.
無線網絡安全
(
1)教學內容:無線網絡概述;
無線網絡安全威脅;
WiFi
安全技術;
3G安全技術;
ZigBee
安全技術;藍牙安全技術。
(
2)教學要求:掌握無線網絡概念、分類,理解無線網絡安全威脅,掌握
WiFi
安全技
術,掌握
3G安全技術,掌握
ZigBee
安全技術,掌握藍牙安全技術,實踐
WiFi
安全配置案
例。
(
3)重點與難點:
無線網絡概念、
分類,理解無線網絡安全威脅;
WiFi
安全技術,
WiFi
安全配置案例;
3G安全技術,
ZigBee
安全技術,藍牙安全技術。
2
歡。迎下載
精品文檔
四、課程教學時數分配
學時分配
序號
教學內容
學時
講課
實驗
其他
1
物聯網與信息安全
8
8
2
物聯網的安全體系
12
12
3
數據安全
12
12
4
隱私安全
8
8
5
系統安全
10
10
6
無線網絡安全
10
10
7
復
習
4
4
小
計
64
64
五、教學組織與方法
1.
課程具體實施主要采用課堂理論講授方式,以傳統黑板板書的手段進行授課。
2.
在以課堂理論講授為主的同時,
適當布置課后作業以檢驗和加強學生對講授知識的理解和掌握;
適時安排分組討論課,
鼓勵學生自行查找資料設計電路,
并在課堂上發表自己的設計成果。
六、課程考核與成績評定
1、平時考核:主要對學生的課程作業、課堂筆記、課堂表現進行綜合考核。平時考核
的成績占學期課程考核成績的
30%。
2、期末考核:是對學生一個學期所學課程內容的綜合考核,采用閉卷考試的形式,考
試內容以本學期授課內容為主。考試成績占學期課程考核成績的
70%。
七、推薦教材和教學參考書目與文獻
推薦教材:《物聯網信息安全》
,桂小林主編;機械工業出版社,
2012
年。
參考書目與文獻:
《物聯網導論》
,劉云浩主編;科學出版社,
2013
年。
《物聯網技術與應用導論》
,
暴建民主編;
人民郵電出版社,
2013
年。
《物聯網技術及應用》
,
薛燕紅主編;清華大學出版社,
2012
年。
大綱制訂人:
大綱審定人:
3
歡。迎下載
精品文檔
歡迎您的下載,
資料僅供參考!
致力為企業和個人提供合同協議,
策劃案計劃書,
學習資料等等
打造全網一站式需求
第9篇:對云安全的理解范文
關鍵詞:云技術;終端安全;數據信息安全
中圖分類號:TP31 文獻標識碼:A
1 前言
目前,云技術已經在網絡服務中隨處可見,其發展具有廣闊的前景,但目前有很多報道披露了云技術尚缺乏安全性、可靠性和可控性。在IT產業權威公司Gartner的《云計算安全風險評估》報告中,列出了云技術存在的七大安全風險,這些風險將會給用戶尤其是大企業用戶造成不可估量的經濟損失,因此,云安全問題已成為限制云技術發展和應用的瓶頸問題。
只有使得云技術的安全得到有序穩健的發展,才能讓用戶更放心的使用。云技術的安全問題主要包括終端安全及數據信息安全,通過對上述兩項內容的詳細分析,為提高云技術的安全提供一定的參考。
2 云技術的終端安全
2.1 信息系統設備安全。在云技術下,用戶的一切操作包括數據的傳輸、存儲等都是在虛擬的“云”中進行的,那么,一旦信息系統設備除了問題,用戶所存儲的信息就會丟失或發生泄漏,因此,保證信息系統的安全是云技術安全問題的重中之重。信息系統的安全主要指系統的可靠性和可用性。
2.1.1 可靠性。可靠性是指系統在受到自然或人為影響時仍能夠保持正常運行或數據不被丟失的性能。提高系統的可靠性應通過各種技術措施,例如防病毒、防電磁等。數據傳輸是云技術中的重要一環,為保證數據在傳輸過程中的安全性應盡量采用光纖傳輸,或采用其他安全性強的傳輸設備。同時,為了降低信息系統遭受破壞的可能性,機房在設置過程中應盡量避開地震、閃電以及火災等多發地區,建立完善的預警機制,當系統遭到破壞時,能夠及時的報警并采取措施對危險進行控制,系統不僅要有完善的容錯措施和單點故障修復措施,還要有大量的支撐設備,為防止電磁泄漏等問題,系統內部設備還應采用屏蔽、抗干擾等技術。
2.1.2 可用性。可用性是指授權用戶可訪問并使用其有權使用的信息的特性。安全的云技術應該能夠通過權限設置來授權相應用戶對云技術的使用,同時應保證在系統部分受損的情況下仍能為授權用戶提供有效的服務。云技術主要通過建立認證機制、訪問控制機制、數據流機制以及審計機制等來保證系統對可用性的需求。
2.2 用戶終端安全。當一個企業的業務安全性受到破壞時,問題更多情況是出現在用戶終端,而不是后端的服務器,因此,應對云技術的用戶終端進行全面審核,避免用戶受到安全影響。比如在線身份被盜、網絡釣魚攻擊以及惡意軟件下載等。目前大部分企業對于自身的設備有較深的了解,但在云技術的環境中,企業可能需要依賴于多個云服務提供商,而這些提供商在安全等級上可能存在差異,因此,對于不同服務在終端的整合則較為重要,但如果將終端的安全轉由云服務提供商來保障,就會產生更多重要的問題,比如:安全和兼容性要求實現的問題、保護數據不被濫用的問題等等。
3 云技術的數據信息安全
3.1 數據使用安全。在云技術服務中,數據的存儲可能在多處,在訪問過程中的身份與訪問權限管理尤為重要,只有對身份的充分保證才能夠做到對數據安全的保證,因此,在涉及到重大問題的數據訪問上都應采用現場認證及加密證書的形式進行認證。云服務中通常會有多個身份聲明提供者,它們各自使用不同的流程。云系統需要理解這些不同的流程并將其驗證為可信,因此當企業把服務轉移到云上時,就會產生諸如身份的歸屬、身份提供者的更換權、驗證與授權與身份的綁定各種問題等各類問題。可借助提供者的身份鑒定和聲譽評定系統,來了解身份提供者在哪個安全級別。同時,使用強制證書的數字身份系統能夠驗證來自于自有平臺和基于互操作聲明的云提供商的用戶,因而可以大大提高安全性和數據的完整性。在不同的企業和云提供商中使用云服務的數字身份系統并且采用強健的流程可以把身份與訪問管理控制在可控的范圍中,令其安全性得到保證。
3.2 數據傳輸安全。對于傳輸數據,首先需要確保的是機密性,即使用一定的加密程序,當然,對傳輸數據,尤其在互聯網上傳輸數據時還需要考慮數據的完整性。在使用公共云時,對于傳輸中的數據最大的威脅是不采用加密算法。雖然采用加密數據和使用非安全傳輸協議的方法也可以達到保密的目的,但有時無法保證數據的完整性。
3.3 數據存儲安全。與傳統的存儲技術相比,云技術可通過對服務器集群和虛擬化技術,臨時調用計算和存儲資源,分配給服務器和存儲子模塊,從而有效的處理突發性的大訪問量。其次,企業在采用傳統存儲技術時,設備及軟件的升級以及數據的有效管理均具有一定的風險,而采用云技術后,可以通過專業人員對上述問題進行處理,由云存儲服務提供商來負責系統的升級、數據的備份歸檔等工作,使企業對這些數據管理的活動風險降至最低。但這同時也對云技術提出了較高的要求,必須加強數據保護的措施,確保數據被恰當地隔離和處理。對于靜止的數據,可以通過加密磁盤的形式來保護數據,而對于非靜止的數據,由于需要進行索引和搜索,加密則無法進行,可采用多租戶模式,將所用的數據和其他用戶的數據混合存儲。雖然云技術應用在設計之初已采用諸如“數據標記”等技術以防非法訪問混合數據,但是通過應用程序的漏洞,非法訪問還是會發生,到目前為止還沒有可靠的算法實現數據全加密,雖然有些云服務提供商請第三方審查應用程序或應用第三方應用程序的安全驗證工具加強應用程序安全,但出于經濟性考慮,無法實現單租戶專用數據平臺,因此惟一可行的選擇就是不要把任何重要的或者敏感的數據放到公共云中。這也是云計算的數據存儲安全的重大難點,只有突破這個難點才能實現云存儲真正的安全。
結語
當前我國的云技術產業尚處于起步和準備階段,已經處于大規模應用的前夕,在3~5年內,云技術產業將達到成熟階段,云技術將成為企業發展過程中不可或缺的基礎技術,我國政府也已經意識到云技術的重要性,以相繼在北京、天津、上海、深圳等城市建立了云計算相關平臺。目前信息安全技術主要被美國等發達國家所壟斷,全球真正有實力研發、提供完善“云服務”并對其制定安全策略的企業只有微軟、谷歌等少數IT企業,我國應加快云技術方面的安全建設,為云技術應用的大面積提供堅實的基礎。
參考文獻
[1]陳康,鄭緯民.云計算:系統實例與研究現狀[J].軟件學報,2009(5):1337-1348.
