投稿咨询
期刊

教育 医学 经济 金融 管理 科技 工业 机械 农业 电力 水利 文学 艺术 文化 建筑 图书 档案 交通 体育 更多

首页 精选范文 云安全的内容

云安全的内容范例6篇

前言:中文期刊网精心挑选了云安全的内容范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

云安全的内容

云安全的内容范文1

关键词:信息安全;设施云;云安全;渗透测试

中图分类号:TP309 文献标识码:B

1引言

云计算作为一种新的服务模式,用户在享受它带来的便利性、低成本等优越性的同时,也对其安全性疑虑重重。如何保障云计算安全成为云计算系统亟需解决的问题。此外,从近期发生的与云计算相关的一系列安全事件可以看出,传统的安全威胁在云计算服务中同样存在,而且由于云计算虚拟化、资源共享、弹性分配等特点,相比传统的IT系统,又面临新的安全威胁。辽宁省交通厅云数据中心基础设施平台于2015年全面启动建设。为解决辽宁省交通厅尤其是云数据中心面临的安全问题,辽宁省云环境下交通信息安全策略研究课题以辽宁省交通行业重要信息系统为对象,分析其面临的信息安全问题与挑战,以提升辽宁省交通行业现有信息安全水平。本文首先总结了云安全的新威胁,然后通过分析辽宁交通云安全的风险,明确辽宁交通设施云安全建设目标,提出辽宁省云环境下交通信息安全策略的研究重点和相关内容

2云安全新威胁

2.1虚拟化平台的安全威胁

如同传统的IT系统一样,虚拟化平台也可能存在大量漏洞或错误的情况。如果VM上存在漏洞,使得攻击者完全控制一个VM后,通过利用各种虚拟化管理平台安全漏洞,可以进一步渗透到虚拟化管理平台甚至其它VM中。这就是所谓的虚拟机逃逸。同时还可能导致数据泄漏以及针对其它VM的DoS攻击。

2.2隐蔽信道攻击

隐蔽信道(CovertChannel)是指允许进程以危害系统安全策略的方式传输信息的通信信道,通过构建隐蔽信道可以实现从高安全级主体向低安全级别主体的信息传输,是导致信息泄露的重要威胁。这种攻击的源头可以是来自虚拟化环境以外的其他实体,也可以是来自虚拟化系统中其它物理主机上的VM,还可以是相同物理机上的其它VM。

2.3侧信道攻击

侧信道攻击是一种新型密码分析方法,其利用硬件的物理属性(如功耗、电磁辐射、声音、红外热影像等)来发现CPU利用率、内存访问模式等信息,进而达到获取加密密钥,破解密码系统的目的。这类攻击实施起来相当困难,需要对主机进行直接的物理访问。例如通过监控数据进出运行着加密算法的硬件系统上的CPU和内存所花费的时间,来分析密钥的长度。再例如,可以对CPU或加密芯片的功耗进行观察分析。芯片上的功耗可以产生热量,冷却效应可以将热量移走。芯片上温度的变化引起机械伸缩,这些伸缩可以产生音量很低的噪声。在虚拟化环境下,通过查看计算机的内存缓存,攻击者可以获得一些关于什么时候用户在同一台设备上利用键盘访问启用SSH终端的计算机等基本信息。通过测量键盘敲击时间间隔,他们最终可以使用和Berkeley他们一样的技术来计算出通过计算机输入了什么。还能估算出当计算机执行例如加载特定网页等这样简单任务时候的缓存活动。这种方法可以被用于查看有多少因特网用户正在访问一台服务器,甚至是他们正在查看哪一个网页。为了让他们简单的攻击行为奏效,攻击者不仅能计算出哪一个服务器正在运行他们希望攻击的程序,还能找到一个在这台服务器上找到特定程序的方法。这并不容易做到,因为从定义上来看云计算会让这种信息对用户是不可见的。

2.4虚拟机的安全威胁

(1)虚拟机资源隔离不当,出现非授权访问。多租户共享计算资源带来的风险,包括一个租户的VM资源故障导致另一个租户的VM不可用,或一个租户非授权访问其他租户的VM。(2)虚拟机镜像文件或自身管理防护措施不足,引发安全问题。(3)虚拟机访问控制不严格或不完善,对虚拟机账号、密码或认证方式控制不足,导致非授权访问。(4)虚拟机之间的通信安全防护不足,导致出现攻击、嗅探。(5)VM之间的攻击和嗅探。VM之间进行嗅探或窃听,监视虚拟机网络上数据(例如明文密码或者配置信息)传输信息的行为。利用简单的数据包探测器,攻击者可以很轻松地读取VM网络上所有的明文传输信息。虚拟机迁移时安全策略不足,引发安全问题。(6)虚拟机迁移过程。虚拟机迁移过程中出现安全策略、安全参数的改变,导致错误授权、计费错误等问题;攻击者利用虚拟机迁移过程中的漏洞对虚拟机形成攻击。(7)特权(超级)虚拟机存在安全隐患,造成对其他VM的非法攻击或篡改。

2.5API安全

云计算系统通过开放应用程序接口来对外提供各种云计算服务。因此,开放应用程序接口的访问控制、操作权限管理以及恶意代码审查等在整个云计算系统中就显得非常重要。一旦应用程序接口的访问控制或权限管理不当,将会对云计算系统造成非法访问,导致不必要的数据泄露。具体包括虚拟机与云管理平台之间API的通信安全。

2.6数据安全

(1)数据隔离在云计算系统中,当一个文件存储到云计算系统中时,它可能会被分割成若干个碎片并存储在不同的存储空间上。而且来自不同租户的重要数据和文件可能会被存储,因此数据隔离和数据保护在云计算系统中非常重要。数据隔离不当,就会造成其他租户非法访问别的租户的数据,从而造成数据泄露。(2)数据泄露、隐私保护云计算系统的防数据泄露和隐私保护,一方面需要防止来自云平台中其他租户对数据的窃取,另一方面还需要防止来自云平台内部,如系统管理员对用户数据的泄漏。在传统体系中,信息是存储在单位内部的服务器或者个人电脑、设备上的,能够保证较好的数据隐私性。然而,在云计算中数据是存储在云端服务器上的,因此用户丧失了对隐私数据的物理保护能力。同时,用户需要通过互联网传输数据,更加增加了数据泄露的风险。除此之外,数据的完整性也是用户数据安全的重要需求。如何保障用户数据不损毁、不受未授权修改,以及所有合法的用户操作被准确执行是云安全的重要议题。最后,云平台还需要保证用户数据的一致性,即多个用户所看到的保存在云端的同一份数据是完全相同的。攻击者可以通过数据的不一致性访问未授权的数据,或者实施进一步的攻击。(3)删除后剩余数据的非法恢复用户数据被删除后变成了剩余数据,存放这些剩余数据的空间可以被释放给其他租户使用,这些数据如果没有经过特殊处理,其他租户或恶意运维人员可能获取到原来租户的私密信息。

2.7云计算资源的滥用

丰富的云计算资源极其强大的处理能力,在向用户提供正常服务的同时,也有可能成为攻击者通过恶意使用或滥用并发起网络攻击的有效工具。一些恶意用户通过利用云计算服务的这些特性,更加方便地实施各种破坏活动。密码破解者、DoS攻击者、垃圾邮件发送者、恶意代码制作者以及其它恶意攻击者都可以使用云计算环境提供的丰富资源开展攻击,从而进一步扩大攻击面及其影响力。

2.8恶意的内部运维人员

与传统计算模式相比,云计算环境下用户所有数据全部在云端。云服务商内部的运维人员能够接触到越来越多的云租户的数据,这种访问范围的扩大,以及缺乏有效的监督和管理,增加了恶意的“内部运维人员”滥用数据和服务、甚至实施犯罪的可能性,也使得恶意内部运维人员的安全威胁变得更为严重。

3辽宁省交通设施云安全建设目标

3.1辽宁省交通“云”数据中心建设目标

在辽宁省交通厅的《辽宁省公路水路信息化发展指导意见》的发展总目标中,特别指出:“建立具备大数据处理能力的省级交通“云”数据中心,实现交通信息资源共享和业务协同”。在建设任务中,明确了“信息化支撑体系建设”的内容,其中“信息化基础设施建设”中提到:『完成基于“云”架构的近远期规划,先期完成对服务器、存储、网络等硬件资源的整合,实现负载均衡、资源动态分配,提高整体工作效率,降低建设、使用及维护成本。依据《辽宁省公路水路信息化发展指导意见》的指导内容,根据辽宁省交通运输行业信息化发展现状,考虑行业未来几年的业务发展需要,紧随国际上先进的、成熟的云计算、大数据等技术,规划辽宁省交通云基础设施平台,充分满足省厅及各直属单位三到五年的基础设施需要,并为未来建设“云”数据中心做好准备,秉承“理念先进、结合实际、投资节省、适度超前”的思想,为全省信息化提供完备的基础设施支撑。

3.2辽宁省交通设施云安全风险分析

辽宁省交通“云”数据中心的建设目标是满足省厅及各直属单位三到五年的基础设施需要。其特点包括:辽宁省交通“云”数据中心目前只涉及设施云,没有架构云和服务云,结构相对简单;只考虑省厅及各直属单位三到五年使用,规模有限;只在行业内部使用,信息安全管理有保障;此外,由于系统采用国际上比较成熟的云管理产品,云产品自身安全风险较低,而且对于发现产品的漏洞厂商也可负责解决。辽宁省交通设施云安全管理目前最大的风险是由于辽宁省交通“云”数据中心建成并使用后造成的风险集中,而现有的省厅及各直属单位是按照信息安全等级保护二级进行管理的。为解决这个问题,首先要解决云安全的技术要求。由于目前国内没有可以参考的技术要求,因此要首先编制云安全的技术要求标准。其次,由于云安全的技术要求标准是个新要求,与等级保护常规检查依据不匹配,因此要有配套的信息安全渗透测试检查标准。此外,还应把交通厅信息安全管理体系达到信息安全三级的要求,应补充满足相应级别要求的信息安全管理体系。最后,为保证信息安全管理的落地,应有配套的管理软件。

3.3辽宁省交通设施云安全建设目标

依据《辽宁省公路水路信息化发展指导意见》的指导内容,根据辽宁省交通“云”数据中心发展规划,建设设施云安全技术标准、渗透测试检查标准、厅信息系统安全管理体系和云安全策略管理软件,关注省厅及各直属单位三到五年的“云”数据中心需要,并为建设和管理“云”数据中心做好信息安全策略指导,为交通“云”数据中心安全管理及厅信息安全管理水平提升提供重要的技术支撑。

4辽宁省云环境下交通信息安全策略研究重点内容

辽宁省云环境下交通信息安全策略研究的重点包括设施云安全技术标准、渗透测试检查标准、厅信息系统安全管理体系和云安全策略管理软件。

4.1设施云安全技术标准

设施云安全技术要求标准的编制目的是为指导和规范针对云环境下交通行业相关信息安全管理,介绍了云环境下辽宁省交通信息安全的基本内容和基本要求,针对交通行业设施云及相关信息系统提出了设施云管理框架、安全的技术要求和管理要求。

4.2渗透测试检查标准渗透测试检查标准的编制目的是为指导和规范

针对辽宁省交通行业信息系统的渗透测试检查工作,明确了渗透测试检查的基本概念、原则、实施流程、在各阶段的工作内容和基本要求。

4.3辽宁省交通厅信息系统安全管理体系

辽宁省交通厅信息系统安全管理体系的编制目的是辽宁省交通厅信息安全管理体系达到信息安全等级保护三级水平及云环境信息安全管理的要求,建设包括覆盖信息安全管理体系方针、组织机构和岗位职责规定、信息安全管理、计算机机房管理、计算机设备管理、计算机网络管理、介质安全管理、人员信息安全管理、软件系统开发安全管控、数据备份和恢复管理、第三方信息安全管理、信息安全检查管理、信息安全审计管理、信息安全审批管理、信息系统建设、信息系统日志管理、信息安全事件管理、变更管理、账号与密码管理、防病毒管理、信息资产安全管理、信息资产分类管理和信息系统应急预案等多项管理制度。

4.4云安全策略管理软件

云安全策略管理软件设计的目的是保障上述研究成果在辽宁省交通行业快速推广以及相关信息安全管理要求落地。其主要内容是利用计算机软件开发技术,开发B/S软件,实现信息安全知识共享,并依据上述技术标准和管理制度实现过程控制和信息管理。

5结论

云安全的内容范文2

关键词:云计算;云安全;措施;三到位原则

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2011)30-7526-02

"Cloud Computing" Service+ "Cloud Security" = "Cloud Development"

TANG Tao

(Network Center of Zhenjiang College, Zhenjiang 212003, China)

Abstract: The paper get an important conclusion on the basis of discussing the substances of the "Cloud copmuting" is that "Cloud security" is the major condition to constraint "Cloud computing" development. For this, advance the "achieve 3 accomplishments" to protect the cloud security. And make cloud computing services to achieve faster and better development.

Key words: cloud computing; cloud security; measure; achieve 3 accomplishments

1 概述

随着网络技术的发展和信息交换的日益频繁,信息安全技术的研究变得越来越重要。“云安全”是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过海量的网状客户端对网络中各种行为的异常状况进行探测,获取互联网中木马、病毒等不良程序的最新信息,并将这些信息传送到服务端进行自动分析和处理,再把解决方案依次分发到每一个客户端以解决不安全问题。“云安全”是中国信息安全界根据自身现状总结出来的概念,在国际云计算领域也引起了广泛关注。

2 云计算概述

云计算是一种崭新的服务模式。其实质是在分布式计算、网络计算、并行计算等模式发展的基础上,出现的一种新型的计算模型,是一种新型的共享基础框架的方法。它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。主要是解决近十年来互联网急速发展,导致的存储困难、计算机资源大量消耗、工厂产业人员和硬件成本不断提高、数据中心空间日益匮乏等问题。

原始的互联网系统与服务设计已经不能解决上述的种种问题,而急需新的解决方案。

2.1 云计算定义

“云计算”目前尚没有确切统一的术语定义,但这种服务模式发展很快,体现了强大的生命力。“云计算”这种服务模式其实质正像“哈佛商业评论”前执行主编Nick在新书中所评价的那样,他认为:云计算对技术所产生的影响就像电力网络对电力应用产生的作用一样。因此,电力网络改进了公司的运行,每个家庭用户从此可以享受便宜的能源,而不必自己家里发电。同样,云计算也可以比喻为自来水公司的供水服务。每个用户可享受自来水服务,而不必用户自己承担挖水井、修水塔并管理水的安全,只要付水费即可获得自来水的服务一样。因此,云计算这种服务方式,从目前对于用户来讲是一种高级、便捷的服务方式。它是用户外部的数据中心,即用户委托第三方为用户提供各种服务的新型计算模式。“云”就是软硬件基础设施。

2.2 云计算模式

云计算服务模式不仅在国外,而且在国内也有很好的发展势头。比如:

1)2008年5月,IBM在无锡太湖新城科教产业园建立了中国第一个云计算中心。

2)2008年6月,IBM在北京成立IBM云计算中心,称其为“兰云”。

3)阿里巴巴2009年初在南京建立国内第一个“电子商务云计算中心”。

4)中国移动等业务大公司也纷纷提出相应的云计算发展方案。

2.3 云计算的优越性

一些学者总结了云计算在运行中显示的优越性:

1)在云计算时代,用户只需在浏览器中键入提供云计算的网络服务公司的地址,并找到提供相应服务的功能菜单,就可以体验最新的操作系统、最新的流行软件,以及用相应的软件来打开相应格式的文档,客户端的操作系统没有任何限制,唯一的条件就是能够上网。

2)云计算可以轻松实现不同设备间的数据共享,所有电子设备只需连接互联网就可以访问和使用同一份数据。

3)云计算可以提供无限多的空间、无限强大的计算。利用云计算,无论你身在何处,只须拥有一台终端接入Internet就可以得到所有你想得到的服务,比如订酒店、查地图、进行大型应用程序的开发等。

3 云安全

云计算同一切社会经济活动一样,其发展的根本条件是“云安全”,虽然“云计算”这种服务模式的出现有其必然性,但其安全问题又成为影响其发展的不可回避的问题。

3.1 云安全问题是客观存在不可回避的

3.1.1 云计算网络本身可能存在故障

比如:1)2009年2月Google Gmai 中断服务长达4小时;

2)微软的Azure停止运行约22小时;

3)2008年,亚马逊公司S3服务曾断网6小时。

以上几例的中断服务就是明显的网络自身云安全隐患。

3.1.2 云计算服务上如何保证用户存储在云中数据的安全性至关重要

这种保证取决于云计算服务商的主观的和客观的保证。当然所有云计算客户都希望服务商能保证用户存储在云中的数据是安全的。不会泄密(尤其是敏感数据信息),同时用户的帐户也是绝对安全的,不会被盗用。这些都是云计算服务急需解决的问题。对此,我们说服务上的主观因素导致云安全问题是因为不同的服务上有其不同的诚信度。据“华尔街日报”等西方媒体近日披露:谷歌、微软等网络巨头掌握了大量网民的个人信息。很多网络公司出于商业目的,利用这些信息赚钱,不仅侵犯了个人及企业的隐私权,甚至会给其带来巨大的经济损失。

所以说云安全在排除云计算服务商其主观因素造成云安全隐患外,还有其客观原因,那就是“云计算”安全策略或技术没落实到位所造成的,都应引起重视。因为这些“云安全”隐患都动摇了客户对于云计算服务的信心,这也实际上是制约云计算发展的重要原因。对此要解决的根本出路在于消除安全隐患,以改变对客户的吸引力,发挥“云计算”的优势。

3.2 云安全措施

3.2.1 云计算中确保信息安全的具体方法

1)加密文件

使用加密技术对文件进行加密,同时使用对应密钥进行解密。哪怕数据传到很远的数据中心,加密都可以保护数据。很多程序软件都提供足够强大的加密功能,只要用户习惯并使用安全的密钥,相应的敏感信息将很难被访问。

2)加密电子邮件

为了确保邮件的安全,可以使用Hushmail之类的程序,它们可以自动加密所收发的所有邮件,确保邮件安全。

3)寻找值得信任的互联网应用服务

寻找值得信任的互联网应用服务以及服务商,杜绝用户信息落入不法分子手中,造成社会危害。

4)关注隐私性

几乎所有关于互联网应用的隐私政策里都有漏洞,以便在某些情况下可以共享数据。用户需要做出判断,以便确定是否将隐私数据保存在云计算环境中。

5)合理使用过滤器

使用Vontu、Wedsense和Vericept等公司提出了的安全系统,可以监视用户网络数据是否离开了正常网络,可以自动阻止敏感数据流向非法地址。随着云计算技术的发展,这种工具将会越来越多,合理利用这些工具将会有利于用户数据的安全保护。

3.2.2 云安全措施三到位原则

治理云安全的措施很多,但笔者认为主要还是要坚持三到位原则,再辅以以上提到的强有力的云安全管理软件及设备,就能做到真正的云安全。

1)相关的行政管理到位

尽管“云计算”服务上的诚信至关重要,但诚信毕竟不是标准也不是法律依据,所以云计算服务上必须将自己的经营理念纳入到国家、政府或相关行业部门管理的大目标之下。政府以及相关行业部门的管理法规及标准又是引导和督促相关云计算服务商守法经营、安全经营,保证“云安全”的重要保证。所以,相关的行政管理到位至关重要。

2)云计算服务商要以云安全为己任

建立完善的安全解决方案,探求云安全技术并将云计算的安全服务落实到位。云计算服务商要采用防火墙措施,杜绝非法访问,进行网络内容与行为监控审批等进行入侵防御、反病毒部署、使用杀毒软件保证其内部的机器不被感染;并用入侵监测和防御设备或者分权分级管理防止黑客入侵和内部数据泄密。

3)云计算使用客户要把云安全防范措施落实到位

云计算客户要对自己的数据信息文件采用加密技术,并管理好账户防止被恶意截获或读取。此外还要注意考虑云计算王的商业模式并选择信誉好的云计算服务商。总值云计算客户一定要把安全防范措施落实到位。这样加之政府或行业主管部门的严格管理,云计算服务上诚信至上并将云安全策略和技术落到实处,一定会使云计算服务有安全保障并具有广阔的发展空间。

4 结束语

云计算是继大型计算机到客户端-服务器的大转变之后的又一种巨变云,云安全是为了发展云计算而采取的必要手段,同时由于安全性和隐私性受到质疑,云安全也成为了制约云计算发展的重要因素。安全不只是某一个阶段某一个时间点需要做的事情,而是需要持续的长期的进行,用户必须勤于云技术管理和定期审查云的安全性,才能使用安全的云,云计算服务才能获得更快更好的发展,才能更好地诠释“云计算”服务+“云安全”=“云发展”。

参考文献:

[1] 胡炜,钟卫连.浅谈云计算的网络安全问题[J].中国科科技信息,2008(23):108-111.

[2] 尹国定,卫红云.计算:实现概念计算的方法[J].东南大学学报:自然科学版,2003(4):502-506.

[3] 薛质.信息安全技术基础和安全策略[M].北京:清华大学出版社,2007.

[4] 李虹,李昊.可信云安全的关键技术与实现[M].北京:人民邮电出版社,2010.

云安全的内容范文3

针对这现在的这种云应用项目需求暴增,云应用产品安全问题日渐凸现的现状,就逼迫云产品提供商与云应用使用.者再寻找更为可靠更为便捷的安全方案。在以前,云计算环境提供者更多的会从:集中化、专业化、复杂化、虚拟化、可视化及健壮性六个方面进行设计与构建。但是,实际应用过程中,由于用户或是管理员层级的疏忽也同样可能造成整个系统的安全漏洞。而在多网络环境、多终端接入的情况下,这种安全的隐患更为突出。所以,一个完整的云计算安全解决方案,首先应该能够满足覆盖了从链路、网络、系统、内容到Web、DB等关键应用的安全需求的方案。这样就可以规避安全短板,为云计算数据中心构建了立体安全防御体系,全面防御各类混合型攻击和APT攻击。其次,应该充分考虑用户角色、接入设备、加密方案、证书策略、身份识别等等各个方面的安全需求和便利性需求。这样不仅可以充分发挥云计算在虚拟化、专业化的特点,解决操作风险、账号欺骗、弱口令等风险,也能更好的为用户提供更贴近、更可靠的应用。综上,云时代的信息安全,首先应该是基于云计算中心安全建设、相关厂商安全产品服务提供、以及云应用使用者安全防范三个层面上的。

2现有云安全产品的特点

目前,针对云计算中心的安全建设,除了前面提及的去计算中心通过虚拟防火墙和配置ACL策略加强自身的安全建设外,国内外安全产品及技术服务厂商也已经提出并提供了一些相关的产品或方案。比如:较早提出“云安全”思路的趋势科技,推出了推出基于趋势科技云安全技术核心的解决方案。一方面用“云的防护盾”技术来保障“云”平台本身的高可用性,使得各种企业数据中心/应用系统或者云环境免受病毒、攻击、系统漏洞等威胁侵害;另一方面,通过“云中保险箱”技术来保护用户存放于云端的隐私和关键数据不被非法窃取和利用。天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全保护。Fortinet也提出了建立满足云计算多层次的安全需求;运用了多种硬件加速技术,为云计算提供数据中心极高的安全性能;通过大量虚拟化技术,无缝贴合云计算网络架构,是一套为云计算环境量身定制的安全解决方案。这些厂商虽然侧重角度不同,但是产品都是贴合云计算的特点,针对云计算中心的需求进行开发设计的。这在很大程度上弥补了云计算中心在自身安全策略构建方面的不足。同时,我们也应该看到,用户层面的安全防护及策略部署才是整体安全体系中较为短板的一个环节。如何弥补这个短板才是整个云计算平台安全运行的保障。目前最为有效的解决方案是,通过云计算中心和安全产品、技术服务厂商的安全策略部署,充分利用虚拟技术和安全审计,从而减少了安全风险。这些设计思路与云计算中心可以相互配合,动态的进行部署。同时,针对用户层较为模糊的需求,通过虚拟环境提供一个“沙盒”从而保证操作的安全与信息的准确。

3云安全的未来方向

云安全的内容范文4

与会嘉宾们一走进会场,就看到“The adventures of alice & bob(Alice和Bob的奇幻冒险)”的会议主题板,这是本届RSA大会的主题。对此,主办方的解释是,之所以是Alice和Bob,主要因为他们的首字母是a、b,代表广泛密码学和物理学领域的通用角色。同时,以“the adventures of alice &bob”为主题,则意味着探索和创新。

虚拟化实现新型云安全

“云计算的发展将给整个IT产业带来巨大变化,10年后,IT的使用将和现在的电网传输一样方便,云计算一定会成为主流。云可以满足任何业务流程对信息安全、法规遵从和性能的要求,即便是对安全要求高的支付卡行业,云也能够完整响应。”会上,EMC公司执行副总裁兼EMC信息安全事业部RSA董事会执行主席Art Coviello信心满满地对与会嘉宾说道。

目前,安全问题成为云计算应用推广的“拦路虎”已经是业界共识。出于对安全的担心,云服务的广泛使用也一直稍稍落后。Art Coviello表示:“尽管云计算可以大幅节省成本,显著提高敏捷性,但是它打破了传统上确保基础架构和信息可见性,以及可控性的方式。强迫企业针对每一个云服务商建立可信机制,显然太麻烦,而且不能扩展。”

Art Coviello是RSA大会的灵魂人物。在的题为“要检验不要承诺:建立可信云”的EMC愿景书(EMC Vision Paper)中,他向传统的云思维提出了挑战。他认为,要打消用户对云安全的顾虑,必须使云受控和可见,传统的云安全需要依据外部证明才能被用户相信,而新型的云安全却能够实时监控云的实际状况,用户可以直接检查。

“我们能以不同于以往的方式,从根本上实现信息安全。而不论云环境是内部管理的,还是外部合作伙伴提供的,都可以建立这样的信任。”Art Coviello表示。

如何实现云安全?或许虚拟化技术可以给出解决方法。“虚拟化使云能超越现有的IT系统所提供的受控度和可见度。通过将多个系统合并到单个平台上,企业获得了一个集中控制点,因而可管理并监控所有虚拟基础架构的组件。这是云安全的一线曙光。”Art Coviello表示。

此外,Art Coviello也设定了运用虚拟化的3条途径,分别是逻辑上的和以信息为中心的安全性、内置到基础架构和应用中的安全性,以及基于风险和自适应的安全性。他表示:“通过这3条途径,我们能达到更高的控制和可见性水平,从而产生关键证据。企业能在第一时间检查和验证各种情况是可信云的最高标准。这是一个基于证据而非承诺的标准。”

落地产品与应用

在本届大会上,EMC公司信息安全事业部RSA还宣布推出RSA云可信权威(Cloud Trust Authority)服务,并于今年下半年开始试用。

据Art Coviello介绍,云可信权威服务能够使身份、信息和基础架构既具有可见性,又可以控制,帮助企业建立必要的可信,以利用云计算运行关键业务应用、处理敏感信息。因此,通过RSA云可信权威服务控制台,企业能管理与云服务商的关系,这使得配置和部署基于云的安全服务更为容易。

“RSA云可信权威服务使企业采用云计算变得简单,将使云服务商有机会提供一系列的应用。”Art Coviello表示,这套基于云的服务,有利于促进企业和云服务商的信息安全和法规遵从关系。此外为了进一步支持和强化这种需求,EMC宣布了由EMC咨询部门新提供的、具有云优化工具的云计算咨询服务,帮助客户建立均衡的云计算战略,通过云服务商从既有架构扩展,达到可信目标的同时,让成本最低。

云安全的内容范文5

“一项调查显示,70%的用户对于云计算、移动应用的安全性心存疑虑。”亚信安全公司安全中心副总经理轩晓荷在主题为《云与大数据时代的信息安全挑战与对策》的演讲中提到,“恶意软件的大量增加与行业安全标准、监管措施的缺失,使得企业在安全方面面临更严峻的挑战。在国外,越来越多的用户习惯于购买安全运维服务,而中国90%的用户还在采购安全产品。这就是差距所在。”

那么,如何才能缩小差距,不断增强中国企业在云计算、大数据、移动应用方面的安全性呢?轩晓荷提出了四大策略:第一,准确识别云计算和大数据环境中的安全威胁,做到知己知彼;第二,有效平衡开放技术和安全防护的需求;第三,循序渐进提升企业的安全能力,从产品到服务逐步完善;第四,建立企业整体的安全体系,不断完善安全机制。

由被动防御到主动防御

在新型安全攻击层出不穷的时代,云中的大数据成了网络犯罪集中攻击的目标。今年8月,国务院常务会议通过《关于促进大数据发展的行动纲要》,其中明确指出了推动政府大数据开放、共享,并保证其安全的重要性。各地方政府也在逐步落实数据公开和数据资产化。保证大数据的安全已刻不容缓。

国家信息中心网络安全部副主任李新友表示,保证大数据的安全需要做好以下几方面工作:第一,政府部门要加强相关的立法工作,制定数据公开和交易的原则;第二,个人要增强隐私和信息保护意识;第三,厂商要在大数据安全产品和解决方案的创新方面下更多功夫。

随着云计算应用、移动智能终端的普及,企业需要在原有的网络环境中增加对移动设备的安全管理,同时还要小心应对数据中心逐步向虚拟化环境、云中迁移时带来的安全管理挑战。在这种情况下,企业必须建立立体化的防护体系,对企业基础架构与云计算、大数据、移动应用实行一体化的防护,采用统一的标准化的安全模式。以前,企业针对不同的应用可以采用单一功能的安全产品进行保护。现在,随着应用和数据的集中,企业必须采用统一的身份认证和防护解决方案,以满足合规的要求。

“企业需要防护的范围在逐步扩大,除了物理设备、数据库需要保护以外,就连虚拟资源池也要进行保护。”轩晓荷补充说,“企业需要保护的内容越来越丰富,有必要时还要针对大数据提供特别的安全解决方案,此外还要考虑安全威胁治理等。”

最让互联网企业和云服务商感到头痛的是防不胜防的DDoS攻击。在一些竞争比较激烈的行业或领域,企业非常担心自己的IT系统受到来自不明方的攻击。虽然很多厂商可以提供防DDoS攻击的设备,但是随着云计算、大数据的出现,单纯依靠一个设备或单一的解决方案已经不能有效抵御DDoS攻击。”一些互联网公司的作法是,在DDoS攻击比较猛烈时,系统可以动态地快速增加服务带宽,比如将过去服务100个客户所需的带宽瞬间提升至可以支持5万甚至10万客户的带宽水平,这样一来,DDoS攻击就会立刻失效。”亚信安全业务发展总监童宁举例说,“但是现在又出现了一种新型的更廉价的攻击方法――CS攻击,基于内容安全的漏洞来实施攻击。这种攻击更具针对性,主要是消耗服务器的CPU资源。企业更应小心应对。”

以前,企业通常采用的是被动防御的策略,亡羊补牢。所以给人一种印象,企业和安全厂商总是被黑客牵着鼻子走。“其实,这是一种假象。安全厂商的许多技术创新工作都走在了黑客前面。在今年全球发生的16个零日攻击中,趋势科技预先发现了其中的8个。”童宁介绍说,“我们现在要变被动防御为主动防御,并将被动防御与主动防御的技术相结合,这样才能让黑客无处遁形。”

企业转型的坚强后盾

今年9月1日,亚信科技宣布收购趋势科技在中国的全部业务,包括核心技术和知识产权100多项,同时建立独立的安全技术公司――亚信安全。此举不仅在安全领域引起了强烈震动,而且对于亚信集团的转型来说也是一个推动。2014年7月,亚信集团对原有业务进行了调整,分成了四大事业群,安全业务就是其中之一。借收购趋势科技中国业务之机,亚信安全将原有的通信安全技术与趋势科技的云安全、大数据安全技术相结合,成了网络云安全领域新的领头羊,VMware、微软Auzure和亚马逊AWS等全球领先的云服务商都是亚信安全的客户。

收购完成后,亚信安全具备了提业互联网整体安全软件的能力,也将业务进一步扩展至金融、教育、制造、医疗等更多领域。亚信安全董事长何政表示:“亚信收购趋势科技中国业务之后,拥有了国际领先的云安全关键核心技术和产品,将使中国在世界云安全产业版图中占据重要位置,同时对于保障国家网络安全与云产业安全,实施自主可控战略也具有重要和深远的意义。亚信安全作为一家中国本土公司,将充分发挥在网络安全方面的技术优势,并与国家信息中心齐力合作,进一步加强自主研发、业务创新,保障国家网络安全,共同推动国家信息安全体系的建设和发展。

亚信安全作为中国领先的云与大数据安全技术、产品、方案和服务供应商,将以“护航产业互联网”为使命,坚持“产品、服务、运营三位一体”的经营模式,助力客户构建“立体化主动防御体系”,推动企业实施自主可控的安全战略。

亚信安全在北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,在网络安全、云和虚拟化安全、终端和移动安全、APT治理和安全服务等多个安全领域拥有具有自主知识产权的安全软件和解决方案。“通过与趋势科技分布在全球的15个恶意软件实验室合作,亚信安全可以响应和应对来自世界各地的威胁。”童宁介绍说。

亚信科技原来的安全部门主要为运营商提供服务,而趋势科技中国服务的对象主要是政企客户。亚信科技收购趋势科技中国业务后,对双方的安全业务进行了重新梳理和定位:对于双方原来的优势领域,亚信安全将继续深耕细作,不断巩固既有优势;对于双方原来都不擅长的领域,亚信安全会整合现有的产品,继续拓展新的业务领域;对于一些潜在的市场,比如中小企业安全市场、针对运营商的云安全服务等,亚信安全会全力出击,以新的解决方案和服务覆盖这些市场。“针对运营商,我们仍会采用直销的手段,还会为大型客户提供定制化的产品和解决方案。对于商业市场,我们会充分借助2000家合作伙伴的力量加强渠道销售。”轩晓荷表示。

亚信集团的新定位是“领航产业互联网”。在亚信集团转型的过程中,安全业务是不可或缺的一环。亚信安全将成为产业互联网坚定的拥护者和坚强的安全后盾。

助力自主可控

没有网络安全就没有国家安全。在世界各主要大国间的网络空间安全争夺战愈演愈烈的情况下,我国已了网络空间安全战略和《网络安全法(草案)》,以便更好地推动我国网络信息安全的稳步发展。

云安全的内容范文6

不言而喻,云计算仍是一个迅速变化的领域,要么保持在最前沿,要么落后。2010年10月18号,工信部和发改委共同发文将云计算和虚拟化写入“十二五”的战略规划,确定在北京、上海、深圳、杭州和无锡五个城市先行开展云计算服务创新发展试点示范工作。远看,我们需要抓住云计算所带来的机遇,持续并快速的改变思维,优化流程、找寻方法、变革技术;近看,迁移到云计算的过程,为我们提供了新的契机,来重新审视和谋划现有的基础设施、应用等与业务的关联性。不论是远谋还是近思,云计算与任何新概念和技术一样,它会带来新的机遇,也将创造新的风险,不可预期的安全风险甚至会超过企业当前的安全需求。在你思考选择是否选择云计算的时候,安全的位置和忧虑到底是怎样的?本文将通过我们的所见所闻,与你共同探讨云计算安全的问题,以期所思所想与大家共鸣。

共识:云计算是安全机遇

不论是广义的云计算安全,还是狭义的云安全。目前普遍的共识是云计算是安全技术创新和发展的机遇,在云计算还未像今天如此火爆的时候,狭义云安全的定义就已经风生水起,成为安全厂商展现自身安全技术系统、架构领先性的舞台。借助云的概念,安全厂商自身技术和架构的可信、规模、积累、对服务模式的思考等,就成为了他们经常挂在嘴边的关键词。产业也在经历了云计算是安全的灾难,还是安全机遇彷徨之后,意见逐渐趋同。虽然安全目前依然是摆在企业跨入云计算环境的首要担忧之一,但云计算给安全所带来的机遇,已经是产业和厂商的共识。

共鸣:信心和耐心为云计算卸下包袱

不论是选择云服务,构建私有云,还是将现有基础设施迁移到云。首先需要对这一新兴技术概念抱有信心,从2010到2011年的很多报告显示,由于安全问题,众多的企业对云计算持谨慎态度,但对云对安全的态度正在发生变化。2010年Harris调查显示,超过81%的用户担心云服务的安全性问题,普遍认为云计算缺少安全性。而到了2011年,众多的调查报告显示,企业开始对云计算选择的比例呈上升势头,赛门铁克《云端现状调查》报告显示,88%的受访者有信心迈进云计算而不会影响信息安全,虽然只有很少比例(15%-18%)认为已经做好过渡到云的准备,虽然说多做少,但根据这份调查报告显示,譬如企业选择邮件安全、IM安全等安全云服务的比例要多于其他云服务,从对安全的担忧到现在的安全性预期的评估,安全造成企业对云计算呈谨慎态度的局面正在改观。

还有众多的云计算调查报告的数据,也显示出企业对云计算的钟情。虽然安全的担心仍然存在,但云服务的效能、可用性、评估预期、IT部门对系统的控制权是否会导致岗位流失等更多的隐忧正在浮现,安全从云计算诞生就背上的包袱和阴霾正在被驱散。

同时云计算不可能一蹴而就,所以企业和整个产业都要有耐心走好这个过程,从整个行业进展情况来看,可能很多企业都要花多则6-7年,少则3-5年来过渡,而目标也不是简单的将数据中心搬到公有云或变成私有云。同样之于安全,云计算的技术架构,平台,终端计算,每个层次都不能忽视安全,每个层面都有安全,包括管理也需要安全,安全不是支离破碎,不是某一个环节把安全考虑好了就一劳永逸。所以需要从各个层面看现有架构走到安全体系的阶段,包括传统组件,基础架构,技术应用,开发等,当新的应用方式出现的时候,都是对安全的巨大挑战,如果不能很好的处理将带来不可预期的后果。比如新老应用,与云与现有安全架构的兼容性问题?数据在云端和本地的风险和合规问题是完全不同的?迁移策略是怎样的,迁移过程中,安全策略如何掌控动态变化?虚拟化打破了物理的硬性绑定,流动的数据和应用,安全如何考虑?

共鸣:安全责任归属发生的改变

根据CSA云安全联盟的《云计算关键领域安全指南》对云计算安全的定义,云计算中安全控制的主要部分与其他IT环境中的安全控制并没有太大的区别,但是根据企业采用的云服务模型、运行模式以及提供云服务的技术,与传统IT解决方案相比云计算可能面临不同的风险。

如上文所述,企业对云计算安全的谨慎态度,已经随着云的逐步深入,转嫁到其他方面的担忧,比如云的效能,可用性等。。云计算的重要吸引力之一就在在于经济上的可扩展性、标准化提供的成本效率,为了支撑这种成本效率,云提供商提供的服务和解决方案必须足够灵活,以服务最大可能的用户数、最大化企业的市场,而安全集成到这些服务方案中将使得方案变得僵化。虽然安全只是使得云服务僵化的原因之一,但与数据和信息的所面临的风险相比,安全的集成必不可少。所以明确的可纠责性,清楚企业安全现状的成熟度,就是有效安全控制的级别等就显得格外重要了。

CSA联盟给出的安全责任根据云服务模式划分为:在SaaS环境中,安全控制及其范围在服务合同中进行协商,服务等级、隐私和符合性等也都在合同中指出。在IaaS中,低层基础设施和抽象层的安全保护属于提供商职责,其它职责则属于客户。PaaS则居于两者之间,提供商为平台自身提供安全保护,平台上应用的安全性及如何安全地开发这些应用则为客户的职责。

共鸣:私有云与公有云谁更安全

首先要清楚公有云和私有云的定义,公有云由云服务供应商提供,其云基础设施、平台或应用为公众或企业提供服务。私有云的基础设施、平台和应用只为企业运行和服务,由企业自身负责管理。当然企业也可以在自建私有云的同时,一些业务也可以选择公有云服务提供支撑,这就是混合云的概念了。

简而言之,私有云是在企业内部署的,有明确的边界,我们是否就可以认为私有云就更加安全呢?正如CSA对云计算安全定义的那样,其实云计算安全控制的主要部分与传统IT环境的安全控制没有什么区别。更写实的理解,公有云供应商来维护其云环境的安全,只是其为公众提供云服务,私有云是企业维护自身云的安全,为自己提供云服务而已。他们共同面对的安全问题都来自云计算的特性,即虚拟化所提供的动态性,意味着即便是私有云,如果云环境的一个虚拟机存在安全威胁,那么虚拟机间的通信就会存在安全威胁,那么企业传统安全架构和防护措施可能就会被轻易越过,那么企业私有云安全边界是需要动态的变化,还是像传统安全边界一样面临挑战?

同时,企业正在不断提升其安全系统的级别,即高级安全系统的构建。那么这样的系统需要可信,基于信誉,智能感知,背景感知,自动化管理,对安全策略的动态部署等等。简言之,完全打破人工对安全的更新、维护、管理,尽量节约人工成本。那么问题就出现了,满足云的安全自动化的能力与目前企业的人工安全实践并不匹配,企业是该牵强的附和云的自动化要求,强上安全自动化,还是等待技术进一步完善,在安全与云基础设施完全匹配前,平衡更多的条件和因素?据笔者了解,在未来的新版本《云计算关键领域安全指南》中,将有专门的主题,讨论企业私有云安全的内容。

再看公有云,在《云计算关键领域安全指南》V2.1中。所涉及的云计算安全的内容范畴大多数与公有云的安全有关,正如前文所提到的不同云服务模式的职责分配。企业可能会问既然选择了公有云服务,为什么还要对云环境承担责任,甚至依然倔强的认为私有云比公有云在安全方面更具优越性。坦率的说,如果企业决定选择公有云的服务,那么首先要充分信任云供应商的安全防护技术和能力,并与供应商明确各自控制范围的安全范畴,并尽最大可能将企业本身需要维护的安全内容做到完善;而不是当面对公有云的时候,模糊职责范围,不去履行企业自身应尽的责任。

总结一下,私有云即使在企业控制范围内,如果使用不善,依然面临安全威胁的挑战,公有云如果与供应商一起,通过合理的职责划分和合作,也能达到更好的安全性。

在《云计算关键领域安全指南》V2.1中,指出了12个关键领域的云计算安全控制范围,分为治理和运行。治理部分包括:治理和企业风险管理,法律和电子证据的发现,合规和审计,信息生命周期管理,可移植性和互操作性。运行部分包括:传统安全、业务连续性和灾难恢复,数据中心运行,事件响应、通告和补救,应用安全,加密和密钥管理,身份和访问管理,虚拟化。并给出了详细的治理和运行建议。

挑战:云计算安全与传统安全的异同和挑战

为什么我们说云计算安全与传统安全区别不大?现在就来看看他们的异同。相同点:第一目标是相同的,保护信息、数据的安全和完整;第二保护对象相同,保护计算、网络、存储资源的安全性;第三采用的技术类似,比如传统的加解密技术、安全检测技术等。不同点:比如云计算服务模式导致的安全问题,虚拟化带来的技术和管理问题等。

那么云计算安全会面临哪些安全威胁挑战?主要来源于技术、管理和法律风险三个方面。挑战包括:

1.数据集中,聚集的用户、应用和数据资源更方便黑客发动集中的攻击,事故一旦产生影响范围广,后果严重。

2.传统基于物理安全边界的防护机制在云计算的环境难以得到有效的应用。

3.基于云的业务模式,给数据安全的保护提出了更高的要求。

4.云计算的系统非常大,发生故障的时候,如果快速的定位问题的所在,挑战也很大。

5.云计算的开放性对接口安全提出新的要求。

6.管理方面,挑战在于管理权方面,云计算数据的管理权和所有权是分离的,比如公有云服务方面,是否给供应商提供一些高权限的管理;还有就是在企业和服务提供商之间需要在安全方面达成一致;还有就是在协同和管理上的一些问题。比如发生攻击时的联动,对运营管理的模式提出了一些要求;还有监管方面的挑战等。

7.在法律风险方面主要是地域性的问题。云计算应用引发了地域性弱,信息流动性大的特点,在信息安全监管、隐私保护等方面可能存在法律风险。

上一篇微型课的要求

下一篇资本市场高质量发展

相关精选