公务员期刊网 精选范文 对云安全的理解范文

对云安全的理解精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的对云安全的理解主题范文,仅供参考,欢迎阅读并收藏。

对云安全的理解

第1篇:对云安全的理解范文

终端因为其储存着大量敏感数据,因而成为黑客和病毒制造者的攻击目标。因为每个病毒码被部署到1000台终端至少需4小时,而终端直接面对企业的内部员工,且难以管理,所以导致终端成为企业网络中最脆弱的一环。虽然利用云安全技术,对病毒的响应时间缩短了九成。但是,我们仍然十分有必要重新对终端安全的价值进行判断和思考。

思考

网关安全能否代替终端安全?

如果说云安全的不断升温显示了信息安全领域正在技术上谋求变革,那么这背后所隐含的意义事实上更加引人关注。

在之前的很长一段时间里,网关安全都是一种受到推崇的防护模式。由于在网关处部署防御体系可以过滤大部分通信内容,所以有大量的组织都将安全保护的重心集中于网关位置。

然而事实结果证明,过分依赖于网关防护而忽视了对组织内部计算机节点的保护,导致的结果仍旧是较低的安全性。云安全所带来的对技术和功能的改进令人欣喜,而其对终端安全乃至于对整个安全体系的补强,让人看到了从核心层面变革安全防护的可能。

传统安全体系的终端安全困局

在一些典型的安全案例中,组织虽然部署了防火墙、入侵检测和VPN等安全保护措施,但是这些措施似乎只能防止外部威胁进入内部网络,而对于信息存放失当、员工误操作等内部安全管理问题却束手无策。

很多调查报告都显示,全球范围内的企业员工在工作时间更容易进行具有安全风险的计算机操作,诸如访问可能存在威胁的网站、打开来源未知的电子邮件附件等等。可能是企业缺乏足够严格和有效的安全管理制度,也可能是员工对非私有财产的保护意识不足,总之人们在上班状态下似乎没有对网络安全问题给予正确的认识和足够的重视。

美国《Network World》报道,当前的网络访问控制解决方案往往只评估终端的初始状态,一旦一个终端节点获得安全系统的访问许可,那么之后的操作将很少受到严格的监控,这也体现出当前终端保护体系缺乏动态反应能力的现状。

正如趋势科技全球高级副总裁暨大中华区总经理张伟钦所指出的,如果安全威胁的入侵原因及位置缺乏足够的能见度,那么信息技术部门就无法确定正确的解决办法,也无法真正提供有效和及时的安全响应服务。除了识别安全威胁存在误区之外,传统的安全管理体系也缺乏能够有效对安全威胁进行预警和修补的工具。

赛门铁克中国区技术支持部首席解决方案顾问林育民则表示,在发生安全事件的时候,信息技术部门往往需要耗费大量的时间去定位威胁源头、识别威胁种类,进而制订出处理方案并实施。从时间上来看,这往往都要滞后于威胁的传播,经常是所有终端都已经受到波及之后信息技术部门才开始真正的处理工作。

云安全如何助力终端安全

事实上,在历数云安全技术的诸多特点时会发现,很多云安全特性都能够为提升终端安全提供帮助。在安全组件尝试发现终端以及内部网络中的安全威胁时,云安全体系可以提供更加及时有效的威胁识别能力。而利用云安全体系强大的关联分析能力,也可以更好地发现安全威胁和定位威胁位置。

在新一代的云安全技术当中,领先的厂商都在尝试植入一种新的特征码管理机制,从而实现检测引擎和特征码的分离。通过云安全体系提供的通信方式,特征码的存放和比对都可以放在云端进行,而将大量的特征码更新到网络中的每一台终端将不再是保证安全性的必要条件。

在新一代的云安全网络当中,大量的安全威胁检测功能将从终端迁移至云端,而客户端系统将只完成扫描等基本的安全功能。在实时防护过程中,客户端不断地与云服务器进行协作,从而减轻客户端的负担,即让终端用户在尽量少地受到干扰的情况下,实现更好的安全防护。

以趋势科技提出的云安全2.0为例,其多协议关联分析技术可以在近百种常见协议中进行智能分析,从而追踪到真正的受攻击位置,为管理员解决安全问题提供真正的支持。一个真正成熟的云安全体系,安全威胁发现和响应覆盖了从网络层到应用层的各个层次,而防护阵线也贯穿了云端、网关、终端等多个不同的位置和区域。

云安全2.0的到来,势必会加速云安全在体系架构主流化进程上的速度。用户应该从现在就开始认真地思考自己组织的计算机终端是否已经获得了足够的保护,云安全体系带来的高管理效率和高ROI无疑会引起用户的高度关注。

分析

递增的网络威胁与信息安全的出路

从供需角度来说,云安全技术的出现,无疑是为了对抗层出不穷的新安全威胁而产生的一种必然结果。根据测算,2008年全球每小时出现大约800种新的安全威胁,在2009年,每小时出现的新安全威胁数量已经达到1500种。按照这种发展速度,在最多不超过5年的时间里,每小时的新安全威胁产生量就将突破10000种。

高速的安全威胁增长态势已经成为整个安全世界的大背景,传统的依靠人工分析恶意软件特征的安全响应体系,已经完全无法满足现在的安全防护需要。在这种前提下,拥有共享全球安全威胁信息优点的云安全网络,就成为了信息安全领域的一个重要出路。

云安全的正确认知

单从各个厂商的宣传资料来看,也许安全专家也难以给云安全下一个准确的定义。事实上,从技术角度定义云安全并不困难,但是实际映射到产品和运营层面,就可谓是“横看成岭侧成峰,远近高低各不同”了。这一方面体现出云安全是一个非常复杂的系统,另外也说明不同的安全厂商对云安全存在着定位和投入上的不同。

有很多用户将云安全理解为一种完全崭新的安全模式,也有用户将云安全理解为对传统安全体系的升级。实际上这两种理解都有可取之处,云安全更近似于云计算技术在安全领域的特定应用,而其创新之处则更多地来自于用户和运营等层面。

云安全体系可以令安全厂商更准确地了解全球安全威胁的变化态势,同时也有助于厂商发现新的安全威胁。无论是国外厂商还是国内厂商,真正在云安全领域有所投入的厂商,其采集威胁的速度和数量都呈现出几何级数增长的态势。趋势科技自有的云服务器数量就达到数万台,而金山也在总部的办公楼开辟了一层专门用于放置云安全系统,这些在云安全领域投入重金的厂商掌握的病毒样本数量早已达到千万级。

更重要的是,拥有了海量的安全威胁数据之后,厂商就可以根据安全威胁情况动态地变更其云防护体系的工作状态。类似趋势科技的安全爆发防御体系,它就需要足够数量的监测点和统计数据作为支撑,也可以视为云安全最早的应用尝试之一。

从核心模式上来说,当前的云安全应用主要侧重于阻断用户访问已经被辨识的安全威胁和可能存在风险的安全威胁,这主要源于云安全体系可以大幅度加快厂商对安全威胁的响应速度。这其中比较容易引起误解的一点是,云安全是否能够更好地应对未知安全威胁呢?从本质上来讲,云安全的主要改进在于能够更好地、更快地响应已知安全威胁。不过在一些特定条件下,云安全也可以对未知安全威胁防护提供帮助。

假设一个刚刚被放入互联网的恶意软件感染了第一台计算机,这个恶意软件对于这台计算机是一个未知的安全威胁;如果该计算机将这个感染行为以及这个程序提交给了云安全网络,那么相比传统模式而言,其他使用该安全云服务的计算机就有更大的机会避免被该程序感染。也就是说,云安全体系更多地是避免一个未知安全威胁所带来的破坏,让厂商和用户能更快地发现新出现的安全威胁,而与未知威胁检测技术无关。

云安全的选择及路径

当“云安全”作为一个名词吸引了公众的注意之后,所有的安全厂商都陆续宣布了对云安全的支持,这一幕看起来与UTM刚刚问世时何其相似。如何正确看待云安全的效果,如何选择真正支持云安全的产品,这些问题需要选购安全产品的用户认真对待。

就目前的情况来看,选择一线厂商的产品所获得的保障无疑要更强一些,而这并非只是源于品牌和信誉。对一个云安全体系来说,其投入规模和所拥有的用户数量,相当于云的大小和密度,也决定了云的工作质量。

第一代云安全技术:海量采集应对海量威胁

最开始被集成到安全产品中的云安全技术,主要集中于将从终端客户处收集到的信息返回到安全云端,同时将分析后的结果返回给终端客户。这种作法的好处在于能够利用云安全体系的巨大运算处理能力和共享的安全威胁信息,为终端用户提供更及时、更有效的安全保护服务。在传统的安全防护模式下,安全厂商通常依赖人工方式采集安全威胁信息。

由于高速互联网连接的普及,一个新出现的安全威胁完全有能力在数个小时甚至不到一个小时之内在全球网络内实现传播,而旧有的安全响应体系已经漏洞百出。在应用了云安全体系之后,厂商可以将威胁的采集工作更多地转移到终端用户的计算机上,根据其访问行为和受感染情况来更准确地获知安全威胁的产生和蔓延情况。

对于一些明显可能造成破坏的安全操作,云安全系统会自主将其标示为安全威胁,这样在其它计算机执行相同或相似的操作时,就会获得来自云端的警告,从而以接近实时的速度获得对安全威胁的免疫。事实上,在一个运行良好的云安全体系当中,从一个新威胁被识别到被标识,所耗费的时间极短,甚至要少于终端计算机更新病毒特征码以及完成特征码加载的时间,这为安全产品提高响应速度提供了很好的技术基础。

第二代云安全技术:更加全面彻底的云安全

事实上,第一代的云安全技术表现在产品功能上,更多的是以信息采集为主,真正能够产生效果的安全功能寥寥无几。在第二代的云安全技术应用上,一个显著的特征就是安全功能对云安全体系更充分、更广泛的利用。目前已有多家主流的安全厂商都推出了具有云安全2.0技术特征的产品。以最先倡导云安全技术的趋势科技来说,其最新版本的产品线都集成了被称之为文件信誉的安全技术。

顾名思义,与在云端检测Web地址安全性的Web信誉技术一样,文件信誉技术旨在通过云安全体系判断位于客户端的文件是否包含恶意威胁。在传统的特征码识别技术中,通常是将文件内容不同部分的Hash值与所检测文件的Hash值进行比较,从而判别文件是否受到感染。

与传统的将特征码放置在客户端的方式不同,基于云安全体系的文件信誉技术,支持将特征等检测所用的信息放置在云端(比如全球性的云安全网络或局域网中的云安全服务器)。这样做的显见好处是,解决了从更新文件,到客户端部署了更新这段时间间隔里,防护系统无法识别最新安全威胁的问题。

通过连接到云端服务器,终端计算机始终能获得最新的防护。如果说第一代云安全技术提高了发现安全威胁的速度,那么第二代云安全技术则让安全防护功能得以用接近实时的速度检测和识别最新的安全威胁。

下一代云安全技术:灵动的云

相信用不了多久,几乎所有的安全功能都将顺畅地接入云端,从而实现云级别的安全防护。解决了安全威胁响应速度这一核心问题之后,对安全防护的质量提升将是云安全的下一命题。

由于云安全体系所拥有的庞大的资源配给,用户无疑会对其能够在多大程度上替代人工分析和操作,抱有极大的兴趣。事实上,这也是能否从本质上提升安全产品保护能力的一个重要指标。

另一方面,终端用户应期待可以通过自己的产品界面,对安全云进行更多的操作和管理。以往对于客户端防护产品的定制能力将转移到云端,用户可以决定哪些安全功能需要连入云端,而哪些功能必须使用本地的防护引擎。在3.0乃至4.0的云安全技术体系中,用户将获得更大限度的自由,安全保护的新时代也将随之展开。

模拟真实环境 破解云安全谜团

为了更好地模拟管理中心、服务器客户端、工作站客户端等常见的安全对象,在本次评测过程中我们启用了五台计算机,其中一台用作管理服务器,其它计算机作为终端计算机。

在网络环境方面,我们使用一台TP-Link的TL-R 860路由器作为连接设备,所有测试用计算机都以百兆以太网形式接入该设备。同时在该设备上还接入了2Mbps的网通宽带,用以提供互联网连接。在测试过程中,我们对产品的测试实现完全分离,也即完整地测试完一个产品之后,再测试另一个产品,以避免测试过程中相互干扰。

本次测评参测产品4款,包括趋势科技OfficeScan10.0、熊猫AdminSecure Business。令我们感觉有些遗憾的是,由于另外两家参测厂商即将新的产品版本,所以在本次评测中隐去其真实厂商及产品名称。在这里,我们将在总体上对其进行适当的点评,以让读者了解这些产品最新的发展状况。文中以X和Y表示用来表示隐去其真实厂商的产品名称。

在性能表现方面,产品安装后的系统资源占用情况以及产品的运行速度都是关注的重点。通过比较安装前后的磁盘空间占用情况,我们可以了解产品对硬盘的消耗。同时针对管理服务器、客户端的处理器和内存资源使用情况,测试工程师也给出了相应的评价。检测引擎的速度一直是评估安全产品性能的保留项目,本次评测过程中通过对一个包含4GB文件的系统内分区进行扫描来完成该项测试。为了判断产品的检测引擎是否支持文件指纹机制,该项测试共进行两次,每次测试之间计算机会重新启动以令时间记录更加精确。

恶意软件检测

我们选用了100个采集自实际应用环境的恶意程序样本。其中覆盖了蠕虫、木马程序、脚本病毒、广告软件和黑客工具等多个常见的恶意软件类别。另外,在测试样本中也包含了一些未被验证的、可能包含安全威胁的程序,用以验证参测产品在检测未知威胁方面的能力。在该项测试过程中,所有产品的检测引擎的识别能力和识别范围均开启为最高,所有有助于提高检测效果的选项也均被启用。

防火墙测试

防火墙作为另一个核心的安全防护模块,也设定了多个专门的测试项目。基于GRC网站提供的在线检测工具Shields UP!,我们能够了解一台计算机的网络端口在外网看起来是处于什么状态。该检测分析计算机的前1056个端口,并且提供计算机是否响应Ping请求的附加测试结果。另外,我们通过一组工具来测试在终端计算机上利用各种方法建立外向连接时,防火墙组件的反应行为是否正确。下面提供了这些测试工具的工作机制等相关描述。

• LeakTest:该工具在被测计算机上建立外向连接,如果防火墙组件发现了建立连接的行为,视为能够识别基本的外向连接活动。

• FireHole:该工具调用系统中的缺省浏览器传送数据到远程主机,在计算机上建立具有拦截功能的DLL,从而伪装浏览器进程进行数据发送。

• PCFlank:与FireHole工具类似,该工具检验一个防火墙信任的程序在调用另一个程序时,在工作方式上利用了Windows的OLE自动化机制。

• ZAbypass:该工具使用直接数据交换(DDE,Data Direct Exchange)技术,以借助系统中的IE浏览器访问互联网服务器上的数据。

• Jumper:该工具会生成一个DLL文件,将其挂接到Explorer.exe之后关闭和重启该程序,从而执行该DLL。这项测试同时考察防火墙组件的防DLL注入能力以及对注册表关键位置的保护能力。

• Ghost:通过修改浏览器进程的PID来欺骗防火墙组件,从而通过系统缺省浏览器向互联网发送信息,主要用于测试防火墙是否能够实现进程级别的监控。

云安全测试

针对当下最热门的云安全技术,在本次评测中也专设了多个测试项目。首先我们的工程师会验证参测产品是否支持云安全网络,以及支持哪些云端安全功能。例如,通过访问包含有恶意代码的网站来判别参测产品是否支持云端Web威胁识别。另外,我们会尝试使用产品的云端功能检测前面所准备的100个恶意软件样本,比较其检测率和处理能力相较使用传统扫描引擎是否有所提高,从而验证云安全机制对于产品效能的提高发挥的作用。管理

机制测试

管理能力是企业级安全产品的重中之重,通过对参测产品的终端管理、终端部署、权限管理、配置管理等诸多方面的能力进行考察和评估,我们可以获得产品管理机制是否健壮有效的第一手证据。

与此同时,产品客户端所具备的特性,特别是管理端对于客户端的授权和控制,也是网络版安全产品需要重点关注的问题。

易用性测试

在易用性方面,我们遵循软件业内常见的一些评估方式,进行体现物理操作负担的肌肉事件测试,针对界面设计的屏幕利用率测试以及体现操作流程的记忆负担测试等诸多测试项目。

结合针对界面元素排布、界面指引等方面的分析,最终形成对软件易用性的综合性评价。在易用性的测试过程中,主要面向参测产品的控管中心模块,对于部署于服务器和工作站上的终端软件不进行评估。

评测总结

在本次评测中,通过对比应用云安全的产品和传统形式的产品,我们发现云安全类型的产品带给客户端的负担更小。趋势科技已经近乎彻底地实现了产品的云安全化,无论从基础架构还是从核心功能上看,云安全技术都在充分地发挥作用。而熊猫的云安全应用,则更多地停留在后台辅助服务方面,用户从前端功能还无法明确了解云安全的具体应用状态。相对地,X和Y在云安全应用领域也取得了相当的成果,并且拥有相当规模的云安全网络支持,对其安全威胁的发现和采集提供了相当的帮助。

通过评测,我们也发现目前的主流企业级安全产品并没有走向完全趋同的发展道路。基于不同的市场理解和不同的客户取向,不同厂商在构造自己的产品时,都体现出鲜明的功能和设计特点。

第2篇:对云安全的理解范文

云计算服务模式产生了一些新的安全风险,如:用户失去了对物理资源的直接控制,虚拟化环境下产生了虚拟化安全漏洞,多租户的安全隔离、服务专业化引发的多层转包带来的安全问题等。如何实现云安全,已经成为安全产业面临的巨大挑战。

保卫云的安全,需要基于“云”的手段,这可以从两个维度来理解,一个是用安全手段保护云计算环境,确保云计算下网络设施和信息的安全;另一个是采用云计算的架构模式,构建安全防护设施的云环境,以云的方式为企业提供安全保护。

云安全需要一些新的关键技术来保障,如:虚拟化安全,包括虚拟机安全、虚拟化环境下的通信安全等;数据安全和隐私保护技术,包括密文的检索和处理,满足云环境下的数据隐私、身份隐私和属私的保护等;安全云(安全即服务),包括安全系统的云化、安全系统的资源调度和接口互操作性的标准化;可信云计算。

在一次“云计算”项目调研中,信息安全专家卿斯汉发现,目前,我国的云计算项目对常规安全措施做得比较到位,但仍需加强,除需要无缝集成传统网络安全和系统安全的防护工具外,还需要考虑虚拟机安全、隐私性保护及不间断服务等。云计算的核心是虚拟化,保证虚拟机的安全至关重要。

在云计算时代,数据中心的安全建设可以划分为三个阶段:第一阶段,传统安全产品的虚拟化,即:让传统安全产品“跑”在虚拟化设备上,支持虚拟设备功能;第二阶段,融合到云计算平台的虚拟机安全设备,即:安全设备作为一个安全应用被融合在虚拟化平台上;第三阶段,自主安全可控的云计算平台,即:考虑云计算平台自身的安全性。目前,由于云计算应用本身处于基础阶段,革命性的安全技术也未出现,云安全建设多数仍处在第一阶段。不过,云计算应用已经为传统安全产业带来了新的驱动力,并加速了安全技术的融合,安全企业之间的合作也变得越来越紧密。

在云计算的道路上鲜有独行者,云安全生态链同样需要安全企业共同打造和完善。目前,虚拟化领军企业VMware公司就已经跟许多知名的安全企业开展了深度合作,如:CheckPoint、McAffee、RSA、赛门铁克等,通过对安全企业提供API,开发基于虚拟平台的安全产品,共同构建基于云的安全架构体系。而在国内,也很少有一家安全企业独立地把所有安全技术都做得很精,这样一来,多家公司合作,共同提供云安全所需的各种产品和服务,将成为未来的最佳模式。

作为目前全球市场占有率领先的云端安全防护提供商,趋势科技早在六年前就投入大量资金和人力研究虚拟化及云计算安全解决方案。而作为云安全联盟(CSA)成员单位,绿盟公司正在安全智能领域积极进行着前沿的研究与探索实践,启明星辰公司2010年开始在云计算安全领域展开关键技术的研究,并成功申报承担了电子发展基金“云计算关键支撑软件(平台安全软件)研发与产业化”等一系列国家研究项目。在云计算环境下的身份管理中,众人网络走出了一条新路,其方案在工业和信息化部软件与集成电路促进中心(CSIP)联合企业开展的“基于安全可控软硬件产品云计算解决方案”推介工作中,被推选为示范项目。将内容检测和网络安全技术相结合,提供专为安全服务的安全云,成为被安全企业看好新趋势,这也是一些安全企业新的努力方向,以高性能扫描和深度内容检测技术见长的稳捷网络就是如此。

将设备和资源纳入云身份管理

云计算改变了传统安全产业的服务模式,也给安全产业提出了新的挑战。其中,虚拟化安全、数据安全和隐私保护成为云计算应用安全防护的重点和难点。在云计算环境下,多租户模式让身份管理变得更为重要,也更加复杂。要实现云安全,身份管理是基础,因为当所有资源都虚拟化了,就必须对其进行标识,以便于对虚拟化的资源进行管理,明确这些资源的使用权限。

与传统的身份管理不同,在云计算环境下,身份管理的应用范围进一步扩大。在传统安全环境下,身份管理的应用范围有所局限,如:国内现有的30多家CA目前的服务对象主要集中在税务、工商、电子商务等领域。未来,一旦公有云全面建成,一个庞大的云身份体系将会出现,到那时,身份管理将真正形成一种服务,而非技术本身。现在,说到运营CA,更多是基于PKI体系的,其实身份服务还有另外一些不同的技术,如:动态密码体系、IBE体系。在云中,云身份服务可能基于多种技术体系,为云计算服务平台服务。

另外,传统的身份管理服务,更多的是针对人本身进行。而在云中,身份服务更多是针对人、设备和资源进行。上海众人网络安全技术股份有限任公司执行总裁何长龙认为,在云体系中,身份管理的技术架构也将改变,因为传统身份管理针对的互联网用户是有限的,但在云体系中,身份管理针对的数据量却是无限的。

目前,对于云计算环境下的身份认证服务,多数还是基于传统的方法,是原有产品的直接嫁接,即在进行身份管理之前,对现有资源并没有进行虚拟化,这样做无法对资源进行认证、标识和许可,只限于对人或设备进行认证。

与其他同类企业将原有技术直接嫁接到云端不同,众人网络科技公司已经基于私有云,形成了自己的云身份服务平台。众人网络提供的云身份服务是在用户对资源做了虚拟化的基础上进行。

云架构体系对安全企业的技术能力、服务能力提出了更高要求,对身份架构体系的要求也是如此。只有对资源进行了虚拟化,才能得以对其进行定义,由此将其与云身份进行对接。

目前,众人网络在资源虚拟化基础上进行的身份管理已经有了实际应用的案例。众人网络为一家通信类客户架构了一个总部级的身份服务体系,在该用户将现有的硬件资产和软件资源进行统一虚拟架构后,众人科技对其所有资源进行了标识许可,由此实现了对虚拟化的资源进行认证、许可和分配。

融合检测和网络技术,打造安全云

云计算环境正变得越来越开放,云数据和云应用也越来越多,这给传统的网络安全防护带来新的挑战。以防火墙为主的“看门式”安全管理将难以保证云的安全,云计算安全需要建立一个全新的安全管理模式。

与传统的企业网相比,云中心的网络流量变得极其庞大,如果再将安全防护寄望于传统网关设备将不可想象。目前,在云中心,最常用的措施是采用虚拟防火墙、虚拟杀毒软件或虚拟安全网关,这是对传统安全产品的虚拟化,但并没有对云中心进行虚拟化,只是让安全软件跑在一个一个服务器上,它会消耗大量服务器内存,这依然是基于主机的解决方案。在云中心,往往有成千上万个主机,如果给每个主机都装上杀毒软件,维护成本将会很高。因此,这种云中心防护手段不是十分理想。

另外一种云安全方案中,安全设备并没装在主机上,只是将扫描工作放在云中进行,病毒库也是存放在云中,如:360公司的云安全方案就是这样。这种方案将云计算技术应用于安全,但这种方案保护的是云的使用者,并不保护云中心本身。

有没有一种新的手段,对云中心进行更加有效的保护?一些安全企业正在为此而努力。以高性能扫描和深度内容检测技术见长的稳捷网络公司就在进行相关的尝试。

在传统思维下,网络安全厂商一般只负责网络协议、端口有无入侵等,而不去检测内容;而负责内容的杀毒软件厂商也很少想到去网络上做。稳捷网络从创办之初就定位于做基于网络的深度内容检测,把查杀病毒和网络安全两种技术相结合,在网络端对内容进行清洗检测。

稳捷网络公司中国区总经理彭朝晖向《中国计算机报》记者表示,未来,有一种趋势将被看好,那就是:将内容检测和网络安全技术相结合,提供专为安全服务的安全云。

另外,云安全数据中心凭借庞大的网络服务、实时的数据采集、分析及处理能力得到众多厂商青睐。随着卡巴斯基、瑞星、趋势、金山等一批安全厂商逐渐加快云安全数据中心建设,云安全数据中心已经投入到实际应用中。其中,趋势科技已在全球部署5个云安全数据中心。

图解云安全技术和模式

云安全带来了很多新的技术,也带来很多新的课题,如:风险管理与兼容性问题、身份认证与访问管理问题、服务与终端的完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等。围绕这些新课题,传统安全企业及其从业者展开了深入的研究。以下我们选取了部分与云安全相关的关键技术方案和模式图,分别涉及云计算环境下的数据防泄漏方案、虚拟化对于安全功能的拆解、下一代安全的关键能力,这些技术方案或研究成果分别来自RSA公司、启明星辰公司和绿盟公司。这些安全企业所关注的技术焦点也在一定程度上反映了他们在云安全道路上努力的方向。

数据安全是云安全的重中之重。数据防护领域的知名安全企业RSA公司的虚拟化专家Mike Foley认为,在实体环境中,DLP(数据防泄漏)是在操作系统中完成的,一旦操作系统受到威胁,就无法使用DLP的软件和功能。而在虚拟化环境中,相应的数据都储存在虚拟机里,数据防泄漏工作可以通过扫描虚拟机来进行。在这个过程中,需要有一个专门负责安全的虚拟机。

第3篇:对云安全的理解范文

[关键词]云计算 云安全 平台即服务 软件即服务 基础设施即服务

中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2015)05-0274-01

1 云计算

1.1 云计算的定义

云计算 (cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算是继1980年代大型计算机到客户端-服务器的大转变之后的又一种巨变。云计算(Cloud Computing)是分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility Computing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)、热备份冗余(High Available)等传统计算机和网络技术发展融合的产物。

1.2 云计算平台

云计算平台可以分为以下三类

(1)存储型云平台,以数据存储为主。

(2)计算型云平台,以数据处理为主。

(3)综合云计算平台,兼顾计算和数据存储处理

2 云计算安全问题

云安全(Cloud security ),《著云台》的分析师团队结合云发展的理论总结认为,是指基于云计算[3] 商业模式应用的安全软件,硬件,用户,机构,安全云平台的总称。

“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。

3 云计算安全参考模型

云计算模型之间的关系和依赖性对于理解云计算的安全非常关键,IaaS(基础设施即服务)是所有云服务的基础,PaaS(平台即服务)一般建立在IaaS之上,而SaaS(软件即服务)一般又建立在PaaS之上。

3.1 云计算安全关键技术

3.1.1 数据安全

云用户和云服务提供商应避免数据丢失和被窃,无论使用哪种云计算的服务模式(SaaS/PaaS/IaaS),数据安全都变得越来越重要。以下针对数据传输安全、数据隔离和数据残留等方面展开讨论。

1、数据传输安全

在使用公共云时,对于传输中的数据最大的威胁是不采用加密算法。通过Internet传输数据,采用的传输协议也要能保证数据的完整性。如果采用加密数据和使用非安全传输协议的方法也可以达到保密的目的,但无法保证数据的完整性。

2、数据隔离

加密磁盘上的数据或生产数据库中的数据很重要(静止的数据),这可以用来防止恶意的云服务提供商、恶意的邻居“租户”及某些类型应用的滥用。但是静止数据加密比较复杂,如果仅使用简单存储服务进行长期的档案存储,用户加密他们自己的数据后发送密文到云数据存储商那里是可行的。但是对于PaaS或者SaaS应用来说,数据是不能被加密,因为加密过的数据会妨碍索引和搜索。到目前为止还没有可商用的算法实现数据全加密。

3、数据残留

数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重建。在云计算环境中,数据残留更有可能会无意泄露敏感信息,因此云服务提供商应能向云用户保证其鉴别信息所在的存储空间被释放或再分配给其他云用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。云服务提供商应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。

3.1.2 应用安全

由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来了很多挑战。提供商在云主机上部署的Web应用程序应当充分考虑来自互联网的威胁。

1、终端用户安全

对于使用云服务的用户,应该保证自己计算机的安全。在用户的终端上部署安全软件,包括反恶意软件、防病毒、个人防火墙以及IPS类型的软件。目前,浏览器已经普遍成为云服务应用的客户端,但不幸的是所有的互联网浏览器毫无例外地存在软件漏洞,这些软件漏洞加大了终端用户被攻击的风险,从而影响云计算应用的安全。因此云用户应该采取必要措施保护浏览器免受攻击,在云环境中实现端到端的安全。云用户应使用自动更新功能,定期完成浏览器打补丁和更新工作。

2、SaaS应用安全

SaaS应用提供给用户的能力是使用服务商运行在云基础设施之上的应用,用户使用各种客户端设备通过浏览器来访问应用。用户并不管理或控制底层的云基础设施,如网络、服务器、操作系统、存储甚至其中单个的应用能力,除非是某些有限用户的特殊应用配置项。所有有安全需求的云应用都需要用户登录,有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。如果使用强度最小的密码(如需要的长度和字符集过短)和不做密码管理(过期,历史)很容导致密码失效,而这恰恰是攻击者获得信息的首选方法,从而容易被猜到密码。因此云服务提供商应能够提供高强度密码;定期修改密码,时间长度必须基于数据的敏感程度;不能使用旧密码等可选功能。

3、 PaaS应用安全

PaaS云提供给用户的能力是在云基础设施之上部署用户创建或采购的应用,这些应用使用服务商支持的编程语言或工具开发,用户并不管理或控制底层的云基础设施,包括网络、服务器、操作系统或存储等,但是可以控制部署的应用以及应用主机的某个环境配置。

4、IaaS应用安全

IaaS云提供商(例如亚马逊EC2、GoGrid等)将客户在虚拟机上部署的应用看作是一个黑盒子,IaaS提供商完全不知道客户应用的管理和运维。客户的应用程序和运行引擎,无论运行在何种平台上,都由客户部署和管理,因此客户负有云主机之上应用安全的全部责任,客户不应期望IaaS提供商的应用安全帮助。

参考文献

[1] 冯志刚.马超,浅谈云计算安全科技风2010,(4).

[2] 陈丹伟.黄秀丽.任勋益 云计算及安全分析 计算机技术与发展,2010,20(2).

[3] 王鹏,黄华峰,曹珂.云计算:中国未来的IT战略.北京:人民邮电出版社,2010.

第4篇:对云安全的理解范文

作为一个概念来说,云计算的定义是非常模糊的。很多希望对其界定的尝试最终都失败了。但是,我们又必须使用到它。毕竟,它是存在商业价值的,如果被忽略,就会影响到竞争优势的增加。因此,我们需要了解如何将这一新兴技术安全地融合到自身的业务流程中。

1 对云进行准确定义

为了让概念更清晰。方便大家的理解,我将云计算定义为由第三方提供的为业务流程提供技术支持或者服务的所有基础设施或服务。为了在最大程度上提高商业价值,这其中也应该包括按需扩展性和增强的业务流程连续性。举例来说:

供应商开发和托管的网络服务,它们已经被集成到内部开发的系统中。但需要通过网络进行访问。供应商对由内部工作人员开发和管理的服务器托管应用进行管理,将全部系统整体(包括工资、会计等部分在内)迁移到一家由供应商托管的网站上。

随着云技术的逐渐成熟,它可以提供的服务也处于发展变化的过程中。但在这里有一个基本前提,它给大型企业提供的灵活性,给中小型企业提供的机会,是有可能超过预算限制的。

2 问题的关键在于风险

从一名安全专家的角度来看,我认为对和云服务有关的风险进行评估和管理就相当于对现有风险管理流程的调整。因此,答案非常简单:实际执行需要花费一定量的工作时间。

如果贵公司中没有应用风险管理框架的话,要做的第一件事情就是建立一个。保护公司数据安全的关键就是平衡业务面临的风险。通常的处理模式是确定、减轻和汇总面临的风险。并与业务经理和审计人员进行合作,将其控制在适当的范围里。如果公司已经建立了备用框架的话,你要做的就是将它扩展开。

图1显示的就是一般公司风险边界的简单模型。在信息技术人员设计并实施内部解决方案前,安全分析人员需要对风险进行评估。无论如何,风险的可管理边界是防火墙。如图2所示。云安全的一体化前进道路导致危险的边界进一步扩展。我们的目的不是希望云成为“外面”的东西。正好相反,它应该是连接到企业中的一个高增值环节。根据总体规划,风险管理的边界应该扩展到可以将所有业务服务都包括进去的情况。

3 差距在哪里

扩展风险边界并不仅仅等于提出这样的问题就万事大吉了。将云整合起来需要考虑到供应商的提供商怎么进行特别处理这样的额外因素。下面就是我认为对云服务提供商进行评估时,应该考虑到的几个方面:

云服务提供商是否通过了来自外界的实体认证。可以实现对安全性的有效管理(采用美国注册会计师协会第70号服务机构审计准则、信息安全管理体系国际标准等类规则)?是否存在内部控制机制?它们将怎么处理我的内部控制机制?这之间存在什么差距,这些差距是否合理?

有多少数据会被涉及进来?公司是否必须提供更多的数据?云服务提供商应该获得多少数据,这样做的原因是什么?

云服务提供商是否了解我对安全的期望?这些期望是否会包含在合同中?如果云服务提供商没有遵守合同中对安全的要求,我可以采取什么样的惩罚措施?合同是否容许我进行定期审计来确认数据受到保护的实际情况?

以上包含的就是最基本的问题。这基于我假设你已经实现了对传输过程的数据进行保护,拥有强大灵活的访问控制机制的前提。如果没有作到这一点的话,在扩展到云之前,你可能还有更大的问题需要解决。

第5篇:对云安全的理解范文

网页:“我本善良”

很多人在遇到网站威胁时,可能都归罪于网站,但其实网站的制作者更是冤枉,除了很少网站是黑客专门制作的挂马陷阱网站外,包含木马的网站都是被黑客利用(见图1),本身就是受害者。黑客会利用扫描工具查找网站的漏洞,并实施攻击,获取管理权限,然后就可以轻松植入木马了。例如在网站中插入:<iframe src=网页木马地址width=0 height=0></iframe代码>,这样当电脑访问网站时就会自动弹出木马程序(现在网页木马可以实现后台运行模式),让浏览的电脑用户运行木马。

要保安全 需知“管马”三招

了解了这个情况,很多人又开始问了,木马如何防御呢?那些杀毒软件怎么知道网页被植入木马了呢?其实网页木马不是新的品种,它和普通木马的区别只是载体的不同,以前都是放在文件、邮件中,现在大家的防范意识高了,浏览网页的频率也高了,所以黑客将木马代码放在网页上,增加感染机会。

理解了这个,安全软件防御网页木马的过程也就出来了,他们防御的原理是一样的,只是途径要首先在网络传输中完成。目前,主要的方式有以下三种

1.攻击代码识别:如果网页中被植入了木马,那么在传输中,安全软件就可以先检测代码,如果它的特征属于木马,那么就会提示网页不安全,并进行拦截了。

2.行为识别:前面是简单的代码特征检测,而高级一点的方式就是分析代码的行为,不单单考察特征。如有程序对系统目录进行修改,一起删除整个分区文件等这些危险操作,那么杀毒软件都会认为有病毒攻击,从而加以阻止这些网页。

3.中毒清理:网页木马攻击成功后会释放木马程序到用户计算机中,木马程序一般会生成DLL文件、修改注册表等操作,杀毒软件检测到这些,就会提示用户某些程序是病毒程序,与用户互动实现对木马运行的阻止(见图2),算是网页木马的后期防御。

火速连接

关于网页木马的防御可以参考2009年第12期《网马随处“跑” 手动如何“逃”》和11期《欲练此功必先自功 另类电脑防护》。

现代社会现代化“管马”

针对网马攻击还有一种简洁的防御软件:外挂式浏览器防御软件,如金山网盾。此类防御系统对木马的防御原理与杀毒软件的防火墙基本相似,访问含有网马的网站时,外挂防御系统会对IE、FireFox等浏览器的Cookies进行内容过滤保护,从而过滤网马自我释放的程序,从攻击行为防御上实现对0-DAYS类的攻击防护。

进入云安全时代,网页木马的防御也有了新的应用,例如,诺顿、迈克菲等安装软件增加了网页安全的预检测机制,当我们在谷歌等搜索引擎中搜索时(谷歌也推出过安全浏览功能,是利用算法来分析网页本身,有威胁的会给予提示),在结果信息的返回过程中,安装在浏览器中的安全组件会先对返回的网页进行预读,并首先对比已知的安全网页名单,如果没有则重新检测,一旦发现威胁就将结果直接在搜索结果类别中列出(见图3),这也就是使用这类软件搜索时,结果出现的时间会落后一秒的原因。云安全的引入,将这些检测更加快速,例如一旦发现某个网站挂马,那么这个信息就会迅速与全球用户共享,其他人浏览到该网页就会提示有木马,阻止网民浏览,当然,当检测到该网站消除了木马威胁后,这个网站也就又放行了。

第6篇:对云安全的理解范文

老沃森曾经说过,全世界只要有五台计算机即可,这一说法在PC时代成为笑谈。今天,我们又想起了这句话。似乎全球只需要有五块云即可,然而出于安全和利益考虑,一些大公司总忍不住要弄自己的私有云,对于公有云和私有云的存在关系也是国家战略规划应该予以重视的。

谷歌可以说是推广公有云的大力推广者,而在国内,由于对私密性的重视,各大公司纷纷试图发展私有云,这与云的精神相悖,却又是现实所要求。对于云计算的集中与分布式运算之争,也许很长时间内不会划上一个句号。

向左走还是向右走?

根据观察,大多数企业首选私有云作为云计算工具的运行环境,以此保护企业IT的安全。IT调查咨询机构Info-Tech近期公布的报告显示,76%的IT决策者会首选或只选部署私有云,只有33%的受访者首选公有云。技术咨询和外包公司Capgemini公司的CTO Joe Coyle说:“我们的大部分客户都愿意选择私有云。他们希望了解云计算,认为私有云是获取云计算实践经验的最佳方式。”

出于对安全性、服务的可用性、技术的成熟度、服务商信誉度的担心,许多企业对采用云存储服务仍犹豫不决。但最为关键的是,这个私有云到底能够给企业带来什么?效率的提高?还是金钱的节约?功利的企业压根不能从“私有云”上看到类似ERP这样立竿见影的效能,而且似乎数据存储这个问题并不是什么热点问题。一个游戏企业的高管甚至对笔者如是说:“大不了多加两个刀片服务器就好了。”私有云目前的实用性不强,还太过概念,没有办法在节约金钱和提高工作效率这两大方面刺激用户的神经。

“不做私有云的白日梦”?

钱虽然是万恶的来源,但并不是衡量一切的决定因素。我们都知道一个再朴实不过的理儿,“掏钱多,称盐多”、“一分价钱一分货”,公司也好,个人也好,当然会从经济方面考虑是毋庸置疑的,但最后的决定并不总是用“钱”字一锤定音。我想,企业更是如此吧,虽然最先考虑的是钱,最后考虑的也是钱,但最后这个“钱”应该是从长远来看获得的收入吧。他们看重的是钱以外的东西。谈到公共云计算,就容易联想到我们现有的电力系统,电力系统至今发展了125年,整个行业成熟到从里到外都被研究透了,基础设施也建设的差不多了。我们都很容易想明白,只要有集中发电的能力和大规模的配电网络就能降低电力系统的成本,但鲜有企业自建发电厂以供内需。

私有云是比公共云计算服务高贵得多的选择。根据微软白皮书“云计算经济学”对于少于100台服务器的中小型公司来说,私有云是比公共云计算服务昂贵得多的选择。对于这些小型的企业或部门来说,共享规模云计算优势的唯一方法就是迁移至公共云计算模式。但是对于服务器装置规模达到约1000台的大型企业,私有云是可行的。但是仍需面对在相同服务、规模、需求多样化和多租户综合效应下,私有云比公共云成本高10倍的问题。

技术是建立私有云计算服务中需首先克服的最简单挑战,规模和成本问题仅仅是个开端;管理软件的不成熟也同样是其发展的一个重大障碍。而且,私有云技术市场还尚显稚嫩。无数的公司―从传统的基础设施和管理供应商到初创的虚拟化厂商―都在开发云计算的管理类产品。这一领域的拥挤只会使厂商选择的过程复杂化。

将业务迁移至公共云平台比起迁移至私有云平台是更具革新意义的一步,而且反而比私有云平台风险小。购买亚马逊网络服务(Amazon Web Services)提供的虚拟服务器成本低廉限制也少,而投资硬件软件组建自己的内部云平台肯定所费不菲,可能还意味着要大幅改进整个基础架构。此外,当前的市场环境还一直动荡不安。

云计算需要最终用户的自助式服务。那些认为自己不需要投资就可以建立私有云的企业都是在做白日梦。要想实现自动化并实施流程重新设计,就需要投入大量的资源,这一过程绝对不可能是免费的。流程改进(即通常所称的“流程重新设计”)需要的不仅仅是升级后的OmniGraffle流程图。流程改进通常意味着,企业需要实施一些修改或重组,强迫某些部门在日常运营中接受一些不太重要的职责,而且在某些情况下还要归入其他的部门,其职能则成为改组后部门中更大规模产品的一部分。

切勿只为开发的目的建立一个内部云。如果将云投资全部投向企业内部的IT优化,后果可能非常严重。或者采用一种“混合云”的方法,可以不对自己的数据中心进行重组,相反可以使用一个公共服务商来实现云计划。很难理解为什么有些人特别热衷于实施内部云。数据中心大部分都要用来支持现有的应用,而这些应用通常不需要云环境。为什么在这些应用还在运行时就要实施云呢?况且实施后的云也无法给这些应用带来任何的优势。

企业不应将大量的资本投入自己的数据中心,为什么不使用他人的资源呢?这样企业所要支付的只是一些运营费用而已。

私有云没办法达到公共云所能带来的规模效应。基于Web的公共云在服务质量、利用率、成本、多样性的优势等方面具有独特的优势。由此可见,私有云确实没有办法和公共云相媲美。至此,我们也可以得出这样一个结论:私有云迟早会被淘汰,没什么前途可言。然而,对于现实的环境而言,私有云又是不可或缺的。

企业:我的安全我做主

HyperStratus咨询公司首席执行官伯纳德・戈尔登(Bernard Golden)撰文指出,一个接一个的调查表明,对于公共云计算,安全是潜在用户最担心的问题。例如,2010年4月的一项调查指出,45%的以上的受访者感到云计算的风险超过了收益。CA和Ponemon Institute进行的一项调查也发现了类似的担心。但是,他们还发现,尽管有这些担心,云应用还是在部署着。类似的调查和结果的继续表明人们对安全的不信任继续存在。

当然,大多数对云计算的担心与公共云计算有关。全球IT从业者不断地对使用一个公共云服务提供商提出同样的问题。例如,戈尔登本星期去了台湾并且在台湾云SIG会议上发表了演讲。有250人参加了这个会议。正如预料的那样,人们向他提出的第一个问题是“公共云计算足够安全吗,我是否应该使用私有云以避免任何安全问题?”所有地方的人们似乎都认为公共云服务提供商是不可信赖的。

然而,把云安全的讨论归结为“公共云不安全,私有云安全”的公式似乎过于简单化。简单地说,这个观点是一个大谎言(或者说是一个基本的误会)。主要原因是这种新的计算模式迫使安全产品和做法发生的巨大变化。

这个谎言是:私有云是安全的。这个结论的依据仅仅是私有云的定义:私有云是在企业自己的数据中心边界范围内部署的。这个误解产生于这样一个事实:云计算包含与传统的计算不同的两个关键区别:虚拟化和活力。第一个区别是,云计算的技术基础是在一个应用的管理程序的基础上的。管理程序能够把计算(及其相关的安全威胁)与传统的安全工具隔离开,检查网络通讯中不适当的或者恶意的数据包。由于在同一台服务器中的虚拟机能够完全通过管理程序中的通讯进行沟通,数据包能够从一个虚拟机发送到另一个虚拟机,不必经过物理网络。一般安装的安全设备在物理网络检查通讯流量。

至关重要的是,这意味着如果一个虚拟机被攻破,它能够把危险的通讯发送到另一个虚拟机,机构的防护措施甚至都不会察觉。换句话说,一个不安全的应用程序能够造成对其它虚拟机的攻击,机构的安全措施对此无能为力。仅仅因为一个机构的应用程序位于私有云并不能保护这个应用程序不会出现安全问题。

当然,人们也许会指出,这个问题是与虚拟化一起出现的,没有涉及到云计算的任何方面。这个观察是正确的。云计算代表了虚拟化与自动化的结合。它是私有云出现的另一个安全缺陷的第二个因素。

云计算应用程序得益于自动化以实现灵活性和弹性,能够通过迅速迁移虚拟机和启动额外的虚拟机管理变化的工作量方式对不断变化的应用状况做出回应。这意味着新的实例在几分钟之内就可以上线,不用任何人工干预。这意味着任何必要的软件安装或者配置也必须实现自动化。这样,当新的实例加入现有的应用程序池的时候,它能够立即作为一个资源使用。

同样,它还意味着任何需要的安全软件必须自动化地安装和配置,不需要人的干预。遗憾的是,许多机构依靠安全人员或者系统管理员人工安装和配置必要的安全组件,通常作为这台机器的其它软件组件安装和配置完毕之后的第二个步骤。

因此,关于云计算的一个大谎言的结果是私有云本身就是不安全的。一个管理不善和配置糟糕的私有云应用程序是非常容易受到攻击的。一个管理妥当的和配置合格的公共云应用程序能够达到很好的安全性。把这种情况描绘成非黑即白是过度简单化,会危害这个讨论。

私有云:弃之不舍,食之无味

6月8日,惠普CEO李艾科(Léo Apotheker)在拉斯维加斯举行的惠普Discover 2011会议上介绍了惠普云平台方案,承诺将斥资数十亿美元用于研发创新,以及推进惠普混合型云技术的研发。此外,惠普还展示了一系列融合存储战略下的硬件和软件平台,以及移动技术的新产品。

业内首次谈及混合云计算还是在2008年,纯云计算追求者反击很艰难。毕竟,他们认为私有云只不过是数据中心的一个新的法,而且很傻。对于他们来说,利用私有云或是传统的计算平台搭建的混合云更是可笑。

目前看来,公有云依旧是一种不可忽视的云发展趋势。随着公有云安全性等核心问题的解决,最终目标是私有云尽可能移到公有云。可以说,私有云是转向公有云的第一步。公有云与私有云之间通过维护不同的技术形式搭建起了桥梁,公有云正在证明它的价值吸引新的用户。

公共云是IT业互联网化的体现,可以为用户提供较为完整的IT应用外包服务;在一定程度上解决了存储安全问题;完全以SaaS模式交付服务;由于本身已经SOA化,用户之后的应用扩展会变得很便利。因此,通过公共云多种服务可以一次性完成,无疑能降低IT外包成本。

私有云是一个模棱两可的词汇。很多人在目前概念仍混乱的时期会不假思索地乱用这一概念。IT的根本变化,即应用和数据的爆炸性增长,将使传统的工作方法及其人工操作步骤和机构孤岛变得成一种过时和浪费的代名词。

第7篇:对云安全的理解范文

北京奇虎科技有限公司:

360手机卫士

360手机卫士基于360云安全平台,实现手机病毒“云查杀”、垃圾短信“云拦截”、数据加密“云备份”功能。为用户提供一系列从核心安全到泛安全的产品服务,起到防骚扰、防扣费、防隐私泄露的全面保护,是手机用户的必备装机软件。目前,360手机卫士的用户数超过7000万,市场占有率超过60%,是国内首家通过英国西海岸实验室认证的手机杀毒软件,也是移动安全行业的技术领导者。

2011年中国互联网最具价值项目奖

蒙牛酸酸乳:巨星梦想学院

蒙牛酸酸乳:巨星梦想学院以“坚持实现梦想”为理念,搭建专属蒙牛酸酸乳自己的SNS互动社交平台,在技术上融合了QQ、人人网、新浪微博、MSN一键登录功能,降低了用户参与门槛,巧妙融合新浪微博,相互打通,增加用户粘性。此案例在用户登录、用户分享、用户之间的互动上充分地体现了技术与创意的完美结合。

2011年中国互联网最佳数字营销奖

Autonomy中国:

MBM基于语义理解的营销解决方案

Autonomy是基于语义理解的智能营销(MBM)领域的先驱,是惟一一家能够提供全套模块,并利用基于语义的营销,帮助企业促销并维持业务增长的供应商。通过统一平台,Autonomy提供了业界功能最丰富的技术,不仅可以无限扩展,而且对格式和语言没有特别要求,从而达到促进营销、降低成本、提高业务指标、增加客户满意度等效果。

2011年中国互联网创新企业奖

满座网

“团购”是2010年的热门关键词,满座网作为国内最早上线的团购网站之一,突破传统广告模式,率先把精准营销、线上支付和线下消费带到了中国,开O2O模式之先河。同时,作为一家国内领先的本地服务消费平台,它提供了多达6种电子券认证方式和即时结算体系,成为广大消费者和商家最值得信赖的团购网站,为电子商务在传统本地服务行业的普及做出了自己的贡献。

2011年最佳IDC服务质量奖

尚航科技

尚航科技专注于IT基础服务,以快速、精准、协作、求真为行为准则,专注于提升IDC服务质量,立志成为业界最可信赖的IT基础服务商。尚航科技秉承“成就伙伴、成就自我”的经营理念,恪守“诚信、尽责、专注、极致”的核心价值观,与三大运营商深度合作,为广泛的客户提供专业、稳定的IDC服务。目前,尚航先进的服务模式已经吸引了知名天使投资人的青睐,完成了首轮资金的注入。

网宿科技股份有限公司:

第8篇:对云安全的理解范文

《物联网信息安全》教学大纲

课程代码:

0302040508

课程名称:物联网信息安全

分:

4

时:

64

讲课学时:

64

实验学时:

上机学时:

适用对象:物联网工程专业

先修课程:《物联网工程概论》、《通信原

理》、《计算机网络技术》

一、课程的性质与任务

1.

课程性质:

本课程是物联网工程专业一门重要的专业课。

课程内容包括物联网安全特

征、物联网安全体系、物联网数据安全、物联网隐私安全、物联网接入安全、物联网系统安

全和物联网无线网络安全等内容。

2.

课程任务:

通过对本课程的学习,

使学生能够对物联网信息安全的内涵、

知识领域和

知识单元进行了科学合理的安排,

目标是提升对物联网信息安全的

“认知”

和“实践”

能力。

二、课程教学的基本要求

1.

知识目标

学习扎实物联网工程基础知识与理论。

2.

技能目标

掌握一定的计算机网络技术应用能力。

3.

能力目标

学会自主学习、独立思考、解决问题、创新实践的能力,为后续专业课程的学习培养兴

趣和奠定坚实的基础。

三、课程教学内容

1.

物联网与信息安全

1)教学内容:物联网的概念与特征;物联网的起源与发展;物联网的体系结构;物联网安全问题分析;物联网的安全特征;物联网的安全需求;物联网信息安全。

2)教学要求:了解物联网的概念与特征,了解物联网的体系结构,了解物联网的安全特征,了解物联网的安全威胁,熟悉保障物联网安全的主要手段。

3)重点与难点:物联网的体系结构,物联网的安全特征;物联网的体系结构,物联网的安全特征;物联网安全的主要手段。

2.

物联网的安全体系

1)教学内容:物联网的安全体系结构;物联网感知层安全;物联网网络层安全;物联网应用层安全。

2)教学要求:

了解物联网的层次结构及各层安全问题,

掌握物联网的安全体系结构,掌握物联网的感知层安全技术,

了解物联网的网络层安全技术,

了解物联网的应用层安全技术,了解位置服务安全与隐私技术,

了解云安全与隐私保护技术,

了解信息隐藏和版权保护

1

欢。迎下载

精品文档

技术,实践物联网信息安全案例。。

3)重点与难点:信息隐藏和版权保护技术,物联网的感知层安全技术,物联网的网络层安全技术,物联网的应用层安全技术。

3.

数据安全

1)教学内容:密码学的基本概念,密码模型,经典密码体制,现代密码学。

2)教学要求:掌握数据安全的基本概念,了解密码学的发展历史,掌握基于变换或

置换的加密方法,

掌握流密码与分组密码的概念,

掌握

DES算法和

RSA算法,

了解散列函数

与消息摘要原理,

掌握数字签名技术,

掌握文本水印和图像水印的基本概念,

实践

MD5算法

案例,实践数字签名案例。

3)重点与难点:数据安全的基本概念,密码学的发展历史;基于变换或置换的加密

方法,流密码与分组密码的概念,

DES算法和

RSA算法;数字签名技术,文本水印和图像水印的基本概念。

4.

隐私安全

1)教学内容:隐私定义;隐私度量;隐私威胁;数据库隐私;位置隐私;外包数据

隐私。

2)教学要求:掌握隐私安全的概念,了解隐私安全与信息安全的联系与区别,掌握

隐私度量方法,

掌握数据库隐私保护技术,

掌握位置隐私保护技术,

掌握数据共享隐私保护方法,实践外包数据加密计算案例。

3)重点与难点:隐私安全的概念,隐私安全与信息安全的联系与区别;隐私度量方法,数据库隐私保护技术,位置隐私保护技术;数据共享隐私保护方法。

5.

系统安全

1)教学内容:系统安全的概念;恶意攻击;入侵检测;攻击防护;网络安全通信协

议。

2)教学要求:掌握网络与系统安全的概念,了解恶意攻击的概念、原理和方法,掌握入侵检测的概念、原理和方法,掌握攻击防护技术的概念与原理,掌握防火墙原理,掌握病毒查杀原理,了解网络安全通信协议。

3)重点与难点:双音多频信号的概念以及双音多频编译码器工作原理;信号编解码器芯片引脚组成与工作原理,信号编解码器芯片的典型应用电路图及软件编程。

6.

无线网络安全

1)教学内容:无线网络概述;

无线网络安全威胁;

WiFi

安全技术;

3G安全技术;

ZigBee

安全技术;蓝牙安全技术。

2)教学要求:掌握无线网络概念、分类,理解无线网络安全威胁,掌握

WiFi

安全技

术,掌握

3G安全技术,掌握

ZigBee

安全技术,掌握蓝牙安全技术,实践

WiFi

安全配置案

例。

3)重点与难点:

无线网络概念、

分类,理解无线网络安全威胁;

WiFi

安全技术,

WiFi

安全配置案例;

3G安全技术,

ZigBee

安全技术,蓝牙安全技术。

2

欢。迎下载

精品文档

四、课程教学时数分配

学时分配

序号

教学内容

学时

讲课

实验

其他

1

物联网与信息安全

8

8

2

物联网的安全体系

12

12

3

数据安全

12

12

4

隐私安全

8

8

5

系统安全

10

10

6

无线网络安全

10

10

7

4

4

64

64

五、教学组织与方法

1.

课程具体实施主要采用课堂理论讲授方式,以传统黑板板书的手段进行授课。

2.

在以课堂理论讲授为主的同时,

适当布置课后作业以检验和加强学生对讲授知识的理解和掌握;

适时安排分组讨论课,

鼓励学生自行查找资料设计电路,

并在课堂上发表自己的设计成果。

六、课程考核与成绩评定

1、平时考核:主要对学生的课程作业、课堂笔记、课堂表现进行综合考核。平时考核

的成绩占学期课程考核成绩的

30%。

2、期末考核:是对学生一个学期所学课程内容的综合考核,采用闭卷考试的形式,考

试内容以本学期授课内容为主。考试成绩占学期课程考核成绩的

70%。

七、推荐教材和教学参考书目与文献

推荐教材:《物联网信息安全》

,桂小林主编;机械工业出版社,

2012

年。

参考书目与文献:

《物联网导论》

,刘云浩主编;科学出版社,

2013

年。

《物联网技术与应用导论》

暴建民主编;

人民邮电出版社,

2013

年。

《物联网技术及应用》

薛燕红主编;清华大学出版社,

2012

年。

大纲制订人:

大纲审定人:

3

欢。迎下载

精品文档

欢迎您的下载,

资料仅供参考!

致力为企业和个人提供合同协议,

策划案计划书,

学习资料等等

打造全网一站式需求

第9篇:对云安全的理解范文

关键词:云技术;终端安全;数据信息安全

中图分类号:TP31 文献标识码:A

1 前言

目前,云技术已经在网络服务中随处可见,其发展具有广阔的前景,但目前有很多报道披露了云技术尚缺乏安全性、可靠性和可控性。在IT产业权威公司Gartner的《云计算安全风险评估》报告中,列出了云技术存在的七大安全风险,这些风险将会给用户尤其是大企业用户造成不可估量的经济损失,因此,云安全问题已成为限制云技术发展和应用的瓶颈问题。

只有使得云技术的安全得到有序稳健的发展,才能让用户更放心的使用。云技术的安全问题主要包括终端安全及数据信息安全,通过对上述两项内容的详细分析,为提高云技术的安全提供一定的参考。

2 云技术的终端安全

2.1 信息系统设备安全。在云技术下,用户的一切操作包括数据的传输、存储等都是在虚拟的“云”中进行的,那么,一旦信息系统设备除了问题,用户所存储的信息就会丢失或发生泄漏,因此,保证信息系统的安全是云技术安全问题的重中之重。信息系统的安全主要指系统的可靠性和可用性。

2.1.1 可靠性。可靠性是指系统在受到自然或人为影响时仍能够保持正常运行或数据不被丢失的性能。提高系统的可靠性应通过各种技术措施,例如防病毒、防电磁等。数据传输是云技术中的重要一环,为保证数据在传输过程中的安全性应尽量采用光纤传输,或采用其他安全性强的传输设备。同时,为了降低信息系统遭受破坏的可能性,机房在设置过程中应尽量避开地震、闪电以及火灾等多发地区,建立完善的预警机制,当系统遭到破坏时,能够及时的报警并采取措施对危险进行控制,系统不仅要有完善的容错措施和单点故障修复措施,还要有大量的支撑设备,为防止电磁泄漏等问题,系统内部设备还应采用屏蔽、抗干扰等技术。

2.1.2 可用性。可用性是指授权用户可访问并使用其有权使用的信息的特性。安全的云技术应该能够通过权限设置来授权相应用户对云技术的使用,同时应保证在系统部分受损的情况下仍能为授权用户提供有效的服务。云技术主要通过建立认证机制、访问控制机制、数据流机制以及审计机制等来保证系统对可用性的需求。

2.2 用户终端安全。当一个企业的业务安全性受到破坏时,问题更多情况是出现在用户终端,而不是后端的服务器,因此,应对云技术的用户终端进行全面审核,避免用户受到安全影响。比如在线身份被盗、网络钓鱼攻击以及恶意软件下载等。目前大部分企业对于自身的设备有较深的了解,但在云技术的环境中,企业可能需要依赖于多个云服务提供商,而这些提供商在安全等级上可能存在差异,因此,对于不同服务在终端的整合则较为重要,但如果将终端的安全转由云服务提供商来保障,就会产生更多重要的问题,比如:安全和兼容性要求实现的问题、保护数据不被滥用的问题等等。

3 云技术的数据信息安全

3.1 数据使用安全。在云技术服务中,数据的存储可能在多处,在访问过程中的身份与访问权限管理尤为重要,只有对身份的充分保证才能够做到对数据安全的保证,因此,在涉及到重大问题的数据访问上都应采用现场认证及加密证书的形式进行认证。云服务中通常会有多个身份声明提供者,它们各自使用不同的流程。云系统需要理解这些不同的流程并将其验证为可信,因此当企业把服务转移到云上时,就会产生诸如身份的归属、身份提供者的更换权、验证与授权与身份的绑定各种问题等各类问题。可借助提供者的身份鉴定和声誉评定系统,来了解身份提供者在哪个安全级别。同时,使用强制证书的数字身份系统能够验证来自于自有平台和基于互操作声明的云提供商的用户,因而可以大大提高安全性和数据的完整性。在不同的企业和云提供商中使用云服务的数字身份系统并且采用强健的流程可以把身份与访问管理控制在可控的范围中,令其安全性得到保证。

3.2 数据传输安全。对于传输数据,首先需要确保的是机密性,即使用一定的加密程序,当然,对传输数据,尤其在互联网上传输数据时还需要考虑数据的完整性。在使用公共云时,对于传输中的数据最大的威胁是不采用加密算法。虽然采用加密数据和使用非安全传输协议的方法也可以达到保密的目的,但有时无法保证数据的完整性。

3.3 数据存储安全。与传统的存储技术相比,云技术可通过对服务器集群和虚拟化技术,临时调用计算和存储资源,分配给服务器和存储子模块,从而有效的处理突发性的大访问量。其次,企业在采用传统存储技术时,设备及软件的升级以及数据的有效管理均具有一定的风险,而采用云技术后,可以通过专业人员对上述问题进行处理,由云存储服务提供商来负责系统的升级、数据的备份归档等工作,使企业对这些数据管理的活动风险降至最低。但这同时也对云技术提出了较高的要求,必须加强数据保护的措施,确保数据被恰当地隔离和处理。对于静止的数据,可以通过加密磁盘的形式来保护数据,而对于非静止的数据,由于需要进行索引和搜索,加密则无法进行,可采用多租户模式,将所用的数据和其他用户的数据混合存储。虽然云技术应用在设计之初已采用诸如“数据标记”等技术以防非法访问混合数据,但是通过应用程序的漏洞,非法访问还是会发生,到目前为止还没有可靠的算法实现数据全加密,虽然有些云服务提供商请第三方审查应用程序或应用第三方应用程序的安全验证工具加强应用程序安全,但出于经济性考虑,无法实现单租户专用数据平台,因此惟一可行的选择就是不要把任何重要的或者敏感的数据放到公共云中。这也是云计算的数据存储安全的重大难点,只有突破这个难点才能实现云存储真正的安全。

结语

当前我国的云技术产业尚处于起步和准备阶段,已经处于大规模应用的前夕,在3~5年内,云技术产业将达到成熟阶段,云技术将成为企业发展过程中不可或缺的基础技术,我国政府也已经意识到云技术的重要性,以相继在北京、天津、上海、深圳等城市建立了云计算相关平台。目前信息安全技术主要被美国等发达国家所垄断,全球真正有实力研发、提供完善“云服务”并对其制定安全策略的企业只有微软、谷歌等少数IT企业,我国应加快云技术方面的安全建设,为云技术应用的大面积提供坚实的基础。

参考文献

[1]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009(5):1337-1348.