云安全原理与实践精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的云安全原理与实践主题范文，仅供参考，欢迎阅读并收藏。

第1篇：云安全原理与实践范文

关键词：云计算；传媒；信息安全

随着知识经济以不可逆转的力量推动着时代的车轮飞速前进，人类社会也正经历这前所未有的快速变革，自从联合国教科文组织提出知识经济的概念20年以来，人类创造的知识成果超过近5000年文明创造的总和；在新世纪刚过去的10年，经合组织GDP50%以上是依赖于知识经济；科技进步对经济增长的贡献率甚至超过了80%。

正是在这样的知识经济蓬勃发展大环境下，广西日报传媒集团（以下简称“广西日报”）顺应时代，抓住机遇，整合出版资源，做大做强经营性文化产业。努力开创和发展包括平面媒体、网络媒体、移动媒体等全方位覆盖的全媒体传播和多元化产业发展的新格局。信息技术作为知识经济的核心驱动技术，成为引领传媒业迈向新时代的关键因素。

1 信息化建设的需求分析

自从2009年底转制为集团企业后，随着业务的快速增长和技术日新月异，广西日报在信息化工作深入应用时也遇到了一些挑战，主要体现在以下几个方面：

第一、业务层面。随着广西日报业务的不断丰富和扩展，业务模式正在开始逐步的转型，主要是“传播者本位”向“受众本位”的转型、从“组织媒介”向“大众媒介”的转型、从“宏观内容”向“微观内容”的转型。业务模式转变对信息系统支撑并适应业务转型的要求提出了新的要求。

第二、管理层面。企业化管理体制对业绩和效率要求更为明确，同时对投入和成本的控制也较事业单位时期更为严格，信息科技工作量化管理本身就是个业界难题，如何有效地治理信息系统，规范管理，降低成本，也是信息化工作面临的重要挑战。

第三、技术层面。WEB2.0时代，新一代互联网发生了翻天覆地的变化，如P2P、RSS、博客、微博、WiKi、播客等资讯传播技术如雨后春笋般涌现出来，并将迅速成为推动传媒领域技术革命的关键因素，信息科技工作不仅要将如此众多的新兴技术学习、消化、吸收，更要将技术和实际业务工作结合，无疑为信息科技工作增加了工作压力和难度。

综上所述，如果仍然延续传统的信息科技工作模式，将不能适应集团业务转型和发展的要求。为了从根本上解决信息科技工作存在的问题，确保信息系统可持续发展，广西日报决定整合IT核心系统，规范相关业务流程，打造先进、灵活、安全的IT系统，具体需求如下：

第一，采用创新的云计算模式取代传统C/S或B/S计算模式，整合现有业务系统至统一运行平台，并采用松耦合思路进行协同整合，突破各IT系统的区域和边界限制，为业务系统转型提供技术支撑。

第二，引入成熟先进的IT管理体系和规范标准，结合业务实际情况制定包括系统生命周期、技术服务管理、信息安全管理等自身IT管控体系，为信息科技工作配套管理体系打下良好基础。

第三，建设严密、协同、灵活的信息安全体系，切实有效保障业务连续性，为业务健康可持续发展保驾护航；同时，提升资源利用率，优化系统性能价格比，降低系统总拥有成本，真正实现少花钱，多办事。

2 信息安全建设总体思路及安全实践

2.1 信息安全建设总体思路

根据总体规划、分步实施的总体思路，广西日报的信息安全建设分为两个阶段，第一期项目以建设私有云为主要内容，第二期则是在一期的基础上，建设私有云和社区云的混合云为主要内容。总体建设思路如图1所示。

2.2 总体技术架构

在传媒集团信息安全建设中，云计算的最关键技术，就是如何整合计算处理、数据存储和网络传输三大子系统。在传统的C/S或B/S计算模式中，往往这三者是松耦合的，而在云计算环境中，这三者是紧耦合的——通过高速的宽带网络虚拟化技术，将处理资源及存储资源紧密有机地整合在一个完整的系统中。要实现真正意义上的云计算，必须使处理、存储、网络三大子系统实现以下关键功能：

第一、处理资源虚拟化和网络化。处理资源主要包括CPU、内存及系统总线，通过虚拟化技术将CPU、内存抽象出来，作为虚拟资源池，再通过虚拟化网络将各资源池联通，并通过管理系统进行统一资源调度，做到即可多个物理资源整合一个逻辑资源，又可将一个物理资源分割成多个逻辑资源，如现在流行的InfiniBand技术就是将传统封闭的PCI/PCI-X/PCI-E总线网络化的实例。

第二、存储资源虚拟化和网络化。存储资源主要包括各种在线、近线甚至离线存储资源，主流存储产品均支持各种网络化解决方案，包括SAN、ISCSI、NAS等，可以非常便捷地用网络管理的思路来管理存储系统。先进的存储产品可以支持虚拟化或云计算环境中的数据无缝迁移、灾备、数据消重等重要功能，如现在流行的FCOE技术就是将封闭式存储数据传输迁移到高速以太网的实例。

第三、网络传输宽带化和标准化。和传统计算环境相比，云计算环境中，网络传递的不仅是传统的IP业务数据，更多的将是各种处理资源和存储资源的数据，这些数据具有极强的实效性（纳秒级）、高可用性（99.999999%），并且要求网络具备极高的吞吐能力（万兆级）。同样重要的是，在传统网络中，IP数据是无连接的，而云计算环境中，网络传输应保障端到端业务的可靠性，所以要求网络面向连接特性更为严格。这使云计算环境中核心网络和传统的局域网、广域网、园区网有本质的区别。如现在流行的零丢包非阻塞式网络就是云计算核心网络的实例。图2为广西日报私有云建设总体技术架构图。

2.3 安全的云计算环境

在论述云计算环境的安全性时候，有必要明确的是“安全云”还是“云安全”的概念。“云安全”是信息安全领域最近炒得比较热话题，但是，“云安全“是各安全厂家借鉴了云计算的共享协作基本理念和思路，用在各自的信息安全产品的更新和协作上。使其产品能够更快速灵活的应对各种潜在和突发的安全威胁。因此，“云安全”只是一种理念，在业界有相当一部分资深人士认为“云安全”原理上甚至只是分布拒绝式服务攻击或僵尸网络攻击的反其道而行之。而“安全云”的概念和范围则要比“云安全”要广得多，技术深度也不可同日而语。“安全云”是完整的云计算环境中的信息安全体系，不仅是理念，还包括了各种管理标准、技术架构。因此，在建设安全的云计算环境光考虑云安全是远远不够的，要结合管理、技术、业务，建设并完善整个云计算安全体系。图3是广西日报的安全云体系架构。

建设广西日报安全云计算环境考虑了三方面，一是云计算技术架构，二是传统信息安全体系架构，三是引入了国内外相关的信息安全法律、法规和先进的安全标准的最佳实践。这使得广西日报私有云安全体系建设较有成效，切实保障了业务系统的安全稳定运行。

2.3.1 云计算环境下面临的安全威胁和风险

在广西日报云计算环境中，主要存在以下的安全威胁和风险，如表1所示。

2.3.2 统一集中安全认证/授权/审记

云计算环境中用户最大顾虑可能是云计算打破了传统信息安全的边界概念，无边无际，看不见摸不到，如采用传统的基于边界和各系统独立的安全思路，可以设想下这样的场景：云计算无边界限制，入口众多，各系统权限分立，安全标准不统一，缺乏事后追溯和跟踪审记，必将给云计算环境带来巨大的安全隐患。因此，在私有云计算环境中，统一入口、统一认证、统一授权、统一审记（即AAA安全体系）是极为关键的。

统一入口可以通过建立统一云门户实现，用户在统一业务门户登陆后，通过统一认证产品，集成LDAP和数字证书等多因强认证技术，对用户提供安全的单点登录服务；用户成功登录后，由统一认证系统根据用户角色和业务系统安全规则进行集中授权；用户进行业务操作时或者登出后，由统一认证系统在后台记录下用户的操作行为，在必要的时候可支持操作回溯，通过对认证、授权、审记的统一集中，根本上改进了云计算环境下存在的安全隐患。图4为云计算环境下集成统一门户、统一认证系统的系统示意图。

2.3.3 可信计算体系

安全云可信计算体系包括可信身份确认、可信资源安全列表、异常操作行为检测等内容。可信身份确认可以采用PKI数字证书信任体系，确保参与云计算的各方的双法身份；可信资源安全列表可采用云安全技术，建立私有云可信安全列表，同时，可通过安全云快速部署异常行为检测功能至各主机和应用防火墙，通过云计算的灵活性和管理弹性，实现自适应、自防御的安全云。

2.3.4 数据私密性完整性

可借助基于开放性较好的SSL或SSH等安全技术，对云数据传输进行加密，采用HASH-1对数据进行校验，如安全级别要求更高，可采用数字证书签名对数据进行完整性校验。在实际云计算生产环境中部署要特别注意两点，一是如果用户数比较多或业务流量大，SSL性能应通过硬件加速来提升，二是CA中心自身信息安全要特别注意，建议CA采用物理隔离的方式，通过RA来和吊销证书。

2.3.5 业务连续性保障

对于生产业务，云计算环境需要确保其业务连续性，业务连续性主要包括系统高可用性、灾备和相关的业务切换管理体系。需要对涉及到所有环节，包括虚拟化的主机、存储和网络等各种资源和业务操作系统、中间件、数据库、业务应用做完整的评估分析，制定有针对性的业务连续性计划，实现系统无单一故障点，同时需要制定出当严重故障发生时业务切换计划，并采取定期演练验证和改进措施，云计算环境中业务的业务连续性架构如图5所示。

2.4 云计算环境对异构客户端的支持

广西日报由于新闻传媒业务的特殊性，必定有较多的移动用户和各种异构终端需要随时随地访问各种前端业务应用，云计算的特色优势之一就是能够完美地支持不同类型的用户和各种异构终端，包括传统桌面PC、笔记本电脑，也包括各种操作系统的智能移动终端。当然，完美支持iPad、iPhone等时尚数码终端也必不可少的。通过私有云的桌面虚拟化技术将前端界面展示和后端数据I/O的职能分别剥离，让统一的界面扩展到几乎所有类型的终端，显著的降低了应用开发和部署的投入，规范了标准的用户界面，简化了终端管理，对于二期扩展到混合业务云提供也了坚实的支持支撑。如图6所示。

3 云计算实施后的效益评估

第一，利用云计算虚拟化技术，充分整合前台和后台计算、处理、存储资源，极大地提升了硬件资源的利用率，降低了硬件采购成本、管理维护成本和使用成本，进而显著降低了总拥有成本（TCO）。

第二，通过集成统一门户和统一身份认证系统，从根本上改观了云计算存在的安全性的隐患，确保不同安全级别的业务应用能够在安全的区域内稳定可靠运行，结合数据保护和业务连续性保障，形成了云计算环境下信息安全体系，为业务提供了坚定稳固的信息安全保障。

第三，统一了用户界面，支持各种异构客户端访问，改善了用户体验，提升了用户满意度；通过先进云计算的技术创新为广西日报业务转型提供有力地支撑，为广西日报树立了本地区乃至国内的行业领先形象打下了良好的基础。

参考文献

[1] 周洪波.云计算：技术、应用、标准和商业模式[M].北京:电子工业出版社，2011.

[2] 宋迪.“传媒云”的畅想[J].中国传媒科技，2011(2).

[3] 本刊编辑部.漫步云端——共话云计算在传媒领域的应用与建设[J].中国传媒科技，2011(2).

[4] 云安全联盟.云计算关键领域安全指南V2.1.[DB/OL].cloudsecurityalliance.org/.2009.

第2篇：云安全原理与实践范文

据介绍，作为互联网安全公司，奇虎360公司通过了中国信息安全测评中心的测评，取得了国家信息安全测评证书（安全工程类一级）。同时，360的客户端产品也通过了国家信息安全产品分级评估测评，并被授予国家信息技术产品安全测评证书；奇虎360旗下的全线产品也均符合主管部门制定的互联网终端软件服务行业规范，以及国内外网络安全软件的各项标准，因此奇虎360的产品安全可靠。

周鸿祎表示，自从去年8月16日奇虎360推出搜索服务以来，不断遭到竞争对手的猛烈攻击。对于一些虚假报道，360有三个基本的应对原则，即及时回应、正面回答所有的疑问，以及公开回应。

“我认为这件事情的本质，还是奇虎360在中国对巨头的挑战与反挑战，未来只要我们还做搜索，只要试图打破垄断，这种现象就会不断出现。”周鸿祎如是说。

周鸿祎：任何厂商的杀毒软件，都有两个功能，一是对文件的实时监控，二是对进程的实时监控。当用户的电脑运行程序时，360如果不能检测程序是不是木马病毒，就不能保护用户的电脑安全。

问：某媒体在其报道中称，360安全卫士7.3.0.2003l版本记录和上传软件操作行为，为什么会有这种行为？

答：安全软件的一个很重要的职责，就是监控电脑里运行的程序（数据、图片和office文件不属于运行的软件），任何安全软件公司都有两个功能，一是对文件的实时监控，二是对进程的实时监控。没有这两个功能就不是安全软件，这是正常功能。当用户的电脑运行程序时，360安全卫士如果不能检测程序是不是木马病毒，就不能保护用户的电脑安全。

同时，安全软件也都有“进程防护”功能，也就是对即将运行的程序的安全性进行判断。传统安全软件是比对本地的特征库，而基于云的安全软件需要把应用程序的各种特征与云端的海量的特征进行比对，进而判断其安全性。

要充分、全面的判断一个进程的安全性，仅仅靠文件自身是不够的，还需要全面评估文件指纹、文件签名、命令行参数等多种信息，因此云安全软件在判断进程的安全性的过程中必然要与云端进行交互。

问： 奇虎360公司的云主防技术，目前达到了怎样的防护效果？

答：奇虎360的云主防技术是目前国际领先的互联网安全技术。

总体来说，在奇虎360倡导的“免费安全”理念和云安全防护之下，恶意软件的增长势头较前几年明显放缓，木马疫情开始得到有效控制。特别值得一提的是，2012年以来，木马等恶意程序攻击用户的成功率大幅降低，从以往的1%～3%，下降到如今的千分之五以内。2012年，360云安全中心共截获新增恶意软件13.7亿个，比2011年增加29.7%，增速明显放缓，新增恶意软件样本在2012年前7个月呈现稳步下降的态势。电脑中毒的主要原因是用户在木马病毒的诱导性提示下关闭了安全软件的防护功能。

周鸿祎：现在，网上欺诈钓鱼已经取代短信诈骗，成为行业主要公害。当用户进入一个假银行、假电子商务和假彩票等欺诈网站时，如果奇虎360不能提示拦截，用户的财产就可能被骗，使用户蒙受损失。网址云查询已经成为互联网安全软件的必备。

问：有报道称360公司服务器上的“用户隐私”数据被谷歌搜索爬虫抓取，包括浏览的网页、下载过的应用、搜索的关键字等，这是什么情况？

答：所谓“隐私数据”是360安全卫士对可疑网址的查询记录，主流安全软件均采用该机制。这些数据只是360安全卫士对可疑网址的查询记录。

目前各种钓鱼、欺诈网站已经成为中国网民面临的主要安全威胁。360安全卫士为全国网民每天拦截3000万次恶意网址访问。之所以能做到这点，就是得益于基于云的网址安全体系。事实上，这也是目前主流安全软件的通行做法。

至于为何会在网址中出现用户名和密码，是由于极少数网站缺乏安全意识，把用户口令编写在网址中。打个比方，就好像银行给用户邮寄信用卡的邮件，把卡号和密码写在了信封上。对于这类存在安全缺陷的网站，360安全卫士也采取了措施，过滤可能带有用户数据的网址。

问：据称，360浏览器有“后门”，从服务器定期下载dll可执行程序？

答：上述报道中提到的dll文件，实际上只是配置文件，并不具有“遥控”作用。

其实，配置文件做成dll形式并添加数字签名校验是安全软件的常规做法，可以保证程序在加载配置文件时，能够确认文件没有被木马篡改过。

这种做法还可避免下载文件时被中间人攻击。比如黑客通过ARP攻击劫持下载过程，返回由黑客构造的恶意配置文件。

进一步解释的话，5分钟一次的检查更新，是360安全浏览器的一种保护网购安全的快速攻防机制，360安全浏览器作为上网安全的第一道防线，需要具备这种能力。所有安全软件都有类似的行为。

360安全浏览器有针对钓鱼网址的云查询技术，但是钓鱼网站的技术有很多种，不仅限于只有假冒网址的攻击，公安部门破获的“浮云”网购木马，就是通过QQ号给买家传文件的方式运行起来并注入浏览器，进而篡改用户的网购订单，将收款人换成自己来牟利，获利上千万元。而且通过远程控制，攻击方式不断变化，一天内变化能超过7次以上。

为了对付这些行为，360安全浏览器也需要这种更新机制来进行更快速的攻防实践。2012年，360安全浏览器拦截钓鱼网站18亿次。如果按每次网购用户的损失约为500元计算，2012年360安全浏览器共计防止用户遭受9000亿元的损失。

同时，360安全浏览器下载的dll只是数据文件，这种通过dll内置数据文件来防止篡改的方式，奇虎360公司在2012年3月专门申请了专利。此外，下载的dll资源文件会被验证签名，如果签名不对，则不会被加载。报道中提到的一个没有签名的dll被调用，是因为分析者在测试环境中用调试工具破坏了校验机制导致的，在真实环境是不可能发生的。

问：报道中还称，360安全浏览器“浸润”网银安全，屏蔽权威认证机构VeriSign，换为自己的认证机制。

答：360浏览器并未屏蔽VeriSign认证。现在，网上欺诈钓鱼已经取代短信诈骗，成为行业主要公害。当用户进入一个假银行、假电子商务、假彩票等欺诈网站时，如果360安全浏览器不能提示拦截，用户可能就会被骗财，蒙受损失。网址云查询已经成为互联网安全软件的必备。如果360安全浏览器访问被DNS劫持的银行，用户看到强烈的提示页面，用户就不会进行下一步操作了。所以根本不存在360安全浏览器屏蔽Versign认证，如果屏蔽，这个拦截网页根本不会出现。用户可以自行下载360安全浏览器来验证，将系统时间改成“2010-1-1”就能重现。此外，拦截钓鱼网站光凭Versign的认证是不够的，很多网站都没有购买证书，所以360安全浏览器推出了“网站名片”功能，参考国家的ICP备案信息库和其他认证机构数据，对于域名经过认证的网站，给用户更多的信息，帮助用户识别钓鱼网站。

对于已知的恶意网站，360安全浏览器会通过网址云安全技术进行拦截，多种鉴别方式能帮助用户更好地识别钓鱼网站。而最新推出的“照妖镜”功能，更是能对各种未知网站进行“一键云鉴定”，对“闪骗”网站进行打击。

周鸿祎：任何一个互联网公司做的软件，从输入法到播放器，都具备实时在线升级功能，奇虎360公司的安全软件更是如此。当互联网上出现一个新木马、新的攻击方式时，奇虎360通过V3模块及时把新的查杀代码程序升级到用户的电脑中。事实上，自动升级在国外安全软件中广泛存在。

问：报道称，360“利用V3升级偷偷卸载竞争对手产品，安装推广软件”，这些行为是否存在？

答：V3是360安全卫士升级程序版本号，绝不会偷偷卸载竞争对手产品和安装推广软件。众所周知，互联网软件都带有升级功能。任何一个互联网公司做的软件，从输入法到播放器，都具备实时在线升级功能。特别为了有效对抗快速变化的木马和0day漏洞，要求安全软件必须能快速升级响应，国内外主流安全软件全都如此。奇虎360的安全软件更是如此，当互联网上出现一个新木马、新的攻击方式时，奇虎360通过V3模块及时把新的查杀代码程序升级到用户的电脑中。

某媒体报道中提到的“V3”就是升级程序的版本号，代表的是第三个主要版本，其作用是把木马防御规则、补丁更新等安全特性快速升级，根本不会偷偷卸载竞争对手产品和安装推广软件。同时，用户也可以在360安全卫士的设置界面中，选择是否开启自动升级。

问：此外，报道中还提及了360安全软件的“自我保护”功能，对此奇虎360公司有何解释？

答：安全软件如果连自己都保护不了，怎么可能有效地拦截木马？

现实中，每天木马都在和360安全软件做攻防斗争，不断想办法绕开360安全软件，我们也在更新360安全软件的主动防御规则，加强自我保护，对程序运行的过程进行评分，如果符合某几个木马特征，分数到了一定程度，360安全软件就会报警拦截。这些技术原理属于安全软件的秘籍，因为各个安全软件比拼谁更有效果，就是比拼谁能对付未知的新木马。做安全也不会一劳永逸，我们每天都在和木马黑客做攻防斗争。

要应对木马病毒新的攻击方法，我们专门有上百名分析人员，每天在机器分析各种木马的行为。我们总结了上万条的木马行为特征，用这些行为特征综合判断才能抵御木马病毒的不断变异。

当然，360安全软件的“自我保护”只是针对病毒和木马，如果用户通过正常途径，是完全可以卸载奇虎360公司的相关产品的。

周鸿祎：奇虎360公司是互联网颠覆式创新的典型案例。颠覆式创新是对垄断巨头的颠覆，这种颠覆式的创新一旦取得胜利，就搬掉了压在行业头上的一座大山，受益的也将是整个行业和广大的中小企业，所以奇虎360不是“一枝黄花”。

问：有报道将奇虎360比喻成为互联网的“一枝黄花”，对此您怎么看？

答： 奇虎360是互联网颠覆式创新的典型案例。颠覆式创新是对垄断巨头的颠覆，这种颠覆式的创新一旦取得胜利，就搬掉了压在行业头上的一座大山，受益的也将是整个行业和广大的中小企业，所以奇虎360不是“一枝黄花”。

问： 奇虎360这几年发展很快，行业地位显著提升，360已经进入互联网巨头俱乐部了吗？

答： 奇虎360不是巨头，算是互联网第二梯队公司。打个比方，如果百度是20岁的青年、腾讯是40岁的壮年的话，那么奇虎360还只是刚刚上小学的儿童。尽管奇虎360在中国互联网安全领域占据了90%以上的市场规模，但从收入规模、人员规模、资金储备等方面看，还都处于发展的初级阶段。奇虎360仍是一家创业公司，自身发展还捉襟见肘，根本谈不上巨头。但是，因为奇虎360敢于向行业垄断者挑战，从而引发了行业巨头的多次打压。

问：在外界看来，奇虎360公司已经成为互联网行业的成功者，奇虎360有哪些可资借鉴的成功经验？

答： 奇虎360的商业模式是，利用免费安全积累了4亿多用户并在海量用户的基础上建设开放平台，所有互联网公司把内容接入360开放平台，最后奇虎360与合作伙伴利益共享。也就是说，奇虎360与互联网上一切影视、游戏、新闻、电商等一切内容厂商都是朋友，360开放平台的模式构建了健康的互联网产业生态，促进中国互联网的繁荣。

问：产生“大树之下寸草难生”的原因是什么？您认为谁是互联网的“一枝黄花”呢？

答：从根本上来说，“大树之下寸草难生”的原因就是中国互联网领域缺乏创新。创业公司要想发展起来，不能依靠大公司的游戏规则，必须建立新的商业模式，破坏掉大公司已有的格局，吸引用户。

过去十年中，中国互联网行业获得了高速发展，也产生了很多市值上百亿、几百亿美元的公司。但当前互联网行业问题重重，比如垄断、不正当竞争等，其中最为很多创业者痛恨的就是缺乏创新、抄袭。

在这样的行业格局下，一个小公司想起来往往是困难重重。所以小公司想创业不能依靠大公司的游戏规则，必须靠新的商业模式，吸引用户。同时，我们要抛掉成者王侯败者寇，唯成功论这样的思想。不能迷恋和崇拜大公司，觉得大公司成功、收入高，他们了不起；相反，越是需要支持的小公司越应该得到支持，今天的我们对于创业公司，过于求全责备。

周鸿祎：都是搜索惹的祸，针对奇虎360公司的“抹黑”都是从去年8月16日奇虎360公司搜索服务开始的。某媒体的报道主要指责的是“360能干什么”而不是“360干了什么”。这就是典型的阴谋论式推理——因为它的功能强大，所以就有可能作恶。

问：奇虎360公司搜索服务，一个月之内就拿到了近10%的市场份额，成为了市场的第二名，依靠的是什么？

答：应该说，近两年来中国搜索市场的服务并不能叫人满意。由于垄断，中国的搜索市场存在诸多问题：推广链接混杂，在自然搜索结果中以假乱真；诈骗网站高居搜索首页；搜索结果被进行了大量的人工干预……市场垄断巨头以竞价排名的商业模式，致使假医假药等各种虚假信息、网络欺诈在中国互联网泛滥成灾。

应该说，正是看到了市场的机遇，奇虎360推出了搜索服务，同时奇虎360也应该感谢行业垄断者，其不注重用户体验的做法，使奇虎360获得了为网民提供更好服务的机会。

360搜索一经推出，便受到了用户的认可与欢迎，也获得10%的市场份额，这主要有三点原因：

首先，长期以来搜索市场的垄断，网民希望拥有选择权，希望能有第二家搜索服务商进入市场；

其次，360安全网址导航拥有的海量用户基础；

再次，360安全品牌的价值和口碑，赢得了用户的信赖。

问：奇虎360公司自搜索服务以来，都经历了哪些“谣言”？

答：自2012年8月360搜索推出后，奇虎360公司和产品遭遇到许多诋毁和攻击。

都是搜索惹的祸，针对奇虎360的抹黑都是从去年8月16日其搜索服务开始的。某报道采用的逻辑是恶毒的，整篇报道主要指责的是“360能干什么”而不是“360干了什么”。

不要说一个安全软件，就是一个输入法，如果想变成木马，也随时都可以。这就是典型的阴谋论式推理——因为它的功能强大，所以就有可能作恶！

对于这半年的“被抹黑”，可以总结为三点因素：

第一，因为奇虎360推出搜索服务，触动了太多公司的利益。

第二，360搜索推出一周就拿到10%的市场份额，而且计划每年市场份额增加10%，这将对市场产生巨大改变。

第三，360搜索导致资本市场对搜索行业有了新的看法。

问：未来360搜索的目标是什么？

答：奇虎360公司具有正确的理念和价值观战，始终坚持将网民的利益放在第一位。

我们相信，真实、安全的360搜索一定会赢得更多用户。

第三方数据显示，360搜索的市场份额已上升到15%，我们目标是在2013年年底，将360搜索的市场份额提升到20%，到2014年底提升至30%，2015年年底提升至40% 。

第3篇：云安全原理与实践范文

另外，戴尔数据中心解决方案部门在最近戴尔迈向云计算之旅的演讲中形容云计算的热度时这样说：“有人认为云计算无所不能，甚至能够解决全球的饥饿问题。”毫无疑问，云计算已经成为IT业的主旋律：无论是亚马逊、Google，还是IBM、微软都在积极谋划“云计算”布局。随着IT巨头的推动和用户信任感不断提高，云计算的市场潜力巨大，未来几年将继续保持较快增长的势头。

[关键词] IT产业；云计算；战略技术

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 04. 036

[中图分类号] F270.7；TP393 [文献标识码] A [文章编号] 1673 - 0194（2014）04- 0073- 03

1 论文的意义

随着中国石油业务和市场的不断扩展，作为中国石油下游的炼化企业对IT建设和运营提出了更高的要求，IT部门越来越成为企业实现创新发展的源泉，真正实现客户和市场驱动的运营模式。面对新的挑战，一方面需要IT服务能力能够实现快速交付；同时，企业内部的IT系统规模不断增大，各类业务系统的数据业务数量日益庞杂，如果继续采用传统从硬件到应用相对独立的烟囱式运营发展模式，IT设备采购和部署将面临越来越大的压力，各类IT设备（网络、服务器、存储等）的资源将无法得到充分利用，从而在一定程度上制约了企业的快速发展。

通过企业内部云计算的谋划、布局，可以提高系统迁移和部署速度，提高资源利用率，降低资产和维护成本，并为在建和拟建信息系统提供最先进的技术支持，以很小的投入，解决企业各信息系统对IT资源的需求，保障未来企业信息化建设的可持续发展。

2 云计算介绍

2.1 云计算的定义

云计算秉承“按需服务”的理念，狭义的云计算指云系统的可配置计算资源共享池（如：硬件、平台、软件）的交付和使用模式，广义的云计算指服务的交付和使用模式，即用户通过网络以按需、易扩展的方式获得所需的云系统的可配置计算资源/服务。云计算是商业模式的创新，主要实现形式包括 SaaS、PaaS 和 IaaS。

2.2 云计算的基本原理

云计算的基本原理是：通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，数据中心的运行将更与互联网相似，使得中心能够将资源切换到需要的应用。同时，云计算也是一种商业计算模型，它将计算任务分布在大量计算机构成的资源池上，使用户能够按需获取计算力、存储空间和信息服务。这种资源池称为“云”。“云”是一些可以自我维护和管理的虚拟计算资源，通常是一些大型服务器集群，包括计算服务器、存储服务器和宽带资源等。

2.3 云计算的服务模型

在互联网的第一次革命中三层（或n 层）模型作为一般架构出现，但虚拟化在云中的应用创造出一组新层：应用程序、服务和基础设施。从当前的发展状况看，云计算的服务模式可以分为基础设施即服务（IaaS），平台即服务（PaaS）和软件即服务（SaaS）三种。如图1所示：

其主要特征：

（1）按需服务性：云计算服务应能够快速自动化地满足用户对服务功能、服务实例等服务交付内容的申请，变更，取消等操作，使用户的需求能够即时得到满足；

（2）弹性：云计算服务应具有快速伸缩的能力，用户可随时申请、释放和调整云计算服务资源的使用；

（3）网络依存性：云计算服务的使用者通过网络访问计算，存储资源以及各种服务； 可计量：云计算服务本身应具备将用户使用的计算、存储及其他特定功能的服务按照合理一致的标准进行细粒度地计量的能力。

2.4 云计算技术演进路线

云计算是并行计算（Parallel ）、分布式计算（Distributed）、网格计算（Grid）发展，或者说是这些计算机科学概念的商业实现，是虚拟化（Virtualization）、 效用计算（Utility Computing）、面向服务（SOA）、IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）等概念混合演进并跃升的结果。

2.5 构建云计算平台IaaS，PaaS和SaaS

按需部署是云计算的核心。要解决好按需部署，必须解决好资源的动态可重构、监控和自动化部署等、而这些又需要以虚 拟化技术、高性能存储技术、处理器技术、高速互联网技术为基础。所以云计算除了需要仔细研究其体系结构外，还要特 别注意研究资源的动态可重构、自动化部署、资源监控、虚拟化技术、高性能存储技术、处理器技术等。

以关键技术为支撑，以IT资源为对象进行整合，构建云计算平台，即基础设施即服务（IaaS），平台即服务（PaaS）和软件即服务（SaaS）三个层次，如图3所示。

在基于同一软硬件平台的基础上，实现IT基础架构从简化整合、虚拟化、自动供应到云计算的整合方向，资源整合过程演进图，如图4所示。

3 云计算技术在炼化企业的应用前景

目前，随着中国石油炼化一体化业务的发展，行业正处于从传统企业向数字化企业转变的关键时期，企业管理数字化、信息化、网络化是社会发展的必然趋势，数字企业则是信息化社会的主体。从横向看，整个炼化企业的业务层次又可分为三个主要层次：生产运行管理、以ERP为核心的运营管理和日常办公平台。

信息系统系统应用于炼化企业的整个产业链，除了上述业务应用系统外，还建立诸如安全、网络、数据中心等基础设施平台及相应的信息系统运维管理系统，从而构建出一个完整的业务信息系统支撑体系。

3.1 炼化企业云计算的理论模型

根据上述炼化企业自身特点，结合信息化建设的现状，提出炼化企业的云计算理论模型，如图5所示。

总体上看，云计算平台分为“资源服务层”，“管理平台”，“服务界面”三个逻辑层次。这三个层次共同组成了云计算的功能核心，实现自底向上的云服务供应与监控。为保证云计算核心功能的正常运行，云计算平台还包含了“安全管理层”和“运行维护层”两大辅助管理层，这两大辅助管理层的服务涵盖了云计算平台的整个核心。安全管理层为核心的三个层次提供安全支持，实现高可用、安全议问、用户隔离和权限分配等服务。运维管理层为核心的三个层次提供运行维护的支撑，包括资源用量度量和用户管理等服务。

3.2 基于理论模型的实践研究

3.2.1 建立炼化企业的云计算管理平台

建立一个可对企业各统建应用系统所使用的服务器、存储、网络、平台、中间件、应用软件等资源进行虚拟化管理、监控管理、资源调配管理、风险管理、运维流程管理，并提供管理门户。

统一规划和部署硬件资源，提高硬件使用率，降低硬件成本。通过服务器虚拟化、存储虚拟化和网络虚拟化等技术将相关的硬件资源进行整合，形成统一的硬件资源池。根据应用系统的需要分配必须的资源，实现服务器的快速部署并且可以根据应用系统实际工作负载动态调整资源分配，保证应用系统的正常高效运行。通过资源的整合实现绿色数据中心的建设，发挥集中统一信息系统的优势，减少信息系统的运行能耗，持续降低总体拥有成本。

3.2.2 建立包含基础设施、平台的统一规划和资源部署平台

建立包含基础设施（IaaS）、平台（PaaS）即服务的全面的云计算服务结构。基础设施即服务指的是为用户提供服务器、存储、网络等硬件资源的服务；平台即服务指的是为用户提供平台、中间件等资源的服务。

根据炼化企业内部各系统对各类基础软件的不同需求，将操作系统、中间件和数据库等系统软件定制为标准模板，快速为应用系统的开发、测试和部署提供包含技术资源、存储资源、操作系统、中间件等模板的运行平台。简化应用系统的开发、测试和部署。

以客户为中心，通过服务交付的方式将IT基础架构的计算能力提供给不同类型的客户，提高软硬件资源的使用率，简化应用系统的维护工作，提高工作效率。

3.2.3 建立炼化企业生产、灾备数据中心的云计算架构

建立炼化企业内部数据中心的云计算架构，分别是生产云、同城云和异地云。生产云以在线数据中心为基础，主要提供用于生产系统的资源；同城云以同城灾备数据中心为基础，和生产云之间为互备关系，主要用于与生产系统互备的资源；异地云以异地数据中心为基础，主要提供用于备份生产系统的资源。

3.2.4 建立为用户提供NT平台资源和Unix平台资源的云计算平台

建立为用户提供NT平台（虚拟）资源和Unix平台（虚拟）资源的云计算平台，首先进行NT平台虚拟化试点，纳入相关系统；试点完成后，再对所有同类应用系统进行NT平台虚拟化推广；在NT平台虚拟化实施完成后，对所有除NT类系统以外的系统进行Unix平台虚拟化实施。

4 结 论

在云计算的大趋势下，不仅包括计算机、通信、互联网、媒体内容等在内的整个信息服务产业发生全面重组洗牌，软件产业结构将面临大调整，软件生产组织方式向敏捷、定制化、服务化方向变革，网络端设备更加多元化和个性化；而且会出现大众普遍参与、形成群体智慧的新局面，从而对社会的组织形式和人们的生活方式都产生深远的影响。这一切，都将为善于拥抱变化、善于创新的企业创造难得的历史性机遇。但是，云计算给人们带来创新和变革的同时，对安全问题也提出了更高的要求。无论是云计算服务的提供商还是使用者，对云计算技术背后的安全性问题都必须有足够的认识，只有深刻认识到云技术的优点和风险，才能更好地在现实生活中科学合理地利用云技术，充分发挥其带来的巨大效益和优势。。

主要参考文献

[1][美]尼古拉斯·卡尔.IT不再重要：互联网大转换的制高点——云计算[M].闫鲜宁，译.北京：中信出版社，2008.

[2]王金波.虚拟化与云计算[M].北京：电子工业出版社，2009.

第4篇：云安全原理与实践范文

关键词：云计算；云数据库；企业应用

1、云计算概述

云计算是近几年来最热门的互联网词汇之一。自从1983年由Sun Microsystems公司提出“网络是电脑”的概念，到2006年亚马逊推出弹性计算云（Elastic Compute Cloud，EC2）的服务，云计算的理念逐步从抽象走向具体。2006年8月9日，Google公司首席执行官埃里克·施密特在搜索引擎大会（SESSan Jose 2006）首次提出“云计算”（Cloud Computing）的概念，这标志着云计算正式登上信息技术领域的舞台。

宏观上来看，云计算是有效整合计算资源的新型业务模式，它是基础的服务器虚拟化技术和基础架构即服务（IaaS，Infrastructure as a Service）两者的结合。其本质是使某一个或多个数据中心的计算资源虚拟化并进行整合封装，以租用资源的方式向上层提供各种方式的服务。简单来说，就是将位于不同地点的计算资源在后台整合起来，统一为某一需求或应用进行服务。

云计算的优势主要体现在，按需采用“即用即付费”的方式分配计算、存储和带宽资源，使资源实现合理分配与利用；动态扩展功能和部署新服务的高可扩展性，决定云计算拥有十分广阔的应用前景；各类资源的高利用率等。同时，云计算还集成了并行计算的良好特性：分布式计算中任务分解、分别执行、结果汇总的计算模式；网格计算中将地理上分布、系统异构的多种计算资源互连协同解决大型应用问题的作业模式；对等计算中计算资源的组织和发现方式；公用计算中将聚合计算资源封装成公共服务的资源高用率使用模式；虚拟计算环境iVCE下用户将富余资源按需聚合和自主协同的思想。

云计算服务包含三个层次：由底层硬件或虚拟机资源构建的基础设施即服务（IaaS）、构建在云基础设施上，主要用来开发各种云计算应用软件平台即服务（Paas）和基于云平台开发的各类应用服务的软件即服务（saaS）。

2、云数据库

2.1 云数据库概述

云数据库（Cloud DB），是一个面向云计算的数据库资源管理平台，旨在通过云计算的方式整合现有的大量位于Internet后台的数据库资源，为云计算应用的基础结构级别的数据库资源访问、发现、整合等多方面问题提供通用的解决方案。

目前，云数据库的研究工作在国内正处于起步阶段。Google、Microsoft、百度、新浪、腾讯、盛大等众多拥有丰富数据资源或计算实力的信息技术企业正走在云计算大潮的前列。各大云计算平台服务商都在急速提升平台优势，拓宽合作层面，因此各企业利用现有的的云平台进行数据计算和处理，推出创新服务，是企业和平台供应商的共赢之道。

2.2 云数据库的优势

从云数据库的实现原理来看，云计算采用分布式存储的方式来存储数据，采用冗余存储的方式来保证存储数据的可靠性。另外，云计算系统需要同时满足大量用户的需求，并行地为大量用户提供服务。因此，云计算的数据存储技术必须拥有高吞吐和高传输的特点。1，数据管理技术必须能够高效的管理大数据集，同时必须在规模巨大的数据中找到特定的数据。云计算的特点是对海量的数据存储、读取后进行大量的分析，数据的读操作频率远大于数据的更新频率，云中的数据管理是一种读优化的数据管理。同时在云后台，云安全的各种措施与应用对于保障云数据库的安全性方面提供了可靠保证。

在应用层面来看，云计算较目前比较常用的关系数据库在性能上存在很大的优势。首先，云数据库本质上大多是非事务的，并且牺牲了一些高级查询能力以换取更好的性能。另一方面，云数据库通常又是非关系的，因此，云数据库的使用上忽略了许多的规则。例如JOIN操作，这一操作在当数据分散到不同机器上的时候会占用较长时间，因此不适合云计算分布式的底层设计。

3、云数据库在企业中的应用

将云数据库应用到企业的管理系统中，在很多问题上都能给出较好的解决方案，如将云计算的理念引入数据库系统、基于云计算的平台与设施在数据库管理系统中的应用问题、数据库管理系统对云计算的质量与性能要求即评价问题、云环境下数据库资源的安全与保密问题等。首先，基于云计算的系统能够节约计算机、网络交换器等硬件设备的购买和维护成本。同时可以为企业提供相对经济的应用软件服务。

典型的云数据库管理系统一般分为两部分：一部分为服务端，另一部分为客户端。服务端主要是企业基于云数据库搭建的信息管理系统，一般架设在企业的服务器或大型主机，由企业相关部门统一管理。客户端主要应用于各办公室，办公人员通过该客户端进行登陆并发出应用请求，通过网络发至服务端，充分发挥了云数据库的高可靠性、便捷易用性及超大规模等特点。

4、云数据库在企业应用的优势

作为一种能够减少企业成本和提升IT灵活性的有效途径，云计算最近得到了更多企业的关注和长足发展的动力。

4.1 降低企业运营成本

IBM全球高效能随需解决方案副总裁赵维义指出，云计算环境可节省为企业降低营运成本，又具备企业营运所需要的安全性及创新服务。云计算可以实现多任务同时进行而不影响效率，因此提供的云服务可以同时由成千上万的客户端存取，这在很大程度上能够降低企业的运营成本。

4.2 影响企业的三大因素

云计算在众多领域中都能发挥重要作用，这些领域包括企业内部产品的试验、创新、虚拟世界、电子商务、社交网络和科学研究。云计算从深度和广大方面都极大地影响着企业的发展。

首先是内部产品的试验与创新。通过云计算平台，创新者通过一个简单的Web界面联机向云计算平台请求资源，这些资源包括硬件平台、操作系统、团队成员及角色设定等等。“云”管理员请求通知后予以批准、修改或拒绝该请求。如果批准，“云”就会提供服务器。这可以缩短引入技术和创新的时间，降低设计、采购和构建软硬件系统平台的人力、物力成本，以及通过提高现有资源的利用率和复用率节省成本。其次是虚拟世界，虚拟世界需要大量的计算能力，通过云计算平台托管虚拟世界的企业，可以灵活地根据当前基础结构的利用情况，动态分配“域”（域是虚拟世界中支持特定人员子集或虚拟世界某一角落的任意区域）中客户平均响应时间。使企业充分利用设备和资源，合理降低成本并保持了较高的客户满意度、减少了工作时间和资源消耗。在电子商务方面的应用分为两个方面：—方面，在电子商务中，可以在需要时提供新的服务器，以获得资源的弹性分配，在旺季增加更多的虚拟服务器，在淡季减少虚拟服务器。“云”的规模越大，提高效率的可能性就越大。另—方面，使用业务策略来决定哪些应用程序具有更高的优先级，并由此获得更多的计算资源。

第5篇：云安全原理与实践范文

关键词:网络信息安全状况;漏洞;网络信息安全技术;可信计算

Abstract:As network developed rapidly and widely used， while it brings people big wealth and convenience， it also brings serious network information security problem. Network information security problem mainly is un-authorization access， masquerading legal user， damaging data integrity， interfering system normal operation， spreading virus trojan through network， line monitoring and so on. This article analysing network information security circumstance， it expounds information security problems from holes and introduces the future research direction of network information security skill.

Key words:network information security;holes;network information security skill;trusted computing

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件;运行服务安全，即保证服务的连续性、高效率;信息安全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。网络信息安全是网络赖以生存的根基，只有安全得到保障，网络才能充分发挥自身的价值。

然而，随着互联网的迅速发展和广泛应用，计算机病毒、木马数量也在呈现爆炸式增长。据金山毒霸“云安全”中心监测数据显示，2008年，金山毒霸共截获新增病毒、木马13 899 717个，与2007年相比增长48倍，全国共有69 738 785台计算机感染病毒，与07年相比增长了40%。在新增的病毒、木马中，新增木马数达7 801 911个，占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马总数的21.97%;而网页脚本所占比例从去年的0.8%跃升至5.96%，成为增长速度最快的一类病毒。该中心统计数据还显示，90%的病毒依附网页感染用户，这说明，人类在尽情享受网络信息带来的巨大财富和便捷的同时，也被日益严峻的网络信息安全问题所困扰。

1病毒木马数量呈几何级数增长，互联网进入木马病毒经济时代

造成病毒木马数量呈几何级数增长的原因，经济利益的驱使首当其冲，木马比病毒危害更大，因为病毒或许只是开发者为了满足自己的某种心理，而木马背后却隐藏着巨大的经济利益，木马病毒不再安于破坏系统，销毁数据，而是更加关注财产和隐私。电子商务便成为了攻击热点，针对网络银行的攻击也更加明显，木马病毒紧盯在线交易环节，从虚拟价值盗窃转向直接金融犯罪。

财富的诱惑，使得黑客袭击不再是一种个人兴趣，而是越来越多的变成一种有组织的、利益驱使的职业犯罪。其主要方式有:网上教授病毒、木马制作技术和各种网络攻击技术;网上交换、贩卖和出租病毒、木马、僵尸网络;网上定制病毒、木马;网上盗号(游戏账号、银行账号、QQ号等)、卖号;网上诈骗、敲诈;通过网络交易平台洗钱获利等。攻击者需要的技术水平逐渐降低、手段更加灵活，联合攻击急剧增多。木马病毒、病毒木马编写者、专业盗号人员、销售渠道、专业玩家已经形成完整的灰色产业链。

借助互联网的普及，木马病毒进入了经济时代。艾瑞的一项调查显示，央视“315”晚会曝光木马通过“肉鸡”盗取用户钱财后，超过八成潜在用户选择推迟使用网上银行和网上支付等相关服务。木马产业链背后的巨大经济利益，加上传统杀毒软件的不作为、银行对安全的不重视、刑法的漏洞等都是病毒木马日益猖獗的根源。

另一方面，病毒木马的机械化生产加速了新变种的产生，大量出现的系统及第三方应用程序漏洞为病毒木马传播提供了更广泛的途径。病毒制造的模块化、专业化，以及病毒“运营”模式的互联网化已成为当前中国计算机病毒发展的三大显著特征。

2由漏洞引发的网络信息安全问题

漏洞也叫脆弱性(Vulnerability)，是计算机系统在硬件、软件、协议的具体实现或系统安全策略设计和规划时存在的缺陷和不足，从而使攻击者能够在未被合法授权的情况下，访问系统资源或者破坏系统的完整性与稳定性。漏洞除了系统(硬件、软件)本身固有的缺陷之外，还包括用户的不正当配置、管理、制度上的风险，或者其它非技术性因素造成的系统的不安全性。

2.1漏洞的特征

2.1.1漏洞的时间局限性

任何系统自之日起，系统存在的漏洞会不断地暴露出来。虽然这些漏洞会不断被系统供应商的补丁软件所修补，或者在新版系统中得以纠正。但是，在纠正了旧版漏洞的同时，也会引入一些新的漏洞和错误。随着时间的推移，旧的漏洞会消失，但新的漏洞也将不断出现，所以漏洞问题也会长期存在。因此，只能针对目标系统的系统版本、其上运行的软件版本，以及服务运行设置等实际环境，来具体谈论其中可能存在的漏洞及其可行的解决办法。

2.1.2漏洞的广泛性

漏洞会影响到很大范围的软、硬件设备，包括操作系统本身及其支撑软件平台、网络客户和服务器软件、网络路由器和安全防火墙等。

2.1.3漏洞的隐蔽性

安全漏洞是在对安全协议的具体实现中发生的错误，是意外出现的非正常情况。在实际应用的系统中，都会不同程度地存在各种潜在安全性错误，安全漏洞问题是独立于系统本身的理论安全级别而存在的。

2.1.4漏洞的被发现性

系统本身并不会发现漏洞，而是由用户在实际使用、或由安全人员和黑客在研究中发现的。攻击者往往是安全漏洞的发现者和使用者。由于攻击的存在，才使存在漏洞的可能会被发现，从某种意义上讲，是攻击者使系统变得越来越安全。

2.2漏洞的生命周期

漏洞生命周期，是指漏洞从客观存在到被发现、利用，到大规模危害和逐渐消失的周期。漏洞所造成的安全问题具备一定的时效性，每一个漏洞都存在一个和产品类似的生命周期概念。只有对漏洞生命周期进行研究并且分析出一定的规律，才能达到真正解决漏洞危害的目的。随着系统漏洞、软件漏洞、网络漏洞发现加快，攻击爆发时间变短，在所有新攻击方法中，64%的攻击针对一年之内发现的漏洞，最短的大规模攻击距相应漏洞被公布的时间仅仅28天。

2.3漏洞的攻击手段

黑客入侵的一般过程:首先，攻击者随机或者有针对性地利用扫描器去发现互联网上那些有漏洞的机器。然后，选择作为攻击目标利用系统漏洞、各种攻击手段发现突破口，获取超级用户权限、提升用户权限。最后，放置后门程序，擦除入侵痕迹，清理日志，新建账号，获取或修改信息、网络监听(sniffer)、攻击其他主机或者进行其他非法活动。漏洞威胁网络信息安全的主要方式有:

2.3.1IP欺骗技术

突破防火墙系统最常用的方法是IP地址欺骗，它同时也是其它一系列攻击方法的基础。即使主机系统本身没有任何漏洞，仍然可以使用这种手段来达到攻击的目的，这种欺骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。攻击者利用伪造的IP发送地址产生虚假的数据分组，乔装成来自内部站点的分组过滤器，系统发现发送的地址在其定义的范围之内，就将该分组按内部通信对待并让其通过，这种类型的攻击是比较危险的。

2.3.2拒绝服务攻击(DDoS)

当黑客占领了一台控制机，除了留后门擦除入侵痕迹基本工作之外，他会把DDoS攻击用的程序下载，然后操作控制机占领更多的攻击机器。开始发动攻击时，黑客先登录到做为控制台的傀儡机，向所有的攻击机发出命令。这时候攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致受害主机死机或是无法响应正常的请求。有经验的攻击者还会在攻击的同时用各种工具来监视攻击的效果，随时进行调整。由于黑客不直接控制攻击傀儡机，这就导致了DDoS攻击往往难以追查。

2.3.3利用缓冲区溢出攻击

缓冲区溢出攻击是互联网上最普通，也是危害最大的一种网络攻击手段。缓冲区溢出攻击是一种利用目标程序的漏洞，通过往目标程序的缓冲区写入超过其长度的内容，造成缓冲区的溢出，破坏程序的堆栈，使程序转而执行指定代码，从而获取权限或进行攻击。

2.3.4特洛伊木马

木马实质上只是一个网络客户/服务程序，是一种基于远程控制的黑客工具，不需要服务端用户的允许就能获得系统的使用权。木马程序体积比较小，执行时不会占用太多的资源，很难停止它的运行，并且不会在系统中显示出来，而且在每次系统的启动中都能自动运行。木马程序一次执行后会自动更换文件名、自动复制到其他的文件夹中，实现服务端用户无法显示执行的动作，让人难以察觉，一旦被木马控制，你的电脑将毫无秘密可言。

2.3.5数据库系统的攻击

通过非授权访问数据库信息、恶意破坏、修改数据库、攻击其它通过网络访问数据库的用户、对数据库不正确的访问导致数据库数据错误等方式对数据库进行攻击。主要手法有:口令漏洞攻击、SQL Server扩展存储过程攻击、SQL注入(SQL Injection)、窃取备份等。

2.3.6网页挂马

通过获取系统权限、利用应用系统漏洞，对脚本程序发帖和提交信息的过滤不严格，从而可以将一些HTML或者脚本代码段作为文本提交，但是却能被作为脚本解析或者通过ARP欺骗，不改动任何目标主机的页面或者是配置，在网络传输的过程中直接插入挂马的语句，利用被黑网站的流量将自己的网页木马进行传播，以达到无人察觉的目的。常见方式有:框架挂马、js文件挂马、js变形加密、body挂马、css挂马、隐蔽挂马、Java挂马、图片伪装、伪装调用、高级欺骗等。

2.3.7无线网络、移动手机成为新的安全重灾区

在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞。随着3G时代的到来，智能手机和移动互联网越来越为普及，一部强大的智能手机的功能，并不逊于一部小型电脑。随着手机的处理能力日益强大，互联网连接带宽越来越高，手机病毒开始泛滥，病毒所带来的危害也会越来越大。手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播，还将攻击范围扩大到移动网关、WAP服务器或其它的网络设备。

2.3.8内部网络并不代表安全

随着经济的快速发展和企业对网络应用依赖程度的逐步提升，内部网络已经成为企业改善经营和管理的重要技术支撑。企业内部网络系统与外界的联系越来越紧密，而且数据的价值也越来越高，内部网络不安全已经成为影响企业进一步发展的重要威胁。常见的安全威胁有:内外勾结。内部人员向外泄露重要机密信息，外部人员攻击系统监听、篡改信息，内部人员越权访问资源，内部人员误操作或者恶意破坏系统等。

有关部门的调查数据显示，2004-2006年，内部攻击的比例在8%左右，2007年这个比例是5%，而到了2008年已经上升到23%。企业内部网络安全问题十分突出，存在较为严重的隐患，成为制约企业网发展与应用的重要因素。

3可信计算概述

在IT产业迅速发展、互联网广泛应用和渗透的今天，各种各样的威胁模式也不断涌现。信息领域犯罪的隐蔽性、跨域性、快速变化性和爆发性给信息安全带来了严峻的挑战。面对信息化领域中计算核心的脆弱性，如体系结构的不健全、行为可信度差、认证力度弱等，信息安全的防护正在由边界防控向源头与信任链的防控转移，这正是可信计算出台的背景。

可信计算(Trusted Computing，TC)是指在PC硬件平台引入安全芯片架构，通过其提供的安全特性来提高终端系统的安全性，从而在根本上实现了对各种不安全因素的主动防御。简单地说，可信计算的核心就是建立一种信任机制，用户信任计算机，计算机信任用户，用户在操作计算机时需要证明自己的身份，计算机在为用户服务时也要验证用户的身份。这样的一种理念来自于我们所处的社会。我们的社会之所以能够正常运行，就得益于人与人之间的信任机制，如:商人与合作伙伴之间的信任;学生与教师之间的信任;夫妻之间的信任等等。只有人与人之间建立了信任关系，社会才能和谐地正常运转。可信计算充分吸收了这种理念，并将其运用到计算机世界当中。

由于信息安全风险评估不足，导致安全事件不断发生。因此，现在的大部分信息安全产品以及采取的安全措施都不是从根本上解决问题，都是在修补漏洞，效果可想而知。可信计算则是从本源上解决信息安全问题，就是要发放“通行证”。并且，“通行证”可以从技术上保证不会被复制，可以随时验证真实性。可信计算因此成为信息安全的主要发展趋势之一，也是IT产业发展的主要方向。

3.1可信平台模块

把可信作为一种期望，在这种期望下设备按照特定的目的以特定的方式运转。并以平台形式制订出了一系列完整的规范，包括个人电脑、服务器、移动电话、通信网络、软件等等。这些规范所定义的可信平台模块(Trusted Platform Module，TPM)通常以硬件的形式被嵌入到各种计算终端，在整个计算设施中建立起一个验证体系，通过确保每个终端的安全性，提升整个计算体系的安全性。从广义的角度上，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的角度来描述安全问题，确保用户的安全执行环境，突破被动防御漏洞打补丁方式。可信平台模块实现目的包括两个层面的内容:一方面，保护指定的数据存储区，防止敌手实施特定类型的物理访问。另一方面，赋予所有在计算平台上执行的代码，

以证明它在一个未被篡改环境中运行的能力。

3.2可信计算的关键技术

与社会关系所不同的是，建立信任的具体途径，社会之中的信任是通过亲情、友情、爱情等纽带建立起来的，但是在计算机世界里，一切信息都以比特串的形式存在，建立可信计算信任机制，就必须使用以密码技术为核心的关键技术。可信计算包括以下5个关键技术概念:

3.2.1Endorsement key 签注密钥

签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据。

3.2.2Secure input and output 安全输入输出

安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前，电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。

3.2.3Memory curtaining 储存器屏蔽

储存器屏蔽拓展了一般的储存保护技术，提供了完全独立的储存区域。例如，包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限，所以入侵者即便控制了操作系统信息也是安全的。

3.2.4Sealed storage 密封储存

密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如，某个用户在他们的电脑上保存一首歌曲，而他们的电脑没有播放这首歌的许可证，他们就不能播放这首歌。

3.2.5Remote attestation 远程认证

远程认证准许用户电脑上的改变被授权方感知。例如，软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未扰。

3.3可信计算的应用现状

在国际上，可信计算架构技术发展很快，一些国家(如美国、日本等)在政府采购中强制性规定要采购可信计算机。中国的可信计算还属于起步阶段，但正在向更高水平发展。据了解，现在市场上已经销售了数十万带有可信计算芯片的电脑，这些电脑已经广泛应用于包括政府、金融、公共事业、教育、邮电、制造，以及广大中、小企业在内的各行各业中。而且，不少政府部门已经认可产品，并将带有可信计算芯片的产品采购写入标书。但是，无论是国内还是国外，可信技术从应用角度讲都还仅仅处于起步阶段。可信计算还停留在终端(客户端)领域，还要进一步向服务器端(两端要互相认证)，中间件、数据库，网络等领域发展，建立可信计算平台和信任链。当前，可信计算的应用领域主要有:数字版权管理、身份盗用保护、防止在线游戏防作弊、保护系统不受病毒和间谍软件危害、保护生物识别身份验证数据、核查远程网格计算的计算结果等。应用环境的局限性也是可信计算产业发展的一大障碍，目前的应用还处于很有限的环境中，应用的广泛性还得依靠人们对于可信计算、网络信息安全在认识和意识上的提高。

参考文献

1 刘晓辉主编.网络安全管理实践(网管天下)[M].北京:电子工业出版社，2007.3

2 [美]DavidChallener、RyanCatherman等.可信计算(Apractical

GuidetoTrustedComputing)[M].北京:机械工业出版社，2009

3 李毅超、蔡洪斌、谭浩等译.信息安全原理与应用(第四版)[M].北京:电子工业出版社，2007.11