導(dǎo)語：如何才能寫好一篇云計算安全體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：云計算平臺 安全體系 安全應(yīng)對

中圖分類號：TP399 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2017）01（c）-0127-02

在2012年，溫總理在召開國務(wù)院會議的時候，對信息工作進(jìn)行了闡述，并且研究了信息技術(shù)的發(fā)展趨勢及信息技術(shù)的安全問題，最終確定了信息技術(shù)工作的重點(diǎn)內(nèi)容：保障信息網(wǎng)絡(luò)的安全管理及防護(hù)。在發(fā)展迅速的社會中，云計算作為一個新型技術(shù)也在快速發(fā)展，也是我國互聯(lián)網(wǎng)今后的發(fā)展趨勢，安全問題是云計算用戶在使用過程中第一考慮的因素，云計算是否能夠?qū)崿F(xiàn)全面安全也是云計算在推廣及可持續(xù)發(fā)展中的重要因素。

1 云計算平臺體系分析

云計算平臺詳見圖1[1]，從圖1中可以看出云計算平臺安全體系由兩部分組成，分別是基礎(chǔ)設(shè)備及遠(yuǎn)程終端，運(yùn)程終端又包含計算終端和智能終端?；A(chǔ)設(shè)備包含虛擬化層、維護(hù)管理層、平臺服務(wù)層、軟件服務(wù)層及基礎(chǔ)支撐組成。

2 云計算平臺安全分析

自從虛擬化、多租戶等全新的技術(shù)引入云計算平臺中，云計算平臺的安全特點(diǎn)就有：其一，由于云計算平臺中的用戶多種，就要保障云計算平臺的服務(wù)可以永續(xù)性；其二，云計算平臺中有多種信息，就要保障云計算平臺中的數(shù)據(jù)安全；其三，云計算平臺是為用戶提供不同的服務(wù)，就要保障各用戶之間的安全及運(yùn)行環(huán)境的安全；其四，不同等級對云計算平臺中的安全需求是不同的，就要保障虛擬機(jī)之間的安全。

2.1 虛擬化安全

虛擬化層的安全隱患主要有5個方面：其一，虛擬機(jī)的監(jiān)控漏洞，對方往往會利用漏洞攻擊云計算平臺；其二，沒有對鏡像及快照文件實施保護(hù)，此方面的安全性關(guān)乎到鏡像后，使用用戶信息的安全性；其三，虛擬機(jī)在工作的時候，會由于本身的負(fù)載失衡或者自身存在的安全問題等多方面因素，在虛擬機(jī)向物理機(jī)移動的過程中，可能會存在數(shù)據(jù)信息泄露的風(fēng)險；其四，隨著云計算的不斷進(jìn)步，傳統(tǒng)對流量監(jiān)控的手段已經(jīng)滿足不了虛擬機(jī)網(wǎng)絡(luò)流量監(jiān)控需求，這就造成對虛擬流量監(jiān)控方面非常困難；其五，傳統(tǒng)的審計宿主機(jī)的方式已經(jīng)不適用于審計虛擬主機(jī)的方式，這就造成對虛擬機(jī)審計方面的監(jiān)管較為困難。

信息資源存儲方面的安全風(fēng)險主要類似于SAN技術(shù)的虛擬化存儲技術(shù)方面的安全問題，包括虛擬化存儲設(shè)備中的軟件/硬件問題和信息在網(wǎng)絡(luò)中的接受和傳送等安全問題。

2.2 數(shù)據(jù)存儲安全

數(shù)據(jù)存儲的安全隱患主要有3個方面：其一，用戶將數(shù)據(jù)信息存放到云端中，數(shù)據(jù)信息沒有較好的安全性及完成性，就會對其造成安全風(fēng)險，這也是由于用戶對數(shù)據(jù)信息沒有一個較好的管理程度；其二，在模擬多租戶的背景下，用戶可以實現(xiàn)資源共享及計算，在此過程中切換用戶的時候，用戶在資源共享的數(shù)據(jù)信息就有可能泄露，以此對其造成風(fēng)險；其三，由于是模擬多租戶的環(huán)境，所以傳統(tǒng)的審計數(shù)據(jù)沒有辦法滿足云端審計數(shù)據(jù)的需求。

2.3 基礎(chǔ)軟/硬件安全

在云計算平臺安全體系中，要密切注意存在軟/硬件中的預(yù)埋后門風(fēng)險、（芯片、CPU等）硬件風(fēng)險、（應(yīng)用軟件、開發(fā)軟件、開發(fā)工具等）軟件風(fēng)險。

2.4 終端安全

在云計算平臺中，由于終端具有不同的設(shè)備及不同的類別，這就大大加強(qiáng)了對接入和認(rèn)證控制方面的難度。另外終端和服務(wù)器之間主要是對鍵盤、圖形、鼠標(biāo)、輸入/輸出信號等信息進(jìn)行傳輸，除了對遠(yuǎn)程連接方面有安全協(xié)議，對于其他符合國家密碼法的信息傳輸?shù)确矫娌]有制定保護(hù)措施或者安全協(xié)議，這造成了這方面存在被修改、竊聽等安全問題。同時終端還具有計算和緩存功能，在進(jìn)行信息加密傳輸?shù)倪^程中，就不能確定信息是否被緩存保存，這就使信息有泄露安全風(fēng)險。

2.5 Paas和SaaS運(yùn)行安全

云計算平臺中的管理員有存儲、緩存、計算等權(quán)利，這就會造成云計算管理員權(quán)利受到他方控制的安全隱患。其次在Paas和SaaS運(yùn)行的過程中，各租戶與各租戶之間及各租戶與基礎(chǔ)設(shè)備之間并沒有科學(xué)有效的訪問及隔離控制手段，這就可能會使各租戶或者基礎(chǔ)設(shè)備造成他方對其的肆意破壞及攻擊等安全風(fēng)險。最后在虛擬化背景下，相同的物理服務(wù)器中的節(jié)點(diǎn)具有不同的虛擬服務(wù)器，所以對兩者的區(qū)分會有較大的難度，這就造成有多種安全保護(hù)的用戶會受到訪問限制等一系列的挑戰(zhàn)[2]。

3 云計算平臺安全應(yīng)對措施

針對云計算平臺中虛擬化安全、數(shù)據(jù)存儲安全、基礎(chǔ)軟/硬件安全、終端安全及Paas和SaaS運(yùn)行安全，應(yīng)該采取以下措施，以此使云計算平臺可以有一個安全的運(yùn)行環(huán)境。

3.1 虛擬化安全應(yīng)對措施

虛擬化存在5種安全隱患，所以也要有5種應(yīng)對措施。其一，要定期對云計算平臺進(jìn)行漏洞風(fēng)險掃描、修復(fù)、升級等，及時發(fā)現(xiàn)漏洞并且及時對其進(jìn)行解決；其二，對于鏡像、快照文件進(jìn)行加密存儲，保障其是完整且具有機(jī)密性的；其三，可以在虛擬機(jī)向物理機(jī)移動的過程中進(jìn)行加密技術(shù)或者限制權(quán)限等技術(shù)，防止其中的文件、信息等被惡意篡改和非法訪問等；其四，可以在虛擬網(wǎng)絡(luò)流量監(jiān)控中使用虛擬標(biāo)記和審計措施，實現(xiàn)對其的實施監(jiān)控；其五，首先要全面了解虛擬化環(huán)境中的審計監(jiān)管，對于虛擬化網(wǎng)絡(luò)及虛擬化硬件資源方面采取細(xì)致的審計措施，保障對虛擬機(jī)的監(jiān)控是實時且有效的。

3.2 數(shù)據(jù)存儲安全應(yīng)對措施

數(shù)據(jù)存儲中存在安全隱患，所以也要采取3種應(yīng)對措施。其一，使用數(shù)據(jù)加密或者磁盤加密等加密措施，使云計算平臺中存儲的數(shù)據(jù)具有完整性及機(jī)密性；其二，對于數(shù)據(jù)的殘留，可以對其進(jìn)行銷毀，有效地整理數(shù)據(jù)，使數(shù)據(jù)不被泄露；其三，提高數(shù)據(jù)處理、使用、銷毀的周期，為之后的數(shù)據(jù)審計打下良好基礎(chǔ)。

3.3 基礎(chǔ)軟/硬件安全應(yīng)對措施

對于軟/硬件后門風(fēng)險，可以使用國產(chǎn)CPU、芯片或者國產(chǎn)化的軟件來研究及開發(fā)云計算平臺，防止軟/硬件安全隱患的發(fā)生。

3.4 終端安全應(yīng)對措施

首先可以對終端進(jìn)行統(tǒng)一有效的接入授權(quán)，然后針對終端在傳輸過程中發(fā)生的泄露信息的風(fēng)險，對遠(yuǎn)程傳輸協(xié)議實施安全加固，使用國家規(guī)定的密碼算法對信息傳輸進(jìn)行保護(hù)，使其具有完整性及機(jī)密性。最后可以使用物理斷電對終端中殘留的敏感信息進(jìn)行清理，使信息徹底消除，降低信息泄露風(fēng)險。

3.5 Paas和SaaS運(yùn)行安全應(yīng)對措施

首先可以對云計算平臺中的管理員及虛擬機(jī)的管理員進(jìn)行控制和分配權(quán)限。其次使用虛擬機(jī)隔離、進(jìn)程隔離等隔離方式對各租戶之間進(jìn)行有效隔離，限制各租戶之間的訪問，降低各租戶的信息泄露風(fēng)險。最后可以重新構(gòu)建安全芯片，使用密碼隔離對同一物理機(jī)上存在的風(fēng)險進(jìn)行安全隔離[3]。

4 結(jié)語

隨著云計算技術(shù)的不斷發(fā)展，被廣泛運(yùn)用到我國各行各業(yè)中，云計算技術(shù)也改變著我們的日常生活。云計算平臺在發(fā)展的過程中也會面臨著不同的安全問題，所以就要對這些問題制定相應(yīng)的措施，這也是使云計算技術(shù)可持續(xù)發(fā)展的有效途徑。

參考文獻(xiàn)

[1] 徐宗標(biāo).云計算平臺安全體系及應(yīng)對措施[J].電信技術(shù)， 2014（2）：36-39.

篇2

關(guān)鍵詞:云計算;無線局域網(wǎng);WPA;PSK

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)33-9611-04

Cloud Computing and Research of WPA Security

WANG Jian1, FANG Hong-ying2

(1.College of Computer Science and Technology,Chongqing University of Posts and Telecoms,Chongqing 400065, China; 2.College of Science,Chongqing Jiaotong University,Chongqing 400074, China)

Abstract: The WLAN with wireless channel for the transmission medium widely applied to the domain needing for removable data processing or unable to cabling with physics transmission medium. But its open characteristic causes wiretapping,identity threats, and so on counterfeiting and tampering of information are actually ubiquitous. The IEEE 802.11 proposes a series of safety mechanism to solves these Safety potential, as identification authentication and the data encryption and so on. But along with cloud computation, facing the super-computing platform, computing hundreds of millions of times per second, the encryption protocol in WLAN became frail at present. In this paper based on the WLAN WPA encryption, a detailed analysis of cloud computing to WLAN security challenges will be discussed, finally the experimental data will prove the authenticity and severity of such security threat.

Key words: cloud computing; WLAN; WPA; PSK

無線局域網(wǎng)(Wireless Local Area Network,WLAN)作為有線聯(lián)網(wǎng)方式的補(bǔ)充和延伸,逐漸成為計算機(jī)網(wǎng)絡(luò)中一個至關(guān)重要的組成部分。WLAN以無線信道作傳輸媒介,廣泛適用于需要可移動數(shù)據(jù)處理或無法進(jìn)行物理傳輸介質(zhì)布線的領(lǐng)域。

無線媒介具有開放性特點(diǎn),但它要求比有線網(wǎng)絡(luò)更嚴(yán)格的安全措施。雖然WLAN規(guī)范的標(biāo)準(zhǔn)化,使無線網(wǎng)絡(luò)技術(shù)變得成熟與完善,但竊聽、身份假冒和信息篡改[1]等威脅卻無處不在。為了解決這些安全隱患,IEEE 802.11協(xié)議提出了一系列安全機(jī)制,來實現(xiàn)身份驗證和數(shù)據(jù)加密。但是隨著云計算的提出,面對每秒數(shù)億次的超級計算平臺,目前WLAN中的加密協(xié)議顯得來力不從心。本文以WLAN中最常用的WPA加密協(xié)議為例,詳細(xì)分析云計算對無線局域網(wǎng)安全帶來的挑戰(zhàn)。

1 云計算

云計算(Cloud Computing)是分布式計算技術(shù)的一種,其最基本的概念,是透過網(wǎng)絡(luò)將龐大的計算處理程序自動分拆成無數(shù)個較小的子程序,再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計算分析之后將處理結(jié)果回傳給用戶。透過這項技術(shù),網(wǎng)絡(luò)服務(wù)提供者可以在數(shù)秒之內(nèi),達(dá)成處理數(shù)以千萬計甚至億計的信息,達(dá)到和“超級計算機(jī)”同樣強(qiáng)大效能的網(wǎng)絡(luò)服務(wù)――維基百科(Wikipedia)。

1.1 云計算的原理

云計算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計算(Grid Computing)的發(fā)展。其原理是,通過使計算分布在大量的分布式計算機(jī)上,而非本地計算機(jī)或遠(yuǎn)程服務(wù)器中,企業(yè)數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上,根據(jù)需求訪問計算機(jī)和存儲系統(tǒng)。云計算具有綜合利用網(wǎng)絡(luò)上的軟件和數(shù)據(jù)的能力,把計算資源和存儲資源聯(lián)合起來,供每一個成員使用。

1.2 云計算的特征

云計算[2]是“海量存儲”和“高性能計算服務(wù)”的高度融合。高性能計算服務(wù)(云計算)部署依賴于計算機(jī)集群,也吸收了自主計算和效用計算的特點(diǎn);海量存儲(Cloud Storage,云存儲)是一種將數(shù)據(jù)保存在虛擬存儲池上的實現(xiàn)方式,數(shù)據(jù)獨(dú)立存儲,而非與計算部件共享服務(wù)器上。

從事云計算服務(wù)研究的結(jié)構(gòu)眾多,包括Wikipedia,Google,Microsoft,Garmer和Forrester等,它們依據(jù)各自的利益和不同的研究視角給出了對云計算不同的的定義和理解。但是無論廣義的還是狹義的云計算,均具有如下特征:快速部署資源或獲得服務(wù);按需擴(kuò)展和使用;可以按使用量計費(fèi);通過網(wǎng)絡(luò)提供服務(wù)。

1.3 云計算為安全帶來的好處[3]

1) 數(shù)據(jù)集中存儲:數(shù)據(jù)的集中存儲減少了數(shù)據(jù)泄露的可能性,可靠的安全監(jiān)測提供可靠的實時安全保障,用戶的存儲成本也大大降低。

2) 事件快速反應(yīng):事件的快速反應(yīng)是指云計算縮短了服務(wù)時間,降低了服務(wù)器出錯概率,使服務(wù)更有針對性。

3) 密碼可靠性測試:如果用戶需要使用密碼破解工具定期對密碼強(qiáng)度進(jìn)行測試,那么可以使用云計算減少密碼破解時間,并更能保證密碼強(qiáng)度的可靠性。

4) 無限期日志:在云存儲模式下,如果磁盤空間不足,可以重新分配,并不會影響日志的存儲使用,而且沒有日期限制。完善日志索引機(jī)制提供實時索引功能。

5) 提升安全軟件的性能:在云計算中,出現(xiàn)了越來越多的高性能安全軟件,也可以在某種程度上說,云帶來了安全產(chǎn)品的整體提升。

6) 可靠的構(gòu)造:通過預(yù)控制機(jī)制減少漏洞,同時更容易檢測到安全狀況,有助于構(gòu)造出更安全的工作環(huán)境。

7) 安全性測試:降低安全測試成本,節(jié)省昂貴的安全性測試費(fèi)用。通過云計算還可以在潛在成本規(guī)模經(jīng)濟(jì)下開發(fā)產(chǎn)品。

2 云計算對無線網(wǎng)絡(luò)安全的挑戰(zhàn)[4]

無線局域網(wǎng)(WLAN)是一種利用無線技術(shù)、實現(xiàn)局域網(wǎng)功能的技術(shù)。相對于有線通信技術(shù)而言,無線傳輸媒體的開放性導(dǎo)致監(jiān)聽變得無處不在。因此,IEEE 802.11-1999標(biāo)準(zhǔn)中提出了一系列技術(shù),希望從認(rèn)證、加密和數(shù)據(jù)的完整性三方面為數(shù)據(jù)傳輸提供安全保障。

2.1 WEP協(xié)議

WEP(Wired Equivalent Privacy,有線等效加密)[5]安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。RC4加密算法是RSA Security的Ron Rivest在1987年設(shè)計的密鑰長度可變的流加密算法簇。該算法具有很高級別的非線性,其速度可以達(dá)到DES加密的10倍。

WEP協(xié)議的安全性取決于密鑰及其不被發(fā)現(xiàn)的能力。研究表明RC4算法中如果用相同的初始化向量和密鑰加密兩條消息,那么流密碼容易受到攻擊:因為如果對相同密鑰流加密的密文進(jìn)行XOR運(yùn)算,那么密鑰流將互相抵消而保留兩條明文的XOR結(jié)果。攻擊者也可能查找某一已知明文,并可以用它對兩條明文的XOR結(jié)果再作XOR運(yùn)算來計算另一條明文的內(nèi)容。歸結(jié)WEP協(xié)議的弱點(diǎn)如表1所示,其今天的地位只能說是說有勝于無了。

2.2 WPA協(xié)議

WPA(Wi-Fi Protected Access)是另一種保護(hù)無線局域網(wǎng)安全的技術(shù),它有針對性的解決了WEP中的幾個嚴(yán)重的弱點(diǎn)[6]。

從表2可以看出WPA在安全方面進(jìn)行了如下革新:身份驗證機(jī)制杜絕了偽鏈接攻擊;增強(qiáng)至48Bits的IV加上Sequence Counter機(jī)制防止IV 重復(fù);MIC信息編碼完整性機(jī)制,使得要偽造一個合法數(shù)據(jù)包變得異常的困難;Per-Packet Key加密機(jī)制,讓每個包都使用不同的key加密;Dynamic key management,動態(tài)key管理機(jī)制,為密碼的安全提供保障。

目前使用的WPA有普通WPA 和WPA2(802.11i)兩個標(biāo)準(zhǔn)。其區(qū)別在于數(shù)據(jù)加密算法(TKIP、AES)和數(shù)據(jù)完整性校驗算法(MIC、CCMP)的不同,如表3所示。

在WPA/WPA2中和密碼相關(guān)的信息有加密數(shù)據(jù)包和身份認(rèn)證數(shù)據(jù)。通過分析TKIP和AES可以得出,由于無法知道明文,要通過捕獲足夠的加密數(shù)據(jù)包從而找到可以攻擊的信息很難實現(xiàn)。那么破解的突破口就在于WPA/WPA2的身份認(rèn)證過程。

WPA/WPA2分為兩種認(rèn)證方式:802.1x (基于端口的網(wǎng)絡(luò)接入控制)+ EAP(擴(kuò)展認(rèn)證協(xié)議)模式,是一種工業(yè)級的身份認(rèn)證體系,需要架設(shè)專用的認(rèn)證服務(wù)器(如Radius);Pre-shared Key (PSK,預(yù)共用密鑰)模式,是設(shè)計給負(fù)擔(dān)不起 802.1x 驗證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)用的。針對前者的攻擊代價太高,目前主要的破解行為都集中在PSK模式上。

2.2.1 預(yù)共用密鑰(Pre-shared Key,PSK)

PSK的認(rèn)證過程包含STA(Station,客戶端)與AP(access point)間的四次握手(Four-Way Handshake),如圖1所示。

2.4.1 WPA-PSK 初始化工作

使用 SSID 和passphares使用以下算法產(chǎn)生PSK 在WPA-PSK 中PMK=PSK

PSK=PMK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096)

1) 第一次握手

AP:廣播SSID、AP_MAC到STA。

STA:使用接收到的SSID,AP_MAC和passphares計算出PSK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096);且PMK=PSK。

2) 第二次握手

STA:發(fā)送一個隨機(jī)數(shù)SNonce,STA_MAC到AP。

AP端:接收到SNonce,STA_MAC后產(chǎn)生一個隨機(jī)數(shù)Anonce;然后用PMK,AP_MAC,STA_MAC,SNonce,ANonce 產(chǎn)生PTK=SHA1_PRF(PMK, Len(PMK), "Pairwise key expansion",MIN(AP_MAC,STA_MAC) ||Max(AP_MAC,STA_MAC) || Min(Anonce,SNonce) || Max(Anonce,SNonce));提取這個PTK 前16Bytes組成一個MIC KEY。

3) 第三次握手

AP:發(fā)送上面產(chǎn)生的Anonce到STA。

STA:用接收到ANonce 和以前產(chǎn)生PMK,SNonce,AP_MAC,STA_MAC用同樣的算法產(chǎn)生PTK;提取這個PTK 前16Bytes組成一個MIC KEY;使用以下算法產(chǎn)生MIC = HMAC_MD5(MIC Key,16,802.1x data),其中802.1x data 是802.1x 數(shù)據(jù)幀。

4) 第四次握手

STA:用上面那個準(zhǔn)備好的802.1x 數(shù)據(jù)幀在最后填充上MIC值和兩個字節(jié)的0(十六進(jìn)制),然后發(fā)送這個數(shù)據(jù)幀到AP。

AP:收到這個數(shù)據(jù)幀后提取這個MIC,并把這個數(shù)據(jù)幀的MIC部分都填上0(十六進(jìn)制),這時用這個802.1x data 數(shù)據(jù)幀,和用上面AP產(chǎn)生的MIC KEY 使用同樣的算法得出MIC’;如果MIC’等于STA發(fā)送過來的MIC。那么第四次握手成功,若不等說明則AP 和STA的密鑰不相同,或STATION 發(fā)過來的數(shù)據(jù)幀受到過中間人攻擊,原數(shù)據(jù)被篡改過。握手失敗了。

2.2.2 PSK的破解

雖然PSK安全體系是十分完善的,但自始至終是一個靠密鑰保護(hù)的系統(tǒng),密鑰成為了系統(tǒng)的關(guān)鍵點(diǎn),也是威脅安全的失效點(diǎn)。

圖1中很清楚的表明,在四次握手中主要傳遞的有如下數(shù)據(jù):SSID,AP_MAC,STA_MAC,SNonce,ANonce,802.1x data,MIC。前面6 個元素很清楚,不跟密鑰有聯(lián)系,只有最后一個MIC和密碼有所聯(lián)系。MIC是通過上面六個信息元素和密碼通過三個主要的算法計算出來的。理論上說只要找到這三個算法的逆反算法就可以根據(jù)上面的7個信息元素把密碼計算出來了呢。但是事與愿違的是pdkdf2_SHA1,SHA1_PRF,HMAC_MD5這三個函數(shù)都是HASH(散列) 函數(shù)。眾所周知,HASH函數(shù)幾乎都不存在反函數(shù),因此唯一可行的就是建立字典(Hash Tables)進(jìn)行攻擊。

1) 字典法

字典法,又叫窮舉法、遍歷法。首先把可能的密鑰羅列起來組成一個密碼字典。然后采用待破解系統(tǒng)相同的加密過程(加密算法和步驟)依次計算出每一個密鑰的密文值與現(xiàn)有密文值進(jìn)行比較,嘗試猜解密碼;也可以依次將字典中的每一個密鑰導(dǎo)入待破解系統(tǒng),在線驗證密碼。

PSK密鑰規(guī)范規(guī)定:可以采取HEX和ASCII模式做密鑰,最多64Bytes,符號包括字母和數(shù)字。那么可是使用的字符個數(shù)為95個,密碼空間為9564。這超乎想象的密碼空間是目前任何計算機(jī)系統(tǒng)都無法勝任的。

2) 弱口令字典[7]

弱口令是一個相對的概念,指的是密鑰空間中很有希望破解的那部分。由此構(gòu)成的字典被稱為弱口令字典?？紤]到現(xiàn)實生活中人們設(shè)置密鑰的習(xí)慣,常見的弱口令字典包括:社會工程學(xué)的弱口令;有一定聯(lián)系性規(guī)律性弱口令;暴露過的強(qiáng)口令。

3) 內(nèi)存-時間平衡(Time-Memory Trade-Offs)法[8]

單純地使用字典,采用和目標(biāo)同等算法破解,其速度其實是非常緩慢的,就效率而言根本不能滿足實戰(zhàn)需要。如果能夠?qū)崿F(xiàn)直接建立出一個數(shù)據(jù)文件,里面事先記錄了采用和目標(biāo)采用同樣算法計算后生成的Hash值,在需要破解的時候直接調(diào)用這樣的文件進(jìn)行比對,破解效率就可以大幅度地,這一方法還可以依托大型數(shù)據(jù)庫進(jìn)行文本匹配,從而更加速了解密的進(jìn)程。由于這種方法意味著使用大量內(nèi)存的能夠減少破解密碼所需要的時間,由此被稱作“內(nèi)存-時間平衡法”。而事先構(gòu)造的Hash數(shù)據(jù)文件在安全界被稱之為Table表(文件)。

2.2.3 云計算構(gòu)建PSK Hash Tables

在“內(nèi)存-時間平衡”法和弱口令字典的基礎(chǔ)之上,可以開始構(gòu)建跟PSK解密相關(guān)的Hash表了。所采用的方法即前文所述的Four-Way Handshake,涉及到的函數(shù)包括pdkdf2_SHA1、SHA1_PRF、HMAC_MD5。目的是將弱口令字典中的每一個密鑰(MK)通過pdkdf2_SHA1計算出PMK(即PSK),再通過SHA1_PRF函數(shù)計算該P(yáng)MK對應(yīng)的PTK,最終將原始的MK和生成的PTK對存入PSK Hash Tables備用。

云計算中軟件即服務(wù)(SaaS)的收費(fèi)服務(wù)理念在分布式構(gòu)建PSK Hash Tables時非常有效。全球每一個用戶既可以在PSK云計算平臺中將自己計算機(jī)空閑資源共享出來,通過分布式計算為PSK Hash Tables添磚加瓦,從而按計算量獲取報酬;又可以享受在擁有被攻擊對象PTK的情況下,高速查詢原始密鑰的服務(wù),一切只需要付費(fèi)即可。

以由1000臺計算機(jī)構(gòu)成的PSK云計算平臺為例,計算PSK Hash Tables的時間減少為原來的1/1000。通過該云計算平臺,可以將以前的100~300 key/s的單機(jī)破解速率,提升到30000~100000 key/s,破解效率提升了近300~1000倍。綜合所述,這個破解PSK密鑰的速度提高了106倍。

2.2.4 現(xiàn)狀

國外高級安全機(jī)構(gòu)(如churchofwifi、shmoo等),也已經(jīng)建立了高達(dá)500G的詳盡WPA/WPA2攻擊Hash Tables庫,并將一些基本完善的PSK Hash Tables公開出售,這使得普通電腦在5分鐘內(nèi)破解14位長足夠復(fù)雜的PSK帳戶密碼成為現(xiàn)實。

4 結(jié)論

該文研討了云計算對無線網(wǎng)絡(luò)安全帶來的挑戰(zhàn),充分展現(xiàn)了“云計算”+“內(nèi)存-時間平衡法”的高效性。

安全研究是把雙刃劍,既可能對系統(tǒng)造成破壞,使用得當(dāng)也可以預(yù)測和避免網(wǎng)絡(luò)威脅。安全領(lǐng)域中,云計算可用于:加密算法強(qiáng)度評估;無限期日志;可靠性測試; 安全性測試等方面。

參考文獻(xiàn):

[1] 張豐翼,劉曉寒,馬文平,王新梅.無線局域網(wǎng)安全的關(guān)鍵問題[J].信息安全與通信保密,2004(5):34-37.

[2] 顧理琴.淺談云計算(Cloud Computing)--未來網(wǎng)絡(luò)趨勢技術(shù)[J].電腦知識與技術(shù),2008(S2):11-12.

[3] 編者.云計算為安全帶來的七大利好[J].計算機(jī)與網(wǎng)絡(luò),2008(17):37-38.

[4] 謝四江,馮雁.淺析云計算與信息安全[J].北京電子科技學(xué)院學(xué)報,2008(4):1-3.

[5] Matthew Gast.802.11?R Wireless Networks The Definitive Guide [M].2nd ed.Sebastopol,CA:O'Reilly Media,Inc,2005.

[6] 孫宏,楊義先.無線局域網(wǎng)協(xié)議802.11安全性分析[J].電子學(xué)報,2003(7):1098-1100.

篇3

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，信息傳播速率不斷提高，給人們的社會生活帶來了巨大的改變，信息技術(shù)深入滲透人們社會生活的方方面面。近年來，云計算概念開始迅速崛起，并上升為我國的國家信息戰(zhàn)略的重要組成部分。伴隨云計算的運(yùn)用，其面對的網(wǎng)絡(luò)信息安全問題也開始越來越受到關(guān)注。本文通過對云計算的原理及特點(diǎn)進(jìn)行分析，提出應(yīng)該充分重視云計算環(huán)境下的信息安全，采用科學(xué)有效的手段進(jìn)行信息安全防護(hù)，促進(jìn)云計算網(wǎng)絡(luò)的健康發(fā)展。

【關(guān)鍵詞】

云計算；互聯(lián)網(wǎng)；信息安全；云服務(wù)

近年來，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息傳播給人們的社會生活的方方面面帶來了巨大的改變。在網(wǎng)絡(luò)發(fā)展的過程中，云計算概念開始誕生，并快速發(fā)展。但是相伴而生的網(wǎng)絡(luò)安全問題也開始浮現(xiàn)，如數(shù)據(jù)存儲由云服務(wù)商統(tǒng)一管理后容易發(fā)生身份信息泄露等諸多問題，所以構(gòu)建科學(xué)有效的信息安全防護(hù)方案，勢在必行。

1云計算的原理剖析及特點(diǎn)研究

1．1原理剖析

云計算，是通過網(wǎng)絡(luò)計算技術(shù)和多種處理技術(shù)構(gòu)建的一種新型計算模式，其通過建設(shè)新型信息共享構(gòu)架，滿足大批量的數(shù)據(jù)存儲和一定范圍的網(wǎng)絡(luò)功能服務(wù)。云計算是利用互聯(lián)網(wǎng)作為載體實現(xiàn)多種方法的計算并最終完成相關(guān)服務(wù)的。通常意義上來說，用戶獲取信息服務(wù)和相關(guān)計算，只需要在操作過程中運(yùn)用相同的服務(wù)器就可以完成相應(yīng)操作，但是高質(zhì)量的運(yùn)算必須利用互聯(lián)網(wǎng)才能實現(xiàn)。為了提高使用效率和提高服務(wù)質(zhì)量，高效利用互聯(lián)網(wǎng)進(jìn)行相關(guān)資料的統(tǒng)計和處理，使更多用戶獲得從企業(yè)數(shù)據(jù)處理中心提供的服務(wù)，實現(xiàn)較好的操作性，就必須云計算的分布模式進(jìn)行利用。

1．2特點(diǎn)研究

通常來說，云計算具備以下四個方面的優(yōu)點(diǎn):第一，云計算具有超大范圍的資源共享能力，其擺脫了利用軟件完成資源共享的依賴。第二，云計算具備特殊配置部署能夠更好地滿足用戶的個性化訪問需求。第三，云計算具備良好的拓展性，為大規(guī)模的信息集群的開展提供了堅實的基礎(chǔ)。第四，云計算具備強(qiáng)大的自動化的忽略錯誤節(jié)點(diǎn)能力，可以保障程序的穩(wěn)定運(yùn)行，而不受大量節(jié)點(diǎn)失效的影響。與此同時，目前的云計算也存在兩個缺點(diǎn)。首先，傳統(tǒng)業(yè)務(wù)的過渡處理存在缺陷，容易引發(fā)壟斷問題。其次，云計算安全性防范系統(tǒng)的薄弱極為容易引發(fā)信息安全問題，帶來信息服務(wù)質(zhì)量下降。目前云計算存在常見安全問題主要有網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)病毒等問題，這些問題影響著云計算技術(shù)的發(fā)展，必須找到科學(xué)有效的解決方案，才能確保云計算技術(shù)的健康發(fā)展。

2云計算環(huán)境下多種網(wǎng)絡(luò)安全問題

2．1計算機(jī)網(wǎng)絡(luò)環(huán)境的安全問題

云計算面對計算機(jī)網(wǎng)絡(luò)安全問題主要包括網(wǎng)絡(luò)硬件故障，網(wǎng)絡(luò)管理操作錯誤等問題。眾所周知，網(wǎng)絡(luò)是軟硬件構(gòu)成的智能系統(tǒng)，軟件的運(yùn)行錯誤和硬件的故障都可能帶來安全問題，甚至自然性災(zāi)害都可能讓危及計算機(jī)網(wǎng)絡(luò)環(huán)境安全。在云計算環(huán)境下，數(shù)據(jù)處理往往采用集中式處理方法，其對使用環(huán)境的安全性要求較高，因此計算機(jī)網(wǎng)絡(luò)環(huán)境的安全性對云計算的網(wǎng)絡(luò)安全至關(guān)重要。

2．2數(shù)據(jù)存儲的安全問題

作為計算機(jī)網(wǎng)絡(luò)健康穩(wěn)定運(yùn)行的前提條件，數(shù)據(jù)存儲安全十分重要。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，相關(guān)數(shù)據(jù)存儲通常采用單機(jī)運(yùn)行，數(shù)據(jù)儲存安全性較高。但是在云計算環(huán)境下，存儲由服務(wù)商統(tǒng)一管理，數(shù)據(jù)村粗的安全性就取決于服務(wù)商的技術(shù)水平和誠信度。作為威脅數(shù)據(jù)通信安全的關(guān)鍵環(huán)節(jié)，數(shù)據(jù)的傳輸過程極為容易受到安全威脅，如實行DDOS攻擊，此外，還可以利用系統(tǒng)入侵和篡改數(shù)據(jù)來破壞數(shù)據(jù)信息。

2．3虛擬環(huán)境的安全問題

基于云計算環(huán)境的虛擬服務(wù)環(huán)境是建立在對現(xiàn)階段網(wǎng)絡(luò)資源的全面整合之上的。在云計算環(huán)境下，用戶獲取數(shù)據(jù)來自于云端，“臨時租用式”地獲取服務(wù)，這樣可以使網(wǎng)絡(luò)資源得以高效利用。然而云計算環(huán)境的本質(zhì)是屬于高度整合的虛擬網(wǎng)絡(luò)環(huán)境，其相關(guān)安全措施并不完善，傳統(tǒng)的網(wǎng)絡(luò)防范技術(shù)很難實現(xiàn)對云計算數(shù)據(jù)中心的保護(hù)。

2．4身份認(rèn)證的安全問題

在構(gòu)建云計算網(wǎng)絡(luò)時，服務(wù)商會在相關(guān)區(qū)域搭建服務(wù)器，當(dāng)用戶獲取資源時，會向服務(wù)器發(fā)送請求，并進(jìn)行身份認(rèn)可。這樣一來，用戶身份存在暴露的可能性，為不法分子提供了可乘之機(jī)。通常情況下，不法分子不僅可以通過攻擊用戶管理服務(wù)器盜取用戶名與密碼，還可以利用云計算的網(wǎng)絡(luò)信道進(jìn)行監(jiān)聽胡哦哦東，或者向網(wǎng)絡(luò)信道傳統(tǒng)病毒，進(jìn)行非法活動。

3云計算信息安全的防護(hù)策略

3．1建立統(tǒng)一的信息保障系統(tǒng)

為了保護(hù)云計算環(huán)境下的信息安全，相關(guān)部門和行業(yè)協(xié)會必須積極引導(dǎo)企業(yè)建立互信合作，共同建立統(tǒng)一的信息管理保障系統(tǒng)，進(jìn)行資源快速整合，促進(jìn)云計算技術(shù)的發(fā)展。我們必須正視互聯(lián)網(wǎng)行業(yè)中存在競爭關(guān)系和競爭情況，努力擴(kuò)大企業(yè)信息交流，增進(jìn)和互信合作。

3．2加強(qiáng)云環(huán)境信息的加密防范

為了保障云計算環(huán)境下的信息安全，我們必須對云環(huán)境的信息進(jìn)行全面性的加密防范，有效保障每一個信息的安全性。如采用PGP方式進(jìn)行過加密的文件，在傳輸過程中也能得到有效安全保護(hù)，我們還可以通過設(shè)置上傳命令的形式保障傳輸安全性，信息管理者還可以進(jìn)行多秘鑰設(shè)置，構(gòu)建多層防護(hù)。針對具有數(shù)據(jù)范文的數(shù)據(jù)加密，我們可以借助AES技術(shù)進(jìn)行全面加密。此外，我們還可利用SAN技術(shù)相關(guān)信息備份，在信息丟失時利用備份進(jìn)行數(shù)據(jù)恢復(fù)工作。

3．3加強(qiáng)基礎(chǔ)設(shè)施管理和內(nèi)容備份

云計算環(huán)境的網(wǎng)絡(luò)信息安全保障中，對其平臺的基礎(chǔ)設(shè)施管理也至關(guān)重要，一旦基礎(chǔ)設(shè)施發(fā)生故障，網(wǎng)絡(luò)的正常運(yùn)行將受到巨大影響。因此，我們必須全年開展基礎(chǔ)網(wǎng)絡(luò)管理，對重要信息進(jìn)行多重綁定設(shè)置，必須完善防火墻建設(shè)，并加強(qiáng)系統(tǒng)內(nèi)部的非常端口和服務(wù)系統(tǒng)的管理。此外，我們還需要完善云計算內(nèi)容的備份工作，改變目前傳統(tǒng)備份手段無法適應(yīng)大數(shù)據(jù)發(fā)展需要的不良格局，只有做好備份工作，才能保證云計算技術(shù)的穩(wěn)定健康發(fā)展。

作者：李健 單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司陜西分公司

參考文獻(xiàn):

篇4

關(guān)鍵詞：云計算 安全防護(hù)體系

一、云計算及特點(diǎn)

1.什么是云計算

云計算是當(dāng)今信息領(lǐng)域的發(fā)展熱點(diǎn)，它不僅建立了一種基于互聯(lián)網(wǎng)為用戶提供彈性計算資源服務(wù)的新型商業(yè)模式，也提出了一條可行的通過整合網(wǎng)絡(luò)上分散信息資源來滿足“大數(shù)據(jù)、大用戶、大系統(tǒng)”需求的技術(shù)解決途徑。由于云計算在經(jīng)濟(jì)、敏捷、創(chuàng)新方面的突出特點(diǎn)，已成為大數(shù)據(jù)時代信息產(chǎn)業(yè)發(fā)展的有力推手。

云計算通常包括“云平臺”和“云服務(wù)”兩個部分。“云平臺”是由網(wǎng)絡(luò)、服務(wù)器、軟件、數(shù)據(jù)等大規(guī)模計算資源集合及其調(diào)度與管理系統(tǒng)組成的“實體”中心，可為用戶提供各類“云服務(wù)”；“云服務(wù)”是“云平臺”的外在表現(xiàn)形式，主要有IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺即服務(wù)）和SaaS（軟件及服務(wù)）。

2.云計算的特點(diǎn)

云計算的核心思想是通過一套高效的技術(shù)機(jī)制來將大量計算資源整合成資源池，按需提供服務(wù)。與傳統(tǒng)的數(shù)據(jù)中心相比，云計算具備以下特點(diǎn)：

（1）資源虛擬化

云計算通過虛擬化技術(shù)將海量的服務(wù)器、存儲、網(wǎng)絡(luò)等整合為虛擬的“資源池”。用戶只要通過終端接入云平臺就可獲取資源，不需要了解實際資源的具置、實現(xiàn)方式。實際計算資源即使因各種原因發(fā)生變化或調(diào)整，也不會對用戶產(chǎn)生影響。

（2）彈性調(diào)整

一方面，云計算可按需動態(tài)調(diào)整資源，自動適應(yīng)業(yè)務(wù)負(fù)載的動態(tài)變化，以保證用戶使用的資源同業(yè)務(wù)需求一致，避免資源不足引起服務(wù)中斷或資源分配過多引起閑置資源浪費(fèi)；另一方面，云計算資源可以根據(jù)需求進(jìn)行快速、彈性擴(kuò)展，以滿足用戶增長的需要。

（3）多租戶服務(wù)

云計算采用了分布式計算和資源動態(tài)分配技術(shù)，并按照資源使用來計費(fèi)，按照服務(wù)計費(fèi)。這樣云計算所有資源都可以被多個用戶共享，用戶之間也可以分享資源及應(yīng)用，提高了資源利用率，實現(xiàn)可擴(kuò)展和更低的運(yùn)行成本。

（4）高效可靠

云計算服務(wù)的交付和使用都是基于網(wǎng)絡(luò)來實現(xiàn)的，網(wǎng)絡(luò)的持續(xù)高效特點(diǎn)貫徹云計算的始終。與傳統(tǒng)數(shù)據(jù)中心相比，云計算使用冗余技術(shù)來實現(xiàn)資源的可靠性，通過數(shù)據(jù)多副本容錯、計算節(jié)點(diǎn)同構(gòu)、數(shù)據(jù)分布式存儲等措施來進(jìn)行備份冗余，并能實現(xiàn)災(zāi)難恢復(fù)，可以更好的保障服務(wù)高可靠性。

二、云計算安全風(fēng)險分析

與傳統(tǒng)網(wǎng)絡(luò)應(yīng)用不同，云計算采用了用戶數(shù)據(jù)放置云端、多租戶共享資源、虛擬化整合資源等技術(shù)來整合海量資源為用戶提供服務(wù)，在帶來低成本、高性能等好處同時，由于云平臺的巨大模以及其開放性與復(fù)雜性，成為被黑客集中攻擊的目標(biāo)，面臨了比以往更為嚴(yán)峻的安全風(fēng)險。安全問題已成為影響“云計算”推廣應(yīng)用的首要因素。

參考云計算體系基本架構(gòu)，從IaaS安全、PaaS安全、SaaS安全、終端安全等四個方面對云計算的風(fēng)險進(jìn)行了分析，見表1所示。

從表1可以看出，由云平臺自身特性導(dǎo)致的主要風(fēng)險包括以下幾類：

1.應(yīng)用與數(shù)據(jù)集中后的數(shù)據(jù)安全風(fēng)險

數(shù)據(jù)安全是指數(shù)據(jù)機(jī)密性、完整性和可用性的安全。用戶的應(yīng)用和數(shù)據(jù)均存儲于云平臺，數(shù)據(jù)傳輸、訪問、存儲、審計等各個環(huán)節(jié)都存在安全風(fēng)險，可能導(dǎo)致數(shù)據(jù)泄露、丟失甚至被篡改。

2.共享技術(shù)漏洞引入的虛擬化安全風(fēng)險

虛擬化實現(xiàn)了計算和存儲資源的共享。但若共享技術(shù)存在漏洞，如錄入數(shù)據(jù)未有效隔離，虛擬機(jī)管理程序存在漏洞等，會導(dǎo)致用戶信息泄露，甚至非法用戶通過漏洞直接控制真實資源。

3.多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險

多租用應(yīng)用服務(wù)模式下，租戶的數(shù)據(jù)存儲在非完全可信的虛擬的云上，惡意租戶可通過共享資源對其它租戶和云計算基礎(chǔ)設(shè)施進(jìn)行攻擊，租戶敏感信息面臨著極大的泄露風(fēng)險。

4.安全邊界不確定帶來的運(yùn)營安全風(fēng)險

由于沒有傳統(tǒng)的物理安全邊界，攻擊者可以利用接口進(jìn)入云環(huán)境后安裝惡意軟件實施破壞，或通過網(wǎng)絡(luò)攔截方式獲取用戶賬號信息后，冒名登陸客戶的虛擬機(jī)實施惡意破壞。

5.云平臺自身缺陷導(dǎo)致的服務(wù)中斷風(fēng)險

由于云平臺存儲著大量的用戶應(yīng)用及數(shù)據(jù)，更容易成為黑客集中攻擊的目標(biāo)。一旦因云平臺自身隱患或漏洞出現(xiàn)問題，將可能導(dǎo)致服務(wù)中斷，造成難以挽回的損失。

三、云計算安全防護(hù)體系架構(gòu)

從云計算的基本過程來看，其“端到端”的應(yīng)用模式涉及到用戶終端、網(wǎng)絡(luò)傳輸以及云平臺內(nèi)部的“基礎(chǔ)設(shè)施、平臺和應(yīng)用”各個環(huán)節(jié)，僅按照以往的邊界防護(hù)方式難以防范運(yùn)行在平臺上的應(yīng)用，不對用戶端和應(yīng)用過程進(jìn)行監(jiān)管，也無法防范非法用戶和惡意攻擊。因此，解決云計算安全問題必須從實施基于風(fēng)險的安全管理入手，即建立云計算安全防護(hù)體系。

1.云計算安全防護(hù)目標(biāo)

通過整體防護(hù)，為云用戶提供端到端的安全可信的云計算服務(wù)環(huán)境，保證用戶的數(shù)據(jù)安全與隱私不泄露，確保應(yīng)用的完整性、保密性、可用性；通過過程管理，對云計算服務(wù)各個環(huán)節(jié)進(jìn)行防護(hù)管理，保證云平臺運(yùn)行安全可靠。

2.云計算安全防護(hù)體系基本架構(gòu)

云計算安全防護(hù)體系，應(yīng)按照“過程防護(hù)、分層防護(hù)、多手段綜合、實時監(jiān)管”的思路構(gòu)建，其基本架構(gòu)由基礎(chǔ)設(shè)施安全防護(hù)、平臺安全防護(hù)、應(yīng)用安全防護(hù)和終端安全防護(hù)和安全管理等五部分組成。

（1）基礎(chǔ)設(shè)施安全防護(hù)

IaaS為用戶按需提供實體或虛擬的計算、存儲和網(wǎng)絡(luò)等資源，是云計算體系的基石。Iaas安全除應(yīng)具備傳統(tǒng)數(shù)據(jù)中心的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等安全防護(hù)手段外，虛擬化安全是IaaS安全防護(hù)最重要的任務(wù)。主要安全措施包括：

應(yīng)用安全保護(hù)，主要是通過采取快速切換、容錯虛擬機(jī)、資源冗余備份等措施，當(dāng)出現(xiàn)硬件故障、虛擬機(jī)故障時，能及時保存用戶應(yīng)用進(jìn)程、分配備份資源，以保證用戶應(yīng)用的高可用性。

虛擬化安全防護(hù)，重點(diǎn)是做好虛擬機(jī)與真實系統(tǒng)的隔離。一方面，要做好虛擬服務(wù)器的數(shù)據(jù)隔離備份和邏輯隔離，保證虛擬服務(wù)器安全；另一方面，通過虛擬化管理軟件對虛擬器服務(wù)的創(chuàng)建、運(yùn)行和銷毀進(jìn)行管理，保證用戶不能介入虛擬化軟件層；

資源安全防護(hù)，主要是用戶審計，避免非授權(quán)認(rèn)證用戶接入、資源被非法訪問。

（2）平臺安全防護(hù)

PaaS層又稱中間層，主要包括操作系統(tǒng)和數(shù)據(jù)庫、開發(fā)軟件等中間件，為用戶提供軟件的應(yīng)用開發(fā)和運(yùn)行環(huán)境。PaaS層安全包括平臺安全、接口安全和應(yīng)用安全，除保證為用戶提供可信的軟件開發(fā)運(yùn)行環(huán)境外，重點(diǎn)是保證用戶接入安全、用戶應(yīng)用隔離。主要安全措施包括：

用戶身份認(rèn)證，通過使用身份聯(lián)合、單點(diǎn)登錄和統(tǒng)一授權(quán)等措施，保證云環(huán)境下能安全共享用戶身份信息并對其認(rèn)證、授權(quán)，確保合法用戶按權(quán)限安全合理的使用云資源。

云密碼服務(wù)，為保證接入安全、用戶數(shù)據(jù)安全，基于公鑰體制為用戶提供云密碼服務(wù)，使用戶能利用云密碼服務(wù)來對自己的業(yè)務(wù)流進(jìn)行加解密，保證接入安全、用戶數(shù)據(jù)安全。

云審計服務(wù)，即由第三方對云環(huán)境安全進(jìn)行審計，并公布相關(guān)證據(jù)及其可信度。一方面云服務(wù)提供商向用戶證明提供的中間件及運(yùn)行環(huán)境可信，另一方面通過對用戶的應(yīng)用軟件審計，避免云環(huán)境被非法利用。

（3）應(yīng)用安全防護(hù)

SaaS層面向云終端用戶，為其提供基于互聯(lián)網(wǎng)的應(yīng)用軟件服務(wù)。SaaS安全的重點(diǎn)是應(yīng)用安全，主要安全措施包括：

數(shù)據(jù)隔離，云平臺下的應(yīng)用軟件是將所有用戶數(shù)據(jù)共同保存在一個軟件實例中的，需要采用共享表結(jié)構(gòu)、共享數(shù)據(jù)庫等方式進(jìn)行數(shù)據(jù)隔離，保證用戶數(shù)據(jù)不被泄露。

數(shù)據(jù)加密，為保證放置于云端的用戶敏感數(shù)據(jù)不被泄露，可通過數(shù)據(jù)加密技術(shù)在數(shù)據(jù)傳輸、訪問、存儲、審計等各個環(huán)節(jié)進(jìn)行防護(hù)，保證數(shù)據(jù)的機(jī)密性。

訪問權(quán)限控制，包括身份識別和訪問控制，通過對用戶訪問權(quán)限的合理劃分，建立安全的訪問控制機(jī)制，來將用戶對數(shù)據(jù)和應(yīng)用的訪問控制在云平臺的不同信任域中，更好的實現(xiàn)用戶隔離。

（4）終端安全防護(hù)

用戶是通過終端瀏覽器接入云計算中心訪問云端的各類服務(wù)，因此，云計算終端安全性直接影響到了云計算服務(wù)安全，必須納入至安全防護(hù)體系中。主要安全措施包括：

基于用戶端的終端防護(hù)，由用戶在終端上部署防病毒、防火墻、漏洞掃描、防木馬等各類第三方安全防護(hù)手段，避免終端和瀏覽器軟件因自身漏洞被控制，防止用戶登錄云平臺密碼被竊取。

基于云端的終端防護(hù)，用云服務(wù)提供商采用安全云理念，在用戶終端部署可信的瀏覽器及安全監(jiān)控軟件，建立從終端到云端的可信使用、加密傳輸路徑，并通過軟件監(jiān)控、軟件升級來發(fā)現(xiàn)并彌補(bǔ)瀏覽器軟件存在的漏洞。

（5）安全管理

安全管理是保證云安全防護(hù)體系可靠運(yùn)行、及時彌補(bǔ)安全隱患的重要環(huán)節(jié)。云計算安全管理包括系統(tǒng)管理、身份管理和運(yùn)營管理三個方面。

系統(tǒng)管理，通過建立專用的云平臺安全管理系統(tǒng)，對云平臺的各類安全防護(hù)手段、軟硬件系統(tǒng)進(jìn)行統(tǒng)一管理和自動化部署，對云平臺運(yùn)行狀態(tài)進(jìn)行集中監(jiān)控、智能分析，自動化進(jìn)行安全策略動態(tài)調(diào)整。

身份管理，對內(nèi)部的云平臺管理及應(yīng)用人員進(jìn)行身份認(rèn)證、權(quán)限管理和操作審計，避免因內(nèi)部人員的操作失誤或其他原因?qū)е碌陌踩L(fēng)險。

運(yùn)營管理，主要是針對云平臺可能面臨的風(fēng)險，建立相應(yīng)的登記審核、監(jiān)管報告、風(fēng)險評估、安全審計等一系列安全管理的制度，從制度上堵住在日常運(yùn)營中因管理松懈е碌陌踩漏洞，保證安全防護(hù)體系能正常運(yùn)行。

四、展望

云計算是當(dāng)前發(fā)展迅速的新興產(chǎn)業(yè)，但也面臨極大的安全技術(shù)挑戰(zhàn)。云計算安全不僅是技術(shù)問題，也涉及到產(chǎn)業(yè)標(biāo)準(zhǔn)化、行業(yè)監(jiān)管、法律法規(guī)等很多方面。只有建立完整的云計算安全防護(hù)體系，通過對云計算安全風(fēng)險分析，采取合理的安全技術(shù)與策略，才能更好的實現(xiàn)安全可信的云計算。

參考文獻(xiàn)：

[1]肖紅躍，張文科，劉桂芬.云計算安全需求綜述.信息安全與通信保密，2012（11）.

篇5

[關(guān)鍵詞]：云計算 網(wǎng)絡(luò)安全問題 概念特點(diǎn) 解決措施

一、云計算的概念及其特點(diǎn)

客觀來看，云計算并非一個具體的技術(shù)而是多項技術(shù)的整合。之所以將其稱為云計算是因為本身具有很多現(xiàn)實云的特征：規(guī)模很大，無法確定其具置，邊界模糊，可動態(tài)伸縮等。雖然現(xiàn)在對于云計算這一概念還沒有一個確切的定義，但是簡單來說，云計算就是建立在網(wǎng)絡(luò)技術(shù)上的數(shù)據(jù)處理庫，但是由于其規(guī)模極大，性能極強(qiáng)，能夠通過一個數(shù)據(jù)中心向多個設(shè)備或者用戶提供多重數(shù)據(jù)服務(wù)，幫助使用者用以最少的空間獲得最大的信息來源。因此，云計算的核心所在便是資源與網(wǎng)絡(luò)，由網(wǎng)絡(luò)組建的巨大服務(wù)器集群能夠極大地提升資源的使用效率與平臺的服務(wù)質(zhì)量。

二、現(xiàn)階段云計算在實際運(yùn)用中面臨的網(wǎng)絡(luò)安全問題

1.客戶端信息的安全

就現(xiàn)階段云計算的運(yùn)作現(xiàn)狀來看，云計算是建立在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上的大型信息處理庫，而在系統(tǒng)中的每一臺計算機(jī)都被認(rèn)為云計算的一個節(jié)點(diǎn)。換句話說，一旦一臺計算機(jī)被接入網(wǎng)絡(luò)，那么其中的信息就極有可能成為“云”資源的一部分。這就涉及隱私保護(hù)問題，如果沒有做好信息安全防護(hù)，造成一些私密信息泄露，對于一些特殊機(jī)構(gòu)如政府、醫(yī)院、軍隊等來說將是極為沉重的打擊。同時，如果大量的病患信息、軍事機(jī)密、政府信息等泄出，也會造成整個社會的不穩(wěn)定。

2.服務(wù)器端的信息安全

當(dāng)前，云計算發(fā)展中存在的最大障礙便是安全性與隱私性的保護(hù)問題。立足于服務(wù)器端的信息安全問題來看，數(shù)據(jù)的擁有者一旦選擇讓別人儲存數(shù)據(jù)，那么其中的不可控因素便會大為增強(qiáng)。比如一家投資銀行的員工在利用谷歌在做員工社會保障號碼清單時，實際上進(jìn)行了隱私保護(hù)和安全保護(hù)職能的轉(zhuǎn)移，銀行不再保有對數(shù)據(jù)保密以保證數(shù)據(jù)不受黑客侵襲的職責(zé)，相反這些責(zé)任落在了谷歌身上。在不通知數(shù)據(jù)所有者的基礎(chǔ)上，政府調(diào)查人員有權(quán)讓谷歌提供這一部分社會保障號碼。就最近頻發(fā)的各類信息泄露事件以及企業(yè)數(shù)據(jù)丟失數(shù)據(jù)事件如2007年轟動一時的TJXX零售商信用卡信息泄露等情況來看，云計算服務(wù)器端的信息安全現(xiàn)狀不容樂觀。

三、解決當(dāng)前云計算安全問題的具體措施

1.建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系

云計算的突出特點(diǎn)就是虛擬性極強(qiáng)，這也成為云計算服務(wù)商向用戶提供“有償服務(wù)”的重要媒介和關(guān)鍵性技術(shù)。同時，在信息網(wǎng)絡(luò)時代下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、儲存資源及其相關(guān)配套應(yīng)用資源的發(fā)展和完善都是建立在虛擬化技術(shù)發(fā)展的前提下的。因此，在解決云計算安全問題時也需要緊緊圍繞虛擬化這一關(guān)鍵性技術(shù)，以用戶的需求與體驗感受為導(dǎo)向，為用戶提供更為科學(xué)、有效的應(yīng)用資源合理分配方案，提供更具個性化的存儲計算方法。同時，在虛擬化技術(shù)發(fā)展運(yùn)用過程中還需要構(gòu)建實例間的邏輯隔離，利用基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)實現(xiàn)用戶信息間的分流隔斷，保障用戶的數(shù)據(jù)安全。各大云計算服務(wù)商在優(yōu)化升級時要牢記安全在服務(wù)中的重要性，破除由網(wǎng)絡(luò)交互性等特點(diǎn)帶來的系列弊端。

2.建設(shè)高性能更可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系

云計算中的流量模型在\行環(huán)境時在不同時段或者不同運(yùn)行模塊中會產(chǎn)生一定的變化，在進(jìn)行云計算安全防護(hù)時就需要進(jìn)一步完善安全防護(hù)體系，建設(shè)更可靠的高性能網(wǎng)絡(luò)節(jié)點(diǎn)，提升網(wǎng)絡(luò)架構(gòu)整體穩(wěn)定性。但是在當(dāng)前的企業(yè)私有云建設(shè)時不可避免地會存在大流量在高速鏈路匯聚的情況，安全設(shè)備如果不進(jìn)行性能上的提升，數(shù)據(jù)極有可能出現(xiàn)泄漏。因此，要提升安全設(shè)備對高密度接口（一般在10G以上）的處理能力，安全設(shè)備要與各種安全業(yè)務(wù)引擎緊密配合，實現(xiàn)云計算中對云規(guī)模的合理配置。但是，考慮到云計算業(yè)務(wù)的連續(xù)發(fā)展性，設(shè)備不僅要具有較高性能，還需要更可靠。雖然近年來在這個方面已經(jīng)取得了可喜的成就，如雙機(jī)設(shè)備、配套同步等的引入與優(yōu)化，但是云計算實現(xiàn)大規(guī)模流量匯聚完全安全防護(hù)還有很長一段路要走。

3.以集中的安全服務(wù)中心對無邊界的安全防護(hù)

與傳統(tǒng)安全建設(shè)模型相比，云計算實現(xiàn)有效安全防護(hù)存在的一個突出的問題便是“云”的無邊界性，但是就現(xiàn)代的科學(xué)技術(shù)條件來看，建成一個無邊界的安全防護(hù)網(wǎng)絡(luò)是極不現(xiàn)實的。因此，要盡快建立一個集中的安全服務(wù)中心，實現(xiàn)資源的高效整合。在集中的安全服務(wù)中心下，各個企業(yè)用戶在進(jìn)行云計算服務(wù)申請時能夠進(jìn)行信息數(shù)據(jù)的劃分隔離，打破傳統(tǒng)物理概念上的“安全邊界”。云計算的安全服務(wù)中心負(fù)責(zé)對整個安全服務(wù)進(jìn)行部署，它也取代了傳統(tǒng)防護(hù)體制下對云計算各子系統(tǒng)的安全防護(hù)。同時，集中的安全服務(wù)中心也顯現(xiàn)出極大的優(yōu)越性，能夠提供單獨(dú)的用戶安服務(wù)配置，進(jìn)一步節(jié)省了安全防護(hù)成本，提升了安全服務(wù)能力。

4.充分利用云安全模式加強(qiáng)云端與客戶端的關(guān)聯(lián)耦合

利用云安全模式加強(qiáng)云端與客戶端的關(guān)聯(lián)耦合，簡單來說就是利用云端的超強(qiáng)極端能力幫助云安全模式下安全檢測與防護(hù)工作的運(yùn)行。新的云安全模型在傳統(tǒng)云安全模型的基礎(chǔ)上增加了客戶端的云威脅檢測與防護(hù)功能，其具體運(yùn)作情況為客戶端通過對不能識別的可疑流量進(jìn)行傳感測驗并第一時間將其傳送至安全檢測中心，云計算對數(shù)據(jù)進(jìn)行解析并迅速定位，進(jìn)行安全協(xié)議的內(nèi)容及特征將可疑流量推送至安全網(wǎng)關(guān)處進(jìn)一步處理。總的來看，利用云安全模式加強(qiáng)云端與客戶端的關(guān)聯(lián)耦合可以提升整個云端及客戶端對未知威脅的監(jiān)測能力。

四、結(jié)語

云計算是網(wǎng)絡(luò)技術(shù)不斷發(fā)展的產(chǎn)物，為人們的生活提供了很多的便利。但是作為新生的事物，其安全性還存在一定的爭議。進(jìn)一步完善云計算的安全建設(shè)，確保用戶信息的安全與私密是云計算發(fā)展的重要前提之一。在新的時期，需要利用虛擬性技術(shù)、集中的安全服務(wù)中心、更可靠的高性能安全防護(hù)體系等提升云計算服務(wù)的安全可靠性，實現(xiàn)云計算技術(shù)的進(jìn)一步發(fā)展。

參考文獻(xiàn)：

篇6

2010年3月云安全聯(lián)盟的研究報告《云計算主要安全威脅》[3]指出云計算服務(wù)的主要威脅主要包括：云計算服務(wù)的濫用和惡意使用、不安全的接口和應(yīng)用程序編程接口(APIs)、惡意的內(nèi)部攻擊者、共享技術(shù)的弱點(diǎn)、數(shù)據(jù)丟失與泄露和賬號與服務(wù)劫持等。微軟公司的《WindowsAzure安全筆記》[4]從審計與日志、認(rèn)證、授權(quán)、部署管理、通信、加密、異常管理、輸入與數(shù)據(jù)驗證和敏感數(shù)據(jù)這9個方面分別論述了云計算服務(wù)的主要安全威脅。加州大學(xué)伯克利分校的研究人員在文獻(xiàn)[5]中認(rèn)為云計算中安全方面的威脅主要有：可用性以及業(yè)務(wù)連續(xù)性、數(shù)據(jù)鎖定、數(shù)據(jù)的機(jī)密性和相關(guān)審計、大規(guī)模分布式系統(tǒng)的漏洞和相關(guān)性能的不可預(yù)知性等等。在文獻(xiàn)[6-8]中指出云計算中最重要的安全風(fēng)險主要有：違反服務(wù)等級協(xié)議，云服務(wù)商提供足夠風(fēng)險評估的能力，隱私數(shù)據(jù)的保護(hù)，虛擬化有關(guān)的風(fēng)險，合約風(fēng)險等。目前，云計算安全問題已得到越來越多的關(guān)注。著名的信息安全國際會議RSA2010將云計算安全列為焦點(diǎn)問題，通信學(xué)會理事會(CCS)從2009年起專門設(shè)置了一個關(guān)于云計算安全的研討會。許多企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組織都已啟動了相關(guān)研究，安全廠商也已在研究和開發(fā)各類安全云計算產(chǎn)品[9]。

云計算服務(wù)模式下的移動互聯(lián)網(wǎng)是一種復(fù)雜的、面臨各種安全威脅的系統(tǒng)，因此必須研究和設(shè)計移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)來抵抗和防御這些安全威脅，云計算安全體系結(jié)構(gòu)是其研究基礎(chǔ)和依據(jù)。許多研究人員和來自移動互聯(lián)網(wǎng)相關(guān)領(lǐng)域的企業(yè)對如何設(shè)計和開發(fā)云計算安全技術(shù)體系架構(gòu)均展開了相關(guān)研究。微軟云計算平臺WindowsAzure是微軟于2008年在微軟開發(fā)者大會上的全新的云計算平臺，它基于平臺即服務(wù)(PaaS)的思想，向開發(fā)人員提供了一個在線的基于Windows系列產(chǎn)品的開發(fā)、儲存和服務(wù)代管等服務(wù)的環(huán)境。微軟公司的《WindowsAzure安全筆記》[4]從改進(jìn)Web應(yīng)用安全的角度出發(fā)提出了一個基于應(yīng)用安全、網(wǎng)絡(luò)安全和主機(jī)安全概念化安全區(qū)域的云計算安全架構(gòu)。其中應(yīng)用安全關(guān)注應(yīng)用審計與日志、認(rèn)證、授權(quán)、應(yīng)用部署管理、加密、異常管理、參數(shù)配置、敏感數(shù)據(jù)、會話管理和驗證等問題；網(wǎng)絡(luò)安全保障路由器、防火墻和交換機(jī)等的安全；主機(jī)安全所需要關(guān)注的相關(guān)問題則包括補(bǔ)丁和更新、服務(wù)、協(xié)議、記賬、文件與目錄、共享、端口、注冊登記和審計與日志等。

Bell實驗室的研究人員在文獻(xiàn)[10]中提出一種支持資源無縫集成至企業(yè)內(nèi)部網(wǎng)的云計算安全體系架構(gòu)VSITE，在保持資源的隔離性和安全性的同時允許云服務(wù)提供商拓展資源為多個企業(yè)提供服務(wù)。云計算服務(wù)商提供的資源對企業(yè)來說就像是內(nèi)部資源，VSITE通過使用VPN、為不同的企業(yè)分配不同的VLAN以及運(yùn)用MAC地址對企業(yè)進(jìn)行身份編碼等技術(shù)手段來達(dá)到這個目標(biāo)。VSITE體系架構(gòu)由云服務(wù)中心、目錄服務(wù)器、云數(shù)據(jù)中心以及監(jiān)控中心等相關(guān)的實體組成，其監(jiān)控中心設(shè)計了安全機(jī)制以防止企業(yè)與企業(yè)之間的相互攻擊。VSITE具有可擴(kuò)充性安全性以及高效性。亞馬遜彈性計算云(AmazonEC2)是一個Web服務(wù)，它提供可調(diào)整的云計算能力。文獻(xiàn)[11]中指出AmazonEC2使用了一個多級的安全體系架構(gòu)包括主機(jī)的操作系統(tǒng)、操作系統(tǒng)的虛擬實例/客戶操作系統(tǒng)、防火墻和簽名的API調(diào)用等層次，目標(biāo)是保護(hù)云端的數(shù)據(jù)不被未授權(quán)的系統(tǒng)和用戶攔截，使得AmazonEC2實例盡可能安全而又不會犧牲客戶按需配置的彈性。從服務(wù)模型的角度，云安全聯(lián)盟(CSA)提出了基于3種基本云服務(wù)的層次性及其依賴關(guān)系的安全參考模型[6]，并實現(xiàn)了從云服務(wù)模型到安全控制模型的映射。該模型的重要特點(diǎn)是供應(yīng)商所在的等級越低，云服務(wù)用戶所要承擔(dān)的安全能力和管理職責(zé)就越多。

從安全協(xié)同的角度，JerichoForum從數(shù)據(jù)的物理位置、云相關(guān)技術(shù)和服務(wù)的所有關(guān)系狀態(tài)、應(yīng)用資源和服務(wù)時的邊界狀態(tài)、云服務(wù)的運(yùn)行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計算形態(tài)[12]。不同的云計算形態(tài)具有不同的協(xié)同性、靈活性及其安全風(fēng)險特征。云服務(wù)用戶則需要根據(jù)自身的不同業(yè)務(wù)和安全協(xié)同需求選擇最為合適的相關(guān)云計算形態(tài)。上述云安全體系結(jié)構(gòu)雖然考慮了云計算平臺中主機(jī)系統(tǒng)層、網(wǎng)絡(luò)層以及Web應(yīng)用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構(gòu)沒有結(jié)合移動互聯(lián)網(wǎng)環(huán)境來研究云計算安全體系構(gòu)建及相關(guān)技術(shù)。

移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)的設(shè)計目標(biāo)有以下6個方面：確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)確保云計算平臺虛擬化運(yùn)行環(huán)境的安全依據(jù)不同的安全需求，提供定制化的安全服務(wù)對運(yùn)行態(tài)的云計算平臺進(jìn)行風(fēng)險評估和安全監(jiān)管確保云計算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

結(jié)合上述設(shè)計目標(biāo)，考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營方式和用戶安全需求的多樣性，文章設(shè)計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)（如圖1所示），它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點(diǎn)。與云計算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)3個層次相應(yīng)，文章首先設(shè)計了云安全應(yīng)用服務(wù)資源群，包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。針對云計算虛擬化的特點(diǎn)文章還設(shè)計了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù)，運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺（如不同的操作系統(tǒng)）。同時移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異，云平臺應(yīng)具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)則可以參考移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)中云安全基礎(chǔ)設(shè)施已有的相關(guān)建設(shè)經(jīng)驗。移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)還包含一個統(tǒng)一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計管理等子系統(tǒng)。云安全管理平臺縱貫云安全應(yīng)用服務(wù)、云安全平臺服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次，對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運(yùn)維安全情況進(jìn)行了跨安全域、跨安全級別的一系列綜合管理。體系架構(gòu)考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應(yīng)用服務(wù)接口，并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁瀏覽和移動搜索等服務(wù)，同時還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

同時，體系架構(gòu)還考慮了整個系統(tǒng)參照云安全標(biāo)準(zhǔn)及測評體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測評機(jī)構(gòu)系統(tǒng)地測試和評估，以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險并設(shè)立其信任等級，云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級，云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測評機(jī)構(gòu)評估的安全云應(yīng)用服務(wù)而帶來的損失。云應(yīng)用服務(wù)安全等級的測試和評估也給云服務(wù)提供商帶來準(zhǔn)入規(guī)范，迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量以及安全意識。

對用戶而言，多用戶私有資源的遠(yuǎn)程集中式管理與計算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對固定和穩(wěn)定，而計算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅?？梢哉f，云服務(wù)提供商與用戶之間的信任問題是云計算能否推廣的關(guān)鍵，而數(shù)據(jù)的安全和隱私保護(hù)是云計算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗證、多租戶環(huán)境下的隱私保護(hù)方法等。

云計算平臺要統(tǒng)一調(diào)度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運(yùn)行環(huán)境的安全是云計算安全的關(guān)鍵。在此安全體系之下，結(jié)合虛擬化技術(shù)，平臺必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機(jī)控制和管理，虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計算平臺無法實現(xiàn)不同（也可能相同）云用戶租用的不同虛擬機(jī)之間的有效隔離，那么云服務(wù)商則會無法說服云用戶相信自己提供的服務(wù)是非常安全的。用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來實現(xiàn)，因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險問題，例如運(yùn)行的環(huán)境的安全級別是否符合需求和運(yùn)行的流程是否異常等；虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計問題包括安全策略管理、系統(tǒng)日志管理和審計策略管理等。

篇7

1設(shè)計目標(biāo)

移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)的設(shè)計目標(biāo)有以下6個方面：

·確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)

·確保云計算平臺虛擬化運(yùn)行環(huán)境的安全

·依據(jù)不同的安全需求，提供定制化的安全服務(wù)

·對運(yùn)行態(tài)的云計算平臺進(jìn)行風(fēng)險評估和安全監(jiān)管

·確保云計算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)

·保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

2安全體系架構(gòu)設(shè)計

結(jié)合上述設(shè)計目標(biāo)，考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營方式和用戶安全需求的多樣性，文章設(shè)計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)，它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點(diǎn)。

與云計算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)3個層次相應(yīng)，文章首先設(shè)計了云安全應(yīng)用服務(wù)資源群，包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。

針對云計算虛擬化的特點(diǎn)文章還設(shè)計了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù)，運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺(如不同的操作系統(tǒng))。同時移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異，云平臺應(yīng)具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)可以參考移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)云安全基礎(chǔ)設(shè)施已有的建設(shè)經(jīng)驗。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)還包含一個統(tǒng)一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計管理等子系統(tǒng)。云安全管理平臺縱貫云安全應(yīng)用服務(wù)、云安全平臺服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次，對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運(yùn)維安全情況進(jìn)行跨安全域、跨安全級別的綜合管理。

體系架構(gòu)考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應(yīng)用服務(wù)接口，并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁瀏覽和移動搜索等服務(wù)，同時還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

同時，體系架構(gòu)還考慮了整個系統(tǒng)參照云安全標(biāo)準(zhǔn)及測評體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測評機(jī)構(gòu)系統(tǒng)地測試和評估，以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險并設(shè)立其信任等級，云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級，云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測評機(jī)構(gòu)評估的安全云應(yīng)用服務(wù)而帶來的損失。云應(yīng)用服務(wù)安全等級的測試和評估也給云服務(wù)提供商帶來準(zhǔn)入規(guī)范，迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量和安全意識。

3關(guān)鍵技術(shù)

對用戶而言，多用戶私有資源的遠(yuǎn)程集中式管理與計算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對固定和穩(wěn)定，而計算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅?？梢哉f，云服務(wù)提供商與用戶之間的信任問題是云計算能否推廣的關(guān)鍵，而數(shù)據(jù)的安全和隱私保護(hù)是云計算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗證、多租戶環(huán)境下的隱私保護(hù)方法等。

云計算平臺要統(tǒng)一調(diào)度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運(yùn)行環(huán)境的安全是云計算安全的關(guān)鍵。在此安全體系之下，結(jié)合虛擬化技術(shù)，平臺必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機(jī)控制和管理，虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計算平臺無法實現(xiàn)不同(也可能相同)云用戶租用的不同虛擬機(jī)之間的有效隔離，那么云服務(wù)商就無法說服云用戶相信自己的提供的服務(wù)是安全的。

用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來實現(xiàn)，因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險問題，例如運(yùn)行的環(huán)境的安全級別是否符合需求和運(yùn)行的流程是否異常等；虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計問題包括安全策略管理、系統(tǒng)日志管理和審計策略管理等。

云計算模式下的移動互聯(lián)網(wǎng)是一種多源、異構(gòu)服務(wù)共存的環(huán)境。與此同時，依據(jù)多租戶的不同安全需求，滿足不同等級的差異化云安全服務(wù)應(yīng)以訪問控制為手段，進(jìn)行安全服務(wù)定制以及安全自適應(yīng)。

篇8

科技是一把雙刃劍，科技發(fā)展帶來的不全是益處，也會有各種各樣的麻煩。大數(shù)據(jù)技術(shù)在提升對數(shù)據(jù)洞察力的同時，也同樣提升了破壞信息安全的能力。

首先，數(shù)據(jù)價值提升推高了數(shù)據(jù)保有成本。隨著信息化程度的不斷提升，數(shù)據(jù)價值也在大幅提升，企業(yè)的經(jīng)營行為被越來越多地數(shù)字化，財務(wù)信息、人事信息、知識產(chǎn)權(quán)等這些企業(yè)最重要的信息都在被匯聚成為企業(yè)信息大數(shù)據(jù)，若這些數(shù)據(jù)被泄漏，再基于此類數(shù)據(jù)開展大數(shù)據(jù)分析，企業(yè)信息將毫無秘密可言。因此，數(shù)據(jù)價值的提升必然要推高信息安全方面的投入，來確保企業(yè)信息的安全。

其次，黑客破壞信息安全的能力在增強(qiáng)。數(shù)據(jù)的大量匯集，使得黑客成功攻擊的收益在增加，“激勵”了黑客的網(wǎng)絡(luò)攻擊行為。大數(shù)據(jù)技術(shù)本身也在成為黑客攻擊的有力武器，黑客通過大數(shù)據(jù)分析，可以得到更多的有用信息，制定更加有效的攻擊策略，改進(jìn)傳統(tǒng)攻擊手段，提高了信息安全防護(hù)成本。尤其是進(jìn)入“云時代”后，數(shù)據(jù)在云端，云安全就更加重要，而遺憾的是，近幾年，一些大型云平臺數(shù)據(jù)泄漏事件更加劇了人們對于信息安全的擔(dān)心。

最后，信息安全意識尚需提高。外在信息安全并不是企業(yè)面臨的唯一危險，企業(yè)內(nèi)部安全意識不強(qiáng)同樣威脅巨大。員工由于安全意識單薄，或者企業(yè)內(nèi)部信息安全體系不夠完善導(dǎo)致信息泄漏的情況也在不斷增加。據(jù)一項有關(guān)企業(yè)信息安全的調(diào)查結(jié)果發(fā)現(xiàn)，有近四成的受訪者認(rèn)為造成企業(yè)信息安全風(fēng)險加劇的很大部分原因在于缺乏信息安全保護(hù)意識。盡管外部攻擊和內(nèi)部數(shù)據(jù)泄露的安全事故數(shù)量在增加，但多數(shù)企業(yè)并未給予足夠重視。

因此，大數(shù)據(jù)時代信息價值在增加，企業(yè)信息安全的形勢在惡化，而由此帶來的損失將成倍放大。

對于我國企業(yè)信息安全體系建設(shè)而言，需要做到以下幾點(diǎn)。做好安全評估，企業(yè)在構(gòu)建信息安全體系之初，要先對企業(yè)自身信息安全體系進(jìn)行梳理，摸清企業(yè)信息安全的薄弱環(huán)節(jié)，做好安全風(fēng)險的評估，通過評估制定出合理完善的整體防護(hù)安全策略。建立標(biāo)準(zhǔn)體系，我國一直重視信息安全體系的標(biāo)準(zhǔn)工作，也推出了一系列相關(guān)政策和標(biāo)準(zhǔn)，企業(yè)可以參照相關(guān)標(biāo)準(zhǔn)，建立完整的信息安全管理制度，使企業(yè)有章可依。同時，在日常工作中要明確各風(fēng)險點(diǎn)的負(fù)責(zé)人，責(zé)任劃分明確。

篇9

 

隨著大數(shù)據(jù)時代的來臨，圖書館分析讀者行為、感知讀者需求、滿足讀者愛好，為讀者提供個性化、貼心化服務(wù)的能力更加強(qiáng)化。正是因為大數(shù)據(jù)依賴數(shù)據(jù)，就容易招致不可預(yù)測的攻擊行為，對數(shù)據(jù)分析結(jié)果帶來重大影響，而且大數(shù)據(jù)泄露帶來的隱私泄露給用戶帶來了嚴(yán)重危害。特別是計算機(jī)應(yīng)用的不斷普及和網(wǎng)絡(luò)的迅速發(fā)展，計算機(jī)病毒的傳播速度變得越來越快，病毒導(dǎo)致的破壞也越來越大。計算機(jī)病毒以及黑客行為，使得整個系統(tǒng)遭受嚴(yán)重威脅。因此，利用大數(shù)據(jù)技術(shù)構(gòu)建智能、自動、主動和互聯(lián)的安全防御系統(tǒng)，不斷增強(qiáng)圖書館數(shù)據(jù)安全，是保證大數(shù)據(jù)時代圖書館系統(tǒng)運(yùn)營安全的關(guān)鍵。

 

一、大數(shù)據(jù)時代圖書館面臨的安全問題

 

大數(shù)據(jù)時代，圖書館的安全問題，主要是數(shù)據(jù)安全問題面對傳統(tǒng)攻擊與現(xiàn)代隱患交相沖擊，既有固有的計算機(jī)病毒以及無意識攻擊導(dǎo)致數(shù)據(jù)崩潰、服務(wù)平臺不能正常運(yùn)營的問題，又有因為現(xiàn)代大數(shù)據(jù)下，黑客們對用戶隱私竊取導(dǎo)致讀者個人身份以及自身機(jī)密的泄露問題。

 

1、傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的病毒攻擊。無論是前大數(shù)據(jù)時代，還是后大數(shù)據(jù)時代，計算機(jī)病毒始終伴隨著互聯(lián)網(wǎng)時代。計算機(jī)病毒傳播快、擴(kuò)散面大，特別是網(wǎng)絡(luò)環(huán)境下計算機(jī)的互連共享，全球扁平化使得連接在一起的計算機(jī)數(shù)量更多，只要計算機(jī)病毒入侵到網(wǎng)絡(luò)中的任何一點(diǎn)，它將以很快的速度在網(wǎng)絡(luò)中傳播，并波及到整個網(wǎng)絡(luò)。正如矛與盾互進(jìn)，時展，計算機(jī)病毒破壞性更強(qiáng)。特別是由于網(wǎng)絡(luò)中資源信息多，并且多為網(wǎng)絡(luò)用戶所共享，因此病毒在網(wǎng)絡(luò)中一旦被激發(fā)，不僅嚴(yán)重威脅網(wǎng)絡(luò)資源的安全，而且還可能導(dǎo)致整個系統(tǒng)的癱瘓，帶來無法估量的損失。再次就是計算機(jī)病毒的殺毒難度越來越大。在網(wǎng)絡(luò)環(huán)境中，很難對分布于異地的大量工作站和服務(wù)器同時進(jìn)行病毒清除，即使對網(wǎng)絡(luò)中的絕大多數(shù)計算機(jī)進(jìn)行了病毒清除工作，只要網(wǎng)絡(luò)中有一臺計算機(jī)被感染，病毒也會很快波及整個網(wǎng)絡(luò)。

 

2、大數(shù)據(jù)環(huán)境下的數(shù)據(jù)隱患。以完善數(shù)據(jù)提供精準(zhǔn)化服務(wù)的圖書館服務(wù)平臺，具有先天的開放性，由開放性引申出數(shù)據(jù)安全的復(fù)雜性。首先是讀者服務(wù)需求的增長和用戶服務(wù)模式變革，圖書館基礎(chǔ)設(shè)施的服務(wù)效率與運(yùn)營安全難以達(dá)到優(yōu)化均衡。其次是云計算、大數(shù)據(jù)處理、傳感器技術(shù)和用戶服務(wù)網(wǎng)絡(luò)具有極強(qiáng)的開放性，增強(qiáng)了黑客攻擊的成功率。再次是大數(shù)據(jù)改變了圖書館在傳統(tǒng)的安全需求和模式，大數(shù)據(jù)服務(wù)平臺系統(tǒng)容易招致攻擊。

 

3、圖書館自身特性引發(fā)的內(nèi)在沖突。圖書館采用大數(shù)據(jù)進(jìn)行定制化個性化服務(wù)，一方面需要對用戶數(shù)據(jù)進(jìn)行大量采集、分析、比對和定制服務(wù)，而這些服務(wù)需要更真實、更準(zhǔn)確的用戶數(shù)據(jù)，往往還是第一手?jǐn)?shù)據(jù);另一方面，與用戶主要是讀者相關(guān)的數(shù)據(jù)，又往往涉及到讀者個人隱私。這種隱私的保密性與用戶數(shù)據(jù)的公開性，特別是準(zhǔn)確性存在著天然的矛盾。在圖書館不能完全保證數(shù)據(jù)安全的情況下，用戶的隱私就會被泄露。這就需要圖書館依靠云計算技術(shù)的支持，通過對數(shù)據(jù)信息的風(fēng)險評估，進(jìn)而加大對安全數(shù)據(jù)的分析與決策，確保圖書館數(shù)據(jù)安全管理。

 

二、大數(shù)據(jù)時代圖書館安全體系構(gòu)建

 

1、加強(qiáng)系統(tǒng)硬件設(shè)備安全。這是最基礎(chǔ)的安全維護(hù)，也是圖書館安全體系的重要基石。它主要由整體館內(nèi)環(huán)境、所有系統(tǒng)硬件設(shè)備(包括計算機(jī)及其內(nèi)部所有硬件)以及數(shù)據(jù)安全傳輸三部分組成。在這個基礎(chǔ)層，必須安裝最新的操作系統(tǒng)，配備最切合圖書館需要的硬件設(shè)備，及時安裝病毒軟件，及時升級操作系統(tǒng)，確保能夠避免常規(guī)的網(wǎng)絡(luò)病毒襲擊，以及一些無意識的數(shù)據(jù)攻擊。要在內(nèi)網(wǎng)和外網(wǎng)上安裝防火墻，實現(xiàn)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間隔離，限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò)。其它還有諸如員工培訓(xùn)、共同防毒、控制超級用戶等，都要系統(tǒng)配套，確保圖書館安全體系及時避免傳統(tǒng)的非惡意性攻擊和一般的網(wǎng)絡(luò)病毒沖擊。

 

2、加強(qiáng)數(shù)據(jù)資源安全管理。這是圖書館安全體系的實體倉庫，包含兩方面內(nèi)容：一是數(shù)據(jù)采集運(yùn)行時的儲存和保管，通過安全管理和控制，實現(xiàn)對圖書館大數(shù)據(jù)資源的安全采集、過濾、價值提取和存儲。要及時備份，實現(xiàn)多個節(jié)點(diǎn)的數(shù)據(jù)備份，確保當(dāng)某一節(jié)點(diǎn)發(fā)生安全事件時，不會丟失數(shù)據(jù)。二是加強(qiáng)讀者的隱私保護(hù)。采集數(shù)據(jù)時應(yīng)以讀者的閱讀需求為依據(jù)，不采集與此無關(guān)的數(shù)據(jù)。對所采集數(shù)據(jù)進(jìn)行隱私保護(hù)處理，特別是讀者社會關(guān)系、家庭住址和個人隱私行為等數(shù)據(jù)，要進(jìn)行保護(hù)處理。要依據(jù)隱私數(shù)據(jù)的特點(diǎn)，設(shè)定不同的安全等級，采取相應(yīng)的安全管理。

 

3、加強(qiáng)數(shù)據(jù)的分析應(yīng)對。要加強(qiáng)大數(shù)據(jù)的應(yīng)用，尤其是用大數(shù)據(jù)對攻擊行為、攻擊模式的分析與研究。安全管理員通過風(fēng)險預(yù)測、威脅檢測、危害評估和智能應(yīng)對等技術(shù)，對發(fā)生在圖書館系統(tǒng)內(nèi)的各類安全事件，包括事件發(fā)生的區(qū)域、類型、程度、對象、頻次等，進(jìn)行系統(tǒng)分析，制定相應(yīng)的應(yīng)急性預(yù)案，有效的應(yīng)對各類攻擊

 

4、加強(qiáng)數(shù)據(jù)的有效篩選。大數(shù)據(jù)是信息爆炸產(chǎn)生的海量數(shù)據(jù)，圖書館作為人流頻繁的平臺，每天都要產(chǎn)生大量的數(shù)據(jù)。對這些數(shù)據(jù)的分析研究和智能應(yīng)對，必須去蕪取精，不斷提升數(shù)據(jù)的有效性。安全系統(tǒng)管理人員要根據(jù)平臺系統(tǒng)要求，通過對各類數(shù)據(jù)的過濾、清洗、刪減、分析、歸類，完成對大數(shù)據(jù)資源的評估與優(yōu)化

 

5、加強(qiáng)系統(tǒng)平臺安全管理。大數(shù)據(jù)時代的圖書館，是一個多功能、多樣化、多個體的平臺集成。它包含兩個方面：一是單一系統(tǒng)內(nèi)自身平臺的安全管理，主要指某一個圖書館內(nèi)部不同的安全管理系統(tǒng)和各類應(yīng)用軟件，必須具有良好的兼容性和擴(kuò)展性，實現(xiàn)內(nèi)部自身的安全管理。另一方面是圖書館大數(shù)據(jù)的開發(fā)性，與其它圖書館，包括互聯(lián)網(wǎng)上平臺的合作交流和數(shù)據(jù)共享。系統(tǒng)平臺管理必須構(gòu)建基于云計算為主體的安全管理，通過云服務(wù)平臺保證各類數(shù)據(jù)的安全、完整、保密和可用。

 

大數(shù)據(jù)時代的來臨，為圖書館給讀者提供個性化服務(wù)提供了重要載體，搭建了有效平臺。但同時基于數(shù)據(jù)分析產(chǎn)生的各類服務(wù)，對圖書館在數(shù)據(jù)采集、行為分析、硬件擴(kuò)容、軟件升級和人員技術(shù)提出了更高的要求。尤其是建立在數(shù)據(jù)基礎(chǔ)上的采集，對數(shù)據(jù)的安全性提出了更高的要求，必須從各個方面加強(qiáng)安全管理。大數(shù)據(jù)時代圖書館的安全體系建設(shè)，應(yīng)該在高效、透明、公開的基礎(chǔ)上，更加可控、可管、有保障，才能為讀者提供更好更貼心的閱讀體驗。

篇10

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺

中圖分類號：F49 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn)，更多的設(shè)備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等，這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高，它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用，但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴(yán)重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環(huán)境下使用電網(wǎng)的服務(wù)，成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題

云計算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用，另外，隨著技術(shù)的成熟和商業(yè)成本的降低，基于可信計算平臺的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計算與云計算結(jié)合起來，將會使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺模塊間的安全通道示意圖。

在可信計算環(huán)境下，每臺主機(jī)嵌入一個可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰，在模塊間能夠構(gòu)成一個天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺模塊中，通過安全通信信道來進(jìn)行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測量層、信息通信層和調(diào)度運(yùn)維層四個層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此，其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國家政策要求的電子認(rèn)證系統(tǒng)，并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施，實現(xiàn)各實體身份在網(wǎng)絡(luò)上的真實映射，滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)，總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測終端健康狀況；保證終端信息安全可控；動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢；快速定位解決終端故障；規(guī)范員工網(wǎng)絡(luò)行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級防護(hù)體系

此外，在設(shè)計信息安全體系時，還需要針對電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)，按照不同的安全保護(hù)等級，設(shè)計信息系統(tǒng)安全等級保護(hù)方案，如圖4所示。

根據(jù)國家關(guān)于《信息系統(tǒng)等級保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定，該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計算結(jié)合起來，設(shè)計了面向智能電網(wǎng)的信息安全防護(hù)體系框架，從CA體系建設(shè)、桌面安全部署、等級防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結(jié)合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅強(qiáng)。

（基金項目：中央高?；究蒲袠I(yè)務(wù)費(fèi)專項資金項目（11MG50）；河北省高等學(xué)?？茖W(xué)研究項目（Z2013007））

參考文獻(xiàn)：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009，33（8）：1-7.

[2] 國家電網(wǎng).關(guān)于加快推進(jìn)堅強(qiáng)智能電網(wǎng)建設(shè)的意見[N].國家電網(wǎng)報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計算機(jī)學(xué)報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統(tǒng)實例與研究現(xiàn)狀[J].軟件學(xué)報，2009（5）：1337-1348.