導語：如何才能寫好一篇云安全防護措施，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：電力調度；運行操作；安全風險；防護

DOI：10.16640/ki.37-1222/t.2017.06.147

1 前言

在當今國家電網(wǎng)發(fā)展良好之際，如何使得電力調度變得安全可靠，同時一并降低其中所存在的可以規(guī)避性的風險是相關電力部門急需去解決的問題。在一方面看來，現(xiàn)在科技水平的快速提高同時也要求著電力總網(wǎng)的建設也要跟緊潮流，不斷地在技術水平上進行創(chuàng)新，同時在電力調度等周期性問題的應對上加大審查風險的力度，經(jīng)常排查可能存在風險的地區(qū)和設備，并針對性的制定相應的解決方案[1]。另一方面，面對一些大型的電力項目，其復雜性就不言而喻了，如果在這些難題上的解決上出現(xiàn)問題，或者不能及時的發(fā)現(xiàn)危險病加以排除是一個十分棘手的問題，嚴重時也可導致該地區(qū)的整個電網(wǎng)受到很大的損失，或者產(chǎn)生不能彌補的危險。面對這樣重要的問題，相關的電力部門一定要重視起來，做到及時排查風險，并實現(xiàn)精準去除，不斷規(guī)避電力調度運行操作中調度安全風險，并可以制定相應的一系列的防護風險的措施加以施和應用。

2 電力調度運行操作中調度安全風險

在我國，相關部門對電力調度運行操作中調度安全風險是進行過一定的安全評估的，而且大部門的地區(qū)和設備都是符合相關的國家標準的，也沒有出現(xiàn)一些不必要的問題和麻煩，所以在這個環(huán)節(jié)中就需要操作人員嚴格的遵守電力行業(yè)的操作準則，同時提高自身的主觀能動性，及時的發(fā)現(xiàn)風險，精準排除[2]。下面是日常操作調度環(huán)節(jié)中較為常見的類風險，希望相關的操作人員留意并做好規(guī)避工作。

2.1 整個系統(tǒng)的運行風險

在電力行業(yè)的調度操作中，存在很多需要去解決的問題，而在這一過程中，整個系統(tǒng)的運行風險對于行業(yè)的日常運行時相當致命的，因為處于整個系統(tǒng)環(huán)節(jié)，所以一旦出現(xiàn)問題，就會有很嚴重的后果，比如電力設備因為使用時間過長而出現(xiàn)的機械性故障，進而導致某一項數(shù)據(jù)的檢測錯誤，由此就會影響整個系統(tǒng)的電力調度，或導致整個地區(qū)都不斷的處于風險之中。同時因為某些特殊環(huán)境造成的安全風險，比如一些不可抗力因素造成的調度暫時中斷，就可能會出現(xiàn)連鎖性的風險，以至于企業(yè)連續(xù)的受到損失；還比如相關的材料因為質量問題而不能及時輸送上來，也會因為耽誤調度而受到相當大的經(jīng)濟損失。

2.2 實際管理中的風險

目前我國的供電行業(yè)競爭也是十分激烈的，為此建設好完備的電網(wǎng)系統(tǒng)也是相關工作者的必要任務，而首要的任務就是要保持自身的核心競爭力，并同時建立健全相應的管理風險制度，盡量的去規(guī)避相應的運行風險，保證整個系統(tǒng)予以合理有效地進行工作，但是一些人員對出現(xiàn)的風險不能針對性的進行防護也是企業(yè)急需去解決的問題，否則就會造成更大的安全隱患。而另一方面的問題是操作人員在相應的流程中不能良好的遵守電力調度規(guī)定，在實際操作中也沒有經(jīng)驗，不能提出對應的防護措施，以制定相應的規(guī)范標準。所以這就需要工作人員進行數(shù)據(jù)的精確記錄和操作的準確分析，以防患整個管理中可能會遇到的風險，從而使得電力調度運行操作中調度足夠的安全有效。

3 電力調度運行中安全風險的防護措施

3.1 要保存好系統(tǒng)中的重要數(shù)據(jù)

在整個電力行業(yè)的實際運營中，所用的機械和設備經(jīng)常會出現(xiàn)各種各樣的問題風險，也需要相關人員進行及時的處理和規(guī)避，以免造成系統(tǒng)中的數(shù)據(jù)型故障出現(xiàn)。所以就需要相關的電力企業(yè)及時的整個調度環(huán)節(jié)進行合理的審查和對有關數(shù)據(jù)的仔細檢查，并按時保存一定的系統(tǒng)數(shù)據(jù)，在實際操作中，可以選用一方的數(shù)據(jù)輸出系統(tǒng)，以保證信息的完整性和獨立性，從而降低整個系統(tǒng)的運營風險。

3.2 電力調度的審核要規(guī)范合理

企業(yè)在進行電力調度之前，一般都會使用紙質性的材料先進行相應的上報工作，有關的檢查人員就應該針對上報的相關數(shù)據(jù)進行嚴格規(guī)范的審核，以保證系統(tǒng)運行的時間、周期和機械設備的類型等處在一個合理的標準之內，如果其中有特殊的情況也要向工作人員及時有效地說明和解釋，防止因溝通問題造成的系統(tǒng)故障問題，最后也可以負責專人對相關的設備進行操作指導工作，并針對此進行專業(yè)性的經(jīng)驗講解和日常維護工作。

3.3 保證設備的可操作性和科學合理性

企業(yè)在進行相關的機械設備的采購環(huán)節(jié)中，首先要保證設備的可操作性和科學合理性，在這其中始終是符合相關的施工操作要求，并負責專人對其進行常規(guī)性的周期性檢查，并進行初期的適應性試驗，及時的發(fā)現(xiàn)其中存在的風險問題，并針對性的對其處理，以規(guī)避行業(yè)中的隱患，在必要的時候也可以應用一些特殊的硬件軟件加以幫助，同時輔的改善整個操作環(huán)境，進一步確保整個系統(tǒng)運行的安全性。

4 結束語

本研究就目前電力調度運行操作中存在的調度安全風險進行深入的研究和闡述，以降低調度安全風險為出發(fā)點，同時提出相應合理有效的防護措施，同時把整個系統(tǒng)的運行風險和實際管理中的風險加以詳細的闡述分析，并提出了電力調度運行中安全風險的防護措施。比如首先要保存好系統(tǒng)中的重要數(shù)據(jù)，同時在保證電力調度的審核要規(guī)范合理的環(huán)節(jié)也要對設備進行常規(guī)性的檢查工作，最終幫助行業(yè)和企業(yè)做好電力調度運行操作中調度安全風險防護工作。

參考文獻：

篇2

云計算的落地和移動設備的普及向信息安全提出了新的挑戰(zhàn)，產(chǎn)生了在新的IT環(huán)境下的新問題，例如公用云數(shù)據(jù)安全、專用云防御等。360云事業(yè)部產(chǎn)品總監(jiān)張曉兵表示，隨著公有云的發(fā)展，安全防護的重要性更加明顯，一旦云平臺遭受攻擊，將影響更多企業(yè)。

根據(jù)防火墻操作管理軟件公司AlgoSec的調查數(shù)據(jù)顯示，受訪者中，約有66%的企業(yè)稱其目前正在部署或計劃未來1-3年內在云平臺上部署業(yè)務應用程序。但是，這些企業(yè)對云安全的了解卻存在很多不足，其中超過30%的企業(yè)計劃未來部署云業(yè)務應用，但卻不清楚該如何管理其云環(huán)境的網(wǎng)絡安全策略。

正視云安全差異

記者了解到，許多傳統(tǒng)用戶對于云安全存在一些錯誤的認知。例如，希望依靠傳統(tǒng)安全工具或靠物理隔離的方法來進行隔離防護，希望能從及時得到漏洞通知信息來服務，認為進行運維外包就能夠確保工程系統(tǒng)的安全，或指望云提供商具有集中的管理系統(tǒng)等。

中國聯(lián)通云計算公司專家表示，對于云環(huán)境，傳統(tǒng)的安全問題依然存在，同時虛擬化管理系統(tǒng)、云平臺管理系統(tǒng)等云平臺相關系統(tǒng)的出現(xiàn)，更加導致在這些平臺上的安全手段目前還處在非常初級階段。

IDC分析師王培在接受《通信產(chǎn)業(yè)報》（網(wǎng)）記者采訪時表示，目前看來，中小企業(yè)或者非關鍵性業(yè)務傾向采用安全即服務的模式，而大企業(yè)，特別是金融、電信等行業(yè)的客戶，他們更傾向于自建安全防護體系來保護云業(yè)務的安全。

對于不同模式的云服務平臺，面臨的安全問題有所不同。對于SaaS模式，數(shù)據(jù)安全、應用安全與身份認證是主要問題；對于PaaS模式，數(shù)據(jù)與計算的可用性、數(shù)據(jù)安全與災難恢復等需求更加突出。IaaS模式是云安全面臨威脅最嚴峻的，其平臺建設過程涉及到的數(shù)據(jù)中心建設、物理安全、網(wǎng)絡安全、傳輸安全與業(yè)務系統(tǒng)安全等多方面的防護需求使得IaaS云安全防護需要引入多個層面的防護手段，并需要更加嚴謹?shù)目蚣芘c標準的保障。

事實上，云安全的標準和框架已經(jīng)逐漸形成，北京中油瑞飛信息技術有限公司信息安全專家黃晟在“云計算安全論壇”發(fā)言中介紹，CSA和NIST都已經(jīng)提出了較為完備的云安全框架，但是如何在實際的云計算環(huán)境中全面落實，一直是信息安全從業(yè)人員面對的挑戰(zhàn)。

繼承傳統(tǒng)防護手段

云計算平臺本質上來說就是一個復雜的信息系統(tǒng)，特別是虛擬化管理與云管理系統(tǒng)采用通用軟件和現(xiàn)有技術開發(fā)，最終也部署在傳統(tǒng)硬件平臺之上，依然受到傳統(tǒng)軟硬件技術生態(tài)圈的影響。

因此，黃晟表示，傳統(tǒng)攻擊手段依然具有威脅性，還是需要依靠傳統(tǒng)防護手段作為私有云安全防護的基礎。

雖然在云計算環(huán)境中，傳統(tǒng)的防火墻不再出現(xiàn)，但是其防護功能仍需實現(xiàn)，在云服務中必須要打造傳統(tǒng)用戶所需要的安全。

例如針對網(wǎng)站最常見的入侵行為，從部署最基本的防DDoS攻擊、端口安全檢測、Web漏洞檢測、木馬檢測等主要功能，到利用漏洞管理、質量保證、軟件的安全性審查、審計和外部審計等工具進行安全威脅檢查，以及建立安全事件管理等平臺輔助制定安全策略。其中的技術手段與傳統(tǒng)安全防護沒有本質上的區(qū)別。

針對云架構升級

在滿足傳統(tǒng)防護需求的基礎上，針對虛擬化和云架構帶來的特殊問題，防護技術需要進一步擴展和升級。阿里云安全部安全專家沈錫鏞表示，具備低成本、高精度、大規(guī)模的安全防御架構，具備完善的數(shù)據(jù)安全保護能力的云平臺才能滿足用戶的需求。

除了在云平臺建設的過程中實施基礎安全防護措施，綜合采用現(xiàn)有成熟的安全防護手段，還要面向主流的云技術體系，有效應對面向云計算平臺底層的主要云安全威脅，才能為云平臺的用戶系統(tǒng)實現(xiàn)不低于傳統(tǒng)物理機模式的安全保障。

那么，云計算服務安全的關鍵點在哪些方面？來自西交利物浦大學的信息安全專家接受采訪時介紹，從主要云技術體系的層級來看，云服務存在五大安全關鍵點。在數(shù)據(jù)中心層面，關鍵在于備份與容災，以及網(wǎng)絡層面的防黑客入侵；在虛擬化平臺層面，關鍵在于云平臺的內部安全監(jiān)控、管理行為審計、阻止虛擬機用戶“外泄”與上浮；在IaaS層面，虛擬機間的“溢出”監(jiān)控與阻斷是主要問題；在PaaS層面，要關注虛擬機間的安全監(jiān)控與用戶行為審計，以及病毒過濾；在用戶流量控制方面，則要重視雙向的身份鑒別、傳輸加密等問題。

分層實施防護措施

面對如此龐大的安全體系和需求，必須在設計和建設時注重調整云網(wǎng)絡拓撲與部署架構，依托網(wǎng)絡縱深，設計多道防線，構建一個由多個核心組件組成的多層次安全策略來支持海量云服務和產(chǎn)品。

專家指出，可以從邊界防護、基礎防護、增強防護以及云化防護四個方面，分階段提升云平臺的安全防護能力。

邊界防護是私有云安全防護的底線，與基礎防護能力一起都應和私有云建設過程中同步開展，需要建立多層防御，以幫助保護網(wǎng)絡邊界面臨的外部攻擊。以阿里云為例，首先，嚴格控制網(wǎng)絡流量和邊界，使用行業(yè)標準的防火墻和ACL技術對網(wǎng)絡進行強制隔離，輔以網(wǎng)絡防火墻和ACL策略的管理，包括變更管理、同行業(yè)審計和自動測試等。其次，使用個人授權限制設備對網(wǎng)絡的訪問，通過自定義的前端服務器定向所有外部流量的路由，幫助檢測和禁止惡意的請求，并建立內部流量匯聚點，幫助更好的監(jiān)控。多個組件構成其完整的網(wǎng)絡安全策略。

隨著面向虛擬化和云計算的安全技術逐漸成熟，增強完善云安全服務，并面向SaaS等更復雜的云計算模式，引入云安全訪問等新技術，結合業(yè)務實現(xiàn)防護。對此，黃晟給出了多方面具體建議，例如注重操作系統(tǒng)加固技術在云底層平臺的應用，特別是通過安全手段固化底層行為；構建“安全數(shù)據(jù)平面”，收集多樣化的安全信息數(shù)據(jù)，結合大數(shù)據(jù)流式分析技術，對云平臺進行全面地持續(xù)監(jiān)控；或可基于SDN技術構建“流網(wǎng)絡平臺”，提升“東西向”的隔離顆粒度與強度， 以及加強云內流量監(jiān)控；面向業(yè)務操作與業(yè)務數(shù)據(jù)建立云安全機制等。

縱深安全運維

篇3

關鍵詞：云計算技術；云安全

美國國家標準與技術研究院認為，云計算技術是一種資源利用模式，它能以簡便的途徑和以按需的方式通過網(wǎng)絡訪問可配置的計算資源（網(wǎng)絡、服務器、存儲、應用、服務等），這些資源可快速部署，并能以最小的管理代價或只需服務提供商開展少量的工作就可實現(xiàn)資源?？v觀云計算技術的概念和實際應用，可以看出云計算技術有兩個特點。一是互聯(lián)網(wǎng)的基礎服務資源如服務器的硬件，軟件，數(shù)據(jù)和應用服務開始于集中和統(tǒng)一；二是互聯(lián)網(wǎng)用戶不需再重復消耗大量資源，建立獨立的軟硬件設施和維護人員隊伍，只需通過互聯(lián)網(wǎng)接受云計算技術提供商的服務，就可以實現(xiàn)自己需要的功能。云計算技術的研究應用，不僅推動了經(jīng)濟的飛速發(fā)展，而且也影響著人類的生活方式。思科預測，到2020年，三分之一的數(shù)據(jù)都將存儲在云上或通過云進行存儲。目前，推動移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等與現(xiàn)代制造業(yè)結合，被寫入了政府工作報告。因此，加強云計算技術的研究和應用，特別是與現(xiàn)代制造業(yè)相結合，對我國經(jīng)濟的發(fā)展和人民生活水平的提高A2.重大。在加強云計算技術應用推廣的同時，做好云安全（Cloud Security）防護則顯得尤為重要。

1 云安全概念

最早提出“云安全”這一概念的是趨勢科技，2008年5月，趨勢科技在美國正式推出了“云安全”技術。云安全技術是網(wǎng)絡時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。云安全技術是P2P技術、網(wǎng)格技術、云計算技術等分布式計算技術混合發(fā)展、自然演化的結果。云安全是繼云計算技術、云存儲之后出現(xiàn)的“云”技術的重要應用，是傳統(tǒng)IT領域安全概念在云計算時代的延伸，已經(jīng)在反病毒軟件中取得了廣泛地應用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全是我國企業(yè)創(chuàng)造的概念，在國際云計算技術領域獨樹一幟?！霸瓢踩钡母拍钤谠缙谠?jīng)引起過不小爭議，已經(jīng)被普遍接受。值得一提的是，中國網(wǎng)絡安全企業(yè)在“云安全”的技術應用上走到了世界前列，金山毒霸、瑞星等公司都相繼推出了云安全產(chǎn)品。

2 云計算技術存在的安全問題

隨著云計算技術的不斷發(fā)展，安全性問題將成為企業(yè)高端、金融機構和政府IT部門的核心和關鍵性問題，也直接關系到云計算技術產(chǎn)業(yè)能否持續(xù)健康發(fā)展。云計算技術涉及三個層面的安全問題。

2.1 云計算用戶的數(shù)據(jù)和應用安全。

在用戶數(shù)據(jù)方面，云用戶和提供商需要避免數(shù)據(jù)丟失和被竊。如今，個人和企業(yè)數(shù)據(jù)加密都是強烈推薦的，甚至有些情況下是世界范圍法律法規(guī)強制要求的。云用戶希望他們的提供商為其加密數(shù)據(jù)，以確保無論數(shù)據(jù)物理上存儲在哪里都受到保護。同樣的，云提供商也需要保護其用戶的敏感數(shù)據(jù)。云計算技術中對數(shù)據(jù)的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數(shù)據(jù)泄漏，并且還可能缺乏必要的數(shù)據(jù)銷毀政策。同時，數(shù)據(jù)的完整性、可用性以及數(shù)據(jù)的可恢復性，都需要云計算技術去考慮。在應用安全方面，由于云環(huán)境的靈活性、開放性、以及公眾可用性這些特性，在SaaS、PaaS、IaaS的所有層面，運行的應用程序安全設計也至關重要。同時，應用層的安全認證、審計以及數(shù)據(jù)的訪問權限控制也需要考慮。

2.2 云計算服務平臺自身的安全。

包括了云計算平臺的硬件基礎設施安全、共享技術安全和web安全等問題。在硬件基礎設施方面，如網(wǎng)絡、主機/存儲等核心IT設備，網(wǎng)絡層面的設備需要考慮包括網(wǎng)絡訪問控制（如防火墻），傳輸數(shù)據(jù)加密（如SSL、IPSec），安全事件日志，基于網(wǎng)絡的入侵檢測系統(tǒng)/入侵防御系統(tǒng)（IDS/IPS）等安全問題，主機層面的設備需要考慮包括主機防火墻、訪問控制、安裝補丁、系統(tǒng)鞏固、強認證、安全事件日志、基于主機的入侵檢測系統(tǒng)/入侵防御系統(tǒng)等安全問題。在共享技術方面，如在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環(huán)境中的很多虛擬服務器共享著相同的配置，因此必須為網(wǎng)絡和服務器配置執(zhí)行服務水平協(xié)議（SLA）以確保及時安裝修復程序以及實施最佳做法。在web安全方面，云計算模式中，Web應用是用戶最直觀的體驗窗口，也是唯一的應用接口。而近幾年風起云涌的各種Web攻擊手段，則直接影響到云計算的順利發(fā)展。

2.3 云計算資源的濫用。

主要包括2個方面，一是使用外掛搶占免費試用主機，甚至惡意欠費，因為云計算的許多業(yè)務屬于后付費業(yè)務，惡意用戶可能使用虛假信息注冊，不停的更換信息使用資源，導致云服務提供商產(chǎn)生資損。另一方面，許多攻擊者也會租用云服務器，進行垃圾郵件發(fā)送、攻擊掃描、欺詐釣魚之類的活動。

這些安全問題實際上在傳統(tǒng)的信息系統(tǒng)和互聯(lián)網(wǎng)服務中也存在，只不過云計算技術業(yè)務高彈性、大規(guī)模、分布化的特性使這些安全問題變得更加突出。同時云計算技術的資源訪問透明和加密傳輸通道等特性給信息監(jiān)管帶來了挑戰(zhàn)，使得對信息和傳輸途徑的定位跟蹤變得異常困難。安全是云計算技術面臨的首要問題。Google等云計算服務提供商造成的數(shù)據(jù)丟失和泄漏事件時有發(fā)生，這表明云計算的安全性和可靠性仍有待提高。根據(jù)IDC的調查結果，將近75%的受訪企業(yè)認為安全是云計算發(fā)展路途上的最大挑戰(zhàn)。相當數(shù)量的個人用戶對云計算服務尚未建立充分的信任感，不敢把個人資料上傳到“云”中，而觀念上的轉變和行為習慣的改變則非一日之功。安全已經(jīng)成為云計算業(yè)務拓展的主要困擾。

3 云安全防護措施

針對云計算技術中暴露出的一些安全問題，必須強化云安全防護措施，這樣才能讓用戶滿意。云安全防護措施主要有以下幾項。

3.1 強化數(shù)據(jù)安全和應用安全。

數(shù)據(jù)安全技術包括諸如數(shù)據(jù)隔離、數(shù)據(jù)加密解密、身份認證和權限管理，保障用戶信息的可用性、保密性和完整性。密碼學界正在努力研究謂詞加密等新方法，避免在云計算中處理數(shù)據(jù)時對數(shù)據(jù)進行解密，近期公布的完全同態(tài)加密方法所實現(xiàn)的加密數(shù)據(jù)處理功能，都大大地推進了云計算的數(shù)據(jù)安全。基于云計算的應用軟件，需要經(jīng)過類似于DMZ區(qū)部署的應用程序那樣的嚴格設計。這包括深入的前期分析，涵蓋傳統(tǒng)的如何管理信息的機密性、完整性、以及可用性等方面。在安全認證方面，可通過單點登錄認證、強制用戶認證、、協(xié)同認證、資源認證、不同安全域之間的認證或者不同認證方式相結合的方式，有效防止云資源濫用問題。在權限控制方面，服務提供商和用戶提供不同的權限，對數(shù)據(jù)的安全提供保證。用戶應該擁有完全的控制權限，對服務提供商限制權限。

3.2 強化基礎平臺的軟硬件安全。

對于云計算平臺的網(wǎng)絡和主機設備，加強安全防護，可以通過網(wǎng)絡訪問控制（如防火墻），傳輸數(shù)據(jù)加密（如SSL、IPSec），安全事件日志，基于網(wǎng)絡的入侵檢測系統(tǒng)/入侵防御系統(tǒng)（IDS/IPS）等強化網(wǎng)絡安全，通過主機防火墻、訪問控制、安裝補丁、系統(tǒng)鞏固、強認證、安全事件日志、基于主機的入侵檢測系統(tǒng)/入侵防御系統(tǒng)等強化主機安全，控制防止非法用戶使用云計算資源；對于合法用戶的惡意使用，則可以通過審計日志來實現(xiàn)事后的追查。為了達到云計算終端到終端的安全，用戶保持瀏覽器的良好安全狀態(tài)是很必要的，這就需要對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。此外，針對目前幾種典型的云計算模式，部分廠商采取了細化應用安全防護的手段，針對不同的應用，提供專業(yè)級的網(wǎng)關安全產(chǎn)品。在數(shù)據(jù)共享方面，可以根據(jù)用戶的需求，建立所需的云服務，即SaaS（軟件即服務）、PaaS（平臺即服務）和IaaS（基礎設施即服務）三種形式。

3.3 強化法律管理措施。

云計算的穩(wěn)定運行和健康發(fā)展，需要一定的法律法規(guī)和規(guī)章制度進行完善。SAS70標準是由美國公共會計審計師協(xié)會制定的一套審計標準，主要用于衡量處理關鍵數(shù)據(jù)的基準，SAS70作為第三方驗證來確保安全、政策執(zhí)行和驗證等問題，能夠確保云供應商提供對客戶數(shù)據(jù)的保護。薩班斯法案的頒布，也為數(shù)據(jù)的保護提供法律的依據(jù)，屬于SarbanesOxley法案的企業(yè)在使用云計算服務的時候就必須確保他們的供應商符合SOX（薩班斯法案）。這些法案和制度的建立為云服務提供商更好地服務及避免數(shù)據(jù)丟失對客戶的損害提供了法律保障，將更有利于云計算提供商開發(fā)更優(yōu)秀的構架。

篇4

在2009年RSA大會上,云計算的安全是許多廠家和學者們焦慮和討論的話題,對云計算的樂觀與對云安全的悲觀形成了鮮明的反差?！罢訚捎嬎恪报DRSA創(chuàng)始人Ronald Rivest的一句話,深刻地反映了這種情緒。當時,信息安全界還沒有做好準備來認識、參與和幫助云計算的發(fā)展,甚至連云計算下安全保護的基本框架都提不出來。

然而在2010年RSA大會上,云安全成為了當之無愧的明星。無論是RSA總裁Art Coviello的開幕式演講,還是CA、Qualys等廠家的主題發(fā)言,無不表現(xiàn)出為云計算保駕護航的堅定決心。參展的眾多廠商更是百花齊放,基本上如果你不能為云計算做點什么,你都不好意思跟別人打招呼。這里面雖然有許多舊瓶裝新酒的噱頭,但也有很多產(chǎn)品和技術深入研究了云計算模式,顯現(xiàn)出許多搶眼的亮點。

身份與權限控制

大多數(shù)用戶對于云計算缺乏信心的原因,首先是對于云模式下的使用權限和管理權限有顧慮。在虛擬、復雜的環(huán)境下,如何保證自己的應用、數(shù)據(jù)依然清晰可控,這既是用戶的問題,也是云服務提供商的問題,而這一點也是信息安全界看得比較清楚的。因此,身份與權限控制解決方案成為本次RSA大會的重頭戲。

RSA公司帶來了全套的認證管理解決方案,除傳統(tǒng)的認證產(chǎn)品外,還特別展示了針對Web訪問的認證產(chǎn)品,以及針對虛擬化環(huán)境的解決方案,并且強化了對GRC(公司治理、風險管理及合規(guī)審查)的支撐。此外,端到端的控制、雙因素認證、針對應用和數(shù)據(jù)庫的認證等方面也涌現(xiàn)出了很多新產(chǎn)品。

從本次大會看,認證控制方面的解決方案已經(jīng)能夠基本覆蓋全部業(yè)務流程和大多數(shù)業(yè)務方向,而簡化認證管理、強化端到端的可信接入方案將會是下一階段的發(fā)展方向之一。

Web安全防護

云計算模式中,Web應用是用戶最直觀的體驗窗口,也是惟一的應用接口。而近幾年風起云涌的各種Web攻擊手段,則直接影響到云計算的順利發(fā)展。

本次大會上,眾多廠家把目光聚焦到Web防護方面。幾乎所有的國內外網(wǎng)絡安全企業(yè),都將安全網(wǎng)關的發(fā)展方向轉到UTM等綜合防護網(wǎng)關方面,單純的防火墻(包括防火墻這個名詞)已經(jīng)基本見不到了。這應該是正式宣告了單一功能的防火墻時代的結束,綜合防護的UTM時代來臨了。據(jù)調查,參展廠商大多提出了端到端的解決方案,即安全網(wǎng)關不僅能夠解決網(wǎng)關級的防護,同時能夠兼顧部分終端的安全問題以及端到端的安全審計。

此外,針對目前幾種典型的云計算模式,部分廠商采取了細化應用安全防護的手段,針對不同的應用提供專業(yè)級的網(wǎng)關安全產(chǎn)品。如專業(yè)UTM廠商Fortinet了分別針對郵件、數(shù)據(jù)庫、Web等應用的UTM產(chǎn)品。

虛擬化的安全

虛擬化是云計算最重要的技術支持之一,也是云計算的標志之一。然而虛擬化的結果,卻使許多傳統(tǒng)的安全防護手段失效。虛擬化的計算,使得應用進程間的相互影響更加難以捉摸;虛擬化的存儲,使得數(shù)據(jù)的隔離與清除變得難以衡量;虛擬化的網(wǎng)絡結構,使得傳統(tǒng)的分域防護變得難以實現(xiàn);虛擬化的服務提供模式,使得對使用者身份、權限和行為的鑒別、控制與審計變得極其重要。

本次RSA大會上,我們看到了一些有益的嘗試:思科公司提出無邊界網(wǎng)絡架構,力圖通過將終端管理、安全訪問、Web防護三者融合,提供端到端的防護控制措施,以解決云模式下傳統(tǒng)分級分域防護框架失效的問題;EMC作為虛擬化最大的受益者,在其全部產(chǎn)品線上都加入了對虛擬化的支持,包括認證、數(shù)據(jù)安全等方面。此外,不少廠家也提出針對虛擬化環(huán)境下的數(shù)據(jù)存儲、DLP(數(shù)據(jù)防泄露)解決方案,幫助用戶控制他們的數(shù)據(jù)。

安全的虛擬化

為了適應XaaS的業(yè)務模式,除了應用、存儲等能力需要虛擬化外,眾多廠家也強化了自身安全產(chǎn)品的虛擬化能力,以適應云計算的特點。虛擬設備、虛擬網(wǎng)關等技術手段被大量使用。如聯(lián)想網(wǎng)御帶來的KingGuard UTM-9202,采用Netlogic的多核芯片,提供超過1024個虛擬UTM,最大可提供20G的處理帶寬,是一款專門針對大中型企業(yè)和IDC的高性價比產(chǎn)品。而NeoAccel的SSL VPN產(chǎn)品,則可以直接在VMware等虛擬環(huán)境下運行。

因為云,所以安全

本次大會中,最具特色的是,一些企業(yè)獨辟蹊徑,借助云計算的模式和計算能力,發(fā)展出獨特的云安全防護技術,利用云中幾乎無限的計算能力和信息節(jié)點,轉而共同為云的安全作貢獻。如趨勢科技的云安全防病毒技術、Cisco的云防火墻、聯(lián)想網(wǎng)御的云防御,都是利用云中廣泛的信息反饋節(jié)點,大范圍地跟蹤安全風險,并將防護能力快速分發(fā)到各個防護節(jié)點。

縱觀本次RSA大會,安全廠商紛紛利用已有的技術,通過改良、改造、集成、融合,提出面向云計算、特別是面向用戶側的安全解決方案,基本上建立起了一條從用戶到服務商的安全應用交付通道。然而對于云的建設者和運營者,則還有更長的路要走。特別是對于國內私有云建設者需要特別關注的數(shù)據(jù)隔離與管理問題,目前為止還沒有看到符合國內安全規(guī)范的解決方案。不過,云計算已經(jīng)上路了,不管路上有什么坎坷,云安全,我們已經(jīng)在起跑線上了!

新 品

瞻博網(wǎng)絡推新品

改變移動網(wǎng)絡

本報訊 在今年的世界移動通信大會上,瞻博網(wǎng)絡宣布推出五款新品,并預言要改變世界移動網(wǎng)絡基礎架構。這些產(chǎn)品分別是面向電信運營商推廣應用的Junos Ready軟件,適用于移動視頻傳輸、定址廣告、業(yè)務監(jiān)控、服務交付與安全等;面向智能手機的Junos Pulse軟件,是業(yè)內首款可下載的客戶端軟件,可使不同移動設備,包括智能電話、筆記本電腦和上網(wǎng)本等無縫地接入企業(yè)網(wǎng);瞻博移動安全解決方案,采用了世界最快的SRX系列業(yè)務網(wǎng)關及Junos Pulse客戶端軟件,帶來移動安全性;瞻博流量管理軟件,可批量將電信數(shù)據(jù)流直接卸載至互聯(lián)網(wǎng)中,從而實現(xiàn)更好的移動體驗;瞻博媒體流,能在智能電話等移動設備上提供電視般流暢的觀賞體驗;瞻博移動核心演進方案,可在同一網(wǎng)絡中提供3G和4G服務,從而為運營商帶來收益。據(jù)悉,這次大規(guī)模的,是瞻博網(wǎng)絡向移動基礎架構平臺供應商轉變的重大舉措。

諾頓360

篇5

幾年來，公有云服務遭黑客攻擊造成海量用戶數(shù)據(jù)泄露的事件接連不斷：索尼云服務網(wǎng)站遇黑客攻擊導致1億用戶的個人信息被竊，蘋果iCloud賬戶信息泄露遭用戶抱怨，谷歌Gmail服務被攻擊泄露用戶信息……近期，云計算筆記應用Evernote（印象筆記）也遭遇了相同的厄運，導致其5000萬用戶受到數(shù)據(jù)泄露風險威脅，Evernote還因此被迫要求其用戶重置密碼。類似事件的持續(xù)爆發(fā)，再度引發(fā)了人們對公有云服務安全問題的熱議，公有云服務確保數(shù)據(jù)安全的能力也開始受到拷問。

“改密碼”能解決問題嗎

受到數(shù)據(jù)泄露威脅的用戶，主要是Evernote國際版用戶。Evernote方面表示，其信息安全團隊在Evernote網(wǎng)絡上發(fā)現(xiàn)了有組織的惡意攻擊，疑似企圖入侵Evernote Service的安全區(qū)域。但在隨后展開的調查中，他們還未發(fā)現(xiàn)用戶存儲在Evernote上的任何內容有被非法讀取、更改或遺失的跡象。針對用戶的支付信息，也沒有發(fā)現(xiàn)任何非法訪問的痕跡。但由于黑客“有可能”訪問了一些與賬戶相關的用戶名、電子郵件地址以及Evernote的加密密碼，所以Evernote“建議”用戶更改密碼，以免遭受損失。

在事件發(fā)生后，Evernote曾在其登錄界面上通過“跳出提示”的方法提醒用戶重置密碼。但很快，這種做法就被一種相對“懷柔”的方法取代了。經(jīng)記者測試發(fā)現(xiàn)，目前只是在自動退出之前的登錄狀態(tài)時，才要求用戶重新登錄。但重新登錄時，原來的密碼便會失效，用戶不得不點擊找回密碼鏈接重設密碼。

作為知名云服務商，Evernote希望盡快隱蔽地化解此事件的心態(tài)可以理解，但用戶的抱怨情緒卻沒有那么容易熄滅。一次黑客攻擊便足以影響到全部用戶，甚至需要所有用戶修改密碼，在云服務遭受黑客攻擊的案例中，這樣的問題總在重復。安全級別看似極高的云服務，為何如此脆弱？

“對黑客而言，云服務商最具價值的信息就是用戶信息數(shù)據(jù)庫。因為掌握了登錄認證信息，就意味著可以掌握用戶的全部數(shù)據(jù)。黑客攻擊一個10M的數(shù)據(jù)庫，就足以讓其獲得T級容量的用戶數(shù)據(jù)，這必然會吸引黑客瞄準存儲用戶身份認證信息的數(shù)據(jù)庫?！盉lueCoat安全專家申強告訴記者，今天大量的公有云服務對用戶認證信息的保護，依舊在采取“強加密，弱認證”的安全防護模式，數(shù)據(jù)的加密做得已經(jīng)足夠好了，但對服務和用戶的認證還遠遠不夠。很多面向消費類用戶的云服務還是在采取基于用戶名、口令的認證模式，一些用戶登錄信息甚至還在使用明文存儲，這等于把最關鍵的數(shù)據(jù)暴露給了黑客。一旦黑客獲取了用戶信息數(shù)據(jù)庫中的數(shù)據(jù)，數(shù)據(jù)泄露的風險自然會波及海量用戶。

“我們的團隊在服務過程中發(fā)現(xiàn)，云服務商最看重的是自身所能提供的應用服務內容，安全問題往往最后才會去考慮，這種僥幸心態(tài)是不可取的，等嘗到網(wǎng)絡攻擊的苦頭后才回頭補救，對用戶而言也是極不負責的?！盧adware安全專家姚宏洲指出，除了數(shù)據(jù)竊取及篡改外，云服務商對保障服務可用性的安全問題也關注不足。例如DoS/DDoS攻擊在全球愈演愈烈，眾多行業(yè)均被波及，這種消耗資源型的網(wǎng)絡攻擊對云服務也是極大的威脅。

多方責任制下的安全雜癥

根據(jù)行業(yè)統(tǒng)計，當前被曝光的企業(yè)數(shù)據(jù)泄露事件不足10%。因為數(shù)據(jù)泄露問題如果發(fā)生在企業(yè)內部，很多問題可以自我消化。但如果同樣的事件發(fā)生在公有云服務商的身上，幾乎100%被曝光。

安全防護的目標永遠都是將風險控制到足夠小，云服務商同樣無法做到100%的安全。申強告訴記者，沒有高等級的安全防護措施，公有云服務商很難說服用戶去使用其所提供的服務，所以當前公有云服務對數(shù)據(jù)安全的重視度往往極高。今天可以在企業(yè)內部數(shù)據(jù)中心看到的所有安全措施、安全策略以及安全等級標準，實際在云服務數(shù)據(jù)中心中至少是被復制和重現(xiàn)的?！翱梢哉f，云安全服務商已經(jīng)做到了企業(yè)級安全能夠做到的安全級別，甚至還會更高。但是在云中，卻很難達到企業(yè)級數(shù)據(jù)安全等級保護的同等效果?！?/p>

他指出，如果單純從安全保護策略的角度看，云服務數(shù)據(jù)中心和企業(yè)內部的數(shù)據(jù)中心并沒有本質上的區(qū)別。和企業(yè)內部的安全問題相比，公有云安全問題的復雜性更多體現(xiàn)在責任的界定上。因為云服務的安全責任已經(jīng)被不同的組織拆解，各自為政。

“云服務數(shù)據(jù)中心和企業(yè)的私有數(shù)據(jù)中心相比，兩者都是從四個層面來實現(xiàn)數(shù)據(jù)保護的：數(shù)據(jù)的安全，系統(tǒng)層面的安全，網(wǎng)絡傳輸層面的安全以及用戶終端的安全。在企業(yè)內部，這四部分的安全規(guī)劃都是由企業(yè)自己完成的。但在公有云環(huán)境中，數(shù)據(jù)、系統(tǒng)的安全問題要由云服務商負責，網(wǎng)絡傳輸部分的安全防護則要由企業(yè)和運營商共同承擔，用戶終端的安全則是由用戶個人或企業(yè)來管理。這就會形成一種挑戰(zhàn)：如何讓各部分貫徹統(tǒng)一的安全策略，實現(xiàn)全網(wǎng)的安全。這是和傳統(tǒng)企業(yè)安全最大的不同。

企業(yè)安全問題可以去統(tǒng)籌考慮，實現(xiàn)安全策略端到端的貫徹，但云服務卻難以實現(xiàn)。所以，不是云服務的安全等級不夠，而是難以被各責任方統(tǒng)一貫徹。

申強表示：“在發(fā)生安全問題時，責任的界定出現(xiàn)了多方關系。這是讓云服務安全問題更復雜的根源。當企業(yè)開始廣泛使用公有云服務的時候，必然會提出一個問題，那就是云服務商數(shù)據(jù)和系統(tǒng)安全的策略，是否和企業(yè)的策略是一致的。反之，云服務商做到了數(shù)據(jù)高等級安全防護，但數(shù)據(jù)在被用戶所使用的時候遭到攻擊，用戶的客戶端被攻擊，黑客同樣有可能借助用戶端攻擊云系統(tǒng)盜取數(shù)據(jù)?！?/p>

云服務如何安全地走下去

目前，金山、華為、百度等企業(yè)都推出了“網(wǎng)盤”、“快盤”類的云存儲服務。但只有華為網(wǎng)盤稱其能實現(xiàn)類似銀行數(shù)據(jù)安全級別的云服務。

據(jù)華為網(wǎng)盤技術總監(jiān)余斌介紹，華為網(wǎng)盤的經(jīng)驗是在整個架構設計上考慮“端到端”的安全設計，包括端（客戶端，手機、PC等）、管（傳輸網(wǎng)絡）、云（服務器、存儲等安全）的安全。比如客戶端的加密存儲、重要數(shù)據(jù)傳輸采用安全協(xié)議（HTTPS）、服務端需要考慮防攻擊和有效授權訪問等。云服務在安全體系架構設計上則需要滿足用戶的兩個需求：第一是數(shù)據(jù)不被竊取，第二是即使被竊取了也無法查看。需求一應以多重認證等手段來保障數(shù)據(jù)只能被有權限的用戶查閱；需求二則是通過安全的加密算法對數(shù)據(jù)進行加密存儲，確保無法破解。

從面向個人用戶的服務轉換到面向企業(yè)的服務，公有云安全如何做到多責任方最終的統(tǒng)一、協(xié)作也是很關鍵問題。公有云服務商不僅要敲開企業(yè)級市場的大門，還要邁過這道門檻。

篇6

關鍵詞：云安全模型；信息系統(tǒng)；安全等級；檢測保護

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）19-0052-02

云計算作為一種易擴展而又具有動態(tài)性，且選用高速互聯(lián)網(wǎng)處理數(shù)據(jù)信息的過程。伴隨當前云計算技術水平的日益提升，與之結伴的云計算安全問題日漸凸顯，已然成為各相關部門及廠商所關注的重點內容。在云計算框架內，虛擬化乃是網(wǎng)絡環(huán)境主要的出現(xiàn)形式，以往開展測評工作所需要運用的網(wǎng)絡設備或物理服務器，在當前云計算環(huán)境下，存在諸多差異。當將云安全技術退出之后，設別及查殺病毒，已經(jīng)并不僅僅依靠本地的病毒庫，而是利用更為廣泛的網(wǎng)絡服務體系，分析并處理所出現(xiàn)的各種病毒隱患。

1 云計算信息系統(tǒng)安全特性概述

與計算信息系統(tǒng)相比于傳統(tǒng)形式的互聯(lián)網(wǎng)信息系統(tǒng)，其利用服務端處理所有數(shù)據(jù)，并將其儲存起來，而對于終端用戶而言，則利用網(wǎng)絡對所需要的而各種信息和服務及時獲取，無需基于本地配置下，便可對數(shù)據(jù)實施儲存及處理工作。依據(jù)為網(wǎng)絡為基礎所設置的對應網(wǎng)絡安全防護設施，在系統(tǒng)服務端，可將安全審計系統(tǒng)和身份兼?zhèn)溥M行統(tǒng)一設置，從而保證諸多系統(tǒng)所可能發(fā)生的安全問題，均可及時且有效的解決，但由于不斷更新的服務模式，又會帶來諸多新的安全問題，比如數(shù)據(jù)泄露、不安全的服務接口及濫用云計算等。

2 構建管理中心及云安全服務模型

構建云安全服務模型：對于現(xiàn)實當中已經(jīng)出現(xiàn)的各種云產(chǎn)品而言，在諸如服務模型、資源位置及部署模型等各方面而言，其所展現(xiàn)的模式及形態(tài)各不相同，所形成的安全控制范圍存在差異，安全風險特征也各不相同。因此，需基于安全控制方面，對云計算模型完成創(chuàng)建，然后描述各屬性組合所具有的云服務架構，進行為云服務架至安全架構合理映射給予保證，進而為設備的風險識別及安全控制提供科學依據(jù)。

3 基于云安全模型的信息安全等級測評方法

基于云安全信息安全有關保護測評的方法，就是依據(jù)云安全中心模型以及云安全服務模型，結合用戶在云安全方面所存在的各種需求，首先，促使安全模型始終處于整個安全等級保護體系作用下的各個位置上。對于安全模型而言，其一段與等級保護技術相連接，而另一端則與則與等級保護相應管理要求相連接。

依據(jù)云安全信息中心相應建模狀況，全面分析云安全模型框架下的支撐安全及核心技術，最終取得企業(yè)在云安全領域范圍內的信息安全等級測評模型，以模型為參照，開展后續(xù)的檢測工作。

3.1 基于等級測評云安全模型下控制項

經(jīng)過上述分析可知，在云安全等級保護模式框架內嵌套云安全模型，進而開展與云安全存在相關性的信息安全等級評價，另外，分析基于安全模型下相關控制項。然后查看授權狀況及云認證，并測評是否存在有諸如敏感文件授權、程序授權及登陸認證等狀況。最后依據(jù)訪問控制模型的差異，對訪問控制的目標進行選擇，即依據(jù)實際情況選擇為角色型訪問、自主性訪問或強制性訪問，然后運用切合實際的應對方法。為了對網(wǎng)絡訪問資源提供保障，可對開展分配及控制操作，需建立更為可靠的解決策略及執(zhí)行辦法。當所運用的方式可靠而又統(tǒng)一，才能為安全策略的自動執(zhí)行提供保障。針對網(wǎng)絡數(shù)據(jù)的加密狀況進行測量時，需以靜態(tài)或動態(tài)的方式，保護標準的服務類型及加密功能。針對數(shù)據(jù)的恢復及備份情況進行探測時，需檢查是否是安全的云備份，另外還需查看密碼鑰匙的管理狀況，磁帶有無加密以及數(shù)據(jù)實際銷毀狀況，而在所開展的各項檢查中，重點為供應商所提供的數(shù)據(jù)備份。還需對是否可控制管理用戶的身份進行查看，能否對用戶角色具體的訪問內容進行管理。另外，對用戶的審計日志及安全服務進行查看，即告警管理與維護、主機的維護以及網(wǎng)絡設備的監(jiān)控管理等?？刂祈椃治龇秶海?）云認證和授權。云認證與授權重點乃是查看是否有敏感文件授權、程序運行授權、服務認證及登錄認證等，（2）云訪問控制。依據(jù)所建立的相應訪問控制模型，以此來對其是否為角色型訪問控制、自主訪問控制策略及強制訪問控制策略予以確定，然后家用對應方法進行分析。（3）云安全邊界與隔離。知曉系統(tǒng)實施安全隔離的具體機制，安全區(qū)域的劃分方法以及硬件安全的相關技術支持等。（4）云安全存儲?？蓪⑺袛?shù)據(jù)儲存成加密格式，而對于用戶而言，需分離出數(shù)據(jù)。（5）惡意代碼防范。首先需了解惡意代碼是否存在，并采取與之對應的防范舉措。（6）云安全管理。需對全面軟件資產(chǎn)、網(wǎng)絡及物理/虛擬硬件進行管理，管理當中相應測評要求需一致于等級保護管理要求。（7）網(wǎng)絡安全傳輸。需對網(wǎng)絡安全傳輸選用加密方式與否予以了解。（8）網(wǎng)絡配置及安全策略。如若想要獲取更為有效的訪問控制及資源，需對安全策略采取一種更為可靠且統(tǒng)一的方式執(zhí)行。解決及定義。利用此種方式促進安全策略自動執(zhí)行的實現(xiàn)。

3.2 等級測評云安全模型風險性分析

按照有關等級保護的具體要求，采用風險分析的相關方法，在分析信息系統(tǒng)過程中，需對如下內容給予重視。（1）訪問控制、授權及云身份認證。對于云安全而言，其不僅對于訪問控制及授權具有十分重要的作用，對于用戶身份的認證同樣重要，但其實際效果的發(fā)揮，需將現(xiàn)實實施狀況作為依據(jù)。（2）設置云安全邊界。針對基于云安全內部的具體的網(wǎng)絡設備而言，其需要利用諸如防火墻的措施，實施更為有效的安全防護舉措，但對于外部的云用戶而言，其則需采用虛擬技術，此技術自身便存在有安全風險，因此，必須對其實施有效而全面的安全隔離舉措。（3）數(shù)據(jù)信息備份及云安全儲存。通常情況下，云供應商所運用的數(shù)據(jù)備份方式，乃是最為有效且更具安全性的保護模式，盡管供應商在實施數(shù)據(jù)備份方面已經(jīng)十分安全，但通常情況下依然會發(fā)生相關數(shù)據(jù)的丟失，因此，在條件允許的情況下，公司需選用云技術，對全部數(shù)據(jù)予以共享，并對其進行備份，或在還會發(fā)生數(shù)據(jù)徹底丟失的情況下，啟動訴訟程序，進而從中獲取有效的賠償。在云計算過程中，通常發(fā)生由于數(shù)據(jù)的交互放大，而造成數(shù)據(jù)出現(xiàn)泄漏或丟失狀況，如若出現(xiàn)安全時間，且用戶數(shù)據(jù)出現(xiàn)丟失狀況，此時，系統(tǒng)需將安全時間及時、快速的上報于用戶，避免更大范圍的數(shù)據(jù)丟失（4）賬戶與服務劫持。攻擊者從云服務用戶中獲取賬號，造成云服務客戶端產(chǎn)生相應安全風險。（5）不安全的API及接口。第三方插件存在安全風險，或較差的接口質量。（6）安全事件通報。如若發(fā)生安全事件，導致用戶數(shù)據(jù)出現(xiàn)安全風險，整個系統(tǒng)就會將數(shù)學信息及時上報，防止出現(xiàn)較大程度的損失。

4 結語

伴隨當今云計算技術的日益發(fā)展和完善，云計算信息系統(tǒng)今后必然成為整個信息化建設的重要構成。本文基于云安全等級保護檢測，對云計算信息系統(tǒng)所具有的安全特性進行簡要分析，并探討了云安全服務模型及構建管理中心，以此為依據(jù)提出切合實際需要的云安全模型的信息安全等級檢測方法。

參考文獻：

[1] 成瑾， 劉佳， 方祿忠. 面向電信運營商云計算平臺的安全檢測評估服務體系研究[J]. Computer Science＼s&＼sapplication， 2015， 05（4）：83-91.

篇7

（一）管理使用的系統(tǒng)

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業(yè)門戶網(wǎng)站等系統(tǒng)是石化銷售企業(yè)首要的應用系統(tǒng)。應用系統(tǒng)有以下特征：一是系統(tǒng)應用范圍廣，全程參與企業(yè)的經(jīng)營、管理、對外服務等；二是系統(tǒng)用戶眾多，涵蓋企業(yè)各階層員工；三是系統(tǒng)對持續(xù)運轉要求高，因此對應用系統(tǒng)的安全運轉要求較高。對公司的經(jīng)營管理而言，系統(tǒng)的安全穩(wěn)定運行具有重大意義，系統(tǒng)數(shù)據(jù)是否安全、保密性和供應商、企業(yè)利益有密切關系。

（二）安全管理

隨著我國經(jīng)濟水平不斷提高，石化銷售企業(yè)越來越離不開信息化管理，世界各地的公司對內部成立一個信息化團隊，根據(jù)內部的需要制定出具有整體性的管理體系，并根據(jù)相關的信息安全規(guī)定對系統(tǒng)內部的安全等級做好評估保護工作。各企業(yè)制定了詳細有效的“信息系統(tǒng)應急預案”以應付各類突發(fā)事件。近幾年，中國石化內控體系在建設過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優(yōu)勢。當前，石化銷售企業(yè)已基本形成一套完整的信息安全防御和管理體系，從而確保了網(wǎng)絡信息系統(tǒng)的安全性。

二、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產(chǎn)清單和風險級別，進而確定相應的防控措施。在石化銷售企業(yè)進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結合企業(yè)自身的實際情況，擬定風險控制相應的對策，把企業(yè)內的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險

機房環(huán)境和硬件設備是主要的的物理風險。當前，部分企業(yè)存在的風險有：1）企業(yè)機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現(xiàn)在的需求；2）機房使用的裝備年限太長、例如中央空調老化，制冷效果不佳導致溫度不達標，UPS電源續(xù)航能力下降嚴重，門禁系統(tǒng)損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網(wǎng)絡和系統(tǒng)安全存在的風險

石化訪問系統(tǒng)的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡防病毒體系、硬件防火墻、按期更新網(wǎng)絡系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡結構和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風險

沒有經(jīng)過許可進行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應用服務是企業(yè)信息系統(tǒng)的首要任務，而數(shù)據(jù)正是應用信息系統(tǒng)的核心，因此，實際應用與系統(tǒng)安全風險密切聯(lián)系。當前，信息應用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風險

安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統(tǒng)安全管理體系，從嚴管理，促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段，有效較強內控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調整、完善制度，以符合信息安全的新環(huán)境需求。

三、信息安全管理體系框架的主要構思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術體系形成，特點是系統(tǒng)化、程序化和文件化，而主要思想以預防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強企業(yè)的競爭力。

（一）組織體系

企業(yè)在完善管理體系過程中應設立信息安全委員會和相關管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內容。在全面提升企業(yè)人員對信息安全了解的過程中必須進行信息安全知識的相關培訓，使工作人員提高信息安全管理意識，實現(xiàn)信息安全管理工作人人有責。

（二）制度體系

操作規(guī)范、安全策略、應急預案等各項管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進一步優(yōu)化業(yè)務流程，規(guī)范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術體系

管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網(wǎng)絡安全技術、主機安全技術、終端安全技術、數(shù)據(jù)安全、應用安全技術等。一旦出現(xiàn)信息安全事件，技術體系會在最短的時間內降低事件的不良影響，依靠相關的信息安全管理技術平臺，以實現(xiàn)信息安全技術的有效控制。管理體系的核心是技術手段，先進的加密算法和強化密鑰管理構成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機、防火墻等安全系統(tǒng)可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡系統(tǒng)快速檢測出攻擊的對象，加強了管理員的安全管理技術（包括審計工作、監(jiān)視、進攻識別等技術），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進行網(wǎng)絡備份，利用體統(tǒng)的可用性和容災性加強安全管理能力。

近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預技術受到了嚴峻的考驗，這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御，而“云安全”技術對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內容為企業(yè)的數(shù)據(jù)、服務器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點和實際情況，使用最優(yōu)方案，結合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結論

篇8

通信網(wǎng)絡是經(jīng)濟社會發(fā)展的重要基礎設施，做好通信網(wǎng)絡安全防護工作對國家信息安全建設起到關鍵作用。近幾年，在政府主管部門的大力指導和強有力的推動下，通信網(wǎng)絡安全工作取得了全面成效，管理制度愈加規(guī)范，技術檢測手段愈加深入，防護能力逐步提高。網(wǎng)絡攻擊、黑客入侵、病毒威脅種類多樣化，致使網(wǎng)絡安全形勢依然嚴峻，新業(yè)務應用及發(fā)展更是帶來新的安全挑戰(zhàn)，這需要政府管理部門進一步加強監(jiān)管力度，創(chuàng)新管治方法，強化安全防護范圍和深度。

為深入宣貫通信網(wǎng)絡安全管理辦法，解讀政策方向和安全防護標準及應用，分析當前網(wǎng)絡安全發(fā)展形勢，探討更新更好的安全防護思路，本月由中國通信企業(yè)協(xié)會通信網(wǎng)絡安全專業(yè)委員會主辦的“2013通信行業(yè)網(wǎng)絡安全年會”在貴陽隆重召開。工信部通信保障局副局長熊四皓等領導出席了會議。天融信作為本次年會的贊助商由副總裁宮一鳴在會上進行了“大數(shù)據(jù)和運營商安全”主題演講。

會上調查顯示，當前，用戶普遍最為關注的是以下10大安全話題：

1、大數(shù)據(jù)安全

2、APT攻擊

3、下一代防火墻

4、WEB防護

5、如何高效的實現(xiàn)企業(yè)信息安全管控體系

6、云安全

7、IDC安全

8、移動互聯(lián)網(wǎng)安全

9、業(yè)務安全

10、如何提升入侵感知能力

可見，大數(shù)據(jù)安全已經(jīng)成為其中最重要的問題，這也是此次通信行業(yè)網(wǎng)絡安全年會上重點討論的議題。天融信演講的“大數(shù)據(jù)和運營商安全”從安全角度幫助企業(yè)分析了如何應對“大數(shù)據(jù)”時代的來臨。通過建立宏觀層面的信息，大數(shù)據(jù)可以讓企業(yè)更深入地了解自身業(yè)務，通過分析海量數(shù)據(jù)可以實現(xiàn)新的業(yè)務洞察力。大數(shù)據(jù)信息對于企業(yè)的信息安全團隊來說也同樣具有非凡價值。安全團隊同樣可以利用大數(shù)據(jù)來加強企業(yè)安全建設，抵御內外部網(wǎng)絡威脅。

現(xiàn)在，企業(yè)已經(jīng)可以利用各種安全工具來進行日志記錄、安全監(jiān)控、設定應用程序訪問控制、遠程配置。通過天融信等專業(yè)安全企業(yè)提供的安全服務對這些數(shù)據(jù)進行收集和分析，企業(yè)安全團隊就可以確定安全風險，制定更有針對性的安全防范措施，真正做到“知己知彼，百戰(zhàn)不殆”。

天融信在面對大數(shù)據(jù)時代帶來的新挑戰(zhàn)時，提出了大數(shù)據(jù)綜合管理平臺戰(zhàn)略，目前已經(jīng)推出海量日志數(shù)據(jù)自動收集與實時智能分析產(chǎn)品(TopAudit-Log，簡稱TA-L)，為企業(yè)轉型、成長提供必要的戰(zhàn)略技術支撐，幫助企業(yè)將新挑戰(zhàn)變?yōu)樾聶C遇。通過海量數(shù)據(jù)的自動收集、處理以及實時的智能分析實現(xiàn)企業(yè)高效、便捷、經(jīng)濟的大數(shù)據(jù)管理。

篇9

用手機上網(wǎng)、收發(fā)郵件，用平板電腦開展業(yè)務，對筆記本電腦個性化設置，BYOD的浪潮正在向我們襲來。但在節(jié)約成本和提升效率的同時，企業(yè)安全的邊界卻開始不斷模糊。應對BYOD，企業(yè)安全防護該何去何從？

在美劇《實習醫(yī)生格蕾》里，外科主任歐文拋棄了固定的辦公室，用一個iPad在醫(yī)院里隨時隨地移動辦公，一時間成為醫(yī)院里的一道風景?，F(xiàn)實生活中，用自己的移動設備在單位辦公，正在被越來越多的企業(yè)所接受。員工用自己的筆記本電腦到單位辦公、用手機和平板電腦收發(fā)郵件，在企業(yè)中隨處可見。與此同時，BYOD（Bring YourOwn Device，員工攜帶自己的設備辦公）的經(jīng)濟性開始被更多的企業(yè)所認知，但在這種辦公模式中隱藏的安全風險，已經(jīng)遠遠超過了我們的想象。

BYOD正在普及

市場調研機構IDC的最新報告顯示，2011年第四季度全球智能手機市場的總出貨規(guī)模達到1.578億部，比IDC之前的預期提升了40%。此外，智能手機出貨量在2011年首次超過PC出貨量。移動終端正在取代PC，成為人們在辦公中最需要的工具之一。

隨著智能終端的普及，IT消費化的趨勢日益明顯，BYOD已經(jīng)在企業(yè)間悄然興起，尤其是在歐美等發(fā)達國家和地區(qū)，BYOD已經(jīng)形成一種文化。據(jù)統(tǒng)計，在歐洲26%的醫(yī)生擁有iPad，他們在行醫(yī)過程中超過25%的時間會利用iPad，還有40%的醫(yī)生表示在接下來的6個月里會購買手持智能設備。

在支持BYOD的企業(yè)中，員工可以根據(jù)自己的喜好選擇移動終端的品牌和類型，實現(xiàn)對IT設備的個性化需求，滿足對時尚設備的追求。根據(jù)美國知名市場研究機構波耐蒙研究所的《全球移動風險研究報告》：77%的受訪者認為移動設備是幫助他們高效完成工作的得力助手之一。提升效率也正是BYOD興起的重要原因。

跟以往的移動辦公不同，BYOD環(huán)境下，員工使用的是自己購買的設備，企業(yè)無需再為員工購買統(tǒng)一的電腦、定制手機或平板電腦等辦公設備。因此，節(jié)約成本是BYOD之所以迅速普及的另一個重要原因，例如，思科公司從BYOD上節(jié)約了17%~22%的IT成本。

但是，并不是所有企業(yè)都能像思科一樣，從BYOD環(huán)境中受益。由于沒有被納入企業(yè)原有的安全防護體系中，BYOD設備在提高工作效率和愉悅員工的同時，也讓企業(yè)出現(xiàn)了難以掌控的安全風險。

不少企業(yè)已冷靜下來，比如美國聯(lián)邦政府部門的信息技術管理者們就在熱烈爭論，是否應該允許雇員將自己的智能手機和平板設備用于工作中，是否應該制定BYOD的相關政策。美國國家安全局移動委員會負責人Troy Lange就表示反對提供BYOD的辦公模式。美國退伍軍人事務部企業(yè)系統(tǒng)工程移動和安全保障服務部門的負責人Donald Kachman也表示了他的擔心：“一旦設備出現(xiàn)問題，我們能管理好設備嗎？我們能確保設備安全嗎？”他指出最新一代智能手機和平板電腦依然被視為新事物，而“其安全隱患是未知的”。反對BYOD的情況也同樣出現(xiàn)在香港，據(jù)飛天誠信副總經(jīng)理鄭相啟介紹，在香港，引入辦公的移動設備必須經(jīng)過認證才行。

傳統(tǒng)防護體系已失效

BYOD所帶來的安全問題首先體現(xiàn)在數(shù)據(jù)泄漏的風險上。越來越多的企業(yè)資料在知情或不知情的情況下被存儲在這些設備上，而這些設備又很難受控于企業(yè)原有的管理體系。但是，移動設備給企業(yè)帶來的風險，恰恰是它們現(xiàn)有的安全管控方法和可執(zhí)行策略所無法覆蓋的。而且，員工往往還會刻意回避針對移動設備的安全管理，這也是一個非常嚴重的問題。

隨著移動終端不斷增長，企業(yè)用戶本身無法完全有效地對移動平臺和使用移動設備的用戶進行統(tǒng)一管理，也導致企業(yè)敏感信息和數(shù)據(jù)泄漏的風險上升?！袄纾O果AppStore或者安卓市場中有許多應用，一些惡意軟件會偽裝成應用供用戶下載，當這些惡意軟件被下載到員工的移動設備并且進入了企業(yè)網(wǎng)絡范圍之內，企業(yè)的信息安全風險就會增加。”Websense中國區(qū)技術經(jīng)理陳綱稱，當BYOD成為一種趨勢時候，這是企業(yè)管理者最擔心的問題。

不僅如此，企業(yè)在接受BYOD的同時，傳統(tǒng)的安全防護體系也在失效。互聯(lián)網(wǎng)訪問出現(xiàn)，無線網(wǎng)絡應用更為頻繁……很多過去企業(yè)沒有意識到的安全環(huán)節(jié)，如今反而需要進行重點防護。企業(yè)的網(wǎng)絡安全邊界也延展到廣域網(wǎng)，企業(yè)機密數(shù)據(jù)傳輸?shù)穆窂讲粌H走出了企業(yè)網(wǎng)，還變得極度復雜，企業(yè)內部的安全防護手段已鞭長莫及。

以往，企業(yè)的安全防護策略主要針對內網(wǎng)安全，但隨著移動終端的普及、虛擬化技術的廣泛應用，企業(yè)網(wǎng)絡邊界的延展，也在改變安全防護體系的基礎架構。在這種情況下，傳統(tǒng)的防火墻、防病毒軟件、IPS等企業(yè)安全防護的“老三樣”，已不足以滿足企業(yè)信息安全防護的需求。另外，由于移動終端和操作系統(tǒng)復雜多樣，BYOD也為信息安全管理帶來了新的挑戰(zhàn)。

同時，員工在使用移動設備時，很難主動產(chǎn)生安全意識。當員工通過3G網(wǎng)絡，利用自己的移動設備收發(fā)公司郵件，或者登錄公司應用辦公時，很少有人會意識到，自己的移動終端可能給企業(yè)帶來數(shù)據(jù)泄漏的風險。黑客可能通過惡意軟件或僵尸網(wǎng)絡，對企業(yè)網(wǎng)絡發(fā)起攻擊，或者竊取企業(yè)的核心數(shù)據(jù)。

最新的“全球移動風險研究報告”顯示：企業(yè)引入移動設備和員工攜帶個人設備上班的現(xiàn)象正在架空企業(yè)現(xiàn)行的安全體系和安全策略。來自12個國家的4000多名受訪者中有76%的人認同在采用移動設備的同時也將風險帶給了企業(yè)，只有36%的受訪者表示已經(jīng)配備了必要的安全控制手段來應對這一類風險。

需要新的防護策略

由于企業(yè)網(wǎng)的邊界向操作系統(tǒng)和移動終端進行了延展，安全廠商提供的解決方案必須要覆蓋這些設備，以滿足企業(yè)的安全防護需求。這就要求安全廠商必須針對不同終端和操作系統(tǒng)的特點研發(fā)新技術，推出相關的解決方案。

《全球移動風險研究報告》指出：59%的調查對象表示，員工會繞行或者故意使安全防護策略失效。如何管理操作系統(tǒng)、硬件平臺各異的BYOD設備，并規(guī)避BYOD帶來的安全風險，如何保證業(yè)務和管理系統(tǒng)在多種設備上兼容運行等問題，對于大多數(shù)企業(yè)IT管理人員而言都是難以應對的挑戰(zhàn)。

在綠盟科技副總裁吳云坤看來，BYOD雖然在中國才剛剛起步，但是由于國內企業(yè)還沒有對BYOD帶來的威脅建立合理的安全防護策略，它給中國企業(yè)帶來的風險可能比其他國家更加嚴重。BYOD可能會造成企業(yè)核心業(yè)務系統(tǒng)受到攻擊，企業(yè)郵件、通信錄和在線業(yè)務系統(tǒng)中的企業(yè)和個人信息遭到竊取。這些威脅呼喚著以郵件防護和數(shù)據(jù)防護為中心的解決方案。

BYOD對企業(yè)的信息安全系統(tǒng)提出了新的需求，一個僅僅支持局域網(wǎng)訪問的應用很難支撐BYOD環(huán)境下的信息安全防護需求。因此，整個IT業(yè)界正在試圖尋找應對BYOD安全風險的不同思路和解決方案。

>桌面虛擬化：安全風險向后端轉移

虛擬化技術是云計算時代的一項重要技術。它將數(shù)據(jù)和應用程序在數(shù)據(jù)中心上集中管控，被認為是降低企業(yè)IT基礎設施安全風險的有效措施。以VMware、思杰和微軟為代表的桌面虛擬化技術，為BYOD環(huán)境下的信息安全防護提供了新的思路。

桌面虛擬化技術的本質是將桌面的操作環(huán)境與機器運行環(huán)境分離，實現(xiàn)在任何地點，通過非特定設備（例如不同的PC、筆記本電腦、PDA、手機）都可以實現(xiàn)對桌面的訪問與操作。通過該技術，所有的數(shù)據(jù)和應用程序將在數(shù)據(jù)中心進行托管并統(tǒng)一管理；用戶可以通過任何設備、任何網(wǎng)絡遠程訪問應用程序和數(shù)據(jù)，并且獲得與傳統(tǒng)PC一致的用戶體驗。

由于桌面虛擬化之后，用戶和后臺之間的通信只是簡單的鼠標點擊等操作，應用程序和數(shù)據(jù)并不存放在本地設備中，因此即便是惡意軟件入侵了用戶的設備，也無法獲取企業(yè)數(shù)據(jù)或信息。這為BYOD環(huán)境下，防止數(shù)據(jù)泄漏和惡意軟件威脅提供了一種行之有效的方法。

桌面虛擬化讓企業(yè)的IT信息管理者獲益匪淺，集中式桌面和應用管理能夠有效降低企業(yè)IT設備和網(wǎng)絡的安全威脅，而在整個企業(yè)范圍內取消獨立的標準化設備則有助于增加終端的靈活性，提高員工的工作效率，并簡化設備管理。

正如思杰公司認為的那樣，企業(yè)應采取“安全源于設計”的做法，將數(shù)據(jù)集中存放在數(shù)據(jù)中心、加密傳送到終端設備以及在脫機工作時隔離端點上的數(shù)據(jù)這三大措施共同實現(xiàn)了“允許任何員工通過任何設備隨時隨地安全訪問”的設想。而這些，都是通過細粒度訪問控制政策加以管理。

盡管桌面虛擬化的理念得到IT業(yè)界的認同，但是當前桌面虛擬化的普及速度卻比較緩慢。“由于跟便利性有沖突，放眼望去，虛擬化企業(yè)應用得比較好的是應用虛擬化和服務器虛擬化，終端虛擬化發(fā)展比較緩慢，這是因為員工希望個性化。如果一夜之間讓所有人都使用同一種模式，讓人非常難以接受?！盬ebsense中國區(qū)技術經(jīng)理陳綱稱，盡管從技術角度看，桌面虛擬化的效果顯而易見，但是其普及率不高，至少需要兩三年的推廣時間，因此難以在短期內有效解決問題。

此外，桌面虛擬化技術在降低終端安全風險的同時，增加了后端數(shù)據(jù)中心的安全管理壓力。由于應用程序和數(shù)據(jù)都存儲在后端的數(shù)據(jù)中心里，企業(yè)需要有效管理大量數(shù)據(jù)的安全性，進行數(shù)據(jù)保護和數(shù)據(jù)加密，保證虛擬化環(huán)境下數(shù)據(jù)中心的安全。此時，企業(yè)需要購買虛擬化安全解決方案或服務，造成安全成本上漲。

>>終端解決方案向移動領域拓展

在傳統(tǒng)信息安全架構的基礎上，延伸BYOD環(huán)境下的安全防護策略，拓展移動終端管理解決方案，對大多數(shù)企業(yè)而言，是比較容易接受的方案，因為企業(yè)無需徹底顛覆原有的信息安全防護架構，只要在原有的防火墻、防病毒軟件和IPS的基礎上，安裝一個插件或者軟件，就能與原有的安全體系融合起來，對BYOD設備，尤其是智能手機、平板電腦等移動終端進行統(tǒng)一管理和監(jiān)控。例如，趨勢科技通過企業(yè)移動終端管理方案（TMMS7.1）、企業(yè)無限網(wǎng)絡接入管理方案（WSG）、個人移動終端安全方案（TMMS2.0），針對BYOD環(huán)境下的信息安全防護，推出了組合產(chǎn)品。

“不管是設備層面，還是系統(tǒng)層面或應用層面，都需要一些防護策略，集中化管理客戶的終端安全，才能減少數(shù)據(jù)外泄的風險。”趨勢科技中國區(qū)移動安全產(chǎn)品市場經(jīng)理劉政平在接受本報記者采訪時表示，趨勢科技的移動安全產(chǎn)品設計也正是從這三個角度來考慮的。企業(yè)移動終端安全管理方案包含終端策略管理平臺、移動網(wǎng)關防護、移動應用管理、移動終端防護等四個方面。移動終端策略管理平臺統(tǒng)一管理所有移動終端，包括用戶的各種移動智能終端；移動網(wǎng)關防護通過設備準入、流量控制、設備管理等方式，阻斷外部威脅對內部應用的威脅；移動應用管理幫助企業(yè)建立起針對內部的企業(yè)級移動應用商店，在檢測確保應用程序安全安全之后，將蘋果AppStore或安卓市場中的應用程序上傳到企業(yè)自建的移動應用商店中，供內部員工下載使用。此外，趨勢科技移動應用管理還建立了黑白名單機制，過濾掉不允許安裝的、存在威脅的應用程序。

“智能手機、平板電腦等移動終端屬于消費產(chǎn)品，操作系統(tǒng)多種多樣，有的基于安卓，有的基于iOS，還有的基于Windows Phone等平臺?！眲⒄浇ㄗh企業(yè)用戶“把這些離散的、不是統(tǒng)一標準的平臺，集成到一個安全管控平臺上，企業(yè)內部必須對設備進行統(tǒng)一的管控”。他向記者介紹，趨勢科技已經(jīng)為一些銀行提供類似的解決方案，為銀行提供應用程序的安全信譽評估服務，以使銀行內部網(wǎng)絡的應用程序中不包含惡意軟件。

對移動終端進行集中管控的方式，能降低企業(yè)的部署成本，減少管理這些設備的復雜度，確保訪問企業(yè)網(wǎng)絡資源的設備的安全性。然而，調查顯示，59%的員工會有意避開企業(yè)的這些終端管理措施，而建立企業(yè)內部的移動應用商店的方式的確能夠讓員工下載綠色的安全軟件。不過，當前在企業(yè)內部建立應用商店的還比較少，應用數(shù)量不多，功能不夠豐富，很難滿足員工的需求。大多數(shù)員工仍然在蘋果AppStore或者各類安卓市場中下載應用程序。

因此，從終端統(tǒng)一管控的角度出發(fā)構建企業(yè)的信息安全體系，需要在企業(yè)內部對員工進行不斷循環(huán)往復的培訓和教育，使其認同企業(yè)安全防護的理念，并且遵守相關安全管理規(guī)定。

>>>以數(shù)據(jù)為核心的數(shù)據(jù)防泄漏方案

在BYOD環(huán)境中，郵件訪問和企業(yè)業(yè)務系統(tǒng)是員工訪問最多的內容，也是最容易導致企業(yè)敏感數(shù)據(jù)泄漏的。而且，越是企業(yè)高管，使用移動設備辦公的概率越大，這些設備中可能包含的企業(yè)核心信息和機密數(shù)據(jù)的概率也越大。無論是信息的轉發(fā)、存儲，還是設備遺失，都會讓企業(yè)的安全風險增加?！霸谕ㄟ^廣域網(wǎng)訪問企業(yè)應用的情況下，傳統(tǒng)的基于防火墻、VPN、IPS的解決方案，已經(jīng)不足以支撐當前的安全防護體系。員工通過廣域網(wǎng)訪問企業(yè)網(wǎng)的路徑中，需要增加更多控制來保證企業(yè)網(wǎng)的數(shù)據(jù)和應用的安全?！盬ebsense陳綱表示，針對移動終端訪問的熱門應用，新的解決方案也會應運而生。

圍繞郵件安全，安全防護策略需要解決的問題是什么數(shù)據(jù)能夠同步到BYOD設備上。Websene的解決方案是將DLP數(shù)據(jù)防護解決方案延伸到智能終端領域，通過關鍵詞、語義分析、指紋控制等技術對內容進行識別，無論員工使用企業(yè)網(wǎng)絡還是3G、家庭網(wǎng)絡，只要訪問企業(yè)郵件，DLP移動數(shù)據(jù)防護解決方案都能確保沒有訪問權限的BYOD設備無法訪問或同步這些敏感數(shù)據(jù)。

“另一種更加嚴格的控制方法是，讓所有訪問企業(yè)網(wǎng)絡的設備都必須通過VPN接入Websense云端進行敏感信息過濾?！标惥V介紹稱，Websense移動云安全解決方案是Websense針對BYOD開發(fā)的云安全策略，主要針對郵件安全和設備離開網(wǎng)絡之后的安全控制。

通過這種方式，當BYOD設備嘗試上傳或下載企業(yè)相關資料時，都必須接受Websense移動云的過濾和監(jiān)控。無論員工使用的是哪種移動終端，通過哪種網(wǎng)絡訪問企業(yè)信息，都能被納入企業(yè)的安全防范策略中，與傳統(tǒng)的上網(wǎng)行為管理和終端解決方案相互補充，彌補了后兩者的不足。

今年的RSA大會上，Websense了以數(shù)據(jù)安全為核心的全新的Websense TRITON移動安全解決方案。它具有四個關鍵特點。第一，提供基于內容感知的數(shù)據(jù)安全功能以阻止基于iPads、iPhones、Android系統(tǒng)和其他移動設備的數(shù)據(jù)泄露；第二，提供實時的Web和應用安全及策略管控，并提供相關報告讓用戶能夠清楚地了解移動設備上敏感文件的風險狀態(tài)；第三，能阻止用戶下載惡意應用程序并阻攔惡意軟件；最后，它還融入了一個移動設備管理(MDM)程序。

陳綱稱，Websense TRITON移動安全解決方案包括Web安全、郵件安全、數(shù)據(jù)安全三部分，涵蓋了Websense所有解決方案的核心，能夠讓用戶通過統(tǒng)一的管理平臺，同時對Web、郵件、數(shù)據(jù)的安全進行管理和控制，而且用戶還可以選擇任意的交付形式，軟件、硬件和云的形式都可以。它支持在跨平臺交付形式下對不同設備進行統(tǒng)一管理。

>>>>讓數(shù)據(jù)安全地移動

在BYOD的浪潮中，企業(yè)員工在個性化需求得到滿足的同時，也應該為企業(yè)的網(wǎng)絡安全付出努力，增強相應的安全意識和防范措施。

對這些員工的BYOD設備，傳統(tǒng)的防火墻、反病毒軟件和VPN等工具依然必不可少。同時，檢測移動應用的安全性，及時發(fā)現(xiàn)智能終端上的安全陷阱，也是必要的防護策略。

此外，平板電腦、智能手機等終端的一個很重要的問題是容易丟失。當設備遺失時，其同步的郵件信息、企業(yè)敏感數(shù)據(jù)也面臨被泄露的風險。對此，各個安全廠商的移動終端安全解決方案，都將遠程手機定位和數(shù)據(jù)擦除作為重點功能。

例如，趨勢科技針對個人移動終端推出的個人移動終端安全方案（TMMS2.0），在智能手機丟失之后，在手機開機的狀態(tài)下，可以對其進行遠程定位，鎖定設備所在位置，讀取GPS的經(jīng)緯度，然后通過谷歌地圖或百度地圖進行精確定位。

個人移動終端安全方案（TMMS2.0）的另一個功能是通過管理平臺發(fā)指令給手機，進行遠程數(shù)據(jù)擦除。在開機的狀態(tài)下，手機可以通過網(wǎng)絡或短信接收到指令，其中的敏感數(shù)據(jù)就會被自動擦除。用戶也可以選擇將這些數(shù)據(jù)同步到趨勢科技提供的云端存儲空間中，這樣用戶就可以將數(shù)據(jù)同步到另一臺設備中，避免重要數(shù)據(jù)丟失。而針對員工離職等情況，管理員也可以設置只將跟公司工作相關的信息擦除，保留員工的個人信息。

篇10

怎樣為云計算“罩”上安全的“防護衣”？安全的云計算架構應該包含哪些內容？2012年10月30日，在由國際云安全聯(lián)盟（CSA）中國分會主辦，綠盟科技和啟明星辰共同承辦的第三屆云安全聯(lián)盟高峰論壇上，來自CSA、云計算提供商、運營商等領域的專家就云計算面臨的威脅和云安全最佳實踐等話題進行了深入探討和交流。

安全思維融入更多“云”要素

Gartner報告稱，到2014年，云計算服務將取代PC電腦。盡管這一預判看起來有些絕對，但這也反映出云計算對全球IT信息系統(tǒng)的影響之深。

用“顛覆”一詞來形容云計算帶來的影響恐不為過。正如CSA中國分會理事、啟明星辰首席戰(zhàn)略官潘柱廷所言，我們已經(jīng)進入一個新計算、新網(wǎng)絡和新數(shù)據(jù)的時代。“所謂新計算是指云計算、虛擬化和高性能計算；新數(shù)據(jù)是指大數(shù)據(jù)和社會計算數(shù)據(jù)；新網(wǎng)絡指的是移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、SDN/Openflow?！?潘柱廷認為， 隨著網(wǎng)絡及信息安全保障體系正在形成縱深、多層次的綜合防御體系，云計算模式下，新業(yè)務（包括Web 2.0、微博、SNS等）、新計算（物聯(lián)網(wǎng)、虛擬化、三網(wǎng)融合等）以及基礎技術（芯片能力、網(wǎng)絡帶寬、無線等）正在帶來新的一些變化。作為載體的互聯(lián)網(wǎng)、作為媒體的網(wǎng)站，以及作為訪問者的用戶都將受此影響，而基于這些主體的業(yè)務運行和管理也將面對新的挑戰(zhàn)。

從安全的角度看，云計算讓企業(yè)的安全問題愈發(fā)復雜，IT人員一時間難以應對自如。Gartner副總裁兼安全分析師John Pescatore指出：“企業(yè)處理云安全時應當像照顧兒童一樣小心翼翼：不能讓用戶僅僅依靠由云服務供應商提供的安全功能，高度敏感的業(yè)務數(shù)據(jù)需要更細心的呵護。”

企業(yè)為何要小心翼翼？CSA中國分會理事、綠盟科技首席戰(zhàn)略官、CSA中國分會理事趙糧認為，云計算給網(wǎng)絡安全帶來了深刻的影響，具體表現(xiàn)在三個層面：“第一，云計算作為一個新技術必然會帶來新的安全問題，產(chǎn)生新的漏洞和攻擊，網(wǎng)絡安全該如何應對這些新的攻擊；第二，云計算有其特殊的運行形態(tài)，包括虛擬化、SaaS、IaaS、PaaS等，網(wǎng)絡安全也必須隨之變革，才能夠將相關安全策略部署在虛擬化環(huán)境中；第三，云計算不僅是一項技術，更是一種思想，它給網(wǎng)絡安全帶來豐富、深刻的影響，安全廠商要充分地加以吸收，并且用來變革網(wǎng)絡安全自身。”

以硬件為中心的安全解決方案將越來越難以起效。“基于硬件設備的一次性部署的網(wǎng)絡安全措施必須改變，安全解決方案需要跟上威脅者和威脅方式的變化，安全廠商也要不斷更新知識庫?！?趙糧強調智能驅動的下一代安全架構的重要性，認為它是安全廠商應該走的發(fā)展路徑。在這個體系中，數(shù)據(jù)和基于數(shù)據(jù)的智能分析成為云安全的核心。

此外，潘柱廷認為，安全環(huán)境的變化意味著我們必須改變傳統(tǒng)的安全思維，建立新的安全思路，他提倡用Threat Case思想來考慮云安全問題，“在討論安全案例時，不僅要看到攻擊者的入侵途徑和時間，而且要有來源、目的、環(huán)境、對方的漏洞等，對此要有完整的認識”。這是因為“安全是一門高度依賴知識的技術，不管是攻擊者還是防守者，都必須要對對方的結構、人員、技術特點及防御方式有充分的了解” 。

分析模型創(chuàng)新是“利器”

在云計算時代，以智能驅動云安全的發(fā)展，已經(jīng)成為IT業(yè)界的共識。EMC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟·科維洛就曾指出，企業(yè)必須推動智能的安全模式，開展風險評估不僅是由內而外，還必須由外而內。也就是說，我們必須要對比和平衡風險的薄弱度、風險發(fā)生的概率和可能出現(xiàn)的時機，以及可能帶來的后果。但智能和全面的評估并非易事，正如啟明星辰潘柱廷所言，安全中的特征庫必須是可積累、可共享、可升級的。它的建立存在困難，“你獲取這個特征的技術復雜度要遠遠高于使用特征時的技術復雜度”。

大數(shù)據(jù)分析被認為是解決這一問題的“金鑰匙”。云時代的安全防護必須以智能的數(shù)據(jù)分析及動態(tài)更新為基礎。但是安全廠商經(jīng)常遇到的問題是：現(xiàn)有數(shù)據(jù)處理不了，想要的數(shù)據(jù)卻無從獲取。

“工欲善其事，必先利其器”。趙糧給IT人員和安全從業(yè)者的建議是：“必須立即行動，重視數(shù)據(jù)，建立或完善數(shù)據(jù)的運營體系；重視攻防建模，基于異常行為、信譽的檢測和防護方法重要性凸顯；不斷優(yōu)化數(shù)據(jù)和各種智能工具?！?/p>

安全檢測是大數(shù)據(jù)分析最主要的應用領域。在啟明星辰，安全檢測從低到高分為簡單規(guī)則檢測、單一特征檢測和高端檢測三個層次，其中高端信息安全檢測包含宏觀和微觀兩個方面。“宏觀層面，啟明星辰在宏觀態(tài)勢感知的基礎上建立全局預警系統(tǒng)；微觀層面，建立以防范APT攻擊為核心的動態(tài)預防體系?！迸酥⒈硎?，無論是宏觀態(tài)勢感知，還是動態(tài)預防體系，都需要以大數(shù)據(jù)分析為支撐，建立在其基礎之上。

將安全服務“云化”

安全思維模式的轉變不僅是為了解決問題，更能找到新的商機。云計算服務商上海優(yōu)刻得信息科技有限公司（Ucloud）CEO季昕華就看到了這一點，他認為網(wǎng)絡虛擬化給安全廠商帶來的新機會包括：“一是SDN的安全隔離；二是安全產(chǎn)品市場快速擴大，中小企業(yè)作為云服務商的主要目標用戶群，很難有大量IT支出購買安全產(chǎn)品或者進行安全評估，因此很多服務和產(chǎn)品可以整合到云計算平臺中；三是在軟件定義網(wǎng)絡、安全從產(chǎn)品向服務轉變的情況下，新的機會也將隨之出現(xiàn)，例如將SDN和入侵檢測、WAF、抗DDOS設備、動態(tài)蜜罐系統(tǒng)或取證審計系統(tǒng)相結合，未來市場潛力很大?！?/p>

近一年來，將安全作為一種云服務提供給用戶的聲音在業(yè)界不絕于耳，其好處不言而喻，將傳統(tǒng)的IT產(chǎn)品和安全服務作為一種云服務來提供，企業(yè)則不必購買硬件設施， 只需要按需調用相關服務并按需付費即可。

事實上，國外安全廠商在這方面早有嘗試，一些企業(yè)將其安全服務放在亞馬遜云平臺上售賣。在國內，將安全“云化”也給安全企業(yè)創(chuàng)造了更多商機，一些安全廠商已經(jīng)在實踐。近日，東軟集團信息安全事業(yè)部營銷中心總經(jīng)理趙鑫龍就向記者描繪了東軟的安全云戰(zhàn)略，稱未來東軟安全事業(yè)部將把自身的安全能力和資源整合起來，放在云平臺上，以整體解決方案的方式提供給用戶。

安全領域歷來以硬件產(chǎn)品銷售為主，企業(yè)IT支出的70%也花在硬件購買上。隨著云計算的逐步深入，將安全服務“云化”的市場前景可見一斑。

鏈 接

CSA更加重視亞太市場