導(dǎo)語(yǔ)：如何才能寫好一篇云計(jì)算安全體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：云計(jì)算平臺(tái) 安全體系 安全應(yīng)對(duì)

中圖分類號(hào)：TP399 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2017）01（c）-0127-02

在2012年，溫總理在召開國(guó)務(wù)院會(huì)議的時(shí)候，對(duì)信息工作進(jìn)行了闡述，并且研究了信息技術(shù)的發(fā)展趨勢(shì)及信息技術(shù)的安全問題，最終確定了信息技術(shù)工作的重點(diǎn)內(nèi)容：保障信息網(wǎng)絡(luò)的安全管理及防護(hù)。在發(fā)展迅速的社會(huì)中，云計(jì)算作為一個(gè)新型技術(shù)也在快速發(fā)展，也是我國(guó)互聯(lián)網(wǎng)今后的發(fā)展趨勢(shì)，安全問題是云計(jì)算用戶在使用過程中第一考慮的因素，云計(jì)算是否能夠?qū)崿F(xiàn)全面安全也是云計(jì)算在推廣及可持續(xù)發(fā)展中的重要因素。

1 云計(jì)算平臺(tái)體系分析

云計(jì)算平臺(tái)詳見圖1[1]，從圖1中可以看出云計(jì)算平臺(tái)安全體系由兩部分組成，分別是基礎(chǔ)設(shè)備及遠(yuǎn)程終端，運(yùn)程終端又包含計(jì)算終端和智能終端。基礎(chǔ)設(shè)備包含虛擬化層、維護(hù)管理層、平臺(tái)服務(wù)層、軟件服務(wù)層及基礎(chǔ)支撐組成。

2 云計(jì)算平臺(tái)安全分析

自從虛擬化、多租戶等全新的技術(shù)引入云計(jì)算平臺(tái)中，云計(jì)算平臺(tái)的安全特點(diǎn)就有：其一，由于云計(jì)算平臺(tái)中的用戶多種，就要保障云計(jì)算平臺(tái)的服務(wù)可以永續(xù)性；其二，云計(jì)算平臺(tái)中有多種信息，就要保障云計(jì)算平臺(tái)中的數(shù)據(jù)安全；其三，云計(jì)算平臺(tái)是為用戶提供不同的服務(wù)，就要保障各用戶之間的安全及運(yùn)行環(huán)境的安全；其四，不同等級(jí)對(duì)云計(jì)算平臺(tái)中的安全需求是不同的，就要保障虛擬機(jī)之間的安全。

2.1 虛擬化安全

虛擬化層的安全隱患主要有5個(gè)方面：其一，虛擬機(jī)的監(jiān)控漏洞，對(duì)方往往會(huì)利用漏洞攻擊云計(jì)算平臺(tái)；其二，沒有對(duì)鏡像及快照文件實(shí)施保護(hù)，此方面的安全性關(guān)乎到鏡像后，使用用戶信息的安全性；其三，虛擬機(jī)在工作的時(shí)候，會(huì)由于本身的負(fù)載失衡或者自身存在的安全問題等多方面因素，在虛擬機(jī)向物理機(jī)移動(dòng)的過程中，可能會(huì)存在數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)；其四，隨著云計(jì)算的不斷進(jìn)步，傳統(tǒng)對(duì)流量監(jiān)控的手段已經(jīng)滿足不了虛擬機(jī)網(wǎng)絡(luò)流量監(jiān)控需求，這就造成對(duì)虛擬流量監(jiān)控方面非常困難；其五，傳統(tǒng)的審計(jì)宿主機(jī)的方式已經(jīng)不適用于審計(jì)虛擬主機(jī)的方式，這就造成對(duì)虛擬機(jī)審計(jì)方面的監(jiān)管較為困難。

信息資源存儲(chǔ)方面的安全風(fēng)險(xiǎn)主要類似于SAN技術(shù)的虛擬化存儲(chǔ)技術(shù)方面的安全問題，包括虛擬化存儲(chǔ)設(shè)備中的軟件/硬件問題和信息在網(wǎng)絡(luò)中的接受和傳送等安全問題。

2.2 數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)的安全隱患主要有3個(gè)方面：其一，用戶將數(shù)據(jù)信息存放到云端中，數(shù)據(jù)信息沒有較好的安全性及完成性，就會(huì)對(duì)其造成安全風(fēng)險(xiǎn)，這也是由于用戶對(duì)數(shù)據(jù)信息沒有一個(gè)較好的管理程度；其二，在模擬多租戶的背景下，用戶可以實(shí)現(xiàn)資源共享及計(jì)算，在此過程中切換用戶的時(shí)候，用戶在資源共享的數(shù)據(jù)信息就有可能泄露，以此對(duì)其造成風(fēng)險(xiǎn)；其三，由于是模擬多租戶的環(huán)境，所以傳統(tǒng)的審計(jì)數(shù)據(jù)沒有辦法滿足云端審計(jì)數(shù)據(jù)的需求。

2.3 基礎(chǔ)軟/硬件安全

在云計(jì)算平臺(tái)安全體系中，要密切注意存在軟/硬件中的預(yù)埋后門風(fēng)險(xiǎn)、（芯片、CPU等）硬件風(fēng)險(xiǎn)、（應(yīng)用軟件、開發(fā)軟件、開發(fā)工具等）軟件風(fēng)險(xiǎn)。

2.4 終端安全

在云計(jì)算平臺(tái)中，由于終端具有不同的設(shè)備及不同的類別，這就大大加強(qiáng)了對(duì)接入和認(rèn)證控制方面的難度。另外終端和服務(wù)器之間主要是對(duì)鍵盤、圖形、鼠標(biāo)、輸入/輸出信號(hào)等信息進(jìn)行傳輸，除了對(duì)遠(yuǎn)程連接方面有安全協(xié)議，對(duì)于其他符合國(guó)家密碼法的信息傳輸?shù)确矫娌]有制定保護(hù)措施或者安全協(xié)議，這造成了這方面存在被修改、竊聽等安全問題。同時(shí)終端還具有計(jì)算和緩存功能，在進(jìn)行信息加密傳輸?shù)倪^程中，就不能確定信息是否被緩存保存，這就使信息有泄露安全風(fēng)險(xiǎn)。

2.5 Paas和SaaS運(yùn)行安全

云計(jì)算平臺(tái)中的管理員有存儲(chǔ)、緩存、計(jì)算等權(quán)利，這就會(huì)造成云計(jì)算管理員權(quán)利受到他方控制的安全隱患。其次在Paas和SaaS運(yùn)行的過程中，各租戶與各租戶之間及各租戶與基礎(chǔ)設(shè)備之間并沒有科學(xué)有效的訪問及隔離控制手段，這就可能會(huì)使各租戶或者基礎(chǔ)設(shè)備造成他方對(duì)其的肆意破壞及攻擊等安全風(fēng)險(xiǎn)。最后在虛擬化背景下，相同的物理服務(wù)器中的節(jié)點(diǎn)具有不同的虛擬服務(wù)器，所以對(duì)兩者的區(qū)分會(huì)有較大的難度，這就造成有多種安全保護(hù)的用戶會(huì)受到訪問限制等一系列的挑戰(zhàn)[2]。

3 云計(jì)算平臺(tái)安全應(yīng)對(duì)措施

針對(duì)云計(jì)算平臺(tái)中虛擬化安全、數(shù)據(jù)存儲(chǔ)安全、基礎(chǔ)軟/硬件安全、終端安全及Paas和SaaS運(yùn)行安全，應(yīng)該采取以下措施，以此使云計(jì)算平臺(tái)可以有一個(gè)安全的運(yùn)行環(huán)境。

3.1 虛擬化安全應(yīng)對(duì)措施

虛擬化存在5種安全隱患，所以也要有5種應(yīng)對(duì)措施。其一，要定期對(duì)云計(jì)算平臺(tái)進(jìn)行漏洞風(fēng)險(xiǎn)掃描、修復(fù)、升級(jí)等，及時(shí)發(fā)現(xiàn)漏洞并且及時(shí)對(duì)其進(jìn)行解決；其二，對(duì)于鏡像、快照文件進(jìn)行加密存儲(chǔ)，保障其是完整且具有機(jī)密性的；其三，可以在虛擬機(jī)向物理機(jī)移動(dòng)的過程中進(jìn)行加密技術(shù)或者限制權(quán)限等技術(shù)，防止其中的文件、信息等被惡意篡改和非法訪問等；其四，可以在虛擬網(wǎng)絡(luò)流量監(jiān)控中使用虛擬標(biāo)記和審計(jì)措施，實(shí)現(xiàn)對(duì)其的實(shí)施監(jiān)控；其五，首先要全面了解虛擬化環(huán)境中的審計(jì)監(jiān)管，對(duì)于虛擬化網(wǎng)絡(luò)及虛擬化硬件資源方面采取細(xì)致的審計(jì)措施，保障對(duì)虛擬機(jī)的監(jiān)控是實(shí)時(shí)且有效的。

3.2 數(shù)據(jù)存儲(chǔ)安全應(yīng)對(duì)措施

數(shù)據(jù)存儲(chǔ)中存在安全隱患，所以也要采取3種應(yīng)對(duì)措施。其一，使用數(shù)據(jù)加密或者磁盤加密等加密措施，使云計(jì)算平臺(tái)中存儲(chǔ)的數(shù)據(jù)具有完整性及機(jī)密性；其二，對(duì)于數(shù)據(jù)的殘留，可以對(duì)其進(jìn)行銷毀，有效地整理數(shù)據(jù)，使數(shù)據(jù)不被泄露；其三，提高數(shù)據(jù)處理、使用、銷毀的周期，為之后的數(shù)據(jù)審計(jì)打下良好基礎(chǔ)。

3.3 基礎(chǔ)軟/硬件安全應(yīng)對(duì)措施

對(duì)于軟/硬件后門風(fēng)險(xiǎn)，可以使用國(guó)產(chǎn)CPU、芯片或者國(guó)產(chǎn)化的軟件來(lái)研究及開發(fā)云計(jì)算平臺(tái)，防止軟/硬件安全隱患的發(fā)生。

3.4 終端安全應(yīng)對(duì)措施

首先可以對(duì)終端進(jìn)行統(tǒng)一有效的接入授權(quán)，然后針對(duì)終端在傳輸過程中發(fā)生的泄露信息的風(fēng)險(xiǎn)，對(duì)遠(yuǎn)程傳輸協(xié)議實(shí)施安全加固，使用國(guó)家規(guī)定的密碼算法對(duì)信息傳輸進(jìn)行保護(hù)，使其具有完整性及機(jī)密性。最后可以使用物理斷電對(duì)終端中殘留的敏感信息進(jìn)行清理，使信息徹底消除，降低信息泄露風(fēng)險(xiǎn)。

3.5 Paas和SaaS運(yùn)行安全應(yīng)對(duì)措施

首先可以對(duì)云計(jì)算平臺(tái)中的管理員及虛擬機(jī)的管理員進(jìn)行控制和分配權(quán)限。其次使用虛擬機(jī)隔離、進(jìn)程隔離等隔離方式對(duì)各租戶之間進(jìn)行有效隔離，限制各租戶之間的訪問，降低各租戶的信息泄露風(fēng)險(xiǎn)。最后可以重新構(gòu)建安全芯片，使用密碼隔離對(duì)同一物理機(jī)上存在的風(fēng)險(xiǎn)進(jìn)行安全隔離[3]。

4 結(jié)語(yǔ)

隨著云計(jì)算技術(shù)的不斷發(fā)展，被廣泛運(yùn)用到我國(guó)各行各業(yè)中，云計(jì)算技術(shù)也改變著我們的日常生活。云計(jì)算平臺(tái)在發(fā)展的過程中也會(huì)面臨著不同的安全問題，所以就要對(duì)這些問題制定相應(yīng)的措施，這也是使云計(jì)算技術(shù)可持續(xù)發(fā)展的有效途徑。

參考文獻(xiàn)

[1] 徐宗標(biāo).云計(jì)算平臺(tái)安全體系及應(yīng)對(duì)措施[J].電信技術(shù)， 2014（2）：36-39.

篇2

關(guān)鍵詞:云計(jì)算;無(wú)線局域網(wǎng);WPA;PSK

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)33-9611-04

Cloud Computing and Research of WPA Security

WANG Jian1, FANG Hong-ying2

(1.College of Computer Science and Technology,Chongqing University of Posts and Telecoms,Chongqing 400065, China; 2.College of Science,Chongqing Jiaotong University,Chongqing 400074, China)

Abstract: The WLAN with wireless channel for the transmission medium widely applied to the domain needing for removable data processing or unable to cabling with physics transmission medium. But its open characteristic causes wiretapping,identity threats, and so on counterfeiting and tampering of information are actually ubiquitous. The IEEE 802.11 proposes a series of safety mechanism to solves these Safety potential, as identification authentication and the data encryption and so on. But along with cloud computation, facing the super-computing platform, computing hundreds of millions of times per second, the encryption protocol in WLAN became frail at present. In this paper based on the WLAN WPA encryption, a detailed analysis of cloud computing to WLAN security challenges will be discussed, finally the experimental data will prove the authenticity and severity of such security threat.

Key words: cloud computing; WLAN; WPA; PSK

無(wú)線局域網(wǎng)(Wireless Local Area Network,WLAN)作為有線聯(lián)網(wǎng)方式的補(bǔ)充和延伸,逐漸成為計(jì)算機(jī)網(wǎng)絡(luò)中一個(gè)至關(guān)重要的組成部分。WLAN以無(wú)線信道作傳輸媒介,廣泛適用于需要可移動(dòng)數(shù)據(jù)處理或無(wú)法進(jìn)行物理傳輸介質(zhì)布線的領(lǐng)域。

無(wú)線媒介具有開放性特點(diǎn),但它要求比有線網(wǎng)絡(luò)更嚴(yán)格的安全措施。雖然WLAN規(guī)范的標(biāo)準(zhǔn)化,使無(wú)線網(wǎng)絡(luò)技術(shù)變得成熟與完善,但竊聽、身份假冒和信息篡改[1]等威脅卻無(wú)處不在。為了解決這些安全隱患,IEEE 802.11協(xié)議提出了一系列安全機(jī)制,來(lái)實(shí)現(xiàn)身份驗(yàn)證和數(shù)據(jù)加密。但是隨著云計(jì)算的提出,面對(duì)每秒數(shù)億次的超級(jí)計(jì)算平臺(tái),目前WLAN中的加密協(xié)議顯得來(lái)力不從心。本文以WLAN中最常用的WPA加密協(xié)議為例,詳細(xì)分析云計(jì)算對(duì)無(wú)線局域網(wǎng)安全帶來(lái)的挑戰(zhàn)。

1 云計(jì)算

云計(jì)算(Cloud Computing)是分布式計(jì)算技術(shù)的一種,其最基本的概念,是透過網(wǎng)絡(luò)將龐大的計(jì)算處理程序自動(dòng)分拆成無(wú)數(shù)個(gè)較小的子程序,再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計(jì)算分析之后將處理結(jié)果回傳給用戶。透過這項(xiàng)技術(shù),網(wǎng)絡(luò)服務(wù)提供者可以在數(shù)秒之內(nèi),達(dá)成處理數(shù)以千萬(wàn)計(jì)甚至億計(jì)的信息,達(dá)到和“超級(jí)計(jì)算機(jī)”同樣強(qiáng)大效能的網(wǎng)絡(luò)服務(wù)――維基百科(Wikipedia)。

1.1 云計(jì)算的原理

云計(jì)算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計(jì)算(Grid Computing)的發(fā)展。其原理是,通過使計(jì)算分布在大量的分布式計(jì)算機(jī)上,而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中,企業(yè)數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上,根據(jù)需求訪問計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。云計(jì)算具有綜合利用網(wǎng)絡(luò)上的軟件和數(shù)據(jù)的能力,把計(jì)算資源和存儲(chǔ)資源聯(lián)合起來(lái),供每一個(gè)成員使用。

1.2 云計(jì)算的特征

云計(jì)算[2]是“海量存儲(chǔ)”和“高性能計(jì)算服務(wù)”的高度融合。高性能計(jì)算服務(wù)(云計(jì)算)部署依賴于計(jì)算機(jī)集群,也吸收了自主計(jì)算和效用計(jì)算的特點(diǎn);海量存儲(chǔ)(Cloud Storage,云存儲(chǔ))是一種將數(shù)據(jù)保存在虛擬存儲(chǔ)池上的實(shí)現(xiàn)方式,數(shù)據(jù)獨(dú)立存儲(chǔ),而非與計(jì)算部件共享服務(wù)器上。

從事云計(jì)算服務(wù)研究的結(jié)構(gòu)眾多,包括Wikipedia,Google,Microsoft,Garmer和Forrester等,它們依據(jù)各自的利益和不同的研究視角給出了對(duì)云計(jì)算不同的的定義和理解。但是無(wú)論廣義的還是狹義的云計(jì)算,均具有如下特征:快速部署資源或獲得服務(wù);按需擴(kuò)展和使用;可以按使用量計(jì)費(fèi);通過網(wǎng)絡(luò)提供服務(wù)。

1.3 云計(jì)算為安全帶來(lái)的好處[3]

1) 數(shù)據(jù)集中存儲(chǔ):數(shù)據(jù)的集中存儲(chǔ)減少了數(shù)據(jù)泄露的可能性,可靠的安全監(jiān)測(cè)提供可靠的實(shí)時(shí)安全保障,用戶的存儲(chǔ)成本也大大降低。

2) 事件快速反應(yīng):事件的快速反應(yīng)是指云計(jì)算縮短了服務(wù)時(shí)間,降低了服務(wù)器出錯(cuò)概率,使服務(wù)更有針對(duì)性。

3) 密碼可靠性測(cè)試:如果用戶需要使用密碼破解工具定期對(duì)密碼強(qiáng)度進(jìn)行測(cè)試,那么可以使用云計(jì)算減少密碼破解時(shí)間,并更能保證密碼強(qiáng)度的可靠性。

4) 無(wú)限期日志:在云存儲(chǔ)模式下,如果磁盤空間不足,可以重新分配,并不會(huì)影響日志的存儲(chǔ)使用,而且沒有日期限制。完善日志索引機(jī)制提供實(shí)時(shí)索引功能。

5) 提升安全軟件的性能:在云計(jì)算中,出現(xiàn)了越來(lái)越多的高性能安全軟件,也可以在某種程度上說(shuō),云帶來(lái)了安全產(chǎn)品的整體提升。

6) 可靠的構(gòu)造:通過預(yù)控制機(jī)制減少漏洞,同時(shí)更容易檢測(cè)到安全狀況,有助于構(gòu)造出更安全的工作環(huán)境。

7) 安全性測(cè)試:降低安全測(cè)試成本,節(jié)省昂貴的安全性測(cè)試費(fèi)用。通過云計(jì)算還可以在潛在成本規(guī)模經(jīng)濟(jì)下開發(fā)產(chǎn)品。

2 云計(jì)算對(duì)無(wú)線網(wǎng)絡(luò)安全的挑戰(zhàn)[4]

無(wú)線局域網(wǎng)(WLAN)是一種利用無(wú)線技術(shù)、實(shí)現(xiàn)局域網(wǎng)功能的技術(shù)。相對(duì)于有線通信技術(shù)而言,無(wú)線傳輸媒體的開放性導(dǎo)致監(jiān)聽變得無(wú)處不在。因此,IEEE 802.11-1999標(biāo)準(zhǔn)中提出了一系列技術(shù),希望從認(rèn)證、加密和數(shù)據(jù)的完整性三方面為數(shù)據(jù)傳輸提供安全保障。

2.1 WEP協(xié)議

WEP(Wired Equivalent Privacy,有線等效加密)[5]安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。RC4加密算法是RSA Security的Ron Rivest在1987年設(shè)計(jì)的密鑰長(zhǎng)度可變的流加密算法簇。該算法具有很高級(jí)別的非線性,其速度可以達(dá)到DES加密的10倍。

WEP協(xié)議的安全性取決于密鑰及其不被發(fā)現(xiàn)的能力。研究表明RC4算法中如果用相同的初始化向量和密鑰加密兩條消息,那么流密碼容易受到攻擊:因?yàn)槿绻麑?duì)相同密鑰流加密的密文進(jìn)行XOR運(yùn)算,那么密鑰流將互相抵消而保留兩條明文的XOR結(jié)果。攻擊者也可能查找某一已知明文,并可以用它對(duì)兩條明文的XOR結(jié)果再作XOR運(yùn)算來(lái)計(jì)算另一條明文的內(nèi)容。歸結(jié)WEP協(xié)議的弱點(diǎn)如表1所示,其今天的地位只能說(shuō)是說(shuō)有勝于無(wú)了。

2.2 WPA協(xié)議

WPA(Wi-Fi Protected Access)是另一種保護(hù)無(wú)線局域網(wǎng)安全的技術(shù),它有針對(duì)性的解決了WEP中的幾個(gè)嚴(yán)重的弱點(diǎn)[6]。

從表2可以看出WPA在安全方面進(jìn)行了如下革新:身份驗(yàn)證機(jī)制杜絕了偽鏈接攻擊;增強(qiáng)至48Bits的IV加上Sequence Counter機(jī)制防止IV 重復(fù);MIC信息編碼完整性機(jī)制,使得要偽造一個(gè)合法數(shù)據(jù)包變得異常的困難;Per-Packet Key加密機(jī)制,讓每個(gè)包都使用不同的key加密;Dynamic key management,動(dòng)態(tài)key管理機(jī)制,為密碼的安全提供保障。

目前使用的WPA有普通WPA 和WPA2(802.11i)兩個(gè)標(biāo)準(zhǔn)。其區(qū)別在于數(shù)據(jù)加密算法(TKIP、AES)和數(shù)據(jù)完整性校驗(yàn)算法(MIC、CCMP)的不同,如表3所示。

在WPA/WPA2中和密碼相關(guān)的信息有加密數(shù)據(jù)包和身份認(rèn)證數(shù)據(jù)。通過分析TKIP和AES可以得出,由于無(wú)法知道明文,要通過捕獲足夠的加密數(shù)據(jù)包從而找到可以攻擊的信息很難實(shí)現(xiàn)。那么破解的突破口就在于WPA/WPA2的身份認(rèn)證過程。

WPA/WPA2分為兩種認(rèn)證方式:802.1x (基于端口的網(wǎng)絡(luò)接入控制)+ EAP(擴(kuò)展認(rèn)證協(xié)議)模式,是一種工業(yè)級(jí)的身份認(rèn)證體系,需要架設(shè)專用的認(rèn)證服務(wù)器(如Radius);Pre-shared Key (PSK,預(yù)共用密鑰)模式,是設(shè)計(jì)給負(fù)擔(dān)不起 802.1x 驗(yàn)證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)用的。針對(duì)前者的攻擊代價(jià)太高,目前主要的破解行為都集中在PSK模式上。

2.2.1 預(yù)共用密鑰(Pre-shared Key,PSK)

PSK的認(rèn)證過程包含STA(Station,客戶端)與AP(access point)間的四次握手(Four-Way Handshake),如圖1所示。

2.4.1 WPA-PSK 初始化工作

使用 SSID 和passphares使用以下算法產(chǎn)生PSK 在WPA-PSK 中PMK=PSK

PSK=PMK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096)

1) 第一次握手

AP:廣播SSID、AP_MAC到STA。

STA:使用接收到的SSID,AP_MAC和passphares計(jì)算出PSK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096);且PMK=PSK。

2) 第二次握手

STA:發(fā)送一個(gè)隨機(jī)數(shù)SNonce,STA_MAC到AP。

AP端:接收到SNonce,STA_MAC后產(chǎn)生一個(gè)隨機(jī)數(shù)Anonce;然后用PMK,AP_MAC,STA_MAC,SNonce,ANonce 產(chǎn)生PTK=SHA1_PRF(PMK, Len(PMK), "Pairwise key expansion",MIN(AP_MAC,STA_MAC) ||Max(AP_MAC,STA_MAC) || Min(Anonce,SNonce) || Max(Anonce,SNonce));提取這個(gè)PTK 前16Bytes組成一個(gè)MIC KEY。

3) 第三次握手

AP:發(fā)送上面產(chǎn)生的Anonce到STA。

STA:用接收到ANonce 和以前產(chǎn)生PMK,SNonce,AP_MAC,STA_MAC用同樣的算法產(chǎn)生PTK;提取這個(gè)PTK 前16Bytes組成一個(gè)MIC KEY;使用以下算法產(chǎn)生MIC = HMAC_MD5(MIC Key,16,802.1x data),其中802.1x data 是802.1x 數(shù)據(jù)幀。

4) 第四次握手

STA:用上面那個(gè)準(zhǔn)備好的802.1x 數(shù)據(jù)幀在最后填充上MIC值和兩個(gè)字節(jié)的0(十六進(jìn)制),然后發(fā)送這個(gè)數(shù)據(jù)幀到AP。

AP:收到這個(gè)數(shù)據(jù)幀后提取這個(gè)MIC,并把這個(gè)數(shù)據(jù)幀的MIC部分都填上0(十六進(jìn)制),這時(shí)用這個(gè)802.1x data 數(shù)據(jù)幀,和用上面AP產(chǎn)生的MIC KEY 使用同樣的算法得出MIC’;如果MIC’等于STA發(fā)送過來(lái)的MIC。那么第四次握手成功,若不等說(shuō)明則AP 和STA的密鑰不相同,或STATION 發(fā)過來(lái)的數(shù)據(jù)幀受到過中間人攻擊,原數(shù)據(jù)被篡改過。握手失敗了。

2.2.2 PSK的破解

雖然PSK安全體系是十分完善的,但自始至終是一個(gè)靠密鑰保護(hù)的系統(tǒng),密鑰成為了系統(tǒng)的關(guān)鍵點(diǎn),也是威脅安全的失效點(diǎn)。

圖1中很清楚的表明,在四次握手中主要傳遞的有如下數(shù)據(jù):SSID,AP_MAC,STA_MAC,SNonce,ANonce,802.1x data,MIC。前面6 個(gè)元素很清楚,不跟密鑰有聯(lián)系,只有最后一個(gè)MIC和密碼有所聯(lián)系。MIC是通過上面六個(gè)信息元素和密碼通過三個(gè)主要的算法計(jì)算出來(lái)的。理論上說(shuō)只要找到這三個(gè)算法的逆反算法就可以根據(jù)上面的7個(gè)信息元素把密碼計(jì)算出來(lái)了呢。但是事與愿違的是pdkdf2_SHA1,SHA1_PRF,HMAC_MD5這三個(gè)函數(shù)都是HASH(散列) 函數(shù)。眾所周知,HASH函數(shù)幾乎都不存在反函數(shù),因此唯一可行的就是建立字典(Hash Tables)進(jìn)行攻擊。

1) 字典法

字典法,又叫窮舉法、遍歷法。首先把可能的密鑰羅列起來(lái)組成一個(gè)密碼字典。然后采用待破解系統(tǒng)相同的加密過程(加密算法和步驟)依次計(jì)算出每一個(gè)密鑰的密文值與現(xiàn)有密文值進(jìn)行比較,嘗試猜解密碼;也可以依次將字典中的每一個(gè)密鑰導(dǎo)入待破解系統(tǒng),在線驗(yàn)證密碼。

PSK密鑰規(guī)范規(guī)定:可以采取HEX和ASCII模式做密鑰,最多64Bytes,符號(hào)包括字母和數(shù)字。那么可是使用的字符個(gè)數(shù)為95個(gè),密碼空間為9564。這超乎想象的密碼空間是目前任何計(jì)算機(jī)系統(tǒng)都無(wú)法勝任的。

2) 弱口令字典[7]

弱口令是一個(gè)相對(duì)的概念,指的是密鑰空間中很有希望破解的那部分。由此構(gòu)成的字典被稱為弱口令字典。考慮到現(xiàn)實(shí)生活中人們?cè)O(shè)置密鑰的習(xí)慣,常見的弱口令字典包括:社會(huì)工程學(xué)的弱口令;有一定聯(lián)系性規(guī)律性弱口令;暴露過的強(qiáng)口令。

3) 內(nèi)存-時(shí)間平衡(Time-Memory Trade-Offs)法[8]

單純地使用字典,采用和目標(biāo)同等算法破解,其速度其實(shí)是非常緩慢的,就效率而言根本不能滿足實(shí)戰(zhàn)需要。如果能夠?qū)崿F(xiàn)直接建立出一個(gè)數(shù)據(jù)文件,里面事先記錄了采用和目標(biāo)采用同樣算法計(jì)算后生成的Hash值,在需要破解的時(shí)候直接調(diào)用這樣的文件進(jìn)行比對(duì),破解效率就可以大幅度地,這一方法還可以依托大型數(shù)據(jù)庫(kù)進(jìn)行文本匹配,從而更加速了解密的進(jìn)程。由于這種方法意味著使用大量?jī)?nèi)存的能夠減少破解密碼所需要的時(shí)間,由此被稱作“內(nèi)存-時(shí)間平衡法”。而事先構(gòu)造的Hash數(shù)據(jù)文件在安全界被稱之為Table表(文件)。

2.2.3 云計(jì)算構(gòu)建PSK Hash Tables

在“內(nèi)存-時(shí)間平衡”法和弱口令字典的基礎(chǔ)之上,可以開始構(gòu)建跟PSK解密相關(guān)的Hash表了。所采用的方法即前文所述的Four-Way Handshake,涉及到的函數(shù)包括pdkdf2_SHA1、SHA1_PRF、HMAC_MD5。目的是將弱口令字典中的每一個(gè)密鑰(MK)通過pdkdf2_SHA1計(jì)算出PMK(即PSK),再通過SHA1_PRF函數(shù)計(jì)算該P(yáng)MK對(duì)應(yīng)的PTK,最終將原始的MK和生成的PTK對(duì)存入PSK Hash Tables備用。

云計(jì)算中軟件即服務(wù)(SaaS)的收費(fèi)服務(wù)理念在分布式構(gòu)建PSK Hash Tables時(shí)非常有效。全球每一個(gè)用戶既可以在PSK云計(jì)算平臺(tái)中將自己計(jì)算機(jī)空閑資源共享出來(lái),通過分布式計(jì)算為PSK Hash Tables添磚加瓦,從而按計(jì)算量獲取報(bào)酬;又可以享受在擁有被攻擊對(duì)象PTK的情況下,高速查詢?cè)济荑€的服務(wù),一切只需要付費(fèi)即可。

以由1000臺(tái)計(jì)算機(jī)構(gòu)成的PSK云計(jì)算平臺(tái)為例,計(jì)算PSK Hash Tables的時(shí)間減少為原來(lái)的1/1000。通過該云計(jì)算平臺(tái),可以將以前的100~300 key/s的單機(jī)破解速率,提升到30000~100000 key/s,破解效率提升了近300~1000倍。綜合所述,這個(gè)破解PSK密鑰的速度提高了106倍。

2.2.4 現(xiàn)狀

國(guó)外高級(jí)安全機(jī)構(gòu)(如churchofwifi、shmoo等),也已經(jīng)建立了高達(dá)500G的詳盡WPA/WPA2攻擊Hash Tables庫(kù),并將一些基本完善的PSK Hash Tables公開出售,這使得普通電腦在5分鐘內(nèi)破解14位長(zhǎng)足夠復(fù)雜的PSK帳戶密碼成為現(xiàn)實(shí)。

4 結(jié)論

該文研討了云計(jì)算對(duì)無(wú)線網(wǎng)絡(luò)安全帶來(lái)的挑戰(zhàn),充分展現(xiàn)了“云計(jì)算”+“內(nèi)存-時(shí)間平衡法”的高效性。

安全研究是把雙刃劍,既可能對(duì)系統(tǒng)造成破壞,使用得當(dāng)也可以預(yù)測(cè)和避免網(wǎng)絡(luò)威脅。安全領(lǐng)域中,云計(jì)算可用于:加密算法強(qiáng)度評(píng)估;無(wú)限期日志;可靠性測(cè)試; 安全性測(cè)試等方面。

參考文獻(xiàn):

[1] 張豐翼,劉曉寒,馬文平,王新梅.無(wú)線局域網(wǎng)安全的關(guān)鍵問題[J].信息安全與通信保密,2004(5):34-37.

[2] 顧理琴.淺談云計(jì)算(Cloud Computing)--未來(lái)網(wǎng)絡(luò)趨勢(shì)技術(shù)[J].電腦知識(shí)與技術(shù),2008(S2):11-12.

[3] 編者.云計(jì)算為安全帶來(lái)的七大利好[J].計(jì)算機(jī)與網(wǎng)絡(luò),2008(17):37-38.

[4] 謝四江,馮雁.淺析云計(jì)算與信息安全[J].北京電子科技學(xué)院學(xué)報(bào),2008(4):1-3.

[5] Matthew Gast.802.11?R Wireless Networks The Definitive Guide [M].2nd ed.Sebastopol,CA:O'Reilly Media,Inc,2005.

[6] 孫宏,楊義先.無(wú)線局域網(wǎng)協(xié)議802.11安全性分析[J].電子學(xué)報(bào),2003(7):1098-1100.

篇3

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，信息傳播速率不斷提高，給人們的社會(huì)生活帶來(lái)了巨大的改變，信息技術(shù)深入滲透人們社會(huì)生活的方方面面。近年來(lái)，云計(jì)算概念開始迅速崛起，并上升為我國(guó)的國(guó)家信息戰(zhàn)略的重要組成部分。伴隨云計(jì)算的運(yùn)用，其面對(duì)的網(wǎng)絡(luò)信息安全問題也開始越來(lái)越受到關(guān)注。本文通過對(duì)云計(jì)算的原理及特點(diǎn)進(jìn)行分析，提出應(yīng)該充分重視云計(jì)算環(huán)境下的信息安全，采用科學(xué)有效的手段進(jìn)行信息安全防護(hù)，促進(jìn)云計(jì)算網(wǎng)絡(luò)的健康發(fā)展。

【關(guān)鍵詞】

云計(jì)算；互聯(lián)網(wǎng)；信息安全；云服務(wù)

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息傳播給人們的社會(huì)生活的方方面面帶來(lái)了巨大的改變。在網(wǎng)絡(luò)發(fā)展的過程中，云計(jì)算概念開始誕生，并快速發(fā)展。但是相伴而生的網(wǎng)絡(luò)安全問題也開始浮現(xiàn)，如數(shù)據(jù)存儲(chǔ)由云服務(wù)商統(tǒng)一管理后容易發(fā)生身份信息泄露等諸多問題，所以構(gòu)建科學(xué)有效的信息安全防護(hù)方案，勢(shì)在必行。

1云計(jì)算的原理剖析及特點(diǎn)研究

1．1原理剖析

云計(jì)算，是通過網(wǎng)絡(luò)計(jì)算技術(shù)和多種處理技術(shù)構(gòu)建的一種新型計(jì)算模式，其通過建設(shè)新型信息共享構(gòu)架，滿足大批量的數(shù)據(jù)存儲(chǔ)和一定范圍的網(wǎng)絡(luò)功能服務(wù)。云計(jì)算是利用互聯(lián)網(wǎng)作為載體實(shí)現(xiàn)多種方法的計(jì)算并最終完成相關(guān)服務(wù)的。通常意義上來(lái)說(shuō)，用戶獲取信息服務(wù)和相關(guān)計(jì)算，只需要在操作過程中運(yùn)用相同的服務(wù)器就可以完成相應(yīng)操作，但是高質(zhì)量的運(yùn)算必須利用互聯(lián)網(wǎng)才能實(shí)現(xiàn)。為了提高使用效率和提高服務(wù)質(zhì)量，高效利用互聯(lián)網(wǎng)進(jìn)行相關(guān)資料的統(tǒng)計(jì)和處理，使更多用戶獲得從企業(yè)數(shù)據(jù)處理中心提供的服務(wù)，實(shí)現(xiàn)較好的操作性，就必須云計(jì)算的分布模式進(jìn)行利用。

1．2特點(diǎn)研究

通常來(lái)說(shuō)，云計(jì)算具備以下四個(gè)方面的優(yōu)點(diǎn):第一，云計(jì)算具有超大范圍的資源共享能力，其擺脫了利用軟件完成資源共享的依賴。第二，云計(jì)算具備特殊配置部署能夠更好地滿足用戶的個(gè)性化訪問需求。第三，云計(jì)算具備良好的拓展性，為大規(guī)模的信息集群的開展提供了堅(jiān)實(shí)的基礎(chǔ)。第四，云計(jì)算具備強(qiáng)大的自動(dòng)化的忽略錯(cuò)誤節(jié)點(diǎn)能力，可以保障程序的穩(wěn)定運(yùn)行，而不受大量節(jié)點(diǎn)失效的影響。與此同時(shí)，目前的云計(jì)算也存在兩個(gè)缺點(diǎn)。首先，傳統(tǒng)業(yè)務(wù)的過渡處理存在缺陷，容易引發(fā)壟斷問題。其次，云計(jì)算安全性防范系統(tǒng)的薄弱極為容易引發(fā)信息安全問題，帶來(lái)信息服務(wù)質(zhì)量下降。目前云計(jì)算存在常見安全問題主要有網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)病毒等問題，這些問題影響著云計(jì)算技術(shù)的發(fā)展，必須找到科學(xué)有效的解決方案，才能確保云計(jì)算技術(shù)的健康發(fā)展。

2云計(jì)算環(huán)境下多種網(wǎng)絡(luò)安全問題

2．1計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全問題

云計(jì)算面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要包括網(wǎng)絡(luò)硬件故障，網(wǎng)絡(luò)管理操作錯(cuò)誤等問題。眾所周知，網(wǎng)絡(luò)是軟硬件構(gòu)成的智能系統(tǒng)，軟件的運(yùn)行錯(cuò)誤和硬件的故障都可能帶來(lái)安全問題，甚至自然性災(zāi)害都可能讓危及計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全。在云計(jì)算環(huán)境下，數(shù)據(jù)處理往往采用集中式處理方法，其對(duì)使用環(huán)境的安全性要求較高，因此計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全性對(duì)云計(jì)算的網(wǎng)絡(luò)安全至關(guān)重要。

2．2數(shù)據(jù)存儲(chǔ)的安全問題

作為計(jì)算機(jī)網(wǎng)絡(luò)健康穩(wěn)定運(yùn)行的前提條件，數(shù)據(jù)存儲(chǔ)安全十分重要。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，相關(guān)數(shù)據(jù)存儲(chǔ)通常采用單機(jī)運(yùn)行，數(shù)據(jù)儲(chǔ)存安全性較高。但是在云計(jì)算環(huán)境下，存儲(chǔ)由服務(wù)商統(tǒng)一管理，數(shù)據(jù)村粗的安全性就取決于服務(wù)商的技術(shù)水平和誠(chéng)信度。作為威脅數(shù)據(jù)通信安全的關(guān)鍵環(huán)節(jié)，數(shù)據(jù)的傳輸過程極為容易受到安全威脅，如實(shí)行DDOS攻擊，此外，還可以利用系統(tǒng)入侵和篡改數(shù)據(jù)來(lái)破壞數(shù)據(jù)信息。

2．3虛擬環(huán)境的安全問題

基于云計(jì)算環(huán)境的虛擬服務(wù)環(huán)境是建立在對(duì)現(xiàn)階段網(wǎng)絡(luò)資源的全面整合之上的。在云計(jì)算環(huán)境下，用戶獲取數(shù)據(jù)來(lái)自于云端，“臨時(shí)租用式”地獲取服務(wù)，這樣可以使網(wǎng)絡(luò)資源得以高效利用。然而云計(jì)算環(huán)境的本質(zhì)是屬于高度整合的虛擬網(wǎng)絡(luò)環(huán)境，其相關(guān)安全措施并不完善，傳統(tǒng)的網(wǎng)絡(luò)防范技術(shù)很難實(shí)現(xiàn)對(duì)云計(jì)算數(shù)據(jù)中心的保護(hù)。

2．4身份認(rèn)證的安全問題

在構(gòu)建云計(jì)算網(wǎng)絡(luò)時(shí)，服務(wù)商會(huì)在相關(guān)區(qū)域搭建服務(wù)器，當(dāng)用戶獲取資源時(shí)，會(huì)向服務(wù)器發(fā)送請(qǐng)求，并進(jìn)行身份認(rèn)可。這樣一來(lái)，用戶身份存在暴露的可能性，為不法分子提供了可乘之機(jī)。通常情況下，不法分子不僅可以通過攻擊用戶管理服務(wù)器盜取用戶名與密碼，還可以利用云計(jì)算的網(wǎng)絡(luò)信道進(jìn)行監(jiān)聽胡哦哦東，或者向網(wǎng)絡(luò)信道傳統(tǒng)病毒，進(jìn)行非法活動(dòng)。

3云計(jì)算信息安全的防護(hù)策略

3．1建立統(tǒng)一的信息保障系統(tǒng)

為了保護(hù)云計(jì)算環(huán)境下的信息安全，相關(guān)部門和行業(yè)協(xié)會(huì)必須積極引導(dǎo)企業(yè)建立互信合作，共同建立統(tǒng)一的信息管理保障系統(tǒng)，進(jìn)行資源快速整合，促進(jìn)云計(jì)算技術(shù)的發(fā)展。我們必須正視互聯(lián)網(wǎng)行業(yè)中存在競(jìng)爭(zhēng)關(guān)系和競(jìng)爭(zhēng)情況，努力擴(kuò)大企業(yè)信息交流，增進(jìn)和互信合作。

3．2加強(qiáng)云環(huán)境信息的加密防范

為了保障云計(jì)算環(huán)境下的信息安全，我們必須對(duì)云環(huán)境的信息進(jìn)行全面性的加密防范，有效保障每一個(gè)信息的安全性。如采用PGP方式進(jìn)行過加密的文件，在傳輸過程中也能得到有效安全保護(hù)，我們還可以通過設(shè)置上傳命令的形式保障傳輸安全性，信息管理者還可以進(jìn)行多秘鑰設(shè)置，構(gòu)建多層防護(hù)。針對(duì)具有數(shù)據(jù)范文的數(shù)據(jù)加密，我們可以借助AES技術(shù)進(jìn)行全面加密。此外，我們還可利用SAN技術(shù)相關(guān)信息備份，在信息丟失時(shí)利用備份進(jìn)行數(shù)據(jù)恢復(fù)工作。

3．3加強(qiáng)基礎(chǔ)設(shè)施管理和內(nèi)容備份

云計(jì)算環(huán)境的網(wǎng)絡(luò)信息安全保障中，對(duì)其平臺(tái)的基礎(chǔ)設(shè)施管理也至關(guān)重要，一旦基礎(chǔ)設(shè)施發(fā)生故障，網(wǎng)絡(luò)的正常運(yùn)行將受到巨大影響。因此，我們必須全年開展基礎(chǔ)網(wǎng)絡(luò)管理，對(duì)重要信息進(jìn)行多重綁定設(shè)置，必須完善防火墻建設(shè)，并加強(qiáng)系統(tǒng)內(nèi)部的非常端口和服務(wù)系統(tǒng)的管理。此外，我們還需要完善云計(jì)算內(nèi)容的備份工作，改變目前傳統(tǒng)備份手段無(wú)法適應(yīng)大數(shù)據(jù)發(fā)展需要的不良格局，只有做好備份工作，才能保證云計(jì)算技術(shù)的穩(wěn)定健康發(fā)展。

作者：李健 單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司陜西分公司

參考文獻(xiàn):

篇4

關(guān)鍵詞：云計(jì)算 安全防護(hù)體系

一、云計(jì)算及特點(diǎn)

1.什么是云計(jì)算

云計(jì)算是當(dāng)今信息領(lǐng)域的發(fā)展熱點(diǎn)，它不僅建立了一種基于互聯(lián)網(wǎng)為用戶提供彈性計(jì)算資源服務(wù)的新型商業(yè)模式，也提出了一條可行的通過整合網(wǎng)絡(luò)上分散信息資源來(lái)滿足“大數(shù)據(jù)、大用戶、大系統(tǒng)”需求的技術(shù)解決途徑。由于云計(jì)算在經(jīng)濟(jì)、敏捷、創(chuàng)新方面的突出特點(diǎn)，已成為大數(shù)據(jù)時(shí)代信息產(chǎn)業(yè)發(fā)展的有力推手。

云計(jì)算通常包括“云平臺(tái)”和“云服務(wù)”兩個(gè)部分。“云平臺(tái)”是由網(wǎng)絡(luò)、服務(wù)器、軟件、數(shù)據(jù)等大規(guī)模計(jì)算資源集合及其調(diào)度與管理系統(tǒng)組成的“實(shí)體”中心，可為用戶提供各類“云服務(wù)”；“云服務(wù)”是“云平臺(tái)”的外在表現(xiàn)形式，主要有IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺(tái)即服務(wù)）和SaaS（軟件及服務(wù)）。

2.云計(jì)算的特點(diǎn)

云計(jì)算的核心思想是通過一套高效的技術(shù)機(jī)制來(lái)將大量計(jì)算資源整合成資源池，按需提供服務(wù)。與傳統(tǒng)的數(shù)據(jù)中心相比，云計(jì)算具備以下特點(diǎn)：

（1）資源虛擬化

云計(jì)算通過虛擬化技術(shù)將海量的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等整合為虛擬的“資源池”。用戶只要通過終端接入云平臺(tái)就可獲取資源，不需要了解實(shí)際資源的具置、實(shí)現(xiàn)方式。實(shí)際計(jì)算資源即使因各種原因發(fā)生變化或調(diào)整，也不會(huì)對(duì)用戶產(chǎn)生影響。

（2）彈性調(diào)整

一方面，云計(jì)算可按需動(dòng)態(tài)調(diào)整資源，自動(dòng)適應(yīng)業(yè)務(wù)負(fù)載的動(dòng)態(tài)變化，以保證用戶使用的資源同業(yè)務(wù)需求一致，避免資源不足引起服務(wù)中斷或資源分配過多引起閑置資源浪費(fèi)；另一方面，云計(jì)算資源可以根據(jù)需求進(jìn)行快速、彈性擴(kuò)展，以滿足用戶增長(zhǎng)的需要。

（3）多租戶服務(wù)

云計(jì)算采用了分布式計(jì)算和資源動(dòng)態(tài)分配技術(shù)，并按照資源使用來(lái)計(jì)費(fèi)，按照服務(wù)計(jì)費(fèi)。這樣云計(jì)算所有資源都可以被多個(gè)用戶共享，用戶之間也可以分享資源及應(yīng)用，提高了資源利用率，實(shí)現(xiàn)可擴(kuò)展和更低的運(yùn)行成本。

（4）高效可靠

云計(jì)算服務(wù)的交付和使用都是基于網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的，網(wǎng)絡(luò)的持續(xù)高效特點(diǎn)貫徹云計(jì)算的始終。與傳統(tǒng)數(shù)據(jù)中心相比，云計(jì)算使用冗余技術(shù)來(lái)實(shí)現(xiàn)資源的可靠性，通過數(shù)據(jù)多副本容錯(cuò)、計(jì)算節(jié)點(diǎn)同構(gòu)、數(shù)據(jù)分布式存儲(chǔ)等措施來(lái)進(jìn)行備份冗余，并能實(shí)現(xiàn)災(zāi)難恢復(fù)，可以更好的保障服務(wù)高可靠性。

二、云計(jì)算安全風(fēng)險(xiǎn)分析

與傳統(tǒng)網(wǎng)絡(luò)應(yīng)用不同，云計(jì)算采用了用戶數(shù)據(jù)放置云端、多租戶共享資源、虛擬化整合資源等技術(shù)來(lái)整合海量資源為用戶提供服務(wù)，在帶來(lái)低成本、高性能等好處同時(shí)，由于云平臺(tái)的巨大模以及其開放性與復(fù)雜性，成為被黑客集中攻擊的目標(biāo)，面臨了比以往更為嚴(yán)峻的安全風(fēng)險(xiǎn)。安全問題已成為影響“云計(jì)算”推廣應(yīng)用的首要因素。

參考云計(jì)算體系基本架構(gòu)，從IaaS安全、PaaS安全、SaaS安全、終端安全等四個(gè)方面對(duì)云計(jì)算的風(fēng)險(xiǎn)進(jìn)行了分析，見表1所示。

從表1可以看出，由云平臺(tái)自身特性導(dǎo)致的主要風(fēng)險(xiǎn)包括以下幾類：

1.應(yīng)用與數(shù)據(jù)集中后的數(shù)據(jù)安全風(fēng)險(xiǎn)

數(shù)據(jù)安全是指數(shù)據(jù)機(jī)密性、完整性和可用性的安全。用戶的應(yīng)用和數(shù)據(jù)均存儲(chǔ)于云平臺(tái)，數(shù)據(jù)傳輸、訪問、存儲(chǔ)、審計(jì)等各個(gè)環(huán)節(jié)都存在安全風(fēng)險(xiǎn)，可能導(dǎo)致數(shù)據(jù)泄露、丟失甚至被篡改。

2.共享技術(shù)漏洞引入的虛擬化安全風(fēng)險(xiǎn)

虛擬化實(shí)現(xiàn)了計(jì)算和存儲(chǔ)資源的共享。但若共享技術(shù)存在漏洞，如錄入數(shù)據(jù)未有效隔離，虛擬機(jī)管理程序存在漏洞等，會(huì)導(dǎo)致用戶信息泄露，甚至非法用戶通過漏洞直接控制真實(shí)資源。

3.多租戶模式帶來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn)

多租用應(yīng)用服務(wù)模式下，租戶的數(shù)據(jù)存儲(chǔ)在非完全可信的虛擬的云上，惡意租戶可通過共享資源對(duì)其它租戶和云計(jì)算基礎(chǔ)設(shè)施進(jìn)行攻擊，租戶敏感信息面臨著極大的泄露風(fēng)險(xiǎn)。

4.安全邊界不確定帶來(lái)的運(yùn)營(yíng)安全風(fēng)險(xiǎn)

由于沒有傳統(tǒng)的物理安全邊界，攻擊者可以利用接口進(jìn)入云環(huán)境后安裝惡意軟件實(shí)施破壞，或通過網(wǎng)絡(luò)攔截方式獲取用戶賬號(hào)信息后，冒名登陸客戶的虛擬機(jī)實(shí)施惡意破壞。

5.云平臺(tái)自身缺陷導(dǎo)致的服務(wù)中斷風(fēng)險(xiǎn)

由于云平臺(tái)存儲(chǔ)著大量的用戶應(yīng)用及數(shù)據(jù)，更容易成為黑客集中攻擊的目標(biāo)。一旦因云平臺(tái)自身隱患或漏洞出現(xiàn)問題，將可能導(dǎo)致服務(wù)中斷，造成難以挽回的損失。

三、云計(jì)算安全防護(hù)體系架構(gòu)

從云計(jì)算的基本過程來(lái)看，其“端到端”的應(yīng)用模式涉及到用戶終端、網(wǎng)絡(luò)傳輸以及云平臺(tái)內(nèi)部的“基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用”各個(gè)環(huán)節(jié)，僅按照以往的邊界防護(hù)方式難以防范運(yùn)行在平臺(tái)上的應(yīng)用，不對(duì)用戶端和應(yīng)用過程進(jìn)行監(jiān)管，也無(wú)法防范非法用戶和惡意攻擊。因此，解決云計(jì)算安全問題必須從實(shí)施基于風(fēng)險(xiǎn)的安全管理入手，即建立云計(jì)算安全防護(hù)體系。

1.云計(jì)算安全防護(hù)目標(biāo)

通過整體防護(hù)，為云用戶提供端到端的安全可信的云計(jì)算服務(wù)環(huán)境，保證用戶的數(shù)據(jù)安全與隱私不泄露，確保應(yīng)用的完整性、保密性、可用性；通過過程管理，對(duì)云計(jì)算服務(wù)各個(gè)環(huán)節(jié)進(jìn)行防護(hù)管理，保證云平臺(tái)運(yùn)行安全可靠。

2.云計(jì)算安全防護(hù)體系基本架構(gòu)

云計(jì)算安全防護(hù)體系，應(yīng)按照“過程防護(hù)、分層防護(hù)、多手段綜合、實(shí)時(shí)監(jiān)管”的思路構(gòu)建，其基本架構(gòu)由基礎(chǔ)設(shè)施安全防護(hù)、平臺(tái)安全防護(hù)、應(yīng)用安全防護(hù)和終端安全防護(hù)和安全管理等五部分組成。

（1）基礎(chǔ)設(shè)施安全防護(hù)

IaaS為用戶按需提供實(shí)體或虛擬的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等資源，是云計(jì)算體系的基石。Iaas安全除應(yīng)具備傳統(tǒng)數(shù)據(jù)中心的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等安全防護(hù)手段外，虛擬化安全是IaaS安全防護(hù)最重要的任務(wù)。主要安全措施包括：

應(yīng)用安全保護(hù)，主要是通過采取快速切換、容錯(cuò)虛擬機(jī)、資源冗余備份等措施，當(dāng)出現(xiàn)硬件故障、虛擬機(jī)故障時(shí)，能及時(shí)保存用戶應(yīng)用進(jìn)程、分配備份資源，以保證用戶應(yīng)用的高可用性。

虛擬化安全防護(hù)，重點(diǎn)是做好虛擬機(jī)與真實(shí)系統(tǒng)的隔離。一方面，要做好虛擬服務(wù)器的數(shù)據(jù)隔離備份和邏輯隔離，保證虛擬服務(wù)器安全；另一方面，通過虛擬化管理軟件對(duì)虛擬器服務(wù)的創(chuàng)建、運(yùn)行和銷毀進(jìn)行管理，保證用戶不能介入虛擬化軟件層；

資源安全防護(hù)，主要是用戶審計(jì)，避免非授權(quán)認(rèn)證用戶接入、資源被非法訪問。

（2）平臺(tái)安全防護(hù)

PaaS層又稱中間層，主要包括操作系統(tǒng)和數(shù)據(jù)庫(kù)、開發(fā)軟件等中間件，為用戶提供軟件的應(yīng)用開發(fā)和運(yùn)行環(huán)境。PaaS層安全包括平臺(tái)安全、接口安全和應(yīng)用安全，除保證為用戶提供可信的軟件開發(fā)運(yùn)行環(huán)境外，重點(diǎn)是保證用戶接入安全、用戶應(yīng)用隔離。主要安全措施包括：

用戶身份認(rèn)證，通過使用身份聯(lián)合、單點(diǎn)登錄和統(tǒng)一授權(quán)等措施，保證云環(huán)境下能安全共享用戶身份信息并對(duì)其認(rèn)證、授權(quán)，確保合法用戶按權(quán)限安全合理的使用云資源。

云密碼服務(wù)，為保證接入安全、用戶數(shù)據(jù)安全，基于公鑰體制為用戶提供云密碼服務(wù)，使用戶能利用云密碼服務(wù)來(lái)對(duì)自己的業(yè)務(wù)流進(jìn)行加解密，保證接入安全、用戶數(shù)據(jù)安全。

云審計(jì)服務(wù)，即由第三方對(duì)云環(huán)境安全進(jìn)行審計(jì)，并公布相關(guān)證據(jù)及其可信度。一方面云服務(wù)提供商向用戶證明提供的中間件及運(yùn)行環(huán)境可信，另一方面通過對(duì)用戶的應(yīng)用軟件審計(jì)，避免云環(huán)境被非法利用。

（3）應(yīng)用安全防護(hù)

SaaS層面向云終端用戶，為其提供基于互聯(lián)網(wǎng)的應(yīng)用軟件服務(wù)。SaaS安全的重點(diǎn)是應(yīng)用安全，主要安全措施包括：

數(shù)據(jù)隔離，云平臺(tái)下的應(yīng)用軟件是將所有用戶數(shù)據(jù)共同保存在一個(gè)軟件實(shí)例中的，需要采用共享表結(jié)構(gòu)、共享數(shù)據(jù)庫(kù)等方式進(jìn)行數(shù)據(jù)隔離，保證用戶數(shù)據(jù)不被泄露。

數(shù)據(jù)加密，為保證放置于云端的用戶敏感數(shù)據(jù)不被泄露，可通過數(shù)據(jù)加密技術(shù)在數(shù)據(jù)傳輸、訪問、存儲(chǔ)、審計(jì)等各個(gè)環(huán)節(jié)進(jìn)行防護(hù)，保證數(shù)據(jù)的機(jī)密性。

訪問權(quán)限控制，包括身份識(shí)別和訪問控制，通過對(duì)用戶訪問權(quán)限的合理劃分，建立安全的訪問控制機(jī)制，來(lái)將用戶對(duì)數(shù)據(jù)和應(yīng)用的訪問控制在云平臺(tái)的不同信任域中，更好的實(shí)現(xiàn)用戶隔離。

（4）終端安全防護(hù)

用戶是通過終端瀏覽器接入云計(jì)算中心訪問云端的各類服務(wù)，因此，云計(jì)算終端安全性直接影響到了云計(jì)算服務(wù)安全，必須納入至安全防護(hù)體系中。主要安全措施包括：

基于用戶端的終端防護(hù)，由用戶在終端上部署防病毒、防火墻、漏洞掃描、防木馬等各類第三方安全防護(hù)手段，避免終端和瀏覽器軟件因自身漏洞被控制，防止用戶登錄云平臺(tái)密碼被竊取。

基于云端的終端防護(hù)，用云服務(wù)提供商采用安全云理念，在用戶終端部署可信的瀏覽器及安全監(jiān)控軟件，建立從終端到云端的可信使用、加密傳輸路徑，并通過軟件監(jiān)控、軟件升級(jí)來(lái)發(fā)現(xiàn)并彌補(bǔ)瀏覽器軟件存在的漏洞。

（5）安全管理

安全管理是保證云安全防護(hù)體系可靠運(yùn)行、及時(shí)彌補(bǔ)安全隱患的重要環(huán)節(jié)。云計(jì)算安全管理包括系統(tǒng)管理、身份管理和運(yùn)營(yíng)管理三個(gè)方面。

系統(tǒng)管理，通過建立專用的云平臺(tái)安全管理系統(tǒng)，對(duì)云平臺(tái)的各類安全防護(hù)手段、軟硬件系統(tǒng)進(jìn)行統(tǒng)一管理和自動(dòng)化部署，對(duì)云平臺(tái)運(yùn)行狀態(tài)進(jìn)行集中監(jiān)控、智能分析，自動(dòng)化進(jìn)行安全策略動(dòng)態(tài)調(diào)整。

身份管理，對(duì)內(nèi)部的云平臺(tái)管理及應(yīng)用人員進(jìn)行身份認(rèn)證、權(quán)限管理和操作審計(jì)，避免因內(nèi)部人員的操作失誤或其他原因?qū)е碌陌踩L(fēng)險(xiǎn)。

運(yùn)營(yíng)管理，主要是針對(duì)云平臺(tái)可能面臨的風(fēng)險(xiǎn)，建立相應(yīng)的登記審核、監(jiān)管報(bào)告、風(fēng)險(xiǎn)評(píng)估、安全審計(jì)等一系列安全管理的制度，從制度上堵住在日常運(yùn)營(yíng)中因管理松懈е碌陌踩漏洞，保證安全防護(hù)體系能正常運(yùn)行。

四、展望

云計(jì)算是當(dāng)前發(fā)展迅速的新興產(chǎn)業(yè)，但也面臨極大的安全技術(shù)挑戰(zhàn)。云計(jì)算安全不僅是技術(shù)問題，也涉及到產(chǎn)業(yè)標(biāo)準(zhǔn)化、行業(yè)監(jiān)管、法律法規(guī)等很多方面。只有建立完整的云計(jì)算安全防護(hù)體系，通過對(duì)云計(jì)算安全風(fēng)險(xiǎn)分析，采取合理的安全技術(shù)與策略，才能更好的實(shí)現(xiàn)安全可信的云計(jì)算。

參考文獻(xiàn)：

[1]肖紅躍，張文科，劉桂芬.云計(jì)算安全需求綜述.信息安全與通信保密，2012（11）.

篇5

[關(guān)鍵詞]：云計(jì)算 網(wǎng)絡(luò)安全問題 概念特點(diǎn) 解決措施

一、云計(jì)算的概念及其特點(diǎn)

客觀來(lái)看，云計(jì)算并非一個(gè)具體的技術(shù)而是多項(xiàng)技術(shù)的整合。之所以將其稱為云計(jì)算是因?yàn)楸旧砭哂泻芏喱F(xiàn)實(shí)云的特征：規(guī)模很大，無(wú)法確定其具置，邊界模糊，可動(dòng)態(tài)伸縮等。雖然現(xiàn)在對(duì)于云計(jì)算這一概念還沒有一個(gè)確切的定義，但是簡(jiǎn)單來(lái)說(shuō)，云計(jì)算就是建立在網(wǎng)絡(luò)技術(shù)上的數(shù)據(jù)處理庫(kù)，但是由于其規(guī)模極大，性能極強(qiáng)，能夠通過一個(gè)數(shù)據(jù)中心向多個(gè)設(shè)備或者用戶提供多重?cái)?shù)據(jù)服務(wù)，幫助使用者用以最少的空間獲得最大的信息來(lái)源。因此，云計(jì)算的核心所在便是資源與網(wǎng)絡(luò)，由網(wǎng)絡(luò)組建的巨大服務(wù)器集群能夠極大地提升資源的使用效率與平臺(tái)的服務(wù)質(zhì)量。

二、現(xiàn)階段云計(jì)算在實(shí)際運(yùn)用中面臨的網(wǎng)絡(luò)安全問題

1.客戶端信息的安全

就現(xiàn)階段云計(jì)算的運(yùn)作現(xiàn)狀來(lái)看，云計(jì)算是建立在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上的大型信息處理庫(kù)，而在系統(tǒng)中的每一臺(tái)計(jì)算機(jī)都被認(rèn)為云計(jì)算的一個(gè)節(jié)點(diǎn)。換句話說(shuō)，一旦一臺(tái)計(jì)算機(jī)被接入網(wǎng)絡(luò)，那么其中的信息就極有可能成為“云”資源的一部分。這就涉及隱私保護(hù)問題，如果沒有做好信息安全防護(hù)，造成一些私密信息泄露，對(duì)于一些特殊機(jī)構(gòu)如政府、醫(yī)院、軍隊(duì)等來(lái)說(shuō)將是極為沉重的打擊。同時(shí)，如果大量的病患信息、軍事機(jī)密、政府信息等泄出，也會(huì)造成整個(gè)社會(huì)的不穩(wěn)定。

2.服務(wù)器端的信息安全

當(dāng)前，云計(jì)算發(fā)展中存在的最大障礙便是安全性與隱私性的保護(hù)問題。立足于服務(wù)器端的信息安全問題來(lái)看，數(shù)據(jù)的擁有者一旦選擇讓別人儲(chǔ)存數(shù)據(jù)，那么其中的不可控因素便會(huì)大為增強(qiáng)。比如一家投資銀行的員工在利用谷歌在做員工社會(huì)保障號(hào)碼清單時(shí)，實(shí)際上進(jìn)行了隱私保護(hù)和安全保護(hù)職能的轉(zhuǎn)移，銀行不再保有對(duì)數(shù)據(jù)保密以保證數(shù)據(jù)不受黑客侵襲的職責(zé)，相反這些責(zé)任落在了谷歌身上。在不通知數(shù)據(jù)所有者的基礎(chǔ)上，政府調(diào)查人員有權(quán)讓谷歌提供這一部分社會(huì)保障號(hào)碼。就最近頻發(fā)的各類信息泄露事件以及企業(yè)數(shù)據(jù)丟失數(shù)據(jù)事件如2007年轟動(dòng)一時(shí)的TJXX零售商信用卡信息泄露等情況來(lái)看，云計(jì)算服務(wù)器端的信息安全現(xiàn)狀不容樂觀。

三、解決當(dāng)前云計(jì)算安全問題的具體措施

1.建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系

云計(jì)算的突出特點(diǎn)就是虛擬性極強(qiáng)，這也成為云計(jì)算服務(wù)商向用戶提供“有償服務(wù)”的重要媒介和關(guān)鍵性技術(shù)。同時(shí)，在信息網(wǎng)絡(luò)時(shí)代下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、儲(chǔ)存資源及其相關(guān)配套應(yīng)用資源的發(fā)展和完善都是建立在虛擬化技術(shù)發(fā)展的前提下的。因此，在解決云計(jì)算安全問題時(shí)也需要緊緊圍繞虛擬化這一關(guān)鍵性技術(shù)，以用戶的需求與體驗(yàn)感受為導(dǎo)向，為用戶提供更為科學(xué)、有效的應(yīng)用資源合理分配方案，提供更具個(gè)性化的存儲(chǔ)計(jì)算方法。同時(shí)，在虛擬化技術(shù)發(fā)展運(yùn)用過程中還需要構(gòu)建實(shí)例間的邏輯隔離，利用基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)用戶信息間的分流隔斷，保障用戶的數(shù)據(jù)安全。各大云計(jì)算服務(wù)商在優(yōu)化升級(jí)時(shí)要牢記安全在服務(wù)中的重要性，破除由網(wǎng)絡(luò)交互性等特點(diǎn)帶來(lái)的系列弊端。

2.建設(shè)高性能更可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系

云計(jì)算中的流量模型在\行環(huán)境時(shí)在不同時(shí)段或者不同運(yùn)行模塊中會(huì)產(chǎn)生一定的變化，在進(jìn)行云計(jì)算安全防護(hù)時(shí)就需要進(jìn)一步完善安全防護(hù)體系，建設(shè)更可靠的高性能網(wǎng)絡(luò)節(jié)點(diǎn)，提升網(wǎng)絡(luò)架構(gòu)整體穩(wěn)定性。但是在當(dāng)前的企業(yè)私有云建設(shè)時(shí)不可避免地會(huì)存在大流量在高速鏈路匯聚的情況，安全設(shè)備如果不進(jìn)行性能上的提升，數(shù)據(jù)極有可能出現(xiàn)泄漏。因此，要提升安全設(shè)備對(duì)高密度接口（一般在10G以上）的處理能力，安全設(shè)備要與各種安全業(yè)務(wù)引擎緊密配合，實(shí)現(xiàn)云計(jì)算中對(duì)云規(guī)模的合理配置。但是，考慮到云計(jì)算業(yè)務(wù)的連續(xù)發(fā)展性，設(shè)備不僅要具有較高性能，還需要更可靠。雖然近年來(lái)在這個(gè)方面已經(jīng)取得了可喜的成就，如雙機(jī)設(shè)備、配套同步等的引入與優(yōu)化，但是云計(jì)算實(shí)現(xiàn)大規(guī)模流量匯聚完全安全防護(hù)還有很長(zhǎng)一段路要走。

3.以集中的安全服務(wù)中心對(duì)無(wú)邊界的安全防護(hù)

與傳統(tǒng)安全建設(shè)模型相比，云計(jì)算實(shí)現(xiàn)有效安全防護(hù)存在的一個(gè)突出的問題便是“云”的無(wú)邊界性，但是就現(xiàn)代的科學(xué)技術(shù)條件來(lái)看，建成一個(gè)無(wú)邊界的安全防護(hù)網(wǎng)絡(luò)是極不現(xiàn)實(shí)的。因此，要盡快建立一個(gè)集中的安全服務(wù)中心，實(shí)現(xiàn)資源的高效整合。在集中的安全服務(wù)中心下，各個(gè)企業(yè)用戶在進(jìn)行云計(jì)算服務(wù)申請(qǐng)時(shí)能夠進(jìn)行信息數(shù)據(jù)的劃分隔離，打破傳統(tǒng)物理概念上的“安全邊界”。云計(jì)算的安全服務(wù)中心負(fù)責(zé)對(duì)整個(gè)安全服務(wù)進(jìn)行部署，它也取代了傳統(tǒng)防護(hù)體制下對(duì)云計(jì)算各子系統(tǒng)的安全防護(hù)。同時(shí)，集中的安全服務(wù)中心也顯現(xiàn)出極大的優(yōu)越性，能夠提供單獨(dú)的用戶安服務(wù)配置，進(jìn)一步節(jié)省了安全防護(hù)成本，提升了安全服務(wù)能力。

4.充分利用云安全模式加強(qiáng)云端與客戶端的關(guān)聯(lián)耦合

利用云安全模式加強(qiáng)云端與客戶端的關(guān)聯(lián)耦合，簡(jiǎn)單來(lái)說(shuō)就是利用云端的超強(qiáng)極端能力幫助云安全模式下安全檢測(cè)與防護(hù)工作的運(yùn)行。新的云安全模型在傳統(tǒng)云安全模型的基礎(chǔ)上增加了客戶端的云威脅檢測(cè)與防護(hù)功能，其具體運(yùn)作情況為客戶端通過對(duì)不能識(shí)別的可疑流量進(jìn)行傳感測(cè)驗(yàn)并第一時(shí)間將其傳送至安全檢測(cè)中心，云計(jì)算對(duì)數(shù)據(jù)進(jìn)行解析并迅速定位，進(jìn)行安全協(xié)議的內(nèi)容及特征將可疑流量推送至安全網(wǎng)關(guān)處進(jìn)一步處理?？偟膩?lái)看，利用云安全模式加強(qiáng)云端與客戶端的關(guān)聯(lián)耦合可以提升整個(gè)云端及客戶端對(duì)未知威脅的監(jiān)測(cè)能力。

四、結(jié)語(yǔ)

云計(jì)算是網(wǎng)絡(luò)技術(shù)不斷發(fā)展的產(chǎn)物，為人們的生活提供了很多的便利。但是作為新生的事物，其安全性還存在一定的爭(zhēng)議。進(jìn)一步完善云計(jì)算的安全建設(shè)，確保用戶信息的安全與私密是云計(jì)算發(fā)展的重要前提之一。在新的時(shí)期，需要利用虛擬性技術(shù)、集中的安全服務(wù)中心、更可靠的高性能安全防護(hù)體系等提升云計(jì)算服務(wù)的安全可靠性，實(shí)現(xiàn)云計(jì)算技術(shù)的進(jìn)一步發(fā)展。

參考文獻(xiàn)：

篇6

2010年3月云安全聯(lián)盟的研究報(bào)告《云計(jì)算主要安全威脅》[3]指出云計(jì)算服務(wù)的主要威脅主要包括：云計(jì)算服務(wù)的濫用和惡意使用、不安全的接口和應(yīng)用程序編程接口(APIs)、惡意的內(nèi)部攻擊者、共享技術(shù)的弱點(diǎn)、數(shù)據(jù)丟失與泄露和賬號(hào)與服務(wù)劫持等。微軟公司的《WindowsAzure安全筆記》[4]從審計(jì)與日志、認(rèn)證、授權(quán)、部署管理、通信、加密、異常管理、輸入與數(shù)據(jù)驗(yàn)證和敏感數(shù)據(jù)這9個(gè)方面分別論述了云計(jì)算服務(wù)的主要安全威脅。加州大學(xué)伯克利分校的研究人員在文獻(xiàn)[5]中認(rèn)為云計(jì)算中安全方面的威脅主要有：可用性以及業(yè)務(wù)連續(xù)性、數(shù)據(jù)鎖定、數(shù)據(jù)的機(jī)密性和相關(guān)審計(jì)、大規(guī)模分布式系統(tǒng)的漏洞和相關(guān)性能的不可預(yù)知性等等。在文獻(xiàn)[6-8]中指出云計(jì)算中最重要的安全風(fēng)險(xiǎn)主要有：違反服務(wù)等級(jí)協(xié)議，云服務(wù)商提供足夠風(fēng)險(xiǎn)評(píng)估的能力，隱私數(shù)據(jù)的保護(hù)，虛擬化有關(guān)的風(fēng)險(xiǎn)，合約風(fēng)險(xiǎn)等。目前，云計(jì)算安全問題已得到越來(lái)越多的關(guān)注。著名的信息安全國(guó)際會(huì)議RSA2010將云計(jì)算安全列為焦點(diǎn)問題，通信學(xué)會(huì)理事會(huì)(CCS)從2009年起專門設(shè)置了一個(gè)關(guān)于云計(jì)算安全的研討會(huì)。許多企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組織都已啟動(dòng)了相關(guān)研究，安全廠商也已在研究和開發(fā)各類安全云計(jì)算產(chǎn)品[9]。

云計(jì)算服務(wù)模式下的移動(dòng)互聯(lián)網(wǎng)是一種復(fù)雜的、面臨各種安全威脅的系統(tǒng)，因此必須研究和設(shè)計(jì)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)來(lái)抵抗和防御這些安全威脅，云計(jì)算安全體系結(jié)構(gòu)是其研究基礎(chǔ)和依據(jù)。許多研究人員和來(lái)自移動(dòng)互聯(lián)網(wǎng)相關(guān)領(lǐng)域的企業(yè)對(duì)如何設(shè)計(jì)和開發(fā)云計(jì)算安全技術(shù)體系架構(gòu)均展開了相關(guān)研究。微軟云計(jì)算平臺(tái)WindowsAzure是微軟于2008年在微軟開發(fā)者大會(huì)上的全新的云計(jì)算平臺(tái)，它基于平臺(tái)即服務(wù)(PaaS)的思想，向開發(fā)人員提供了一個(gè)在線的基于Windows系列產(chǎn)品的開發(fā)、儲(chǔ)存和服務(wù)代管等服務(wù)的環(huán)境。微軟公司的《WindowsAzure安全筆記》[4]從改進(jìn)Web應(yīng)用安全的角度出發(fā)提出了一個(gè)基于應(yīng)用安全、網(wǎng)絡(luò)安全和主機(jī)安全概念化安全區(qū)域的云計(jì)算安全架構(gòu)。其中應(yīng)用安全關(guān)注應(yīng)用審計(jì)與日志、認(rèn)證、授權(quán)、應(yīng)用部署管理、加密、異常管理、參數(shù)配置、敏感數(shù)據(jù)、會(huì)話管理和驗(yàn)證等問題；網(wǎng)絡(luò)安全保障路由器、防火墻和交換機(jī)等的安全；主機(jī)安全所需要關(guān)注的相關(guān)問題則包括補(bǔ)丁和更新、服務(wù)、協(xié)議、記賬、文件與目錄、共享、端口、注冊(cè)登記和審計(jì)與日志等。

Bell實(shí)驗(yàn)室的研究人員在文獻(xiàn)[10]中提出一種支持資源無(wú)縫集成至企業(yè)內(nèi)部網(wǎng)的云計(jì)算安全體系架構(gòu)VSITE，在保持資源的隔離性和安全性的同時(shí)允許云服務(wù)提供商拓展資源為多個(gè)企業(yè)提供服務(wù)。云計(jì)算服務(wù)商提供的資源對(duì)企業(yè)來(lái)說(shuō)就像是內(nèi)部資源，VSITE通過使用VPN、為不同的企業(yè)分配不同的VLAN以及運(yùn)用MAC地址對(duì)企業(yè)進(jìn)行身份編碼等技術(shù)手段來(lái)達(dá)到這個(gè)目標(biāo)。VSITE體系架構(gòu)由云服務(wù)中心、目錄服務(wù)器、云數(shù)據(jù)中心以及監(jiān)控中心等相關(guān)的實(shí)體組成，其監(jiān)控中心設(shè)計(jì)了安全機(jī)制以防止企業(yè)與企業(yè)之間的相互攻擊。VSITE具有可擴(kuò)充性安全性以及高效性。亞馬遜彈性計(jì)算云(AmazonEC2)是一個(gè)Web服務(wù)，它提供可調(diào)整的云計(jì)算能力。文獻(xiàn)[11]中指出AmazonEC2使用了一個(gè)多級(jí)的安全體系架構(gòu)包括主機(jī)的操作系統(tǒng)、操作系統(tǒng)的虛擬實(shí)例/客戶操作系統(tǒng)、防火墻和簽名的API調(diào)用等層次，目標(biāo)是保護(hù)云端的數(shù)據(jù)不被未授權(quán)的系統(tǒng)和用戶攔截，使得AmazonEC2實(shí)例盡可能安全而又不會(huì)犧牲客戶按需配置的彈性。從服務(wù)模型的角度，云安全聯(lián)盟(CSA)提出了基于3種基本云服務(wù)的層次性及其依賴關(guān)系的安全參考模型[6]，并實(shí)現(xiàn)了從云服務(wù)模型到安全控制模型的映射。該模型的重要特點(diǎn)是供應(yīng)商所在的等級(jí)越低，云服務(wù)用戶所要承擔(dān)的安全能力和管理職責(zé)就越多。

從安全協(xié)同的角度，JerichoForum從數(shù)據(jù)的物理位置、云相關(guān)技術(shù)和服務(wù)的所有關(guān)系狀態(tài)、應(yīng)用資源和服務(wù)時(shí)的邊界狀態(tài)、云服務(wù)的運(yùn)行和管理者4個(gè)影響安全協(xié)同的維度上分類16種可能的云計(jì)算形態(tài)[12]。不同的云計(jì)算形態(tài)具有不同的協(xié)同性、靈活性及其安全風(fēng)險(xiǎn)特征。云服務(wù)用戶則需要根據(jù)自身的不同業(yè)務(wù)和安全協(xié)同需求選擇最為合適的相關(guān)云計(jì)算形態(tài)。上述云安全體系結(jié)構(gòu)雖然考慮了云計(jì)算平臺(tái)中主機(jī)系統(tǒng)層、網(wǎng)絡(luò)層以及Web應(yīng)用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構(gòu)沒有結(jié)合移動(dòng)互聯(lián)網(wǎng)環(huán)境來(lái)研究云計(jì)算安全體系構(gòu)建及相關(guān)技術(shù)。

移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)的設(shè)計(jì)目標(biāo)有以下6個(gè)方面：確保移動(dòng)互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)確保云計(jì)算平臺(tái)虛擬化運(yùn)行環(huán)境的安全依據(jù)不同的安全需求，提供定制化的安全服務(wù)對(duì)運(yùn)行態(tài)的云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全監(jiān)管確保云計(jì)算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

結(jié)合上述設(shè)計(jì)目標(biāo)，考慮移動(dòng)互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營(yíng)方式和用戶安全需求的多樣性，文章設(shè)計(jì)了一個(gè)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)（如圖1所示），它具有多層次、多級(jí)別、彈性、跨平臺(tái)和統(tǒng)一用戶接口等特點(diǎn)。與云計(jì)算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)3個(gè)層次相應(yīng)，文章首先設(shè)計(jì)了云安全應(yīng)用服務(wù)資源群，包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。針對(duì)云計(jì)算虛擬化的特點(diǎn)文章還設(shè)計(jì)了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù)，運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺(tái)（如不同的操作系統(tǒng)）。同時(shí)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異，云平臺(tái)應(yīng)具備提供不同安全等級(jí)的云基礎(chǔ)設(shè)施服務(wù)的能力。

移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)則可以參考移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)中云安全基礎(chǔ)設(shè)施已有的相關(guān)建設(shè)經(jīng)驗(yàn)。移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)還包含一個(gè)統(tǒng)一的云安全管理平臺(tái)，該平臺(tái)包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計(jì)管理等子系統(tǒng)。云安全管理平臺(tái)縱貫云安全應(yīng)用服務(wù)、云安全平臺(tái)服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次，對(duì)包含不同安全域和具有多個(gè)安全級(jí)別的整個(gè)系統(tǒng)的運(yùn)維安全情況進(jìn)行了跨安全域、跨安全級(jí)別的一系列綜合管理。體系架構(gòu)考慮了移動(dòng)互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應(yīng)用服務(wù)接口，并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁(yè)瀏覽和移動(dòng)搜索等服務(wù)，同時(shí)還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

同時(shí)，體系架構(gòu)還考慮了整個(gè)系統(tǒng)參照云安全標(biāo)準(zhǔn)及測(cè)評(píng)體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測(cè)評(píng)機(jī)構(gòu)系統(tǒng)地測(cè)試和評(píng)估，以確定其在移動(dòng)互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險(xiǎn)并設(shè)立其信任等級(jí)，云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級(jí)，云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測(cè)評(píng)機(jī)構(gòu)評(píng)估的安全云應(yīng)用服務(wù)而帶來(lái)的損失。云應(yīng)用服務(wù)安全等級(jí)的測(cè)試和評(píng)估也給云服務(wù)提供商帶來(lái)準(zhǔn)入規(guī)范，迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量以及安全意識(shí)。

對(duì)用戶而言，多用戶私有資源的遠(yuǎn)程集中式管理與計(jì)算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對(duì)固定和穩(wěn)定，而計(jì)算環(huán)境的開放性則會(huì)使私有數(shù)據(jù)面對(duì)來(lái)自多方的安全威脅。可以說(shuō)，云服務(wù)提供商與用戶之間的信任問題是云計(jì)算能否推廣的關(guān)鍵，而數(shù)據(jù)的安全和隱私保護(hù)是云計(jì)算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲(chǔ)的密文查詢、數(shù)據(jù)完整性驗(yàn)證、多租戶環(huán)境下的隱私保護(hù)方法等。

云計(jì)算平臺(tái)要統(tǒng)一調(diào)度、部署計(jì)算資源，實(shí)施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運(yùn)行環(huán)境的安全是云計(jì)算安全的關(guān)鍵。在此安全體系之下，結(jié)合虛擬化技術(shù)，平臺(tái)必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險(xiǎn)，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機(jī)控制和管理，虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計(jì)算平臺(tái)無(wú)法實(shí)現(xiàn)不同（也可能相同）云用戶租用的不同虛擬機(jī)之間的有效隔離，那么云服務(wù)商則會(huì)無(wú)法說(shuō)服云用戶相信自己提供的服務(wù)是非常安全的。用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來(lái)實(shí)現(xiàn)，因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險(xiǎn)問題，例如運(yùn)行的環(huán)境的安全級(jí)別是否符合需求和運(yùn)行的流程是否異常等；虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計(jì)問題包括安全策略管理、系統(tǒng)日志管理和審計(jì)策略管理等。

篇7

1設(shè)計(jì)目標(biāo)

移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)的設(shè)計(jì)目標(biāo)有以下6個(gè)方面：

·確保移動(dòng)互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)

·確保云計(jì)算平臺(tái)虛擬化運(yùn)行環(huán)境的安全

·依據(jù)不同的安全需求，提供定制化的安全服務(wù)

·對(duì)運(yùn)行態(tài)的云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全監(jiān)管

·確保云計(jì)算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)

·保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

2安全體系架構(gòu)設(shè)計(jì)

結(jié)合上述設(shè)計(jì)目標(biāo)，考慮移動(dòng)互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營(yíng)方式和用戶安全需求的多樣性，文章設(shè)計(jì)了一個(gè)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)，它具有多層次、多級(jí)別、彈性、跨平臺(tái)和統(tǒng)一用戶接口等特點(diǎn)。

與云計(jì)算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)3個(gè)層次相應(yīng)，文章首先設(shè)計(jì)了云安全應(yīng)用服務(wù)資源群，包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。

針對(duì)云計(jì)算虛擬化的特點(diǎn)文章還設(shè)計(jì)了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù)，運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺(tái)(如不同的操作系統(tǒng))。同時(shí)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異，云平臺(tái)應(yīng)具備提供不同安全等級(jí)的云基礎(chǔ)設(shè)施服務(wù)的能力。移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)可以參考移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)云安全基礎(chǔ)設(shè)施已有的建設(shè)經(jīng)驗(yàn)。

移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)還包含一個(gè)統(tǒng)一的云安全管理平臺(tái)，該平臺(tái)包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計(jì)管理等子系統(tǒng)。云安全管理平臺(tái)縱貫云安全應(yīng)用服務(wù)、云安全平臺(tái)服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次，對(duì)包含不同安全域和具有多個(gè)安全級(jí)別的整個(gè)系統(tǒng)的運(yùn)維安全情況進(jìn)行跨安全域、跨安全級(jí)別的綜合管理。

體系架構(gòu)考慮了移動(dòng)互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應(yīng)用服務(wù)接口，并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁(yè)瀏覽和移動(dòng)搜索等服務(wù)，同時(shí)還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

同時(shí)，體系架構(gòu)還考慮了整個(gè)系統(tǒng)參照云安全標(biāo)準(zhǔn)及測(cè)評(píng)體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測(cè)評(píng)機(jī)構(gòu)系統(tǒng)地測(cè)試和評(píng)估，以確定其在移動(dòng)互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險(xiǎn)并設(shè)立其信任等級(jí)，云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級(jí)，云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測(cè)評(píng)機(jī)構(gòu)評(píng)估的安全云應(yīng)用服務(wù)而帶來(lái)的損失。云應(yīng)用服務(wù)安全等級(jí)的測(cè)試和評(píng)估也給云服務(wù)提供商帶來(lái)準(zhǔn)入規(guī)范，迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量和安全意識(shí)。

3關(guān)鍵技術(shù)

對(duì)用戶而言，多用戶私有資源的遠(yuǎn)程集中式管理與計(jì)算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對(duì)固定和穩(wěn)定，而計(jì)算環(huán)境的開放性則會(huì)使私有數(shù)據(jù)面對(duì)來(lái)自多方的安全威脅?？梢哉f(shuō)，云服務(wù)提供商與用戶之間的信任問題是云計(jì)算能否推廣的關(guān)鍵，而數(shù)據(jù)的安全和隱私保護(hù)是云計(jì)算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲(chǔ)的密文查詢、數(shù)據(jù)完整性驗(yàn)證、多租戶環(huán)境下的隱私保護(hù)方法等。

云計(jì)算平臺(tái)要統(tǒng)一調(diào)度、部署計(jì)算資源，實(shí)施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運(yùn)行環(huán)境的安全是云計(jì)算安全的關(guān)鍵。在此安全體系之下，結(jié)合虛擬化技術(shù)，平臺(tái)必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險(xiǎn)，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機(jī)控制和管理，虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計(jì)算平臺(tái)無(wú)法實(shí)現(xiàn)不同(也可能相同)云用戶租用的不同虛擬機(jī)之間的有效隔離，那么云服務(wù)商就無(wú)法說(shuō)服云用戶相信自己的提供的服務(wù)是安全的。

用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來(lái)實(shí)現(xiàn)，因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險(xiǎn)問題，例如運(yùn)行的環(huán)境的安全級(jí)別是否符合需求和運(yùn)行的流程是否異常等；虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計(jì)問題包括安全策略管理、系統(tǒng)日志管理和審計(jì)策略管理等。

云計(jì)算模式下的移動(dòng)互聯(lián)網(wǎng)是一種多源、異構(gòu)服務(wù)共存的環(huán)境。與此同時(shí)，依據(jù)多租戶的不同安全需求，滿足不同等級(jí)的差異化云安全服務(wù)應(yīng)以訪問控制為手段，進(jìn)行安全服務(wù)定制以及安全自適應(yīng)。

篇8

科技是一把雙刃劍，科技發(fā)展帶來(lái)的不全是益處，也會(huì)有各種各樣的麻煩。大數(shù)據(jù)技術(shù)在提升對(duì)數(shù)據(jù)洞察力的同時(shí)，也同樣提升了破壞信息安全的能力。

首先，數(shù)據(jù)價(jià)值提升推高了數(shù)據(jù)保有成本。隨著信息化程度的不斷提升，數(shù)據(jù)價(jià)值也在大幅提升，企業(yè)的經(jīng)營(yíng)行為被越來(lái)越多地?cái)?shù)字化，財(cái)務(wù)信息、人事信息、知識(shí)產(chǎn)權(quán)等這些企業(yè)最重要的信息都在被匯聚成為企業(yè)信息大數(shù)據(jù)，若這些數(shù)據(jù)被泄漏，再基于此類數(shù)據(jù)開展大數(shù)據(jù)分析，企業(yè)信息將毫無(wú)秘密可言。因此，數(shù)據(jù)價(jià)值的提升必然要推高信息安全方面的投入，來(lái)確保企業(yè)信息的安全。

其次，黑客破壞信息安全的能力在增強(qiáng)。數(shù)據(jù)的大量匯集，使得黑客成功攻擊的收益在增加，“激勵(lì)”了黑客的網(wǎng)絡(luò)攻擊行為。大數(shù)據(jù)技術(shù)本身也在成為黑客攻擊的有力武器，黑客通過大數(shù)據(jù)分析，可以得到更多的有用信息，制定更加有效的攻擊策略，改進(jìn)傳統(tǒng)攻擊手段，提高了信息安全防護(hù)成本。尤其是進(jìn)入“云時(shí)代”后，數(shù)據(jù)在云端，云安全就更加重要，而遺憾的是，近幾年，一些大型云平臺(tái)數(shù)據(jù)泄漏事件更加劇了人們對(duì)于信息安全的擔(dān)心。

最后，信息安全意識(shí)尚需提高。外在信息安全并不是企業(yè)面臨的唯一危險(xiǎn)，企業(yè)內(nèi)部安全意識(shí)不強(qiáng)同樣威脅巨大。員工由于安全意識(shí)單薄，或者企業(yè)內(nèi)部信息安全體系不夠完善導(dǎo)致信息泄漏的情況也在不斷增加。據(jù)一項(xiàng)有關(guān)企業(yè)信息安全的調(diào)查結(jié)果發(fā)現(xiàn)，有近四成的受訪者認(rèn)為造成企業(yè)信息安全風(fēng)險(xiǎn)加劇的很大部分原因在于缺乏信息安全保護(hù)意識(shí)。盡管外部攻擊和內(nèi)部數(shù)據(jù)泄露的安全事故數(shù)量在增加，但多數(shù)企業(yè)并未給予足夠重視。

因此，大數(shù)據(jù)時(shí)代信息價(jià)值在增加，企業(yè)信息安全的形勢(shì)在惡化，而由此帶來(lái)的損失將成倍放大。

對(duì)于我國(guó)企業(yè)信息安全體系建設(shè)而言，需要做到以下幾點(diǎn)。做好安全評(píng)估，企業(yè)在構(gòu)建信息安全體系之初，要先對(duì)企業(yè)自身信息安全體系進(jìn)行梳理，摸清企業(yè)信息安全的薄弱環(huán)節(jié)，做好安全風(fēng)險(xiǎn)的評(píng)估，通過評(píng)估制定出合理完善的整體防護(hù)安全策略。建立標(biāo)準(zhǔn)體系，我國(guó)一直重視信息安全體系的標(biāo)準(zhǔn)工作，也推出了一系列相關(guān)政策和標(biāo)準(zhǔn)，企業(yè)可以參照相關(guān)標(biāo)準(zhǔn)，建立完整的信息安全管理制度，使企業(yè)有章可依。同時(shí)，在日常工作中要明確各風(fēng)險(xiǎn)點(diǎn)的負(fù)責(zé)人，責(zé)任劃分明確。

篇9

 

隨著大數(shù)據(jù)時(shí)代的來(lái)臨，圖書館分析讀者行為、感知讀者需求、滿足讀者愛好，為讀者提供個(gè)性化、貼心化服務(wù)的能力更加強(qiáng)化。正是因?yàn)榇髷?shù)據(jù)依賴數(shù)據(jù)，就容易招致不可預(yù)測(cè)的攻擊行為，對(duì)數(shù)據(jù)分析結(jié)果帶來(lái)重大影響，而且大數(shù)據(jù)泄露帶來(lái)的隱私泄露給用戶帶來(lái)了嚴(yán)重危害。特別是計(jì)算機(jī)應(yīng)用的不斷普及和網(wǎng)絡(luò)的迅速發(fā)展，計(jì)算機(jī)病毒的傳播速度變得越來(lái)越快，病毒導(dǎo)致的破壞也越來(lái)越大。計(jì)算機(jī)病毒以及黑客行為，使得整個(gè)系統(tǒng)遭受嚴(yán)重威脅。因此，利用大數(shù)據(jù)技術(shù)構(gòu)建智能、自動(dòng)、主動(dòng)和互聯(lián)的安全防御系統(tǒng)，不斷增強(qiáng)圖書館數(shù)據(jù)安全，是保證大數(shù)據(jù)時(shí)代圖書館系統(tǒng)運(yùn)營(yíng)安全的關(guān)鍵。

 

一、大數(shù)據(jù)時(shí)代圖書館面臨的安全問題

 

大數(shù)據(jù)時(shí)代，圖書館的安全問題，主要是數(shù)據(jù)安全問題面對(duì)傳統(tǒng)攻擊與現(xiàn)代隱患交相沖擊，既有固有的計(jì)算機(jī)病毒以及無(wú)意識(shí)攻擊導(dǎo)致數(shù)據(jù)崩潰、服務(wù)平臺(tái)不能正常運(yùn)營(yíng)的問題，又有因?yàn)楝F(xiàn)代大數(shù)據(jù)下，黑客們對(duì)用戶隱私竊取導(dǎo)致讀者個(gè)人身份以及自身機(jī)密的泄露問題。

 

1、傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的病毒攻擊。無(wú)論是前大數(shù)據(jù)時(shí)代，還是后大數(shù)據(jù)時(shí)代，計(jì)算機(jī)病毒始終伴隨著互聯(lián)網(wǎng)時(shí)代。計(jì)算機(jī)病毒傳播快、擴(kuò)散面大，特別是網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)的互連共享，全球扁平化使得連接在一起的計(jì)算機(jī)數(shù)量更多，只要計(jì)算機(jī)病毒入侵到網(wǎng)絡(luò)中的任何一點(diǎn)，它將以很快的速度在網(wǎng)絡(luò)中傳播，并波及到整個(gè)網(wǎng)絡(luò)。正如矛與盾互進(jìn)，時(shí)展，計(jì)算機(jī)病毒破壞性更強(qiáng)。特別是由于網(wǎng)絡(luò)中資源信息多，并且多為網(wǎng)絡(luò)用戶所共享，因此病毒在網(wǎng)絡(luò)中一旦被激發(fā)，不僅嚴(yán)重威脅網(wǎng)絡(luò)資源的安全，而且還可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓，帶來(lái)無(wú)法估量的損失。再次就是計(jì)算機(jī)病毒的殺毒難度越來(lái)越大。在網(wǎng)絡(luò)環(huán)境中，很難對(duì)分布于異地的大量工作站和服務(wù)器同時(shí)進(jìn)行病毒清除，即使對(duì)網(wǎng)絡(luò)中的絕大多數(shù)計(jì)算機(jī)進(jìn)行了病毒清除工作，只要網(wǎng)絡(luò)中有一臺(tái)計(jì)算機(jī)被感染，病毒也會(huì)很快波及整個(gè)網(wǎng)絡(luò)。

 

2、大數(shù)據(jù)環(huán)境下的數(shù)據(jù)隱患。以完善數(shù)據(jù)提供精準(zhǔn)化服務(wù)的圖書館服務(wù)平臺(tái)，具有先天的開放性，由開放性引申出數(shù)據(jù)安全的復(fù)雜性。首先是讀者服務(wù)需求的增長(zhǎng)和用戶服務(wù)模式變革，圖書館基礎(chǔ)設(shè)施的服務(wù)效率與運(yùn)營(yíng)安全難以達(dá)到優(yōu)化均衡。其次是云計(jì)算、大數(shù)據(jù)處理、傳感器技術(shù)和用戶服務(wù)網(wǎng)絡(luò)具有極強(qiáng)的開放性，增強(qiáng)了黑客攻擊的成功率。再次是大數(shù)據(jù)改變了圖書館在傳統(tǒng)的安全需求和模式，大數(shù)據(jù)服務(wù)平臺(tái)系統(tǒng)容易招致攻擊。

 

3、圖書館自身特性引發(fā)的內(nèi)在沖突。圖書館采用大數(shù)據(jù)進(jìn)行定制化個(gè)性化服務(wù)，一方面需要對(duì)用戶數(shù)據(jù)進(jìn)行大量采集、分析、比對(duì)和定制服務(wù)，而這些服務(wù)需要更真實(shí)、更準(zhǔn)確的用戶數(shù)據(jù)，往往還是第一手?jǐn)?shù)據(jù);另一方面，與用戶主要是讀者相關(guān)的數(shù)據(jù)，又往往涉及到讀者個(gè)人隱私。這種隱私的保密性與用戶數(shù)據(jù)的公開性，特別是準(zhǔn)確性存在著天然的矛盾。在圖書館不能完全保證數(shù)據(jù)安全的情況下，用戶的隱私就會(huì)被泄露。這就需要圖書館依靠云計(jì)算技術(shù)的支持，通過對(duì)數(shù)據(jù)信息的風(fēng)險(xiǎn)評(píng)估，進(jìn)而加大對(duì)安全數(shù)據(jù)的分析與決策，確保圖書館數(shù)據(jù)安全管理。

 

二、大數(shù)據(jù)時(shí)代圖書館安全體系構(gòu)建

 

1、加強(qiáng)系統(tǒng)硬件設(shè)備安全。這是最基礎(chǔ)的安全維護(hù)，也是圖書館安全體系的重要基石。它主要由整體館內(nèi)環(huán)境、所有系統(tǒng)硬件設(shè)備(包括計(jì)算機(jī)及其內(nèi)部所有硬件)以及數(shù)據(jù)安全傳輸三部分組成。在這個(gè)基礎(chǔ)層，必須安裝最新的操作系統(tǒng)，配備最切合圖書館需要的硬件設(shè)備，及時(shí)安裝病毒軟件，及時(shí)升級(jí)操作系統(tǒng)，確保能夠避免常規(guī)的網(wǎng)絡(luò)病毒襲擊，以及一些無(wú)意識(shí)的數(shù)據(jù)攻擊。要在內(nèi)網(wǎng)和外網(wǎng)上安裝防火墻，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間隔離，限制網(wǎng)絡(luò)互訪來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。其它還有諸如員工培訓(xùn)、共同防毒、控制超級(jí)用戶等，都要系統(tǒng)配套，確保圖書館安全體系及時(shí)避免傳統(tǒng)的非惡意性攻擊和一般的網(wǎng)絡(luò)病毒沖擊。

 

2、加強(qiáng)數(shù)據(jù)資源安全管理。這是圖書館安全體系的實(shí)體倉(cāng)庫(kù)，包含兩方面內(nèi)容：一是數(shù)據(jù)采集運(yùn)行時(shí)的儲(chǔ)存和保管，通過安全管理和控制，實(shí)現(xiàn)對(duì)圖書館大數(shù)據(jù)資源的安全采集、過濾、價(jià)值提取和存儲(chǔ)。要及時(shí)備份，實(shí)現(xiàn)多個(gè)節(jié)點(diǎn)的數(shù)據(jù)備份，確保當(dāng)某一節(jié)點(diǎn)發(fā)生安全事件時(shí)，不會(huì)丟失數(shù)據(jù)。二是加強(qiáng)讀者的隱私保護(hù)。采集數(shù)據(jù)時(shí)應(yīng)以讀者的閱讀需求為依據(jù)，不采集與此無(wú)關(guān)的數(shù)據(jù)。對(duì)所采集數(shù)據(jù)進(jìn)行隱私保護(hù)處理，特別是讀者社會(huì)關(guān)系、家庭住址和個(gè)人隱私行為等數(shù)據(jù)，要進(jìn)行保護(hù)處理。要依據(jù)隱私數(shù)據(jù)的特點(diǎn)，設(shè)定不同的安全等級(jí)，采取相應(yīng)的安全管理。

 

3、加強(qiáng)數(shù)據(jù)的分析應(yīng)對(duì)。要加強(qiáng)大數(shù)據(jù)的應(yīng)用，尤其是用大數(shù)據(jù)對(duì)攻擊行為、攻擊模式的分析與研究。安全管理員通過風(fēng)險(xiǎn)預(yù)測(cè)、威脅檢測(cè)、危害評(píng)估和智能應(yīng)對(duì)等技術(shù)，對(duì)發(fā)生在圖書館系統(tǒng)內(nèi)的各類安全事件，包括事件發(fā)生的區(qū)域、類型、程度、對(duì)象、頻次等，進(jìn)行系統(tǒng)分析，制定相應(yīng)的應(yīng)急性預(yù)案，有效的應(yīng)對(duì)各類攻擊

 

4、加強(qiáng)數(shù)據(jù)的有效篩選。大數(shù)據(jù)是信息爆炸產(chǎn)生的海量數(shù)據(jù)，圖書館作為人流頻繁的平臺(tái)，每天都要產(chǎn)生大量的數(shù)據(jù)。對(duì)這些數(shù)據(jù)的分析研究和智能應(yīng)對(duì)，必須去蕪取精，不斷提升數(shù)據(jù)的有效性。安全系統(tǒng)管理人員要根據(jù)平臺(tái)系統(tǒng)要求，通過對(duì)各類數(shù)據(jù)的過濾、清洗、刪減、分析、歸類，完成對(duì)大數(shù)據(jù)資源的評(píng)估與優(yōu)化

 

5、加強(qiáng)系統(tǒng)平臺(tái)安全管理。大數(shù)據(jù)時(shí)代的圖書館，是一個(gè)多功能、多樣化、多個(gè)體的平臺(tái)集成。它包含兩個(gè)方面：一是單一系統(tǒng)內(nèi)自身平臺(tái)的安全管理，主要指某一個(gè)圖書館內(nèi)部不同的安全管理系統(tǒng)和各類應(yīng)用軟件，必須具有良好的兼容性和擴(kuò)展性，實(shí)現(xiàn)內(nèi)部自身的安全管理。另一方面是圖書館大數(shù)據(jù)的開發(fā)性，與其它圖書館，包括互聯(lián)網(wǎng)上平臺(tái)的合作交流和數(shù)據(jù)共享。系統(tǒng)平臺(tái)管理必須構(gòu)建基于云計(jì)算為主體的安全管理，通過云服務(wù)平臺(tái)保證各類數(shù)據(jù)的安全、完整、保密和可用。

 

大數(shù)據(jù)時(shí)代的來(lái)臨，為圖書館給讀者提供個(gè)性化服務(wù)提供了重要載體，搭建了有效平臺(tái)。但同時(shí)基于數(shù)據(jù)分析產(chǎn)生的各類服務(wù)，對(duì)圖書館在數(shù)據(jù)采集、行為分析、硬件擴(kuò)容、軟件升級(jí)和人員技術(shù)提出了更高的要求。尤其是建立在數(shù)據(jù)基礎(chǔ)上的采集，對(duì)數(shù)據(jù)的安全性提出了更高的要求，必須從各個(gè)方面加強(qiáng)安全管理。大數(shù)據(jù)時(shí)代圖書館的安全體系建設(shè)，應(yīng)該在高效、透明、公開的基礎(chǔ)上，更加可控、可管、有保障，才能為讀者提供更好更貼心的閱讀體驗(yàn)。

篇10

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)體系 可信平臺(tái)

中圖分類號(hào)：F49 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設(shè)步伐的推進(jìn)，更多的設(shè)備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護(hù)裝置、先進(jìn)網(wǎng)絡(luò)等，這些設(shè)備的應(yīng)用使電網(wǎng)的信息化、自動(dòng)化、互動(dòng)化程度比傳統(tǒng)電網(wǎng)大大提高，它們?cè)谔嵘娋W(wǎng)監(jiān)測(cè)與管理方面發(fā)揮了重要作用，但同時(shí)也給數(shù)據(jù)與信息的安全帶來(lái)了隱患。比如黑客通過竊取技術(shù)訪問電網(wǎng)公司數(shù)據(jù)中心的服務(wù)器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴(yán)重時(shí)有可能造成國(guó)家的重大損失。因此，如何使眾多的用戶能在一個(gè)安全的環(huán)境下使用電網(wǎng)的服務(wù)，成了當(dāng)前電網(wǎng)信息安全建設(shè)的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設(shè)的關(guān)鍵問題

云計(jì)算技術(shù)在電力企業(yè)的業(yè)務(wù)管理中已經(jīng)逐步得到應(yīng)用，另外，隨著技術(shù)的成熟和商業(yè)成本的降低，基于可信計(jì)算平臺(tái)的網(wǎng)絡(luò)應(yīng)用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務(wù)管理體系中將可信計(jì)算與云計(jì)算結(jié)合起來(lái)，將會(huì)使電網(wǎng)的管理水平如虎添翼。圖1為構(gòu)建可信平臺(tái)模塊間的安全通道示意圖。

在可信計(jì)算環(huán)境下，每臺(tái)主機(jī)嵌入一個(gè)可信平臺(tái)模塊。由于可信平臺(tái)模塊內(nèi)置密鑰，在模塊間能夠構(gòu)成一個(gè)天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺(tái)模塊中，通過安全通信信道來(lái)進(jìn)行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構(gòu)從設(shè)備功能上可以分為基礎(chǔ)硬件層、感知測(cè)量層、信息通信層和調(diào)度運(yùn)維層四個(gè)層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面。因此，其涉及到的關(guān)鍵問題可從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面入手。

3 智能電網(wǎng)信息防護(hù)體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設(shè)一套符合國(guó)家政策要求的電子認(rèn)證系統(tǒng)，并作為電力企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施，實(shí)現(xiàn)各實(shí)體身份在網(wǎng)絡(luò)上的真實(shí)映射，滿足各應(yīng)用系統(tǒng)中關(guān)于身份認(rèn)證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊(cè)管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務(wù)系統(tǒng)，總體結(jié)構(gòu)如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個(gè)安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測(cè)終端健康狀況；保證終端信息安全可控；動(dòng)態(tài)監(jiān)測(cè)內(nèi)網(wǎng)安全態(tài)勢(shì)；快速定位解決終端故障；規(guī)范員工網(wǎng)絡(luò)行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級(jí)防護(hù)體系

此外，在設(shè)計(jì)信息安全體系時(shí)，還需要針對(duì)電力企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)，按照不同的安全保護(hù)等級(jí)，設(shè)計(jì)信息系統(tǒng)安全等級(jí)保護(hù)方案，如圖4所示。

根據(jù)國(guó)家關(guān)于《信息系統(tǒng)等級(jí)保護(hù)基本要求》中關(guān)于信息安全管理的規(guī)定，該體系應(yīng)該包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等方面。

4 結(jié)論與展望

本文將電力云技術(shù)與可信計(jì)算結(jié)合起來(lái)，設(shè)計(jì)了面向智能電網(wǎng)的信息安全防護(hù)體系框架，從CA體系建設(shè)、桌面安全部署、等級(jí)防護(hù)方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個(gè)沒有盡頭的工作，需要及時(shí)與最新的方法相結(jié)合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅(jiān)強(qiáng)。

（基金項(xiàng)目：中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目（11MG50）；河北省高等學(xué)?？茖W(xué)研究項(xiàng)目（Z2013007））

參考文獻(xiàn)：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù)，2009，33（8）：1-7.

[2] 國(guó)家電網(wǎng).關(guān)于加快推進(jìn)堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)的意見[N].國(guó)家電網(wǎng)報(bào)，2010-01-12（2）.

[3] 曹軍威，萬(wàn)宇鑫，涂國(guó)煜，等.智能電網(wǎng)信息系統(tǒng)體系結(jié)構(gòu)研究[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào)，2009（5）：1337-1348.