導語：如何才能寫好一篇云計算安全體系，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：云計算平臺 安全體系 安全應對

中圖分類號：TP399 文獻標識碼：A 文章編號：1674-098X（2017）01（c）-0127-02

在2012年，溫總理在召開國務院會議的時候，對信息工作進行了闡述，并且研究了信息技術的發(fā)展趨勢及信息技術的安全問題，最終確定了信息技術工作的重點內(nèi)容：保障信息網(wǎng)絡的安全管理及防護。在發(fā)展迅速的社會中，云計算作為一個新型技術也在快速發(fā)展，也是我國互聯(lián)網(wǎng)今后的發(fā)展趨勢，安全問題是云計算用戶在使用過程中第一考慮的因素，云計算是否能夠?qū)崿F(xiàn)全面安全也是云計算在推廣及可持續(xù)發(fā)展中的重要因素。

1 云計算平臺體系分析

云計算平臺詳見圖1[1]，從圖1中可以看出云計算平臺安全體系由兩部分組成，分別是基礎設備及遠程終端，運程終端又包含計算終端和智能終端?；A設備包含虛擬化層、維護管理層、平臺服務層、軟件服務層及基礎支撐組成。

2 云計算平臺安全分析

自從虛擬化、多租戶等全新的技術引入云計算平臺中，云計算平臺的安全特點就有：其一，由于云計算平臺中的用戶多種，就要保障云計算平臺的服務可以永續(xù)性；其二，云計算平臺中有多種信息，就要保障云計算平臺中的數(shù)據(jù)安全；其三，云計算平臺是為用戶提供不同的服務，就要保障各用戶之間的安全及運行環(huán)境的安全；其四，不同等級對云計算平臺中的安全需求是不同的，就要保障虛擬機之間的安全。

2.1 虛擬化安全

虛擬化層的安全隱患主要有5個方面：其一，虛擬機的監(jiān)控漏洞，對方往往會利用漏洞攻擊云計算平臺；其二，沒有對鏡像及快照文件實施保護，此方面的安全性關乎到鏡像后，使用用戶信息的安全性；其三，虛擬機在工作的時候，會由于本身的負載失衡或者自身存在的安全問題等多方面因素，在虛擬機向物理機移動的過程中，可能會存在數(shù)據(jù)信息泄露的風險；其四，隨著云計算的不斷進步，傳統(tǒng)對流量監(jiān)控的手段已經(jīng)滿足不了虛擬機網(wǎng)絡流量監(jiān)控需求，這就造成對虛擬流量監(jiān)控方面非常困難；其五，傳統(tǒng)的審計宿主機的方式已經(jīng)不適用于審計虛擬主機的方式，這就造成對虛擬機審計方面的監(jiān)管較為困難。

信息資源存儲方面的安全風險主要類似于SAN技術的虛擬化存儲技術方面的安全問題，包括虛擬化存儲設備中的軟件/硬件問題和信息在網(wǎng)絡中的接受和傳送等安全問題。

2.2 數(shù)據(jù)存儲安全

數(shù)據(jù)存儲的安全隱患主要有3個方面：其一，用戶將數(shù)據(jù)信息存放到云端中，數(shù)據(jù)信息沒有較好的安全性及完成性，就會對其造成安全風險，這也是由于用戶對數(shù)據(jù)信息沒有一個較好的管理程度；其二，在模擬多租戶的背景下，用戶可以實現(xiàn)資源共享及計算，在此過程中切換用戶的時候，用戶在資源共享的數(shù)據(jù)信息就有可能泄露，以此對其造成風險；其三，由于是模擬多租戶的環(huán)境，所以傳統(tǒng)的審計數(shù)據(jù)沒有辦法滿足云端審計數(shù)據(jù)的需求。

2.3 基礎軟/硬件安全

在云計算平臺安全體系中，要密切注意存在軟/硬件中的預埋后門風險、（芯片、CPU等）硬件風險、（應用軟件、開發(fā)軟件、開發(fā)工具等）軟件風險。

2.4 終端安全

在云計算平臺中，由于終端具有不同的設備及不同的類別，這就大大加強了對接入和認證控制方面的難度。另外終端和服務器之間主要是對鍵盤、圖形、鼠標、輸入/輸出信號等信息進行傳輸，除了對遠程連接方面有安全協(xié)議，對于其他符合國家密碼法的信息傳輸?shù)确矫娌]有制定保護措施或者安全協(xié)議，這造成了這方面存在被修改、竊聽等安全問題。同時終端還具有計算和緩存功能，在進行信息加密傳輸?shù)倪^程中，就不能確定信息是否被緩存保存，這就使信息有泄露安全風險。

2.5 Paas和SaaS運行安全

云計算平臺中的管理員有存儲、緩存、計算等權利，這就會造成云計算管理員權利受到他方控制的安全隱患。其次在Paas和SaaS運行的過程中，各租戶與各租戶之間及各租戶與基礎設備之間并沒有科學有效的訪問及隔離控制手段，這就可能會使各租戶或者基礎設備造成他方對其的肆意破壞及攻擊等安全風險。最后在虛擬化背景下，相同的物理服務器中的節(jié)點具有不同的虛擬服務器，所以對兩者的區(qū)分會有較大的難度，這就造成有多種安全保護的用戶會受到訪問限制等一系列的挑戰(zhàn)[2]。

3 云計算平臺安全應對措施

針對云計算平臺中虛擬化安全、數(shù)據(jù)存儲安全、基礎軟/硬件安全、終端安全及Paas和SaaS運行安全，應該采取以下措施，以此使云計算平臺可以有一個安全的運行環(huán)境。

3.1 虛擬化安全應對措施

虛擬化存在5種安全隱患，所以也要有5種應對措施。其一，要定期對云計算平臺進行漏洞風險掃描、修復、升級等，及時發(fā)現(xiàn)漏洞并且及時對其進行解決；其二，對于鏡像、快照文件進行加密存儲，保障其是完整且具有機密性的；其三，可以在虛擬機向物理機移動的過程中進行加密技術或者限制權限等技術，防止其中的文件、信息等被惡意篡改和非法訪問等；其四，可以在虛擬網(wǎng)絡流量監(jiān)控中使用虛擬標記和審計措施，實現(xiàn)對其的實施監(jiān)控；其五，首先要全面了解虛擬化環(huán)境中的審計監(jiān)管，對于虛擬化網(wǎng)絡及虛擬化硬件資源方面采取細致的審計措施，保障對虛擬機的監(jiān)控是實時且有效的。

3.2 數(shù)據(jù)存儲安全應對措施

數(shù)據(jù)存儲中存在安全隱患，所以也要采取3種應對措施。其一，使用數(shù)據(jù)加密或者磁盤加密等加密措施，使云計算平臺中存儲的數(shù)據(jù)具有完整性及機密性；其二，對于數(shù)據(jù)的殘留，可以對其進行銷毀，有效地整理數(shù)據(jù)，使數(shù)據(jù)不被泄露；其三，提高數(shù)據(jù)處理、使用、銷毀的周期，為之后的數(shù)據(jù)審計打下良好基礎。

3.3 基礎軟/硬件安全應對措施

對于軟/硬件后門風險，可以使用國產(chǎn)CPU、芯片或者國產(chǎn)化的軟件來研究及開發(fā)云計算平臺，防止軟/硬件安全隱患的發(fā)生。

3.4 終端安全應對措施

首先可以對終端進行統(tǒng)一有效的接入授權，然后針對終端在傳輸過程中發(fā)生的泄露信息的風險，對遠程傳輸協(xié)議實施安全加固，使用國家規(guī)定的密碼算法對信息傳輸進行保護，使其具有完整性及機密性。最后可以使用物理斷電對終端中殘留的敏感信息進行清理，使信息徹底消除，降低信息泄露風險。

3.5 Paas和SaaS運行安全應對措施

首先可以對云計算平臺中的管理員及虛擬機的管理員進行控制和分配權限。其次使用虛擬機隔離、進程隔離等隔離方式對各租戶之間進行有效隔離，限制各租戶之間的訪問，降低各租戶的信息泄露風險。最后可以重新構建安全芯片，使用密碼隔離對同一物理機上存在的風險進行安全隔離[3]。

4 結語

隨著云計算技術的不斷發(fā)展，被廣泛運用到我國各行各業(yè)中，云計算技術也改變著我們的日常生活。云計算平臺在發(fā)展的過程中也會面臨著不同的安全問題，所以就要對這些問題制定相應的措施，這也是使云計算技術可持續(xù)發(fā)展的有效途徑。

參考文獻

[1] 徐宗標.云計算平臺安全體系及應對措施[J].電信技術， 2014（2）：36-39.

篇2

關鍵詞:云計算;無線局域網(wǎng);WPA;PSK

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9611-04

Cloud Computing and Research of WPA Security

WANG Jian1, FANG Hong-ying2

(1.College of Computer Science and Technology,Chongqing University of Posts and Telecoms,Chongqing 400065, China; 2.College of Science,Chongqing Jiaotong University,Chongqing 400074, China)

Abstract: The WLAN with wireless channel for the transmission medium widely applied to the domain needing for removable data processing or unable to cabling with physics transmission medium. But its open characteristic causes wiretapping,identity threats, and so on counterfeiting and tampering of information are actually ubiquitous. The IEEE 802.11 proposes a series of safety mechanism to solves these Safety potential, as identification authentication and the data encryption and so on. But along with cloud computation, facing the super-computing platform, computing hundreds of millions of times per second, the encryption protocol in WLAN became frail at present. In this paper based on the WLAN WPA encryption, a detailed analysis of cloud computing to WLAN security challenges will be discussed, finally the experimental data will prove the authenticity and severity of such security threat.

Key words: cloud computing; WLAN; WPA; PSK

無線局域網(wǎng)(Wireless Local Area Network,WLAN)作為有線聯(lián)網(wǎng)方式的補充和延伸,逐漸成為計算機網(wǎng)絡中一個至關重要的組成部分。WLAN以無線信道作傳輸媒介,廣泛適用于需要可移動數(shù)據(jù)處理或無法進行物理傳輸介質(zhì)布線的領域。

無線媒介具有開放性特點,但它要求比有線網(wǎng)絡更嚴格的安全措施。雖然WLAN規(guī)范的標準化,使無線網(wǎng)絡技術變得成熟與完善,但竊聽、身份假冒和信息篡改[1]等威脅卻無處不在。為了解決這些安全隱患,IEEE 802.11協(xié)議提出了一系列安全機制,來實現(xiàn)身份驗證和數(shù)據(jù)加密。但是隨著云計算的提出,面對每秒數(shù)億次的超級計算平臺,目前WLAN中的加密協(xié)議顯得來力不從心。本文以WLAN中最常用的WPA加密協(xié)議為例,詳細分析云計算對無線局域網(wǎng)安全帶來的挑戰(zhàn)。

1 云計算

云計算(Cloud Computing)是分布式計算技術的一種,其最基本的概念,是透過網(wǎng)絡將龐大的計算處理程序自動分拆成無數(shù)個較小的子程序,再交由多部服務器所組成的龐大系統(tǒng)經(jīng)搜尋、計算分析之后將處理結果回傳給用戶。透過這項技術,網(wǎng)絡服務提供者可以在數(shù)秒之內(nèi),達成處理數(shù)以千萬計甚至億計的信息,達到和“超級計算機”同樣強大效能的網(wǎng)絡服務――維基百科(Wikipedia)。

1.1 云計算的原理

云計算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計算(Grid Computing)的發(fā)展。其原理是,通過使計算分布在大量的分布式計算機上,而非本地計算機或遠程服務器中,企業(yè)數(shù)據(jù)中心的運行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應用上,根據(jù)需求訪問計算機和存儲系統(tǒng)。云計算具有綜合利用網(wǎng)絡上的軟件和數(shù)據(jù)的能力,把計算資源和存儲資源聯(lián)合起來,供每一個成員使用。

1.2 云計算的特征

云計算[2]是“海量存儲”和“高性能計算服務”的高度融合。高性能計算服務(云計算)部署依賴于計算機集群,也吸收了自主計算和效用計算的特點;海量存儲(Cloud Storage,云存儲)是一種將數(shù)據(jù)保存在虛擬存儲池上的實現(xiàn)方式,數(shù)據(jù)獨立存儲,而非與計算部件共享服務器上。

從事云計算服務研究的結構眾多,包括Wikipedia,Google,Microsoft,Garmer和Forrester等,它們依據(jù)各自的利益和不同的研究視角給出了對云計算不同的的定義和理解。但是無論廣義的還是狹義的云計算,均具有如下特征:快速部署資源或獲得服務;按需擴展和使用;可以按使用量計費;通過網(wǎng)絡提供服務。

1.3 云計算為安全帶來的好處[3]

1) 數(shù)據(jù)集中存儲:數(shù)據(jù)的集中存儲減少了數(shù)據(jù)泄露的可能性,可靠的安全監(jiān)測提供可靠的實時安全保障,用戶的存儲成本也大大降低。

2) 事件快速反應:事件的快速反應是指云計算縮短了服務時間,降低了服務器出錯概率,使服務更有針對性。

3) 密碼可靠性測試:如果用戶需要使用密碼破解工具定期對密碼強度進行測試,那么可以使用云計算減少密碼破解時間,并更能保證密碼強度的可靠性。

4) 無限期日志:在云存儲模式下,如果磁盤空間不足,可以重新分配,并不會影響日志的存儲使用,而且沒有日期限制。完善日志索引機制提供實時索引功能。

5) 提升安全軟件的性能:在云計算中,出現(xiàn)了越來越多的高性能安全軟件,也可以在某種程度上說,云帶來了安全產(chǎn)品的整體提升。

6) 可靠的構造:通過預控制機制減少漏洞,同時更容易檢測到安全狀況,有助于構造出更安全的工作環(huán)境。

7) 安全性測試:降低安全測試成本,節(jié)省昂貴的安全性測試費用。通過云計算還可以在潛在成本規(guī)模經(jīng)濟下開發(fā)產(chǎn)品。

2 云計算對無線網(wǎng)絡安全的挑戰(zhàn)[4]

無線局域網(wǎng)(WLAN)是一種利用無線技術、實現(xiàn)局域網(wǎng)功能的技術。相對于有線通信技術而言,無線傳輸媒體的開放性導致監(jiān)聽變得無處不在。因此,IEEE 802.11-1999標準中提出了一系列技術,希望從認證、加密和數(shù)據(jù)的完整性三方面為數(shù)據(jù)傳輸提供安全保障。

2.1 WEP協(xié)議

WEP(Wired Equivalent Privacy,有線等效加密)[5]安全技術源自于名為RC4的RSA數(shù)據(jù)加密技術,以滿足用戶更高層次的網(wǎng)絡安全需求。RC4加密算法是RSA Security的Ron Rivest在1987年設計的密鑰長度可變的流加密算法簇。該算法具有很高級別的非線性,其速度可以達到DES加密的10倍。

WEP協(xié)議的安全性取決于密鑰及其不被發(fā)現(xiàn)的能力。研究表明RC4算法中如果用相同的初始化向量和密鑰加密兩條消息,那么流密碼容易受到攻擊:因為如果對相同密鑰流加密的密文進行XOR運算,那么密鑰流將互相抵消而保留兩條明文的XOR結果。攻擊者也可能查找某一已知明文,并可以用它對兩條明文的XOR結果再作XOR運算來計算另一條明文的內(nèi)容。歸結WEP協(xié)議的弱點如表1所示,其今天的地位只能說是說有勝于無了。

2.2 WPA協(xié)議

WPA(Wi-Fi Protected Access)是另一種保護無線局域網(wǎng)安全的技術,它有針對性的解決了WEP中的幾個嚴重的弱點[6]。

從表2可以看出WPA在安全方面進行了如下革新:身份驗證機制杜絕了偽鏈接攻擊;增強至48Bits的IV加上Sequence Counter機制防止IV 重復;MIC信息編碼完整性機制,使得要偽造一個合法數(shù)據(jù)包變得異常的困難;Per-Packet Key加密機制,讓每個包都使用不同的key加密;Dynamic key management,動態(tài)key管理機制,為密碼的安全提供保障。

目前使用的WPA有普通WPA 和WPA2(802.11i)兩個標準。其區(qū)別在于數(shù)據(jù)加密算法(TKIP、AES)和數(shù)據(jù)完整性校驗算法(MIC、CCMP)的不同,如表3所示。

在WPA/WPA2中和密碼相關的信息有加密數(shù)據(jù)包和身份認證數(shù)據(jù)。通過分析TKIP和AES可以得出,由于無法知道明文,要通過捕獲足夠的加密數(shù)據(jù)包從而找到可以攻擊的信息很難實現(xiàn)。那么破解的突破口就在于WPA/WPA2的身份認證過程。

WPA/WPA2分為兩種認證方式:802.1x (基于端口的網(wǎng)絡接入控制)+ EAP(擴展認證協(xié)議)模式,是一種工業(yè)級的身份認證體系,需要架設專用的認證服務器(如Radius);Pre-shared Key (PSK,預共用密鑰)模式,是設計給負擔不起 802.1x 驗證服務器的成本和復雜度的家庭和小型公司網(wǎng)絡用的。針對前者的攻擊代價太高,目前主要的破解行為都集中在PSK模式上。

2.2.1 預共用密鑰(Pre-shared Key,PSK)

PSK的認證過程包含STA(Station,客戶端)與AP(access point)間的四次握手(Four-Way Handshake),如圖1所示。

2.4.1 WPA-PSK 初始化工作

使用 SSID 和passphares使用以下算法產(chǎn)生PSK 在WPA-PSK 中PMK=PSK

PSK=PMK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096)

1) 第一次握手

AP:廣播SSID、AP_MAC到STA。

STA:使用接收到的SSID,AP_MAC和passphares計算出PSK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096);且PMK=PSK。

2) 第二次握手

STA:發(fā)送一個隨機數(shù)SNonce,STA_MAC到AP。

AP端:接收到SNonce,STA_MAC后產(chǎn)生一個隨機數(shù)Anonce;然后用PMK,AP_MAC,STA_MAC,SNonce,ANonce 產(chǎn)生PTK=SHA1_PRF(PMK, Len(PMK), "Pairwise key expansion",MIN(AP_MAC,STA_MAC) ||Max(AP_MAC,STA_MAC) || Min(Anonce,SNonce) || Max(Anonce,SNonce));提取這個PTK 前16Bytes組成一個MIC KEY。

3) 第三次握手

AP:發(fā)送上面產(chǎn)生的Anonce到STA。

STA:用接收到ANonce 和以前產(chǎn)生PMK,SNonce,AP_MAC,STA_MAC用同樣的算法產(chǎn)生PTK;提取這個PTK 前16Bytes組成一個MIC KEY;使用以下算法產(chǎn)生MIC = HMAC_MD5(MIC Key,16,802.1x data),其中802.1x data 是802.1x 數(shù)據(jù)幀。

4) 第四次握手

STA:用上面那個準備好的802.1x 數(shù)據(jù)幀在最后填充上MIC值和兩個字節(jié)的0(十六進制),然后發(fā)送這個數(shù)據(jù)幀到AP。

AP:收到這個數(shù)據(jù)幀后提取這個MIC,并把這個數(shù)據(jù)幀的MIC部分都填上0(十六進制),這時用這個802.1x data 數(shù)據(jù)幀,和用上面AP產(chǎn)生的MIC KEY 使用同樣的算法得出MIC’;如果MIC’等于STA發(fā)送過來的MIC。那么第四次握手成功,若不等說明則AP 和STA的密鑰不相同,或STATION 發(fā)過來的數(shù)據(jù)幀受到過中間人攻擊,原數(shù)據(jù)被篡改過。握手失敗了。

2.2.2 PSK的破解

雖然PSK安全體系是十分完善的,但自始至終是一個靠密鑰保護的系統(tǒng),密鑰成為了系統(tǒng)的關鍵點,也是威脅安全的失效點。

圖1中很清楚的表明,在四次握手中主要傳遞的有如下數(shù)據(jù):SSID,AP_MAC,STA_MAC,SNonce,ANonce,802.1x data,MIC。前面6 個元素很清楚,不跟密鑰有聯(lián)系,只有最后一個MIC和密碼有所聯(lián)系。MIC是通過上面六個信息元素和密碼通過三個主要的算法計算出來的。理論上說只要找到這三個算法的逆反算法就可以根據(jù)上面的7個信息元素把密碼計算出來了呢。但是事與愿違的是pdkdf2_SHA1,SHA1_PRF,HMAC_MD5這三個函數(shù)都是HASH(散列) 函數(shù)。眾所周知,HASH函數(shù)幾乎都不存在反函數(shù),因此唯一可行的就是建立字典(Hash Tables)進行攻擊。

1) 字典法

字典法,又叫窮舉法、遍歷法。首先把可能的密鑰羅列起來組成一個密碼字典。然后采用待破解系統(tǒng)相同的加密過程(加密算法和步驟)依次計算出每一個密鑰的密文值與現(xiàn)有密文值進行比較,嘗試猜解密碼;也可以依次將字典中的每一個密鑰導入待破解系統(tǒng),在線驗證密碼。

PSK密鑰規(guī)范規(guī)定:可以采取HEX和ASCII模式做密鑰,最多64Bytes,符號包括字母和數(shù)字。那么可是使用的字符個數(shù)為95個,密碼空間為9564。這超乎想象的密碼空間是目前任何計算機系統(tǒng)都無法勝任的。

2) 弱口令字典[7]

弱口令是一個相對的概念,指的是密鑰空間中很有希望破解的那部分。由此構成的字典被稱為弱口令字典?？紤]到現(xiàn)實生活中人們設置密鑰的習慣,常見的弱口令字典包括:社會工程學的弱口令;有一定聯(lián)系性規(guī)律性弱口令;暴露過的強口令。

3) 內(nèi)存-時間平衡(Time-Memory Trade-Offs)法[8]

單純地使用字典,采用和目標同等算法破解,其速度其實是非常緩慢的,就效率而言根本不能滿足實戰(zhàn)需要。如果能夠?qū)崿F(xiàn)直接建立出一個數(shù)據(jù)文件,里面事先記錄了采用和目標采用同樣算法計算后生成的Hash值,在需要破解的時候直接調(diào)用這樣的文件進行比對,破解效率就可以大幅度地,這一方法還可以依托大型數(shù)據(jù)庫進行文本匹配,從而更加速了解密的進程。由于這種方法意味著使用大量內(nèi)存的能夠減少破解密碼所需要的時間,由此被稱作“內(nèi)存-時間平衡法”。而事先構造的Hash數(shù)據(jù)文件在安全界被稱之為Table表(文件)。

2.2.3 云計算構建PSK Hash Tables

在“內(nèi)存-時間平衡”法和弱口令字典的基礎之上,可以開始構建跟PSK解密相關的Hash表了。所采用的方法即前文所述的Four-Way Handshake,涉及到的函數(shù)包括pdkdf2_SHA1、SHA1_PRF、HMAC_MD5。目的是將弱口令字典中的每一個密鑰(MK)通過pdkdf2_SHA1計算出PMK(即PSK),再通過SHA1_PRF函數(shù)計算該PMK對應的PTK,最終將原始的MK和生成的PTK對存入PSK Hash Tables備用。

云計算中軟件即服務(SaaS)的收費服務理念在分布式構建PSK Hash Tables時非常有效。全球每一個用戶既可以在PSK云計算平臺中將自己計算機空閑資源共享出來,通過分布式計算為PSK Hash Tables添磚加瓦,從而按計算量獲取報酬;又可以享受在擁有被攻擊對象PTK的情況下,高速查詢原始密鑰的服務,一切只需要付費即可。

以由1000臺計算機構成的PSK云計算平臺為例,計算PSK Hash Tables的時間減少為原來的1/1000。通過該云計算平臺,可以將以前的100~300 key/s的單機破解速率,提升到30000~100000 key/s,破解效率提升了近300~1000倍。綜合所述,這個破解PSK密鑰的速度提高了106倍。

2.2.4 現(xiàn)狀

國外高級安全機構(如churchofwifi、shmoo等),也已經(jīng)建立了高達500G的詳盡WPA/WPA2攻擊Hash Tables庫,并將一些基本完善的PSK Hash Tables公開出售,這使得普通電腦在5分鐘內(nèi)破解14位長足夠復雜的PSK帳戶密碼成為現(xiàn)實。

4 結論

該文研討了云計算對無線網(wǎng)絡安全帶來的挑戰(zhàn),充分展現(xiàn)了“云計算”+“內(nèi)存-時間平衡法”的高效性。

安全研究是把雙刃劍,既可能對系統(tǒng)造成破壞,使用得當也可以預測和避免網(wǎng)絡威脅。安全領域中,云計算可用于:加密算法強度評估;無限期日志;可靠性測試; 安全性測試等方面。

參考文獻:

[1] 張豐翼,劉曉寒,馬文平,王新梅.無線局域網(wǎng)安全的關鍵問題[J].信息安全與通信保密,2004(5):34-37.

[2] 顧理琴.淺談云計算(Cloud Computing)--未來網(wǎng)絡趨勢技術[J].電腦知識與技術,2008(S2):11-12.

[3] 編者.云計算為安全帶來的七大利好[J].計算機與網(wǎng)絡,2008(17):37-38.

[4] 謝四江,馮雁.淺析云計算與信息安全[J].北京電子科技學院學報,2008(4):1-3.

[5] Matthew Gast.802.11?R Wireless Networks The Definitive Guide [M].2nd ed.Sebastopol,CA:O'Reilly Media,Inc,2005.

[6] 孫宏,楊義先.無線局域網(wǎng)協(xié)議802.11安全性分析[J].電子學報,2003(7):1098-1100.

篇3

隨著網(wǎng)絡技術的高速發(fā)展，信息傳播速率不斷提高，給人們的社會生活帶來了巨大的改變，信息技術深入滲透人們社會生活的方方面面。近年來，云計算概念開始迅速崛起，并上升為我國的國家信息戰(zhàn)略的重要組成部分。伴隨云計算的運用，其面對的網(wǎng)絡信息安全問題也開始越來越受到關注。本文通過對云計算的原理及特點進行分析，提出應該充分重視云計算環(huán)境下的信息安全，采用科學有效的手段進行信息安全防護，促進云計算網(wǎng)絡的健康發(fā)展。

【關鍵詞】

云計算；互聯(lián)網(wǎng)；信息安全；云服務

近年來，隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡信息傳播給人們的社會生活的方方面面帶來了巨大的改變。在網(wǎng)絡發(fā)展的過程中，云計算概念開始誕生，并快速發(fā)展。但是相伴而生的網(wǎng)絡安全問題也開始浮現(xiàn)，如數(shù)據(jù)存儲由云服務商統(tǒng)一管理后容易發(fā)生身份信息泄露等諸多問題，所以構建科學有效的信息安全防護方案，勢在必行。

1云計算的原理剖析及特點研究

1．1原理剖析

云計算，是通過網(wǎng)絡計算技術和多種處理技術構建的一種新型計算模式，其通過建設新型信息共享構架，滿足大批量的數(shù)據(jù)存儲和一定范圍的網(wǎng)絡功能服務。云計算是利用互聯(lián)網(wǎng)作為載體實現(xiàn)多種方法的計算并最終完成相關服務的。通常意義上來說，用戶獲取信息服務和相關計算，只需要在操作過程中運用相同的服務器就可以完成相應操作，但是高質(zhì)量的運算必須利用互聯(lián)網(wǎng)才能實現(xiàn)。為了提高使用效率和提高服務質(zhì)量，高效利用互聯(lián)網(wǎng)進行相關資料的統(tǒng)計和處理，使更多用戶獲得從企業(yè)數(shù)據(jù)處理中心提供的服務，實現(xiàn)較好的操作性，就必須云計算的分布模式進行利用。

1．2特點研究

通常來說，云計算具備以下四個方面的優(yōu)點:第一，云計算具有超大范圍的資源共享能力，其擺脫了利用軟件完成資源共享的依賴。第二，云計算具備特殊配置部署能夠更好地滿足用戶的個性化訪問需求。第三，云計算具備良好的拓展性，為大規(guī)模的信息集群的開展提供了堅實的基礎。第四，云計算具備強大的自動化的忽略錯誤節(jié)點能力，可以保障程序的穩(wěn)定運行，而不受大量節(jié)點失效的影響。與此同時，目前的云計算也存在兩個缺點。首先，傳統(tǒng)業(yè)務的過渡處理存在缺陷，容易引發(fā)壟斷問題。其次，云計算安全性防范系統(tǒng)的薄弱極為容易引發(fā)信息安全問題，帶來信息服務質(zhì)量下降。目前云計算存在常見安全問題主要有網(wǎng)絡泄密、網(wǎng)絡病毒等問題，這些問題影響著云計算技術的發(fā)展，必須找到科學有效的解決方案，才能確保云計算技術的健康發(fā)展。

2云計算環(huán)境下多種網(wǎng)絡安全問題

2．1計算機網(wǎng)絡環(huán)境的安全問題

云計算面對計算機網(wǎng)絡安全問題主要包括網(wǎng)絡硬件故障，網(wǎng)絡管理操作錯誤等問題。眾所周知，網(wǎng)絡是軟硬件構成的智能系統(tǒng)，軟件的運行錯誤和硬件的故障都可能帶來安全問題，甚至自然性災害都可能讓危及計算機網(wǎng)絡環(huán)境安全。在云計算環(huán)境下，數(shù)據(jù)處理往往采用集中式處理方法，其對使用環(huán)境的安全性要求較高，因此計算機網(wǎng)絡環(huán)境的安全性對云計算的網(wǎng)絡安全至關重要。

2．2數(shù)據(jù)存儲的安全問題

作為計算機網(wǎng)絡健康穩(wěn)定運行的前提條件，數(shù)據(jù)存儲安全十分重要。在傳統(tǒng)網(wǎng)絡環(huán)境下，相關數(shù)據(jù)存儲通常采用單機運行，數(shù)據(jù)儲存安全性較高。但是在云計算環(huán)境下，存儲由服務商統(tǒng)一管理，數(shù)據(jù)村粗的安全性就取決于服務商的技術水平和誠信度。作為威脅數(shù)據(jù)通信安全的關鍵環(huán)節(jié)，數(shù)據(jù)的傳輸過程極為容易受到安全威脅，如實行DDOS攻擊，此外，還可以利用系統(tǒng)入侵和篡改數(shù)據(jù)來破壞數(shù)據(jù)信息。

2．3虛擬環(huán)境的安全問題

基于云計算環(huán)境的虛擬服務環(huán)境是建立在對現(xiàn)階段網(wǎng)絡資源的全面整合之上的。在云計算環(huán)境下，用戶獲取數(shù)據(jù)來自于云端，“臨時租用式”地獲取服務，這樣可以使網(wǎng)絡資源得以高效利用。然而云計算環(huán)境的本質(zhì)是屬于高度整合的虛擬網(wǎng)絡環(huán)境，其相關安全措施并不完善，傳統(tǒng)的網(wǎng)絡防范技術很難實現(xiàn)對云計算數(shù)據(jù)中心的保護。

2．4身份認證的安全問題

在構建云計算網(wǎng)絡時，服務商會在相關區(qū)域搭建服務器，當用戶獲取資源時，會向服務器發(fā)送請求，并進行身份認可。這樣一來，用戶身份存在暴露的可能性，為不法分子提供了可乘之機。通常情況下，不法分子不僅可以通過攻擊用戶管理服務器盜取用戶名與密碼，還可以利用云計算的網(wǎng)絡信道進行監(jiān)聽胡哦哦東，或者向網(wǎng)絡信道傳統(tǒng)病毒，進行非法活動。

3云計算信息安全的防護策略

3．1建立統(tǒng)一的信息保障系統(tǒng)

為了保護云計算環(huán)境下的信息安全，相關部門和行業(yè)協(xié)會必須積極引導企業(yè)建立互信合作，共同建立統(tǒng)一的信息管理保障系統(tǒng)，進行資源快速整合，促進云計算技術的發(fā)展。我們必須正視互聯(lián)網(wǎng)行業(yè)中存在競爭關系和競爭情況，努力擴大企業(yè)信息交流，增進和互信合作。

3．2加強云環(huán)境信息的加密防范

為了保障云計算環(huán)境下的信息安全，我們必須對云環(huán)境的信息進行全面性的加密防范，有效保障每一個信息的安全性。如采用PGP方式進行過加密的文件，在傳輸過程中也能得到有效安全保護，我們還可以通過設置上傳命令的形式保障傳輸安全性，信息管理者還可以進行多秘鑰設置，構建多層防護。針對具有數(shù)據(jù)范文的數(shù)據(jù)加密，我們可以借助AES技術進行全面加密。此外，我們還可利用SAN技術相關信息備份，在信息丟失時利用備份進行數(shù)據(jù)恢復工作。

3．3加強基礎設施管理和內(nèi)容備份

云計算環(huán)境的網(wǎng)絡信息安全保障中，對其平臺的基礎設施管理也至關重要，一旦基礎設施發(fā)生故障，網(wǎng)絡的正常運行將受到巨大影響。因此，我們必須全年開展基礎網(wǎng)絡管理，對重要信息進行多重綁定設置，必須完善防火墻建設，并加強系統(tǒng)內(nèi)部的非常端口和服務系統(tǒng)的管理。此外，我們還需要完善云計算內(nèi)容的備份工作，改變目前傳統(tǒng)備份手段無法適應大數(shù)據(jù)發(fā)展需要的不良格局，只有做好備份工作，才能保證云計算技術的穩(wěn)定健康發(fā)展。

作者：李健 單位：中國聯(lián)合網(wǎng)絡通信有限公司陜西分公司

參考文獻:

篇4

關鍵詞：云計算 安全防護體系

一、云計算及特點

1.什么是云計算

云計算是當今信息領域的發(fā)展熱點，它不僅建立了一種基于互聯(lián)網(wǎng)為用戶提供彈性計算資源服務的新型商業(yè)模式，也提出了一條可行的通過整合網(wǎng)絡上分散信息資源來滿足“大數(shù)據(jù)、大用戶、大系統(tǒng)”需求的技術解決途徑。由于云計算在經(jīng)濟、敏捷、創(chuàng)新方面的突出特點，已成為大數(shù)據(jù)時代信息產(chǎn)業(yè)發(fā)展的有力推手。

云計算通常包括“云平臺”和“云服務”兩個部分?！霸破脚_”是由網(wǎng)絡、服務器、軟件、數(shù)據(jù)等大規(guī)模計算資源集合及其調(diào)度與管理系統(tǒng)組成的“實體”中心，可為用戶提供各類“云服務”；“云服務”是“云平臺”的外在表現(xiàn)形式，主要有IaaS（基礎設施即服務）、PaaS（平臺即服務）和SaaS（軟件及服務）。

2.云計算的特點

云計算的核心思想是通過一套高效的技術機制來將大量計算資源整合成資源池，按需提供服務。與傳統(tǒng)的數(shù)據(jù)中心相比，云計算具備以下特點：

（1）資源虛擬化

云計算通過虛擬化技術將海量的服務器、存儲、網(wǎng)絡等整合為虛擬的“資源池”。用戶只要通過終端接入云平臺就可獲取資源，不需要了解實際資源的具置、實現(xiàn)方式。實際計算資源即使因各種原因發(fā)生變化或調(diào)整，也不會對用戶產(chǎn)生影響。

（2）彈性調(diào)整

一方面，云計算可按需動態(tài)調(diào)整資源，自動適應業(yè)務負載的動態(tài)變化，以保證用戶使用的資源同業(yè)務需求一致，避免資源不足引起服務中斷或資源分配過多引起閑置資源浪費；另一方面，云計算資源可以根據(jù)需求進行快速、彈性擴展，以滿足用戶增長的需要。

（3）多租戶服務

云計算采用了分布式計算和資源動態(tài)分配技術，并按照資源使用來計費，按照服務計費。這樣云計算所有資源都可以被多個用戶共享，用戶之間也可以分享資源及應用，提高了資源利用率，實現(xiàn)可擴展和更低的運行成本。

（4）高效可靠

云計算服務的交付和使用都是基于網(wǎng)絡來實現(xiàn)的，網(wǎng)絡的持續(xù)高效特點貫徹云計算的始終。與傳統(tǒng)數(shù)據(jù)中心相比，云計算使用冗余技術來實現(xiàn)資源的可靠性，通過數(shù)據(jù)多副本容錯、計算節(jié)點同構、數(shù)據(jù)分布式存儲等措施來進行備份冗余，并能實現(xiàn)災難恢復，可以更好的保障服務高可靠性。

二、云計算安全風險分析

與傳統(tǒng)網(wǎng)絡應用不同，云計算采用了用戶數(shù)據(jù)放置云端、多租戶共享資源、虛擬化整合資源等技術來整合海量資源為用戶提供服務，在帶來低成本、高性能等好處同時，由于云平臺的巨大模以及其開放性與復雜性，成為被黑客集中攻擊的目標，面臨了比以往更為嚴峻的安全風險。安全問題已成為影響“云計算”推廣應用的首要因素。

參考云計算體系基本架構，從IaaS安全、PaaS安全、SaaS安全、終端安全等四個方面對云計算的風險進行了分析，見表1所示。

從表1可以看出，由云平臺自身特性導致的主要風險包括以下幾類：

1.應用與數(shù)據(jù)集中后的數(shù)據(jù)安全風險

數(shù)據(jù)安全是指數(shù)據(jù)機密性、完整性和可用性的安全。用戶的應用和數(shù)據(jù)均存儲于云平臺，數(shù)據(jù)傳輸、訪問、存儲、審計等各個環(huán)節(jié)都存在安全風險，可能導致數(shù)據(jù)泄露、丟失甚至被篡改。

2.共享技術漏洞引入的虛擬化安全風險

虛擬化實現(xiàn)了計算和存儲資源的共享。但若共享技術存在漏洞，如錄入數(shù)據(jù)未有效隔離，虛擬機管理程序存在漏洞等，會導致用戶信息泄露，甚至非法用戶通過漏洞直接控制真實資源。

3.多租戶模式帶來的數(shù)據(jù)泄露風險

多租用應用服務模式下，租戶的數(shù)據(jù)存儲在非完全可信的虛擬的云上，惡意租戶可通過共享資源對其它租戶和云計算基礎設施進行攻擊，租戶敏感信息面臨著極大的泄露風險。

4.安全邊界不確定帶來的運營安全風險

由于沒有傳統(tǒng)的物理安全邊界，攻擊者可以利用接口進入云環(huán)境后安裝惡意軟件實施破壞，或通過網(wǎng)絡攔截方式獲取用戶賬號信息后，冒名登陸客戶的虛擬機實施惡意破壞。

5.云平臺自身缺陷導致的服務中斷風險

由于云平臺存儲著大量的用戶應用及數(shù)據(jù)，更容易成為黑客集中攻擊的目標。一旦因云平臺自身隱患或漏洞出現(xiàn)問題，將可能導致服務中斷，造成難以挽回的損失。

三、云計算安全防護體系架構

從云計算的基本過程來看，其“端到端”的應用模式涉及到用戶終端、網(wǎng)絡傳輸以及云平臺內(nèi)部的“基礎設施、平臺和應用”各個環(huán)節(jié)，僅按照以往的邊界防護方式難以防范運行在平臺上的應用，不對用戶端和應用過程進行監(jiān)管，也無法防范非法用戶和惡意攻擊。因此，解決云計算安全問題必須從實施基于風險的安全管理入手，即建立云計算安全防護體系。

1.云計算安全防護目標

通過整體防護，為云用戶提供端到端的安全可信的云計算服務環(huán)境，保證用戶的數(shù)據(jù)安全與隱私不泄露，確保應用的完整性、保密性、可用性；通過過程管理，對云計算服務各個環(huán)節(jié)進行防護管理，保證云平臺運行安全可靠。

2.云計算安全防護體系基本架構

云計算安全防護體系，應按照“過程防護、分層防護、多手段綜合、實時監(jiān)管”的思路構建，其基本架構由基礎設施安全防護、平臺安全防護、應用安全防護和終端安全防護和安全管理等五部分組成。

（1）基礎設施安全防護

IaaS為用戶按需提供實體或虛擬的計算、存儲和網(wǎng)絡等資源，是云計算體系的基石。Iaas安全除應具備傳統(tǒng)數(shù)據(jù)中心的物理安全、網(wǎng)絡安全、系統(tǒng)安全等安全防護手段外，虛擬化安全是IaaS安全防護最重要的任務。主要安全措施包括：

應用安全保護，主要是通過采取快速切換、容錯虛擬機、資源冗余備份等措施，當出現(xiàn)硬件故障、虛擬機故障時，能及時保存用戶應用進程、分配備份資源，以保證用戶應用的高可用性。

虛擬化安全防護，重點是做好虛擬機與真實系統(tǒng)的隔離。一方面，要做好虛擬服務器的數(shù)據(jù)隔離備份和邏輯隔離，保證虛擬服務器安全；另一方面，通過虛擬化管理軟件對虛擬器服務的創(chuàng)建、運行和銷毀進行管理，保證用戶不能介入虛擬化軟件層；

資源安全防護，主要是用戶審計，避免非授權認證用戶接入、資源被非法訪問。

（2）平臺安全防護

PaaS層又稱中間層，主要包括操作系統(tǒng)和數(shù)據(jù)庫、開發(fā)軟件等中間件，為用戶提供軟件的應用開發(fā)和運行環(huán)境。PaaS層安全包括平臺安全、接口安全和應用安全，除保證為用戶提供可信的軟件開發(fā)運行環(huán)境外，重點是保證用戶接入安全、用戶應用隔離。主要安全措施包括：

用戶身份認證，通過使用身份聯(lián)合、單點登錄和統(tǒng)一授權等措施，保證云環(huán)境下能安全共享用戶身份信息并對其認證、授權，確保合法用戶按權限安全合理的使用云資源。

云密碼服務，為保證接入安全、用戶數(shù)據(jù)安全，基于公鑰體制為用戶提供云密碼服務，使用戶能利用云密碼服務來對自己的業(yè)務流進行加解密，保證接入安全、用戶數(shù)據(jù)安全。

云審計服務，即由第三方對云環(huán)境安全進行審計，并公布相關證據(jù)及其可信度。一方面云服務提供商向用戶證明提供的中間件及運行環(huán)境可信，另一方面通過對用戶的應用軟件審計，避免云環(huán)境被非法利用。

（3）應用安全防護

SaaS層面向云終端用戶，為其提供基于互聯(lián)網(wǎng)的應用軟件服務。SaaS安全的重點是應用安全，主要安全措施包括：

數(shù)據(jù)隔離，云平臺下的應用軟件是將所有用戶數(shù)據(jù)共同保存在一個軟件實例中的，需要采用共享表結構、共享數(shù)據(jù)庫等方式進行數(shù)據(jù)隔離，保證用戶數(shù)據(jù)不被泄露。

數(shù)據(jù)加密，為保證放置于云端的用戶敏感數(shù)據(jù)不被泄露，可通過數(shù)據(jù)加密技術在數(shù)據(jù)傳輸、訪問、存儲、審計等各個環(huán)節(jié)進行防護，保證數(shù)據(jù)的機密性。

訪問權限控制，包括身份識別和訪問控制，通過對用戶訪問權限的合理劃分，建立安全的訪問控制機制，來將用戶對數(shù)據(jù)和應用的訪問控制在云平臺的不同信任域中，更好的實現(xiàn)用戶隔離。

（4）終端安全防護

用戶是通過終端瀏覽器接入云計算中心訪問云端的各類服務，因此，云計算終端安全性直接影響到了云計算服務安全，必須納入至安全防護體系中。主要安全措施包括：

基于用戶端的終端防護，由用戶在終端上部署防病毒、防火墻、漏洞掃描、防木馬等各類第三方安全防護手段，避免終端和瀏覽器軟件因自身漏洞被控制，防止用戶登錄云平臺密碼被竊取。

基于云端的終端防護，用云服務提供商采用安全云理念，在用戶終端部署可信的瀏覽器及安全監(jiān)控軟件，建立從終端到云端的可信使用、加密傳輸路徑，并通過軟件監(jiān)控、軟件升級來發(fā)現(xiàn)并彌補瀏覽器軟件存在的漏洞。

（5）安全管理

安全管理是保證云安全防護體系可靠運行、及時彌補安全隱患的重要環(huán)節(jié)。云計算安全管理包括系統(tǒng)管理、身份管理和運營管理三個方面。

系統(tǒng)管理，通過建立專用的云平臺安全管理系統(tǒng)，對云平臺的各類安全防護手段、軟硬件系統(tǒng)進行統(tǒng)一管理和自動化部署，對云平臺運行狀態(tài)進行集中監(jiān)控、智能分析，自動化進行安全策略動態(tài)調(diào)整。

身份管理，對內(nèi)部的云平臺管理及應用人員進行身份認證、權限管理和操作審計，避免因內(nèi)部人員的操作失誤或其他原因?qū)е碌陌踩L險。

運營管理，主要是針對云平臺可能面臨的風險，建立相應的登記審核、監(jiān)管報告、風險評估、安全審計等一系列安全管理的制度，從制度上堵住在日常運營中因管理松懈е碌陌踩漏洞，保證安全防護體系能正常運行。

四、展望

云計算是當前發(fā)展迅速的新興產(chǎn)業(yè)，但也面臨極大的安全技術挑戰(zhàn)。云計算安全不僅是技術問題，也涉及到產(chǎn)業(yè)標準化、行業(yè)監(jiān)管、法律法規(guī)等很多方面。只有建立完整的云計算安全防護體系，通過對云計算安全風險分析，采取合理的安全技術與策略，才能更好的實現(xiàn)安全可信的云計算。

參考文獻：

[1]肖紅躍，張文科，劉桂芬.云計算安全需求綜述.信息安全與通信保密，2012（11）.

篇5

[關鍵詞]：云計算 網(wǎng)絡安全問題 概念特點 解決措施

一、云計算的概念及其特點

客觀來看，云計算并非一個具體的技術而是多項技術的整合。之所以將其稱為云計算是因為本身具有很多現(xiàn)實云的特征：規(guī)模很大，無法確定其具置，邊界模糊，可動態(tài)伸縮等。雖然現(xiàn)在對于云計算這一概念還沒有一個確切的定義，但是簡單來說，云計算就是建立在網(wǎng)絡技術上的數(shù)據(jù)處理庫，但是由于其規(guī)模極大，性能極強，能夠通過一個數(shù)據(jù)中心向多個設備或者用戶提供多重數(shù)據(jù)服務，幫助使用者用以最少的空間獲得最大的信息來源。因此，云計算的核心所在便是資源與網(wǎng)絡，由網(wǎng)絡組建的巨大服務器集群能夠極大地提升資源的使用效率與平臺的服務質(zhì)量。

二、現(xiàn)階段云計算在實際運用中面臨的網(wǎng)絡安全問題

1.客戶端信息的安全

就現(xiàn)階段云計算的運作現(xiàn)狀來看，云計算是建立在現(xiàn)有網(wǎng)絡基礎上的大型信息處理庫，而在系統(tǒng)中的每一臺計算機都被認為云計算的一個節(jié)點。換句話說，一旦一臺計算機被接入網(wǎng)絡，那么其中的信息就極有可能成為“云”資源的一部分。這就涉及隱私保護問題，如果沒有做好信息安全防護，造成一些私密信息泄露，對于一些特殊機構如政府、醫(yī)院、軍隊等來說將是極為沉重的打擊。同時，如果大量的病患信息、軍事機密、政府信息等泄出，也會造成整個社會的不穩(wěn)定。

2.服務器端的信息安全

當前，云計算發(fā)展中存在的最大障礙便是安全性與隱私性的保護問題。立足于服務器端的信息安全問題來看，數(shù)據(jù)的擁有者一旦選擇讓別人儲存數(shù)據(jù)，那么其中的不可控因素便會大為增強。比如一家投資銀行的員工在利用谷歌在做員工社會保障號碼清單時，實際上進行了隱私保護和安全保護職能的轉移，銀行不再保有對數(shù)據(jù)保密以保證數(shù)據(jù)不受黑客侵襲的職責，相反這些責任落在了谷歌身上。在不通知數(shù)據(jù)所有者的基礎上，政府調(diào)查人員有權讓谷歌提供這一部分社會保障號碼。就最近頻發(fā)的各類信息泄露事件以及企業(yè)數(shù)據(jù)丟失數(shù)據(jù)事件如2007年轟動一時的TJXX零售商信用卡信息泄露等情況來看，云計算服務器端的信息安全現(xiàn)狀不容樂觀。

三、解決當前云計算安全問題的具體措施

1.建設以虛擬化為技術支撐的安全防護體系

云計算的突出特點就是虛擬性極強，這也成為云計算服務商向用戶提供“有償服務”的重要媒介和關鍵性技術。同時，在信息網(wǎng)絡時代下，基礎網(wǎng)絡架構、儲存資源及其相關配套應用資源的發(fā)展和完善都是建立在虛擬化技術發(fā)展的前提下的。因此，在解決云計算安全問題時也需要緊緊圍繞虛擬化這一關鍵性技術，以用戶的需求與體驗感受為導向，為用戶提供更為科學、有效的應用資源合理分配方案，提供更具個性化的存儲計算方法。同時，在虛擬化技術發(fā)展運用過程中還需要構建實例間的邏輯隔離，利用基礎的網(wǎng)絡架構實現(xiàn)用戶信息間的分流隔斷，保障用戶的數(shù)據(jù)安全。各大云計算服務商在優(yōu)化升級時要牢記安全在服務中的重要性，破除由網(wǎng)絡交互性等特點帶來的系列弊端。

2.建設高性能更可靠的網(wǎng)絡安全一體化防護體系

云計算中的流量模型在\行環(huán)境時在不同時段或者不同運行模塊中會產(chǎn)生一定的變化，在進行云計算安全防護時就需要進一步完善安全防護體系，建設更可靠的高性能網(wǎng)絡節(jié)點，提升網(wǎng)絡架構整體穩(wěn)定性。但是在當前的企業(yè)私有云建設時不可避免地會存在大流量在高速鏈路匯聚的情況，安全設備如果不進行性能上的提升，數(shù)據(jù)極有可能出現(xiàn)泄漏。因此，要提升安全設備對高密度接口（一般在10G以上）的處理能力，安全設備要與各種安全業(yè)務引擎緊密配合，實現(xiàn)云計算中對云規(guī)模的合理配置。但是，考慮到云計算業(yè)務的連續(xù)發(fā)展性，設備不僅要具有較高性能，還需要更可靠。雖然近年來在這個方面已經(jīng)取得了可喜的成就，如雙機設備、配套同步等的引入與優(yōu)化，但是云計算實現(xiàn)大規(guī)模流量匯聚完全安全防護還有很長一段路要走。

3.以集中的安全服務中心對無邊界的安全防護

與傳統(tǒng)安全建設模型相比，云計算實現(xiàn)有效安全防護存在的一個突出的問題便是“云”的無邊界性，但是就現(xiàn)代的科學技術條件來看，建成一個無邊界的安全防護網(wǎng)絡是極不現(xiàn)實的。因此，要盡快建立一個集中的安全服務中心，實現(xiàn)資源的高效整合。在集中的安全服務中心下，各個企業(yè)用戶在進行云計算服務申請時能夠進行信息數(shù)據(jù)的劃分隔離，打破傳統(tǒng)物理概念上的“安全邊界”。云計算的安全服務中心負責對整個安全服務進行部署，它也取代了傳統(tǒng)防護體制下對云計算各子系統(tǒng)的安全防護。同時，集中的安全服務中心也顯現(xiàn)出極大的優(yōu)越性，能夠提供單獨的用戶安服務配置，進一步節(jié)省了安全防護成本，提升了安全服務能力。

4.充分利用云安全模式加強云端與客戶端的關聯(lián)耦合

利用云安全模式加強云端與客戶端的關聯(lián)耦合，簡單來說就是利用云端的超強極端能力幫助云安全模式下安全檢測與防護工作的運行。新的云安全模型在傳統(tǒng)云安全模型的基礎上增加了客戶端的云威脅檢測與防護功能，其具體運作情況為客戶端通過對不能識別的可疑流量進行傳感測驗并第一時間將其傳送至安全檢測中心，云計算對數(shù)據(jù)進行解析并迅速定位，進行安全協(xié)議的內(nèi)容及特征將可疑流量推送至安全網(wǎng)關處進一步處理。總的來看，利用云安全模式加強云端與客戶端的關聯(lián)耦合可以提升整個云端及客戶端對未知威脅的監(jiān)測能力。

四、結語

云計算是網(wǎng)絡技術不斷發(fā)展的產(chǎn)物，為人們的生活提供了很多的便利。但是作為新生的事物，其安全性還存在一定的爭議。進一步完善云計算的安全建設，確保用戶信息的安全與私密是云計算發(fā)展的重要前提之一。在新的時期，需要利用虛擬性技術、集中的安全服務中心、更可靠的高性能安全防護體系等提升云計算服務的安全可靠性，實現(xiàn)云計算技術的進一步發(fā)展。

參考文獻：

篇6

2010年3月云安全聯(lián)盟的研究報告《云計算主要安全威脅》[3]指出云計算服務的主要威脅主要包括：云計算服務的濫用和惡意使用、不安全的接口和應用程序編程接口(APIs)、惡意的內(nèi)部攻擊者、共享技術的弱點、數(shù)據(jù)丟失與泄露和賬號與服務劫持等。微軟公司的《WindowsAzure安全筆記》[4]從審計與日志、認證、授權、部署管理、通信、加密、異常管理、輸入與數(shù)據(jù)驗證和敏感數(shù)據(jù)這9個方面分別論述了云計算服務的主要安全威脅。加州大學伯克利分校的研究人員在文獻[5]中認為云計算中安全方面的威脅主要有：可用性以及業(yè)務連續(xù)性、數(shù)據(jù)鎖定、數(shù)據(jù)的機密性和相關審計、大規(guī)模分布式系統(tǒng)的漏洞和相關性能的不可預知性等等。在文獻[6-8]中指出云計算中最重要的安全風險主要有：違反服務等級協(xié)議，云服務商提供足夠風險評估的能力，隱私數(shù)據(jù)的保護，虛擬化有關的風險，合約風險等。目前，云計算安全問題已得到越來越多的關注。著名的信息安全國際會議RSA2010將云計算安全列為焦點問題，通信學會理事會(CCS)從2009年起專門設置了一個關于云計算安全的研討會。許多企業(yè)組織、研究團體及標準化組織都已啟動了相關研究，安全廠商也已在研究和開發(fā)各類安全云計算產(chǎn)品[9]。

云計算服務模式下的移動互聯(lián)網(wǎng)是一種復雜的、面臨各種安全威脅的系統(tǒng)，因此必須研究和設計移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術來抵抗和防御這些安全威脅，云計算安全體系結構是其研究基礎和依據(jù)。許多研究人員和來自移動互聯(lián)網(wǎng)相關領域的企業(yè)對如何設計和開發(fā)云計算安全技術體系架構均展開了相關研究。微軟云計算平臺WindowsAzure是微軟于2008年在微軟開發(fā)者大會上的全新的云計算平臺，它基于平臺即服務(PaaS)的思想，向開發(fā)人員提供了一個在線的基于Windows系列產(chǎn)品的開發(fā)、儲存和服務代管等服務的環(huán)境。微軟公司的《WindowsAzure安全筆記》[4]從改進Web應用安全的角度出發(fā)提出了一個基于應用安全、網(wǎng)絡安全和主機安全概念化安全區(qū)域的云計算安全架構。其中應用安全關注應用審計與日志、認證、授權、應用部署管理、加密、異常管理、參數(shù)配置、敏感數(shù)據(jù)、會話管理和驗證等問題；網(wǎng)絡安全保障路由器、防火墻和交換機等的安全；主機安全所需要關注的相關問題則包括補丁和更新、服務、協(xié)議、記賬、文件與目錄、共享、端口、注冊登記和審計與日志等。

Bell實驗室的研究人員在文獻[10]中提出一種支持資源無縫集成至企業(yè)內(nèi)部網(wǎng)的云計算安全體系架構VSITE，在保持資源的隔離性和安全性的同時允許云服務提供商拓展資源為多個企業(yè)提供服務。云計算服務商提供的資源對企業(yè)來說就像是內(nèi)部資源，VSITE通過使用VPN、為不同的企業(yè)分配不同的VLAN以及運用MAC地址對企業(yè)進行身份編碼等技術手段來達到這個目標。VSITE體系架構由云服務中心、目錄服務器、云數(shù)據(jù)中心以及監(jiān)控中心等相關的實體組成，其監(jiān)控中心設計了安全機制以防止企業(yè)與企業(yè)之間的相互攻擊。VSITE具有可擴充性安全性以及高效性。亞馬遜彈性計算云(AmazonEC2)是一個Web服務，它提供可調(diào)整的云計算能力。文獻[11]中指出AmazonEC2使用了一個多級的安全體系架構包括主機的操作系統(tǒng)、操作系統(tǒng)的虛擬實例/客戶操作系統(tǒng)、防火墻和簽名的API調(diào)用等層次，目標是保護云端的數(shù)據(jù)不被未授權的系統(tǒng)和用戶攔截，使得AmazonEC2實例盡可能安全而又不會犧牲客戶按需配置的彈性。從服務模型的角度，云安全聯(lián)盟(CSA)提出了基于3種基本云服務的層次性及其依賴關系的安全參考模型[6]，并實現(xiàn)了從云服務模型到安全控制模型的映射。該模型的重要特點是供應商所在的等級越低，云服務用戶所要承擔的安全能力和管理職責就越多。

從安全協(xié)同的角度，JerichoForum從數(shù)據(jù)的物理位置、云相關技術和服務的所有關系狀態(tài)、應用資源和服務時的邊界狀態(tài)、云服務的運行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計算形態(tài)[12]。不同的云計算形態(tài)具有不同的協(xié)同性、靈活性及其安全風險特征。云服務用戶則需要根據(jù)自身的不同業(yè)務和安全協(xié)同需求選擇最為合適的相關云計算形態(tài)。上述云安全體系結構雖然考慮了云計算平臺中主機系統(tǒng)層、網(wǎng)絡層以及Web應用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構沒有結合移動互聯(lián)網(wǎng)環(huán)境來研究云計算安全體系構建及相關技術。

移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構的設計目標有以下6個方面：確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護確保云計算平臺虛擬化運行環(huán)境的安全依據(jù)不同的安全需求，提供定制化的安全服務對運行態(tài)的云計算平臺進行風險評估和安全監(jiān)管確保云計算基礎設施安全、構建可信的云服務保障用戶私有數(shù)據(jù)的完整性和機密性的基礎

結合上述設計目標，考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運營方式和用戶安全需求的多樣性，文章設計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構（如圖1所示），它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點。與云計算架構中的軟件即服務(SaaS)、PaaS和基礎設施即服務(IaaS)3個層次相應，文章首先設計了云安全應用服務資源群，包括隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內(nèi)容安全服務等云安全應用服務。針對云計算虛擬化的特點文章還設計了云安全基礎服務資源群包括虛擬機安全隔離、虛擬機安全監(jiān)控、虛擬機安全遷移和虛擬機安全鏡像等云安全基礎服務，運用虛擬技術跨越了不同系統(tǒng)平臺（如不同的操作系統(tǒng)）。同時移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構中也包含云安全基礎設施。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構中的云安全基礎設施的建設則可以參考移動通信網(wǎng)絡和互聯(lián)網(wǎng)絡中云安全基礎設施已有的相關建設經(jīng)驗。移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構還包含一個統(tǒng)一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權認證、防火墻、反病毒、安全日志、預警機制和審計管理等子系統(tǒng)。云安全管理平臺縱貫云安全應用服務、云安全平臺服務和云安全基礎設施服務所有層次，對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運維安全情況進行了跨安全域、跨安全級別的一系列綜合管理。體系架構考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應用服務接口，并提供手機多媒體服務、手機電子郵件、手機支付、網(wǎng)頁瀏覽和移動搜索等服務，同時還可以提供隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內(nèi)容安全等用戶可以直接定制的安全服務。

同時，體系架構還考慮了整個系統(tǒng)參照云安全標準及測評體系的合規(guī)性檢查。云服務商提供的應用軟件在部署前必須由第三方可信測評機構系統(tǒng)地測試和評估，以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風險并設立其信任等級，云應用服務提供商不可自行設定服務的信任等級，云用戶就可能預先避免因定制未經(jīng)第三方可信測評機構評估的安全云應用服務而帶來的損失。云應用服務安全等級的測試和評估也給云服務提供商帶來準入規(guī)范，迫使云服務提供商提高云服務的服務質(zhì)量以及安全意識。

對用戶而言，多用戶私有資源的遠程集中式管理與計算環(huán)境的開放性之間構成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機密性要求其應用環(huán)境相對固定和穩(wěn)定，而計算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅。可以說，云服務提供商與用戶之間的信任問題是云計算能否推廣的關鍵，而數(shù)據(jù)的安全和隱私保護是云計算安全中極其重要的問題。解決該問題的關鍵技術涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗證、多租戶環(huán)境下的隱私保護方法等。

云計算平臺要統(tǒng)一調(diào)度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運行環(huán)境的安全是云計算安全的關鍵。在此安全體系之下，結合虛擬化技術，平臺必須提供虛擬機安全監(jiān)控、虛擬機安全遷移、虛擬機安全隔離以及虛擬機安全鏡像等核心基礎服務。各種服務模式的虛擬機都存在隔離問題引起的安全風險，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機控制和管理，虛擬機之間的協(xié)同工作的權限控制等。如果云計算平臺無法實現(xiàn)不同（也可能相同）云用戶租用的不同虛擬機之間的有效隔離，那么云服務商則會無法說服云用戶相信自己提供的服務是非常安全的。用戶定制的各種云服務由虛擬機中運行相關軟件來實現(xiàn)，因此存在虛擬機中運行的相關軟件是否按用戶需求運行的風險問題，例如運行的環(huán)境的安全級別是否符合需求和運行的流程是否異常等；虛擬機運行的預警機制與安全審計問題包括安全策略管理、系統(tǒng)日志管理和審計策略管理等。

篇7

1設計目標

移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構的設計目標有以下6個方面：

·確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護

·確保云計算平臺虛擬化運行環(huán)境的安全

·依據(jù)不同的安全需求，提供定制化的安全服務

·對運行態(tài)的云計算平臺進行風險評估和安全監(jiān)管

·確保云計算基礎設施安全、構建可信的云服務

·保障用戶私有數(shù)據(jù)的完整性和機密性的基礎

2安全體系架構設計

結合上述設計目標，考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運營方式和用戶安全需求的多樣性，文章設計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構，它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點。

與云計算架構中的軟件即服務(SaaS)、PaaS和基礎設施即服務(IaaS)3個層次相應，文章首先設計了云安全應用服務資源群，包括隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內(nèi)容安全服務等云安全應用服務。

針對云計算虛擬化的特點文章還設計了云安全基礎服務資源群包括虛擬機安全隔離、虛擬機安全監(jiān)控、虛擬機安全遷移和虛擬機安全鏡像等云安全基礎服務，運用虛擬技術跨越了不同系統(tǒng)平臺(如不同的操作系統(tǒng))。同時移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構中也包含云安全基礎設施。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構中的云安全基礎設施的建設可以參考移動通信網(wǎng)絡和互聯(lián)網(wǎng)云安全基礎設施已有的建設經(jīng)驗。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構還包含一個統(tǒng)一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權認證、防火墻、反病毒、安全日志、預警機制和審計管理等子系統(tǒng)。云安全管理平臺縱貫云安全應用服務、云安全平臺服務和云安全基礎設施服務所有層次，對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運維安全情況進行跨安全域、跨安全級別的綜合管理。

體系架構考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應用服務接口，并提供手機多媒體服務、手機電子郵件、手機支付、網(wǎng)頁瀏覽和移動搜索等服務，同時還可以提供隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內(nèi)容安全等用戶可以直接定制的安全服務。

同時，體系架構還考慮了整個系統(tǒng)參照云安全標準及測評體系的合規(guī)性檢查。云服務商提供的應用軟件在部署前必須由第三方可信測評機構系統(tǒng)地測試和評估，以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風險并設立其信任等級，云應用服務提供商不可自行設定服務的信任等級，云用戶就可能預先避免因定制未經(jīng)第三方可信測評機構評估的安全云應用服務而帶來的損失。云應用服務安全等級的測試和評估也給云服務提供商帶來準入規(guī)范，迫使云服務提供商提高云服務的服務質(zhì)量和安全意識。

3關鍵技術

對用戶而言，多用戶私有資源的遠程集中式管理與計算環(huán)境的開放性之間構成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機密性要求其應用環(huán)境相對固定和穩(wěn)定，而計算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅?？梢哉f，云服務提供商與用戶之間的信任問題是云計算能否推廣的關鍵，而數(shù)據(jù)的安全和隱私保護是云計算安全中極其重要的問題。解決該問題的關鍵技術涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗證、多租戶環(huán)境下的隱私保護方法等。

云計算平臺要統(tǒng)一調(diào)度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運行環(huán)境的安全是云計算安全的關鍵。在此安全體系之下，結合虛擬化技術，平臺必須提供虛擬機安全監(jiān)控、虛擬機安全遷移、虛擬機安全隔離以及虛擬機安全鏡像等核心基礎服務。各種服務模式的虛擬機都存在隔離問題引起的安全風險，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機控制和管理，虛擬機之間的協(xié)同工作的權限控制等。如果云計算平臺無法實現(xiàn)不同(也可能相同)云用戶租用的不同虛擬機之間的有效隔離，那么云服務商就無法說服云用戶相信自己的提供的服務是安全的。

用戶定制的各種云服務由虛擬機中運行相關軟件來實現(xiàn)，因此存在虛擬機中運行的相關軟件是否按用戶需求運行的風險問題，例如運行的環(huán)境的安全級別是否符合需求和運行的流程是否異常等；虛擬機運行的預警機制與安全審計問題包括安全策略管理、系統(tǒng)日志管理和審計策略管理等。

云計算模式下的移動互聯(lián)網(wǎng)是一種多源、異構服務共存的環(huán)境。與此同時，依據(jù)多租戶的不同安全需求，滿足不同等級的差異化云安全服務應以訪問控制為手段，進行安全服務定制以及安全自適應。

篇8

科技是一把雙刃劍，科技發(fā)展帶來的不全是益處，也會有各種各樣的麻煩。大數(shù)據(jù)技術在提升對數(shù)據(jù)洞察力的同時，也同樣提升了破壞信息安全的能力。

首先，數(shù)據(jù)價值提升推高了數(shù)據(jù)保有成本。隨著信息化程度的不斷提升，數(shù)據(jù)價值也在大幅提升，企業(yè)的經(jīng)營行為被越來越多地數(shù)字化，財務信息、人事信息、知識產(chǎn)權等這些企業(yè)最重要的信息都在被匯聚成為企業(yè)信息大數(shù)據(jù)，若這些數(shù)據(jù)被泄漏，再基于此類數(shù)據(jù)開展大數(shù)據(jù)分析，企業(yè)信息將毫無秘密可言。因此，數(shù)據(jù)價值的提升必然要推高信息安全方面的投入，來確保企業(yè)信息的安全。

其次，黑客破壞信息安全的能力在增強。數(shù)據(jù)的大量匯集，使得黑客成功攻擊的收益在增加，“激勵”了黑客的網(wǎng)絡攻擊行為。大數(shù)據(jù)技術本身也在成為黑客攻擊的有力武器，黑客通過大數(shù)據(jù)分析，可以得到更多的有用信息，制定更加有效的攻擊策略，改進傳統(tǒng)攻擊手段，提高了信息安全防護成本。尤其是進入“云時代”后，數(shù)據(jù)在云端，云安全就更加重要，而遺憾的是，近幾年，一些大型云平臺數(shù)據(jù)泄漏事件更加劇了人們對于信息安全的擔心。

最后，信息安全意識尚需提高。外在信息安全并不是企業(yè)面臨的唯一危險，企業(yè)內(nèi)部安全意識不強同樣威脅巨大。員工由于安全意識單薄，或者企業(yè)內(nèi)部信息安全體系不夠完善導致信息泄漏的情況也在不斷增加。據(jù)一項有關企業(yè)信息安全的調(diào)查結果發(fā)現(xiàn)，有近四成的受訪者認為造成企業(yè)信息安全風險加劇的很大部分原因在于缺乏信息安全保護意識。盡管外部攻擊和內(nèi)部數(shù)據(jù)泄露的安全事故數(shù)量在增加，但多數(shù)企業(yè)并未給予足夠重視。

因此，大數(shù)據(jù)時代信息價值在增加，企業(yè)信息安全的形勢在惡化，而由此帶來的損失將成倍放大。

對于我國企業(yè)信息安全體系建設而言，需要做到以下幾點。做好安全評估，企業(yè)在構建信息安全體系之初，要先對企業(yè)自身信息安全體系進行梳理，摸清企業(yè)信息安全的薄弱環(huán)節(jié)，做好安全風險的評估，通過評估制定出合理完善的整體防護安全策略。建立標準體系，我國一直重視信息安全體系的標準工作，也推出了一系列相關政策和標準，企業(yè)可以參照相關標準，建立完整的信息安全管理制度，使企業(yè)有章可依。同時，在日常工作中要明確各風險點的負責人，責任劃分明確。

篇9

 

隨著大數(shù)據(jù)時代的來臨，圖書館分析讀者行為、感知讀者需求、滿足讀者愛好，為讀者提供個性化、貼心化服務的能力更加強化。正是因為大數(shù)據(jù)依賴數(shù)據(jù)，就容易招致不可預測的攻擊行為，對數(shù)據(jù)分析結果帶來重大影響，而且大數(shù)據(jù)泄露帶來的隱私泄露給用戶帶來了嚴重危害。特別是計算機應用的不斷普及和網(wǎng)絡的迅速發(fā)展，計算機病毒的傳播速度變得越來越快，病毒導致的破壞也越來越大。計算機病毒以及黑客行為，使得整個系統(tǒng)遭受嚴重威脅。因此，利用大數(shù)據(jù)技術構建智能、自動、主動和互聯(lián)的安全防御系統(tǒng)，不斷增強圖書館數(shù)據(jù)安全，是保證大數(shù)據(jù)時代圖書館系統(tǒng)運營安全的關鍵。

 

一、大數(shù)據(jù)時代圖書館面臨的安全問題

 

大數(shù)據(jù)時代，圖書館的安全問題，主要是數(shù)據(jù)安全問題面對傳統(tǒng)攻擊與現(xiàn)代隱患交相沖擊，既有固有的計算機病毒以及無意識攻擊導致數(shù)據(jù)崩潰、服務平臺不能正常運營的問題，又有因為現(xiàn)代大數(shù)據(jù)下，黑客們對用戶隱私竊取導致讀者個人身份以及自身機密的泄露問題。

 

1、傳統(tǒng)網(wǎng)絡環(huán)境下的病毒攻擊。無論是前大數(shù)據(jù)時代，還是后大數(shù)據(jù)時代，計算機病毒始終伴隨著互聯(lián)網(wǎng)時代。計算機病毒傳播快、擴散面大，特別是網(wǎng)絡環(huán)境下計算機的互連共享，全球扁平化使得連接在一起的計算機數(shù)量更多，只要計算機病毒入侵到網(wǎng)絡中的任何一點，它將以很快的速度在網(wǎng)絡中傳播，并波及到整個網(wǎng)絡。正如矛與盾互進，時展，計算機病毒破壞性更強。特別是由于網(wǎng)絡中資源信息多，并且多為網(wǎng)絡用戶所共享，因此病毒在網(wǎng)絡中一旦被激發(fā)，不僅嚴重威脅網(wǎng)絡資源的安全，而且還可能導致整個系統(tǒng)的癱瘓，帶來無法估量的損失。再次就是計算機病毒的殺毒難度越來越大。在網(wǎng)絡環(huán)境中，很難對分布于異地的大量工作站和服務器同時進行病毒清除，即使對網(wǎng)絡中的絕大多數(shù)計算機進行了病毒清除工作，只要網(wǎng)絡中有一臺計算機被感染，病毒也會很快波及整個網(wǎng)絡。

 

2、大數(shù)據(jù)環(huán)境下的數(shù)據(jù)隱患。以完善數(shù)據(jù)提供精準化服務的圖書館服務平臺，具有先天的開放性，由開放性引申出數(shù)據(jù)安全的復雜性。首先是讀者服務需求的增長和用戶服務模式變革，圖書館基礎設施的服務效率與運營安全難以達到優(yōu)化均衡。其次是云計算、大數(shù)據(jù)處理、傳感器技術和用戶服務網(wǎng)絡具有極強的開放性，增強了黑客攻擊的成功率。再次是大數(shù)據(jù)改變了圖書館在傳統(tǒng)的安全需求和模式，大數(shù)據(jù)服務平臺系統(tǒng)容易招致攻擊。

 

3、圖書館自身特性引發(fā)的內(nèi)在沖突。圖書館采用大數(shù)據(jù)進行定制化個性化服務，一方面需要對用戶數(shù)據(jù)進行大量采集、分析、比對和定制服務，而這些服務需要更真實、更準確的用戶數(shù)據(jù)，往往還是第一手數(shù)據(jù);另一方面，與用戶主要是讀者相關的數(shù)據(jù)，又往往涉及到讀者個人隱私。這種隱私的保密性與用戶數(shù)據(jù)的公開性，特別是準確性存在著天然的矛盾。在圖書館不能完全保證數(shù)據(jù)安全的情況下，用戶的隱私就會被泄露。這就需要圖書館依靠云計算技術的支持，通過對數(shù)據(jù)信息的風險評估，進而加大對安全數(shù)據(jù)的分析與決策，確保圖書館數(shù)據(jù)安全管理。

 

二、大數(shù)據(jù)時代圖書館安全體系構建

 

1、加強系統(tǒng)硬件設備安全。這是最基礎的安全維護，也是圖書館安全體系的重要基石。它主要由整體館內(nèi)環(huán)境、所有系統(tǒng)硬件設備(包括計算機及其內(nèi)部所有硬件)以及數(shù)據(jù)安全傳輸三部分組成。在這個基礎層，必須安裝最新的操作系統(tǒng)，配備最切合圖書館需要的硬件設備，及時安裝病毒軟件，及時升級操作系統(tǒng)，確保能夠避免常規(guī)的網(wǎng)絡病毒襲擊，以及一些無意識的數(shù)據(jù)攻擊。要在內(nèi)網(wǎng)和外網(wǎng)上安裝防火墻，實現(xiàn)內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)之間隔離，限制網(wǎng)絡互訪來保護內(nèi)部網(wǎng)絡。其它還有諸如員工培訓、共同防毒、控制超級用戶等，都要系統(tǒng)配套，確保圖書館安全體系及時避免傳統(tǒng)的非惡意性攻擊和一般的網(wǎng)絡病毒沖擊。

 

2、加強數(shù)據(jù)資源安全管理。這是圖書館安全體系的實體倉庫，包含兩方面內(nèi)容：一是數(shù)據(jù)采集運行時的儲存和保管，通過安全管理和控制，實現(xiàn)對圖書館大數(shù)據(jù)資源的安全采集、過濾、價值提取和存儲。要及時備份，實現(xiàn)多個節(jié)點的數(shù)據(jù)備份，確保當某一節(jié)點發(fā)生安全事件時，不會丟失數(shù)據(jù)。二是加強讀者的隱私保護。采集數(shù)據(jù)時應以讀者的閱讀需求為依據(jù)，不采集與此無關的數(shù)據(jù)。對所采集數(shù)據(jù)進行隱私保護處理，特別是讀者社會關系、家庭住址和個人隱私行為等數(shù)據(jù)，要進行保護處理。要依據(jù)隱私數(shù)據(jù)的特點，設定不同的安全等級，采取相應的安全管理。

 

3、加強數(shù)據(jù)的分析應對。要加強大數(shù)據(jù)的應用，尤其是用大數(shù)據(jù)對攻擊行為、攻擊模式的分析與研究。安全管理員通過風險預測、威脅檢測、危害評估和智能應對等技術，對發(fā)生在圖書館系統(tǒng)內(nèi)的各類安全事件，包括事件發(fā)生的區(qū)域、類型、程度、對象、頻次等，進行系統(tǒng)分析，制定相應的應急性預案，有效的應對各類攻擊

 

4、加強數(shù)據(jù)的有效篩選。大數(shù)據(jù)是信息爆炸產(chǎn)生的海量數(shù)據(jù)，圖書館作為人流頻繁的平臺，每天都要產(chǎn)生大量的數(shù)據(jù)。對這些數(shù)據(jù)的分析研究和智能應對，必須去蕪取精，不斷提升數(shù)據(jù)的有效性。安全系統(tǒng)管理人員要根據(jù)平臺系統(tǒng)要求，通過對各類數(shù)據(jù)的過濾、清洗、刪減、分析、歸類，完成對大數(shù)據(jù)資源的評估與優(yōu)化

 

5、加強系統(tǒng)平臺安全管理。大數(shù)據(jù)時代的圖書館，是一個多功能、多樣化、多個體的平臺集成。它包含兩個方面：一是單一系統(tǒng)內(nèi)自身平臺的安全管理，主要指某一個圖書館內(nèi)部不同的安全管理系統(tǒng)和各類應用軟件，必須具有良好的兼容性和擴展性，實現(xiàn)內(nèi)部自身的安全管理。另一方面是圖書館大數(shù)據(jù)的開發(fā)性，與其它圖書館，包括互聯(lián)網(wǎng)上平臺的合作交流和數(shù)據(jù)共享。系統(tǒng)平臺管理必須構建基于云計算為主體的安全管理，通過云服務平臺保證各類數(shù)據(jù)的安全、完整、保密和可用。

 

大數(shù)據(jù)時代的來臨，為圖書館給讀者提供個性化服務提供了重要載體，搭建了有效平臺。但同時基于數(shù)據(jù)分析產(chǎn)生的各類服務，對圖書館在數(shù)據(jù)采集、行為分析、硬件擴容、軟件升級和人員技術提出了更高的要求。尤其是建立在數(shù)據(jù)基礎上的采集，對數(shù)據(jù)的安全性提出了更高的要求，必須從各個方面加強安全管理。大數(shù)據(jù)時代圖書館的安全體系建設，應該在高效、透明、公開的基礎上，更加可控、可管、有保障，才能為讀者提供更好更貼心的閱讀體驗。

篇10

關鍵詞：智能電網(wǎng) 信息安全 防護體系 可信平臺

中圖分類號：F49 文獻標識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網(wǎng)建設步伐的推進，更多的設備和用戶接入電力系統(tǒng)，例如，智能電表、分布式電源、數(shù)字化保護裝置、先進網(wǎng)絡等，這些設備的應用使電網(wǎng)的信息化、自動化、互動化程度比傳統(tǒng)電網(wǎng)大大提高，它們在提升電網(wǎng)監(jiān)測與管理方面發(fā)揮了重要作用，但同時也給數(shù)據(jù)與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網(wǎng)公司數(shù)據(jù)中心的服務器，有可能造成客戶信息泄露或數(shù)據(jù)安全問題，嚴重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環(huán)境下使用電網(wǎng)的服務，成了當前電網(wǎng)信息安全建設的重要內(nèi)容之一。

2 電力企業(yè)信息安全建設的關鍵問題

云計算技術在電力企業(yè)的業(yè)務管理中已經(jīng)逐步得到應用，另外，隨著技術的成熟和商業(yè)成本的降低，基于可信計算平臺的網(wǎng)絡應用獲得了迅猛發(fā)展。如果在電網(wǎng)業(yè)務管理體系中將可信計算與云計算結合起來，將會使電網(wǎng)的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。

在可信計算環(huán)境下，每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內(nèi)置密鑰，在模塊間能夠構成一個天然的安全通信信道。因此，可以將廣播的內(nèi)容放在可信平臺模塊中，通過安全通信信道來進行廣播，這樣可以極大地節(jié)約通信開銷。

智能電網(wǎng)的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調(diào)度運維層四個層次。那么，智能電網(wǎng)的信息安全就必須包括物理安全、網(wǎng)絡安全、數(shù)據(jù)安全及備份恢復等方面。因此，其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。

3 智能電網(wǎng)信息防護體系框架

3.1 數(shù)字證書體系

數(shù)字證書體系CA是建設一套符合國家政策要求的電子認證系統(tǒng)，并作為電力企業(yè)信息化建設的重要基礎設施，實現(xiàn)各實體身份在網(wǎng)絡上的真實映射，滿足各應用系統(tǒng)中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統(tǒng)主要包括根CA系統(tǒng)、CA簽發(fā)系統(tǒng)、RA注冊管理系統(tǒng)、KM系統(tǒng)、證書狀態(tài)查詢系統(tǒng)和LDAP目錄服務系統(tǒng)，總體結構如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業(yè)提供集中的終端（桌面）綜合安全管理的桌面管理產(chǎn)品，打造一個安全、可信、規(guī)范、健康的內(nèi)網(wǎng)環(huán)境，如圖3所示。

該體系能滿足用戶：確保入網(wǎng)終端符合要求；全面監(jiān)測終端健康狀況；保證終端信息安全可控；動態(tài)監(jiān)測內(nèi)網(wǎng)安全態(tài)勢；快速定位解決終端故障；規(guī)范員工網(wǎng)絡行為；統(tǒng)一內(nèi)網(wǎng)用戶身份管理等。

3.3 等級防護體系

此外，在設計信息安全體系時，還需要針對電力企業(yè)的業(yè)務應用系統(tǒng)，按照不同的安全保護等級，設計信息系統(tǒng)安全等級保護方案，如圖4所示。

根據(jù)國家關于《信息系統(tǒng)等級保護基本要求》中關于信息安全管理的規(guī)定，該體系應該包括物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等方面。

4 結論與展望

本文將電力云技術與可信計算結合起來，設計了面向智能電網(wǎng)的信息安全防護體系框架，從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內(nèi)涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結合，不斷完善信息安全方案，使電網(wǎng)做到真正的智能、堅強。

（基金項目：中央高校基本科研業(yè)務費專項資金項目（11MG50）；河北省高等學校科學研究項目（Z2013007））

參考文獻：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網(wǎng)技術綜述[J].電網(wǎng)技術，2009，33（8）：1-7.

[2] 國家電網(wǎng).關于加快推進堅強智能電網(wǎng)建設的意見[N].國家電網(wǎng)報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網(wǎng)信息系統(tǒng)體系結構研究[J].計算機學報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統(tǒng)實例與研究現(xiàn)狀[J].軟件學報，2009（5）：1337-1348.