• <input id="zdukh"></input>
  • <b id="zdukh"><bdo id="zdukh"></bdo></b>
      <b id="zdukh"><bdo id="zdukh"></bdo></b>
    1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

      <wbr id="zdukh"><table id="zdukh"></table></wbr>

      1. <input id="zdukh"></input>
        <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
        <sub id="zdukh"></sub>
        公務(wù)員期刊網(wǎng) 精選范文 云計(jì)算標(biāo)準(zhǔn)體系范文

        云計(jì)算標(biāo)準(zhǔn)體系精選(九篇)

        前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云計(jì)算標(biāo)準(zhǔn)體系主題范文,僅供參考,歡迎閱讀并收藏。

        云計(jì)算標(biāo)準(zhǔn)體系

        第1篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        【 關(guān)鍵詞 】 云計(jì)算;云安全;等級保護(hù);虛擬化安全

        1 引言

        自2006年云計(jì)算的概念產(chǎn)生以來,各類與云計(jì)算相關(guān)的服務(wù)紛紛涌現(xiàn),隨之而來的就是人們對云安全問題的關(guān)注。目前各個運(yùn)營商、服務(wù)提供商以及安全廠商所提的云安全解決方案,大都根據(jù)自己企業(yè)對云平臺安全的理解,結(jié)合本企業(yè)專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個整體,需要構(gòu)建云平臺的整體安全防護(hù)體系。

        因此,針對云計(jì)算中心的安全需求建立信息安全防護(hù)體系已經(jīng)是大勢所趨,云安全防護(hù)體系的建立,必將使云計(jì)算得以更加健康、有序的發(fā)展。

        2 云計(jì)算的安全問題解析

        云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同,成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是,隨著云計(jì)算的大量應(yīng)用,云環(huán)境的安全問題也日益突出。我們?nèi)绻荒芎芎玫亟鉀Q相關(guān)的安全管理問題,云計(jì)算就會成為過眼“浮云”。在眾多對云計(jì)算的討論中,SafeNet的調(diào)查非常具有代表性:“對于云計(jì)算面臨的安全問題,88.5%的企業(yè)對云計(jì)算安全擔(dān)憂”。各種調(diào)研數(shù)據(jù)也表明:安全性是用戶選擇云計(jì)算的首要考慮因素。近年來,云安全的概念也有多種層面的解讀,本文所指云安全是聚焦于云計(jì)算中心的安全問題及其安全防護(hù)體系。

        2.1 云安全與傳統(tǒng)安全技術(shù)的關(guān)系

        云計(jì)算引入了虛擬化技術(shù),改變了服務(wù)方式,但并沒有顛覆傳統(tǒng)的安全模式。從這張對比視圖中,如圖1所示,可以看出,安全的層次劃分是大體類似,在云計(jì)算環(huán)境下,由于虛擬化技術(shù)的引入,需要納入虛擬化安全的防護(hù)措施。而在基礎(chǔ)層面上,仍然可依靠成熟的傳統(tǒng)安全技術(shù)來提供安全防護(hù)。

        如圖1所示,云計(jì)算安全和傳統(tǒng)安全在安全目標(biāo)、系統(tǒng)資源類型、基礎(chǔ)安全技術(shù)方面是相同的,而云計(jì)算又有其特有的安全問題,主要包括虛擬化安全問題和與云計(jì)算分租服務(wù)模式相關(guān)的一些安全問題。大體上,我們可以把云安全看做傳統(tǒng)安全的一個超集,或者換句話說,云安全是傳統(tǒng)安全在云計(jì)算環(huán)境下的繼承和發(fā)展。

        綜合前面的討論,可以推導(dǎo)出一個基本的認(rèn)識,云計(jì)算的模式是革命性的:虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)是云安全的重點(diǎn)和難點(diǎn),云安全將基于傳統(tǒng)安全技術(shù)獲得發(fā)展。

        2.2 云計(jì)算的安全需求與防護(hù)技術(shù)

        解決安全問題的出發(fā)點(diǎn)是風(fēng)險(xiǎn)分析,CSA云安全聯(lián)盟提出了所謂“七重罪”的云安全重點(diǎn)風(fēng)險(xiǎn)域。

        Threat 1: Abuse and Nefarious Use of Cloud Computing(云計(jì)算的濫用、惡用、拒絕服務(wù)攻擊);

        Threat 2: Insecure Interfaces and APIs(不安全的接口和API);

        Threat 3: Malicious Insiders(惡意的內(nèi)部員工);

        Threat 4: Shared Technology Issues(共享技術(shù)產(chǎn)生的問題);

        Threat 5: Data Loss or Leakage(數(shù)據(jù)泄漏);

        Threat 6: Account or Service Hijacking(賬號和服務(wù)劫持);

        Threat 7: Unknown Risk Profile(未知的風(fēng)險(xiǎn)場景)。

        信息的機(jī)密性、完整性和可用性被公認(rèn)為信息安全的三個重要的基本屬性,用戶在使用云計(jì)算服務(wù)時也會從這三個方面提出基本的信息安全需求。

        機(jī)密性安全需求:要求上傳到云端的信息及其處理結(jié)果以及所要求的云計(jì)算服務(wù)具有排他性,只能被授權(quán)人訪問或使用,不會被非法泄露。

        完整性安全需求:要求與云計(jì)算相關(guān)的數(shù)據(jù)或服務(wù)是完備、有效、真實(shí)的,不會被非法操縱、破壞、篡改、偽造,并且不可否認(rèn)或抵賴。

        可用性安全需求:要求網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)具有連續(xù)性、準(zhǔn)時性,不會中斷或延遲,以確保云計(jì)算服務(wù)在任何需要的時候能夠?yàn)槭跈?quán)使用者正常使用。

        根據(jù)云計(jì)算中心的安全需求,我們會相應(yīng)得到一個安全防護(hù)技術(shù)的層次結(jié)構(gòu):底層是基礎(chǔ)設(shè)施安全,包括基礎(chǔ)平臺安全、虛擬化安全和安全管理;中間是數(shù)據(jù)安全,上層是安全服務(wù)層面,還包括安全接入相關(guān)的防護(hù)技術(shù)。

        3 等級保護(hù)背景下的云安全體系

        3.1 等級保護(hù)標(biāo)準(zhǔn)與云安全

        自1994年國務(wù)院147號令開始,信息安全等級保護(hù)體系歷經(jīng)近20年的發(fā)展,從政策法規(guī)、國家標(biāo)準(zhǔn)、到測評管理都建立了完備的體系,自2010年以來,在公安部的領(lǐng)導(dǎo)下,信息安全等級保護(hù)落地實(shí)施開展得如火如荼,信息安全等級保護(hù)已經(jīng)成為我國信息化建設(shè)的重要安全指導(dǎo)方針。

        圖3表明了等級保護(hù)標(biāo)準(zhǔn)體系放發(fā)展歷程。

        盡管引入了虛擬化等新興技術(shù),運(yùn)營模式也從出租機(jī)房進(jìn)化到出租虛擬資源,乃至出租服務(wù)。但從其本質(zhì)上看,云計(jì)算中心仍然是一類信息系統(tǒng),需要依照其重要性不同分等級進(jìn)行保護(hù)。云計(jì)算中心的安全工作必須依照等級保護(hù)的要求來建設(shè)運(yùn)維。此外,云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營方式所帶來的安全問題。

        因此,云計(jì)算中心防護(hù)體系應(yīng)當(dāng)是以等級保護(hù)為指導(dǎo)思想,從云計(jì)算中心的安全需求出發(fā),從技術(shù)和管理兩個層面全方位保護(hù)云計(jì)算中心的信息安全;全生命周期保證云計(jì)算中心的安全建設(shè)符合等保要求;將安全理念貫穿云計(jì)算中心建設(shè)、整改、測評、運(yùn)維全過程。建設(shè)目標(biāo)是要滿足不同用戶不同等保級別的安全要求,做到等保成果的可視化,做到安全工作的持久化。

        3.2 云計(jì)算中心的安全框架

        一個云計(jì)算中心的安全防護(hù)體系的構(gòu)建,應(yīng)以等級保護(hù)為系統(tǒng)指導(dǎo)思想,能夠充分滿足云計(jì)算中心的安全需求為目標(biāo)。根據(jù)前面的研究,我們提出一個云計(jì)算中心的安全框架,包括傳統(tǒng)安全技術(shù)、云安全技術(shù)和安全運(yùn)維管理三個層面的安全防護(hù)。

        云安全框架以云安全管理平臺為中心,綜合安全技術(shù)和管理運(yùn)維兩個方面的手段確保系統(tǒng)的整體安全。在安全技術(shù)方面,除了傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、備份恢復(fù)等保障措施,還需要通過虛擬化安全防護(hù)技術(shù)和云安全服務(wù)來應(yīng)對云計(jì)算的新特征所帶來的安全要求。

        3.3 云安全防護(hù)體系架構(gòu)

        在實(shí)際的云安全防護(hù)體系建設(shè)中,首先要在網(wǎng)絡(luò)和主機(jī)等傳統(tǒng)的安全設(shè)備層面建立基礎(chǔ)信息系統(tǒng)安全防護(hù)系統(tǒng)?;A(chǔ)信息安全防護(hù)體系是以等級保護(hù)標(biāo)準(zhǔn)為指導(dǎo)進(jìn)行構(gòu)建,符合等級保護(hù)標(biāo)準(zhǔn)對相應(yīng)安全級別的基本安全要求。

        在此基礎(chǔ)上,通過SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運(yùn)維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個安全子系統(tǒng)共同組成云安全管理中心,如圖4所示。通過實(shí)體的安全技術(shù)和虛擬化安全防護(hù)技術(shù)的協(xié)同工作,為云計(jì)算中心提供從實(shí)體設(shè)備到虛擬化系統(tǒng)的全面深度安全防護(hù),同時通過專業(yè)的SLC等保合規(guī)管理系統(tǒng)來確保云安全體系對于等級保護(hù)標(biāo)準(zhǔn)的合規(guī)性。

        參考文獻(xiàn)

        [1] 郝斐,王雷,荊繼武等.云存儲安全增強(qiáng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2012,(03):38-41.

        [2] 季一木, 康家邦,潘俏羽等.一種云計(jì)算安全模型與架構(gòu)設(shè)計(jì)研究[J].信息網(wǎng)絡(luò)安全,2012,(06):6-8.

        [3] 黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2012,(07):3-5.

        [4] 胡春輝.云計(jì)算安全風(fēng)險(xiǎn)與保護(hù)技術(shù)框架分析[J].信息網(wǎng)絡(luò)安全,2012,(07):87-89.

        [5] 王偉,高能,江麗娜.云計(jì)算安全需求分析研究[J].信息網(wǎng)絡(luò)安全,2012,(08):75-78.

        [6] 海然.云計(jì)算風(fēng)險(xiǎn)分析[J].信息網(wǎng)絡(luò)安全,2012,(08):94-96.

        [7] 孫志丹,鄒哲峰,劉鵬.基于云計(jì)算技術(shù)的信息安全試驗(yàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2012,(12):50-52.

        [8] 甘宏,潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡(luò)安全,2012,(05):43-45.

        [9] 賽迪研究院.關(guān)于云計(jì)算安全的分析與建議[J].軟件與信息服務(wù)研究,2011,5(5):3.

        [10] 陳丹偉,黃秀麗,任勛益.云計(jì)算及安全分析[J].計(jì)算機(jī)技術(shù)與發(fā)展,2010,20(2):99.102.

        [11] 馮登國,孫悅,張陽.信息安全體系結(jié)構(gòu)[M].清華大學(xué)出版社,2008:43-81.

        [12] 張水平,李紀(jì)真.基于云計(jì)算的數(shù)據(jù)中心安全體系研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2011,12(32):3965.

        [13] 質(zhì)監(jiān)局,國標(biāo)委.信息系統(tǒng)安全等級保護(hù)基本要求.GB/T 22239—2008:1~51.

        [14] 王崇.以“等?!睘楹诵牡男畔踩芾砉ぷ髌脚_設(shè)計(jì)[J].實(shí)踐探究,2009,1(5):73.

        [15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.

        [16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.

        作者簡介:

        白秀杰(1973-),男,碩士,系統(tǒng)分析師;研究方向:云安全技術(shù)。

        李汝鑫(1983-),男,本科,項(xiàng)目管理師;研究方向:信息安全技術(shù)。

        第2篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        1)首次提出云體系標(biāo)準(zhǔn)化規(guī)劃,國家從頂層設(shè)計(jì)開始催化國內(nèi)云計(jì)算產(chǎn)業(yè)的發(fā)展。

        在CT(通信)領(lǐng)域,標(biāo)準(zhǔn)協(xié)會(ITUT/3GPP等)履行先協(xié)議標(biāo)準(zhǔn)再應(yīng)用的思路,全球通信服務(wù)網(wǎng)絡(luò)全面互聯(lián)互通。

        在IT(信息)領(lǐng)域,基于TCP/IP等協(xié)議標(biāo)準(zhǔn)為應(yīng)用服務(wù)提供支撐,全球IP網(wǎng)絡(luò)走向互聯(lián)互通。

        在云計(jì)算領(lǐng)域,規(guī)模大的企業(yè)和自發(fā)的開源組織引導(dǎo)產(chǎn)業(yè)的發(fā)展,比如亞馬遜、Google、微軟及IBM等企業(yè)幾乎壟斷了全球的云計(jì)算市場,跨云的兼容性問題阻礙整個產(chǎn)業(yè)的發(fā)展。這次標(biāo)準(zhǔn)化體系建設(shè)將企業(yè)行為引導(dǎo)為國家標(biāo)準(zhǔn)形態(tài),意在打造更開放、更兼容、更適合行業(yè)應(yīng)用的云計(jì)算生態(tài)產(chǎn)業(yè)。

        2)國內(nèi)的云計(jì)算產(chǎn)業(yè)將迎來新的發(fā)展機(jī)遇

        IDC最新的報(bào)告預(yù)測,未來5年里,全球用于云計(jì)算服務(wù)的支出將增長3倍,增長速度將是傳統(tǒng)IT行業(yè)增長率的6倍。工信部對于云計(jì)算標(biāo)準(zhǔn)體系框架建設(shè),勢必給行業(yè)發(fā)展帶來指導(dǎo)性方向,也意味著國家將云計(jì)算產(chǎn)業(yè)作為未來IT產(chǎn)業(yè)發(fā)展的主要新方向之一,在云計(jì)算技術(shù)、產(chǎn)業(yè)規(guī)模、市場規(guī)模上實(shí)現(xiàn)彎道超車。

        云計(jì)算標(biāo)準(zhǔn)體制將分步完成,云計(jì)算步入一個的新發(fā)展階段

        《指南》在四個方面、29個方向上做了全面規(guī)劃。前期調(diào)研已經(jīng)充分完成,標(biāo)準(zhǔn)擬定和試點(diǎn)應(yīng)該會馬上啟動,我們預(yù)計(jì)明年上半年在完成全國試點(diǎn)工作后,第一期的標(biāo)準(zhǔn)規(guī)范文件會落地,針對現(xiàn)有云計(jì)算網(wǎng)絡(luò)的調(diào)整也會全面展開,國內(nèi)云計(jì)算步入一個的新發(fā)展階段:政策標(biāo)準(zhǔn)指引、國產(chǎn)化、行業(yè)應(yīng)用加深、快速融合。

        第3篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        【文章摘要】

        云計(jì)算具有低成本、高可靠性、高性能等特點(diǎn),對于推動電子政務(wù)發(fā)展具有重要意義。建立和完善基于云計(jì)算的電子政務(wù)公共平臺,可促進(jìn)政務(wù)信息資源共享和業(yè)務(wù)協(xié)同,可提高政府的決策支撐能力與政務(wù)工作效率。

        【關(guān)鍵詞】

        云計(jì)算;電子政務(wù);公共平臺

        云計(jì)算是一種新的計(jì)算模式,用戶并不真正擁有資源,而服務(wù)供應(yīng)商提供和管理這些資源,用戶通過互聯(lián)網(wǎng)訪問它們。云計(jì)算技術(shù)的發(fā)展引發(fā)了信息化建設(shè)、應(yīng)用及服務(wù)模式的變革,這將對我國電子政務(wù)建設(shè)及應(yīng)用產(chǎn)生巨大影響。我國政府也十分重視電子政務(wù)的建設(shè),2013 年工業(yè)和信息化部了《基于云計(jì)算的電子政務(wù)公共平臺頂層設(shè)計(jì)實(shí)施指南》,旨在充分發(fā)揮既有資源作用和新一代信息技術(shù)潛能,開展基于云計(jì)算的電子政務(wù)公共平臺頂層設(shè)計(jì),繼續(xù)深化電子政務(wù)應(yīng)用,全面提升電子政務(wù)服務(wù)能力和水平。

        1 電子政務(wù)公共平臺采用云計(jì)算技術(shù)的意義

        電子政務(wù)平臺的建設(shè)采用云計(jì)算技術(shù),可充分發(fā)揮出云計(jì)算技術(shù)的各種優(yōu)點(diǎn), 其中包括:資源可共享、節(jié)省建設(shè)成本、平臺具有擴(kuò)展性和通用性等,實(shí)現(xiàn)跨地域、跨部門間的溝通和合作。這能滿足不同崗位、不同部門對工作應(yīng)用的各種需求,實(shí)現(xiàn)平臺間的信息共享和高效運(yùn)作?;谠朴?jì)算的電子政務(wù)公共平臺,技術(shù)和安全問題主要由云計(jì)算服務(wù)提供商負(fù)責(zé),數(shù)據(jù)的安全性和可靠性勢必將得到進(jìn)一步的提高,從而保障了系統(tǒng)的正常運(yùn)行和安全,進(jìn)而促進(jìn)了電子政務(wù)的發(fā)展。電子政務(wù)公共平臺具備了完善的信息安全的保障體系,在這種環(huán)境中的硬件、軟件不論是應(yīng)用擴(kuò)展或是研發(fā)都可保障系統(tǒng)的安全。構(gòu)建基于云計(jì)算的電子政務(wù)公共平臺是一種服務(wù)模式的轉(zhuǎn)變,這有利于政務(wù)公共平臺向市場化、專業(yè)化的方向發(fā)展。正因?yàn)橛辛嗽朴?jì)算技術(shù)的支持,進(jìn)一步完善了政務(wù)公共平臺的服務(wù)性能,在政務(wù)公共平臺的建設(shè)和維護(hù)上以節(jié)約了一定的成本投入。

        2 基于云計(jì)算的電子政務(wù)平臺的基礎(chǔ)架構(gòu)

        基于云計(jì)算的電子政務(wù)公共平臺的整個架構(gòu)可分為三個層和兩個體系: 基礎(chǔ)設(shè)施服務(wù)層IaaS(Infrastructure as a Service,基礎(chǔ)設(shè)施即服務(wù))、平臺服務(wù)層 PaaS(Platform as a Service,平臺即服務(wù))、應(yīng)用軟件服務(wù)層 SaaS(Software as a Service,軟件即服務(wù))、信息安全體系和運(yùn)維管理體系,其中信息安全體系和運(yùn)維管理體系分別由安全防護(hù)系統(tǒng)和運(yùn)維管理系統(tǒng)構(gòu)成。

        (1)基礎(chǔ)設(shè)施服務(wù)層 IaaS?;A(chǔ)設(shè)施服務(wù)層包括硬件基礎(chǔ)設(shè)施子層、虛擬化與資源池化子層、資源調(diào)度與自動化管理子層。硬件基礎(chǔ)設(shè)施子層:包括服務(wù)器主機(jī)、存儲、網(wǎng)絡(luò)及其他硬件在內(nèi)的硬件設(shè)備,它們是實(shí)現(xiàn)云計(jì)算的最基礎(chǔ)的物理資源; 虛擬化與資源池化層:通過虛擬化技術(shù)進(jìn)行整合,形成計(jì)算資源池、存儲池、網(wǎng)絡(luò)池,通過云管理平臺,對外提供服務(wù);資源調(diào)度與自動化管理子層:在對資源(基礎(chǔ)物理資源和虛擬池化資源)進(jìn)行有效監(jiān)管的基礎(chǔ)上,提供彈性計(jì)算、負(fù)載均衡、動態(tài)遷移、按需供給、自動化部署等功能。

        (2)信息安全體系。針對云計(jì)算平臺建設(shè)以高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系,虛擬化為技術(shù)支撐的安全防護(hù)體系,集中的安全服務(wù)體系,應(yīng)對無邊界的安全防護(hù),利用云安全模式加強(qiáng)云端和用戶端的關(guān)聯(lián)耦合和采用非技術(shù)手段補(bǔ)充等保障云計(jì)算平臺的安全。

        (3)運(yùn)維管理體系。保障云計(jì)算平臺的正常運(yùn)行,提供故障管理、性能管理、配置管理、安全管理等等。

        3 基于云計(jì)算的電子政務(wù)公共平臺的建設(shè)思路

        目前,云計(jì)算應(yīng)用仍處于起步階段, 基于云計(jì)算的電子政務(wù)公共平臺的建設(shè)應(yīng)充分考慮政務(wù)信息管理的實(shí)際情況,遵循實(shí)事求是的原則和思路,從整合現(xiàn)有基礎(chǔ)設(shè)施資源,搭建政務(wù)信息子云、數(shù)據(jù)子云以及“云”接入平臺等方面入手,逐步進(jìn)行實(shí)施。

        3.1 利用虛擬化技術(shù)構(gòu)建電子政務(wù)基礎(chǔ)設(shè)施資源云

        從目前我國電子政務(wù)建設(shè)現(xiàn)狀來看, 電子政務(wù)信息化建設(shè)缺乏規(guī)范性、統(tǒng)一性,各級政府及部門為其業(yè)務(wù)的運(yùn)行配備了相應(yīng)的物理設(shè)施,但由于各政務(wù)系統(tǒng)模式不一,無法進(jìn)行互聯(lián)互通,以至于總體硬件資源利用率不高,個別硬件設(shè)施資源出現(xiàn)閑置浪費(fèi)或出現(xiàn)高峰時期負(fù)載過重的現(xiàn)象。虛擬化技術(shù)可以將這些異構(gòu)的服務(wù)器、存儲及網(wǎng)絡(luò)連接等基礎(chǔ)架構(gòu)整合到一起,大幅度提高物理資源和應(yīng)用程序的效率和可用性。

        3.2 構(gòu)建電子政務(wù)信息服務(wù)云

        (1)搭建電子政務(wù)的內(nèi)容信息子云、資源子云。目前,政府各部門網(wǎng)站自成體系,往往不利于部門間信息共享。這里我們統(tǒng)一服務(wù)平臺,采用SOA 體系架構(gòu),結(jié)合XML 交換技術(shù)以及Ajax 技術(shù)來提供信息資源的聚合和共享機(jī)制。通過數(shù)字內(nèi)容服務(wù)平臺對以往政務(wù)中的一、二級網(wǎng)站進(jìn)行遷移和改造,搭建電子政務(wù)的信息子云,實(shí)現(xiàn)主站、分站群之間的信息共享;通過站點(diǎn)維護(hù)與內(nèi)容管理權(quán)限的分配,實(shí)現(xiàn)集群化管理;同時提供WAP 訪問和手機(jī)短信業(yè)務(wù),實(shí)現(xiàn)云門戶及政務(wù)各部門網(wǎng)站信息的共享共用,實(shí)現(xiàn)了內(nèi)容信息的云聚合。

        通過對電子政務(wù)中業(yè)務(wù)信息資源、基礎(chǔ)和共享主題信息資源、信息公開和共享服務(wù)資源3 大資源數(shù)據(jù)庫進(jìn)行整合采集,實(shí)現(xiàn)了多角色、多類別的分層管理的資源子云,提供了按需的資源共享和檢索。

        (2)數(shù)據(jù)集成和交換平臺實(shí)現(xiàn)電子政務(wù)的數(shù)據(jù)子云。建議平臺采用基于統(tǒng)一標(biāo)準(zhǔn)和松散耦合的SOA 軟件架構(gòu),利用Web 服務(wù)所采用的技術(shù),如http 通訊協(xié)議、簡單對象訪問協(xié)議、Web 服務(wù)描述語言以及UDDI (統(tǒng)一描述、發(fā)現(xiàn)和整合)在不同應(yīng)用之間進(jìn)行數(shù)據(jù)交換服務(wù)。同時采用企業(yè)服務(wù)總線ESB 作為消息架構(gòu),ESB 是一個用于集成各種企業(yè)應(yīng)用即服務(wù)的連接基礎(chǔ)架構(gòu),它能夠通過簡化企業(yè)應(yīng)用及服務(wù)之間的鏈接數(shù)量,接口大小以及接口復(fù)雜度使企業(yè)的面向服務(wù)體系SOA 更加強(qiáng)大。ESB 通過提供簡單的標(biāo)準(zhǔn)適配器和接口來完成服務(wù)和其他組件之間的互操作。平臺將各部門數(shù)據(jù)交換到中心數(shù)據(jù)庫中,并提供按權(quán)限的數(shù)據(jù)訪問,完成了整個電子政務(wù)的數(shù)據(jù)子云改造。

        隨著政府信息化建設(shè)的不斷推進(jìn),基于云計(jì)算的電子政務(wù)公共平臺建設(shè)的不斷完善,政務(wù)系統(tǒng)所處理的數(shù)據(jù)內(nèi)容從分散到集中,對所有的系統(tǒng)數(shù)據(jù)進(jìn)行統(tǒng)一存儲,對各種數(shù)據(jù)進(jìn)行整合、加工,為決策提供支持。各級政府的業(yè)務(wù)逐步遷移到基于云計(jì)算的電子政務(wù)公共平臺,平臺會聚集大量的政府信息資源,統(tǒng)一的信息資源目錄體系可實(shí)現(xiàn)政務(wù)信息資源共享,實(shí)現(xiàn)各級政府之間的信息交換與業(yè)務(wù)協(xié)同,提高了政府的決策支撐能力與政務(wù)工作效率。

        【作者簡介】

        楊彬 (1975-),女,副教授,遼寧遼陽人,碩士,畢業(yè)于東北大學(xué)信息科學(xué)與工程學(xué)院,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用。150

        探索研究

        第4篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        2010年3月云安全聯(lián)盟的研究報(bào)告《云計(jì)算主要安全威脅》[3]指出云計(jì)算服務(wù)的主要威脅主要包括:云計(jì)算服務(wù)的濫用和惡意使用、不安全的接口和應(yīng)用程序編程接口(APIs)、惡意的內(nèi)部攻擊者、共享技術(shù)的弱點(diǎn)、數(shù)據(jù)丟失與泄露和賬號與服務(wù)劫持等。微軟公司的《WindowsAzure安全筆記》[4]從審計(jì)與日志、認(rèn)證、授權(quán)、部署管理、通信、加密、異常管理、輸入與數(shù)據(jù)驗(yàn)證和敏感數(shù)據(jù)這9個方面分別論述了云計(jì)算服務(wù)的主要安全威脅。加州大學(xué)伯克利分校的研究人員在文獻(xiàn)[5]中認(rèn)為云計(jì)算中安全方面的威脅主要有:可用性以及業(yè)務(wù)連續(xù)性、數(shù)據(jù)鎖定、數(shù)據(jù)的機(jī)密性和相關(guān)審計(jì)、大規(guī)模分布式系統(tǒng)的漏洞和相關(guān)性能的不可預(yù)知性等等。在文獻(xiàn)[6-8]中指出云計(jì)算中最重要的安全風(fēng)險(xiǎn)主要有:違反服務(wù)等級協(xié)議,云服務(wù)商提供足夠風(fēng)險(xiǎn)評估的能力,隱私數(shù)據(jù)的保護(hù),虛擬化有關(guān)的風(fēng)險(xiǎn),合約風(fēng)險(xiǎn)等。目前,云計(jì)算安全問題已得到越來越多的關(guān)注。著名的信息安全國際會議RSA2010將云計(jì)算安全列為焦點(diǎn)問題,通信學(xué)會理事會(CCS)從2009年起專門設(shè)置了一個關(guān)于云計(jì)算安全的研討會。許多企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組織都已啟動了相關(guān)研究,安全廠商也已在研究和開發(fā)各類安全云計(jì)算產(chǎn)品[9]。

        云計(jì)算服務(wù)模式下的移動互聯(lián)網(wǎng)是一種復(fù)雜的、面臨各種安全威脅的系統(tǒng),因此必須研究和設(shè)計(jì)移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)來抵抗和防御這些安全威脅,云計(jì)算安全體系結(jié)構(gòu)是其研究基礎(chǔ)和依據(jù)。許多研究人員和來自移動互聯(lián)網(wǎng)相關(guān)領(lǐng)域的企業(yè)對如何設(shè)計(jì)和開發(fā)云計(jì)算安全技術(shù)體系架構(gòu)均展開了相關(guān)研究。微軟云計(jì)算平臺WindowsAzure是微軟于2008年在微軟開發(fā)者大會上的全新的云計(jì)算平臺,它基于平臺即服務(wù)(PaaS)的思想,向開發(fā)人員提供了一個在線的基于Windows系列產(chǎn)品的開發(fā)、儲存和服務(wù)代管等服務(wù)的環(huán)境。微軟公司的《WindowsAzure安全筆記》[4]從改進(jìn)Web應(yīng)用安全的角度出發(fā)提出了一個基于應(yīng)用安全、網(wǎng)絡(luò)安全和主機(jī)安全概念化安全區(qū)域的云計(jì)算安全架構(gòu)。其中應(yīng)用安全關(guān)注應(yīng)用審計(jì)與日志、認(rèn)證、授權(quán)、應(yīng)用部署管理、加密、異常管理、參數(shù)配置、敏感數(shù)據(jù)、會話管理和驗(yàn)證等問題;網(wǎng)絡(luò)安全保障路由器、防火墻和交換機(jī)等的安全;主機(jī)安全所需要關(guān)注的相關(guān)問題則包括補(bǔ)丁和更新、服務(wù)、協(xié)議、記賬、文件與目錄、共享、端口、注冊登記和審計(jì)與日志等。

        Bell實(shí)驗(yàn)室的研究人員在文獻(xiàn)[10]中提出一種支持資源無縫集成至企業(yè)內(nèi)部網(wǎng)的云計(jì)算安全體系架構(gòu)VSITE,在保持資源的隔離性和安全性的同時允許云服務(wù)提供商拓展資源為多個企業(yè)提供服務(wù)。云計(jì)算服務(wù)商提供的資源對企業(yè)來說就像是內(nèi)部資源,VSITE通過使用VPN、為不同的企業(yè)分配不同的VLAN以及運(yùn)用MAC地址對企業(yè)進(jìn)行身份編碼等技術(shù)手段來達(dá)到這個目標(biāo)。VSITE體系架構(gòu)由云服務(wù)中心、目錄服務(wù)器、云數(shù)據(jù)中心以及監(jiān)控中心等相關(guān)的實(shí)體組成,其監(jiān)控中心設(shè)計(jì)了安全機(jī)制以防止企業(yè)與企業(yè)之間的相互攻擊。VSITE具有可擴(kuò)充性安全性以及高效性。亞馬遜彈性計(jì)算云(AmazonEC2)是一個Web服務(wù),它提供可調(diào)整的云計(jì)算能力。文獻(xiàn)[11]中指出AmazonEC2使用了一個多級的安全體系架構(gòu)包括主機(jī)的操作系統(tǒng)、操作系統(tǒng)的虛擬實(shí)例/客戶操作系統(tǒng)、防火墻和簽名的API調(diào)用等層次,目標(biāo)是保護(hù)云端的數(shù)據(jù)不被未授權(quán)的系統(tǒng)和用戶攔截,使得AmazonEC2實(shí)例盡可能安全而又不會犧牲客戶按需配置的彈性。從服務(wù)模型的角度,云安全聯(lián)盟(CSA)提出了基于3種基本云服務(wù)的層次性及其依賴關(guān)系的安全參考模型[6],并實(shí)現(xiàn)了從云服務(wù)模型到安全控制模型的映射。該模型的重要特點(diǎn)是供應(yīng)商所在的等級越低,云服務(wù)用戶所要承擔(dān)的安全能力和管理職責(zé)就越多。

        從安全協(xié)同的角度,JerichoForum從數(shù)據(jù)的物理位置、云相關(guān)技術(shù)和服務(wù)的所有關(guān)系狀態(tài)、應(yīng)用資源和服務(wù)時的邊界狀態(tài)、云服務(wù)的運(yùn)行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計(jì)算形態(tài)[12]。不同的云計(jì)算形態(tài)具有不同的協(xié)同性、靈活性及其安全風(fēng)險(xiǎn)特征。云服務(wù)用戶則需要根據(jù)自身的不同業(yè)務(wù)和安全協(xié)同需求選擇最為合適的相關(guān)云計(jì)算形態(tài)。上述云安全體系結(jié)構(gòu)雖然考慮了云計(jì)算平臺中主機(jī)系統(tǒng)層、網(wǎng)絡(luò)層以及Web應(yīng)用層等各層次所存在的安全威脅,形成一種通用框架,但這種云安全體系架構(gòu)沒有結(jié)合移動互聯(lián)網(wǎng)環(huán)境來研究云計(jì)算安全體系構(gòu)建及相關(guān)技術(shù)。

        移動互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)的設(shè)計(jì)目標(biāo)有以下6個方面:確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)確保云計(jì)算平臺虛擬化運(yùn)行環(huán)境的安全依據(jù)不同的安全需求,提供定制化的安全服務(wù)對運(yùn)行態(tài)的云計(jì)算平臺進(jìn)行風(fēng)險(xiǎn)評估和安全監(jiān)管確保云計(jì)算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

        結(jié)合上述設(shè)計(jì)目標(biāo),考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營方式和用戶安全需求的多樣性,文章設(shè)計(jì)了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)(如圖1所示),它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點(diǎn)。與云計(jì)算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)3個層次相應(yīng),文章首先設(shè)計(jì)了云安全應(yīng)用服務(wù)資源群,包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。針對云計(jì)算虛擬化的特點(diǎn)文章還設(shè)計(jì)了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù),運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺(如不同的操作系統(tǒng))。同時移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異,云平臺應(yīng)具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。

        移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)則可以參考移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)中云安全基礎(chǔ)設(shè)施已有的相關(guān)建設(shè)經(jīng)驗(yàn)。移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)還包含一個統(tǒng)一的云安全管理平臺,該平臺包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計(jì)管理等子系統(tǒng)。云安全管理平臺縱貫云安全應(yīng)用服務(wù)、云安全平臺服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次,對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運(yùn)維安全情況進(jìn)行了跨安全域、跨安全級別的一系列綜合管理。體系架構(gòu)考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等,具有統(tǒng)一的云安全應(yīng)用服務(wù)接口,并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁瀏覽和移動搜索等服務(wù),同時還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

        同時,體系架構(gòu)還考慮了整個系統(tǒng)參照云安全標(biāo)準(zhǔn)及測評體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測評機(jī)構(gòu)系統(tǒng)地測試和評估,以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險(xiǎn)并設(shè)立其信任等級,云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級,云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測評機(jī)構(gòu)評估的安全云應(yīng)用服務(wù)而帶來的損失。云應(yīng)用服務(wù)安全等級的測試和評估也給云服務(wù)提供商帶來準(zhǔn)入規(guī)范,迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量以及安全意識。

        對用戶而言,多用戶私有資源的遠(yuǎn)程集中式管理與計(jì)算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾,主要表現(xiàn)為:用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對固定和穩(wěn)定,而計(jì)算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅。可以說,云服務(wù)提供商與用戶之間的信任問題是云計(jì)算能否推廣的關(guān)鍵,而數(shù)據(jù)的安全和隱私保護(hù)是云計(jì)算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗(yàn)證、多租戶環(huán)境下的隱私保護(hù)方法等。

        云計(jì)算平臺要統(tǒng)一調(diào)度、部署計(jì)算資源,實(shí)施硬件資源和虛擬資源的安全管理和訪問控制,因此,確保虛擬化運(yùn)行環(huán)境的安全是云計(jì)算安全的關(guān)鍵。在此安全體系之下,結(jié)合虛擬化技術(shù),平臺必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險(xiǎn),這包括:內(nèi)存的越界訪問,不同安全域的虛擬機(jī)控制和管理,虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計(jì)算平臺無法實(shí)現(xiàn)不同(也可能相同)云用戶租用的不同虛擬機(jī)之間的有效隔離,那么云服務(wù)商則會無法說服云用戶相信自己提供的服務(wù)是非常安全的。用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來實(shí)現(xiàn),因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險(xiǎn)問題,例如運(yùn)行的環(huán)境的安全級別是否符合需求和運(yùn)行的流程是否異常等;虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計(jì)問題包括安全策略管理、系統(tǒng)日志管理和審計(jì)策略管理等。

        第5篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        關(guān)鍵詞:信息安全;設(shè)施云;云安全;滲透測試

        中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:B

        1引言

        云計(jì)算作為一種新的服務(wù)模式,用戶在享受它帶來的便利性、低成本等優(yōu)越性的同時,也對其安全性疑慮重重。如何保障云計(jì)算安全成為云計(jì)算系統(tǒng)亟需解決的問題。此外,從近期發(fā)生的與云計(jì)算相關(guān)的一系列安全事件可以看出,傳統(tǒng)的安全威脅在云計(jì)算服務(wù)中同樣存在,而且由于云計(jì)算虛擬化、資源共享、彈性分配等特點(diǎn),相比傳統(tǒng)的IT系統(tǒng),又面臨新的安全威脅。遼寧省交通廳云數(shù)據(jù)中心基礎(chǔ)設(shè)施平臺于2015年全面啟動建設(shè)。為解決遼寧省交通廳尤其是云數(shù)據(jù)中心面臨的安全問題,遼寧省云環(huán)境下交通信息安全策略研究課題以遼寧省交通行業(yè)重要信息系統(tǒng)為對象,分析其面臨的信息安全問題與挑戰(zhàn),以提升遼寧省交通行業(yè)現(xiàn)有信息安全水平。本文首先總結(jié)了云安全的新威脅,然后通過分析遼寧交通云安全的風(fēng)險(xiǎn),明確遼寧交通設(shè)施云安全建設(shè)目標(biāo),提出遼寧省云環(huán)境下交通信息安全策略的研究重點(diǎn)和相關(guān)內(nèi)容。

        2云安全新威脅

        2.1虛擬化平臺的安全威脅

        如同傳統(tǒng)的IT系統(tǒng)一樣,虛擬化平臺也可能存在大量漏洞或錯誤的情況。如果VM上存在漏洞,使得攻擊者完全控制一個VM后,通過利用各種虛擬化管理平臺安全漏洞,可以進(jìn)一步滲透到虛擬化管理平臺甚至其它VM中。這就是所謂的虛擬機(jī)逃逸。同時還可能導(dǎo)致數(shù)據(jù)泄漏以及針對其它VM的DoS攻擊。

        2.2隱蔽信道攻擊

        隱蔽信道(CovertChannel)是指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道,通過構(gòu)建隱蔽信道可以實(shí)現(xiàn)從高安全級主體向低安全級別主體的信息傳輸,是導(dǎo)致信息泄露的重要威脅。這種攻擊的源頭可以是來自虛擬化環(huán)境以外的其他實(shí)體,也可以是來自虛擬化系統(tǒng)中其它物理主機(jī)上的VM,還可以是相同物理機(jī)上的其它VM。

        2.3側(cè)信道攻擊

        側(cè)信道攻擊是一種新型密碼分析方法,其利用硬件的物理屬性(如功耗、電磁輻射、聲音、紅外熱影像等)來發(fā)現(xiàn)CPU利用率、內(nèi)存訪問模式等信息,進(jìn)而達(dá)到獲取加密密鑰,破解密碼系統(tǒng)的目的。這類攻擊實(shí)施起來相當(dāng)困難,需要對主機(jī)進(jìn)行直接的物理訪問。例如通過監(jiān)控?cái)?shù)據(jù)進(jìn)出運(yùn)行著加密算法的硬件系統(tǒng)上的CPU和內(nèi)存所花費(fèi)的時間,來分析密鑰的長度。再例如,可以對CPU或加密芯片的功耗進(jìn)行觀察分析。芯片上的功耗可以產(chǎn)生熱量,冷卻效應(yīng)可以將熱量移走。芯片上溫度的變化引起機(jī)械伸縮,這些伸縮可以產(chǎn)生音量很低的噪聲。在虛擬化環(huán)境下,通過查看計(jì)算機(jī)的內(nèi)存緩存,攻擊者可以獲得一些關(guān)于什么時候用戶在同一臺設(shè)備上利用鍵盤訪問啟用SSH終端的計(jì)算機(jī)等基本信息。通過測量鍵盤敲擊時間間隔,他們最終可以使用和Berkeley他們一樣的技術(shù)來計(jì)算出通過計(jì)算機(jī)輸入了什么。還能估算出當(dāng)計(jì)算機(jī)執(zhí)行例如加載特定網(wǎng)頁等這樣簡單任務(wù)時候的緩存活動。這種方法可以被用于查看有多少因特網(wǎng)用戶正在訪問一臺服務(wù)器,甚至是他們正在查看哪一個網(wǎng)頁。為了讓他們簡單的攻擊行為奏效,攻擊者不僅能計(jì)算出哪一個服務(wù)器正在運(yùn)行他們希望攻擊的程序,還能找到一個在這臺服務(wù)器上找到特定程序的方法。這并不容易做到,因?yàn)閺亩x上來看云計(jì)算會讓這種信息對用戶是不可見的。

        2.4虛擬機(jī)的安全威脅

        (1)虛擬機(jī)資源隔離不當(dāng),出現(xiàn)非授權(quán)訪問。多租戶共享計(jì)算資源帶來的風(fēng)險(xiǎn),包括一個租戶的VM資源故障導(dǎo)致另一個租戶的VM不可用,或一個租戶非授權(quán)訪問其他租戶的VM。(2)虛擬機(jī)鏡像文件或自身管理防護(hù)措施不足,引發(fā)安全問題。(3)虛擬機(jī)訪問控制不嚴(yán)格或不完善,對虛擬機(jī)賬號、密碼或認(rèn)證方式控制不足,導(dǎo)致非授權(quán)訪問。(4)虛擬機(jī)之間的通信安全防護(hù)不足,導(dǎo)致出現(xiàn)攻擊、嗅探。(5)VM之間的攻擊和嗅探。VM之間進(jìn)行嗅探或竊聽,監(jiān)視虛擬機(jī)網(wǎng)絡(luò)上數(shù)據(jù)(例如明文密碼或者配置信息)傳輸信息的行為。利用簡單的數(shù)據(jù)包探測器,攻擊者可以很輕松地讀取VM網(wǎng)絡(luò)上所有的明文傳輸信息。虛擬機(jī)遷移時安全策略不足,引發(fā)安全問題。(6)虛擬機(jī)遷移過程。虛擬機(jī)遷移過程中出現(xiàn)安全策略、安全參數(shù)的改變,導(dǎo)致錯誤授權(quán)、計(jì)費(fèi)錯誤等問題;攻擊者利用虛擬機(jī)遷移過程中的漏洞對虛擬機(jī)形成攻擊。(7)特權(quán)(超級)虛擬機(jī)存在安全隱患,造成對其他VM的非法攻擊或篡改。

        2.5API安全

        云計(jì)算系統(tǒng)通過開放應(yīng)用程序接口來對外提供各種云計(jì)算服務(wù)。因此,開放應(yīng)用程序接口的訪問控制、操作權(quán)限管理以及惡意代碼審查等在整個云計(jì)算系統(tǒng)中就顯得非常重要。一旦應(yīng)用程序接口的訪問控制或權(quán)限管理不當(dāng),將會對云計(jì)算系統(tǒng)造成非法訪問,導(dǎo)致不必要的數(shù)據(jù)泄露。具體包括虛擬機(jī)與云管理平臺之間API的通信安全。

        2.6數(shù)據(jù)安全

        (1)數(shù)據(jù)隔離在云計(jì)算系統(tǒng)中,當(dāng)一個文件存儲到云計(jì)算系統(tǒng)中時,它可能會被分割成若干個碎片并存儲在不同的存儲空間上。而且來自不同租戶的重要數(shù)據(jù)和文件可能會被存儲,因此數(shù)據(jù)隔離和數(shù)據(jù)保護(hù)在云計(jì)算系統(tǒng)中非常重要。數(shù)據(jù)隔離不當(dāng),就會造成其他租戶非法訪問別的租戶的數(shù)據(jù),從而造成數(shù)據(jù)泄露。(2)數(shù)據(jù)泄露、隱私保護(hù)云計(jì)算系統(tǒng)的防數(shù)據(jù)泄露和隱私保護(hù),一方面需要防止來自云平臺中其他租戶對數(shù)據(jù)的竊取,另一方面還需要防止來自云平臺內(nèi)部,如系統(tǒng)管理員對用戶數(shù)據(jù)的泄漏。在傳統(tǒng)體系中,信息是存儲在單位內(nèi)部的服務(wù)器或者個人電腦、設(shè)備上的,能夠保證較好的數(shù)據(jù)隱私性。然而,在云計(jì)算中數(shù)據(jù)是存儲在云端服務(wù)器上的,因此用戶喪失了對隱私數(shù)據(jù)的物理保護(hù)能力。同時,用戶需要通過互聯(lián)網(wǎng)傳輸數(shù)據(jù),更加增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。除此之外,數(shù)據(jù)的完整性也是用戶數(shù)據(jù)安全的重要需求。如何保障用戶數(shù)據(jù)不損毀、不受未授權(quán)修改,以及所有合法的用戶操作被準(zhǔn)確執(zhí)行是云安全的重要議題。最后,云平臺還需要保證用戶數(shù)據(jù)的一致性,即多個用戶所看到的保存在云端的同一份數(shù)據(jù)是完全相同的。攻擊者可以通過數(shù)據(jù)的不一致性訪問未授權(quán)的數(shù)據(jù),或者實(shí)施進(jìn)一步的攻擊。(3)刪除后剩余數(shù)據(jù)的非法恢復(fù)用戶數(shù)據(jù)被刪除后變成了剩余數(shù)據(jù),存放這些剩余數(shù)據(jù)的空間可以被釋放給其他租戶使用,這些數(shù)據(jù)如果沒有經(jīng)過特殊處理,其他租戶或惡意運(yùn)維人員可能獲取到原來租戶的私密信息。

        2.7云計(jì)算資源的濫用

        豐富的云計(jì)算資源極其強(qiáng)大的處理能力,在向用戶提供正常服務(wù)的同時,也有可能成為攻擊者通過惡意使用或?yàn)E用并發(fā)起網(wǎng)絡(luò)攻擊的有效工具。一些惡意用戶通過利用云計(jì)算服務(wù)的這些特性,更加方便地實(shí)施各種破壞活動。密碼破解者、DoS攻擊者、垃圾郵件發(fā)送者、惡意代碼制作者以及其它惡意攻擊者都可以使用云計(jì)算環(huán)境提供的豐富資源開展攻擊,從而進(jìn)一步擴(kuò)大攻擊面及其影響力。

        2.8惡意的內(nèi)部運(yùn)維人員

        與傳統(tǒng)計(jì)算模式相比,云計(jì)算環(huán)境下用戶所有數(shù)據(jù)全部在云端。云服務(wù)商內(nèi)部的運(yùn)維人員能夠接觸到越來越多的云租戶的數(shù)據(jù),這種訪問范圍的擴(kuò)大,以及缺乏有效的監(jiān)督和管理,增加了惡意的“內(nèi)部運(yùn)維人員”濫用數(shù)據(jù)和服務(wù)、甚至實(shí)施犯罪的可能性,也使得惡意內(nèi)部運(yùn)維人員的安全威脅變得更為嚴(yán)重。

        3遼寧省交通設(shè)施云安全建設(shè)目標(biāo)

        3.1遼寧省交通“云”數(shù)據(jù)中心建設(shè)目標(biāo)

        在遼寧省交通廳的《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的發(fā)展總目標(biāo)中,特別指出:“建立具備大數(shù)據(jù)處理能力的省級交通“云”數(shù)據(jù)中心,實(shí)現(xiàn)交通信息資源共享和業(yè)務(wù)協(xié)同”。在建設(shè)任務(wù)中,明確了“信息化支撐體系建設(shè)”的內(nèi)容,其中“信息化基礎(chǔ)設(shè)施建設(shè)”中提到:『完成基于“云”架構(gòu)的近遠(yuǎn)期規(guī)劃,先期完成對服務(wù)器、存儲、網(wǎng)絡(luò)等硬件資源的整合,實(shí)現(xiàn)負(fù)載均衡、資源動態(tài)分配,提高整體工作效率,降低建設(shè)、使用及維護(hù)成本。依據(jù)《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的指導(dǎo)內(nèi)容,根據(jù)遼寧省交通運(yùn)輸行業(yè)信息化發(fā)展現(xiàn)狀,考慮行業(yè)未來幾年的業(yè)務(wù)發(fā)展需要,緊隨國際上先進(jìn)的、成熟的云計(jì)算、大數(shù)據(jù)等技術(shù),規(guī)劃遼寧省交通云基礎(chǔ)設(shè)施平臺,充分滿足省廳及各直屬單位三到五年的基礎(chǔ)設(shè)施需要,并為未來建設(shè)“云”數(shù)據(jù)中心做好準(zhǔn)備,秉承“理念先進(jìn)、結(jié)合實(shí)際、投資節(jié)省、適度超前”的思想,為全省信息化提供完備的基礎(chǔ)設(shè)施支撐。

        3.2遼寧省交通設(shè)施云安全風(fēng)險(xiǎn)分析

        遼寧省交通“云”數(shù)據(jù)中心的建設(shè)目標(biāo)是滿足省廳及各直屬單位三到五年的基礎(chǔ)設(shè)施需要。其特點(diǎn)包括:遼寧省交通“云”數(shù)據(jù)中心目前只涉及設(shè)施云,沒有架構(gòu)云和服務(wù)云,結(jié)構(gòu)相對簡單;只考慮省廳及各直屬單位三到五年使用,規(guī)模有限;只在行業(yè)內(nèi)部使用,信息安全管理有保障;此外,由于系統(tǒng)采用國際上比較成熟的云管理產(chǎn)品,云產(chǎn)品自身安全風(fēng)險(xiǎn)較低,而且對于發(fā)現(xiàn)產(chǎn)品的漏洞廠商也可負(fù)責(zé)解決。遼寧省交通設(shè)施云安全管理目前最大的風(fēng)險(xiǎn)是由于遼寧省交通“云”數(shù)據(jù)中心建成并使用后造成的風(fēng)險(xiǎn)集中,而現(xiàn)有的省廳及各直屬單位是按照信息安全等級保護(hù)二級進(jìn)行管理的。為解決這個問題,首先要解決云安全的技術(shù)要求。由于目前國內(nèi)沒有可以參考的技術(shù)要求,因此要首先編制云安全的技術(shù)要求標(biāo)準(zhǔn)。其次,由于云安全的技術(shù)要求標(biāo)準(zhǔn)是個新要求,與等級保護(hù)常規(guī)檢查依據(jù)不匹配,因此要有配套的信息安全滲透測試檢查標(biāo)準(zhǔn)。此外,還應(yīng)把交通廳信息安全管理體系達(dá)到信息安全三級的要求,應(yīng)補(bǔ)充滿足相應(yīng)級別要求的信息安全管理體系。最后,為保證信息安全管理的落地,應(yīng)有配套的管理軟件。

        3.3遼寧省交通設(shè)施云安全建設(shè)目標(biāo)

        依據(jù)《遼寧省公路水路信息化發(fā)展指導(dǎo)意見》的指導(dǎo)內(nèi)容,根據(jù)遼寧省交通“云”數(shù)據(jù)中心發(fā)展規(guī)劃,建設(shè)設(shè)施云安全技術(shù)標(biāo)準(zhǔn)、滲透測試檢查標(biāo)準(zhǔn)、廳信息系統(tǒng)安全管理體系和云安全策略管理軟件,關(guān)注省廳及各直屬單位三到五年的“云”數(shù)據(jù)中心需要,并為建設(shè)和管理“云”數(shù)據(jù)中心做好信息安全策略指導(dǎo),為交通“云”數(shù)據(jù)中心安全管理及廳信息安全管理水平提升提供重要的技術(shù)支撐。

        4遼寧省云環(huán)境下交通信息安全策略研究重點(diǎn)內(nèi)容

        遼寧省云環(huán)境下交通信息安全策略研究的重點(diǎn)包括設(shè)施云安全技術(shù)標(biāo)準(zhǔn)、滲透測試檢查標(biāo)準(zhǔn)、廳信息系統(tǒng)安全管理體系和云安全策略管理軟件。

        4.1設(shè)施云安全技術(shù)標(biāo)準(zhǔn)

        設(shè)施云安全技術(shù)要求標(biāo)準(zhǔn)的編制目的是為指導(dǎo)和規(guī)范針對云環(huán)境下交通行業(yè)相關(guān)信息安全管理,介紹了云環(huán)境下遼寧省交通信息安全的基本內(nèi)容和基本要求,針對交通行業(yè)設(shè)施云及相關(guān)信息系統(tǒng)提出了設(shè)施云管理框架、安全的技術(shù)要求和管理要求。

        4.2滲透測試檢查標(biāo)準(zhǔn)滲透測試檢查標(biāo)準(zhǔn)的編制目的是為指導(dǎo)和規(guī)范

        針對遼寧省交通行業(yè)信息系統(tǒng)的滲透測試檢查工作,明確了滲透測試檢查的基本概念、原則、實(shí)施流程、在各階段的工作內(nèi)容和基本要求。

        4.3遼寧省交通廳信息系統(tǒng)安全管理體系

        遼寧省交通廳信息系統(tǒng)安全管理體系的編制目的是遼寧省交通廳信息安全管理體系達(dá)到信息安全等級保護(hù)三級水平及云環(huán)境信息安全管理的要求,建設(shè)包括覆蓋信息安全管理體系方針、組織機(jī)構(gòu)和崗位職責(zé)規(guī)定、信息安全管理、計(jì)算機(jī)機(jī)房管理、計(jì)算機(jī)設(shè)備管理、計(jì)算機(jī)網(wǎng)絡(luò)管理、介質(zhì)安全管理、人員信息安全管理、軟件系統(tǒng)開發(fā)安全管控、數(shù)據(jù)備份和恢復(fù)管理、第三方信息安全管理、信息安全檢查管理、信息安全審計(jì)管理、信息安全審批管理、信息系統(tǒng)建設(shè)、信息系統(tǒng)日志管理、信息安全事件管理、變更管理、賬號與密碼管理、防病毒管理、信息資產(chǎn)安全管理、信息資產(chǎn)分類管理和信息系統(tǒng)應(yīng)急預(yù)案等多項(xiàng)管理制度。

        4.4云安全策略管理軟件

        云安全策略管理軟件設(shè)計(jì)的目的是保障上述研究成果在遼寧省交通行業(yè)快速推廣以及相關(guān)信息安全管理要求落地。其主要內(nèi)容是利用計(jì)算機(jī)軟件開發(fā)技術(shù),開發(fā)B/S軟件,實(shí)現(xiàn)信息安全知識共享,并依據(jù)上述技術(shù)標(biāo)準(zhǔn)和管理制度實(shí)現(xiàn)過程控制和信息管理。

        5結(jié)論

        第6篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        關(guān)鍵詞:IT 運(yùn)維管理 私有云 按需交付 管理流程

        中圖分類號:TP315 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2015)04(c)-0003-01

        現(xiàn)在企業(yè)業(yè)務(wù)的發(fā)展與IT運(yùn)維管理成熟與否聯(lián)系越來越緊密,業(yè)務(wù)對IT系統(tǒng)的依賴性變得越來越大[1]。進(jìn)入21世紀(jì)以來,政府和企業(yè)都在改革各自的運(yùn)維管理體系,ITIL作為運(yùn)維團(tuán)隊(duì)和管理流程的一套理念和體系,給IT服務(wù)組織同時帶來了機(jī)遇和挑戰(zhàn),企業(yè)在實(shí)施時經(jīng)常發(fā)生問題,如果想要成功實(shí)施ITIL,就必須要配置一套與之匹配的落地措施[2]。

        隨著IT服務(wù)廠商抓住了云計(jì)算的先機(jī),IT服務(wù)的資源管理形成了一個新的市場細(xì)分。IT運(yùn)維作為IT產(chǎn)業(yè)鏈體系中的一份子,其發(fā)展也關(guān)系到產(chǎn)業(yè)鏈發(fā)展的進(jìn)程。云計(jì)算代表了IT創(chuàng)新的方向和未來,不僅可以改變企業(yè)計(jì)算的方式,也可以改變IT基礎(chǔ)架構(gòu)運(yùn)維服務(wù)模式。針對傳統(tǒng)的IT運(yùn)維服務(wù)系統(tǒng)存在的問題,國內(nèi)已經(jīng)開始研究基于云計(jì)算的IT運(yùn)維服務(wù)系統(tǒng),并提出了相應(yīng)的模式,作為一種按需交付服務(wù)的商業(yè)模式,云計(jì)算IT運(yùn)維服務(wù)模式為用戶提供了一種快速部署和應(yīng)用IT運(yùn)維系統(tǒng)的方法,徹底改變了傳統(tǒng)的高成本IT運(yùn)維服務(wù)模式。

        隨著云計(jì)算發(fā)展趨勢及周邊網(wǎng)絡(luò)環(huán)境、信息化管理觀念不斷成熟,IT運(yùn)維服務(wù)需要轉(zhuǎn)型升級,實(shí)現(xiàn)全方位實(shí)時穿透式的智能管理。

        1 基于ITIL的IT運(yùn)維管理

        建立IT運(yùn)維管理平臺,可實(shí)現(xiàn)對用戶操作規(guī)范的約束和對IT資源進(jìn)行實(shí)時監(jiān)控,包括服務(wù)器、數(shù)據(jù)庫、中間件、存儲備份、網(wǎng)絡(luò)、安全、業(yè)務(wù)應(yīng)用和客戶端等內(nèi)容,通過自動監(jiān)控實(shí)現(xiàn)故障或問題綜合處理和集中管理。全面提高IT管理部門“自主運(yùn)維”能力、信息化管理水平,幫助持續(xù)提高業(yè)務(wù)部門和客戶的滿意度,為高效科學(xué)的業(yè)務(wù)運(yùn)轉(zhuǎn)提供有效保障[3]。

        2 云平臺建設(shè)現(xiàn)狀

        當(dāng)前,企業(yè)在構(gòu)建云平臺時缺乏云平臺與傳統(tǒng)IT系統(tǒng)平臺的接口標(biāo)準(zhǔn),難以搭建混合系統(tǒng);企業(yè)業(yè)務(wù)系統(tǒng)云端化,對網(wǎng)絡(luò)的依賴程度更高;云平臺需要企業(yè)IT管理流程標(biāo)準(zhǔn)化[4]。因此,建設(shè)私有云維護(hù)平臺,使運(yùn)維不再受地域限制,可以通過網(wǎng)絡(luò)隨時隨地實(shí)現(xiàn)運(yùn)維管理,將過去的被動轉(zhuǎn)變?yōu)橹鲃拥姆?wù)方式從而實(shí)現(xiàn)主動式的IT運(yùn)維權(quán)[5]。

        3 私有云IT運(yùn)維管理模式

        該文基于System Center2012和ITILV3,提出私有云IT運(yùn)維管理全套解決方案,幫助企業(yè)實(shí)現(xiàn)對IT系統(tǒng)環(huán)境精細(xì)化、規(guī)范化管理,提高IT系統(tǒng)運(yùn)行效率,降低運(yùn)營成本,為實(shí)現(xiàn)企業(yè)信息化、電子政務(wù)發(fā)展提供有力的技術(shù)支撐。在構(gòu)建私有云的過程中,首先需要把IT基礎(chǔ)設(shè)施作為一種服務(wù)通過網(wǎng)絡(luò)對企業(yè)內(nèi)部提供(IaaS),相當(dāng)于把IT基礎(chǔ)設(shè)施像日常生活中的水和電一樣以服務(wù)的形式集中供應(yīng),并按照服務(wù)內(nèi)容和實(shí)際使用量進(jìn)行計(jì)費(fèi)。由于要保證資源的動態(tài)分配和定制資源的分配粒度,必須使用各種虛擬化技術(shù)。

        3.1 虛擬化

        微軟虛擬化Hyper-V架構(gòu)內(nèi)置在Windows Server中,安裝、配置和管理相對簡單方便,補(bǔ)丁更新隨Windows補(bǔ)丁服務(wù)自動免費(fèi)完成,也是總擁有成本最低的商業(yè)虛擬化解決方案。微軟System Center2012管理套件提供全套私有云管理套件,特別是對異構(gòu)平臺的支持和IT流程自動化是這一套件的最大亮點(diǎn)。

        3.2 私有云運(yùn)維管理平臺結(jié)構(gòu)

        該文提出的方案基于System Center Service manager和ITIL V3,針對缺乏ITIL訓(xùn)練的國內(nèi)大多數(shù)客戶,對管理套件中System Center Service manager服務(wù)管理進(jìn)行重新設(shè)計(jì)并打包,支持異構(gòu)平臺和IT流程自動化,實(shí)現(xiàn)企業(yè)IT運(yùn)維ITIL落地。

        3.3 私有云IT運(yùn)維平臺主要功能

        私有云IT運(yùn)維管理平臺結(jié)合在企業(yè)和政務(wù)行業(yè)運(yùn)維支撐領(lǐng)域的豐富經(jīng)驗(yàn),完全遵從ITILv3標(biāo)準(zhǔn)并與私有云完美融合的IT服務(wù)管理解決方案,整合了云計(jì)算、網(wǎng)絡(luò)監(jiān)控、系統(tǒng)監(jiān)控、業(yè)務(wù)監(jiān)控和服務(wù)流程管理等多種技術(shù)手段,其主要功能包括服務(wù)目錄、服務(wù)請求管理、事件管理(故障管理)、問題管理、變更管理、管理、知識管理、服務(wù)級別管理、任務(wù)管理、資產(chǎn)管理、供應(yīng)商管理、可用性管理、性能管理、服務(wù)報(bào)告與服務(wù)度量(報(bào)表管理)、工作流、企業(yè)排程和工作負(fù)載自動化(調(diào)度管理)等,實(shí)現(xiàn)IT服務(wù)管理的標(biāo)準(zhǔn)化、合規(guī)化、虛擬化、自感知、自服務(wù)、自動化、自學(xué)習(xí)、自改進(jìn),達(dá)到降低成本、提升服務(wù)水平、提高工作效率、更快速和更安全的交付IT服務(wù)的目的。

        參考文獻(xiàn)

        [1] 劉V.ABC家電零售公司IT運(yùn)維管理外包研究[D].上海:華東理工大學(xué),2013.

        [2] 傅海濱,彭健.企業(yè)構(gòu)建私有云的思考[J].網(wǎng)絡(luò)運(yùn)維與管理,2013(3).

        [3] 馮純.基于ITIL的IT服務(wù)臺軟件在企業(yè)中的應(yīng)用[J].中國科技信息,2009(9).

        第7篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        隨著云計(jì)算技術(shù)在核電廠的推廣應(yīng)用,企業(yè)的信息化水平提升到新的高度。企業(yè)對信息安全可靠性、保密性、完整性產(chǎn)生更高的述求,信息安全的防護(hù)工作日趨緊迫。傳統(tǒng)的信息安全防御手段無法應(yīng)對新出現(xiàn)的威脅,因此需結(jié)合現(xiàn)有的信息安全體系,采取與云計(jì)算技術(shù)相結(jié)合的手段開展一系列信息安全防護(hù)工作。本文主要介紹了云計(jì)算的相關(guān)概念和體系架構(gòu),云計(jì)算技術(shù)在核電的應(yīng)用,國內(nèi)核電信息安全體系現(xiàn)狀,以及基于云計(jì)算的核電信息安全體系設(shè)計(jì)。

        關(guān)鍵詞:

        云計(jì)算;核電;信息安全

        核電行業(yè)是很早就使用計(jì)算機(jī)實(shí)現(xiàn)生產(chǎn)自動化的企業(yè)。繼個人計(jì)算機(jī)、互聯(lián)網(wǎng)變革之后,2010年,云計(jì)算作為第三次IT浪潮的代表正在向我們走來。它將帶來人類生活、生產(chǎn)方式和商業(yè)模式的根本性改變,成為當(dāng)前全社會關(guān)注的熱點(diǎn)。云計(jì)算的目的是將不同的IT資源(資源包括網(wǎng)絡(luò),服務(wù)器,存儲,應(yīng)用軟件,服務(wù))以服務(wù)的方式交付給用戶。計(jì)算資源、存儲資源、軟件開發(fā)、系統(tǒng)測試、系統(tǒng)維護(hù)和各種豐富的應(yīng)用服務(wù),都將像水和電一樣方便地被使用。信息實(shí)質(zhì)上是一種資源,其價值在于其所能創(chuàng)造的機(jī)遇與利益。信息安全的目的即是保護(hù)信息的完整性、可用性及保密性等屬性,以保證信息的價值。一旦信息的完整性、可用性或保密性缺失或受損,信息的價值將大打折扣。核電廠作為國防建設(shè)的重點(diǎn)單位,信息安全重要性尤為突出。隨著云計(jì)算技術(shù)在核電廠的推廣應(yīng)用,信息安全的防護(hù)出現(xiàn)一些新的變化,本文即是針對這些新的變化進(jìn)行相應(yīng)的探討,目的是提升核電廠信息安全水平。

        1云計(jì)算概念和體系架構(gòu)

        網(wǎng)絡(luò)通信、分布式計(jì)算及服務(wù)計(jì)算等技術(shù)的發(fā)展為云計(jì)算的實(shí)施提供了強(qiáng)有力的支撐。NIST指出云計(jì)算是一種以通過網(wǎng)絡(luò)連接,便攜且按需訪問的可配置共享資源池的服務(wù),計(jì)算資源將以最小的管理和交互代價快速提供給用戶;同時云計(jì)算還應(yīng)滿足按需自助服務(wù)、廣泛網(wǎng)絡(luò)接人、高效資源共享、高彈性計(jì)算、支持度量計(jì)費(fèi)等五大功能特性。根據(jù)云計(jì)算所提供服務(wù)類別的不同,云計(jì)算的服務(wù)模式可以分為軟件即服務(wù)(SoftwareasaService,SaaS)、平臺即服務(wù)(PlatformasaService,PaaS)和基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService,IaaS)。典型的云計(jì)算平臺架構(gòu)如下:IaaS、PaaS、SaaS在功能范圍和側(cè)重點(diǎn)上都存在差異,其中IaaS需要在異構(gòu)資源環(huán)境下,提供按需付費(fèi)、可度量資源池功能,同時要兼顧硬件資源的充分利用和用戶需求的滿足;PaaS不僅關(guān)注底層硬件資源的整合,還需要提供能夠供租戶進(jìn)行開發(fā)、調(diào)試應(yīng)用的平臺環(huán)境;SaaS不僅需實(shí)現(xiàn)底層資源的充分利用,還必須通過部署一個或多個應(yīng)用軟件環(huán)境,為用戶提供可定制化的應(yīng)用服務(wù)。

        2云計(jì)算技術(shù)在核電企業(yè)的應(yīng)用

        隨著核電ERP/EAM/ECM等核心系統(tǒng)的構(gòu)建,以及IT架構(gòu)的進(jìn)一步集中調(diào)整,整個核電IT系統(tǒng)的架構(gòu)變的更為復(fù)雜。為了提升信息化水平,提高資源利用率,核電廠開展云計(jì)算相關(guān)技術(shù)研究,結(jié)合企業(yè)實(shí)際情況,遵循四化的理念來建立、提升、完善云計(jì)算平臺的能力。核電企業(yè)四化包括:資源管理集約化:通過對企業(yè)計(jì)算、存儲、網(wǎng)絡(luò)資源的集中化、標(biāo)準(zhǔn)化、服務(wù)化管理實(shí)現(xiàn)高效、彈性的IT架構(gòu);應(yīng)用交付一體化:通過軟件全生命周期管理的自動化以及面向企業(yè)級應(yīng)用的業(yè)務(wù)框架提高企業(yè)應(yīng)用的交互能力;系統(tǒng)運(yùn)營智能化:通過全方位的監(jiān)控和時間處理,將數(shù)據(jù)植入到運(yùn)營流程中,達(dá)到流程化、智能化運(yùn)行的目標(biāo);運(yùn)維管理自動化:通過運(yùn)維作業(yè)集中管理調(diào)度與監(jiān)控實(shí)現(xiàn)運(yùn)維作業(yè)的標(biāo)準(zhǔn)化和自動化提高應(yīng)用運(yùn)維的效率和可管理型。

        3國內(nèi)核電信息安全體系現(xiàn)狀

        目前國內(nèi)大部分核電企業(yè)的信息安全體系建設(shè)主要遵守《電力行業(yè)信息系統(tǒng)等級保護(hù)定級工作指導(dǎo)意見》(電監(jiān)信息[2007]44號)、《信息安全等級保護(hù)管理辦法》和《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》(公通字[2010]70號)等,以上述辦法圍繞等級保護(hù)來開展信息安全體系建設(shè)。一些信息化建設(shè)水平較好的核電企業(yè),在信息安全建設(shè)過程中逐步借鑒和參考國際國內(nèi)先進(jìn)的信息安全標(biāo)準(zhǔn),主要是目前國際上應(yīng)用最廣泛的ISO27001信息安全管理體系。在傳統(tǒng)的信息安全時代主要采用隔離作為安全的手段,具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離,實(shí)踐證明這種隔離手段針對傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司,例如各種FireWall(防火墻)、IDS/IPS(入侵檢測系統(tǒng)/入侵防御系統(tǒng))、WAF(Web應(yīng)用防火墻)、UTM(統(tǒng)一威脅管理)、SSL網(wǎng)關(guān)、加密機(jī)等。在這種隔離思想下,并不需要應(yīng)用提供商參與較多信息安全工作,在典型場景下是由總集成商負(fù)責(zé)應(yīng)用和信息安全之間的集成,而這導(dǎo)致了長久以來信息安全和應(yīng)用相對獨(dú)立的發(fā)展,尤其在國內(nèi)這兩個領(lǐng)域的圈子交集并不大。結(jié)果,傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對應(yīng)用的封閉化、硬件盒子化的三個特征。信息安全體系的基本建設(shè)要素包括物理安全、網(wǎng)絡(luò)安全和系統(tǒng)安全三個要素。(1)物理安全。物理安全主要涵蓋機(jī)房安全、信息設(shè)備安全、通信線路安全等,保障信息機(jī)房的電源、溫濕度、進(jìn)出入的安全,保障信息化基礎(chǔ)設(shè)施、通信線路等的運(yùn)行可靠性、雙鏈路互備等措施。(2)網(wǎng)絡(luò)安全。互聯(lián)網(wǎng)的安全主要以防火墻為核心,輔以IPS、防病毒網(wǎng)關(guān)等設(shè)備為核電構(gòu)建統(tǒng)一的、安全的互聯(lián)網(wǎng)出入口。內(nèi)部局域網(wǎng)作為網(wǎng)絡(luò)中終端數(shù)量最大、用戶最多的區(qū)域,一直是網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)區(qū)域。首先,局域網(wǎng)要進(jìn)行核心層、匯聚層、接入層的規(guī)劃和IP地址劃分,核心層要滿足雙機(jī)熱備的要求。在網(wǎng)絡(luò)管理中要實(shí)現(xiàn)網(wǎng)絡(luò)資源的配置、網(wǎng)絡(luò)流量監(jiān)控,保障局域網(wǎng)絡(luò)的穩(wěn)定通暢。其次,終端安全管理是內(nèi)部局域網(wǎng)安全的管理重心,建立終端管理、防病毒、移動介質(zhì)等防控手段。(3)系統(tǒng)安全。信息系統(tǒng)的穩(wěn)定運(yùn)行是支撐核電業(yè)務(wù)連貫性的必要條件,信息系統(tǒng)的服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)接口等的管理有效性是實(shí)現(xiàn)系統(tǒng)安全、穩(wěn)定運(yùn)行的基礎(chǔ)。系統(tǒng)的應(yīng)用安全主要指系統(tǒng)中數(shù)據(jù)訪問、流程審批、操作合規(guī)性等安全,主要通過用戶認(rèn)證、電子證書、文檔加密、行為審計(jì)等手段來加以監(jiān)控。

        4基于云計(jì)算的信息安全體系設(shè)計(jì)

        核電企業(yè)云平臺承載企業(yè)的關(guān)鍵應(yīng)用,數(shù)據(jù)作為企業(yè)的資產(chǎn),其安全性需要采取相應(yīng)措施加以保障,核電企業(yè)在建設(shè)云平臺過程中,注重安全管理。安全管理是為了建設(shè)可靠的安全保障體系,實(shí)現(xiàn)應(yīng)用服務(wù)及數(shù)據(jù)調(diào)用的安全認(rèn)證和安全審計(jì),主動的異常數(shù)據(jù)操作行為的監(jiān)控分析、預(yù)警機(jī)制,并提供異常問題的倒查追溯能力。為了更好的保證業(yè)務(wù)之間的隔離性和安全性,核電廠從三個方面建立信息安全體系:(1)訪問安全。訪問安全基于身份認(rèn)證和權(quán)限認(rèn)證來完成。身份認(rèn)證是建立統(tǒng)一的用戶信息庫,為系統(tǒng)提供身份認(rèn)證服務(wù),只有合法用戶才能對信息化系統(tǒng)進(jìn)行訪問;權(quán)限認(rèn)證主要是根據(jù)用戶身份對其進(jìn)行權(quán)限判斷,以權(quán)限認(rèn)證與統(tǒng)一認(rèn)證相結(jié)合,為信息化系統(tǒng)提供方便、簡單的、可靠的授權(quán)服務(wù),從而對用戶進(jìn)行整體的、有效的訪問控制,保護(hù)系統(tǒng)資源不被非法或越權(quán)訪問,防止信息泄漏。(2)數(shù)據(jù)安全。數(shù)據(jù)安全是對及內(nèi)部信息系統(tǒng)進(jìn)行嚴(yán)格的安全防護(hù),對計(jì)算機(jī)、數(shù)據(jù)、敏感業(yè)務(wù)系統(tǒng)采用認(rèn)證、加密等技術(shù)手段進(jìn)行控制。數(shù)據(jù)安全主要包括:數(shù)據(jù)完整性,數(shù)據(jù)保密性,備份和恢復(fù)。數(shù)據(jù)完整性:通過循環(huán)冗余校驗(yàn)(CRC)以及消息認(rèn)證碼(帶密鑰的Hash函數(shù))來保證完整性。數(shù)據(jù)保密性:通過傳輸協(xié)議加密以及數(shù)據(jù)加密來保證保密性。備份和恢復(fù):對重要信息進(jìn)行備份,并對備份介質(zhì)定期進(jìn)行可用性測試。(3)操作安全。操作安全是為了防止誤操作帶來的風(fēng)險(xiǎn),如刪除關(guān)鍵數(shù)據(jù)造成系統(tǒng)無法正常運(yùn)行。操作安全可以通過事前預(yù)防和事后補(bǔ)救這兩方面來保證。事前預(yù)防是通過對關(guān)鍵操作進(jìn)行多人復(fù)核,降低單人誤操作機(jī)率;事后補(bǔ)救是通過操作日志來回滾誤操作。結(jié)合云計(jì)算平臺建設(shè)現(xiàn)狀和企業(yè)實(shí)際,核電廠從云平臺基礎(chǔ)安全、云平臺攻防安全、云平臺運(yùn)維安全等方面建設(shè)信息安全體系,構(gòu)筑全方位的信息安全防護(hù)屏障。

        4.1云平臺基礎(chǔ)安全

        (1)網(wǎng)絡(luò)安全。云計(jì)算平臺網(wǎng)絡(luò)分為兩部分:管理平面和業(yè)務(wù)平面網(wǎng)絡(luò)。管理平面網(wǎng)絡(luò)主要用來管理云計(jì)算主機(jī),業(yè)務(wù)網(wǎng)絡(luò)主要負(fù)責(zé)傳遞業(yè)務(wù)系統(tǒng)相關(guān)數(shù)據(jù),兩者傳輸數(shù)據(jù)不同,訪問授權(quán)也不一致,需將管理平面和業(yè)務(wù)平面網(wǎng)絡(luò)隔離。此外,需關(guān)閉未使用的網(wǎng)絡(luò)端口防止非法接入,回收服務(wù)器默認(rèn)路由防止主動外聯(lián)。(2)宿主機(jī)安全。首先要保證操作系統(tǒng)安全,減少系統(tǒng)漏洞。由于云計(jì)算操作系統(tǒng)大部分是基于開源平臺開發(fā),存在漏洞較多。因此進(jìn)行系統(tǒng)定制化開發(fā)時候需將操作系統(tǒng)內(nèi)核和組件精簡,減少非必要的功能,修復(fù)相關(guān)漏洞,對主機(jī)做符合業(yè)界安全規(guī)范的配置加固,內(nèi)核防提權(quán)模塊加固等。(3)多租戶資源隔離。云計(jì)算平臺的典型場景是多租戶共享,但和傳統(tǒng)IT架構(gòu)相比,原來的可信邊界徹底被打破了,威脅可能直接來自于相鄰租戶。租戶通過Hypervisor(虛擬機(jī)監(jiān)視器)共享同一個物理操作系統(tǒng)的計(jì)算資源,在一張共享的二層網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)的區(qū)隔。攻擊者一旦通過某0day漏洞實(shí)現(xiàn)虛擬逃逸到宿主機(jī),攻擊者就可以讀取這臺宿主機(jī)上所有虛擬機(jī)的內(nèi)存,從而可以控制這臺宿主機(jī)上的所有虛擬機(jī)。同時更致命的是,整個云平臺節(jié)點(diǎn)間通訊的API默認(rèn)都是可信的,因此可以從這臺宿主機(jī)與集群消息隊(duì)列交互,進(jìn)而集群消息隊(duì)列會被攻擊者控制,最終一舉攻破整個云主機(jī)集群。云服務(wù)器租戶隔離從以下幾個方面設(shè)計(jì):基于VT-x技術(shù)隔離CPU;硬件輔助EPT技術(shù)隔離內(nèi)存;分離設(shè)備驅(qū)動I/O模型隔離存儲;交換型Vswitch,不同VM的數(shù)據(jù)包被轉(zhuǎn)發(fā)到對應(yīng)的虛擬端口;VM的IP、Mac地址綁定防地址欺騙及網(wǎng)絡(luò)嗅探;物理內(nèi)存、物理存儲重分配前清零;用戶數(shù)據(jù)打標(biāo)簽隔離存儲。(4)數(shù)據(jù)存儲安全。數(shù)據(jù)是信息系統(tǒng)最核心要素,數(shù)據(jù)的可靠性和安全性在信息安全中地位尤為突出,云計(jì)算平臺采取了分布式存儲技術(shù),將數(shù)據(jù)分散在多個磁盤中。同一數(shù)據(jù)分別備份三份存儲于磁盤中,任意部分丟失均立刻進(jìn)行恢復(fù),可靠性達(dá)99.9999%,較好保障數(shù)據(jù)安全性;為應(yīng)對物理拷貝,將數(shù)據(jù)打散后即使單獨(dú)拷貝磁盤出去,無系統(tǒng)進(jìn)行數(shù)據(jù)提取、整合,無法恢復(fù)數(shù)據(jù)。

        4.2云平臺攻防安全

        互聯(lián)網(wǎng)攻防體系包括DDOS攻擊防御、入侵防御、弱點(diǎn)分析和態(tài)勢感知四個方面,整體架構(gòu)如下:(1)DDOS攻擊防御。DDOS(分布式拒絕服務(wù)),是指借助于客戶/服務(wù)器技術(shù),將多個計(jì)算機(jī)聯(lián)合起來作為攻擊平臺,很多DOS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊。DDOS攻擊本質(zhì)上是一種只能緩解而不能完全防御的攻擊,它不像漏洞那樣打個補(bǔ)丁解決了就是解決了,DDOS就算購買和部署了當(dāng)前市場上比較有競爭力的防御解決方案也完全談不上徹底根治。防火墻、IPS、WAF這些安全產(chǎn)品都號稱自己有一定的抗DDOS能力,而實(shí)際上他們只針對小流量下,應(yīng)用層的攻擊比較有效,對于稍大流量的DDOS攻擊則無濟(jì)于事。結(jié)合云計(jì)算平臺特點(diǎn),DDoS攻擊防御使用DDoS清洗系統(tǒng),通過封堵大流量DDoS攻擊,保障云平臺可用;通過攔截應(yīng)用層DDoS/CC攻擊,保障業(yè)務(wù)可用。DDoS清洗系統(tǒng)可1秒完成檢測->牽引->清洗->回注流程,全自動響應(yīng),無人值守,提高效率,降低成本;與全球信息安全防護(hù)廠商共享數(shù)據(jù),提供最大450+Gbps防御能力,可抵御海量攻擊;采用了精準(zhǔn)的攻擊檢測技術(shù),網(wǎng)絡(luò)抖動小。本系統(tǒng)配置專用大數(shù)據(jù)平臺,采用基于大數(shù)據(jù)分析技術(shù)可快速分析惡意IP庫、惡意行為庫。(2)入侵防御。入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備,能夠即時的中斷、調(diào)整或隔離一些不正?;蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。傳統(tǒng)的入侵防御系統(tǒng)多集中在應(yīng)對4~7層的應(yīng)用攻擊,在應(yīng)對DDoS洪水型攻擊時卻顯得捉襟見肘,而基于云計(jì)算的入侵防御系統(tǒng)不但要集成的原有入侵防御產(chǎn)品多層的防攻擊功能,更需具有專業(yè)抗DDoS攻擊功能,可清洗2~4層的洪水型攻擊流量,能夠從而實(shí)現(xiàn)系統(tǒng)全方位的入侵防護(hù)。云計(jì)算入侵防御系統(tǒng)需要具備功能包括:實(shí)時網(wǎng)絡(luò)入侵?jǐn)r截,封堵惡意行為;自動木馬后門檢測,保護(hù)主機(jī)安全;弱點(diǎn)分析,可以快速分析出系統(tǒng)存在漏洞、弱點(diǎn)及時發(fā)現(xiàn)弱點(diǎn),自動修復(fù)漏洞;具備實(shí)時掃描功能,風(fēng)險(xiǎn)隨時可知。(3)網(wǎng)絡(luò)態(tài)勢感知。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢。網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測最近的發(fā)展趨勢?;谠朴?jì)算的態(tài)勢感知服務(wù)可以讓企業(yè)決策者發(fā)現(xiàn)眼睛看不見的風(fēng)險(xiǎn)。態(tài)勢感知的第一個特點(diǎn)是以海量數(shù)據(jù)、超強(qiáng)的計(jì)算為依托,讓黑客攻擊顯影。第二個特點(diǎn)就是讓風(fēng)險(xiǎn)可視化。有了它,沒有安全技術(shù)基礎(chǔ)的人也能看見風(fēng)險(xiǎn)的過去、現(xiàn)在和將來?;谠朴?jì)算的態(tài)勢感知系統(tǒng)需具備功能包括:安全數(shù)據(jù)大屏實(shí)時展示;集中安全策略管理;多維度日志關(guān)聯(lián)分析;時間+空間,安全風(fēng)險(xiǎn)全局態(tài)勢感知。(4)數(shù)據(jù)庫審計(jì)。數(shù)據(jù)庫是企業(yè)最具有戰(zhàn)略性的資產(chǎn),通常都保存著重要的商業(yè)伙伴和客戶信息,這些信息需要被保護(hù)起來,以防止競爭者和其他非法者獲取。面對日趨復(fù)雜的安全風(fēng)險(xiǎn),必須部署數(shù)據(jù)庫審計(jì)系統(tǒng)。數(shù)據(jù)庫審計(jì)能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動,對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理,對數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警,對攻擊行為進(jìn)行阻斷。它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報(bào),用來幫助用戶事后生成合規(guī)報(bào)告、事故追根溯源,同時加強(qiáng)內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄,提高數(shù)據(jù)資產(chǎn)安全?;谠朴?jì)算的數(shù)據(jù)庫審計(jì)系統(tǒng)是在數(shù)據(jù)庫虛機(jī)上安裝數(shù)據(jù)庫審計(jì)業(yè)務(wù)端程序,該程序會對該虛機(jī)上的數(shù)據(jù)庫業(yè)務(wù)進(jìn)行審計(jì)。另外在中控區(qū)部署統(tǒng)一的數(shù)據(jù)庫審計(jì)管理端程序,對所有業(yè)務(wù)端程序提供集中管控。

        4.3云平臺安全運(yùn)維

        隨著云計(jì)算平臺的建設(shè)推進(jìn),各應(yīng)用系統(tǒng)也進(jìn)行了基于“云”的設(shè)計(jì)改造,因此必須建立一套完整的基于云計(jì)算的安全運(yùn)維體系,保證各類緊急事件能夠及時處理?;谠朴?jì)算的安全運(yùn)維體系應(yīng)包括以下兩個方面。(1)帶外管理分離與運(yùn)營平臺。云平臺的運(yùn)維管理應(yīng)與業(yè)務(wù)網(wǎng)絡(luò)分離,同時建立運(yùn)維平臺和運(yùn)營平臺。運(yùn)維平臺主要供IT管理員進(jìn)行云平臺的運(yùn)維,運(yùn)營平臺提供運(yùn)營相關(guān)服務(wù),包括計(jì)費(fèi)、考核、流程審批等。(2)運(yùn)維管理審計(jì)。InforCube運(yùn)維管理審計(jì)系統(tǒng)涵蓋多種運(yùn)維協(xié)議(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放檢索、輸入記錄、標(biāo)題抓取等功能,從明確人、主機(jī)、帳戶各個角度,提供豐富的統(tǒng)計(jì)分析,幫助用戶及時發(fā)現(xiàn)安全隱患,協(xié)助優(yōu)化網(wǎng)絡(luò)資源的使用。它能夠?qū)\(yùn)維人員的訪問過程進(jìn)行細(xì)粒度的授權(quán)、全過程的操作記錄及控制、全方位的操作審計(jì)、并支持事后操作過程回放功能,實(shí)現(xiàn)運(yùn)維過程的“事前預(yù)防、事中控制、事后審計(jì)”,在簡化運(yùn)維操作的同時,全面解決云計(jì)算復(fù)雜環(huán)境下的運(yùn)維安全問題,提升企業(yè)IT運(yùn)維管理水平。

        5結(jié)束語

        云計(jì)算平臺的信息安全體系建設(shè),除了要依據(jù)上級單位的要求,參照ISO27001和信息系統(tǒng)安全等級保護(hù)體系開展企業(yè)信息安全建設(shè),更重要的是要根據(jù)云平臺架構(gòu)特點(diǎn),有針對性進(jìn)行方案設(shè)計(jì),采取更先進(jìn)的技術(shù)進(jìn)行安全加固。新技術(shù)的發(fā)展日新月異,相應(yīng)的安全威脅手段也在改進(jìn),如僅僅按照國標(biāo)和行業(yè)的標(biāo)準(zhǔn)進(jìn)行安全防范,無法防范新出現(xiàn)的威脅。因此針對云平臺的信息安全體系建設(shè)日趨緊迫。此外,在做好信息安全的技術(shù)防御之時,提高管理、加強(qiáng)對安全體系的審查改進(jìn)是重要的落地手段。通過安全體系的設(shè)計(jì),落實(shí)改進(jìn)措施,定期實(shí)施加固,將安全體系落實(shí)到實(shí)處,才可以保障企業(yè)的信息安全。

        作者:張榮斌 單位:中核核電運(yùn)行管理有限公司

        參考文獻(xiàn):

        [1]梅生偉,王瑩瑩,陳來軍等.從復(fù)雜網(wǎng)絡(luò)視角評述智能電網(wǎng)信息安全研究現(xiàn)狀及若干展望[J].高電壓技術(shù),2011,37(3):672-679.

        [2]李文武,游文霞,王先培等.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護(hù)與控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.

        [3]謝迎軍.信息及信息安全思辨[C].//中國電機(jī)工程學(xué)會電力通信專業(yè)委員會第九屆學(xué)術(shù)會議論文集.2013:822-826.

        [4]工業(yè)和信息化部信息安全協(xié)調(diào)司司長趙澤良:積極應(yīng)對風(fēng)險(xiǎn)挑戰(zhàn)維護(hù)國家信息安全[J].信息安全與通信保密,2012,(3):2-2.

        [5]杜保東,楊慶明,李冰等.企業(yè)云計(jì)算信息安全方案研究[J].信息系統(tǒng)工程,2014,(5):67-68.

        [6]汪兆成.基于云計(jì)算模式的信息安全風(fēng)險(xiǎn)評估研究[J].信息網(wǎng)絡(luò)安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.

        [7]楊成.解析現(xiàn)階段云計(jì)算的應(yīng)用與信息安全[J].科技展望,2015,(20):1-2.

        [8]中華人民共和國國家標(biāo)準(zhǔn)GB/T22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》

        第8篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        1設(shè)計(jì)目標(biāo)

        移動互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu)的設(shè)計(jì)目標(biāo)有以下6個方面:

        ·確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)

        ·確保云計(jì)算平臺虛擬化運(yùn)行環(huán)境的安全

        ·依據(jù)不同的安全需求,提供定制化的安全服務(wù)

        ·對運(yùn)行態(tài)的云計(jì)算平臺進(jìn)行風(fēng)險(xiǎn)評估和安全監(jiān)管

        ·確保云計(jì)算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)

        ·保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

        2安全體系架構(gòu)設(shè)計(jì)

        結(jié)合上述設(shè)計(jì)目標(biāo),考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營方式和用戶安全需求的多樣性,文章設(shè)計(jì)了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系架構(gòu),它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點(diǎn)。

        與云計(jì)算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS)3個層次相應(yīng),文章首先設(shè)計(jì)了云安全應(yīng)用服務(wù)資源群,包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。

        針對云計(jì)算虛擬化的特點(diǎn)文章還設(shè)計(jì)了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù),運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺(如不同的操作系統(tǒng))。同時移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異,云平臺應(yīng)具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)可以參考移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)云安全基礎(chǔ)設(shè)施已有的建設(shè)經(jīng)驗(yàn)。

        移動互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系架構(gòu)還包含一個統(tǒng)一的云安全管理平臺,該平臺包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計(jì)管理等子系統(tǒng)。云安全管理平臺縱貫云安全應(yīng)用服務(wù)、云安全平臺服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次,對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運(yùn)維安全情況進(jìn)行跨安全域、跨安全級別的綜合管理。

        體系架構(gòu)考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等,具有統(tǒng)一的云安全應(yīng)用服務(wù)接口,并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁瀏覽和移動搜索等服務(wù),同時還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗(yàn)證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

        同時,體系架構(gòu)還考慮了整個系統(tǒng)參照云安全標(biāo)準(zhǔn)及測評體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測評機(jī)構(gòu)系統(tǒng)地測試和評估,以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險(xiǎn)并設(shè)立其信任等級,云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級,云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測評機(jī)構(gòu)評估的安全云應(yīng)用服務(wù)而帶來的損失。云應(yīng)用服務(wù)安全等級的測試和評估也給云服務(wù)提供商帶來準(zhǔn)入規(guī)范,迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量和安全意識。

        3關(guān)鍵技術(shù)

        對用戶而言,多用戶私有資源的遠(yuǎn)程集中式管理與計(jì)算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾,主要表現(xiàn)為:用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對固定和穩(wěn)定,而計(jì)算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅??梢哉f,云服務(wù)提供商與用戶之間的信任問題是云計(jì)算能否推廣的關(guān)鍵,而數(shù)據(jù)的安全和隱私保護(hù)是云計(jì)算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗(yàn)證、多租戶環(huán)境下的隱私保護(hù)方法等。

        云計(jì)算平臺要統(tǒng)一調(diào)度、部署計(jì)算資源,實(shí)施硬件資源和虛擬資源的安全管理和訪問控制,因此,確保虛擬化運(yùn)行環(huán)境的安全是云計(jì)算安全的關(guān)鍵。在此安全體系之下,結(jié)合虛擬化技術(shù),平臺必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險(xiǎn),這包括:內(nèi)存的越界訪問,不同安全域的虛擬機(jī)控制和管理,虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計(jì)算平臺無法實(shí)現(xiàn)不同(也可能相同)云用戶租用的不同虛擬機(jī)之間的有效隔離,那么云服務(wù)商就無法說服云用戶相信自己的提供的服務(wù)是安全的。

        用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來實(shí)現(xiàn),因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險(xiǎn)問題,例如運(yùn)行的環(huán)境的安全級別是否符合需求和運(yùn)行的流程是否異常等;虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計(jì)問題包括安全策略管理、系統(tǒng)日志管理和審計(jì)策略管理等。

        云計(jì)算模式下的移動互聯(lián)網(wǎng)是一種多源、異構(gòu)服務(wù)共存的環(huán)境。與此同時,依據(jù)多租戶的不同安全需求,滿足不同等級的差異化云安全服務(wù)應(yīng)以訪問控制為手段,進(jìn)行安全服務(wù)定制以及安全自適應(yīng)。

        第9篇:云計(jì)算標(biāo)準(zhǔn)體系范文

        1.智慧城市的概念與內(nèi)涵

        1.1智慧城市的概念

        智慧城市是把新一代信息技術(shù)充分運(yùn)用在城市的各行各業(yè)之中的基于知識社會下一代創(chuàng)新(創(chuàng)新2.0)的城市信息化高級形態(tài)。智慧城市是基于互聯(lián)網(wǎng)、云計(jì)算等新一代信息技術(shù)以及大數(shù)據(jù)、社交網(wǎng)絡(luò)、Fab Lab、Living Lab、綜合集成法等工具和方法的創(chuàng)新應(yīng)用。智慧城市實(shí)現(xiàn)全面透徹的感知、寬帶泛在的互聯(lián)、智能融合的應(yīng)用以及以用戶創(chuàng)新、開放創(chuàng)新、大眾創(chuàng)新、協(xié)同創(chuàng)新為特征的可持續(xù)創(chuàng)新。

        1.2智慧城市的內(nèi)涵

        1.2.1 更透徹的感知,更全面的互聯(lián)互通

        智慧城市基于無處不在的智能傳感器,實(shí)現(xiàn)對城市物理空間的全面、綜合的感知,動態(tài)的獲取城市的各種信息,對城市核心系統(tǒng)進(jìn)行實(shí)施感測,實(shí)現(xiàn)“無所不在的連接”。

        1.2.2 更深入的整合,更協(xié)同的運(yùn)作

        通過城市“三網(wǎng)”融合,再加上物聯(lián)網(wǎng)和基于云計(jì)算平臺的多元異構(gòu)數(shù)據(jù)(多參考系、多語義、多尺度、多時相等)的整合,構(gòu)建智慧城市的信息基礎(chǔ)設(shè)施。1.2.3 更多樣的服務(wù),更積極的創(chuàng)新

        智慧城市所構(gòu)建的服務(wù),是一種新的提供服務(wù)的體系結(jié)構(gòu),對所感知到的海量數(shù)據(jù)能夠進(jìn)行不同深度的處理、挖掘與延伸,為人們提供不同種類、不同層次、不同要求的低成本、高效率的智慧化服務(wù)。同時智慧城市給了政府、企業(yè)、個人更多的創(chuàng)新的機(jī)會,鼓勵在智慧城市提體系內(nèi)尋找新的經(jīng)濟(jì)增長點(diǎn),為社會進(jìn)步、經(jīng)濟(jì)發(fā)展、文明前進(jìn)提供不息動力。

        2.智慧城市實(shí)現(xiàn)的關(guān)鍵技術(shù)

        2.1物聯(lián)網(wǎng)技術(shù)

        物聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)可以分為三層:感知層、網(wǎng)絡(luò)層和應(yīng)用層,如圖1所示。感知層對物理世界感知、識別并控制。網(wǎng)絡(luò)層實(shí)現(xiàn)信息的傳遞。應(yīng)用層在對信息計(jì)算和處理的基礎(chǔ)上實(shí)現(xiàn)在各行業(yè)的應(yīng)用。

        圖1

        2.2云計(jì)算

        2.2.1云計(jì)算的定義

        現(xiàn)今,廣為接受的是美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)定義:云計(jì)算是一種按使用量付費(fèi)的模式,這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問, 進(jìn)入可配置的計(jì)算資源共享池(資源包括網(wǎng)絡(luò),服務(wù)器,存儲,應(yīng)用軟件,服務(wù)),這些資源能夠被快速提供,只需投入很少的管理工作,或與服務(wù)供應(yīng)商進(jìn)行很少的交互。

        2.2.2云計(jì)算的特點(diǎn)

        云計(jì)算是通過使計(jì)算分布在大量的分布式計(jì)算機(jī)上,而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中,企業(yè)數(shù)據(jù)中心的運(yùn)行將與互聯(lián)網(wǎng)更相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上,根據(jù)需求訪問計(jì)算機(jī)和存儲系統(tǒng)。特點(diǎn)如下:(1) 超大規(guī)模(2) 虛擬化(3) 高可靠性(4) 通用性(5) 高可擴(kuò)展性(6) 按需服務(wù)(7) 極其廉價2.3物聯(lián)網(wǎng)與云計(jì)算的關(guān)系

        目前物聯(lián)網(wǎng)的發(fā)展存在“信息孤島”現(xiàn)象,其在各個行業(yè)、各個小地域的應(yīng)用互相隔離,不能形成城市范圍的一體化協(xié)作平臺。究其原因除,社會經(jīng)濟(jì)層次上的困難外,主要是標(biāo)準(zhǔn)化程度較低,缺乏統(tǒng)一的中間件接口,以及各部門、各行業(yè)應(yīng)用融合所帶來的海量信息存儲和計(jì)算的壓力,而云計(jì)算技術(shù)為后者提供了很好的解決方案。

        3.智慧城市建設(shè)應(yīng)用體系

        3.1智慧公共服務(wù)體系:建設(shè)智慧公共服務(wù)和城市管理系統(tǒng)。通過加強(qiáng)就業(yè)、醫(yī)療、文化、安居等專業(yè)性應(yīng)用系統(tǒng)建設(shè),通過提升城市建設(shè)和管理的規(guī)范化、精準(zhǔn)化和智能化水平,有效促進(jìn)城市公共資源在全市范圍共享,積極推動城市人流、物流、信息流、資金流的協(xié)調(diào)高效運(yùn)行,在提升城市運(yùn)行效率和公共服務(wù)水平的同時,推動城市發(fā)展轉(zhuǎn)型升級。

        3.2智慧城市綜合體:采用視覺采集和識別、各類傳感器、無線定位系統(tǒng)、RFID、條碼識別、視覺標(biāo)簽等頂尖技術(shù),構(gòu)建智能視覺物聯(lián)網(wǎng),對城市綜合體的要素進(jìn)行智能感知、自動數(shù)據(jù)采集,涵蓋城市綜合體當(dāng)中的商業(yè)、辦公、居住、旅店、展覽、餐飲、會議、文娛和交通、燈光照明、信息通信和顯示等方方面面,將采集的數(shù)據(jù)可視化和規(guī)范化,讓管理者能進(jìn)行可視化城市綜合體管理。國內(nèi)公司也在“智慧地球”啟示下提出架構(gòu)體系,如“智慧城市4+1體系”(圖2),已在城市綜合體智能化天津智慧和平區(qū)等智能化項(xiàng)目中得到應(yīng)用。

        圖2

        3.3智慧政務(wù)城市綜合管理運(yùn)營平臺:此類項(xiàng)目已有實(shí)際案例,天津市和平區(qū)的“智慧和平城市綜合管理運(yùn)營平臺”包括指揮中心、計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房、智能監(jiān)控系統(tǒng)、和平區(qū)街道圖書館和數(shù)字化公共服務(wù)網(wǎng)絡(luò)系統(tǒng)四個部分內(nèi)容,其中指揮中心系統(tǒng)囊括政府智慧大腦六大中樞系統(tǒng),分別為公安應(yīng)急系統(tǒng),公共服務(wù)系統(tǒng),社會管理系統(tǒng),城市管理系統(tǒng),經(jīng)濟(jì)分析系統(tǒng),輿情分析系統(tǒng)。

        3.4智慧安居服務(wù)體系。開展智慧社區(qū)安居的調(diào)研試點(diǎn)工作,在部分居民小區(qū)為先行試點(diǎn)區(qū)域,充分考慮公共區(qū)、商務(wù)區(qū)、居住區(qū)的不同需求,融合應(yīng)用物聯(lián)網(wǎng)、互聯(lián)網(wǎng)、移動通信等各種信息技術(shù),發(fā)展社區(qū)政務(wù)、智慧家居系統(tǒng)、智慧樓宇管理、智慧社區(qū)服務(wù)、社區(qū)遠(yuǎn)程監(jiān)控、安全管理、智慧商務(wù)辦公等智慧應(yīng)用系統(tǒng),使居民生活“智能化發(fā)展”。

        3.5智慧教育文化服務(wù)體系:積極推進(jìn)智慧教育文化體系建設(shè)。建設(shè)完善我市教育城域網(wǎng)和校園網(wǎng)工程,推動智慧教育事業(yè)發(fā)展,重點(diǎn)建設(shè)教育綜合信息網(wǎng)、網(wǎng)絡(luò)學(xué)校、數(shù)字化課件、教學(xué)資源庫、虛擬圖書館、教學(xué)綜合管理系統(tǒng)、遠(yuǎn)程教育系統(tǒng)等資源共享數(shù)據(jù)庫及共享應(yīng)用平臺系統(tǒng)。

        3.6智慧服務(wù)應(yīng)用。組織實(shí)施部分智慧服務(wù)業(yè)試點(diǎn)項(xiàng)目,通過示范帶動,推進(jìn)傳統(tǒng)服務(wù)企業(yè)經(jīng)營、管理和服務(wù)模式創(chuàng)新,加快向現(xiàn)代智慧服務(wù)產(chǎn)業(yè)轉(zhuǎn)型。

        智慧貿(mào)易:支持企業(yè)通過自建網(wǎng)站或第三方電子商務(wù)平臺,開展網(wǎng)上詢價、網(wǎng)上采購、網(wǎng)上營銷,網(wǎng)上支付等電子商務(wù)活動。積極推動商貿(mào)服務(wù)業(yè)、旅游會展業(yè)、中介服務(wù)業(yè)等現(xiàn)代服務(wù)業(yè)領(lǐng)域運(yùn)用電子商務(wù)手段,創(chuàng)新服務(wù)方式,提高服務(wù)層次。

        建設(shè)智慧服務(wù)業(yè)示范推廣基地。積極通過信息化深入應(yīng)用,改造傳統(tǒng)服務(wù)業(yè)經(jīng)營、管理和服務(wù)模式,加快向智能化現(xiàn)代服務(wù)業(yè)轉(zhuǎn)型。

        4.智慧城市建設(shè)面臨的挑戰(zhàn)及未來展望

        伴隨網(wǎng)絡(luò)帝國的崛起、移動技術(shù)的融合發(fā)展以及創(chuàng)新的民主化進(jìn)程,知識社會環(huán)境下的智慧城市是繼數(shù)字城市之后信息化城市發(fā)展的高級形態(tài)。智慧城市建設(shè)需要技術(shù)和金融的創(chuàng)新,需要有統(tǒng)一的標(biāo)準(zhǔn)和完善的法規(guī),更需要政府的引導(dǎo)和市場的主導(dǎo)。但是發(fā)展智慧城市要防止一哄而起,急于求成,炒作概念。希望我們智慧城市的建設(shè)能夠健康可持續(xù)的發(fā)展。我們相信我們通過城市的智慧的發(fā)展,我們一定會迎來一個幸福城市、智慧城市、綠色城市和和諧城市的時代。

        然而,智慧城市建設(shè)必然會改變城市人的生活和生產(chǎn)方式。21世紀(jì)的“智慧城市”,能夠充分運(yùn)用信息和通信技術(shù)手段感測、分析、整合城市運(yùn)行核心系統(tǒng)的各項(xiàng)關(guān)鍵信息,從而對于包括民生、環(huán)保、公共安全、城市服務(wù)、工商業(yè)活動在內(nèi)的各種需求做出智能的響應(yīng),為人類創(chuàng)造更美好的城市生活。

        參考文獻(xiàn)

        相關(guān)熱門標(biāo)簽
        无码人妻一二三区久久免费_亚洲一区二区国产?变态?另类_国产精品一区免视频播放_日韩乱码人妻无码中文视频
      2. <input id="zdukh"></input>
      3. <b id="zdukh"><bdo id="zdukh"></bdo></b>
          <b id="zdukh"><bdo id="zdukh"></bdo></b>
        1. <i id="zdukh"><bdo id="zdukh"></bdo></i>

          <wbr id="zdukh"><table id="zdukh"></table></wbr>

          1. <input id="zdukh"></input>
            <wbr id="zdukh"><ins id="zdukh"></ins></wbr>
            <sub id="zdukh"></sub>
            芮城县| 双流县| 临西县| 民权县| 岳池县| 建湖县| 万源市| 察隅县| 山阳县| 通海县| 体育| 桦南县| 孟连| 离岛区| 滁州市| 上杭县| 高平市| 沙河市| 龙州县| 英山县| 左云县| 峨边| 明溪县| 大庆市| 郯城县| 怀柔区| 赤峰市| 图木舒克市| 乌拉特中旗| 营口市| 房产| 平江县| 二连浩特市| 德兴市| 安福县| 石嘴山市| 铅山县| 蓬莱市| 银川市| 大方县| 沅江市| http://444 http://444 http://444