国产精品麻豆久久99,韩日在线播放,午夜体验,鲁鲁狠色综合色综合网站,亚洲视频区,高清2019av手机版,精品中文字幕不卡在线视频

安全管理網(wǎng)

云服務(wù)安全風(fēng)險(xiǎn)分析研究

  
評(píng)論: 更新日期:2020年05月11日

一、 目前云服務(wù)應(yīng)用現(xiàn)狀

云計(jì)算是近幾年來(lái)逐漸興起的新理念,旨在使計(jì)算能力和存儲(chǔ)資源簡(jiǎn)化,變得像公共自來(lái)水或者電一樣易用,最終實(shí)現(xiàn)用戶(hù)只要連接上網(wǎng)路即可方便地使用并按量付費(fèi)的目標(biāo)。 云計(jì)算不僅提供了靈活高速的計(jì)算能力,而且還提供了龐大的存儲(chǔ)資源,采用云計(jì)算的企業(yè)不需要像傳統(tǒng)企業(yè)一樣構(gòu)建自己專(zhuān)用的數(shù)據(jù)中心便可以在云平臺(tái)上運(yùn)行各種各樣的業(yè)務(wù)系統(tǒng)。 云計(jì)算所采用的創(chuàng)新計(jì)算模式,可以使用戶(hù)通過(guò)互聯(lián)網(wǎng)隨時(shí)獲得近乎無(wú)限的計(jì)算能力和豐富多樣的信息服務(wù),便于用戶(hù)對(duì)計(jì)算能力和存儲(chǔ)等服務(wù)取用自由、按量付費(fèi)。 所以,眾多IT巨頭紛紛投入到云計(jì)算的建設(shè)之中 。

1. 知名云計(jì)算服務(wù)

測(cè)評(píng)中心對(duì)目前國(guó)內(nèi)外云服務(wù)應(yīng)用現(xiàn)狀進(jìn)行了調(diào)研,發(fā)現(xiàn)包括亞馬遜、IBM、Google、微軟等IT巨頭都陸續(xù)推出了云計(jì)算服務(wù),以求在這個(gè)影響未來(lái)IT應(yīng)用模型的市場(chǎng)中找到自己的位置。比較知名的云計(jì)算服務(wù)有:

第一,亞馬遜的在線(xiàn)存儲(chǔ)服務(wù)(S3)。S3服務(wù)對(duì)新型企業(yè)和用戶(hù)的強(qiáng)大吸引力在于這項(xiàng)服務(wù)能夠與亞馬遜的其它在線(xiàn)服務(wù)聯(lián)系在一起,如彈性的云計(jì)算和亞馬遜的SimpleDB服務(wù)。使用這三項(xiàng)服務(wù),新型企業(yè)能夠節(jié)省大量的存儲(chǔ)開(kāi)支,并且可能節(jié)省客戶(hù)的時(shí)間和金錢(qián);

第二,google和IBM在大學(xué)開(kāi)設(shè)云計(jì)算課程,IBM發(fā)布云計(jì)算商業(yè)解決方案,推出“藍(lán)云”計(jì)劃;

第三,繼Windows Azure操作系統(tǒng)和云計(jì)算數(shù)據(jù)庫(kù)SQL Azure開(kāi)始收費(fèi)后,微軟近期宣布,Windows Azure平臺(tái)AppFabric也將投入商用。從2010年4月9日開(kāi)始,全球用戶(hù)都可以購(gòu)買(mǎi)AppFabric用以實(shí)現(xiàn)云計(jì)算和云計(jì)算應(yīng)用程序的輕松通信。

此外,還有Vmware公司的云操作系統(tǒng)vmware vsphere等等 。

2. 云計(jì)算發(fā)展和安全事故

下面列舉一些云計(jì)算服務(wù)發(fā)展過(guò)程中出現(xiàn)的安全事故,包括亞馬遜、Google、微軟等都沒(méi)能幸免,讓人們對(duì)云計(jì)算安全不無(wú)擔(dān)憂(yōu),若不能為云計(jì)算架構(gòu)加入更強(qiáng)大的安全措施來(lái)確保其安全性,將會(huì)對(duì)用戶(hù)數(shù)據(jù)以及與數(shù)據(jù)相關(guān)的人帶來(lái)安全和隱私風(fēng)險(xiǎn)。 在這種背景下,進(jìn)行云計(jì)算服務(wù)下的潛在安全風(fēng)險(xiǎn)分析就變得非常必要了。

二、 云服務(wù)下信息系統(tǒng)面臨的風(fēng)險(xiǎn)與安全需求分析

1. 數(shù)據(jù)安全

在傳統(tǒng)的企業(yè)數(shù)據(jù)中心中,服務(wù)提供商只提供機(jī)架和網(wǎng)絡(luò),而包括服務(wù)器、防火墻、軟件和存儲(chǔ)設(shè)備等都由企業(yè)自行負(fù)責(zé)。用戶(hù)對(duì)所有的物理設(shè)備和軟件系統(tǒng)有完全的控制權(quán),企業(yè)不論是不顧成本自建數(shù)據(jù)中心還是租用機(jī)房,通過(guò)物理隔離的方式都可以避免未授權(quán)用戶(hù)接觸到自己的服務(wù)器和數(shù)據(jù)。 而云計(jì)算環(huán)境下,企業(yè)自身的數(shù)據(jù)都在云中,而云本身的構(gòu)架又是不透明的,從而會(huì)產(chǎn)生一種不信任的心理。這不僅僅是一個(gè)商業(yè)問(wèn)題,其中涉及到誠(chéng)信、法律法規(guī)等多方面的因素,解決云計(jì)算的安全性問(wèn)題也要從技術(shù)和非技術(shù)著手。 我們作為一個(gè)技術(shù)機(jī)構(gòu),更多關(guān)注的是云計(jì)算安全性問(wèn)題的技術(shù)方面 ,從“云計(jì)算”的概念提出以來(lái),關(guān)于其數(shù)據(jù)安全性的質(zhì)疑就一直不曾平息,這里的安全性主要包括兩個(gè)方面:一是自己的信息不會(huì)被泄露避免造成不必要的損失,二是在需要時(shí)能夠保證準(zhǔn)確無(wú)誤地獲取這些信息??偨Y(jié)起來(lái),用戶(hù)在選擇云計(jì)算服務(wù)時(shí)主要關(guān)注的安全風(fēng)險(xiǎn)有以下幾方面:

A.數(shù)據(jù)傳輸安全

企業(yè)數(shù)據(jù)中心保存有大量的企業(yè)私密數(shù)據(jù),這些數(shù)據(jù)往往代表了企業(yè)的核心競(jìng)爭(zhēng)力,如企業(yè)的客戶(hù)信息、財(cái)務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。

企業(yè)將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳遞到云計(jì)算服務(wù)商進(jìn)行處理時(shí),面臨著幾個(gè)方面的問(wèn)題:第一,如何確保企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中嚴(yán)格加密不被竊取 ;第二,如何保證云計(jì)算服務(wù)商在得到數(shù)據(jù)時(shí)不將企業(yè)絕密數(shù)據(jù)泄露出去 ;第三,在云計(jì)算服務(wù)商處存儲(chǔ)時(shí),如何保證訪(fǎng)問(wèn)用戶(hù)經(jīng)過(guò)嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪(fǎng)問(wèn),并保證企業(yè)在任何時(shí)候都可以安全訪(fǎng)問(wèn)到自身的數(shù)據(jù) 。

B.數(shù)據(jù)存儲(chǔ)安全

企業(yè)的數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié),其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。

數(shù)據(jù)存儲(chǔ)安全 在云計(jì)算模式下,云計(jì)算服務(wù)商在高度整合的大容量存儲(chǔ)空間上,開(kāi)辟出一部分存儲(chǔ)空間提供給企業(yè)使用。在這樣的環(huán)境下,相比傳統(tǒng)數(shù)據(jù)存儲(chǔ)模式而言,客戶(hù)可能面臨一些新的風(fēng)險(xiǎn):第一,客戶(hù)并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上,甚至根本不了解這臺(tái)服務(wù)器放置在哪個(gè)國(guó)家,得到的只是云服務(wù)提供商的保證 ;第二,云計(jì)算服務(wù)商在存儲(chǔ)資源所在國(guó)是否會(huì)存在信息安全等問(wèn)題,能否確保企業(yè)數(shù)據(jù)不被泄露;第三,云計(jì)算服務(wù)商是否能夠保證數(shù)據(jù)之間的有限隔離;第四,即使企業(yè)用戶(hù)了解數(shù)據(jù)存放的服務(wù)器的準(zhǔn)確位置,也必須要求服務(wù)商作出承諾,對(duì)所托管數(shù)據(jù)進(jìn)行備份,以防止出現(xiàn)重大事故時(shí),企業(yè)用戶(hù)的數(shù)據(jù)無(wú)法得到恢復(fù)。

C.數(shù)據(jù)審計(jì)安全

企業(yè)進(jìn)行內(nèi)部數(shù)據(jù)管理時(shí),為了保證數(shù)據(jù)的準(zhǔn)確性往往會(huì)引入第三方的認(rèn)證機(jī)構(gòu)進(jìn)行審計(jì)或是認(rèn)證。在云計(jì)算環(huán)境下,云計(jì)算服務(wù)商如何在確保不對(duì)其他企業(yè)的數(shù)據(jù)計(jì)算帶來(lái)風(fēng)險(xiǎn)的同時(shí),又提供必要的信息支持,以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì),實(shí)現(xiàn)企業(yè)的合規(guī)性要求

D.云計(jì)算環(huán)境下的黑客攻擊

用戶(hù)將大量的敏感數(shù)據(jù)放在全球可以訪(fǎng)問(wèn)的云中,因而攻擊者不再需要到現(xiàn)場(chǎng)竊取數(shù)據(jù),甚至其從地球的任一個(gè)角落就能發(fā)起攻擊,在云中采取虛擬化技術(shù)使多個(gè)企業(yè)的虛擬機(jī)共存于同一物理服務(wù)器上,而傳統(tǒng)數(shù)據(jù)中心采用的物理隔離和基于硬件的安全防護(hù)無(wú)法防止云中虛擬機(jī)之間的相互攻擊 。

2. 需求和風(fēng)險(xiǎn)的轉(zhuǎn)變

計(jì)算中心的安全建設(shè)模型和傳統(tǒng)的企業(yè)安全防護(hù)思路,在安全需求方面存在非常明顯的差異。主要原因是因?yàn)樵朴?jì)算服務(wù)商在建設(shè)資源高度整合的云計(jì)算中心時(shí),安全更多的是作為一種服務(wù)提供給云計(jì)算客戶(hù)。差異歸結(jié)起來(lái)主要有以下幾個(gè)方面:

A. 流量模型的轉(zhuǎn)變

從分散走向高度集中,設(shè)備性能面臨壓力 傳統(tǒng)的企業(yè)流量模型相對(duì)比較簡(jiǎn)單,各種應(yīng)用基準(zhǔn)流量及突發(fā)流量有規(guī)律可循,即使對(duì)較大型的數(shù)據(jù)中心,仍然可以根據(jù)web應(yīng)用服務(wù)器的重要程度進(jìn)行有針對(duì)性的防護(hù),對(duì)安全設(shè)備的處理能力沒(méi)有太高的要求,但是從分散走向高度集中,設(shè)備性能面臨壓力,在云計(jì)算環(huán)境下,服務(wù)商建設(shè)的云計(jì)算中心,同類(lèi)型存儲(chǔ)服務(wù)器的規(guī)模以萬(wàn)為單位進(jìn)行擴(kuò)展,并且基于統(tǒng)一基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)進(jìn)行承載,無(wú)法實(shí)現(xiàn)分而治之,因此對(duì)安全設(shè)備提出了很高的性能要求。

B. 虛擬化要求

在云計(jì)算環(huán)境下,存儲(chǔ)資源和服務(wù)器資源高度整合,云計(jì)算服務(wù)商在向客戶(hù)提供各項(xiàng)服務(wù)的時(shí)候,存儲(chǔ)計(jì)算資源的按需分配、數(shù)據(jù)之間的安全隔離成為基礎(chǔ)要求,虛擬化成為云計(jì)算中心的關(guān)鍵技術(shù),安全設(shè)備如何適應(yīng)云計(jì)算中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)和應(yīng)用服務(wù)的虛擬化,實(shí)現(xiàn)基礎(chǔ)架構(gòu)和安全的統(tǒng)一虛擬交付。

C. 安全邊界消失

云計(jì)算環(huán)境下的安全部署邊界在哪里?

在傳統(tǒng)安全防護(hù)中,很重要的一個(gè)原則就是基于邊界的安全隔離和訪(fǎng)問(wèn)控制,并且強(qiáng)調(diào)針對(duì)不同的安全區(qū)域設(shè)置有差異化的安全防護(hù)策略,在很大程度上依賴(lài)各區(qū)域之間明顯清晰的區(qū)域邊界。但是在云計(jì)算環(huán)境下,存儲(chǔ)和計(jì)算資源高度整合,基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化,安全設(shè)備的部署邊界已經(jīng)消失,這也意味著安全設(shè)備的部署方式將不再類(lèi)似于傳統(tǒng)的安全建設(shè)模型,云計(jì)算環(huán)境下的安全部署需要尋找新的模式 。

D. 未知威脅檢測(cè)引擎的變更

客戶(hù)端將從主體檢測(cè)引擎轉(zhuǎn)變?yōu)檩o助檢測(cè)的傳感器。傳統(tǒng)的安全威脅檢測(cè)模式中,客戶(hù)端安全軟件或硬件安全網(wǎng)關(guān)充當(dāng)了威脅檢測(cè)的主體,所有的流量都將在客戶(hù)端或網(wǎng)關(guān)上完成全部的威脅檢測(cè)。

這種模式的優(yōu)點(diǎn)是全部檢測(cè)基于本地處理延時(shí)較小,但是由于客戶(hù)端相互獨(dú)立,系統(tǒng)之間的隔離阻止了威脅檢測(cè)結(jié)果的共享。這也意味著在企業(yè)A已經(jīng)檢測(cè)到的新型威脅在企業(yè)B依然可能造成破壞,沒(méi)有形成整體的安全防護(hù)。而客戶(hù)端將從主體檢測(cè)引擎轉(zhuǎn)變?yōu)檩o助檢測(cè)的傳感器,云計(jì)算環(huán)境下,客戶(hù)端更多的將充當(dāng)未知威脅的傳感器,將本地不能識(shí)別的可疑流量送到云端,充分利用云端的超強(qiáng)計(jì)算能力進(jìn)行未知威脅的檢測(cè),從而實(shí)現(xiàn)云模式的安全檢測(cè)。

通過(guò)對(duì)云服務(wù)環(huán)境下信息系統(tǒng)面臨的風(fēng)險(xiǎn)分析,以及云安全模型與傳統(tǒng)安全模型的差異比較工作,針對(duì)如何加強(qiáng)云服務(wù)安全風(fēng)險(xiǎn)管理,我們將給出對(duì)策措施和下一步測(cè)評(píng)中心的工作方向。

三、 云計(jì)算下的安全風(fēng)險(xiǎn)管理

云計(jì)算的安全風(fēng)險(xiǎn)主要體現(xiàn)在用戶(hù)擔(dān)憂(yōu)自己數(shù)據(jù)的私密性、完整性和可用性上。相應(yīng)的,我們也分情況提供一些安全風(fēng)險(xiǎn)管理措施。

1. 云中的數(shù)據(jù)訪(fǎng)問(wèn)需要權(quán)限控制

需求:能夠控制誰(shuí)訪(fǎng)問(wèn)到自己的哪些數(shù)據(jù),并進(jìn)行分級(jí)管理。每次對(duì)數(shù)據(jù)訪(fǎng)問(wèn)時(shí)需要用戶(hù)認(rèn)證和授權(quán),并對(duì)用戶(hù)的訪(fǎng)問(wèn)情況做日志記錄

管理措施:采用集中化的身份和訪(fǎng)問(wèn)管理,對(duì)于云服務(wù)商采取權(quán)限控制,從而避免產(chǎn)生用戶(hù)數(shù)據(jù)通過(guò)云服務(wù)商中某人就能獲取的現(xiàn)象。云維護(hù)和管理人員不能越權(quán),同時(shí)要限制對(duì)云中應(yīng)用的可見(jiàn)性

可見(jiàn)性:無(wú)法判斷一個(gè)具體用戶(hù)的數(shù)據(jù)是存儲(chǔ)在哪個(gè)存儲(chǔ)設(shè)備上

2. 用戶(hù)數(shù)據(jù)在云存儲(chǔ)中的私密性

需求:存儲(chǔ)在云中的數(shù)據(jù)不能被其他人查看或更改

解決方案:采用數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)切分的方式。由于云存儲(chǔ)對(duì)用戶(hù)數(shù)據(jù)可以采用統(tǒng)一的共享設(shè)備或提供單獨(dú)的存儲(chǔ)設(shè)備這兩種方式,所以數(shù)據(jù)隔離的方式也有所不同。

如果是共享存儲(chǔ)設(shè)備,采用存儲(chǔ)映射功能,加上存儲(chǔ)設(shè)備自身的安全措施可以確保數(shù)據(jù)的隔離。如果是單獨(dú)存儲(chǔ)設(shè)備,在物理層面上就隔離開(kāi)來(lái),從而保護(hù)了企業(yè)的重要數(shù)據(jù)

數(shù)據(jù)隔離機(jī)制可以防止非授權(quán)用戶(hù)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn),數(shù)據(jù)加密則可以避免云服務(wù)商對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)。通過(guò)對(duì)稱(chēng)加密、公鑰加密等成熟的技術(shù)手段,使數(shù)據(jù)在用戶(hù)側(cè)加密后再上傳至云計(jì)算環(huán)境中,使用時(shí)再實(shí)時(shí)解密,從而避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。

3. 用戶(hù)數(shù)據(jù)在運(yùn)行時(shí)的私密性

需求:存儲(chǔ)在云中的數(shù)據(jù)在加載到運(yùn)行時(shí)的系統(tǒng)內(nèi)存后,不會(huì)被其他人查看或更改。

措施:在做好數(shù)據(jù)隔離的基礎(chǔ)上,做好虛擬機(jī)隔離和操作系統(tǒng)隔離即可避免這方面的風(fēng)險(xiǎn)。

4. 用戶(hù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸時(shí)的私密性

需求:數(shù)據(jù)在云內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上傳輸時(shí)不會(huì)被其他人查看或更改。

措施:可采用在網(wǎng)銀、電子支付等金融領(lǐng)域已經(jīng)得到廣泛應(yīng)用的傳輸層加密技術(shù)。

5. 用戶(hù)數(shù)據(jù)在云存儲(chǔ)中的完整性

需求:存儲(chǔ)在云中的數(shù)據(jù)保持不變,不會(huì)隨著時(shí)間的變化而發(fā)生損壞。

措施:針對(duì)用戶(hù)存儲(chǔ)在云中的數(shù)據(jù),可采用傳統(tǒng)的快照、備份和容災(zāi)等保護(hù)手段來(lái)確保數(shù)據(jù)的安全。

6. 用戶(hù)數(shù)據(jù)在云存儲(chǔ)中的持久可用性

需求:即使發(fā)生黑客攻擊、病毒等突發(fā)事件或地震、火災(zāi)等災(zāi)難,用戶(hù)也可以隨時(shí)獲得自己的數(shù)據(jù)。

措施:用戶(hù)應(yīng)該選擇不同地點(diǎn)的云服務(wù)商進(jìn)行冗余備份,這樣即使遭到災(zāi)難也可以迅速恢復(fù)業(yè)務(wù)。

7. 用戶(hù)數(shù)據(jù)在云存儲(chǔ)中的訪(fǎng)問(wèn)速度

需求:對(duì)于較大的數(shù)據(jù)量,也能夠較快地進(jìn)行訪(fǎng)問(wèn)

措施:最直觀(guān)有效的措施是使用高速網(wǎng)絡(luò)來(lái)提高訪(fǎng)問(wèn)速度,另外也可以采用本地?cái)?shù)據(jù)緩存等方式來(lái)加速。

8. 傳統(tǒng)技術(shù)手段的采用

一些傳統(tǒng)的非技術(shù)手段仍然可以被采用,以約束云服務(wù)商。第三方認(rèn)證是提高信任關(guān)系的一種非常有效的手段。第三方認(rèn)證是采用一個(gè)中立機(jī)構(gòu)來(lái)對(duì)雙方進(jìn)行約束,中立機(jī)構(gòu)必須具備很好的公信力,機(jī)構(gòu)的作用是對(duì)云服務(wù)商進(jìn)行安全認(rèn)證,找出安全漏洞并對(duì)云服務(wù)商進(jìn)行評(píng)價(jià)。微軟已經(jīng)在2009年請(qǐng)verisign公司為其windows azure平臺(tái)提供基于云計(jì)算的安全和認(rèn)證服務(wù)。

合同約束:需要和云計(jì)算服務(wù)商建立規(guī)范的合同條款來(lái)規(guī)避風(fēng)險(xiǎn),包括選擇較高信譽(yù)度的服務(wù)商、要求企業(yè)和云計(jì)算服務(wù)商之間的數(shù)據(jù)傳統(tǒng)通道進(jìn)行加密傳輸、要求云計(jì)算服務(wù)商承諾數(shù)據(jù)存儲(chǔ)位置的安全性以及和其他企業(yè)數(shù)據(jù)之間的加密隔離,同時(shí)和服務(wù)商簽訂SLA服務(wù)質(zhì)量保證協(xié)議,明確服務(wù)商要具備數(shù)據(jù)恢復(fù)的能力并定義清楚數(shù)據(jù)恢復(fù)的時(shí)間限制等。

四、 云計(jì)算下的安全防護(hù)思路

通過(guò)綜合的整合分析,為我們?cè)谠朴?jì)算環(huán)境下規(guī)避風(fēng)險(xiǎn),建立安全防護(hù)措施提供了思路

1. 建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系

為了應(yīng)對(duì)云計(jì)算環(huán)境下的流量模型變化,安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整,為了應(yīng)對(duì)云計(jì)算環(huán)境下的流量模型變化,安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整,同時(shí),考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性,設(shè)備的部署必須要考慮到高可靠性的支持,諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性,真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。

2. 建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系

目前,虛擬化已經(jīng)成為云計(jì)算服務(wù)商提供“按需服務(wù)”的關(guān)鍵技術(shù)手段,包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步 ,只有基于這種虛擬化技術(shù),才可能根據(jù)不同用戶(hù)的需求,提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配,并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶(hù)之間的數(shù)據(jù)安全。安全無(wú)論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu),還是基于安全即服務(wù)的理念,都需要支持虛擬化,這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。

從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度(如狀態(tài)防火墻的安全隔離和訪(fǎng)問(wèn)控制),需要考慮支持虛擬化的防火墻,不同用戶(hù)可以基于VLAN等映射到不同的虛擬化實(shí)例中,每個(gè)虛擬化實(shí)例具備獨(dú)立的安全控制策略,以及獨(dú)立的管理職能。從安全即服務(wù)的角度,云計(jì)算服務(wù)商聯(lián)合內(nèi)容安全提供商提供類(lèi)似防病毒和反垃圾郵件等服務(wù),也必須考慮配合VMware等中間件實(shí)現(xiàn)操作系統(tǒng)層面的虛擬化實(shí)例,同一服務(wù)器運(yùn)行多個(gè)相互獨(dú)立的操作系統(tǒng)及應(yīng)用軟件,每個(gè)用戶(hù)的保密數(shù)據(jù)在進(jìn)行防病毒和反垃圾郵件檢查的時(shí)候,數(shù)據(jù)不能被其他虛擬化系統(tǒng)引擎所訪(fǎng)問(wèn),只有這樣才能保證用戶(hù)數(shù)據(jù)的安全。

3. 以集中的安全服務(wù)中心應(yīng)對(duì)無(wú)邊界的安全防護(hù)

和傳統(tǒng)的安全建設(shè)模型強(qiáng)調(diào)邊界防護(hù)不同,存儲(chǔ)計(jì)算等資源的高度整合,使得不同的企業(yè)用戶(hù)在申請(qǐng)?jiān)朴?jì)算服務(wù)時(shí),只能實(shí)現(xiàn)基于邏輯的劃分隔離,不存在物理上的安全邊界。

在這種情況下,已經(jīng)不可能基于每個(gè)或每類(lèi)型用戶(hù)進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此安全服務(wù)部署應(yīng)該從原來(lái)的基于各子系統(tǒng)的安全防護(hù),轉(zhuǎn)移到基于整個(gè)云計(jì)算網(wǎng)絡(luò)的安全防護(hù),建設(shè)集中的安全服務(wù)中心,以適應(yīng)這種邏輯隔離的物理模型。

云計(jì)算服務(wù)商或企業(yè)私有云管理員可以將需要進(jìn)行安全服務(wù)的用戶(hù)流量,通過(guò)合理的技術(shù)手段引入到集中的安全服務(wù)中心,完成安全服務(wù)后再返回到原有的轉(zhuǎn)發(fā)路徑。這種集中的安全服務(wù)中心,既可以實(shí)現(xiàn)用戶(hù)安全服務(wù)的單獨(dú)配置提供,又能有效的節(jié)約建設(shè)投資,考慮在一定收斂比的基礎(chǔ)上提供安全服務(wù)能力。

4. 充分利用云安全模式加強(qiáng)云端和客戶(hù)端的關(guān)聯(lián)耦合

在云安全建設(shè)中,充分利用云端的超強(qiáng)計(jì)算能力實(shí)現(xiàn)云模式的安全檢測(cè)和防護(hù),是后續(xù)的一個(gè)重要方向。

與傳統(tǒng)的安全防護(hù)模型相比,新的云安全模型除了要求掛在云端的海量本地客戶(hù)端具備基礎(chǔ)的威脅檢測(cè)和防護(hù)功能外,更強(qiáng)調(diào)其對(duì)未知安全威脅或是可疑安全威脅的傳感檢測(cè)能力。

任何一個(gè)客戶(hù)端對(duì)于本地不能識(shí)別的可疑流量都要第一時(shí)間送到后臺(tái)的云檢測(cè)中心,利用云端的檢測(cè)計(jì)算能力快速定位解析安全威脅,并將安全威脅的協(xié)議特征推送到全部客戶(hù)端或安全網(wǎng)關(guān),從而使得整個(gè)云中的客戶(hù)端和安全網(wǎng)關(guān)都具備對(duì)這種未知威脅的檢測(cè)能力,客戶(hù)端和云端的耦合得到進(jìn)一步加強(qiáng)?;谠撃J浇⒌陌踩雷o(hù)體系將真正實(shí)現(xiàn)PDRR(Protection、Detection、Reaction、Restore)的安全閉環(huán)),這也是云檢測(cè)模式的精髓所在。

最后,為實(shí)現(xiàn)在享用云計(jì)算帶來(lái)的強(qiáng)大計(jì)算能力和方便性的同時(shí),避免信息安全事件的發(fā)生,就必須盡早發(fā)現(xiàn)信息安全風(fēng)險(xiǎn),這就要求我們要對(duì)信息系統(tǒng)進(jìn)行定期、不定期高效的信息安全風(fēng)險(xiǎn)評(píng)估,因此,建立一套針對(duì)云計(jì)算環(huán)境的信息安全風(fēng)險(xiǎn)評(píng)估辦法是十分必要的。

同時(shí),作為基于網(wǎng)絡(luò)的計(jì)算模式,云計(jì)算中數(shù)據(jù)的處理、傳輸和存儲(chǔ)都依賴(lài)于互聯(lián)網(wǎng)和相應(yīng)的云計(jì)算平臺(tái),數(shù)據(jù)流程對(duì)于用戶(hù)來(lái)說(shuō)是不可知的。對(duì)于傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法已在很大程度上不再適用,因此,有必要針對(duì)云計(jì)算建立一套相應(yīng)的度量指標(biāo)和評(píng)估方法。

因此,結(jié)合陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心開(kāi)展的業(yè)務(wù)方向,擬將本次云服務(wù)安全風(fēng)險(xiǎn)分析研究工作的開(kāi)展方向定為“云計(jì)算下的風(fēng)險(xiǎn)評(píng)估模型完善工作”。

在充分分析現(xiàn)有云計(jì)算平臺(tái)結(jié)構(gòu)的基礎(chǔ)上,結(jié)合傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法,完善云計(jì)算下的風(fēng)險(xiǎn)評(píng)估模型,建立一套針對(duì)云計(jì)算的信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法,測(cè)評(píng)中心將來(lái)可以開(kāi)展針對(duì)采用云服務(wù)的政府部門(mén)、涉及國(guó)家安全和國(guó)計(jì)民生的重點(diǎn)領(lǐng)域的風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)。

五、 云計(jì)算下的風(fēng)險(xiǎn)評(píng)估

1. 完善云計(jì)算下的風(fēng)險(xiǎn)評(píng)估模型

為實(shí)現(xiàn)在享用云計(jì)算帶來(lái)的強(qiáng)大計(jì)算能力和方便性的同時(shí),避免信息安全事件的發(fā)生,就必須盡早發(fā)現(xiàn)信息安全風(fēng)險(xiǎn),這就要求我們要對(duì)信息系統(tǒng)進(jìn)行定期、不定期高效的信息安全風(fēng)險(xiǎn)評(píng)估,因此,建立一套針對(duì)云計(jì)算環(huán)境的信息安全風(fēng)險(xiǎn)評(píng)估辦法是十分必要的。

同時(shí),作為基于網(wǎng)絡(luò)的計(jì)算模式,云計(jì)算中數(shù)據(jù)的處理、傳輸和存儲(chǔ)都依賴(lài)于互聯(lián)網(wǎng)和相應(yīng)的云計(jì)算平臺(tái),數(shù)據(jù)流程對(duì)于用戶(hù)來(lái)說(shuō)是不可知的。對(duì)于傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法已在很大程度上不再適用,因此,有必要針對(duì)云計(jì)算建立一套相應(yīng)的度量指標(biāo)和評(píng)估方法。

因此,結(jié)合陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心開(kāi)展的業(yè)務(wù)方向,擬將本次云服務(wù)安全風(fēng)險(xiǎn)分析研究工作的開(kāi)展方向定為“云計(jì)算下的風(fēng)險(xiǎn)評(píng)估模型完善工作”。

在充分分析現(xiàn)有云計(jì)算平臺(tái)結(jié)構(gòu)的基礎(chǔ)上,結(jié)合傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法,完善云計(jì)算下的風(fēng)險(xiǎn)評(píng)估模型,建立一套針對(duì)云計(jì)算的信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法,測(cè)評(píng)中心將來(lái)可以開(kāi)展針對(duì)采用云服務(wù)的政府部門(mén)、涉及國(guó)家安全和國(guó)計(jì)民生的重點(diǎn)領(lǐng)域的風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)。

2. 完善云計(jì)算環(huán)境下的資產(chǎn)識(shí)別與賦值的方法

風(fēng)險(xiǎn)評(píng)估工作的首要步驟是進(jìn)行資產(chǎn)識(shí)別,我們的研究方向之一是完善云計(jì)算環(huán)境下的資產(chǎn)識(shí)別與賦值的方法:

具體內(nèi)容有如何對(duì)使用云計(jì)算平臺(tái)的資產(chǎn)(包括使用云計(jì)算的文檔信息、軟件信息、應(yīng)用的云計(jì)算平臺(tái)、云安全設(shè)施、云存儲(chǔ)設(shè)施等存儲(chǔ))進(jìn)行統(tǒng)計(jì)如何評(píng)估這些資產(chǎn)的機(jī)密性、完整性和可用性在云計(jì)算環(huán)境下會(huì)受到的影響。

3. 完善云計(jì)算環(huán)境下資產(chǎn)的脆弱性識(shí)別方法

風(fēng)險(xiǎn)評(píng)估工作的另外一個(gè)重要環(huán)節(jié)是針對(duì)資產(chǎn)進(jìn)行的脆弱性識(shí)別,我們的研究方向之二是完善云計(jì)算環(huán)境下資產(chǎn)的脆弱性識(shí)別方法:

在云計(jì)算環(huán)境下,資產(chǎn)由于云環(huán)境的特殊性存在著一些同傳統(tǒng)環(huán)境下有所不同的、新的脆弱性,面臨著新的威脅,我們打算在本次的研究工作中完善這些脆弱性庫(kù)和威脅庫(kù),并依此為基礎(chǔ),完善云計(jì)算環(huán)境下的風(fēng)險(xiǎn)評(píng)估與分析方法。

網(wǎng)友評(píng)論 more
創(chuàng)想安科網(wǎng)站簡(jiǎn)介會(huì)員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會(huì)員中心在線(xiàn)投稿版權(quán)聲明友情鏈接聯(lián)系我們