云安全防御
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇云安全防御范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
云安全防御范文第1篇
日前,赛门铁克在所举办的2012年技术大会上,试图向业界表明,云时代来临不可逆转,而赛门铁克就是那个最适合担任“云计算卫士”的品牌,大会主题即为“驭云之道”,VMware作为唯一的赞助商参与大会,客观上增强了赛门铁克所传达信息的说服力。
IT因云而变
云计算到底改变了什么?与过去的IT系统建设和应用有何明显不同?对当前的变化如何正确和加以应对?赛门铁克给出了自己的思考。
“云计算出现前,企业IT建设是以系统为中心的,对所有数据进行集中化和结构化处理,基础架构以物理形式存在,IT最大的重心是系统。但云计算时代这一切改变了。”赛门铁克大中华区技术总监李刚讲道,“云计算时代下,企业IT建设以信息为中心,数据的特点从原来的集中化变成了分布式,更多数据是非结构化数据,基础架构的形态更加多样,包括物理、虚拟、云、外包、移动等,整个IT的重心是信息,而不是系统。”
李刚指出这种变化改变了IT管理和运营的整个模式,“老一代IT在汇报运行状态时,涉及的内容会有数据中心、内部网、终端设备等,而云时代,则变化成数据中心、云、移动终端设备三个层次;在传统IT模式下,IT资产由客户控制和拥有,但在云模式下,IT资产可能不是客户的,例如,员工自己购买的手机用于工作,但这个设备不是公司的。由此带来一系列的变化和挑战。”
VMware大中华区技术总监张振伦从另一个角度解读了云计算带来的变化,“前几年我们对云计算有另一个称呼,叫‘下一代数据中心’,互联网引发了云计算热潮,其与过去企业数据中心时代最明显的区别是什么?是草根和贵族之间的区别。”
张振伦用数字加以说明:“在传统数据中心管理模式下,1位管理员最多管理50台服务器,在云管理模式下,1位管理员可以管理5000台服务器。”成本和效率的巨大反差对企业CIO来说,无疑具有很大的吸引力。
正是基于这样的判断和分析,云时代的必然来临几乎是不可抗拒的。
为什么是赛门铁克?
赛门铁克最近的一项调查结果显示,如今,企业对于云安全的态度十分矛盾—大多数企业将安全性同时列为他们迈入云端的最大担忧和首要目标。有44%的CEO对将企业关键业务应用转移到云计算环境持谨慎态度,其中76%的CEO表示安全问题是其最大的顾虑。
李刚指出,目前云计算可达成的效果距离用户期望值还有不小的差距,在中国部署云计算,还会遇到外部受众是否接受云服务、法规遵从、IT部门并未做好准备等一系列挑战,因此步入云时代需要有清晰的路线图。而赛门铁克不仅要做云服务构件的提供商,同时自身也在成为云服务提供商。
云安全防御范文第2篇
为了防止“引雷入室”,确保电气设备免遭大气过电压的损害,所有电气设备都应按过电压保护的要求装设避雷器。避雷器的防雷效果,关键在于接地,而完善可靠的保护接地装置,是避雷器安全运行的必备条件。为及时发现避雷器运行中可能潜伏的各种缺陷与隐患,必须按规定对避雷器进行预防性试验,以免因避甫器故障而造成线路跳闸或停电事故。
1 避雷器的安全运行条件
(1)避雷器的伏秒特性与被保护电气设备的伏秒特性应合理配合。即避雷器放电电压任何时刻都要比被保护设备的冲击放电电压低:避雷器动作后残压也要比被保护设备通过同样电流时所能耐受的电压低。
(2)避雷器灭弧电压应大于安装地点最高工频相电压。即使在系统发生单相接地情况下,避雷器也能可靠地熄灭工频续流电弧,避雷器爆炸事故就不会发生。
(3)伏秒特性曲线是表征避雷器火花间隙,在冲击电压作用下放电性能的曲线。即是火花间隙的放电电压与电压作用时间的关系,这是选用避雷器的重要依据。为此,避雷器火花间隙的伏秒特性曲线,任何时刻都必须低于被保护设备的伏秒特性曲线,两曲线绝不能相交,这样避雷器与被保护设备之间才有了应具的“绝缘配合”。
(4)避雷器的防雷效果,关键在于接地。只有装设完善可靠的接地装置,才能使被保护电气设备取得良好的防雷效果。
2 避雷器必须装设可靠的接地装置
避雷器的接地装置包括接地体和接地引线,接地体的电阻值是避雷器安全运行与防雷效果的关键。为此,接地体的埋设一定按规程要求施工,确保接地电阻值符合技术标准。
人工接地体由垂直埋入地下的角钢(两根以上且距离为3~5m),与水平埋入地下的扁钢焊接成接地体。角钢以50×50×4mm为宜,扁钢以40×4mm为。
若是接地体埋设地点为高电阻率土壤,应推广使用长效化学降阻剂,能有效地降低接地电阻值。为防止接地体腐蚀,所有接地钢件均需经热镀锌处理,以提高接地体寿命。
接地引线的要求:外敷面积应不小于30mm2;接地引出线可采用扁钢,其截而积应不小于50mm2。引下线与引出线的电气连接应牢固可靠,需用螺栓紧固或电焊焊接,焊接处应涂敷防腐剂。
在发生雷电时,雷电流陡度很高,即雷电流的等值频率很高。雷电流通过接地引下线时会产生很强的集肤效应,所以对接地引线导电率的要求不高,一般只采用镀锌钢绞线即可满足防雷保护的要求。若是采用销导线效果反而不佳,因其机械强度较差,容易腐蚀又不经济。
3 避雷器损坏的症状
避雷器的试验技术数据表明,10kV避雷器工频放电试验,其放电电压为23~33kV,若试验数值低于或高于此数值均为不合格。挂网运行的有些避雷器,以外观上并无放电烧损痕迹,瓷裙也完整无损。但做工频放电电压试验时,其缺陷便暴露无遗,不是泄漏电流大,便是放电电压不合格。
此类潜存着缺陷的避雷器若挂网运行,一旦遇下雨受潮,其工频放电电压低者,若单相不合格则发生单相接地故障;若两相不合格则发生两相短路。若遇雷雨天气供电线路遭受雷电而产生雷电流或感应过电压时,避雷器放电电压高者则不放电,强大的雷电流将损被保护设备,或使设备带上危险的感应过电压,所以潜存着缺陷的避雷器挂网运行,必然不会起到防雷的效果。一台有缺陷的避雷器若挂网运行,轻者则引起线路跳闸,重者则造成停电事故。为此,对挂网运行避雷器,或新投入运行的避雷器都应按规定进行预防性试验。
4 避雷器的预防性试验
4.1 绝缘电阻的测量
绝缘电阻的测量,对FS型避雷器,主要是检查内部是否受潮,若是受潮其绝缘电阻明显下降。测量时应使用2500V摇表,测得绝缘应不低于25001)。测量时若天气潮湿,外套表面泄漏电流会影响测试结果。为此,必须用于布擦洁表面,并用细金属丝在外套第一个伞裙下部绕一圈再接到摇表“屏蔽”接线柱上,以消除影响。
在进行绝缘电阻测量时,摇表与避雷器的连接要可靠近,接触良好。摇表应水平放置,摇速要均匀,以每分钟120转为宜,确保测量准确。
对FZ型避雷器,除检查内部是否受潮外,还应检查并联电阻是否断裂、老化。并联电阻若老化、断裂、接触不良,则绝缘电阻增大。
4.2直流泄漏电流试验
在避雷器两端施加0.75倍luA直流电压后,通过避雷器的泄漏电流应不大于50t×A。在试验中当泄漏电流大于30×uA之后,随着施加电压升高,泄漏电流会剧增,此时应缓慢地升高电压,以免过快升压而造成测试的不准确。
为防止表面泄漏电流的影响,在进行直流泄漏电流试验前,避雷器外套表面应用干布擦洁,以消除影响。
4.3直流1uA参考电压试验
在避雷器两端施加直流电(电流电压脉动率不大于±1.5%),当通过避雷器的电流稳定在1uA时,避雷器两端的电压值不小于25kV。
4.4 带并联电阻避雷器电导电流的测量
测量电导电流的微安表,其准确度不低于1.5级,连接导线要粗且短,以减少导线对测量造成误差。测量时还要注意电晕电流及高电压周围杂散电容的影响。
测量电导电流时,其直流试验电压的施加应从足够低的数值开始,然后缓慢升压,分段施加电压并分段读取电导电流值。待试验电压保持在规定的时间后,如果微安表指针没有太大摆动,其显示值即为该电压下的电导电流值。
如果并联电阻老化、接触不良,则电导电流明显下降;若并联电阻断裂,则电导电流下降到零:若并联电阻或本体进水受潮,则电导电流急剧增大,一般可达1000uA以上。
4.5 不带并联电阻避雷器工频放电电压测量
测量避雷器的工频放电电压,是检测避雷器保护性能的必要项目。测量时应对避雷器作三次工频放电试验,并将三次放电电压的平均值作为该避雷器的工频放电电压,而每次试验的时间间隔应不少于1min。
工频放电试验与一般耐压试验相似,只不过工频放电电压不是定值,而要升高至避雷器放电。其升压速度以每秒3~5kV为宜,在间隙放电0.5s内切断电源,故其试验回路内应装设过流速断保护。
4.6氧化锌避雷器的试验
氧化锌避雷器的试验,除绝缘电阻、底座绝缘电阻、放电计数器动作情况等常规项目外,还要测量直流1uA电压及0.75倍1uA直流电压下的泄漏电流。
直流1uA电压的实测值与厂家规定值比较,其变化应不大于±5%。若过高将使保护设备的绝缘裕度降低:若过低则使避雷器在各种操作或故障的瞬态过电压下发生爆炸,若是避雷器瓷套表面严重受潮,则会造成直流1uA电压测量值的降低,必须清除表面泄漏对试验的影响,
云安全防御范文第3篇
云计算技术是在分布式处理、并行计算和网络计算的基础上发展而来的新型计算技术。云计算的核心是将计算任务分布到大量的分布式计算服务器上,而不是在本地服务器上进行计算,也就极大的减轻了本地服务器的运行压力,即将计算与数据存储进行分离。在这个过程中提供云计算服务的企业负责的是计算任务在云计算服务器上的管理和维护,只要保证计算任务能够正常运行,并保证足够的计算数据存储空间,这样,用户就可以通过互联网进入到云计算服务中心访问数据,并对数据进行操作。
2云计算数据安全
云计算的安全层次由高到低可以分为身份和访问安全、数据安全、网络安全、存储安全、服务器安全和物理安全。其中数据安全是云计算的重要因素,这其中存在着用户对服务商的信任问题、数据安全的标准问题以及可以信任的第三方对其的制约。
2.1信任问题
因为数据和软件应用的管理和维护是外包的或者委托的,并不能被云计算服务商严格控制,所以,云计算时代的信任则依赖于云计算的部署构架。在传统部署架构中,是通过强制实施的安全法则来产生信任的,而在云计算时代,控制权在于拥有计算基础设施的一方。云可分为公有云和社区云。在公有云的部署过程中,因为服务商的可信任度成为考虑因素,为了降低危险,需要削弱基础设施拥有者的权限,这样能够强制实施一些有效的安全防护措施,减少安全隐患;而在私有云的部署过程中,因为私有云的基础设施是由私有组织来实施管理和操作,而其数据和应用都是由私有组织来负责,也就不存在额外的安全隐患。云计算时代,使得数据边界安全的观点不在适用,因为在云计算的世界里,很难定位是什么人在什么位置获取了什么数据,所以传统的边界安全观点很难在云计算中实施。因此我们在处理一些涉及到安全漏洞的问题的时候,在云环境中,需要通过信任和密码学保证数据的机密性,保证数据的完整性,保证数据通讯的可靠性,也就是我们需要引入一个可信的第三方。这个第三方也就是代表客户对于特殊操作的可信任性,同时也能够保证整个操作过程中数据的安全性。被信任的第三方在数据信息系统中的作用是提供终端对终端的安全服务,这些安全服务是基于安全标准,且适用于不同的部分、地理位置和专业领域,还可以进行扩展。引入被信任的第三方可以有效降低因传统安全边界失效而产生的安全隐患,因为在实质上,第三方是是一个被用户委派的信任机构,其有责任和义务去解决在云环境中存在的安全问题。
2.2安全标准
我们要对一个信息系统进行安全维护,必然会遭遇到一些特殊的威胁和挑战,而这些问题都必须找到一个适当的解决方法。云计算由于其特殊的构架而在安全上存在着一些先天优势,如数据与程序的分割、冗余和高可用性等,一些传统的安全危机都因为云计算系统的基础设施的单一性而被有效解决,然而却有一些新的安全隐患产生。在考虑到云计算的一些独特特性,我们会对云计算的可用性和可靠性、数据集成、恢复,以及隐私和审记等诸多方面的评估。通常来说,安全问题与数据的机密性、完整性和可用性等重要方面息息相关,这些方面也成为设计安全系统时必须考虑的基本安全模块。所谓保密性,就是指只有授权的组织或系统能够对数据进行访问,非授权的个人或组织,不能够对数据进行访问,同时不能对以获取的数据任意公开。完整性则是指数据只能够通过被授权的方式来进行修改或引用。可用性是在考虑到被授权实体在使用或进入系统时,能够很方便的,适时的获取正确的数据,即保证数据、软件和硬件在需要被使用的时候能够可用。在这几个方面,延伸到三大资产类别,分别对应于数据、软件和硬件,也就是考虑安全问题必须要考虑的三个基本保护对象。
2.3被信任的第三方
前面提到过我们可以通过被信任的第三方来实施我们的安全策略,而在云计算环境中,我们如果雇佣了被信任的第三方,那么势必要建立一个适用于第三方的信任等级制度来约束这些第三方,才能保证数据的保密性、完整性和可靠性,才能寻找到最佳的安全防御措施。被信任的第三方能够很好的解决因传统安全边界失效而导致的安全问题,这是通过新的信任机制而产生的所谓的安全域对云环境的安全防护。Castell曾说过:“一个被信任的第三方对于电子交易来说是一个重要的传送商业机密的组织,这是通过商业和技术安全特性来达到的。它提供技术和法律上可靠的方法来执行、帮助、产生独立的对于电子交易的公断证据。它的服务被通过技术、法律、金融和结构方法提供和准,可以对所有类别的数据进行认证。
2.3.3安全域
安全域即在云计算的相关实体之间建立一个有效的信任关系,而这个关系可以通过引合,再加上PKI和LdaP技术来实现。联合是一组合法的实体共享,一致同意的政策和规则集,我们通过这些规则和政策来约束在线资源的使用。在联合系统里,我们提供了一个结构和合法框架,通过这个框架可以使得不同组织或系统之间的认证和授权成为可能。从而使得云架构可以被部署到不同的安全域中,这些安全域可以使得类似的应用共享通用的认证符号,或者类似的认证符号,联合云也因此而诞生。联合云是子云的集合,子云与子云之间保持相对的独立性,只有通过标准接口才能实现相互之间的操作,例如通过提前定义好的接口来实现数据交换和计算资源共享等。联合能够提供认证框架以及法律、金融等多方面的框架结构来容纳不同的组织,各组织之间可以通过联合来进行认证和授权。
2.3.4数据的加密分离
在云计算时代,数据之中存在着大量的个人数据以及敏感数据,对于这些数据的保护,推进了SaS和AaS模型在云计算环境中的发展。在对个人数据和敏感数据进行加密隔离的过程中,所有的计算过程和数据通讯都是通过这种方式加以隐藏,使人感觉这些数据都是无形的,但是却又真实的存在。
2.3.5基于证书的授权
云计算环境是一个虚拟的网络,往往由多个独立的域形成,在这个虚拟的世界里,资源的提供则和使用者之家的关系非常特别,因为他们是动态的,他们不处于同一个域,他们之间的关系识别都是通过其操作特点以及特殊属性来进行判别,而不是事先定义的身份。于是乎,传统的基于身份的访问控制模式在云环境中就失去作用了,访问决策需要通过用户的特性来进行判定。通过PKI颁发的证书能够用于网络环境下的用户访问控制。典型的一个例子就是扩展的X509证书,这个证书包含了对于用户角色信息的认证。证书授权机构通过这样的证书来实现网络安全的保护。属性管理结构签发包含授权属性的证书,期内内包含的属性值用于配对以及规定它应用于什么数据。通过基于属性的访问控制,也就是基于请求者、数据资源和应用环境的属性来做出访问控制决策,它们能够更为灵活的、可扩展性的对访问进行控制,这对于像云系统这样的大型数据处理中心来说是非常重要的。
3结论
云安全防御范文第4篇
Abstract: Cable is widely used in the modern urban power grid. Without safe operation measure, once failure occurs, there will be huge damage. This article introduces the reasons and characteristics of cable fire, the measures to prevent cable secondary combustion, rescue measures and daily checking measures.
关键词: 电力电缆;安全运行;防火技术
Key words: power cable;safe operation;fire prevention technology
中图分类号:TM247 文献标识码:A 文章编号:1006-4311(2013)33-0046-02
0 引言
现代城市电网中,电缆应用十分广泛。所以一定要保证电网的安全运行,因为一旦发生事故,就会引起严重的火灾和停电事件,对人们的生活和工作造成严重的影响。
1 电缆着火的原因及特点
据粗略统计,2012年距516东赤二线华耐家具环网柜20米处电缆爆炸引起相间绝缘击穿、短路,电弧引燃电缆绝缘和塑料护套,而报警系统没有及时的报警,导致部分线路停电;2013年538皇城线明宇花园电缆中间头爆炸引起附近易燃物品着火,造成了附近居民停电及经济损失。以上的事例说明,电缆的火灾隐患仍然存在,很容易造成严重的火灾事故,并且不容易处理。所以我们一定要提高自身的电缆防火安全意识,分析火灾的原因和特点,认真的做好电缆的防火工作,将其作为一项重要的安全生产工作来抓。
1.1 电力电缆火灾事故的原因 ①把杂物放在电缆隧道上,积很厚的灰在电缆或电缆支架上,有可燃气体或液体泄漏在电缆隧道里等,一旦被引燃就会发生事故。②电缆长期过负荷或和热力管道的距离过近,因为温度太高让绝缘材料老化了,都可能造成火灾事故。③电缆在运行中遭到机械损伤或电缆的防护层在电缆敷设时受到损坏,造成电缆相间与外层间的绝缘击穿。④高位电缆端的绝缘油流失或干枯,热阻增加,绝缘焦化而击穿起火,是由于油浸电缆敷设时高、低位差较大,发生淌油或电缆头渗油所致。⑤电缆中间接头压接不紧及铜镀锌连接管质量不过关而引起的铜铝连接产生腐蚀,增大接触电阻导致绝缘击穿起火;焊接不牢;电缆盒没有密封好;注入电缆中间接头盒的绝缘物质剂量不符合要求,或灌注时盒内存有气孔;⑥电缆头瓷套管破裂及引出线相间距离过小、电缆头表面不清洁干燥等造成火灾事故。
1.2 发生电缆火灾的特点 ①火势凶猛。宣化区配网电缆的时候一般都采用隧道和直埋密集敷设,电缆会处在很复杂的环境中,电缆夹层电缆密布,而且自然抽风也会因为电缆隧道的高差而形成,所以一旦着火,造成很大经济损失和停电事故。②有“二次灾害”。除了电缆着火时放出的有毒气体,对人体造成直接的“一次灾害”外,同时也会产生强烈酸雾,对设备和接线回路造成损伤,形成“二次灾害”。③损失严重。损失严重的原因是“二次灾害”很可能会导致控制回路失灵,让火灾事故更严重。
2 防止电缆着火延燃的措施
2.1 电缆发生火灾应采取下列方法扑救 ①立即停电。首先必须切断电源,仔细观察,认真检查,找出故障点,并快速组织人员救火。②电缆沟中电缆发生燃烧时,一旦发现有明显燃烧可能的电缆,如果是分层排列,应该先切断起火上面的受热电源,然后是并排的,最后是下面的电缆。如果是并排的,应将其电缆和电源切断。③在电缆起火时,采取窒息法灭火,即马上把电缆沟的两侧堵死。④扑救人员在电缆沟救火时,最好穿上绝缘靴,并戴上防毒面具和橡皮手套。⑤及时的采取措施扑灭电缆火灾,此时必须停电。⑥在扑救过程中,不要移动电缆,也不要用手直接接触电缆。
2.2 防止电缆火灾的技术措施 ①敷设电缆时应严格按照标准执行,并且加强对运行电缆的巡视维护,不要让电缆长期的高温过负荷运行。②清理电缆隧道(沟)内应废弃电缆,并定期清扫电缆或电缆支架上的积灰,保持其清洁。③在通风孔处设积水井,并把积水排至地面,让电缆隧道保持干燥通风。④要按标准要求制作电缆头,尽量不在电缆集中的隧道做电缆接头。在多个电缆头并排集中的场合应在电缆头之间加隔板或填充阻燃材料。⑤在长期受高温作用的地方采用防火阻燃电缆及低烟气塑料电缆。⑥必须装设自动报警装置和配备必要的灭火器材。⑦电缆沟内的照明要一直能正常使用,并安装通讯装置。
2.3 合理应用各种防火阻燃手段
2.3.1 设计方面 ①在封堵电缆孔洞时,封堵应严实可靠。带在绕包时,应拉紧密实,并按照材料使用要求缠绕层数或厚度,绕包完毕后,每隔一定距离应绑扎牢固。应施加防火包带或涂料在阻火墙两侧的电缆。②对于火灾高发的场所或者容易造成事故的电缆回路,必须按设计要求的防火阻燃措施施工。③对重要回路的电缆,可采取特别的措施,比如施加防火涂料等等。
2.3.2 施工方面 ①用耐火材料堵塞密封那些穿越墙壁、楼板的电缆洞孔,必要时加置钢板或石棉板封闭。电缆隧道及其分叉道口处应设防火墙及防火门。②不能布置热力管道在那些封闭电缆通道中,不要让易燃气体或液体在管道穿越。在爆炸性气体危险场所敷设电缆,且在不同情况下按照标准要求对电缆进行敷设。电缆在空气中沿输送易燃气体的管道敷设时,应配置在危险程度较低的管道一侧,并应符合易燃气体比空气重时,电缆宜配置在管道上方;反之则在下方。③要在符合规定的环境温度下敷设电缆,穿金属管敷设在可能受到机械损伤和行人容易接近的地方,在穿管前要用柔软材料包裹住的电缆。④应该在温度5℃以上的时候安装电缆接头盒、终端头,并且相对湿度不能超过50%,施工地点也要清洁干燥,选用绝缘剂,封铅后直到完全冷却才能移动电缆。
2.3.3 运行方面 ①不要在电缆沟道内堆放杂物,应该经常的清扫电缆沟道,使其保持清洁干燥。定期的检查并记录电缆的情况,一旦发现异常,要及时的采取措施。②在电缆沟内动火时,附近的门或电缆盖板要打开,配置灭火器和黄沙,设置施工警示牌。作业前切断电源,并用石棉板分隔开其和附近电缆。在沟外进行喷灯的点火、加油和熔融绝缘剂,并且熔融剂被送入工作地点的时候要放在有盖的铁桶里。导电部分一定要和明火保持距离。作业后,清点设备,清除杂物,封堵孔洞,确认安全离开时,把附近的门关上或电缆盖板盖好。③增加一些有效的消防装置和火灾自动报警装置。
3 日常采取的具体措施和检查内容
根据《电力安全工作规程》中关于电缆防火工作的要求,对城区配电电缆进行了详细的检查,发现了沟内渗水严重、没有防火墙门和隔断措施等问题,为了减少电缆运行中的火灾隐患,提出以下的应对措施,针对渗水问题,以堵为主,以排为辅,并在此基础上增设防火门和隔离墙。
3.1 具体措施 ①封堵输排:电缆沟道的墙体地面封堵,电缆辅沟与主沟之间的隔离封堵。电缆穿墙管件和强硬件封堵。完善沟内的排水设施,改造往电缆沟排水的小管道。将市政下水井疏水排放与电缆沟隔离。②完善防火措施,设置防火墙、防火门。③清除废弃电缆及杂物,完善电缆沟照明。
3.2 检查内容 ①对于电缆的各项情况一定要进行定期的检查和记录,一旦发现异常,就采取应对措施。②发现电缆过负荷的情况要及时的采取减负荷措施。③副班长应该每月至少一次带着巡回检查城区配网的电缆隧道等,如果遇到异常情况,要及时的采取有效措施。④电缆的接头应该是巡视和检查的重点。⑤电缆线路要进行定期的清扫维护,各支架也必须可靠牢固。
4 结束语
只有掌握了电缆火灾事故发生的规律、扑救方法、预防措施和防火检查内容等,并且严格遵守《电力电缆运行规程》的规定,才能保证电力电缆的安全运行,让企业提高安全经济效益。
参考文献:
[1]电力电缆线路运行规程,国家电网公司.
云安全防御范文第5篇
【关键词】云存储;数据加密;冗余编码
1.引言
随着互联网技术的迅猛发展和数据量的爆炸式增长,云时代和大数据时代已经悄然来临,云存储服务是云计算[1]的一部分,云存储系统内部以高速网络互连的存储服务器为硬件基础,在其上运存分布式文件存储系统协调各个服务器的工作,借助虚拟化技术将众多的存储硬件合并为一个存储池,对外提供统一的存储服务。用户可根据自身需求向云存储提供商租用存储空间,具有管理方便简捷、脱离了繁琐的设备和技术问题、所付即所用、节省开支和扩展方便等优点。国内外公司也开发了自己的云存储系统和产品,如AmazonS3和Dropbox等,国内有阿里云存储和百度网盘等。
但由于数据并不存储在本地的存储设备中,用户对自己的数据不可控,存在着安全隐患。
虽然云存储服务商提供访问控制可以阻止一定程度的外来攻击,但并不能防范数据从内部泄露;其次,一个用户的数据往往保存在一个云中,这样数据集中于某个数据中心,存在着网络、供电等带来的单点故障问题,而一旦这个云存储系统因故障发生数据丢失,数据将无法恢复。针对云存储的私密性问题和可靠性问题,我们提出一种在多个云存储中存储数据的方法,并利用加密、冗余编码和数字签名保证数据的私密性、可靠性和完整性,最后我们对该方法提出的系统可用性进行分析。
2.相关背景
安全性问题从云存储诞生起就一直伴随着它[2]。数据安全包括数据的私密性、完整性、可靠性和不可否认性,前三者对用户来说是最为重要的。私密性要求数据不会被非法用户获取或查看;完整性要求数据不会被恶意用户篡改;可靠性要求数据不会丢失。而大多数商业云存储往往只在系统内部使用副本策略[3]保证数据的可靠性,比如亚马逊的S3存储[4],HDFS[5]。HAIL[6]是RSA公司2009年提出的一种针对云存储系统的高可用、完整性层,利用多服务器向用户保证数据的完整性和可用性。RACS[7]采用RAID[8]将数据条带化存储在多个云存储中,提高数据的可用性。
加密技术是保证数据私密的常用技术,可以分为对称加密和非对称加密。对称加密使用同一个密钥对数据进行加密和解密,常见对称加密算法有DES[10]、AES[11]、twofish[12]和IDEA[13]等,速度快于非对称加密。数字签名唯一标示相应数据文件,当该文件发生篡改时,其数字签名也就发生了变化,用户只通过检查数字签名即可判断数据完整性,常用的数字签名算法有SHA-1,MD5和HMAC。
冗余编码是一种向前纠错码(FEC),最先应用与通信领域,后来用于存储系统中保证数据的可靠性。RAID码是一种常见的冗余编码,常用于磁盘整列中,RAID-5和RAID-6分别能容单盘错和双盘错。Reed-Solomon码[14](RS码)能容更多磁盘失效,它保证n个磁盘中的k个可以恢复出原始数据(n>k),即当不多于n-k个磁盘发生故障时,数据仍然可用。
3.安全云存储系统和方法
3.1 安全云存储系统
基于云存储的安全存储系统由客户端和若干个云存储服务提供商提供的云存储组成。客户端对用户屏蔽了多个云存储的差异化存储接口,用户可以像使用本地磁盘一样使用远程若干个云存储组成的存储池。客户端对用户提供简单的读写接口,当用户要写入文件时如图1(a)所示,首先对文件进行加密,然后对加密后的密文数据进行冗余编码,最后通过用户客户端将编码后的冗余文件存储在不同的云存储上;当需要读取文件时如图1(b)所示,客户端从若干云存储中读取一定量的冗余文件,通过解码得到密文数据,最后通过密钥解密密文数据得到。
图1 基于云存储的安全存储系统示意图和数据读写过程
图2 不同n,k,f情况下系统可用概率
3.2 云存储系统API接口
将数据写入或者读出云存储系统必须使用不同云存储服务提供商的API接口,现有的云存储使用RESTful风格接口。我们将差异化的云存储系统虚拟化出一个统一的存储接口,通过该接口可以向不同的云存储系统发起读、写和查询等请求。所有在云存储存储的文件都是一个对象(object)。对象可以放在不同的容器(containers)中,容器类似于文件系统的根目录。参考已有的云存储系统对象-容器结构,我们提出以下统一接口:
container_operation(); //容器操作,支持PUT,GET,DELETE等
list_container(); //列出容器内所有对象
list_all_containers(); //列出所有容器
create_container(); //创建容器
object_operation(); //对象操作,同样支持PUT,GET,DELETE等
put_object_from_file(); //将本地文件写入到对象中
upload_large_file(); //针对大文件传输,分割为小文件分别传输
以上给出了容器和对象的相关操作,利用以上接口和相应参数就可以将文件存储到不同的云存储中。
3.3 数据读写过程
数据写入包括以下步骤:
步骤一:将原始文件F加密为密文文件Fe,加密算法为AES-128,加密密钥为kF,加密后文件长度为Fsize,即:Fe=Encryption(kF,F)。
步骤二:将密文文件Fe分割为k块等大小的分块文件,记做Fi(i=1,…,k),不足一块的分块文件用零填充至一个块文件大小。
步骤三:k块分块文件Fi通过(n,k)-RS码编码为n个冗余文件,记做Ri(i=1,…,n),n对应着云存储系统的个数。
冗余编码过程为:
forj=i,…,n
所有的ai,j组成一个范德蒙矩阵,这样就保证了Ri中的任意k个冗余文件可以恢复出k个分块文件。
步骤四:对n块冗余文件进行数据签名,得到n个签名文件Si(i=1,…,n)。
步骤五:将n个冗余文件存储到n个云存储系统中,Ri存储在编号为i的云存储系统中。
数据的读取包括以下步骤:
步骤一:从云存储系统中下载冗余文件,每下载一个冗余文件Ri就和其数字签名Si进行检查,检查通过则为有效冗余文件,检查失败则表示冗余文件发生篡改或损坏。下载k个有效冗余文件,记做Rdi(i=1,…,k)。
步骤二:k个有效冗余文件Rdi利用RS码解码得到k个分块文件Fi,合并k个分块文件得到填充零后的密文文件。
步骤三:利用Fsize裁剪填充后的密文文件,得到密文Fe,最终利用密钥为kF对密文解密得到原始文件F,即:F=Decryption(kF,Fe)。
3.4 失效冗余文件的恢复
我们对云存储中丢失的冗余文件进行恢复。修复是为了保证数据的冗余度,防止因失效冗余文件超过n-k个,导致原始的文件F用户无法读取。假设云存储系统D丢失的冗余文件为Rfailed,首先读取出k个有效冗余文件,解码得到k个分块文件;利用k个分块文件Fi按数据写入第三步骤重新编码得到丢失的冗余文件Rfailed;最后重新写入云存储系统D中。
4.可用性分析
下面将从可用性分析我们提出安全存储方法。使用PF表示一个文件F写入后其可用性,即可以正确读取出来的概率。由于每个云存储系统的基础设施和网络情况不同,可用性也不相同,我们设f1,f2,…,fn为n个云存储的不可用概率。那么n个云存储系统中,所有云存储均可用的概率为P0:
一个云存储发生不可用的概率P1为每一个云存储不可用,而其他云存储均可用的概率总和,即:
i个云存储发生不可用的概率为Pi,如果按照P1的方法计算会非常复杂。为简化起见我们令所有云存储不可用概率相同,令f1=f2=…=fn=f,那么:
由于我们的系统最多允许n-k个云存储同时不可用,那么系统整体的可用性可以用文件F是否可用的概率PF来表示,即:
图2给出n=4,k=2和n=5,k=3的情况下,云存储失效率从0.1到0.9的范围,整个云存储的可用率,当f=0.1时,即单个云存储系统可用率为0.9时,整个系统的可用率在n=4,k=2时为0.9963,在n=5,k=3时为0.9914,比将数据存储在单个云存储系统中高出至少一个数量级。
5.结论
本文针对大数据时代的数据私密性和可靠性等安全问题,提出了一种基于多个云存储的安全存储方法。利用加密技术保证数据的私密性,冗余编码和数字签名保证可靠性和用户数据完整性,通过分析系统可用性,我们基于多个云存储系统的安全存储方法,比将数据存储在单个云存储系统上可用性高出一个数量级,用户数据安全性、可靠性更高。
参考文献
[1]Armbrust,Michael,Armando Fox,Rean Griffith,Anthony D.Joseph,Randy Katz,Andy Konwinski,Gunho Lee et al."A view of cloud computing."Communications of the ACM 53,no.
[2]王会波.安全存储与云存储安全[J].信息安全与通信保密,12(2010):015.
