前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇云安全防护方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
业内有专家感叹,云计算与我们同在,每个人很快就会用它。但想到云计算并不安全的事实,也让人感到不安。如何确保云计算的安全成为今年RSA大会的重要议题。
云安全升级
实际上,全球的数据中心正在进行技术变革,采用云计算的数据中心由于节省成本和资源,绿色环保,效率高,用户可以按需购买等,正在替代传统的数据中心,成为未来的主流。“但是,由于缺乏专门针对云计算的安全解决方案,采用云计算的数据中心正面临着重大的安全挑战。”趋势科技企业策略发展部资深副总裁瓦埃勒・(Wael Mohamed)对记者说。
趋势科技2010年安全威胁报告指出,云计算与虚拟化虽然能够带来可观的效益,节省大量成本,但将服务器迁移至传统信息安全边界之外,也扩大了网络犯罪者的活动范围。
“网络犯罪者将不再去攻击用户的电脑,而是直接攻击数据中心与云端本身。我们正面临着一场全新的挑战,不能用传统的基于单机版或基于局域网的信息安全保护方式保护云安全计算环境,我们需要采用新的技术和新的模式,保护云计算架构的安全。”趋势科技首席执行官陈怡桦在年初的渠道大会上首次宣布,“2010年,趋势科技将在原有的基于云计算技术架构的安全服务下,提供新的面向云计算的安全服务。也就是从Security From CloudComputing(来自云计算的防护)到Security For CloudComputing(给云计算提供防护),这就是云计算3.0的概念。”
瓦埃勒说,经过多年在云计算市场的耕耘,趋势科技积累了丰富的云计算及信息安全保护经验。如果说云安全1.0专注于来自网页的Web安全,云安全2.0侧重于局域网的整体保护,如今的云安全3.0,进一步扩展到了对云安全自身的保护,从而适应目前虚拟化平台被广泛应用的市场新形势。
为了更好地提供云计算安全服务,在技术上,趋势科技于2009年收购了一家总部位于加拿大渥太华的专门提供云计算安全管理的软件公司Third Brigade,并将趋势科技的理念与该公司的技术深入整合。
瓦埃勒当初正是因为趋势科技并购Third Brigade而加入了趋势科技的团队,他当初作为Third Brigade董事长暨CEO,负责策略规划、统筹管理及日常营运等项目。瓦埃勒不仅是一个管理型人才,也是技术型人才。他不仅拥有达浩斯大学资讯工程学士学位、加拿大信息系统专业人士认证,而且还完成了加拿大皇后大学硕士班商学管理学程。当初在ZixCorp、Entrust、IBM等公司,他也担任过许多重要管理职务。
给云提供保护
来自国外某咨询公司的数据统计,目前全球95% 的数据中心在 2009 年已采用了虚拟化技术,但由于缺乏专门针对虚拟化终端的安全解决方案,虚拟化设备在网络环境中正面临着更加严峻的挑战。
瓦埃勒说,截止到2008年,过半数的网络安全威胁是由于应用程序漏洞造成的,今天这一比例还在逐步增加。针对Web应用程序面对的安全问题,为防止数据破坏和网络任务中断,降低运营成本,便于系统化的管理,更有效地遵从网络安全规范,企业数据中心服务器虚拟化和流动性的比例也大幅度增加。这就对云安全提出了更高的要求,需要重新配置安全策略。
从2006年开始到现在,趋势科技已经投入数亿美元的资金,在全球建立了几个巨型数据中心,构建了一套复杂的云计算环境,专门用于收集病毒,对全球Web进行信誉评估,最终对终端电脑进行安全防护。在这一过程中,趋势科技全面了解了云计算环境下的安全风险,并准备用这些经验,为更多的云计算数据中心用户提供安全服务。
趋势科技在收购Third Brigade后,经过一年多的整合和联合开发,双方在技术上不断互补,推出了面向云计算架构虚拟服务器保护的Deep Security 7.0新产品。
瓦埃勒介绍说,Deep Security 7.0是全世界第一套能够整合Hypervisor层次VMsafe API 安全性与虚拟化服务器额外防护的软件,能对VMware环境提供完整的保护。此版本还包括一些能够改善管理、简化法规遵循、降低整体持有成本的全新功能。作为一款全新的保护虚拟化服务器的安全解决方案,它将云计算环境中的全部服务器纳入保护范围,包括操作系统、网络、应用程序等,不论用户使用的是何种运算环境、虚拟化平台或储存系统,它都能提供优异而完整的安全保护。
“Deep Security 7.0,是从‘来自云计算的防护’到‘给云计算提供防护’的概念转变中应运而生的跨时代产品。云安全3.0技术将数据中心虚拟化安全防护作为重点,为虚拟设备防护和网络设备的防护提供了有效保证。”瓦埃勒表示。
记者了解到,这套方案的主要特色包括:在云端服务器中设置一套防护模式,预防信息的外泄与中断;降低虚拟环境和云端运算环境的安全管理成本;协助达成各种法规与标准的遵循要求,例如PCI、SAS 70、FISMA、HIPAA 等;为云计算数据中心解决各种黑客攻击问题,如SQL注入攻击、跨站攻击等。
云安全的生态系统
若想解决云计算的安全性问题,仅仅依靠一个厂商的力量是不够的,需要业界联合起来,组成一个完整的生态系统,共同保护云计算的安全。目前,虽然许多厂商都认识到保护云计算安全的重要性,但由于厂商各自经营范围的不同以及各自理解的不同,仍然存在信息安全厂商、虚拟化技术供应商、网络基础设备供应商、服务器供应商、应用系统供应商、操作系统厂商等在保护云计算安全方面各自为政的局面,这不仅会让用户产生困惑,也让安全保护工作陷入无序的状态。
【关键词】通信运营企业客户信息安全安全域SOC
一、电信运营商客户信息安全现状
目前电信运营商对信息系统依赖性日益增强,而扫描探测、DDOS等攻击数量急剧上升,漏洞利用的速度缩小到了天。但是作为电信运营商,由于网络结构复杂,导致系统管理维护困难。一般会有网管网、计费网、办公网、互联网接口、新业务、地市公司等多张网,安全防护困难。
同时在运营商中也发生过一些客户信息泄密的案例,“3.15”晚会也曝光过一些。电信运营商的客户资料、充值卡、财务报表、发展计划等商业机密的实际价值远远超过了固定的有形资产。
因此电信运营商如何保证客户信息安全,成为了重要课题。
二、客户信息安全体系
客户信息生命周期包括了信息的产生、传输、存储、处理、销毁,因此我们在设计安全体系时,要按照“坚持积极防御、综合防范的方针”,将安全组织、策略和运作流程等管理手段和安全技术紧密结合。
下面参考信息安全保障体系框架IATF和BS7799,以项目中的实践来分别说明:
人是信息体系的主体,包括管理者、维护人员、使用者、第三方。电信运营商应该建立安全领导小组,专门的安全管理员、安全顾问、安全审计员。
制定信息安全责任矩阵,组织范围内的信息安全落实到人,尤其外包的安全,第三方必须签定保密协议。离职或调动时,必须清理信息系统账号,避免用户权限只有增加没有减少。
资产进行分类与控制,梳理客户信息相关的资产,标明重要性等级以及制定相应管理办法。如客户资料、充值卡等就是重要信息,必须重点防护。
制定完善的维护作业计划,对设备性能、安全状况进行监控,分清日、月、年不同层次的维护内容,包括电源、主机、中间件、数据库、应用、安全事件、备份、调优等。
定期进行安全评估和加固,减少系统风险,可以找专业的安全厂商进行渗透测试。设定各系统的安全基线,保证系统必须达到的最基本的安全配置要求。如果某台服务器上突然多了一个来历不明的进程,就有必要检查是否有安全风险。
业务过程中可以通过金库模式等加强业务过程中的安全管控,即关键业务需第二个人授权之后才能够操作,通过多人的相互监督进行制约,如批量查询客户资料、详单时。同时定期进行日志稽核,进行事后的控制。所有的业务操作有相应的工单、审批单、业务受理单,如果没有这样的工单,则可以认为操作是不合规的。
在信息系统生命周期过程中,要全面审查信息系统的设计、操作、使用和管理是否符合组织安全政策和标准。系统开发和建设过程中,就要明确系统的安全要求,确保安全机制被内建于信息系统内;控制应用系统的安全,防止应用系统中存在的后门、孤立网页造成用户数据的丢失、被修改或误用。上线前及早进行安全评估和扫描,提前发现漏洞。注意不要随便使用真实敏感数据,测试数据的清理、保护。
三、客户信息安全工程建设过程
客户信息安全建设过程中应注意业务可用与安全性平衡原则,采用统筹规划、分步实施的方法。
关键词:云计算 移动云计算 安全 数据保护
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)04-0216-01
移动设备主要指能够移动运用的计算机设备,能够提供各种移动的方便服务。然而,随着用户需求的不断增加,移动终端的计算能力有限、存储资源不足等问题日益凸显。要想有效解决这些现实问题,需要引入作为支撑架构的云计算,因此出现了移动云计算。但移动云计算的终端用户需要经由无线网络获得资源与服务,而无线网络的性质决定了其在连接的授权认证以及数据保护等方面都存在一些安全隐患。此外,由于移动云计算性能较高,云环境下对于业务数据的要求也较高,例如通过传感设备采集数据时可能要进行大量的数据传输工作,因此,数据安全问题至关重要,其可能会直接影响到云计算的性能。
1 云计算及移动云计算的内涵
1.1 云计算的内涵
随着宽带互联网、处理器、分布式存储、自动化管理以及虚拟化等相关技术的不断发展,出现了云计算。应该说云计算完全实现了人们按需计算的要求,使软、硬件资源利用效率得到极大提升。云计算从技术层面分析,其功能实现主要与数据存储能力以及分布式计算能力有关。其具有成本低(用户终端、软件及IT基础设施)、性能高(计算能力强、存储容量无限大及数据安全性好)、兼容性强(用户系统及数据格式)、软件更新与维护简便、群组协作高效等特点。因此,云计算应该说是一种能够根据网络用户的需求,提供各种可动态配置计算资源(包括服务器、存储器、网络、应用和服务等)的共享池服务模式。
1.2 移动云计算的内涵
移动计算主要指移动设备上进行的单独应用或无线网络上进行的远程应用。移动云计算主要指在移动设备以外进行的数据存储与处理的计算架构模式。移动云计算则是移动计算与云计算相结合的产物。其内涵可分为两个方面,其一是数据存储与处理要在终端设备以外进行,其中的移动终端只负责提供便捷的云端服务,其能够使移动终端存储有限以及计算资源不足问题得到有效解决,同时提出了集中式管理的安全性。其二是数据存储与处理在终端设备上进行,其与数据中心根据需求付费方式不同,其各个节点规单独用户拥有,且可能为移动形式,其能够有效发挥硬件优势,使数据获取能力极大提高,有利于分布式的硬件管理。
总而言之,移动云计算能够有效解决各种移动终端的资源受限状况,在移动云计算的架构下,能够发挥分布式资源的作用,有效节约移动终端的业务处理时间,减少其能量耗费等。
2 移动云计算需要注意的安全问题
(1)影响移动终端安全。对于移动终端来说,系统与控制权限是其安全防护的重点。一旦恶意用户取得系统或控制权限,其就能随意进行了任务信息配置,增大任务资源耗费,严重影响终端运行。此外可以进行分块迁移计算,将终端能量及负载等相关信息加以改变,系统无法对任务分割方案进行准确判断,出现通信开销故障。
(2)威胁云架构及资源池安全。云架构下,信息可能会在云端被篡改,这种情况下与云端连接的移动终端就可能发生资源耗费严重问题,同时数据传输也存在较大安全威胁。影响到网络带宽及其性能,增加用户资源的使用费用等。
(3)影响传输信道安全。如果发生包劫持、中间人攻击等问题,可能造成网络信息传输速度降低,用户端响应变慢或无法响应等问题,从而使用户额外开销增加。通常情况下应加强信息加密工作,确保传输信道的安全。
总而言之,任何安全问题的发生,均可能对数据的使用性、完整性和保密性等产生影响,要想确保数据安全,必须采取必要的数据保护策略。
3 移动云计算的数据保护策略
用户在进行云端应用或者云端服务过程中,必然涉及到数据传输问题。对于很多应用和服务而言,保护关键数据的安全是确保应用与服务能够顺利实现的基础,因此移动云计算的数据保护至关重要。从目前来看,可以使用的数据保护技术总体有三种:其一是控制技术。可以设置各种权限,来实现数据的集中控制与管理功能,同时定期开展数据审查工作,避免数据发生泄露,确保数据安全;其二是加密技术。可以使用文件级、磁盘级、硬件级以及网络级等各种级别的加密技术,确保数据安全;其三是过滤技术。可以在网关位置安装上内容过滤设备,从而完成对HTTP、FTP、POP3以及即时通讯等各类网络协议内容的过虑功能。对于移动云计算的数据保护,应根据其需要注意的安全问题加以认真分析:(1)尽管移动终端的各种资源受到限制,然而其计算能力已大幅度提升,同时配置能力、可编程能力也极大增强,造成与普通计算机一样,对于移动终端的各种攻击变得非常容易。若想避免这些恶意代码及程序可能造成的破坏,应加强程序分析工作,可以应用防护软件等断送访问及控制权限的合法性等。但也不可避免地会使额外计算加大,增加资源耗费。(2)尽管云架构与资源池不会使额外计算增加,然而如果移动终端向云端提交任务,必须对请求进行检测,以确保云架构安全。这就使得响应速度发生改变,同时数据检测也会影响到数据的完整与安全等。(3)尽管通信信道采取了加密处理等方法,然而若想达到一定的安全级别,其计算要求十分复杂,势必造成资源耗费。
总而言之,数据保护过程中,势必会有额外计算产生。对于移动终端而言可能造成时延现象以及能量耗费问题。
[关键词]:安全 ;防护;既有线
1 工程概况
李桥特大桥主桥是武汉市南湖至大花岭上行铁路联络线的控制性工程,为跨越既有京广线而设,为单线铁路桥。主桥连续梁跨度为28+56+28m,为单箱单室预应力砼箱梁,在施工过程中分两个T构, 0#、10#块段采用墩旁支架施工,其余1#~9#节段均采用悬臂浇筑施工。
既有京广上下行线车辆繁多,平均每8分钟就有一列火车通过。如何确保施工梁体下方既有铁路列车安全运行成为施工的重中之重。根据施工特点,最终选择在挂篮底部行车范围内设置安全防护棚。
2 防护棚设计
按照施工要求,整个安全防护棚长30m、宽15m,详见“图1防护棚示意图”。从铁路钢轨顶面到安全防护棚顶棚底面净空高度7.0m。为保证安全防护棚基础牢固可靠,在京广线两侧路肩范围以及上下行线之间共设置8根挖孔桩。其中4根挖孔桩在京广线路肩范围,4根挖孔桩在京广线上下行线之间。挖孔桩平面布置为沿京广线纵向间距为9m,沿京广线横向最小间距7m。挖孔桩与京广线结构物之间关系为:京广上行线路肩挖孔桩到京广上行线中心线之间间距以及京广下行线路肩挖孔桩到该京广下行线中心线之间间距均为3.1m,京广上下行线之间挖孔桩到京广上下行线中心线距离均为4.4m。所有挖孔桩直径均为1.0m、深度为2.0m,采用C30混凝土浇注。为确保挖孔桩与上部结构连接牢固,在挖孔桩顶面预埋圆环钢板。挖孔桩上用钢管桩连接,钢管桩顶顺京广线方向设置纵梁,纵梁采用Ⅰ28a工字钢,安全防护棚横梁采用[16a,在[16a上铺设方木,方木上平铺竹胶板,在竹胶板上设置挡水板。安全防护棚顶棚表面铺设绝缘材料。
3 防护棚受力验算
3.1槽钢计算
槽16a自重:17.23Kg/m
竹胶板自重:12Kg/m2 (厚度1.2cm)
普工28a自重:43.48 Kg/m
槽钢间距为1.22m,上铺竹胶板,则槽钢上均布荷载:
受力简图如下:
3.2 普工28a计算
槽钢自重产生的均布荷载:q1 =0.84KN/m
竹胶板自重产生的均布荷载:q2 =0.71KN/m
工钢自重产生的均布荷载:q3 =0.43KN/m
竹胶板、槽钢及工钢自重产生的均布荷载为1.98KN/m。
4 防护棚施工
4.1挖孔桩施工
在进行京广线上下行线之间挖孔桩施工时,为保证施工安全,每天只进行一个挖孔桩施工,并确保当天挖孔当天完成浇注。在挖孔施工之前,先与设备管理单位武东车务段联系,申请在京广线K1221+100~K1221+350范围施工挖孔桩,挖孔期间列车限速60km/h,慢行距离250m。施工时,要点施工命令号下达之后方可进行施工,并确保在要点时间范围内完成施工,保证施工安全。
4.2基础钢管施工
安全防护棚基础钢管采用直径30cm、壁厚6mm、长度7.0m。施工按照先进行京广线路肩钢管安装,后进行京广上下行线之间钢管安装的顺序。安装前,必须进行要点施工。向武汉供电段申请该段供电线每天停电1小时,在停电时间内进行钢管安装施工,每安装一根钢管,除钢管底部与挖孔桩预埋圆环钢板连接牢固外,京广线路肩范围钢管在顶部设置两根揽风钢丝绳,将揽风钢丝绳固定于京广线的外侧。京广上下行线之间钢管设置一根揽风钢丝绳,钢丝绳固定在京广上下行线之间,防止钢管向京广铁路倾倒,影响铁路正常运行。
4.3纵梁施工
在安装完钢管之后,进行纵向Ⅰ28a工字钢架设施工,钢梁与钢管顶部焊接。架设期间申请要点,确保供电线停电进行施工,要点时间为每天90分钟,要点施工命令号下达之后方可进行施工,确保每天在要点时间内完成一根纵向钢梁安装。
4.4防护棚顶棚搭设施工
在安全防护棚顶棚搭设之前,向武东车务段申请封锁施工,向武汉供电段申请停电要点施工,在要点时间内进行防护棚顶棚搭设。在纵向Ⅰ28a工字钢架设施工完成后,进行槽16a横梁架设施工,将[16a与纵向Ⅰ28a工字钢焊接牢固,[16a间距均保持1.22m。槽钢满铺搭设完成后,从[16a到Ⅰ28a工字钢再沿钢管垂直设置漏电装置,防止产生静电,影响施工人员安全。在[16a搭设完成后,进行长2.4m、宽10cm、高5cm方木架设,方木沿京广线纵向架设,沿横向每间隔50cm布置一根,两方木纵向搭接位置位于[16a上面,并将方木用钢钉连接成整体,防止因列车通行振动时,方木滑落,影响列车行驶安全。方木铺设完成后,及时平铺长1.6m、宽0.8m、厚度2cm的竹胶板,与方木连接成整体。竹胶板上平铺厚度2~5mm绝缘材料,并确保绝缘材料连接成整体,防止滑落。绝缘材料铺设完成代表安全防护棚架设全部完成。
4.5安全防护棚的拆除
在连续梁全部施工结束后,向武东车务段申请封闭施工,向武汉供电段申请停电作业,在要点时间范围内进行拆除。
5 结束语
随着智能手机、平板电脑等终端产品的普及,网络安全问题变得越来越复杂。面对新的网络安全的威胁和攻击,传统的应对手段也需要颠覆了。请关注—
随着新的互联网时代的到来,许多人已经可以实现借助家里电脑、智能手机、平板电脑等终端进行远程办公,现今IT信息系统的架构也发生了变化,导致网络安全问题变得越来越复杂。在近期举办的第二届国家网络安全宣传周上,基于云端架构的网络安全防护体系正受到越来越多的追捧。
网络安全问题越来越复杂
今年2月份,网络安全公司卡巴斯基的一份分析报告显示,黑客组织Carbanak在两年内连续攻击了俄、乌、白等30多个国家的金融机构,造成损失达10亿美元,引发了俄罗斯银行业恐慌。
根据2012年的数据,我国电子银行交易笔数高达896.2亿笔,交易规模为820万亿元,个人网银用户规模为2.1亿户。电子银行替代率提高到72.3%,且到2016年时,该比率预计将达到82.3%。而与此同时,信息泄露、恶意软件、钓鱼网站等却在不断的威胁到网银安全服务,中国工商银行(601398,股吧)安全部总经理敦宏程表示,这些网络上侵害金融安全的非法活动甚至已形成黑色产业链,相关组织内分工明确。
“黑客最初是向目标机构的普通职员发送电子邮件,诱使他们打开一个包含恶意软件的附件;突破职员电脑后,黑客会以此为跳板进行渗透平移,找到并攻陷掌握银行交易权限的高级管理人员;通过在管理人员的电脑植入木马程序,分析得到合法账号、密码以及系统操作流程,最终冒充合法账号成功转移资产。”网康科技执行副总裁左英男介绍俄罗斯银行大案时说,尽管俄罗斯警方几年前已经逮捕了8名犯罪团伙成员,但攻击并未停止。
“哪个网络是不可信的?哪个网络是可信的?这些概念已经改变了。传统的网络安全理论是静态、被动的,是一种防御性思维,已不适应信息产业架构的变化。随着互联网的云化和移动终端移动化趋势,IT信息系统的架构需要有新的手段去解决安全问题。”左英男说。
借助云端解决网络安全
“安全问题永远是人与人之间的智力对抗,所谓魔高一尺道高一丈,但防御的一方永远处于被动地位,所以现在要改变这种防御策略,形成主动发现、主动打击。这就是我们提出的下一代网络安全架构,提供主动对抗的手段。”左英男介绍,下一代网络安全架构的一个重要特点就是智能协同,主动防御。云、边界设备与终端设备之间都可以进行联动,使得架构中“边界”设备和“终端”设备的安全能力都得到了划时代的提升,可以有效应对已知和未知的高级威胁。
“更好的安全模型应该是PDFP模型(Prediction预测、Detection检测、Forensics取证、Protection防护),即假设IT系统存在无法预估的风险,甚至认为攻击已经发生只是人们尚未感知,此时必须进行动态检测,把异常的人员、行为、应用、内容等日志信息实时汇集到云分析中心,通过跨时空的大数据分析,迅速判定攻击并进行过程溯源,从而实施对抗策略。这个过程是动态的、主动的,是一种对抗型思维。”左英男解释,“将来我们会给客户提供一个云管端的架构,部属终端、部属终结设备,会给他一个云账号,登录云账号之后,能够看到经过大数据分析之后的结果,主机是否危险,内部有哪些僵尸,都在干什么,有非常直观的风险信息提示。”
目前,为了防止用户信息泄露和受到诈骗,当前各大银行纷纷采取措施,其中云技术、大数据等已被运用。比如银联推出的虚拟银行卡,可以直接使用手机来刷POS机,而基于云端的安全机制将大大提高账户的安全性。
提高民众的安全意识是关键
“网络安全问题并不仅仅是一个行业、一个企业的行为,它还需要整个全民网络安全意识的提高,以及整个社会网络安全防护体系的构建。”左英男说。
中国工商银行安全部总经理敦宏程表示,相对银行采取的种种措施,民众的网络安全意识仍然是抵御网络金融诈骗和信息泄露的第一道关口。“用户的安全意识,实际上相对来说是各个环节中最薄弱的环节,工商银行为此提供了很多安全措施,都是针对客户安全意识不足做的补充措施。”