带你认识云安全
当前,云安全已经成为信息安全界的热门话题。随着安全形势的发展,云安全的内涵在不断演变,新技术、新方案不断被整合入云安全的大概念之中。对企业用户而言,伴随全新一代云安全2.0的技术体系逐渐浮出水面,用户自身的安全防御部署也随之出现新的变革:利用云技术,促进终端安全防御已经成为全新的体验。
说到云安全2.0,其实圈内人士都明白,任何一种新技术的出现并非一蹴而就。对安全部署而言,目前的云安全2.0体系是从传统的云安全方案中升级而来,通过添加云客户端文件信誉技术、威胁发现管理技术、终端安全管理技术,全新的云安全2.0技术体系对企业用户的终端安全保护与响应更加到位。
看点一:云客户端文件信誉技术
此前趋势科技中国区总经理张伟钦在接受本报独家专访时表示,云客户端文件信誉代表了过去25 年内流行的反恶意软件处理技术的根本性转变。归根结底,这项技术出现的根本原因是为了对付新出现的恶意威胁,也就是海量威胁。
对此,梭子鱼中国区总经理何平介绍说,海量威胁是一种新型威胁,其特点是:数量成指数形式增长,此类新型恶意软件需要由反恶意软件防护解决方案来识别和处理,方可确保用户得到持续保护而又不会影响正常的业务活动。
根据IDC的统计,截至到2009年初,全球大约每小时就会增加850个新的恶意软件。预计到2015年,此数量会持续上升,大约每小时就会有26000个新的恶意软件。
“鉴于此,企业用户迫切需要一种新型的反恶意软件防护基础设施,该设施可以成功对付新出现的海量威胁,避免自身受损,并能将此恶意软件对业务操作
的影响降至最低。换句话说,云客户端文件信誉技术就这样应运而生了。”张伟钦如是说。
记者的看法是,当前的云客户端文件信誉还属于一种文件信誉类型,或称之为黑名单拦截机制。这种技术采用传统的反恶意软件的防护措施并在云中定义反恶意软件,以减少采用重复和增加的传输模式对客户网络的影响。
事实上,云客户端文件信誉技术将文件与客户端扫描分开,确保扫描服务可以通过网络来进行模式查找,这样本地云扫描服务或者通过Internet的扫描服务都可以尽可能地发挥作用。这样一来,也解决了将信息更新数量扩展到网络中大量终端系统的问题。一旦新的内容在扫描服务器上进行了更新,所有企业用户就可立即通过扫描服务器获得保护。
总的来看,主流的安全厂商将会拥有多种类型的文件信誉技术,不同产品之间的文件信誉技术也不尽相同,但该技术充分运用了以云安全为基础的威胁防护存储信息和高效的客户端智能过滤,因此所有的文件信誉技术都属于云安全2.0的范畴。
看点二:威胁发现管理技术
当前,由于网络安全所受威胁越来越复杂,工作场所数据泄漏的问题层出不穷。一些传统的安全技术,如防火墙、IPS\IDS、VPN等着重防范外部威胁进入企业网络,而不能有效地防御因公司员工浏览受感染的网页、访问Web邮件或使用IM软件导致企业网络被入侵而产生的内部威胁。
根据趋势科技公布的调查报告,截至到今年二季度,全球范围内企业内部的终端用户在工作时间会比在家时更有可能参与高风险在线活动,如打开未知邮件附件或点击恶意链接等。显然,员工在上班时没有正确认识网络安全问题。
此外,根据美国《Network World》的报道,网络访问控制等安全解决方案强调评估、鉴定公司员工端点的初始状态。一旦用户经首次核准,将不再对其进行监控,那么用户同样可以对网络作出恶意行为。如果公司员工未意识到这些恶意行为的危险后果,则有可能违反安全规定,导致数据损失。此外,当今“无界限”的企业可以在全球范围内自由分享员工及合作伙伴的信息,这无疑进一步加重了安全风险。
此前Wedge Networks全球CEO张鸿文博士向记者透露,目前开展安全变革的条件已经成熟。他强调说,如果对入侵原因及其精确位置的能见度不足,企业的信息技术部门就不能确定最适当的补救办法。为了有效地增加覆盖面,安全技术人员需要获取更多信息。
事实上,如果通过IT技术了解到大部分威胁经由网关产生,则企业应安装适当的网关保护程序。不难看出,企业需要一个“安全预警系统”,以便精确地标识新的已知恶意软件并测量已经发生的损害程度。此外,企业还需要一个能够修补、管理网络威胁的系统,以确保适当、迅速地修复并及时发送报告,确定预防威胁的方法。显然,这些需求都已经被云安全2.0技术体系所包容。
对此张伟钦的看法是,只有引进了威胁发现管理技术,才能满足企业检测、降低并管理网络内部威胁的需求。而通过云计算的平台,企业可以迅速、有效地处理恶意软件,大量减少网络损害控制成本并提高整体安全水平。
据介绍,目前云安全2.0体系中集成的威胁发现管理技术分为三大阶段:第一,发现阶段,检测网络内部安全威胁;第二,管理阶段,利用云安全技术架构
进行关联性分析,广谱识别恶意行为,发现威胁根源,追踪并提供威胁分析;第三,反馈阶段,充分利用云安全技术对最新出现的安全威胁进行识别和反馈,通过云端的安全中心,获得详细而及时的防御支持。
记者发现,在当前的体系结构中,威胁探测与威胁发现管理通常配合工作,以便监控网络中的可疑行为,从而检测出传统基于模式匹配而不能发现的恶意软件。新技术可以标记扩散或感染其他用户的恶意软件,包括引起内部资料外泄或从恶意源接收指令(如僵尸网络)的隐藏恶意软件。
此外,云安全2.0体系中涵盖的网络内容检测技术,可以在威胁探测器提供的网络协议与应用程序基础上,检测网络流量。这样一来,新的云安全体系就可以通过网络协议层检测出大量存在潜在破坏性特征的应用程序,同时确保网络服务不受任何干扰。
看点三:终端安全管理技术
IDC在今年六月份公布的安全报告中指出,恶意软件已然变成一个复杂的、具有良好组织性的行业,并且以盈利为目的。在企业内部,终端用户最能感受到这一点。大量的黑客认识到,传统的终端安全方法开始无力反击如此之高的威胁数量:企业疲于应付规模更大、更加频繁的特征码更新,而用户则因为企业在处理威胁过程中可用资源的减少而感到失望。这些问题共同构成了一场大风暴,为针对性攻击和数据盗窃提供了一个理想的环境。
基于此,在过去几年中,企业终端安全市场整体上处于飞速发展过程中。然而张伟钦强调,终端产品目前体现出大量的复杂度特征,企业的IT经理会发现他们正在受到安全解决方案的复杂度困扰。
在采访中记者发现,对企业终端安全而言,IT部门在部署和管理大量终端的特征码文件更新时,挑战往往不容忽视。特别是一些移动性强、网络基础架构复杂、以及需要频繁维护的终端管理工作,都使得安全技术的效果大打折扣。
对此,新一代云安全2.0体系把云端与终端的保护与维护进一步提升了效率。云安全2.0体系无需与扫描引擎和特征码共处,它引入了一种新的协议,把在签名数据库中检查文件信息的负担转移至中央服务器,中央服务器可以放在企业网络(本地扫描服务器)中或由IDC进行托管。
记者的看法是,这种技术的改进非常有意义,很大程度上针对服务器的攻击都将会在云端被解决,甚至大量的特征码都无需传输到客户网络中的每一个终端中去,从而节省了大量时间和精力。
对此,张伟钦和张鸿文的看法如出一辙,他们认为,一套完整的云安全2.0体系需要从三方面入手,完善对终端安全的保护与管理。
第一,完善客户端。它是云安全2.0体系中的集中扫描组件,相当于传统内容扫描的特征码匹配引擎。客户端与扫描服务器互相合作,查询文件信息,以确定特征码和扫描文件的给定文件或文件片段是否受到感染;
第二,云安全查询过滤器。作为云安全2.0体系的主要支持技术,无需对其扫描的每个文件查询扫描服务器。云安全服务器可以准确地定位被扫描的文件中是否能够发现实际特征码。目前来看,云安全服务器不会产生漏报,而且误报率也很低;
第三,本地扫描服务器。该服务器安装在客户网络中,相当于一个数据库服务器,为云安全2.0体系提供查询服务。扫描服务器在特征码中搜索文件信息,确定被扫描的文件内容是否与给定的恶意软件签名匹配。如果必要,扫描服务器还会对客户端的云安全服务器生成更新信息。与独立终端上部署特征码相比,对这种更新更加有效。
云安全,从何而来?
紧随云计算、云存储之后,云安全也出现了。云安全最早是趋势科技创造的概念,在国际云计算领域独树一帜,并得到了众多安全厂商的跟随与认可。
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,趋势、卡巴斯基、MCAFEE、SYMANT EC、江民科技、PANDA、金山、360安全卫士、等都推出了云安全解决方案。据悉,云安全可以支持平均每天55亿条点击查询,每天收集分析2.5亿个样本,资料库第一次命中率就可以达到99%。
目录 第1章项目建设背景与方案设计原则 (2) 第2章医疗影像云建设需求分析 (2) 2.1云平台的基础安全保障 (2) 2.2云环境下安全责任分类界定 (4) 2.3云环境下引入的特有安全需求 (5) 第3章医疗影像云云安全建设方案 (6) 3.1平台安全架构设计 (6) 3.2医院接入架构设计 (7) 3.2.1前置机接入安全设计 (7) 3.2.2专线接入安全设计 (7) 3.3平台安全区域边界设计 (8) 3.3.1网络接入域 (8) 3.3.2内网业务区 (8) 3.3.3安全管理区 (9) 3.4平台安全设备汇总 (9) 第4章医疗影像云云安全解决方案技术特点 (10) 4.1部署架构 (10) 4.1.1南北向安全服务流 (11) 4.1.2东西向安全服务流 (11) 4.2东西向安全服务设计 (11) 4.2.1安全服务交付形式 (11) 4.2.2安全服务交付内容 (12) 4.3南北向安全服务交付设计 (12) 4.3.1安全接入服务 (12) 4.3.2安全防御服务 (13) 4.3.3应用交付服务 (14)
第1章项目建设背景与方案设计原则 ◆统一规范 遵循在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好整个医疗影像云系统的标准化设计与部署。 ◆成熟稳定 本次建设方案采用的是成熟稳定的技术和产品,确保能够适应各方面的需求,并满足未来业务增长及变化的需求。 ◆实用先进 为避免投资浪费,方案设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,具备纵向扩增以及平滑横向扩展的能力,以便IT基础架构在尽可能短的时间内与业务发展相适应。 ◆安全可靠 由于医疗影像云属于对医疗系统提供公共服务的云平台,因此针对平台自身业务熟悉,结合国家对云平台的相关建设要求和标准,本次云平台安全体系建设参考和采用以下相关国家标准: 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统安全等级保护实施指南(国家标准报批稿) 信息系统安全等级保护测评准则(国家标准报批稿) 信息系统等级保护基本要求-云计算要求-标准草案 第2章医疗影像云建设需求分析 2.1云平台的基础安全保障 云平台的基础安全保障,是云服务方所需承担的基本、必须义务。提供SAAS服务的云
基于CDN的安全私有云 作者:盛瀚北京银行。 摘要:本文分析了私有云面临主要维威胁及相应提出的安全需求,设计一套基于CDN的安全私有云平台架构,包括智能WAF防火墙、智能蜜罐、分布式全流量检测取证、分布式云存储等关键技术。 关键词:云安全私有云 1.云计算安全现状 云计算模式将数据统一存储在云计算服务器,对核心数据进行集中管控,比传统分布在大量终端上的数据行为更安全。数据的集中使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。全球领先的信息技术研究和顾问公司Gartner认为,全球云安全服务将保持强劲增长势头,在2017年达到59亿美元,相比2016年增长21%。云安全服务市场的整体增速高于信息安全(information security)总体市场。Gartner预计,云安全服务市场将在2020年接近90亿美元。 1.1.云计算面临的威胁 随着云提供商不断积累运营经验和技术的日益成熟,云故障的频率和持续时间都在减少。但与此同时,企业却在面对宕机的时候变得越来越脆弱,依赖性也越来越高,潜在的危害,或者强烈的挫折感,
变得比以往任何时候都更大。总结回顾一下近期发生的云安全事件:2016年1月18日,Microsoft Office 365的用户的电子邮件账户出现问题,微软将故障归咎于一次错误的软件更新,但是其初次修复的尝试并没有解决问题,在最初的故障出现五天之后,2月22日再次爆发了电子邮件故障。 2016年4月11日,Google Cloud Platform出现18分钟的中段,影响到Compute Engine实例和所有地区的VPN服务。 2016年6月2日,Apple云发生广泛的服务中断,让Apple一些受欢迎的零售和备份服务服务都出现中断,造成部分客户无法访问多个iCloud和App Store服务,同时App Store、Apple TV App Store 和Mac App Store、iTunes和Apple基于云的图片服务都遇到了中断。 2017年2月28日晚8点39分,百度移动端搜索发生故障,搜索请求无法显示结果,至晚9点21分恢复,历时42分钟。 … CSA云安全联盟列出的2016年“十二大云安全威胁”。依排序分别为1.数据泄露 2.凭证被盗和身份验证如同虚设 3.界面和API被黑 4.系统漏洞利用 5.账户劫持 6.恶意内部人士 7.APT(高级持续 性威胁)寄生虫 8.永久的数据丢失 9.调查不足 10.云服务滥用 11.拒绝服务(DoS)攻击 12.共享技术,共享危险问题。 把云计算环境下的安全威胁细化,并按系统保护的基本要求进行对应,可得到如下的云计算环境下的具体安全威胁: (1)网络安全部分
阿里云安全白皮书V1.2
前言 (3) 概览 (3) 阿里云安全策略解读 (3) 组织安全 (4) 合规安全 (5) 数据安全 (6) 访问控制 (8) 人员安全 (9) 物理和环境安全 (10) 基础安全 (11) 系统和软件开发及维护 (14) 灾难恢复及业务连续性 (16) 总结 (17)
前言 阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。 阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。在本文里面所描述的策略、流程和技术将以https://www.doczj.com/doc/5c7401666.html,发布时为准。随着时间的推移,部分细节将随着产品和服务的创新而改变。 概览 阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面: (1)阿里云安全策略解读; (2)组织安全; (3)合规安全; (4)数据安全; (5)访问控制; (6)人员安全; (7)物理安全; (8)基础安全; (9)系统和软件开发及维护; (10)灾难恢复及业务连续性 阿里云安全策略解读 “生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。
云计算已经成为当前IT巨头建设的重点,而其快速推进过程中频繁发生的安全故障,让人们对云计算安全不无担忧。若不能为云计算架构加入更强大的安全措施来确保其安全性,将会对用户数据以及与数据相关的人带来安全和隐私风险。 云计算环境下的安全问题分析 1.云计算已经成为当前IT巨头建设的重点 在云计算进行得如火如荼的今天,众多IT巨头开始投入到云计算的建设之中,包括亚马逊、IBM、Google、微软等都陆续推出了云计算服务,以求在这个影响未来IT应用模型的市场中找到自己的位置。比较知名的云计算服务有: ●亚马逊的在线存储服务(S3)。S3服务对新型企业和用户的强大吸引力在于这项服务能够与 亚马逊的其它在线服务联系在一起,如弹性的云计算和亚马逊的SimpleDB服务。使用这三项服务,新型企业能够节省大量的存储开支,并且可能节省客户的时间和金钱; ●Google正式宣布Google Apps Marketplace开始运营。Google Apps软件应用商店包括了Gmail、 Docs、Sites和Calendar等应用,通过这种免费商店吸引用户选择Google产品,截止到目前已经吸纳了2500多万用户; ●继Windows Azure操作系统和云计算数据库SQL Azure开始收费后,微软近期宣布,Windows Azure平台AppFabric也将投入商用。从2010年4月9日开始,全球用户都可以购买 AppFabric用以实现云计算和云计算应用程序的轻松通信。 2.云计算服务发展过程中的安全事故 在云计算快速推进的过程中,安全故障也频繁发生,包括亚马逊、Google、微软等都没能幸免。比较严重的有: ●2008年7月,亚马逊在线计算服务的主要组件简单存储服务(S3)发生故障,整个系统宕机 时间超过6小时,使用亚马逊服务的一些网站,例如网络照片和视频提供商SmugMug也报告了这个故障,这家网站存储在S3服务中的大量照片和视频都无法访问。在那年更早些时候,Amazon也曾遭遇罕见问题,美国地区服务器无法访问,时间持续约两小时; ●2009年12月,亚马逊基于云计算的EC2(弹性计算云)服务在一个星期里发生了两起事故: 一起是僵尸网络引起的内部服务故障,另一起是在弗吉尼亚州的一个数据中心发生的电源故障; ●2009年9月份,Google的Gmail服务先后发生2次宕机事件导致用户无法访问邮件系统, Google News服务也发生中断,而这种安全事故在整个2009年已经先后出现了超过5次; ●2010年2月25日,由于一个备份数据中心发生故障,谷歌应用开发者服务Google App Engine (谷歌应用引擎)宕机,对很多谷歌客户造成了影响;
XXXX电厂数据中心 私有云安全方案 一、“统一平台”云安全防护解决方案 从传统的安全角度出发,很多电厂私有云平台在建设过程中都面临“物理隔离”和“统一平台”两种解决思路的选择。早期,基于传统技术架构和生产安全因素考虑,“物理隔离”方案应用较为广泛。然而,随着网络安全技术和云计算技术的快速发展,现有安全技术已经完全可以解决隔离不同类型应用(VM)的需求。因此,在采取相关安全措施的基础上,“统一平台”方案无论业务层面还是安全层面都具有更高的优势。 图1、生产网与信息网“物理隔离”方案(传统)
图2、生产信息网“统一平台”方案(推荐) 下面针对新主流“统一平台”方案(图2)与传统的“物理隔离”方案(图1)进行对比分析。 为了便于对比,首先简要说明图2 的方案。该方案引入了云安全防护设备。该设备通过数字化信息管理网(业务网)与私有云平台的计算、存储资源池互联,可对任意的物理资源、逻辑应用(VM)进行有效隔离,可以实现数据包、网络连接、逻辑应用(VM)、物理资源各个颗粒度的数据进行分析、过滤、处理,同时具有防内网渗透、隔离蠕虫类病毒、识别APT攻击等功能,能够有效保障私有云平台的隔离性及安全性。 具体分析如下: (一)业务层面 1、资源使用效率 从云平台业务使用的角度看,“统一平台”具有绝对优势,可以最大限度地统一调度、配置、管理私有云平台中的所有资源;而“物理隔离”方案将私有云中不同的物理资源进行隔离,其实质是将统一的云平台机械地切割成两个(甚至多个)云平台,这就大大降低了云平台对计算、存储资源的统一调度和管理,资源使用效率大大降低。 2、系统扩展性 “统一平台”方案的系统扩展能力强,对于物理资源扩展、逻辑资源变更等都具有很好的扩展性;而“物理隔离”方案在进行资源扩展时,必须以隔离出的小区域为基本单位进行,
2018年度科技创新券服务机构 入库申请指南 一、申请内容 为科技型中小微企业和创客提供具体科研活动直接相关的科技服务,接收并兑现科技创新券的服务机构入库(服务机构是指提供科技服务的企业、高等院校、科研机构和科技服务机构等)。 二、设定依据 (一)《国务院关于大力推进大众创业万众创新若干政策措施的意见》,国发〔2015〕32号; (二)《深圳市科技计划项目管理办法》,深科技创新规〔2012〕9号; (三)《深圳市创客专项资金管理办法》,深财规〔2015〕10号。 三、审批数量和方式 审批数量:无数量限制。 审批方式:单位申报、部门审核、社会公示、审批机关审定。 四、审批条件 (一)申请单位应当是在深圳市依法注册、具有独立法人资格的服务机构; (二)本年度科技创新券重点支持研究开发服务、技术转移
服务、检验检测认证服务、知识产权服务,且服务机构应具备相应科技服务资质: 表1.2018年度科技创新券适用范围及服务机构资质 序号服务类别服务子类申请单位资质 1 研究开发 服务基础应用研究和 试验发展服务 拥有市级以上认证的重点实验 室、工程中心、公共技术平台的 机构 产品研发设计服 务 开放科研设施服 务 在“深圳市科技创新资源共享平 台”备案大型仪器设备的机构 云计算服务 1.具备中国工信部颁发的增值电 信业务经营许可证及IDC/ISP; 2.建立完善的信息安全保护措施 及制度,获国际云安全联盟CSA 的C-STAR安全认证、ISCCC 信息安全管理体系认证或国际 信息安全标准体系ISO27001认 证等认证; 3.云服务收费企业租户数超过 500个以上; 4.三年以上云服务运营业务基 础; 5.具有健全的服务质量保障体
C S A云安全联盟标准 CSA0001.4—2016 云计算安全技术要求 第4部分:SaaS安全技术要求 Cloud ComputingSecurity Technology Requirements(CSTR) Part4:Security technology requirements of SaaS V1.0 2016-10 2016-10-25发布 CSA云安全联盟大中华区发布
CSA0001.4—2016 目 次 目 次...............................................................................................................................................................I 前 言...........................................................................................................................................................III 引 言.............................................................................................................................................................IV 1范围. (1) 2规范性引用文件 (1) 3术语和定义 (1) 4SaaS云服务安全技术要求框架 (1) 4.1云计算安全责任模型 (1) 5访问层安全 (3) 5.1网络访问安全 (3) 5.2API访问安全 (3) 5.3Web访问安全 (3) 6资源层安全 (3) 7服务层安全 (3) 7.1网络安全 (4) 7.2主机安全 (4) 7.3SaaS资源管理平台和应用安全 (5) 7.4数据安全 (6) 7.5租户虚拟资源空间安全 (6) 8安全管理 (6) 8.1身份鉴别和访问管理 (6) 8.2安全审计 (7) 8.3存储与备份管理 (8) 8.4安全运维 (8) 8.5威胁与脆弱性管理 (8) 8.6密钥与证书管理 (8) 9安全服务 (9) 附录A(资料性附录) (10) A.1主机安全 (10) A.2SaaS资源管理平台 (10) A.3安全审计 (10) I
云安全:云计算的安全风险、模型和策略 在这篇文章中,我们将着重探讨云计算中与安全相关的各类问题,例如云计算供应商采用的安全模式,企业在使用云计算平台中应该考虑的安全风险和采取的安全策略等。 需要强调的一点是:本文涉及的“云安全”并非是目前国内反病毒业界中非常热门的“云安全”、“云查杀”这类反病毒技术。“云安全”反病毒技术只是将云端的计算和商用模式应用到反病毒领域。换句话说,是云计算在一个特定领域的应用。 本文讨论的是通用意义上的云安全(Cloud Security)。它的影响范围和对象要比“云安全”反病毒技术广泛得多。云安全涉及的不仅仅是云计算中的相关技术,如虚拟化技术等的安全问题,而且还需要全面考虑和评估云计算所带来的潜在的技术、政策、法律、商业等各方面的安全风险。 云计算中的安全风险 云计算的服务和计算分配模式 按通用的理解,云计算是基于网络,特别是基于互联网的计算模式。在云计算模式下,软件、硬件、数据等资源均可以根据客户端的动态需求按需提供(on-demand)。某种意义上,云计算的运营模式类似于电力、供水等公用设施,只不过它所提供的服务是计算资源。 云计算中提供的服务有三个层次: ?SaaS(Software as a serv-ice):软件即服务 ?PaaS(Platform as a serv-ice):平台即服务 ?IaaS (Infrastructure as a service):基础设施即服务 事实上,云计算中涉及的许多技术,如虚拟化(virtualization)、SaaS等并不是全新的技术。最为基本的在线邮件服务功能,如Gmail、Hotmai都已经运营一段时间了。PaaS 虽然是一个比较新的概念,但构造它的组件(如SOA)也不是新技术。那么云计算中最重要的改变是什么? 云计算带来的是一种全新的商业模式。它改变的是计算分布或分配的模式(par-adigm)。 根据计算分配模式的不同,云计算又可分为: ?公用云(Public Cloud):通过云计算服务商(Cloud Service Provider - CSP)来提供公用资源来实现。这些资源同其他云计算用户共享,没有私用专有的云计算资源。 ?私用云(Private Cloud):可以通过内部的IT部门以动态数据中心的方式来运行,或者由CSP来提供专用资源来运行。这些专用资源不与其他云计算用户共享。 ?混合云(Hybrid Cloud):可以通过公用云和私有云的组合来实现,或者是基于社区、特定行业、特定企业联盟来实现。 影响云计算模式的安全因素
公有云OR 私有云,数据安全不再是 个问题 互联网时代的众多产物中,如果说有哪些让用户“又爱又怕”,时下正流行的“云平台”想必要排在前面。IDC 调查显示,对于是否上云,用户顾虑重重:内部IT集成、自定义能力、付费成本等等……,但这些都不是重点,IDC发现75%的用户焦虑的是:上云后的数据安全性如何保障? 因此,很多用户开始考虑采用私有云这种折衷方式来规避这种风险,但对于大多数规模、体量不太大的用户来说,建设私有云并不现实,性价比更高的公有云才是最好的选择,但事实上,无论私有云和公有云,在数据安全方面都面对不同的安全挑战。如何为不同云环境下的用户提供有针对性的数据安全解决方案,安华金和已经有了答案。 8月9日,北京国际会议中心,阿里云栖大会.北京站拉开帷幕,安华金和作为阿里云战略合作方受邀参展。针对私有云与公有云的环境差异,安华金和针对云数据安全给出完美解答,不同云环境,不同防护方案。 一. 私有云环境下,兼顾合规,全面防护 基于信息化水平、资金实力等原因,选择私有云的用户大多分布在政府、金融、运营商、央企等行业。私有云环境相对纯净,安全性方面可以自己把控,不存在过多的安全威胁,但我国信息安全等级保护要求中,对于数据安全提出明确要求,因此满足合规是私有云用户最为关心的问题。 针对合规性要求安华金和给出四点解决方案: 数据保密性:通过数据库加密产品,对数据库中敏感信息按列进行加密保存。 访问控制:通过数据库漏扫、数据库防火墙、数据库加密实现最小授权,使得用户的权限最小化,对重要信息资源设置敏感标记。 安全审计:通过数据库审计实现对用户行为、安全事件等记录,事后可追查。 漏洞修复:通过数据库防火墙的虚拟补丁功能,在不影响业务正常运转的情况下,保持系统补丁及时得到更新。
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。
云数据中心安全规划设计
目录 1前言 (2) 1.1背景 (2) 1.2文档目的 (2) 1.3适用范围 (2) 1.4参考文档 (2) 2安全 (3) 2.1信息安全背景 (3) 2.2工作方法说明 (3) 2.3集团安全目标 (5) 2.4集团安全体系功能服务组件框架 (8) 2.5集团云安全规划路线 (30)
1.1背景 集团信息中心中心引入日趋成熟的云计算技术,建设面向全院及国网相关单位提供云计算服务的电力科研云,支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供;完成云计算中心的模块化设计,逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设;是本次咨询规划的主要考虑。 1.2文档目的 本文档为集团云计算咨询项目的咨询设计方案,将作为集团信息中心云计算建设的指导性文件和依据。 1.3适用范围 本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等,以便通过参考本文档资料指导集团云计算数据中心的具体建设。 1.4参考文档 《集团云计算咨询项目访谈纪要》 《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统灾难恢复规范》(GB/T20988-2007) 《OpenStack Administrator Guide》(https://www.doczj.com/doc/5c7401666.html,/) 《OpenStack High Availability Guide》(https://www.doczj.com/doc/5c7401666.html,/) 《OpenStack Operations Guide》(https://www.doczj.com/doc/5c7401666.html,/) 《OpenStack Architecture Design Guide》(https://www.doczj.com/doc/5c7401666.html,/)
公有云or私有云,数据安全问题不必纠结
————————————————————————————————作者:————————————————————————————————日期:
公有云OR 私有云,数据安全不再是 个问题 互联网时代的众多产物中,如果说有哪些让用户“又爱又怕”,时下正流行的“云平台”想必要排在前面。IDC 调查显示,对于是否上云,用户顾虑重重:内部IT集成、自定义能力、付费成本等等……,但这些都不是重点,IDC发现75%的用户焦虑的是:上云后的数据安全性如何保障? 因此,很多用户开始考虑采用私有云这种折衷方式来规避这种风险,但对于大多数规模、体量不太大的用户来说,建设私有云并不现实,性价比更高的公有云才是最好的选择,但事实上,无论私有云和公有云,在数据安全方面都面对不同的安全挑战。如何为不同云环境下的用户提供有针对性的数据安全解决方案,安华金和已经有了答案。 8月9日,北京国际会议中心,阿里云栖大会.北京站拉开帷幕,安华金和作为阿里云战略合作方受邀参展。针对私有云与公有云的环境差异,安华金和针对云数据安全给出完美解答,不同云环境,不同防护方案。 一. 私有云环境下,兼顾合规,全面防护 基于信息化水平、资金实力等原因,选择私有云的用户大多分布在政府、金融、运营商、央企等行业。私有云环境相对纯净,安全性方面可以自己把控,不存在过多的安全威胁,但我国信息安全等级保护要求中,对于数据安全提出明确要求,因此满足合规是私有云用户最为关心的问题。 针对合规性要求安华金和给出四点解决方案: 数据保密性:通过数据库加密产品,对数据库中敏感信息按列进行加密保存。 访问控制:通过数据库漏扫、数据库防火墙、数据库加密实现最小授权,使得用户的权限最小化,对重要信息资源设置敏感标记。 安全审计:通过数据库审计实现对用户行为、安全事件等记录,事后可追查。 漏洞修复:通过数据库防火墙的虚拟补丁功能,在不影响业务正常运转的情况下,保持系统补丁及时得到更新。
目录 1.目的 (2) 2.安全事件等级 (2) 2.1定义 (2) 2.2说明 (2) 3.安全事件的来源与分类 (4) 3.1说明 (4) 3.2分类 (4) 安全事件 (4) 应用故障 (4) 4.安全事件管理规定 (4) 4.1安全事件报告和受理 (4) 4.2安全事件的处理和解决 (5) 4.3安全事件的反馈和关闭 (5) 4.4相关文件及记录 (5)
1.目的 为安全运营、安全运维和业务部门对信息安全事件和处置信息安全事件时的定性、定责及处罚提供统一执行标准和依据。 2.安全事件等级 2.1定义 依据灾难可能造成的业务影响、信息系统中断、企业声誉损失等情况。由高到低划分为I级重大事件、II级较大事件和III级一般事件。 2.2说明 符合以下一项或多项标准: 50%及以上的客户受到不良影响; 无法正常对外提供服务时间超过12小时; 造成的信誉及严重恶劣影响的事件; 引起监管部门或社会公众严重关注的事件; 需要集团高级管理层直接处置的事件; 电信、联通、移动运营商网络链路中断;(骨干网调整、物理链路损坏) IDC场所遭遇重大灾难完全失效;(地震、爆炸、洪水) 对外官网页面被篡改;(反动信息)
被DDoS攻击、入侵 符合以下一项或多项标准: 30%以上的客户受到不良影响; 无法正常对外提供服务时间超过6小时; 引起合规风险、较大财务损失,且预计3小时内无法恢复; 造成的信誉及恶劣影响的事件; 需要集团高级管理层直接处置的事件; 被DDoS小规范攻击、入侵; 电信、联通、移动运营商网络链路抖动;(骨干网调整) 利用平台发布违规信息; 利用平台开设违规网站提供服务等; 符合以下一项或多项标准: 10%以上的客户受到不良影响; 无法正常对外提供服务时间超过3小时; 引起合规风险、较大财务损失,且预计3小时内无法恢复; 造成的信誉及恶劣影响的事件;
目录 1、项目概述 (3) 2、项目建设规划 (5) 2.1、建设原则 (5) 2.2、项目建设内容、思路及技术规划 (5) 2.3、技术架构和路线介绍 (7) 2.3.1、资源池化 (7) 2.3.2、智能化云管理 (8) 3、私有云总体建设方案 (9) 3.1、建设原则 (9) 3.2、总体设计方案 (10) 3.2.1、逻辑架构 (10) 3.2.2、网络架构(假设) (11) 3.3、云管理平台设计 (13) 3.3.1、云管理平台系统架构 (13) 3.3.2、云管理平台功能 (15) 3.3.3、云管理平台设计 (21) 3.4、虚拟化设计 (25) 3.4.1、服务器虚拟化 (25) 3.4.2、桌面虚拟化 (26) 3.5、安全设计 (30) 3.6、计算资源池设计 (32) 3.6.1、计算资源池技术路线 (32) 3.6.2、计算资源池设计 (34) 3.7、存储资源池设计 (34) 3.7.1、存储资源池技术路线 (34)
3.7.2、存储资源池 (36) 3.8、应用迁移及现有设备利旧 (36) 3.8.1、应用迁移 (37) 3.8.2、设备利旧 (38)
1、项目概述 云计算是一种IT资源的交付和使用模式,指通过网络(包括互联网Internet 和企业内部网Intranet)以按需、易扩展的方式获得所需的软件、应用平台、及基础设施等资源。云计算具有资源池化、弹性扩展、自助服务、按需付费、宽带接入等关键特征。 从部署和应用模式来讲,云计算分为公有云、私有云和混合云等。 云计算从服务模式上来讲主要包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等内容。 IaaS是Infrastructure-as-a-Service(基础设施即服务)的建成,云计算中心可使用IaaS的模式将其资源提供给客户,通过虚拟化技术,虚拟数据中心可以将相应的物理资源虚拟为多个虚拟的数据中心,从而在用户一端看到一个个独立的,完整的数据中心(虚拟的),这些虚拟数据中心可以由用户发起申请和维护,同时,这些虚拟数据中心还具有不同的资源占用级别,从而保证不同的用户具有不一样的资源使用优先级。 PaaS是Platform-as-a-Service(平台即服务)的简称,PaaS能给客户带来更灵活、更个性化的服务,这包括但不仅限于中间件作为服务、消息传递作为服务、集成作为服务、信息作为服务、连接性作为服务等。此处的服务主要是为了支持应用程序。这些应用程序可以运行在云中,并且可以运行在更加传统的企业数据中心中。为了实现云内所需的可扩展性,此处提供的不同服务经常被虚拟化。PaaS 厂商也吸引软件开发商在PaaS平台上开发、运行并销售在线软件。 SaaS是Software-as-a-Service(软件即服务)的简称,一种通过Internet提供软件的模式,厂商将应用软件统一部署在自己的服务器上,客户可以根据自己实际需求,通过互联网向厂商定购所需的应用软件服务,按定购的服务多少和时间长短向厂商支付费用,并通过互联网获得厂商提供的服务。 本次项目为的私有云项目,目标为搭建完成一个面向于内部使用的私有云环境,将各应用系统移植到该私有云上,实现资源的有效利用、动态分配、灵活扩展和统一管理。 本方案的写作目的为明确建设所需资源、实现步骤及最终呈现。本方案落地
云安全相关技术介绍 主要内容: ?从发展的脉络分析,“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类; ?介绍5大类24种云安全相关技术及其客户收益和使用建议,并从技术成熟度和市场成熟度两方面进行了评估; ?分析企业使用云服务的场景,指出了国内云安全技术和市场的现状和差异及其原因; 并对未来的发展进行了推测和预判; ?集中介绍云安全相关的各种法规、标准和认证 概述 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。 从发展的脉络分析,“云安全”相关的技术可以分两类:一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computing Security),一般都是新的产品品类;另一类源于传统的安全托管(hosting)服务,即以云服务方式提供安全(security provided from the cloud),也称安全即服务(Security-as-a-Service, SECaaS),通常都有对应的传统安全软件或设备产品。 云安全技术分类
“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分,即以云服务方式为使用云计算服务提供防护。 云计算安全 基于云计算的服务模式、部署模式和参与角色等三个维度,美国国家标准技术研究院(NIST)云计算安全工作组在2013年5月发布的《云计算安全参考架构(草案)》给出了云计算安全参考架构(NCC-SRA,NIST Cloud Computing Security Reference Architecture)。 NIST云计算安全参考架构的三个构成维度: ?云计算的三种服务模式:IaaS、PaaS、SaaS ?云计算的四种部署模式:公有、私有、混合、社区 ?云计算的五种角色:提供者、消费者、代理者、承运者、审计者 NIST云计算安全参考架构 作为云服务的使用者,企业需要关注的以下几个子项的安全:
An Oracle White Paper July 2012 Security in Private Database Clouds
Executive Summary (3) Commonly Accepted Security Practices and Philosophies (4) Principal of Least Privilege (4) Defense-in-Depth (4) Private Database Cloud Security Issues and Threats (5) Tenant Security in Private Database Clouds (7) Enforcing Security in a Private Database Cloud (8) Three A’s: Authentication, Authorization, and Auditing (9) Compliance Regulations and Oracle Security Products (10) Conclusion (12) For More Information (13)
Executive Summary As Cloud Computing has evolved and matured, it has sparked growing interest from the enterprise market where economic pressures are challenging traditional IT operations. Many companies and governments are being faced with growing IT costs that originate from multiple sources such as legacy systems, software licensing, power consumption, and operating overhead. These growing costs are exacerbated by the inefficiencies in traditional IT organizations such as project-based funding, underutilization of resources, lengthy manual provisioning times, and organizational silos. Cloud Computing is focused on addressing these issues by reducing costs through better standardization, higher utilization, greater agility, and faster responsiveness of IT services. However, a high-priority concern for many enterprises in embarking on a Private Cloud journey is security of the infrastructure itself and the information stored and processed by that infrastructure. Particularly for firms in domains with a high level of regulation and/or sensitive customer data, Cloud consolidation strategies and self service capabilities can pose significant challenges. Balancing rich mechanisms for identity and access management with convenience features such as single sign-on is a must for Cloud environments. Securing information and software assets in the Cloud can be problematic, especially in public Cloud environments where the systems are not directly controlled by the data owners. Private Cloud s reduce some of the risk because the environments are housed within an organization’s walls, although the issue then becomes one of securing the critical data from other departments or sub-organizations. Several deployment models are available for Private Database Clouds. This paper will be focused primarily on the security risks, mitigations and commonly accepted practices that apply to Database Consolidations in which multiple databases are consolidated on a single pool of resources, also known as a Cloud Pool. Please review the Private Database Cloud Overview for details on architecture and terminology.
2020年云安全行业分 析报告 2020年2月
目录 一、云计算发展加快,云安全需求提升 (4) 1、企业信息、业务上云趋势化,云计算市场空间大 (4) (1)中国企业上云步骤加快,但与发达国家差距明显 (4) (2)与全球相比,中国的云计算市场成长空间大 (5) 2、云计算应用范围广,政商数据安全需求高 (6) 3、云攻击形态多样化,云安全需求提升 (8) (1)在云成为趋势的情况下,攻击形态更加严峻 (8) (2)云生态环境下的攻击路径增加,云资源作为攻击源的比例高 (9) 二、多因素驱动,云安全前景广阔 (10) 1、多重政策利好,云安全迎来发展良机 (10) (1)随着互联网的广泛应用和信息技术的日益更新,随之而来的网络安全问题也日益严重 (10) (2)等保2.0加入云计算安全扩展要求,云计算安全规划化和标准化 (11) (3)云计算平台风险评估加快,云安全问题越来越受关注 (12) (4)行业标准确立,云安全迎来发展良机 (13) 2、公有云安全集中度持续提升 (13) 3、私有云安全,发展前景广阔 (15) 三、行业重点公司 (16) 1、启明星辰:网络安全龙头,云安全战略起航, (16) 2、绿盟科技:私有云安全持续发力,研发优势延续 (19) 3、安恒信息:云安全后起之秀 (20)
云计算发展加快,云安全需求提升。随着企业上云步骤加快、云计算产业的逐渐成熟、云计算应用领域的不断扩大和网络攻击形态的不断演变,我国政商对于云安全的需求将逐年上升。目前,云计算主要覆盖政务、金融、交通、电信等影响范围广、数据保密性要求高的行业,这些行业的数据具有私密性和广泛性的特点,一旦泄露,将会对国家经济金融安全和民生安全造成巨大的影响。据中商产业研究院的数据显示,2018年中国云安全市场规模达37.76亿元,增长45%。随着信息安全越来越受到重视,云安全市场将进一步扩大。预计2019年,中国云安全市场规模将达56.1亿元,增长近五成。到2021年,预计我国云安全市场规模将超100亿元。 政策利好加行业标准确立,云安全前景看好。随着互联网的广泛应用和信息技术的日益更新,随之而来的网络安全问题也日益严重。在一系列网络安全事件之后,我国对网络安全的重视迅速提升,相应的,政府出台多项政策鼓励云安全的发展。等保2.0的出台和云计算服务安全评估办法的颁布将为云安全的发展提供政策支持,将网络安全上升到国家安全的战略高度,使网络安全成为国家安全观的重要组成部分。这意味着企业需要在此基础之上更好地进行网络安全合规建设,网络安全行业需求将在未来迎来爆发。同时,国内外行业标准的确立将给云安全领域和行业的规范发展提供可行的办法。 公有云安全集中度提升,私有云安全大有可为。随着阿里云、腾讯云、中国电信等云服务商占据头部市场并不断扩大份额,我国公有云市场的头部效应将会更加显著,进而更加激发众多大型公司都在努