導語：如何才能寫好一篇云計算安全防護技術，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

 

一、前言

 

云計算的出現(xiàn)改變了傳統(tǒng)電信運營商的發(fā)展模式，使電信企業(yè)實現(xiàn)了精細化管理，尤其是云計算資源集中成為了可能，便于計算信息服務，不僅降低了成本與能源消耗，還促進了企業(yè)進一步發(fā)展。但依然需要重視與計算資源池數(shù)據(jù)安全防護，并聯(lián)系實際提出信息安全保障技術，只有這樣才能促進企業(yè)又好又快發(fā)展。

 

二、云計算含義

 

云計算概念最早出現(xiàn)于2006年，其定義與內涵一直是IT界討論重點，由于認識與理解不同，導致云計算含義始終沒有明確定義?，F(xiàn)階段，美國相關部門對云計算框架模型進行了描述，并概括云計算的特征。

 

云計算特點有以下幾點：第一，網(wǎng)絡接入廣泛，即通過云計算實現(xiàn)網(wǎng)絡供應，并涉及大量客戶端;第二，資源池，它以物理資源為基礎，在虛擬化的作用下，逐漸映射成為具有虛擬化、模塊功能化以及多用戶服務的資源池，并按照系統(tǒng)要求為客戶提供服務;第三，快速彈性計算，這一特征要求系統(tǒng)規(guī)模與計算資源一定聯(lián)系用戶需要實際進行調整;第四，按需自服務，它要求云計算服務是不需要人工參與就能進行的服務，以自助服務為主，如開通服務、更換配置、繳費等;第五，服務檢測，它要求運服務是可以進行檢測的，同時也制定了明確的收費標準與政策，所有服務都是透明的，便于服務者與用戶查詢[1]。

 

三、云計算資源池概述

 

云計算資源池就是將服務器物理資源轉化為邏輯資源，使得一臺服務器可以轉化為幾臺甚至幾百臺相互隔離的虛擬服務器，不僅可以提升資源利用率，還可以使系統(tǒng)管理更加簡化，便于服務器資源整合，同時也可以使IT界更好的應對業(yè)務變化。要利用云計算，就要構建大容量資源池，確保在業(yè)務高峰期能夠滿足用戶各種要求，為用戶提供優(yōu)質服務。

 

四、云計算資源池數(shù)據(jù)的安全防護與保障技術分析

 

4.1軟件安全防護措施與保障技術

 

云計算資源池平臺中的各個虛擬終端都需要通過虛擬主機虛擬層與外部進行交互與聯(lián)系，一旦虛擬層出現(xiàn)漏洞或被入侵，就會導致虛擬環(huán)境發(fā)生風險，因此，強化虛擬層安全異常重要。云計算資源池管理服務器屬于虛擬化平臺基礎架構組成部分，用于虛擬主機、網(wǎng)絡與各系統(tǒng)的統(tǒng)一控制與管理，這就需要聯(lián)系實際情況做好虛擬服務器入侵檢測工作，并建立起良好安全控制系統(tǒng)與防護功能，這也是確保虛擬架構安全加固的必要方式。在資源池中應用安全防護軟件，主要是為給資源管理服務器提供入虛擬入侵檢測策略，強化入侵防護能力。對于IDS入侵檢測來說，因包括以下幾點策略：首先，對重點虛擬化文件訪問進行監(jiān)控，同時也要對監(jiān)控虛擬化軟件關鍵命令與工具執(zhí)行;其次，了解虛擬化軟件關鍵配置變化情況，且實時關注虛擬機標準網(wǎng)絡接口與各關鍵部分的工作情況，制定出較為簡單的虛擬軟件動作監(jiān)控日志;再者，重視虛擬化管理服務器上的成功與失敗訪問，確定執(zhí)行命令，并做好虛擬管理服務器關鍵事件通用與審計工作;最后，確保虛擬管理服務器主機始終保持完整，了解主機配置變化[2]。IPS入侵安全防護則要關注以下幾點策略：第一，重視Windows安全防護，加強對管理服務器應用組件的保護，確定基本架構組件與應用程序文件，更要重視敏感數(shù)據(jù)目錄的構建;第二，控制管理服務器網(wǎng)絡訪問權限，增加可信應用程序，對需要訪問的管理服務器訪問工具加以保護;第三，調整好Windows基線，了解用戶與用戶組的變化情況，一旦發(fā)生登錄失敗，就要檢點配置文件等是否被篡改;第四，檢查文件是否完整，若不完整就要通過管理平臺調整檢查策略，實時了解平臺中各種文件的變更與配置情況，同時也要監(jiān)控管理平臺日志，尤其要重視Web交互日志[3]。

 

4.2核心業(yè)務主機安全防護與保障技術

 

不管是物理服務器還是虛擬化服務器，都會遇到相同的安全防護問題，主要有網(wǎng)絡是否被入侵，是否遭到病毒攻擊，是否存在漏洞或數(shù)據(jù)被盜等情況。資源池安全管理平臺需要為物理機與虛擬化服務器提供全套安全防護體系，強化系統(tǒng)入侵，不斷增強虛擬服務器系統(tǒng)的安全性，確保數(shù)據(jù)安全，所以，核心業(yè)務主機的安全防護與保障措施需要從以下幾方面入手：第一，做到零日攻擊，為實現(xiàn)這一目標可以利用沙盒技術與白名單技術來完成，可以有效減少惡意程序借助零日漏洞攻擊重點業(yè)務服務器，同時也能有效防止惡意程序的傳播。第二，加強對細粒度系統(tǒng)的訪問與控制，通過鎖定操作系統(tǒng)程序等，對各個操作系統(tǒng)與應用程序進行控制，并為其創(chuàng)建以行為虛擬Shell為基礎，用于監(jiān)控內核系統(tǒng)調用情況的策略，且通過設計訪問控制列表，監(jiān)控與訪問程序，能夠識別與核對用戶身份與權限，明確可以訪問的網(wǎng)址與訪問時間、權限[4]。第三，確保文件等完整，主要是重視物理主機與虛擬主機的完整性，保證兩者中的文件無論怎樣變動都不會發(fā)生實時性改變;第四，收集與制定適用于物理與虛擬服務器使用的機制，并將其直接呈現(xiàn)在控制臺上，聯(lián)系手機應用程序確定策略控制與白名單;第五，重視系統(tǒng)與用戶監(jiān)控審計，不僅要監(jiān)控用戶登錄核心進程，還要通過這種方式攔截用戶登錄過程，利用主機用戶進行行為審計等;第六，構建高性能防火墻，強化防火墻性能，監(jiān)控TCP/UDP實時流量，加大對緩沖區(qū)的防護，做好進程訪問控制，重視各進程啟動保護。此外，還要關注物理服務器與虛擬服務器系統(tǒng)的監(jiān)控與審計，強化系統(tǒng)入侵防護，真正做好檢測工作。

 

4.3運維管理的安全防護與保障技術

 

云計算資源池管理特性較為特殊，管理員權限較大，如果人員變化將直接影響業(yè)務安全。為保證運維安全，實時驗證用戶信息就要構建合適的云計算資源池堡壘機制，記錄與保存操作過程?？梢詮囊韵聨追矫嫒胧郑菏紫?，為云計算資源池供應細粒度訪問控制，減少虛擬化平臺的特權訪問，重視用戶訪問虛擬資產(chǎn)管理;其次，做好自動定期系統(tǒng)配置與安全設置評估工作，準確記錄成功操作與失敗操作，以便為數(shù)據(jù)審計提供可靠依據(jù)，同時，重視命令級別的訪問控制，區(qū)分管理權限，確定虛擬機訪問對象;再者，重視賬號集成管理，及時回收現(xiàn)有資源池管理員權限，無論是哪一用戶都要經(jīng)過運維管理軟件認證以后才可以管理虛擬平臺;最后，根據(jù)虛擬機的不同進行區(qū)分授權，通過多方認證以后才能使用服務器，這也是保證其身份合法的重要舉措[5]。

 

結論：通過以上研究了解到，云計算資源池數(shù)據(jù)的安全防護與保障以及成為電信企業(yè)重點關注內容，不僅可以確保云計算安全，還可以完善云計算資源池平臺，有效減少存在云計算中的安全問題，使其更具安全性，因此，本文聯(lián)系實際實際情況，提出了一些構建安全防護的有效措施，希望能為相關人士帶來參考。

篇2

關鍵詞：云計算；安全；防護策略

中圖分類號：TP393.08

在科學技術飛速發(fā)展，信息技術廣泛應用的當代，云計算充分體現(xiàn)了“網(wǎng)絡就是計算機”的思想，是IT領域開始向集約化、專業(yè)化以及規(guī)模化的方向發(fā)展的標志，也是IT領域的一次重大變革。然而現(xiàn)階段云計算的發(fā)展還存在著很多亟待解決的問題，尤其是云安全問題逐漸蔓延，成為制約云計算發(fā)展的重要因素。并且隨著云計算的不斷普及應用，其安全問題越來越不容忽視[1]。如2009年，谷歌發(fā)生大批用戶文件外泄的事件。為此，許多企業(yè)組織和標準化組織都開始對云計算的安全問題進行深入的研究，云安全成為云計算產(chǎn)品開發(fā)的焦點問題。

1 云計算的概念

云計算是通過互聯(lián)網(wǎng)提供虛擬化資源的一種計算方式，它是由基礎設施服務、平臺服務還有它所依賴的互聯(lián)網(wǎng)技術構成的。云計算具有用戶計算分布性、服務面向廣泛性、設備成本低廉性等特點[2]。云計算是服務方式的改變，能夠使人們不用關心云的位置和實現(xiàn)途徑，隨時隨地享受互聯(lián)網(wǎng)提供的服務。

2 云計算安全的現(xiàn)狀

云安全的概念最早是是在國外產(chǎn)生的，后來由我國的瑞星提出了云安全計劃。為了保證云計算產(chǎn)業(yè)的持續(xù)、健康發(fā)展，我國逐漸加強云計算信息安全的研究。現(xiàn)在云計算作為IT行業(yè)的革命代表，已經(jīng)成為IT行業(yè)未來發(fā)展的目標和方向，世界各國都把云計算看成是信息軟件產(chǎn)業(yè)發(fā)展的新機遇。但是，我們也要看到，云計算自身帶有的安全風險使其未來的發(fā)展、進步面臨不少困難。云安全中的數(shù)據(jù)保護技術、終端防護技術，還有一些虛擬環(huán)境中的風險管理等方面都是云安全制約云計算發(fā)展的主要問題，尤其是終端用戶信息的安全管理是云安全面臨的最大的挑戰(zhàn)之一。與云計算的發(fā)展相比較來說，云安全的發(fā)展還處于初級階段，與之相關的標準也都還沒有形成。因此，進行云安全的研究，不僅對云計算的發(fā)展，還對整個信息技術產(chǎn)業(yè)的發(fā)展都有很大的促進空間。目前一些信息服務廠家已經(jīng)開始嘗試著在云安全系統(tǒng)方面做出一些改進，只是由于每個廠家的經(jīng)營內容以及對云安全的理解觀念的差異，導致云安全的研究、開發(fā)工作處于混亂無序的狀態(tài)[3]。

3 云計算的安全隱患

云計算面臨的安全威脅主要是云的安全風險和云中數(shù)據(jù)的安全風險兩個方面的問題。

云的安全風險主要是指云自身設備中存在的不安全的接口或者API，導致云系統(tǒng)更容易受到病毒感染以及黑客的攻擊；一些云應用供應商對用戶的注冊管理松散，為不良分子注冊成功并對云服務進行破壞埋下了隱患。用戶在云計算系統(tǒng)中進行數(shù)據(jù)存儲，云服務供應商與用戶之間在云計算的模式中建立起一種相互信任的關系。當用戶把數(shù)據(jù)交給云服務供應商之后，供應商應該確保數(shù)據(jù)的保密性、完整性和可控制性。云計算采用的虛擬化的數(shù)據(jù)處理，數(shù)據(jù)的無邊界性和流動性使其管理存在安全漏洞，加密會降低數(shù)據(jù)的利用率，再加上一些供應商對供應鏈的管理不嚴格，合同不規(guī)范以及服務商破產(chǎn)、被其他企業(yè)或個人收購等問題，使云中數(shù)據(jù)存在一定的安全風險[4]。

4 云計算中的安全防護策略

云計算雖然改變了服務方式，但是依然采用傳統(tǒng)的互聯(lián)網(wǎng)安全模式，因此云計算的安全防護策略與傳統(tǒng)互聯(lián)網(wǎng)安全防護在一定程度上有異曲同工之處。隨著云安全防護技術的發(fā)展，云安全的內涵也在不斷的發(fā)展變化，各種新技術都在不斷的被嘗試融入到加強云安全的應用中去[5]。在這種形式下，云安全防護技術在不斷的得到進步和完善，其中新一代云安全2.0以其在信譽保障、終端安全管理、威脅發(fā)現(xiàn)管理等方面的絕對優(yōu)勢，受到了各大云服務供應商的青睞。

4.1 加強云客戶端的信譽

面對著越來越多的網(wǎng)絡安全威脅因素，用戶單純的通過更新病毒代碼等傳統(tǒng)方法已經(jīng)不能對網(wǎng)絡威脅進行有效的防御。最新研發(fā)的云安全2.0技術中的信譽技術方面將郵件信譽技術、文件信譽技術和互聯(lián)網(wǎng)信譽技術集合了起來，能夠對網(wǎng)絡中的信息進行合理的信譽評估。云安全2.0對高效的客戶端智能過濾還有威脅防護存儲信息進行充分利用，提高了在威脅侵害之前的防御功用。

4.2 加強終端安全管理

企業(yè)的終端安全市場在整體上的發(fā)展速度非常快，導致終端產(chǎn)品的特征變得很復雜。企業(yè)的終端安全管理面臨著極其嚴峻的挑戰(zhàn)。新研發(fā)的云安全技術引入了一種新的協(xié)議，系統(tǒng)不需要與掃描引擎共處，而是將文件信息的檢查任務轉移給中央服務器，這進一步提升了云端與終端的維護效率。同時，新技術在云端就能夠將大部分針對服務器的威脅解除，從而節(jié)省了大量的勞動力。

4.3 加強威脅發(fā)現(xiàn)管理

新云安全技術首先對網(wǎng)絡內部的安全威脅進行檢測，并對其進行關聯(lián)性分析，識別惡意行為，充分利用新系統(tǒng)中的先進技術對威脅進行分析和追蹤，反饋到云端的安全中心，以及時獲得防御支持。

4.4 加強運營商的管理

云計算是在社會對信息化技術的需求中發(fā)展壯大起來的，運營商在對傳統(tǒng)互聯(lián)網(wǎng)的服務進行改革的過程中也面臨著一些無法忽視的挑戰(zhàn)。如何在進行業(yè)務轉型中贏取用戶優(yōu)勢、運營優(yōu)勢、品牌優(yōu)勢、規(guī)模優(yōu)勢以及政策優(yōu)勢等，是運營商需要慎重考慮的問題。運營商可以采取一下措施加強云安全防護：通過可信算法建立云構架，加強安全認證，同時從多方面、采用多種方式防治用戶的信息外漏；充分發(fā)揮數(shù)據(jù)加密、身份認證、安全儲存等綜合安全防護手段，解決云計算的虛擬化安全，保障云計算的可用性和用戶信息的安全性，構建面向客戶的安全防御體系；采用分級控制和流程化管理的方式，加強對云系統(tǒng)運營的管理技術，健全企業(yè)內部機制，對員工行為進行規(guī)范；根據(jù)自身的發(fā)展特點，建立適合自身發(fā)展特色的云安全服務體系，穩(wěn)步進行云計算安全的發(fā)展，同時也要加強與合作伙伴之間的云安全方面的合作關系。

5 總結語

在社會發(fā)展的推動下，云計算的優(yōu)勢發(fā)展勢不可擋，但是我們也要加強其安全性和可信性的管理。云安全是新推出的概念，再加上互聯(lián)網(wǎng)威脅的動態(tài)變化性，因此云安全防護技術需要我們投入更多的人力和物力，以促進其開發(fā)和完善。作為云服務運營商，也要時刻關注云計的發(fā)展態(tài)勢，推動云計算安全的進步。

參考文獻：

[1]黨衛(wèi)紅.云計算的安全防護策略分析與研究[J].讀與寫（教育教學刊），2010（05）：69-70.

[2]范偉.云計算及其安全問題探討[J].保密科學技術，2011（10）：51-51.

[3]姚小兵，高媛.淺談網(wǎng)絡時代的云安全技術[J].硅谷，2010（05）：37-38.

[4]洪亮.云計算時代安全問題淺析[J].無線互聯(lián)科技，2011（05）：15-16.

[5]劉波.云計算的安全風險評估及其應對措施探討[J].移動通信，2011（09）：87-87.

篇3

關鍵詞：虛擬化環(huán)境；安全防護

中圖分類號：TP393.08

1 研究背景

隨著虛擬化技術不斷成熟及普及，各行業(yè)掀起了數(shù)據(jù)中心虛擬化改造的熱潮。虛擬化技術給數(shù)據(jù)中心的運營帶來了很大的改變，IT部門無需再因為新業(yè)務的上線而考慮購置新的設備、計算電力及冷卻系統(tǒng)是否能夠承載新業(yè)務的上線，僅僅只需要從虛擬計算池中劃出適合的計算資源構建虛擬服務器即可將新業(yè)務上線，提高數(shù)據(jù)中心計算資源的使用率。虛擬服務器通過與虛擬計算平臺中的虛擬交換網(wǎng)絡進行連接從而達到他們之間的數(shù)據(jù)交換的目的，由于數(shù)據(jù)始終在虛擬計算平臺中交互使得數(shù)據(jù)中心的區(qū)域邊界變得越發(fā)模糊，同時外部物理安全設備無法對數(shù)據(jù)進行檢測分析，導致無法對數(shù)據(jù)的流向以及內容進行有效的控制，由此帶來了數(shù)據(jù)的不可視、不可控等問題，另外虛擬服務器的故障遷移的隨機性使得物理安全設備的策略調整帶來非常大的挑戰(zhàn)。因此，對于解決虛擬計算環(huán)境的邊界安全問題，傳統(tǒng)網(wǎng)關技術早已束手無策，而此時更需要依靠下一代網(wǎng)關相關技術來提供一套體系化的邊界安全解決方案。

2 數(shù)據(jù)中心虛擬化安全需求

在利用現(xiàn)有成熟安全防護技術解決好當前信息安全存在的普遍性安全威脅后，現(xiàn)階段虛擬化環(huán)境下的安全防護重點主要考慮虛擬機與虛擬機和虛擬機與客戶端之間交互流量安全問題。分析虛擬環(huán)境下流量的流向，對于虛擬化環(huán)境下流量的可視化和管控有重要意義，目前對于虛擬機的數(shù)據(jù)流向可以分為2類：縱向流量和橫向流量。

3 虛擬化環(huán)境下縱向流量分析

目前多數(shù)數(shù)據(jù)中心的虛擬化建設都處于單中心虛擬環(huán)境階段，通過引入虛擬化技術建立虛擬計算池，逐步將應用系統(tǒng)遷移至虛擬化平臺上，這個階段初期典型特征就是實體服務器及虛擬服務器共存，先將非重要業(yè)務遷移到虛擬平臺上，重要業(yè)務系統(tǒng)仍部署于實體服務器上，如下圖所示：

圖1

初期階段虛擬化平臺搭建主要是客戶端去訪問虛擬環(huán)境下的虛擬機。這個階段虛擬化環(huán)境下網(wǎng)絡的流量以縱向為主，縱向流量主要是外部客戶端到虛擬機的訪問請求，以及在同一臺宿主機上的不同虛擬機通過物理接入交換機和客戶端進行的數(shù)據(jù)交互。業(yè)務服務器通過物理交換機到達安全設備進行過濾，針對虛擬服務器的訪問大多需要通過接入層交換機及安全設備，這種模式下的安全防護仍以傳統(tǒng)的安全防護方式為主，與傳統(tǒng)的數(shù)據(jù)中心的安全防護相比沒有本質區(qū)別，可以在業(yè)務服務器區(qū)域邊界部署邊界網(wǎng)關類安全產(chǎn)品，同時在數(shù)據(jù)交互的物理交換機部署網(wǎng)絡審計系統(tǒng)或入侵檢測系統(tǒng)，對虛擬化環(huán)境下的虛擬機做安全防護和審計及病毒檢測。

4 虛擬化環(huán)境下橫向流量分析

完成基礎虛擬化平臺搭建后，企業(yè)大部分業(yè)務都遷移到虛擬平臺上，由于業(yè)務種類的不同，需要在虛擬平臺內劃分安全域，如下圖所示：

圖2

虛擬平臺承載業(yè)務的增加以及安全域劃分后，同一層次上不同安全域和同一安全域的虛擬機之間的互訪增多，這時網(wǎng)絡的流量以橫向為主。橫向流量安全問題是指在虛擬環(huán)境下，虛擬機之間互訪流量不可視、不可控所產(chǎn)生的特定問題。在同一臺宿主機上的不同虛擬機之間交互，所產(chǎn)生的網(wǎng)絡流量，不通過物理接入交換機，導致傳統(tǒng)網(wǎng)絡安全設備無法對同宿主機上的不同虛擬機之間交互流量進行監(jiān)控，同時無法對虛擬機與虛擬機之間做安全隔離。一旦同宿主機上的一臺虛擬機被黑客入侵取得控制權限，就可以對同宿主機上的其他虛擬機發(fā)起攻擊，由于同宿主機上的不同虛擬機沒有任何安全防護措施，且無法對流量進行監(jiān)控，黑客很容易在用戶不知情情況下獲得整個服務器群的控制權。從安全防護角度看需要能夠識別橫向流量，判斷是否符合相關安全策略，且應該能夠判斷出數(shù)據(jù)流是否具有攻擊特征。

5 虛擬化環(huán)境安全防護

虛擬環(huán)境下將各種應用均遷移到虛擬計算環(huán)境中，出于各種安全需求虛擬計算環(huán)境中仍需按照原有架構進行安全域的劃分，按照相關安全標準域內及域間的網(wǎng)絡流量需要做到可控、可視及可記錄，從技術思路與網(wǎng)絡防護上主要有以下兩種方式：

一種方式是將物理安全網(wǎng)關移植到虛擬平臺上，以虛擬安全網(wǎng)關形式接入虛擬計算平臺的vSwitch上，接著通過在虛擬平臺引入安全接入引擎將所有虛擬系統(tǒng)數(shù)據(jù)導入虛擬安全網(wǎng)關上進行控制及過濾后再發(fā)往相應的目的虛擬系統(tǒng)，主要是配合IEEE 802.1Qbg和802.1BR等標準協(xié)議，首先將數(shù)據(jù)轉發(fā)到外部網(wǎng)絡接口上去，如果服務器內部同一vlan內的VM間通信，數(shù)據(jù)也需要先轉發(fā)出去，再從網(wǎng)絡轉發(fā)回服務器內尋找對應的目的VM，從而達到虛擬系統(tǒng)間數(shù)據(jù)交互的可視、可控及可審計的目的。此方案對數(shù)據(jù)中心網(wǎng)絡的改動較小，能夠很好的滿足數(shù)據(jù)中心改造的需求，但其虛擬安全網(wǎng)關也存在需要占用物理服務器計算資源的問題，所以對物理服務器的性能有很高的要求。

另外一種方式是將虛擬系統(tǒng)的數(shù)據(jù)交換仍然交由物理網(wǎng)絡設備執(zhí)行，安全控制及過濾則由物理安全設備負責，所以這種方式就需要在數(shù)據(jù)中心中加入一臺物理交換機，這臺交換機需要給每個虛擬系統(tǒng)流量打個全局唯一的標簽，虛擬平臺外部物理設備應能夠識別這種標簽，并能夠以虛擬系統(tǒng)為單位執(zhí)行安全過濾及交互。虛擬機之間的流量都牽引到物理接入交換機上，但由于物理服務器內部交互流量兩次通過物理網(wǎng)卡與物理接入交換機之間的鏈路，部署時需要保證擁有足夠的網(wǎng)絡帶寬余量，所以要求加入數(shù)據(jù)中心的這臺物理交換機要有足夠的轉發(fā)性能，這種方案要求網(wǎng)絡基礎設備及安全設備需要支持和識別這類標簽，因這種方案需要對物理設備進行升級改造，故而這種方案并不適用于已在用數(shù)據(jù)中心的改造。

6 展望

未來云平臺虛擬化的技術將向多中心虛擬環(huán)境和數(shù)據(jù)中心云平臺為用戶提供按需服務（IaaS、PaaS、SaaS）發(fā)展，在云平臺發(fā)展的三個階段虛擬平臺內部的數(shù)據(jù)交互有著不同的需要，對安全系統(tǒng)的建設也有不同的要求，本文通過對云平臺上現(xiàn)階段虛擬環(huán)境下存在橫向流量和縱向流量進行了分析，提出了安全防護需求和安全防護建設的建議，確保傳統(tǒng)IT基礎架構向虛擬化、云計算架構的平滑遷移。

參考文獻：

[1]云計算關鍵領域安全指南[Z].Cloud Security Alliance，2009.

[2]信息安全技術 信息系統(tǒng)安全等級保護基本要求[Z].

篇4

關鍵詞：云計算；安全防護

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-7712 （2013） 20-0000-01

隨著“云計算”時代的到來，用戶通過“云”（網(wǎng)絡）解決大規(guī)模數(shù)據(jù)存儲及高難度數(shù)據(jù)處理問題，可以變得更快速、高效、低成本。伴隨云計算不斷市場化，云計算的虛擬化技術將改變用戶傳統(tǒng)的工作方式及使用習慣，提高工作效益，但是，虛擬化技術也使得數(shù)據(jù)存儲變得不確定性?！霸啤敝械挠脩魯?shù)據(jù)及應用服務安全防護，成為當前制約云計算快速發(fā)展的主要問題。

一、云計算及其特點

云計算是一種IT資源的交付和使用模式，是指用戶可以通過網(wǎng)絡按需訪問可配置資源，包括網(wǎng)絡、服務器、存儲、應用等，這些資源能夠快速部署，并易于管理和配置。

（1）云計算的核心思想。云計算的核心思想，就是不斷提高云計算的數(shù)據(jù)存儲及計算能力，讓“云”替代用戶終端去做數(shù)據(jù)存儲及處理工作，降低用戶終端處理負擔，提高資源使用效益。未來云計算將形成一個以云基礎設施為核心、涵蓋云基礎軟件與平臺服務、云應用服務等多個層次的巨型全球化IT服務網(wǎng)絡。各個層次的服務之間既彼此獨立又相互依存，形成一個動態(tài)穩(wěn)定結構。越靠近體系核心的服務，其在整個服務體系中的權重也就越大。因此，未來誰掌握了云計算的核心技術主動權以及核心云服務的控制權，誰就將在信息技術領域全球化競爭格局中處于優(yōu)勢地位。（2）云計算的特點。一是云計算的工作方式，管理快捷，使用高效。云計算采用虛擬化技術，用戶只需通過終端連接云計算平臺，就可以將龐大的資源存儲在“云”中，而無需知道資源存儲在何處。需要使用資源時，只要向“云”提交用戶申請即可返回結果。通過虛擬化技術，用戶就解決了技術實現(xiàn)、終端硬件配置等問題，降低了資源存儲及應用服務的成本。二是云計算的應用服務性價比高。通過分布式計算、集群應用等方式，“云”可以突破資源的限制，將網(wǎng)絡中近乎無限量的閑置計算機資源集中起來使用，從而使用戶終端僅作為一個輸入輸出設備，成本更加低廉。即用戶可用極低的成本，獲取“云”提供的更快更好的應用服務能力。

二、云計算環(huán)境存在的安全風險

作為以計算機為核心的服務平臺，云計算在建設過程面臨各層次的安全風險，諸如物理機房的安全、網(wǎng)絡的安全、應用系統(tǒng)的安全、數(shù)據(jù)存儲的安全、管理平臺的安全等。主要包括以下幾個方面：（1）用戶數(shù)據(jù)泄露或丟失。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時，用戶本身對于自身數(shù)據(jù)在云中的安全風險并沒有實際的控制能力，數(shù)據(jù)安全完全依賴于云計算數(shù)據(jù)中心。如果云計算數(shù)據(jù)中心本身對于數(shù)據(jù)安全的控制存在疏漏，則很可能導致數(shù)據(jù)泄露或丟失。現(xiàn)階段可能導致安全風險的有以下幾種典型情況：一是服務器的安全漏洞導致黑客入侵造成的用戶數(shù)據(jù)丟失；二是虛擬化軟件的安全漏洞造成的用戶數(shù)據(jù)被入侵的風險；三是數(shù)據(jù)在傳輸過程中沒有進行加密導致信息泄露；四是加密數(shù)據(jù)傳輸?shù)荑€管理存在缺失導致數(shù)據(jù)泄露；五是不同用戶之間的數(shù)據(jù)傳輸沒有進行有效隔離導致數(shù)據(jù)被竊?。涣怯脩魯?shù)據(jù)在云中存儲沒有進行容災備份而造成丟失等。（2）用戶應用不能安全支付。在云計算服務運行過程中，需要對整個云計算中心的服務器存儲網(wǎng)絡等資源進行運維管理。任何運維管理環(huán)節(jié)的問題，都可能對用戶的應用造成損害。比如，由于配置方面的疏忽，造成用戶的虛擬化計算資源不足以正常運行業(yè)務系統(tǒng)；由于網(wǎng)絡安全的配置錯誤，導致互聯(lián)網(wǎng)連接不通；由于服務商對公共安全風險，如分布式拒絕服務攻擊防護不足，導致用戶對外的業(yè)務交付出現(xiàn)故障等。（3）內部人員數(shù)據(jù)竊取。用戶的核心數(shù)據(jù)在云計算環(huán)境中的存儲，離不開管理員的操作和審核，如果云計算中心內部的管理出現(xiàn)疏漏，內部人員私自竊取用戶數(shù)據(jù)，則會對用戶的利益造成嚴重損害。為避免這種情況發(fā)生，除了通過技術的手段加強數(shù)據(jù)操作的日志審計之外，嚴格和管理制度和不定期的安全檢查十分必要。（4）用戶身份認證缺陷。云計算服務在對外提供服務的過程中，需要同時應對多用戶的運行環(huán)境，保證不同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應用程序和存儲資源。在這種情況下，運營商必須對引入嚴格和身份認證機制，讓不同云計算用戶擁有各自的賬號密碼管理機制。如果云計算服務和身份認證管理機制存在缺陷，或者身份認證管理系統(tǒng)存在安全漏洞，則可能導致用戶的賬號密碼被仿冒，從而使得“非法”用戶堂而皇之地對數(shù)據(jù)進行竊取。

三、云計算的安全防護體系及關鍵技術

云計算的安全防護體系的構建，應該包括：通過可信支撐組件保護系統(tǒng)的安全運行，并為訪問控制和審計組件提供支撐；強制訪問控制組件保護用戶數(shù)據(jù)安全；通過審計組件為云服務提供安全監(jiān)督機制。

（1）可信計算技術?？尚庞嬎慵夹g，是指通過硬件的支持，引入可信計算芯片，實現(xiàn)系統(tǒng)行為的可預期和可驗證。即在用戶終端建立一個信任根，以此信任根為基礎，建立從硬件到應用服務、網(wǎng)絡的整個信任鏈，從而實現(xiàn)平臺的自我防護。當前，云計算安全防護的一個關鍵突破點就是將可信計算與云計算結合起來。在“云”中建立信任根，通過基于信任鏈的可信度量技術和基于可信鏈的可信報告技術，建立可信云，提高云計算的安全防護系數(shù)。（2）訪問控制技術。訪問控制技術，是指系統(tǒng)通過對用戶身份及其所屬的預先定義的策略組，限制其使用數(shù)據(jù)資源能力。訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數(shù)據(jù)資源在合法范圍內得以有效使用和管理，阻止不良事件的發(fā)生、探測已經(jīng)發(fā)生的不良事件、糾正已經(jīng)發(fā)生的不良事件以及管理系統(tǒng)的開發(fā)、維護和使用等?；谏矸莸脑L問控制安全策略，可以過濾主體對數(shù)據(jù)或資源的訪問，只有通過認證的主體才可以正常使用客體的資源。用戶將數(shù)據(jù)存儲在云端后，數(shù)據(jù)的優(yōu)先訪問控制權必須發(fā)生改變，用戶的身份應高于服務商，對于用戶的重要數(shù)據(jù)更應限制其他用戶甚至服務商訪問。對于網(wǎng)絡的權限控制，云計算應對普通用戶、特殊用戶、系統(tǒng)管理員及審計用戶的不同身份進行區(qū)別對待，進行實時的身份監(jiān)控、權限認證和證書檢查，阻止網(wǎng)絡非法操作。

參考文獻：

[1]薄明霞.淺談云計算的安全隱患及防護策略[J].信息安全與技術，2011，9.

篇5

>> 基于移動智能終端安全威脅與防護技術的研究 網(wǎng)絡信息安全的威脅與防范技術研究 智能終端安全威脅及應對措施 基于可信計算的移動智能終端安全技術研究 高校網(wǎng)絡安全與防護技術研究 Web應用其安全威脅與防護技術探討 基于AndroidWear的智能設備數(shù)據(jù)安全防護技術研究 網(wǎng)絡安全威脅態(tài)勢評估與分析技術研究 電網(wǎng)企業(yè)網(wǎng)絡信息安全的威脅與攻防新技術研究 移動智能終端Web應用平臺開發(fā)技術研究 對智能終端發(fā)展關鍵技術研究 電力企業(yè)辦公終端信息安全技術研究 移動終端中的通信安全技術研究 網(wǎng)站安全的威脅與防護 對煤礦供電設備的安全防護與電氣保護技術研究 計算機網(wǎng)絡安全與防護技術研究 論計算機網(wǎng)絡系統(tǒng)安全與防護技術研究 營銷服務手機應用平臺安全防護技術研究與應用 Web攻擊及安全防護技術研究 終端防護與云安全結合 常見問題解答 當前所在位置：l.

[5] Apple Inc. iOS Reference Library, Security Overview[EB/OL]. (2012-12-13). #//apple_ref/doc/uid/TP30000976-CH201-TPXREF101.

作者簡介

篇6

【關鍵詞】企業(yè)云 安全 防護 攻擊

1 企業(yè)云安全面臨的威脅

一個存儲海量企業(yè)用戶數(shù)據(jù)的云存儲系統(tǒng)，存在著巨大的非法攻擊誘惑，一旦攻擊者通過某種手段攻擊企業(yè)云數(shù)據(jù)系統(tǒng)，將帶來不可估量的經(jīng)濟損失。目前，企業(yè)云安全所存在著普遍性的安全威脅主要包括以下幾個方面：

1.1 數(shù)據(jù)丟失和泄露

數(shù)據(jù)安全是企業(yè)用戶關注的重點問題，由于數(shù)據(jù)泄漏會給企業(yè)帶來巨額損失，因此，一般會采取相應措施來保證數(shù)據(jù)的安全性。目前對于企業(yè)云數(shù)據(jù)，一方面攻擊者會通過木馬程序或其他惡意程序來控制客戶端，進而獲取和竄改企業(yè)數(shù)據(jù)。另一方面，因為云服務供應商隔離措施或安全策略的不當，也有可能導致數(shù)據(jù)丟失或信息篡改。

1.2 網(wǎng)絡攻擊

在云環(huán)境中，應用程序基本上是在網(wǎng)絡上進行的，這就間接催生了網(wǎng)絡攻擊頻繁性和危害性，網(wǎng)絡攻擊主要有以下兩種類型。第一種是賬戶劫持。在云環(huán)境中，攻擊者利用釣魚網(wǎng)站或軟件漏洞來攻擊企業(yè)用戶，進而獲取用戶賬號及密碼信息，這樣就可以使用被竊取的賬號密碼登陸云計算系統(tǒng)，竊取或竄改企業(yè)用戶云中的各類機密性數(shù)據(jù)，給企業(yè)帶來巨大的損失。第二種是拒絕服務攻擊。通過應用層DDOS攻擊等方式阻止企業(yè)用戶對云服務的正常訪問，這樣就會導致正常操作浪費大量的系統(tǒng)資源，如內存、硬盤空間和網(wǎng)絡帶寬等，降低云計算服務器的反應速度，也使企業(yè)用戶由于資源的大量消耗而蒙受經(jīng)濟損失。這種攻擊能夠實現(xiàn)很大程度上是由于企業(yè)用戶數(shù)據(jù)中心沒有做好針對性的安全防范措施。

1.3 技術漏洞

由于云技術發(fā)展歷程較短，其共享的平臺組件及應用程序還存在著一些安全漏洞，這比其它安全問題更為危險和致命，嚴重情況下會導致整個云計算系統(tǒng)癱瘓。另外，云計算資源的虛擬化特征會給傳統(tǒng)安全策略在整個虛擬網(wǎng)絡的全面應用造成阻礙，虛擬化會增加認證的困難，惡意代碼和病毒更容易傳播，安全問題產(chǎn)生的機率也就更大。

2 企業(yè)云安全防護方案

基于上述企業(yè)云安全面臨的威脅的主要威脅，可以通過以下綜合性的安全防護技術措施來提高企業(yè)云安全性能。

2.1 云平臺物理安全

物理安全是云計算系統(tǒng)的第一道安全防線，首先是環(huán)境安全的保障。溫度、濕度等環(huán)境因素會影響云計算系統(tǒng)的穩(wěn)定運行，因此，減少環(huán)境風險是企業(yè)云安全防護的基本前提。云服務提供商要通過各項措施來保證運維環(huán)境的安全性，除了安設一些必不可缺的設備外，如溫度和濕度控制器、自動滅火系統(tǒng)等。還應配備支持特定環(huán)境的設備，如不間斷電源等，以應對各種突變的自然環(huán)境。其次是設備的維護。為了保證設備的長期不間斷運行，需要定期維護設備，并詳細記錄維護過程中所遇到的各種疑似故障及實際故障。最后是網(wǎng)絡設備的配置。云計算系統(tǒng)整體設備性能的提高是安全防護的關鍵，特別是網(wǎng)絡設備。應配置多臺交換設備，網(wǎng)絡設備與網(wǎng)絡鏈路應有冗余備份。某一設備發(fā)生故障時應具備自動恢復功能，且企業(yè)網(wǎng)絡應具有訪問控制、安全檢測、監(jiān)控、報警、故障處理等功能。主機設備的核心應采用多機負載模式，某個主機若存在故障，其它主機仍能正常運行，同樣服務器設備電源、風扇等也應采用冗余配置。

2.2 云平臺訪問控制

首先是網(wǎng)絡安全訪問控制。云平臺和企業(yè)用戶之間采用路由控制方式，通過安全訪問路徑的構建提高網(wǎng)絡安全。避免在網(wǎng)絡邊界處安置重要網(wǎng)段，應對二者進行有效隔離。且利用防火墻、IPS、ACL等技術在重要業(yè)務網(wǎng)段邊界進行隔離。具體而言主要可以采取以下措施來控制云平臺網(wǎng)絡：限制管理終端訪問網(wǎng)絡設備；設置安全的訪問控制，過濾蠕蟲的常用端口；關閉不使用的端口；關閉不必要服務，如FTP、TFTP服務等；修改BANNER提示，避免默認BANNER信息泄露系統(tǒng)平臺及其他信息。其次是邊界防護。清晰界定和綜合防護系統(tǒng)邊界，科學劃分系統(tǒng)內部區(qū)域，加強便捷訪問控制，增加訪問控制配置，并使用防火墻等訪問控制設備對高安全等級區(qū)域進行邊界防護。最后是防火墻安全訪問控制。在防火墻上配置常見病毒和攻擊端口的ACL過濾控制策略，防止發(fā)生病毒或蠕蟲擴散，影響核心設備正常工作。

2.3 云安全數(shù)據(jù)庫及配置安全

對于云數(shù)據(jù)庫，應采用C2以上安全控制標準及多層次安全控制原則。操作系統(tǒng)軟件應能根據(jù)任務合理地分配系統(tǒng)資源，避免由于資源枯竭而停機。軟件系統(tǒng)應具備良好的容錯能力，保證某一進程故障的出現(xiàn)不會影響其它進程的運行，且能自動進行升級，并具備自動恢復功能，使系統(tǒng)在故障情況下能快速自動恢復。

2.4 云安全監(jiān)控

云安全監(jiān)控的目的是確保云平臺的可用性，是安全防護過程中不可或缺的。首先是日志監(jiān)控。通過監(jiān)控系統(tǒng)的輸出日志來監(jiān)控相關事件。其次是性能監(jiān)控。通過監(jiān)控網(wǎng)絡、系統(tǒng)以及應用等內容，保證云計算平臺的穩(wěn)定運行，一旦平臺發(fā)生了故障，能迅速報警。

2.5 云安全審計

云安全審計包括日志收集、數(shù)據(jù)庫審計、網(wǎng)絡審計等。云服務提供商需要部署網(wǎng)絡和數(shù)據(jù)審計措施，對網(wǎng)頁內容、郵件內容等敏感信息進行審計；完善地記錄其日志信息，建立良好的審核機制，并合理地整理相應的目志記錄，增強違規(guī)事件發(fā)生之后的審查能力。

3 結語

企業(yè)云安全面臨的威脅是復雜多樣的，必須針對各類安全問題采取有效性的安全防護策略，進而保證企業(yè)的各類數(shù)據(jù)信息安全，同時也能促進云計算機系統(tǒng)在企業(yè)的推廣和應用。

參考文獻

[1]聶亞偉.企業(yè)網(wǎng)絡安全解決方案研究與設計[D].邯鄲：河北工程大學，2014.

作者簡介

李常福（1973-），男，河南省信陽市人。大學本科學歷。中級職稱。主要研究方向為信息安全及云計算。

篇7

[關鍵詞]云平臺；信息安全；策略

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-914X（2016）09-0247-01

一、前言

隨著我國社會經(jīng)濟和科學技術的不斷發(fā)展，云計算也有了長足的發(fā)展。在云計算發(fā)展基礎之上而形成的云平臺，也被各大中企業(yè)所應用，云平臺已成為了互聯(lián)網(wǎng)世界中最大的信息平臺，本文就云平臺信息安全保護策略進行探討。

二、云計算概念

云計算是將分布式處理、并行處理、虛擬化和網(wǎng)格計算以及互聯(lián)網(wǎng)相結合的一種先進的資源服務模式，它將計算工作分布在多個的服務器構成的資源池上，使用戶能夠按所需獲取計算能力、存儲空間和信息服務。一般由存儲與計算機服務器、寬帶資源等大型服務器的集群，通過專門的軟件進行自動管理，同時也可以進行自我的維護，無需人工參與。云計算中，軟件和硬件可以成為資源而提供給用戶使用，用戶可以動態(tài)申請所需資源，云計算對軟件和硬件資源可以進行很好的分配，用戶能夠更加專注自己的業(yè)務，提高工作效率和降低成本。由于云計算具備動態(tài)擴展、伸縮特性，隨著用戶的不斷增長，云計算可以根據(jù)不斷對系統(tǒng)進行擴展。

云計算的主要特點有：穩(wěn)定性：具備良好的容錯能力，當某個節(jié)點發(fā)生故障時，云計算平臺能快速找到故障并恢復；高擴展性：云計算平臺具有高擴展性和靈活的彈性，能夠動態(tài)地滿足用戶規(guī)模的增長和需要；虛擬化：云計算通過虛擬化技術將分布式的物理和數(shù)字資源進行虛擬化，統(tǒng)一存放在數(shù)據(jù)中心，用戶可以在任何地方使用終端來獲取服務；通用性：云計算環(huán)境下可以構造出各種功能的應用，滿意用戶的大部分需求成本低廉：云平臺的特殊容錯機制可以采用極其廉價物理資源，資源成本低。

三、云平臺面臨的安全問題

云平臺是基于云計算的技術基礎上發(fā)展起來的，建立安全的云平臺，必須要有一個安全的運行構架來保證云平臺的安全運行。

現(xiàn)今云平臺間來所要面臨的問題主要有：

1、安全邊界不清晰：虛擬化技術是云計算的關鍵技術，服務器虛擬化，終端用戶數(shù)量非常龐大，實現(xiàn)共享的數(shù)據(jù)存放分散，無法像傳統(tǒng)網(wǎng)絡那樣清楚的定義安全邊界和保護措施。

2、數(shù)據(jù)安全隱患：根據(jù)云計算概念的理解，云計算的操作模式是將用戶數(shù)據(jù)和相應的計算任務交給全球運行的服務器網(wǎng)絡和數(shù)據(jù)庫系統(tǒng)，用戶數(shù)據(jù)的存儲、處理和保護等操作，都是在“云”中完成的，將有更多的業(yè)務數(shù)據(jù)、更詳細的個人隱私信息曝露在網(wǎng)絡上，也必然存在更大的泄露風險。

3、系統(tǒng)可靠性和穩(wěn)定性的隱患：云中存儲大量數(shù)據(jù)，很容易受到來自竊取服務或數(shù)據(jù)的惡意攻擊者、濫用資源的云計算用戶攻擊，當遇到嚴重攻擊時，云系統(tǒng)可能面臨崩潰的危險，無法提供高可靠性、穩(wěn)定的服務。

4、云平臺遭受攻擊的問題

云平臺高度集中了用戶、信息資源等一些重要信息，所以極易成為黑客攻擊的目標。近幾年來，世界各國頻頻出現(xiàn)黑客攻擊各大公司和政府機關的平臺，盜取信息和篡改安全信息的事件發(fā)生，例如2011年上半年，黑客就有四起“云攻擊”事件，分別是索尼PSN遭系列攻擊事件、Wordpress遭攻擊事件、新浪微博蠕蟲攻擊。由于這些網(wǎng)站存儲了大量用戶的資料和相關的信息，黑客攻擊這些網(wǎng)站，竊取用戶信息，用于不法之途，極大的損害了云平臺用戶的個人利益。

云計算迅速發(fā)展的同時，也面臨著信息安全的巨大挑戰(zhàn)。目前安全問題已成為困擾云計算更大發(fā)展的一個最重要因素。某種程度上，關于云計算安全問題的解決與否及如何解決，將會直接決定云計算在未來的發(fā)展走勢。目前云計算環(huán)境存在以下隱患。

四、云環(huán)境信息安全防護解決方案

1、云服務提供商

從云服務提供商角度，安全防護方案：

（一）、基礎網(wǎng)絡安全

基礎網(wǎng)絡是指地理位置不同的數(shù)據(jù)中心和用戶終端的互聯(lián)。采用可信網(wǎng)絡連接機制，對檢驗連接到通信網(wǎng)絡的設備進行可信，以防止非法接入設備?；A網(wǎng)絡安全設備性能要滿足與網(wǎng)絡相匹配的性能的需求，可以實現(xiàn)隨著業(yè)務發(fā)展需要，靈活的擴減防火墻、入侵防御、流量監(jiān)管、負載均衡等安全功能，實現(xiàn)安全和網(wǎng)絡設備高度融合。

（二）、虛擬化服務安全

“按需服務”是云計算平臺的終極目標，只有借助虛擬化技術，才可能根據(jù)需求，提供個性化的應用服務和合理的資源分配。在云計算數(shù)據(jù)中心內部，采用VLAN和分布式虛擬交換機等技術，通過虛擬化實例間的邏輯劃分，實現(xiàn)不同用戶系統(tǒng)、網(wǎng)絡和數(shù)據(jù)的安全隔離。采用虛擬防火墻和虛擬設備管理軟件為虛擬機環(huán)境部署安全防護策略，采用防惡意軟件，建立補丁管理和版本管理機制，及時防范因虛擬化帶來的潛在安全隱患。

（三）、用戶管理

實現(xiàn)用戶分級管理和用戶鑒權管理。每個虛擬設備都應具備獨立的管理員權限，實現(xiàn)用戶的分級管理，不同的級別具有不同的管理權限和訪問權限。支持用戶標識和用戶鑒別，采用受安全管理中心控制的令牌、口令及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份的鑒別，對鑒別數(shù)據(jù)進行保密性和完整性保護。

（四）、數(shù)據(jù)傳輸安全

采用在云端部署SSLVPN網(wǎng)關的接入方案，避免云環(huán)境下用戶的數(shù)據(jù)信息從終端到云計算環(huán)境的傳輸中，數(shù)據(jù)信息容易被截獲的隱患，以保證用戶端到云端數(shù)據(jù)的安全訪問和接入。

2、云服務終端用戶

從終端用戶角度，安全防護方案：

（一）、選擇信譽高的服務商

企業(yè)終端用戶應做風險評估，清楚數(shù)據(jù)存在云中和存儲在自己內部數(shù)據(jù)中心的潛在風險，比較各家云服務供應商，取得優(yōu)選者的服務水平保證。企業(yè)終端用戶應分清哪些服務和任務由公司內部的IT人員負責、哪些服務和任務交由云服務供應商負責，避免惡意操作帶來的損失，也能保證服務的持久化。

（二）、安裝防火墻

在用戶的終端上部署安全軟件，反惡意軟件、防病毒、個人防火墻等軟件。使用自動更新功能，定期完成瀏覽器打補丁和更新及殺毒工作，保證計算環(huán)境應用的安全。

（三）、應用過濾器

目的在于監(jiān)視哪些數(shù)據(jù)離開了用戶的網(wǎng)絡，自動阻止敏感數(shù)據(jù)外泄。通過對過濾器系統(tǒng)進行安全配置，防止數(shù)據(jù)在用戶不知情的狀態(tài)下被泄露，避免用戶自身數(shù)據(jù)的安全性降低。

3、云計算監(jiān)管方

目前我國云計算已經(jīng)發(fā)展到實質應用階段，國家有必要建立健全相關法律法規(guī)，積極研發(fā)和推廣具有自主技術的云產(chǎn)品，構建中國自己的云計算安全防御體系。

五、結束語

總之，網(wǎng)絡安全保護是一項重要、復雜的工作，目前，云安全還只是在發(fā)展階段，面對的問題較多，因此，我們應始終保持積極的態(tài)度，不斷的努力，使我國云計算服務朝著可持續(xù)的方向健康發(fā)展。

參考文獻

篇8

隨著城市進程飛速加快，信息化帶來諸多便利，同時各行業(yè)大量繁雜應用應接不暇，云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等應對技術推陳出新，越來越復雜，城市已經(jīng)面臨信息危機的挑戰(zhàn)，發(fā)出了智慧邀請。

面對復雜技術平臺、復雜通訊環(huán)境、復雜存儲環(huán)境、復雜系統(tǒng)環(huán)境、復雜硬件環(huán)境等，如何變復雜為簡單？如何做到快速構建？如何實現(xiàn)城市高速、科學、可持續(xù)發(fā)展？

面對已經(jīng)出現(xiàn)的問題和將要出現(xiàn)的危機，中創(chuàng)軟件工程股份有限公司提供了一套技術先進、架構領先、管理智能、運行高效的解決之道。

1 智慧化城市需要智慧平臺

中創(chuàng)Loong智慧平臺可為智慧城市提供全方位立體化的支撐服務，例如底層各種復雜技術的適配，頂層各領域智慧化應用的快速構建，可以針對未來技術的發(fā)展靈活擴展，在線升級，對平臺內部和由平臺支撐的各種應用組件的配置與運行狀態(tài)，提供可視化統(tǒng)一的監(jiān)管能力，由此保障智慧化城市安全、透明、持續(xù)的發(fā)展。

這些是借助中創(chuàng)Loong智慧平臺的核心，既國家十一五“核高基”科技重大專項成果——微內核集成框架與一體化管理框架實現(xiàn)。其中，微內核集成框架的總線式的架構就像PC機的主板，各種通訊協(xié)議、系統(tǒng)服務、容器和引擎就像PC里的內存、顯卡等組件板卡，可以靈活的在“主板”上插拔，以適應不同軟硬件環(huán)境，為科學的、快速的、可持續(xù)的構建智慧城市提供核心動力。

一體化管理框架就如主板上的CPU監(jiān)控管理著插在主板上的各種組件板卡，其配置、運行狀態(tài)被統(tǒng)一監(jiān)控管理著，提供了可視化的組裝功能。任何一個模塊開發(fā)完成后，即可通過一體化管理模塊進行組裝，組裝之后即可看到運行效果，一旦發(fā)現(xiàn)問題即可進行調整，極大地保障了應用構建的質量，這也在很大程度上縮短了應用構建周期。

2 智慧城市需要安全防護

“智慧城市”是一個巨大的信息化平臺，需要安全防護體系為之保駕護航。而安全防護涉及方方面面，現(xiàn)在網(wǎng)絡上存在最多、威脅最大而且急需防范的是應用安全，中創(chuàng)Loong智慧平臺正是以“智慧城市”的應用安全為核心關注點，包括門戶安全、數(shù)據(jù)安全等各個方面，具備全面防護、統(tǒng)一監(jiān)管、智能加固三個特點。如圖1所示。

全面防護涵蓋攻擊前、中、后三個維度，攻擊前會修復系統(tǒng)以及應用中的弱項和不安全設置以及不安全代碼，進行加固；攻擊發(fā)生中會啟動動態(tài)防護，阻斷惡意的攻擊，防止信息泄露；攻擊發(fā)生后，則可以實現(xiàn)智能恢復和審計功能，始終保證對外息的正確，并且完整存儲所有的數(shù)據(jù)訪問行為和管理行為，便于事后查找證據(jù)。

統(tǒng)一監(jiān)管可對各種智慧應用的可用性、系統(tǒng)的性能以及業(yè)務的流程進行實時監(jiān)控，及時發(fā)現(xiàn)問題和定位問題；同時對于各種安全服務進行統(tǒng)一的監(jiān)控管理。智能加固是指整個防護體系可以自我學習，自動升級。

另外，平臺安全服務基于微內核、一體化框架，可以從容面對各種復雜環(huán)境，可以持續(xù)的提供安全保障，可以插件方式快速構建新的安全服務。

3 安全防護體系保證智慧平臺應用安全

中創(chuàng)“Loong”智慧平臺的安全防護體系保證智慧平臺的應用安全，同時能夠保證基于平臺所建設的智慧應用的應用安全。如圖2所示。

智慧城市中包含了各種智慧應用，這些應用搭建在應用服務器以及操作系統(tǒng)之上，這些環(huán)節(jié)都可能存在一些薄弱點，比如系統(tǒng)的漏洞，開發(fā)的應用程序沒有加入安全檢測或者含有安全漏洞所形成的不合規(guī)代碼。這些薄弱環(huán)節(jié)都可以成為黑客攻擊智慧城市的著手點，安全防護體系會進行全面掃描，發(fā)現(xiàn)可能存在的薄弱環(huán)節(jié)，進行告警和加固，消除這些安全隱患，保證智慧城市整體的健壯。

對于智慧城市的各種應用，安全防護體系加入了動態(tài)防護的功能，能夠實時的阻斷各種針對智慧應用的惡意攻擊和非法訪問，保證應用不被攻擊；同時檢測應用對外的信息，避免敏感信息的泄露和不合法信息的公布，保證智慧城市的應用安全和信息安全。

安全防護體系還提供對智慧城市的防篡改和審計的安全服務。防篡改基于文件掃描以及水印等技術手段，可以實時的恢復可能被篡改的文件，并且保證對外的文件是正確的；安全體系完整記錄智慧城市中的各種訪問數(shù)據(jù)庫的行為以及各種管理運維的行為并進行還原，可以實時的展示誰在什么時間，對什么內容作了哪些操作，結果如何，便于事后審計和查證。通過防篡改和審計，保證智慧城市的應用安全、數(shù)據(jù)安全和行為安全。

安全防護體系中的各種安全服務由統(tǒng)一的安全管理平臺進行監(jiān)控和管理。同時安全管理平臺實時的對各種應用、系統(tǒng)以及應用服務器進行檢測，包括可用性檢測、掛馬檢測以及性能檢測等。一旦發(fā)現(xiàn)存在問題可以及時的向管理人員發(fā)出告警，并且定位問題的根源節(jié)點，便于及時的解決問題，保證智慧城市的運行安全。安全防護體系可以設置業(yè)務規(guī)則，通過這些規(guī)則檢測各種智慧應用所互聯(lián)的業(yè)務系統(tǒng)的流程，代替各種人工巡檢，自動的發(fā)現(xiàn)其中不合規(guī)的業(yè)務訪問，及時的進行告警，保證智慧城市的業(yè)務安全。

安全防護體系的各種安全服務基于統(tǒng)一的資源庫，包括漏洞庫、補丁庫、病毒庫等。所有的安全事件統(tǒng)一上報給安全管理平臺，由平臺的智能分析引擎進行關聯(lián)分析。一方面，事件的關聯(lián)分析可以使得智慧城市中的各種設備、系統(tǒng)等資產(chǎn)不再是獨立存在的，而是聯(lián)合在一起的，以聯(lián)動的方式將危險消除在任何一個環(huán)節(jié)；另一方面，事件的關聯(lián)分析可以升級資源庫，這樣可以使安全防護體系自我加固，智能升級。

4 中創(chuàng)的安全云管理平臺

基于中創(chuàng)“Loong”智慧平臺建設的智慧城市，可以加入中創(chuàng)的安全云管理平臺，基于安全云管理平臺實現(xiàn)動態(tài)、主動、智能的安全防護，在攻擊發(fā)生前進行有效的阻斷。中創(chuàng)的安全云管理平臺基于云計算的技術實現(xiàn)安全檢測，包括“蜜罐”云、安全云以及其下的各個端點?！懊酃蕖痹剖且环N偽裝的應用，誘使黑客進行攻擊，收集最新的攻擊信息，上報給安全云；安全云對于這些攻擊方式以及從各個端點，比如智慧城市端收集的安全事件進行關聯(lián)分析，通過趨勢分析進行有效的安全防護。如圖3 所示。

另外，安全服務基于微內核、一體化框架，可以從容面對各種復雜環(huán)境，可以持續(xù)的提供安全保障，可以插件方式快速構建新的安全服務。

5 平臺支撐城市智慧化應用

基于中創(chuàng)Loong智慧平臺建設的智慧金融方案，可以實現(xiàn)業(yè)務流程的優(yōu)化高效，為業(yè)務的創(chuàng)新、經(jīng)營決策提供了充分的信息支持，增強了快速響應信貸流程變化的能力，提升了業(yè)務服務質量，實時、準確、預測及規(guī)避各類金融風險，優(yōu)化經(jīng)濟資本結構。為國家開發(fā)銀行、中國進出口銀行、中國建設銀行、交通銀行、中國民生銀行、廣發(fā)銀行等全國性大型銀行和眾多區(qū)域性金融機構，為全國銀行信貸資產(chǎn)總額的30%提供智能信息化管理支撐。

基于中創(chuàng)Loong智慧平臺構建的全球三甲、全國首例城市自由流智慧交通方案中，集成上千種標準和種類不同的設備，實現(xiàn)多種接口統(tǒng)一接入，將設備通訊、電子渠道、外部接口等功能全部納入支撐平臺，有效地解決了系統(tǒng)實施過程中大量異構平臺之間的交互問題，支撐系統(tǒng)架構的穩(wěn)定性、靈活性、可擴展性。每天感測、分析、整合至少40萬輛機動車、160G海量數(shù)據(jù)信息，可以7×24小時穩(wěn)定運行，過路過橋車輛費用即時結算，實現(xiàn)了與1000多個服務網(wǎng)點無縫聯(lián)接，使銀行、年票、移動、網(wǎng)通、電信、高速公路、交管、公安、財政等眾多單位信息互聯(lián)互通，將信息使用創(chuàng)造更大的價值。

篇9

關鍵詞：計算機；網(wǎng)絡安全；防護技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1006-8937（2014）5-0010-02

計算機網(wǎng)絡技術的迅猛發(fā)展極大地改變了人們的生活方式，深遠影響著人們日常工作的發(fā)展，是當前社會不可缺少、不可替代的技術類型。然而隨著其向更層次的發(fā)展后，一系列因計算進網(wǎng)絡技術而附加產(chǎn)生的問題接踵而至，很大程度上對其長遠發(fā)展造成了阻礙。近年來，關于計算機病毒、計算機黑客攻擊而造成的全球互聯(lián)網(wǎng)和軍事情報網(wǎng)及商業(yè)等頻頻癱瘓的狀況此起彼伏，傳播速度快、破壞能力強、影響范圍廣的病毒入侵使得計算機網(wǎng)絡安全技術時刻經(jīng)受著挑戰(zhàn)。因此，掌握先進的網(wǎng)絡安全防護技術變得十分必要。

1 計算機網(wǎng)絡技術存在的安全隱患

1.1 關于計算機病毒造成的安全隱患

計算機網(wǎng)絡技術深刻地透入到人們生活的各個角落，人們對其認識了解也不在少數(shù)，同樣的對可能引發(fā)安全隱患的病毒也不陌生。計算機網(wǎng)絡病毒的種類有很多，最常見的當屬木馬病毒，它傳播速度快、破壞力大且難以根除，使得其在各大互聯(lián)網(wǎng)絡肆意橫行，時時刻對網(wǎng)絡安全造成致命的威脅。而且計算機病毒的存在具有較強的隱蔽性，不易被察覺。很多計算機用戶往往是在毫無防備的情況下感染上的，這些病毒大多潛藏在諸多非專業(yè)的資料網(wǎng)站內，用戶在下載這些資料時病毒就趁機入侵，使資料下載用戶的計算機硬件遭到破壞并出現(xiàn)相應的安全漏洞，長期受到病毒的侵擾威脅。計算機病毒有良性病毒和惡性病毒的區(qū)別，惡性病毒具有超輕的傳染性、隱蔽性、破壞性等特點，難以及時發(fā)現(xiàn)、徹底清除，在相當長的時間和廣闊的范圍內對計算機用戶構成極大地困擾。良性病毒帶來的破壞力相對較弱、時間較短、危害范圍也更小，可以在發(fā)現(xiàn)后利用殺毒軟件進行徹底清除。

1.2 關于黑客攻擊造成的安全隱患

黑客攻擊是影響計算機網(wǎng)絡技術安全的另一重要因素。黑客攻擊是人為的未經(jīng)管理者和法律許可就直接進入其電腦，完成破壞電腦管理者計算機硬件系統(tǒng)和軟件系統(tǒng)的操作，使管理者電腦出現(xiàn)嚴重的漏洞，用戶電腦中的資料信息遭到竊取，并且還會將隱藏的病毒程序種植于用戶電腦之中，長期的對用戶電腦進行破壞性操作控制。黑客攻擊相較于一般的病毒入侵更具威脅性，人為的不可控性是黑客攻擊難以防范的最根本問題。

1.3 計算機系統(tǒng)軟件漏洞造成的安全隱患

計算機應用系統(tǒng)本身存在著不少系統(tǒng)漏洞，這些漏洞對計算機本身的網(wǎng)絡安全并不會構成任何威脅，但這些固有的漏洞為黑客攻擊、惡意軟件侵入、病毒滋生提供了可乘之機，一旦黑客、不法分子及病毒掌握這些漏洞，他們便會趁虛而入，此時原本無害的系統(tǒng)漏洞就成了病毒滋生的溫床和計算機遭受入侵的幫兇。

1.4 安全配置不當造成的隱患

在計算機操作過程中，如果安全配置不當也會引發(fā)相應的安全隱患。安全配置的合理設置如同計算機自身的“看家本領”，良好的配置才能練就過硬的安全防護能力，若是配置不當，很多安全防護軟件便不能正常使用，也不能發(fā)揮其為計算機用戶安全保駕護航的作用，更會給計算機留下漏洞，形成網(wǎng)絡缺口，最終導致病毒入侵的后果。

2 計算機網(wǎng)絡安全防護技術建設的必要性

計算機網(wǎng)絡技術的普及性、廣泛性、便捷性等特點使得其在全世界范圍內擁有廣大深厚的用戶基礎，這在為人們生活提供便利的同時更存在著相對等的安全隱患，一旦問題產(chǎn)生，可影響輻射的范圍是全球性的。網(wǎng)絡安全狀態(tài)下可以惠及全球，網(wǎng)絡存在隱患時也可以波及全球，因而全球的計算機網(wǎng)絡用戶都必須時刻警惕網(wǎng)絡安全隱患的侵擾，并且在全球范圍內建設計算機網(wǎng)絡安全防護建設的防護體系，在問題發(fā)生后迅速作出反應，并且及時進行信息交流傳達，將破壞范圍降到最小，造成的損失減到最低，確保全球網(wǎng)絡通信環(huán)境的安全可靠。計算機網(wǎng)絡安全遭到威脅和破壞后帶來的損失是不可估量的，信息竊取、網(wǎng)絡癱瘓等造成人們生產(chǎn)生活難以正常繼續(xù)，商業(yè)及軍事情報遭泄露帶來的危害是更廣范圍更深層次的，極有可能引發(fā)社會騷亂、局勢動蕩，因此必須加強計算機網(wǎng)絡安全防護技術的開發(fā)與研究，力求做到防患于未然，即便問題出現(xiàn)也可以第一時間內妥善解決，將危害損失降到最低。

3 計算機網(wǎng)絡安全防護策略

3.1 針對病毒入侵采取防火墻技術

利用防火墻技術構筑起計算機網(wǎng)絡安全的一道屏障，將內網(wǎng)與外網(wǎng)通信過程中程序的訪問進行控制，有選擇的訪問安全可靠的資源網(wǎng)站，對存在安全隱患的訪問程序進行首輪篩選攔截，確保網(wǎng)絡通信正常運行。防火墻本身具有一定的抗攻擊能力，目前常用的防火墻技術主要有包過濾防火墻、地址轉換防火墻和防火墻三種。這三種防火墻技術通過濾除不可信地址的信息接收與發(fā)送，轉換內網(wǎng)地址、隱藏終端地址，利用服務器與網(wǎng)絡服務器溝通等手段不斷加強內網(wǎng)的安全穩(wěn)定性。防火墻技術是目前計算機網(wǎng)絡安全最基本的防護技術，但也是必不可少的防護措施，需要推廣使用。

3.2 針對黑客攻擊采用訪客控制技術

訪問控制管理技術可以保障網(wǎng)絡系統(tǒng)在可控的范圍內被訪問，使網(wǎng)絡資源不會被非法利用和訪問。對于入網(wǎng)環(huán)節(jié)實施首層訪問控制，并且對進入者的訪問時間、訪問內容、訪問權限都作出明確限制。還需要計算機網(wǎng)絡用戶對系統(tǒng)相關文件設置相應權限，篩選出符合訪問權限者，及時報告并阻截不符合權限者。還可以使用身份認證技術對網(wǎng)絡用戶進行身份認證，并對用戶限定相應的網(wǎng)絡操作權限，這一操作的設定將加大非法用戶的訪問難度還可以對網(wǎng)絡不明用戶的不正常操作行為進行記錄。網(wǎng)絡管理人員必須做好對整個網(wǎng)絡系統(tǒng)的監(jiān)控，記錄好服務器登錄用戶信息，一旦有異常出現(xiàn)，可利用聲音、文字等多種方式進行應急報警，提升網(wǎng)絡管理者的警惕性，及時阻攔黑客的不良攻擊，有效預防來自外部的惡意攻擊。

3.3 針對計算機系統(tǒng)軟件漏洞造成的隱患

計算機本身的漏洞問題是固有的，為保證計算機網(wǎng)絡安全必須定時的對系統(tǒng)漏洞做全盤掃描，深度清理。發(fā)現(xiàn)漏洞后及時修補，不給黑客、不法分子以可乘之機。計算機本身存在的漏洞若不及時發(fā)現(xiàn)并修復，很可能會產(chǎn)生外部病毒入侵、黑客攻擊與系統(tǒng)本身的漏洞“里應外合”的嚴重后果，造成的影響更是毀滅性的，因此必須嚴格搞好系統(tǒng)本身的漏洞監(jiān)控修復工作，真正做到防患于未然。

3.4 入侵檢測技術

入侵檢測技術相較于其他防御技術有很大的不同，它扭轉了原來被動防御的劣勢，主動出擊，主動展開計算機網(wǎng)絡安全技術的防護工作，掌握一定的主動性，及時對異常入侵者做出反應。入侵檢測技術可以與多種相關技術合作，共同制定出與網(wǎng)絡環(huán)境相適應的安全規(guī)則，從而對網(wǎng)絡獲取的信息進行分析檢測，并時刻對網(wǎng)絡運行狀態(tài)進行監(jiān)控，及時排除網(wǎng)絡中存在的安全威脅。

3.5 搞好計算機網(wǎng)絡專業(yè)人員培訓，建設專業(yè)的防護人

才隊伍

計算機是由人發(fā)明創(chuàng)造的，其操作使用者是人類，其管理維護者更是計算機專業(yè)人員，因此為了做好計算機網(wǎng)絡安全防護，專業(yè)的網(wǎng)絡管理維護人員是必不可少的。搞好計算機網(wǎng)絡網(wǎng)絡專業(yè)管理人員的培訓、建設專業(yè)的防護人才隊伍，提高其處理解決問題的能力，可以有效的對計算機的信息管理安全進行控制，保障網(wǎng)絡通信安全暢通運行。

3.6 加強網(wǎng)絡安全防范意識

計算機網(wǎng)絡安全問題產(chǎn)生的很大一部分原因在于計算機網(wǎng)絡用戶的安全防范意識薄弱，缺乏有力的信息甄別能力，容易受到虛假不良信息的誘惑侵蝕，從而無意中進入到病毒攜帶網(wǎng)站的圈套，進而受到病毒感染、木馬入侵等危害計算機網(wǎng)絡安全的干擾。因此廣大計算機網(wǎng)絡用戶務必有較強的網(wǎng)絡安全防護意識，對瀏覽網(wǎng)頁時自動彈出的信息窗口作仔細的甄別，確保其安全可靠后再選擇進入頁面，對于安全性不能確定的網(wǎng)頁要及時舉報攔截，將網(wǎng)絡安全防護的意識牢牢樹立于腦海之中。

3.7 利用多種新興媒體加大網(wǎng)絡安全維護的宣傳力度

新興的媒體客戶端在廣大計算機用戶中有著深厚的用戶基礎，在計算機網(wǎng)絡安全防護工作中，二者可以互相結合，利用媒體宣傳安全上網(wǎng)、防范網(wǎng)絡危險的知識和方法，營造安全和諧的上網(wǎng)環(huán)境，對于諸多惡意信息網(wǎng)站要及時舉報、曝光，必要時進行關閉處理，避免網(wǎng)絡用戶二次上當。在安全上網(wǎng)的方法指導下，計算機網(wǎng)絡用戶就可以走出操作使用時的盲區(qū)，在最大限度內做到趨利避害。

3.8 用資料備份儲存技術

計算機用戶在日常的工作學習和生活中會將大量的數(shù)據(jù)信息資料存入電腦之中，這在網(wǎng)絡安全暢通的情況下是非常方便的，但計算機網(wǎng)絡若遭到破壞或損毀，內存的資料也就不復存在的，這就要求采用資料備份存儲技術，將計算機內的個人資料信息作出備份存儲，避免資料信息丟失，給生活工作帶來不便。

4 結 語

計算機網(wǎng)絡在人們的生活工作中滲透得越來越深入，已經(jīng)日漸成為人們生活中必不可少的一部分，人們的衣食住行都與之有著密不可分的聯(lián)系，其在人們生活中扮演的重要角色已經(jīng)無可替代，而且在更長遠的時間里，計算機網(wǎng)絡對人們生活的影響會更加透徹，更加廣泛，人們的生活較之于現(xiàn)在也會發(fā)生更加深刻的變革。人們的生活會向著智能、簡約的趨勢發(fā)展，這種生活追求的實現(xiàn)必須依賴于安全可靠的計算機網(wǎng)絡技術。換言之，安全的計算機網(wǎng)絡環(huán)境和可靠地計算機網(wǎng)絡技術是確保人們生活日漸美好的充分必要條件，因而全世界范圍內的網(wǎng)絡用戶都必須為實現(xiàn)這一目標而共同努力，營造文明上網(wǎng)的和諧環(huán)境、倡導安全上網(wǎng)的操作規(guī)范，做到全社會參與，共同抵制計算機網(wǎng)絡安全隱患的侵襲。通過本文研究發(fā)現(xiàn)，機損及網(wǎng)絡安全防護不僅需要技術上的革新，還需要網(wǎng)絡用戶的積極響應參與，二者有效配合才可以充分保證計算機網(wǎng)絡的安全。

參考文獻：

[1] 孫嘉葦.對計算機網(wǎng)絡安全防護技術的探討[J].計算機光盤軟件與應用，2012，（2）.

篇10

關鍵詞：P2DR模型主動防御技術SCADA調度自動化

隨著農(nóng)網(wǎng)改造的進行，各電力部門的調度自動化系統(tǒng)得到了飛快的發(fā)展，除完成SCADA功能外，基本實現(xiàn)了高級的分析功能，如網(wǎng)絡拓撲分析、狀態(tài)估計、潮流計算、安全分析、經(jīng)濟調度等，使電網(wǎng)調度自動化的水平有了很大的提高。調度自動化的應用提高了電網(wǎng)運行的效率，改善了調度運行人員的工作條件，加快了變電站實現(xiàn)無人值守的步伐。目前，電網(wǎng)調度自動化系統(tǒng)已經(jīng)成為電力企業(yè)的"心臟"[1]。正因如此，調度自動化系統(tǒng)對防范病毒和黑客攻擊提出了更高的要求，《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》（中華人民共和國國家經(jīng)濟貿易委員會第30號令）[9]中規(guī)定電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)。各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統(tǒng)直接相聯(lián)。而從目前的調度自動化安全防護技術應用調查結果來看，不少電力部門雖然在調度自動化系統(tǒng)網(wǎng)絡中部署了一些網(wǎng)絡安全產(chǎn)品，但這些產(chǎn)品沒有形成體系，有的只是購買了防病毒軟件和防火墻，保障安全的技術單一，尚有許多薄弱環(huán)節(jié)沒有覆蓋到，對調度自動化網(wǎng)絡安全沒有統(tǒng)一長遠的規(guī)劃，網(wǎng)絡中有許多安全隱患，個別地方甚至沒有考慮到安全防護問題，如調度自動化和配網(wǎng)自動化之間，調度自動化系統(tǒng)和MIS系統(tǒng)之間數(shù)據(jù)傳輸?shù)陌踩詥栴}等，如何保證調度自動化系統(tǒng)安全穩(wěn)定運行，防止病毒侵入，已經(jīng)顯得越來越重要。

從電力系統(tǒng)采用的現(xiàn)有安全防護技術方法方面，大部分電力企業(yè)的調度自動化系統(tǒng)采用的是被動防御技術，有防火墻技術和入侵檢測技術等，而隨著網(wǎng)絡技術的發(fā)展，逐漸暴露出其缺陷。防火墻在保障網(wǎng)絡安全方面，對病毒、訪問限制、后門威脅和對于內部的黑客攻擊等都無法起到作用。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術手段來防范黑客攻擊與病毒入侵，本文基于傳統(tǒng)安全技術和主動防御技術相結合，依據(jù)動態(tài)信息安全P2DR模型，考慮到調度自動化系統(tǒng)的實際情況設計了一套安全防護模型，對于提高調度自動化系統(tǒng)防病毒和黑客攻擊水平有很好的參考價值。

1威脅調度自動化系統(tǒng)網(wǎng)絡安全的技術因素

目前的調度自動化系統(tǒng)網(wǎng)絡如iES-500系統(tǒng)[10]、OPEN2000系統(tǒng)等大都是以Windows為操作系統(tǒng)平臺，同時又與Internet相連，Internet網(wǎng)絡的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCP/IP協(xié)議缺乏相應的安全機制，而且Internet最初設計沒有考慮安全問題，因此它在安全可靠、服務質量和方便性等方面存在不適應性[3]。此外，隨著調度自動化和辦公自動化等系統(tǒng)數(shù)據(jù)交流的不斷增大，系統(tǒng)中的安全漏洞或"后門"也不可避免的存在，電力企業(yè)內部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，使病毒、外界和內部的攻擊越來越多，從技術角度進一步加強調度自動化系統(tǒng)的安全防護日顯突出。

2基于主動防御新技術的安全防護設計

2.1調度自動化系統(tǒng)與其他系統(tǒng)的接口

由于調度自動化系統(tǒng)自身工作的性質和特點，它主要需要和辦公自動化（MIS）系統(tǒng)[6]、配網(wǎng)自動化系統(tǒng)實現(xiàn)信息共享。為了保證電網(wǎng)運行的透明度，企業(yè)內部的生產(chǎn)、檢修、運行等各部門都必須能夠從辦公自動化系統(tǒng)中了解電網(wǎng)運行情況，因此調度自動化系統(tǒng)自身設有Web服務器，以實現(xiàn)數(shù)據(jù)共享。調度自動化系統(tǒng)和配網(wǎng)自動化系統(tǒng)之間由于涉及到需要同時控制變電站的10kV出線開關，兩者之間需要進行信息交換，而配網(wǎng)自動化系統(tǒng)運行情況需要通過其Web服務器公布于眾[5]，同時由于配網(wǎng)自動化系統(tǒng)本身的安全性要求，考慮到投資問題，可以把它的安全防護和調度自動化一起考慮進行設計。

2.2主動防御技術類型

目前主動防御新技術有兩種。一種是陷阱技術，它包括蜜罐技術（Honeypot）和蜜網(wǎng)技術(Honeynet)。蜜罐技術是設置一個包含漏洞的誘騙系統(tǒng)，通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標[2]。蜜罐的作用是為外界提供虛假的服務，拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐根據(jù)設計目的分為產(chǎn)品型和研究型。目前已有許多商用的蜜罐產(chǎn)品，如BOF是由MarcusRanum和NFR公司開發(fā)的一種用來監(jiān)控BackOffice的工具。Specter是一種商業(yè)化的低交互蜜罐，類似于BOF，不過它可以模擬的服務和功能范圍更加廣泛。蜜網(wǎng)技術是最為著名的公開蜜罐項目[7],它是一個專門設計來讓人"攻陷"的網(wǎng)絡，主要用來分析入侵者的一切信息、使用的工具、策略及目的等。

另一種技術是取證技術，它包括靜態(tài)取證技術和動態(tài)取證技術。靜態(tài)取證技術是在已經(jīng)遭受入侵的情況下，運用各種技術手段進行分析取證工作?，F(xiàn)在普遍采用的正是這種靜態(tài)取證方法，在入侵后對數(shù)據(jù)進行確認、提取、分析，抽取出有效證據(jù)，基于此思想的工具有數(shù)據(jù)克隆工具、數(shù)據(jù)分析工具和數(shù)據(jù)恢復工具。目前已經(jīng)有專門用于靜態(tài)取證的工具，如GuidanceSoftware的Encase,它運行時能建立一個獨立的硬盤鏡像，而它的FastBloc工具則能從物理層組織操作系統(tǒng)向硬盤寫數(shù)據(jù)。動態(tài)取證技術是計算機取證的發(fā)展趨勢，它是在受保護的計算機上事先安裝上，當攻擊者入侵時，對系統(tǒng)的操作及文件的修改、刪除、復制、傳送等行為，系統(tǒng)和會產(chǎn)生相應的日志文件加以記錄。利用文件系統(tǒng)的特征，結合相關工具，盡可能真實的恢復這些文件信息，這些日志文件傳到取證機上加以備份保存用以作為入侵證據(jù)。目前的動態(tài)取證產(chǎn)品國外開發(fā)研制的較多，價格昂貴，國內部分企業(yè)也開發(fā)了一些類似產(chǎn)品。

2.3調度自動化系統(tǒng)安全模型

調度自動化安全系統(tǒng)防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架，P2DR模型最早是由ISS公司提出的動態(tài)安全模型的代表性模型，它主要包含4個部分：安全策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）[8]。模型體系框架如圖1所示。

在P2DR模型中，策略是模型的核心，它意味著網(wǎng)絡安全需要達到的目標，是針對網(wǎng)絡的實際情況，在網(wǎng)絡管理的整個過程中具體對各種網(wǎng)絡安全措施進行取舍，是在一定條件下對成本和效率的平衡[3]。防護通常采用傳統(tǒng)的靜態(tài)安全技術及方法來實現(xiàn)，主要有防火墻、加密和認證等方法。檢測是動態(tài)響應的依據(jù)，通過不斷的檢測和監(jiān)控，發(fā)現(xiàn)新的威脅和弱點。響應是在安全系統(tǒng)中解決安全潛在性的最有效的方法，它在安全系統(tǒng)中占有最重要的地位。

2.4調度自動化系統(tǒng)的安全防御系統(tǒng)設計

調度自動化以P2DR模型為基礎，合理利用主動防御技術和被動防御技術來構建動態(tài)安全防御體系，結合調度自動化系統(tǒng)的實際運行情況，其安全防御體系模型的物理架構如圖2所示。

防護是調度自動化系統(tǒng)安全防護的前沿，主要由傳統(tǒng)的靜態(tài)安全技術防火墻和陷阱機實現(xiàn)。在調度自動化系統(tǒng)、配網(wǎng)自動化系統(tǒng)和公司信息網(wǎng)絡之間安置防火墻監(jiān)視限制進出網(wǎng)絡的數(shù)據(jù)包，防范對內及內對外的非法訪問。陷阱機隱藏在防火墻后面，制造一個被入侵的網(wǎng)絡環(huán)境誘導入侵，引開黑客對調度自動化Web服務器的攻擊，從而提高網(wǎng)絡的防護能力。

檢測是調度自動化安全防護系統(tǒng)主動防御的核心，主要由IDS、漏洞掃描系統(tǒng)、陷阱機和取證系統(tǒng)共同實現(xiàn)，包括異常檢測、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)。IDS對來自外界的流量進行檢測，主要用于模式發(fā)現(xiàn)及告警。漏洞掃描系統(tǒng)對調度自動化系統(tǒng)、配網(wǎng)自動化主機端口的已知漏洞進行掃描，找出漏洞或沒有打補丁的主機，以便做出相應的補救措施。陷阱機是設置的蜜罐系統(tǒng)，其日志記錄了網(wǎng)絡入侵行為，因此不但充當了防護系統(tǒng)，實際上又起到了第二重檢測作用。取證分析系統(tǒng)通過事后分析可以檢測并發(fā)現(xiàn)病毒和新的黑客攻擊方法和工具以及新的系統(tǒng)漏洞。響應包括兩個方面，其一是取證機完整記錄了網(wǎng)絡數(shù)據(jù)和日志數(shù)據(jù)，為攻擊發(fā)生系統(tǒng)遭破壞后提出訴訟提供了證據(jù)支持。另一方面是根據(jù)檢測結果利用各種安全措施及時修補調度自動化系統(tǒng)的漏洞和系統(tǒng)升級。

綜上所述，基于P2DR模型設計的調度自動化安全防護系統(tǒng)有以下特點和優(yōu)越性：

·在整個調度自動化系統(tǒng)的運行過程中進行主動防御，具有雙重防護與多重檢測響應功能；

·企業(yè)內部和外部兼防，可以以法律武器來威懾入侵行為，并追究經(jīng)濟責任。

·形成了以調度自動化網(wǎng)絡安全策略為核心的防護、檢測和響應相互促進以及循環(huán)遞進的、動態(tài)的安全防御體系。

3結論

調度自動化系統(tǒng)的安全防護是一個動態(tài)發(fā)展的過程，本次設計的安全防護模型是采用主動防御技術和被動防御技術相結合，在P2DR模型基礎上進行的設計，使調度自動化系統(tǒng)安全防御在遭受攻擊的時候進行主動防御，增強了系統(tǒng)安全性。但調度自動化系統(tǒng)安全防護并不是純粹的技術，僅依賴安全產(chǎn)品的堆積來應對迅速發(fā)展變化的攻擊手段是不能持續(xù)有效的。調度自動化系統(tǒng)安全防護的主動防御技術不能完全取代其他安全機制，尤其是管理規(guī)章制度的嚴格執(zhí)行等必須長抓不懈。

參考文獻：

[1]梁國文.縣級電網(wǎng)調度自動化系統(tǒng)實現(xiàn)的功能.農(nóng)村電氣化,2004,(12):33~34.

[2]丁杰,高會生,俞曉雯.主動防御新技術及其在電力信息網(wǎng)絡安全中的應用.電力系統(tǒng)通信,2004,(8):42~45.

[3]趙陽.電力企業(yè)網(wǎng)的安全及對策.電力信息化,2004,(12):26~28.

[4]阮曉迅,等.計算機病毒的通用防護技術.電氣自動化,1998,(2):53~54.

[5]郝印濤,等.配網(wǎng)管理與調度間的信息交換.農(nóng)村電氣化,2004,(10):13~14.

[6]韓蘭波.縣級供電企業(yè)管理信息系統(tǒng)(MIS)的應用.農(nóng)村電氣化,2004,(12):33~34.

[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..

[8]戴云,范平志.入侵檢測系統(tǒng)研究綜述[J].計算機工程與應用,2002,38(4):17~19.