公務(wù)員期刊網(wǎng) 精選范文 云安全原理與實踐范文

云安全原理與實踐精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云安全原理與實踐主題范文,僅供參考,歡迎閱讀并收藏。

云安全原理與實踐

第1篇:云安全原理與實踐范文

關(guān)鍵詞:云計算;傳媒;信息安全

隨著知識經(jīng)濟(jì)以不可逆轉(zhuǎn)的力量推動著時代的車輪飛速前進(jìn),人類社會也正經(jīng)歷這前所未有的快速變革,自從聯(lián)合國教科文組織提出知識經(jīng)濟(jì)的概念20年以來,人類創(chuàng)造的知識成果超過近5000年文明創(chuàng)造的總和;在新世紀(jì)剛過去的10年,經(jīng)合組織GDP50%以上是依賴于知識經(jīng)濟(jì);科技進(jìn)步對經(jīng)濟(jì)增長的貢獻(xiàn)率甚至超過了80%。

正是在這樣的知識經(jīng)濟(jì)蓬勃發(fā)展大環(huán)境下,廣西日報傳媒集團(tuán)(以下簡稱“廣西日報”)順應(yīng)時代,抓住機遇,整合出版資源,做大做強經(jīng)營性文化產(chǎn)業(yè)。努力開創(chuàng)和發(fā)展包括平面媒體、網(wǎng)絡(luò)媒體、移動媒體等全方位覆蓋的全媒體傳播和多元化產(chǎn)業(yè)發(fā)展的新格局。信息技術(shù)作為知識經(jīng)濟(jì)的核心驅(qū)動技術(shù),成為引領(lǐng)傳媒業(yè)邁向新時代的關(guān)鍵因素。

1 信息化建設(shè)的需求分析

自從2009年底轉(zhuǎn)制為集團(tuán)企業(yè)后,隨著業(yè)務(wù)的快速增長和技術(shù)日新月異,廣西日報在信息化工作深入應(yīng)用時也遇到了一些挑戰(zhàn),主要體現(xiàn)在以下幾個方面:

第一、業(yè)務(wù)層面。隨著廣西日報業(yè)務(wù)的不斷豐富和擴(kuò)展,業(yè)務(wù)模式正在開始逐步的轉(zhuǎn)型,主要是“傳播者本位”向“受眾本位”的轉(zhuǎn)型、從“組織媒介”向“大眾媒介”的轉(zhuǎn)型、從“宏觀內(nèi)容”向“微觀內(nèi)容”的轉(zhuǎn)型。業(yè)務(wù)模式轉(zhuǎn)變對信息系統(tǒng)支撐并適應(yīng)業(yè)務(wù)轉(zhuǎn)型的要求提出了新的要求。

第二、管理層面。企業(yè)化管理體制對業(yè)績和效率要求更為明確,同時對投入和成本的控制也較事業(yè)單位時期更為嚴(yán)格,信息科技工作量化管理本身就是個業(yè)界難題,如何有效地治理信息系統(tǒng),規(guī)范管理,降低成本,也是信息化工作面臨的重要挑戰(zhàn)。

第三、技術(shù)層面。WEB2.0時代,新一代互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化,如P2P、RSS、博客、微博、WiKi、播客等資訊傳播技術(shù)如雨后春筍般涌現(xiàn)出來,并將迅速成為推動傳媒領(lǐng)域技術(shù)革命的關(guān)鍵因素,信息科技工作不僅要將如此眾多的新興技術(shù)學(xué)習(xí)、消化、吸收,更要將技術(shù)和實際業(yè)務(wù)工作結(jié)合,無疑為信息科技工作增加了工作壓力和難度。

綜上所述,如果仍然延續(xù)傳統(tǒng)的信息科技工作模式,將不能適應(yīng)集團(tuán)業(yè)務(wù)轉(zhuǎn)型和發(fā)展的要求。為了從根本上解決信息科技工作存在的問題,確保信息系統(tǒng)可持續(xù)發(fā)展,廣西日報決定整合IT核心系統(tǒng),規(guī)范相關(guān)業(yè)務(wù)流程,打造先進(jìn)、靈活、安全的IT系統(tǒng),具體需求如下:

第一,采用創(chuàng)新的云計算模式取代傳統(tǒng)C/S或B/S計算模式,整合現(xiàn)有業(yè)務(wù)系統(tǒng)至統(tǒng)一運行平臺,并采用松耦合思路進(jìn)行協(xié)同整合,突破各IT系統(tǒng)的區(qū)域和邊界限制,為業(yè)務(wù)系統(tǒng)轉(zhuǎn)型提供技術(shù)支撐。

第二,引入成熟先進(jìn)的IT管理體系和規(guī)范標(biāo)準(zhǔn),結(jié)合業(yè)務(wù)實際情況制定包括系統(tǒng)生命周期、技術(shù)服務(wù)管理、信息安全管理等自身IT管控體系,為信息科技工作配套管理體系打下良好基礎(chǔ)。

第三,建設(shè)嚴(yán)密、協(xié)同、靈活的信息安全體系,切實有效保障業(yè)務(wù)連續(xù)性,為業(yè)務(wù)健康可持續(xù)發(fā)展保駕護(hù)航;同時,提升資源利用率,優(yōu)化系統(tǒng)性能價格比,降低系統(tǒng)總擁有成本,真正實現(xiàn)少花錢,多辦事。

2 信息安全建設(shè)總體思路及安全實踐

2.1 信息安全建設(shè)總體思路

根據(jù)總體規(guī)劃、分步實施的總體思路,廣西日報的信息安全建設(shè)分為兩個階段,第一期項目以建設(shè)私有云為主要內(nèi)容,第二期則是在一期的基礎(chǔ)上,建設(shè)私有云和社區(qū)云的混合云為主要內(nèi)容??傮w建設(shè)思路如圖1所示。

2.2 總體技術(shù)架構(gòu)

在傳媒集團(tuán)信息安全建設(shè)中,云計算的最關(guān)鍵技術(shù),就是如何整合計算處理、數(shù)據(jù)存儲和網(wǎng)絡(luò)傳輸三大子系統(tǒng)。在傳統(tǒng)的C/S或B/S計算模式中,往往這三者是松耦合的,而在云計算環(huán)境中,這三者是緊耦合的——通過高速的寬帶網(wǎng)絡(luò)虛擬化技術(shù),將處理資源及存儲資源緊密有機地整合在一個完整的系統(tǒng)中。要實現(xiàn)真正意義上的云計算,必須使處理、存儲、網(wǎng)絡(luò)三大子系統(tǒng)實現(xiàn)以下關(guān)鍵功能:

第一、處理資源虛擬化和網(wǎng)絡(luò)化。處理資源主要包括CPU、內(nèi)存及系統(tǒng)總線,通過虛擬化技術(shù)將CPU、內(nèi)存抽象出來,作為虛擬資源池,再通過虛擬化網(wǎng)絡(luò)將各資源池聯(lián)通,并通過管理系統(tǒng)進(jìn)行統(tǒng)一資源調(diào)度,做到即可多個物理資源整合一個邏輯資源,又可將一個物理資源分割成多個邏輯資源,如現(xiàn)在流行的InfiniBand技術(shù)就是將傳統(tǒng)封閉的PCI/PCI-X/PCI-E總線網(wǎng)絡(luò)化的實例。

第二、存儲資源虛擬化和網(wǎng)絡(luò)化。存儲資源主要包括各種在線、近線甚至離線存儲資源,主流存儲產(chǎn)品均支持各種網(wǎng)絡(luò)化解決方案,包括SAN、ISCSI、NAS等,可以非常便捷地用網(wǎng)絡(luò)管理的思路來管理存儲系統(tǒng)。先進(jìn)的存儲產(chǎn)品可以支持虛擬化或云計算環(huán)境中的數(shù)據(jù)無縫遷移、災(zāi)備、數(shù)據(jù)消重等重要功能,如現(xiàn)在流行的FCOE技術(shù)就是將封閉式存儲數(shù)據(jù)傳輸遷移到高速以太網(wǎng)的實例。

第三、網(wǎng)絡(luò)傳輸寬帶化和標(biāo)準(zhǔn)化。和傳統(tǒng)計算環(huán)境相比,云計算環(huán)境中,網(wǎng)絡(luò)傳遞的不僅是傳統(tǒng)的IP業(yè)務(wù)數(shù)據(jù),更多的將是各種處理資源和存儲資源的數(shù)據(jù),這些數(shù)據(jù)具有極強的實效性(納秒級)、高可用性(99.999999%),并且要求網(wǎng)絡(luò)具備極高的吞吐能力(萬兆級)。同樣重要的是,在傳統(tǒng)網(wǎng)絡(luò)中,IP數(shù)據(jù)是無連接的,而云計算環(huán)境中,網(wǎng)絡(luò)傳輸應(yīng)保障端到端業(yè)務(wù)的可靠性,所以要求網(wǎng)絡(luò)面向連接特性更為嚴(yán)格。這使云計算環(huán)境中核心網(wǎng)絡(luò)和傳統(tǒng)的局域網(wǎng)、廣域網(wǎng)、園區(qū)網(wǎng)有本質(zhì)的區(qū)別。如現(xiàn)在流行的零丟包非阻塞式網(wǎng)絡(luò)就是云計算核心網(wǎng)絡(luò)的實例。圖2為廣西日報私有云建設(shè)總體技術(shù)架構(gòu)圖。

2.3 安全的云計算環(huán)境

在論述云計算環(huán)境的安全性時候,有必要明確的是“安全云”還是“云安全”的概念。“云安全”是信息安全領(lǐng)域最近炒得比較熱話題,但是,“云安全“是各安全廠家借鑒了云計算的共享協(xié)作基本理念和思路,用在各自的信息安全產(chǎn)品的更新和協(xié)作上。使其產(chǎn)品能夠更快速靈活的應(yīng)對各種潛在和突發(fā)的安全威脅。因此,“云安全”只是一種理念,在業(yè)界有相當(dāng)一部分資深人士認(rèn)為“云安全”原理上甚至只是分布拒絕式服務(wù)攻擊或僵尸網(wǎng)絡(luò)攻擊的反其道而行之。而“安全云”的概念和范圍則要比“云安全”要廣得多,技術(shù)深度也不可同日而語。“安全云”是完整的云計算環(huán)境中的信息安全體系,不僅是理念,還包括了各種管理標(biāo)準(zhǔn)、技術(shù)架構(gòu)。因此,在建設(shè)安全的云計算環(huán)境光考慮云安全是遠(yuǎn)遠(yuǎn)不夠的,要結(jié)合管理、技術(shù)、業(yè)務(wù),建設(shè)并完善整個云計算安全體系。圖3是廣西日報的安全云體系架構(gòu)。

建設(shè)廣西日報安全云計算環(huán)境考慮了三方面,一是云計算技術(shù)架構(gòu),二是傳統(tǒng)信息安全體系架構(gòu),三是引入了國內(nèi)外相關(guān)的信息安全法律、法規(guī)和先進(jìn)的安全標(biāo)準(zhǔn)的最佳實踐。這使得廣西日報私有云安全體系建設(shè)較有成效,切實保障了業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行。

2.3.1 云計算環(huán)境下面臨的安全威脅和風(fēng)險

在廣西日報云計算環(huán)境中,主要存在以下的安全威脅和風(fēng)險,如表1所示。

2.3.2 統(tǒng)一集中安全認(rèn)證/授權(quán)/審記

云計算環(huán)境中用戶最大顧慮可能是云計算打破了傳統(tǒng)信息安全的邊界概念,無邊無際,看不見摸不到,如采用傳統(tǒng)的基于邊界和各系統(tǒng)獨立的安全思路,可以設(shè)想下這樣的場景:云計算無邊界限制,入口眾多,各系統(tǒng)權(quán)限分立,安全標(biāo)準(zhǔn)不統(tǒng)一,缺乏事后追溯和跟蹤審記,必將給云計算環(huán)境帶來巨大的安全隱患。因此,在私有云計算環(huán)境中,統(tǒng)一入口、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審記(即AAA安全體系)是極為關(guān)鍵的。

統(tǒng)一入口可以通過建立統(tǒng)一云門戶實現(xiàn),用戶在統(tǒng)一業(yè)務(wù)門戶登陸后,通過統(tǒng)一認(rèn)證產(chǎn)品,集成LDAP和數(shù)字證書等多因強認(rèn)證技術(shù),對用戶提供安全的單點登錄服務(wù);用戶成功登錄后,由統(tǒng)一認(rèn)證系統(tǒng)根據(jù)用戶角色和業(yè)務(wù)系統(tǒng)安全規(guī)則進(jìn)行集中授權(quán);用戶進(jìn)行業(yè)務(wù)操作時或者登出后,由統(tǒng)一認(rèn)證系統(tǒng)在后臺記錄下用戶的操作行為,在必要的時候可支持操作回溯,通過對認(rèn)證、授權(quán)、審記的統(tǒng)一集中,根本上改進(jìn)了云計算環(huán)境下存在的安全隱患。圖4為云計算環(huán)境下集成統(tǒng)一門戶、統(tǒng)一認(rèn)證系統(tǒng)的系統(tǒng)示意圖。

2.3.3 可信計算體系

安全云可信計算體系包括可信身份確認(rèn)、可信資源安全列表、異常操作行為檢測等內(nèi)容??尚派矸荽_認(rèn)可以采用PKI數(shù)字證書信任體系,確保參與云計算的各方的雙法身份;可信資源安全列表可采用云安全技術(shù),建立私有云可信安全列表,同時,可通過安全云快速部署異常行為檢測功能至各主機和應(yīng)用防火墻,通過云計算的靈活性和管理彈性,實現(xiàn)自適應(yīng)、自防御的安全云。

2.3.4 數(shù)據(jù)私密性完整性

可借助基于開放性較好的SSL或SSH等安全技術(shù),對云數(shù)據(jù)傳輸進(jìn)行加密,采用HASH-1對數(shù)據(jù)進(jìn)行校驗,如安全級別要求更高,可采用數(shù)字證書簽名對數(shù)據(jù)進(jìn)行完整性校驗。在實際云計算生產(chǎn)環(huán)境中部署要特別注意兩點,一是如果用戶數(shù)比較多或業(yè)務(wù)流量大,SSL性能應(yīng)通過硬件加速來提升,二是CA中心自身信息安全要特別注意,建議CA采用物理隔離的方式,通過RA來和吊銷證書。

2.3.5 業(yè)務(wù)連續(xù)性保障

對于生產(chǎn)業(yè)務(wù),云計算環(huán)境需要確保其業(yè)務(wù)連續(xù)性,業(yè)務(wù)連續(xù)性主要包括系統(tǒng)高可用性、災(zāi)備和相關(guān)的業(yè)務(wù)切換管理體系。需要對涉及到所有環(huán)節(jié),包括虛擬化的主機、存儲和網(wǎng)絡(luò)等各種資源和業(yè)務(wù)操作系統(tǒng)、中間件、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用做完整的評估分析,制定有針對性的業(yè)務(wù)連續(xù)性計劃,實現(xiàn)系統(tǒng)無單一故障點,同時需要制定出當(dāng)嚴(yán)重故障發(fā)生時業(yè)務(wù)切換計劃,并采取定期演練驗證和改進(jìn)措施,云計算環(huán)境中業(yè)務(wù)的業(yè)務(wù)連續(xù)性架構(gòu)如圖5所示。

2.4 云計算環(huán)境對異構(gòu)客戶端的支持

廣西日報由于新聞傳媒業(yè)務(wù)的特殊性,必定有較多的移動用戶和各種異構(gòu)終端需要隨時隨地訪問各種前端業(yè)務(wù)應(yīng)用,云計算的特色優(yōu)勢之一就是能夠完美地支持不同類型的用戶和各種異構(gòu)終端,包括傳統(tǒng)桌面PC、筆記本電腦,也包括各種操作系統(tǒng)的智能移動終端。當(dāng)然,完美支持iPad、iPhone等時尚數(shù)碼終端也必不可少的。通過私有云的桌面虛擬化技術(shù)將前端界面展示和后端數(shù)據(jù)I/O的職能分別剝離,讓統(tǒng)一的界面擴(kuò)展到幾乎所有類型的終端,顯著的降低了應(yīng)用開發(fā)和部署的投入,規(guī)范了標(biāo)準(zhǔn)的用戶界面,簡化了終端管理,對于二期擴(kuò)展到混合業(yè)務(wù)云提供也了堅實的支持支撐。如圖6所示。

3 云計算實施后的效益評估

第一,利用云計算虛擬化技術(shù),充分整合前臺和后臺計算、處理、存儲資源,極大地提升了硬件資源的利用率,降低了硬件采購成本、管理維護(hù)成本和使用成本,進(jìn)而顯著降低了總擁有成本(TCO)。

第二,通過集成統(tǒng)一門戶和統(tǒng)一身份認(rèn)證系統(tǒng),從根本上改觀了云計算存在的安全性的隱患,確保不同安全級別的業(yè)務(wù)應(yīng)用能夠在安全的區(qū)域內(nèi)穩(wěn)定可靠運行,結(jié)合數(shù)據(jù)保護(hù)和業(yè)務(wù)連續(xù)性保障,形成了云計算環(huán)境下信息安全體系,為業(yè)務(wù)提供了堅定穩(wěn)固的信息安全保障。

第三,統(tǒng)一了用戶界面,支持各種異構(gòu)客戶端訪問,改善了用戶體驗,提升了用戶滿意度;通過先進(jìn)云計算的技術(shù)創(chuàng)新為廣西日報業(yè)務(wù)轉(zhuǎn)型提供有力地支撐,為廣西日報樹立了本地區(qū)乃至國內(nèi)的行業(yè)領(lǐng)先形象打下了良好的基礎(chǔ)。

參考文獻(xiàn)

[1] 周洪波.云計算:技術(shù)、應(yīng)用、標(biāo)準(zhǔn)和商業(yè)模式[M].北京:電子工業(yè)出版社,2011.

[2] 宋迪.“傳媒云”的暢想[J].中國傳媒科技,2011(2).

[3] 本刊編輯部.漫步云端——共話云計算在傳媒領(lǐng)域的應(yīng)用與建設(shè)[J].中國傳媒科技,2011(2).

[4] 云安全聯(lián)盟.云計算關(guān)鍵領(lǐng)域安全指南V2.1.[DB/OL].cloudsecurityalliance.org/.2009.

第2篇:云安全原理與實踐范文

據(jù)介紹,作為互聯(lián)網(wǎng)安全公司,奇虎360公司通過了中國信息安全測評中心的測評,取得了國家信息安全測評證書(安全工程類一級)。同時,360的客戶端產(chǎn)品也通過了國家信息安全產(chǎn)品分級評估測評,并被授予國家信息技術(shù)產(chǎn)品安全測評證書;奇虎360旗下的全線產(chǎn)品也均符合主管部門制定的互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)規(guī)范,以及國內(nèi)外網(wǎng)絡(luò)安全軟件的各項標(biāo)準(zhǔn),因此奇虎360的產(chǎn)品安全可靠。

周鴻祎表示,自從去年8月16日奇虎360推出搜索服務(wù)以來,不斷遭到競爭對手的猛烈攻擊。對于一些虛假報道,360有三個基本的應(yīng)對原則,即及時回應(yīng)、正面回答所有的疑問,以及公開回應(yīng)。

“我認(rèn)為這件事情的本質(zhì),還是奇虎360在中國對巨頭的挑戰(zhàn)與反挑戰(zhàn),未來只要我們還做搜索,只要試圖打破壟斷,這種現(xiàn)象就會不斷出現(xiàn)?!敝茗櫟t如是說。

周鴻祎:任何廠商的殺毒軟件,都有兩個功能,一是對文件的實時監(jiān)控,二是對進(jìn)程的實時監(jiān)控。當(dāng)用戶的電腦運行程序時,360如果不能檢測程序是不是木馬病毒,就不能保護(hù)用戶的電腦安全。

問:某媒體在其報道中稱,360安全衛(wèi)士7.3.0.2003l版本記錄和上傳軟件操作行為,為什么會有這種行為?

答:安全軟件的一個很重要的職責(zé),就是監(jiān)控電腦里運行的程序(數(shù)據(jù)、圖片和office文件不屬于運行的軟件),任何安全軟件公司都有兩個功能,一是對文件的實時監(jiān)控,二是對進(jìn)程的實時監(jiān)控。沒有這兩個功能就不是安全軟件,這是正常功能。當(dāng)用戶的電腦運行程序時,360安全衛(wèi)士如果不能檢測程序是不是木馬病毒,就不能保護(hù)用戶的電腦安全。

同時,安全軟件也都有“進(jìn)程防護(hù)”功能,也就是對即將運行的程序的安全性進(jìn)行判斷。傳統(tǒng)安全軟件是比對本地的特征庫,而基于云的安全軟件需要把應(yīng)用程序的各種特征與云端的海量的特征進(jìn)行比對,進(jìn)而判斷其安全性。

要充分、全面的判斷一個進(jìn)程的安全性,僅僅靠文件自身是不夠的,還需要全面評估文件指紋、文件簽名、命令行參數(shù)等多種信息,因此云安全軟件在判斷進(jìn)程的安全性的過程中必然要與云端進(jìn)行交互。

問: 奇虎360公司的云主防技術(shù),目前達(dá)到了怎樣的防護(hù)效果?

答:奇虎360的云主防技術(shù)是目前國際領(lǐng)先的互聯(lián)網(wǎng)安全技術(shù)。

總體來說,在奇虎360倡導(dǎo)的“免費安全”理念和云安全防護(hù)之下,惡意軟件的增長勢頭較前幾年明顯放緩,木馬疫情開始得到有效控制。特別值得一提的是,2012年以來,木馬等惡意程序攻擊用戶的成功率大幅降低,從以往的1%~3%,下降到如今的千分之五以內(nèi)。2012年,360云安全中心共截獲新增惡意軟件13.7億個,比2011年增加29.7%,增速明顯放緩,新增惡意軟件樣本在2012年前7個月呈現(xiàn)穩(wěn)步下降的態(tài)勢。電腦中毒的主要原因是用戶在木馬病毒的誘導(dǎo)性提示下關(guān)閉了安全軟件的防護(hù)功能。

周鴻祎:現(xiàn)在,網(wǎng)上欺詐釣魚已經(jīng)取代短信詐騙,成為行業(yè)主要公害。當(dāng)用戶進(jìn)入一個假銀行、假電子商務(wù)和假彩票等欺詐網(wǎng)站時,如果奇虎360不能提示攔截,用戶的財產(chǎn)就可能被騙,使用戶蒙受損失。網(wǎng)址云查詢已經(jīng)成為互聯(lián)網(wǎng)安全軟件的必備。

問:有報道稱360公司服務(wù)器上的“用戶隱私”數(shù)據(jù)被谷歌搜索爬蟲抓取,包括瀏覽的網(wǎng)頁、下載過的應(yīng)用、搜索的關(guān)鍵字等,這是什么情況?

答:所謂“隱私數(shù)據(jù)”是360安全衛(wèi)士對可疑網(wǎng)址的查詢記錄,主流安全軟件均采用該機制。這些數(shù)據(jù)只是360安全衛(wèi)士對可疑網(wǎng)址的查詢記錄。

目前各種釣魚、欺詐網(wǎng)站已經(jīng)成為中國網(wǎng)民面臨的主要安全威脅。360安全衛(wèi)士為全國網(wǎng)民每天攔截3000萬次惡意網(wǎng)址訪問。之所以能做到這點,就是得益于基于云的網(wǎng)址安全體系。事實上,這也是目前主流安全軟件的通行做法。

至于為何會在網(wǎng)址中出現(xiàn)用戶名和密碼,是由于極少數(shù)網(wǎng)站缺乏安全意識,把用戶口令編寫在網(wǎng)址中。打個比方,就好像銀行給用戶郵寄信用卡的郵件,把卡號和密碼寫在了信封上。對于這類存在安全缺陷的網(wǎng)站,360安全衛(wèi)士也采取了措施,過濾可能帶有用戶數(shù)據(jù)的網(wǎng)址。

問:據(jù)稱,360瀏覽器有“后門”,從服務(wù)器定期下載dll可執(zhí)行程序?

答:上述報道中提到的dll文件,實際上只是配置文件,并不具有“遙控”作用。

其實,配置文件做成dll形式并添加數(shù)字簽名校驗是安全軟件的常規(guī)做法,可以保證程序在加載配置文件時,能夠確認(rèn)文件沒有被木馬篡改過。

這種做法還可避免下載文件時被中間人攻擊。比如黑客通過ARP攻擊劫持下載過程,返回由黑客構(gòu)造的惡意配置文件。

進(jìn)一步解釋的話,5分鐘一次的檢查更新,是360安全瀏覽器的一種保護(hù)網(wǎng)購安全的快速攻防機制,360安全瀏覽器作為上網(wǎng)安全的第一道防線,需要具備這種能力。所有安全軟件都有類似的行為。

360安全瀏覽器有針對釣魚網(wǎng)址的云查詢技術(shù),但是釣魚網(wǎng)站的技術(shù)有很多種,不僅限于只有假冒網(wǎng)址的攻擊,公安部門破獲的“浮云”網(wǎng)購木馬,就是通過QQ號給買家傳文件的方式運行起來并注入瀏覽器,進(jìn)而篡改用戶的網(wǎng)購訂單,將收款人換成自己來牟利,獲利上千萬元。而且通過遠(yuǎn)程控制,攻擊方式不斷變化,一天內(nèi)變化能超過7次以上。

為了對付這些行為,360安全瀏覽器也需要這種更新機制來進(jìn)行更快速的攻防實踐。2012年,360安全瀏覽器攔截釣魚網(wǎng)站18億次。如果按每次網(wǎng)購用戶的損失約為500元計算,2012年360安全瀏覽器共計防止用戶遭受9000億元的損失。

同時,360安全瀏覽器下載的dll只是數(shù)據(jù)文件,這種通過dll內(nèi)置數(shù)據(jù)文件來防止篡改的方式,奇虎360公司在2012年3月專門申請了專利。此外,下載的dll資源文件會被驗證簽名,如果簽名不對,則不會被加載。報道中提到的一個沒有簽名的dll被調(diào)用,是因為分析者在測試環(huán)境中用調(diào)試工具破壞了校驗機制導(dǎo)致的,在真實環(huán)境是不可能發(fā)生的。

問:報道中還稱,360安全瀏覽器“浸潤”網(wǎng)銀安全,屏蔽權(quán)威認(rèn)證機構(gòu)VeriSign,換為自己的認(rèn)證機制。

答:360瀏覽器并未屏蔽VeriSign認(rèn)證。現(xiàn)在,網(wǎng)上欺詐釣魚已經(jīng)取代短信詐騙,成為行業(yè)主要公害。當(dāng)用戶進(jìn)入一個假銀行、假電子商務(wù)、假彩票等欺詐網(wǎng)站時,如果360安全瀏覽器不能提示攔截,用戶可能就會被騙財,蒙受損失。網(wǎng)址云查詢已經(jīng)成為互聯(lián)網(wǎng)安全軟件的必備。如果360安全瀏覽器訪問被DNS劫持的銀行,用戶看到強烈的提示頁面,用戶就不會進(jìn)行下一步操作了。所以根本不存在360安全瀏覽器屏蔽Versign認(rèn)證,如果屏蔽,這個攔截網(wǎng)頁根本不會出現(xiàn)。用戶可以自行下載360安全瀏覽器來驗證,將系統(tǒng)時間改成“2010-1-1”就能重現(xiàn)。此外,攔截釣魚網(wǎng)站光憑Versign的認(rèn)證是不夠的,很多網(wǎng)站都沒有購買證書,所以360安全瀏覽器推出了“網(wǎng)站名片”功能,參考國家的ICP備案信息庫和其他認(rèn)證機構(gòu)數(shù)據(jù),對于域名經(jīng)過認(rèn)證的網(wǎng)站,給用戶更多的信息,幫助用戶識別釣魚網(wǎng)站。

對于已知的惡意網(wǎng)站,360安全瀏覽器會通過網(wǎng)址云安全技術(shù)進(jìn)行攔截,多種鑒別方式能幫助用戶更好地識別釣魚網(wǎng)站。而最新推出的“照妖鏡”功能,更是能對各種未知網(wǎng)站進(jìn)行“一鍵云鑒定”,對“閃騙”網(wǎng)站進(jìn)行打擊。

周鴻祎:任何一個互聯(lián)網(wǎng)公司做的軟件,從輸入法到播放器,都具備實時在線升級功能,奇虎360公司的安全軟件更是如此。當(dāng)互聯(lián)網(wǎng)上出現(xiàn)一個新木馬、新的攻擊方式時,奇虎360通過V3模塊及時把新的查殺代碼程序升級到用戶的電腦中。事實上,自動升級在國外安全軟件中廣泛存在。

問:報道稱,360“利用V3升級偷偷卸載競爭對手產(chǎn)品,安裝推廣軟件”,這些行為是否存在?

答:V3是360安全衛(wèi)士升級程序版本號,絕不會偷偷卸載競爭對手產(chǎn)品和安裝推廣軟件。眾所周知,互聯(lián)網(wǎng)軟件都帶有升級功能。任何一個互聯(lián)網(wǎng)公司做的軟件,從輸入法到播放器,都具備實時在線升級功能。特別為了有效對抗快速變化的木馬和0day漏洞,要求安全軟件必須能快速升級響應(yīng),國內(nèi)外主流安全軟件全都如此。奇虎360的安全軟件更是如此,當(dāng)互聯(lián)網(wǎng)上出現(xiàn)一個新木馬、新的攻擊方式時,奇虎360通過V3模塊及時把新的查殺代碼程序升級到用戶的電腦中。

某媒體報道中提到的“V3”就是升級程序的版本號,代表的是第三個主要版本,其作用是把木馬防御規(guī)則、補丁更新等安全特性快速升級,根本不會偷偷卸載競爭對手產(chǎn)品和安裝推廣軟件。同時,用戶也可以在360安全衛(wèi)士的設(shè)置界面中,選擇是否開啟自動升級。

問:此外,報道中還提及了360安全軟件的“自我保護(hù)”功能,對此奇虎360公司有何解釋?

答:安全軟件如果連自己都保護(hù)不了,怎么可能有效地攔截木馬?

現(xiàn)實中,每天木馬都在和360安全軟件做攻防斗爭,不斷想辦法繞開360安全軟件,我們也在更新360安全軟件的主動防御規(guī)則,加強自我保護(hù),對程序運行的過程進(jìn)行評分,如果符合某幾個木馬特征,分?jǐn)?shù)到了一定程度,360安全軟件就會報警攔截。這些技術(shù)原理屬于安全軟件的秘籍,因為各個安全軟件比拼誰更有效果,就是比拼誰能對付未知的新木馬。做安全也不會一勞永逸,我們每天都在和木馬黑客做攻防斗爭。

要應(yīng)對木馬病毒新的攻擊方法,我們專門有上百名分析人員,每天在機器分析各種木馬的行為。我們總結(jié)了上萬條的木馬行為特征,用這些行為特征綜合判斷才能抵御木馬病毒的不斷變異。

當(dāng)然,360安全軟件的“自我保護(hù)”只是針對病毒和木馬,如果用戶通過正常途徑,是完全可以卸載奇虎360公司的相關(guān)產(chǎn)品的。

周鴻祎:奇虎360公司是互聯(lián)網(wǎng)顛覆式創(chuàng)新的典型案例。顛覆式創(chuàng)新是對壟斷巨頭的顛覆,這種顛覆式的創(chuàng)新一旦取得勝利,就搬掉了壓在行業(yè)頭上的一座大山,受益的也將是整個行業(yè)和廣大的中小企業(yè),所以奇虎360不是“一枝黃花”。

問:有報道將奇虎360比喻成為互聯(lián)網(wǎng)的“一枝黃花”,對此您怎么看?

答: 奇虎360是互聯(lián)網(wǎng)顛覆式創(chuàng)新的典型案例。顛覆式創(chuàng)新是對壟斷巨頭的顛覆,這種顛覆式的創(chuàng)新一旦取得勝利,就搬掉了壓在行業(yè)頭上的一座大山,受益的也將是整個行業(yè)和廣大的中小企業(yè),所以奇虎360不是“一枝黃花”。

問: 奇虎360這幾年發(fā)展很快,行業(yè)地位顯著提升,360已經(jīng)進(jìn)入互聯(lián)網(wǎng)巨頭俱樂部了嗎?

答: 奇虎360不是巨頭,算是互聯(lián)網(wǎng)第二梯隊公司。打個比方,如果百度是20歲的青年、騰訊是40歲的壯年的話,那么奇虎360還只是剛剛上小學(xué)的兒童。盡管奇虎360在中國互聯(lián)網(wǎng)安全領(lǐng)域占據(jù)了90%以上的市場規(guī)模,但從收入規(guī)模、人員規(guī)模、資金儲備等方面看,還都處于發(fā)展的初級階段。奇虎360仍是一家創(chuàng)業(yè)公司,自身發(fā)展還捉襟見肘,根本談不上巨頭。但是,因為奇虎360敢于向行業(yè)壟斷者挑戰(zhàn),從而引發(fā)了行業(yè)巨頭的多次打壓。

問:在外界看來,奇虎360公司已經(jīng)成為互聯(lián)網(wǎng)行業(yè)的成功者,奇虎360有哪些可資借鑒的成功經(jīng)驗?

答: 奇虎360的商業(yè)模式是,利用免費安全積累了4億多用戶并在海量用戶的基礎(chǔ)上建設(shè)開放平臺,所有互聯(lián)網(wǎng)公司把內(nèi)容接入360開放平臺,最后奇虎360與合作伙伴利益共享。也就是說,奇虎360與互聯(lián)網(wǎng)上一切影視、游戲、新聞、電商等一切內(nèi)容廠商都是朋友,360開放平臺的模式構(gòu)建了健康的互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài),促進(jìn)中國互聯(lián)網(wǎng)的繁榮。

問:產(chǎn)生“大樹之下寸草難生”的原因是什么?您認(rèn)為誰是互聯(lián)網(wǎng)的“一枝黃花”呢?

答:從根本上來說,“大樹之下寸草難生”的原因就是中國互聯(lián)網(wǎng)領(lǐng)域缺乏創(chuàng)新。創(chuàng)業(yè)公司要想發(fā)展起來,不能依靠大公司的游戲規(guī)則,必須建立新的商業(yè)模式,破壞掉大公司已有的格局,吸引用戶。

過去十年中,中國互聯(lián)網(wǎng)行業(yè)獲得了高速發(fā)展,也產(chǎn)生了很多市值上百億、幾百億美元的公司。但當(dāng)前互聯(lián)網(wǎng)行業(yè)問題重重,比如壟斷、不正當(dāng)競爭等,其中最為很多創(chuàng)業(yè)者痛恨的就是缺乏創(chuàng)新、抄襲。

在這樣的行業(yè)格局下,一個小公司想起來往往是困難重重。所以小公司想創(chuàng)業(yè)不能依靠大公司的游戲規(guī)則,必須靠新的商業(yè)模式,吸引用戶。同時,我們要拋掉成者王侯敗者寇,唯成功論這樣的思想。不能迷戀和崇拜大公司,覺得大公司成功、收入高,他們了不起;相反,越是需要支持的小公司越應(yīng)該得到支持,今天的我們對于創(chuàng)業(yè)公司,過于求全責(zé)備。

周鴻祎:都是搜索惹的禍,針對奇虎360公司的“抹黑”都是從去年8月16日奇虎360公司搜索服務(wù)開始的。某媒體的報道主要指責(zé)的是“360能干什么”而不是“360干了什么”。這就是典型的陰謀論式推理——因為它的功能強大,所以就有可能作惡。

問:奇虎360公司搜索服務(wù),一個月之內(nèi)就拿到了近10%的市場份額,成為了市場的第二名,依靠的是什么?

答:應(yīng)該說,近兩年來中國搜索市場的服務(wù)并不能叫人滿意。由于壟斷,中國的搜索市場存在諸多問題:推廣鏈接混雜,在自然搜索結(jié)果中以假亂真;詐騙網(wǎng)站高居搜索首頁;搜索結(jié)果被進(jìn)行了大量的人工干預(yù)……市場壟斷巨頭以競價排名的商業(yè)模式,致使假醫(yī)假藥等各種虛假信息、網(wǎng)絡(luò)欺詐在中國互聯(lián)網(wǎng)泛濫成災(zāi)。

應(yīng)該說,正是看到了市場的機遇,奇虎360推出了搜索服務(wù),同時奇虎360也應(yīng)該感謝行業(yè)壟斷者,其不注重用戶體驗的做法,使奇虎360獲得了為網(wǎng)民提供更好服務(wù)的機會。

360搜索一經(jīng)推出,便受到了用戶的認(rèn)可與歡迎,也獲得10%的市場份額,這主要有三點原因:

首先,長期以來搜索市場的壟斷,網(wǎng)民希望擁有選擇權(quán),希望能有第二家搜索服務(wù)商進(jìn)入市場;

其次,360安全網(wǎng)址導(dǎo)航擁有的海量用戶基礎(chǔ);

再次,360安全品牌的價值和口碑,贏得了用戶的信賴。

問:奇虎360公司自搜索服務(wù)以來,都經(jīng)歷了哪些“謠言”?

答:自2012年8月360搜索推出后,奇虎360公司和產(chǎn)品遭遇到許多詆毀和攻擊。

都是搜索惹的禍,針對奇虎360的抹黑都是從去年8月16日其搜索服務(wù)開始的。某報道采用的邏輯是惡毒的,整篇報道主要指責(zé)的是“360能干什么”而不是“360干了什么”。

不要說一個安全軟件,就是一個輸入法,如果想變成木馬,也隨時都可以。這就是典型的陰謀論式推理——因為它的功能強大,所以就有可能作惡!

對于這半年的“被抹黑”,可以總結(jié)為三點因素:

第一,因為奇虎360推出搜索服務(wù),觸動了太多公司的利益。

第二,360搜索推出一周就拿到10%的市場份額,而且計劃每年市場份額增加10%,這將對市場產(chǎn)生巨大改變。

第三,360搜索導(dǎo)致資本市場對搜索行業(yè)有了新的看法。

問:未來360搜索的目標(biāo)是什么?

答:奇虎360公司具有正確的理念和價值觀戰(zhàn),始終堅持將網(wǎng)民的利益放在第一位。

我們相信,真實、安全的360搜索一定會贏得更多用戶。

第三方數(shù)據(jù)顯示,360搜索的市場份額已上升到15%,我們目標(biāo)是在2013年年底,將360搜索的市場份額提升到20%,到2014年底提升至30%,2015年年底提升至40% 。

第3篇:云安全原理與實踐范文

另外,戴爾數(shù)據(jù)中心解決方案部門在最近戴爾邁向云計算之旅的演講中形容云計算的熱度時這樣說:“有人認(rèn)為云計算無所不能,甚至能夠解決全球的饑餓問題。”毫無疑問,云計算已經(jīng)成為IT業(yè)的主旋律:無論是亞馬遜、Google,還是IBM、微軟都在積極謀劃“云計算”布局。隨著IT巨頭的推動和用戶信任感不斷提高,云計算的市場潛力巨大,未來幾年將繼續(xù)保持較快增長的勢頭。

[關(guān)鍵詞] IT產(chǎn)業(yè);云計算;戰(zhàn)略技術(shù)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 04. 036

[中圖分類號] F270.7;TP393 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2014)04- 0073- 03

1 論文的意義

隨著中國石油業(yè)務(wù)和市場的不斷擴(kuò)展,作為中國石油下游的煉化企業(yè)對IT建設(shè)和運營提出了更高的要求,IT部門越來越成為企業(yè)實現(xiàn)創(chuàng)新發(fā)展的源泉,真正實現(xiàn)客戶和市場驅(qū)動的運營模式。面對新的挑戰(zhàn),一方面需要IT服務(wù)能力能夠?qū)崿F(xiàn)快速交付;同時,企業(yè)內(nèi)部的IT系統(tǒng)規(guī)模不斷增大,各類業(yè)務(wù)系統(tǒng)的數(shù)據(jù)業(yè)務(wù)數(shù)量日益龐雜,如果繼續(xù)采用傳統(tǒng)從硬件到應(yīng)用相對獨立的煙囪式運營發(fā)展模式,IT設(shè)備采購和部署將面臨越來越大的壓力,各類IT設(shè)備(網(wǎng)絡(luò)、服務(wù)器、存儲等)的資源將無法得到充分利用,從而在一定程度上制約了企業(yè)的快速發(fā)展。

通過企業(yè)內(nèi)部云計算的謀劃、布局,可以提高系統(tǒng)遷移和部署速度,提高資源利用率,降低資產(chǎn)和維護(hù)成本,并為在建和擬建信息系統(tǒng)提供最先進(jìn)的技術(shù)支持,以很小的投入,解決企業(yè)各信息系統(tǒng)對IT資源的需求,保障未來企業(yè)信息化建設(shè)的可持續(xù)發(fā)展。

2 云計算介紹

2.1 云計算的定義

云計算秉承“按需服務(wù)”的理念,狹義的云計算指云系統(tǒng)的可配置計算資源共享池(如:硬件、平臺、軟件)的交付和使用模式,廣義的云計算指服務(wù)的交付和使用模式,即用戶通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的云系統(tǒng)的可配置計算資源/服務(wù)。云計算是商業(yè)模式的創(chuàng)新,主要實現(xiàn)形式包括 SaaS、PaaS 和 IaaS。

2.2 云計算的基本原理

云計算的基本原理是:通過使計算分布在大量的分布式計算機上,而非本地計算機或遠(yuǎn)程服務(wù)器中,數(shù)據(jù)中心的運行將更與互聯(lián)網(wǎng)相似,使得中心能夠?qū)①Y源切換到需要的應(yīng)用。同時,云計算也是一種商業(yè)計算模型,它將計算任務(wù)分布在大量計算機構(gòu)成的資源池上,使用戶能夠按需獲取計算力、存儲空間和信息服務(wù)。這種資源池稱為“云”。“云”是一些可以自我維護(hù)和管理的虛擬計算資源,通常是一些大型服務(wù)器集群,包括計算服務(wù)器、存儲服務(wù)器和寬帶資源等。

2.3 云計算的服務(wù)模型

在互聯(lián)網(wǎng)的第一次革命中三層(或n 層)模型作為一般架構(gòu)出現(xiàn),但虛擬化在云中的應(yīng)用創(chuàng)造出一組新層:應(yīng)用程序、服務(wù)和基礎(chǔ)設(shè)施。從當(dāng)前的發(fā)展?fàn)顩r看,云計算的服務(wù)模式可以分為基礎(chǔ)設(shè)施即服務(wù)(IaaS),平臺即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)三種。如圖1所示:

其主要特征:

(1)按需服務(wù)性:云計算服務(wù)應(yīng)能夠快速自動化地滿足用戶對服務(wù)功能、服務(wù)實例等服務(wù)交付內(nèi)容的申請,變更,取消等操作,使用戶的需求能夠即時得到滿足;

(2)彈性:云計算服務(wù)應(yīng)具有快速伸縮的能力,用戶可隨時申請、釋放和調(diào)整云計算服務(wù)資源的使用;

(3)網(wǎng)絡(luò)依存性:云計算服務(wù)的使用者通過網(wǎng)絡(luò)訪問計算,存儲資源以及各種服務(wù); 可計量:云計算服務(wù)本身應(yīng)具備將用戶使用的計算、存儲及其他特定功能的服務(wù)按照合理一致的標(biāo)準(zhǔn)進(jìn)行細(xì)粒度地計量的能力。

2.4 云計算技術(shù)演進(jìn)路線

云計算是并行計算(Parallel )、分布式計算(Distributed)、網(wǎng)格計算(Grid)發(fā)展,或者說是這些計算機科學(xué)概念的商業(yè)實現(xiàn),是虛擬化(Virtualization)、 效用計算(Utility Computing)、面向服務(wù)(SOA)、IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺即服務(wù))、SaaS(軟件即服務(wù))等概念混合演進(jìn)并躍升的結(jié)果。

2.5 構(gòu)建云計算平臺IaaS,PaaS和SaaS

按需部署是云計算的核心。要解決好按需部署,必須解決好資源的動態(tài)可重構(gòu)、監(jiān)控和自動化部署等、而這些又需要以虛 擬化技術(shù)、高性能存儲技術(shù)、處理器技術(shù)、高速互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)。所以云計算除了需要仔細(xì)研究其體系結(jié)構(gòu)外,還要特 別注意研究資源的動態(tài)可重構(gòu)、自動化部署、資源監(jiān)控、虛擬化技術(shù)、高性能存儲技術(shù)、處理器技術(shù)等。

以關(guān)鍵技術(shù)為支撐,以IT資源為對象進(jìn)行整合,構(gòu)建云計算平臺,即基礎(chǔ)設(shè)施即服務(wù)(IaaS),平臺即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)三個層次,如圖3所示。

在基于同一軟硬件平臺的基礎(chǔ)上,實現(xiàn)IT基礎(chǔ)架構(gòu)從簡化整合、虛擬化、自動供應(yīng)到云計算的整合方向,資源整合過程演進(jìn)圖,如圖4所示。

3 云計算技術(shù)在煉化企業(yè)的應(yīng)用前景

目前,隨著中國石油煉化一體化業(yè)務(wù)的發(fā)展,行業(yè)正處于從傳統(tǒng)企業(yè)向數(shù)字化企業(yè)轉(zhuǎn)變的關(guān)鍵時期,企業(yè)管理數(shù)字化、信息化、網(wǎng)絡(luò)化是社會發(fā)展的必然趨勢,數(shù)字企業(yè)則是信息化社會的主體。從橫向看,整個煉化企業(yè)的業(yè)務(wù)層次又可分為三個主要層次:生產(chǎn)運行管理、以ERP為核心的運營管理和日常辦公平臺。

信息系統(tǒng)系統(tǒng)應(yīng)用于煉化企業(yè)的整個產(chǎn)業(yè)鏈,除了上述業(yè)務(wù)應(yīng)用系統(tǒng)外,還建立諸如安全、網(wǎng)絡(luò)、數(shù)據(jù)中心等基礎(chǔ)設(shè)施平臺及相應(yīng)的信息系統(tǒng)運維管理系統(tǒng),從而構(gòu)建出一個完整的業(yè)務(wù)信息系統(tǒng)支撐體系。

3.1 煉化企業(yè)云計算的理論模型

根據(jù)上述煉化企業(yè)自身特點,結(jié)合信息化建設(shè)的現(xiàn)狀,提出煉化企業(yè)的云計算理論模型,如圖5所示。

總體上看,云計算平臺分為“資源服務(wù)層”,“管理平臺”,“服務(wù)界面”三個邏輯層次。這三個層次共同組成了云計算的功能核心,實現(xiàn)自底向上的云服務(wù)供應(yīng)與監(jiān)控。為保證云計算核心功能的正常運行,云計算平臺還包含了“安全管理層”和“運行維護(hù)層”兩大輔助管理層,這兩大輔助管理層的服務(wù)涵蓋了云計算平臺的整個核心。安全管理層為核心的三個層次提供安全支持,實現(xiàn)高可用、安全議問、用戶隔離和權(quán)限分配等服務(wù)。運維管理層為核心的三個層次提供運行維護(hù)的支撐,包括資源用量度量和用戶管理等服務(wù)。

3.2 基于理論模型的實踐研究

3.2.1 建立煉化企業(yè)的云計算管理平臺

建立一個可對企業(yè)各統(tǒng)建應(yīng)用系統(tǒng)所使用的服務(wù)器、存儲、網(wǎng)絡(luò)、平臺、中間件、應(yīng)用軟件等資源進(jìn)行虛擬化管理、監(jiān)控管理、資源調(diào)配管理、風(fēng)險管理、運維流程管理,并提供管理門戶。

統(tǒng)一規(guī)劃和部署硬件資源,提高硬件使用率,降低硬件成本。通過服務(wù)器虛擬化、存儲虛擬化和網(wǎng)絡(luò)虛擬化等技術(shù)將相關(guān)的硬件資源進(jìn)行整合,形成統(tǒng)一的硬件資源池。根據(jù)應(yīng)用系統(tǒng)的需要分配必須的資源,實現(xiàn)服務(wù)器的快速部署并且可以根據(jù)應(yīng)用系統(tǒng)實際工作負(fù)載動態(tài)調(diào)整資源分配,保證應(yīng)用系統(tǒng)的正常高效運行。通過資源的整合實現(xiàn)綠色數(shù)據(jù)中心的建設(shè),發(fā)揮集中統(tǒng)一信息系統(tǒng)的優(yōu)勢,減少信息系統(tǒng)的運行能耗,持續(xù)降低總體擁有成本。

3.2.2 建立包含基礎(chǔ)設(shè)施、平臺的統(tǒng)一規(guī)劃和資源部署平臺

建立包含基礎(chǔ)設(shè)施(IaaS)、平臺(PaaS)即服務(wù)的全面的云計算服務(wù)結(jié)構(gòu)?;A(chǔ)設(shè)施即服務(wù)指的是為用戶提供服務(wù)器、存儲、網(wǎng)絡(luò)等硬件資源的服務(wù);平臺即服務(wù)指的是為用戶提供平臺、中間件等資源的服務(wù)。

根據(jù)煉化企業(yè)內(nèi)部各系統(tǒng)對各類基礎(chǔ)軟件的不同需求,將操作系統(tǒng)、中間件和數(shù)據(jù)庫等系統(tǒng)軟件定制為標(biāo)準(zhǔn)模板,快速為應(yīng)用系統(tǒng)的開發(fā)、測試和部署提供包含技術(shù)資源、存儲資源、操作系統(tǒng)、中間件等模板的運行平臺。簡化應(yīng)用系統(tǒng)的開發(fā)、測試和部署。

以客戶為中心,通過服務(wù)交付的方式將IT基礎(chǔ)架構(gòu)的計算能力提供給不同類型的客戶,提高軟硬件資源的使用率,簡化應(yīng)用系統(tǒng)的維護(hù)工作,提高工作效率。

3.2.3 建立煉化企業(yè)生產(chǎn)、災(zāi)備數(shù)據(jù)中心的云計算架構(gòu)

建立煉化企業(yè)內(nèi)部數(shù)據(jù)中心的云計算架構(gòu),分別是生產(chǎn)云、同城云和異地云。生產(chǎn)云以在線數(shù)據(jù)中心為基礎(chǔ),主要提供用于生產(chǎn)系統(tǒng)的資源;同城云以同城災(zāi)備數(shù)據(jù)中心為基礎(chǔ),和生產(chǎn)云之間為互備關(guān)系,主要用于與生產(chǎn)系統(tǒng)互備的資源;異地云以異地數(shù)據(jù)中心為基礎(chǔ),主要提供用于備份生產(chǎn)系統(tǒng)的資源。

3.2.4 建立為用戶提供NT平臺資源和Unix平臺資源的云計算平臺

建立為用戶提供NT平臺(虛擬)資源和Unix平臺(虛擬)資源的云計算平臺,首先進(jìn)行NT平臺虛擬化試點,納入相關(guān)系統(tǒng);試點完成后,再對所有同類應(yīng)用系統(tǒng)進(jìn)行NT平臺虛擬化推廣;在NT平臺虛擬化實施完成后,對所有除NT類系統(tǒng)以外的系統(tǒng)進(jìn)行Unix平臺虛擬化實施。

4 結(jié) 論

在云計算的大趨勢下,不僅包括計算機、通信、互聯(lián)網(wǎng)、媒體內(nèi)容等在內(nèi)的整個信息服務(wù)產(chǎn)業(yè)發(fā)生全面重組洗牌,軟件產(chǎn)業(yè)結(jié)構(gòu)將面臨大調(diào)整,軟件生產(chǎn)組織方式向敏捷、定制化、服務(wù)化方向變革,網(wǎng)絡(luò)端設(shè)備更加多元化和個性化;而且會出現(xiàn)大眾普遍參與、形成群體智慧的新局面,從而對社會的組織形式和人們的生活方式都產(chǎn)生深遠(yuǎn)的影響。這一切,都將為善于擁抱變化、善于創(chuàng)新的企業(yè)創(chuàng)造難得的歷史性機遇。但是,云計算給人們帶來創(chuàng)新和變革的同時,對安全問題也提出了更高的要求。無論是云計算服務(wù)的提供商還是使用者,對云計算技術(shù)背后的安全性問題都必須有足夠的認(rèn)識,只有深刻認(rèn)識到云技術(shù)的優(yōu)點和風(fēng)險,才能更好地在現(xiàn)實生活中科學(xué)合理地利用云技術(shù),充分發(fā)揮其帶來的巨大效益和優(yōu)勢。。

主要參考文獻(xiàn)

[1][美]尼古拉斯·卡爾.IT不再重要:互聯(lián)網(wǎng)大轉(zhuǎn)換的制高點——云計算[M].閆鮮寧,譯.北京:中信出版社,2008.

[2]王金波.虛擬化與云計算[M].北京:電子工業(yè)出版社,2009.

第4篇:云安全原理與實踐范文

關(guān)鍵詞:云計算;云數(shù)據(jù)庫;企業(yè)應(yīng)用

1、云計算概述

云計算是近幾年來最熱門的互聯(lián)網(wǎng)詞匯之一。自從1983年由Sun Microsystems公司提出“網(wǎng)絡(luò)是電腦”的概念,到2006年亞馬遜推出彈性計算云(Elastic Compute Cloud,EC2)的服務(wù),云計算的理念逐步從抽象走向具體。2006年8月9日,Google公司首席執(zhí)行官埃里克·施密特在搜索引擎大會(SESSan Jose 2006)首次提出“云計算”(Cloud Computing)的概念,這標(biāo)志著云計算正式登上信息技術(shù)領(lǐng)域的舞臺。

宏觀上來看,云計算是有效整合計算資源的新型業(yè)務(wù)模式,它是基礎(chǔ)的服務(wù)器虛擬化技術(shù)和基礎(chǔ)架構(gòu)即服務(wù)(IaaS,Infrastructure as a Service)兩者的結(jié)合。其本質(zhì)是使某一個或多個數(shù)據(jù)中心的計算資源虛擬化并進(jìn)行整合封裝,以租用資源的方式向上層提供各種方式的服務(wù)。簡單來說,就是將位于不同地點的計算資源在后臺整合起來,統(tǒng)一為某一需求或應(yīng)用進(jìn)行服務(wù)。

云計算的優(yōu)勢主要體現(xiàn)在,按需采用“即用即付費”的方式分配計算、存儲和帶寬資源,使資源實現(xiàn)合理分配與利用;動態(tài)擴(kuò)展功能和部署新服務(wù)的高可擴(kuò)展性,決定云計算擁有十分廣闊的應(yīng)用前景;各類資源的高利用率等。同時,云計算還集成了并行計算的良好特性:分布式計算中任務(wù)分解、分別執(zhí)行、結(jié)果匯總的計算模式;網(wǎng)格計算中將地理上分布、系統(tǒng)異構(gòu)的多種計算資源互連協(xié)同解決大型應(yīng)用問題的作業(yè)模式;對等計算中計算資源的組織和發(fā)現(xiàn)方式;公用計算中將聚合計算資源封裝成公共服務(wù)的資源高用率使用模式;虛擬計算環(huán)境iVCE下用戶將富余資源按需聚合和自主協(xié)同的思想。

云計算服務(wù)包含三個層次:由底層硬件或虛擬機資源構(gòu)建的基礎(chǔ)設(shè)施即服務(wù)(IaaS)、構(gòu)建在云基礎(chǔ)設(shè)施上,主要用來開發(fā)各種云計算應(yīng)用軟件平臺即服務(wù)(Paas)和基于云平臺開發(fā)的各類應(yīng)用服務(wù)的軟件即服務(wù)(saaS)。

2、云數(shù)據(jù)庫

2.1 云數(shù)據(jù)庫概述

云數(shù)據(jù)庫(Cloud DB),是一個面向云計算的數(shù)據(jù)庫資源管理平臺,旨在通過云計算的方式整合現(xiàn)有的大量位于Internet后臺的數(shù)據(jù)庫資源,為云計算應(yīng)用的基礎(chǔ)結(jié)構(gòu)級別的數(shù)據(jù)庫資源訪問、發(fā)現(xiàn)、整合等多方面問題提供通用的解決方案。

目前,云數(shù)據(jù)庫的研究工作在國內(nèi)正處于起步階段。Google、Microsoft、百度、新浪、騰訊、盛大等眾多擁有豐富數(shù)據(jù)資源或計算實力的信息技術(shù)企業(yè)正走在云計算大潮的前列。各大云計算平臺服務(wù)商都在急速提升平臺優(yōu)勢,拓寬合作層面,因此各企業(yè)利用現(xiàn)有的的云平臺進(jìn)行數(shù)據(jù)計算和處理,推出創(chuàng)新服務(wù),是企業(yè)和平臺供應(yīng)商的共贏之道。

2.2 云數(shù)據(jù)庫的優(yōu)勢

從云數(shù)據(jù)庫的實現(xiàn)原理來看,云計算采用分布式存儲的方式來存儲數(shù)據(jù),采用冗余存儲的方式來保證存儲數(shù)據(jù)的可靠性。另外,云計算系統(tǒng)需要同時滿足大量用戶的需求,并行地為大量用戶提供服務(wù)。因此,云計算的數(shù)據(jù)存儲技術(shù)必須擁有高吞吐和高傳輸?shù)奶攸c。1,數(shù)據(jù)管理技術(shù)必須能夠高效的管理大數(shù)據(jù)集,同時必須在規(guī)模巨大的數(shù)據(jù)中找到特定的數(shù)據(jù)。云計算的特點是對海量的數(shù)據(jù)存儲、讀取后進(jìn)行大量的分析,數(shù)據(jù)的讀操作頻率遠(yuǎn)大于數(shù)據(jù)的更新頻率,云中的數(shù)據(jù)管理是一種讀優(yōu)化的數(shù)據(jù)管理。同時在云后臺,云安全的各種措施與應(yīng)用對于保障云數(shù)據(jù)庫的安全性方面提供了可靠保證。

在應(yīng)用層面來看,云計算較目前比較常用的關(guān)系數(shù)據(jù)庫在性能上存在很大的優(yōu)勢。首先,云數(shù)據(jù)庫本質(zhì)上大多是非事務(wù)的,并且犧牲了一些高級查詢能力以換取更好的性能。另一方面,云數(shù)據(jù)庫通常又是非關(guān)系的,因此,云數(shù)據(jù)庫的使用上忽略了許多的規(guī)則。例如JOIN操作,這一操作在當(dāng)數(shù)據(jù)分散到不同機器上的時候會占用較長時間,因此不適合云計算分布式的底層設(shè)計。

3、云數(shù)據(jù)庫在企業(yè)中的應(yīng)用

將云數(shù)據(jù)庫應(yīng)用到企業(yè)的管理系統(tǒng)中,在很多問題上都能給出較好的解決方案,如將云計算的理念引入數(shù)據(jù)庫系統(tǒng)、基于云計算的平臺與設(shè)施在數(shù)據(jù)庫管理系統(tǒng)中的應(yīng)用問題、數(shù)據(jù)庫管理系統(tǒng)對云計算的質(zhì)量與性能要求即評價問題、云環(huán)境下數(shù)據(jù)庫資源的安全與保密問題等。首先,基于云計算的系統(tǒng)能夠節(jié)約計算機、網(wǎng)絡(luò)交換器等硬件設(shè)備的購買和維護(hù)成本。同時可以為企業(yè)提供相對經(jīng)濟(jì)的應(yīng)用軟件服務(wù)。

典型的云數(shù)據(jù)庫管理系統(tǒng)一般分為兩部分:一部分為服務(wù)端,另一部分為客戶端。服務(wù)端主要是企業(yè)基于云數(shù)據(jù)庫搭建的信息管理系統(tǒng),一般架設(shè)在企業(yè)的服務(wù)器或大型主機,由企業(yè)相關(guān)部門統(tǒng)一管理。客戶端主要應(yīng)用于各辦公室,辦公人員通過該客戶端進(jìn)行登陸并發(fā)出應(yīng)用請求,通過網(wǎng)絡(luò)發(fā)至服務(wù)端,充分發(fā)揮了云數(shù)據(jù)庫的高可靠性、便捷易用性及超大規(guī)模等特點。

4、云數(shù)據(jù)庫在企業(yè)應(yīng)用的優(yōu)勢

作為一種能夠減少企業(yè)成本和提升IT靈活性的有效途徑,云計算最近得到了更多企業(yè)的關(guān)注和長足發(fā)展的動力。

4.1 降低企業(yè)運營成本

IBM全球高效能隨需解決方案副總裁趙維義指出,云計算環(huán)境可節(jié)省為企業(yè)降低營運成本,又具備企業(yè)營運所需要的安全性及創(chuàng)新服務(wù)。云計算可以實現(xiàn)多任務(wù)同時進(jìn)行而不影響效率,因此提供的云服務(wù)可以同時由成千上萬的客戶端存取,這在很大程度上能夠降低企業(yè)的運營成本。

4.2 影響企業(yè)的三大因素

云計算在眾多領(lǐng)域中都能發(fā)揮重要作用,這些領(lǐng)域包括企業(yè)內(nèi)部產(chǎn)品的試驗、創(chuàng)新、虛擬世界、電子商務(wù)、社交網(wǎng)絡(luò)和科學(xué)研究。云計算從深度和廣大方面都極大地影響著企業(yè)的發(fā)展。

首先是內(nèi)部產(chǎn)品的試驗與創(chuàng)新。通過云計算平臺,創(chuàng)新者通過一個簡單的Web界面聯(lián)機向云計算平臺請求資源,這些資源包括硬件平臺、操作系統(tǒng)、團(tuán)隊成員及角色設(shè)定等等。“云”管理員請求通知后予以批準(zhǔn)、修改或拒絕該請求。如果批準(zhǔn),“云”就會提供服務(wù)器。這可以縮短引入技術(shù)和創(chuàng)新的時間,降低設(shè)計、采購和構(gòu)建軟硬件系統(tǒng)平臺的人力、物力成本,以及通過提高現(xiàn)有資源的利用率和復(fù)用率節(jié)省成本。其次是虛擬世界,虛擬世界需要大量的計算能力,通過云計算平臺托管虛擬世界的企業(yè),可以靈活地根據(jù)當(dāng)前基礎(chǔ)結(jié)構(gòu)的利用情況,動態(tài)分配“域”(域是虛擬世界中支持特定人員子集或虛擬世界某一角落的任意區(qū)域)中客戶平均響應(yīng)時間。使企業(yè)充分利用設(shè)備和資源,合理降低成本并保持了較高的客戶滿意度、減少了工作時間和資源消耗。在電子商務(wù)方面的應(yīng)用分為兩個方面:—方面,在電子商務(wù)中,可以在需要時提供新的服務(wù)器,以獲得資源的彈性分配,在旺季增加更多的虛擬服務(wù)器,在淡季減少虛擬服務(wù)器?!霸啤钡囊?guī)模越大,提高效率的可能性就越大。另—方面,使用業(yè)務(wù)策略來決定哪些應(yīng)用程序具有更高的優(yōu)先級,并由此獲得更多的計算資源。

第5篇:云安全原理與實踐范文

關(guān)鍵詞:網(wǎng)絡(luò)信息安全狀況;漏洞;網(wǎng)絡(luò)信息安全技術(shù);可信計算

Abstract:As network developed rapidly and widely used, while it brings people big wealth and convenience, it also brings serious network information security problem. Network information security problem mainly is un-authorization access, masquerading legal user, damaging data integrity, interfering system normal operation, spreading virus trojan through network, line monitoring and so on. This article analysing network information security circumstance, it expounds information security problems from holes and introduces the future research direction of network information security skill.

Key words:network information security;holes;network information security skill;trusted computing

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺、操作系統(tǒng)、應(yīng)用軟件;運行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率;信息安全則是指對信息的精確性、真實性、機密性、完整性、可用性和效用性的保護(hù)。網(wǎng)絡(luò)信息安全是網(wǎng)絡(luò)賴以生存的根基,只有安全得到保障,網(wǎng)絡(luò)才能充分發(fā)揮自身的價值。

然而,隨著互聯(lián)網(wǎng)的迅速發(fā)展和廣泛應(yīng)用,計算機病毒、木馬數(shù)量也在呈現(xiàn)爆炸式增長。據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示,2008年,金山毒霸共截獲新增病毒、木馬13 899 717個,與2007年相比增長48倍,全國共有69 738 785臺計算機感染病毒,與07年相比增長了40%。在新增的病毒、木馬中,新增木馬數(shù)達(dá)7 801 911個,占全年新增病毒、木馬總數(shù)的56.13%;黑客后門類占全年新增病毒、木馬總數(shù)的21.97%;而網(wǎng)頁腳本所占比例從去年的0.8%躍升至5.96%,成為增長速度最快的一類病毒。該中心統(tǒng)計數(shù)據(jù)還顯示,90%的病毒依附網(wǎng)頁感染用戶,這說明,人類在盡情享受網(wǎng)絡(luò)信息帶來的巨大財富和便捷的同時,也被日益嚴(yán)峻的網(wǎng)絡(luò)信息安全問題所困擾。

1病毒木馬數(shù)量呈幾何級數(shù)增長,互聯(lián)網(wǎng)進(jìn)入木馬病毒經(jīng)濟(jì)時代

造成病毒木馬數(shù)量呈幾何級數(shù)增長的原因,經(jīng)濟(jì)利益的驅(qū)使首當(dāng)其沖,木馬比病毒危害更大,因為病毒或許只是開發(fā)者為了滿足自己的某種心理,而木馬背后卻隱藏著巨大的經(jīng)濟(jì)利益,木馬病毒不再安于破壞系統(tǒng),銷毀數(shù)據(jù),而是更加關(guān)注財產(chǎn)和隱私。電子商務(wù)便成為了攻擊熱點,針對網(wǎng)絡(luò)銀行的攻擊也更加明顯,木馬病毒緊盯在線交易環(huán)節(jié),從虛擬價值盜竊轉(zhuǎn)向直接金融犯罪。

財富的誘惑,使得黑客襲擊不再是一種個人興趣,而是越來越多的變成一種有組織的、利益驅(qū)使的職業(yè)犯罪。其主要方式有:網(wǎng)上教授病毒、木馬制作技術(shù)和各種網(wǎng)絡(luò)攻擊技術(shù);網(wǎng)上交換、販賣和出租病毒、木馬、僵尸網(wǎng)絡(luò);網(wǎng)上定制病毒、木馬;網(wǎng)上盜號(游戲賬號、銀行賬號、QQ號等)、賣號;網(wǎng)上詐騙、敲詐;通過網(wǎng)絡(luò)交易平臺洗錢獲利等。攻擊者需要的技術(shù)水平逐漸降低、手段更加靈活,聯(lián)合攻擊急劇增多。木馬病毒、病毒木馬編寫者、專業(yè)盜號人員、銷售渠道、專業(yè)玩家已經(jīng)形成完整的灰色產(chǎn)業(yè)鏈。

借助互聯(lián)網(wǎng)的普及,木馬病毒進(jìn)入了經(jīng)濟(jì)時代。艾瑞的一項調(diào)查顯示,央視“315”晚會曝光木馬通過“肉雞”盜取用戶錢財后,超過八成潛在用戶選擇推遲使用網(wǎng)上銀行和網(wǎng)上支付等相關(guān)服務(wù)。木馬產(chǎn)業(yè)鏈背后的巨大經(jīng)濟(jì)利益,加上傳統(tǒng)殺毒軟件的不作為、銀行對安全的不重視、刑法的漏洞等都是病毒木馬日益猖獗的根源。

另一方面,病毒木馬的機械化生產(chǎn)加速了新變種的產(chǎn)生,大量出現(xiàn)的系統(tǒng)及第三方應(yīng)用程序漏洞為病毒木馬傳播提供了更廣泛的途徑。病毒制造的模塊化、專業(yè)化,以及病毒“運營”模式的互聯(lián)網(wǎng)化已成為當(dāng)前中國計算機病毒發(fā)展的三大顯著特征。

2由漏洞引發(fā)的網(wǎng)絡(luò)信息安全問題

漏洞也叫脆弱性(Vulnerability),是計算機系統(tǒng)在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略設(shè)計和規(guī)劃時存在的缺陷和不足,從而使攻擊者能夠在未被合法授權(quán)的情況下,訪問系統(tǒng)資源或者破壞系統(tǒng)的完整性與穩(wěn)定性。漏洞除了系統(tǒng)(硬件、軟件)本身固有的缺陷之外,還包括用戶的不正當(dāng)配置、管理、制度上的風(fēng)險,或者其它非技術(shù)性因素造成的系統(tǒng)的不安全性。

2.1漏洞的特征

2.1.1漏洞的時間局限性

任何系統(tǒng)自之日起,系統(tǒng)存在的漏洞會不斷地暴露出來。雖然這些漏洞會不斷被系統(tǒng)供應(yīng)商的補丁軟件所修補,或者在新版系統(tǒng)中得以糾正。但是,在糾正了舊版漏洞的同時,也會引入一些新的漏洞和錯誤。隨著時間的推移,舊的漏洞會消失,但新的漏洞也將不斷出現(xiàn),所以漏洞問題也會長期存在。因此,只能針對目標(biāo)系統(tǒng)的系統(tǒng)版本、其上運行的軟件版本,以及服務(wù)運行設(shè)置等實際環(huán)境,來具體談?wù)撈渲锌赡艽嬖诘穆┒醇捌淇尚械慕鉀Q辦法。

2.1.2漏洞的廣泛性

漏洞會影響到很大范圍的軟、硬件設(shè)備,包括操作系統(tǒng)本身及其支撐軟件平臺、網(wǎng)絡(luò)客戶和服務(wù)器軟件、網(wǎng)絡(luò)路由器和安全防火墻等。

2.1.3漏洞的隱蔽性

安全漏洞是在對安全協(xié)議的具體實現(xiàn)中發(fā)生的錯誤,是意外出現(xiàn)的非正常情況。在實際應(yīng)用的系統(tǒng)中,都會不同程度地存在各種潛在安全性錯誤,安全漏洞問題是獨立于系統(tǒng)本身的理論安全級別而存在的。

2.1.4漏洞的被發(fā)現(xiàn)性

系統(tǒng)本身并不會發(fā)現(xiàn)漏洞,而是由用戶在實際使用、或由安全人員和黑客在研究中發(fā)現(xiàn)的。攻擊者往往是安全漏洞的發(fā)現(xiàn)者和使用者。由于攻擊的存在,才使存在漏洞的可能會被發(fā)現(xiàn),從某種意義上講,是攻擊者使系統(tǒng)變得越來越安全。

2.2漏洞的生命周期

漏洞生命周期,是指漏洞從客觀存在到被發(fā)現(xiàn)、利用,到大規(guī)模危害和逐漸消失的周期。漏洞所造成的安全問題具備一定的時效性,每一個漏洞都存在一個和產(chǎn)品類似的生命周期概念。只有對漏洞生命周期進(jìn)行研究并且分析出一定的規(guī)律,才能達(dá)到真正解決漏洞危害的目的。隨著系統(tǒng)漏洞、軟件漏洞、網(wǎng)絡(luò)漏洞發(fā)現(xiàn)加快,攻擊爆發(fā)時間變短,在所有新攻擊方法中,64%的攻擊針對一年之內(nèi)發(fā)現(xiàn)的漏洞,最短的大規(guī)模攻擊距相應(yīng)漏洞被公布的時間僅僅28天。

2.3漏洞的攻擊手段

黑客入侵的一般過程:首先,攻擊者隨機或者有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器。然后,選擇作為攻擊目標(biāo)利用系統(tǒng)漏洞、各種攻擊手段發(fā)現(xiàn)突破口,獲取超級用戶權(quán)限、提升用戶權(quán)限。最后,放置后門程序,擦除入侵痕跡,清理日志,新建賬號,獲取或修改信息、網(wǎng)絡(luò)監(jiān)聽(sniffer)、攻擊其他主機或者進(jìn)行其他非法活動。漏洞威脅網(wǎng)絡(luò)信息安全的主要方式有:

2.3.1IP欺騙技術(shù)

突破防火墻系統(tǒng)最常用的方法是IP地址欺騙,它同時也是其它一系列攻擊方法的基礎(chǔ)。即使主機系統(tǒng)本身沒有任何漏洞,仍然可以使用這種手段來達(dá)到攻擊的目的,這種欺騙純屬技術(shù)性的,一般都是利用TCP/IP協(xié)議本身存在的一些缺陷。攻擊者利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組,喬裝成來自內(nèi)部站點的分組過濾器,系統(tǒng)發(fā)現(xiàn)發(fā)送的地址在其定義的范圍之內(nèi),就將該分組按內(nèi)部通信對待并讓其通過,這種類型的攻擊是比較危險的。

2.3.2拒絕服務(wù)攻擊(DDoS)

當(dāng)黑客占領(lǐng)了一臺控制機,除了留后門擦除入侵痕跡基本工作之外,他會把DDoS攻擊用的程序下載,然后操作控制機占領(lǐng)更多的攻擊機器。開始發(fā)動攻擊時,黑客先登錄到做為控制臺的傀儡機,向所有的攻擊機發(fā)出命令。這時候攻擊機中的DDoS攻擊程序就會響應(yīng)控制臺的命令,一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包,導(dǎo)致受害主機死機或是無法響應(yīng)正常的請求。有經(jīng)驗的攻擊者還會在攻擊的同時用各種工具來監(jiān)視攻擊的效果,隨時進(jìn)行調(diào)整。由于黑客不直接控制攻擊傀儡機,這就導(dǎo)致了DDoS攻擊往往難以追查。

2.3.3利用緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊是互聯(lián)網(wǎng)上最普通,也是危害最大的一種網(wǎng)絡(luò)攻擊手段。緩沖區(qū)溢出攻擊是一種利用目標(biāo)程序的漏洞,通過往目標(biāo)程序的緩沖區(qū)寫入超過其長度的內(nèi)容,造成緩沖區(qū)的溢出,破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行指定代碼,從而獲取權(quán)限或進(jìn)行攻擊。

2.3.4特洛伊木馬

木馬實質(zhì)上只是一個網(wǎng)絡(luò)客戶/服務(wù)程序,是一種基于遠(yuǎn)程控制的黑客工具,不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用權(quán)。木馬程序體積比較小,執(zhí)行時不會占用太多的資源,很難停止它的運行,并且不會在系統(tǒng)中顯示出來,而且在每次系統(tǒng)的啟動中都能自動運行。木馬程序一次執(zhí)行后會自動更換文件名、自動復(fù)制到其他的文件夾中,實現(xiàn)服務(wù)端用戶無法顯示執(zhí)行的動作,讓人難以察覺,一旦被木馬控制,你的電腦將毫無秘密可言。

2.3.5數(shù)據(jù)庫系統(tǒng)的攻擊

通過非授權(quán)訪問數(shù)據(jù)庫信息、惡意破壞、修改數(shù)據(jù)庫、攻擊其它通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫的用戶、對數(shù)據(jù)庫不正確的訪問導(dǎo)致數(shù)據(jù)庫數(shù)據(jù)錯誤等方式對數(shù)據(jù)庫進(jìn)行攻擊。主要手法有:口令漏洞攻擊、SQL Server擴(kuò)展存儲過程攻擊、SQL注入(SQL Injection)、竊取備份等。

2.3.6網(wǎng)頁掛馬

通過獲取系統(tǒng)權(quán)限、利用應(yīng)用系統(tǒng)漏洞,對腳本程序發(fā)帖和提交信息的過濾不嚴(yán)格,從而可以將一些HTML或者腳本代碼段作為文本提交,但是卻能被作為腳本解析或者通過ARP欺騙,不改動任何目標(biāo)主機的頁面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^程中直接插入掛馬的語句,利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬進(jìn)行傳播,以達(dá)到無人察覺的目的。常見方式有:框架掛馬、js文件掛馬、js變形加密、body掛馬、css掛馬、隱蔽掛馬、Java掛馬、圖片偽裝、偽裝調(diào)用、高級欺騙等。

2.3.7無線網(wǎng)絡(luò)、移動手機成為新的安全重災(zāi)區(qū)

在無線網(wǎng)絡(luò)中被傳輸?shù)男畔]有加密或者加密很弱,很容易被竊取、修改和插入,存在較嚴(yán)重的安全漏洞。隨著3G時代的到來,智能手機和移動互聯(lián)網(wǎng)越來越為普及,一部強大的智能手機的功能,并不遜于一部小型電腦。隨著手機的處理能力日益強大,互聯(lián)網(wǎng)連接帶寬越來越高,手機病毒開始泛濫,病毒所帶來的危害也會越來越大。手機病毒利用普通短信、彩信、上網(wǎng)瀏覽、下載軟件與鈴聲等方式傳播,還將攻擊范圍擴(kuò)大到移動網(wǎng)關(guān)、WAP服務(wù)器或其它的網(wǎng)絡(luò)設(shè)備。

2.3.8內(nèi)部網(wǎng)絡(luò)并不代表安全

隨著經(jīng)濟(jì)的快速發(fā)展和企業(yè)對網(wǎng)絡(luò)應(yīng)用依賴程度的逐步提升,內(nèi)部網(wǎng)絡(luò)已經(jīng)成為企業(yè)改善經(jīng)營和管理的重要技術(shù)支撐。企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)與外界的聯(lián)系越來越緊密,而且數(shù)據(jù)的價值也越來越高,內(nèi)部網(wǎng)絡(luò)不安全已經(jīng)成為影響企業(yè)進(jìn)一步發(fā)展的重要威脅。常見的安全威脅有:內(nèi)外勾結(jié)。內(nèi)部人員向外泄露重要機密信息,外部人員攻擊系統(tǒng)監(jiān)聽、篡改信息,內(nèi)部人員越權(quán)訪問資源,內(nèi)部人員誤操作或者惡意破壞系統(tǒng)等。

有關(guān)部門的調(diào)查數(shù)據(jù)顯示,2004-2006年,內(nèi)部攻擊的比例在8%左右,2007年這個比例是5%,而到了2008年已經(jīng)上升到23%。企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題十分突出,存在較為嚴(yán)重的隱患,成為制約企業(yè)網(wǎng)發(fā)展與應(yīng)用的重要因素。

3可信計算概述

在IT產(chǎn)業(yè)迅速發(fā)展、互聯(lián)網(wǎng)廣泛應(yīng)用和滲透的今天,各種各樣的威脅模式也不斷涌現(xiàn)。信息領(lǐng)域犯罪的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來了嚴(yán)峻的挑戰(zhàn)。面對信息化領(lǐng)域中計算核心的脆弱性,如體系結(jié)構(gòu)的不健全、行為可信度差、認(rèn)證力度弱等,信息安全的防護(hù)正在由邊界防控向源頭與信任鏈的防控轉(zhuǎn)移,這正是可信計算出臺的背景。

可信計算(Trusted Computing,TC)是指在PC硬件平臺引入安全芯片架構(gòu),通過其提供的安全特性來提高終端系統(tǒng)的安全性,從而在根本上實現(xiàn)了對各種不安全因素的主動防御。簡單地說,可信計算的核心就是建立一種信任機制,用戶信任計算機,計算機信任用戶,用戶在操作計算機時需要證明自己的身份,計算機在為用戶服務(wù)時也要驗證用戶的身份。這樣的一種理念來自于我們所處的社會。我們的社會之所以能夠正常運行,就得益于人與人之間的信任機制,如:商人與合作伙伴之間的信任;學(xué)生與教師之間的信任;夫妻之間的信任等等。只有人與人之間建立了信任關(guān)系,社會才能和諧地正常運轉(zhuǎn)??尚庞嬎愠浞治樟诉@種理念,并將其運用到計算機世界當(dāng)中。

由于信息安全風(fēng)險評估不足,導(dǎo)致安全事件不斷發(fā)生。因此,現(xiàn)在的大部分信息安全產(chǎn)品以及采取的安全措施都不是從根本上解決問題,都是在修補漏洞,效果可想而知??尚庞嬎銊t是從本源上解決信息安全問題,就是要發(fā)放“通行證”。并且,“通行證”可以從技術(shù)上保證不會被復(fù)制,可以隨時驗證真實性??尚庞嬎阋虼顺蔀樾畔踩闹饕l(fā)展趨勢之一,也是IT產(chǎn)業(yè)發(fā)展的主要方向。

3.1可信平臺模塊

把可信作為一種期望,在這種期望下設(shè)備按照特定的目的以特定的方式運轉(zhuǎn)。并以平臺形式制訂出了一系列完整的規(guī)范,包括個人電腦、服務(wù)器、移動電話、通信網(wǎng)絡(luò)、軟件等等。這些規(guī)范所定義的可信平臺模塊(Trusted Platform Module,TPM)通常以硬件的形式被嵌入到各種計算終端,在整個計算設(shè)施中建立起一個驗證體系,通過確保每個終端的安全性,提升整個計算體系的安全性。從廣義的角度上,可信計算平臺為網(wǎng)絡(luò)用戶提供了一個更為寬廣的安全環(huán)境,它從安全體系的角度來描述安全問題,確保用戶的安全執(zhí)行環(huán)境,突破被動防御漏洞打補丁方式。可信平臺模塊實現(xiàn)目的包括兩個層面的內(nèi)容:一方面,保護(hù)指定的數(shù)據(jù)存儲區(qū),防止敵手實施特定類型的物理訪問。另一方面,賦予所有在計算平臺上執(zhí)行的代碼,

以證明它在一個未被篡改環(huán)境中運行的能力。

3.2可信計算的關(guān)鍵技術(shù)

與社會關(guān)系所不同的是,建立信任的具體途徑,社會之中的信任是通過親情、友情、愛情等紐帶建立起來的,但是在計算機世界里,一切信息都以比特串的形式存在,建立可信計算信任機制,就必須使用以密碼技術(shù)為核心的關(guān)鍵技術(shù)??尚庞嬎惆ㄒ韵?個關(guān)鍵技術(shù)概念:

3.2.1Endorsement key 簽注密鑰

簽注密鑰是一個2048位的RSA公共和私有密鑰對,它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠(yuǎn)在芯片里,而公共密鑰用來認(rèn)證及加密發(fā)送到該芯片的敏感數(shù)據(jù)。

3.2.2Secure input and output 安全輸入輸出

安全輸入輸出是指電腦用戶和他們認(rèn)為與之交互的軟件間受保護(hù)的路徑。當(dāng)前,電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進(jìn)程間傳送的數(shù)據(jù)。例如鍵盤監(jiān)聽和截屏。

3.2.3Memory curtaining 儲存器屏蔽

儲存器屏蔽拓展了一般的儲存保護(hù)技術(shù),提供了完全獨立的儲存區(qū)域。例如,包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權(quán)限,所以入侵者即便控制了操作系統(tǒng)信息也是安全的。

3.2.4Sealed storage 密封儲存

密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護(hù)私有信息。意味著該數(shù)據(jù)只能在相同的軟硬件組合環(huán)境下讀取。例如,某個用戶在他們的電腦上保存一首歌曲,而他們的電腦沒有播放這首歌的許可證,他們就不能播放這首歌。

3.2.5Remote attestation 遠(yuǎn)程認(rèn)證

遠(yuǎn)程認(rèn)證準(zhǔn)許用戶電腦上的改變被授權(quán)方感知。例如,軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護(hù)措施。它通過讓硬件生成當(dāng)前軟件的證明書。隨后電腦將這個證明書傳送給遠(yuǎn)程被授權(quán)方來顯示該軟件公司的軟件尚未擾。

3.3可信計算的應(yīng)用現(xiàn)狀

在國際上,可信計算架構(gòu)技術(shù)發(fā)展很快,一些國家(如美國、日本等)在政府采購中強制性規(guī)定要采購可信計算機。中國的可信計算還屬于起步階段,但正在向更高水平發(fā)展。據(jù)了解,現(xiàn)在市場上已經(jīng)銷售了數(shù)十萬帶有可信計算芯片的電腦,這些電腦已經(jīng)廣泛應(yīng)用于包括政府、金融、公共事業(yè)、教育、郵電、制造,以及廣大中、小企業(yè)在內(nèi)的各行各業(yè)中。而且,不少政府部門已經(jīng)認(rèn)可產(chǎn)品,并將帶有可信計算芯片的產(chǎn)品采購寫入標(biāo)書。但是,無論是國內(nèi)還是國外,可信技術(shù)從應(yīng)用角度講都還僅僅處于起步階段。可信計算還停留在終端(客戶端)領(lǐng)域,還要進(jìn)一步向服務(wù)器端(兩端要互相認(rèn)證),中間件、數(shù)據(jù)庫,網(wǎng)絡(luò)等領(lǐng)域發(fā)展,建立可信計算平臺和信任鏈。當(dāng)前,可信計算的應(yīng)用領(lǐng)域主要有:數(shù)字版權(quán)管理、身份盜用保護(hù)、防止在線游戲防作弊、保護(hù)系統(tǒng)不受病毒和間諜軟件危害、保護(hù)生物識別身份驗證數(shù)據(jù)、核查遠(yuǎn)程網(wǎng)格計算的計算結(jié)果等。應(yīng)用環(huán)境的局限性也是可信計算產(chǎn)業(yè)發(fā)展的一大障礙,目前的應(yīng)用還處于很有限的環(huán)境中,應(yīng)用的廣泛性還得依靠人們對于可信計算、網(wǎng)絡(luò)信息安全在認(rèn)識和意識上的提高。

參考文獻(xiàn)

1 劉曉輝主編.網(wǎng)絡(luò)安全管理實踐(網(wǎng)管天下)[M].北京:電子工業(yè)出版社,2007.3

2 [美]DavidChallener、RyanCatherman等.可信計算(Apractical

GuidetoTrustedComputing)[M].北京:機械工業(yè)出版社,2009

3 李毅超、蔡洪斌、譚浩等譯.信息安全原理與應(yīng)用(第四版)[M].北京:電子工業(yè)出版社,2007.11