前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云計算安全的關(guān)鍵技術(shù)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:云計算;醫(yī)院數(shù)據(jù);安全保護(hù)技術(shù)
中圖分類號:TP309.2
醫(yī)院信息系統(tǒng)是醫(yī)療服務(wù)的重要支撐體系,其數(shù)據(jù)信息記錄了包括各種檢查檢驗申請與結(jié)果、手術(shù)記錄、影像、病程、醫(yī)囑等在內(nèi)的醫(yī)療活動內(nèi)容,是現(xiàn)代化醫(yī)院建設(shè)和發(fā)展中不可缺少的重要組成部分。近年來,隨著醫(yī)院信息化發(fā)展進(jìn)程的不斷推進(jìn),云計算作為一種借助Internet平臺提供動態(tài)可伸縮的虛擬化資源的計算模式,在醫(yī)院信息系統(tǒng)中得到了廣泛的應(yīng)用,極大地滿足了醫(yī)療業(yè)務(wù)對信息數(shù)據(jù)高效性、實時性的需求。然而,云計算下,信息的高度集中化在提高醫(yī)院數(shù)據(jù)信息管理效率的同時,也使得核心數(shù)據(jù)的安全隱患也越來越突出,醫(yī)院數(shù)據(jù)安全威脅也日漸嚴(yán)峻。因此,采用有效的技術(shù)措施,加強(qiáng)云計算下醫(yī)療信息數(shù)據(jù)的安全保護(hù)成為當(dāng)前醫(yī)院管理工作的重點。
本文筆者結(jié)合工作實踐,在分析云計算下醫(yī)院數(shù)據(jù)安全危險因素的基礎(chǔ)上,探討了相關(guān)數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)。
1 云計算下醫(yī)院數(shù)據(jù)安全危險因素分析
傳統(tǒng)的醫(yī)院信息系統(tǒng)下,提供信息服務(wù)的主體為各應(yīng)用系統(tǒng),因而影響數(shù)據(jù)安全的主要危險因素在于主機(jī)安全、網(wǎng)絡(luò)安全、病毒攻擊等。而基于云計算下的醫(yī)院信息系統(tǒng),除面臨上述數(shù)據(jù)安全危險外,且其安全威脅的對象由用戶轉(zhuǎn)移到云計算服務(wù)提供商。具體分析如下:
1.1 數(shù)據(jù)傳輸安全危險因素。云計算下,醫(yī)院信息系統(tǒng)中數(shù)據(jù)的傳輸主要是通過網(wǎng)絡(luò)將數(shù)據(jù)傳遞到云計算服務(wù)商,予以統(tǒng)計分析處理。而在該傳輸過程中,數(shù)據(jù)主要面臨如下安全危險因素:(1)竊取危險:即云計算服務(wù)提供商如何保證醫(yī)院信息系統(tǒng)在數(shù)據(jù)傳輸過程中不被竊??;(2)數(shù)據(jù)泄露危險:數(shù)據(jù)傳至給云計算服務(wù)商后,如何保證數(shù)據(jù)不被泄露;(3)數(shù)據(jù)訪問危險:云計算服務(wù)商在存儲數(shù)據(jù)能,如何保證訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證,屬合法訪問行為。
1.2 數(shù)據(jù)存儲安全危險因素。云計算下,在高度整合的大容量存儲空間中,其中一部分空間是提供給醫(yī)院信息系統(tǒng)用以存儲數(shù)據(jù)的。然而,在該存儲模式下,數(shù)據(jù)存儲安全危險因素主要有:(1)存儲位置危險;醫(yī)院并不準(zhǔn)確知道系統(tǒng)內(nèi)信息數(shù)據(jù)存儲于那臺服務(wù)器上,該服務(wù)器能否確保數(shù)據(jù)安全;(2)數(shù)據(jù)隔離危險:云計算下醫(yī)院數(shù)據(jù)存儲于資源共享的大環(huán)境中,即使醫(yī)院對數(shù)據(jù)進(jìn)行了加密,但云計算服務(wù)商能否保證各數(shù)據(jù)間的有限隔離;(3)數(shù)據(jù)備份危險:云計算服務(wù)商能否對醫(yī)院所托管的數(shù)據(jù)進(jìn)行有效備份,以防止重大事故發(fā)生時能夠?qū)?shù)據(jù)進(jìn)行及時恢復(fù)。
1.3 數(shù)據(jù)審計安全危險因素。醫(yī)院信息系統(tǒng)在進(jìn)行內(nèi)部數(shù)據(jù)管理時,往往會引入第三方認(rèn)證機(jī)構(gòu)對數(shù)據(jù)的準(zhǔn)確性進(jìn)行審計。然而,在云計算環(huán)境下,服務(wù)商存儲空間中包含有其他組織或機(jī)構(gòu)的大量數(shù)據(jù),這不僅給醫(yī)院數(shù)據(jù)的審計工作增加了難度,同時也增加了審計安全危險:即如何在確保不對其他用戶數(shù)據(jù)帶來安全風(fēng)險的情況下,最大限度的協(xié)助第三方機(jī)構(gòu)對數(shù)據(jù)進(jìn)行有效審計。
2 云計算下醫(yī)院數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)探討
數(shù)據(jù)安全保護(hù)技術(shù)主要指通過一系列技術(shù)措施來保證數(shù)據(jù)的傳輸、訪問和存儲不被人為或者意外的損壞而露或更改。相較于傳統(tǒng)軟件系統(tǒng),云計算技術(shù)有著明顯的技術(shù)架構(gòu),這就需要我們采用不同的思路探討數(shù)據(jù)安全的解決方案。
2.1 數(shù)據(jù)傳輸安全保護(hù)技術(shù)。針對云計算下醫(yī)院信息系統(tǒng)數(shù)據(jù)傳輸所面臨的安全危險因素,建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng),確保只有經(jīng)過授權(quán)的用戶才能對基于的云數(shù)據(jù)資源進(jìn)行訪問,并對傳輸數(shù)據(jù)進(jìn)行安全加密是滿足云計算多租戶環(huán)境下復(fù)雜的海量訪問認(rèn)證和用戶權(quán)限管理要求的關(guān)鍵。
一是用戶認(rèn)證。采用令牌卡認(rèn)證、LDAP、生物特征認(rèn)證、硬件信息綁定認(rèn)證、數(shù)字證書認(rèn)證等主流認(rèn)證方式進(jìn)行醫(yī)院用戶認(rèn)證。同時,在認(rèn)證體系設(shè)計中,采用相應(yīng)等級的一種或多種組合認(rèn)證方式對醫(yī)院信息系統(tǒng)中不同類型和等級的系統(tǒng)、端口、服務(wù)組建認(rèn)證策略,從而滿足云計算下不同子系統(tǒng)安全等級的平衡要求。另外,記錄醫(yī)院用戶登錄信息,提供醫(yī)院用戶訪問日志記錄,包括登錄用戶、登錄時間、登錄IP、系統(tǒng)標(biāo)識及登錄終端等標(biāo)識。
二是用戶授權(quán)。根據(jù)醫(yī)院用戶特征及級別來對云計算系統(tǒng)資源的訪問進(jìn)行集中授權(quán),保證云計算服務(wù)商訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證。集中授權(quán)設(shè)計中,可選擇集中授權(quán)機(jī)制或分級授權(quán)機(jī)制。同時,優(yōu)化訪問授權(quán)策略設(shè)計。云計算下可采用身份認(rèn)證策略和賬號認(rèn)證策略兩種。其中,身份認(rèn)證策略是將用戶的身份信息與終端綁定,而賬號策略則是設(shè)置賬號安全策略,包括口令連續(xù)錯誤鎖定賬號集用戶賬號未退出時禁止重復(fù)登錄等。
三是數(shù)據(jù)傳輸加密。數(shù)據(jù)傳輸加密是保障醫(yī)院數(shù)據(jù)傳輸至云技術(shù)存儲大環(huán)境過程中安全性的關(guān)鍵技術(shù)。目前,云計算下的數(shù)據(jù)傳輸加密技術(shù)主要包括:(1)在網(wǎng)絡(luò)層、鏈路層及傳輸層等采用網(wǎng)絡(luò)傳輸加密技術(shù)(如線路加密和端對端加密技術(shù))保證數(shù)據(jù)傳輸?shù)陌踩?,確保數(shù)據(jù)在傳輸過程中不被竊?。唬?)采用SSL、SSH等加密技術(shù)為云計算系統(tǒng)內(nèi)部的維護(hù)管理進(jìn)行數(shù)據(jù)加密,確保數(shù)據(jù)傳至給云計算服務(wù)商后不被泄露。(3)采用SSL、IPSecVPN等VPN技術(shù)對醫(yī)院數(shù)據(jù)進(jìn)行加密,提高醫(yī)院數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)陌踩浴?/p>
2.2 數(shù)據(jù)存儲安全保護(hù)技術(shù)。針對云計算下醫(yī)院數(shù)據(jù)存儲面臨的存儲位置危險、數(shù)據(jù)隔離危險和數(shù)據(jù)備份危險。其主要安全保護(hù)技術(shù)如下:
一是設(shè)計基于云計算的安全數(shù)據(jù)存儲系統(tǒng)。(1)設(shè)計私有存儲云。存儲云負(fù)責(zé)對云計算下所有用戶的數(shù)據(jù)和操作進(jìn)行保護(hù),分公共存儲云和私有存儲云兩種。而私有存儲云則是對每個用戶而設(shè)計的一個獨有的數(shù)據(jù)存儲平臺。針對云計算下醫(yī)院數(shù)據(jù)面臨的存儲位置危險,可設(shè)計一個安全的醫(yī)院用用私有存儲云,其實現(xiàn)方式為:將Xen的Linux系統(tǒng)安裝于云計算集群中的物理機(jī)上,各物理機(jī)開啟 SSH 服務(wù)。云計算控制中心則通過 SSH 和 Xen中的xm命令來管理醫(yī)院用戶的私有云。(2)設(shè)計控制中心。云計算控制中心通過控制節(jié)點對醫(yī)院私有云的數(shù)據(jù)處理和計算進(jìn)行管理控制,包括:數(shù)據(jù)壓縮,數(shù)據(jù)加解密及數(shù)據(jù)索引等。(3)設(shè)計數(shù)據(jù)傳輸模式。醫(yī)院用戶通過向云計算控制中心發(fā)送數(shù)據(jù)服務(wù)請求,控制中心則可將醫(yī)院用戶所需的數(shù)據(jù)返回給醫(yī)院用戶。
二是數(shù)據(jù)隔離設(shè)計。為在云計算這一大的存儲環(huán)境中實現(xiàn)醫(yī)院數(shù)據(jù)與其他用戶數(shù)據(jù)的隔離,可根據(jù)醫(yī)院用戶的具體需求,采用虛擬化、物理隔離、Multi-tenancy等技術(shù)方案實現(xiàn)醫(yī)院數(shù)據(jù)的安全隔離,從而對醫(yī)院數(shù)據(jù)的安全和隱私進(jìn)行保護(hù)。
三是數(shù)據(jù)備份設(shè)計。為應(yīng)對云計算平臺突發(fā)性的災(zāi)難事件或系統(tǒng)性故障,加強(qiáng)數(shù)據(jù)備份設(shè)計是保證醫(yī)院數(shù)據(jù)安全尤為重要。目前云計算這一虛擬化環(huán)境下的數(shù)據(jù)備份技術(shù)主要包括虛擬機(jī)恢復(fù)、基于磁盤的備份與恢復(fù)和文件級完整與增量備份等。
2.3 數(shù)據(jù)審計安全保護(hù)技術(shù)。通過數(shù)據(jù)隔離設(shè)計,在云計算這一大的存儲環(huán)境中實現(xiàn)醫(yī)院數(shù)據(jù)與其他用戶數(shù)據(jù)的隔離已大大增強(qiáng)了數(shù)據(jù)審計的安全性。與此同時,云計算系統(tǒng)的分層架構(gòu)體系使得其日志信息在醫(yī)院數(shù)據(jù)審計、安全事件追溯等方面顯得更為重要。因此,云計算系統(tǒng)可通過安全審計系統(tǒng)的建立來對醫(yī)院數(shù)據(jù)日志信息進(jìn)行審計分析,以提高醫(yī)院數(shù)據(jù)違規(guī)事件的審查能力。具體實踐中,一方面,建立完善的云計算系統(tǒng)日志記錄,日志內(nèi)容主要包括:醫(yī)院用戶ID、操作內(nèi)容、操作時間等,并配合實施相應(yīng)的審核機(jī)制;另一方面,則應(yīng)采取有效的措施保證醫(yī)院用戶活動日志記錄的完整性和準(zhǔn)確性,從而為醫(yī)院數(shù)據(jù)審計提供有效的、必要的數(shù)據(jù)審計信息支持,確保數(shù)據(jù)審計安全。
3 結(jié)束語
云計算下的醫(yī)院數(shù)據(jù)在數(shù)據(jù)傳輸、存儲及審計等方面均面臨與傳統(tǒng)信息系統(tǒng)不同的安全威脅。在云計算這一大的存儲環(huán)境下應(yīng)采用有效的數(shù)據(jù)安全保護(hù)技術(shù)來保證云計算提供商內(nèi)部的訪問控制機(jī)制符合醫(yī)院用戶的安全需求,通過數(shù)據(jù)傳輸加密保障醫(yī)院數(shù)據(jù)傳輸?shù)陌踩裕ㄟ^數(shù)據(jù)存儲安全保護(hù)技術(shù)保證云計算下醫(yī)院數(shù)據(jù)存儲的安全有效,通過數(shù)據(jù)審計安全保護(hù)技術(shù)確保醫(yī)院數(shù)據(jù)審計安全。
參考文獻(xiàn):
[1]周宇,劉軍,孫月新.基于云計算技術(shù)的數(shù)據(jù)安全管控平臺方案研究[J].移動通信,2014(01).
[2]程風(fēng)剛.基于云計算的數(shù)據(jù)安全風(fēng)險及防范策略[J].圖書館學(xué)研究,2014(02).
[關(guān)鍵詞]物聯(lián)網(wǎng);關(guān)鍵技術(shù);發(fā)展趨勢
中圖分類號:TP391.44 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2015)15-0091-01
互聯(lián)網(wǎng)的發(fā)展趨勢就是物聯(lián)網(wǎng),完整的物聯(lián)網(wǎng)集云、管、端一體,即以云設(shè)備為核心,以移動網(wǎng)或固網(wǎng)為基礎(chǔ),以芯片為抓手,是一種融合多項信息的新型技術(shù)體系。
1 物聯(lián)網(wǎng)的體系結(jié)構(gòu)
物聯(lián)網(wǎng)必須具備標(biāo)識能力,感知能力、自主接入、信息相關(guān)等諸多功能,因此物聯(lián)網(wǎng)的體系結(jié)構(gòu)由以下幾部分組成:感知、接入、互聯(lián)網(wǎng)、服務(wù)管理、應(yīng)用[1]。
圖1 網(wǎng)絡(luò)體系結(jié)構(gòu)
2 物聯(lián)網(wǎng)的關(guān)鍵技術(shù)
1) 射頻識別(RFID)技術(shù)基本上由標(biāo)簽、閱讀器、天線組成。不需人工操作,不僅具備數(shù)據(jù)存儲量大,體積小巧輕便,還可防水、防磁,可以在惡劣的環(huán)境下工作。很有希望代替條形碼,和互聯(lián)網(wǎng)結(jié)合實現(xiàn)信息的共享,因而成為物聯(lián)網(wǎng)的關(guān)鍵技術(shù)之一[2]。
2) 傳感與檢測技術(shù)。傳感器是網(wǎng)絡(luò)及智能化硬件的基礎(chǔ),傳感器節(jié)點功能多樣化、抗干擾能力,能量等技術(shù)是網(wǎng)絡(luò)質(zhì)量及壽命的保證;傳感器拓?fù)浣Y(jié)構(gòu)、自身檢測及控制能力,是網(wǎng)絡(luò)穩(wěn)定高效的前提;傳感器體積及安全是網(wǎng)絡(luò)安全的保障。傳感與檢測技術(shù)是實現(xiàn)物聯(lián)網(wǎng)感知功能的基礎(chǔ)[3]。
3) 智能技術(shù)。智能技術(shù)推動互聯(lián)網(wǎng)向物聯(lián)網(wǎng)發(fā)展,實現(xiàn)人與物體,物體與物體之間的交流。智能技術(shù)尤其是人工智能理論的研究及智能控制技術(shù)與系統(tǒng)是物聯(lián)網(wǎng)實現(xiàn)的關(guān)鍵技術(shù)之一。
3 物聯(lián)網(wǎng)的結(jié)點分類
根據(jù)節(jié)點的能量、移動性、存儲能力、聯(lián)網(wǎng)能力等性能,將結(jié)點分為無源結(jié)點、無緣結(jié)點、互聯(lián)網(wǎng)結(jié)點。他們是物聯(lián)網(wǎng)感知的基礎(chǔ),是智能化設(shè)備的依托,可滿足物聯(lián)網(wǎng)交互應(yīng)用的需求[4]。
4 物聯(lián)網(wǎng)的發(fā)展趨勢
物聯(lián)網(wǎng)的發(fā)展依托于技術(shù)的發(fā)展,技術(shù)的發(fā)展趨勢決定了物聯(lián)網(wǎng)的發(fā)展方向。
1) 網(wǎng)絡(luò)處理芯片,以多核CPU與可編程網(wǎng)絡(luò)引擎相結(jié)合的體系結(jié)構(gòu)為導(dǎo)向;以連到物聯(lián)網(wǎng)的功能為目標(biāo);以大容量存儲為支撐,為物聯(lián)網(wǎng)的實現(xiàn)提供基礎(chǔ)。
2) 傳感器:物聯(lián)網(wǎng)的發(fā)展,傳感器顯得愈發(fā)的重要。傳感器發(fā)展的趨勢主要傾向于低功耗、多節(jié)口和小尺寸,傳感器類別的不同,要實現(xiàn)萬物聯(lián)網(wǎng),就需要有傳感器樞紐處理不同類型的傳感器數(shù)據(jù),這就要求傳感器具有較強(qiáng)的數(shù)據(jù)處理、數(shù)據(jù)融合的功能、具有模數(shù)轉(zhuǎn)換功能、體積小。
3) 智能化硬件。物聯(lián)網(wǎng)要實現(xiàn)萬物聯(lián)網(wǎng),設(shè)備就需要具備智能化才能實現(xiàn)物聯(lián)網(wǎng)服務(wù)的加載,硬件智能化發(fā)展成為一大趨勢[5]。
4) 云服務(wù),以信息為中心,依托于網(wǎng)絡(luò),提供易擴(kuò)展的服務(wù)。云服務(wù)為核心的云平臺為網(wǎng)絡(luò)數(shù)據(jù)信息的存儲處理提供了保證,可以為用戶提供數(shù)據(jù)量大,更為安全的服務(wù)。物聯(lián)網(wǎng)需要處理大量共享的信息,云設(shè)備是核心,因而,云服務(wù)的發(fā)展趨勢顯得尤為重要。
5) 網(wǎng)絡(luò)安全的保證,實行身份認(rèn)證。大眾對于安全的要求越來越高,物聯(lián)網(wǎng)容易受到外界的攻擊,安全存在隱患,只有推出有安全保障的措施,物聯(lián)網(wǎng)才能被認(rèn)可和接受。目前比較流行的認(rèn)證是指紋識別,在網(wǎng)絡(luò)內(nèi)可采用按壓式指紋識別,其他的身份認(rèn)證可作為補(bǔ)充。
5 結(jié)論
物聯(lián)網(wǎng)的實現(xiàn)目前還有一些技術(shù)困難,但是相信隨著科技的進(jìn)步,互聯(lián)網(wǎng)的進(jìn)一步發(fā)展,物聯(lián)網(wǎng)定會走進(jìn)千家萬戶,給大眾提供更為便利的服務(wù),深入人類生產(chǎn)生活活動各個領(lǐng)域,會拓寬了信息傳遞的范圍,給經(jīng)濟(jì)以巨大的推動。
參考文獻(xiàn)
[1]劉強(qiáng),崔麗,陳海明.物聯(lián)網(wǎng)關(guān)鍵技術(shù)與應(yīng)用[J]計算機(jī)科學(xué),2010,37(6).
[2]康超,梁娜娜.物聯(lián)網(wǎng)技術(shù)發(fā)展與應(yīng)用策略研究[J].計算機(jī)與信息化,2014,10.
[3]寧煥生,徐群玉.全球物聯(lián)網(wǎng)發(fā)展及中國物聯(lián)網(wǎng)建設(shè)若干思考[J].電子學(xué)報,2010.11(38).
[4]沈蘇彬,范曲立,宗平等.物聯(lián)網(wǎng)體系結(jié)構(gòu)與相關(guān)技術(shù)研究[J].南京郵電大學(xué)學(xué)報,2009.6(29).
[5]劉強(qiáng),崔莉.物聯(lián)網(wǎng)關(guān)鍵技術(shù)與應(yīng)用[J].計算機(jī)科學(xué),2010.6(37).
〔摘 要〕云計算環(huán)境下數(shù)據(jù)庫服務(wù)應(yīng)用系統(tǒng)中的隱私保護(hù)問題是影響組
>> 數(shù)據(jù)挖掘中的隱私保護(hù)技術(shù)研究 數(shù)據(jù)隱私保護(hù)技術(shù)研究綜述 云計算中的數(shù)據(jù)隱私性保護(hù)策略研究 大數(shù)據(jù)環(huán)境下醫(yī)療數(shù)據(jù)隱私保護(hù)面臨的挑戰(zhàn)及相關(guān)技術(shù)梳理 公共云存儲服務(wù)數(shù)據(jù)安全及隱私保護(hù)技術(shù)綜述 云計算環(huán)境下租戶數(shù)據(jù)安全與隱私保護(hù)機(jī)制研究 云存儲中數(shù)據(jù)完整性保護(hù)關(guān)鍵技術(shù)研究 大數(shù)據(jù)安全和隱私保護(hù)技術(shù)體系的關(guān)鍵技術(shù)研究 reliefF算法在數(shù)據(jù)隱私保護(hù)中的應(yīng)用研究 數(shù)據(jù)中的匿名化技術(shù)研究綜述 基于K―匿名的軌跡隱私保護(hù)相關(guān)技術(shù)研究 基于角色的數(shù)據(jù)隱私保護(hù)技術(shù)研究與實現(xiàn) 探析云計算的大數(shù)據(jù)安全隱私保護(hù)研究 云計算服務(wù)中數(shù)據(jù)安全的相關(guān)問題研究 大數(shù)據(jù)環(huán)境下云數(shù)據(jù)的訪問控制技術(shù)研究 大數(shù)據(jù)環(huán)境下的個人隱私保護(hù)技術(shù) 大數(shù)據(jù)環(huán)境下隱私保護(hù)的研究現(xiàn)狀分析 大數(shù)據(jù)環(huán)境下用戶隱私保護(hù)研究 數(shù)據(jù)庫服務(wù)中安全與隱私保護(hù) 面向云計算的數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)研究 常見問題解答 當(dāng)前所在位置:l,2009.
[9]Microsoft[EB/OL].http:∥/technet/security/,2010.
[10]Samarati P,Sweeney L.Generalizing data to provide anonymity when disclosing information[C]∥Proc of the seventeenth ACM SIGACT-SIGMOD-SIGART symposium on Principles of database systems,Seattle,1998:188.
[11]Agrawal R,Srikant R.Privacy Preserving Data Mining.In Proc.of ACM SIGMOD,Dallas,USA,2000.
[12]Sweeney L.K-anonymity:a Model for Protecting Privacy[J].Journal on Uncertainty,F(xiàn)uzziness and Knowledge-based Systems,2002,10(5):557-570.
[13]Sweeney L.Achieving k-Anonymity Privacy Protection Using Generalization and Suppression[J].International Journal on Uncertainty,F(xiàn)uzziness and Knowledge-based Systems,2002,10(5):571-588.
[14]MEYERSON A,WILLIAMS R.On the complexity of optimal k-anonymity[C].Proc.of the 23rd ACM SIGACT-SIGMOD-SIGART Symposium on Principles of Database Systems.New York,2004:223-228.
[15]羅軍舟,金嘉暉,宋愛波,等.云計算:體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報,2011,32(7):3-21.
[16]田秀霞.數(shù)據(jù)庫服務(wù)保護(hù)隱私的訪問控制與查詢處理[D].上海:復(fù)旦大學(xué),2011.
[17]Mclean J.The Algebra of Security.In Proc.of the 1988 IEEE Computer Society Symposium on Security and Privacy,1988,pages 2-7.
[18]Bonatti P,Vimercati SC,Samarati P.An algebra for composing access control policies[J].ACM Trans.on Information and System Security,2002,5(1):1-35.
[19]林莉,懷進(jìn)鵬,李先賢.基于屬性的訪問控制策略合成代數(shù)[J].軟件學(xué)報,2009,20(2):403-414.
[20]洪澄,張敏,馮登國.AB-ACCS:一種云存儲密文訪問控制方法[J].計算機(jī)研究與發(fā)展,2010,47(增刊I):259-265.
[21]Ibraimi L,Petkovic M,Nikova S et al.Ciphertext-Policy attribute-based threshold decryption with flexible delegation and revocation of user attributes.Technical Report,Centre for Telematics and Information Technology,University of Twente,2009.
[22]Yu SC,Wang C,Ren K et al.Achieving Secure,Scalable,and Fine-grained Data Access Control in Cloud Computing.Proc.Of 29th IEEE Int.Conf.on Computer Communications,San Diego,CA,Mar.2010,pages 1-9.
[23]Vimercati S,F(xiàn)oresti S,Jajodia S.Over-encryption:Management of Access Control Evolution on Outsourced Data.Proc.of the 33rd Int.Conference on Very Large Data Bases,University of Vienna,Austria,September 23-27,2007.ACM 2007,pp.123-134.
[24]黃汝維,桂小林,余思,等.云環(huán)境中支持隱私保護(hù)的可計算加密方法[J].計算機(jī)學(xué)報,2011,34(12):2391-2402.
[25]張逢,陳進(jìn),陳海波,等.云計算中的數(shù)據(jù)隱私性保護(hù)與自我銷毀[J].計算機(jī)研究與發(fā)展,2011,48(7):1155-1167.
[26]毛劍,李坤,徐先棟.云計算環(huán)境下隱私保護(hù)方案[J].清華大學(xué)學(xué)報,2011,51(10):1357-1362.
[27]Machanavajjhala A,Gehrke J,Kifer D.l-diversity:Privacy beyond k-anonymity[J].ACM Transactions on Knowledge Discovery from Data(TKDD),2007,1(1):1-36.
[28]Li N,Li T,Venkatasubramanian S.t-Closeness~Privacy beyond k-anonymity and l-diversity[C]∥Proc of IEEE 23RD Int.Conf on Data Engineering.Istanbul:IEEE Computer Society,2007:106-115.
[29]Xiao X K,Tao Y F.m-Invariance:Towards Privacy Preserving Re-publication of Dynamic Datasets.In Proc.of the 26th ACM International Conference on Management of Data(SIGMOD),2007:689-700.
隨著科學(xué)技術(shù)的不斷發(fā)展,我國信息技術(shù)化的程度也越來越高。云計算作為目前一種新的數(shù)據(jù)存儲方式,以資源利用率高,成本節(jié)約性強(qiáng)等優(yōu)勢成為計算的主流。但傳統(tǒng)的云數(shù)據(jù)安全存儲模式還存在著一些弊端,主要表現(xiàn)為數(shù)據(jù)的安全性不高,加密設(shè)施不健全等等。所以,我們要創(chuàng)新云計算的利用效率,在數(shù)據(jù)安全、結(jié)構(gòu)合理等多方面進(jìn)行協(xié)調(diào)。本文以云數(shù)據(jù)安全存儲的一些問題作為切入點,探討其安全制約方式。
【關(guān)鍵詞】云數(shù)據(jù) 安全存儲 技術(shù)
當(dāng)今信息技術(shù)的高速發(fā)展,使得云計算出現(xiàn)。它是數(shù)據(jù)統(tǒng)計方面的主要手段,也能夠做到資源的集約化利用,技術(shù)平臺的科學(xué)管理。并且,云計算是適合目前社會發(fā)展的新型存儲方式,它與虛擬化計算方法相比更加穩(wěn)定,是政府大力倡導(dǎo)的計算模式。
1 云數(shù)據(jù)安全存儲技術(shù)中存在的問題
1.1 數(shù)據(jù)的加密存儲
在傳統(tǒng)的數(shù)據(jù)統(tǒng)計模式下,通常都采用一般性加密的手段進(jìn)行規(guī)劃,這種途徑的安全性雖然不高,但是重在節(jié)省時間。在云計算中,這種方式的利用效率也很高。它的實現(xiàn)途徑很不易,傳統(tǒng)過程中的云加密途徑如下:數(shù)據(jù)在一個完全虛擬的平臺上被輸入,進(jìn)行節(jié)約化的管理。用戶使用的資源在此過程中實施全程控制。所以,對于服務(wù)來說,這種控制方法是很不利的。數(shù)據(jù)在被加密的過程中,操作系統(tǒng)想要發(fā)揮其應(yīng)有的作用就變得相當(dāng)困難。在加密性平臺里,很多程序都是被占用的。我們不能對數(shù)據(jù)進(jìn)行查看,不能對相關(guān)信息進(jìn)行檢索,更不能將運算步驟加入到其中。數(shù)據(jù)的云存儲在與安全加密就由此發(fā)生了沖突。如果不加密,安全性得不到保障,而如果加密,設(shè)備的利用效率又相對較弱,這也正是目前云計算所面臨的挑戰(zhàn)。
1.2 數(shù)據(jù)隔離
在云計算的過程中,多租戶技術(shù)是必不可少的。多租戶技術(shù)主要是針對各大用戶在同一平臺上進(jìn)行的數(shù)據(jù)信息存儲模式。通常他們會將這些數(shù)據(jù)放在同一位置上進(jìn)行隔離管理。但是目前的云計算卻不能保障絕對的隔離,它可能會使信息進(jìn)行泄露。一些人黑客會以非用戶訪問的方式將信息竊取。一些云服務(wù)商為了謀取利益,也有可能將這些數(shù)據(jù)分享給第三方。
1.3 數(shù)據(jù)遷移和殘留
在運算的計算當(dāng)中,為了使各大服務(wù)系統(tǒng)能夠快速的運行,計算系統(tǒng)會將數(shù)據(jù)進(jìn)行遷移。在遷移過程中,不僅包括數(shù)據(jù)的儲存硬盤,還要讓用戶在毫無感知的情況下進(jìn)行快速遷移。但在這個過程中,云數(shù)據(jù)的安全輸送是無法保障的。對于數(shù)據(jù)的殘留,也是云計算中的一大問題。有些數(shù)據(jù)即使是刪除了還會有一定的痕跡,還有些云計算廠商將這些過度到計算垃圾中的數(shù)據(jù)進(jìn)行人工回收,再將數(shù)據(jù)賣給第三方。
2 云數(shù)據(jù)安全存儲技術(shù)探究
2.1 云數(shù)據(jù)安全存儲框架
在云數(shù)據(jù)安全存儲技術(shù)中,微軟研究院提出的面向公有云的加密存儲框架,對我國云數(shù)據(jù)安全存儲的發(fā)展提供了不小的幫助。這一面向公有云的加密存儲框架主要由數(shù)據(jù)處理DP、數(shù)據(jù)驗證DV、令牌生成TG以及憑證生成CG組成,這些組成部件在這一面向公有云的加密存儲框架中各自發(fā)揮著不同的作用。其中,數(shù)據(jù)處理主要負(fù)責(zé)數(shù)據(jù)存儲前的分塊、加密、編碼等操作;而數(shù)據(jù)驗證則主要負(fù)責(zé)保證數(shù)據(jù)存儲的完整性;令牌生成負(fù)責(zé)具體的密文數(shù)據(jù)提?。欢鴳{證生成則負(fù)則會授權(quán)用戶根據(jù)令牌從云中提取共享文件的密文。在這一面向公有云的加密存儲框架使用中,這一框架具備著有效解決數(shù)據(jù)安全與隱私問題的優(yōu)點,但由于微軟研究院只提出了一種構(gòu)架宏觀模型,這使得這一面向公有云的加密存儲框架參考價值有限。
2.2 云數(shù)據(jù)安全存儲加密
在我國當(dāng)下較為常見的云數(shù)據(jù)安全存儲加密技術(shù)中,其存在著同態(tài)加密技術(shù)、基于VMM的數(shù)據(jù)保護(hù)技術(shù)、基于可信平臺的數(shù)據(jù)安全存儲技術(shù)等多種技術(shù)形式。這些云數(shù)據(jù)安全存儲加密技術(shù)形式各自都存在著一些優(yōu)點與缺點,其中基于可信平臺的數(shù)據(jù)安全存儲技術(shù)當(dāng)屬其中的佼佼者,這一技術(shù)形式不僅具備著硬件和軟件都可信的技術(shù)特點,還能夠支持全部的云運算,其對于內(nèi)存安全與外存安全的保護(hù)也較為優(yōu)秀,但其也存在著特權(quán)用戶可解密用戶數(shù)據(jù)等方面的問題。
2.3 基于加解密的數(shù)據(jù)安全存儲技術(shù)
在基于加解密的數(shù)據(jù)安全存儲技術(shù)中,這一技術(shù)形式一般會結(jié)合傳統(tǒng)的加解密技術(shù)保證數(shù)據(jù)的安全,而基于重加密方法也是一種較為常見的數(shù)據(jù)加密形式,這種加密形式由于使用了對稱內(nèi)容與公主密鑰,這就使得只有擁有公主密鑰的人才能夠?qū)ο嚓P(guān)加密文件進(jìn)行解密,這在一定程度上就能夠較好的實現(xiàn)云數(shù)據(jù)的安全存儲。不過這種基于重加密方法的數(shù)據(jù)安全存儲技術(shù)存在著惡意服務(wù)器和任意一個惡意用戶勾結(jié)就能夠?qū)崿F(xiàn)數(shù)據(jù)破解的漏洞,這也是其沒有得到鋼釩應(yīng)用的原因之一。
2.4 支持查詢的云數(shù)據(jù)加密存儲技術(shù)
除了上述幾種云數(shù)據(jù)安全存儲技術(shù)外,支持查詢的云數(shù)據(jù)加密存儲技術(shù)也是我國當(dāng)下較為流行的一種云數(shù)據(jù)安全存儲技術(shù)形式,這一技術(shù)能夠滿足數(shù)據(jù)云存儲后用戶需要的數(shù)據(jù)查詢功能,持查詢的數(shù)據(jù)加密方法SE技術(shù)就屬于這一支持查詢的云數(shù)據(jù)加密存儲技術(shù)的范疇。SE技術(shù)的應(yīng)用能夠通過查詢關(guān)鍵字或查詢條件,在服務(wù)器中快速找到符合條件的數(shù)據(jù),不過其在實際應(yīng)用中存在著遍歷整個索引表的問題,這就使得這一技術(shù)形式在應(yīng)用中存在著計算代價較大、效率低下的問題,這點需要引起我們重視。
3 結(jié)論
綜上所述,目前對于云計算的最大問題就是其安全保密性能與運行穩(wěn)定性的提高規(guī)律,這些問題已經(jīng)嚴(yán)重阻礙了云計算的發(fā)展。技術(shù)人員應(yīng)該對安全性能設(shè)置,在建立云計算服務(wù)框架的基礎(chǔ)上簡化運算過程,增加云計算的訪問次數(shù),控制不同屬性的訪問條件,使云計算在數(shù)據(jù)集約性、安全性的基礎(chǔ)上得到發(fā)展。
參考文獻(xiàn)
[1]陳釗.基于云災(zāi)備的數(shù)據(jù)安全存儲關(guān)鍵技術(shù)研究[D].北京:北京郵電大學(xué),2012.
[2]裴新.云存儲中數(shù)據(jù)安全模型設(shè)計及分析關(guān)鍵技術(shù)研究[D].上海:華東理工大學(xué),2016.
[3]肖慶.面向產(chǎn)業(yè)鏈協(xié)同SaaS平臺的數(shù)據(jù)安全存儲技術(shù)研究[D].成都:西南交通大學(xué),2015.
[4]呂琴.云計算環(huán)境下數(shù)據(jù)存儲安全的關(guān)鍵技術(shù)研究[D].貴陽:貴州大學(xué),2015.
關(guān)鍵詞 大數(shù)據(jù) 網(wǎng)絡(luò)安全 態(tài)勢感知
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A
0 引言
對于一個大型網(wǎng)絡(luò),在網(wǎng)絡(luò)安全層面,除了訪問控制、入侵檢測、身份識別等基礎(chǔ)技術(shù)手段,需要安全運維和管理人員能夠及時感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。對于安全運維人員來說,如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題,從而保障網(wǎng)絡(luò)的安全狀態(tài),是他們最關(guān)心也是最需要解決的問題。與此同時,對于安全管理者和高層管理者而言,如何描述當(dāng)前網(wǎng)絡(luò)安全的整體狀況,如何預(yù)測和判斷風(fēng)險發(fā)展的趨勢,如何指導(dǎo)下一步安全建設(shè)與規(guī)劃,則是一道持久的難題。
隨著大數(shù)據(jù)技術(shù)的成熟、應(yīng)用與推廣,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)有了新的發(fā)展方向,大數(shù)據(jù)技 術(shù)特有的海量存儲、并行計算、高效查詢等特點,為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)創(chuàng)造了突破的機(jī)遇。本文將對大規(guī)模網(wǎng)絡(luò)環(huán)境下的安全態(tài)勢感知、大數(shù)據(jù)技術(shù)在安全感知方面的促進(jìn)做一些探討。
1 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知
隨著網(wǎng)絡(luò)的發(fā)展,大規(guī)模網(wǎng)絡(luò)所引發(fā)的安全保障的復(fù)雜度激增,主要面臨的問題包括:安全數(shù)據(jù)量巨大;安全事件被割裂,從而難以感知;安全的整體狀況無法描述。
網(wǎng)絡(luò)安全感知能力具體可分為資產(chǎn)感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產(chǎn)感知是指自動化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息;脆弱性感知則包括3個層面的脆弱性感知能力:不可見、可見、可利用;安全事件感知是指能夠確定安全事件發(fā)生的時間、地點、人物、起因、經(jīng)過和結(jié)果;異常行為感知是指通過異常行為判定風(fēng)險,以彌補(bǔ)對不可見脆弱性、未知安全事件發(fā)現(xiàn)的不足,主要面向的是感知未知的攻擊。
隨著Hadoop、NoSQL等技術(shù)的興起,BigData大數(shù)據(jù)的應(yīng)用逐漸增多和成熟,而大數(shù)據(jù)自身擁有Velocity快速處理、Volume大數(shù)據(jù)量存儲、Variety支持多類數(shù)據(jù)格式三大特性。大數(shù)據(jù)的這些天生特性,恰巧可以用于大規(guī)模網(wǎng)絡(luò)的安全感知。首先,多類數(shù)據(jù)格式可以使網(wǎng)絡(luò)安全感知獲取更多類型的日志數(shù)據(jù),包括網(wǎng)絡(luò)與安全設(shè)備的日志、網(wǎng)絡(luò)運行情況信息、業(yè)務(wù)與應(yīng)用的日志記錄等;其次,大數(shù)據(jù)量存儲與快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持,可以為高智能模型算法提供計算資源;最后,在異常行為的識別過程中,核心是對正常業(yè)務(wù)行為與異常攻擊行為之間的未識別行為進(jìn)行離群度分析,大數(shù)據(jù)使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。
2目前研究成果
中國移動自2010年起在云計算和大數(shù)據(jù)方面就開始了積極探索。中國移動的“大云”系統(tǒng)目前已實現(xiàn)了分布式海量數(shù)據(jù)倉庫、分布式計算框架、云存儲系統(tǒng)、彈性計算系統(tǒng)、并行數(shù)據(jù)挖掘工具等關(guān)鍵功能。在“大云”系統(tǒng)的基礎(chǔ)上,中國移動的網(wǎng)絡(luò)安全感知也具備了一定的技術(shù)積累,進(jìn)行了大規(guī)模網(wǎng)絡(luò)安全感知和防御體系的技術(shù)研究,在利用云平臺進(jìn)行脆弱性發(fā)現(xiàn)方面的智能型任務(wù)調(diào)度算法、主機(jī)和網(wǎng)絡(luò)異常行為發(fā)現(xiàn)模式等關(guān)鍵技術(shù)上均有突破,在安全運維中取得了一些顯著的效果。
3總結(jié)
大數(shù)據(jù)的出現(xiàn),擴(kuò)展了計算和存儲資源,提供了基礎(chǔ)平臺和大數(shù)據(jù)量處理的技術(shù)支撐,為安全態(tài)勢的分析、預(yù)測創(chuàng)造了無限可能。
參考文獻(xiàn)
[1] 龔正虎,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報,2010,21(7):1605-1619.
[2] 韋勇,連一峰,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機(jī)研究與發(fā)展,2009,46(3):353-362.
【 關(guān)鍵詞 】 云計算;云計算安全;虛擬化;安全架構(gòu)
【 中圖分類號 】 TP309 【 文獻(xiàn)標(biāo)志碼 】 A
1 引言
按照美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會(NIST)的定義,云計算是一種利用互聯(lián)網(wǎng)實現(xiàn)隨時隨地、按需、便捷地訪問共享資源池(如計算設(shè)施、存儲設(shè)備、應(yīng)用程序等)的計算模式。云計算以其便利、經(jīng)濟(jì)、高可擴(kuò)展性等優(yōu)勢引起了產(chǎn)業(yè)界、學(xué)術(shù)界、政府等各界廣泛的關(guān)注,國際、國內(nèi)很多成功的云計算案例紛紛涌現(xiàn)。國際上,Amazon的EC2/S3、Google的MapReduce/ App Engine、Yahoo!的HDFS、微軟的Azure、IBM的藍(lán)云等都是著名的案例;而國內(nèi),無錫的云平臺、山東東營的政務(wù)云、中化集團(tuán)的中化云等也逐漸呈現(xiàn),同時,云計算的國家級策略也在不斷醞釀。
但當(dāng)前,云計算發(fā)展面臨許多關(guān)鍵性問題,安全問題首當(dāng)其沖,并且隨著云計算的普及,安全問題的重要性呈現(xiàn)逐步上升趨勢,成為制約其發(fā)展的重要因素。在云計算環(huán)境下,雖然數(shù)據(jù)集中存儲,數(shù)據(jù)中心的管理者對信息資源進(jìn)行統(tǒng)一管理、統(tǒng)一分配、均衡負(fù)載、部署軟件、控制安全,并進(jìn)行可靠的安全實時監(jiān)測,從而使用戶的數(shù)據(jù)安全得到最大限度的保證。然而,集中管理的云計算中心也必將成為黑客攻擊的重點目標(biāo)。由于云計算環(huán)境的巨大規(guī)模以及前所未有的開放性與復(fù)雜性,其安全性面臨著比以往更為嚴(yán)峻的考驗。對于普通用戶來說,其安全風(fēng)險不是減少而是增大了。Gartner的2009年調(diào)查結(jié)果顯示,70%以上受訪企業(yè)的CTO認(rèn)為近期不采用云計算的首要原因是存在數(shù)據(jù)安全性與隱私性的憂慮。EMC信息安全部RSA和歐洲網(wǎng)絡(luò)和信息安全研究所ENISA也提出:數(shù)據(jù)的私密性和安全性以及服務(wù)的穩(wěn)定性已成為用戶考慮是否使用云服務(wù)和如何選擇云提供商的關(guān)鍵衡量指標(biāo)。而近來Amazon、Google等云計算發(fā)起者不斷爆出的各種安全事故更加劇了人們的擔(dān)憂。因此,要讓企業(yè)和組織大規(guī)模應(yīng)用云計算技術(shù)與平臺,就必須全面地分析并著手解決云計算所面臨的各種安全問題。
2 云計算的基本特征及安全問題
參照NIST的定義,云計算具有五個基本特征:一是按需自助服務(wù),用戶可對計算資源進(jìn)行單邊部署以自動化地滿足需求,并且無須服務(wù)提供商的人工配合;二是泛在網(wǎng)絡(luò)連接,云計算資源可以通過網(wǎng)絡(luò)獲取和通過標(biāo)準(zhǔn)機(jī)制訪問,這些訪問機(jī)制能夠方便用戶通過異構(gòu)的客戶平臺來使用云計算;三是與地理位置無關(guān)的資源池,云計算服務(wù)商采用多用戶模式,根據(jù)用戶需求動態(tài)地分配和再分配物理資源和虛擬資源,用戶通常不必知道這些資源具體所在的位置,資源包括存儲器、處理器、內(nèi)存、網(wǎng)絡(luò)及虛擬機(jī)等;四是快速靈活地部署資源,云計算供應(yīng)商可快速靈活地部署云計算資源,快速地放大和縮小,對于用戶,云計算資源通??梢员徽J(rèn)為是無限的,即可以在任何時間購買任何數(shù)量的資源;五是服務(wù)計費,通過對不同類型的服務(wù)進(jìn)行計費,云計算系統(tǒng)能自動控制和優(yōu)化資源利用情況??梢员O(jiān)測、控制資源利用情況,為云計算提供商和用戶就所使用的服務(wù)提供透明性。
其中,資源虛擬化和服務(wù)化是云計算最重要的外部特征。在云計算的模式下,用戶基本上不再擁有使用信息技術(shù)所需的基礎(chǔ)設(shè)施,而僅僅是租用并訪問云服務(wù)供應(yīng)商所提供的服務(wù)。云計算把各層次功能封裝為抽象實體,對用戶提供各層次的云服務(wù),這些服務(wù)通過虛擬化技術(shù)實現(xiàn)。虛擬化技術(shù)將底層的硬件,包括服務(wù)器、存儲與網(wǎng)絡(luò)設(shè)備全面虛擬化,在虛擬化技術(shù)之上,通過建立一個隨需而選的資源共享、分配、管控平臺,可根據(jù)上層的數(shù)據(jù)和業(yè)務(wù)形態(tài)的不同需求,搭配出各種互相隔離的應(yīng)用,形成一個以服務(wù)為導(dǎo)向的可伸縮的IT基礎(chǔ)架構(gòu),從而為用戶提供以出租IT基礎(chǔ)設(shè)施資源為形式的云計算服務(wù)。用戶在任意位置、使用各種終端從云中獲取應(yīng)用服務(wù),而無需了解它的具體實現(xiàn)和具置。
云計算的以上特征帶來了諸多新的安全問題,其中核心安全問題是用戶不再對數(shù)據(jù)和環(huán)境擁有完全的控制權(quán)。云計算的出現(xiàn)徹底打破了地域的概念,數(shù)據(jù)不再存放在某個確定的物理節(jié)點,而是由服務(wù)商動態(tài)提供存儲空間,這些空間有可能是現(xiàn)實的,也可能是虛擬的,還可能分布在不同國家及區(qū)域。用戶對存放在云中的數(shù)據(jù)不能像從前那樣具有完全的管理權(quán),相比傳統(tǒng)的數(shù)據(jù)存儲和處理方式,云計算時代的數(shù)據(jù)存儲和處理,對于用戶而言,變得非常不可控。
傳統(tǒng)模式下,用戶可以對其數(shù)據(jù)通過物理和邏輯劃分安全域?qū)崿F(xiàn)有效的隔離和保護(hù);而在云計算環(huán)境下,各類云應(yīng)用沒有固定不變的基礎(chǔ)設(shè)施和安全邊界,數(shù)據(jù)安全由云計算提供商負(fù)責(zé),不再依靠機(jī)器或網(wǎng)絡(luò)的物理邊界得以保障,因此云環(huán)境中用戶數(shù)據(jù)安全與隱私保護(hù)難以實現(xiàn)。
同時,云中大量采用虛擬技術(shù),虛擬平臺的安全無疑關(guān)系到云體系架構(gòu)的安全。隨著功能與性能上的不斷提升,虛擬化平臺變得越來越復(fù)雜和龐大,管理難度也隨之增大。目前,虛擬平臺的安全漏洞不斷涌現(xiàn),如果黑客利用漏洞獲得虛擬平臺管理軟件的控制權(quán),將會直接威脅到云安全的根基。
此外,云計算中多層服務(wù)模式也將引發(fā)安全問題。云計算發(fā)展的趨勢之一是IT服務(wù)專業(yè)化,即云服務(wù)商在對外提供服務(wù)的同時,自身也需要購買其他云服務(wù)商所提供的服務(wù)。因而用戶所享用的云服務(wù)間接涉及到多個服務(wù)提供商,多層轉(zhuǎn)包無疑極大地提高了問題的復(fù)雜性,進(jìn)一步增加了安全風(fēng)險。
從目前云計算的發(fā)展來看,用戶數(shù)據(jù)的安全、用戶隱私信息的保護(hù)問題、數(shù)據(jù)的異地存儲以及云計算自身的穩(wěn)定性等諸多安全和云計算監(jiān)管方面的問題,直接關(guān)系到用戶對云計算業(yè)務(wù)的接受程度,已成為影響云計算業(yè)務(wù)發(fā)展的最重要因素。
傳統(tǒng)的安全域劃分、網(wǎng)絡(luò)邊界防護(hù)等安全機(jī)制已難以保障云計算的安全防護(hù)需求。作為面向服務(wù)的架構(gòu)體系,云計算體系各層作為服務(wù)提供者將共同面臨著非法用戶的訪問、合法用戶的非法操作、合法用戶的惡意破壞等威脅。因此,研究云計算安全防護(hù)體系以及用戶認(rèn)證、訪問控制等問題,將是云計算安全領(lǐng)域的重點。
3 云計算安全技術(shù)研究進(jìn)展
云計算源于網(wǎng)絡(luò)運營商的商業(yè)運作,是網(wǎng)格計算、分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負(fù)載均衡等傳統(tǒng)計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。由于是一種融合技術(shù),從實踐走向?qū)嵺`,所以云計算缺乏嚴(yán)謹(jǐn)?shù)睦碚摶A(chǔ),在其發(fā)展過程中,幾乎所有的大型云計算推廣廠商都出現(xiàn)了各種各樣的故障,引發(fā)業(yè)界對云計算安全的討論和研究。
目前,對云計算安全技術(shù)的理論研究滯后于實踐應(yīng)用,尚處于初級階段,但已得到越來越多學(xué)術(shù)界的關(guān)注。信息安全國際會議RSA2010將云計算安全列為焦點問題,許多企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組織都啟動了相關(guān)研究,安全廠商也在關(guān)注各類安全云計算產(chǎn)品。但只有CSA和ENISA以及微軟等幾個為數(shù)不多的組織和公司能夠比較清晰地提出各自對云計算安全問題的基本認(rèn)識以及關(guān)于云計算安全問題的初步解決方案。
3.1 云安全聯(lián)盟CSA
目前,對云安全研究最為活躍的組織是云安全聯(lián)盟CSA(Cloud Security Alliance),CSA是于2009年成立的一個非盈利性組織,企業(yè)成員涵蓋國際領(lǐng)先的電信運營商、IT和網(wǎng)絡(luò)設(shè)備廠商、網(wǎng)絡(luò)安全廠商、云計算提供商等。CSA于2009年12月了《云計算關(guān)鍵領(lǐng)域安全指南V2.1》,總結(jié)了云計算的技術(shù)架構(gòu)模型、安全控制模型以及相關(guān)合規(guī)模型之間的映射關(guān)系。根據(jù)CSA提出的云安全控制模型,“云”上的安全首先取決于云服務(wù)的分類,其次是“云”上部署的安全架構(gòu)以及業(yè)務(wù)、監(jiān)管和其它合規(guī)要求。CSA還確定了云計算安全的15個焦點領(lǐng)域,分別為信息生命周期管理、政府和企業(yè)風(fēng)險管理、法規(guī)和審計、普通立法、eDiscovery、加密和密鑰管理、認(rèn)證和訪問管理、虛擬化、應(yīng)用安全、便攜性和互用性、數(shù)據(jù)中心、操作管理事故響應(yīng)、通知和修復(fù)、傳統(tǒng)安全影響(商業(yè)連續(xù)性、災(zāi)難恢復(fù)、物理安全)、體系結(jié)構(gòu)。2010年3月CSA了云計算安全面臨的七個最大的安全威脅,即對云的不良使用、不安全的接口和API、惡意的內(nèi)部人員、共享技術(shù)的問題、數(shù)據(jù)丟失或泄漏、賬戶或服務(wù)劫持、未知的風(fēng)險等,獲得了廣泛的引用和認(rèn)可。
3.2 歐洲網(wǎng)絡(luò)和信息安全研究所ENISA
歐洲網(wǎng)絡(luò)和信息安全研究所ENISA(European Network and Information Security Agency)是負(fù)責(zé)歐盟內(nèi)部各個國家網(wǎng)絡(luò)與信息安全的一個研究機(jī)構(gòu),其在云計算安全方面的主要研究成果是從企業(yè)的角度出發(fā)分析云計算可能帶來的好處以及安全方面的風(fēng)險。ENISA認(rèn)為,企業(yè)使用云計算的好處是內(nèi)容和服務(wù)隨時都可存取,并可不必管理超過需求的數(shù)據(jù)中心容量,而是使用云計算提供商提供的云計算服務(wù),依照實際用量付費,不必維護(hù)某些硬件或軟件,不僅可以降低企業(yè)成本,而且可以“解放”企業(yè)內(nèi)部的IT資源。但是目前由于安全性問題,企業(yè)仍對云計算望而卻步。企業(yè)質(zhì)疑,是否能夠放心把企業(yè)的數(shù)據(jù)、甚至整個商業(yè)架構(gòu),交給云計算服務(wù)供貨商。因此,ENISA建議,企業(yè)必須做風(fēng)險評估,比較數(shù)據(jù)存在云中和存儲在自己內(nèi)部數(shù)據(jù)中心的潛在風(fēng)險,比較各家云服務(wù)供應(yīng)商,取得優(yōu)選者的服務(wù)水平保證。應(yīng)該清楚指定哪些服務(wù)和任務(wù)由公司內(nèi)部的IT人員負(fù)責(zé)、哪些服務(wù)和任務(wù)交由云服務(wù)供應(yīng)商負(fù)責(zé)。ENISA的報告指出,如果選對云計算供應(yīng)商,數(shù)據(jù)存在云中是非常安全的,甚至比內(nèi)部的安全維護(hù)更固若金湯、更有彈性、更能快速執(zhí)行,也可以更有效率地部署新的安全更新,并維持更廣泛的安全診斷。
3.3 典型的云安全技術(shù)解決方案
除了學(xué)術(shù)界,產(chǎn)業(yè)界對云計算的安全問題非常重視,并為云計算服務(wù)和平臺開發(fā)了若干安全機(jī)制,各類云計算安全產(chǎn)品與方案不斷涌現(xiàn)。其中Sun公司開源的云計算安全工具可為Amazon的EC2,S3 以及虛擬私有云平臺提供安全保護(hù)。微軟推出了云計算平臺Windows Azure。在Azure上,微軟通過采用強(qiáng)化底層安全技術(shù)性能、使用所提出的Sydney安全機(jī)制,以及在硬件層面上提升訪問權(quán)限安全等系列技術(shù)措施為用戶提供一個可信任的云,從私密性、數(shù)據(jù)刪除、完整性、可用性和可靠性五個方面保證云安全。Yahoo!的開源云計算平臺Hadoop也推出安全版本,引入kerberos安全認(rèn)證技術(shù),對共享敏感數(shù)據(jù)的用戶加以認(rèn)證與訪問控制,阻止非法用戶對Hadoop clusters的非授權(quán)訪問。EMC,Intel, Vmware 等公司聯(lián)合宣布了一個“可信云體系架構(gòu)”的合作項目,并提出了一個概念證明系統(tǒng)。該項目采用Intel的可信執(zhí)行技術(shù)(Trusted Execution Technology)、Vmware的虛擬隔離技術(shù)、RSA的enVision安全信息與事件管理平臺等技術(shù)相結(jié)合,構(gòu)建從下至上值得信賴的多租戶服務(wù)器集群。2010年為使其安全措施、政策及涉及到谷歌應(yīng)用程序套件的技術(shù)更透明,谷歌了一份白皮書,向當(dāng)前和潛在的云計算客戶保證強(qiáng)大而廣泛的安全基礎(chǔ)。此外,谷歌在云計算平臺上還創(chuàng)建了一個特殊門戶,供使用應(yīng)用程序的用戶了解其隱私政策和安全問題。
4 云計算服務(wù)安全模型
云計算以服務(wù)的方式滿足用戶的需求,根據(jù)服務(wù)的類型,云計算服務(wù)可以分為三個層次:基礎(chǔ)設(shè)施即服務(wù)(IaaS)、云平臺即服務(wù)(PaaS)、云軟件即服務(wù)(SaaS),構(gòu)成云計算服務(wù)模型。IaaS位于最底層,提供所有云服務(wù)必需的處理、存儲的能力;PaaS建立在IaaS之上,為用戶提供平臺級的服務(wù);SaaS又以PaaS為基礎(chǔ),提供應(yīng)用級的服務(wù)。用戶可以根據(jù)自身業(yè)務(wù)特點和需求,選擇合適的云服務(wù)模式,不同的云計算服務(wù)模式意味著不同的安全內(nèi)容和責(zé)任劃分。目前比較獲得認(rèn)可的云計算安全模型就是基于云計算服務(wù)模型構(gòu)建的,如圖1所示。此模型中,云服務(wù)提供商所在的層次越低,云用戶自己所要承擔(dān)的安全管理職責(zé)就越多。不同云服務(wù)模式的安全關(guān)注點是不一樣的,當(dāng)然也有一些是這三種模式共有的,如數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業(yè)務(wù)連續(xù)性等。
4.1 IaaS 層安全
IaaS提供硬件基礎(chǔ)設(shè)施部署服務(wù),為用戶按需提供實體或虛擬的計算、存儲和網(wǎng)絡(luò)等資源。在使用IaaS層服務(wù)的過程中,用戶需要向IaaS層服務(wù)提供商提供基礎(chǔ)設(shè)施的配置信息,運行于基礎(chǔ)設(shè)施的程序代碼以及相關(guān)的用戶數(shù)據(jù)。數(shù)據(jù)中心的管理和優(yōu)化技術(shù)以及虛擬化技術(shù)是IaaS層的關(guān)鍵技術(shù)。IaaS層安全主要包括物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、虛擬化安全、接口安全,以及數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業(yè)務(wù)連續(xù)性等。
4.2 PaaS 層安全
PaaS 位于IaaS 之上,是云計算應(yīng)用程序運行環(huán)境,提供應(yīng)用程序部署與管理服務(wù)。通過PaaS層的軟件工具和開發(fā)語言,應(yīng)用程序開發(fā)者只需上傳程序代碼和數(shù)據(jù)即可使用服務(wù),而不必關(guān)注底層的網(wǎng)絡(luò)、存儲、操作系統(tǒng)的管理問題。PaaS層的安全主要包括接口安全、運行安全以及數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業(yè)務(wù)連續(xù)性等,其中PaaS層的海量數(shù)據(jù)的安全問題是重點。Roy等人提出了一種基于MapReduce 平臺的隱私保護(hù)系統(tǒng)Airavat,集成強(qiáng)訪問控制和區(qū)分隱私,為處理關(guān)鍵數(shù)據(jù)提供安全和隱私保護(hù)。
4.3 SaaS 層安全
SaaS位于IaaS和PaaS之上,它能夠提供獨立的運行環(huán)境,用以交付完整的用戶體驗,包括內(nèi)容、展現(xiàn)、應(yīng)用和管理能力。企業(yè)可以通過租用SaaS層服務(wù)解決企業(yè)信息化問題,如企業(yè)通過Gmail建立屬于該企業(yè)的電子郵件服務(wù)。該服務(wù)托管于Google的數(shù)據(jù)中心,企業(yè)不必考慮服務(wù)器的管理、維護(hù)問題。對于普通用戶來講,SaaS層服務(wù)將桌面應(yīng)用程序遷移到互聯(lián)網(wǎng),可實現(xiàn)應(yīng)用程序的泛在訪問。SaaS層的安全主要是應(yīng)用安全,當(dāng)然也包括數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業(yè)務(wù)連續(xù)性等。如,由于云服務(wù)器由許多用戶共享,且云服務(wù)器和用戶不在同一個信任域里,所以需要對敏感數(shù)據(jù)建立訪問控制機(jī)制。由于傳統(tǒng)的加密控制方式需要花費很大的計算開銷,而且密鑰和細(xì)粒度的訪問控制都不適合大規(guī)模的數(shù)據(jù)管理,Yu等人討論了基于文件屬性的訪問控制策略,在不泄露數(shù)據(jù)內(nèi)容的前提下將與訪問控制相關(guān)的復(fù)雜計算工作交給不可信的云服務(wù)器完成,從而達(dá)到訪問控制的目的。
5 結(jié)束語
隨著云計算技術(shù)的快速發(fā)展和更廣泛應(yīng)用,云計算將會面臨更多的安全風(fēng)險。目前業(yè)界對云計算安全的研究尚處于初步階段,對云計算安全的解決也沒有統(tǒng)一的標(biāo)準(zhǔn)和解決方法,并且對云計算安全的研究集中于企業(yè)。未來需要學(xué)術(shù)界、產(chǎn)業(yè)界、政府共同參與解決云計算的安全問題,推動云計算的發(fā)展。
參考文獻(xiàn)
[1] MELL P, GRANCE T.The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology, 2011.
[2] Cloud Computing [EB/OL].[2009-05-23].http:// /wiki/Cloud_computing.
[3] 王偉,高能,江麗娜.云計算安全需求分析研究[J].信息網(wǎng)絡(luò)安全,2012(08):75-78.
[4] 馮登國,張敏,張妍等.云計算安全研究[J].軟件學(xué)報,2011(1):71-83.
[5] 張健.全球云計算安全研究綜述[J].電信網(wǎng)技術(shù),2010(9):15-18.
[6] Cloud Security Alliance.Security Guidance for Critical Areas of Focus in Cloud Computing [EB/OL]. http:// /csaguide.pdf.
[7] Cloud Security Alliance.Top Threats to Cloud Computing V1.0[EB/OL]. http:/// topthreats/csathreats.v1.0.pdf.
[8] ENISA.Cloud Computing Information Assurance Framework .http://enisa.europaeu/act/rm/files/ deliverables/cloudcomputing-information-assurance-framework.
[9] ENISA. Benefits, risks and recommendations for information security.http://enisa.europa.eu/act/rm/ files/deliverables/cloud-computing-risk-assessment/at_download/fullReport.
[10] Securing Microsoft’s Cloud Infrastructure. http:// /security/documents/SecuringtheMSCloudMay09.pdf.
[11] 陳軍,薄明霞,王渭清.云安全研究進(jìn)展及技術(shù)解決方案發(fā)展趨勢[J].現(xiàn)代電信科技,2011(6):50-54.
[12] 余幸杰,高能,江偉玉.云計算中的身份認(rèn)證技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2012(08):71-74.
作者簡介:
【關(guān)鍵詞】 云計算 訪問控制技術(shù)
引言:隨著科學(xué)技術(shù)的不斷發(fā)展,云計算也得到了發(fā)展,用戶境各類數(shù)據(jù)和信息放入云服務(wù)器當(dāng)中一定要得到保護(hù),計算任務(wù)要保證正確的實行,所以,云計算的安全機(jī)制和體系結(jié)構(gòu)一定要制定出來,這樣數(shù)據(jù)的機(jī)密性、完整性以及安全性才能得到保護(hù)。
一、云計算訪問控制技術(shù)的發(fā)展軌跡
在上世紀(jì)七十年代訪問控制技術(shù)就產(chǎn)生了,它產(chǎn)生的目標(biāo)是為了更好對主服務(wù)器上數(shù)據(jù)訪問授權(quán)的需求進(jìn)行滿足,經(jīng)過其他程序的對訪問者的身份進(jìn)行辨別,進(jìn)而按照本身的需求來限定訪問者訪問數(shù)據(jù)的區(qū)域,對重要的數(shù)據(jù)進(jìn)行保密,避免非法入侵對主服務(wù)器造成傷害。Lampson就提出了傳統(tǒng)的訪問控制,在之后隨著不斷的發(fā)展演變就出線了其他的訪問控制,如表1所示。隨著社會的不斷發(fā)展,對于信息安全的重視在不斷的提高,在目前訪問控制技術(shù)是研究的重點之一。在網(wǎng)絡(luò)計算機(jī)技術(shù)的進(jìn)步,訪問控制產(chǎn)生比較多的擴(kuò)展模型,多數(shù)都是以RBAC為前提建設(shè)的,訪問控制技術(shù)的不斷擴(kuò)展,當(dāng)前已經(jīng)觸及到許多領(lǐng)域,比如操作系統(tǒng)、數(shù)據(jù)庫等。
二、云算環(huán)境下的訪問控制所面對的問題
在云計算的服務(wù)體系來說,不管是哪個系統(tǒng)都要經(jīng)過訪問控制技術(shù)來對信息資源進(jìn)行保護(hù),然而在云計算的特殊性的前提下,它的訪問控制技術(shù)要更重要。云計算的信息的儲存以及計算都一定要通過服務(wù)商的認(rèn)證,各級的提供商相互之間要進(jìn)行認(rèn)證和控制,虛擬機(jī)之間為了防止攻擊也要進(jìn)行訪問控制來進(jìn)行保證。很多的專家對此進(jìn)行了研究,然而在其中引燃存在很多的問題。主要表現(xiàn)在下面:1架構(gòu),對于云計算架構(gòu)的需求傳統(tǒng)的訪問控制并不能夠滿足,在需求上也產(chǎn)生了一定的矛盾;2、機(jī)制,云計算環(huán)境下的每種服務(wù)都不在相同的管理區(qū)域當(dāng)中,要互相進(jìn)行授權(quán),實現(xiàn)資源共享;3、模型,云計算的控制訪問需要重新劃分主體、課題,此外角色關(guān)系的繁雜也讓云計算和傳統(tǒng)的計算模式有很大的區(qū)別。
為了對上面這三個問題進(jìn)行解決,大量的研究了數(shù)據(jù)安全和訪問方法,主要有下面幾個方面,如表2所示。
我們非常的重視第三個,這樣的訪問控制是經(jīng)過密鑰來達(dá)到的,總的來說就是主體加密數(shù)據(jù)信息,這樣就只有解密的用戶才能夠進(jìn)行訪問。總而言之,當(dāng)前云計算的訪問控制體系框架大概可以分成訪問者、數(shù)據(jù)服務(wù)器、網(wǎng)絡(luò)這三種,用戶跟服務(wù)器之間景觀訪問控制規(guī)則與模型的對接,服務(wù)器跟網(wǎng)絡(luò)之間景觀訪問精致規(guī)則進(jìn)行對接,而且在這中間的服務(wù)器以及平臺互相可以使用虛擬設(shè)備來進(jìn)行訪問控制,并按照訪問控制模型以及密碼來達(dá)到。
三、云計算訪問控制技術(shù)的發(fā)展趨勢
對于云計算的研究要從多方面進(jìn)行考慮,比如站在位置的角度來說,我們不僅要對云計算用戶進(jìn)入平臺的時候的訪問控制手段和方法進(jìn)行考慮,還要兩全云端中的數(shù)據(jù)以及各類資源對不同用戶的辨別采用幣一樣的控制措施,每個虛擬服務(wù)器之間的控制要密切的聯(lián)系,在確保本身控制安全的前提下要達(dá)到相互之間的訪問控制;另外,要仔細(xì)的考慮粗粒度的問題,站在大環(huán)境的角度而言,一定要考慮物理資源和虛擬資源都要進(jìn)行訪問控制,這樣才能夠確保底層的資源,此外不要忽略數(shù)據(jù)、信息流、記錄等不被攻擊和損壞。另外還要設(shè)計控制訪問的時候一定要多種多樣,不僅具有可控的伸縮性,還要達(dá)到網(wǎng)絡(luò)獨立。云計算本身的特性就確定了它的安全控制更加的繁雜,更加的困難,云計算的訪問控制一定要站在自己的獨特性上,并且要在硬件方面曾倩安全保護(hù)這也是不能夠缺少的主要因素,在將來的云計算訪問控制分析要在下面幾點中進(jìn)行:1、研究虛擬化的訪問控制;2、研究信息資源變化的訪問控制;3、研究信任關(guān)系的訪問控制。
結(jié)語:研究云計算訪問控制是目前安全領(lǐng)域中比較重要的一點,它的好壞將直接影響到我國信息化建設(shè)的好壞,另外,云計算的訪問控制不僅僅是技術(shù)方面的問題,它當(dāng)中還包含了標(biāo)準(zhǔn)化、行業(yè)標(biāo)準(zhǔn)等,所以,要不斷的努力,打造安全的云環(huán)境。
參 考 文 獻(xiàn)
[1] 王于丁,楊家海,徐聰?shù)?云計算訪問控制技術(shù)研究綜述[J].軟件學(xué)報,2015,26(5):1129-1150..
[2] 田明.云計算環(huán)境下的訪問控制技術(shù)研究[D].山東師范大學(xué),2014.
高校教育在整個教育體系中占有舉足輕重的地位和作用,我國教育部門對高校的建設(shè)和發(fā)展也越來越重視。當(dāng)前,在國家經(jīng)濟(jì)發(fā)展的巨大推動作用下,高校自身的建設(shè)和發(fā)展越來越完善,特別是高校校園網(wǎng)的建立。高校校園網(wǎng)是學(xué)校發(fā)展和建設(shè)的一項基本設(shè)施,高校校園網(wǎng)的建設(shè)規(guī)模和實際水平,越來越成為衡量高校綜合競爭實力的一個重要指標(biāo)。由此可見,建設(shè)高水平的高校校園網(wǎng)具有重要意義。我們主要針對高校校園網(wǎng)建設(shè)中的關(guān)鍵技術(shù)應(yīng)用進(jìn)行了深刻的分析。
【關(guān)鍵詞】高校校園網(wǎng) 網(wǎng)絡(luò)安全 管理 關(guān)鍵技術(shù)
新時期,隨著計算機(jī)信息技術(shù)的發(fā)展速度越來越快,應(yīng)用范圍越來越廣泛,為我國高校校園網(wǎng)的建設(shè)和發(fā)展提供了一種全新的發(fā)展手段和方式。高校校園網(wǎng)的建立能夠整合學(xué)校的各種教學(xué)、學(xué)習(xí)、娛樂和活動資源,為學(xué)生們創(chuàng)造一個完善的校園網(wǎng)絡(luò)環(huán)境,并能提高高校的管理水平和教學(xué)水平,實現(xiàn)教師教學(xué)與學(xué)生課外活動以及娛樂的完美統(tǒng)一。隨著現(xiàn)代高校的發(fā)展,校園網(wǎng)的建設(shè)水平越來越在高校發(fā)展中占有重要地位。下面我們主要分析了高校校園網(wǎng)建設(shè)中的關(guān)鍵技術(shù),進(jìn)一步促進(jìn)校園網(wǎng)技術(shù)的應(yīng)用
1 校園網(wǎng)關(guān)鍵技術(shù)
高校校園網(wǎng)網(wǎng)絡(luò)建設(shè)中的關(guān)鍵技術(shù)是校園網(wǎng)建設(shè)和發(fā)展的重要因素,只有處理好關(guān)鍵技術(shù)的相關(guān)問題,才能促進(jìn)高校校園網(wǎng)的更加完善和發(fā)展。下面我們主要分析幾種重要的高校校園網(wǎng)關(guān)鍵技術(shù)。
1.1 綜合布線技術(shù)
綜合布線技術(shù)是在系統(tǒng)集成商的努力下完成的,是對網(wǎng)絡(luò)物理設(shè)計方案的實施。綜合布線系統(tǒng)能夠?qū)崿F(xiàn)靈活性、模塊化的信息傳輸,是一種智能化的重要底層硬件。綜合布線系統(tǒng)的傳輸介質(zhì)主要是光纜和非屏蔽雙絞線,利用分層結(jié)構(gòu)的形式,把各種語音、圖像、數(shù)據(jù)、和交換設(shè)備等與其他管理系統(tǒng)緊密聯(lián)系起來,同時還能實現(xiàn)與外部網(wǎng)絡(luò)的連接。
1.2 網(wǎng)絡(luò)管理技術(shù)
網(wǎng)絡(luò)管理是為了保證校園網(wǎng)各種數(shù)據(jù)、資源順利傳輸和設(shè)備的正常運行,從而不斷優(yōu)化校園網(wǎng)的網(wǎng)絡(luò)性能。網(wǎng)絡(luò)管理的功能包括多個方面,網(wǎng)絡(luò)配置、故障檢測、性能管理、安全管理,計費管理。網(wǎng)絡(luò)管理是對校園網(wǎng)網(wǎng)絡(luò)的一種優(yōu)化和更新,在校園網(wǎng)建設(shè)中的重要方面和技術(shù)。
1.3 網(wǎng)絡(luò)安全技術(shù)
網(wǎng)絡(luò)安全技術(shù)是充分保證校園網(wǎng)建設(shè)意義和安全的重要方面,是對各種網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊的一種很好防范,是保證校園網(wǎng)安全運行的基礎(chǔ)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展越來越迅速,各種網(wǎng)絡(luò)威脅也越來越肆虐,在校園網(wǎng)的建設(shè)中要充分考慮網(wǎng)絡(luò)安全問題,加強(qiáng)對校園網(wǎng)的防火墻建設(shè)和網(wǎng)絡(luò)威脅入侵檢測管理,充分保證校園網(wǎng)建設(shè)的安全性。
2 校園網(wǎng)絡(luò)應(yīng)用
網(wǎng)絡(luò)應(yīng)用是校園網(wǎng)建設(shè)中的重要組成部分,校園網(wǎng)的建立主要是為了充分利用網(wǎng)絡(luò)資源,并建立自己的網(wǎng)絡(luò)應(yīng)用。在校園網(wǎng)網(wǎng)絡(luò)應(yīng)用方面要實現(xiàn)校園網(wǎng)Internet訪問和各種網(wǎng)絡(luò)資源的應(yīng)用,還要根據(jù)高校的需要和實際情況建立Web站點。
隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展越來越迅速,校園網(wǎng)的建設(shè)越來越注重網(wǎng)絡(luò)資源的應(yīng)用,高校要逐步建立自己的網(wǎng)絡(luò)管理和辦公系統(tǒng),從而實現(xiàn)校園網(wǎng)的自動化和信息化辦公。另外,圖書館數(shù)據(jù)庫已經(jīng)逐步納入到高校校園網(wǎng)內(nèi),從而實現(xiàn)高校校園網(wǎng)的更加完善發(fā)展。
2.1 建立高校Web站點
與SQL數(shù)據(jù)庫相結(jié)合的結(jié)構(gòu)可以實現(xiàn)校園網(wǎng)站的全部功能,實現(xiàn)網(wǎng)絡(luò)宣傳、教研和管理等工作,可以根據(jù)高校的實際情況構(gòu)建FTO、DNS、E-mail、用戶管理、課件點播等各種Web站點服務(wù)。隨著學(xué)生對開放性課程認(rèn)知度的增加,校園Web站點作為其平臺也面臨著新的挑戰(zhàn),專業(yè)流媒體服務(wù)器的引入大大緩解了Web服務(wù)器的壓力,各種單一功能的專業(yè)服務(wù)器的引進(jìn),能夠為學(xué)生提供更加快速、更加穩(wěn)定的校園Web站點瀏覽體驗。
2.2 建立校園OA系統(tǒng)
OA系統(tǒng)即辦公自動化系統(tǒng),依托信息技術(shù)、網(wǎng)絡(luò)技術(shù)和計算機(jī)技術(shù)來實現(xiàn)。隨著低碳環(huán)保理念的深入人心,無紙化辦公成為一種趨勢。由于校園OA系統(tǒng)低碳高效的特點使其在校園管理中不可替代。隨著高校的發(fā)展,多元化的辦公趨勢越來越明顯,項目流程化辦公模塊的通用性進(jìn)一步增強(qiáng),使高校OA系統(tǒng)的實現(xiàn)更加簡單?;赪eb service技術(shù)能夠有效實現(xiàn)分布式OA系統(tǒng)的集成,但也帶來了一些風(fēng)險,這樣網(wǎng)絡(luò)安全、權(quán)限控制模塊成為OA系統(tǒng)的屏障,通過統(tǒng)一的UDDI中心進(jìn)行注冊可以有效地降低風(fēng)險并增加其擴(kuò)展性。
2.3 數(shù)字圖書館的建立
數(shù)字圖書館是用計算機(jī)技術(shù)、數(shù)據(jù)庫技術(shù)處理和存儲多種圖文并茂的書籍和文獻(xiàn)的電子化圖書館,實質(zhì)上是一種多媒體制作的分布式信息系統(tǒng)。高校圖書館的電子化可以給師生帶來巨大的好處。首先共享化的電子書籍可以同時提供給多人參考,增加書籍的使用效率;其次,檢索技術(shù)可以為師生快速找到需求內(nèi)容,提高了閱讀效率;再次,網(wǎng)絡(luò)技術(shù)的應(yīng)用打破了時間、空間限制,使閱讀更加人性化;最后,電子閱覽室的建立提供了更加友好的閱讀方式、更加舒適的閱讀環(huán)境。數(shù)字圖書館的建立一般基于數(shù)據(jù)庫技術(shù)、網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)和OCR技術(shù),提供用戶管理、資源分類管理、檢索書籍、瀏覽書籍等功能。其也可以同校園Web站點進(jìn)行對接,方便師生閱覽。
2.4 新技術(shù)在高校校園網(wǎng)中的應(yīng)用
移動校園網(wǎng)絡(luò)將成為一種發(fā)展方向。隨著近幾年移動終端的發(fā)展,校園移動網(wǎng)絡(luò)平臺成為一種趨勢,符合大多數(shù)年輕人的使用習(xí)慣,校園wifi 和Wlan系統(tǒng)的普及為移動網(wǎng)絡(luò)終端提供了網(wǎng)絡(luò)基礎(chǔ),智能手機(jī)、平板電腦等移動終端迅速普及為移動網(wǎng)絡(luò)終端提供了硬件基礎(chǔ),各種校園App的開發(fā)為移動網(wǎng)絡(luò)終端提供了軟件基礎(chǔ)。
物聯(lián)網(wǎng)技術(shù)在高校校園網(wǎng)中的應(yīng)用,使校園更加安全、教學(xué)更加生動、管理更加便捷。物聯(lián)網(wǎng)技術(shù)利用各種傳感器,收集數(shù)據(jù),處理數(shù)據(jù),將所有的物品都與網(wǎng)絡(luò)連接在一起,方便識別、管理和控制。在校園網(wǎng)中安防系統(tǒng)是應(yīng)用物聯(lián)網(wǎng)技術(shù)較多的,比如紅外對射、門禁系統(tǒng)等等。物聯(lián)網(wǎng)技術(shù)也廣泛應(yīng)用于教學(xué)擴(kuò)展領(lǐng)域,識別學(xué)習(xí)對象、記錄學(xué)習(xí)過程、調(diào)整學(xué)習(xí)進(jìn)度,建立學(xué)習(xí)情境,增強(qiáng)學(xué)生體驗。
云計算技術(shù)應(yīng)用到校園網(wǎng)中,可以建立起覆蓋面全,性能優(yōu)化,規(guī)模最大化,成本最小化的信息傳輸基礎(chǔ)設(shè)施,滿足所要求的教育網(wǎng)絡(luò)的可用性,穩(wěn)定性,安全性,先進(jìn)性以及許多其他方面的需求。
隨著各種新技術(shù)的出現(xiàn),比如:智能大廈技術(shù)、虛擬現(xiàn)實技術(shù)等等,高校校園網(wǎng)也在不斷地完善,不斷地創(chuàng)新,更好的為師生服務(wù)。
3 校園網(wǎng)絡(luò)安全
當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展越來越迅速,各種網(wǎng)絡(luò)威脅問題也層出不窮,網(wǎng)絡(luò)安全逐漸成為高校校園網(wǎng)建設(shè)中不可忽略的重要方面。我們在校園網(wǎng)的建設(shè)和應(yīng)用過程中要采取相應(yīng)的網(wǎng)絡(luò)安全措施,保證校園網(wǎng)的安全運行。
3.1 配備IDS入侵檢測系統(tǒng)
IDS是很好的檢測信息系統(tǒng)對計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊和入侵的檢測系統(tǒng),對防止外界對校園網(wǎng)絡(luò)的入侵具有重要意義。目前,IDS已經(jīng)在傳統(tǒng)審計日志分析程序的基礎(chǔ)上,逐漸發(fā)展成了擁有更多入侵檢測功能的系統(tǒng)。并且,隨著計算機(jī)信息技術(shù)的發(fā)展,網(wǎng)絡(luò)入侵檢測系統(tǒng)發(fā)展迅速,能夠通過截獲數(shù)據(jù)以及嗅探器等對網(wǎng)絡(luò)中的惡意入侵行為進(jìn)行分析、辨別和檢測。目前,校園網(wǎng)中的IDS功能比較廣泛,主要包括分析并檢測各個用戶和系統(tǒng)的具體活動,審查系統(tǒng)的漏洞問題,對系統(tǒng)重要資源和數(shù)據(jù)的完整性進(jìn)行評估,識別惡意攻擊行為和異常行為等內(nèi)容。
3.2 安裝防火墻設(shè)備
防火墻設(shè)備對能夠防止校園網(wǎng)外其他網(wǎng)絡(luò)用戶的非法訪問以及網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)病毒的入侵。為了為校園網(wǎng)創(chuàng)造一個安全的網(wǎng)絡(luò)運營環(huán)境,保證高校各種資源和數(shù)據(jù)的安全性,在校園網(wǎng)的出口處設(shè)立硬件防火墻十分必要。把硬件防火墻安裝在連接數(shù)據(jù)庫服務(wù)器的交換機(jī)和中心交換機(jī)AVAYA P880之間,這樣就能起到有效的防止網(wǎng)絡(luò)入侵行為。同時對校園網(wǎng)內(nèi)的安全訪問進(jìn)行有效控制,也可以通過AVAYA P580的安全機(jī)制來實現(xiàn)。此外,把校園網(wǎng)內(nèi)的服務(wù)器放置到防火墻內(nèi),保證高校校園網(wǎng)的網(wǎng)絡(luò)安全運行。
4 結(jié)語
綜上所述,校園網(wǎng)建設(shè)已經(jīng)成為高校建設(shè)和發(fā)展的重要方面,并且具有重要意義。隨著計算機(jī)信息技術(shù)的不斷更新和發(fā)展以及高校發(fā)展的需求,校園網(wǎng)建設(shè)發(fā)展的前景廣闊。我們要不斷研究高校校園網(wǎng)建設(shè)中的關(guān)鍵技術(shù),進(jìn)一步完善和發(fā)展,并不斷應(yīng)用到高校校園網(wǎng)建設(shè)中去,提高校園網(wǎng)建設(shè)的水平。
參考文獻(xiàn)
[1]周增國,韓嚴(yán),王巖.高校校園網(wǎng)建設(shè)關(guān)鍵技術(shù)研究與應(yīng)用[J].中國教育信息化,2009(02).
[2]丁啟豪.廣東紡織職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)建設(shè)方案的設(shè)計與實現(xiàn)[J].華南理工大學(xué)學(xué)報,2012(06).
[3]何海洋.北京城市學(xué)院校園網(wǎng)建設(shè)項目的計劃與風(fēng)險控制研究[J].南京郵電大學(xué)學(xué)報,2012(01).
[4]陳衛(wèi)民.多網(wǎng)合一的高校數(shù)字化校園網(wǎng)絡(luò)及其安全性研究[J].湖南大學(xué)學(xué)報,2011(07).
[5]宋涵.基于DHCP和雙出口鏈路的云南廣播電視大學(xué)校園網(wǎng)的設(shè)計與實施[J].云南大學(xué)學(xué)報,2010(10).
作者簡介
栗元龍(1978-),男,天津市人?,F(xiàn)為天津市河?xùn)|區(qū)職工大學(xué)助教。研究方向為計算機(jī)應(yīng)用、軟件工程。
1.1信息儲存方面的問題
通過合理的使用云會計,可以更好便捷的獲知并且運用信息,如果發(fā)生了突發(fā)性的問題,我們可以在最短的時間內(nèi)使用云端的信息。不過,因為它使用的是虛擬科技,信息被放到何處,使用人并不是很了解,服務(wù)的供應(yīng)人或許會有一些特權(quán),一旦信息管理技術(shù)出現(xiàn)問題,就會導(dǎo)致信息面對安全方面的問題。由于信息都是統(tǒng)一被放置在云端的,因此它是否完整,是否安全我們無從得知。目前針對這種擔(dān)憂常用的措施是對信息加密處理。在具體的加密時,必須認(rèn)真分析使用的措施是可以確保信息的完整。
1.2信息的傳遞方面的問題
在單位內(nèi)部開展信息傳遞工作時,并不用對其加密,就算是加密也只是用很簡便的措施對其處理。當(dāng)信息經(jīng)由云服務(wù)輸送到云端時,必須要確保它們不受影響。信息傳遞到云中時,其使用人在使用時會受到云端管理人的制約。所以,為了更好的處理面對的不利現(xiàn)象,供應(yīng)者要使用更為復(fù)雜的措施來機(jī)密,這樣就可以避免把信息傳遞給那些不相干的人群,同時單位還可以結(jié)合協(xié)議對信息開展完整性的檢驗工作。而且,因為信息的傳遞是經(jīng)由網(wǎng)絡(luò)來開展的,所以信息傳遞者的改變,使得信息的確認(rèn)措施多種多樣。
1.3信息運用方面的問題
對于單位來講,其財會信息在發(fā)展過程中發(fā)揮的意義是不言而喻的。此類信息的使用人通常是財務(wù)或是與之有關(guān)的人員,假如使用時出現(xiàn)了較為嚴(yán)重的問題,它對單位產(chǎn)生的負(fù)面影響是可想而知的。所以,目前階段,作為云服務(wù)的供應(yīng)人,在具體開展工作時,必須要認(rèn)真分析怎樣才能夠真正的提升信息的安全性,才能夠保證信息不會被不相干的人群獲取,不會在運用時被泄露。
2.對加強(qiáng)云會計下會計信息安全的建議
2.1攻克云會計信息安全關(guān)鍵技術(shù)
云會計作為一種基于云計算的會計信息化應(yīng)用,會計信息訪問的用戶身份管理和訪問控制、會計信息的安全審計、數(shù)據(jù)保護(hù)、虛擬化安全、集中訪問的負(fù)載均衡等會計信息安全關(guān)鍵技術(shù)是云會計得以應(yīng)用的前提條件。建立用戶身份安全認(rèn)證和訪問控制機(jī)制,保證各個不同企業(yè)之間會計信息的有效隔離,及其合法訪問是云會計環(huán)境下會計信息安全需要解決的關(guān)鍵技術(shù)之一。在云會計環(huán)境下。因為會計信息此時不再存在于單位的服務(wù)器之中,此時單位就無法對信息控制,所以在訪問時必須接受安全審查。
2.2加大信息體系的研發(fā)力度
眾所周知,要想保證信息安全,首先得確保系統(tǒng)是高度安全的。當(dāng)前時期,我國現(xiàn)存的云服務(wù)安全技術(shù)以及系統(tǒng)都無法滿足使用人的具體使用規(guī)定。此時可以借助于政府的力量,將各個信息供應(yīng)單位的優(yōu)勢匯聚到一起,得到一個更為強(qiáng)大的信息體系,這樣就能夠降低單兵作戰(zhàn)的難度,而且還能夠降低風(fēng)險指數(shù)。信息是經(jīng)由會計體系傳遞出來的,假如單位對體系不信任,就無法保證信息的安全。會計信息系統(tǒng)的可信性對會計信息的安全性有顯著影響。會計信息系統(tǒng)的可信性是企業(yè)選擇云會計時對系統(tǒng)“信任”的一種主觀心理感受。但產(chǎn)生對系統(tǒng)“信任”的心理感受取決于軟件行為的可預(yù)測性、目標(biāo)符合性和可靠性、安全性、可用性等客觀關(guān)鍵特性。
2.3建立云會計下會計信息安全風(fēng)險可信評估
通過分析發(fā)現(xiàn),只有單位高度信任云會計上的信息時,才會發(fā)自內(nèi)心的想要運用云會計。由于不一樣的單位對信息的信任規(guī)定是不同的,所以,我們必須要建立會計信息安全風(fēng)險可信評估機(jī)制,透明化地向企業(yè)呈現(xiàn)應(yīng)用云會計之后會計信息的安全是可信的,以消除企業(yè)對會計信息安全性的擔(dān)憂。云會計服務(wù)提供商一般會提供身份認(rèn)證、信息加密、安全檢測、安全預(yù)警、安全評估等信息安全技術(shù)或系統(tǒng)。但是,面對云會計下用戶復(fù)雜、多變的信息,其安全性需求往往還是不夠的。不一樣的單位管理體系以及業(yè)務(wù)活動等都存在著很大的區(qū)別,而且競爭很激烈,這使得云會計服務(wù)提供商根據(jù)其業(yè)務(wù)需求、安全需求定制而成的各種會計云服務(wù)組合其安全性往往也會發(fā)生變化,很難讓用戶對其安全性一直“信任”,因此,必須建立云會計下面向用戶的會計信息安全評估機(jī)制,向用戶動態(tài)呈現(xiàn)會計信息的安全性。在此過程中,明確企業(yè)的會計信息安全需求對云會計服務(wù)提供商來說是非常重要的,也是前提條件。企業(yè)對會計信息的安全需求是通過對用戶定制的云會計信息系統(tǒng)的安全風(fēng)險評估來確定的。經(jīng)由合理的評估,獲取存在的各個類型的風(fēng)險,測評出潛在的問題,進(jìn)而結(jié)合測評的內(nèi)容制定合理的應(yīng)對措施,而且要明確處理的先后順序。
2.4制定完善的會計信息安全管理措施
會計信息的安全涉及服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備和用戶等方面的安全。當(dāng)前時期我們必須要結(jié)合單位對信息安全的規(guī)定,成立一個符合具體狀態(tài)的信息安全系統(tǒng)。一般來說上述兩種管理和單位的內(nèi)控方法是密切相連的。使用人的權(quán)限必須要結(jié)合其職位的責(zé)任來明確,如果職位改變了,就要相應(yīng)的對權(quán)限加以變化。而且,在設(shè)置密碼時不能太簡單,還要做好員工的培訓(xùn)工作,保證彼此不泄密。
3.結(jié)束語