前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云安全服務的主要功能主題范文,僅供參考,歡迎閱讀并收藏。
【關鍵詞】電子政務 安全云 云計算 安全框架設計
一、引言
電子政務云的安全問題是當前各方最關注的問題之一。為大力推動電子政務云安全平臺的建設和廣泛應用,來實施面對電子政務云平臺所面臨的安全隱患,使電子政務安全云的平臺建設應用的安全工作能夠落到實處。
二、云計算安全體系架構(gòu)
云安全聯(lián)盟在基于云計算的三種服務模式,給出了云計算的安全框架。IaaS層位于云服務的最底層,是保證云計算體系安全的核心環(huán)節(jié),該層能夠為云應用提供基礎的IT資源服務工作。IaaS層大量使用了虛擬化技術,保證虛擬化軟件、虛擬化服務器的安全,盡量降低虛擬化技術所面臨的安全風險,降低了安全隱患。在IaaS層中,云服務能夠為服務商提供最基本的服務設施和抽象層的安全防護。PaaS處于云服務的中間層,主要起著承上啟下的作用,該中間層一方面為IaaS層平臺提供基礎的信息資源,此外,該中間層還能為最上層SaaS提供基本的應用服務。PaaS所面臨的安全風險主要為分布式文件和數(shù)據(jù)庫安全,用戶接口和應用安全。在云服務的中間層中,主要負責云服務和應用程序的安全問題,而應用平臺和軟件開發(fā)的主要安全性主要由使用用戶來進行負責。SaaS層處于云服務的第一層,大部分的云服務用戶主要為系統(tǒng)軟件平臺提供數(shù)據(jù)資源信息。多租戶技術是保證順利解決該問題的關鍵要素,但是同時存在數(shù)據(jù)信息資源隔離、客戶端設備的配制問題。服務提供商對云服務的SaaS層的安全需要承擔主要責任。
(一)IaaS云計算安全框架設計
1、IaaS簡介
IaaS服務的核心思想是以服務產(chǎn)品的形式向用戶交付各種能力,而這些能力直接來自各種資源池,因此,IaaS服務提供商需要完成資源池化、服務和產(chǎn)品設計與組裝以及服務產(chǎn)品交付等方面的工作。IaaS的技術架構(gòu)是以數(shù)據(jù)中心IT基礎架構(gòu)為基礎,以滿足用戶需求的特定IT基礎架構(gòu)為交付物的服務交付過程的層次化模型。在IaaS的技術架構(gòu)中,通過采用資源池構(gòu)建、資源調(diào)度、服務封裝等手段,可以將IT資產(chǎn)迅速轉(zhuǎn)變?yōu)榭山桓兜腎T服務,從而實現(xiàn)了IaaS云的隨需自服務、資源池化、快速擴展和服務可度量等特性。
2、IaaS的信息安全系統(tǒng)
從表面上看,云計算更注重共享與彈性,對于安全云的構(gòu)建需要充分考慮信息封閉和權限兩方面問題。IaaS系統(tǒng)安全體系主要是對安全域所面臨的安全風險進行分析,從而形成安全、可靠的IaaS的信息安全系統(tǒng)。IaaS云計算功能架構(gòu),主要為接入層:指提供給用戶訪問云系統(tǒng)或用于為其他服務提供調(diào)用接口的軟硬件系統(tǒng)。虛擬資源層:指虛擬機、虛擬存儲設備、虛擬交換機、虛擬服務器等虛擬化的實體。虛擬化平臺層:指服務器虛擬化軟件,存儲虛擬化軟件,網(wǎng)絡虛擬化軟件。硬件資源層:指各種服務器,存儲設備及存儲網(wǎng)絡、網(wǎng)絡設備及連接等資源。管理層:指提供IaaS服務管理、系統(tǒng)運行管理及安全管理功能相關軟硬件系統(tǒng)。
(二)IaaS云計算安全框架
1、接入層安全,云服務是一種基于Web的服務模式,同時相關管理工作也通過Web方式來管理。因此,web安全包括Web 應用系統(tǒng)本身的安全和web內(nèi)容安全。
2、API安全,API安全主要指IaaS作為云資源,除了可以直接為用戶所使用外,也可以被PaaS云服務商所使用。因此,在進行服務調(diào)用對API的驗證成為一個關注的問題。
3、虛擬資源層安全,虛擬資源層安全指資源被虛擬化為虛擬資源的安全風險。
4、虛擬化平臺層安全,虛擬化平臺層安全指虛擬化相關軟件的安全風險,各種虛擬化軟件引入了新的攻擊界。
5、硬件資源層安全,服務器安全主要指云計算系統(tǒng)中的主機服務器、維護終端在內(nèi)的所有計算機設備在操作系統(tǒng)和數(shù)據(jù)庫的層面安全性。
6、物理安全,物理安全是整個云計算系統(tǒng)安全的前提,主要包括物理設備的安全、網(wǎng)絡環(huán)境的安全等,以保護云計算系統(tǒng)免受各種自然及人為的破壞。
三、云計算數(shù)據(jù)中心的運維對象
對于云計算的數(shù)據(jù)信息資源中心的運維管理,實際上為數(shù)據(jù)中心信息服務相關的管理工作的總稱。云計算的數(shù)據(jù)信息中心的運維對象主要有:
(一)機房環(huán)境基礎設施部分:該運維對象是保證云計算數(shù)據(jù)信息中心所管理設備,在正常運行過程中所包括的網(wǎng)絡通信資源、電力資源、環(huán)境資源等。云計算數(shù)據(jù)信息管理設備對于使用用戶而言,數(shù)據(jù)信息是透明的,因此,大部分的用戶大多數(shù)都會關注環(huán)境因素。
(二)在提供IT服務過程中所應用的各種設備,包括存儲、服務器、網(wǎng)絡設備、安全設備等硬件資源。這類設備主要功能是為云計算的安全提供基本的數(shù)據(jù)信息資源的計算、存儲以及數(shù)據(jù)通信等功能,是保證IT服務正常運行的物理載體。
(三)系統(tǒng)和數(shù)據(jù)資源,該單元主要包括:操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用程序等資源;除此之外,數(shù)據(jù)資源主要包括業(yè)務數(shù)據(jù)、配置文件、日志等。
(四)管理工具,主要包括基礎設施監(jiān)控軟件管理、工作流管理、報表管理和短信管理平臺等。管理工具主要是輔助管理主體能明顯提高管理數(shù)據(jù)信息資源中心,以及各種管理對象,除此之外,管理工具主要負責軟硬件設施的維護。
(五)人員,主要是指云計算數(shù)據(jù)信息資源的技術人員、運維人員和系統(tǒng)管理人員,除此之外,還包括能夠提供基礎服務的廠商工作人員。其中,服務廠商的工作人員是保證IT服務正常運作的基礎。
參考文獻:
[1]陳江.電子政務信息安全評估與防御研究[J].現(xiàn)代教育.2012(09)
[2]汪玉凱.電子政務需要政務云[J].信息系統(tǒng)工程.2012(06)
[3]汪玉凱.電子政務需要政務云-2012年中國電子政務展望[J].信息化建設.2012(01)
關鍵詞:計算機;網(wǎng)絡安全;防火墻;信息加密
隨著網(wǎng)絡科技的發(fā)展,計算機已經(jīng)廣泛應用于企業(yè)。但與此同時,網(wǎng)絡安全問題也開始受到使用者的關注。大量的不良信息和病毒侵襲著計算機網(wǎng)絡,導致計算機系統(tǒng)安全隱患較大。且病毒的種類不斷增多,傳播速度越來越快。如何處理網(wǎng)絡安全問題已經(jīng)成為計算機安全管理者的主要任務。當然,合理計算機操作也是確保其安全的關鍵,很多計算機侵害是由于操作者的不當操作造成的。人為惡意攻擊現(xiàn)象以及網(wǎng)絡系統(tǒng)自身存在漏洞這些都是導致計算機安全網(wǎng)絡安全系數(shù)下降的重要因素。
一、計算機網(wǎng)絡安全現(xiàn)狀分析
隨著計算機的普及,計算機用戶越來越多,導致計算機網(wǎng)絡同時需要處理的數(shù)據(jù)信息過大。網(wǎng)絡上魚龍混雜的信息較多,網(wǎng)絡自身存在漏洞和安全隱患。計算機需要強大的網(wǎng)絡垃圾信息屏蔽系統(tǒng),但要開放某些網(wǎng)頁或者游戲,計算機網(wǎng)絡就無法避免這些垃圾信息或網(wǎng)頁。有些信息將導致計算機網(wǎng)絡速度變慢或者數(shù)據(jù)丟失,給普通用戶帶來很大麻煩。另外,計算機物力設備自身技術不完善,存在安全隱患,無法實現(xiàn)自我防范,容易受到人為破壞或者病毒侵害。另外,一些用戶安全意識差,導致不穩(wěn)定因素較多,系統(tǒng)受到破壞,用戶自我處理病毒能力低下,使計算機病毒傳播速度加快,影響計算機運行速度甚至導致網(wǎng)絡癱瘓。惡意網(wǎng)絡攻擊對網(wǎng)絡信息完整性存在一定的威脅,目前網(wǎng)絡攻擊方式主要有惡意干擾和非授權訪問兩種。前者主要表現(xiàn)為計算機病毒或黑客惡意攻擊,黑客通過病毒或惡意網(wǎng)頁植入導致網(wǎng)絡受損,而后者是黑客惡意入侵導致計算機終端信息權限被非法使用,導致數(shù)據(jù)丟失。
二、計算機網(wǎng)絡安全體系中的關鍵技術計算機網(wǎng)絡安全安全系統(tǒng)的建立無疑是一項復雜且龐大的工程。涉及到工程技術,如何管理以及物理設備性能提升等多種問題,目前計算機網(wǎng)絡安全工程主要表現(xiàn)為網(wǎng)絡防火墻技術、網(wǎng)絡信息加密技術等。
(一)網(wǎng)絡防火墻技術。防火墻是計算機安全防護的核心,也是目前最重要的表現(xiàn)形式。同時,防火墻可直接進行SMTP 數(shù)據(jù)流傳輸并作為系統(tǒng)安全防護的主要手段。作為一種傳統(tǒng)的計算機安全防護技術,防火墻通常應用與兩個以上外部網(wǎng)訪問時的信息監(jiān)控,通過防火墻可以實現(xiàn)對不安全信息的過濾。多種不同的防火墻技術可以同時使用,其主要作用在于將內(nèi)部網(wǎng)與其他網(wǎng)絡進行強制性的分離,防火墻尤其是校內(nèi)或企業(yè)計算機防火墻應滿足以下標準。防火墻必須建立局域網(wǎng)與公共網(wǎng)絡之間的節(jié)流點,并控制計算機流量的流經(jīng)途徑。通過節(jié)流點的建立,防火墻可以實現(xiàn)對數(shù)據(jù)的校驗和實時監(jiān)控。防火墻還應具有記錄網(wǎng)絡行為的功能,且對不規(guī)范網(wǎng)絡行為能夠進行報警,防止外部網(wǎng)絡病毒威脅,記錄功能是防火墻的主要功能之一,也是其防止病毒入侵的重要手段。防火墻應建立網(wǎng)絡周邊的防護邊界,其目的是防止主機長期暴露,確保內(nèi)部網(wǎng)的信息安全。身份驗證或加密處理是其主要表現(xiàn)形式,即訪問控制技術和防病毒技術。前者是指對外部網(wǎng)或者主體訪問進行權限限制。客體是指受保護的計算機主機系統(tǒng),而訪問主體則是指其他用戶的或網(wǎng)絡的訪問,防火墻的主要作用就是設置主體的訪問權限,拒絕不安全信息進入計算機客體,確保其安全。訪問控制技術實際上是對大量網(wǎng)絡信息進行必要的屏蔽,使進入計算機客體的信息更加安全。計算機病毒是影響其運行的主要因素,也是對計算機影響最大的因素。操作不當,不良網(wǎng)頁的進入都會導致計算機招到病毒侵害,導致信息丟失甚至系統(tǒng)癱瘓。因此防病毒技術是防火墻設置的主要作用。網(wǎng)絡技術的發(fā)展也為病毒變種提供了條件,近年來,多種不同形式的病毒不斷出現(xiàn),其殺傷范圍更大,潛伏期長且很容易感染。如熊貓燒香就盜走了大量的客戶信息,嚴重威脅了計算機網(wǎng)絡安全,影響了計算機運行的大環(huán)境。防病毒技術目前主要分為防御、檢測和清除三種。計算機病毒防御體系是確保計算機安全的前提,當然其也存在局限性。如對于內(nèi)部網(wǎng)自身的不安全信息無法實現(xiàn)有效的攔截,因此計算機防火墻依然需要發(fā)展。經(jīng)歷了30年的發(fā)展,防火墻技術已經(jīng)逐漸成熟,并在計算機防護上起到了積極的作用。下文我們將介紹幾種常用防火墻及其主要技術。1.NAT 防火墻。NAT 防火墻即網(wǎng)絡地址轉(zhuǎn)換型防火墻,此防火墻的主要作用體現(xiàn)在利用安全網(wǎng)卡對外部網(wǎng)的訪問進行實時記錄。采用虛擬源地址進行外部鏈接從而隱藏內(nèi)部網(wǎng)的真實地址。使外部網(wǎng)只能通過非安全網(wǎng)絡進行內(nèi)部網(wǎng)的訪問,對內(nèi)部網(wǎng)起到了很好的保護作用。NAT防火墻主要是通過非安全網(wǎng)卡將內(nèi)部網(wǎng)真實身份隱藏而實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的分離,防止外部混雜的信息對內(nèi)部網(wǎng)的侵害。2.Packet Filter防火墻。Packet Filter即包過濾型防火墻,其主要功能是對計算機數(shù)據(jù)包進行來源和目的地的檢測。從而屏蔽不安全信息,保護計算機安全。目前,這種計算機防火墻應用廣泛,是因為其操作原理簡單,價格低且性價比較高。但僅通過一個過濾器進行不安全信息的阻攔,常由于用戶疏忽或操作不當而無法真正發(fā)揮作用。3. Application Layer Gateways防火墻。Application Layer Gateways防火墻即應用層防火墻,其表現(xiàn)形式為將計算機過濾協(xié)議和轉(zhuǎn)發(fā)功能建立在計算機的應用層,實現(xiàn)對隱患信息的監(jiān)控和排除。根據(jù)不同網(wǎng)絡特點,其使用不同的服務協(xié)議,對數(shù)據(jù)進行過濾和分析并形成記錄。其主要作用在于建立計算機內(nèi)外網(wǎng)之間的聯(lián)系,為用戶提供清晰明確的網(wǎng)絡運行狀態(tài),從而幫助用戶防止病毒等對計算機的侵害。4.監(jiān)測型防火墻。監(jiān)測型防火墻是目前較為先進的防火墻。是計算機防火墻技術革新的結(jié)果。其具有以往防火墻缺乏的功能即實現(xiàn)了對計算機中的每層數(shù)據(jù)進行監(jiān)控記錄和分析,并且能夠更有效的阻止非法訪問和入侵。
(二)計算機網(wǎng)絡信息的加密技術。信息加密技術與防火墻技術同為保護計算機安全的重要手段。面對復雜的網(wǎng)絡環(huán)境,單一的防護手段無法滿足客戶的需要。其主要原理是利用加密算法,將可見的文字進行加密處理后,要求客戶通過密碼才能進入,保護計算機原始數(shù)據(jù),控制非法訪問。從而降低信息泄露導致的客戶損失或系統(tǒng)癱瘓。計算機網(wǎng)絡信息加密技術表現(xiàn)為對稱加密、非對稱加密技術以及其他數(shù)字加密技術。1.對稱加密技術。對稱加密技術也就是私鑰加密,其主要特點是其密鑰可以進行推算,加密密鑰和解密密鑰之間存在著邏輯關系且是對稱的。對稱加密技術的優(yōu)勢在于便于查找和操作,對于操作人員來說,數(shù)據(jù)不容易丟失。但是也易被破解,受到病毒的侵害,但就目前看,對稱加密技術依然是計算機網(wǎng)絡信息安全防護的重要手段。2.非對稱加密技術。非對稱加密技術即公鑰密碼加密技術。非對稱加密技術的主要特點是要求密鑰必須成對出現(xiàn),加密密鑰和解密密鑰是相互分離的,就目前技術下,非對稱加密技術并不能在計算機系統(tǒng)中實現(xiàn)。分對稱加密技術的過程為:文件發(fā)送方將文件利用接收方的公鑰密碼進行加密;然后文件發(fā)送方在利用自身的私鑰密碼進行加密處理后發(fā)回給文件接收方。然后用解密技術從接收文件方開始進行解密獲得文件發(fā)送方的私鑰,實現(xiàn)解密。非對稱技術操作復雜,度計算機系統(tǒng)的技術要求較高,因此很難完全實現(xiàn)。但這種加密技術可以很好的防止病毒或非法網(wǎng)頁的侵襲,安全系數(shù)較高。也未來計算機信息安全防護的主要手段,當然其實現(xiàn)應借助計算機系統(tǒng)以外的其他技術或設備。3.其他加密技術。加密技術確保了計算機網(wǎng)絡信息的安全,除了對稱和非對稱信息加密兩種技術外,系統(tǒng)還具有一種數(shù)字摘要功能。目前主要表現(xiàn)為數(shù)字指紋或者安全Hash 編碼法。要實現(xiàn)Hash 編碼的解密必須使摘要的每個數(shù)字與解密數(shù)字一一對應。其中單向的含義為是密碼無法被解密。另外,計算機網(wǎng)絡信息技術還包括容災技術。其建立的目的為防止自然災害等物理因素造成的系統(tǒng)破壞,進一步確保數(shù)據(jù)存儲的安全和完整。
三、計算機網(wǎng)絡安全技術展望
首先:云安全技術是將成為重要發(fā)展模式。目前,云技術安全網(wǎng)絡防護已經(jīng)初見成效。云技術的提出成為網(wǎng)絡安全研究的重點,解決了一定的網(wǎng)絡安全隱患,但其應用尚存在一定的難題。今后計算機安全管理發(fā)展方向就是探討如何更有效的發(fā)揮云技術的作用,為網(wǎng)絡安全保駕護航。云安全技術在于對數(shù)據(jù)的分析和運算能力高于以往的信息加密技術。將云端作為網(wǎng)絡安全防護的核心,避免了用戶不不安全操作導致的計算機隱患,從而保證計算機終端信息以及傳輸和接收信息的安全。其次:關于ids的入侵檢測。ids的入侵檢測出現(xiàn)的主要目的是彌補單純防火墻技術無法解決內(nèi)部網(wǎng)病毒侵害的缺點ids技術主要對計算機易受侵害的關鍵點進行信息收集,并控制不良信息的非法入侵。此技術縮小了入侵檢測范圍,具有針對性強、效率高等特點。是對防火墻技術的最好補充,可以與防火墻技術同時使用,既節(jié)約了資源,有更好的實現(xiàn)了安全防護。與防火墻或其他防護技術不同,ids入侵檢測技術為主動防御,這樣對網(wǎng)絡病毒或不良侵害具有一定的預防作用,在網(wǎng)絡侵襲方面具有進步意義,因此是未來計算機網(wǎng)絡安全防護的主要發(fā)展方向,發(fā)展空間廣闊。
四、總結(jié)
總之,計算機網(wǎng)絡安全問題值得關注,其涉及面廣,對技術的要求較高。如何規(guī)范我國計算機網(wǎng)絡安全也成為用戶的集體要求。人為攻擊、計算機自身漏洞以及使用者不規(guī)則操作都會造成計算機安全問題。因此,應建立計算機使用規(guī)則,加強其使用規(guī)范程度,使使用者認識到正確使用計算機操作系統(tǒng)的重要性。另外,不斷的進行技術革新也是關鍵,對于技術人員來說,應不斷完善我國計算機網(wǎng)絡安全防護技術,使計算機能夠為人們的生活和工作提供更多的方便。
參考文獻:
[1]亓崇宇.計算機網(wǎng)絡安全分析研究[J].計算機光盤軟件與應用,2012(17)
隨著2014年6月《現(xiàn)代職業(yè)教育體系建設規(guī)劃(2014-2020年)》的頒布實施,現(xiàn)代職業(yè)教育得到進一步的發(fā)展,現(xiàn)代職業(yè)教育體系建設得到進一步的完善。社會的發(fā)展伴隨著科技的進步,各類人才的培養(yǎng)需要建立符合社會需求的模擬環(huán)境和課程設立。在信息技術高速發(fā)展的今天,許多教學活動日益依賴信息化技術,而教學計算機的配置在3-5年內(nèi)就已經(jīng)跟不上新技術的發(fā)展了。同時由于教師崗位的人動、教學軟件的頻繁升級、教學課件在辦公電腦和教室電腦間的不斷轉(zhuǎn)換、計算機故障的發(fā)生、計算機病毒對數(shù)據(jù)的破壞等因素,使管理員很難對其進行統(tǒng)一管理,且維護工作量大,也影響教育教學工作的有序推進。當前桌面虛擬化技術的不斷發(fā)展和大量應用,在工作連續(xù)性、安全性、個性化等方面得到巨大的價值體現(xiàn),也極大提升了現(xiàn)行管理工作的效率,同時給職校計算機實訓室建設提供了新的方向。
1 云計算、云桌面和虛擬化
云計算(Cloud Computing)是一種模式,這種模式提供了一種通過網(wǎng)絡訪問可配置的計算資源共享池(資源包括網(wǎng)絡,服務器,存儲,應用軟件,服務)的方式,只需投入很少的管理工作,或與服務供應商進行很少的交互,這些資源就能夠被快速的提供給終端用戶。
云桌面是云計算的一種典型應用,其核心技術是桌面虛擬化,其原理是在服務器端為每個用戶準備專用的虛擬機并在其中部署用戶所需的操作系統(tǒng)和各種應用,然后通過桌面顯示協(xié)議將完整的虛擬機桌面交付給遠程的用戶使用,用戶可以通過瘦客戶端或者其他任何與網(wǎng)絡相連的設備來訪問跨平臺的應用程序,以及整個客戶桌面。所有虛擬機在數(shù)據(jù)中心進行統(tǒng)一的托管管理,同時用戶能夠獲得完整PC的使用體驗。其價值體現(xiàn)在快速部署、維護方便、信息安全、辦公便捷等方面。
桌面虛擬化使得桌面管理變得簡單,不用每臺終端單獨進行維護,每臺終端進行更新。終端數(shù)據(jù)集中存儲在數(shù)據(jù)中心,安全性相對傳統(tǒng)桌面應用要高很多。桌面虛擬化可以使得一個人擁有多個桌面環(huán)境,也可以把一個桌面環(huán)境供多人使用。其主要功能是將分散的桌面環(huán)境集中保存并管理起來,包括桌面環(huán)境的集中下發(fā),集中更新,集中管理等。
2 云桌面技術的具體應用
利用強大的服務器集群資源,以精簡的瘦客戶機取代傳統(tǒng)PC電腦,通過虛擬化技術,實現(xiàn)前端桌面與后端操作系統(tǒng)的網(wǎng)絡訪問。
在后臺數(shù)據(jù)中心根據(jù)教學需求定制各種不同的桌面環(huán)境,為其分配獨立的硬件性能及軟件系統(tǒng),利用云桌面技術可以將教師日常使用的桌面環(huán)境完美的遷移到任何一處終端上,使同一套教學終端設備能使用不同的教學環(huán)境,不必再為不同的專業(yè)、不斷更新的教學內(nèi)容而建設不同的機房或電腦,而只需要根據(jù)需求定制不同的桌面環(huán)境來滿足應用即可,這樣就在很大程度上減少了學校計算機建設方面的持續(xù)投入。如果想繼續(xù)提高桌面環(huán)境的性能和使用效果,以及在不改變計算機基礎建設的情況下滿足不斷增長的教學任務對計算資源的需求,可以通過增加服務器及其硬件設備的方式來實現(xiàn)。
通過云桌面,系統(tǒng)維護及網(wǎng)絡管理人員在數(shù)據(jù)中心就能夠完成對終端設備的程序安裝、軟件維護、系統(tǒng)優(yōu)化等工作,降低了人力成本。對教師來說,再也不必將精力分散在對教學環(huán)境的維護上,可以把全副精力投入到教學工作中。同時云桌面技術的應用,帶來了安全性能的全面提高,因為終端設備實質(zhì)上只是起到一個交互顯示作用,所有的運算和存儲實際上都是在服務器端完成的,所以不用擔心病毒感染。
學校計算機機房通過部署云桌面,合理分配計算資源,為每個用戶定制桌面環(huán)境,保留每個用戶的資料、作業(yè)、實驗等數(shù)據(jù),做到不管處于哪個機房,用戶使用的桌面環(huán)境都是和自己以往使用的一致,保障了教學任務的連續(xù)性。
3 目標、意義及效果
通過云桌面技術,集中管理桌面應用,實現(xiàn)對桌面應用的統(tǒng)一配置與管理,隨需交付使用,基本解決了在傳統(tǒng)PC上的管理、維護、安全等問題。通過一套集中、統(tǒng)一的管理平臺,高效實現(xiàn)對教學課件、教學桌面、教學終端的統(tǒng)一管理,在后臺就能解決所有的運維管理問題。提高了軟件部署效率和教學環(huán)境的交付,提高了網(wǎng)管人員的工作效率和老師的教學效果。師生只需通過瘦客端不需要進行操作培訓。
通過服務器端虛擬化軟件,為云桌面提供了超強的還原能力,能保留學生的學習環(huán)境和老師的教學環(huán)境,使得后期的課程學習、教學得以延續(xù)。同時由于云桌面不受空間位置的限制,在任何有網(wǎng)絡連接的地方都可以登錄數(shù)據(jù)中心的桌面系統(tǒng),與傳統(tǒng)計算機一樣操作,真正實現(xiàn)了移動辦公和學習。并且由于數(shù)據(jù)集中存儲在后端服務器上,不依賴本地設備,能禁止使用USB等可移動存儲設備,加強了云桌面的安全性。
由于瘦客戶機具有體積小、功耗低、使用壽命長達8年的特性,極大減少了學校在計算機建設上的投資,降低了管理維護成本。
4 總結(jié)和展望
通過云桌面技術實現(xiàn)傳統(tǒng)桌面計算向服務器計算的轉(zhuǎn)移,且云桌面的使用效果依賴于服務器的性能,勢必使得學校必須投入一定數(shù)量的服務器和桌面虛擬化軟件。同時由于云桌面的運行完全通過網(wǎng)絡連接實現(xiàn),為保障停電時整套平臺的正常運維,必須建設一套擁有足夠電力續(xù)航的供電系統(tǒng)。
但總體來看,虛擬化是未來的發(fā)展趨勢,隨著技術的不斷發(fā)展完善,硬件成本的不斷降低,云桌面技術將會有更廣闊的應用前景。
參考文獻
[1]IBM中國研究院虛擬化與云計算研究組.虛擬化與云計算[M].北京:電子工業(yè)出版社,2009(10).
【關鍵詞】主動防御;企業(yè)需求;正確部署
一、認清主動防御概念
(一)主動防御的由來
以病毒、木馬為主要攻擊方式的網(wǎng)絡安全事件日益嚴重,反病毒軟件多數(shù)情況下對新出現(xiàn)的病毒和木馬程序沒有識別能力,始終處于被動的位置,不能很好地起到攔截作用。這種情況持續(xù)了很多年,隨著病毒的變化越來越多,病毒產(chǎn)業(yè)鏈的活動越來越猖獗,這個現(xiàn)象變得更嚴重了,由此引發(fā)了用戶對殺毒軟件的不信任。
為了解決這些日益嚴重的新威脅,殺毒廠商實際在分兩個方向同時啟步。一方面采用傳統(tǒng)的防殺毒手段,如加強特征識別、加強引擎脫殼、加強樣本的收集、加快病毒特征的更新等等。時至今日,這仍然是最主要的,效率最高的應對方法。
但是不可避免的,新病毒的層出不窮,會導致內(nèi)網(wǎng)擁堵、信息泄露等嚴重后果。另一方面,就是開發(fā)新的病毒識別技術。比如行為識別、注冊表保護、應用程序保護等等。
回頭看主動防御這個詞,最早應該來自網(wǎng)關或防火墻等網(wǎng)絡硬件系統(tǒng)。IDS(入侵檢測系統(tǒng))和IPS(入侵防護系統(tǒng)),這些功能是在防火墻的基礎上開發(fā)的攻擊識別和攔截技術。因為,防火墻是兩個網(wǎng)絡之間的設備,用來控制兩個網(wǎng)絡之間的通信,相對自己所在的網(wǎng)絡來說,由外而內(nèi)的訪問會根據(jù)防火墻的規(guī)則表,適用相應的訪問策略,策略包括允許、阻止或報告。通常,防火墻對由內(nèi)而外的訪問,是允許的。那么,如果攻擊者在內(nèi)網(wǎng)內(nèi)存在,將會對整個網(wǎng)絡產(chǎn)生安全問題。
入侵檢測系統(tǒng)是為監(jiān)測內(nèi)網(wǎng)的非法訪問而開發(fā)的設備,根據(jù)入侵檢測識別庫的規(guī)則,判斷網(wǎng)絡中是否存在非法的訪問。管理員通過分析這些事件,來對網(wǎng)絡的安全狀況進行評估,再采取對應的防護策略。入侵檢測系統(tǒng)(IDS)一個很重要的問題,就是這類警告太多了,以致于管理員要從浩如煙海的日志中來發(fā)掘安全事件,不僅僅容易出錯,也增加了管理成本。IPS則相當于防火墻加入侵檢測,提高了性能,也減少了誤報。這些都是網(wǎng)關設備,這些設計理念,應用到桌面計算機系統(tǒng),就被引伸為主動防御,即基于主機的入侵防護系統(tǒng)。
(二)主動防御的特征
用戶眼中的主動防御,應該是可以自動實現(xiàn)對未知威脅的攔截和清除,用戶不需要關注防御的具體細節(jié)。目的很簡單,就是我安裝了你,你為我負責,老老實實的活,別再煩我了。
安全軟件廠商也一直向這個方向努力,比如,殺毒軟件的主動更新,主動漏洞掃描和修復,以及對病毒的自動處理等。某種程度上說,就符合主動防御的特征。
(三)主動防御軟件的主要功能
目前,在很多被列為主動防御的軟件中,可實現(xiàn)大致三方面的功能:
1.應用程序?qū)拥姆雷o,根據(jù)一定的規(guī)則,執(zhí)行相應的應用程序。比如,某個應用程序執(zhí)行時,可能會啟動其它程序,或插入其它程序中運行,就會觸發(fā)應用程序保護的規(guī)則。
2.注冊表的防護,根據(jù)規(guī)則,響應對注冊表的讀寫操作。這個比較好理解了,某程序執(zhí)行后,會創(chuàng)建或訪問某些注冊表鍵,同樣,這些注冊表鍵是被HIPS軟件監(jiān)視或保護的。
3.文件防護,對應用程序創(chuàng)建或訪問磁盤文件的防護,就是某程序運行后,會創(chuàng)建新的磁盤文件,或者需要訪問硬盤上某程序文件,從而觸發(fā)HIPS軟件的監(jiān)視或保護功能。
(四)主動防御軟件采取的主要技術
1.啟發(fā)殺毒技術。啟發(fā)殺毒技術是目前比較成熟的對付未知病毒的技術,以NOD32,Dr.Web、邁克菲,Avira、VBA32等為代表。以NOD32為例,監(jiān)控系統(tǒng)時候先用內(nèi)置的特征碼庫判斷,如果判斷不出的就把程序納入NOD32內(nèi)置的一個微型虛擬機內(nèi)運行來根據(jù)他的行為進行危害判斷,發(fā)現(xiàn)沒有問題再放行。但目前由于系統(tǒng)開銷問題,所有的啟發(fā)殺毒引擎只能用簡化的虛擬機,這樣一些設計先進的病毒可以判斷出這還是虛擬機從而不發(fā)作,如果用更復雜的虛擬機,雖然可以發(fā)現(xiàn)更多的病毒,但是系統(tǒng)開銷又很大。
啟發(fā)引擎只能在速度和效率上找平衡,這也是當前所有啟發(fā)殺毒技術的無奈。還有一個問題是由于啟發(fā)殺毒技術為了加速判斷,經(jīng)常需要運用一些規(guī)則來判斷,但是由于判斷的規(guī)則有些嚴厲有些寬松,嚴厲的經(jīng)常有誤殺問題,寬松的也容易放過一些真正的病毒,所以啟發(fā)殺毒引擎在規(guī)則的嚴厲程度的選擇上是一個很大的問題。
2.行為殺毒技術。行為殺毒技術是這兩年熱炒的殺毒技術,如卡巴斯基、Sanrasoft公司的Rudra、Cyberhawk和Prevx1都以行為殺毒技術為核心來構(gòu)建自己的產(chǎn)品,其他一些大牌主流廠商也開始跟進。行為殺毒技術很好解釋,就是程序在系統(tǒng)中實時監(jiān)控所有的程序行為,發(fā)現(xiàn)他有危險的行為就立即制止并報警。但是由于目前Win系統(tǒng)過于龐大,各種應用軟件的編寫和運行方式千差萬別,對于殺毒軟件公司來說完全判斷出所有的安全行為和危險行為基本是不可能完成的任務。
二、內(nèi)網(wǎng)主動防御產(chǎn)品遴選要素
在國內(nèi)的主動防御產(chǎn)品市場啟動至今,已經(jīng)走過了5年多的歷程,在這個過程中,內(nèi)網(wǎng)安全的概念不斷完善和豐富,也在不斷的演進,但是,時至今日,依然缺乏統(tǒng)一的標準,并由于眾多小型內(nèi)網(wǎng)主動防御安全產(chǎn)品廠商的進入,造成了市場的混亂。
與此相對應的是,各個高度信息化的單位,對內(nèi)網(wǎng)主動防御安全產(chǎn)品的需求凸現(xiàn),如何選擇一個合適的內(nèi)網(wǎng)主動防御安全產(chǎn)品,已經(jīng)成為眾多網(wǎng)絡管理員和CIO的棘手問題。
專家指出,CIO和網(wǎng)管人員在選擇內(nèi)網(wǎng)主動防御安全產(chǎn)品的時候,必須從需求、性能和服務三個方面,進行整體內(nèi)網(wǎng)安全體系的設計和規(guī)劃,才能夠確保成功建立內(nèi)網(wǎng)安全管理系統(tǒng),確保內(nèi)網(wǎng)安全投資的效果。
(一)內(nèi)網(wǎng)安全需求分析是基礎
目前企業(yè)內(nèi)部網(wǎng)絡所面臨的安全威脅主要包括:
1.來自網(wǎng)絡外部的惡意攻擊
病毒、木馬、黑客等惡意程序在互連網(wǎng)上的擴散,對一個既定目標發(fā)起的攻擊變得越來越容易,另外,商業(yè)競爭也在導致更多的惡意攻擊、泄密事件的產(chǎn)生。
2.網(wǎng)絡病毒的襲擊
當今的病毒的傳播能力與感染能力的快速提升,同時其破壞能力也在快速增強,所造成的損失也在以幾何極數(shù)上升。如何防范各種類型的病毒,特別是未知病毒與木馬,是任何一個企業(yè)網(wǎng)絡都不得不面對一個安全挑戰(zhàn)。
3.來自網(wǎng)絡內(nèi)部的攻擊
在所有的網(wǎng)絡攻擊事件當中,來自企業(yè)內(nèi)部的攻擊占有相當大的比例,這包括了懷有惡意的人為行為,以及操作人員的操作失誤等、內(nèi)部網(wǎng)絡的惡意程序利用系統(tǒng)漏洞進行的攻擊等。
(二)性能指標是選型關鍵
專家認為,在進行具體產(chǎn)品選型之前,必須仔細考慮產(chǎn)品的性能指標是否符合單位的需要。內(nèi)網(wǎng)主動防御安全產(chǎn)品的性能,主要體現(xiàn)在安全性、維護性、兼容性和擴展性四個方面。
安全性是內(nèi)網(wǎng)主動防御安全產(chǎn)品首先需要考核的要點。不同的內(nèi)網(wǎng)主動防御安全產(chǎn)品,依據(jù)其設計理念不同,其安全性區(qū)別很大。
維護性是選擇內(nèi)網(wǎng)主動防御安全產(chǎn)品的時候CIO要考慮的另外一個問題,因為內(nèi)網(wǎng)主動防御安全產(chǎn)品跟傳統(tǒng)安全產(chǎn)品最大的區(qū)別在于其基于終端控制技術,要盡可能選擇跟上層應用無關的產(chǎn)品,這樣可以確保在應用產(chǎn)品升級和增加新應用等信息化建設的時候內(nèi)網(wǎng)安全體系依然可以支持。
兼容性是內(nèi)網(wǎng)主動防御安全產(chǎn)品發(fā)展初期曾經(jīng)出現(xiàn)的致命問題,在兼容性的考慮上,應該盡可能選擇通過采用系統(tǒng)底層技術和正常系統(tǒng)機制實現(xiàn)的內(nèi)網(wǎng)主動防御安全產(chǎn)品,而盡量避免選擇鉤子技術(如剪貼板攔截和DLL替換)和非正常系統(tǒng)技術實現(xiàn)的內(nèi)網(wǎng)主動防御安全產(chǎn)品,這樣可以確保系統(tǒng)的兼容性。
擴展性是在內(nèi)網(wǎng)主動防御安全產(chǎn)品選型中容易受到忽視的問題,事實上,內(nèi)網(wǎng)安全是一個完整的體系,只有進行整體的規(guī)劃,才能達到最大的效果,雖然一個單位在初期可能僅具有簡單的內(nèi)網(wǎng)安全需求,但應該從長遠著想,選擇擴展性能良好,模塊化程度高的內(nèi)網(wǎng)主動防御安全產(chǎn)品。很難想象,為了達到監(jiān)控審計、數(shù)據(jù)保密和授權管理的目標,在客戶端安裝三個不同的內(nèi)網(wǎng)主動防御安全產(chǎn)品,使用三個不同的服務器進行管理,這無論對管理還是系統(tǒng)穩(wěn)定性,都會造成很大的不便和隱患。
(三)服務能力是內(nèi)網(wǎng)安全系統(tǒng)實施成敗的關鍵
內(nèi)網(wǎng)安全系統(tǒng)的實施跟其它安全系統(tǒng)的重要區(qū)別在于,內(nèi)網(wǎng)安全體系建立的過程,是一個咨詢、實施和改進的過程,涉及到對單位管理制度、網(wǎng)絡拓撲、應用系統(tǒng)和使用習慣等調(diào)研、協(xié)調(diào)和設計的過程,要求內(nèi)網(wǎng)安全廠商和供應商能夠提供高質(zhì)量和持續(xù)的服務。
首先要考查的是內(nèi)網(wǎng)安全廠商是否是專注于內(nèi)網(wǎng)安全行業(yè),只有專注的廠商,才可能以內(nèi)網(wǎng)主動防御安全產(chǎn)品為其企業(yè)生命線,提供高質(zhì)量的服務。其次要考查內(nèi)網(wǎng)安全廠商的核心隊伍結(jié)構(gòu),內(nèi)網(wǎng)主動防御安全產(chǎn)品是一個技術含量相當高的產(chǎn)品,其隊伍的專業(yè)背景和組成決定了該產(chǎn)品的優(yōu)越性。再次要考查內(nèi)網(wǎng)主動防御安全產(chǎn)品的本地化服務能力,是否具有本地化的服務提供商,確保能夠為本單位提供及時有效的服務。
三、正確部署主動防御安全產(chǎn)品
(一)建立智能化的終端聯(lián)動防護體系
各終端要能夠依據(jù)程序行為自主分析判斷未知病毒和新木馬,發(fā)現(xiàn)有網(wǎng)絡內(nèi)有惡意行為立即報警阻斷,對未知病毒能夠自主識別、明確報出、自動清除,無需人工參與操作,能解決傳統(tǒng)殺毒軟件依賴特征碼查殺,對于病毒庫中沒有的未知木馬和新病毒束手無策的弊端。
當網(wǎng)絡內(nèi)有某臺終端攔截到未知病毒后,能夠自動提取其特征碼并上報到管理中心,管理中心自動下發(fā)至全網(wǎng)終端,從而實現(xiàn)了全網(wǎng)的安全防范。
(二)實現(xiàn)全網(wǎng)安全管理
管理員要在管理控制臺實現(xiàn)對全網(wǎng)各終端的安全管理,并且可實時查看終端的安全狀態(tài),執(zhí)行全網(wǎng)升級、安全策略的制定和下發(fā)等操作,還需要針對某一終端查看其系統(tǒng)信息、自啟動信息、可疑程序檢測等,方便管理員了解網(wǎng)絡安全狀況和及時的調(diào)整安全策略,以便當網(wǎng)絡內(nèi)有重大安全事件發(fā)生時,管理員可快速定位網(wǎng)絡內(nèi)的安全薄弱點。
(三)多重的升級保障
需采用雙連接通訊方式,實時保證終端與系統(tǒng)中心通訊的完整性。在網(wǎng)絡與互聯(lián)網(wǎng)隔離的情況下,用戶可采用離線升級包的方式進行升級。
對于使用筆記本電腦的用戶,管理員還可為其分配移動客戶端號,當離開用戶網(wǎng)絡時,可直接連接軟件開發(fā)網(wǎng)站進行升級,以此確保用戶軟件升級的穩(wěn)定性。主動防御體系建立后,網(wǎng)絡安全性和穩(wěn)定性的提升加快企業(yè)信息化進程,以往被困擾著的病毒傳播和爆發(fā)得到有效的遏制,簡化管理員的維護工作。
主動防御軟件的監(jiān)視和保護功能,向主動防御目標更進了一步,但還不是完全實現(xiàn)真正地“主動防御”。因為,在使用這類軟件時,會大量頻繁觸發(fā)主動防御軟件的監(jiān)視功能,這些功能,尚不能自動進行正確的處理,對這些警報的處理,需要這臺電腦的最終用戶作出正確的選擇,這就是困惑所在。目前來說,主動防御軟件,盡管可以一定程度上起到提升安全性的作用,但用起來,太麻煩了。
它真的是普通用戶需要的嗎?普通電腦用戶能夠做出正確的處置嗎?這些都是安全軟件廠商進一步需要完善的功能。同時,它還有另一個困惑:如果我能夠順利而熟練的使用主動防御的軟件,我可能只需要在其它方面注意,就可以更容易的避免受到病毒或木馬的入侵。
電力內(nèi)網(wǎng)主動防御,目前還遠未實現(xiàn)真正的“主動防御”。只能說,離這個目標近了一些。我們需要完善相應安全防護整體大體系建設及云安全技術的完善和發(fā)展,讓我們一起努力。打造安全的電力內(nèi)網(wǎng)環(huán)境。
參考文獻
[1]黃鵬.局域網(wǎng)計算機監(jiān)控系統(tǒng)的設計和實現(xiàn)[D].華中科技大學,2005.
[2]劉可.基于云的安全防御端系統(tǒng)研究與實現(xiàn)[J].計算機安全,2011(07).
[3]王建.局域網(wǎng)網(wǎng)絡安全綜合防御體系構(gòu)建與分析[J].電腦知識與技術,2010(33).
[4]肖堅.淺析入侵防御系統(tǒng)[J].電腦知識與技術,2011 (14).
[5]楊金龍.聯(lián)動式網(wǎng)絡入侵檢測系統(tǒng)的研究和實現(xiàn)[J].黑龍江科技信息,2011(16).