導語：如何才能寫好一篇云安全防護措施，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：電力調度；運行操作；安全風險；防護

DOI：10.16640/ki.37-1222/t.2017.06.147

1 前言

在當今國家電網發展良好之際，如何使得電力調度變得安全可靠，同時一并降低其中所存在的可以規避性的風險是相關電力部門急需去解決的問題。在一方面看來，現在科技水平的快速提高同時也要求著電力總網的建設也要跟緊潮流，不斷地在技術水平上進行創新，同時在電力調度等周期性問題的應對上加大審查風險的力度，經常排查可能存在風險的地區和設備，并針對性的制定相應的解決方案[1]。另一方面，面對一些大型的電力項目，其復雜性就不言而喻了，如果在這些難題上的解決上出現問題，或者不能及時的發現危險病加以排除是一個十分棘手的問題，嚴重時也可導致該地區的整個電網受到很大的損失，或者產生不能彌補的危險。面對這樣重要的問題，相關的電力部門一定要重視起來，做到及時排查風險，并實現精準去除，不斷規避電力調度運行操作中調度安全風險，并可以制定相應的一系列的防護風險的措施加以施和應用。

2 電力調度運行操作中調度安全風險

在我國，相關部門對電力調度運行操作中調度安全風險是進行過一定的安全評估的，而且大部門的地區和設備都是符合相關的國家標準的，也沒有出現一些不必要的問題和麻煩，所以在這個環節中就需要操作人員嚴格的遵守電力行業的操作準則，同時提高自身的主觀能動性，及時的發現風險，精準排除[2]。下面是日常操作調度環節中較為常見的類風險，希望相關的操作人員留意并做好規避工作。

2.1 整個系統的運行風險

在電力行業的調度操作中，存在很多需要去解決的問題，而在這一過程中，整個系統的運行風險對于行業的日常運行時相當致命的，因為處于整個系統環節，所以一旦出現問題，就會有很嚴重的后果，比如電力設備因為使用時間過長而出現的機械性故障，進而導致某一項數據的檢測錯誤，由此就會影響整個系統的電力調度，或導致整個地區都不斷的處于風險之中。同時因為某些特殊環境造成的安全風險，比如一些不可抗力因素造成的調度暫時中斷，就可能會出現連鎖性的風險，以至于企業連續的受到損失；還比如相關的材料因為質量問題而不能及時輸送上來，也會因為耽誤調度而受到相當大的經濟損失。

2.2 實際管理中的風險

目前我國的供電行業競爭也是十分激烈的，為此建設好完備的電網系統也是相關工作者的必要任務，而首要的任務就是要保持自身的核心競爭力，并同時建立健全相應的管理風險制度，盡量的去規避相應的運行風險，保證整個系統予以合理有效地進行工作，但是一些人員對出現的風險不能針對性的進行防護也是企業急需去解決的問題，否則就會造成更大的安全隱患。而另一方面的問題是操作人員在相應的流程中不能良好的遵守電力調度規定，在實際操作中也沒有經驗，不能提出對應的防護措施，以制定相應的規范標準。所以這就需要工作人員進行數據的精確記錄和操作的準確分析，以防患整個管理中可能會遇到的風險，從而使得電力調度運行操作中調度足夠的安全有效。

3 電力調度運行中安全風險的防護措施

3.1 要保存好系統中的重要數據

在整個電力行業的實際運營中，所用的機械和設備經常會出現各種各樣的問題風險，也需要相關人員進行及時的處理和規避，以免造成系統中的數據型故障出現。所以就需要相關的電力企業及時的整個調度環節進行合理的審查和對有關數據的仔細檢查，并按時保存一定的系統數據，在實際操作中，可以選用一方的數據輸出系統，以保證信息的完整性和獨立性，從而降低整個系統的運營風險。

3.2 電力調度的審核要規范合理

企業在進行電力調度之前，一般都會使用紙質性的材料先進行相應的上報工作，有關的檢查人員就應該針對上報的相關數據進行嚴格規范的審核，以保證系統運行的時間、周期和機械設備的類型等處在一個合理的標準之內，如果其中有特殊的情況也要向工作人員及時有效地說明和解釋，防止因溝通問題造成的系統故障問題，最后也可以負責專人對相關的設備進行操作指導工作，并針對此進行專業性的經驗講解和日常維護工作。

3.3 保證設備的可操作性和科學合理性

企業在進行相關的機械設備的采購環節中，首先要保證設備的可操作性和科學合理性，在這其中始終是符合相關的施工操作要求，并負責專人對其進行常規性的周期性檢查，并進行初期的適應性試驗，及時的發現其中存在的風險問題，并針對性的對其處理，以規避行業中的隱患，在必要的時候也可以應用一些特殊的硬件軟件加以幫助，同時輔的改善整個操作環境，進一步確保整個系統運行的安全性。

4 結束語

本研究就目前電力調度運行操作中存在的調度安全風險進行深入的研究和闡述，以降低調度安全風險為出發點，同時提出相應合理有效的防護措施，同時把整個系統的運行風險和實際管理中的風險加以詳細的闡述分析，并提出了電力調度運行中安全風險的防護措施。比如首先要保存好系統中的重要數據，同時在保證電力調度的審核要規范合理的環節也要對設備進行常規性的檢查工作，最終幫助行業和企業做好電力調度運行操作中調度安全風險防護工作。

參考文獻：

篇2

云計算的落地和移動設備的普及向信息安全提出了新的挑戰，產生了在新的IT環境下的新問題，例如公用云數據安全、專用云防御等。360云事業部產品總監張曉兵表示，隨著公有云的發展，安全防護的重要性更加明顯，一旦云平臺遭受攻擊，將影響更多企業。

根據防火墻操作管理軟件公司AlgoSec的調查數據顯示，受訪者中，約有66%的企業稱其目前正在部署或計劃未來1-3年內在云平臺上部署業務應用程序。但是，這些企業對云安全的了解卻存在很多不足，其中超過30%的企業計劃未來部署云業務應用，但卻不清楚該如何管理其云環境的網絡安全策略。

正視云安全差異

記者了解到，許多傳統用戶對于云安全存在一些錯誤的認知。例如，希望依靠傳統安全工具或靠物理隔離的方法來進行隔離防護，希望能從及時得到漏洞通知信息來服務，認為進行運維外包就能夠確保工程系統的安全，或指望云提供商具有集中的管理系統等。

中國聯通云計算公司專家表示，對于云環境，傳統的安全問題依然存在，同時虛擬化管理系統、云平臺管理系統等云平臺相關系統的出現，更加導致在這些平臺上的安全手段目前還處在非常初級階段。

IDC分析師王培在接受《通信產業報》（網）記者采訪時表示，目前看來，中小企業或者非關鍵性業務傾向采用安全即服務的模式，而大企業，特別是金融、電信等行業的客戶，他們更傾向于自建安全防護體系來保護云業務的安全。

對于不同模式的云服務平臺，面臨的安全問題有所不同。對于SaaS模式，數據安全、應用安全與身份認證是主要問題；對于PaaS模式，數據與計算的可用性、數據安全與災難恢復等需求更加突出。IaaS模式是云安全面臨威脅最嚴峻的，其平臺建設過程涉及到的數據中心建設、物理安全、網絡安全、傳輸安全與業務系統安全等多方面的防護需求使得IaaS云安全防護需要引入多個層面的防護手段，并需要更加嚴謹的框架與標準的保障。

事實上，云安全的標準和框架已經逐漸形成，北京中油瑞飛信息技術有限公司信息安全專家黃晟在“云計算安全論壇”發言中介紹，CSA和NIST都已經提出了較為完備的云安全框架，但是如何在實際的云計算環境中全面落實，一直是信息安全從業人員面對的挑戰。

繼承傳統防護手段

云計算平臺本質上來說就是一個復雜的信息系統，特別是虛擬化管理與云管理系統采用通用軟件和現有技術開發，最終也部署在傳統硬件平臺之上，依然受到傳統軟硬件技術生態圈的影響。

因此，黃晟表示，傳統攻擊手段依然具有威脅性，還是需要依靠傳統防護手段作為私有云安全防護的基礎。

雖然在云計算環境中，傳統的防火墻不再出現，但是其防護功能仍需實現，在云服務中必須要打造傳統用戶所需要的安全。

例如針對網站最常見的入侵行為，從部署最基本的防DDoS攻擊、端口安全檢測、Web漏洞檢測、木馬檢測等主要功能，到利用漏洞管理、質量保證、軟件的安全性審查、審計和外部審計等工具進行安全威脅檢查，以及建立安全事件管理等平臺輔助制定安全策略。其中的技術手段與傳統安全防護沒有本質上的區別。

針對云架構升級

在滿足傳統防護需求的基礎上，針對虛擬化和云架構帶來的特殊問題，防護技術需要進一步擴展和升級。阿里云安全部安全專家沈錫鏞表示，具備低成本、高精度、大規模的安全防御架構，具備完善的數據安全保護能力的云平臺才能滿足用戶的需求。

除了在云平臺建設的過程中實施基礎安全防護措施，綜合采用現有成熟的安全防護手段，還要面向主流的云技術體系，有效應對面向云計算平臺底層的主要云安全威脅，才能為云平臺的用戶系統實現不低于傳統物理機模式的安全保障。

那么，云計算服務安全的關鍵點在哪些方面？來自西交利物浦大學的信息安全專家接受采訪時介紹，從主要云技術體系的層級來看，云服務存在五大安全關鍵點。在數據中心層面，關鍵在于備份與容災，以及網絡層面的防黑客入侵；在虛擬化平臺層面，關鍵在于云平臺的內部安全監控、管理行為審計、阻止虛擬機用戶“外泄”與上?。辉贗aaS層面，虛擬機間的“溢出”監控與阻斷是主要問題；在PaaS層面，要關注虛擬機間的安全監控與用戶行為審計，以及病毒過濾；在用戶流量控制方面，則要重視雙向的身份鑒別、傳輸加密等問題。

分層實施防護措施

面對如此龐大的安全體系和需求，必須在設計和建設時注重調整云網絡拓撲與部署架構，依托網絡縱深，設計多道防線，構建一個由多個核心組件組成的多層次安全策略來支持海量云服務和產品。

專家指出，可以從邊界防護、基礎防護、增強防護以及云化防護四個方面，分階段提升云平臺的安全防護能力。

邊界防護是私有云安全防護的底線，與基礎防護能力一起都應和私有云建設過程中同步開展，需要建立多層防御，以幫助保護網絡邊界面臨的外部攻擊。以阿里云為例，首先，嚴格控制網絡流量和邊界，使用行業標準的防火墻和ACL技術對網絡進行強制隔離，輔以網絡防火墻和ACL策略的管理，包括變更管理、同行業審計和自動測試等。其次，使用個人授權限制設備對網絡的訪問，通過自定義的前端服務器定向所有外部流量的路由，幫助檢測和禁止惡意的請求，并建立內部流量匯聚點，幫助更好的監控。多個組件構成其完整的網絡安全策略。

隨著面向虛擬化和云計算的安全技術逐漸成熟，增強完善云安全服務，并面向SaaS等更復雜的云計算模式，引入云安全訪問等新技術，結合業務實現防護。對此，黃晟給出了多方面具體建議，例如注重操作系統加固技術在云底層平臺的應用，特別是通過安全手段固化底層行為；構建“安全數據平面”，收集多樣化的安全信息數據，結合大數據流式分析技術，對云平臺進行全面地持續監控；或可基于SDN技術構建“流網絡平臺”，提升“東西向”的隔離顆粒度與強度， 以及加強云內流量監控；面向業務操作與業務數據建立云安全機制等。

縱深安全運維

篇3

關鍵詞：云計算技術；云安全

美國國家標準與技術研究院認為，云計算技術是一種資源利用模式，它能以簡便的途徑和以按需的方式通過網絡訪問可配置的計算資源（網絡、服務器、存儲、應用、服務等），這些資源可快速部署，并能以最小的管理代價或只需服務提供商開展少量的工作就可實現資源?？v觀云計算技術的概念和實際應用，可以看出云計算技術有兩個特點。一是互聯網的基礎服務資源如服務器的硬件，軟件，數據和應用服務開始于集中和統一；二是互聯網用戶不需再重復消耗大量資源，建立獨立的軟硬件設施和維護人員隊伍，只需通過互聯網接受云計算技術提供商的服務，就可以實現自己需要的功能。云計算技術的研究應用，不僅推動了經濟的飛速發展，而且也影響著人類的生活方式。思科預測，到2020年，三分之一的數據都將存儲在云上或通過云進行存儲。目前，推動移動互聯網、云計算、大數據、物聯網等與現代制造業結合，被寫入了政府工作報告。因此，加強云計算技術的研究和應用，特別是與現代制造業相結合，對我國經濟的發展和人民生活水平的提高A2.重大。在加強云計算技術應用推廣的同時，做好云安全（Cloud Security）防護則顯得尤為重要。

1 云安全概念

最早提出“云安全”這一概念的是趨勢科技，2008年5月，趨勢科技在美國正式推出了“云安全”技術。云安全技術是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。云安全技術是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果。云安全是繼云計算技術、云存儲之后出現的“云”技術的重要應用，是傳統IT領域安全概念在云計算時代的延伸，已經在反病毒軟件中取得了廣泛地應用，發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全是我國企業創造的概念，在國際云計算技術領域獨樹一幟?！霸瓢踩钡母拍钤谠缙谠浺疬^不小爭議，已經被普遍接受。值得一提的是，中國網絡安全企業在“云安全”的技術應用上走到了世界前列，金山毒霸、瑞星等公司都相繼推出了云安全產品。

2 云計算技術存在的安全問題

隨著云計算技術的不斷發展，安全性問題將成為企業高端、金融機構和政府IT部門的核心和關鍵性問題，也直接關系到云計算技術產業能否持續健康發展。云計算技術涉及三個層面的安全問題。

2.1 云計算用戶的數據和應用安全。

在用戶數據方面，云用戶和提供商需要避免數據丟失和被竊。如今，個人和企業數據加密都是強烈推薦的，甚至有些情況下是世界范圍法律法規強制要求的。云用戶希望他們的提供商為其加密數據，以確保無論數據物理上存儲在哪里都受到保護。同樣的，云提供商也需要保護其用戶的敏感數據。云計算技術中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀政策。同時，數據的完整性、可用性以及數據的可恢復性，都需要云計算技術去考慮。在應用安全方面，由于云環境的靈活性、開放性、以及公眾可用性這些特性，在SaaS、PaaS、IaaS的所有層面，運行的應用程序安全設計也至關重要。同時，應用層的安全認證、審計以及數據的訪問權限控制也需要考慮。

2.2 云計算服務平臺自身的安全。

包括了云計算平臺的硬件基礎設施安全、共享技術安全和web安全等問題。在硬件基礎設施方面，如網絡、主機/存儲等核心IT設備，網絡層面的設備需要考慮包括網絡訪問控制（如防火墻），傳輸數據加密（如SSL、IPSec），安全事件日志，基于網絡的入侵檢測系統/入侵防御系統（IDS/IPS）等安全問題，主機層面的設備需要考慮包括主機防火墻、訪問控制、安裝補丁、系統鞏固、強認證、安全事件日志、基于主機的入侵檢測系統/入侵防御系統等安全問題。在共享技術方面，如在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環境中的很多虛擬服務器共享著相同的配置，因此必須為網絡和服務器配置執行服務水平協議（SLA）以確保及時安裝修復程序以及實施最佳做法。在web安全方面，云計算模式中，Web應用是用戶最直觀的體驗窗口，也是唯一的應用接口。而近幾年風起云涌的各種Web攻擊手段，則直接影響到云計算的順利發展。

2.3 云計算資源的濫用。

主要包括2個方面，一是使用外掛搶占免費試用主機，甚至惡意欠費，因為云計算的許多業務屬于后付費業務，惡意用戶可能使用虛假信息注冊，不停的更換信息使用資源，導致云服務提供商產生資損。另一方面，許多攻擊者也會租用云服務器，進行垃圾郵件發送、攻擊掃描、欺詐釣魚之類的活動。

這些安全問題實際上在傳統的信息系統和互聯網服務中也存在，只不過云計算技術業務高彈性、大規模、分布化的特性使這些安全問題變得更加突出。同時云計算技術的資源訪問透明和加密傳輸通道等特性給信息監管帶來了挑戰，使得對信息和傳輸途徑的定位跟蹤變得異常困難。安全是云計算技術面臨的首要問題。Google等云計算服務提供商造成的數據丟失和泄漏事件時有發生，這表明云計算的安全性和可靠性仍有待提高。根據IDC的調查結果，將近75%的受訪企業認為安全是云計算發展路途上的最大挑戰。相當數量的個人用戶對云計算服務尚未建立充分的信任感，不敢把個人資料上傳到“云”中，而觀念上的轉變和行為習慣的改變則非一日之功。安全已經成為云計算業務拓展的主要困擾。

3 云安全防護措施

針對云計算技術中暴露出的一些安全問題，必須強化云安全防護措施，這樣才能讓用戶滿意。云安全防護措施主要有以下幾項。

3.1 強化數據安全和應用安全。

數據安全技術包括諸如數據隔離、數據加密解密、身份認證和權限管理，保障用戶信息的可用性、保密性和完整性。密碼學界正在努力研究謂詞加密等新方法，避免在云計算中處理數據時對數據進行解密，近期公布的完全同態加密方法所實現的加密數據處理功能，都大大地推進了云計算的數據安全?；谠朴嬎愕膽密浖枰涍^類似于DMZ區部署的應用程序那樣的嚴格設計。這包括深入的前期分析，涵蓋傳統的如何管理信息的機密性、完整性、以及可用性等方面。在安全認證方面，可通過單點登錄認證、強制用戶認證、、協同認證、資源認證、不同安全域之間的認證或者不同認證方式相結合的方式，有效防止云資源濫用問題。在權限控制方面，服務提供商和用戶提供不同的權限，對數據的安全提供保證。用戶應該擁有完全的控制權限，對服務提供商限制權限。

3.2 強化基礎平臺的軟硬件安全。

對于云計算平臺的網絡和主機設備，加強安全防護，可以通過網絡訪問控制（如防火墻），傳輸數據加密（如SSL、IPSec），安全事件日志，基于網絡的入侵檢測系統/入侵防御系統（IDS/IPS）等強化網絡安全，通過主機防火墻、訪問控制、安裝補丁、系統鞏固、強認證、安全事件日志、基于主機的入侵檢測系統/入侵防御系統等強化主機安全，控制防止非法用戶使用云計算資源；對于合法用戶的惡意使用，則可以通過審計日志來實現事后的追查。為了達到云計算終端到終端的安全，用戶保持瀏覽器的良好安全狀態是很必要的，這就需要對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。此外，針對目前幾種典型的云計算模式，部分廠商采取了細化應用安全防護的手段，針對不同的應用，提供專業級的網關安全產品。在數據共享方面，可以根據用戶的需求，建立所需的云服務，即SaaS（軟件即服務）、PaaS（平臺即服務）和IaaS（基礎設施即服務）三種形式。

3.3 強化法律管理措施。

云計算的穩定運行和健康發展，需要一定的法律法規和規章制度進行完善。SAS70標準是由美國公共會計審計師協會制定的一套審計標準，主要用于衡量處理關鍵數據的基準，SAS70作為第三方驗證來確保安全、政策執行和驗證等問題，能夠確保云供應商提供對客戶數據的保護。薩班斯法案的頒布，也為數據的保護提供法律的依據，屬于SarbanesOxley法案的企業在使用云計算服務的時候就必須確保他們的供應商符合SOX（薩班斯法案）。這些法案和制度的建立為云服務提供商更好地服務及避免數據丟失對客戶的損害提供了法律保障，將更有利于云計算提供商開發更優秀的構架。

篇4

在2009年RSA大會上,云計算的安全是許多廠家和學者們焦慮和討論的話題,對云計算的樂觀與對云安全的悲觀形成了鮮明的反差。“沼澤計算”―RSA創始人Ronald Rivest的一句話,深刻地反映了這種情緒。當時,信息安全界還沒有做好準備來認識、參與和幫助云計算的發展,甚至連云計算下安全保護的基本框架都提不出來。

然而在2010年RSA大會上,云安全成為了當之無愧的明星。無論是RSA總裁Art Coviello的開幕式演講,還是CA、Qualys等廠家的主題發言,無不表現出為云計算保駕護航的堅定決心。參展的眾多廠商更是百花齊放,基本上如果你不能為云計算做點什么,你都不好意思跟別人打招呼。這里面雖然有許多舊瓶裝新酒的噱頭,但也有很多產品和技術深入研究了云計算模式,顯現出許多搶眼的亮點。

身份與權限控制

大多數用戶對于云計算缺乏信心的原因,首先是對于云模式下的使用權限和管理權限有顧慮。在虛擬、復雜的環境下,如何保證自己的應用、數據依然清晰可控,這既是用戶的問題,也是云服務提供商的問題,而這一點也是信息安全界看得比較清楚的。因此,身份與權限控制解決方案成為本次RSA大會的重頭戲。

RSA公司帶來了全套的認證管理解決方案,除傳統的認證產品外,還特別展示了針對Web訪問的認證產品,以及針對虛擬化環境的解決方案,并且強化了對GRC(公司治理、風險管理及合規審查)的支撐。此外,端到端的控制、雙因素認證、針對應用和數據庫的認證等方面也涌現出了很多新產品。

從本次大會看,認證控制方面的解決方案已經能夠基本覆蓋全部業務流程和大多數業務方向,而簡化認證管理、強化端到端的可信接入方案將會是下一階段的發展方向之一。

Web安全防護

云計算模式中,Web應用是用戶最直觀的體驗窗口,也是惟一的應用接口。而近幾年風起云涌的各種Web攻擊手段,則直接影響到云計算的順利發展。

本次大會上,眾多廠家把目光聚焦到Web防護方面。幾乎所有的國內外網絡安全企業,都將安全網關的發展方向轉到UTM等綜合防護網關方面,單純的防火墻(包括防火墻這個名詞)已經基本見不到了。這應該是正式宣告了單一功能的防火墻時代的結束,綜合防護的UTM時代來臨了。據調查,參展廠商大多提出了端到端的解決方案,即安全網關不僅能夠解決網關級的防護,同時能夠兼顧部分終端的安全問題以及端到端的安全審計。

此外,針對目前幾種典型的云計算模式,部分廠商采取了細化應用安全防護的手段,針對不同的應用提供專業級的網關安全產品。如專業UTM廠商Fortinet了分別針對郵件、數據庫、Web等應用的UTM產品。

虛擬化的安全

虛擬化是云計算最重要的技術支持之一,也是云計算的標志之一。然而虛擬化的結果,卻使許多傳統的安全防護手段失效。虛擬化的計算,使得應用進程間的相互影響更加難以捉摸;虛擬化的存儲,使得數據的隔離與清除變得難以衡量;虛擬化的網絡結構,使得傳統的分域防護變得難以實現;虛擬化的服務提供模式,使得對使用者身份、權限和行為的鑒別、控制與審計變得極其重要。

本次RSA大會上,我們看到了一些有益的嘗試:思科公司提出無邊界網絡架構,力圖通過將終端管理、安全訪問、Web防護三者融合,提供端到端的防護控制措施,以解決云模式下傳統分級分域防護框架失效的問題;EMC作為虛擬化最大的受益者,在其全部產品線上都加入了對虛擬化的支持,包括認證、數據安全等方面。此外,不少廠家也提出針對虛擬化環境下的數據存儲、DLP(數據防泄露)解決方案,幫助用戶控制他們的數據。

安全的虛擬化

為了適應XaaS的業務模式,除了應用、存儲等能力需要虛擬化外,眾多廠家也強化了自身安全產品的虛擬化能力,以適應云計算的特點。虛擬設備、虛擬網關等技術手段被大量使用。如聯想網御帶來的KingGuard UTM-9202,采用Netlogic的多核芯片,提供超過1024個虛擬UTM,最大可提供20G的處理帶寬,是一款專門針對大中型企業和IDC的高性價比產品。而NeoAccel的SSL VPN產品,則可以直接在VMware等虛擬環境下運行。

因為云,所以安全

本次大會中,最具特色的是,一些企業獨辟蹊徑,借助云計算的模式和計算能力,發展出獨特的云安全防護技術,利用云中幾乎無限的計算能力和信息節點,轉而共同為云的安全作貢獻。如趨勢科技的云安全防病毒技術、Cisco的云防火墻、聯想網御的云防御,都是利用云中廣泛的信息反饋節點,大范圍地跟蹤安全風險,并將防護能力快速分發到各個防護節點。

縱觀本次RSA大會,安全廠商紛紛利用已有的技術,通過改良、改造、集成、融合,提出面向云計算、特別是面向用戶側的安全解決方案,基本上建立起了一條從用戶到服務商的安全應用交付通道。然而對于云的建設者和運營者,則還有更長的路要走。特別是對于國內私有云建設者需要特別關注的數據隔離與管理問題,目前為止還沒有看到符合國內安全規范的解決方案。不過,云計算已經上路了,不管路上有什么坎坷,云安全,我們已經在起跑線上了!

新 品

瞻博網絡推新品

改變移動網絡

本報訊 在今年的世界移動通信大會上,瞻博網絡宣布推出五款新品,并預言要改變世界移動網絡基礎架構。這些產品分別是面向電信運營商推廣應用的Junos Ready軟件,適用于移動視頻傳輸、定址廣告、業務監控、服務交付與安全等;面向智能手機的Junos Pulse軟件,是業內首款可下載的客戶端軟件,可使不同移動設備,包括智能電話、筆記本電腦和上網本等無縫地接入企業網;瞻博移動安全解決方案,采用了世界最快的SRX系列業務網關及Junos Pulse客戶端軟件,帶來移動安全性;瞻博流量管理軟件,可批量將電信數據流直接卸載至互聯網中,從而實現更好的移動體驗;瞻博媒體流,能在智能電話等移動設備上提供電視般流暢的觀賞體驗;瞻博移動核心演進方案,可在同一網絡中提供3G和4G服務,從而為運營商帶來收益。據悉,這次大規模的,是瞻博網絡向移動基礎架構平臺供應商轉變的重大舉措。

諾頓360

篇5

幾年來，公有云服務遭黑客攻擊造成海量用戶數據泄露的事件接連不斷：索尼云服務網站遇黑客攻擊導致1億用戶的個人信息被竊，蘋果iCloud賬戶信息泄露遭用戶抱怨，谷歌Gmail服務被攻擊泄露用戶信息……近期，云計算筆記應用Evernote（印象筆記）也遭遇了相同的厄運，導致其5000萬用戶受到數據泄露風險威脅，Evernote還因此被迫要求其用戶重置密碼。類似事件的持續爆發，再度引發了人們對公有云服務安全問題的熱議，公有云服務確保數據安全的能力也開始受到拷問。

“改密碼”能解決問題嗎

受到數據泄露威脅的用戶，主要是Evernote國際版用戶。Evernote方面表示，其信息安全團隊在Evernote網絡上發現了有組織的惡意攻擊，疑似企圖入侵Evernote Service的安全區域。但在隨后展開的調查中，他們還未發現用戶存儲在Evernote上的任何內容有被非法讀取、更改或遺失的跡象。針對用戶的支付信息，也沒有發現任何非法訪問的痕跡。但由于黑客“有可能”訪問了一些與賬戶相關的用戶名、電子郵件地址以及Evernote的加密密碼，所以Evernote“建議”用戶更改密碼，以免遭受損失。

在事件發生后，Evernote曾在其登錄界面上通過“跳出提示”的方法提醒用戶重置密碼。但很快，這種做法就被一種相對“懷柔”的方法取代了。經記者測試發現，目前只是在自動退出之前的登錄狀態時，才要求用戶重新登錄。但重新登錄時，原來的密碼便會失效，用戶不得不點擊找回密碼鏈接重設密碼。

作為知名云服務商，Evernote希望盡快隱蔽地化解此事件的心態可以理解，但用戶的抱怨情緒卻沒有那么容易熄滅。一次黑客攻擊便足以影響到全部用戶，甚至需要所有用戶修改密碼，在云服務遭受黑客攻擊的案例中，這樣的問題總在重復。安全級別看似極高的云服務，為何如此脆弱？

“對黑客而言，云服務商最具價值的信息就是用戶信息數據庫。因為掌握了登錄認證信息，就意味著可以掌握用戶的全部數據。黑客攻擊一個10M的數據庫，就足以讓其獲得T級容量的用戶數據，這必然會吸引黑客瞄準存儲用戶身份認證信息的數據庫?！盉lueCoat安全專家申強告訴記者，今天大量的公有云服務對用戶認證信息的保護，依舊在采取“強加密，弱認證”的安全防護模式，數據的加密做得已經足夠好了，但對服務和用戶的認證還遠遠不夠。很多面向消費類用戶的云服務還是在采取基于用戶名、口令的認證模式，一些用戶登錄信息甚至還在使用明文存儲，這等于把最關鍵的數據暴露給了黑客。一旦黑客獲取了用戶信息數據庫中的數據，數據泄露的風險自然會波及海量用戶。

“我們的團隊在服務過程中發現，云服務商最看重的是自身所能提供的應用服務內容，安全問題往往最后才會去考慮，這種僥幸心態是不可取的，等嘗到網絡攻擊的苦頭后才回頭補救，對用戶而言也是極不負責的?！盧adware安全專家姚宏洲指出，除了數據竊取及篡改外，云服務商對保障服務可用性的安全問題也關注不足。例如DoS/DDoS攻擊在全球愈演愈烈，眾多行業均被波及，這種消耗資源型的網絡攻擊對云服務也是極大的威脅。

多方責任制下的安全雜癥

根據行業統計，當前被曝光的企業數據泄露事件不足10%。因為數據泄露問題如果發生在企業內部，很多問題可以自我消化。但如果同樣的事件發生在公有云服務商的身上，幾乎100%被曝光。

安全防護的目標永遠都是將風險控制到足夠小，云服務商同樣無法做到100%的安全。申強告訴記者，沒有高等級的安全防護措施，公有云服務商很難說服用戶去使用其所提供的服務，所以當前公有云服務對數據安全的重視度往往極高。今天可以在企業內部數據中心看到的所有安全措施、安全策略以及安全等級標準，實際在云服務數據中心中至少是被復制和重現的?！翱梢哉f，云安全服務商已經做到了企業級安全能夠做到的安全級別，甚至還會更高。但是在云中，卻很難達到企業級數據安全等級保護的同等效果?！?/p>

他指出，如果單純從安全保護策略的角度看，云服務數據中心和企業內部的數據中心并沒有本質上的區別。和企業內部的安全問題相比，公有云安全問題的復雜性更多體現在責任的界定上。因為云服務的安全責任已經被不同的組織拆解，各自為政。

“云服務數據中心和企業的私有數據中心相比，兩者都是從四個層面來實現數據保護的：數據的安全，系統層面的安全，網絡傳輸層面的安全以及用戶終端的安全。在企業內部，這四部分的安全規劃都是由企業自己完成的。但在公有云環境中，數據、系統的安全問題要由云服務商負責，網絡傳輸部分的安全防護則要由企業和運營商共同承擔，用戶終端的安全則是由用戶個人或企業來管理。這就會形成一種挑戰：如何讓各部分貫徹統一的安全策略，實現全網的安全。這是和傳統企業安全最大的不同。

企業安全問題可以去統籌考慮，實現安全策略端到端的貫徹，但云服務卻難以實現。所以，不是云服務的安全等級不夠，而是難以被各責任方統一貫徹。

申強表示：“在發生安全問題時，責任的界定出現了多方關系。這是讓云服務安全問題更復雜的根源。當企業開始廣泛使用公有云服務的時候，必然會提出一個問題，那就是云服務商數據和系統安全的策略，是否和企業的策略是一致的。反之，云服務商做到了數據高等級安全防護，但數據在被用戶所使用的時候遭到攻擊，用戶的客戶端被攻擊，黑客同樣有可能借助用戶端攻擊云系統盜取數據?！?/p>

云服務如何安全地走下去

目前，金山、華為、百度等企業都推出了“網盤”、“快盤”類的云存儲服務。但只有華為網盤稱其能實現類似銀行數據安全級別的云服務。

據華為網盤技術總監余斌介紹，華為網盤的經驗是在整個架構設計上考慮“端到端”的安全設計，包括端（客戶端，手機、PC等）、管（傳輸網絡）、云（服務器、存儲等安全）的安全。比如客戶端的加密存儲、重要數據傳輸采用安全協議（HTTPS）、服務端需要考慮防攻擊和有效授權訪問等。云服務在安全體系架構設計上則需要滿足用戶的兩個需求：第一是數據不被竊取，第二是即使被竊取了也無法查看。需求一應以多重認證等手段來保障數據只能被有權限的用戶查閱；需求二則是通過安全的加密算法對數據進行加密存儲，確保無法破解。

從面向個人用戶的服務轉換到面向企業的服務，公有云安全如何做到多責任方最終的統一、協作也是很關鍵問題。公有云服務商不僅要敲開企業級市場的大門，還要邁過這道門檻。

篇6

關鍵詞：云安全模型；信息系統；安全等級；檢測保護

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）19-0052-02

云計算作為一種易擴展而又具有動態性，且選用高速互聯網處理數據信息的過程。伴隨當前云計算技術水平的日益提升，與之結伴的云計算安全問題日漸凸顯，已然成為各相關部門及廠商所關注的重點內容。在云計算框架內，虛擬化乃是網絡環境主要的出現形式，以往開展測評工作所需要運用的網絡設備或物理服務器，在當前云計算環境下，存在諸多差異。當將云安全技術退出之后，設別及查殺病毒，已經并不僅僅依靠本地的病毒庫，而是利用更為廣泛的網絡服務體系，分析并處理所出現的各種病毒隱患。

1 云計算信息系統安全特性概述

與計算信息系統相比于傳統形式的互聯網信息系統，其利用服務端處理所有數據，并將其儲存起來，而對于終端用戶而言，則利用網絡對所需要的而各種信息和服務及時獲取，無需基于本地配置下，便可對數據實施儲存及處理工作。依據為網絡為基礎所設置的對應網絡安全防護設施，在系統服務端，可將安全審計系統和身份兼備進行統一設置，從而保證諸多系統所可能發生的安全問題，均可及時且有效的解決，但由于不斷更新的服務模式，又會帶來諸多新的安全問題，比如數據泄露、不安全的服務接口及濫用云計算等。

2 構建管理中心及云安全服務模型

構建云安全服務模型：對于現實當中已經出現的各種云產品而言，在諸如服務模型、資源位置及部署模型等各方面而言，其所展現的模式及形態各不相同，所形成的安全控制范圍存在差異，安全風險特征也各不相同。因此，需基于安全控制方面，對云計算模型完成創建，然后描述各屬性組合所具有的云服務架構，進行為云服務架至安全架構合理映射給予保證，進而為設備的風險識別及安全控制提供科學依據。

3 基于云安全模型的信息安全等級測評方法

基于云安全信息安全有關保護測評的方法，就是依據云安全中心模型以及云安全服務模型，結合用戶在云安全方面所存在的各種需求，首先，促使安全模型始終處于整個安全等級保護體系作用下的各個位置上。對于安全模型而言，其一段與等級保護技術相連接，而另一端則與則與等級保護相應管理要求相連接。

依據云安全信息中心相應建模狀況，全面分析云安全模型框架下的支撐安全及核心技術，最終取得企業在云安全領域范圍內的信息安全等級測評模型，以模型為參照，開展后續的檢測工作。

3.1 基于等級測評云安全模型下控制項

經過上述分析可知，在云安全等級保護模式框架內嵌套云安全模型，進而開展與云安全存在相關性的信息安全等級評價，另外，分析基于安全模型下相關控制項。然后查看授權狀況及云認證，并測評是否存在有諸如敏感文件授權、程序授權及登陸認證等狀況。最后依據訪問控制模型的差異，對訪問控制的目標進行選擇，即依據實際情況選擇為角色型訪問、自主性訪問或強制性訪問，然后運用切合實際的應對方法。為了對網絡訪問資源提供保障，可對開展分配及控制操作，需建立更為可靠的解決策略及執行辦法。當所運用的方式可靠而又統一，才能為安全策略的自動執行提供保障。針對網絡數據的加密狀況進行測量時，需以靜態或動態的方式，保護標準的服務類型及加密功能。針對數據的恢復及備份情況進行探測時，需檢查是否是安全的云備份，另外還需查看密碼鑰匙的管理狀況，磁帶有無加密以及數據實際銷毀狀況，而在所開展的各項檢查中，重點為供應商所提供的數據備份。還需對是否可控制管理用戶的身份進行查看，能否對用戶角色具體的訪問內容進行管理。另外，對用戶的審計日志及安全服務進行查看，即告警管理與維護、主機的維護以及網絡設備的監控管理等?？刂祈椃治龇秶海?）云認證和授權。云認證與授權重點乃是查看是否有敏感文件授權、程序運行授權、服務認證及登錄認證等，（2）云訪問控制。依據所建立的相應訪問控制模型，以此來對其是否為角色型訪問控制、自主訪問控制策略及強制訪問控制策略予以確定，然后家用對應方法進行分析。（3）云安全邊界與隔離。知曉系統實施安全隔離的具體機制，安全區域的劃分方法以及硬件安全的相關技術支持等。（4）云安全存儲。可將所有數據儲存成加密格式，而對于用戶而言，需分離出數據。（5）惡意代碼防范。首先需了解惡意代碼是否存在，并采取與之對應的防范舉措。（6）云安全管理。需對全面軟件資產、網絡及物理/虛擬硬件進行管理，管理當中相應測評要求需一致于等級保護管理要求。（7）網絡安全傳輸。需對網絡安全傳輸選用加密方式與否予以了解。（8）網絡配置及安全策略。如若想要獲取更為有效的訪問控制及資源，需對安全策略采取一種更為可靠且統一的方式執行。解決及定義。利用此種方式促進安全策略自動執行的實現。

3.2 等級測評云安全模型風險性分析

按照有關等級保護的具體要求，采用風險分析的相關方法，在分析信息系統過程中，需對如下內容給予重視。（1）訪問控制、授權及云身份認證。對于云安全而言，其不僅對于訪問控制及授權具有十分重要的作用，對于用戶身份的認證同樣重要，但其實際效果的發揮，需將現實實施狀況作為依據。（2）設置云安全邊界。針對基于云安全內部的具體的網絡設備而言，其需要利用諸如防火墻的措施，實施更為有效的安全防護舉措，但對于外部的云用戶而言，其則需采用虛擬技術，此技術自身便存在有安全風險，因此，必須對其實施有效而全面的安全隔離舉措。（3）數據信息備份及云安全儲存。通常情況下，云供應商所運用的數據備份方式，乃是最為有效且更具安全性的保護模式，盡管供應商在實施數據備份方面已經十分安全，但通常情況下依然會發生相關數據的丟失，因此，在條件允許的情況下，公司需選用云技術，對全部數據予以共享，并對其進行備份，或在還會發生數據徹底丟失的情況下，啟動訴訟程序，進而從中獲取有效的賠償。在云計算過程中，通常發生由于數據的交互放大，而造成數據出現泄漏或丟失狀況，如若出現安全時間，且用戶數據出現丟失狀況，此時，系統需將安全時間及時、快速的上報于用戶，避免更大范圍的數據丟失（4）賬戶與服務劫持。攻擊者從云服務用戶中獲取賬號，造成云服務客戶端產生相應安全風險。（5）不安全的API及接口。第三方插件存在安全風險，或較差的接口質量。（6）安全事件通報。如若發生安全事件，導致用戶數據出現安全風險，整個系統就會將數學信息及時上報，防止出現較大程度的損失。

4 結語

伴隨當今云計算技術的日益發展和完善，云計算信息系統今后必然成為整個信息化建設的重要構成。本文基于云安全等級保護檢測，對云計算信息系統所具有的安全特性進行簡要分析，并探討了云安全服務模型及構建管理中心，以此為依據提出切合實際需要的云安全模型的信息安全等級檢測方法。

參考文獻：

[1] 成瑾， 劉佳， 方祿忠. 面向電信運營商云計算平臺的安全檢測評估服務體系研究[J]. Computer Science＼s&＼sapplication， 2015， 05（4）：83-91.

篇7

（一）管理使用的系統

ERP、加油站賬冊、二次物流管理、加油卡、辦公自動化以及企業門戶網站等系統是石化銷售企業首要的應用系統。應用系統有以下特征：一是系統應用范圍廣，全程參與企業的經營、管理、對外服務等；二是系統用戶眾多，涵蓋企業各階層員工；三是系統對持續運轉要求高，因此對應用系統的安全運轉要求較高。對公司的經營管理而言，系統的安全穩定運行具有重大意義，系統數據是否安全、保密性和供應商、企業利益有密切關系。

（二）安全管理

隨著我國經濟水平不斷提高，石化銷售企業越來越離不開信息化管理，世界各地的公司對內部成立一個信息化團隊，根據內部的需要制定出具有整體性的管理體系，并根據相關的信息安全規定對系統內部的安全等級做好評估保護工作。各企業制定了詳細有效的“信息系統應急預案”以應付各類突發事件。近幾年，中國石化內控體系在建設過程中不斷加強、完善自身管理體系，也在IT控制方面占有一定的優勢。當前，石化銷售企業已基本形成一套完整的信息安全防御和管理體系，從而確保了網絡信息系統的安全性。

二、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產清單和風險級別，進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結合企業自身的實際情況，擬定風險控制相應的對策，把企業內的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險

機房環境和硬件設備是主要的的物理風險。當前，部分企業存在的風險有：1）企業機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現在的需求；2）機房使用的裝備年限太長、例如中央空調老化，制冷效果不佳導致溫度不達標，UPS電源續航能力下降嚴重，門禁系統損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網絡和系統安全存在的風險

石化訪問系統的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等，但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。

（三）系統安全風險

沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務，而數據正是應用信息系統的核心，因此，實際應用與系統安全風險密切聯系。當前，信息應用系統存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。

（四）安全管理存在的風險

安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統安全管理體系，從嚴管理，促使信息安全系統正常運作。一方面要規范健全信息安全管理手段，有效較強內控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態發展的形式存在，要不斷調整、完善制度，以符合信息安全的新環境需求。

三、信息安全管理體系框架的主要構思

信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成，特點是系統化、程序化和文件化，而主要思想以預防控制為主，以過程和動態控制為條件。完善安全管理體系，使石化銷售企業信息系統和信息網絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數據安全，提升系統的持續性，加強企業的競爭力。

（一）組織體系

企業在完善管理體系過程中應設立信息安全委員會和相關管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓，使工作人員提高信息安全管理意識，實現信息安全管理工作人人有責。

（二）制度體系

操作規范、安全策略、應急預案等各項管理制度經過計劃和下發，讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程，規范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術體系

管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件，技術體系會在最短的時間內降低事件的不良影響，依靠相關的信息安全管理技術平臺，以實現信息安全技術的有效控制。管理體系的核心是技術手段，先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲，可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網絡系統快速檢測出攻擊的對象，加強了管理員的安全管理技術（包括審計工作、監視、進攻識別等技術），提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份，利用體統的可用性和容災性加強安全管理能力。

近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統的的安全防預技術受到了嚴峻的考驗，這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御，而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路，且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”

四、信息安全管理體系相關步驟

由于管理體系具有靈活性，企業可依據自身的特點和實際情況，使用最優方案，結合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

五、結論

篇8

通信網絡是經濟社會發展的重要基礎設施，做好通信網絡安全防護工作對國家信息安全建設起到關鍵作用。近幾年，在政府主管部門的大力指導和強有力的推動下，通信網絡安全工作取得了全面成效，管理制度愈加規范，技術檢測手段愈加深入，防護能力逐步提高。網絡攻擊、黑客入侵、病毒威脅種類多樣化，致使網絡安全形勢依然嚴峻，新業務應用及發展更是帶來新的安全挑戰，這需要政府管理部門進一步加強監管力度，創新管治方法，強化安全防護范圍和深度。

為深入宣貫通信網絡安全管理辦法，解讀政策方向和安全防護標準及應用，分析當前網絡安全發展形勢，探討更新更好的安全防護思路，本月由中國通信企業協會通信網絡安全專業委員會主辦的“2013通信行業網絡安全年會”在貴陽隆重召開。工信部通信保障局副局長熊四皓等領導出席了會議。天融信作為本次年會的贊助商由副總裁宮一鳴在會上進行了“大數據和運營商安全”主題演講。

會上調查顯示，當前，用戶普遍最為關注的是以下10大安全話題：

1、大數據安全

2、APT攻擊

3、下一代防火墻

4、WEB防護

5、如何高效的實現企業信息安全管控體系

6、云安全

7、IDC安全

8、移動互聯網安全

9、業務安全

10、如何提升入侵感知能力

可見，大數據安全已經成為其中最重要的問題，這也是此次通信行業網絡安全年會上重點討論的議題。天融信演講的“大數據和運營商安全”從安全角度幫助企業分析了如何應對“大數據”時代的來臨。通過建立宏觀層面的信息，大數據可以讓企業更深入地了解自身業務，通過分析海量數據可以實現新的業務洞察力。大數據信息對于企業的信息安全團隊來說也同樣具有非凡價值。安全團隊同樣可以利用大數據來加強企業安全建設，抵御內外部網絡威脅。

現在，企業已經可以利用各種安全工具來進行日志記錄、安全監控、設定應用程序訪問控制、遠程配置。通過天融信等專業安全企業提供的安全服務對這些數據進行收集和分析，企業安全團隊就可以確定安全風險，制定更有針對性的安全防范措施，真正做到“知己知彼，百戰不殆”。

天融信在面對大數據時代帶來的新挑戰時，提出了大數據綜合管理平臺戰略，目前已經推出海量日志數據自動收集與實時智能分析產品(TopAudit-Log，簡稱TA-L)，為企業轉型、成長提供必要的戰略技術支撐，幫助企業將新挑戰變為新機遇。通過海量數據的自動收集、處理以及實時的智能分析實現企業高效、便捷、經濟的大數據管理。

篇9

用手機上網、收發郵件，用平板電腦開展業務，對筆記本電腦個性化設置，BYOD的浪潮正在向我們襲來。但在節約成本和提升效率的同時，企業安全的邊界卻開始不斷模糊。應對BYOD，企業安全防護該何去何從？

在美劇《實習醫生格蕾》里，外科主任歐文拋棄了固定的辦公室，用一個iPad在醫院里隨時隨地移動辦公，一時間成為醫院里的一道風景。現實生活中，用自己的移動設備在單位辦公，正在被越來越多的企業所接受。員工用自己的筆記本電腦到單位辦公、用手機和平板電腦收發郵件，在企業中隨處可見。與此同時，BYOD（Bring YourOwn Device，員工攜帶自己的設備辦公）的經濟性開始被更多的企業所認知，但在這種辦公模式中隱藏的安全風險，已經遠遠超過了我們的想象。

BYOD正在普及

市場調研機構IDC的最新報告顯示，2011年第四季度全球智能手機市場的總出貨規模達到1.578億部，比IDC之前的預期提升了40%。此外，智能手機出貨量在2011年首次超過PC出貨量。移動終端正在取代PC，成為人們在辦公中最需要的工具之一。

隨著智能終端的普及，IT消費化的趨勢日益明顯，BYOD已經在企業間悄然興起，尤其是在歐美等發達國家和地區，BYOD已經形成一種文化。據統計，在歐洲26%的醫生擁有iPad，他們在行醫過程中超過25%的時間會利用iPad，還有40%的醫生表示在接下來的6個月里會購買手持智能設備。

在支持BYOD的企業中，員工可以根據自己的喜好選擇移動終端的品牌和類型，實現對IT設備的個性化需求，滿足對時尚設備的追求。根據美國知名市場研究機構波耐蒙研究所的《全球移動風險研究報告》：77%的受訪者認為移動設備是幫助他們高效完成工作的得力助手之一。提升效率也正是BYOD興起的重要原因。

跟以往的移動辦公不同，BYOD環境下，員工使用的是自己購買的設備，企業無需再為員工購買統一的電腦、定制手機或平板電腦等辦公設備。因此，節約成本是BYOD之所以迅速普及的另一個重要原因，例如，思科公司從BYOD上節約了17%~22%的IT成本。

但是，并不是所有企業都能像思科一樣，從BYOD環境中受益。由于沒有被納入企業原有的安全防護體系中，BYOD設備在提高工作效率和愉悅員工的同時，也讓企業出現了難以掌控的安全風險。

不少企業已冷靜下來，比如美國聯邦政府部門的信息技術管理者們就在熱烈爭論，是否應該允許雇員將自己的智能手機和平板設備用于工作中，是否應該制定BYOD的相關政策。美國國家安全局移動委員會負責人Troy Lange就表示反對提供BYOD的辦公模式。美國退伍軍人事務部企業系統工程移動和安全保障服務部門的負責人Donald Kachman也表示了他的擔心：“一旦設備出現問題，我們能管理好設備嗎？我們能確保設備安全嗎？”他指出最新一代智能手機和平板電腦依然被視為新事物，而“其安全隱患是未知的”。反對BYOD的情況也同樣出現在香港，據飛天誠信副總經理鄭相啟介紹，在香港，引入辦公的移動設備必須經過認證才行。

傳統防護體系已失效

BYOD所帶來的安全問題首先體現在數據泄漏的風險上。越來越多的企業資料在知情或不知情的情況下被存儲在這些設備上，而這些設備又很難受控于企業原有的管理體系。但是，移動設備給企業帶來的風險，恰恰是它們現有的安全管控方法和可執行策略所無法覆蓋的。而且，員工往往還會刻意回避針對移動設備的安全管理，這也是一個非常嚴重的問題。

隨著移動終端不斷增長，企業用戶本身無法完全有效地對移動平臺和使用移動設備的用戶進行統一管理，也導致企業敏感信息和數據泄漏的風險上升?！袄?，蘋果AppStore或者安卓市場中有許多應用，一些惡意軟件會偽裝成應用供用戶下載，當這些惡意軟件被下載到員工的移動設備并且進入了企業網絡范圍之內，企業的信息安全風險就會增加?！盬ebsense中國區技術經理陳綱稱，當BYOD成為一種趨勢時候，這是企業管理者最擔心的問題。

不僅如此，企業在接受BYOD的同時，傳統的安全防護體系也在失效。互聯網訪問出現，無線網絡應用更為頻繁……很多過去企業沒有意識到的安全環節，如今反而需要進行重點防護。企業的網絡安全邊界也延展到廣域網，企業機密數據傳輸的路徑不僅走出了企業網，還變得極度復雜，企業內部的安全防護手段已鞭長莫及。

以往，企業的安全防護策略主要針對內網安全，但隨著移動終端的普及、虛擬化技術的廣泛應用，企業網絡邊界的延展，也在改變安全防護體系的基礎架構。在這種情況下，傳統的防火墻、防病毒軟件、IPS等企業安全防護的“老三樣”，已不足以滿足企業信息安全防護的需求。另外，由于移動終端和操作系統復雜多樣，BYOD也為信息安全管理帶來了新的挑戰。

同時，員工在使用移動設備時，很難主動產生安全意識。當員工通過3G網絡，利用自己的移動設備收發公司郵件，或者登錄公司應用辦公時，很少有人會意識到，自己的移動終端可能給企業帶來數據泄漏的風險。黑客可能通過惡意軟件或僵尸網絡，對企業網絡發起攻擊，或者竊取企業的核心數據。

最新的“全球移動風險研究報告”顯示：企業引入移動設備和員工攜帶個人設備上班的現象正在架空企業現行的安全體系和安全策略。來自12個國家的4000多名受訪者中有76%的人認同在采用移動設備的同時也將風險帶給了企業，只有36%的受訪者表示已經配備了必要的安全控制手段來應對這一類風險。

需要新的防護策略

由于企業網的邊界向操作系統和移動終端進行了延展，安全廠商提供的解決方案必須要覆蓋這些設備，以滿足企業的安全防護需求。這就要求安全廠商必須針對不同終端和操作系統的特點研發新技術，推出相關的解決方案。

《全球移動風險研究報告》指出：59%的調查對象表示，員工會繞行或者故意使安全防護策略失效。如何管理操作系統、硬件平臺各異的BYOD設備，并規避BYOD帶來的安全風險，如何保證業務和管理系統在多種設備上兼容運行等問題，對于大多數企業IT管理人員而言都是難以應對的挑戰。

在綠盟科技副總裁吳云坤看來，BYOD雖然在中國才剛剛起步，但是由于國內企業還沒有對BYOD帶來的威脅建立合理的安全防護策略，它給中國企業帶來的風險可能比其他國家更加嚴重。BYOD可能會造成企業核心業務系統受到攻擊，企業郵件、通信錄和在線業務系統中的企業和個人信息遭到竊取。這些威脅呼喚著以郵件防護和數據防護為中心的解決方案。

BYOD對企業的信息安全系統提出了新的需求，一個僅僅支持局域網訪問的應用很難支撐BYOD環境下的信息安全防護需求。因此，整個IT業界正在試圖尋找應對BYOD安全風險的不同思路和解決方案。

>桌面虛擬化：安全風險向后端轉移

虛擬化技術是云計算時代的一項重要技術。它將數據和應用程序在數據中心上集中管控，被認為是降低企業IT基礎設施安全風險的有效措施。以VMware、思杰和微軟為代表的桌面虛擬化技術，為BYOD環境下的信息安全防護提供了新的思路。

桌面虛擬化技術的本質是將桌面的操作環境與機器運行環境分離，實現在任何地點，通過非特定設備（例如不同的PC、筆記本電腦、PDA、手機）都可以實現對桌面的訪問與操作。通過該技術，所有的數據和應用程序將在數據中心進行托管并統一管理；用戶可以通過任何設備、任何網絡遠程訪問應用程序和數據，并且獲得與傳統PC一致的用戶體驗。

由于桌面虛擬化之后，用戶和后臺之間的通信只是簡單的鼠標點擊等操作，應用程序和數據并不存放在本地設備中，因此即便是惡意軟件入侵了用戶的設備，也無法獲取企業數據或信息。這為BYOD環境下，防止數據泄漏和惡意軟件威脅提供了一種行之有效的方法。

桌面虛擬化讓企業的IT信息管理者獲益匪淺，集中式桌面和應用管理能夠有效降低企業IT設備和網絡的安全威脅，而在整個企業范圍內取消獨立的標準化設備則有助于增加終端的靈活性，提高員工的工作效率，并簡化設備管理。

正如思杰公司認為的那樣，企業應采取“安全源于設計”的做法，將數據集中存放在數據中心、加密傳送到終端設備以及在脫機工作時隔離端點上的數據這三大措施共同實現了“允許任何員工通過任何設備隨時隨地安全訪問”的設想。而這些，都是通過細粒度訪問控制政策加以管理。

盡管桌面虛擬化的理念得到IT業界的認同，但是當前桌面虛擬化的普及速度卻比較緩慢?！坝捎诟憷杂袥_突，放眼望去，虛擬化企業應用得比較好的是應用虛擬化和服務器虛擬化，終端虛擬化發展比較緩慢，這是因為員工希望個性化。如果一夜之間讓所有人都使用同一種模式，讓人非常難以接受?！盬ebsense中國區技術經理陳綱稱，盡管從技術角度看，桌面虛擬化的效果顯而易見，但是其普及率不高，至少需要兩三年的推廣時間，因此難以在短期內有效解決問題。

此外，桌面虛擬化技術在降低終端安全風險的同時，增加了后端數據中心的安全管理壓力。由于應用程序和數據都存儲在后端的數據中心里，企業需要有效管理大量數據的安全性，進行數據保護和數據加密，保證虛擬化環境下數據中心的安全。此時，企業需要購買虛擬化安全解決方案或服務，造成安全成本上漲。

>>終端解決方案向移動領域拓展

在傳統信息安全架構的基礎上，延伸BYOD環境下的安全防護策略，拓展移動終端管理解決方案，對大多數企業而言，是比較容易接受的方案，因為企業無需徹底顛覆原有的信息安全防護架構，只要在原有的防火墻、防病毒軟件和IPS的基礎上，安裝一個插件或者軟件，就能與原有的安全體系融合起來，對BYOD設備，尤其是智能手機、平板電腦等移動終端進行統一管理和監控。例如，趨勢科技通過企業移動終端管理方案（TMMS7.1）、企業無限網絡接入管理方案（WSG）、個人移動終端安全方案（TMMS2.0），針對BYOD環境下的信息安全防護，推出了組合產品。

“不管是設備層面，還是系統層面或應用層面，都需要一些防護策略，集中化管理客戶的終端安全，才能減少數據外泄的風險?！壁厔菘萍贾袊鴧^移動安全產品市場經理劉政平在接受本報記者采訪時表示，趨勢科技的移動安全產品設計也正是從這三個角度來考慮的。企業移動終端安全管理方案包含終端策略管理平臺、移動網關防護、移動應用管理、移動終端防護等四個方面。移動終端策略管理平臺統一管理所有移動終端，包括用戶的各種移動智能終端；移動網關防護通過設備準入、流量控制、設備管理等方式，阻斷外部威脅對內部應用的威脅；移動應用管理幫助企業建立起針對內部的企業級移動應用商店，在檢測確保應用程序安全安全之后，將蘋果AppStore或安卓市場中的應用程序上傳到企業自建的移動應用商店中，供內部員工下載使用。此外，趨勢科技移動應用管理還建立了黑白名單機制，過濾掉不允許安裝的、存在威脅的應用程序。

“智能手機、平板電腦等移動終端屬于消費產品，操作系統多種多樣，有的基于安卓，有的基于iOS，還有的基于Windows Phone等平臺?！眲⒄浇ㄗh企業用戶“把這些離散的、不是統一標準的平臺，集成到一個安全管控平臺上，企業內部必須對設備進行統一的管控”。他向記者介紹，趨勢科技已經為一些銀行提供類似的解決方案，為銀行提供應用程序的安全信譽評估服務，以使銀行內部網絡的應用程序中不包含惡意軟件。

對移動終端進行集中管控的方式，能降低企業的部署成本，減少管理這些設備的復雜度，確保訪問企業網絡資源的設備的安全性。然而，調查顯示，59%的員工會有意避開企業的這些終端管理措施，而建立企業內部的移動應用商店的方式的確能夠讓員工下載綠色的安全軟件。不過，當前在企業內部建立應用商店的還比較少，應用數量不多，功能不夠豐富，很難滿足員工的需求。大多數員工仍然在蘋果AppStore或者各類安卓市場中下載應用程序。

因此，從終端統一管控的角度出發構建企業的信息安全體系，需要在企業內部對員工進行不斷循環往復的培訓和教育，使其認同企業安全防護的理念，并且遵守相關安全管理規定。

>>>以數據為核心的數據防泄漏方案

在BYOD環境中，郵件訪問和企業業務系統是員工訪問最多的內容，也是最容易導致企業敏感數據泄漏的。而且，越是企業高管，使用移動設備辦公的概率越大，這些設備中可能包含的企業核心信息和機密數據的概率也越大。無論是信息的轉發、存儲，還是設備遺失，都會讓企業的安全風險增加。“在通過廣域網訪問企業應用的情況下，傳統的基于防火墻、VPN、IPS的解決方案，已經不足以支撐當前的安全防護體系。員工通過廣域網訪問企業網的路徑中，需要增加更多控制來保證企業網的數據和應用的安全?！盬ebsense陳綱表示，針對移動終端訪問的熱門應用，新的解決方案也會應運而生。

圍繞郵件安全，安全防護策略需要解決的問題是什么數據能夠同步到BYOD設備上。Websene的解決方案是將DLP數據防護解決方案延伸到智能終端領域，通過關鍵詞、語義分析、指紋控制等技術對內容進行識別，無論員工使用企業網絡還是3G、家庭網絡，只要訪問企業郵件，DLP移動數據防護解決方案都能確保沒有訪問權限的BYOD設備無法訪問或同步這些敏感數據。

“另一種更加嚴格的控制方法是，讓所有訪問企業網絡的設備都必須通過VPN接入Websense云端進行敏感信息過濾。”陳綱介紹稱，Websense移動云安全解決方案是Websense針對BYOD開發的云安全策略，主要針對郵件安全和設備離開網絡之后的安全控制。

通過這種方式，當BYOD設備嘗試上傳或下載企業相關資料時，都必須接受Websense移動云的過濾和監控。無論員工使用的是哪種移動終端，通過哪種網絡訪問企業信息，都能被納入企業的安全防范策略中，與傳統的上網行為管理和終端解決方案相互補充，彌補了后兩者的不足。

今年的RSA大會上，Websense了以數據安全為核心的全新的Websense TRITON移動安全解決方案。它具有四個關鍵特點。第一，提供基于內容感知的數據安全功能以阻止基于iPads、iPhones、Android系統和其他移動設備的數據泄露；第二，提供實時的Web和應用安全及策略管控，并提供相關報告讓用戶能夠清楚地了解移動設備上敏感文件的風險狀態；第三，能阻止用戶下載惡意應用程序并阻攔惡意軟件；最后，它還融入了一個移動設備管理(MDM)程序。

陳綱稱，Websense TRITON移動安全解決方案包括Web安全、郵件安全、數據安全三部分，涵蓋了Websense所有解決方案的核心，能夠讓用戶通過統一的管理平臺，同時對Web、郵件、數據的安全進行管理和控制，而且用戶還可以選擇任意的交付形式，軟件、硬件和云的形式都可以。它支持在跨平臺交付形式下對不同設備進行統一管理。

>>>>讓數據安全地移動

在BYOD的浪潮中，企業員工在個性化需求得到滿足的同時，也應該為企業的網絡安全付出努力，增強相應的安全意識和防范措施。

對這些員工的BYOD設備，傳統的防火墻、反病毒軟件和VPN等工具依然必不可少。同時，檢測移動應用的安全性，及時發現智能終端上的安全陷阱，也是必要的防護策略。

此外，平板電腦、智能手機等終端的一個很重要的問題是容易丟失。當設備遺失時，其同步的郵件信息、企業敏感數據也面臨被泄露的風險。對此，各個安全廠商的移動終端安全解決方案，都將遠程手機定位和數據擦除作為重點功能。

例如，趨勢科技針對個人移動終端推出的個人移動終端安全方案（TMMS2.0），在智能手機丟失之后，在手機開機的狀態下，可以對其進行遠程定位，鎖定設備所在位置，讀取GPS的經緯度，然后通過谷歌地圖或百度地圖進行精確定位。

個人移動終端安全方案（TMMS2.0）的另一個功能是通過管理平臺發指令給手機，進行遠程數據擦除。在開機的狀態下，手機可以通過網絡或短信接收到指令，其中的敏感數據就會被自動擦除。用戶也可以選擇將這些數據同步到趨勢科技提供的云端存儲空間中，這樣用戶就可以將數據同步到另一臺設備中，避免重要數據丟失。而針對員工離職等情況，管理員也可以設置只將跟公司工作相關的信息擦除，保留員工的個人信息。

篇10

怎樣為云計算“罩”上安全的“防護衣”？安全的云計算架構應該包含哪些內容？2012年10月30日，在由國際云安全聯盟（CSA）中國分會主辦，綠盟科技和啟明星辰共同承辦的第三屆云安全聯盟高峰論壇上，來自CSA、云計算提供商、運營商等領域的專家就云計算面臨的威脅和云安全最佳實踐等話題進行了深入探討和交流。

安全思維融入更多“云”要素

Gartner報告稱，到2014年，云計算服務將取代PC電腦。盡管這一預判看起來有些絕對，但這也反映出云計算對全球IT信息系統的影響之深。

用“顛覆”一詞來形容云計算帶來的影響恐不為過。正如CSA中國分會理事、啟明星辰首席戰略官潘柱廷所言，我們已經進入一個新計算、新網絡和新數據的時代。“所謂新計算是指云計算、虛擬化和高性能計算；新數據是指大數據和社會計算數據；新網絡指的是移動互聯網、物聯網、SDN/Openflow?！?潘柱廷認為， 隨著網絡及信息安全保障體系正在形成縱深、多層次的綜合防御體系，云計算模式下，新業務（包括Web 2.0、微博、SNS等）、新計算（物聯網、虛擬化、三網融合等）以及基礎技術（芯片能力、網絡帶寬、無線等）正在帶來新的一些變化。作為載體的互聯網、作為媒體的網站，以及作為訪問者的用戶都將受此影響，而基于這些主體的業務運行和管理也將面對新的挑戰。

從安全的角度看，云計算讓企業的安全問題愈發復雜，IT人員一時間難以應對自如。Gartner副總裁兼安全分析師John Pescatore指出：“企業處理云安全時應當像照顧兒童一樣小心翼翼：不能讓用戶僅僅依靠由云服務供應商提供的安全功能，高度敏感的業務數據需要更細心的呵護?！?/p>

企業為何要小心翼翼？CSA中國分會理事、綠盟科技首席戰略官、CSA中國分會理事趙糧認為，云計算給網絡安全帶來了深刻的影響，具體表現在三個層面：“第一，云計算作為一個新技術必然會帶來新的安全問題，產生新的漏洞和攻擊，網絡安全該如何應對這些新的攻擊；第二，云計算有其特殊的運行形態，包括虛擬化、SaaS、IaaS、PaaS等，網絡安全也必須隨之變革，才能夠將相關安全策略部署在虛擬化環境中；第三，云計算不僅是一項技術，更是一種思想，它給網絡安全帶來豐富、深刻的影響，安全廠商要充分地加以吸收，并且用來變革網絡安全自身。”

以硬件為中心的安全解決方案將越來越難以起效?！盎谟布O備的一次性部署的網絡安全措施必須改變，安全解決方案需要跟上威脅者和威脅方式的變化，安全廠商也要不斷更新知識庫?！?趙糧強調智能驅動的下一代安全架構的重要性，認為它是安全廠商應該走的發展路徑。在這個體系中，數據和基于數據的智能分析成為云安全的核心。

此外，潘柱廷認為，安全環境的變化意味著我們必須改變傳統的安全思維，建立新的安全思路，他提倡用Threat Case思想來考慮云安全問題，“在討論安全案例時，不僅要看到攻擊者的入侵途徑和時間，而且要有來源、目的、環境、對方的漏洞等，對此要有完整的認識”。這是因為“安全是一門高度依賴知識的技術，不管是攻擊者還是防守者，都必須要對對方的結構、人員、技術特點及防御方式有充分的了解” 。

分析模型創新是“利器”

在云計算時代，以智能驅動云安全的發展，已經成為IT業界的共識。EMC公司執行副總裁兼EMC信息安全事業部RSA執行主席亞瑟·科維洛就曾指出，企業必須推動智能的安全模式，開展風險評估不僅是由內而外，還必須由外而內。也就是說，我們必須要對比和平衡風險的薄弱度、風險發生的概率和可能出現的時機，以及可能帶來的后果。但智能和全面的評估并非易事，正如啟明星辰潘柱廷所言，安全中的特征庫必須是可積累、可共享、可升級的。它的建立存在困難，“你獲取這個特征的技術復雜度要遠遠高于使用特征時的技術復雜度”。

大數據分析被認為是解決這一問題的“金鑰匙”。云時代的安全防護必須以智能的數據分析及動態更新為基礎。但是安全廠商經常遇到的問題是：現有數據處理不了，想要的數據卻無從獲取。

“工欲善其事，必先利其器”。趙糧給IT人員和安全從業者的建議是：“必須立即行動，重視數據，建立或完善數據的運營體系；重視攻防建模，基于異常行為、信譽的檢測和防護方法重要性凸顯；不斷優化數據和各種智能工具?！?/p>

安全檢測是大數據分析最主要的應用領域。在啟明星辰，安全檢測從低到高分為簡單規則檢測、單一特征檢測和高端檢測三個層次，其中高端信息安全檢測包含宏觀和微觀兩個方面。“宏觀層面，啟明星辰在宏觀態勢感知的基礎上建立全局預警系統；微觀層面，建立以防范APT攻擊為核心的動態預防體系?！迸酥⒈硎?，無論是宏觀態勢感知，還是動態預防體系，都需要以大數據分析為支撐，建立在其基礎之上。

將安全服務“云化”

安全思維模式的轉變不僅是為了解決問題，更能找到新的商機。云計算服務商上海優刻得信息科技有限公司（Ucloud）CEO季昕華就看到了這一點，他認為網絡虛擬化給安全廠商帶來的新機會包括：“一是SDN的安全隔離；二是安全產品市場快速擴大，中小企業作為云服務商的主要目標用戶群，很難有大量IT支出購買安全產品或者進行安全評估，因此很多服務和產品可以整合到云計算平臺中；三是在軟件定義網絡、安全從產品向服務轉變的情況下，新的機會也將隨之出現，例如將SDN和入侵檢測、WAF、抗DDOS設備、動態蜜罐系統或取證審計系統相結合，未來市場潛力很大?！?/p>

近一年來，將安全作為一種云服務提供給用戶的聲音在業界不絕于耳，其好處不言而喻，將傳統的IT產品和安全服務作為一種云服務來提供，企業則不必購買硬件設施， 只需要按需調用相關服務并按需付費即可。

事實上，國外安全廠商在這方面早有嘗試，一些企業將其安全服務放在亞馬遜云平臺上售賣。在國內，將安全“云化”也給安全企業創造了更多商機，一些安全廠商已經在實踐。近日，東軟集團信息安全事業部營銷中心總經理趙鑫龍就向記者描繪了東軟的安全云戰略，稱未來東軟安全事業部將把自身的安全能力和資源整合起來，放在云平臺上，以整體解決方案的方式提供給用戶。

安全領域歷來以硬件產品銷售為主，企業IT支出的70%也花在硬件購買上。隨著云計算的逐步深入，將安全服務“云化”的市場前景可見一斑。

鏈 接

CSA更加重視亞太市場