云安全防御技术范文

时间:2023-12-14 17:38:38

导语:如何才能写好一篇云安全防御技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

云安全防御技术

篇1

关键词:云计算 网络安全 防御技术

中图分类号:TG519.1 文献标识码:A 文章编号:1007-9416(2014)05-0201-01

1 引言

随着网络技术的飞速发展,Internet已经渗透到生活的各个方面,继移动通信3G、4G之后,云计算也成为网络技术领域的热门话题和市场的热捧目标。云计算(cloud computing),分布式计算技术的一种,其最基本的概念,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。云计算是以公开的标准和服务为基础,以互联网为中心,提供安全、快速、便捷的数据存储和网络计算服务,让互联网这片"云"成为每一个网民的数据中心和计算中心。

2 云计算面临的安全问题

谈到云计算,安全性问题无法回避,实际上这也是目前云计算应用普及过程中所遇到的最大难题。虽然目前云计算服务提供商都在竭力淡化或避免这一话题,但作为云计算的终端用户,这恰恰是他们关注的一大重点。目前,云计算的商业价值被得到证实;而与此同时,这些“云”也开始成为黑客或各种恶意组织攻击的目标。综合起来看,随着云计算的发展和成功,由此带来的云计算安全问题也越来越令人担忧,具体表现在以下几个方面。

2.1 数据存储安全问题

云计算的模式决定了用户的大量数据要存储在云端,这样就能给他们减少IT设备和资源的投资,同时也会带来各种便利。但是越多的数据存于“云”中,对云的依赖性越大,一旦云端数据发生损坏或者丢失,这给用户的造成的损失将是非常巨大的。

2.2 数据传输安全问题

一般情况下,企业IDC保存有大量的企业私密数据,这些数据往往代表了企业的核心竞争力,如企业的客户信息、财务信息、关键业务流程等等。在云计算模式下,企业将数据通过网络传递到云计算服务商进行处理时,面临着几个方面的问题:一是如何确保企业的数据在网络传输过程中严格加密不被窃取;二是如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去;三是在云计算服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证企业在任何时候都可以安全访问到自身的数据

2.3 数据审计安全问题

在云计算环境下,云计算提供商如何在确保不对其他企业的数据计算带来风险和干扰的同时,又提供必要的数据支持,以便协助第三方机构对数据的产生进行安全性和准确性的审计,实现企业的合规性要求;另外,企业对云计算服务商的可持续性发展进行认证的过程中,如何确保云计算服务商既能提供有效的数据,又不损害其他已有客户的利益,使得企业能够选择一家可以长期存在的、有技术实力的云计算服务商进行业务交付,也是安全方面的潜在风险。

3 云计算的网络安全防御技术

3.1 数据加密

加密技术是网络安全中一个非常重要的安全技术,数据加密是利用技术手段把要传输的重要的数据变为密文(加密)进行传送,到达接收端后再用相同或不同的手段对密文进行还原(解密)。加密既针对存储在云服务提供商的服务器上的数据,还针对传送给最终用户的数据。加密技术在云计算中的应用,对数据传输甚至数据存储等安全问题的解决都能起到非常重要的作用。

3.2 安全存储

在实际应用中,网络中数据的存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云计算模式下,数据存储资源处于共享的环境下,即使有数据加密的技术的加入,云计算服务提供商是否能够保证数据之间的有效隔离也是一个非常重要的问题;另外,还需要做好备份措施,以防止出现各种网络和系统故障和宕机时,用户的数据被破坏,造成重大损失。

3.3 安全认证

安全认证可通过单点登录认证、强制用户认证、、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式,其中很多用户是通过结合强制用户认证和单点用户认证的方式来允许用户进入云应用的认证,用户只需登陆一次进入整个web应用,从而可以有效的避免用户在使用自己的服务时将密码泄漏给第三方。

3.4 以集中的安全服务中心应对无边界的安全防护

和传统的安全建设模型强调边界防护不同,存储计算等资源的高度整合,使得用户在申请云计算服务时,只能实现基于逻辑的划分隔离.不存在物理上的安全边界。在这种情况下,已经不可能基于用户或用户类型进行流量的汇聚并部署独立的安全系统。因此,安全服务部署应该从原来的基于各子系统的安全防护,转移到基于整个云计算网络的安全防护。建设集中的安全服务中心,以适应这种逻辑隔离的物理模型。

4 结语

本文主要在分析云计算的特征和面临的安全威胁的基础上,对云计算应用安全进行分析与研究,并从云计算服务用户的角度提出云计算应用网络安全防御策略与手段。随着对网络安全隔离与信息交换技术的深入研究,以及与防火墙、入侵检测系统和病毒检测等网络安全技术的有机结合,提高数据的处理速率并根据实际应用修改完善安全功能,必定能为云计算模式下的网络系统提供更可靠的安全屏障。

参考文献

[1]IBM.虚拟化与云计算小组虚拟化与云计算[M].北京:电子工业出版社,2009.

[2]叶伟等.互联网时代的软件革命-SaaS架构设计[M].北京:电子工业出版社,2009.

[3]谷歌在线文档共享信息凸显云计算安全问题[J].信息系统工程,2009.10.

[3]陈涛.云计算理论与技术研究[J].重庆交通大学学报,2009.8.

篇2

Abstract: Cable is widely used in the modern urban power grid. Without safe operation measure, once failure occurs, there will be huge damage. This article introduces the reasons and characteristics of cable fire, the measures to prevent cable secondary combustion, rescue measures and daily checking measures.

关键词: 电力电缆;安全运行;防火技术

Key words: power cable;safe operation;fire prevention technology

中图分类号:TM247 文献标识码:A 文章编号:1006-4311(2013)33-0046-02

0 引言

现代城市电网中,电缆应用十分广泛。所以一定要保证电网的安全运行,因为一旦发生事故,就会引起严重的火灾和停电事件,对人们的生活和工作造成严重的影响。

1 电缆着火的原因及特点

据粗略统计,2012年距516东赤二线华耐家具环网柜20米处电缆爆炸引起相间绝缘击穿、短路,电弧引燃电缆绝缘和塑料护套,而报警系统没有及时的报警,导致部分线路停电;2013年538皇城线明宇花园电缆中间头爆炸引起附近易燃物品着火,造成了附近居民停电及经济损失。以上的事例说明,电缆的火灾隐患仍然存在,很容易造成严重的火灾事故,并且不容易处理。所以我们一定要提高自身的电缆防火安全意识,分析火灾的原因和特点,认真的做好电缆的防火工作,将其作为一项重要的安全生产工作来抓。

1.1 电力电缆火灾事故的原因 ①把杂物放在电缆隧道上,积很厚的灰在电缆或电缆支架上,有可燃气体或液体泄漏在电缆隧道里等,一旦被引燃就会发生事故。②电缆长期过负荷或和热力管道的距离过近,因为温度太高让绝缘材料老化了,都可能造成火灾事故。③电缆在运行中遭到机械损伤或电缆的防护层在电缆敷设时受到损坏,造成电缆相间与外层间的绝缘击穿。④高位电缆端的绝缘油流失或干枯,热阻增加,绝缘焦化而击穿起火,是由于油浸电缆敷设时高、低位差较大,发生淌油或电缆头渗油所致。⑤电缆中间接头压接不紧及铜镀锌连接管质量不过关而引起的铜铝连接产生腐蚀,增大接触电阻导致绝缘击穿起火;焊接不牢;电缆盒没有密封好;注入电缆中间接头盒的绝缘物质剂量不符合要求,或灌注时盒内存有气孔;⑥电缆头瓷套管破裂及引出线相间距离过小、电缆头表面不清洁干燥等造成火灾事故。

1.2 发生电缆火灾的特点 ①火势凶猛。宣化区配网电缆的时候一般都采用隧道和直埋密集敷设,电缆会处在很复杂的环境中,电缆夹层电缆密布,而且自然抽风也会因为电缆隧道的高差而形成,所以一旦着火,造成很大经济损失和停电事故。②有“二次灾害”。除了电缆着火时放出的有毒气体,对人体造成直接的“一次灾害”外,同时也会产生强烈酸雾,对设备和接线回路造成损伤,形成“二次灾害”。③损失严重。损失严重的原因是“二次灾害”很可能会导致控制回路失灵,让火灾事故更严重。

2 防止电缆着火延燃的措施

2.1 电缆发生火灾应采取下列方法扑救 ①立即停电。首先必须切断电源,仔细观察,认真检查,找出故障点,并快速组织人员救火。②电缆沟中电缆发生燃烧时,一旦发现有明显燃烧可能的电缆,如果是分层排列,应该先切断起火上面的受热电源,然后是并排的,最后是下面的电缆。如果是并排的,应将其电缆和电源切断。③在电缆起火时,采取窒息法灭火,即马上把电缆沟的两侧堵死。④扑救人员在电缆沟救火时,最好穿上绝缘靴,并戴上防毒面具和橡皮手套。⑤及时的采取措施扑灭电缆火灾,此时必须停电。⑥在扑救过程中,不要移动电缆,也不要用手直接接触电缆。

2.2 防止电缆火灾的技术措施 ①敷设电缆时应严格按照标准执行,并且加强对运行电缆的巡视维护,不要让电缆长期的高温过负荷运行。②清理电缆隧道(沟)内应废弃电缆,并定期清扫电缆或电缆支架上的积灰,保持其清洁。③在通风孔处设积水井,并把积水排至地面,让电缆隧道保持干燥通风。④要按标准要求制作电缆头,尽量不在电缆集中的隧道做电缆接头。在多个电缆头并排集中的场合应在电缆头之间加隔板或填充阻燃材料。⑤在长期受高温作用的地方采用防火阻燃电缆及低烟气塑料电缆。⑥必须装设自动报警装置和配备必要的灭火器材。⑦电缆沟内的照明要一直能正常使用,并安装通讯装置。

2.3 合理应用各种防火阻燃手段

2.3.1 设计方面 ①在封堵电缆孔洞时,封堵应严实可靠。带在绕包时,应拉紧密实,并按照材料使用要求缠绕层数或厚度,绕包完毕后,每隔一定距离应绑扎牢固。应施加防火包带或涂料在阻火墙两侧的电缆。②对于火灾高发的场所或者容易造成事故的电缆回路,必须按设计要求的防火阻燃措施施工。③对重要回路的电缆,可采取特别的措施,比如施加防火涂料等等。

2.3.2 施工方面 ①用耐火材料堵塞密封那些穿越墙壁、楼板的电缆洞孔,必要时加置钢板或石棉板封闭。电缆隧道及其分叉道口处应设防火墙及防火门。②不能布置热力管道在那些封闭电缆通道中,不要让易燃气体或液体在管道穿越。在爆炸性气体危险场所敷设电缆,且在不同情况下按照标准要求对电缆进行敷设。电缆在空气中沿输送易燃气体的管道敷设时,应配置在危险程度较低的管道一侧,并应符合易燃气体比空气重时,电缆宜配置在管道上方;反之则在下方。③要在符合规定的环境温度下敷设电缆,穿金属管敷设在可能受到机械损伤和行人容易接近的地方,在穿管前要用柔软材料包裹住的电缆。④应该在温度5℃以上的时候安装电缆接头盒、终端头,并且相对湿度不能超过50%,施工地点也要清洁干燥,选用绝缘剂,封铅后直到完全冷却才能移动电缆。

2.3.3 运行方面 ①不要在电缆沟道内堆放杂物,应该经常的清扫电缆沟道,使其保持清洁干燥。定期的检查并记录电缆的情况,一旦发现异常,要及时的采取措施。②在电缆沟内动火时,附近的门或电缆盖板要打开,配置灭火器和黄沙,设置施工警示牌。作业前切断电源,并用石棉板分隔开其和附近电缆。在沟外进行喷灯的点火、加油和熔融绝缘剂,并且熔融剂被送入工作地点的时候要放在有盖的铁桶里。导电部分一定要和明火保持距离。作业后,清点设备,清除杂物,封堵孔洞,确认安全离开时,把附近的门关上或电缆盖板盖好。③增加一些有效的消防装置和火灾自动报警装置。

3 日常采取的具体措施和检查内容

根据《电力安全工作规程》中关于电缆防火工作的要求,对城区配电电缆进行了详细的检查,发现了沟内渗水严重、没有防火墙门和隔断措施等问题,为了减少电缆运行中的火灾隐患,提出以下的应对措施,针对渗水问题,以堵为主,以排为辅,并在此基础上增设防火门和隔离墙。

3.1 具体措施 ①封堵输排:电缆沟道的墙体地面封堵,电缆辅沟与主沟之间的隔离封堵。电缆穿墙管件和强硬件封堵。完善沟内的排水设施,改造往电缆沟排水的小管道。将市政下水井疏水排放与电缆沟隔离。②完善防火措施,设置防火墙、防火门。③清除废弃电缆及杂物,完善电缆沟照明。

3.2 检查内容 ①对于电缆的各项情况一定要进行定期的检查和记录,一旦发现异常,就采取应对措施。②发现电缆过负荷的情况要及时的采取减负荷措施。③副班长应该每月至少一次带着巡回检查城区配网的电缆隧道等,如果遇到异常情况,要及时的采取有效措施。④电缆的接头应该是巡视和检查的重点。⑤电缆线路要进行定期的清扫维护,各支架也必须可靠牢固。

4 结束语

只有掌握了电缆火灾事故发生的规律、扑救方法、预防措施和防火检查内容等,并且严格遵守《电力电缆运行规程》的规定,才能保证电力电缆的安全运行,让企业提高安全经济效益。

参考文献:

[1]电力电缆线路运行规程,国家电网公司.

篇3

关键词:配网 馈线故障 反事故措施

引言

近年来,随着鹤山市经济迅速发展,工业发展重心逐步由城市转向农村,对农村配网的安全可靠运行要求越来越高,加上家庭电气化普及率(特别是空调)使用率大幅提高高,农村供电量近年来保持每年30%以上的增长。目前,该市农村两网改造的主要投资重点是满足负荷需求,用于配网自动化建设的资金相对缺乏,配网自动隔离故障、短期恢复正常供电的能力还不足。如何利用有限的大修资金实施反事故措施,改造配网的薄弱点,降低配网的故障率,提高供电可靠性,是目前配网运行的一个工作重心。

一、农村10kV配网运行薄弱点分析

目前,鹤山供电局共有10kV线路126回1053km,以架空线路为主,占总线路长度的77.3%。本文根据鹤山市农村配网的实际情况,主要从以下几方面因素分析运行中存在的薄弱点。

(一)天气等人力不可抗拒因素

鹤山市处于珠三角地区,每年的5~10月是雷雨季节,而农村地区绝大部分属于湿地,是雷电活动的高发区。根据该地区以往的运行记录,农电公司总跳闸、接地故障经雷击原因造成的就有130回次,所占比率为61.2%。南部沿海也是台风的高发区,据气象局的不完全数据统计,过去10年间,鹤山每年平均发生3.8次影响范围在100km以内的台风。可见,雷击和台风对中国南部沿海10kV配网的影响非常大,也是配网运行中存在的两个最大薄弱点。

(二)社会环境因素

南部z海地区在经济发展迅猛的同时,存在着很多不利于配网安全运行的因素,具体在交通碰撞、基建工地机械破坏(含开挖)、绿化树木碰触、偷盗电力设施等几个方面。2008年由于以上因素造成农村10kV配网跳闸、接地共82回次,占总数的11.5%,尤其以绿化树木碰触、基建工地破坏以及交通碰撞为甚,几乎每月均有发生,在这些薄弱点方面加大技术管理措施,对降低10kV配网的故障率是大有潜力可挖的。

(三)农村10kV配网的内在因素

南部沿海地区自1998年起开展两网改造工作以来,由于负荷增长迅猛,致使部分10kV馈线(或支线)重载运行,基于安全运行的原因被迫压负荷处理:另一方面,馈线重载也导致一些旧式的载流线夹,如BB夹、JB夹等出现发热发红,甚至烧毁,引起馈线故障。

农村10kV配网中,仍然运行着一部分多年的老型号电力设备,如柱上开关、跌落式熔断器、阀式避雷器、针式绝缘子、高损配变等,部分运行时间已十几年。此外,还存在其他容易忽视的薄弱点,例如配电房的防小动物措施不完善、电缆沟坍塌积水等问题。

(四)运行管理方面的因素

运行管理中影响配网安全的主要因素是巡视不到位、消缺不及时。巡视不到位,主要是巡视人员技能素质不高、责任心不强:消缺不及时,消缺管理流程不清晰、责任考核不落实。这些管理上存在的薄弱点,使一般缺陷往往得不到及时消除,甚至扩大为紧急缺陷,直至发生10kV馈线或设备故障。

二、农村10kV配网的反事故措施

(一)针对天气因素采取的反事故措施

10kV配网实施防雷措施的目的是提高线路的耐雷水平,可考虑从以下几个方面着手。

1、提高绝缘子的耐雷水平,特别是针式绝缘子的耐雷水平。建议淘汰P-15M型及以下等级的针式绝缘子,逐步将传统的P-20M型更换为PSN型的柱式绝缘子。新架设线路推荐使用双瓷横担(加强型S-210)的装置形式,以加大绝缘子的爬距。线路改造时也可以按这个思路实施技改工作。

2、安装线路避雷器,部分特殊线路段加装避雷线。提高绝缘子的绝缘等级还不足以保障线路在遭受雷击后能安全运行,而安装线路避雷器则是一个经济、简单、有效的措施。线路避雷器建议选用非线性、无间隙的金属氧化物避雷器,推荐使用残压为45kV或50kV的避雷器。至于避雷线,一般则在大跨越、高杆塔的情况下才予以考虑。

3、定期检测接地网,确保接地网的接地阻值合格。

4、在架空线路抗击台风方面,加强线路的抗倾覆能力是关键。目前使用的水泥电杆,力学等级在J级及以上,标准荷载在3.5kN以上,可满足强度要求,防台风的工作重点应放在杆塔基础的加固上。对地理条件不允许加装拉线的电杆,宜以电杆中心,半径1.5m内用沙包堆砌围堤,围堤内填充石粉与水泥的混合物(混合比一般为2:1),确保电杆的埋深和培土符合要求。为防止滑坡,沙包外围可适当增打一些松桩加固。为降低风压造成的倾覆力矩,农田等开阔地方,在满足对地安全距离的情况下,在设计时宜选用12m以下的短长度电杆。

(二)针对社会环境因素采取的反事故措施

南部沿海地区大部分线路架设在公路边,经济发展所带来的交通繁忙对线路的危害极大,车辆碰撞杆塔导致线路故障的情况时有发生,尤其在夜间。因此,对路边杆塔设置必要的警示措施是非常必要的。

采取的反事故措施主要有以下几个方面:加大宣传力度,在各种传媒长期、广泛宣传保护电力设施的重要性,诠释破坏电力设施所带来的严重后果以及肇事者应负的责任;有开挖可能的地下线路,适当设置“沿线地下有电力电缆,动土开挖请联系……”之类的警示牌;基建工地增加巡视的次数,发现工地有危及线路安全运行的可能,则发出警告传票,并抄送当地安委会备案。这种做法也适用于经常向线路抛扔杂物的厂区、住宅区。

绿化树木分两类:一类是街道两旁成型的绿化带,另一类是种植场的绿化树木。同时应注意防雷措施要同步实施。

(三)针对10kV配网内在因素采取的反事故措施

对于重载10kv馈线和公用台区,应每月开展负荷监测工作。按照目前珠三角典型10kV馈线结构(出线电缆为YJV22-3X300,主干架空导线为3X LJ-240),除负荷长期稳定的馈线外,对最高负荷电流超过300A的馈线建议采取预警制度,及时制定整改方案转接负荷;对可能接入点负荷的馈线,最高负荷电流虽不超过300A,也要纳入整改方案,落实负荷转接工作。公用变压器最高负荷率超过85%的,亦应采取预警制度转接负荷,必要时可加装低压综合监测仪或多功能电子表进行负荷监测。

对于残旧设备,应选用技术参数高的现行产品,结合全年的停电计划安排轮换工作。根据笔者的运行经验,综合造价因素,柱上开关可选用零气压的VSP5型SF6负荷开关,跌落式熔断器可选用(H)RW11-12型,连接线夹可选用载流能力强的安普线夹和TA线夹,配变可选用低能耗的S11系列,高压配电柜可选用HXGN15型及以上SF6系列,低压开关柜可选用GGD2以上系列。建议从运行时间、检测参数、外观检查等多方面综合确定轮换的残旧设备,并在每年年初就开始制定计划,以便有充分的停电机会执行轮换计划。

配电房的防小动物措施,重点在于封堵电缆沟进出线孔洞、配电柜电缆出入口等老鼠和小动物容易进入的薄弱点,配电房门窗加装金属窗纱(纱孔孔径建议小于10mm),配电房进出门加装0.8m高的防鼠闸。电缆沟或电缆槽的盖板应有“电力电缆”及“高压危险”的警告标志,对临近建筑工地、可能受到挤压塌方的沟井,除了竖立警示牌,向工地负责人发出警告书外,还应加强巡视工作,发现隐患及时消除。

(四)针对运行管理方面因素采取的反事故措施

在运行管理方面,应着重抓好巡视维护及消缺两项工作。巡视维护方面,应针对不同的天气、季节特点,每月度制定巡视计划,落实责任人,确保巡视到位。巡查发现的缺陷或隐患,应设专人进行分析归类,按先急后缓、是否需要停电等的条件制定计划,落实消缺工作。同时,应根据单位实际情况,制定相应的配网管理办法和奖惩规定,充分调动巡检人员的积极性。鉴于目前沿海地区管理工作已普遍微机化,建议编制相应的计算机软件,实现巡视消缺工作流程的闭环管理,以便对缺陷进行刷新记录和汇总分析,同时实现责任考核等功能。

篇4

【关键词】IPRAN IP化 QoS 高可靠性 同步

1 前言

随着移动通信2G向3G技术的发展演进,以语音为主的移动业务朝着语音和数据业务并重的方向发展,移动互联网新型的业务需求和商业模式推动着移动业务和承载网络IP化进程。移动接入网逐步实现IP化,对基站回传(RAN)采用IP网络技术承载,是业界达成共识的一个发展趋势;在向LTE的过渡中完成移动网络IP化进程也成为全球主流移动运营商的共同选择,例如欧洲Vodafone、Telefonica、T-Mobile、日本NTT DoCoMo等运营商。

Do A基站引入FE接口已经在国内得到了部分应用,主要采用MSTP网络实现FE接口的统一接入。但由于自身局限性,基于SDH架构的MSTP技术并不能很好地适应业务全IP化承载的需求,因此已开展移动、视频及宽带等全业务运营的电信运营商逐渐倾向于以新技术实现IPRAN的承载,并进一步扩展形成FMC融合承载的统一解决方案。

目前,主流IPRAN组网技术有MPLS-TP、PBT等PTN技术,也有新型以太网、路由器等技术,新型路由器技术具备同PTN设备类似的电信级OAM、保护机制及同步能力,同时具备三层VPN与三层组播功能,可以更灵活地满足全业务运营环境下的业务承载需求,但缺点是设备的功能增强导致成本增加。

2 IP RAN组网技术分析

目前,BTS上行方向通常采用不同的端口传送移动语音与数据业务,即语音通过E1端口,Do数据业务通过FE端口传送;随着BTS移动语音业务的IP化进程,未来BTS上行方向将通过FE端口统一传送移动语音与数据业务。针对这两种应用场景,IP RAN网络承载可针对语音业务采用端到端的电路仿真方式(PWE3),对于数据业务则采用分段的VPN传送方式,以实现承载业务的可扩展性。

2.1 IP RAN组网方式

IP RAN组网架构与业务需求及地理环境有关,通常分为接入网与骨干网两个层面,其中接入网又分为接入层与汇聚层。电信运营商根据现有网络资源与运营经验,选择的组网设备类型会有所区别,通常来说有三种组网方式(如图1所示)。

(1)方式一:采用端到端的PTN设备进行环型组网,适用于以移动业务为主,但IP网络资源相对较少的运营商使用。

(2)方式二:接入网采用PTN设备接入BTS,而骨干网采用IP网络统一承载,适用于以移动业务为主,且拥有覆盖广泛的IP网络资源的电信运营商。

(3)方式三:采用端到端的新型路由器进行组网,即接入网采用路由器组网,骨干网采用统一的IP网络承载,适用于FMC环境下的电信运营商实现全业务运营。

2.2 IP RAN组网重点

对电信运营商而言,组网重点在于能否满足业务的承载要求,如端到端的业务传送、电信级OAM和保护机制、高质量承载及灵活方便的可运维网络管理能力等。具体包括以下六个方面的内容:

(1)端到端的高可靠性保护机制:若采用端到端PTN组网,则接入网与骨干网均通常采用环型组网1:1保护;若接入网采用PTN,骨干网采用路由器组网,或者采用端到端路由器组网方案,则接入网通常采用环型组网1:1保护,而骨干网采用FRR技术实现可靠性保护。

(2)端到端的高质量承载:主要是满足移动、语音等业务的高性能指标,实现业务的差异化服务保障,实现流分类、流量监管、优先级标识映射与反映射,队列调度等机制。

(3)高效的时间与时钟同步技术:要求端到端的RAN网元及网络设备支持1588V2协议。

(4)灵活方便的可视化网管:要求业务配置开通、故障告警、破环自动发现、性能监控及报报表等功能全面,操作维护方便。

(5)可扩展性:需要考虑满足未来LTE环境下的BTS组网要求,如实现基站灵活归属、基站互连等;并适用于与VoIP、政企客户业务的统一承载。

(6)异厂家设备互通:PTN或者路由器设备是否能够实现与思科、上海贝尔、中兴、华为等众多厂家SR设备的对接互通,满足现网应用部署。

在全业务运营和IP化融合承载趋势下,方式一端到端的PTN组网方案由于技术局限性导致承载的业务比较单一,基本上以移动业务为主,不适合多业务综合承载。有全业务运营需求的电信运营商,往往更倾向于采用方式二与方式三:骨干网由优化的IP网络设备组建,接入网则采用高质量、高可靠及具备电信级OAM能力的设备构成,实现移动语音与数据、固网NGN语音、政企VPN等高品质业务的统一接入及可靠承载。

3 全业务运营环境下的IP RAN组网部署方案

在全业务运营环境中,电信运营商往往以IP RAN作为切入点来构建一个融合承载移动、视频及宽带等综合业务的承载网络架构,因此,方式二与方式三将成为电信运营商的优先选择,如图2所示。

3.1 组网方案配置部署

目前,BTS上行方向通常是通过不同的端口传送移动语音与数据业务,Do数据业务通过FE端口传送,语音通过E1端口。在这种应用场景下,IP RAN承载方式也不相同,对于FE业务采用分段传送方式,对于E1业务采用端到端的电路仿真方式(PWE3)。

从组网扩展性出发,FE业务采用分段的承载模式,如图3所示,在接入网采用L2VPN传送,接入网出口设备作为BTS的星型汇聚节点;骨干网采用L3VPN传送,接入网与骨干网之间无关联。BTS FE业务接入到接入网后,通过L2VPN到达并终结于接入网出口节点设备,在剥离L2VPN标签后,变为原始FE类型数据接入SR再进入L3VPN,并终结于BSC前置SR设备。

对于E1语音业务,接入网入口节点与BSC侧RT/PTN之间建立端到端的PWE3电路仿真,接入网L2VPN嵌套在骨干网L2VPN之内,称为Overlay组网方式。接入网入口节点与BSC侧路由器/PTN设备之间建立端到端的PWE3电路仿真,接入网L2VPN嵌套在骨干网L2VPN之内,称为Overlay组网方式。

在采用方式二的情况下,接入网的PTN设备主要采用静态配置L2VPN传送通道;在采用方式三的情况下,接入网的路由器主要通过控制层面路由协议ISIS建立L2VPN传送通道。

3.2 端到端的可靠性保护

在FE业务承载模式下,与组网方案相关,端到端的可靠性保护也是采用分段模式;网络中可能出现的节点或链路故障如图5的F1~F9所示。

(1)对于故障点F1~F2,方式二和方式三均在接入网部署1:1 LSP保护和1:1 PW保护机制,对于方式二,PTN设备通过TMP/TMC OAM检测LSP与PW连接的有效性;而对于方式三的路由器,则通常通过硬件BFD检测LSP和PW连接的有效性,FFD或BFD报文周期配置在10ms,以保证接入网实现50ms的保护倒换能力。

(2)对于故障点F3~F5,在接入网与骨干网边界,结合接入网的PW保护倒换技术,SR采用VRRP实现接入网二层设备与骨干网三层设备SR之间的链路与节点故障保护倒换。为提高VRRP保护性能,但又不改变现有网络组网结构,通过骨干网建立SR之间通信的VPLS隧道承载VRPP信令和倒换流量,利用骨干网链路与路由冗余提高VRRP保护健壮性,实现接入网与SR之间的保护机制的低耦合和跨厂家节点设备互通,增强网络灵活性。

(3)对于故障点F6~F7,骨干网建立L3VPN隧道承载移动数据业务,并启用TE FRR实现快速倒换保护,以实现

(4)对于故障点F8~F9,BSC通过主备链路接入BSC侧PTN/RT,BSC侧PTN/RT启用VRRP保护,VRRP信令通过BSC侧PTN/RT之间二层链路传送。

对于E1业务承载方式中的可靠性保护,由于BTS侧PTN/路由器与BSC侧PTN/路由器建立端到端的PWE3,整个保护采用端到端的1:1 LSP保护和1:1 PW保护机制即可满足50ms保护倒换延迟,也就是满足故障点F1~F4的倒换保护能力。

3.3 端到端的高质量承载

整个IP RAN网络全程统一定义移动、视频及宽带各种业务等级及优先级标识,各种业务根据其业务等级实现相应的标识映射与队列调度。入口设备完成802.1P/EXP值的映射与队列调度,中间设备根据EXP值完成业务的队列调度,为语音、视频等高品质业务优先转发保障,从而实现差异化的网络承载。

3.4 时间与时钟同步技术

在BSC目前不支持1588V2的时候,在BSC侧PTN/路由器外挂GPS时钟,并作为时钟源,配置为OC模式;通过骨干网与接入网全网设备部署1588V2协议,采用BC方式实现BTS的时钟与时间同步,整个网络方案设计在时钟同步方面要求满足G.823模板;在时间同步方面要求满足

4 移动语音与数据业务网络加载应用

按照方式二与方式三进行现网模拟实验测试,并加载移动语音与数据业务进行业务测试,验证两种方式的可行性与可运营能力。业务承载能力验证主要包括:IPRAN改造站点每扇区定点1X主被叫测试;DO下行FTP服务器定点下载数据测试;IPRAN改造站点与周围站点的1X主被叫测试验证切换功能。

下面列出了相关KPI指标示意图:

图7为1X忙时关键指标(掉话率、软切换成功率、呼叫建立成功率等)对比(标红线为基站割接到IPRAN承载后日期)。

图8为DO忙时关键指标(掉话率、连接成功率、HRPD会话建立成功率等)对比(标红线为基站割接到IPRAN承载后日期)

通过关键KPI对比可以看出,割接前后BTS业务指标稳定,IP RAN承载组网方式二与方式三均满足BTS业务承载要求。

5 结束语

全业务经营的电信运营商面临移动、视频及宽带业务快速发展的机遇,也面临着网络建设和投资的压力。电信运营商应利用自身优势,依托电信现有广泛覆盖、丰富的网络资源,以IP RAN承载为切入点,构建高可靠、高质量、差异化的全业务综合承载网络,对实现电信业务规模化运营、促进电信业务持续发展具有重要意义。

参考文献

[1] 徐荣,任磊. 分组传送技术与测试[ M]. 北京:人民邮电出版社,2009.

[2] 许锐,梅琼. 3G无线接入网接口演进与设计[M]. 北京:人民邮电出版社,2008.

[3] 龚倩,徐荣. 分组传送网[M]. 北京:人民邮电出版社,2009.

[4] 邓广安,张优训. PTN在3G接入传输中的组网模式探讨[J]. 广东通信技术,2009(3):60-64.

[5] 戴利彬. 打造移动IPRAN传送网[J]. 电信网技术,2008(4):18-20.

【作者简介】

易昀:中山大学通信与信息系统专业硕士研究生,现任职于于中国电信股份有限公司广州研究院,主要研究方向为电信承载与接入网络等。

杨广铭:哈尔滨工程大学计算机科学与通信硕士研究生,现任职于中国电信股份有限公司广州研究院,主要研究方向为通信网规划、移动承载网总体设计等。

黄卓君:广州中山大学通信与信息系统专业硕士研究生,现任职于中国电信股份有限公司广州研究院,主要研究方向为电信承载与接入网络等。

篇5

奇虎360关注企业级安全,面对日益严峻的安全挑战,360希望为企业提供安全可靠的防护平台。360私有云安全就是奇虎360针对高端企业需求推出的一套企业终端安全解决方案,旨在打造高度可控的企业安全网络。如果把360云安全体系移植到企业内网,就可以让企业用户享受云安全技术带来的高效及便利。360私有云安全系统是国内率先推出基于定制化黑白名单的企业云安全解决方案,依托超过4亿终端用户的云安全体系,为企业打造高度可控云安全解决方案。面对企业复杂的网络环境,360私有云安全提供内网云安全服务,能极大限度保障业务系统和数据安全,有效降低资源占用和运营成本。

定制防护

通过360私有云安全黑白库平台,以及对应的四个安全区策略(核心区、办公区、客户区、非信任区),从高到低为企业用户定制不同的需求,抵制外来以及内部的恶意软件攻击。强大的360私有云安全库以及基于非白即黑的主动防御技术,企业用户可以在相应的安全区下放心地使用机器。当企业终端用户发生未知文件操作时,控制台可以及时发现并记录用户的操作行为,在控制台进行记录,方便网络管理员查看。此外,360私有云安全还支持企业域用户的需求,可实现不同区域终端集中管理。

为了更加有效地部署和保障用户文件,360私有云安全还设置了独有的信任机机制,当某台机器被设定为信任机之后,此机器的软件会自动加入到360私有云安全白库中,局域网的其他终端会通过连接控制台的数据更新白名单,这样对于用户来说在部署或者添加、删除应用程序就更加方便快捷。另外,360私有云安全还支持企业管理员自己添加黑白库,管理员可通过控制台自定义黑白库,对全网终端下发统一策略,让恶意软件及非正常操作无法运行。

360私有云安全客户端通过访问控制台页面进行安装,快速方便。客户端系统支持云引擎和QVM启发式引擎双查杀,更好地保护企业信息数据安全。同时根据360私有云安全独有的策略区规则,客户端会执行相应的策略。白库加黑库的双重策略,有效防护企业用户的系统文件。通过客户端快速上报拦截和查杀信息,服务器控制台生成审计记录,为企业管理提供了有据可查的功能。

360私有云安全基于B/S架构,支持多级部署,采用集中管理的工作模式。它由三部分组成:服务端是内网云安全系统的数据处理和存储中心,为全网客户端提供云安全服务;客户端安装在终端上,对计算机实现保护,上报终端安全状况,下载安全策略,及时处理病毒,和服务端通信并接受统一管理和升级;控制台采用人机交互界面,通过浏览器登录和管理,管理员可轻松实现全网终端部署、文件审计、策略下发和报表查看等功能。

七大优势

在为企业提供安全防护时,360私有云安全解决方案有着诸多优势。

第一是私有云查杀。360私有云安全把文件特征库置于企业内网服务器端,无需连外网,终端可以通过云查杀引擎直接调用内网服务器端特征库执行查杀,其运算速度和数据量都远远超过传统杀软的本地查杀引擎,实现全网协同作战、集体防御,并允许企业根据业务需求自由设定私有文件的黑白名单,避免内网出现误杀、漏杀。

第二是统一管理企业安全。360私有云安全,通过一个简单高效的管理控制中心统一管理终端的安全,解决企业对安全统一管理的需求。360私有云安全提供全网安全监控、病毒查杀、漏洞修复、策略分发、统一升级等。通过基于B/S构架的管理控制台,管理员可以随时随地进行统一的企业安全管理。

第三是智能漏洞修复。及时修复漏洞可以有效保护用户电脑系统和网络应用的安全。360私有云安全提供全网补丁智能修复功能,智能分配服务器的流量带宽,避免因为大量补丁更新导致网络阻塞,影响正常企业办公。独有的系统蓝屏修复功能,可帮助您在安装微软补丁并发生蓝屏或无法启动等问题后快速修复您的系统。

第四是全网文件审计。360私有云独创的全网文件安全审计功能,全网的可执行文件信息都汇总到服务器端,所有文件都带有详细信息和云鉴定结果,管理员可以按公司名、产品名、数字签名等方式分类审核文件,便于及时发现和定位未知威胁。

第五是Office宏病毒引擎。360私有云客户端可全面清除寄生在Excel、Word等文档中的Office宏病毒,还原珍贵文档。用户可开启360杀毒的“Office宏病毒免疫”,就如同为系统打上疫苗一样,使办公文档免除感染病毒之忧。

第六是断网保护。360私有云安全支持查杀引擎智能切换,在正常通信时,云引擎将全力保障您的电脑安全,当网络出现故障时,将自动启用国际领先的常规反病毒引擎和360 QVM II人工智能引擎,让电脑依然坚不可摧。

第七是内网带宽保护。用户可自定义服务器的下载带宽、连接数和单台下载速度等,一旦超出预设值,网络将自动启用分流或延缓机制,以确保用户网络办公环境不受影响。

应用案例

目前,360私有云安全系统已经在政府机关和诸多行业企业得到了应用。

例如国内某大型企业就提出了具体的企业内部安全需求:要在企业内部建立私有云安全平台,实现文件查杀企业内部可控;方便部署及维护,可以让某个服务器作为可信任的机器,在此机器部署的软件都为内部可执行文件;可以自行设置黑白文件库,防御外网未知文件的功能;对内网的安全操作行为进行有效监控,实现每个操作在服务器端有记录,可供相关人员审核;不同区域的用户执行不同的策略,核心区用户的监管相对严谨,客户区的监管可以相对宽松些。

篇6

中型企业在安全管理的规范进程中,正经历着标准化推进过程中不能量化的煎熬。目前,中国的用户变得比以往更加关注信息安全产品的ROI(投资回报)和TCO(总拥有成本)的变化。这其中的重要原因是因为实施安全管理透明化的企业在数量和种类上都在增加,实施成本管理的企业已不再局限于金融、电信等传统豪门,同时也包含了资金相对不充裕的中型企业。

快速发展的中型企业也会遭遇分支机构的安全管理难题。快速增长型企业分散在不同地理位置的分支机构,保护措施相对薄弱,更加容易处在病毒和黑客攻击的威胁之下,成为不法分子攻击企业核心网络的跳板。

云安全技术让威胁变透明

依托20多年来在安全领域所积累的丰富经验和全球威胁发现响应体系,趋势科技在IWSA 1500中,集成了多种先进安全引擎和业界领先的云安全技术,在过滤、分类各种网页并自动阻挡恶意URL的同时,能够实时地扫描和防护各种上下行的威胁。此外,它采用最新的引擎和中国区病毒码,能够更有效地防范国内流行的各种威胁。IWSA作为针对HTTP/FTP应用进行安全防护和策略控制的综合性网关解决方案,能够在一个硬件设备中对HTTP/FTP数据流实现如下七大安全控制:防病毒、防间谍软件、防网络钓鱼、防Java Applet & ActiveX恶意插件、流量配额管理、恶意URL阻止、URL分类过滤功能。

在网络效能方面,IWSA依靠趋势科技独有云安全技术,遥遥领先其他UTM产品。趋势科技云安全技术是通过多种方式收集数据信息并动态分析恶意威胁,生成动态的URL、邮件IP、文件信誉库,并通过行为关联分析技术,建立各种信誉库之间的关联。当用户访问目标信息时,云安全技术就可以在几毫秒内与信誉库中的URL地址、邮件IP地址等进行比对,获得安全访问建议,从源头阻止对不良URL、邮件和文件的访问,降低网络风险的侵入。

目前,云安全技术每天接受的用户查询数量已达到50亿次,而每日评估处理的URL、邮件IP地址等更达到1200G。与此同时,趋势科技将70%的威胁特征码放在云端,从而为IWSA等威胁防御设备减少70%的核心内存占用,大大释放了系统资源,这些都是传统的病毒代码比对技术所无法比拟的。中石油长庆油田公司第一输油处的常主任表示:“在采购Web安全网关之前,我们测试了多款产品,但发现这些产品依然在使用防毒中的老路数,比如从网关上下载最新的特征码、URL地址库,然后对流量进行过滤比对等。由于不采用死代码的方式, IWSA对网络的影响我们根本感觉不到,安全效果也很出色。”

篇7

关键词:云计算技术;云安全

美国国家标准与技术研究院认为,云计算技术是一种资源利用模式,它能以简便的途径和以按需的方式通过网络访问可配置的计算资源(网络、服务器、存储、应用、服务等),这些资源可快速部署,并能以最小的管理代价或只需服务提供商开展少量的工作就可实现资源。纵观云计算技术的概念和实际应用,可以看出云计算技术有两个特点。一是互联网的基础服务资源如服务器的硬件,软件,数据和应用服务开始于集中和统一;二是互联网用户不需再重复消耗大量资源,建立独立的软硬件设施和维护人员队伍,只需通过互联网接受云计算技术提供商的服务,就可以实现自己需要的功能。云计算技术的研究应用,不仅推动了经济的飞速发展,而且也影响着人类的生活方式。思科预测,到2020年,三分之一的数据都将存储在云上或通过云进行存储。目前,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,被写入了政府工作报告。因此,加强云计算技术的研究和应用,特别是与现代制造业相结合,对我国经济的发展和人民生活水平的提高A2.重大。在加强云计算技术应用推广的同时,做好云安全(Cloud Security)防护则显得尤为重要。

1 云安全概念

最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。云安全技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是继云计算技术、云存储之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,已经在反病毒软件中取得了广泛地应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全是我国企业创造的概念,在国际云计算技术领域独树一帜。“云安全”的概念在早期曾经引起过不小争议,已经被普遍接受。值得一提的是,中国网络安全企业在“云安全”的技术应用上走到了世界前列,金山毒霸、瑞星等公司都相继推出了云安全产品。

2 云计算技术存在的安全问题

随着云计算技术的不断发展,安全性问题将成为企业高端、金融机构和政府IT部门的核心和关键性问题,也直接关系到云计算技术产业能否持续健康发展。云计算技术涉及三个层面的安全问题。

2.1 云计算用户的数据和应用安全。

在用户数据方面,云用户和提供商需要避免数据丢失和被窃。如今,个人和企业数据加密都是强烈推荐的,甚至有些情况下是世界范围法律法规强制要求的。云用户希望他们的提供商为其加密数据,以确保无论数据物理上存储在哪里都受到保护。同样的,云提供商也需要保护其用户的敏感数据。云计算技术中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。同时,数据的完整性、可用性以及数据的可恢复性,都需要云计算技术去考虑。在应用安全方面,由于云环境的灵活性、开放性、以及公众可用性这些特性,在SaaS、PaaS、IaaS的所有层面,运行的应用程序安全设计也至关重要。同时,应用层的安全认证、审计以及数据的访问权限控制也需要考虑。

2.2 云计算服务平台自身的安全。

包括了云计算平台的硬件基础设施安全、共享技术安全和web安全等问题。在硬件基础设施方面,如网络、主机/存储等核心IT设备,网络层面的设备需要考虑包括网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等安全问题,主机层面的设备需要考虑包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等安全问题。在共享技术方面,如在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。在web安全方面,云计算模式中,Web应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种Web攻击手段,则直接影响到云计算的顺利发展。

2.3 云计算资源的滥用。

主要包括2个方面,一是使用外挂抢占免费试用主机,甚至恶意欠费,因为云计算的许多业务属于后付费业务,恶意用户可能使用虚假信息注册,不停的更换信息使用资源,导致云服务提供商产生资损。另一方面,许多攻击者也会租用云服务器,进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动。

这些安全问题实际上在传统的信息系统和互联网服务中也存在,只不过云计算技术业务高弹性、大规模、分布化的特性使这些安全问题变得更加突出。同时云计算技术的资源访问透明和加密传输通道等特性给信息监管带来了挑战,使得对信息和传输途径的定位跟踪变得异常困难。安全是云计算技术面临的首要问题。Google等云计算服务提供商造成的数据丢失和泄漏事件时有发生,这表明云计算的安全性和可靠性仍有待提高。根据IDC的调查结果,将近75%的受访企业认为安全是云计算发展路途上的最大挑战。相当数量的个人用户对云计算服务尚未建立充分的信任感,不敢把个人资料上传到“云”中,而观念上的转变和行为习惯的改变则非一日之功。安全已经成为云计算业务拓展的主要困扰。

3 云安全防护措施

针对云计算技术中暴露出的一些安全问题,必须强化云安全防护措施,这样才能让用户满意。云安全防护措施主要有以下几项。

3.1 强化数据安全和应用安全。

数据安全技术包括诸如数据隔离、数据加密解密、身份认证和权限管理,保障用户信息的可用性、保密性和完整性。密码学界正在努力研究谓词加密等新方法,避免在云计算中处理数据时对数据进行解密,近期公布的完全同态加密方法所实现的加密数据处理功能,都大大地推进了云计算的数据安全。基于云计算的应用软件,需要经过类似于DMZ区部署的应用程序那样的严格设计。这包括深入的前期分析,涵盖传统的如何管理信息的机密性、完整性、以及可用性等方面。在安全认证方面,可通过单点登录认证、强制用户认证、、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式,有效防止云资源滥用问题。在权限控制方面,服务提供商和用户提供不同的权限,对数据的安全提供保证。用户应该拥有完全的控制权限,对服务提供商限制权限。

3.2 强化基础平台的软硬件安全。

对于云计算平台的网络和主机设备,加强安全防护,可以通过网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等强化网络安全,通过主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等强化主机安全,控制防止非法用户使用云计算资源;对于合法用户的恶意使用,则可以通过审计日志来实现事后的追查。为了达到云计算终端到终端的安全,用户保持浏览器的良好安全状态是很必要的,这就需要对浏览器安装补丁和升级以降低浏览器漏洞的威胁。此外,针对目前几种典型的云计算模式,部分厂商采取了细化应用安全防护的手段,针对不同的应用,提供专业级的网关安全产品。在数据共享方面,可以根据用户的需求,建立所需的云服务,即SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础设施即服务)三种形式。

3.3 强化法律管理措施。

云计算的稳定运行和健康发展,需要一定的法律法规和规章制度进行完善。SAS70标准是由美国公共会计审计师协会制定的一套审计标准,主要用于衡量处理关键数据的基准,SAS70作为第三方验证来确保安全、政策执行和验证等问题,能够确保云供应商提供对客户数据的保护。萨班斯法案的颁布,也为数据的保护提供法律的依据,属于SarbanesOxley法案的企业在使用云计算服务的时候就必须确保他们的供应商符合SOX(萨班斯法案)。这些法案和制度的建立为云服务提供商更好地服务及避免数据丢失对客户的损害提供了法律保障,将更有利于云计算提供商开发更优秀的构架。

篇8

关键词:云计算;安全;云安全

中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01

Cloud Computing and Security Issues Analysis

Lei Jiangang1,Qian Haijun2,Yang Ping3

(1.Beijing Institute of Technology,Zhuhai,Zhuhai 519088,China;2.Zhuhai Radio and TV University,Zhuhai 519000,China;3.Institute of Mathematics and Information Science, Guangdong Shaoguan University,Shaoguan 512005,China)

Abstract:The emergence of cloud computing once again reflects the deep changes in the IT field,but it also represents the IT intensive,professional development work in the form of change,the traditional security technologies can not meet the needs of today's network security,cloud security technology into professional development needs of the present era.This paper will introduce many aspects of cloud computing and security technologies appropriate to analyze the problems and propose appropriate security policies.

Keywords:Cloud computing;Security;Cloud security

一、云计算的概述

(一)云计算的概念。云计算是基于互联网的一种计算方式,通过云计算可以实现所有用户通过互联网进而使用共享的软硬件。其中的云是对于网络、互联网的一种比喻说法。云计算的核心思想是将大量通过互联网连接的计算机软硬件资源通过统一的管理以及调度,按使用者的需求进行分配服务。(二)云计算分类及服务层次。云计算按其服务对象的不同,主要分为公有云和私有云;公有云是指面向广域范围内的服务对象的云计算服务,其主要具有社会性和公益性的特点;私有云主要是指社会单位由于自身需要而建设的自由云计算服务,具有行业性的特点。云计算的表现形式具备多样化;云计算按其服务层次不同可分为基础设施服务(IaaS)、平台服务(PaaS)和软件服务(SaaS),云计算服务都可以通过浏览器进而访问在线的商业应用、软件以及数据存储中心。基础设施服务(IaaS)是以提供完善的计算机基础设施的一种云计算应用模式。其在运作过程之中,用户可以依据其应用能力进行硬件租用,在一定意义上降低了用户在硬件上的开支。平台服务(PaaS)是以提供软件研发平台的一种云计算应用模式。在一定意义上PaaS是SaaS的另一种模式的延续,同时PaaS的出现以及发展又相应更大程度的促进了SaaS的发展。以Google App Engine平台为例,它是一集python应用服务器群、Big Table数据库及GFS而共同组成的一个PaaS平台,开发者用户可以在Google App Engine享受到相应的主机服务以及可自动升级的在线应用服务。用户在Google的基础架构上所编写的应用程序可以直接为互联网用户提供服务,同样的由Google提供相应的程序所需的运行平台资源。

软件服务(SaaS)是基于互联网进而提供软件服务的一种云计算应用模式。此类服务模式由服务提供商进行软件维护、管理以及软件运行所需的硬件设施,只要具备能够接入互联网的终端,用户便随时随地的都可以使用软件,不再像传统模式一样在软硬件以及维护人员上面花费大量的费用,此时的用户只需要支付一定的租赁服务费用,便可以以享用相应的软硬件以及维护服务。

二、云计算安全隐患

随着云计算的进一步深入,云计算得到了社会各界的广泛认可以及运用;孰不知,看似安全的云计算服务,其更容易成为黑客所攻击的重点目标,同时由于其系统规模较为巨大且开放、复杂,其安全隐患相比之前有着更为严峻的考验。以下本文将分别从服务提供商和用户的角度进行说明云计算服务所存在安全问题:首先,对于云服务,用户根本无法真正了解到其内部,服务提供商所向用户承诺的各种层次的安全方案,用户不能通过有效手段得到验证。用户无法了解的到其所用的云服务是否真正具备所有的云安全特性。其次,用户在云计算服务时应当权衡下云计算服务商所提供的安全性与自己的数据所要求的安全性是否一致。在使用云计算服务过程中,用户一定要将最高安全性主动的掌握在自己手中,最大限度保障数据的安全性。

三、云计算服务安全隐患解决策略

云技术服务安全隐患主要涉及用户以及云计算服务提供商,因此在对隐患解决时,也应当进行双方面权衡解决。以云计算服务提供商为主体:首先,国家一定要加大对其规范以及监管力度,通过相关权威部门进行强制要求,并定期对其进行规范、安全性检查。云计算的各个层面也应当由具体化的安全标准进行衡量。其次,云计算服务提供商应当采取分权分级管理模式。此模式可以有效防止云计算服务平台中供应商“偷窥”用户数据及程序的行为。一方面对于内部员工进行访问、使用权限分级,一方面对用户数据安全等级分级。最大限度保障用户数据安全性。再次,云计算服务商应当进行跨区域数据复制。如果云计算服务提供商的某区域数据中心出现故障,用户仍旧可以进行数据访问,用户对此毫不知情;这样做能够提升用户对于云计算服务提供商的信赖度。最后,云计算服务提供商应当在开发一种以Web信誉服务、电子邮件信誉服务、文件信誉服务为基础的云安全架构,并将病毒特征码文件保存到云端数据库中,对于用户的威胁在到达用户之前被有效的拦截,大大降低用户数据安全风险。

以云计算服务用户为主体:首先在选择上,用户应当选择规模较大、商业信誉较好的云计算服务提供商。其次,用户在进行数据存储过程中,最好不要将高机密数据存储于云端,如要存储,则可先对数据进行加密,保证在云端中存储的是密文形式的数据。用户应当经常对其数据进行备份,以免服务器遭攻击导致数据丢失。再次,如果数据属于高度机密性的,用户则可建立“私有云”。私有云是居于用户防火墙之内的一种更为安全稳定的云计算环境,用户还拥有云计算环境的自,能够最大限度的控制并保障数据的安全性。最后,用户可在客户端安装安全防御软件,对网络中软件进行有效监控,如有异常安全防御软件则在第一时间对用户进行提醒,同时并将此类信息发至安全防御软件的服务器进行自动分析和处理,然后将解决方案回馈至客户端。安全防御软件的安装在一定程度上避免了用户的一些风险操作,提高了其云端软件以及数据的安全性。

参考文献:

[1]刘鹏.云计算[M].北京:电子工业出版社,2010,66-67

篇9

关键词: 云安全; 身份认证; 访问控制; 数据存储安全; 入侵检测

中图分类号: TN911?34 文献标识码: A 文章编号: 1004?373X(2014)02?0088?03

0 引 言

云计算是一种以互联网为基础的新兴计算机应用技术,它融合了分布式计算、效用计算、并行计算、网格计算、网络存储、虚拟化等传统计算机和网络技术,形成了一整套新的标准和模式,“云计算”概念也迅速运用到生产环境中,各种“云计算”的应服务范围正日渐扩大,影响力也无可估量。通俗的讲,云计算就是让你把所有数据处理任务都交给网络来进行,由企业级数据中心负责处理客户电脑上的数据任务,这样就可以通过一个数据中心向使用多种不同设备的用户提供数据服务,从而为个人用户节省硬件资源[1]。本文介绍的云平台安全措施主要是面向VMware系列云计算平台的。

1 云安全简介

当前,典型的企业私有云计算平台拓扑结构如图1所示。

云计算方兴未艾,针对云计算平台的安全性研究也在不断进行,尽管云计算存在安全问题,但它仍然给信息安全带来了机遇。在云计算方式下,数据是集中存储的,这样至少给数据安全带来了两个好处:

(1) 降低了数据被盗、被破坏和外泄的可能。这也是云计算服务商讨论最多的一个优点。只要用户能够接入Internet,就能根据需要随时进行访问,根本就用不着自己随身携带,也用不着自己去维护或维修。

(2) 能够更容易地对数据进行安全监测。数据集中存储在一个或若干个数据中心,数据中心的管理者可以对数据进行统一管理,负责资源的分配、负载的均衡、软件的部署、安全的控制,并能更可靠地进行数据安全的实时监测以及数据的及时备份和恢复。

虽然云计算本身为安全做出了贡献,但是由于云计算的复杂性、用户的动态性[2]等特点,安全问题仍是云计算发展所面临的巨大挑战,如何确保云计算环境不同主体之间相互鉴别、信任和各个主体问通信机密性和完整性,计算的可用性和机密性[3],使云计算环境可以适用不

同性质的安全要求,都是急需解决的问题。

2 基于企业云平台的云安全研究

随着企业信息化的发展,生产和办公场所对于移动办公有着迫切的需求,例如移动文件浏览和批阅等一些现实需求。同时企业业务发展需要依托先进的信息化平台来进行有力支撑,高性能计算集群、三维可视化图形工作站、海量的数据存储设备以及功能各异的专业应用软件可以为更加精准、更加高效的综合决策提供坚实的技术保障,上述的企业需求需要一个全新的服务平台进行支持,云计算就是这样一个全新的平台,它使得服务的交付模式向云端转移,所有用户都可以获得低成本、高性能、快速配置和海量云计算服务支持。然而,安全问题始终是云平台正常投入使用所面临的最大问题和隐患,服务安全、数据安全、个人隐私等安全问题都要求必须根据企业实际业务,建立一套完整的云平台安全保障体系,并基于经济因素的考虑要尽量将企业原有安全基础设施与云平台进行很好的融合,同时对云平台性能与安全这对矛盾体进行分析研究,找到最佳平衡点,使得云平台更加安全可靠[4]。图2显示了一个完整的云安全体系架构,覆盖了物理层、链路层、网络层、传输层及应用层,采取了尽可能多的安全措施来保障企业私有云平台的安全运行,但是如何发挥各个安全手段的作用,避免相互之间的矛盾;如何在保障安全的条件下,尽可能减少系统用于安全监控的开销是需要着重解决的问题。本文介绍的企业主要采用的安全措施有ukey认证、访问控制、数据加密和入侵检测等手段。

2.1 ukey统一身份认证安全措施

面对日益复杂的网络环境,普通的网络接入认证已经不能满足安全需要,难以确定用户身份,保证数据的隐私性,而ukey是用来进行一些特殊业务的准入认证[5]。利用ukey认证作为云平台的安全接入认证不仅能够提高云平台的安全性,也能够使ukey发挥最大效能,充分利用ukey高可靠性的特点实现对云计算资源的保护,防止无授权用户的非法操作[6]。SSL VPN[7]是基于SSL协议采用虚拟专用网的方式为远程用户提供的一种安全通信服务,采用ukey认证与SSL VPN技术相结合,能够大幅度提高云平台的安全。

2.2 云平台的安全管理、控制、审计等安全管理问题的研究和解决

云安全管理平台搭建在云计算环境基础框架上,主要通过Vmware软件所具有的的功能配合其他一些安全管理策略统一进行管理控制。

2.2.1 访问控制策略

云安全管理平台根据资源的不同分别定义不同的访问策略,对资源进行服务控制,企业中用户数据的级别和敏感程度也有所不同,重要和敏感数据需要更深层的保护,因此需要针对这些数据和文件专门制定访问控制策略,通过ukey来进行身份识别,根据不同的身份及所属类别来限制用户的访问权限和所能使用的计算机资源和网络资源,保证合法用户正常访问,并防止非法访问。

2.2.2 数据存储安全策略

企业数据始终受到着各种各样的威胁,存储服务本身也是不可信任的,因此数据加密成了解决问题的首选。目前基于如DES等的对称加密算法因其加解密速度较快被广泛应用,非对称加密体系如RSA算法则具备更高的强度,因此采用动态生成DES密钥并结合RSA公钥加密的方法可以充分发挥两者的优点,找到性能和强度的平衡点[8]。

处理开始前,云端加密程序从公钥库获取接收数据的用户对应的RSA公钥。加密开始时,由一个DES密钥生成器随机生成一个DES密钥,并依照算法选取数值N,从源数据读取N字节并由该随机DES密钥加密为长度为M字节的密文。与此同时,将该DES密钥由接收端的RSA公钥加密为一段密文,同N字节源数据加密后的密文,并附上该两者的长度,一同作为一个数据包保存于云端,如图3所示。客户端继续工作,重新生成随机DES密钥和随机数N,重复上述过程,发送第二个直至最后一个数据包,完成整个加密工作。

解密过程刚开始是数据接收端读入前两个32 b,通过RSA解密,分别取得加密的DES密钥长度(设为L1)和加密的数据长度(L2),顺次读取数据包中其后的L1和L2字节数据,用接收端的RSA私钥将前者翻译成明文,得到一个DES密钥,而后者则由该DES密钥解密,解密后的明文追加到待保存的目标数据中。这样就完成了一个数据包的解密,如图4所示。重复上述过程,直至完成所有数据包的解密,得到加密前的原始数据[9]。

2.3 云计算平台入侵检测

云平台数据更加集中,更易受到攻击和入侵的威胁,而使用传统的特征库判别法的杀毒软件已无法有效地确保云平台的安全,因此入侵检测和防御就显得更加重要,十分有必要对云计算平台中的网络、框架和数据等各种威胁进行全方位实时主动监控、检测和防御[10]。

传统入侵检测防护技术大多是一种被动防御的系统,很难满足当前网络攻防的新形势。这里采用主动防御与传统被动防御相结合的方式,摸索这种入侵检测系统与云计算平台的结合,采用改进的apriori算法[11],利用一个层次顺序搜索的循环方法来完成频繁项集的挖掘工作,提高挖掘速度,迅速发现网络或系统中是否被入侵的迹象。当查询的行为是合法的,系统返回一个完整和正确的解释,当查询的行为是误操作或恶意行为的特征,解释将和具体事件和发生事件的节点关联起来,通过节点行为(也就是指状态变化或某些节点上的信息传递)来判定行为是否合法或是发生错误,并采取必要的处理措施。

3 结 语

云计算作为一种新的模式给企业信息化发展带来了巨大的变革,是IT行业的一个发展趋势。其提高了网络工作效率,节约了企业成本和资源,应用前景非常广,但是安全问题仍然是阻碍企业全面部署云平台的最大障碍。虽然本文提出了一些云安全防御策略,但还不成熟,因此今后还要在此基础上在如何有效控制访问权限和整体安全管理机制,如何对数据进一步划分等级,实时安全操作和监控,如何更有效地管控外部攻击威胁带来的风险等方面深入开展研究,更有效地提高云计算平台安全,为云计算在企业中的广泛应用提供更安全的保障。

参考文献

[1] 林晓鹏.云计算及其关键技术问题[J].现代电子技术,2013,36(12):67?70.

[2] 刘宇涛,夏虞斌,陈海波.基于体系结构扩展的云计算安全增强研究[J].集成技术,2012(1):30?33.

[3] 白妙青.云计算技术在广播电视网中的应用[J].现代电子技术,2013,36(11):142?144.

[4] 马杰,罗东芳.云计算安全防范技术[J].电脑开发与应用,2013(6):76?78.

[5] 田燕,张新刚,梁晶晶,等.基于身份认证和访问控制的云安全管理平台[J].测控技术,2013,32(2):97?99.

[6] 赵建.视觉零知识身份认证的研究[J].现代电子技术,2013,36(13):100?101.

[7] 刘东霖.SSL VPN技术研究及仿真分析[J].现代电子技术, 2013,36(13):102?104.

[8] 马晓昊.基于云计算的安全数据存储服务的研究与实现[D].上海:同济大学,2008.

[9] 谭武征.云安全存储解决方案[J].信息安全与通信保密,2012(11):147?149.

篇10

云计算被认为是互联网的又一次革命,以前互联网对用户的各种承诺,正通过云计算变为现实。云计算成为互联网的新焦点,当然在信息安全领域,也不会被轻视。

你会感觉到有无数的论坛与专家在关注云计算与SaaS的安全问题,无论是Keynote主题演讲中的钱伯斯、著名密码专家WhitfieldDiffie、Ronald Rivest,还是Qualys的CEO Philippe Courtot,以及各个领域的安全专家都在讨论云计算、云安全、SaaS方面的问题。

云计算与SaaS本已是热点,再加上安全,你能够理清思路吗?云计算、安全的云计算、云安全、Software as a Service、Securityas a Service,Security as a(Cloud)Service…

焦点1:云的安全

钱伯斯在RSA Conference第二天的主题演讲中,提到云计算时语出惊人:“对于安全,云计算是一场噩梦”。

注意,他并不是对云计算有何异议,因为他也认为云计算是不可避免的趋势,而且云计算的发展肯定对Cisco的发展有着巨大的意义。但是由于云计算所引发的新的安全问题,则又是很难预测的。这些问题甚至会动摇我们已经形成的网络安全的体系方法。“它是网络安全的噩梦,而且无法采用传统的方法来解决”。

无独有偶,在几位著名的密码专家论坛上,云计算也成为了话题。虽然专家们有的对云计算的前景非常担忧,但云计算产生了与以往不同的新安全问题也是共识。而这些安全问题,是我们无法回避且必须付出很大的努力来解决的。当然对解决云计算安全问题持悲观态度的人也在少数。

焦点2:*aas的安全

另一个方面,SaaS也是热点议题。云计算在技术层面上是革新,但更多的是一种商业模式上的创新,而SaaS无疑是这种创新的最好的表现形式。对于SaaS这种模式,安全问题存在与它的各个层次:基础设施、平台、上层应用。对于三个层次,所面临的安全问题是不同的。比如对于IaaS(Infrastructureas a service),数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点。而对于PaaS(Platform as a Service),数据安全、数据与计算可用性、灾备与恢复问题则更受关注。而到了最高层的SaaS(software as aService),则对于数据与应用的安全问题更为关注。而且,当SaaS架构在云计算这个平台上时,最高层的这些安全问题很多是不可知、不可控的。原因在于,使用者再也无法自己实际掌握对安全便捷与数据的控制权。

焦点3:安全也要漫步云端

其实将安全与云结合,不仅仅是利用安全技术来保证云计算的安全性、可靠性,一种更加开放的思维,正是利用云计算的技术,来更好地发挥信息安全技术。并且利用云计算与SaaS这种模式,使得无论是企业用户还是个人用户,都能够更广泛地接受最新的安全技术,并有效运用,来保护我们的互联网应用。

其实无论从国内还是国外,都已经有众多的安全公司参与到这个过程当中。

目前的云安全,主要运用了以下的一些技术,如:将用于安全计算的资源进行汇聚、使得更多的人成为安全的参与贡献者、在云端将对样本进行汇聚分析、通过协作的平台提供更为陕捷的反应、将安全作为服务提供等。云安全起步时间不长,但已经被运用于安全评估、WEB安全防护、恶意软件防护、病毒防护、反垃圾邮件等多个领域。

观点1:对云的保护,是云计算与saas模式成功的重要基础

从我们的角度看来,云只不过是另一种数据中心,数量更多且分散的数据中心的集合,使得访问与使用更加的快速、便捷。

再加上云端的SaaS应用,能够为众多企业,尤其是中小企业,带来更便捷、成本更低的、无所不在的IT服务。但同时,云计算与SaaS也带来了新的安全问题,与以往我们经验中不同的安全问题。因为在云中,没有边界,云计算与SaaS的使用者自己再也无法控制边界、控制数据,甚至都不确切地知道数据在什么位置上。而服务提供者往往还要同时面对IaaS、PaaS、SaaS三个层次的安全问题。

从云的外部,用户看不到云里面是什么样子的,也就是说云是不透明的。服务提供商承诺了会提供各种层次的安全方案,从网络层到应用层、数据保护,以及可管理的安全服务。

但是作为云外的用户,你真的知道这些安全特性被提供了吗?或者说,这些安全措施的结果,是你所期待且满意的吗?这可能也是很多企业对云计算望而却步的原因,也是众多安全专家的争论所在。不过换个角度,对于很多本来就没有能力进行安全体系建设与维护的用户来说,看不清云的内部也不见得是件坏事。

随之而来的问题:云计算如何进行审计与监管?现实中的各种信息安全问题在云端依然存在,只不过之前是用户自己能看到的,而现在反而距离用户更远了,也更为离散。如果像钱伯斯所说云计算可能是无法避免的趋势,当然这还要最终的用户能够认可。那么我们真的需要更多的工作,来接受这种新模式并克服它所带来的新安全问题。

观点2:云安全与Bsaas在未来将有广阔的空间

众多的主流安全厂商近年来已经对云安全投入了极大的关注。有的采用平台的方式做样本汇聚与分析;有的利用互联网与云计算的通道,降低客户端的计算量并解决病毒库的激增问题,还有一些将云计算的结果与终端的产品相结合来做防护。

这方面作为中国领先的网络与应用安全解决方案提供商,绿盟科技也有着自己的云计划。我们希望能够更为全面地理解并利用好云计算的技术,从安全评估、挂马检测、建立互联网信誉机制、通过协作平台进行聚合分析研究、对最新客户安全问题利用云计算资源陕速反应、为各类客户提供定制安全服务以建立多层次防御体系方面,建立完整闭环的云安全机制。我们要做的不仅仅是利用云计算来收集与处理样本信息,更需要将云计算的结果,有效地应用到客户已有的各类绿盟的安全系统以及定制安全服务中,从而使得云计算的结果形成快速有效的安全防御闭环。减轻客户端的安全计算量、快速反应、多层次的防御是我们最终希望达到的效果。

在云计算的实现过程中,其实最为核心的,依然离不开我们的安全核心技术。云计算更多的是一种模式与手段。通过建立公有云或是私有云的方式,将定制的安全解决方案更便捷地提供给不同层面的客户,是绿盟科技探索未来信息安全业务模式的关键途径。

未完的故事