云计算服务安全评估办法范文

导语：如何才能写好一篇云计算服务安全评估办法，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：云计算； 云安全；安全策略

基金支持：广州市科技计划项目，《基于云计算的数据挖掘技术在电信业务中的应用》(2011.1-2013.8, 项目编号：2011J5100004)

云计算（cloud computing），是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。本文首先阐述云计算概念和面临的安全问题，然后探讨应用安全的策略。

1.云计算的概念

2006年8月9日，Google在搜索引擎大会（SES San Jose 2006）首次提出“云计算”的概念。该概念是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。

云是网络、互联网的一种比喻说法，过去在图中往往用云来表示电信网，后来也用来表示互联网和底层基础设施的抽象。狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。

云计算的模式可以认为包括以下三个层次的服务：Infrastructure-as-a-Service (IaaS，基础设施即服务)，Platform-as-a-Service (PaaS，平台即服务)，Software-as-a- Service (SaaS，软件即服务)。

IaaS指消费者通过Internet可以从完善的计算机基础设施获得服务。PaaS实际上是指将软件研发的平台作为一种服务，以SaaS的模式提交给用户。因此，PaaS也是SaaS模式的一种应用。但是，PaaS的出现可以加快SaaS的发展，尤其是加快SaaS应用的开发速度。SaaS是一种通过Internet提供软件的模式，用户无需购买软件，而是向提供商租用基于Web的软件，来管理企业经营活动。

2.云计算面临的安全问题

美国知名市场研究公司Gartner的一份名为“云计算安全风险评估”的研究报告，该报告认为虽然云计算产业具有巨大的市场增长前景，但对于使用这项服务的企业用户来说，云服务存在着七大潜在的安全风险，即特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。

针对“云计算安全风险评估”中提出的七大风险，可得出云计算用户的安全需求:

(1)特权用户的接入:云服务提供商（CSP）提供和监管享有特权的管理员方面的具体信息以及控制访问方面的具体信息。

(2)可审查性:CSP愿意而且有能力做到遵从相关法律法规。

(3)数据位置:CSP给出合同承诺，遵守相关数据管理法律法规，提供数据存储地点信息的查询服务。

(4)数据隔离:CSP按照不同数据，提供数据隔离存储服务。

(5)数据恢复:CSP有能力对数据进行快速全面恢复。

(6)调查支持:CSP以合同承诺来支持特定的几种调查。

(7)长期生存性:CSP提供长期发展风险的安全措施，譬如用户如何拿回自己的数据，以及拿回的数据如何被导入到替代的应用程序中。

目前，各个公司所部署和开发的云计算业务运行并不稳定，部分云计算提供商比较频繁地出现数据安全方面的问题。典型案例有：2009年2月24日，Google Gmail邮箱爆发的全球性故障，2011年3月，Google Gmail邮箱再次爆发的大规模用户数据泄漏事件，及2011年4月22日，亚马逊云数据中心服务器大面积宕机事件。这些事件让用户对云计算的安全性产生了质疑。“云安全”概念(即“云计算的安全问题”)随之也被提出、被关注和重视。

3.云计算应用安全策略

因为云计算的安全问题是多方面问题综合而产生的，因此，关于云计算安全问题的解决，需要考虑云计算安全的成因，需要多管齐下，需要从技术、标准、法律以及业务监管等多个方面来进行综合考虑。

传统的安全需求，如授权合法性、信息完整性、不可抵赖性、身份真实性等问题，但是云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统。用户数据的存储，以及用户数据的处理和保护等操作，都是在“云”中完成的。这样，就不可避免地使用户的数据处于一种可能被破坏和窃取的不安全状态，并且也有更多更详细的个人隐私信息曝露在网络上，存在非常大的泄露风险。

从云计算的发展来看，用户数据的安全、用户隐私信息的保护问题、数据的异地存储以及云计算自身的稳定性等诸多安全和云计算监管方面的问题，直接关系到了云计算业务被用户的接受程度，进而成为了影响云计算业务发展的最重要因素。从技术、标准、法律以及业务监管等多个方面来进行综合考虑后，可以从以下几个问题上给出解决办法：兼容性的风险管理、身份验证管理、服务完整性、信息安全等。

首先在兼容性的风险管理上，可以由企业内部有经验的团队和提供云服务的供应商共同实施，将特定的级别流程透明化来实现。其次，在身份验证管理上，由于云计算的复杂性，所以需要了解身份提供者需要什么样的安全级别，使用强证书的数字身份系统能够验证来自于自有平台和基于互操作声明的云提供商的用户，可以加大安全性和数据的完整性。然后，在服务完整性上，主要是在服务的设计与开发、服务的交付。那么设计与开发提供商在此阶段如何将安全和隐私保护融入其中，是要考虑的问题所在。在交付方面，就要考虑服务要以怎样的运营方式才能满足合同约定的可靠性与服务支持的级别。最后在信息安全上，对应用数据的分类是非常重要，哪些是可以共享的，哪些是私有的，共享的也要让被访问者知道哪些信息被谁访问过等等，这样有助于确定云服务所需的那些数据在什么情况下，由谁来监控和使用。

参考文献

[1] 百度百科.云计算[EB/OL] baike.省略/view/1316082.htm

[2]J. Brodkin. Gartner: Seven Cloud-Computing Security Risks[R]. Network World 2008.

篇2

【关键词】会计 企业 经济 特征 应用

一、云会计大数据下的特征

云计算是当前信息社会的时代产物，把云计算应用于会计数据的研究，就产生了云会计。《会计改革与发展“十二五”规划纲要》明确提出，将全面推进会计信息化工作作为实现会计管理科学化、精细化的重要措施。云计算应用于会计信息系统促进了企业信息化建设，云会计是企业发展的长足动力，所以企业财务中的应用是云会计急需解决的问题。云会计重点对应于企业的管理会计和财务决策，让企业把重心转移到经营管理，该模式推动了会计工作快速发展。云会计的提供商及企业用户，提供商为企业用户提供相关的云服务，如管理信息系统、会计核算系统、企业决策系统等业务系统，且为企业用户提供相关的云会计服务平台，如云会计的数据库服务、会计信息化开发应用等平台，企业用户通过付费的方式享受云服务。

二、大数据背景下云会计的应用

大数据下云会计的运行及应用比小数据下的云会计应用更具有优越性，并为企业的发展提供了强有力的支持。

（1）在企业今年化发展建设中的应用。在大数据背景下，云会计广泛应用于企业信息化建设发展中。首先，在大数据背景下，企业云会计的会计数据信息资源处理平台及会计计算平台均是建立在云端平台之上的。因此企业会计日常工作中所需的会计信息的分析及处理均需依附于大数据下的云会计计算平台操作。同时，云会计数据信息化处理平台能为企业快速地完成与银行的对帐、网上交易及网上报税等一系统的操作，因此，成企业信息化建设提供了保障。另外，企业还可通过大数据下的云会计对内部财务核算工作进行实时监督和管理，促进了企业财务数据信息及时生效，实现了企业财务信息在云平台中同步与共享。

（2）在企业财力会计流程重构中的应用。近年来，云会计应用在企业越来越广泛，大数据云会计被广泛地应用于企业财务会计流程的重构及管理中去，并使企业财务流程合理科学地规划，使企业各项活动进展顺利。在大数据云会计模式下，企业通过云会计系统软件的处理功能，将企业会计数据资源信息存储于云端中，在大数据云会计的支持下，将企业产品的生成、合同的建立、产品经营销售记录、成本支出等信息存储到云端，且通过云会计自动计算功能自动分析与计算，最终将各项数据信息通过报表显示。除此之外，税务部门及企业管阶层可通过云会计共享企业会计数据信息，并根据企业发展的需求在云会计终端系统中进行数据处理，以满足企业发展需求。另外，对云会计合理应用，促使企业对财务会计流程重构结构组织更分明，从而使财务会计流程组织任务更具战略性及实效性。以此来增加企业在经济市场竞争中的分额，实现企业长期稳定发展目标。

（3）在企业会计成本核算系统中的应用。将大数据下云会计计算模式应用于企业会计成本核算及系统创新改革中是十分必要的，也促进企业财务管理有效性，经济持续增长的重要条件。另外，将大数据下云会计应用到企业会计成本系统计算中，更有利于企业降低会计核算成本。因为云会计在运行以系统软件服务的形式为企业会计工作提供了必须的数据资源信息，该模式有利于会计人员快速获取信息资源。大数据下云会计是通过按信息流量收取费用的方式来运行的，更有利于企业会计控制成本支出，为企业的良性发展奠定了经济基础。

三、促进云会计在企业中应用的相关对策

云会计降低了企业的成本，提升了企业的竞争力，因此提出以下对策建议，从而促进云会计在企业中的应用。

（1）加强云会计计算平台建设。云会计计算平台建设是企业实现云会计计算的保障，而云会计计算平台建设需要资金以及技术支撑，而且研发的风险大，开发周期长。因此政府应出台相关政策支持鼓励国内的IT企业自主研发云会计计算系统，通过政府补助或优惠措施切实解决IT企业资金难的问题。

完善云会计计算的功能与服务。目前云会计服务的软件功能比较单一，如目前的软件仅仅是为企业提供了在线记账或现金管理等基本功能，并不能真正满足企业的需求。因此有必要完善财务软件的功能与服务，比如增加基于云计算的在线财务预测、分析、决策支持等智能功能与服务，从而满足企业的多样化需求。

建立云会计下的风险评估机制。当企业，在认为企业自身的会计信息的安全的情况受到影响情况下才会选择云会计。企业不同的组织形式、经营方式及管理模式，对云会计安全的可信度要求不同，且在市场竞争环境发生变化的情况下，云会计服务提供者根据使用者安全需求以业务需求设置的各种云会计组合的安全性也随之变化，因此，有必要建立云会计下会计信息安全风险可信度评估机制。

确保云会计数据的安全。数据安全是云计算技术中面临的主要难题，应该由提供商和企业共同应对这问题。提供商应加大研发资金和人力投入，设计稳定的信息系统，通过在网络接口建立有效的防火墙，防止网络黑客、计算机病毒的攻击。企业应建立健全企业内部控制机制，强化授权审批制度，设置访问密码，有效避免或减少会计信息泄露。此外，相关部门应完善确保数据安全性、云会计服。

四、结论

大数据下的云会计的运行促进了企业会计数据资源整合，在云会计模式下，首先要充分了解大数据下云会计的特征，然后对云会计的应用进行了探讨，在此基础上提出了促进云会计在企业中应用的相关对策，从而促进企业经济快速增长，使其经济核心竞争力得到不断提高。

参考文献：

[1]王咏梅.企业信息化建设中存在的问题和解决办法[J].山东纺织经济，2014，（04）.

[2]潘海鹏.浅谈电信行业大数据的意义与应用[J].电子世界，2014，（03）.

[3]张剑，李灿平.4G网络时代大数据的机遇与挑战[J].中国新通信，2013，（24）.

篇3

终端因为其储存着大量敏感数据,因而成为黑客和病毒制造者的攻击目标。因为每个病毒码被部署到1000台终端至少需4小时,而终端直接面对企业的内部员工,且难以管理,所以导致终端成为企业网络中最脆弱的一环。虽然利用云安全技术,对病毒的响应时间缩短了九成。但是,我们仍然十分有必要重新对终端安全的价值进行判断和思考。

思考

网关安全能否代替终端安全?

如果说云安全的不断升温显示了信息安全领域正在技术上谋求变革,那么这背后所隐含的意义事实上更加引人关注。

在之前的很长一段时间里,网关安全都是一种受到推崇的防护模式。由于在网关处部署防御体系可以过滤大部分通信内容,所以有大量的组织都将安全保护的重心集中于网关位置。

然而事实结果证明,过分依赖于网关防护而忽视了对组织内部计算机节点的保护,导致的结果仍旧是较低的安全性。云安全所带来的对技术和功能的改进令人欣喜,而其对终端安全乃至于对整个安全体系的补强,让人看到了从核心层面变革安全防护的可能。

传统安全体系的终端安全困局

在一些典型的安全案例中,组织虽然部署了防火墙、入侵检测和VPN等安全保护措施,但是这些措施似乎只能防止外部威胁进入内部网络,而对于信息存放失当、员工误操作等内部安全管理问题却束手无策。

很多调查报告都显示,全球范围内的企业员工在工作时间更容易进行具有安全风险的计算机操作,诸如访问可能存在威胁的网站、打开来源未知的电子邮件附件等等。可能是企业缺乏足够严格和有效的安全管理制度,也可能是员工对非私有财产的保护意识不足,总之人们在上班状态下似乎没有对网络安全问题给予正确的认识和足够的重视。

美国《Network World》报道,当前的网络访问控制解决方案往往只评估终端的初始状态,一旦一个终端节点获得安全系统的访问许可,那么之后的操作将很少受到严格的监控,这也体现出当前终端保护体系缺乏动态反应能力的现状。

正如趋势科技全球高级副总裁暨大中华区总经理张伟钦所指出的,如果安全威胁的入侵原因及位置缺乏足够的能见度,那么信息技术部门就无法确定正确的解决办法,也无法真正提供有效和及时的安全响应服务。除了识别安全威胁存在误区之外,传统的安全管理体系也缺乏能够有效对安全威胁进行预警和修补的工具。

赛门铁克中国区技术支持部首席解决方案顾问林育民则表示,在发生安全事件的时候,信息技术部门往往需要耗费大量的时间去定位威胁源头、识别威胁种类,进而制订出处理方案并实施。从时间上来看,这往往都要滞后于威胁的传播,经常是所有终端都已经受到波及之后信息技术部门才开始真正的处理工作。

云安全如何助力终端安全

事实上,在历数云安全技术的诸多特点时会发现,很多云安全特性都能够为提升终端安全提供帮助。在安全组件尝试发现终端以及内部网络中的安全威胁时,云安全体系可以提供更加及时有效的威胁识别能力。而利用云安全体系强大的关联分析能力,也可以更好地发现安全威胁和定位威胁位置。

在新一代的云安全技术当中,领先的厂商都在尝试植入一种新的特征码管理机制,从而实现检测引擎和特征码的分离。通过云安全体系提供的通信方式,特征码的存放和比对都可以放在云端进行,而将大量的特征码更新到网络中的每一台终端将不再是保证安全性的必要条件。

在新一代的云安全网络当中,大量的安全威胁检测功能将从终端迁移至云端,而客户端系统将只完成扫描等基本的安全功能。在实时防护过程中,客户端不断地与云服务器进行协作,从而减轻客户端的负担,即让终端用户在尽量少地受到干扰的情况下,实现更好的安全防护。

以趋势科技提出的云安全2.0为例,其多协议关联分析技术可以在近百种常见协议中进行智能分析,从而追踪到真正的受攻击位置,为管理员解决安全问题提供真正的支持。一个真正成熟的云安全体系,安全威胁发现和响应覆盖了从网络层到应用层的各个层次,而防护阵线也贯穿了云端、网关、终端等多个不同的位置和区域。

云安全2.0的到来,势必会加速云安全在体系架构主流化进程上的速度。用户应该从现在就开始认真地思考自己组织的计算机终端是否已经获得了足够的保护,云安全体系带来的高管理效率和高ROI无疑会引起用户的高度关注。

分析

递增的网络威胁与信息安全的出路

从供需角度来说,云安全技术的出现,无疑是为了对抗层出不穷的新安全威胁而产生的一种必然结果。根据测算,2008年全球每小时出现大约800种新的安全威胁,在2009年,每小时出现的新安全威胁数量已经达到1500种。按照这种发展速度,在最多不超过5年的时间里,每小时的新安全威胁产生量就将突破10000种。

高速的安全威胁增长态势已经成为整个安全世界的大背景,传统的依靠人工分析恶意软件特征的安全响应体系,已经完全无法满足现在的安全防护需要。在这种前提下,拥有共享全球安全威胁信息优点的云安全网络,就成为了信息安全领域的一个重要出路。

云安全的正确认知

单从各个厂商的宣传资料来看,也许安全专家也难以给云安全下一个准确的定义。事实上,从技术角度定义云安全并不困难,但是实际映射到产品和运营层面,就可谓是“横看成岭侧成峰,远近高低各不同”了。这一方面体现出云安全是一个非常复杂的系统,另外也说明不同的安全厂商对云安全存在着定位和投入上的不同。

有很多用户将云安全理解为一种完全崭新的安全模式,也有用户将云安全理解为对传统安全体系的升级。实际上这两种理解都有可取之处,云安全更近似于云计算技术在安全领域的特定应用,而其创新之处则更多地来自于用户和运营等层面。

云安全体系可以令安全厂商更准确地了解全球安全威胁的变化态势,同时也有助于厂商发现新的安全威胁。无论是国外厂商还是国内厂商,真正在云安全领域有所投入的厂商,其采集威胁的速度和数量都呈现出几何级数增长的态势。趋势科技自有的云服务器数量就达到数万台,而金山也在总部的办公楼开辟了一层专门用于放置云安全系统,这些在云安全领域投入重金的厂商掌握的病毒样本数量早已达到千万级。

更重要的是,拥有了海量的安全威胁数据之后,厂商就可以根据安全威胁情况动态地变更其云防护体系的工作状态。类似趋势科技的安全爆发防御体系,它就需要足够数量的监测点和统计数据作为支撑,也可以视为云安全最早的应用尝试之一。

从核心模式上来说,当前的云安全应用主要侧重于阻断用户访问已经被辨识的安全威胁和可能存在风险的安全威胁,这主要源于云安全体系可以大幅度加快厂商对安全威胁的响应速度。这其中比较容易引起误解的一点是,云安全是否能够更好地应对未知安全威胁呢?从本质上来讲,云安全的主要改进在于能够更好地、更快地响应已知安全威胁。不过在一些特定条件下,云安全也可以对未知安全威胁防护提供帮助。

假设一个刚刚被放入互联网的恶意软件感染了第一台计算机,这个恶意软件对于这台计算机是一个未知的安全威胁;如果该计算机将这个感染行为以及这个程序提交给了云安全网络,那么相比传统模式而言,其他使用该安全云服务的计算机就有更大的机会避免被该程序感染。也就是说,云安全体系更多地是避免一个未知安全威胁所带来的破坏,让厂商和用户能更快地发现新出现的安全威胁,而与未知威胁检测技术无关。

云安全的选择及路径

当“云安全”作为一个名词吸引了公众的注意之后,所有的安全厂商都陆续宣布了对云安全的支持,这一幕看起来与UTM刚刚问世时何其相似。如何正确看待云安全的效果,如何选择真正支持云安全的产品,这些问题需要选购安全产品的用户认真对待。

就目前的情况来看,选择一线厂商的产品所获得的保障无疑要更强一些,而这并非只是源于品牌和信誉。对一个云安全体系来说,其投入规模和所拥有的用户数量,相当于云的大小和密度,也决定了云的工作质量。

第一代云安全技术:海量采集应对海量威胁

最开始被集成到安全产品中的云安全技术,主要集中于将从终端客户处收集到的信息返回到安全云端,同时将分析后的结果返回给终端客户。这种作法的好处在于能够利用云安全体系的巨大运算处理能力和共享的安全威胁信息,为终端用户提供更及时、更有效的安全保护服务。在传统的安全防护模式下,安全厂商通常依赖人工方式采集安全威胁信息。

由于高速互联网连接的普及,一个新出现的安全威胁完全有能力在数个小时甚至不到一个小时之内在全球网络内实现传播,而旧有的安全响应体系已经漏洞百出。在应用了云安全体系之后,厂商可以将威胁的采集工作更多地转移到终端用户的计算机上,根据其访问行为和受感染情况来更准确地获知安全威胁的产生和蔓延情况。

对于一些明显可能造成破坏的安全操作,云安全系统会自主将其标示为安全威胁,这样在其它计算机执行相同或相似的操作时,就会获得来自云端的警告,从而以接近实时的速度获得对安全威胁的免疫。事实上,在一个运行良好的云安全体系当中,从一个新威胁被识别到被标识,所耗费的时间极短,甚至要少于终端计算机更新病毒特征码以及完成特征码加载的时间,这为安全产品提高响应速度提供了很好的技术基础。

第二代云安全技术:更加全面彻底的云安全

事实上,第一代的云安全技术表现在产品功能上,更多的是以信息采集为主,真正能够产生效果的安全功能寥寥无几。在第二代的云安全技术应用上,一个显著的特征就是安全功能对云安全体系更充分、更广泛的利用。目前已有多家主流的安全厂商都推出了具有云安全2.0技术特征的产品。以最先倡导云安全技术的趋势科技来说,其最新版本的产品线都集成了被称之为文件信誉的安全技术。

顾名思义,与在云端检测Web地址安全性的Web信誉技术一样,文件信誉技术旨在通过云安全体系判断位于客户端的文件是否包含恶意威胁。在传统的特征码识别技术中,通常是将文件内容不同部分的Hash值与所检测文件的Hash值进行比较,从而判别文件是否受到感染。

与传统的将特征码放置在客户端的方式不同,基于云安全体系的文件信誉技术,支持将特征等检测所用的信息放置在云端(比如全球性的云安全网络或局域网中的云安全服务器)。这样做的显见好处是,解决了从更新文件,到客户端部署了更新这段时间间隔里,防护系统无法识别最新安全威胁的问题。

通过连接到云端服务器,终端计算机始终能获得最新的防护。如果说第一代云安全技术提高了发现安全威胁的速度,那么第二代云安全技术则让安全防护功能得以用接近实时的速度检测和识别最新的安全威胁。

下一代云安全技术:灵动的云

相信用不了多久,几乎所有的安全功能都将顺畅地接入云端,从而实现云级别的安全防护。解决了安全威胁响应速度这一核心问题之后,对安全防护的质量提升将是云安全的下一命题。

由于云安全体系所拥有的庞大的资源配给,用户无疑会对其能够在多大程度上替代人工分析和操作,抱有极大的兴趣。事实上,这也是能否从本质上提升安全产品保护能力的一个重要指标。

另一方面,终端用户应期待可以通过自己的产品界面,对安全云进行更多的操作和管理。以往对于客户端防护产品的定制能力将转移到云端,用户可以决定哪些安全功能需要连入云端,而哪些功能必须使用本地的防护引擎。在3.0乃至4.0的云安全技术体系中,用户将获得更大限度的自由,安全保护的新时代也将随之展开。

模拟真实环境 破解云安全谜团

为了更好地模拟管理中心、服务器客户端、工作站客户端等常见的安全对象,在本次评测过程中我们启用了五台计算机,其中一台用作管理服务器,其它计算机作为终端计算机。

在网络环境方面,我们使用一台TP-Link的TL-R 860路由器作为连接设备,所有测试用计算机都以百兆以太网形式接入该设备。同时在该设备上还接入了2Mbps的网通宽带,用以提供互联网连接。在测试过程中,我们对产品的测试实现完全分离,也即完整地测试完一个产品之后,再测试另一个产品,以避免测试过程中相互干扰。

本次测评参测产品4款,包括趋势科技OfficeScan10.0、熊猫AdminSecure Business。令我们感觉有些遗憾的是,由于另外两家参测厂商即将新的产品版本,所以在本次评测中隐去其真实厂商及产品名称。在这里,我们将在总体上对其进行适当的点评,以让读者了解这些产品最新的发展状况。文中以X和Y表示用来表示隐去其真实厂商的产品名称。

在性能表现方面,产品安装后的系统资源占用情况以及产品的运行速度都是关注的重点。通过比较安装前后的磁盘空间占用情况,我们可以了解产品对硬盘的消耗。同时针对管理服务器、客户端的处理器和内存资源使用情况,测试工程师也给出了相应的评价。检测引擎的速度一直是评估安全产品性能的保留项目,本次评测过程中通过对一个包含4GB文件的系统内分区进行扫描来完成该项测试。为了判断产品的检测引擎是否支持文件指纹机制,该项测试共进行两次,每次测试之间计算机会重新启动以令时间记录更加精确。

恶意软件检测

我们选用了100个采集自实际应用环境的恶意程序样本。其中覆盖了蠕虫、木马程序、脚本病毒、广告软件和黑客工具等多个常见的恶意软件类别。另外,在测试样本中也包含了一些未被验证的、可能包含安全威胁的程序,用以验证参测产品在检测未知威胁方面的能力。在该项测试过程中,所有产品的检测引擎的识别能力和识别范围均开启为最高,所有有助于提高检测效果的选项也均被启用。

防火墙测试

防火墙作为另一个核心的安全防护模块,也设定了多个专门的测试项目。基于GRC网站提供的在线检测工具Shields UP!,我们能够了解一台计算机的网络端口在外网看起来是处于什么状态。该检测分析计算机的前1056个端口,并且提供计算机是否响应Ping请求的附加测试结果。另外,我们通过一组工具来测试在终端计算机上利用各种方法建立外向连接时,防火墙组件的反应行为是否正确。下面提供了这些测试工具的工作机制等相关描述。

• LeakTest:该工具在被测计算机上建立外向连接,如果防火墙组件发现了建立连接的行为,视为能够识别基本的外向连接活动。

• FireHole:该工具调用系统中的缺省浏览器传送数据到远程主机,在计算机上建立具有拦截功能的DLL,从而伪装浏览器进程进行数据发送。

• PCFlank:与FireHole工具类似,该工具检验一个防火墙信任的程序在调用另一个程序时,在工作方式上利用了Windows的OLE自动化机制。

• ZAbypass:该工具使用直接数据交换(DDE,Data Direct Exchange)技术,以借助系统中的IE浏览器访问互联网服务器上的数据。

• Jumper:该工具会生成一个DLL文件,将其挂接到Explorer.exe之后关闭和重启该程序,从而执行该DLL。这项测试同时考察防火墙组件的防DLL注入能力以及对注册表关键位置的保护能力。

• Ghost:通过修改浏览器进程的PID来欺骗防火墙组件,从而通过系统缺省浏览器向互联网发送信息,主要用于测试防火墙是否能够实现进程级别的监控。

云安全测试

针对当下最热门的云安全技术,在本次评测中也专设了多个测试项目。首先我们的工程师会验证参测产品是否支持云安全网络,以及支持哪些云端安全功能。例如,通过访问包含有恶意代码的网站来判别参测产品是否支持云端Web威胁识别。另外,我们会尝试使用产品的云端功能检测前面所准备的100个恶意软件样本,比较其检测率和处理能力相较使用传统扫描引擎是否有所提高,从而验证云安全机制对于产品效能的提高发挥的作用。管理

机制测试

管理能力是企业级安全产品的重中之重,通过对参测产品的终端管理、终端部署、权限管理、配置管理等诸多方面的能力进行考察和评估,我们可以获得产品管理机制是否健壮有效的第一手证据。

与此同时,产品客户端所具备的特性,特别是管理端对于客户端的授权和控制,也是网络版安全产品需要重点关注的问题。

易用性测试

在易用性方面,我们遵循软件业内常见的一些评估方式,进行体现物理操作负担的肌肉事件测试,针对界面设计的屏幕利用率测试以及体现操作流程的记忆负担测试等诸多测试项目。

结合针对界面元素排布、界面指引等方面的分析,最终形成对软件易用性的综合性评价。在易用性的测试过程中,主要面向参测产品的控管中心模块,对于部署于服务器和工作站上的终端软件不进行评估。

评测总结

在本次评测中,通过对比应用云安全的产品和传统形式的产品,我们发现云安全类型的产品带给客户端的负担更小。趋势科技已经近乎彻底地实现了产品的云安全化,无论从基础架构还是从核心功能上看,云安全技术都在充分地发挥作用。而熊猫的云安全应用,则更多地停留在后台辅助服务方面,用户从前端功能还无法明确了解云安全的具体应用状态。相对地,X和Y在云安全应用领域也取得了相当的成果,并且拥有相当规模的云安全网络支持,对其安全威胁的发现和采集提供了相当的帮助。

通过评测,我们也发现目前的主流企业级安全产品并没有走向完全趋同的发展道路。基于不同的市场理解和不同的客户取向,不同厂商在构造自己的产品时,都体现出鲜明的功能和设计特点。

篇4

【 关键词 】 云计算；安全；隐患；对策

【 中图分类号 】 TP309 【 文献标识码 】 A

1 引言

云计算是指通过网络以按需、易扩展的方式提供所需的资源（硬件、平台、软件）及信息服务。使用者可以按需获取和使用，并按使用付费。云计算改变了传统信息技术的供给和使用方式。

云计算服务的规模化、专业化改变了计算能力和信息资源的分散格局，为多个用户提供服务，涉及用户隐私数据和业务敏感数据，由于计算资源和信息的集中，从而成为黑客进攻和利用的目标，因而云计算的安全性愈来愈引起人们的关注。

2 云计算存在的安全隐患

从云计算的基本构成来看，可以分为基础设施、虚拟化的云设备、云客户端三大部分，可以从这三方面分析可能的安全隐患。

2.1 基础设施

这些设施包括服务器、小型机等物理计算设备。对于用户而言，云计算服务是虚拟的，但最终都要落实到物理的机器与设备上，在这方面的安全问题包括设备故障和数据存储安全，机房内设备故障、自然灾难等对用户服务都有非常大的影响，即使用户数据被异地容灾，但对实时性要求强的服务业务，如视频会议、远程医疗等，处理能力的大幅度下降必然影响这些服务的提供质量。

2.2 虚拟化的云设备

这部分包括了云计算的SaaS、PaaS、IaaS三大服务模式。

SaaS软件（软件即服务）：从我们现在使用的互联网和应用软件来看，都存在一些已知或未知的漏洞，因此入侵者不仅可以通过攻击应用软件，获得用户信息，而且可以作为下一步占领客户虚拟机的跳板。攻击方式包括几种。

病毒和木马：利用应用软件的漏洞传播病毒和进行木马攻击。云计算的服务多为B/S结构即浏览器与服务器结构，通过Web挂马，是目前传播木马的主要途径，随着云计算的兴起，这样的攻击会越来越多，用户上载信息越多，携带恶意代码的可能性也越大。

应用软件攻击：针对Web应用进行入侵，如SQL注入（输入中包含SQL代码，诱发错误的数据库后端执行），命令注入（在输入中包含通过操作系统被错误执行的命令），跨站点脚本（在输入中包含JavaScript代码，在被攻击者的浏览器中执行）等，获取用户数据库权限，盗取用户资料。

PaaS（平台即服务）：可以通过操作系统的漏洞直接进行攻击，这类攻击难度较大，因为大多服务器进行了安全加固，黑客常常通过应用软件作为跳板，先获得应用程序的权限，再通过缓冲区溢出等方式获得高级权限，然后安装后门或控制程序，从而占领服务主机或虚拟机。

IaaS服务（虚拟机）：虚拟机是云计算服务的出租单位，具有弹能力和成本低廉的优势，是入侵和攻击的重点。

虚拟机“溢出”：云计算中心为多个用户提供安全的服务，是因为他们可以把用户之间隔离开来，避免用户之间的信息共享与访问。攻击者希望突破这道限制，也就是“溢出”，溢出后，不仅可以访问“邻居”的数据与系统，还可以访问后台的管理系统。这种突破技术，依赖于云计算中心使用的云计算服务平台的安全性，目前虚拟机“溢出”对于云计算安全存在极大地安全隐患。

攻击者通过破译密码获得资源：入侵过程中密码破译是最直接、也是最花费计算能力的，租用廉价的云计算，直接用于破解密码也是黑客使用的攻击方法。而对于云计算服务商来说，出于对用户“业务”的私密性考虑，不能判别用户的计算目的。

2.3 云计算用户端安全

在用户终端方面，同样是安全的多发地，这里也是安全最薄弱、情况最复杂的地方，诸如病毒、木马、蠕虫的传播，直接随着“用户业务”，合法地流进云计算的服务端。不能“净化”的终端，也是服务难以保障的一个主要原因。

3 保障云计算安全的对策分析

云计算安全可以考虑从几个方面加以加强和改进。

第一，数据安全。

（1）数据隔离

PaaS和SaaS应用为了实现可扩展、可用性、管理以及运行效率等方面的“经济性”，基本都采用多租户模式，因此被云计算应用所用的数据会和其他用户的数据混合存储，虽然云计算应用在设计之初已采用诸如“数据标记”等技术以防非法访问混合数据，但是通过应用程序的漏洞，非法访问还是会发生，最著名的案例就是2009年3月发生的谷歌文件非法共享。

通过加密磁盘上的数据或数据库中的数据，可以用来防止恶意的邻居“租户”及某些类型应用的滥用，但是对于PaaS或者SaaS应用来说，数据是不能被加密，因为加密过的数据会妨碍索引和搜索。

（2）数据残留

数据残留是数据在被以某种形式擦除后所残留的物理表现，存储介质被擦除后可能留有一些物理特性使数据能够被重建。在云计算环境中，数据残留更有可能会无意泄露敏感信息，因此云服务提供商应能向云用户保证其鉴别信息所在的存储空间被释放或再分配给其他云用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。云服务提供商应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。

第二，虚拟化安全。涉及虚拟化软件安全和虚拟服务器安全两个问题。

（1）虚拟化软件安全

该软件层直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。有几种方法来实现，如操作系统级虚拟化、全虚拟化或半虚拟化。在IaaS云平台中，云主机的客户不必访问此软件层，它由云服务提供商来管理。

由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次，可以使客户在一台计算机上安全地同时运行多个操作系统，所以必须严格限制任何未经授权的用户访问虚拟化软件层。应建立必要的安全控制措施，限制对于Hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制。

（2）虚拟服务器安全

虚拟服务器位于虚拟化软件之上，对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上，当然也需要兼顾虚拟服务器的特点。

应选择具有TPM安全模块的物理服务器，TPM安全模块可以在虚拟服务器启动时检测用户密码，如果发现密码及用户名的Hash序列不对，就不允许启动此虚拟服务器。因此，对于新建的用户来说，选择这些功能的物理服务器来作为虚拟机应用是很有必要的。如果有可能，应使用新的带有多核的处理器，并支持虚拟技术的CPU，保证CPU之间的物理隔离，减少许多安全问题。

安装虚拟服务器时，应为每台虚拟服务器分配一个独立的硬盘分区，以便将各虚拟服务器之间从逻辑上隔离开来。虚拟服务器系统还应安装基于主机的防火墙、杀毒软件、IPS（IDS）以及日志记录和恢复软件，以便将它们相互隔离，并与其他安全防范措施一起构成多层次防范体系。

对于每台虚拟服务器应通过VLAN和不同的IP网段的方式进行逻辑隔离。对需要相互通信的虚拟服务器之间的网络连接应当通过VPN的方式来进行，以保护它们之间网络传输的安全。实施相应的备份策略，包括它们的配置文件、虚拟机文件及其中的重要数据都要进行备份，备份必须按一个具体的备份计划来进行，包括完整、增量或差量备份方式。

第三，应用安全。其中包括有SaaS、PaaS、IaaS应用安全。

（1）SaaS应用安全

在目前的SaaS应用中，提供商将客户数据（结构化和非结构化数据）混合存储是普遍的做法，通过惟一的客户标识符，在应用中的逻辑执行层可以实现客户数据逻辑上的隔离，但是当云服务提供商的应用升级时，可能会造成这种隔离在应用层执行过程中变得脆弱。因此，客户应了解SaaS提供商使用的虚拟数据存储架构和预防机制，以保证多租户在一个虚拟环境所需要的隔离。SaaS提供商应在整个软件生命开发周期加强在软件安全性上的措施。

（2）PaaS应用安全

SSL是大多数云安全应用的基础，采取可能的办法来缓解SSL攻击，避免应用被暴露在默认攻击之下。用户必须要确保自己有一个变更管理项目，在应用提供商指导下进行正确应用配置或打配置补丁，及时确保SSL补丁和变更程序能够迅速发挥作用。

如果PaaS应用使用了第三方应用、组件或Web服务，那么第三方应用提供商则需要负责这些服务的安全。用户需要了解自己的应用到底依赖于哪个服务，在采用第三方应用、组件或Web服务的情况下用户应对第三方应用提供商做风险评估。

提供商维护 PaaS平台运行引擎的安全，在多租户模式下必须提供“沙盒”架构，平台运行引擎的“沙盒”特性可以集中维护客户部署在PaaS平台上应用的安全性和完整性。云服务提供商负责监控新的程序缺陷和漏洞，以避免这些缺陷和漏洞被用来攻击PaaS平台和打破“沙盒”架构。

（3）IaaS应用安全

IaaS提供商（例如亚马逊EC2、GoGrid等）将客户在虚拟机上部署的应用看作是一个黑盒子，IaaS提供商完全不知道客户应用的管理和运维。客户的应用程序和运行引擎，无论运行在何种平台上，都由客户部署和管理，因此客户负有云主机之上应用安全的全部责任，这对于一些特定用户来说是必要的，但必须有严格措施管控租用IaaS服务的客户。

4 结束语

云计算的应用和发展代表着当今网络时代的发展方向，但同时伴随而来的安全问题也日渐突出，随着资源和数据的集中，必然成为问题的焦点面临严峻的考验，因而加强对云计算安全问题的研究必将为云计算的健康发展奠定坚实的基础。

参考文献

[1] 刘鹏.云计算[M].电子工业出版社，2010-3.

[2] 张为民等著.云计算：深刻改变未来[M].科学出版社，2009-12.

[3] 魏亮.云计算安全风险及对策研究[J].邮电设计技术，2011（10）：24-27.

[4] 沈昌祥.云计算安全[J].信息安全与通信保密，2010（12）：18-21.

[5] 柳青.我国云计算安全问题及对策研究[J].电信网技术，2012（03）：12-14.

[6] 严骏.云计算安全研究[C].数字化图书馆论坛，2009（9）.

[7] 孙志丹，邹哲峰，刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全，2012（12）：50-52.

[8] 池水明，周苏杭. DDoS攻击防御技术研究[J].信息网络安全，2012（05）：27-31.

[9] 季一木，康家邦，潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全，2012（06）：6-8.

[10] 王平建，荆继武，王琼霄等.云存储中的访问控制技术研究[J].信息网络安全 2011（9）：41-43.

篇5

关键词：商业智能；云计算；应用；安全措施方案

中图分类号：F716 文献标识码：A 文章编号：1006-8937（2012）11-0073-02

随着信息化时代的来临，现今企业的进一步发展离不开各种系统的支持，诸如ERP、CRM、HR等业务系统。商业智能，由此应运而生。商业智能系统通常是一个独立的系统，能够从传统业务系统中获取各类客户数据和业务数据，建立多层次的分析体系，并将其转化成有商业意义的信息。

1 基于云计算模式的商业智能

1.1 云计算与商业智能结合

商业智能归根结底，就是一个应用。而云计算相当于提供了一个便捷、海量的平台。商业智能与云计算相结合，把商业智能转移到云计算的平台上，将在很大程度上提高商业智能的运行速度、数据存储能力、数据分析能力、决策判断能力等。IaaS上可以提供虚拟化服务器，而且云能够提供海量的数据存储空间，有助于企业存储越来越多的信息。商业智能的应用软件可移植到云计算平台上，由SaaS方式来提供服务。在云的不同种类中，企业的商业智能可选择IT云、私有云、混合云几种。

1.2 IaaS与虚拟服务器、虚拟存储、数据仓库

IaaS指将IT基础设施能力（如服务器、存储、计算能力等）通过互联网提供给用户使用，并根据用户对资源的实际使用量或占用量进行计费的一种服务。IaaS所提供的资源是富有弹性的，也就是说，当用户需要的时候能够立即提供，而当用户不需要时能够自动收回。

虚拟服务器能够在一台物力服务器上运行多台虚拟服务器。商业智能的核心技术之一是数据仓库。数据仓库的构建可以转移到云的平台，在IaaS的虚拟服务器上实现。商业智能最后所提供给管理者的决策建议，其准确度与数据仓库中的数据有很大的关系。数据越多、有效，则其决策系统也将更精准。现有的物理服务器、存储器难以负荷过于巨大的数据信息量。将数据仓库建立在云上，有利于更大信息量的存储与分析。

1.3 SaaS与商业智能应用

SaaS是一种基于互联网提供软件服务的软件应用模式。它能够以较低的成本为用户提供商业软件服务，免除了由与软件使用相关的安装、管理、支持、授权等导致的复杂问题，并使用户能够获得与在本地操作近似甚至更好的体验。

微软把SaaS的实现架构划分为4个成熟度。商业智能软件在SaaS的实现以SaaS服务架构的第4级成熟度为前提。第4级成熟度包括呈现层、调度层、业务层与数据层。商业智能实质上是一种应用，将它构建在云平台上，作为SaaS提供服务，它将从这四个层次显现出前所未有的极佳效果。

呈现层提供SaaS的实现方式，它决定了应用能够实现的用户体验水平。商业智能并不是主要为信息技术人员服务，而是为管理者服务。商业智能的可视化水平将影响管理者对决策信息的接受程度。所谓的可视化技术是指通过计算机图形学和图像处理技术，将数据转换为图形或图像显示等。呈现层将商业智能分析得出的信息与结果用可视化形式表示出来。信息表达、解释和评估的可视化有助于理解所获得的信息并检验信息的实用性。

调度层将客户端发出的请求调度到合适的业务处理服务器上，提高SaaS的交付性能与资源利用率。业务层和数据层为商业智能应用程序的高效运行提供支持。

与云计算技术结合的商业智能自下而上可划分为三个部分：最底层为基础层，负责商业智能的数据仓库、存储处理计算等；中间为平台层，提供编程接口、逻辑实现等功能；最上为实现层，根据用户的个性化定制，将数据分析的结果呈现给用户。

1.4 私有云、混合云与企业商业智能

所谓的私有云，是类似于云计算的基础设施，它使用虚拟化技术，位于私有数据中心内部。私有云之所以备受企业关注的重要原因之一，就是私有云拥有比公有云更私密的保护性。虽然因此其共享性受到影响，但是由于商业智能里所分析的数据都是企业内部数据，采用私有云可以对数据进行较好的保护。因此商业智能构架在私有云上，不仅使数据得到一定的保护，还可以使用云计算架构带来的好处。

所谓的混合云，则是结合了公有云和私有云的特点，是在云中存在两种或两种以上云的类型。混合云有机整合了公有云和私有云，使用户的数据和应用能根据不同需要在不同的云中迁移。它使企业既有自己的云计算环境，同时也能使用外部公共云计算的服务。它兼顾了公有云的成本优势和私有云的安全性，很受企业的青睐。

1.5 基于云计算的商业智能的优点

①提供更强大的数据存储和管理能力。面对海量的数据，传统的数据仓库模式已经难以满足当今的需求。基于云计算模式的商业智能则可以通过虚拟服务器、虚拟存储等服务，提供给企业更强大的数据存储和管理能力。②提高商业智能的实时性。企业的现状，包括业务信息、客户信息等不断变化，要做出更为准确有效的决策，就对商业智能的实时性提出了很高的要求。基于云计算模式的商业智能具有更快速、高效、稳健的运行性能，同时还具有传统商业智能所没有的扩展性。③硬件冗余自动故障切换。云计算将商业智能所需的数据、应用进行分块，建立副本，保存在不同服务器中，避免了物理的硬件损坏。④负载均衡。云计算商业智能可以将工作量均匀分配到不同服务器上，避免个别服务器工作负荷过大，让商业智能能够发挥最大效用。⑤个性化定制。将商业智能构建在云上，SaaS将从呈现层、业务层、数据层等层面，提供更人性化、更符合企业自身的可定制化配置和用户可自定义功能。⑥低成本。基于云计算模式的商业智能符合企业追求低成本的理念，有助于扩大商业智能在中小企业中的发展力度，吸引到更多的企业商家选择商业智能。

1.6 应用前景

云计算模式的商业智能下，企业可将大量数据存储到云中，减少企业硬件成本，获得可调控的存储量大小。在SaaS上，商业智能可提供不同的扩展包，分别为基础包、专业包、企业包。企业可根据自身需要购买不同层次的扩展包。这三个包处于递进的模式，给企业提供了更多的选择。商业智能所依赖的云，在现阶段主要是以私有云为主。虽然公有云的成本更低廉，但是其安全性还有待考证。然而，当条件日益成熟后，商业智能将逐渐由私有云转移到公有云，毕竟公有云的低成本特点符合了企业的盈利性质。随着云计算技术的日渐成熟，商业智能必将逐渐转移到该平台上，大企业、中小企业都将选择这种低成本、高效率、可扩展的模式，其应用前景十分光明。

2 安全隐患与解决方案

2.1 安全患

云计算的安全性一直是备受关注的问题。云安全主要包括两个方面，第一是系统安全，第二是数据安全。在云计算环境下，用户对云计算数据中心的强依赖性，以及云计算服务对网络条件的高要求，使得系统安全备受重视。虚拟存储等服务，实际上是将企业的内部数据外包给服务提供商，这使数据的私密性保护成为了云计算模式的一个困扰。但是，通过建立正确的安全模型、选择正确的安全方法，那么在云计算平台上也可以实现对数据、系统安全性的保障。

2.2 解决方案

在融合云计算的商业智能中，针对安全问题，可在原模型里设置一层安全层。云模式商业智能的安全模型构建主要包括三个层面的安全性保障措施：基础设施层、底部架构层、数据信息层，基于云计算模式的商业智能的构架如图1所示。

在基础设施层上，根据安全防护需求，将云计算划分成几个安全域。各安全域之间通过防火墙进行隔离。虚拟机接收到的包必须经过虚拟网卡。这个虚拟网卡是通过Host OS创建的，可对经过它的包进行过滤选择。倘若某个包是发往不允许接收的端口，则虚拟网卡会丢弃这个包，以此避免虚拟端口受到攻击。通过防火墙的隔离，确保各安全域之间的数据传输的安全性和稳定性。由于云计算需要建立在互联网之上，因而对基础网络的安全性也有要求。云模式商业智能的平台应进行统一IP地址规划，对各部分再进行IP地址和数据链路层地址绑定。此外还应建立异常流量监控体系，以防网络受到攻击。

在底部架构层上，主要针对的是IaaS服务。解决办法之一，就是将一系列虚拟机进行划分，在同一区域内的虚拟机拥有一致的安全水平，相互之间可以安全交换信息，并与非该区域的虚拟机隔离，通过特定的安全策略与可信虚拟域外的虚拟机进行通信。所有加入可信虚拟域内的虚拟机都需要事先通过安全认证。

在数据信息层里，可采取数据备份、身份认证、权限管理、加密传输等技术，实现对数据信息安全性和完整性的保护。为防止数据不慎损坏，需要对数据信息进行备份与恢复。通过对用户身份认证，确保以身份进行操作的操作者就是这个数字身份的合法拥有者，也就是保证操作者的物理身份与数字身份相对应。

3 结 语

商业智能与云计算都是未来的趋势。基于云计算模式的商业智能，其本质是商业智能，其平台是云计算，它结合了两者的优势。云计算的海量存储、运输、分析、挖掘能力，为商业智能提供了良好的基础，同时其拥有的相比传统模式更为低廉的收费，使企业减少成本，有助于吸引中小企业的加入。将商业智能与云计算相结合，其强大的功能将为企业管理决策带来前所未有的助力。

篇6

云计算的定义众说纷纭，笔者通过对不同专家对于这一问题的理解进行整理与总结，云计算就是指网络中含有的服务层，是并行的分布系统，使用计算机来对服务支持的层次提供保障。云计算对需要使用的软件会有很强的逻辑。而从用户角度来说，互联网软件需要加强对于云计算技术的理解。云计算主要是强调网络云所存在的属性及对互联网设置进行全面重视。计算机网络云技术使用的基础设备的维护需要使用一些设备，例如秒级别或者是分钟级别的设备，降低资源浪费的概率，同时，也可以有效避免互联网资源出现就过载。云计算还可以对网络进行计算与，对集成技术的也可以进行使用。云计算需要对数据进行研究与计算，保障数据资源的共享。而计算机服务对网络云计算资源需要进行科学合理的配置。云计算按照服务属性的差异，可以将其分为共有与私有云计算。而私有云计算是为某一位客户单独建立，可以加强对客户的服务频率，提升服务质量，也可以将数据质量进行控制，保障系统应用顺利。而公有云计算主要是指一种公共平台，以供企业使用。

2网络云计算的实现

现阶段，计算机系统的处理需要对其进行简化，可以将计算机系统分为对性质与功能的预先处理，可以根据云计算系统中比较抽象的部分分为不同小环节，然后对于不同环节进行预算处理。需要预先计算数据及了解云计算功能，在实施过程中，需要检测处理结果，部分人员需要将特殊的功能进行全面公布，使用这种方法可以将云计算系统运行的过程进行简化，提升网络云计算运行效率。云计算能力是网络云计算系统运用的一个基础部分，如果计算机系统需要处理的数据数量比较多，就可以使用处理能力强的计算机进行处理。

3计算机网络云计算的技术使用

3.1计算机网络技术的特征

由于网络云技术的规模大，可以在其中存储多种数据信息，因此，就需要大量服务器。网络云计算技术的可靠性很高，主要是由于数据在系统与云计算服务过程中，需要将数据进行备份，保障数据的安全，避免出现数据损坏。如果出现数据丢失，数据的备份就可以进行使用，保障了网络云计算数据的绝对可靠。计算机网络云技术具有虚拟性，用户可以在任何时间段内对云计算技术进行使用。由于云计算技术的使用已经逐渐普及，可以对不同用户进行识别，大部分用户的终端设备是虚拟化。云计算的功能之所以如此强大，主要是由于对于用户所使用的接受信息的终端设备没有要求，对于民众来说，是一个使用比较方便的功能。用户只需要将其设备与网络进行连接，就可以对数据文件进行上传。用户可以以自身的喜好为主选择工具，在云计算系统中输入网址之后，就可以进入系统洁面。在网络云计算技术的后台有一批管理人员，他们主要负责对计算机进行维护，还需要对其信息进行更新，保障信息安全、实效。而对于计算系统的软件也需要进行升级，保障信息数据功能的拓展，提升用户体验。通过协调维护可以有效避免云计算系统出现病毒；云计算的通用性，计算机网络云技术与不同设备可以一起使用，确保了用户交流的畅通性，用户可以一次性使用多种应用；云技术还具有高度扩展的性质，可以以用户的使用情况为参考标准，对云计算技术进行管理或者是改善。由于云计算的存储功能很大，可以对用户进行分类，如果用户是私有云计算用户，就可以给用户提供转移服务，也可以进行公有云计算服务，满足企业的需求，进而满足不同用户的需求，提升云计算的运行效率。在同一个云计算系统中，可以实现对于用户进行差异化的服务，同时，也可以对有用户进行远程云计算服务，保障服务的质量得到有效提升。

3.2云计算技术的使用

云计算要进行使用，就需要创建云计算服务系统。这就需要专业人员对于云计算的一些部分进行效果调试，由于现阶段的网络云计算系统结构，还没有一个专门的云计算架构，也缺乏专业技术。通常来说，云计算服务系统会选择SAN系统，这种形态是一种集群形式。相关人员可以将数据信息存储在其中。部分人员可以将集群进行细分，分成不同的数据区块，然后将数据节点中含有的数据结构进行比较，这样做的目的是给数据访问提供便利。客户如果预先提出了访问需求，企业部分人员就可以通过节点与客户加强互动。SAN系统传输数据的能力比较快，传输数据的速度也相对较强，可以对复杂云计算的进行全面管理。如果服务商需要创建私有的云计算数据，SAN结构的扩展能力会比较强，但是有一点，此系统对计算机硬件要求会比较严格，如果成本欠缺，为了减少成本支出，可以将SAN系统与一些其他系统结合起来使用。由于云计算也需要进行系统处理，处理系统内的数据，就需要有具体的目标与任务，但是，由于部分数据计算机中是没有的。通常情况下，网络云计算中所遇到的计算机系统就是计算机系统，部分人员可以将系统不同的计算机进行组合，将其将其推广，保障网络计算机云计算的顺利运行，网络云计算的使用也可以对资源进行共享。

3.3保障数据安全

网络云计算服务主要是需要由供应商来提供的。如果想要保障云计算中数据的安全，就需要以用户的使用情况为参考标准进行访问权限的设置，进而确保资源的安全。互联网背景之下，需要对资源进行科学合理的分享与应用。另外，还需要进行数据信息的加密，构建网络安全防护设施，确保用户信息的安全，因此，云计算技术要想得到长远发展，就需要构建安全体系，提高云计算系统中信息防护的水平。而用户也需要提升自身的安全意识，在获取资源过程中，需要按照规范进行操作，保障自身信息的安全性。新时代，计算机云计算技术需要以实际发展情况为参考标准，确保云计算技术能够得到顺利发展。

3.4云计算应用技术

云计算数据对于计算机设备的要求变得愈加严格起来，一些计算机由于空间比较小，已经没有办法承载股太多数据信息，这就需要加强对计算机硬件的升级，同时，还需要保障计算机的正常运行不会受到任何影响，提升计算机使用空间，保障存储数据的安全。网络云计算技术需要用户进行上网操作，实现对云计算功能的全面使用。云计算的使用对于计算机的配置没有任何的要求，在互联网络上，云计算可以实现对于数据的计算。用户不需要对计算机硬件进行升级或者是更新，用户只要能够上网就已经具备了与云计算连接的能力。云计算技术的使用不仅实现了数据安全存储，也节省了资金的支出。云计算技术可以满足不同用户的需求，也可以将资源进行共享。云计算系的管理也可以使用云计算技术，云计算系统主要组成部分包括用户界面、管理系统、服务目录、监控、部署工具、服务集群。在云计算能协调的用户界面中，用户可以进行数据信息的传输，而服务器集群主要功能是为用户提供多样化管理。

3.5资源监控

由于网络云计算技术数据比较繁多，且应要想提升资源信息的更新速度，就需要保障动态信息传输的快捷性。云计算系统可以对数据进行有效管理，对资源系进行监控。对系统进行数据监管与控制是一个非常重要的环节。如果资源管理出现失误，数据信息就会失去可靠性，那么系统内部的子系统就有可能会使用错误信息，这就会为之后进行资源管理造成一定程度的影响。因此，就需要对云计算系统中的数据进行有效控制与管理。对于不同的云计算服务器可以安装必要的程序，利用其可以进行监督管理，也可以对信息进行科学合理配置。例如管理人员可以使用一个监视设备将所有的云计算资源的服务设备进行全面连接，然后对其进行管理，将云计算形系统的数据传输到数据库中。管理人员可以使用监控设备的数据库将所有的云计算信息进行分析与整理，对数据信息进行评估，提升网络云计算系统中资源的使用效率。

篇7

关键词：椒江区；教育信息化；调查；思考

中图分类号：G434 文献标志码：B 文章编号：1673-8454（2014）19-0068-03

一、教育信息化工作的现状

1.基本情况

椒江区陆地面积282平方公里，海域面积1604平方公里，海岸线长51.44公里。全区中小学校、幼儿园共111所，在职教师6720人，在校生88861人。现有国家级重点职业中专1所，国家级绿色学校2所，省级重点高中4所，省、市文明学校4所。近年来，椒江区教育均衡、优质、快速发展，先后获得全国义务教育发展基本均衡区、“十二五”中国教育改革实验区、国家基础教育现代学校制度先进实验区、省教育强区、省体育强区、省教育科学和谐发展考核优秀单位、省中小学生课外问题活动工程示范区等荣誉。椒江区教育以打造“首善之区”和“构筑台州教育高地”为目标，依托构建“教育发展共同体十大组团”，实现优质教育资源共享共用，实现城乡学校共生共长。

2.主要成效

（1）经费投入：2013年我区普通中小学教育技术装备经费总投入3036万元，同比去年增加了16.4%。其中小学投入1047.54万元，中学投入1051.67万元，职教投入936.81万元。教学仪器投入494.17万元，图书投入313.36万元，信息技术装备经费投入1828.49万元，生均教育技术装备经费达到3856.34元，名列台州市9个县市区中第一。其中生均新增教育技术装备经费474.5元，生均新增图书经费48.98元。

（2）装备统计：至2013年底，我区已装备计算机18060台，同比去年增加了2225台。其中2007年以后购置且在正常使用的计算机台数为11296台，占总数的62.5%。计算机总值为7438.6万元，网络及外部设备总值1319.58万元，多媒体教学设备总值3162.1万元。其中生机比中学为2.76：1，小学为5.02：1，职教为2.49：1。全区35所公办中小学校，均覆盖网络，拥有校园网，其中75%使用1000M网络。全区1456个班级，多媒体套数2307，普通教室配有多媒体套数达到1：1的要求。微格教室共建立了23套。

（3）教师培训：据统计，近几年我区只有60多人次通过90学时形式的继续教育培训，接受过信息技术培训。

3.主要做法

（1）建立机制，推动教育信息化工作发展

为明确教育信息化发展方向和目标，我区根据《浙江省教育信息化建设工程实施办法的通知》、《台州市教育信息化“十二五”发展规划》等文件精神，成立信息化工作领导小组，对教育信息化的建设、配备与使用提出了比较具体可行的要求。主要是：一是强调学校领导应该不断加强对教育信息化重要性的认识，把教育信息化作为学校的一项工重要作抓紧抓好，做到每年工作有计划有步骤、有检查有落实。要求建立校级信息化工作领导小组，加强对校内信息化建设的总体规划。同时还对教师提出：要通过多种形式学习信息技术，提高获取和使用各种信息的能力，推进信息技术与其他学科教学的整合。二是加强引导：通过《椒江教育》刊物、椒江教育网站及时宣传推广和表扬教育信息化工作中先进单位的好经验好做法，促进我区教育信息化水平的提高。

（2）规范管理，建立健全规章制度

管理工作是教育信息化重要环节。为使管理工作有章可循、充分发挥设备效益，我们把建章立制工作作为教育信息化的常规工作。为便于管理，我们统一汇编了一套教育信息化设备规章制度（校园网管理暂行条例、计算机房管理规定、教师电子备课室使用规定、多媒体室设备使用管理条例、电子阅览室使用规定、现代教育技术中心工作职责、现代教育技术中心主任职责、电教器材管理员职责、语音室管理员职责）。我们要求学校必须参考网上的制度汇编，结合学校实际认真制定计算机室、多媒体室、电子备课室等功能教室的规定、条例、守则、职责，不断完善规章制度，并做到制度有上墙、财产有登记，使用有记录，责任有落实，开课有计划，确保教学工作正常进行。为使管理制度不流于形式，我们还充分利用平时的年度检查、平时的督导，检查制度的落实。

（3）合理使用，不断提高现有设备的使用效益

教育信息化工作重在使用。目前我们必须认识到：教育信息化是教育现代化的必然要求，是全面推进素质教育的需要。它有利于提高学生的素养，能够突破教育环境的空间，共享优质教学资源，提高教学质量。为此在教育信息化的使用工作中，我们一是抓紧师资培训，提高师资素质；二是把运用现代信息手段和丰富的网络资源探究面向新课程标准下的教学模式和方法作为当前乃至今后相当一段时间内的重点。我们要求学校教学工作必须加强对信息技术与学科整合的研究，努力提高教学效果。

二、教育信息化工作的思考

1.主要问题分析

几年来，我区教育信息化工作取得一定的成效，但还存在着各种各样的问题：数字化概念模糊，发展无从入手、学校教育信息化管理工作不到位、财政投入的压缩、师资队伍中技术力量短缺、网络安全意识薄弱、师资培训不到位、配套软件设施无法跟进等问题。

（1）顶层设计缺乏。椒江区教育局有三个部门来分头协调教育信息化工作。部门分散导致有些工作无法正常开展。同时也没有专人负责对教育信息化的顶层设计，导致各中小学依旧依赖传统教学模式，先前投入的硬件设施无法达到预期效果。

（2）管理制度不完善。虽然我区下发了一套教育信息化设备规章制度，但是没有一个有关信息化的整体制度制约，信息化长期发展将会出现瓶颈。制度决定发展，制度制约发展。对于推进教育信息化发展，一部完善的信息化管理制度亟待出台。

（3）财政预算压缩。前期对硬件设施的大幅度投入，但收益甚微，且后期维护成本比较大。随着财政经费的缺乏，数字信息化存在极大的经费缺口。

（4）师资培训不够全面。随着对教师继续教育培训的重视，越来越多的教师只能接受教育教学能力的培训，而忽视对教育技术能力的培养。据了解，近几年我区只有60多人次通过90学时形式的信息技术培训。

（5）安全意识薄弱。过度的使用互联网，导致广大教师对网络的依赖性越来越强，但是安全意识却亟待提高。病毒、网络暴力等现象充斥着校园网络。

（6）监管力度不到位。只注重用，没有强力的监管力度，很容易造成在网络中无所事事。目前就出现部分学校教师在学校中上网聊天、玩游戏、看视频等现象。

2.思考措施办法

（1）开展顶层设计，为信息化发展提供理论保障

教育信息化是教育现代化的必由之路，是缩小城乡和区域教育差距，实现教育均衡和公平的重要手段，是实施素质教育，培养创新人才的必然要求。依据椒江区教育信息化的发展现状，对数字化校园建设，特别是区教育云平台的顶层设计，必须建立一个完整而实效的设计思路。经过深思熟虑，建议设置如下表所示框架：

（2）加强制度管理，为信息化发展提供基本保障

虽然我区下发了一套教育信息化设备规章制度，但是没有一个信息化的整体制度制约，信息化长期发展将会出现瓶颈。制度决定发展，制度制约发展。好的制度对信息化将有极大的推进作用。我区将出台《教育信息化建设工程实施办法》的通知，规范各中小学信息化发展。

（3）加大经费引进，为信息化发展提供经费保障

“各级各类学校应确保有足够的公用经费用于教育信息资源建设和应用。鼓励创建多元化资金来源渠道和机制，探索引进市场运行机制，广泛动员和争取社会各方面力量参与教育信息化建设。”在省市的文件精神的倡导下，基于椒江区目前财政经费短缺的状况，适当考虑采用服务外包形式建设教育服务公共云平台及相关设施是极好的对策。由区教育局通过招标，让有实力的上市公司免费出资建设区教育服务公共云平台和搭设硬件平台，而经费采用学校每年按照学生数支付一定额度的服务费。考虑服务费的额度和今后的售后服务，可适当考虑延长服务时间。同时考虑今后信息化的市场运行，可再次降低服务费用。

（4）促进技术培训，为信息化发展提供技术保障

目前信息技术培训缺乏，导致很多学校教师对信息化产品的使用存在大量问题。学校要提供政策支持，区教育教学发展中心要加大信息化培训力度，推动教师参加现代教育技术的业务学习和进修工作。加强教育技术学科带头人培养，关心教育技术人员技术职称评定和工资待遇，规范对教师聘任的教育技术能力要求，并把教师应用现代教育技术的能力和绩效作为教师考核、评优、晋升职务职称的内容之一。

（5）普及安全意识，为信息化发展提供安全保障

建立教育信息化安全运行保障机制，严格执行国家、省、市和区的网络、信息安全相关法规、政策，建立信息安全组织管理体系，制定完善全区教育系统的网络运行、网络安全、数据安全等规章制度和技术保障措施。

（6）加强督查考核，为信息化开展提供机制保障

只有有效的督查考核，才能促进信息化的高度发展。开展学校教育信息化发展状态评估和绩效考评。开展数字化校园示范评选。建立信息技术应用工作定期总结表彰制度。把教育信息化建设、管理、配备和使用情况纳入学校目标管理和督导评估考核，并作为“教育科学和谐业绩考核”、“教育现代化水平评估”的重要内容，切实推进教育信息化工作。

三、教育信息化工作发展规划

1.教育信息化工作指导思想

过去几年是我区教育信息化的建设阶段，是属于“重建设，带应用”的阶段。在这个阶段中我们已取得良好的开端，打下扎实的基础。今后几年是我区教育信息化发展的重要时期，我们将进入“重应用，带建设”阶段。在这个阶段教育信息化工作任务重、难度大，我们要认真总结经验，在原有的基础上，抢抓新机遇，振奋精神，有计划、有重点、分层次地发展，为开创我区教育信息化工作新局面再努力。

2.2014-2015年目标、任务与要求

（1）全区教育数据中心顶层设计：力争在2014年底完成全区教育数据中心顶层设计，为今后使用教育公共服务平台以及相关配套设施打好坚定地基础。

（2）全区教育公共服务云平台建设：力争2015年底前完成对全区教育公共服务云平台采用服务外包形式的招标工作。该平台涵盖办公管理、资源管理、网络教研系统等整体服务。

（3）全区教育资源库的建设：一是要充分利用好当前学校的校本资源，兼带其他一些商业化的教育资源，建立区级资源库，同时要鼓励和支持广大教师特别是骨干教师网上搜集、自制教育信息资源。二是要以中小学生学藉管理为切入点，逐步建立健全学校、教师、学生基本信息数据库。

（4）大力推进应用工作：如果一味地投入建设，而不强调应用，那信息化将是一个空话。只有加大应用才会对信息化有一定的促进作用。预计通过一些师资培训和教育教学比赛、活动来推进应用工作。

（5）加大全区信息化技术力量的提升：对全区网络管理人员进行相关技术的培训以及教师网络安全意识的培养，让广大教师都来参与管理和应用信息化。预计在2014、2015年采用多形式的继续教育方式，提升全区教师的信息技术水平，最好对教育教学的辅助作用。

（6）加快出台《教育信息化建设工程实施办法》的通知：对全区信息化发展提出总体建设方案和实施方法，促进各校对信息化的整体发展意识。

3.至2018年远景目标

（1）完善数字化教育教学环境，各级各类学校建立健全数字化校园。

（2）建立健全网络监管机制，让每个教师和学生都能生活在安全、高效的网络环境中。

篇8

关键词：大数据；金融产业；创新

大数据也被称之为巨量资料，意为在新处理模式影响下才可以拥有的；有助于强大决策力、深刻洞察力、流程优化力的多样化信息资源。因为信息技术水平的进步，原有的那种单纯用于网络搜索内容、批量处理海量信息的描述，得到了更为广泛的应用空间。特别是由于互联网云时代的来临，越来越多人关注到了大数据背景下信息资源的专业化和系统化处理。在这种情况下，金融产业创新自然应当与时俱进，以多种手段谋求众多数据的增值可能。

一、大数据背景下金融产业创新的意义

（一）提升资源配置效率

出于达到利润最大化及风险控制间的平衡考虑，那些资产雄厚或者流动性较强的大中型企业显然在金融产业中更受欢迎，而一些中小企业则难以享受更大的利益，从而导致金融资源配置效率的低下。利用大数据金融产业创新的策略，将有助于构建完善的社会征信体系，尽最大可能解决中小企业的融资困难问题，实现大众创业、大众创新的可能。

（二）确保金融安全

大数据金融产业创新发展是促进全行业发展的前提条件，而其中的安全保障功能则更不容小视，将大数据平台的安全评测、风险评估等项工作做好，明确不同环节的数据应用边界及要求，强化大数据背景下避免攻击、预防窃取的工作，才能使大数据金融真正发挥出理想的作用效果。

（三）避免系统性风险

金融风险呈现的形式可谓复杂多变，因为产品的不同、市场的差异，金融风险出现后可能造成相互传导和波动等问题，所以一定要借助发展大数据金融产业创新的策略，用以增强风险识别与防范能力，避免避免系统性风险的出现。

二、大数据背景下金融产业创新策略

为了真正让上述大数据背景下金融产业创新的意义得到彰显，需要做好下述几方面的策略调整。

（一）增数据获取能力

在金融行业中，竞争的重点依然在于数据，比如银行业进行网络融资、保险业进行虚拟财产探索，都要以大数据为基础。再者，多数金融机构都要做好产品整合强化工作，并保证激励机制的完善化，而种种工作，同样需要建立在整合优化资源的前提下。为此，金融从业主体需要努力采取多种方法，保证数据获取能力的提升，行之有效的一种办法是：利用企业报表产品，还有商业智能产品所具有的融合可能性，对大数据技术增加创新研发力度，保证企业在大数据领域具有潜在的市场影响力。此外，还要注意，在传统业务继续保持活力的基础上，进一步增加云计算还有移动互联等的关注度，使这些新业务缩短从技术研发到市场投入的时间。比较典型的一个例子是中国建设银行为了配合大数据背景，较早上线了“善融商务”电子商务平台，同时涵盖了多种商务模式，提升了大数据的应用率。

（二）提高技术研发水平

在大数据背景下，数据的基本特点让其自身收集、整理、分析、应用等皆需要借助完善的软硬件支持。应该说，大数据入门技术标准要求是比较高的，所以，金融从业企业需要关注到以数据分析技术为重点方向的人工智能研发，借以巩固发展基础，特别是要促进非结构化数据的技术处理，强调可视化技术的研发，从云计算、移动互联网，还有物联网几个角度形成行之有效的处理办法。另外，对于金融机构而言，首先自然要注意按照既有数据进行相关的信用评估工作、风险控制工作，除此以外，还要在数据分析和挖掘方面做出努力，从而真正改变人工调查的现状，达成信用评估自动化效果，以满足企业成本节约、效益提升的客观要求。

（三）形成大数据金融系统

现在行业内普遍未能形成完善的大数据金融系统，很多都存在着金融平台经营不理想、合作模式缺少创新的问题。为了改善这种情况，金融企业需要着力打造以大数据为背景和前提的金融系统，用开放的心态构建互联网金融合作平台，使更多伙伴投入其中，利用战略联盟的形式增强品牌竞争水平。当然值得注意的是，联盟并非等同于并购，它更像是一种优势上的互补，在资产所有权不发生转移的前提下，提升战略联盟成功的可能性，保证大数据应用效率的提升。比如前几年百度和中国平安集团达成的战略合作意象，使双方从大数据金融中得到真正的实惠，而阿里巴巴和民生银行、优酷网等的战略联盟，同样关注到了资金清结算、理财、直销等业务背后的大数据基础。

（四）增强用户体验满意度

想要更加协调大数据背景，金融产业创新尤其是具体产品的创新，必须要关注到用户体验问题，以求真正站在用户的角度、适应用户的需求。为此，金融产业需要进一步完善产品与服务设计功能，在确保账户安全的基础上，尽可能给用户以高效便利的金融服务。因为要考虑到大数据迅速发展的大背景，我们必须要承认，在未来，金融行业将更有可能走向移动化、专业化及模块化之路，人们在任意的时空场景下，都会产生金融服务需求。为此，这种需求的聚合、组合模式，有必要从金融中心数据中得到更大的帮助，让不同用户在不同环境下得到不同的服务呈现，而这种呈现又会随行业布局、用户心理等因素的变化而调整。

篇9

企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件，做到每台计算机可管理可控制，并掌握整体终端计算机安全动态。通过桌面安全软件部署，保证病毒定义码和补丁更新，也可自动分发企业定制的安全策略，如安全基线设置、违规接入审计、系统补丁等，保证企业信息安全政策连贯执行，达到统一标准。

2运行环境安全

在终端计算机安全防护体系建设中，运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境，在网络环境中给终端计算机加几把锁，把握其方向轨迹和动态。

2.1IP地址固定

在网络中，IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法，技术上在网络设备里通过DHCPSnooping和A－CL列表，实现IP和MAC地址绑定。

2.2控制上互联网计算机

因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度，技术上实施是在IP地址固定的前提下，在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。

2.3部署准入设备

为保证网络安全，在网络边界或内部部署准入设备，设立终端计算机入网规则，如必须安装企业桌面安全软件和配置安全基线等等，通过进程检测合规后入网或可访问关键业务。

2.4部署内容审计系统

在互联网出口边界部署内容审计系统，在线对终端计算机访问互联网的行为进行2~7层的识别，可进行关键字的设置过滤、URL过滤，对于计算机的互联网行为做到可控制、可管理、可审计，以保证网络信息的安全。

2.5部署服务器

为保证终端计算机上网安全，一般建议在互联网出口设置服务器，用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度，方便对用户行为进行管理和审计，起到防火墙作用，保护局域网安全。

3安全管理

三分技术七分管理，是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中，技术操作都是通过管理来实施的，因此形成一套安全管理机制并始终贯彻运行，是十分重要的。

3.1建立终端计算机管理制度

建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施，如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度，通过建立健全这些制度，形成信息化考核机制，使得终端计算机安全工作有章可循。

3.2提高计算机安全管理的力度和深度

在企业计算机安全管理管理中，管理人员首先要提高各级领导和员工网络安全重视程度，其次定期通过各种手段完成终端计算机安全检查工作，如通过桌面安全系统、审计系统检查计算机违规行为，根据规定实施处罚等，最后安全管理人员要主动识别和评估安全风险，制定和落实安全整改措施，确保终端计算机持续安全稳定运行。

3.3建设完整的计算机实名库

通过建设终端计算机实名库，掌握计算机管理动态，实现计算机资产管理，给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等，从而完成终端计算机实名库的建设。

3.4建立网络建设标准

通过网络建设标准的建立，保障终端计算机安全运行环境，也加强了桌面安全防护体系在网络体系建设中的作用。

3.5建设一支过硬的信息化队伍

在企业中，建立信息安全组织架构、明确组织责任、设置相应岗位，建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。

4结语

篇10

关键词：云安全审计；可追溯数据；可信任云框架；日志分析

中图分类号：TP309.2 文献标识码：A 文章编号：2095-1302（2016）06-0-05

0 引 言

云计算是当今最热门的应用和研究领域，其特性要求公司和个人用户将自己私有资源的一部分甚至全部控制权移交给云服务提供商，这势必引起用户对数据安全的担忧。向用户完整可信地提供其私有数据的作状态，可以有效解决双方的信任问题。

针对以上潜在威胁，预防控制（Preventive Controls）被广泛应用（例如加密技术和基于ID分析的访问控制）。这些方案有效提高了云环境中数据的安全性，但依然无法直观地为用户提供云服务信任证明，因此很有必要采取措施来提升云服务提供商的透明度、监管力度和可信度。欧洲网络与信息安全委员会在云计算风险评估报告里指出，云计算中最具有风险的一种表现是“监管缺失”[1]。因此提出了检测控制（Detective Controls）方案， 而对云端数据进行审计是检测控制的一个重要体现。

尽管很多云服务提供商如亚马逊[2]等认识到了审计对提高用户信任度的重要性，但依然没有能力对发生在物理和虚拟服务器上的数据进行审计。云计算研究小组（现云安全联盟）意识到了这个问题，并在《云计算面临的最大威胁》中提出7大风险[3]，指出对文件被使用情况进行追踪，可有效降低云服务的信任风险，同时可自然运用于云安全审计的研究。

HP云安全实验室在2010年提出“云计算的信任”这一概念，用以描述用户对云环境的信任程度，并给出了影响云环境受信任度的因素。

（1）安全性[4，5]。使未授权用户难以获取越权信息的机制。

（2）隐私性[6，7]。防止个人信息泄露和丢失的保护措施。

（3）可信度[8，9]。勇于承担达成共识及声明的责任与义务。这一个因素也被很多组织所认同，例如OECD， APEC， PIPEDA等。

（4）审计性 [10]。系统或者环境的审计难易程度与相关的记录保存和系统是否能提供高效的审计手段有很大关系，弱审计性可能没有完整记录保存或者无法提供有效审计，而高审计性则相反，能够检测出违反相关政策的行为。

预防控制能够防止违法行为的持续发生，而检测控制则能识别出违法行为的出现和相关安全风险。检测控制很好地弥补了预防性控制的不足，本文将预防性控制和检测控制有机结合，基于CALC（Cloud Accountability Life Cycle，CALC）模型[11]构建一个有效且可信任的云安全审计框架，并与现有的基于日志的云安全审计解决方案进行分析对比。

1 可信任云安全审计框架

R.K.L Ko等人在2010年提出了CALC模型，指出了“可信云”的概念，本节将在CALC的基础上提出新的可信云框架，并详细论述框架间的逻辑关系和框架的组成元素。

1.1 CALC模型

云计算的发展给相关审计带来了较高的复杂性。因此一个包含所有关键阶段的流程就显得特别重要，它可以简化很多复杂问题，让云安全审计的研究者们一目了然，并且可以帮助他们专注于某一阶段进行更深入的研究，CALC模型的目的正在于此。CALC理论模型如图1所示。

1.1.1 政策制定

云服务提供商必须决定日志采集对象以及哪些事件需要被日志记录，这里有四种比较重要的信息：

（1）事件数据：一系列活动和相关信息；

（2）操作人员：发起操作事件（例如人或者网络爬虫）的对象；

（3）时间戳：事件发生的时间和日期；

（4）事件发生的物理和虚拟地址。

1.1.2 识别和追踪

识别和追踪阶段的目的是识别云端的全部操作。审计工具对非法操作的识别和追踪需要从底层系统的读写操作追踪到分布在物理服务器上的虚拟端的高层工作流，同时包括云内部网络通信包 [12]。

1.1.3 记录日志

以文件为中心的日志记录需要在云端的虚拟和物理层进行，同时需要考虑日志在云内的有效时间、日志的存储位置和其他相关因素。

1.1.4 日志的安全储存

在日志采集结束后，我们需要保护日志的完整性，即防止未授权者非法获取或篡改日志信息，并需要引入数据加密及合理的备份机制。

1.1.5 报告及重现

报告工具由以文件为中心的日志总结、审计线索的报告、文件的获取记录以及文件在云内的运行周期组成。所以报告可能包含多重因素，例如虚拟机和物理端的服务器历史记录，OS级别的文件读写等。

1.1.6 审计

审计员或者利益相关者对日志和报告进行审计，对可能的非法行为进行标注。如果可以实现自动化，审计的过程将具备“强制性”。自动且强制执行的审计对于大数据容量的云环境十分适用，也使检测非法行为变得更为有效。

1.1.7 优化和修正

存在于云端的问题区域和安全漏洞在这一步被移除或者修正，相关控制和监管得到进一步提升。

认识到PASS方案对主机内核的依赖，Macko等人采取不同的办法[16]。他们通过修改Xen系统管理程序，收集来自客户机的内核级可追溯信息（例如在管理程序上运行的虚拟机）。可追溯信息的收集是通过放在DomU上的一个拦截器从Xen的syscall_enter_mechanism系统调用指令拦截而实现的。但这种解决方案依然是面向独立主机的，无法获取云中主机间发生的通信行为。Zhang等人在理论层面讨论了保证可追溯信息完整性和机密性对于整个审计方案的重要性[17]。

和以上几种方式不同，Ryan K L Ko等人根据以数据为中心的思想，提出了S2Logger[18]和 Flogger[19]。对于Flogger来说，是记录虚拟机和物理主机两层的文件操作。因此，物理机与其各个虚拟机的文件操作都是相关联的。S2Logger建立在Flogger的基础之上，Flogger只能获取文件级的事件，S2Logger则可以对文件级和块级进行捕获。S2Logger通过关联不同主机在发送和接收文件时读取和写入事件，能够跟踪数据在云数据中心中不同主机间的传输。

2.1.2 云内部网络通信

在这一层，可追溯信息获取工具主要记录网络事件和网络节点间的信息。

BackTracker[20]是一种监测网路协议层入侵的工具，并能够追踪网络中入侵行为的源头主机。双向分布式BackTracker（BDB）通过建立因果图，分析独立主机的事件追踪入侵。这种因果图被加工成一个来源图向分析者提供一个事件序列以描述入侵的路径。BDB需要网络内每台主机都支持BDB工具。无监视的主机则不能被追踪。同时，BDB也不能防止对可追溯记录的篡改。

2.1.3 应用层

Singh等人提出一个让追踪程序检查、记录和分析的平台[21]。这种平台建立在P2[22]――分布式的算法发展系统上。这种方案通过一个运行在P2系统缓存上的追踪器检测和记录。获取的可追溯信息可以被一种查询语言――OverLog查询。这个平台使程序员可以检查和分析算法执行错误、安全漏洞和识别错误。

Pip[23]提供给开发者一个注释库使得程序可以生成事件和定义资源。通过一种说明性的语言，开发者可以描述他们应用的期望。通过期望和程序执行追踪记录，Pip中间件检查并报告异常行为。

E-notebook[24]被设计用来支持共享数据中的信任和责任。中间件直接连接与仪器匹配的工具软件并报告未加工数据上下文的生成，也报告资料库的变化。这些来源报告是模型化的有向无环图，并且有用户数字签名，以证明数据的拥有者。通过使用一个基于规则的信任管理语言，可以设置一个信任模型，用户可以基于自己的经验推荐其他用户的信任等级。方案对于在应用层检查异常行为和追踪、报告数据变化是有用的。但对于程序外部的行为则不能捕获。所以，需要在多层进行信息采集使得对发生的事情分析更完整。

2.2 可追溯信息的可靠性

为解决可追溯信息安全问题，Zhou等人提出安全网络来源（SNP）方案[25]，使用认证器防止可追溯信息被篡改。通过一套涉及认证器使用的认证规则，在各自节点确认发送和接收事件。可追溯信息的一致性通过比较不同节点的信息完成。从性能角度来说，SNooPy只能鉴定出网络中的错误节点。SNP技术的原型――SNooPy被多种程序实现。实验表明因为认证器的接受、发送、验证和标记，SNooPy产生大量的网络通信和进程装载。

Lyle等人[26]提出可以应用信任计算的技术来解决可追溯信息可靠性问题。利用信任平台模块（TPM）来提供日志采集的可靠环境。但是使用这种技术最明显的缺点就是运行速度慢，因为它要不断地计算哈希值和加密措施。

Rosenthal等人[27]提出应用“可追溯图”来管理可追溯信息的方案，当图中的任何节点遭到非法修改都需要迅速地将该点移出“可追溯图”。

另外，Bonsai[28]也试图利用电子签名来更有效的实现可靠的可追溯信息储存。

3 方案比较分析

3.1 可追溯信息获取方案的对比

对以上各个层次的不同方案进行对比，本文认为从以下几个方面评价可追溯信息获取方案的优劣较为准确、全面。

（1）跨主机追踪：在分布式系统里，获取网络内不同主机的可追溯信息，能够准确描述系统中数据的状态。

（2）低耦合性：可追溯信息获取工具必须保证其在两方面的通用性，一方面在不同应用程序里可以不需要做改变就直接运行，另一方面在不同的平台上也能正常运作。

（3）多级性：工具可以跨越系统的多个层次进行信息获取。确保通过分析可追溯信息即能得到数据在系统中的真实状态。在分析数据安全威胁的手段和来源方面尤为重要。

（4）安全机制：工具该具有保护数据安全的相应机制。

（5）分析界面：工具应该具有友好的用户界面用于展示相关的数据分析，或能够向下提供良好的接口。

结合以上几点，我们将现有的方案进行了对比，具体如表1所列。

3.2 可追溯信息的安全机制

对于可追溯信息的安全机制，本文给出以下四个标准：

（1）保密性：由于可追溯信息的敏感性，记录的保密性就显的更为重要。要求任何未授权的人都无法查看信息。

（2）防篡改性：防篡改性意味着数据必须保持原始的一致性，不能受到任何篡改。如果被修改，必须有明显记录。

（3）稳定性： 这一属性要求保证管理者在任何时间段都能正确地获得数据和分析。

（4）可靠性：这一属性要求整个信息获取过程是可信的。

结合以上几点，我们将现有的方案进行了对比，具体如表2所列。

4 结 语

本文首先从宏观上阐述了云安全体系的整个框架，分析了目前云安全存在的问题，并在CALC结构基础上提出了基于日志挖掘审计的可信任云框架，从框架的外部法律政策到内部的数据采集、储存以及分析3个层面逐一给出了抽象的概念和相应的研究重点。然后，本文从技术层面讨论了实现内部的数据采集，储存和采集模块的相应方案，通过分析现有的数据采集来分析系统优缺点，提出可追溯云安全审计系统应采取基于系统日志的挖掘分析手段。最后针对云隐私数据审计的安全性，结合政策设置和技术实现本文提出的可信任的云安全审计系统准则，为接下来实现云数据安全审计的具体方案提供理论支持。

参考文献

[1]林闯，苏文博，孟坤，等.云计算安全：架构、机制与模型评价[J].计算机学报，2013，3（9）：1765-1784.

[2] N Sinha，L Khreisat.Cloud computing security， data， and performance issues[C].Wireless & Optical Communication Conference， 2014.

[3] Cloud Security Alliance.Top Threats to Cloud Computing， 2015[EB/OL]. https：///topthreats.v.1.0.pdf

[4] J.Brodkin，Gartner：Seven cloud-computing security risks[Z]. Infoworld， 2008： 1-3.

[5] Shaozhang Niu，Shanshan Tu， Yongfeng Huang. An effective and secure access control system scheme in the cloud computing[J].Chinese Journal of Electronics， 2015，24（3）： 524-528.

[6] S. Pearson.Taking account of privacy when designing cloud computing services[C]. Proc. 2009 ICSE Workshop on Software Engineering Challenges of Cloud Computing，IEEE Computer Society， 2009： 44-52.

[7]冯朝胜，秦志光，袁丁.云数据安全存储技术[J].计算机学报， 2015，38（1）：150-163.

[8] A. Haeberlen.A case for the accountable cloud[J].ACM SIGOPS Operating Systems Review，2010，44（2）：52-57.

[9]冯登国，张敏，张妍，等.云计算安全研究[J].软件学报， 2011，22 （1）：71-83.

[10] Tuesheng Tan，Chao Wang.Trust Evaluation Based on User Behavior in Cloud Computing[J].Microelectronics and Computer， 2015，32（11）：147-151.

[11] R.K.L. Ko， B.S. Lee，S. Pearson.Towards Achieving Accountability， Auditability and Trust in Cloud Computing[C]. Proc. International workshop on Cloud Computing： Architecture， Algorithms and Applications （CloudComp2011）， Springer， 2011： 5.

[12] W. Zhou，M. Sherr，T. Tao，et al.Efficient querying and maintenance of network provenance at internet-scale[C].Proc. 2010 International Conference on Management of Data （SIGMOD 2010）， ACM， 2010： 615-626.

[13] Ryan K L Ko， Peter Jagadpramana， Miranda Mowbray， et al. TrustCloud： A Framework for Accountability and Trust in Cloud Computing[C]. 2nd IEEE Cloud Forum for Practitioners （IEEE ICFP 2011）， Washington DC， USA， July 7-8， 2011.

[14] M. N. Alpdemir，A. Mukherjee，N.W.Paton，et al.Contextualised Workflow Execution in my Grid[C].European Grid Conference Lecture Notes in Computer Science， 2005.

[15] K.-K.Muniswamy-Reddy，D.A.Holland，U.Braun，etal. Provenance-aware Storage Systems[C].Conference on USENIX’06 Annual Tech-nical Conference （ATEC’06）， 2006.

[16] P.Macko，M. Chiarini，M.Seltzer.Collecting Provenance via the Xen Hypervisor[C].USENIX Workshop on Theory and Practice of Prove-nance （TaPP’11）， 2011.

[17] O. Q. Zhang，M. Kirchberg，R. K. L. Ko， et al. How to Track Your Data：The Case for Cloud Computing Provenance[C]. IEEE 3rd In-ternational Conference on Cloud Computing Technology and Science （CloudCom’11）， 2011.

[18] C. H. Suen，R. K. L. Ko，Y. S. Tan， et al.S2Logger： End-to-End Data Tracking Mechanism for Cloud Data Provenance[C].The 12th IEEE International Conference on Trust， Security and Privacy in Computing and Communications （Trust-Com’13）， 2013.

[19] R. K. L. Ko，P. Jagadpramana，B. S. Lee.Flogger：A File-centric Logger for Monitoring File Access and Transfers with Cloud Computing Environments[C].IEEE International Workshop on Security in e-Science and e-Research （ISSR’11）， in conjunction with IEEE TrustCom’11， 2011.

[20] S. T. King，P. M. Chen.Backtracking Intrusions[C].The 19th ACM Symposium on Operating Systems Principles （SOSP’03）， 2003.

[21] A. Singh，P. Maniatis，T. Roscoe， et al.Using Queries for Distributed Monitoring and Forensics[C].The 1st ACM EuroSys European Conference on Computer Systems （SIGOPS’06）， 2006.

[22] B. T. Loo，T. Condie，J. M.Hellerstein，et al.Implementing declarative overlays[C].The 20th ACM Symposium on Operating Systems principles （SOSP’05）， 2005.

[23] P. Reynolds，C. Killian，J. L. Wiener，et al.Detecting the Unex-pected in Distributed Systems[C].The 3rd Symposium on Networked Systems Design and Implementation （NSDI’06）， 2006.

[24] P. Ruth，D. Xu，B. Bhargava，et al.E-notebook Middleware for Accountability and Reputation Based Trust in Distributed Data Sharing Communities[C].The 2nd Intenational Conference on Trust Management. iTrust 04， 2004.

[25] W. Zhou，Q. Fei，A. Narayan， et al.Secure Network Provenance[C].The 23rd ACM Symposium on Operating Systems Principles （SOSP’11）， 2011.

[26] J. Lyle，A. Martin.Trust Computing and Provenance： Better Together[C].The 2nd Conference on Theory and Practice of Provenance （TaPP’10）， 2010.