云安全防护措施范文
时间:2024-01-11 17:42:24
导语:如何才能写好一篇云安全防护措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:电力调度;运行操作;安全风险;防护
DOI:10.16640/ki.37-1222/t.2017.06.147
1 前言
在当今国家电网发展良好之际,如何使得电力调度变得安全可靠,同时一并降低其中所存在的可以规避性的风险是相关电力部门急需去解决的问题。在一方面看来,现在科技水平的快速提高同时也要求着电力总网的建设也要跟紧潮流,不断地在技术水平上进行创新,同时在电力调度等周期性问题的应对上加大审查风险的力度,经常排查可能存在风险的地区和设备,并针对性的制定相应的解决方案[1]。另一方面,面对一些大型的电力项目,其复杂性就不言而喻了,如果在这些难题上的解决上出现问题,或者不能及时的发现危险病加以排除是一个十分棘手的问题,严重时也可导致该地区的整个电网受到很大的损失,或者产生不能弥补的危险。面对这样重要的问题,相关的电力部门一定要重视起来,做到及时排查风险,并实现精准去除,不断规避电力调度运行操作中调度安全风险,并可以制定相应的一系列的防护风险的措施加以施和应用。
2 电力调度运行操作中调度安全风险
在我国,相关部门对电力调度运行操作中调度安全风险是进行过一定的安全评估的,而且大部门的地区和设备都是符合相关的国家标准的,也没有出现一些不必要的问题和麻烦,所以在这个环节中就需要操作人员严格的遵守电力行业的操作准则,同时提高自身的主观能动性,及时的发现风险,精准排除[2]。下面是日常操作调度环节中较为常见的类风险,希望相关的操作人员留意并做好规避工作。
2.1 整个系统的运行风险
在电力行业的调度操作中,存在很多需要去解决的问题,而在这一过程中,整个系统的运行风险对于行业的日常运行时相当致命的,因为处于整个系统环节,所以一旦出现问题,就会有很严重的后果,比如电力设备因为使用时间过长而出现的机械性故障,进而导致某一项数据的检测错误,由此就会影响整个系统的电力调度,或导致整个地区都不断的处于风险之中。同时因为某些特殊环境造成的安全风险,比如一些不可抗力因素造成的调度暂时中断,就可能会出现连锁性的风险,以至于企业连续的受到损失;还比如相关的材料因为质量问题而不能及时输送上来,也会因为耽误调度而受到相当大的经济损失。
2.2 实际管理中的风险
目前我国的供电行业竞争也是十分激烈的,为此建设好完备的电网系统也是相关工作者的必要任务,而首要的任务就是要保持自身的核心竞争力,并同时建立健全相应的管理风险制度,尽量的去规避相应的运行风险,保证整个系统予以合理有效地进行工作,但是一些人员对出现的风险不能针对性的进行防护也是企业急需去解决的问题,否则就会造成更大的安全隐患。而另一方面的问题是操作人员在相应的流程中不能良好的遵守电力调度规定,在实际操作中也没有经验,不能提出对应的防护措施,以制定相应的规范标准。所以这就需要工作人员进行数据的精确记录和操作的准确分析,以防患整个管理中可能会遇到的风险,从而使得电力调度运行操作中调度足够的安全有效。
3 电力调度运行中安全风险的防护措施
3.1 要保存好系统中的重要数据
在整个电力行业的实际运营中,所用的机械和设备经常会出现各种各样的问题风险,也需要相关人员进行及时的处理和规避,以免造成系统中的数据型故障出现。所以就需要相关的电力企业及时的整个调度环节进行合理的审查和对有关数据的仔细检查,并按时保存一定的系统数据,在实际操作中,可以选用一方的数据输出系统,以保证信息的完整性和独立性,从而降低整个系统的运营风险。
3.2 电力调度的审核要规范合理
企业在进行电力调度之前,一般都会使用纸质性的材料先进行相应的上报工作,有关的检查人员就应该针对上报的相关数据进行严格规范的审核,以保证系统运行的时间、周期和机械设备的类型等处在一个合理的标准之内,如果其中有特殊的情况也要向工作人员及时有效地说明和解释,防止因沟通问题造成的系统故障问题,最后也可以负责专人对相关的设备进行操作指导工作,并针对此进行专业性的经验讲解和日常维护工作。
3.3 保证设备的可操作性和科学合理性
企业在进行相关的机械设备的采购环节中,首先要保证设备的可操作性和科学合理性,在这其中始终是符合相关的施工操作要求,并负责专人对其进行常规性的周期性检查,并进行初期的适应性试验,及时的发现其中存在的风险问题,并针对性的对其处理,以规避行业中的隐患,在必要的时候也可以应用一些特殊的硬件软件加以帮助,同时辅的改善整个操作环境,进一步确保整个系统运行的安全性。
4 结束语
本研究就目前电力调度运行操作中存在的调度安全风险进行深入的研究和阐述,以降低调度安全风险为出发点,同时提出相应合理有效的防护措施,同时把整个系统的运行风险和实际管理中的风险加以详细的阐述分析,并提出了电力调度运行中安全风险的防护措施。比如首先要保存好系统中的重要数据,同时在保证电力调度的审核要规范合理的环节也要对设备进行常规性的检查工作,最终帮助行业和企业做好电力调度运行操作中调度安全风险防护工作。
参考文献:
篇2
云计算的落地和移动设备的普及向信息安全提出了新的挑战,产生了在新的IT环境下的新问题,例如公用云数据安全、专用云防御等。360云事业部产品总监张晓兵表示,随着公有云的发展,安全防护的重要性更加明显,一旦云平台遭受攻击,将影响更多企业。
根据防火墙操作管理软件公司AlgoSec的调查数据显示,受访者中,约有66%的企业称其目前正在部署或计划未来1-3年内在云平台上部署业务应用程序。但是,这些企业对云安全的了解却存在很多不足,其中超过30%的企业计划未来部署云业务应用,但却不清楚该如何管理其云环境的网络安全策略。
正视云安全差异
记者了解到,许多传统用户对于云安全存在一些错误的认知。例如,希望依靠传统安全工具或靠物理隔离的方法来进行隔离防护,希望能从及时得到漏洞通知信息来服务,认为进行运维外包就能够确保工程系统的安全,或指望云提供商具有集中的管理系统等。
中国联通云计算公司专家表示,对于云环境,传统的安全问题依然存在,同时虚拟化管理系统、云平台管理系统等云平台相关系统的出现,更加导致在这些平台上的安全手段目前还处在非常初级阶段。
IDC分析师王培在接受《通信产业报》(网)记者采访时表示,目前看来,中小企业或者非关键性业务倾向采用安全即服务的模式,而大企业,特别是金融、电信等行业的客户,他们更倾向于自建安全防护体系来保护云业务的安全。
对于不同模式的云服务平台,面临的安全问题有所不同。对于SaaS模式,数据安全、应用安全与身份认证是主要问题;对于PaaS模式,数据与计算的可用性、数据安全与灾难恢复等需求更加突出。IaaS模式是云安全面临威胁最严峻的,其平台建设过程涉及到的数据中心建设、物理安全、网络安全、传输安全与业务系统安全等多方面的防护需求使得IaaS云安全防护需要引入多个层面的防护手段,并需要更加严谨的框架与标准的保障。
事实上,云安全的标准和框架已经逐渐形成,北京中油瑞飞信息技术有限公司信息安全专家黄晟在“云计算安全论坛”发言中介绍,CSA和NIST都已经提出了较为完备的云安全框架,但是如何在实际的云计算环境中全面落实,一直是信息安全从业人员面对的挑战。
继承传统防护手段
云计算平台本质上来说就是一个复杂的信息系统,特别是虚拟化管理与云管理系统采用通用软件和现有技术开发,最终也部署在传统硬件平台之上,依然受到传统软硬件技术生态圈的影响。
因此,黄晟表示,传统攻击手段依然具有威胁性,还是需要依靠传统防护手段作为私有云安全防护的基础。
虽然在云计算环境中,传统的防火墙不再出现,但是其防护功能仍需实现,在云服务中必须要打造传统用户所需要的安全。
例如针对网站最常见的入侵行为,从部署最基本的防DDoS攻击、端口安全检测、Web漏洞检测、木马检测等主要功能,到利用漏洞管理、质量保证、软件的安全性审查、审计和外部审计等工具进行安全威胁检查,以及建立安全事件管理等平台辅助制定安全策略。其中的技术手段与传统安全防护没有本质上的区别。
针对云架构升级
在满足传统防护需求的基础上,针对虚拟化和云架构带来的特殊问题,防护技术需要进一步扩展和升级。阿里云安全部安全专家沈锡镛表示,具备低成本、高精度、大规模的安全防御架构,具备完善的数据安全保护能力的云平台才能满足用户的需求。
除了在云平台建设的过程中实施基础安全防护措施,综合采用现有成熟的安全防护手段,还要面向主流的云技术体系,有效应对面向云计算平台底层的主要云安全威胁,才能为云平台的用户系统实现不低于传统物理机模式的安全保障。
那么,云计算服务安全的关键点在哪些方面?来自西交利物浦大学的信息安全专家接受采访时介绍,从主要云技术体系的层级来看,云服务存在五大安全关键点。在数据中心层面,关键在于备份与容灾,以及网络层面的防黑客入侵;在虚拟化平台层面,关键在于云平台的内部安全监控、管理行为审计、阻止虚拟机用户“外泄”与上浮;在IaaS层面,虚拟机间的“溢出”监控与阻断是主要问题;在PaaS层面,要关注虚拟机间的安全监控与用户行为审计,以及病毒过滤;在用户流量控制方面,则要重视双向的身份鉴别、传输加密等问题。
分层实施防护措施
面对如此庞大的安全体系和需求,必须在设计和建设时注重调整云网络拓扑与部署架构,依托网络纵深,设计多道防线,构建一个由多个核心组件组成的多层次安全策略来支持海量云服务和产品。
专家指出,可以从边界防护、基础防护、增强防护以及云化防护四个方面,分阶段提升云平台的安全防护能力。
边界防护是私有云安全防护的底线,与基础防护能力一起都应和私有云建设过程中同步开展,需要建立多层防御,以帮助保护网络边界面临的外部攻击。以阿里云为例,首先,严格控制网络流量和边界,使用行业标准的防火墙和ACL技术对网络进行强制隔离,辅以网络防火墙和ACL策略的管理,包括变更管理、同行业审计和自动测试等。其次,使用个人授权限制设备对网络的访问,通过自定义的前端服务器定向所有外部流量的路由,帮助检测和禁止恶意的请求,并建立内部流量汇聚点,帮助更好的监控。多个组件构成其完整的网络安全策略。
随着面向虚拟化和云计算的安全技术逐渐成熟,增强完善云安全服务,并面向SaaS等更复杂的云计算模式,引入云安全访问等新技术,结合业务实现防护。对此,黄晟给出了多方面具体建议,例如注重操作系统加固技术在云底层平台的应用,特别是通过安全手段固化底层行为;构建“安全数据平面”,收集多样化的安全信息数据,结合大数据流式分析技术,对云平台进行全面地持续监控;或可基于SDN技术构建“流网络平台”,提升“东西向”的隔离颗粒度与强度, 以及加强云内流量监控;面向业务操作与业务数据建立云安全机制等。
纵深安全运维
篇3
关键词:云计算技术;云安全
美国国家标准与技术研究院认为,云计算技术是一种资源利用模式,它能以简便的途径和以按需的方式通过网络访问可配置的计算资源(网络、服务器、存储、应用、服务等),这些资源可快速部署,并能以最小的管理代价或只需服务提供商开展少量的工作就可实现资源。纵观云计算技术的概念和实际应用,可以看出云计算技术有两个特点。一是互联网的基础服务资源如服务器的硬件,软件,数据和应用服务开始于集中和统一;二是互联网用户不需再重复消耗大量资源,建立独立的软硬件设施和维护人员队伍,只需通过互联网接受云计算技术提供商的服务,就可以实现自己需要的功能。云计算技术的研究应用,不仅推动了经济的飞速发展,而且也影响着人类的生活方式。思科预测,到2020年,三分之一的数据都将存储在云上或通过云进行存储。目前,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,被写入了政府工作报告。因此,加强云计算技术的研究和应用,特别是与现代制造业相结合,对我国经济的发展和人民生活水平的提高A2.重大。在加强云计算技术应用推广的同时,做好云安全(Cloud Security)防护则显得尤为重要。
1 云安全概念
最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。云安全技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是继云计算技术、云存储之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,已经在反病毒软件中取得了广泛地应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全是我国企业创造的概念,在国际云计算技术领域独树一帜。“云安全”的概念在早期曾经引起过不小争议,已经被普遍接受。值得一提的是,中国网络安全企业在“云安全”的技术应用上走到了世界前列,金山毒霸、瑞星等公司都相继推出了云安全产品。
2 云计算技术存在的安全问题
随着云计算技术的不断发展,安全性问题将成为企业高端、金融机构和政府IT部门的核心和关键性问题,也直接关系到云计算技术产业能否持续健康发展。云计算技术涉及三个层面的安全问题。
2.1 云计算用户的数据和应用安全。
在用户数据方面,云用户和提供商需要避免数据丢失和被窃。如今,个人和企业数据加密都是强烈推荐的,甚至有些情况下是世界范围法律法规强制要求的。云用户希望他们的提供商为其加密数据,以确保无论数据物理上存储在哪里都受到保护。同样的,云提供商也需要保护其用户的敏感数据。云计算技术中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。同时,数据的完整性、可用性以及数据的可恢复性,都需要云计算技术去考虑。在应用安全方面,由于云环境的灵活性、开放性、以及公众可用性这些特性,在SaaS、PaaS、IaaS的所有层面,运行的应用程序安全设计也至关重要。同时,应用层的安全认证、审计以及数据的访问权限控制也需要考虑。
2.2 云计算服务平台自身的安全。
包括了云计算平台的硬件基础设施安全、共享技术安全和web安全等问题。在硬件基础设施方面,如网络、主机/存储等核心IT设备,网络层面的设备需要考虑包括网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等安全问题,主机层面的设备需要考虑包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等安全问题。在共享技术方面,如在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。在web安全方面,云计算模式中,Web应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种Web攻击手段,则直接影响到云计算的顺利发展。
2.3 云计算资源的滥用。
主要包括2个方面,一是使用外挂抢占免费试用主机,甚至恶意欠费,因为云计算的许多业务属于后付费业务,恶意用户可能使用虚假信息注册,不停的更换信息使用资源,导致云服务提供商产生资损。另一方面,许多攻击者也会租用云服务器,进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动。
这些安全问题实际上在传统的信息系统和互联网服务中也存在,只不过云计算技术业务高弹性、大规模、分布化的特性使这些安全问题变得更加突出。同时云计算技术的资源访问透明和加密传输通道等特性给信息监管带来了挑战,使得对信息和传输途径的定位跟踪变得异常困难。安全是云计算技术面临的首要问题。Google等云计算服务提供商造成的数据丢失和泄漏事件时有发生,这表明云计算的安全性和可靠性仍有待提高。根据IDC的调查结果,将近75%的受访企业认为安全是云计算发展路途上的最大挑战。相当数量的个人用户对云计算服务尚未建立充分的信任感,不敢把个人资料上传到“云”中,而观念上的转变和行为习惯的改变则非一日之功。安全已经成为云计算业务拓展的主要困扰。
3 云安全防护措施
针对云计算技术中暴露出的一些安全问题,必须强化云安全防护措施,这样才能让用户满意。云安全防护措施主要有以下几项。
3.1 强化数据安全和应用安全。
数据安全技术包括诸如数据隔离、数据加密解密、身份认证和权限管理,保障用户信息的可用性、保密性和完整性。密码学界正在努力研究谓词加密等新方法,避免在云计算中处理数据时对数据进行解密,近期公布的完全同态加密方法所实现的加密数据处理功能,都大大地推进了云计算的数据安全。基于云计算的应用软件,需要经过类似于DMZ区部署的应用程序那样的严格设计。这包括深入的前期分析,涵盖传统的如何管理信息的机密性、完整性、以及可用性等方面。在安全认证方面,可通过单点登录认证、强制用户认证、、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式,有效防止云资源滥用问题。在权限控制方面,服务提供商和用户提供不同的权限,对数据的安全提供保证。用户应该拥有完全的控制权限,对服务提供商限制权限。
3.2 强化基础平台的软硬件安全。
对于云计算平台的网络和主机设备,加强安全防护,可以通过网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等强化网络安全,通过主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等强化主机安全,控制防止非法用户使用云计算资源;对于合法用户的恶意使用,则可以通过审计日志来实现事后的追查。为了达到云计算终端到终端的安全,用户保持浏览器的良好安全状态是很必要的,这就需要对浏览器安装补丁和升级以降低浏览器漏洞的威胁。此外,针对目前几种典型的云计算模式,部分厂商采取了细化应用安全防护的手段,针对不同的应用,提供专业级的网关安全产品。在数据共享方面,可以根据用户的需求,建立所需的云服务,即SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础设施即服务)三种形式。
3.3 强化法律管理措施。
云计算的稳定运行和健康发展,需要一定的法律法规和规章制度进行完善。SAS70标准是由美国公共会计审计师协会制定的一套审计标准,主要用于衡量处理关键数据的基准,SAS70作为第三方验证来确保安全、政策执行和验证等问题,能够确保云供应商提供对客户数据的保护。萨班斯法案的颁布,也为数据的保护提供法律的依据,属于SarbanesOxley法案的企业在使用云计算服务的时候就必须确保他们的供应商符合SOX(萨班斯法案)。这些法案和制度的建立为云服务提供商更好地服务及避免数据丢失对客户的损害提供了法律保障,将更有利于云计算提供商开发更优秀的构架。
篇4
在2009年RSA大会上,云计算的安全是许多厂家和学者们焦虑和讨论的话题,对云计算的乐观与对云安全的悲观形成了鲜明的反差。“沼泽计算”―RSA创始人Ronald Rivest的一句话,深刻地反映了这种情绪。当时,信息安全界还没有做好准备来认识、参与和帮助云计算的发展,甚至连云计算下安全保护的基本框架都提不出来。
然而在2010年RSA大会上,云安全成为了当之无愧的明星。无论是RSA总裁Art Coviello的开幕式演讲,还是CA、Qualys等厂家的主题发言,无不表现出为云计算保驾护航的坚定决心。参展的众多厂商更是百花齐放,基本上如果你不能为云计算做点什么,你都不好意思跟别人打招呼。这里面虽然有许多旧瓶装新酒的噱头,但也有很多产品和技术深入研究了云计算模式,显现出许多抢眼的亮点。
身份与权限控制
大多数用户对于云计算缺乏信心的原因,首先是对于云模式下的使用权限和管理权限有顾虑。在虚拟、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。因此,身份与权限控制解决方案成为本次RSA大会的重头戏。
RSA公司带来了全套的认证管理解决方案,除传统的认证产品外,还特别展示了针对Web访问的认证产品,以及针对虚拟化环境的解决方案,并且强化了对GRC(公司治理、风险管理及合规审查)的支撑。此外,端到端的控制、双因素认证、针对应用和数据库的认证等方面也涌现出了很多新产品。
从本次大会看,认证控制方面的解决方案已经能够基本覆盖全部业务流程和大多数业务方向,而简化认证管理、强化端到端的可信接入方案将会是下一阶段的发展方向之一。
Web安全防护
云计算模式中,Web应用是用户最直观的体验窗口,也是惟一的应用接口。而近几年风起云涌的各种Web攻击手段,则直接影响到云计算的顺利发展。
本次大会上,众多厂家把目光聚焦到Web防护方面。几乎所有的国内外网络安全企业,都将安全网关的发展方向转到UTM等综合防护网关方面,单纯的防火墙(包括防火墙这个名词)已经基本见不到了。这应该是正式宣告了单一功能的防火墙时代的结束,综合防护的UTM时代来临了。据调查,参展厂商大多提出了端到端的解决方案,即安全网关不仅能够解决网关级的防护,同时能够兼顾部分终端的安全问题以及端到端的安全审计。
此外,针对目前几种典型的云计算模式,部分厂商采取了细化应用安全防护的手段,针对不同的应用提供专业级的网关安全产品。如专业UTM厂商Fortinet了分别针对邮件、数据库、Web等应用的UTM产品。
虚拟化的安全
虚拟化是云计算最重要的技术支持之一,也是云计算的标志之一。然而虚拟化的结果,却使许多传统的安全防护手段失效。虚拟化的计算,使得应用进程间的相互影响更加难以捉摸;虚拟化的存储,使得数据的隔离与清除变得难以衡量;虚拟化的网络结构,使得传统的分域防护变得难以实现;虚拟化的服务提供模式,使得对使用者身份、权限和行为的鉴别、控制与审计变得极其重要。
本次RSA大会上,我们看到了一些有益的尝试:思科公司提出无边界网络架构,力图通过将终端管理、安全访问、Web防护三者融合,提供端到端的防护控制措施,以解决云模式下传统分级分域防护框架失效的问题;EMC作为虚拟化最大的受益者,在其全部产品线上都加入了对虚拟化的支持,包括认证、数据安全等方面。此外,不少厂家也提出针对虚拟化环境下的数据存储、DLP(数据防泄露)解决方案,帮助用户控制他们的数据。
安全的虚拟化
为了适应XaaS的业务模式,除了应用、存储等能力需要虚拟化外,众多厂家也强化了自身安全产品的虚拟化能力,以适应云计算的特点。虚拟设备、虚拟网关等技术手段被大量使用。如联想网御带来的KingGuard UTM-9202,采用Netlogic的多核芯片,提供超过1024个虚拟UTM,最大可提供20G的处理带宽,是一款专门针对大中型企业和IDC的高性价比产品。而NeoAccel的SSL VPN产品,则可以直接在VMware等虚拟环境下运行。
因为云,所以安全
本次大会中,最具特色的是,一些企业独辟蹊径,借助云计算的模式和计算能力,发展出独特的云安全防护技术,利用云中几乎无限的计算能力和信息节点,转而共同为云的安全作贡献。如趋势科技的云安全防病毒技术、Cisco的云防火墙、联想网御的云防御,都是利用云中广泛的信息反馈节点,大范围地跟踪安全风险,并将防护能力快速分发到各个防护节点。
纵观本次RSA大会,安全厂商纷纷利用已有的技术,通过改良、改造、集成、融合,提出面向云计算、特别是面向用户侧的安全解决方案,基本上建立起了一条从用户到服务商的安全应用交付通道。然而对于云的建设者和运营者,则还有更长的路要走。特别是对于国内私有云建设者需要特别关注的数据隔离与管理问题,目前为止还没有看到符合国内安全规范的解决方案。不过,云计算已经上路了,不管路上有什么坎坷,云安全,我们已经在起跑线上了!
新 品
瞻博网络推新品
改变移动网络
本报讯 在今年的世界移动通信大会上,瞻博网络宣布推出五款新品,并预言要改变世界移动网络基础架构。这些产品分别是面向电信运营商推广应用的Junos Ready软件,适用于移动视频传输、定址广告、业务监控、服务交付与安全等;面向智能手机的Junos Pulse软件,是业内首款可下载的客户端软件,可使不同移动设备,包括智能电话、笔记本电脑和上网本等无缝地接入企业网;瞻博移动安全解决方案,采用了世界最快的SRX系列业务网关及Junos Pulse客户端软件,带来移动安全性;瞻博流量管理软件,可批量将电信数据流直接卸载至互联网中,从而实现更好的移动体验;瞻博媒体流,能在智能电话等移动设备上提供电视般流畅的观赏体验;瞻博移动核心演进方案,可在同一网络中提供3G和4G服务,从而为运营商带来收益。据悉,这次大规模的,是瞻博网络向移动基础架构平台供应商转变的重大举措。
诺顿360
篇5
几年来,公有云服务遭黑客攻击造成海量用户数据泄露的事件接连不断:索尼云服务网站遇黑客攻击导致1亿用户的个人信息被窃,苹果iCloud账户信息泄露遭用户抱怨,谷歌Gmail服务被攻击泄露用户信息……近期,云计算笔记应用Evernote(印象笔记)也遭遇了相同的厄运,导致其5000万用户受到数据泄露风险威胁,Evernote还因此被迫要求其用户重置密码。类似事件的持续爆发,再度引发了人们对公有云服务安全问题的热议,公有云服务确保数据安全的能力也开始受到拷问。
“改密码”能解决问题吗
受到数据泄露威胁的用户,主要是Evernote国际版用户。Evernote方面表示,其信息安全团队在Evernote网络上发现了有组织的恶意攻击,疑似企图入侵Evernote Service的安全区域。但在随后展开的调查中,他们还未发现用户存储在Evernote上的任何内容有被非法读取、更改或遗失的迹象。针对用户的支付信息,也没有发现任何非法访问的痕迹。但由于黑客“有可能”访问了一些与账户相关的用户名、电子邮件地址以及Evernote的加密密码,所以Evernote“建议”用户更改密码,以免遭受损失。
在事件发生后,Evernote曾在其登录界面上通过“跳出提示”的方法提醒用户重置密码。但很快,这种做法就被一种相对“怀柔”的方法取代了。经记者测试发现,目前只是在自动退出之前的登录状态时,才要求用户重新登录。但重新登录时,原来的密码便会失效,用户不得不点击找回密码链接重设密码。
作为知名云服务商,Evernote希望尽快隐蔽地化解此事件的心态可以理解,但用户的抱怨情绪却没有那么容易熄灭。一次黑客攻击便足以影响到全部用户,甚至需要所有用户修改密码,在云服务遭受黑客攻击的案例中,这样的问题总在重复。安全级别看似极高的云服务,为何如此脆弱?
“对黑客而言,云服务商最具价值的信息就是用户信息数据库。因为掌握了登录认证信息,就意味着可以掌握用户的全部数据。黑客攻击一个10M的数据库,就足以让其获得T级容量的用户数据,这必然会吸引黑客瞄准存储用户身份认证信息的数据库。”BlueCoat安全专家申强告诉记者,今天大量的公有云服务对用户认证信息的保护,依旧在采取“强加密,弱认证”的安全防护模式,数据的加密做得已经足够好了,但对服务和用户的认证还远远不够。很多面向消费类用户的云服务还是在采取基于用户名、口令的认证模式,一些用户登录信息甚至还在使用明文存储,这等于把最关键的数据暴露给了黑客。一旦黑客获取了用户信息数据库中的数据,数据泄露的风险自然会波及海量用户。
“我们的团队在服务过程中发现,云服务商最看重的是自身所能提供的应用服务内容,安全问题往往最后才会去考虑,这种侥幸心态是不可取的,等尝到网络攻击的苦头后才回头补救,对用户而言也是极不负责的。”Radware安全专家姚宏洲指出,除了数据窃取及篡改外,云服务商对保障服务可用性的安全问题也关注不足。例如DoS/DDoS攻击在全球愈演愈烈,众多行业均被波及,这种消耗资源型的网络攻击对云服务也是极大的威胁。
多方责任制下的安全杂症
根据行业统计,当前被曝光的企业数据泄露事件不足10%。因为数据泄露问题如果发生在企业内部,很多问题可以自我消化。但如果同样的事件发生在公有云服务商的身上,几乎100%被曝光。
安全防护的目标永远都是将风险控制到足够小,云服务商同样无法做到100%的安全。申强告诉记者,没有高等级的安全防护措施,公有云服务商很难说服用户去使用其所提供的服务,所以当前公有云服务对数据安全的重视度往往极高。今天可以在企业内部数据中心看到的所有安全措施、安全策略以及安全等级标准,实际在云服务数据中心中至少是被复制和重现的。“可以说,云安全服务商已经做到了企业级安全能够做到的安全级别,甚至还会更高。但是在云中,却很难达到企业级数据安全等级保护的同等效果。”
他指出,如果单纯从安全保护策略的角度看,云服务数据中心和企业内部的数据中心并没有本质上的区别。和企业内部的安全问题相比,公有云安全问题的复杂性更多体现在责任的界定上。因为云服务的安全责任已经被不同的组织拆解,各自为政。
“云服务数据中心和企业的私有数据中心相比,两者都是从四个层面来实现数据保护的:数据的安全,系统层面的安全,网络传输层面的安全以及用户终端的安全。在企业内部,这四部分的安全规划都是由企业自己完成的。但在公有云环境中,数据、系统的安全问题要由云服务商负责,网络传输部分的安全防护则要由企业和运营商共同承担,用户终端的安全则是由用户个人或企业来管理。这就会形成一种挑战:如何让各部分贯彻统一的安全策略,实现全网的安全。这是和传统企业安全最大的不同。
企业安全问题可以去统筹考虑,实现安全策略端到端的贯彻,但云服务却难以实现。所以,不是云服务的安全等级不够,而是难以被各责任方统一贯彻。
申强表示:“在发生安全问题时,责任的界定出现了多方关系。这是让云服务安全问题更复杂的根源。当企业开始广泛使用公有云服务的时候,必然会提出一个问题,那就是云服务商数据和系统安全的策略,是否和企业的策略是一致的。反之,云服务商做到了数据高等级安全防护,但数据在被用户所使用的时候遭到攻击,用户的客户端被攻击,黑客同样有可能借助用户端攻击云系统盗取数据。”
云服务如何安全地走下去
目前,金山、华为、百度等企业都推出了“网盘”、“快盘”类的云存储服务。但只有华为网盘称其能实现类似银行数据安全级别的云服务。
据华为网盘技术总监余斌介绍,华为网盘的经验是在整个架构设计上考虑“端到端”的安全设计,包括端(客户端,手机、PC等)、管(传输网络)、云(服务器、存储等安全)的安全。比如客户端的加密存储、重要数据传输采用安全协议(HTTPS)、服务端需要考虑防攻击和有效授权访问等。云服务在安全体系架构设计上则需要满足用户的两个需求:第一是数据不被窃取,第二是即使被窃取了也无法查看。需求一应以多重认证等手段来保障数据只能被有权限的用户查阅;需求二则是通过安全的加密算法对数据进行加密存储,确保无法破解。
从面向个人用户的服务转换到面向企业的服务,公有云安全如何做到多责任方最终的统一、协作也是很关键问题。公有云服务商不仅要敲开企业级市场的大门,还要迈过这道门槛。
篇6
关键词:云安全模型;信息系统;安全等级;检测保护
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)19-0052-02
云计算作为一种易扩展而又具有动态性,且选用高速互联网处理数据信息的过程。伴随当前云计算技术水平的日益提升,与之结伴的云计算安全问题日渐凸显,已然成为各相关部门及厂商所关注的重点内容。在云计算框架内,虚拟化乃是网络环境主要的出现形式,以往开展测评工作所需要运用的网络设备或物理服务器,在当前云计算环境下,存在诸多差异。当将云安全技术退出之后,设别及查杀病毒,已经并不仅仅依靠本地的病毒库,而是利用更为广泛的网络服务体系,分析并处理所出现的各种病毒隐患。
1 云计算信息系统安全特性概述
与计算信息系统相比于传统形式的互联网信息系统,其利用服务端处理所有数据,并将其储存起来,而对于终端用户而言,则利用网络对所需要的而各种信息和服务及时获取,无需基于本地配置下,便可对数据实施储存及处理工作。依据为网络为基础所设置的对应网络安全防护设施,在系统服务端,可将安全审计系统和身份兼备进行统一设置,从而保证诸多系统所可能发生的安全问题,均可及时且有效的解决,但由于不断更新的服务模式,又会带来诸多新的安全问题,比如数据泄露、不安全的服务接口及滥用云计算等。
2 构建管理中心及云安全服务模型
构建云安全服务模型:对于现实当中已经出现的各种云产品而言,在诸如服务模型、资源位置及部署模型等各方面而言,其所展现的模式及形态各不相同,所形成的安全控制范围存在差异,安全风险特征也各不相同。因此,需基于安全控制方面,对云计算模型完成创建,然后描述各属性组合所具有的云服务架构,进行为云服务架至安全架构合理映射给予保证,进而为设备的风险识别及安全控制提供科学依据。
3 基于云安全模型的信息安全等级测评方法
基于云安全信息安全有关保护测评的方法,就是依据云安全中心模型以及云安全服务模型,结合用户在云安全方面所存在的各种需求,首先,促使安全模型始终处于整个安全等级保护体系作用下的各个位置上。对于安全模型而言,其一段与等级保护技术相连接,而另一端则与则与等级保护相应管理要求相连接。
依据云安全信息中心相应建模状况,全面分析云安全模型框架下的支撑安全及核心技术,最终取得企业在云安全领域范围内的信息安全等级测评模型,以模型为参照,开展后续的检测工作。
3.1 基于等级测评云安全模型下控制项
经过上述分析可知,在云安全等级保护模式框架内嵌套云安全模型,进而开展与云安全存在相关性的信息安全等级评价,另外,分析基于安全模型下相关控制项。然后查看授权状况及云认证,并测评是否存在有诸如敏感文件授权、程序授权及登陆认证等状况。最后依据访问控制模型的差异,对访问控制的目标进行选择,即依据实际情况选择为角色型访问、自主性访问或强制性访问,然后运用切合实际的应对方法。为了对网络访问资源提供保障,可对开展分配及控制操作,需建立更为可靠的解决策略及执行办法。当所运用的方式可靠而又统一,才能为安全策略的自动执行提供保障。针对网络数据的加密状况进行测量时,需以静态或动态的方式,保护标准的服务类型及加密功能。针对数据的恢复及备份情况进行探测时,需检查是否是安全的云备份,另外还需查看密码钥匙的管理状况,磁带有无加密以及数据实际销毁状况,而在所开展的各项检查中,重点为供应商所提供的数据备份。还需对是否可控制管理用户的身份进行查看,能否对用户角色具体的访问内容进行管理。另外,对用户的审计日志及安全服务进行查看,即告警管理与维护、主机的维护以及网络设备的监控管理等。控制项分析范围:(1)云认证和授权。云认证与授权重点乃是查看是否有敏感文件授权、程序运行授权、服务认证及登录认证等,(2)云访问控制。依据所建立的相应访问控制模型,以此来对其是否为角色型访问控制、自主访问控制策略及强制访问控制策略予以确定,然后家用对应方法进行分析。(3)云安全边界与隔离。知晓系统实施安全隔离的具体机制,安全区域的划分方法以及硬件安全的相关技术支持等。(4)云安全存储。可将所有数据储存成加密格式,而对于用户而言,需分离出数据。(5)恶意代码防范。首先需了解恶意代码是否存在,并采取与之对应的防范举措。(6)云安全管理。需对全面软件资产、网络及物理/虚拟硬件进行管理,管理当中相应测评要求需一致于等级保护管理要求。(7)网络安全传输。需对网络安全传输选用加密方式与否予以了解。(8)网络配置及安全策略。如若想要获取更为有效的访问控制及资源,需对安全策略采取一种更为可靠且统一的方式执行。解决及定义。利用此种方式促进安全策略自动执行的实现。
3.2 等级测评云安全模型风险性分析
按照有关等级保护的具体要求,采用风险分析的相关方法,在分析信息系统过程中,需对如下内容给予重视。(1)访问控制、授权及云身份认证。对于云安全而言,其不仅对于访问控制及授权具有十分重要的作用,对于用户身份的认证同样重要,但其实际效果的发挥,需将现实实施状况作为依据。(2)设置云安全边界。针对基于云安全内部的具体的网络设备而言,其需要利用诸如防火墙的措施,实施更为有效的安全防护举措,但对于外部的云用户而言,其则需采用虚拟技术,此技术自身便存在有安全风险,因此,必须对其实施有效而全面的安全隔离举措。(3)数据信息备份及云安全储存。通常情况下,云供应商所运用的数据备份方式,乃是最为有效且更具安全性的保护模式,尽管供应商在实施数据备份方面已经十分安全,但通常情况下依然会发生相关数据的丢失,因此,在条件允许的情况下,公司需选用云技术,对全部数据予以共享,并对其进行备份,或在还会发生数据彻底丢失的情况下,启动诉讼程序,进而从中获取有效的赔偿。在云计算过程中,通常发生由于数据的交互放大,而造成数据出现泄漏或丢失状况,如若出现安全时间,且用户数据出现丢失状况,此时,系统需将安全时间及时、快速的上报于用户,避免更大范围的数据丢失(4)账户与服务劫持。攻击者从云服务用户中获取账号,造成云服务客户端产生相应安全风险。(5)不安全的API及接口。第三方插件存在安全风险,或较差的接口质量。(6)安全事件通报。如若发生安全事件,导致用户数据出现安全风险,整个系统就会将数学信息及时上报,防止出现较大程度的损失。
4 结语
伴随当今云计算技术的日益发展和完善,云计算信息系统今后必然成为整个信息化建设的重要构成。本文基于云安全等级保护检测,对云计算信息系统所具有的安全特性进行简要分析,并探讨了云安全服务模型及构建管理中心,以此为依据提出切合实际需要的云安全模型的信息安全等级检测方法。
参考文献:
[1] 成瑾, 刘佳, 方禄忠. 面向电信运营商云计算平台的安全检测评估服务体系研究[J]. Computer Science\s&\sapplication, 2015, 05(4):83-91.
篇7
(一)管理使用的系统
ERP、加油站账册、二次物流管理、加油卡、办公自动化以及企业门户网站等系统是石化销售企业首要的应用系统。应用系统有以下特征:一是系统应用范围广,全程参与企业的经营、管理、对外服务等;二是系统用户众多,涵盖企业各阶层员工;三是系统对持续运转要求高,因此对应用系统的安全运转要求较高。对公司的经营管理而言,系统的安全稳定运行具有重大意义,系统数据是否安全、保密性和供应商、企业利益有密切关系。
(二)安全管理
随着我国经济水平不断提高,石化销售企业越来越离不开信息化管理,世界各地的公司对内部成立一个信息化团队,根据内部的需要制定出具有整体性的管理体系,并根据相关的信息安全规定对系统内部的安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急预案”以应付各类突发事件。近几年,中国石化内控体系在建设过程中不断加强、完善自身管理体系,也在IT控制方面占有一定的优势。当前,石化销售企业已基本形成一套完整的信息安全防御和管理体系,从而确保了网络信息系统的安全性。
二、信息安全风险的评估
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险
机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险
石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险
没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险
安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求。
三、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系
操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。
近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
四、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
五、结论
篇8
通信网络是经济社会发展的重要基础设施,做好通信网络安全防护工作对国家信息安全建设起到关键作用。近几年,在政府主管部门的大力指导和强有力的推动下,通信网络安全工作取得了全面成效,管理制度愈加规范,技术检测手段愈加深入,防护能力逐步提高。网络攻击、黑客入侵、病毒威胁种类多样化,致使网络安全形势依然严峻,新业务应用及发展更是带来新的安全挑战,这需要政府管理部门进一步加强监管力度,创新管治方法,强化安全防护范围和深度。
为深入宣贯通信网络安全管理办法,解读政策方向和安全防护标准及应用,分析当前网络安全发展形势,探讨更新更好的安全防护思路,本月由中国通信企业协会通信网络安全专业委员会主办的“2013通信行业网络安全年会”在贵阳隆重召开。工信部通信保障局副局长熊四皓等领导出席了会议。天融信作为本次年会的赞助商由副总裁宫一鸣在会上进行了“大数据和运营商安全”主题演讲。
会上调查显示,当前,用户普遍最为关注的是以下10大安全话题:
1、大数据安全
2、APT攻击
3、下一代防火墙
4、WEB防护
5、如何高效的实现企业信息安全管控体系
6、云安全
7、IDC安全
8、移动互联网安全
9、业务安全
10、如何提升入侵感知能力
可见,大数据安全已经成为其中最重要的问题,这也是此次通信行业网络安全年会上重点讨论的议题。天融信演讲的“大数据和运营商安全”从安全角度帮助企业分析了如何应对“大数据”时代的来临。通过建立宏观层面的信息,大数据可以让企业更深入地了解自身业务,通过分析海量数据可以实现新的业务洞察力。大数据信息对于企业的信息安全团队来说也同样具有非凡价值。安全团队同样可以利用大数据来加强企业安全建设,抵御内外部网络威胁。
现在,企业已经可以利用各种安全工具来进行日志记录、安全监控、设定应用程序访问控制、远程配置。通过天融信等专业安全企业提供的安全服务对这些数据进行收集和分析,企业安全团队就可以确定安全风险,制定更有针对性的安全防范措施,真正做到“知己知彼,百战不殆”。
天融信在面对大数据时代带来的新挑战时,提出了大数据综合管理平台战略,目前已经推出海量日志数据自动收集与实时智能分析产品(TopAudit-Log,简称TA-L),为企业转型、成长提供必要的战略技术支撑,帮助企业将新挑战变为新机遇。通过海量数据的自动收集、处理以及实时的智能分析实现企业高效、便捷、经济的大数据管理。
篇9
用手机上网、收发邮件,用平板电脑开展业务,对笔记本电脑个性化设置,BYOD的浪潮正在向我们袭来。但在节约成本和提升效率的同时,企业安全的边界却开始不断模糊。应对BYOD,企业安全防护该何去何从?
在美剧《实习医生格蕾》里,外科主任欧文抛弃了固定的办公室,用一个iPad在医院里随时随地移动办公,一时间成为医院里的一道风景。现实生活中,用自己的移动设备在单位办公,正在被越来越多的企业所接受。员工用自己的笔记本电脑到单位办公、用手机和平板电脑收发邮件,在企业中随处可见。与此同时,BYOD(Bring YourOwn Device,员工携带自己的设备办公)的经济性开始被更多的企业所认知,但在这种办公模式中隐藏的安全风险,已经远远超过了我们的想象。
BYOD正在普及
市场调研机构IDC的最新报告显示,2011年第四季度全球智能手机市场的总出货规模达到1.578亿部,比IDC之前的预期提升了40%。此外,智能手机出货量在2011年首次超过PC出货量。移动终端正在取代PC,成为人们在办公中最需要的工具之一。
随着智能终端的普及,IT消费化的趋势日益明显,BYOD已经在企业间悄然兴起,尤其是在欧美等发达国家和地区,BYOD已经形成一种文化。据统计,在欧洲26%的医生拥有iPad,他们在行医过程中超过25%的时间会利用iPad,还有40%的医生表示在接下来的6个月里会购买手持智能设备。
在支持BYOD的企业中,员工可以根据自己的喜好选择移动终端的品牌和类型,实现对IT设备的个性化需求,满足对时尚设备的追求。根据美国知名市场研究机构波耐蒙研究所的《全球移动风险研究报告》:77%的受访者认为移动设备是帮助他们高效完成工作的得力助手之一。提升效率也正是BYOD兴起的重要原因。
跟以往的移动办公不同,BYOD环境下,员工使用的是自己购买的设备,企业无需再为员工购买统一的电脑、定制手机或平板电脑等办公设备。因此,节约成本是BYOD之所以迅速普及的另一个重要原因,例如,思科公司从BYOD上节约了17%~22%的IT成本。
但是,并不是所有企业都能像思科一样,从BYOD环境中受益。由于没有被纳入企业原有的安全防护体系中,BYOD设备在提高工作效率和愉悦员工的同时,也让企业出现了难以掌控的安全风险。
不少企业已冷静下来,比如美国联邦政府部门的信息技术管理者们就在热烈争论,是否应该允许雇员将自己的智能手机和平板设备用于工作中,是否应该制定BYOD的相关政策。美国国家安全局移动委员会负责人Troy Lange就表示反对提供BYOD的办公模式。美国退伍军人事务部企业系统工程移动和安全保障服务部门的负责人Donald Kachman也表示了他的担心:“一旦设备出现问题,我们能管理好设备吗?我们能确保设备安全吗?”他指出最新一代智能手机和平板电脑依然被视为新事物,而“其安全隐患是未知的”。反对BYOD的情况也同样出现在香港,据飞天诚信副总经理郑相启介绍,在香港,引入办公的移动设备必须经过认证才行。
传统防护体系已失效
BYOD所带来的安全问题首先体现在数据泄漏的风险上。越来越多的企业资料在知情或不知情的情况下被存储在这些设备上,而这些设备又很难受控于企业原有的管理体系。但是,移动设备给企业带来的风险,恰恰是它们现有的安全管控方法和可执行策略所无法覆盖的。而且,员工往往还会刻意回避针对移动设备的安全管理,这也是一个非常严重的问题。
随着移动终端不断增长,企业用户本身无法完全有效地对移动平台和使用移动设备的用户进行统一管理,也导致企业敏感信息和数据泄漏的风险上升。“例如,苹果AppStore或者安卓市场中有许多应用,一些恶意软件会伪装成应用供用户下载,当这些恶意软件被下载到员工的移动设备并且进入了企业网络范围之内,企业的信息安全风险就会增加。”Websense中国区技术经理陈纲称,当BYOD成为一种趋势时候,这是企业管理者最担心的问题。
不仅如此,企业在接受BYOD的同时,传统的安全防护体系也在失效。互联网访问出现,无线网络应用更为频繁……很多过去企业没有意识到的安全环节,如今反而需要进行重点防护。企业的网络安全边界也延展到广域网,企业机密数据传输的路径不仅走出了企业网,还变得极度复杂,企业内部的安全防护手段已鞭长莫及。
以往,企业的安全防护策略主要针对内网安全,但随着移动终端的普及、虚拟化技术的广泛应用,企业网络边界的延展,也在改变安全防护体系的基础架构。在这种情况下,传统的防火墙、防病毒软件、IPS等企业安全防护的“老三样”,已不足以满足企业信息安全防护的需求。另外,由于移动终端和操作系统复杂多样,BYOD也为信息安全管理带来了新的挑战。
同时,员工在使用移动设备时,很难主动产生安全意识。当员工通过3G网络,利用自己的移动设备收发公司邮件,或者登录公司应用办公时,很少有人会意识到,自己的移动终端可能给企业带来数据泄漏的风险。黑客可能通过恶意软件或僵尸网络,对企业网络发起攻击,或者窃取企业的核心数据。
最新的“全球移动风险研究报告”显示:企业引入移动设备和员工携带个人设备上班的现象正在架空企业现行的安全体系和安全策略。来自12个国家的4000多名受访者中有76%的人认同在采用移动设备的同时也将风险带给了企业,只有36%的受访者表示已经配备了必要的安全控制手段来应对这一类风险。
需要新的防护策略
由于企业网的边界向操作系统和移动终端进行了延展,安全厂商提供的解决方案必须要覆盖这些设备,以满足企业的安全防护需求。这就要求安全厂商必须针对不同终端和操作系统的特点研发新技术,推出相关的解决方案。
《全球移动风险研究报告》指出:59%的调查对象表示,员工会绕行或者故意使安全防护策略失效。如何管理操作系统、硬件平台各异的BYOD设备,并规避BYOD带来的安全风险,如何保证业务和管理系统在多种设备上兼容运行等问题,对于大多数企业IT管理人员而言都是难以应对的挑战。
在绿盟科技副总裁吴云坤看来,BYOD虽然在中国才刚刚起步,但是由于国内企业还没有对BYOD带来的威胁建立合理的安全防护策略,它给中国企业带来的风险可能比其他国家更加严重。BYOD可能会造成企业核心业务系统受到攻击,企业邮件、通信录和在线业务系统中的企业和个人信息遭到窃取。这些威胁呼唤着以邮件防护和数据防护为中心的解决方案。
BYOD对企业的信息安全系统提出了新的需求,一个仅仅支持局域网访问的应用很难支撑BYOD环境下的信息安全防护需求。因此,整个IT业界正在试图寻找应对BYOD安全风险的不同思路和解决方案。
>桌面虚拟化:安全风险向后端转移
虚拟化技术是云计算时代的一项重要技术。它将数据和应用程序在数据中心上集中管控,被认为是降低企业IT基础设施安全风险的有效措施。以VMware、思杰和微软为代表的桌面虚拟化技术,为BYOD环境下的信息安全防护提供了新的思路。
桌面虚拟化技术的本质是将桌面的操作环境与机器运行环境分离,实现在任何地点,通过非特定设备(例如不同的PC、笔记本电脑、PDA、手机)都可以实现对桌面的访问与操作。通过该技术,所有的数据和应用程序将在数据中心进行托管并统一管理;用户可以通过任何设备、任何网络远程访问应用程序和数据,并且获得与传统PC一致的用户体验。
由于桌面虚拟化之后,用户和后台之间的通信只是简单的鼠标点击等操作,应用程序和数据并不存放在本地设备中,因此即便是恶意软件入侵了用户的设备,也无法获取企业数据或信息。这为BYOD环境下,防止数据泄漏和恶意软件威胁提供了一种行之有效的方法。
桌面虚拟化让企业的IT信息管理者获益匪浅,集中式桌面和应用管理能够有效降低企业IT设备和网络的安全威胁,而在整个企业范围内取消独立的标准化设备则有助于增加终端的灵活性,提高员工的工作效率,并简化设备管理。
正如思杰公司认为的那样,企业应采取“安全源于设计”的做法,将数据集中存放在数据中心、加密传送到终端设备以及在脱机工作时隔离端点上的数据这三大措施共同实现了“允许任何员工通过任何设备随时随地安全访问”的设想。而这些,都是通过细粒度访问控制政策加以管理。
尽管桌面虚拟化的理念得到IT业界的认同,但是当前桌面虚拟化的普及速度却比较缓慢。“由于跟便利性有冲突,放眼望去,虚拟化企业应用得比较好的是应用虚拟化和服务器虚拟化,终端虚拟化发展比较缓慢,这是因为员工希望个性化。如果一夜之间让所有人都使用同一种模式,让人非常难以接受。”Websense中国区技术经理陈纲称,尽管从技术角度看,桌面虚拟化的效果显而易见,但是其普及率不高,至少需要两三年的推广时间,因此难以在短期内有效解决问题。
此外,桌面虚拟化技术在降低终端安全风险的同时,增加了后端数据中心的安全管理压力。由于应用程序和数据都存储在后端的数据中心里,企业需要有效管理大量数据的安全性,进行数据保护和数据加密,保证虚拟化环境下数据中心的安全。此时,企业需要购买虚拟化安全解决方案或服务,造成安全成本上涨。
>>终端解决方案向移动领域拓展
在传统信息安全架构的基础上,延伸BYOD环境下的安全防护策略,拓展移动终端管理解决方案,对大多数企业而言,是比较容易接受的方案,因为企业无需彻底颠覆原有的信息安全防护架构,只要在原有的防火墙、防病毒软件和IPS的基础上,安装一个插件或者软件,就能与原有的安全体系融合起来,对BYOD设备,尤其是智能手机、平板电脑等移动终端进行统一管理和监控。例如,趋势科技通过企业移动终端管理方案(TMMS7.1)、企业无限网络接入管理方案(WSG)、个人移动终端安全方案(TMMS2.0),针对BYOD环境下的信息安全防护,推出了组合产品。
“不管是设备层面,还是系统层面或应用层面,都需要一些防护策略,集中化管理客户的终端安全,才能减少数据外泄的风险。”趋势科技中国区移动安全产品市场经理刘政平在接受本报记者采访时表示,趋势科技的移动安全产品设计也正是从这三个角度来考虑的。企业移动终端安全管理方案包含终端策略管理平台、移动网关防护、移动应用管理、移动终端防护等四个方面。移动终端策略管理平台统一管理所有移动终端,包括用户的各种移动智能终端;移动网关防护通过设备准入、流量控制、设备管理等方式,阻断外部威胁对内部应用的威胁;移动应用管理帮助企业建立起针对内部的企业级移动应用商店,在检测确保应用程序安全安全之后,将苹果AppStore或安卓市场中的应用程序上传到企业自建的移动应用商店中,供内部员工下载使用。此外,趋势科技移动应用管理还建立了黑白名单机制,过滤掉不允许安装的、存在威胁的应用程序。
“智能手机、平板电脑等移动终端属于消费产品,操作系统多种多样,有的基于安卓,有的基于iOS,还有的基于Windows Phone等平台。”刘政平建议企业用户“把这些离散的、不是统一标准的平台,集成到一个安全管控平台上,企业内部必须对设备进行统一的管控”。他向记者介绍,趋势科技已经为一些银行提供类似的解决方案,为银行提供应用程序的安全信誉评估服务,以使银行内部网络的应用程序中不包含恶意软件。
对移动终端进行集中管控的方式,能降低企业的部署成本,减少管理这些设备的复杂度,确保访问企业网络资源的设备的安全性。然而,调查显示,59%的员工会有意避开企业的这些终端管理措施,而建立企业内部的移动应用商店的方式的确能够让员工下载绿色的安全软件。不过,当前在企业内部建立应用商店的还比较少,应用数量不多,功能不够丰富,很难满足员工的需求。大多数员工仍然在苹果AppStore或者各类安卓市场中下载应用程序。
因此,从终端统一管控的角度出发构建企业的信息安全体系,需要在企业内部对员工进行不断循环往复的培训和教育,使其认同企业安全防护的理念,并且遵守相关安全管理规定。
>>>以数据为核心的数据防泄漏方案
在BYOD环境中,邮件访问和企业业务系统是员工访问最多的内容,也是最容易导致企业敏感数据泄漏的。而且,越是企业高管,使用移动设备办公的概率越大,这些设备中可能包含的企业核心信息和机密数据的概率也越大。无论是信息的转发、存储,还是设备遗失,都会让企业的安全风险增加。“在通过广域网访问企业应用的情况下,传统的基于防火墙、VPN、IPS的解决方案,已经不足以支撑当前的安全防护体系。员工通过广域网访问企业网的路径中,需要增加更多控制来保证企业网的数据和应用的安全。”Websense陈纲表示,针对移动终端访问的热门应用,新的解决方案也会应运而生。
围绕邮件安全,安全防护策略需要解决的问题是什么数据能够同步到BYOD设备上。Websene的解决方案是将DLP数据防护解决方案延伸到智能终端领域,通过关键词、语义分析、指纹控制等技术对内容进行识别,无论员工使用企业网络还是3G、家庭网络,只要访问企业邮件,DLP移动数据防护解决方案都能确保没有访问权限的BYOD设备无法访问或同步这些敏感数据。
“另一种更加严格的控制方法是,让所有访问企业网络的设备都必须通过VPN接入Websense云端进行敏感信息过滤。”陈纲介绍称,Websense移动云安全解决方案是Websense针对BYOD开发的云安全策略,主要针对邮件安全和设备离开网络之后的安全控制。
通过这种方式,当BYOD设备尝试上传或下载企业相关资料时,都必须接受Websense移动云的过滤和监控。无论员工使用的是哪种移动终端,通过哪种网络访问企业信息,都能被纳入企业的安全防范策略中,与传统的上网行为管理和终端解决方案相互补充,弥补了后两者的不足。
今年的RSA大会上,Websense了以数据安全为核心的全新的Websense TRITON移动安全解决方案。它具有四个关键特点。第一,提供基于内容感知的数据安全功能以阻止基于iPads、iPhones、Android系统和其他移动设备的数据泄露;第二,提供实时的Web和应用安全及策略管控,并提供相关报告让用户能够清楚地了解移动设备上敏感文件的风险状态;第三,能阻止用户下载恶意应用程序并阻拦恶意软件;最后,它还融入了一个移动设备管理(MDM)程序。
陈纲称,Websense TRITON移动安全解决方案包括Web安全、邮件安全、数据安全三部分,涵盖了Websense所有解决方案的核心,能够让用户通过统一的管理平台,同时对Web、邮件、数据的安全进行管理和控制,而且用户还可以选择任意的交付形式,软件、硬件和云的形式都可以。它支持在跨平台交付形式下对不同设备进行统一管理。
>>>>让数据安全地移动
在BYOD的浪潮中,企业员工在个性化需求得到满足的同时,也应该为企业的网络安全付出努力,增强相应的安全意识和防范措施。
对这些员工的BYOD设备,传统的防火墙、反病毒软件和VPN等工具依然必不可少。同时,检测移动应用的安全性,及时发现智能终端上的安全陷阱,也是必要的防护策略。
此外,平板电脑、智能手机等终端的一个很重要的问题是容易丢失。当设备遗失时,其同步的邮件信息、企业敏感数据也面临被泄露的风险。对此,各个安全厂商的移动终端安全解决方案,都将远程手机定位和数据擦除作为重点功能。
例如,趋势科技针对个人移动终端推出的个人移动终端安全方案(TMMS2.0),在智能手机丢失之后,在手机开机的状态下,可以对其进行远程定位,锁定设备所在位置,读取GPS的经纬度,然后通过谷歌地图或百度地图进行精确定位。
个人移动终端安全方案(TMMS2.0)的另一个功能是通过管理平台发指令给手机,进行远程数据擦除。在开机的状态下,手机可以通过网络或短信接收到指令,其中的敏感数据就会被自动擦除。用户也可以选择将这些数据同步到趋势科技提供的云端存储空间中,这样用户就可以将数据同步到另一台设备中,避免重要数据丢失。而针对员工离职等情况,管理员也可以设置只将跟公司工作相关的信息擦除,保留员工的个人信息。
篇10
怎样为云计算“罩”上安全的“防护衣”?安全的云计算架构应该包含哪些内容?2012年10月30日,在由国际云安全联盟(CSA)中国分会主办,绿盟科技和启明星辰共同承办的第三届云安全联盟高峰论坛上,来自CSA、云计算提供商、运营商等领域的专家就云计算面临的威胁和云安全最佳实践等话题进行了深入探讨和交流。
安全思维融入更多“云”要素
Gartner报告称,到2014年,云计算服务将取代PC电脑。尽管这一预判看起来有些绝对,但这也反映出云计算对全球IT信息系统的影响之深。
用“颠覆”一词来形容云计算带来的影响恐不为过。正如CSA中国分会理事、启明星辰首席战略官潘柱廷所言,我们已经进入一个新计算、新网络和新数据的时代。“所谓新计算是指云计算、虚拟化和高性能计算;新数据是指大数据和社会计算数据;新网络指的是移动互联网、物联网、SDN/Openflow。” 潘柱廷认为, 随着网络及信息安全保障体系正在形成纵深、多层次的综合防御体系,云计算模式下,新业务(包括Web 2.0、微博、SNS等)、新计算(物联网、虚拟化、三网融合等)以及基础技术(芯片能力、网络带宽、无线等)正在带来新的一些变化。作为载体的互联网、作为媒体的网站,以及作为访问者的用户都将受此影响,而基于这些主体的业务运行和管理也将面对新的挑战。
从安全的角度看,云计算让企业的安全问题愈发复杂,IT人员一时间难以应对自如。Gartner副总裁兼安全分析师John Pescatore指出:“企业处理云安全时应当像照顾儿童一样小心翼翼:不能让用户仅仅依靠由云服务供应商提供的安全功能,高度敏感的业务数据需要更细心的呵护。”
企业为何要小心翼翼?CSA中国分会理事、绿盟科技首席战略官、CSA中国分会理事赵粮认为,云计算给网络安全带来了深刻的影响,具体表现在三个层面:“第一,云计算作为一个新技术必然会带来新的安全问题,产生新的漏洞和攻击,网络安全该如何应对这些新的攻击;第二,云计算有其特殊的运行形态,包括虚拟化、SaaS、IaaS、PaaS等,网络安全也必须随之变革,才能够将相关安全策略部署在虚拟化环境中;第三,云计算不仅是一项技术,更是一种思想,它给网络安全带来丰富、深刻的影响,安全厂商要充分地加以吸收,并且用来变革网络安全自身。”
以硬件为中心的安全解决方案将越来越难以起效。“基于硬件设备的一次性部署的网络安全措施必须改变,安全解决方案需要跟上威胁者和威胁方式的变化,安全厂商也要不断更新知识库。” 赵粮强调智能驱动的下一代安全架构的重要性,认为它是安全厂商应该走的发展路径。在这个体系中,数据和基于数据的智能分析成为云安全的核心。
此外,潘柱廷认为,安全环境的变化意味着我们必须改变传统的安全思维,建立新的安全思路,他提倡用Threat Case思想来考虑云安全问题,“在讨论安全案例时,不仅要看到攻击者的入侵途径和时间,而且要有来源、目的、环境、对方的漏洞等,对此要有完整的认识”。这是因为“安全是一门高度依赖知识的技术,不管是攻击者还是防守者,都必须要对对方的结构、人员、技术特点及防御方式有充分的了解” 。
分析模型创新是“利器”
在云计算时代,以智能驱动云安全的发展,已经成为IT业界的共识。EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛就曾指出,企业必须推动智能的安全模式,开展风险评估不仅是由内而外,还必须由外而内。也就是说,我们必须要对比和平衡风险的薄弱度、风险发生的概率和可能出现的时机,以及可能带来的后果。但智能和全面的评估并非易事,正如启明星辰潘柱廷所言,安全中的特征库必须是可积累、可共享、可升级的。它的建立存在困难,“你获取这个特征的技术复杂度要远远高于使用特征时的技术复杂度”。
大数据分析被认为是解决这一问题的“金钥匙”。云时代的安全防护必须以智能的数据分析及动态更新为基础。但是安全厂商经常遇到的问题是:现有数据处理不了,想要的数据却无从获取。
“工欲善其事,必先利其器”。赵粮给IT人员和安全从业者的建议是:“必须立即行动,重视数据,建立或完善数据的运营体系;重视攻防建模,基于异常行为、信誉的检测和防护方法重要性凸显;不断优化数据和各种智能工具。”
安全检测是大数据分析最主要的应用领域。在启明星辰,安全检测从低到高分为简单规则检测、单一特征检测和高端检测三个层次,其中高端信息安全检测包含宏观和微观两个方面。“宏观层面,启明星辰在宏观态势感知的基础上建立全局预警系统;微观层面,建立以防范APT攻击为核心的动态预防体系。”潘柱廷表示,无论是宏观态势感知,还是动态预防体系,都需要以大数据分析为支撑,建立在其基础之上。
将安全服务“云化”
安全思维模式的转变不仅是为了解决问题,更能找到新的商机。云计算服务商上海优刻得信息科技有限公司(Ucloud)CEO季昕华就看到了这一点,他认为网络虚拟化给安全厂商带来的新机会包括:“一是SDN的安全隔离;二是安全产品市场快速扩大,中小企业作为云服务商的主要目标用户群,很难有大量IT支出购买安全产品或者进行安全评估,因此很多服务和产品可以整合到云计算平台中;三是在软件定义网络、安全从产品向服务转变的情况下,新的机会也将随之出现,例如将SDN和入侵检测、WAF、抗DDOS设备、动态蜜罐系统或取证审计系统相结合,未来市场潜力很大。”
近一年来,将安全作为一种云服务提供给用户的声音在业界不绝于耳,其好处不言而喻,将传统的IT产品和安全服务作为一种云服务来提供,企业则不必购买硬件设施, 只需要按需调用相关服务并按需付费即可。
事实上,国外安全厂商在这方面早有尝试,一些企业将其安全服务放在亚马逊云平台上售卖。在国内,将安全“云化”也给安全企业创造了更多商机,一些安全厂商已经在实践。近日,东软集团信息安全事业部营销中心总经理赵鑫龙就向记者描绘了东软的安全云战略,称未来东软安全事业部将把自身的安全能力和资源整合起来,放在云平台上,以整体解决方案的方式提供给用户。
安全领域历来以硬件产品销售为主,企业IT支出的70%也花在硬件购买上。随着云计算的逐步深入,将安全服务“云化”的市场前景可见一斑。
链 接
CSA更加重视亚太市场