――RSA中国区技术顾问冯崇彪
McAfee公司提出借助单一安全、单一安全控制台的模式代替企业原有多多控制台的模式。一方面节省企业的资金投入和维护成本,另一方面强化企业安全管控能力。此外,McAfee希望通过“安全创新联盟”携手更多的合作伙伴,在企业端实现单一控制台管理多服务商、设备商的设备,实现最大限度的安全防护。
――McAfee安全顾问于淼
中兴网安提出“平安网络”的概念,其最终目的是在虚拟社会里面构建一个平安城市,通过一些技术手段让网络行为和流量做到可感知、可控制、可记录,确保如果发生安全事件可以进行追根溯源。依照这个理念,中兴网安开发出CTM产品,主要核心功能有三个:通过网络摄像头进行全信息记录;对网络异常流量进行感控;多个CTM能够协同防御一些安全事件。
――中兴网安科技有限公司高级产品
经理王彦丰
目前,部署安全产品和技术的时候有三个体系,即可视化安全产品、可靠性能以及安全服务,如果这三个体系其中一个有问题,我们就很难保障网络的安全。飞塔针对不同业务网结构设计了不同的安全部署策略,并针对云计算等新技术提出了有效的安全防护措施,通过这些部署企业可以重构网络时代的安全策略。
――飞塔信息科技(北京)有限公司
中国区技术总监李宏凯
针对攻击者控制能力和攻击范围越来越大,造成目标性和破坏性更强,以及攻击现在已经从个人层面上升到国家层面等现实状况,网御神州提出通过建立可控安全体系,从计算的最底层开始,对基础层、应用层、业务层逐层实现可控管理,以业务系统安全为核心,实现接入可控、状态可控、行为可控、风险可控,最终保障业务系统安全。
――网御神州SOC产品中心副总经理
孙燕辉
天融信提出“云化的安全管理平台”的概念,以实现安全管理平台的计算服务化、资源虚拟化、管理智能化。云管理平台通过服务云的方式,为企业提供快速部署,同时实现高可用性、海量数据的处理、智能调度管理,以降低维护成本和企业资金的投入。
――天融信高级安全咨询顾问沈余锋
目前围绕网站安全防护有三个重点:数据安全、网页防篡改以及传播虚假信息。绿盟解决方案的核心就是利用WAF通过一系列安全策略在线阻断攻击。另外,通过绿盟的云服务增加虚拟补丁防护,并通过云服务平台和WAF配合对安全解决方案进行提升。
――绿盟科技产品市场经理李从宇
当今社会科技发展日益迅速,计算机因其优异的计算与存储性能获得了广泛应用。云计算有着更为灵活强大的信息存储和数据处理能力,这些优势使得它已经在生产实践中得到了大范围应用。但相应的,也对我们的网络安全技术带来了新的挑战。本文重点分析了云计算环境下的常见网络安全问题,并分析了服务器端、客户端和云端之间的网络安全技术。
关键词
网络安全;云计算;大数据;环境
当前,计算机和网络通信已成为社会发展的重要技术手段,随之而来的网络安全问题也越发严重。网络安全包含的范畴通常为软件、信息和设备三方面的网络安全问题。在云计算环境中,利用网络安全技术确保信息数据的可靠性、安全性、完整性和严密性起着关键作用。
1云计算环境中的网络安全问题
1.1拒绝服务黑客运用非法方式强迫服务器停止对客户端进行服务,或者对主机进行侵入,造成死机,进而造成客户端提出的请求服务器无法接收。例如,黑客在劫持web服务器后会采取非法的手段终止服务器的运行,进而造成web服务的终止。
1.2SQL注入黑客注入SQL到安全漏洞中,并把sql代码录入输入框,进而取得权限。通过SQL注入,其一方面能够针对互联网界面实行操作,另一方面能够得到客户端的信息。
1.3中间人黑客以通讯双方不知的状况下拦截传输数据,且拦截之后对数据实行嗅探和更改。其中,安全套接层配置不正确极易被黑客以中间人方式攻击,若通讯双方传输数据阶段未安装安全套接层,攻击者就能够入侵云计算中且盗取信息。
1.4跨站脚本攻击(XSS)和网络嗅探黑客把代码注入网络链接之后就能够使把用户引导至专门的界面,且盗取敏感信息,比如储存在用户本地终端上的数据,再如cookie。网络嗅探是攻击者通过网络检测工具和寻找漏洞方式实行攻击,且偷取信息。而未加密信息和加密简单易破解,是信息数据被盗取的重要因素。
2云计算环境下的网络安全技术
2.1服务器网络安全技术(1)切实保障服务器用电条件,并通过集群方式和虚拟技术方式把多服务器相连,组成逻辑处置性能极佳的服务器,以改善服务器的扩展性、维护性和可用性,进而切实防御攻击者对服务器实行攻击的情况。(2)为提升服务器储存器件功能,需保证其用电条件的安全防护技术和服务器运用的技术相同。并能够将虚拟技术运用在存储器件平时的管理过程中,达到共同管理和协调存储资源的要求,且以此为前提提升器件性能。另外,也能够通过远程镜像技术和快照技术实现异地容灾和本地复制。(3)针对注入SQL的服务器,第一时间修复服务器漏洞,并强化系统安全性。另外,针对服务器数据库中注入SQL的攻击行为,通常运用降低单引号的方式实行防御,且限制账户互联网程序代码权限,以消除或者降低部分调试数据,进而防止数据库中的SQL代码被黑客利用。例如,为SQL服务器数据库提供Parameters功能,其能够进行类型审查与长度验证。如果管理员应用Parameters集合,那么客户的输入数据则被当成字符值却并非可执行代码。就算客户输入数据被包含可执行代码,这是的数据库仅仅将其作为普通字符进行处理,SQL服务器数据库也能够对其进行过滤。应用Parameters还能强制进行类型检测与长度验证,超出其范畴的数据就会引起异常。比如,客户输入内容和类型长度规定不符,则会引起异常,且上报管理员。
2.2客户端网络安全技术
2.2.1网络入侵防御技术定期检查云计算中的开放端口,检查工具运用SuperScan端口扫描工具、netstat-a和DOS操作系统的命令。若存在开发端口的异常,需切断网络,并通过杀毒软件针对计算机实行全方位的检查,且全程监视运行中的程序,第一时间停止异常进程。把防护调到高级别,仅同意flh和Java之类的程序和信任网站在云计算中运行。科学安装设置安全套接层,由权威部门明确安全套接层设定无误之后方可实行通信。
2.2.2病毒防御查杀需在客户端安装可以保证系统安全性且防御攻击行为的补丁,进而防止攻击者利用互联网且通过系统中的漏洞对计算机病毒实行传播和注入活动。杀毒软件安装完成后,需重视更新杀毒软件的病毒库,并确保客户端处在防火墙保护的范围内,以随时监测攻击行为,并定期使用杀毒软件进行杀毒。客户也需加强云计算中的网络安全认识,针对隐藏风险的网址链接切不可随意打开,并定期更新程序软件,防止网络攻击者通过系统版本漏洞实行攻击行为。
2.2.3数据信息安全技术针对硬盘中储存的关键材料和信息,通常运用密钥管理方式、信息隔离方式和强化机密方式实行加密,进而确保客户端的信息安全。另外,也可以运用信息完整性检验方式保障网络的安全。由于云计算环境中很难针对所有下载数据实行验证,客户可以在回收部分信息的过程中通过协议证明和分析技术来验证信息的完整性。
2.2.4智能防火墙技术智能防火墙技术的应用,能够实现用户使用网络信息的安全防护。该技术中,主要包含几项关键的技术手段:(1)防欺骗技术。在网络中通常MAC地址会被伪装成IP地址,容易对计算机信息安全带来风险。采用智能防火墙技术,通过对MAC地址的限制,避免这一风险的发生。(2)入侵防御。网络上的数据包如果进入计算机主机中,可能会带来一定的安全隐患。一旦出现安全问题,可能会导致计算机中正常信息受到影响,使用户使用数据上受到影响。采用智能网络防火墙技术,对网络上的数据包进行安全防护,提升安全过滤等级,保证数据安全。(3)防扫描技术。在计算机应用中,可能会出现计算机被入侵后通过扫描方式拷贝信息文件获得用户信息的入侵手段。采用智能网络防火墙技术针对数据包扫描问题进行安全防护,加强维护信息的安全。
2.3客户端和云端互动阶段的网络安全(1)通过安全套接层原理在客户端和安全云端彼此构建可以保持互通稳定的途径,防止黑客针对互通阶段实行破解和劫持之类的攻击行为。现阶段,构建安全途径能够运用的网络安全技术有:网络访问控制、路由控制、身份认证、数字签名和数据加密。该通道中运用加密方式可以针对一些明文数据实行掩盖,所以对完善数据严密性有利。(2)能够把摘要值添加到散列(hh)函数中,在客户端和云端进行数据互通的时候,数据接受者也会一起接收摘要值和传输的数据。通过云计算在收到的数据内再次构建hh函数。若新构建hh函数值与之前相同,则说明数据传输完整,若不同,则表明数据收到攻击。值得注意的是,利用Hh函数可以将任意长度的消息压缩转换为固定长度的hh值,俗称消息摘要或数字指纹,可以直接用于数据的完整性检测。
3总结
随着当前社会的持续快速发展,信息时代已经来临,云计算技术已成为互联网的重要技术手段,但网络中的攻击手段也层出不穷。所以,云计算环境下,为了尽量减小安全问题的发生,需要提高云计算客户防御意识、加大安全技术成本且持续健全和革新安全技术手段,才能有效提高云计算环境下的网络安全。
参考文献
[1]闫盛,石淼.基于云计算环境下的网络安全技术实现[J].计算机光盘软件与应用,2014(23):168,170.
[2]宋焱宏.云计算环境下的网络安全技术[J].网络安全技术与应用,2014(08):178-179.
越来越多的企业正在利用云、移动和大数据环境,应对各种挑战并加速创新、增强灵活性,改进财务管理。然而,这些趋势也会带来严重的安全隐患。根据惠普主导的最新调查表明,一半以上的中国业务及技术高管认为,缺乏对云服务安全需求的认识令其担忧。而超过四分之三的受访者表示,如何保护和利用大数据也令人担忧。
这项调查结果表明:企业通过采取主动的信息安全保护措施,利用智能安全防御能力降低风险的需求在不断增长。企业在其安全防御方案中变得越来越主动,并更注重战略、管理及安全智能。93%的中国受访企业业务和技术高管表示,其所在企业的安全领导与其他首席级高管拥有同等的话语权,而在全球则有71%的受访者对此表示认同。此外,对安全智能的需求也在持续增加,在中国,85%的受访者指出,他们正在探索使用安全信息和事件管理(SIEM)措施,而在全球该比例为82%。
然而,研究同时表明,企业依然把过多精力投入到被动安全防御措施上,而非更重要的主动安全防御措施。例如,超过一半的受访者表示其花在被动安全防御措施上的时间和预算大于对主动防御措施的投资。在中国,约有一半(52%)的受访企业目前已部署信息风险管理战略,而在全球该比例则不到一半(45%)。在中国,55%的企业仍在手动整合信息风险管理报告,或者根本不衡量风险,这将会妨碍企业主动预测安全威胁的能力,而在全球该比例为53%。
惠普公司企业安全产品部北亚区总经理姚翔说,安全行业是一个被动行业,CIO愿意构建业务系统,缺不愿意主动投入安全,但在企业建设中,安全又是非常重要的部分。企业高管认为增加企业安全管理复杂性的关键IT趋势包括:移动性、大数据、身份管理、基于打印机的入侵。安全形势越来越复杂,攻击以多种形式、捆绑在一起出现,迫使企业反思传统防御策略。尽管技术创新不断涌现,威胁的复杂性、持续性和不可预测性仍在不断增加。为了应对这些复杂的威胁,企业必须采用主动、可持续的信息风险管理方法。惠普智能安全解决方案能够帮助客户对其安全环境进行评估,转型及管理,以对企业最重要的资产进行保护。
惠普公司推出的HPArcSightEnterpriseSecufityManager(ESM)6.0c,是目前市场上最强大的可扩展安全监控与法规遵从解决方案,能够帮助客户以前所未有的速度发现网络威胁并进行修复。
姚翔解释说,云计算和移动数据等主要IT发展趋势已对网络活动的可控性和可视性产生了影响,并增加了潜在安全风险。缺乏可视性会妨碍企业防御网络威胁的能力,从而导致敏感数据丢失、服务中断并损害企业声誉。然而,传统的安全信息与事件管理(SIEM)系统缺乏在大量数据产生时发现真正安全威胁的能力。
颁布网络电磁空间安全战略与信息安全政策
随着网络电磁空间安全问题日益突出,2011年世界主要国家纷纷网络电磁空间安全战略与信息安全政策,确立国家的网络电磁空间及信息安全的目标和行动计划,并进一步规范信息安全建设。
美国颁布多份网络电磁空间战略文件
为全面掌控网络电磁领域的战略主导权,美国防部7月14日《国防部网络电磁空间行动战略》,从顶层规划美军如何发展网络电磁能力。作为统筹美军网络电磁领域发展的纲领性文件,该《战略》对网络电磁空间带来的机遇和威胁进行了全面分析,提出了加强网络电磁空间防御能力的5项战略倡议:①把网络电磁空间作为一个军事行动领域,对部队进行全方位组织、训练和装备;②运用主动防御理念,保护国防部网络和系统;③加强与其他政府部门和私营机构的协作,实现一体化政府网络电磁空间安全战略;④扩大与盟国和国际伙伴的合作,增强共同防御和集体威慑能力;⑤培养并保持一支杰出的专业技术人才队伍,加快技术创新。
美国防部还于11月公布《网络电磁空间政策报告》,系统阐述国防部网电政策和法律、网电行动的国家军事战略等一系列问题。①提出“反击、防御、基础设施”相结合的综合网电威慑概念,一旦美国受到他国的网电攻击,经总统批准,国防部可以使用包括网电进攻和军事打击在内的多种手段进行反击;②强调提升网电空间态势感知能力;③积极推进制定网电能力透明机制和国际规范,使美国掌握他国网电能力的发展态势,并限制他国使用网电武器;④以“全政府”协同的方式保护美国关键网电基础设施和系统。
欧洲国家制定网络电磁空间安全战略
以英国、德国为代表的欧洲国家,纷纷制定本国的网络电磁空间安全战略,全面强化网络电磁空间安全建设工作。英国11月出台《网络电磁空间安全战略》,确定了2015年成为世界上网络电磁空间最安全的国家之一的目标,要求开发保护网电安全所需要的各种技术和能力,进一步提高国家关键信息基础设施遭受网电攻击的恢复能力。
德国2月公布(《国家网络电磁空间安全战略》,明确了德国政府应重点关注的10个网电重要领域。法国2月“信息系统安全防御战略”,提出了成为世界网络空间安全大国的7项行动计划。捷克7月制定《2011-2015年网络电磁空间安全战略》,拟定了实施网络电磁空间安全的6项基本原则和5项措施。
荷兰6月颁布《国家网络电磁空间安全战略》,提出了实现网络电磁空间安全目标的6项行动计划,主要包括成立网络电磁空间安全机构、加强网电威胁与风险分析、增强关键基础设施的适应能力、提高抗击网电威胁的响应能力等内容。
北约6月批准新的网络电磁空间防御政策,提出了北约盟国协调进行网络电磁空间防御的方针和军事行动机制,明确了与伙伴国、国际组织、私营部门和学术界协同进行网络电磁空间防御的原则,并制定了贯彻落实这项政策的行动计划。
此外,为了提高电子数字签名的安全性和实用性,俄罗斯还于4月颁布新的电子签名法。新法律对签名密钥证书的发送、使用、校验以及认证中心的鉴定和服务等规定进行了调整,以推动电子签名的普及应用。
亚洲国家出台网络电磁空间安全计划与政策
韩国、印度等亚洲国家十分重视网络电磁空间领域的发展,通过出台安全计划与安全政策,规划本国的网电建设。韩国8月发表“国家网络电磁空间安全综合计划”,提出了重点推进的5项战略举措:①对重要信息进行加密保护,建立灾难恢复系统,加强国际合作;②引入“三线”防御体系,扩大安全监控范围;③加强国际合作,提高应对黑客攻击的能力;④改进信息安全评价体系,强化安全管理,提高全民网络安全意识;⑤扩充政府信息安全人员,增设信息安全学科,加大信息安全技术研发力度。
印度3月出台“国家网络电磁空间安全政策(草案)”,从网电安全前景、网电威胁性质、网电安全保障程序、技术运用与研发、人员培养和用户责任等6个方面,阐述了印度对网络电磁空间安全建设的指导方针,提出了保障网络安全的战略举措。
组建网络电磁空间防御机构
为了统一指挥信息安全防御力量,德国、以色列、巴西和伊朗2011年相继成立网络电磁空间司令部与防御机构。
德国2011年4月在波恩成立国家网络电磁空间防御中心,其使命是担当信息安全防御指挥中枢,全面评估和分析信息安全事件,迅速制定协调响应计划。该中心将与德国军队、警察和情报机构密切合作,使政府部门能共享信息安全威胁信息,以便及时采取防范措施。
以色列5月成立由80人组成的国家网络电磁空间司令部,其主要职责是保护国防系统和国家重要信息基础设施的安全,抵御其他国家和的网络恐怖袭击。网络电磁空间司令部将直接向总理报告工作。
巴西武装部队8月成立网络电磁空间防御中心,目的是提供一支能随时执行网络电磁空间防御任务的部队,保护军队和政府信息系统的安全。该中心有大约100名具有专业技能的陆军、海军和空军官员,配备一个恶意软件分析实验室和一个特别事件处理中心。
伊朗10月宣布成立一支专门负责网络电磁空间防御的部队,以对抗西方国家针对伊朗的“软战争”。网络电磁空间司令部的人员来自国防和电信部门,并与国家情报机构密切合作。
另外,英国、法国、日本、奥地利和北约也在酝酿成立网络电磁空间防御机构。
不断开发新的信息安全技术
技术创新是装备发展的推动力。2011年,世界各国积极开展信息安全技术研究,取得了许多新成果。
美国防高级研究计划局4月宣布投资2000万美元,实施以全同态加密技术为重点的PROCEED计划,目标是把目前的加密运算效率提高1000万倍,从而达到实用化。一旦全同态加密技术进入实际应用,将为美军发展云计算提供巨大的发展契机。因为利用这项新技术,云端服务器对密文进行运算后得到的结果,与直接对明文进行运算后加密得到的结果一样,可从根本上消除用户对使用云计算服务的安全疑虑。
英国BAEDetica公司4月展示DeticaTreidan网络电磁空间防御新技术。该技术运用基于大规模云计算的独特行为分析方法,检测很难被传统方法发现的潜在威胁迹象,确定哪些地方正在发生秘密网电攻击,并对可能造成的风险级别进行排序,提供给管理人员进行分析和采取防护措施。
瑞士IDQ公司9月研制出一种新型密码监控技术――CypherMonitor。该技术能使用户能监控密码机的安全状态,通过移动电话实时主动报警,还能自动定期报告各种密码机的全面情况,以便管理人员按预定计划或适时对网络进行干
预。
法国泰利斯公司12月开发出具有高可靠性和安全性的高保障密钥管理器keyAuthority3.0。该技术是一种便于配置的密钥管理技术,可对多种密码设备的密钥进行统一自动化管理,能可控并连续地访问密钥,支持与主要密码设备的传统互通能力。
继续装备新型密码设备
密码装备是信息安全建设的重头戏。2011年,以美国为首的世界各国装备了一大批新型密码设备,密码保密能力显著提高。
美国采办和研发多款新型密码机
推出KG-202密码机
通用动力公司2月推出KG-202密码机,保护存储网络上的静态数据,支持固定和移动存储介质,能使多个安全级的信息存储在一个存储阵列中。它采用B组密码算法,最多可存储31个密钥,最大能支持16个密钥独立控制的安全联结,可对高达绝密级的数据进行加密,坚固耐用,适应战术和战略环境条件。
为KG-250X密码机颁发1类保密证书ViaSat公司5月收到国家安全局为其新型KG-250X密码机颁发的l类保密证书。KG-250x是惟一完全符合“高保障IP密码机互通规范”(HAIPEIs)的超小型高速IP密码机,满足严格的移动任务环境要求,坚固耐用,具有现场抗篡改恢复能力,可对高达绝密级的信息进行加密,支持“全球信息栅格”的端到端安全要求,内置A组和B组密码算法,具有与外国进行HAIPE互通的能力,适合移动、机载、徙步和基础设施联网保密通信。用户可以把它放在作战服口袋内随身携带,随时随地进行保密通信。
装备新型密钥注入设备海军5月签订一份5970万美元的合同,采购新型KIK-1l战术密钥注入设备,供现在和未来部署的战术电台和其他终端密码设备使用。KIK-11是一种坚固、易用的小型化单键可编程设备,采用SierraⅡASIC密码模块,支持所有传统和现代密钥注入接口及协议,与当前和未来密钥管理基础设施的密钥分发体系兼容,能够把密钥快速加载到战场密码设备中。
开发单片密码机
Altera公司11月推出一种新型“现场可编程门阵列”(FPGA)“单片密码机”(SFC),国家安全局已批准其在1类密码系统中使用。它采用的CycloneⅢLSEP3CLS200FPGA,是功耗最低、功能最高的FPGA;具有JTAG端口保护、篡改监视和循环冗余校验等防篡改功能,按照把逻辑、走线和I/O块分开的方法设计,有20万个逻辑部件和396个乘法器,内存8.2兆,静态功耗小于0.25瓦。
澳大利亚推出新型cN6100密码机
澳大利亚8月推出首款基于新一代CN6高速加密平台的CN6100密码机。CN6100是一种可升级的以太网密码机,具有物理抗篡改、网络中断时自动连接建立和恢复、双冗余等功能,与公司当前的CS和CN系列密码机完全互通,能以1~10吉比特/秒的速率保护移动中的通信,为点对点、星形或任意网状环境的以太网提供全线速透明加密。
法国采购保密手机
法国武器装备总署(DGA)9月采购首批1000部Teorem保密手机,供处理机密级防务信息的政府高级官员和军队使用。Teorem手机内置DGA开发的加密算法和密码装置,用户可通过调制解调器收发军事保密信息。据悉,DGAN计将订购14000部这种手机,其中7000部在军队使用。
德国开发新型多点密码机
德国12月开发出速率为10兆比特/秒的DE和DIN多点密码机,供特殊应用领域使用。DE密码机用于小型办公室或远程安全连接的系统,加固型DIN密码机将用于极端环境。这两种密码机能提供独特的完整性保护和重放保护功能,与现用的100兆、1吉和10吉以太网多点密码机完全兼容,从而可以把小网站整合到大型多点以太网网络中。
以色列国防军装备新型无线密码设备
以色列国防军12月表示将为所有部队配备一种称作EladYarok的新型无线保密设备。EladYarok不仅能与所有现役无线保密通信设备进行互通,还能通过更先进的RPT信道传输加密的数据,为战场指挥官实时提供包括视频和图像在内的各种保密通信。
阿联酋采购Ectocryp密码设备
阿拉伯联合酋长国9月为军队指挥控制系统采购EctocrypBlueNBlack密码机。EctocrypBlue按照高保障IP密码机标准设计,加密速率为1吉比特/秒,可以在现场重新编程,能同时实现16000个安全联结,可在一个公共基础设施上保护绝密级的数据。EctocrypBlack采用“保密通信互通协议”(SCIP),能同时处理92个信道的SCIP通信,支持现役和新开发的语音协议及密码算法。
华为是全球领先的信息与通信解决方案供应商,坚持围绕客户的需求持续创新,与合作伙伴开放合作,在电信网络、企业网络、消费者和云计算等领域构筑了端到端的解决方案优势,其致力于为电信运营商、企业和消费者等提供有竞争力的ICT解决方案和服务,持续提升用户体验,为用户创造最大价值。目前,华为的产品和解决方案已经应用于140多个国家,服务全球1/3的人口。
依托强大的研发和综合技术能力,华为在企业业务领域与合作伙伴开放合作,理解客户所需,提供全面、高效的ICT解决方案和服务,包括企业基础网络、统一通信与协作、云计算与数据中心、企业信息安全,为全球政府及公共事业、金融、交通、电力、能源、商业企业及互联网等行业服务。华为还以丰富人们的沟通和生活为愿景,运用信息与通信领域专业经验,消除数字鸿沟,让人人享有宽带。
为应对全球气候变化挑战,华为通过领先的绿色解决方案,帮助客户及其他行业降低能源消耗和二氧化碳排放,创造最佳的社会、经济和环境效益。
华为于1987年成立于中国深圳以来,在20多年的时间里,华为全体员工付出艰苦卓越的努力,以开放的姿态参与到全球化的经济竞合中,逐步发展成一家业务遍及全球140多个国家的全球化公司。在华为的企业文化中,员工相信只有艰苦奋斗才能赢得客户的尊重与信赖,为此,他们坚持以客户为中心,持续为客户创造长期价值进而成就客户。正是这样的企业文化,激励着华为全球员工全力以赴地努力,才有了华为持续的成长。
华为坚持以客户为中心、以奋斗者为本的路线,持续改善公司组织、流程和考核,使公司获得有效增长。2011年,华为研发费用支出为人民币23696百万元,近10年投入的研发费用超过人民币100000百万元。
为适应信息行业正在发生的革命性变化,华为做出面向客户的战略调整,华为的创新将从电信运营商网络向企业业务、消费者领域延伸。
今天的华为将把构筑并全面实施端到端的全球网络安全保障体系作为公司的重要发展战略之一,并真诚地与各国政府、客户和行业伙伴等广泛交流与合作,共同应对全球网络安全方面的威胁和挑战。
北京网康科技有限公司
北京网康科技成立于2004年,现有员工450人,销售服务网络覆盖全国各个省份,专注于为客户提供网络应用层的安全、管理与优化的相关产品及解决方案。
网康科技为客户提供多种应用层网络安全、网络管理与网络优化产品,帮助客户提升工作效率、节省IT投资、确保数据安全。截至目前,已经有1万多家客户选用网康科技的网络应用层产品与解决方案。
网康科技专注于网络应用层技术的持续创新。2004年推出国内第一款上网行为管理产品ICG;2009年推出智能流量管理产品ITM;2010年推出安全服务器产品NPS和移动业务分析系统;2011年推出应用安全网关ASG。持续的产品创新使得公司3年年复合增长率超过200%,并在2011年入选德勤亚太高成长企业500强。
网康科技坚持致力于网络应用层管理技术的产品研发。区别于传统网络技术仅基于IP和端口对网络传输数据进行管理的思路,网康科技率先提出了基于人员标签、应用标签和内容标签对网络传输数据进行深度管理的技术理念,并在此领域积累了50余项的发明专利和软件著作权。网康科技拥有全球最大的中文网页分类数据库之一和中国最大的网络应用协议数据库之一,结合专利的XAI(扩展应用识别)、RACE(实时应用内容识别)技术,使得IT管理者可以准确地识别网络中传输数据的人员构成、应用构成和内容构成,从而准确地进行应用级和内容级的安全防护、合规管理以及性能优化。
目前,网康科技的产品和解决方案已广泛应用于中国1万多家用户,其中政府(环保部、农业部、国税总局等)、金融(民生银行、中国人保、中国人寿等)、运营商(中国移动、中国联通、中国电信等)、能源企业(国家电网、华能集团、中国石化)、教育机构(北京师范大学、新疆师范大学、贵州大学)、交通企业(国航、东航、南航)、制造企业(美的、海尔、长虹)、大型集团企业(国美、苏宁、同仁堂)等均广泛地采用网康科技的产品技术进行精细化的网络应用层管理。目前,上网行为管理产品NS-ICG在中国相关市场的占有率居于首位。
北京网御星云信息技术有限公司
北京网御星云信息技术有限公司由联想网御科技(北京)有限公司更名而来,其前身为联想集团信息安全事业部。在过去的10多年里,网御星云始终坚持“让用户放心地使用互联网”的企业宗旨,坚持“以核心技术和专业服务成就客户事业”的经营理念,得到了广大客户和众多合作伙伴的大力支持与高度认可,成为一家在所有安全网关类细分市场(FW/UTM/IPS/VPN)中都名列前茅的中国信息安全领军企业。
网御星云在信息安全领域拥有众多核心技术,先后申请发明专利近50项、软件著作权近30项。主营业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理等方面。主要产品包括防火墙、UTM、IPSecVPN、防病毒网关、IPS、SSLVPN安全接入网关、web应用安全防护系统、安全数据交换、IDS、异常流量管理、流量优化网关、安全审计、安全管理共计13大类500余款产品,其中包括网络安全旗舰产品金刚万兆安全网关和应用安全旗舰产品SSLVPN,是国内信息安全产品线最为丰富的企业之一。
关键词:云操作系统;安全体系结构;API安全管理
中图分类号:TP309
当前,虚拟化、云计算及移动互联网的快速发展改变着信息化的环境,同时也为云计算环境带来了更为复杂的安全问题。云安全操作系统及加固技术是基于云操作系统技术开发、适用于构建安全云计算环境的安全的云基础架构产品。云操作系统安全加固技术正是基于用户对数据安全的担忧,采取有别于传统的安全防护措施,从网络安全、数据安全以及系统安全加固等层面对云计算环境进行安全防护,更有效地保障了数据的安全性。
1云操作系统安全加固技术
研究云操作系统加固技术的目的是建立安全可靠的云平台系统以及云平台内各组件所基于的操作系统运行安全性(即操作系统加固),同时对平台内所有网络行为进行安全监控(包括网络攻击分析、网络流量监控、网络服务安全分析等方面),通过对云平台的统一管理,周期性提供平台安全状态运行报告以及平台安全审计结果,从而保障用户操作安全、平台运行安全、数据传输与存储安全、网络安全以及平台应用安全等。
为实现上述的安全问题,其核心是研究云操作系统的安全体系结构、实现API的安全管理以及虚拟网络的安全加固技术。
1.1云操作系统安全体系结构。云操作系统安全体系建设主要包括:数据安全、服务/应用安全、平台宿主系统安全以及平台网络安全。
云操作系统安全体系架构有别于传统的安全体系架构,结合笔者公司现有云平台的体系架构,建立以下安全体系架构。
云操作系统安全体系分为以下层次:
1.1.1系统基础设施服务层。主要从以下两个层面进行安全划分:
(1)整个云平台系统基础设施剖面:包括各组件之间网络通讯、数据传输的安全以及云平台数据存储的安全。
(2)云平台物理节点剖面:包括各组件宿主操作系统安全以及虚拟机操作系统安全。
1.1.2平台管理层。主要从云平台管理服务层对安全进行抽象定义,包括:云平台管理系统安全性(防病毒、攻击防护、用户权限管理、身份认证管理以及系统预警等)、用户接入平台安全性、平台数据管理服务的安全性(主要考虑虚拟机对存储的安全使用,包括权限控制、存储资源配额、安全传输等)、网络访问控制/安全策略(主要是对虚拟机网络的访问控制策略以及虚拟机的安全策略定制)、软件服务安全管控(主要是如何安全管理对虚拟机系统的软件自动部署、配置、注册、注销等)、日志分析(根据日志分析平台周期性的运行效果)、审计评估(对平台安全可靠性的整体审计,包括用户历史行为审计评估、系统安全运行审计评估、虚拟机安全性审计评估)、安全运维(主要从安全性考虑,对系统功能的操作性定义、系统故障时安全性恢复等问题进行考虑)。
1.1.3平台应用层。应用服务访问安全主要是指平台对外提供的服务如何保障其安全,如应用服务的认证/授权、支持SSL(SecureSocketsLayer,安全套接层)传输的应用系统访问等。
1.2API安全管理。API是预先定义的函数,目的是提供一种不通过源码来访问应用程序服务的方法,而在应用程序与应用、应用与用户之间则是基于Internet通过API来开放服务。当前,以API开放服务的方式在云计算领域已经成为主流方式,主要是基于REST、WebService、SOAP等协议或方式来提供,这源自云计算的核心理念――云即服务。
API的设计准则为可靠性、可扩展性以及安全性等,其中安全性是基础,没有安全的服务既无法保证服务质量,同时也会有损服务主体的利益。因此,从云操作系统开始设计时就要引入API安全设计,而传统安全设计使用硬编码等直接耦合式的方法来解决安全问题,这会为应用带来一定程度的复杂性,也不易于维护。
云操作系统的API安全管理平台提供API网关,基于网关实现七层的安全管理,主要功能包括基于内容的防护、集中认证和API管理。
1.3虚拟网络安全加固技术。
1.3.1云操作系统中的vUTM协同合作系统。不同于以往传统的物理UTM(UnifiedThreatManagement,安全网关)设备,这套系统包括多个服务器的多虚拟机协同合作,在虚拟化环境下不仅可以分担大量的计算任务(如状态检测、深度检测、全景检测、入侵检测、智能攻防、病毒黑客防御、VPN等),还可以更加灵活地运用计策设置陷阱引诱、套住并围剿黑客。vUTM协同合作系统将具备良好的性能和高可靠性,统一的产品管理平台下,集防火墙、VPN、网关、防病毒、防黑客、IPS(IntrusionPreventionSystem,入侵防御系统)、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能。下面将介绍如何开发该vUTM协同合作系统的实施方案:构建网络安全协议层防御:主要针对虚拟网络IP、端口等信息进行防护和控制,但是真正的安全不能只停留在底层,需要构建一个更高、更强、更可靠的墙,此处的vUTM协同合作系统除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用。因此,vUTM系统将会和虚拟网关及物理网关相连或直接融汇网关的责任。除了具有传统防病毒反黑客的功能外,还将在vUTM系统中实现IPS理念的主动攻防和自主免疫功能。
1.3.2主动攻防和自主免疫功能。结合以上vUTM方案,开发出虚拟化环境下的主动攻防和自主免疫功能,既可以实现在新病毒出现之前就能够预防(就好像人体的免疫系统一样),还可以实现在黑客未入侵成功时就能主动发现,阻断并反攻黑客,且在反攻时回溯定位到黑客的真实位置。具体的实施方案如下:构建仿生自主神经系统:通过vUTM协同合作系统以及VLAN(VirtualLocalAreaNetwork,虚拟局域网)域内的其他服务器上的防火墙共同构建一套仿生自主神经系统。
该系统仿生模拟动物的自主神经系统,主要包括电脑神经元、神经末梢、周围神经系统和中央神经系统。电脑神经元感知和监控每一个进程的运行;神经末梢感知和监控每一个线程的工作;周围神经系统感知和监控主机整体的系统运作以及做一些简单的决策;中央神经系统由vUTM服务器承担进行复杂计算以及全面策划防御措施。
虚拟化环境下的防新病毒能力:有了这套仿生自主神经系统后,它会对每一个进程乃至线程进行细微感应,一旦发现任何异常行为,将会对其阻断彻查并通过神经连接直接上报给vUTM服务器或进一步上报给病毒中心。如果新病毒入侵,尽管病毒库不知道是何种病毒,这套系统依然可以根据异常行为发现并阻断其继续传播。
3结束语
综上所述,本文探讨了云操作系统的安全加固技术,主要包括:云操作系统的安全体系结构、API的安全管理技术以及虚拟网络的安全加固技术。通过对云计算系统的安全加固,才能更好地推动云计算的发展,以及更有效、及时地解决当前云计算发展所面临的安全问题。只有把这些问题解决好,才能真正发挥云计算在各行各业信息化进程中的重大作用。
参考文献: