IT運(yùn)維信息安全解決方案

90年代90年代有效性?！笨傻仲?lài)性?！?31.2信息安全的目標(biāo)831.3信息安全范圍?帳號(hào)口令管理8.3.2安全運(yùn)維的定義聯(lián)事件)通稱(chēng)為安全事件，而圍繞安全事件、運(yùn)維人員和信息資產(chǎn)，依據(jù)具體流程而展開(kāi)監(jiān)控、告警、響應(yīng)、評(píng)估等運(yùn)行維護(hù)活動(dòng)，稱(chēng)為安全運(yùn)維服務(wù)。1)、出現(xiàn)故障縱有眾多單一的廠商管理工具，但無(wú)法迅速定位安全事件，忙于“救火”,卻又不知火因何而“著”。時(shí)時(shí)處于被動(dòng)服務(wù)之中，無(wú)法提供量3)、對(duì)安全事件缺少關(guān)聯(lián)性分析和評(píng)估分析，并且沒(méi)有對(duì)安全事件定義明的事前預(yù)警、事發(fā)時(shí)快速定位。其主要包括：2、綜合展現(xiàn)：合理規(guī)劃與布控，整合來(lái)自各種不同的監(jiān)控管理工具和信息源，進(jìn)行標(biāo)準(zhǔn)化、歸一化的處理，并進(jìn)行過(guò)濾和歸并，實(shí)現(xiàn)集中、綜合的展現(xiàn)。3、快速定位和預(yù)警：經(jīng)過(guò)同構(gòu)和歸并的信息，將依據(jù)預(yù)先配置的規(guī)則、事件知識(shí)庫(kù)、關(guān)聯(lián)關(guān)系進(jìn)行快速的故障定位，并根據(jù)預(yù)警條件進(jìn)行預(yù)警。833.2建立安全運(yùn)維告警中心案處理接口，可依據(jù)事件關(guān)聯(lián)和響應(yīng)規(guī)則的定義，觸發(fā)相應(yīng)的預(yù)案處理，實(shí)現(xiàn)運(yùn)維管理過(guò)程中突發(fā)事件和問(wèn)題處理的自動(dòng)化和智能化。關(guān)于事件基礎(chǔ)庫(kù)維護(hù)：它是事件知識(shí)庫(kù)的基礎(chǔ)定義，內(nèi)置大量的標(biāo)準(zhǔn)事件，按事件類(lèi)型進(jìn)行合理劃分和維護(hù)管理，可基于事件名稱(chēng)和事件描述信息進(jìn)行歸一化處理的配置，定義了多源、異構(gòu)信息的同構(gòu)規(guī)則和過(guò)濾規(guī)則關(guān)于智能關(guān)聯(lián)分析：它是借助基于規(guī)則的分析算法，對(duì)獲取的各類(lèi)信息進(jìn)行分析，找到信息之間的邏輯關(guān)系，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度對(duì)安全事件進(jìn)行深度分析，消除安全事件的誤報(bào)和重復(fù)報(bào)警。關(guān)于綜合查詢(xún)和展現(xiàn)：它實(shí)現(xiàn)了多種視角的故障告警信息和業(yè)務(wù)預(yù)警信息的查詢(xún)和集中展現(xiàn)。關(guān)于告警響應(yīng)和處理：它提供了事件生成、過(guò)濾、短信告警、郵件告警、自動(dòng)派發(fā)工單、啟動(dòng)預(yù)案等多種響應(yīng)方式，內(nèi)置監(jiān)控界面的圖形化告警方式；提供了與事件響應(yīng)中心的智能接口，可基于事件關(guān)聯(lián)響應(yīng)規(guī)則自動(dòng)生成工單并觸發(fā)相應(yīng)的預(yù)案工作流進(jìn)行處理。833.3建立安全運(yùn)維事件響應(yīng)中心借鑒并融合了ITIL(信息系統(tǒng)基礎(chǔ)設(shè)施庫(kù))/ITSM(IT服務(wù)管理)的先進(jìn)管理規(guī)范和最佳實(shí)踐指南，借助工作流模型參考等標(biāo)準(zhǔn)，開(kāi)發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運(yùn)維管理工作以任務(wù)和工作單傳遞的方式，通過(guò)科學(xué)的、符合用戶運(yùn)維管理規(guī)范的工作流程進(jìn)行處置，在處理過(guò)程中實(shí)現(xiàn)電子化的自動(dòng)流轉(zhuǎn)，無(wú)需人工干預(yù)，縮短了流程周期，減少人工錯(cuò)誤，并實(shí)現(xiàn)對(duì)事件、問(wèn)題處理實(shí)現(xiàn)資源的自動(dòng)分配管理，包括資源即時(shí)監(jiān)控和自動(dòng)調(diào)度等，并能夠提供使用著電信運(yùn)營(yíng)商和制造商的關(guān)注。如中國(guó)三大電信運(yùn)營(yíng)商紛紛開(kāi)展了云計(jì)算的研究和試837.2云計(jì)算九大安全威脅領(lǐng)域的9個(gè)安全威脅。戶的數(shù)據(jù)，而且還能獲取其他用戶的數(shù)據(jù)。種威脅，但是會(huì)加大遭遇另一種威脅的風(fēng)險(xiǎn)。”用戶可以對(duì)數(shù)露的風(fēng)險(xiǎn)，不過(guò)一旦用戶丟失了加密密鑰，就再也無(wú)法查看數(shù)據(jù)了。反過(guò)來(lái)說(shuō)，如果用戶決定對(duì)數(shù)據(jù)進(jìn)行異地備份以減小數(shù)據(jù)丟失風(fēng)險(xiǎn)，卻就又加大了數(shù)據(jù)泄露的幾率。?2.數(shù)據(jù)丟失CSA認(rèn)為，云計(jì)算環(huán)境的第二大威脅是數(shù)據(jù)丟失。用戶有可能會(huì)眼睜睜地看著那的數(shù)據(jù)。粗心大意的服務(wù)提供商或者災(zāi)難(如大火、洪水或地震)也可能導(dǎo)致用戶的數(shù)據(jù)丟失。讓情況更為嚴(yán)峻的是，要是用戶丟失了加密密鑰，那么對(duì)數(shù)據(jù)進(jìn)行加密的行為反而會(huì)給用戶帶來(lái)麻煩。?3.數(shù)據(jù)劫持要抵御這種威脅，關(guān)鍵在于保護(hù)好登錄資料CSA認(rèn)為：“企業(yè)應(yīng)考慮禁止用戶與服務(wù)商之間共享賬戶登錄資料。企業(yè)應(yīng)該盡量采用安全性高的雙因子驗(yàn)證技術(shù)?！?4.不安全的接口第四大安全威脅是不安全的接口(API)。IT管理員們會(huì)利用API對(duì)云服務(wù)進(jìn)行配置、管理、協(xié)調(diào)和監(jiān)控。API對(duì)一般云服務(wù)的安全性和可用性來(lái)說(shuō)極為重要。企業(yè)和第三方因而經(jīng)常在這些接口的基礎(chǔ)上進(jìn)行開(kāi)發(fā)，并提供附加服務(wù)。CSA在報(bào)告中表示：“這為接口管理增加了復(fù)雜度。由于這種做法會(huì)要求相互聯(lián)系，因此其也加大了風(fēng)險(xiǎn)?！盋SA在此給出的建議是，企業(yè)要明白使用、管理、協(xié)調(diào)和監(jiān)控云服務(wù)會(huì)在安全方面帶來(lái)什么影響。安全性差的API會(huì)讓企業(yè)面臨涉及機(jī)密性、完整性、可用性和問(wèn)責(zé)?5.拒絕服務(wù)攻擊分布式拒絕服務(wù)(DDoS)被列為云計(jì)算面臨的第五大安全威脅。DDoS一直都是互聯(lián)網(wǎng)的一大威脅。而在云計(jì)算時(shí)代，許多企業(yè)會(huì)需要一項(xiàng)或多項(xiàng)服務(wù)保持7X24小時(shí)的可用性，在這種情況下這個(gè)威脅顯得尤為嚴(yán)重。DDoS引起的服務(wù)停用會(huì)讓服務(wù)提供商失去客戶，還會(huì)給按照使用時(shí)間和磁盤(pán)空間為云服務(wù)付費(fèi)的用然攻擊者可能無(wú)法完全摧垮服務(wù)，但是“還是可能讓計(jì)算資源消耗大量的處理時(shí)間，行關(guān)掉服務(wù)?！?6.不懷好意的“臨時(shí)工”第六大威脅是不懷好意的內(nèi)部人員，這些人可能是在職或離任的員工、合同工或者業(yè)務(wù)合作伙伴。他們會(huì)不懷好意地訪問(wèn)網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)。在云服務(wù)設(shè)計(jì)不當(dāng)?shù)膱?chǎng)景下，不懷好意的內(nèi)部人員可能會(huì)造成較大的破壞。從基礎(chǔ)設(shè)施即服務(wù)(laaS)、平臺(tái)即服務(wù)(PaaS)到軟件即服務(wù)(SaaS),不懷好意的內(nèi)部人員擁有比外部人員更高的訪問(wèn)級(jí)別，因而得以接觸到重要的系統(tǒng)，最終訪問(wèn)數(shù)據(jù)。在云服務(wù)提供商完全對(duì)“就算云計(jì)算服務(wù)商實(shí)施了加密技術(shù)，如果密鑰沒(méi)有交由客戶保管，那么系統(tǒng)仍容易遭到不懷好意的內(nèi)部人員攻擊?！?7.濫用云服務(wù)第七大安全威脅是云服務(wù)濫用，比如壞人利用云服務(wù)破解普通計(jì)算機(jī)很難破解的加密密鑰。惡意黑客利用云服務(wù)器發(fā)動(dòng)分布式拒絕服務(wù)攻擊、傳播惡意軟件或共享盜版軟件。這其中面臨的挑戰(zhàn)是，云服務(wù)提供商需要確定哪些操作是服務(wù)濫用，并且確定識(shí)別服務(wù)濫用的最佳流程和方法。?8.貿(mào)然行事第八大云計(jì)算安全威脅是調(diào)查不夠充分，也就是說(shuō)，企業(yè)還沒(méi)有充分了解云計(jì)算服務(wù)商的系統(tǒng)環(huán)境及相關(guān)風(fēng)險(xiǎn)，就貿(mào)然采用云服務(wù)。因此，企業(yè)進(jìn)入到云端需要與服度方面的問(wèn)題。此外，如果公司的開(kāi)發(fā)團(tuán)隊(duì)對(duì)云技術(shù)不夠熟悉，就把應(yīng)用程序貿(mào)然放到云端，可能會(huì)由此出現(xiàn)運(yùn)營(yíng)和架構(gòu)方面的問(wèn)題。?9.共享隔離問(wèn)題CSA各共享技術(shù)的安全漏洞列為云計(jì)算所面臨的第九大安全威脅。云服務(wù)提供商經(jīng)常共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用程序，并以一種靈活擴(kuò)展的方式來(lái)交付模式中，無(wú)論構(gòu)成數(shù)據(jù)中心基礎(chǔ)設(shè)施的底層部件(如處理器、內(nèi)存和GPU等)是不供了隔離特性?！敝行?，但安全問(wèn)題是云計(jì)算存在的主要問(wèn)題之方案提供商都強(qiáng)調(diào)使用加密技術(shù)(如SSL)來(lái)保護(hù)用戶數(shù)據(jù)，但即使數(shù)據(jù)采用SSL技但在云計(jì)算環(huán)境下，由于大量運(yùn)用虛擬化技術(shù)，資源池化技術(shù)導(dǎo)致云計(jì)算環(huán)境內(nèi)服務(wù)器、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)設(shè)備等硬件基礎(chǔ)設(shè)施被高度整合，多個(gè)系統(tǒng)同時(shí)運(yùn)行在同要調(diào)整以適應(yīng)新的技術(shù)變革。種技術(shù)保證用戶的數(shù)據(jù)在云端得到了妥善保存而沒(méi)有被無(wú)意或惡意的泄露出去，用戶如何能保證自身存儲(chǔ)的數(shù)據(jù)都是合法的、經(jīng)過(guò)授權(quán)的用戶所訪問(wèn)在云計(jì)算環(huán)境中，由于數(shù)據(jù)和資源的大集中導(dǎo)致云服務(wù)器需要承擔(dān)比傳統(tǒng)網(wǎng)絡(luò)但同時(shí)云環(huán)境下開(kāi)放的網(wǎng)絡(luò)環(huán)境、多用戶的應(yīng)用場(chǎng)景給云服務(wù)器的安全帶來(lái)更入侵檢測(cè)等系統(tǒng)也進(jìn)行了相應(yīng)的改造，提供虛擬化環(huán)境下的安全防護(hù)能力以適應(yīng)新的理和配置各自的虛擬防火墻，采用不同的安全策略，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間的安全隔緣虛擬橋EVB協(xié)議將內(nèi)部的不同虛擬機(jī)之間網(wǎng)絡(luò)流量全部交與服務(wù)器相連的物理交2).數(shù)據(jù)傳輸安全在云計(jì)算環(huán)境中的數(shù)據(jù)傳輸包括兩種類(lèi)型，一種是用戶與云之間跨越互聯(lián)網(wǎng)的段可以采用協(xié)議安全套接層或傳輸層安全協(xié)議(SSL/TLS)或IPSec,在云終端與云服務(wù)器之間、云應(yīng)用服務(wù)器之間基于SSL協(xié)議實(shí)現(xiàn)數(shù)據(jù)傳輸加密。在某些安全級(jí)別要求高的應(yīng)用場(chǎng)景，還應(yīng)該盡可能地采用同態(tài)加密機(jī)制以提高用戶終端通信的安全。同態(tài)加密是指云計(jì)算平臺(tái)能夠在不對(duì)用戶數(shù)據(jù)進(jìn)行解密的情并返回正確的密文結(jié)果。通過(guò)同態(tài)加密技術(shù)能進(jìn)一步提高云計(jì)算環(huán)境中用戶數(shù)據(jù)傳輸?shù)陌踩煽俊?).數(shù)據(jù)存儲(chǔ)安全對(duì)于云計(jì)算中的數(shù)據(jù)安全存儲(chǔ)安全的一個(gè)最有效的解決方案就是對(duì)數(shù)據(jù)采取加密的方式。在云環(huán)境下的加密方式可以分為兩種：一是采用對(duì)象存儲(chǔ)加密的方式；一是采用卷標(biāo)存儲(chǔ)加密的方式。對(duì)象存儲(chǔ)時(shí)云計(jì)算環(huán)境中的一個(gè)文件/對(duì)象庫(kù)，可以理解為文件服務(wù)器或硬盤(pán)統(tǒng)默認(rèn)對(duì)所有數(shù)據(jù)進(jìn)行加密。但若該對(duì)象存儲(chǔ)是一個(gè)共享資源，即多個(gè)用戶共享個(gè)對(duì)象存儲(chǔ)系統(tǒng)時(shí)，則除了將對(duì)象存儲(chǔ)設(shè)置為加密狀態(tài)外，單個(gè)用戶還需要采用“虛擬私有存儲(chǔ)”的技術(shù)進(jìn)一步提高個(gè)人私有數(shù)據(jù)存儲(chǔ)的安全?！疤摂M私有存儲(chǔ)”是由用戶先對(duì)數(shù)據(jù)進(jìn)行加密處理后，再傳到云環(huán)境中，數(shù)據(jù)加密的密鑰由用戶自己掌握，云計(jì)算環(huán)境中的其他用戶即便是管理者都無(wú)權(quán)擁有這個(gè)密鑰，這樣可以保證用戶私有另一種數(shù)據(jù)存儲(chǔ)安全的解決方案是卷標(biāo)存儲(chǔ)加密。在云計(jì)算環(huán)境中，卷標(biāo)被模擬為一個(gè)普通的硬件卷標(biāo)，對(duì)卷標(biāo)的數(shù)據(jù)存儲(chǔ)加密可以采用兩種方式：一種方式是對(duì)實(shí)際的物理卷標(biāo)數(shù)據(jù)進(jìn)行加密，由加密后的物理卷標(biāo)實(shí)例出來(lái)的用戶卷標(biāo)不加密，即用戶卷標(biāo)在實(shí)例化的過(guò)程中采用透明的方式完成了加解密的過(guò)程；另一種方式是采用特殊的加密代理設(shè)備，這類(lèi)設(shè)備串行部署在計(jì)算實(shí)例和存儲(chǔ)卷標(biāo)或文件服務(wù)器設(shè)備，通過(guò)串行的方式來(lái)實(shí)現(xiàn)計(jì)算實(shí)例與物理存儲(chǔ)設(shè)備之間透明的數(shù)據(jù)加解密。它的工作原理是當(dāng)計(jì)算實(shí)例向物理存儲(chǔ)設(shè)備寫(xiě)數(shù)據(jù)時(shí)，由加密代理設(shè)備將計(jì)算實(shí)例的數(shù)據(jù)進(jìn)行加密后存儲(chǔ)到物理存儲(chǔ)設(shè)備中；當(dāng)計(jì)算實(shí)例讀取物理存儲(chǔ)設(shè)備數(shù)據(jù)時(shí)，由加密代理將物理存儲(chǔ)設(shè)備中的數(shù)據(jù)解密后將明文交給計(jì)算實(shí)4).云服務(wù)器安全對(duì)于云服務(wù)器的安全，首先，在云服務(wù)器中也需安裝病毒防護(hù)系統(tǒng)、及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，但是與傳統(tǒng)服務(wù)器不同的是，在云服務(wù)器中應(yīng)用的病毒防護(hù)系統(tǒng)和補(bǔ)丁系統(tǒng)也相應(yīng)的進(jìn)行升級(jí)以適應(yīng)新的環(huán)境。如病毒防護(hù)系統(tǒng)為了在不增加系統(tǒng)冗余度的前提下提供更好的病毒查殺能力，提出了安裝一個(gè)病毒防護(hù)系統(tǒng)的虛擬服務(wù)器，在其他系統(tǒng)中只安裝探測(cè)引擎的模式。當(dāng)系統(tǒng)需要提供病毒查殺服務(wù)時(shí)，由引擎將請(qǐng)求傳遞給安裝病毒防護(hù)系統(tǒng)的服務(wù)器完成病毒查殺任務(wù)。除了外部的安全防護(hù)手段之外，云服務(wù)器上部署的操作系統(tǒng)自身的安全對(duì)云服服務(wù)提供商已經(jīng)推出了云安全操作系統(tǒng)，已經(jīng)具備了身份認(rèn)證、訪問(wèn)控制、行為審計(jì)等方面的安全機(jī)制。837.4云計(jì)算信息安全方案分分?jǐn)?shù)據(jù)安全是指保存在云服務(wù)系統(tǒng)上的原始數(shù)據(jù)信息的相關(guān)安全方案，包括五個(gè)方面：數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)隔離、數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)。1).數(shù)據(jù)傳輸2).數(shù)據(jù)儲(chǔ)存3).數(shù)據(jù)隔離轉(zhuǎn)而替代的是邏輯安全邊界，因此應(yīng)該采用VLAN或者分布式虛擬交換機(jī)等技術(shù)4).數(shù)據(jù)加密為了更好地加強(qiáng)云計(jì)算的安全性，需在數(shù)據(jù)存儲(chǔ)上增加數(shù)據(jù)的私密性，既能保證文件的隱私性，又能實(shí)現(xiàn)數(shù)據(jù)的隔離和安全存儲(chǔ)。如亞馬遜的S3系統(tǒng)會(huì)在存儲(chǔ)數(shù)據(jù)時(shí)自動(dòng)生成一個(gè)MDS散列，免除了使用外部工具生成校驗(yàn)的繁冗，有效保證數(shù)據(jù)的完整性；如IBM設(shè)計(jì)出一個(gè)理想格(ideallattic)的數(shù)學(xué)對(duì)象，可以對(duì)加密狀態(tài)的數(shù)據(jù)進(jìn)行操作?；谶@些技術(shù)，企業(yè)可以根據(jù)不同的情況，選擇不同的加密方式來(lái)滿足不同5).數(shù)據(jù)訪問(wèn)數(shù)據(jù)訪問(wèn)tee的策略，也就是數(shù)據(jù)訪問(wèn)權(quán)限控制，可以通過(guò)安全認(rèn)證的技術(shù)來(lái)解決。通過(guò)統(tǒng)一單點(diǎn)登錄認(rèn)證、資源認(rèn)證、協(xié)同認(rèn)證、不同安全域之間的認(rèn)證或者多進(jìn)行嚴(yán)格審查，對(duì)數(shù)據(jù)進(jìn)行操作前，一定要對(duì)操作者身份進(jìn)行嚴(yán)格核查。另外在權(quán)限監(jiān)視和日志審計(jì)也必不可少，特別是對(duì)敏感信息的操作，要做到可溯源。?應(yīng)用安全從云計(jì)算提供商的角度出發(fā)，描述從應(yīng)用層面應(yīng)當(dāng)如何充分考慮來(lái)自外部的風(fēng)險(xiǎn)。1)」aaS應(yīng)用一虛擬化安全laaS云計(jì)算提供商將用戶在虛擬機(jī)上部署的所有應(yīng)用都看成一個(gè)黑盒子，他們完全不會(huì)干涉所部署應(yīng)用的管理工作和運(yùn)維工作，僅負(fù)責(zé)提供基礎(chǔ)資源。在laaS應(yīng)用中，用戶應(yīng)負(fù)責(zé)其應(yīng)用程序的部署和管理，程序的安全性也應(yīng)由用戶考慮。laaS應(yīng)用提供商利用虛擬化等技術(shù)，根據(jù)用戶的需求提供基礎(chǔ)資源，虛擬化的安全性是云服務(wù)商負(fù)責(zé)的。2).PaaS應(yīng)用一API安全、應(yīng)用部署安全PaaS云計(jì)算提供商給用戶提供在laaS之上，依照平臺(tái)的接口規(guī)范，部署由用戶開(kāi)發(fā)的平臺(tái)化應(yīng)用或采購(gòu)現(xiàn)成的中間件產(chǎn)品。PaaS云計(jì)算提供商關(guān)注的安全問(wèn)題包括兩個(gè)方面：PaaS平臺(tái)自身的安全風(fēng)險(xiǎn)和用戶部署在PaaS平臺(tái)上的應(yīng)用的安全風(fēng)險(xiǎn)。PaaS平臺(tái)自身的安全風(fēng)險(xiǎn)，主要包括對(duì)外提供API的安全和PaaS應(yīng)用管理的安全。對(duì)于PaaS的API安全問(wèn)題，目前國(guó)際上并沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，這對(duì)云計(jì)算API的安全管理帶來(lái)了不確定性；而PaaS應(yīng)用管理方面，核心的安全原則就是確保用戶的數(shù)據(jù)只有用戶自身才能訪問(wèn)和授權(quán)，實(shí)行多用戶應(yīng)用隔離，不能被非法訪問(wèn)和竊取。在這種環(huán)境下，PaaS平臺(tái)應(yīng)提供平臺(tái)的保密性和完整性，云服務(wù)提供商應(yīng)負(fù)責(zé)監(jiān)控PaaS平臺(tái)的缺陷和漏洞，及時(shí)發(fā)布補(bǔ)丁更新，解決安全漏洞。用戶部署在PaaS平臺(tái)上的應(yīng)用安全風(fēng)險(xiǎn)，對(duì)于云提供商來(lái)說(shuō)主要是對(duì)客戶部署程序的安全審查，排除有意或無(wú)意的惡意程序甚至病毒的部署。因?yàn)橛脩羯暾?qǐng)要部署的程序，無(wú)論是自行開(kāi)發(fā)的還是采購(gòu)的，均有安全的不確定性，因此云服務(wù)提供商需要對(duì)申請(qǐng)部署的程序進(jìn)行嚴(yán)格的安全審計(jì)，包括非法代碼、不安全代碼、存在漏洞的代碼的檢測(cè)，并需與用戶一起對(duì)審計(jì)的結(jié)果進(jìn)行分析和修正。當(dāng)前這方面沒(méi)有標(biāo)準(zhǔn)，因此需要各云服務(wù)商提供此安全審計(jì)要求。SaaS云計(jì)算提供商給用戶提供的是靈活方便地使用在云計(jì)算服務(wù)端中的各種應(yīng)虛擬化安全是云計(jì)算最基礎(chǔ)部分laaS的重要技術(shù)手段，對(duì)虛擬化技術(shù)的安全性進(jìn)行分析，對(duì)整個(gè)云計(jì)算的安全性來(lái)說(shuō)是堅(jiān)實(shí)的一步。基于虛擬化技術(shù)的云計(jì)算信息安全風(fēng)險(xiǎn)主要有兩個(gè)方面:虛擬化力，對(duì)虛擬主機(jī)進(jìn)行管理的一種軟件。實(shí)現(xiàn)虛擬化的技術(shù)不止一種，可以通過(guò)不同層虛擬化軟件產(chǎn)品保證用戶的虛擬主機(jī)能在多用戶環(huán)境下相互隔離，可以安全地此云服務(wù)提供商必須建立安全控制措施，嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問(wèn)虛擬化軟另一方面，虛擬化具有動(dòng)態(tài)性，即所虛擬的服務(wù)系統(tǒng)會(huì)根據(jù)整個(gè)云的情況進(jìn)行動(dòng)態(tài)調(diào)整，如把虛擬服務(wù)器進(jìn)行動(dòng)態(tài)切換、掛起等。虛擬化軟件層必須考慮由此帶來(lái)要解決的。補(bǔ)充虛擬主機(jī)系統(tǒng)的特點(diǎn)。應(yīng)當(dāng)對(duì)虛擬主機(jī)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)各虛擬837.5云計(jì)算信息安全實(shí)踐數(shù)據(jù)訪問(wèn)的策略即權(quán)限控制，主要是通過(guò)安全認(rèn)證和安全網(wǎng)關(guān)訪問(wèn)技術(shù)來(lái)解決。另外4A平臺(tái)在權(quán)限方面進(jìn)行統(tǒng)一合理的分配，數(shù)據(jù)或資源的訪問(wèn)都通過(guò)圖形網(wǎng)管或者字符網(wǎng)管進(jìn)行監(jiān)視，并對(duì)日志和人員操作進(jìn)行記錄和審計(jì)，做到了可溯源。4A平臺(tái)的主要功能概念框架和訪問(wèn)方式的概念模型如圖所示：因此，在數(shù)據(jù)和資源訪問(wèn)方面，將4A平臺(tái)作為私有云的基礎(chǔ)數(shù)據(jù)和資源訪問(wèn)平臺(tái)，可以提供安全可靠的保障。?數(shù)據(jù)傳輸和隔離在私有云平臺(tái)數(shù)據(jù)傳輸和隔離方面主要存在如下問(wèn)題。不同部門(mén)對(duì)安全級(jí)別的要求不一樣，管理流程不一樣，需要平衡統(tǒng)一維護(hù)和分開(kāi)管理的矛盾。在虛擬化的架構(gòu)下，保證安全性需做到：物理服務(wù)器內(nèi)部虛擬機(jī)有流量查看與策略控制機(jī)制，虛擬機(jī)端口策略需要跟隨虛擬機(jī)動(dòng)態(tài)遷移，網(wǎng)絡(luò)、服務(wù)器等安全的分工界面保持明晰，原有設(shè)計(jì)無(wú)法實(shí)現(xiàn)。云平臺(tái)業(yè)務(wù)靈活動(dòng)態(tài)增減與嚴(yán)格安全隔離之間的矛盾。網(wǎng)絡(luò)上做到分層分段隔離，保證網(wǎng)絡(luò)及信息系統(tǒng)間有著清晰的物理或邏輯邊界。私有云平臺(tái)的網(wǎng)絡(luò)部署邏輯，如圖所示：在實(shí)踐中，除了使用IPS安全防御系統(tǒng)和企業(yè)級(jí)防火墻等安全設(shè)施作為防御手段，為了保持維護(hù)和管理界面的清晰和安全性，采用了VDC(virtualdevicecontext)技術(shù)，通過(guò)虛擬化把一臺(tái)物理交換機(jī)虛擬化成多臺(tái)邏輯設(shè)備技術(shù)。一臺(tái)物理交換機(jī)虛擬成多臺(tái)VDC虛擬交換機(jī)后，具有以下幾個(gè)特點(diǎn)：VDC之間完全隔離，具有獨(dú)立的管理地址和配置文件；5).上網(wǎng)行為風(fēng)險(xiǎn)：?jiǎn)T工可能會(huì)在電腦上訪問(wèn)不良網(wǎng)站，會(huì)將大量的病毒和頑固性插6).用戶密碼風(fēng)險(xiǎn)：主要包括用戶密碼和管理員密碼。若用戶的開(kāi)機(jī)密碼、業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)控制的原則：對(duì)于高風(fēng)險(xiǎn)(即高頻度、影響大)的風(fēng)6)、各系統(tǒng)用戶密碼長(zhǎng)度不得低于6位；不得采用弱密碼(弱密碼定義參見(jiàn)《南方基地管理支撐系統(tǒng)帳號(hào)密碼管理辦法》);最少每90天必須強(qiáng)制用戶更改密碼；并不得使用5次以?xún)?nèi)重復(fù)的密碼；登錄系統(tǒng)時(shí)，如重復(fù)嘗試3次不成功，則系統(tǒng)暫停該7)、信息化系統(tǒng)安全體系系統(tǒng)平臺(tái)檢查要求日常維護(hù)需對(duì)關(guān)鍵系統(tǒng)和服務(wù)器有清晰的定義(如DNS/DHCP防病毒等影響全網(wǎng)層面的服務(wù)器、承載重要業(yè)務(wù)或包含敏感信息的系統(tǒng)等)園區(qū)信息化系統(tǒng)和關(guān)鍵服務(wù)器需有詳盡故障應(yīng)急預(yù)案應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告保證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行一次演練根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年應(yīng)急預(yù)案更新記錄，系統(tǒng)所涉及不向?qū)用?如系統(tǒng)的重要性、操作系統(tǒng)/數(shù)據(jù)庫(kù))應(yīng)當(dāng)制定數(shù)據(jù)的備份恢復(fù)以及備份介質(zhì)管理制度系統(tǒng)所涉及不向?qū)用鎽?yīng)根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)的本地和異地備份(存放)策略相關(guān)人員對(duì)本地和異地備份策略的結(jié)果進(jìn)行每季度審核備份的數(shù)據(jù)進(jìn)行恢復(fù)性測(cè)試，確保數(shù)據(jù)的可用性，每年不少于一次相關(guān)人員對(duì)備份介質(zhì)的更換記錄進(jìn)行每半年審核表，加入備份管理制度相關(guān)人員對(duì)備份介質(zhì)的銷(xiāo)毀記錄進(jìn)行每半年審核表，加入備份管理制度各地市需制定相應(yīng)的園區(qū)信息化系統(tǒng)及服務(wù)器故障處理流程系統(tǒng)中發(fā)現(xiàn)的異常情況由系統(tǒng)維護(hù)人員根據(jù)相關(guān)流程在規(guī)定時(shí)間內(nèi)處理故障處理完成后必須留有相應(yīng)的故障處理記錄為保障設(shè)備接入網(wǎng)絡(luò)的安全性，設(shè)備上線前必須安裝防病毒系統(tǒng)及更新操作系統(tǒng)補(bǔ)丁，并對(duì)設(shè)備進(jìn)行進(jìn)行安全掃描評(píng)1企業(yè)網(wǎng)接入管理12)、站點(diǎn)系統(tǒng)賬號(hào)監(jiān)控，對(duì)站點(diǎn)服務(wù)器的賬號(hào)進(jìn)行監(jiān)控，對(duì)賬號(hào)的修改，添加0合理授權(quán)訪問(wèn)設(shè)定嚴(yán)格的授權(quán)審批機(jī)制，確保IT管理支撐應(yīng)用問(wèn)經(jīng)過(guò)合理授權(quán)，所有IT管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問(wèn)必須遵照申請(qǐng)-評(píng)3)、需要合理授權(quán)的IT資源包括但不局限于應(yīng)用系統(tǒng)的測(cè)試環(huán)境、程序版本管理服務(wù)器、正式環(huán)境(包括應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器等)。4)、申請(qǐng)：由訪問(wèn)者(一般是應(yīng)用開(kāi)發(fā)商、應(yīng)用系統(tǒng)管理員等)提交書(shū)面的訪提交安全管理員(一般是系統(tǒng)管理員或者專(zhuān)職的安全管理員)進(jìn)行風(fēng)險(xiǎn)評(píng)估。5)、評(píng)估：安全管理員對(duì)接到的訪問(wèn)申請(qǐng)書(shū)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)訪問(wèn)者及被6)、授權(quán)：在訪問(wèn)申請(qǐng)表通過(guò)安全風(fēng)險(xiǎn)評(píng)估后，安全管理員會(huì)對(duì)訪問(wèn)者進(jìn)行合服務(wù)器性能分析4)、總體評(píng)估總體結(jié)論服務(wù)器基本健康狀態(tài)結(jié)論服務(wù)器性能結(jié)論服務(wù)器安全性結(jié)論只有出現(xiàn)了上述嚴(yán)重影響網(wǎng)絡(luò)、主機(jī)正常運(yùn)行的安全事件才啟用緊急響應(yīng)服務(wù)，5X8小時(shí)事件響應(yīng)、日常運(yùn)營(yíng)期間，不影響用節(jié)假日期間，較為嚴(yán)重的1)、任何系統(tǒng)用戶發(fā)現(xiàn)系統(tǒng)運(yùn)行可疑現(xiàn)象后，立即報(bào)告本部門(mén)安全保密管理3)、應(yīng)急響應(yīng)小組和安全服務(wù)廠商應(yīng)在2小時(shí)內(nèi)確定現(xiàn)象的性質(zhì)，并采取4)、安全保密領(lǐng)導(dǎo)小組根據(jù)事故的性質(zhì)，向相應(yīng)的國(guó)家主管部門(mén)進(jìn)行報(bào)告。?服務(wù)確認(rèn)?臨時(shí)支持賬號(hào)?遠(yuǎn)程緊急響應(yīng)?本地緊急響應(yīng)?響應(yīng)情況簡(jiǎn)報(bào)?緊急響應(yīng)服務(wù)報(bào)告?事故跟蹤分析報(bào)告1)、記錄系統(tǒng)安全事件，記錄事件的每一環(huán)節(jié)，包括事件的時(shí)間、地點(diǎn)。要2)、系統(tǒng)安全事件核實(shí)與判斷匯總一2016年05月補(bǔ)丁安全引發(fā)的思考一2016年06月SQLServer2008日常管理之備份與恢復(fù)一2016年08月配置管理軟09月將前面步驟1:FindApp腳本所生成的sql語(yǔ)句在配置管理軟件主數(shù)據(jù)庫(kù)執(zhí)行。知識(shí)分享9月主題XX股份利用自己的軟件開(kāi)發(fā)能力，自主研發(fā)了自己獨(dú)1)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由計(jì)算機(jī)硬件設(shè)備、軟件及客戶機(jī)的網(wǎng)絡(luò)系統(tǒng)配置組成。2)、軟件包括：服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用軟件、有關(guān)專(zhuān)業(yè)的網(wǎng)絡(luò)應(yīng)用軟5)、平臺(tái)軟件是指：防偽防竄貨系統(tǒng)、辦公用軟件(如OFFICE200)3等平臺(tái)6)、專(zhuān)業(yè)軟件是指：設(shè)計(jì)工作中使用的繪圖軟件(如Photoshop等)。3.3職責(zé)1)、信息網(wǎng)絡(luò)部門(mén)為網(wǎng)絡(luò)安全運(yùn)行的管理部門(mén)，負(fù)責(zé)公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、計(jì)3)、網(wǎng)絡(luò)管理人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、平臺(tái)系統(tǒng)的安全運(yùn)4)、網(wǎng)絡(luò)管理人員執(zhí)行公司保密制度，嚴(yán)守公司商業(yè)機(jī)密。1)、從事計(jì)算機(jī)網(wǎng)絡(luò)信息活動(dòng)時(shí)，必須遵守《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保(1)電腦的開(kāi)、關(guān)機(jī)應(yīng)按按正常程序操作，因非法操作而使電腦不能正3)電腦操作員應(yīng)在每周及時(shí)進(jìn)行殺毒軟件的升級(jí)，每月打(4)不允許隨意使用外來(lái)U盤(pán)，確需使用的，應(yīng)先進(jìn)行病毒監(jiān)測(cè)；(5)禁止工作時(shí)間內(nèi)在電腦上做與工作無(wú)關(guān)的事，如玩游戲、聽(tīng)音樂(lè)等。5)、任何人不得利用網(wǎng)絡(luò)制作、復(fù)制、查閱和傳播宣傳封建迷信、淫穢、6)、電腦發(fā)生故障應(yīng)盡快通知IT管理員及時(shí)解決，不允許私自打開(kāi)電腦7)、電腦操作員要愛(ài)護(hù)電腦并注意保持電腦清潔衛(wèi)生，并在正確關(guān)機(jī)并完8)、因操作人員疏忽或操作失誤給工作帶來(lái)影響但經(jīng)努力可以挽回的，對(duì)9)、為文件資料安全起見(jiàn)，勿將重要文件保存在系統(tǒng)活動(dòng)分區(qū)11)、其他管理辦法請(qǐng)參看《IT終端用戶安全手冊(cè)》1)、新員工(或外借人員)需使用計(jì)算機(jī)向部門(mén)主管提出申請(qǐng)經(jīng)批準(zhǔn)由網(wǎng)絡(luò)3.5計(jì)算機(jī)/電腦維修1)、計(jì)算機(jī)出現(xiàn)重大故障，須填寫(xiě)《計(jì)算機(jī)維修單》,并交IT管理員進(jìn)行維修。2)、IT管理員對(duì)《計(jì)算機(jī)維修單》存檔，便于查詢(xún)各電腦使用情況。3)、須外出維修，須報(bào)分管領(lǐng)導(dǎo)審批。須采購(gòu)配件，按采購(gòu)管理流程執(zhí)行。3.6公司信息系統(tǒng)管理系統(tǒng)服務(wù)器(以下簡(jiǎn)稱(chēng)：服務(wù)器),放置地點(diǎn)暫放為財(cái)務(wù)室辦公室內(nèi)，財(cái)務(wù)室現(xiàn)有辦公室已達(dá)到視頻監(jiān)控、防盜、溫度控制等條件。待條件成熟時(shí)重新搭建獨(dú)立機(jī)房，便以安全管理。對(duì)于服務(wù)器數(shù)據(jù)由管理員每月定期異地備份一次，并設(shè)置服務(wù)器自動(dòng)每周備份二次數(shù)據(jù)庫(kù)；異地備份數(shù)據(jù)由財(cái)務(wù)部安排存放在異地。系統(tǒng)后臺(tái)數(shù)據(jù)只能由服務(wù)器系統(tǒng)管理員進(jìn)行維護(hù)，若需外援時(shí)，必須在管理員的陪同下進(jìn)行操作，其他終端用戶不得設(shè)置權(quán)限進(jìn)入數(shù)據(jù)管理后臺(tái)。終端用戶的開(kāi)通及變更需以書(shū)面形式提交給相關(guān)部門(mén)領(lǐng)導(dǎo)簽字確認(rèn)，其中包括用戶的權(quán)限變更、賬號(hào)密碼變更、終端軟件更新。緊急變更、配置/參數(shù)變更、基礎(chǔ)架構(gòu)變更、數(shù)據(jù)庫(kù)修改等。定于每月25號(hào)對(duì)公司服務(wù)器賬號(hào)進(jìn)行核查及管理。相關(guān)記錄表格如下：a、信息中心機(jī)房巡查記錄表b、信息中心用戶賬號(hào)登記表與責(zé)任人賠償誤工費(fèi)100元。2)、本制度有不妥之處在運(yùn)行中修改并公布。6).各系統(tǒng)用戶密碼長(zhǎng)度不得低于6位；不得采用弱密碼；最少每90天必須給每臺(tái)電腦主機(jī)配備鎖柜，將所有用戶主機(jī)存放在鎖柜內(nèi)，鎖柜鑰匙統(tǒng)一IT傳真件丟失，造成本部門(mén)信息外泄，則由本人承擔(dān)一切后果。3).文件打印安全管理：班時(shí)間，打印工作文件時(shí)，需要即刻在打印機(jī)處等候文件的打印，文件打印完成后4).文件的存儲(chǔ)安全管理：完離職手續(xù)后，所在部門(mén)負(fù)責(zé)人應(yīng)聯(lián)系信管部協(xié)助將此員工工作資料拷貝到部門(mén)U5).辦公區(qū)域的安全管理：838.14.3主機(jī)運(yùn)維安全1).監(jiān)控nagios的配置與管理，對(duì)端對(duì)端監(jiān)控產(chǎn)生檢查結(jié)果核實(shí)，處理相應(yīng)問(wèn)題3).應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵4).根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年6).安裝操作系統(tǒng)補(bǔ)丁，系統(tǒng)重啟，應(yīng)用系統(tǒng)檢查測(cè)試7).數(shù)據(jù)庫(kù)的賬號(hào)、密碼管理，保證數(shù)據(jù)庫(kù)系統(tǒng)安全和數(shù)據(jù)安全8).對(duì)系統(tǒng)用戶的系統(tǒng)登錄、使用情況進(jìn)行檢查，對(duì)系統(tǒng)日志進(jìn)行日常審計(jì)1)網(wǎng)頁(yè)文件保護(hù)，通過(guò)系統(tǒng)內(nèi)核層的文件驅(qū)動(dòng)，按照用戶配置的進(jìn)程及路徑訪問(wèn)規(guī)則設(shè)置網(wǎng)站目錄、文件的讀寫(xiě)權(quán)限，確保網(wǎng)頁(yè)文件不被非法篡改。測(cè)，對(duì)非法請(qǐng)求或惡意掃描請(qǐng)求進(jìn)行屏蔽，防止SQL注入式攻擊。3)集中管理，通過(guò)管理服務(wù)器集中管理多臺(tái)服務(wù)器，監(jiān)測(cè)多主機(jī)實(shí)時(shí)狀態(tài)，制定保護(hù)規(guī)則。4)安全網(wǎng)站發(fā)布，使用傳輸模塊從管理服務(wù)器的鏡像站點(diǎn)直接更新受保護(hù)的網(wǎng)站目錄，數(shù)據(jù)通過(guò)SSL加密傳輸，杜絕傳輸過(guò)程的被篡改的可能