云安全可以更智能doc.docx

1、云安全可以更智能doc云安全可以更智能 - 2015年，网易大面积服务器瘫痪，支付宝光缆事故，携程网出现业务故障，艺龙网遭受DDoS攻击等事件使网络安全受到前所未有的关注。 云计算的落地和移动设备的普及向信息安全提出了新的挑战，产生了在新的IT环境下的新问题，例如公用云数据安全、专用云防御等。360云事业部产品总监张晓兵表示，随着公有云的发展，安全防护的重要性更加明显，一旦云平台遭受攻击，将影响更多企业。 根据防火墙操作管理软件公司AlgoSec的调查数据显示，受访者中，约有66%的企业称其目前正在部署或计划未来1-3年内在云平台上部署业务应用程序。但是，这些企业对云安全的了解却存在很多不足，

2、其中超过30%的企业计划未来部署云业务应用，但却不清楚该如何管理其云环境的网络安全策略。 正视云安全差异 记者了解到，许多传统用户对于云安全存在一些错误的认知。例如，希望依靠传统安全工具或靠物理隔离的方法来进行隔离防护，希望能从及时得到漏洞通知信息来服务，认为进行运维外包就能够确保工程系统的安全，或指望云提供商具有集中的管理系统等。 中国联通云计算公司专家表示，对于云环境，传统的安全问题依然存在，同时虚拟化管理系统、云平台管理系统等云平台相关系统的出现，更加导致在这些平台上的安全手段目前还处在非常初级阶段。 IDC分析师王培在接受通信产业报（网）记者采访时表示，目前看来，中小企业或者非关键性业

3、务倾向采用安全即服务的模式，而大企业，特别是金融、电信等行业的客户，他们更倾向于自建安全防护体系来保护云业务的安全。 对于不同模式的云服务平台，面临的安全问题有所不同。对于SaaS模式，数据安全、应用安全与身份认证是主要问题；对于PaaS模式，数据与计算的可用性、数据安全与灾难恢复等需求更加突出。IaaS模式是云安全面临威胁最严峻的，其平台建设过程涉及到的数据中心建设、物理安全、网络安全、传输安全与业务系统安全等多方面的防护需求使得IaaS云安全防护需要引入多个层面的防护手段，并需要更加严谨的框架与标准的保障。 事实上，云安全的标准和框架已经逐渐形成，北京中油瑞飞信息技术有限公司信息安全专家黄

4、晟在“云计算安全论坛”发言中介绍，CSA和NIST都已经提出了较为完备的云安全框架，但是如何在实际的云计算环境中全面落实，一直是信息安全从业人员面对的挑战。 继承传统防护手段 云计算平台本质上来说就是一个复杂的信息系统，特别是虚拟化管理与云管理系统采用通用软件和现有技术开发，最终也部署在传统硬件平台之上，依然受到传统软硬件技术生态圈的影响。 因此，黄晟表示，传统攻击手段依然具有威胁性，还是需要依靠传统防护手段作为私有云安全防护的基础。 虽然在云计算环境中，传统的防火墙不再出现，但是其防护功能仍需实现，在云服务中必须要打造传统用户所需要的安全性功能。 例如针对网站最常见的入侵行为，从部署最基本的

5、防DDoS攻击、端口安全检测、Web漏洞检测、木马检测等主要功能，到利用漏洞管理、质量保证、软件的安全性审查、审计和外部审计等工具进行安全威胁检查，以及建立安全事件管理等平台辅助制定安全策略。其中的技术手段与传统安全防护没有本质上的区别。 针对云架构升级 在满足传统防护需求的基础上，针对虚拟化和云架构带来的特殊问题，防护技术需要进一步扩展和升级。阿里云安全部安全专家沈锡镛表示，具备低成本、高精度、大规模的安全防御架构，具备完善的数据安全保护能力的云平台才能满足用户的需求。 除了在云平台建设的过程中实施基础安全防护措施，综合采用现有成熟的安全防护手段，还要面向主流的云技术体系，有效应对面向云计算

6、平台底层的主要云安全威胁，才能为云平台的用户系统实现不低于传统物理机模式的安全保障。 那么，云计算服务安全的关键点在哪些方面？来自西交利物浦大学的信息安全专家接受采访时介绍，从主要云技术体系的层级来看，云服务存在五大安全关键点。在数据中心层面，关键在于备份与容灾，以及网络层面的防黑客入侵；在虚拟化平台层面，关键在于云平台的内部安全监控、管理行为审计、阻止虚拟机用户“外泄”与上浮；在IaaS层面，虚拟机间的“溢出”监控与阻断是主要问题；在PaaS层面，要关注虚拟机间的安全监控与用户行为审计，以及病毒过滤；在用户流量控制方面，则要重视双向的身份鉴别、传输加密等问题。 分层实施防护措施 面对如此庞大

7、的安全体系和需求，必须在设计和建设时注重调整云网络拓扑与部署架构，依托网络纵深，设计多道防线，构建一个由多个核心组件组成的多层次安全策略来支持海量云服务和产品。 专家指出，可以从边界防护、基础防护、增强防护以及云化防护四个方面，分阶段提升云平台的安全防护能力。 边界防护是私有云安全防护的底线，与基础防护能力一起都应和私有云建设过程中同步开展，需要建立多层防御，以帮助保护网络边界面临的外部攻击。以阿里云为例，首先，严格控制网络流量和边界，使用行业标准的防火墙和ACL技术对网络进行强制隔离，辅以网络防火墙和ACL策略的管理，包括变更管理、同行业审计和自动测试等。其次，使用个人授权限制设备对网络的访

8、问，通过自定义的前端服务器定向所有外部流量的路由，帮助检测和禁止恶意的请求，并建立内部流量汇聚点，帮助更好的监控。多个组件构成其完整的网络安全策略。 随着面向虚拟化和云计算的安全技术逐渐成熟，增强完善云安全服务，并面向SaaS等更复杂的云计算模式，引入云安全访问代理等新技术，结合业务实现防护。对此，黄晟给出了多方面具体建议，例如注重操作系统加固技术在云底层平台的应用，特别是通过安全手段固化底层行为；构建“安全数据平面”，收集多样化的安全信息数据，结合大数据流式分析技术，对云平台进行全面地持续监控；或可基于SDN技术构建“流网络平台”，提升“东西向”的隔离颗粒度与强度， 以及加强云内流量监控；面

9、向业务操作与业务数据建立云安全代理机制等。 纵深安全运维 在虚拟化环境中，越来越多的开源软件或开源组件得到应用，云技术体系的生态安全也应纳入考虑之中。企业不仅需要考虑如何使用云服务，还必须考虑并落实云建设和运维牵涉到的所有细节。特别是考虑到开源软件漏洞生命周期特点，需要有针对性地实现安全运维覆盖。 在运维过程中，云监控与云审计是有效手段。通过建立专门的管理团队，制定预警应急、分析评估、安全审计、测试认证、使用监控等手段，结合使用情况及安全情报信息，及早发布预警，整体评估架构的安全性和可控性，跟踪了解云平台的安全动态，进一步保障防护的及时性和全面性。 云背景下的数据库安全性研究 - 摘要：随着云

10、技术飞速发展，云安全体系也要相应地发展，使得我们可以更快更好地进入云的世界。云计算带来的数据安全问题值得世界各国关注。本文从云背景下的数据库安全性出发，探讨了实现数据库安全的技术与方法。 Abstract： With the rapid development of cloud technology， the security system needs corresponding development， causing us to enter the cloud world better and faster. The security problems of cloud computing

11、 deserves the concerns of all the countries. The thesis discusses the technology and methods that can realize the database security based on the background of cloud. 关键词：云背景；数据库安全；访问控制；视图 Key words： cloud background；database security；access control；view 0 引言 目前，国内外一系列的泄密事件将安全问题推到了世界各国人民的面前，这一现象越来越突出

12、，越来越急切。所以，数据永远是网络环境下用户最需要保护的东西，未来的数据安全将要求以高度集成化和标准化为趋势，立体全面地对企业甚至国家的安全提供服务与保障1。云计算在国内的发展还处于初级阶段，云安全问题需要特别重视，安全性问题在云计算发展过程中需要逐步予以解决。 安全性问题不仅仅是数据库系统所独有的问题，所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放，而且为许多最终用户直接共享，从而使安全性问题更为突出。各国都投入大量的人力、物力和财力研究实现数据库安全性的方法与技术。 1 用户身份认证 身份认证是验证某人或某事身份的一种过程2，3。身份认证是安全控制的基础，它使用提供给认证者

13、的信息以便确定是否某人或某物实际上就是它或者就是所声称的。根据被认证方赖以证明身份的认证信息不同，身份认证技术可以分为基于秘密信息的身份认证技术（密码认证）、基于信物的身份认证技术（证物认证）、基于生物特征的身份认证技术（生物认证）等。 2 访问控制 访问控制即存取控制，是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制是为保证安全需求而制定的对用户行为进行约束的一整套严谨的规则，通常用于SA控制用户对服务器、目录、文件等网络资源的访问。根据实现的基本原理不同，访问控制可分为自主访问控制、强制访问控制和基于角色的访问控制等2。 3 视图技术 透

14、过视图能够看到数据库中自己感兴趣的数据及其变化，它就像一个窗口一样。用户可以通过定义视图只看到指定表中的某些行，某些列，也可以将多个表中的列组合起来，使得这些列看起来就像一个简单的数据库表，另外，也可以通过定义视图，只提供用户所需的数据，而不是所有的信息4，5。 假定在某一单位的数据库中，有如下的关系模式： employee（eno，name，sex，age，position，duty，depno，phone） employee中各个属性含义如下：eno职工号，name姓名，sex性别，age年龄，position职称，duty职务，depno部门号，phone电话。 当该表中的某个职工或者某

15、几个职工的信息是敏感数据，需要保护时，可以通过视图机制来实现，例如职务为“院长”的职工的信息需要保护，不想为一般用户看到或访问，我们就可以这样来建立视图： CREATE VIEW emp_notdean AS SELECT * FROM employee WHERE duty！=院长 这样加工处理后，职务为“院长”的职工的基本信息将不会出现，从而起到保密的作用。 4 数据加密 数据加密是确保计算机网络安全的一种重要机制，可以避免因为雇员失误造成的损失，或者区域法律造成的麻烦。加密的基本功能包括防止不速之客查看机密的数据文件；防止机密数据被泄露或篡改；防止特权用户（如系统管理员）查看私人数据文件

16、；使入侵者不能轻易地查找一个系统的文件。如果只有你自己有密钥，那么只有你有资格访问你的文件6。加密防护作用于数据本身，对存储和传输的数据进行加密处理，从而使得不知道解密算法的人无法知道数据的内容。数据加密是指将明文信息（Plaintext）采取数学方法进行函数转换成密文。明文（Plaintext）是加密前的原始信息。密文（Ciphertext）是明文被加密后的信息。密钥（Key）是控制加密算法和解密算法得以实现的关键信息，分为加密密钥和解密密钥5，9。 将密文还原为原始明文的过程称为解密，它是加密的反向处理，但解密者必须利用相同类型的加密设备和密钥对密文进行解密3。由于算法正趋向多样化、个人化

17、，使得那些想要通过加密算法来控制全球数据流的想法很难得以实现，通过这样的途径，可以达到保护数据不被非法用户窃取、访问的目的1。 5 安全审计 作为数据库安全的重要的补充手段，审计方式是安全的数据库系统不可缺少的一部分，按照TDI/TCSEC标准中安全策略的要求，审计就是DBMS达到C2以上安全级别必不可少的一项指标。安全审计技术是入侵检测技术的前身，通过分析事件记录检测并调查试图或已突破系统安全屏障的非法行为和事件。审计功能把用户对数据库的所有操作自动记录下来放入审计日志中。安全审计可以为SA提供系统运行的统计日志，并根据日志记录的数据分析网络或系统的安全隐患，输出安全性分析报告，安全审计可以

18、帮助SA发现系统性能上的不足或需要改进与加强的地方。安全审计系统是防范、发现和追查网络与计算机犯罪活动的强大而有力的工具，从而对潜在的外部入侵以及内部人员的恶意行为产生巨大的震慑以及警示作用3。DBA可以利用审计跟踪得到的日志记录，重现导致数据库现有状况的一系列事件，并可以寻找到非法存取数据的人、时间和内容等4。 6 防火墙 近年来内联网发展非常迅速，它是采用因特网技术建立的支持企业或机关内部业务流程和信息交流的一种综合信息系统。为了确保内联网的安全，通常采用把企业或机关的内联网与外部的因特网“隔离”开的技术，这种技术称为防火墙。防火墙主要是一种用来加强网络之间控制、避免不法分子通过网络进入计

19、算机内部的保护技术，对计算机网络起了基础保护作用7。防火墙具有“阻止”和“允许”两个功能。“阻止”是防火墙的主要功能，意即阻止某种类型的通信量通过防火墙。“允许”的功能恰好与“阻止”相反。因此，防火墙必须具有识别通信量的各种类型的本领。不过，要绝对阻止不希望的通信是很难做到的，但只要正确地使用防火墙就可将风险降低到可接受的程度。想要构筑网络系统的安全体系，必须将防火墙和其他技术手段以及网络管理等综合起来进行考虑。如何增强网络安全性是一个需要综合考虑各种因素的极其复杂的问题。 7 数字水印 数字水印是一种将可识别的数据嵌入到数字作品中的技术，用人类感觉器官（如眼、耳）无法识别，而使用专门的检测软

20、件则可以方便地识别。数字水印是数字内容的唯一标识，即使数字内容经过拷贝、编辑处理、压缩/解压缩、加密/解密或广播等操作，数字水印仍能保持不变，同时数字水印的存在对数字作品质量没有影响。正是由于数字水印的这些特点，它已经成为数字媒体版权保护的重要手段之一1，8。 如何增强数据库安全性是一个需要综合考虑各种因素的极其复杂的问题，它的涉及面广、问题复杂，需要大量学者投入大量的时间、精力为之不懈努力。该问题的研究对于解决云用户和云服务商之间的矛盾与纠纷以及防止重大泄密事故的发生等方面将发挥重大作用。在云技术飞速发展的今天，云安全机制也迫切地需要大力发展，只有这样，人们才可以更快更好地进入云端，更好地保护数据、保护机密与隐私1，9。