當(dāng)前對(duì)云安全技術(shù)的研究正是全世界的熱點(diǎn)，而“云安全（CloudSecurity）”也是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)。目前，針對(duì)云安全已有很多研究。但是全世界并沒有針對(duì)云安全提出統(tǒng)一的規(guī)避方案和解決辦法。文獻(xiàn)提出了信任函數(shù)和QoS思想，主要利用函數(shù)間的信任關(guān)系來保證云安全。雖然該方法能夠降低被云中惡意行為欺騙的概率，但是缺乏具體的解決方案。文獻(xiàn)雖然建立了云計(jì)算下的信任防御模型，但是對(duì)云安全的基本原理闡述不夠。文獻(xiàn)利用信任屬性來判斷云端是否安全，有較強(qiáng)的新穎點(diǎn)，但是無具體的量化標(biāo)注。文獻(xiàn)[4]利用數(shù)學(xué)模型和信任因子來確定安全防御方案，但是較為復(fù)雜。同時(shí)也缺少系統(tǒng)的解決方案。本文依據(jù)云安全的概念，比較了新舊云安全的安全防御模式，并提出了系統(tǒng)的安全防御策略和解決方案。

　　1.云安全的概念和云安全的防御模式比較

　　1.1 云安全的概念

　　“云安全”是繼“云計(jì)算”“云存儲(chǔ)”之后出現(xiàn)的“云”技術(shù)的重要應(yīng)用，它是指基于云計(jì)算商業(yè)模式應(yīng)用的安全軟件、硬件、用戶、機(jī)構(gòu)、安全云平臺(tái)的總稱。云安全技術(shù)是P2P技術(shù)、網(wǎng)格技術(shù)、云計(jì)算技術(shù)等分布式計(jì)算技術(shù)混合發(fā)展和自然演化的結(jié)果。早期的云安全技術(shù)主要是利用數(shù)據(jù)的海量采集來應(yīng)對(duì)數(shù)據(jù)的海量威脅，它與2003年提出的反垃圾郵件網(wǎng)絡(luò)非常接近。通常是將文件內(nèi)容不同部分的Hash值與所檢測文件的Hash值進(jìn)行比較，從而判別文件是否為可信文件。目前有很多用戶將云安全理解為一種完全嶄新的安全模式，也有用戶將云安全理解為對(duì)傳統(tǒng)安全體系的升級(jí)。實(shí)際上這兩種理解都有可取之處，其實(shí)云安全更近似于云計(jì)算技術(shù)在安全領(lǐng)域的特定應(yīng)用，而其創(chuàng)新之處則更多地來自于用戶和運(yùn)營等層面。

　　1.2 傳統(tǒng)的安全防御模式和云安全的防御模式的比較

　　傳統(tǒng)云安全的防護(hù)主要體現(xiàn)在對(duì)病毒的惡意程序檢測上面，它主要依賴于安裝在用戶計(jì)算機(jī)上的威脅特征碼數(shù)據(jù)庫，這意味著，每臺(tái)計(jì)算機(jī)上的威脅特征碼數(shù)據(jù)庫只有在更新并包括新威脅的特征碼之后才能提供最新的防護(hù)。也就是說在對(duì)待安全威脅的處理上，存在著時(shí)間的延遲。這種辦法無法有效地處理日益增多的惡意程序。因?yàn)閬碜曰ヂ?lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬而這樣就會(huì)造成對(duì)被感染文件的干預(yù)延遲，從而造成安全隱患。

　　而在云計(jì)算環(huán)境下，這種基于特征碼的傳統(tǒng)惡意程序檢測方法顯然已不能滿足要求。因?yàn)橛脩舻男袨樵诟淖�，威脅也在不斷演變，傳統(tǒng)的防護(hù)方法顯然不能跟上云計(jì)算發(fā)展的步伐，因此業(yè)界提出了Web安全網(wǎng)關(guān)技術(shù)和文件信譽(yù)技術(shù)，Web安全網(wǎng)關(guān)基于對(duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，對(duì)來自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。有效攔截HTTP與FTP數(shù)據(jù)，檢測、抵御病毒、間諜軟件、特洛伊木馬與蠕蟲攻擊。而文件信譽(yù)技術(shù)則解決了病毒庫更新的時(shí)間延遲問題。

　　雖然Web網(wǎng)關(guān)防護(hù)和文件信譽(yù)技術(shù)對(duì)待應(yīng)用安全威脅彌補(bǔ)了以往的安全防護(hù)的單一性，但是現(xiàn)在的云安全技術(shù)，應(yīng)該說都還處在一個(gè)起步的階段，它們沒有提供著完整云安全服務(wù)，僅僅局限于病毒防范，而完整的云安全防護(hù)應(yīng)該包括建立URL過濾，文件過濾和電子郵件過濾，數(shù)據(jù)還原等一系列的安全解決方案。新時(shí)期的云安全防病毒理念應(yīng)該是：它不再需要客戶端保留病毒庫特征，將所有的信息都將存放于互聯(lián)網(wǎng)中。當(dāng)全球任何角落的終端用戶連接到互聯(lián)網(wǎng)后，與云端的服務(wù)器保持實(shí)時(shí)聯(lián)絡(luò)，當(dāng)發(fā)現(xiàn)異常行為或病毒等風(fēng)險(xiǎn)后，自動(dòng)提交到云端的服務(wù)器群組中，由云計(jì)算技術(shù)進(jìn)行集中分析和處理。之后，云計(jì)算技術(shù)會(huì)生成一份對(duì)風(fēng)險(xiǎn)的處理意見，由客戶端構(gòu)成的防御體系可以通過網(wǎng)絡(luò)直接阻斷病毒和木馬的傳播路徑，最終保護(hù)終端機(jī)器安全。

　　2.云安全安全防御策略和解決方案

　　2.1 云安全的安全防御策略

　　隨著云計(jì)算的不斷發(fā)展，來自網(wǎng)絡(luò)威脅對(duì)云安全帶來了挑戰(zhàn)。因此迫切需要建立一種新的云安全的防御體系。下面我們擬從以下幾個(gè)方面建立云安全的綜合防御體系：

　　（1）Web信譽(yù)服務(wù)的建立

　　Web信譽(yù)服務(wù)是云安全網(wǎng)絡(luò)防護(hù)解決方案的關(guān)鍵組成部分，Web信譽(yù)服務(wù)為網(wǎng)域以及網(wǎng)域內(nèi)的網(wǎng)頁指定相對(duì)的信譽(yù)分?jǐn)?shù)，然后根據(jù)信譽(yù)分?jǐn)?shù)來決定對(duì)該網(wǎng)頁的訪問權(quán)限。

　�。�2）行為關(guān)聯(lián)分析技術(shù)的建立

　　利用行為分析的“相關(guān)性技術(shù)”把威脅活動(dòng)綜合聯(lián)系起來，確定其是否屬于惡意行為�？梢詸z查潛在威脅不同組件之間的相互關(guān)系。通過把威脅的不同部分關(guān)聯(lián)起來并不斷更新其威脅數(shù)據(jù)庫，針對(duì)電子郵件和Web威脅能夠?qū)崟r(shí)做出響應(yīng)，自動(dòng)地保護(hù)。

　�。�3）自動(dòng)反饋機(jī)制的建立

　　建立自動(dòng)反饋機(jī)制，以雙向更新流方式通過檢查單個(gè)客戶的路由信譽(yù)來確定各種新型威脅，實(shí)現(xiàn)實(shí)時(shí)探測和及時(shí)的“共同智能”保護(hù)。

　�。�4）威脅信息匯總

　　建立起病毒的反饋更新機(jī)制，對(duì)網(wǎng)絡(luò)進(jìn)行全天候威脅監(jiān)控和攻擊防御，以探測、預(yù)防并清除攻擊。

　　2.2 云安全解決方案架構(gòu)的設(shè)計(jì)

　　結(jié)合對(duì)云安全防御策略，現(xiàn)初步建立多層次云安全解決方案，該方案主要由云安全多層次網(wǎng)絡(luò)安全系統(tǒng)，云安全多層次防病毒系統(tǒng)，和云安全多層次中心控制系統(tǒng)三部分組成。每個(gè)部分緊密聯(lián)系，分工合作，來確保云安全。

　　（1）云安全多層次安全解決方案網(wǎng)絡(luò)系統(tǒng)防毒中的設(shè)計(jì)

　　網(wǎng)絡(luò)系統(tǒng)防毒中心主要負(fù)責(zé)：提供SSO單一登錄的機(jī)制，統(tǒng)一管理所有的軟件和硬件資源，實(shí)現(xiàn)對(duì)所有防毒軟件和硬件的集中設(shè)置、集中維護(hù)；搭建一個(gè)立體化的管理構(gòu)架；集成臨時(shí)策略功能，形成統(tǒng)一報(bào)告，提供分析內(nèi)網(wǎng)漏洞的有效數(shù)據(jù)，并且提供多用戶管理機(jī)制。

　�。�2）云安全多層次防病毒系統(tǒng)詳細(xì)設(shè)計(jì)

　�、倬W(wǎng)關(guān)層，利用網(wǎng)關(guān)防護(hù)Internet的HTTP出口在網(wǎng)關(guān)處，對(duì)Internet的HTTP流量進(jìn)行實(shí)時(shí)監(jiān)控。

　�、趹�(yīng)用層，利用終端層防護(hù)所有計(jì)算機(jī)的安全對(duì)于郵件應(yīng)用，將部署IMSA垃圾郵件和病毒郵件過濾設(shè)備。對(duì)進(jìn)出的郵件進(jìn)行全面過濾

　�、劢K端層，利用終端層防護(hù)所有計(jì)算機(jī)的安全對(duì)于網(wǎng)絡(luò)中的所有終端PC和服務(wù)器進(jìn)行全面的安全防護(hù)。提供病毒過濾，木馬查殺，防火墻和IDS。同時(shí)對(duì)U盤等移動(dòng)介質(zhì)也進(jìn)行嚴(yán)格的權(quán)限管理。

　�、芫W(wǎng)絡(luò)層，通過對(duì)網(wǎng)絡(luò)中所有協(xié)議的流量進(jìn)行監(jiān)控。在Web處理方面，建立網(wǎng)關(guān)Web病毒和內(nèi)容過濾設(shè)備，在垃圾郵件處理方面，建立垃圾郵件過濾設(shè)備。

　　（3）云安全多層次中央控管體系的建立

　�、俜蓝緣�控管中心

　　建立立體防御體系，防御軟件，系統(tǒng)防御，病毒侵入的管理日志的監(jiān)控建立對(duì)各安全防御軟件的集中配置和管理。建立集中的預(yù)警機(jī)制，當(dāng)面對(duì)不明軟件運(yùn)行情況時(shí)，可以即時(shí)進(jìn)行預(yù)警并通知在網(wǎng)的其他終端。

　�、诮�立漏洞掃描和防御中心：隔離具有系統(tǒng)漏洞的計(jì)算機(jī)，強(qiáng)制打補(bǔ)丁，以次確保當(dāng)病毒來臨時(shí)，不會(huì)因?yàn)橄到y(tǒng)的漏洞造成網(wǎng)絡(luò)受到病毒攻擊而癱瘓。

　�、劢�立病毒發(fā)作防御中心：利用病毒爆發(fā)防御策略技術(shù)，將網(wǎng)絡(luò)內(nèi)部所有病毒可能利用的途徑全部關(guān)閉。

　　3.結(jié)語

　　雖然本文提出了一種新的云安全防御策略，但是遠(yuǎn)遠(yuǎn)還不成熟，特別是在云端數(shù)據(jù)的智能發(fā)掘和整合上還沒有很好的思路，所以今后將在本方案的研究基礎(chǔ)上，加深以下幾方面的研究：

　�、俳档驮贫撕徒K端的帶寬損失，加強(qiáng)下載過程中的信息還原研究，進(jìn)而提高信息交互速度。

　�、诩訌�(qiáng)終端的安全防御方案的機(jī)制研究，建立終端的相關(guān)組件開發(fā)渠道，建設(shè)高智能客戶端的研究開發(fā)模式。

　�、劢�立智能分析挖掘技術(shù)，優(yōu)化篩選智能算法，為迅速探測威脅提供節(jié)約時(shí)間。

　　④繼續(xù)加強(qiáng)云基礎(chǔ)架構(gòu)的研究，解決好數(shù)據(jù)存儲(chǔ)關(guān)系疊加邏輯，探討能否實(shí)現(xiàn)云應(yīng)用和云基礎(chǔ)架構(gòu)的安全分割等更復(fù)雜的問題。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：一種云計(jì)算中云安全防御策略的設(shè)計(jì)

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839713998.html