云计算安全管理手段研究
2015-01-20曾庆椿
曾庆椿
摘要:随着云计算技术和应用的快速发展,海量数据资源正在通过云计算数据中心存储和处理。与此同时,云计算的安全传输、存储和利用的需求也越来越迫切。所以,云计算的安全管理成为云计算安全问题的重中之重。该文从六个方面对云计算安全管理手段进行阐述,有效的解决云计算安全管理中的各类问题,为云计算的安全部署打下基础。
关键词:云计算;安全管理;审计评估
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)36-8605-02
随着云计算的发展与广泛应用,云安全问题的重要性越来越突出,已成为制约其发展的重要因素,各大云服务提供商的安全问题屡见不鲜. 2012年亚马逊北弗吉尼亚数据中心服务多次(4月,6月,10月,12月)宕机,导致托管的大量网站无法访问,相关企业营业收入受到很大的影响;2013年2月,微软云服务两次大规模中断,包括Windows Azure云存储在内的很多服务都发生了故障,时间长达10多个小时;2014年9月,詹妮弗·劳伦斯等好莱坞明星裸照泄露于网上,经证实, 是黑客攻击了多个iCloud账号所致,再加上上半年曝光的ios后门事件,让苹果云安全再次受到质疑.从重大安全事件可以看出,云安全管理成了保障云计算安全的重中之重,那么怎么样对云计算进行安全管理呢,文章从六个方面进行了阐述。
1 有效的评估与审计
云计算服务安全管理首先应对系统整体进行风险评估,评估流程可以按照《GB/T 20984信息安全技术信息安全风险评估规范》进行,如图1所示。
风险评估准备阶段[1]应根据云计算应用系统的业务特点,首先应该建立云计算系统最佳的安全保障框架或模板,依据安全框架或模板进行评估。整个风险评估流程中的重点在于资产识别、威胁识别、脆弱性识别和已有安全措施的确认。资产识别的过程中,一定要根据云计算的特点,将资产的小类划分得很细,至少要划分出个人敏感数据、用户目录数据、云服务管理接口、API管理接口、云的应用程序、安全日志等小类,之后的评估工作才可能更有针对性。威胁和脆弱性也要根据云计算的特点识别出来,形成针对云计算系统特点的威胁和脆弱性词条,并注明适用的部署模式和服务模式,归纳、更新到云计算风险管理知识库中。在安全措施的确认前,应根据云的部署模式和服务模式制定相应的控制矩阵。在安全措施确认过程中,依据控制矩阵对比现状,最终确认安全措施的有效性。风险的计算依旧可以按照《GB/T 20984信息安全技术信息安全风险评估规范》进行,最终根据风险评估报告开始实施风险管理。
2 异构设备的集中统一管理
在云计算的网络安全构建进程当中,要想保障建设的防御体系尽可能健全,这就必须关系到各种类型各异、安全设施厂商的部署工作。这个时候,怎么有效解决各个厂商在配置方面存在的差异性,同时怎么达成针对不同型号的安全设施进行相关事件的关联分析及统一的管理,其是针对异构设置进行管理的时候,必须要进行研究的关键所在。因此,要想达成相关目标,安全管理平台应当主动做好以下几个方面:首先,必须要提升服务能力与组网水平;其次,必须要积极集成针对不同厂商不同型号的安全设施进行相关事件的关联分析及统一的管理;最后,应用定制化的措施,能够达成针对市场当中各个厂商中的安全日志实施有效的支持。
3 虚拟化安全策略的自动迁移调节
处在虚拟化的背景下,虚拟机实现自动迁移属于云计算环境当中非常关键的特点。所以,业务系统当中的虚拟机接入端口及各项资源配置都务必要主动进行有效的响应,同时要提供与之进行适配的措施。
1) 针对云计算网络当中的每一个虚拟机都必须要主动构建与之相对应的安全措施,以此来达成整个虚拟机安全措施统一规划的目标;
2) 要能够立即感知到虚拟机的迁移动作及方向,同时要能够准确获知虚拟机迁移之后网络当中的相关信心,及时触发安全管理措施;
3) 依照迁移之后,虚拟机当中的信心,能够侦测并详细计算出虚拟机应用的对应安全设施,能够为接下来的安全措施调节打下基础;
4) 根据上面的三项内容,安全管理平台必须要针对各个方面的资源实施有效的整合,通过针对安全措施进行自动的调节,同时将调解后的安全措施发送到新的安全设施中。
4 集中策略管理
云计算网络当中包含的安全设施数量巨大,倘若云计算工作人员每一次只是针对每一个设施或者不见实施措施配置,不但需要依靠巨大的物力与人力,同时也非常容易致使安全措施缺乏联关系,导致系统出现误差的几率增加。所以我们建议应当通过集中管理的方式,针对整个网络安全设施实施有效的配置。利用各个设施的自动化配置能力,不仅能够有效降低维护费用,同时也能够有效降低误差的发生率,从而有效保障整个网络安全的持续性和可靠性。
5 开放的API接口
一般来说,在包含不同类型、多个厂商的复杂网络当中,都必须要依靠综合性的安全管理平台来针对各个设施进行统一的管理。鉴于此,这里可以用用定制标准接口的模式来进行处理,采用Agent或者适配层的模式,向用户提供一个具有开放性的API接口,之后再利用API接口,通过上侧管理平台实施对应的日至格式转换,通过实时上报的方式,能够针对整个网络当中的各项安全事件进行统一的研究;与此同时,上层管理平台也可以充分利用这个接口,针对各个安全设施进行统一的措施安排。
6 政府行为
政府在安全管理中起到主导、决策和监管的作用,我们建议政府:
1) 要组成专门的机构来实施云计算安全管理,相关部委承担具体的职责。比如评估委员会、管理委员会等等;
2) 规范相关安全措施规范,制定安全事件等级,以便统计报告;
3) 严格云计算安全顶层设计,规范政府(监管)、企业(运营)具体职能措施;
4) 完善相关法律法规来约束违反安全管理措施的行为处罚。
7 结束语
随着我国进入信息社会,信息技术已经渗透到国家和个人的方方面面;当今正在经历从“小数据”进入“大数据”的又一个变革阶段,这会深刻影响经济、社会和国家综合实力。云计算作为“大数据”时代的典型技术和商业模式,对网络安全管理提出新的挑战,仅仅依靠技术无法应对变革所带来的挑战,必须从顶层设计开始,既要研究技术细节也要研究管理手段,并且还需国家出台相关法律法规来保证云计算的万无一失,让云计算更好的为国家各行各业服务。
参考文献:
[1] GB/T 20984信息安全技术信息安全风险评估规范.2007.
[2] 冯登国, 张敏, 张妍, 等.云计算安全研究[J].软件学报, 2011,22(1):71?83.
[3] 中国电信网络安全实验室.云计算安全技术与广泛应用[M].北京:电子工业出版社,2012.
[4] 汪来富,沈军,金华敏. 云计算应用安全研究[J]. 电信科学,2010,(6).endprint
摘要:随着云计算技术和应用的快速发展,海量数据资源正在通过云计算数据中心存储和处理。与此同时,云计算的安全传输、存储和利用的需求也越来越迫切。所以,云计算的安全管理成为云计算安全问题的重中之重。该文从六个方面对云计算安全管理手段进行阐述,有效的解决云计算安全管理中的各类问题,为云计算的安全部署打下基础。
关键词:云计算;安全管理;审计评估
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)36-8605-02
随着云计算的发展与广泛应用,云安全问题的重要性越来越突出,已成为制约其发展的重要因素,各大云服务提供商的安全问题屡见不鲜. 2012年亚马逊北弗吉尼亚数据中心服务多次(4月,6月,10月,12月)宕机,导致托管的大量网站无法访问,相关企业营业收入受到很大的影响;2013年2月,微软云服务两次大规模中断,包括Windows Azure云存储在内的很多服务都发生了故障,时间长达10多个小时;2014年9月,詹妮弗·劳伦斯等好莱坞明星裸照泄露于网上,经证实, 是黑客攻击了多个iCloud账号所致,再加上上半年曝光的ios后门事件,让苹果云安全再次受到质疑.从重大安全事件可以看出,云安全管理成了保障云计算安全的重中之重,那么怎么样对云计算进行安全管理呢,文章从六个方面进行了阐述。
1 有效的评估与审计
云计算服务安全管理首先应对系统整体进行风险评估,评估流程可以按照《GB/T 20984信息安全技术信息安全风险评估规范》进行,如图1所示。
风险评估准备阶段[1]应根据云计算应用系统的业务特点,首先应该建立云计算系统最佳的安全保障框架或模板,依据安全框架或模板进行评估。整个风险评估流程中的重点在于资产识别、威胁识别、脆弱性识别和已有安全措施的确认。资产识别的过程中,一定要根据云计算的特点,将资产的小类划分得很细,至少要划分出个人敏感数据、用户目录数据、云服务管理接口、API管理接口、云的应用程序、安全日志等小类,之后的评估工作才可能更有针对性。威胁和脆弱性也要根据云计算的特点识别出来,形成针对云计算系统特点的威胁和脆弱性词条,并注明适用的部署模式和服务模式,归纳、更新到云计算风险管理知识库中。在安全措施的确认前,应根据云的部署模式和服务模式制定相应的控制矩阵。在安全措施确认过程中,依据控制矩阵对比现状,最终确认安全措施的有效性。风险的计算依旧可以按照《GB/T 20984信息安全技术信息安全风险评估规范》进行,最终根据风险评估报告开始实施风险管理。
2 异构设备的集中统一管理
在云计算的网络安全构建进程当中,要想保障建设的防御体系尽可能健全,这就必须关系到各种类型各异、安全设施厂商的部署工作。这个时候,怎么有效解决各个厂商在配置方面存在的差异性,同时怎么达成针对不同型号的安全设施进行相关事件的关联分析及统一的管理,其是针对异构设置进行管理的时候,必须要进行研究的关键所在。因此,要想达成相关目标,安全管理平台应当主动做好以下几个方面:首先,必须要提升服务能力与组网水平;其次,必须要积极集成针对不同厂商不同型号的安全设施进行相关事件的关联分析及统一的管理;最后,应用定制化的措施,能够达成针对市场当中各个厂商中的安全日志实施有效的支持。
3 虚拟化安全策略的自动迁移调节
处在虚拟化的背景下,虚拟机实现自动迁移属于云计算环境当中非常关键的特点。所以,业务系统当中的虚拟机接入端口及各项资源配置都务必要主动进行有效的响应,同时要提供与之进行适配的措施。
1) 针对云计算网络当中的每一个虚拟机都必须要主动构建与之相对应的安全措施,以此来达成整个虚拟机安全措施统一规划的目标;
2) 要能够立即感知到虚拟机的迁移动作及方向,同时要能够准确获知虚拟机迁移之后网络当中的相关信心,及时触发安全管理措施;
3) 依照迁移之后,虚拟机当中的信心,能够侦测并详细计算出虚拟机应用的对应安全设施,能够为接下来的安全措施调节打下基础;
4) 根据上面的三项内容,安全管理平台必须要针对各个方面的资源实施有效的整合,通过针对安全措施进行自动的调节,同时将调解后的安全措施发送到新的安全设施中。
4 集中策略管理
云计算网络当中包含的安全设施数量巨大,倘若云计算工作人员每一次只是针对每一个设施或者不见实施措施配置,不但需要依靠巨大的物力与人力,同时也非常容易致使安全措施缺乏联关系,导致系统出现误差的几率增加。所以我们建议应当通过集中管理的方式,针对整个网络安全设施实施有效的配置。利用各个设施的自动化配置能力,不仅能够有效降低维护费用,同时也能够有效降低误差的发生率,从而有效保障整个网络安全的持续性和可靠性。
5 开放的API接口
一般来说,在包含不同类型、多个厂商的复杂网络当中,都必须要依靠综合性的安全管理平台来针对各个设施进行统一的管理。鉴于此,这里可以用用定制标准接口的模式来进行处理,采用Agent或者适配层的模式,向用户提供一个具有开放性的API接口,之后再利用API接口,通过上侧管理平台实施对应的日至格式转换,通过实时上报的方式,能够针对整个网络当中的各项安全事件进行统一的研究;与此同时,上层管理平台也可以充分利用这个接口,针对各个安全设施进行统一的措施安排。
6 政府行为
政府在安全管理中起到主导、决策和监管的作用,我们建议政府:
1) 要组成专门的机构来实施云计算安全管理,相关部委承担具体的职责。比如评估委员会、管理委员会等等;
2) 规范相关安全措施规范,制定安全事件等级,以便统计报告;
3) 严格云计算安全顶层设计,规范政府(监管)、企业(运营)具体职能措施;
4) 完善相关法律法规来约束违反安全管理措施的行为处罚。
7 结束语
随着我国进入信息社会,信息技术已经渗透到国家和个人的方方面面;当今正在经历从“小数据”进入“大数据”的又一个变革阶段,这会深刻影响经济、社会和国家综合实力。云计算作为“大数据”时代的典型技术和商业模式,对网络安全管理提出新的挑战,仅仅依靠技术无法应对变革所带来的挑战,必须从顶层设计开始,既要研究技术细节也要研究管理手段,并且还需国家出台相关法律法规来保证云计算的万无一失,让云计算更好的为国家各行各业服务。
参考文献:
[1] GB/T 20984信息安全技术信息安全风险评估规范.2007.
[2] 冯登国, 张敏, 张妍, 等.云计算安全研究[J].软件学报, 2011,22(1):71?83.
[3] 中国电信网络安全实验室.云计算安全技术与广泛应用[M].北京:电子工业出版社,2012.
[4] 汪来富,沈军,金华敏. 云计算应用安全研究[J]. 电信科学,2010,(6).endprint
摘要:随着云计算技术和应用的快速发展,海量数据资源正在通过云计算数据中心存储和处理。与此同时,云计算的安全传输、存储和利用的需求也越来越迫切。所以,云计算的安全管理成为云计算安全问题的重中之重。该文从六个方面对云计算安全管理手段进行阐述,有效的解决云计算安全管理中的各类问题,为云计算的安全部署打下基础。
关键词:云计算;安全管理;审计评估
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)36-8605-02
随着云计算的发展与广泛应用,云安全问题的重要性越来越突出,已成为制约其发展的重要因素,各大云服务提供商的安全问题屡见不鲜. 2012年亚马逊北弗吉尼亚数据中心服务多次(4月,6月,10月,12月)宕机,导致托管的大量网站无法访问,相关企业营业收入受到很大的影响;2013年2月,微软云服务两次大规模中断,包括Windows Azure云存储在内的很多服务都发生了故障,时间长达10多个小时;2014年9月,詹妮弗·劳伦斯等好莱坞明星裸照泄露于网上,经证实, 是黑客攻击了多个iCloud账号所致,再加上上半年曝光的ios后门事件,让苹果云安全再次受到质疑.从重大安全事件可以看出,云安全管理成了保障云计算安全的重中之重,那么怎么样对云计算进行安全管理呢,文章从六个方面进行了阐述。
1 有效的评估与审计
云计算服务安全管理首先应对系统整体进行风险评估,评估流程可以按照《GB/T 20984信息安全技术信息安全风险评估规范》进行,如图1所示。
风险评估准备阶段[1]应根据云计算应用系统的业务特点,首先应该建立云计算系统最佳的安全保障框架或模板,依据安全框架或模板进行评估。整个风险评估流程中的重点在于资产识别、威胁识别、脆弱性识别和已有安全措施的确认。资产识别的过程中,一定要根据云计算的特点,将资产的小类划分得很细,至少要划分出个人敏感数据、用户目录数据、云服务管理接口、API管理接口、云的应用程序、安全日志等小类,之后的评估工作才可能更有针对性。威胁和脆弱性也要根据云计算的特点识别出来,形成针对云计算系统特点的威胁和脆弱性词条,并注明适用的部署模式和服务模式,归纳、更新到云计算风险管理知识库中。在安全措施的确认前,应根据云的部署模式和服务模式制定相应的控制矩阵。在安全措施确认过程中,依据控制矩阵对比现状,最终确认安全措施的有效性。风险的计算依旧可以按照《GB/T 20984信息安全技术信息安全风险评估规范》进行,最终根据风险评估报告开始实施风险管理。
2 异构设备的集中统一管理
在云计算的网络安全构建进程当中,要想保障建设的防御体系尽可能健全,这就必须关系到各种类型各异、安全设施厂商的部署工作。这个时候,怎么有效解决各个厂商在配置方面存在的差异性,同时怎么达成针对不同型号的安全设施进行相关事件的关联分析及统一的管理,其是针对异构设置进行管理的时候,必须要进行研究的关键所在。因此,要想达成相关目标,安全管理平台应当主动做好以下几个方面:首先,必须要提升服务能力与组网水平;其次,必须要积极集成针对不同厂商不同型号的安全设施进行相关事件的关联分析及统一的管理;最后,应用定制化的措施,能够达成针对市场当中各个厂商中的安全日志实施有效的支持。
3 虚拟化安全策略的自动迁移调节
处在虚拟化的背景下,虚拟机实现自动迁移属于云计算环境当中非常关键的特点。所以,业务系统当中的虚拟机接入端口及各项资源配置都务必要主动进行有效的响应,同时要提供与之进行适配的措施。
1) 针对云计算网络当中的每一个虚拟机都必须要主动构建与之相对应的安全措施,以此来达成整个虚拟机安全措施统一规划的目标;
2) 要能够立即感知到虚拟机的迁移动作及方向,同时要能够准确获知虚拟机迁移之后网络当中的相关信心,及时触发安全管理措施;
3) 依照迁移之后,虚拟机当中的信心,能够侦测并详细计算出虚拟机应用的对应安全设施,能够为接下来的安全措施调节打下基础;
4) 根据上面的三项内容,安全管理平台必须要针对各个方面的资源实施有效的整合,通过针对安全措施进行自动的调节,同时将调解后的安全措施发送到新的安全设施中。
4 集中策略管理
云计算网络当中包含的安全设施数量巨大,倘若云计算工作人员每一次只是针对每一个设施或者不见实施措施配置,不但需要依靠巨大的物力与人力,同时也非常容易致使安全措施缺乏联关系,导致系统出现误差的几率增加。所以我们建议应当通过集中管理的方式,针对整个网络安全设施实施有效的配置。利用各个设施的自动化配置能力,不仅能够有效降低维护费用,同时也能够有效降低误差的发生率,从而有效保障整个网络安全的持续性和可靠性。
5 开放的API接口
一般来说,在包含不同类型、多个厂商的复杂网络当中,都必须要依靠综合性的安全管理平台来针对各个设施进行统一的管理。鉴于此,这里可以用用定制标准接口的模式来进行处理,采用Agent或者适配层的模式,向用户提供一个具有开放性的API接口,之后再利用API接口,通过上侧管理平台实施对应的日至格式转换,通过实时上报的方式,能够针对整个网络当中的各项安全事件进行统一的研究;与此同时,上层管理平台也可以充分利用这个接口,针对各个安全设施进行统一的措施安排。
6 政府行为
政府在安全管理中起到主导、决策和监管的作用,我们建议政府:
1) 要组成专门的机构来实施云计算安全管理,相关部委承担具体的职责。比如评估委员会、管理委员会等等;
2) 规范相关安全措施规范,制定安全事件等级,以便统计报告;
3) 严格云计算安全顶层设计,规范政府(监管)、企业(运营)具体职能措施;
4) 完善相关法律法规来约束违反安全管理措施的行为处罚。
7 结束语
随着我国进入信息社会,信息技术已经渗透到国家和个人的方方面面;当今正在经历从“小数据”进入“大数据”的又一个变革阶段,这会深刻影响经济、社会和国家综合实力。云计算作为“大数据”时代的典型技术和商业模式,对网络安全管理提出新的挑战,仅仅依靠技术无法应对变革所带来的挑战,必须从顶层设计开始,既要研究技术细节也要研究管理手段,并且还需国家出台相关法律法规来保证云计算的万无一失,让云计算更好的为国家各行各业服务。
参考文献:
[1] GB/T 20984信息安全技术信息安全风险评估规范.2007.
[2] 冯登国, 张敏, 张妍, 等.云计算安全研究[J].软件学报, 2011,22(1):71?83.
[3] 中国电信网络安全实验室.云计算安全技术与广泛应用[M].北京:电子工业出版社,2012.
[4] 汪来富,沈军,金华敏. 云计算应用安全研究[J]. 电信科学,2010,(6).endprint
