《云安全在电网企业的应用研究》由会员分享,可在线阅读,更多相关《云安全在电网企业的应用研究(9页珍藏版)》请在金锄头文库上搜索。
1、第一章、第一章、技术实施方案技术实施方案1.1 概述概述随着云计算概念的升温,云安全概念应运而生。日前,各种病毒程序正在以几何级数增长,对此杀毒软件有些招架无力。同时,来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,采用特征库判别法显然已不合时宜。所谓“云安全(Cloud Security) ” ,就是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到 Server 端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。采用云安全技术后,整个互联
2、网就是一个巨大的“杀毒软件” ,参与者越多,每个参与者就越安全,整个互联网就会更安全。1.2 发展趋势发展趋势未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。趋势科技“云安全”技术是通过多种方式收集数据信息并动态分析恶意威胁,生成动态的 URL,邮件 IP,文件信誉库,并通过行为关联分析技术,建立各种信誉库的关联,当用户访问目标信息时,就可以在几毫秒内与信誉库中的URL 地址、邮件 IP 地址等进行比对,获得安全访问建议,从源端阻止对不良URL、邮件和文件的访问,降低网络风险的侵入。目前, “
3、云安全”技术每天接受的用户查询数量已达到 50 亿次,而每日评估处理的 URL、邮件 IP 地址等更达到 1200G,与此同时,因为将 70%威胁特征码放在云端,因此它能够减少企业PC 70%的核心内存占用,这些是传统的病毒代码比对技术所无法比拟的。1.3 面临问题面临问题电网超高压的安全威胁主要为以下几点:Internet 边界访问 电网超高压与 INTERNET 相连,虽然中间有防火墙云安全在电网企业的应用研究项目验证数据的合法性,但仍会受到来自互联网以 HTTP、FTP 等数据流为载体的潜在病毒的威胁。而且客户机多使用 Windows 操作系统,使用者的不良习惯还无法受到严格约束,一时的
4、疏忽导致病毒感染,再通过其他介质:邮件、文件拷贝,网络传输等手段传播开来,成为病毒在网内感染和蔓延的主要环节。业务网 业务网中的 WINDOWS 平台是传播病毒的隐患,其它LINUX、UNIX 平台通常不会与 Windows 平台交叉感染病毒,传播病毒的可能性也不大。但当客户端网络发起文件访问等数据交互时,病毒有可能通过此渠道进入服务器区段,从而影响业务的运行。U 盘 U 盘等移动外设是电网超高压内网病毒交叉感染的主要通道。大量的用户为了工作的方便,会把 U 盘作为办公网、业务网以及家庭 PC 的数据媒体。由于 3 者间的病毒情况根本无法确认,所以病毒就通过这个途径进行扩散。根据对用户环境、隐
5、患的分析,趋势科技认为,单纯的终端病毒防护体系并不能有效协助南方电网超高压有效应对新形态病毒的攻击。如果想真正建立“云安全”系统,并使其正常运行,需要解决四大问题: 1.需要海量的客户端(云安全探针); 2.需要专业的反病毒技术和经验; 3.需要大量的资金和技术投入; 可以是开放的系统,允许合作伙伴的加入(不涉及用户隐私的情况下或征得用户同意)。1.4 研究服务内容研究服务内容考虑到该用户是能够与 Internet 进行数据交互,通过对原有防毒系统的日志分析得知,超过 80%的病毒是通过 Web 进入南方电网超高压内部网络的。因此,我们将启用业界唯一的 Web 信誉评估技术(WRT),拦截了大
6、量由内部用户发起的对可疑高风险 URL 的访问,大大降低了用户由于访问 URL 带来的风险,避免了因终端使用者安全意识不强,导致的 Web 访问安全问题。另外,通过有 WRT 对可疑网页访问的拦截,还可以将大部分病毒变种的下载阻断,从而阻止新病毒的入侵,同时也使内网已经存在的病毒无法变种,降低了内网客户端的防毒压力。云安全在电网企业的应用研究项目为了避免 U 盘病毒扩散,我们将通过在全网终端部署来进行防护。通过软件具备独特的 U 盘病毒自动播放拦截功能,能够在 U 盘接入电脑时,对包含在U 盘中能够自动注入内存的病毒进行清除,有效提高了电网超高压对 U 盘病毒的控制。对于服务器区段遭受网络病毒
7、攻击,我们特意在服务器区段边界部署趋势科技网络层防毒墙,对流经网络层防毒墙的所有网络数据包进行检查。一旦发现有网络数据包包含网络病毒,会立刻进行数据包的阻止,并通知管理员是哪台客户端对服务器区段的业务服务器发起攻击,提前预防。1.4.1 安全接入接口控制技术安全接入接口控制技术在云计算环境下,云计算服务系统取消了物理控制,采取安全接入控制措施,对网络终端客户的登录信息进行保护,同时对接入云端的用户进行严格的身份认证及访问控制,以限制对信息的访问。使用加密通道对登录 ID 和密码之类的敏感信息实施保护,保护终端客户信息和加强访问控制管理,从云端实现云存储数据处理的主动保护。访问控制服务实现用户身
8、份认证、授权,防止非法访问和越权访问,管理员只能进行必要的管理操作,如用户管理、数据备份等,而不能访问用户加密了的私有数据。面对现在种种网络安全隐患,我们进行了针对性的信息安全体系化研究。1.1. 4d-UTM4d-UTM 立体防护安全体系立体防护安全体系出于对策略及终端两方面的安全考量,我们提出了 4d-UTM 立体防护安全体系这一概念。云安全在电网企业的应用研究项目4d-UTM 概念图4d-UTM 即 4 Dimensional Unified Threat Management,四维统一威胁管理。由统一威胁管理(Unified Threat Management)、统一终端管理(Unif
9、ied Endpoint Management)、统一通道管理(Unified Channel Management)及统一策略管理(Unified Policy Management)有机结合为一个整体联动架构,解决了网络“点”(即主机)、 “线”(即边界)、 “面”(即安全策略关联管理)安全规范难以统一的难题,通过私有加密隧道的联动机制,形成一个覆盖整体网络及设备的安全防御体系,使得网络整体防护效率得到了大幅提高,真正做到了全网安全防护。网络入口部署 UTM 统一威胁管理系统,实现对边界进行统一的威胁防御。在信息的终端或者说敏感信息终端安装 UEM,可通过与主机插件进行联动,能够统计终端系
10、统补丁、强制 IP-MAC 绑定、启动主机端 ARP 防火墙、发现木马、对敏感文件信息进行保护、对违规的主机强制断网等操作。通过 UPM 统一策略管理系统对网络中各个重要的信息点,以及信息设备进行集中统一的策略管理。为了适应这种混合的网络架构,我们通过 UCM 统一通道管理系统实现对IPv4/IPv6 协议的自适应通道管理。2.2. 应用安全应用安全在应用安全方面,我们以数据为中心,研发了针对 Web 应用安全的 WAF 系统,针对静态安全的漏洞扫描系统,动态安全的 BDOS 操作系统以及数据库审计系统。并针对访问控制安全,在身份认证、访问权限及操作审计上不断进行技术革新,我们的安全审计系统能
11、够对内网访问互联网行为进行审计和监控,包括行为监控,内容监控,网络异常监控,以及带宽监控。云安全在电网企业的应用研究项目3.3. 云安全管控平台云安全管控平台为实现云安全,继去年推出的安全管控平台 SOC 之后,其升级版云安全管控平台 CSOC 已完成预研,进入设计开发阶段,CSOC 一方面支持云服务运营商对云端服务进行接入、发布、组织与聚合、管理与调度等综合管理操作。另一方面则具有云端的安全运维管理、安全认证管理、安全事件管理、风险管理等功能。1.4.2 数据安全传输与存储数据安全传输与存储对于使用云计算服务的企业来说,存在着数据泄露的潜在危险,尤其对于涉及商业机密的数据而言,存储服务本身是
12、不可信任的。因此对重要数据实现加密传输与存储成为云计算安全的关键。研究组件式加密安全技术,为用户提供支持 AES、3DES 等国际常规加密算法组件,设计动态加密解密框架与加密数据包结构,实现动态加密与上传、下载与解密、传输中断后的续传、上传中的续传、下载中的续传等功能。客户端把数据加密后再传输到数据服务器,数据服务器只做完整性校验不做数据解密处理,直接存储该数据,确保不同用户的数据用不同的密钥加密,不会在传输过程或服务器端存储后泄露。一、一、数据传输的安全数据传输的安全通常情况下,企业数据中心保存有大量的企业私密数据,这些数据往往代表了企业的核心竞争力,如企业的客户信息、财务信息、关键业务流程
13、等等。在 云计算模式下,企业将数据通过网络传递到云计算服务商进行处理时,面临着几个方面的问题:一是如何确保企业的数据在网络传输过程中严格加密不被窃取;二是 如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去;三是在云计算服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证企业在任何时候都可以安全访问到自身的数据。二、二、数据存储的安全数据存储的安全企业的数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云计算模式下,云计算服务商在高度整合的大容 量存储空间上,开辟出一部分存储空间提供给企业使用。但客户并不清楚自己的数据被放置在
14、哪台服务器上,甚至根本不了解这台服务器放置在哪个国家;云计算服 务商在存储资源所在国是否会存在信息安全等 问题,能否确保企业云安全在电网企业的应用研究项目数据不被泄露;同时,在这种数据存储资源共享的环境下,即使采用了加密方式,云计算服务商是否能够保证数据之间的有限隔离;另外,即使 企业用户了解数据存放的服务器的准确位置,也必须要求服务商作出承诺,对所托管数据进行备份,以防止出现重大事故时,企业用户的数据无法得到恢复。如果想达到一定的安全性,应满足以下几点:1. 网络宽带 云存储系统将是多区域分布,遍布全球的庞大系统,目前使用者多数是通过 ADSL、DDN 等宽带接入设备来连接云存储,因此,云存
15、储使用者需要使用宽带网络与存储系统进行连接,只有宽带网络得到充足的发展,使用者才能获得足够大的数据传输带宽,实现大容量数据传输,享受到云存储带来的便利。 2. WEB 2.0 技术 通过 WEB2.0 技术可以使使用者的应用方式和可得到的服务更加灵活和多样化,目前云存储使用者只能通过 WEB2.0 技术,将 PC、手机、移动终端等多种设备,实现数据、文档、图片、音频、视频等内容的集中存储和资料共享。 3. 应用存储 应用存储时一种在存储设备中集成了应用软件功能的存储设备,其不但具有数据存储功能,还包括了部分应用软件的功能,就如同数据中心中包含程序应用服务器与数据库服务器,应用存储与云存储结合,
16、可以减少云存储中服务器的树林,降低企业系统建设成本,较少系统中由于服务器造成的单点故障和性能瓶颈,提高系统性能和效率。 4. 集群技术、分布式文件系统和网络计算技术的发展 云存储系统是由多个存储设备、多应用、多服务协同工作的集合体,需要通过集群技术、分布式文件系统和网络计算等技术,实现各个存储设备之间的协同工作。 5. 网络存储安全技术的发展 由于云存储的数据传输时通过普通的宽带进行传输,因此,必须保证数据传输的安全性,云存储可以通过 CDN 内容发布系统、数据加密技术保证云存储中的护具不会被未授权的用户所访问,同时,各个数据备份和容灾技术保证云存储中的数据不会丢失,从而保证云存储自身的安全和稳定。 6. 存储管理技术的发展 云安全在电网企业的应用研究项目云存储涉及多地域、多厂商、多硬件设备之间的传输管理,因此,存储虚拟化管理和多链路冗余管理尤为重要,这同样会和网络一样形成存储系统的性能瓶颈,同样,也会带来结构的不统一。 由于云存储中存储设备众多,分布地域广造对存储设备运营管理商来说是个难题,必须
