云安全规范
开篇:润墨网以专业的文秘视角,为您筛选了八篇云安全规范范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
云安全规范范文第1篇
关键词:云安全;计算机;病毒防范;问题与措施
中图分类号:TP309.5 文献标识码:A
实质上,“云安全”是病毒防御的互联网化,能够快速地整合资源、处理病毒。“云安全”是将大量的服务器连接起来,提高了病毒防御能力和响应时间。并通过信息的互联,收集最新的病毒信息,实现了解决方案的共享。
1“云安全”在计算机病毒防范中的应用中存在的问题
1.1用户隐私安全得不到保证
“云安全”发展中突出的问题是信任问题,虽然安全厂商表示其只是“在用户机上发现了可疑文件后自动上传”。但是没人保证机器上的隐私以及公司的商业秘密是否被当作“可疑文件”并自动上传。目前,在“云安全”模式下,还无法保证手机信息的合法性,也不能对此进行有效的监督。SYMAN-TEC服务条款中明确表示:SYMANTEC不会为了促销将收集的到的信息、数据或者联系人列表进行汇总。如果是特殊的情况下,比如法律允许、根据传讯或者其他执法过程中要求,执法人员命令公布收集信息时,SYMANTEC有可能选择公布此信息。换言之,收集了什么信息,收集信息的处理,是否会将信息交给相关的安全部门,这些用户都不可能知道。这种隐私保护政策,导致用户对其不信任感增加。更为严重的是,随着“云时代”的到来,国家和民族之间的界限变得更加模糊,任何处于“云时代”的国家都无法保证“云系统”的独立性。同时,如果国际形势发生巨大变化,国外的云服务与政府、军队合作,“云安全”的系统保护则处于非常危险的境地。
1.2自动分析的准确性不足
“云安全”的优点是快速地收集信息样本,并上交给安全厂商进行分析,可是如果出现大量的可疑文件,那么如何将人工分析与自动分析有机结合起来?目前,“云安全”提高了安全厂商处理互联网危机的能力,缩短了响应时间,但是“云安全”还不具备全自动检测、预警及分发的功能,在运行的过程中需要人的参与。与普通的应用相比,安全厂商基本都是根据人工分析对新型的病毒进行分析,其中关键问题是如何有效地缩短响应时间。另外,需要不断提高“云安全”自动分析的准确性。虽然利用病毒样本自动收集和自动处理系统能够有效地提高杀毒软件的升级速度,但是每天从终端用户收集到的信息量非常大,无法准确判断哪些可疑文件是病毒,如果运用自动搜集系统自动提交在,则可能会出现误杀的情况。
1.3 “云安全”服务器安全隐患影响大
“云计算”建立在网络的基础上,网络也是制约“云计算”广泛应用的一个重要因素。对于“云安全”而言,这种制约性表现得非常突出。将网络安全服务全部转移到“云”上,用户则需要面临以下风险:如果用户的网络出现问题或者网络遭到攻击不能连接到 “云端”时,此时用户网络遭到攻击的可能性非常大。前几年,我国多个省市的断网事件证实了这种风险的存在。根据近几年安全形势分析,针对杀毒软件自身的攻击在不断增加,如果将“云时代”安全服务转移到“云端”,则很难保证杀毒软件的安全。
2解决措施
2.1建立统一标准的“云端”服务器
需要为“云安全”构建一个开放性的安全服务平台,该平台能够为第三方合作伙伴提供抵抗病毒的支持,促使缺乏先进技术和设备的第三方合作伙伴能够参与到病毒对抗活动中,打破了安全厂商独立抵抗病毒的局面。同时,政府应该将病毒厂商联合起来,建立抗病毒联盟,制定统一的恶意代码检验规则、可疑文件搜集方法、安全时间处理程序以及恶意网站识别规则等,构建一个“安全云”。实际上,“安全云”是病毒库的供应商,也是世界最大的病毒库,安全厂商只需要将接口连接到 “云端”就能进行安全检测。因此,各个厂商需要加大在保护客户端研发方面的资金投入,不断完善产品功能。
2.2多种自动分析技术与人工分析结合
在进行自动分析识别判定时,可以通过海量客户端提交的数目进行判断,或者考虑程序的行为分析权值相加是否可以被界定为出现恶意程序的标准。但是,为了提高工作效率,提高智能分析服务器的灵活性,主要是通过海量客户端提交的数目这种方式进行判定。另外,鉴定“云安全”服务端的方式多种多样,主要包括启发式分析、动态行为分析以及虚拟机等,应该不断改进分析方法。同时运用多种鉴定方式是行不通的,因为病毒作者不知道 “云安全”服务器端运用何种方式在对付病毒木马。运用自动分析系统时,病毒分析员需要总结程序判断经验,准确分析恶意程序,不断更新自动判断思维,提高自动分析系统判断的及时性与准确性。根据检测到的恶意程序的变化,及时制定针对性措施,提高云安全客户端的风险防御能力。
2.3防毒与杀毒齐头并进
目前,许多挂马式网站已经变成病毒木马的发源地和传播地,当用户在访问网站时,这些木马病毒会趁机进入到个人计算机中。虽然“云安全”极大地提高了个人计算机对木马病毒的抵御能力,但是效果不是很显著。因为“云安全”忽视了木马病毒发源地网站的安全,用户在浏览挂马式网站时,虽然安全软件会进行拦截并弹出警告,但是很多用户依旧选择继续浏览网页。而“云安全”是集用户、网站、安全厂商为一体,能够有效地解决病毒发源地网站的病毒侵袭。如果服务器中植入了木马。安全厂商会立即通知网站管理员,对网站的安全进行有效地监控,能够除去植入的病毒木马。同时,立即通知相关的服务商以及搜索引擎等合作厂商,合作厂商对恶意代码进行屏蔽。从而阻止了木马病毒对计算机的侵袭。
结语
综上所述,“云安全”不仅仅是一种反病毒技术,同时也是一种反病毒理念,一种安全防御系统。目前,“云安全”技术在我国还处于发展阶段,需要大家的共同努力来实现其标准化与规范化的统一。各大安全厂商不断加强技术的创新,“云安全”的需求也在不断变化。可以相信,未来的云安全系统具备为个人计算机提供可疑文件识别、安全检测等功能。
参考文献
云安全规范范文第2篇
针对这现在的这种云应用项目需求暴增,云应用产品安全问题日渐凸现的现状,就逼迫云产品提供商与云应用使用.者再寻找更为可靠更为便捷的安全方案。在以前,云计算环境提供者更多的会从:集中化、专业化、复杂化、虚拟化、可视化及健壮性六个方面进行设计与构建。但是,实际应用过程中,由于用户或是管理员层级的疏忽也同样可能造成整个系统的安全漏洞。而在多网络环境、多终端接入的情况下,这种安全的隐患更为突出。所以,一个完整的云计算安全解决方案,首先应该能够满足覆盖了从链路、网络、系统、内容到Web、DB等关键应用的安全需求的方案。这样就可以规避安全短板,为云计算数据中心构建了立体安全防御体系,全面防御各类混合型攻击和APT攻击。其次,应该充分考虑用户角色、接入设备、加密方案、证书策略、身份识别等等各个方面的安全需求和便利性需求。这样不仅可以充分发挥云计算在虚拟化、专业化的特点,解决操作风险、账号欺骗、弱口令等风险,也能更好的为用户提供更贴近、更可靠的应用。综上,云时代的信息安全,首先应该是基于云计算中心安全建设、相关厂商安全产品服务提供、以及云应用使用者安全防范三个层面上的。
2现有云安全产品的特点
目前,针对云计算中心的安全建设,除了前面提及的去计算中心通过虚拟防火墙和配置ACL策略加强自身的安全建设外,国内外安全产品及技术服务厂商也已经提出并提供了一些相关的产品或方案。比如:较早提出“云安全”思路的趋势科技,推出了推出基于趋势科技云安全技术核心的解决方案。一方面用“云的防护盾”技术来保障“云”平台本身的高可用性,使得各种企业数据中心/应用系统或者云环境免受病毒、攻击、系统漏洞等威胁侵害;另一方面,通过“云中保险箱”技术来保护用户存放于云端的隐私和关键数据不被非法窃取和利用。天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全保护。Fortinet也提出了建立满足云计算多层次的安全需求;运用了多种硬件加速技术,为云计算提供数据中心极高的安全性能;通过大量虚拟化技术,无缝贴合云计算网络架构,是一套为云计算环境量身定制的安全解决方案。这些厂商虽然侧重角度不同,但是产品都是贴合云计算的特点,针对云计算中心的需求进行开发设计的。这在很大程度上弥补了云计算中心在自身安全策略构建方面的不足。同时,我们也应该看到,用户层面的安全防护及策略部署才是整体安全体系中较为短板的一个环节。如何弥补这个短板才是整个云计算平台安全运行的保障。目前最为有效的解决方案是,通过云计算中心和安全产品、技术服务厂商的安全策略部署,充分利用虚拟技术和安全审计,从而减少了安全风险。这些设计思路与云计算中心可以相互配合,动态的进行部署。同时,针对用户层较为模糊的需求,通过虚拟环境提供一个“沙盒”从而保证操作的安全与信息的准确。
3云安全的未来方向
云安全规范范文第3篇
【关键词】云终端;电力企业;桌面终端;安全技术
一、当前电力企业桌面终端使用与管理上存在的安全问题
随着电力企业信息化建设的不断深入,业务系统的不断上线,电网生产经营与信息化已经密不可分,终端(计算机)则是电网职工访问业务系统的重要支撑设备。传统终端的配置和部署方式,因电网生产的特殊性,被分散部署在电网企业的变电站、供电所、营业厅以及办公大楼等不同地域,极大的提升了运维成本,使得运维人员疲于奔命,因其安全漏洞层出不穷,应用软件不但多样化且更新极快,数据泄漏等问题也屡有发生。2014年4月,微软宣布不再支持Windows XP,电力企业大量安装Windows XP操作系统的终端在安全防护将面临巨大的困难,操作系统的升级迫在眉睫。对数量如此巨大的终端设备进行全面升级,即使不考虑其分散的地理位置,工作量也是非常巨大的。传统终端运维成本高、业务连续性保障差等突出问题日渐凸显。
二、云安全终端的技术优势
1.能够集中对桌面终端进行管控与维护
云终端不需要用户进行任何交换式操作,做到对用户的免打扰,在终端不符合安全规范的情况下,系统能够提供智能化的一键式修复方式,帮助用户修复安全风险,大大减少运维任何的工作负担。利用云终端的概念不仅实现集中管理的理念,通过服务器远程对所有终端进行管理,将所有桌面终端的应用程序安装配置完成,进行统一的升级与维护等操作,而且终端采用的是一体化设计,不需要软驱、光盘等等其他条件就能进行升级与维护,没有经过授权的软件是无法访问的,所以这也就有效防范员工为了逃避管理或其他原因往往私自卸载、破坏客户端程序,控制了员工随意删改桌面终端程序的现象。
2.成本低廉
在保障安全性的同时,也要考虑到安全建设及运维的成本。实施云终端模式的桌面终端管理的优势在于,首先不需要额外的配置大量PC机,只需要配置一些高性能的服务器即可。云终端的运用由服务器进行统一的管理,按照功能不同、需求不同的办公层人员终端机进行共享服务器硬件资源的方式,所有应用程序与管理软件均安装在云终端上,这样一来,不仅易于统一的管理,更是节约企业成本的重要措施。
3.能够集中对终端安全进行有效防控
基于云终端的桌面终端架构特点,减少了病毒的入口,通过服务器的统一防御,大大消除了病毒的威胁;通过系统下发策略,强制性的统一修补桌面终端的系统漏洞,统一安装防病毒软件等,全面提升桌面终端的安全。云终端模式还可以有效防范数据的泄露,同时因为主要数据都存储在网络存储设备上,确保了数据的安全备份。
三、电力企业云终端系统架构
根据电力企业的实际情况,积极吸纳和采用先进、适用的云计算技术,满足公司系统各类型终端的应用需求,解决部署和运维工作中的技术难题,促进云安全终端推广应用工作顺利开展,为电网企业的日常办公、营业网点、变电站、客服中心、技能培训、系统运维等各环节的信息化建设提供强力的终端设备支持。
云终端系统资源中心主要分为终端服务子系统、用户存储子系统和安全审计子系统三部分。资源中心服务端平台构建在用户瘦终端和业务应用服务器间。应用客户端集中部署在平台的虚拟化服务器上,与后台服务间通过原有的通信方式进行交互。由于处在数据中心中,访问性能可以得到有效的保障。用户终端上部署平台客户端,通过平台的ICA协议建立对平台上应用客户端的图像和操作访问。考虑到用户所处网络的位置的不同,对于网络上优化和安全访问可以采用不同的方案进行。云终端总体架构如图1所示:
图1
四、云安全终端应用的保障措施
云安全终端的推广应用,是对传统终端部署方式革命性的颠覆,也必将对现有的终端运维模式产生巨大的冲击,制定完善的运维保障措施是做好云终端推广应用工作的重中之重。
云安全终端的运维带来的新问题主要体现以下四个方面:①增加了对虚拟资源的管理;②对运维管理内容、手段和方式提出了新的需求;③提升了运维管理的复杂度,要求运维管理包含流程角色设置等内容;④资源中心集中部署,终端分散部署的方式对各级运维队伍的建设提出了新的要求。
针对云终端运维带来的变革,云终端运维模式规划要点如下:
建立五层运维模型:组织支援层,资源中心管理层,平台管理层,系统监控(客服)层,现场操作层。
1.组织支援层承担云平台规划,技术难点攻关,重大问题技术支持任务。组建云安全终端专家团队,根据推广应用和运维工作的深入,不断扩充专家团队,吸纳公司系统内网络、终端运维、信息安全等方面专家加入。
2.资源中心管理层承担资源中心设备运行维护职责。
3.平台管理层承担云管理平台操作,资源实时分配和调整。采用池化原则建立平台管理层。云管理平台(软件)中心部署在电力企业数据中心,通过广域网延伸至各办公场所。
4.系统监控(客服)层承担业务、资源实时监控,受理终端用户故障报修。
5.现场操作层承担物理资源维护。采用分级模式构建,市级现场操作层由各地市信通分公司(或直属单位信息通信运维部门)承担,受理市级系统监测(客服)层工单,负责各单位本部网络、瘦客户机等物理资源维护;县级现场操作层由各县公司信息专(兼)职人员承担,受理市级系统监测(客服)层工单,负责各县公司网络、瘦客户机等物理资源维护。
五、结语
云安全终端是进年来发展起来的一些新技术在桌面终端的应用,与传统终端相比,具有用户体验好,保密安全性更强的特点,同时因其具备快速的恢复软硬件故障的能力也可极大的提高运维人员的效率。在今后的工作及应用中还需要不断进行研究与探索,充分利用云终端技术的特点与功能,进一步提升桌面终端的安全管理技术水平,确保电力企业的桌面终端使用安全、信息安全。
参考文献
[1]钟志琛,邹海彬.云终端提升电力企业桌面终端安全技术探讨[J].电力信息与通信技术,2013,09:106-109.
[2]吴石松,刘晔.电力企业桌面终端安全管理应用研究[J].现代计算机(专业版),2013,36:65-70.
云安全规范范文第4篇
【关键词】 政务云 云安全 IaaS服务
信息化建设是我国现阶段发展的主要内容和方向,但同时也就面临着信息安全的众多问题。根据国家互联网应急中心的报告,15年接收境内外报告的网络安全事件同比增长125.9%,主要遭受攻击的对象就包括政府。因此在电子政务云建设时信息安全方面的内容必须作为重点进行考虑。
一、电子政务云安全问题分析
云计算服务采购方式作为电子政务基础设施建设的主要方式,而IaaS服务模式是目前常用的政务云服务提供模式。
政务云面临的安全风险呈现出3个主要特点。需要管控的角色更多:除一般的系统建设者和访问用户外,还有服务提供商、政府内部政务云的统一管理人员等。需要解决的管控问题更多:虚拟化安全的问题、对资源管控能力减弱的问题、过渡依赖和锁定的问题等。影响更深远:政务云上的信息出现安全问题时存在影响面更广、更敏感、政府公信力受损等问题。
二、建设方案探讨
按照我国政府对信息安全的要求,境内的计算机信息系统实行安全等级保护制度。除此外国家还下发党政部门云计算服务网络安全管理的相关要求,明确了安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境、要参照信息安全国家标准等的要求。
2.1安全防范需求分析
整体要求:满足等保要求外,还需满足党政内部的信息管理要求。
监管要求:对云服务提供商各方面的管理和监督较一般企业用户强、要求更高。
数据要求:对数据的安全性、机密性、完整性的要求更高,对残余数据的处置也更谨慎,对服务商数据管理的流程和制度提出更高要求。
物理要求:υ浦行牡慕ㄉ栉恢煤透衾攵纫求更敏感。
分工要求:对于服务合同中的责任义务要求更明晰,对云服务商内部的各项管理、监测、检查、配合度等有更高的要求。
2.2设计思路及方案探讨
从其本质上看,政务云仍是一类信息系统,其防护体系应当是以等级保护为指导思想,并考虑虚拟化等新的技术和运营方式所带来的安全问题,从技术和管理两个层面全方位保护信息安全,将安全理念贯穿政务云建设、整改、测评、运维全过程。
设计方案时建议可从以下几个内容考虑:
等保等级划分:按照等保定级要素和一般流程进行分析定级,并参考云计算服务安全指南确定是一般保护或增强保护。
责任范围划分:云服务商和政府客户间基于IaaS的服务,以虚拟化计算资源层为界线,以上由政府客户负责,以下由云服务商负责,虚拟化计算资源层安全措施由双方分担。
物理安全:根据等保要求,对机房位置、环境、管理等进行规范。
网络安全:这里主要讨论区域的划分,边界部分则按要求部署FW、IPS/IDS等设备。功能区划分:政务云一般设计时按业务承载类型划分为互联网区和电子政务外网区,之间有安全设备进行区间信息的交换管控,确保互联网用户不能直接访问公用网络区的系统。安全域划分:各个区内根据需求划分安全域,各域之间根据业务需求进行隔离。一般可划分为:完成对外安全控制的安全边界区;完成业务部署的业务区;完成运维管理系统部署的运维管理区;完成安全管控设备部署的安全管理区。
主机安全:除部署传统的漏扫、配置核查、安全审计等主机安全系统外,还需要考虑传统安全设备对物理主机内部虚拟化主机的管控缺失问题。目前业界一般以两种模式解决:集中部署虚机安全设备或在虚机内部署安全软件。前一种方式主要是流量迂回问题,后一种方式主要是服务器资源占用问题,后一种方式一般采用较多。
应用安全:云服务商通过网管系统和安全系统对应用进行资源监测,但应用的主要安全由云服务使用者完成。应用安全审计则各自收集所控制部分的审计数据,云服务商以云资源应用为主,上层应用由云服务使用者完成审计。
数据安全:主要包括数据隔离与访问控制、剩余数据删除、数据加密和数据备份。政务云比较特殊的是剩余数据问题,各子系统之间分配各自的物理空间,虚机迁移或释放时,虚拟机内的所有信息应该被清空,确保数据的不泄露。当双方合作终止时,云服务商需在政府方相关管理部门的监督下,进行信息销毁。
结束语:政务云安全的保障是一个较复杂的问题,设计方案时需从政府业务特殊性、云计算技术的特点等进行多视角的分析,进行全局化的设计。
参 考 文 献
[1] GBT 31167-2014,信息安全技术 云计算服务安全指南,中国标准出版社,2015-04-01;
云安全规范范文第5篇
盗号者大规模地利用被泄密用户信息,获取并激活新用户展开网络营销,甚至网络垂钓,一时人人自危。由于许多网民的邮箱、社区、微博、支付宝、信用卡、网银等都是使用相同的用户名和密码,网络安全的风险极大,而一旦银行卡信息泄露,更会威胁到个人资金和国家金融的安全,影响将更大。这场号称中国互联网史上最大信息泄露事件引起了国家的高度重视,银行辟谣用户数据泄露,国家工信部也通知,强烈谴责窃取和泄露用户信息行为,并要求各互联网站开展全面自查,避免泄露事件进一步扩散。
网络安全不可小觑
由于近些年我国互联网发展速度非常之快,进而引发各种网络安全事件不可小觑。上海众人网络安全技术有限公司(以下简称众人科技网络)董事长谈剑峰表示,目前国内网络安全存在的问题主要为黑客攻击,其手法较多,例如钓鱼网站。
在金融行业,黑客可以通过钓鱼网站盗取电子银行信息,并通过登录获取用户交易信息进而窃取资金;在网络游戏行业也存在很大的网络安全隐患,许多游戏玩家的账户里拥有许多有价值存在的虚拟物品,黑客通过盗取用户账号及密码,可以把这些虚拟物品转到自己账户名下,或通过各种方式卖掉,这对于网络游戏玩家而言是巨大的损失;在电子商务行业,由于其发展速度飞快,随之也爆发出许多安全隐患。如目前正在迅速起步的移动支付,商家更多的重心往往落在产品的应用,而对网络的安全问题较为忽视,再加之我国的黑客数量比国外多,所以国内面临的安全问题更为普遍,也更为棘手与重要。
在信息安全里,身份验证是最前端的一道门,用户首先需要通过用户名和密码来验证身份才能登陆网站,所以第一道门非常重要。2011年国内这一重大网络安全事件反映出,国内互联网行业使用传统的静态密码登陆已非常普遍,用此种方式登陆存在很大安全隐患,网站的用户信息通常是存在网站后台,一旦网站后台服务器被盗,则网站所有用户信息都有可能被黑客所截取。而通常网民的习惯是许多网站都使用同一个用户名及密码,这就使同时盗取多个网站相关信息和密码的机率大大增加。因此,保障网络安全必须锁好身份验证这第一道门,以及时把安全隐患解决。
小领域保障大舞台
近些年,我国网民数量激增,国内信息安全领域也在不断地产生新的技术和新的产品,谈剑峰表示,众人科技网络推出动态密码的身份认证,是国外已经应用很多年的先进技术,其技术特点是与时间同步,如果在同步的时间内基础算法一致,算出来的密码和同一时间服务器算出的密码比对,通过即可认证,如果不能通过则说明密码错误或令牌有问题。与目前国内普遍使用的USB KEY相比,其技术最大的特点是完全不需要与电脑接触,且在网上银行、电话银行、ATM机、POS机、平板电脑、手机都可适用,应用较为广泛。
在银行领域,已经逐渐从过去的柜面银行发展成为现在的电子银行,电子银行对于缓解柜面压力非常重要,也是未来银行发展重中之重;在证券交易方面,从传统的电脑交易延伸至电话交易和手机交易,由于不需要和电脑接触,证券行业也是最为符合动态密码身份认证的领域;同时电信运营商为许多企业规划其内部办公及内部系统管理,其中许多财务系统和采购系统等对于企业都是非常重要的信息,因此身份认证和信息的保护必不可少。
在网络游戏领域,目前一些游戏厂商已经开始使用动态密码身份认证,以更好的保护网络游戏用户的安全。
在电子商务领域,其用户的登录和交易等都需要身份认证来确保账户安全。
近些年,国家和企业也开始重视信息安全问题,市场从不被了解到逐渐获得认可,在国家密码管理局以及行业内企业的推动下,行业内国家相关标准即将出台,这对于信息安全领域的规范化和长足发展提供了更为广阔的舞台。
“腾云驾雾”迎未来
在未来发展上,众人科技网络紧密契合国家信息化建设的方向,同时推出云计算领域的服务。云计算经过多年的发展,从最初的“云里雾里”、“不知所云”,到现在各地兴建云计算中心,企业纷纷推出云服务、商家推出云产品,云端时代对于网络信息安全企业来说是发展的契机。目前众人科技网络推出针对云的身份管理及身份服务和云相关授权管理和授权服务,以及相应的云安全检测系统。谈剑峰表示,从私有云到公有云是一个发展的过程,社会对于云的安全性接受度有一个过程,如果公有云安全性得到保障,用户便会把信息逐步放到公有云上。目前,云系统里已经在应用的有通信行业,根据其行业特征制定相应基于云安全的管理架构,以及针对性的二次开发。
云安全涉及很多方面,云安全管理系统本身可以架构在laaS上,同时又可以为SaaS的一些云服务提供相应的云安全和云身份服务。虽然云计算在发展中会遇到很多困难,但大家对于公有云的接受也只是时间问题。
云安全规范范文第6篇
关键词:网络技术 电子商务 安全技术 风险 应用 分析
1 概述
随着社会步入信息时代,电子商务在各个领域也迅速发展起来,其在工作、学习和生活上带给我们的方便也越来越多,尤其是在计算机普及的今天,在任何地方任何场合都可以看见,但是在给我们带来便捷感的同时,我们还需要关注一个问题,那就是计算机安全问题。目前,电子商务环境也出现了一些安全隐患,比如:窃取信息、篡改信息、恶意破坏等。使人们在网上交易的时候会产生一定的疑虑。因此,为了避免阻碍电子商务的发展就需要注意安全问题,因为网上交易双方并不见面,所以电子商务对交易是否安全就起到十分重要的作用。电子商务要是交易不安全,就会导致其发展缓慢。因此电子商务的首要因素就是保证交易安全,而电子商务是否安全需要从两大部分分析,即计算机网络安全和商务贸易安全。计算机网络安全包括三点解决计算机网络本身存在的安全问题的计算机网络设备完全、计算机网络系统安全和数据库安全方案,都是以保证计算机网络自身的安全性为主要目标的。而商务安全主要解决传统商务网络安全的基础性问题,就Internet产生的安全问题来进行分析的。为了保障电子商务的顺利进行,就需要实现电子商务安全保密措施。
2 电子商务交易中应用的网络安全技术
电子商务很多涉及到重要机密的活动信息都是通过网络进行传播的,因此在交易过程中,就必须要保证电子商务的安全。目前,我国采取的主要形式就是以电子数据进行存储,因此我们要保证电子数据的加密技术、认证技术以及安全认证协议的权威性。
2.1 防火墙技术 为了保障计算机网络的安全,就需要在网络里建立安全的网络通信监控系统――防火墙。它既是一种控制技术也可以成为软件产品,既能制作产品也能嵌入某些硬件产品中。所以所有来自Internet的传输信息不论是接收还是传输都必须经过防火墙,以保证信息安全。我们在进行防火墙使用的时候主要就是要查看防火墙自身是否感染病毒,因为我们在发送文件时候,都是通过防火墙来传输,因此就需要在每台主机上装上反病毒的监控软件。虽然防火墙不能够防止数据驱动式的攻击,但也能都提前对来历不明的数据进行杀毒或者程序编码辩证,起到预防一些表面看似无害的数据驱动式病毒的攻击。
2.2 加密技术 加密技术主要利用的就是加密算法原理,该原理主要是信息安全防范措施,能够防止一些非法用户对最初的数据的理解,从而能够保证数据的安全性。
2.3 认证技术 我们所说的认证技术就是对信息进行认证。主要从以下安全认证技术和安全认证机构两个方面进行认证。安全认证技术主要包括数字摘要、数字信封、数字签名、数字时间戳、数字证书等;而电子商务认证中心主要是核实用户的身份等,还一定程度上承担网上安全交易的认证服务,并签发数字证书的机构。
2.4 协议安全认证 目前电子商务的安全套接层SSL协议和安全电子交易SET协议两种安全认证协议被广大用户认可并广泛应用。两者相辅相成,但是服务的对象又不相同,SSL协议以银行对企业或者企业对企业的电子商务为主要服务对象;SET主要服务应用层,是用来保证互联网上支付卡交易活动的安全性,主要还是以持卡消费和网上购物的电子商务为主。
3 电子商务中云技术应用对信息安全的影响
随着云安全技术在计算机应用上的发展,很多关于云安全技术对信息安全的话题成为大家讨论的热点。所以从2007年开始,在全球普遍遭遇恶意软件攻击的压力下,传统的安全防御技术难以预防的时候 ,“云安全”技术逐渐代替传统防御技术,得到发展。
云安全技术主要有两个重要的特点,即是拥有强大的分布式运算能力和客户端安全配置精简化系统,这也是提高自身发展趋势的主要优势。该技术能够大大提高企业用户的信息安全性能,从而降级客户端的维护量。而且云技术在一定程度上高于传统防御威胁的评估能力,因此安全级别无疑不受客户认可。但是,云安全技术对电子商务安全产生也存在一定的影响,主要是:首先,就是“云安全”技术就技术而言,具有高安全防护能力,这也是无法改变的事实,因此安全级别具有显著优势。其次,就是在实际应用过程中,“云安全”技术有着非常强大的防护木马、恶意程序攻击的能力,能够降低企业管理和维护成本等消耗费用等。
随着计算机的迅速发展,用户的需求也会细化,因此云安全技术也要更加完善才能满足用户应用的需求。随着网络威胁的不断升级,云安全技术也要随之不断发展,才能最终达到所有用户的安全防护需求。
因此,虽然云计算既是连接互联网上一些强大的包括存储资源、计算资源、软件资源、数据资源、管理资源等信息资源,通过自身的服务方式为广大用户所用。但是由于不对用户进行集中控制,只按需付费导致用户感觉不到关心,一定程度上会阻碍自身的发展。因此对电子商务的发展也会产生深刻的影响。
4 企业网络安全检测体系
网络入侵检测方式分为基于硬件和基于软件两种,不过在任务流程上二者是完全相反的。它们将网络接口的形式设置为混杂形式,方便对全部网段的数据实施全面监控,再做出剖析,从而将无害的攻击数据包辨别出来,做出记录,以便大家翻阅。
4.1 入侵检测的体系构造 网络入侵检测的体系构造通常由三局部组成,辨别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包停止监视,找出攻击信息并把相关的数据发送至管理器;Console的次要作用是担任搜集处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的次要作用则是呼应配置攻击正告信息,控制台所的命令也由Manager来执行,再把所收回的攻击正告发送至控制台。
4.2 入侵检测的任务形式 基于网络的入侵检测,要在每个网段中部署多个入侵检测,依照网络构造的不同,其的衔接方式也各不相反。假如网段的衔接方式为总线式的集线器,则把与集线器中的某个端口相衔接即可;假如为替换式以太网替换机,由于替换机无法共享媒价,因而只采用一个对整个子网停止监听的方法是无法完成的。因而可以应用替换机中心芯片中用于调试的端口中,将入侵检测零碎与该端口相衔接。或许把它放在数据流的关键出入口,于是就可以获取简直全部的关键数据。
4.3 攻击呼应及晋级攻击特征库、自定义攻击特征 假如入侵检测零碎检测出歹意攻击信息,其呼应方式有多种,例如发送电子邮件、记载日志、告诉管理员、查杀进程、切断会话、告诉管理员、启动触发器开端执行预设命令、取消用户的账号以及创立一个报告等等。晋级攻击特征库可以把攻击特征库文件经过手动或许自动的方式由相关的站点中下载上去,再应用控制台将其实时添加至攻击特征库中。而网络管理员可以依照单位的资源情况及其使用情况,以入侵检测零碎特征库为根底来自定义攻击特征,从而对单位的特定资源与使用停止维护。
5 结束语
电子商务能够安全运行,除了从技术角度防范是远远不够的,还需要改善电子商务立法,这样才能规范发展中的电子商务,解决现实中存在的各种问题,从而引导电子商务健康应用,促使我国电子商务能够快速发展。
参考文献:
[1]肖满梅,罗兰娥.电子商务及其安全技术问题[J].湖南科技学院学报,2006,27.
[2]丰洪才,管华,陈珂.电子商务的关键技术及其安全性分析[J].武汉工业学院学报,2004,2.
[3]阎慧,王伟,宁宇鹏等编著.防火墙原理与技术[M].北京:机械工业出版杜,2004.
[4]韩晓鸿,张艳丽,魏红君.探讨电子商务信息系统安全与Bent函数[J].商场现代化,2007(19).
[5]蒋洪霞.对电子商务基本理论的探讨[J].商场现代化,2009(04).
[6]王璐璐.关于电子商务实践教学的探讨[J].科技资讯,2010(31).
[7]陈萱.电子商务的交易成本分析[J].科技资讯,2007(36).
云安全规范范文第7篇
作为一种通过互联网提供免费或成本低廉的信息服务模式,公有云从一开始就引发各方争论。关于它的每个技术细节、业务运作及市场前景,各方立场的不同,导致各自对它的评判也是“公说公有理,婆说婆有理”,但核心问题,还是围绕着“价格”和“安全”来展开。
公有云:价格or安全,谁是第一位?
对于一项新兴技术来说,落地始终是实现价值的唯一途径,公有云也不例外。在市场推进的过程中,随着竞争角色的增多,多方之间的博弈也走向深入。在公有云这个领域,愈演愈烈的价格战,其实只是市场竞争的表象。这背后隐藏的业务问题和市场心态,才是应该关注的重点。
在中国,公有云服务商之间的价格战正打的如火如荼,亚马逊、谷歌、IBM、阿里等这些云服务巨头的服务正在变得比此前更加活跃,但商家们似乎普遍都没有抓住最核心的问题。
对于一种产品或服务,价格只是代表了用户成本的降低,并没有触及用户需求的核心诉求。而安全相较于价格,则更为根本。安全代表了产品内含的未来风险,是公有云服务商进入市场的最大前提。有观点认为,公有云的价格与安全之间两者之间存在相关性,低价往往导致低质,低质必然引发故障频发,故障频发最终会导致安全无着,成为公有云发展的最大问题。
对于公有云的客户和用户来说,数据的安全性始终是其心中最重要的衡量标准。以往只存储在自己电脑里、看得见摸得着的东西,现在通过公有的方式,在云端实现操作,谁都会考虑是否安全这个问题。在没有云的时代,PC的数据安全问题导致的隐私外泄、财产损失事件已经屡见不鲜,各种“门”事件让你我心中留下了伤痕,成为抹不去的刻板记忆。
在公有云服务出现后,市场接受度并不高、行业长远发展也遇到阻碍,企业客户或者终端用户们最担心的是,云服务商不断地、“无节操”地降低价格,是否同时也保障了安全风控?如果没有,这会否埋下一个“定时炸弹”?可见,即便在技术进化到云计算时代,安全问题依旧没有得到完全的、通行的、标准化的解决,“安全”已成为公有云至今未得到市场普遍认可的首要阻碍。
公有云安全:是不是问题?
谈到公有云的安全,支持的一方往往出于为产品宣传做铺垫,从技术实力对比出发,得出公有云其实更安全的结论,这其中的代表包括提供公有云服务的企业、力推公有云发展的行业部门等。
他们普遍表示,公有云往往由具备技术实力的大企业提供服务,他们提供了可靠、安全的数据中心,个人在安全方面的技术水平无法与其相比,就如同你将钱存在银行其实比放在自己口袋里更安全一样,让更专业的人来帮你实现数据存储或处理,将会具有更高安全系数。谷歌公有云项目GAE方面负责人Eran Feigenbaum就曾经表示,“公有云现在已经足够安全让企业可以用它来保存数据,而不会感到他们承担了某些风险。”
对此,反对的一方并不认同。他们出于对使用方式的担忧,以业务情景出发,得出公有云的安全性还有待加强的结论,这方面的代表主要有个人终端用户、使用公有云服务的企业、部分行业专家等。
反对方的观点是,公有云目前仍然没有通行标准,各行其是的情况普遍存在,很多安全漏洞没有引起行业层面的重视,数据盗用风险仍较大,用户或企业不可能将大量数据放到公有云当中。
比较以上两种主流观点,可以发现,公有云在整个市场层面的接受度仍然有待商榷。这一情况产生的原因主要还是聚焦在安全上,要搬开这个拦路石,需要对公有云安全问题进行清晰梳理。
公有云安全的五个问题
公有云的安全问题,沿袭了互联网安全的基因,又带有业务层面的个性特征。目前,主要集中在以下五个方面:
――数据问题 通常情况下,数据价值越大、敏感性越强、开放程度越高,对由于公有云的开放程度较高,企业完全迁移公有云的数据价值大,业务层面的数据敏感性强,所以企业客户对安全性和合规性的需求比较高。
但从现有技术水平来看,目前并没有充分的方式来保证数据的安全,尽管亚马逊、谷歌、微软、华为、阿里等国内外云服务厂商也根据各自的客户需求,进行了一些有针对的探索,但是并未形成统一的数据保护和加密机制。
――防护问题 目前,提供云服务的厂商,往往在安全防护方面的没有直接的管控模块,对于可能发生的攻击,部分采取外包的形式交给第三方来提供基础保障,造成云端的防护功能并不完全可控。安全防护工作,并不是一个“非此即彼”的问题,而是一个利益与质量之间的权衡和度量问题。
――标准问题 在公有云的各种产品中,并没有一个可以互联互通的一个标准化协议,厂商之间也只是与各自的合作伙伴进行内部开发。一旦出现需求变更、数据迁移、突发事件等状况,用户的业务衔接必将出现断层,引发连锁反应。
――透明问题 公有云服务商往往宣称自己的服务如何全面、技术如何先进、流程设计如何科学,但是表面上的言辞并不能解决客户心底的顾虑。由于商业方面的原因,服务商一般会回避自身的短板,如平台迁移、灾备方式、业务连续性等。公有云业务体系的不透明,成为市场进一步发育的障碍。
――规则问题 在用户业务、文档、数据生成的过程中,由于行业目前还没有细化相关责任归属的法律文本,只是以出售固定信息产品的形式来确定权责,基于用户具体业务操作过程中的安全责任问题,没有过多阐述,给服务商提供了规避的机会。鉴于此,有人建议称,云提供商应为客户提供某种证书,以证明他们的云已经满足了安全保存数据的法律和规则要求。
面对以上问题,在中国公有云市场上,提供云服务的企业们,不论是运营商主导的、互联网巨头打造的、部分原IDC运营商改进的,还是跨国公司由国外引入的,都一直未能得出通用的可落的安全性解决方案。为此,公有云企业客户和终端用户、行业研究专家都曾经为解决这些问题表示过呼吁。
值得注意的是,为提升信息技术产品的安全性和可控性。信息安全目前已上升到国家的战略层面,作为互联网的大脑,公有云安全方面的重要性也关乎到国家安全。在这样的大环境下,无论是提升公有云服务安全水平、开展更有保证的落地推广,还是促进行业健康发展方面,都将出现一个难得的跃迁契机。
云安全规范范文第8篇
要不要改变
谈到云计算遇到的最大阻力,许多人会脱口而出:“安全问题。”Alexander Pasik表示:“其实,安全问题只是阻碍云应用快速发展的一个因素,或许最大的阻碍因素是用户不愿意做出改变。那些已在内部IT基础设施和应用上投入了大量人力、物力和财力的企业,往往会忽视经济效益和最终用户的利益,而不愿意改变已有的IT基础设施和策略。”一些企业的IT高管通常会把云方案视为对自己势力范围的一种威胁,而没有意识到云应用将让企业业务变得更加高效。
“如果具有一定规模的企业到现在还没有采用云计算,那么它就在犯一个错误。”Alexander Pasik表示,“企业很快会意识到,现在的关键问题不是该不该采用云计算,而是什么时候开始应用云计算。”
其实,保护企业内部IT系统安全的技术与保护云数据中心安全的技术是一样的。两者惟一的区别是,云计算服务提供商在IT安全方面的投入比企业更多,因为云服务商的业务能否正常运营取决于它能否提供安全的服务。在许多情况下,云计算系统的安全性会优于企业内部系统的安全性。
许多厂商为解决云安全方面的问题,正积极与法律及隐私安全方面的专家进行合作,IEEE也在开展这方面的研究工作。一些厂商已研发出的监管技术及相关解决方案,可以让云计算用户在进行数据迁移之前对迁移行为进行风险评估,从而增强交易的透明度和安全性。
合规是硬性要求
在全球化的商业环境中,企业在采用云服务时,更应该严格遵守各种相关法律和规章制度,这有助于降低业务风险。各国对于数据存储和保护都有严格的规定,比如跨境信息流动的限制、特定行业的限制等。采用云服务的企业应该在事前进行相关的法律咨询,从而找到更科学、合理和安全的解决方案。
“云服务提供商理应以所服务的国家中最保守的安全要求去规范自身的服务行为。在实践中可能会出现一个国家的法律规范与另一个国家的规范完全对立的情况。”Alexander Pasik举例说,“有的国家可能更关注对用户隐私的保护,而有的国家可能主张政府拥有最高的监管权。在这种情况下,云计算服务提供商必须遵循所服务的国家的法律法规。同时,消费者应确信云服务提供商能够充分满足其应用的需求。”
标准不可缺
Alexander Pasik预测,未来八至十年内,世界上大部分的大型企业将在云端开展业务。在这种情况下,企业用户更需要一个统一的云计算标准。
IEEE认为,在云计算领域确立统一的标准是非常必要的。如今,发展迅速的技术领域对于快速确立标准的需求比以往任何时候都要迫切。IEEE发起了两个标准开发项目:IEEE P2301是一个关于云的可移植性和互操作性的设计指南草案,而IEEE P2302是一个关于云间互操作性与联合标准的草案(SIIF)。这两个草案都是关于云间互操作性的标准。IEEE正计划开展更多关于云计算标准的项目,比如制定有关计量单位的标准。