云安全解决方案白皮书
云安全解决方案白皮书Cloud Security Solution
目录
—云计算典型体系结构1
云计算系统分类
云计算系统典型物理架构云计算系统逻辑结构1 1 2
二云计算安全威胁和需求分析3
安全威胁分析安全需求和挑战4 5
三云安全防护总体架构设计5
设计思路
安全保障目标
安全保障体系框架
安全保障体系总体技术实现架构设计5 6 6 7
四云平台安全域划分和防护设计8
安全域划分安全防护设计
9 13
五云计算安全防护方案的演进24
虚拟化环境中的安全防护措施部署软件定义安全体系架构
安全运营24 24 28
六云安全技术服务28
私有云安全评估和加固
私有云平台安全设计咨询服务28 29
七云安全解决方案33
作者和贡献者
关注云安全解决方案33 34
八关于科技34图表
图一.1 云典型架构 (2)
图一.2 云典型逻辑结构 (3)
图三.3 云平台安全保障体系框架 (6)
图三.4 云平台安全技术实现架构 (7)
图三.5 具有安全防护机制的云平台体系架构 (8)
图四.6 云平台安全域逻辑划分 (9)
图四.7 安全域划分示例 (11)
图四.8 传统安全措施的部署 (13)
图四.9 虚拟化防火墙部署 (14)
图四.10 异常流量监测系统部署 (16)
图四.11 网络入侵检测系统部署图 (17)
图四.12 虚拟化Web 应用防火墙部署 (19)
图四.13 堡垒机应用场景 (21)
图四.14 堡垒机部署图 (22)
图四.15 安全管理子区 (22)
图五.16 SDN 典型架构 (25)
图五.17 软件定义安全防护体系架构 (25)
图五.18 使用SDN 技术的安全设备部署图 (26)
图五.19 使用SDN 技术实现流量牵引的原理图 (27)
图五.20 基于手工配置的IPS 防护模式 (28)
图六.21 服务提供者与客户之间的安全控制职责范围划分. 30图六.22 云计算关键领域安全 (31)
图六.23 安全咨询服务思路 (32)
关键信息
本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。
“
随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接收,许多组织已经或即将进行云计算系统建设。同时,以信息/服务为中心的模式深入人心,大量
的应用正如雨后春笋般出现,组织也开始将传统的应用向云中迁移。同时,云计算技术
仍处于不断发展和演进,系统更加开放和易用,功能更加强大和丰富,接口更加规范和
开放。例如软件定义网络(简称 SDN)技术、NFV(网络功能虚拟化)等新技术。这必
将推动云计算技术的更加普及和完善。
云计算技术给传统的 IT 基础设施、应用、数据以及 IT 运营管理都带来了革命性改
变,对于安全管理来说,既是挑战,也是机遇。首先,作为新技术,云计算引入了新的
威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理
体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评
估和审计、安全监测和安全运维等方面;其次,云计算的资源弹性、按需调配、高可靠性及
资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用
设计和实现、安全运维和管理等带来了问题和挑战,也推进了安全服务内容、实现机
制和交付方式的创新和发展。
根据调研数据,信息安全风险是客户采用云计算所考虑重大问题之一,且国家和行
业安全监管愈加严格,安全已经成为组织规划、设计、建设和使用云计算系统而急需解
决的重大问题之一,尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云
计算系统安全保障问题。
一云计算典型体系结构
云计算主要是通过网络,将 IT 以抽象化的方式交付给客户,为基于 IT 的服务交付模式带来了巨大变革。云计算的一些独特
优势,使其广为接受,包括:大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和 IT 的高透明度。
云计算平台的实现主要包括两个方式:虚拟化构成的云和应用程序/服务器构成的云,其中后者的安全防护与传统方式基本相同,
不再赘言,这里主要对虚拟化构成的云进行讨论。
目前,计算虚拟化已经成熟,并为组织所广泛采用,如 VMware vSphere、Citrix Xen 等。另外,一些用户开始尝试采用 SDN、NFV 等新型技术,旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分域管理问题。
云计算系统分类
根据NIST 发布的相关规范,云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。为了便于说明,以下内容将主要
以私有云为例进行说明。
云计算系统所采用虚拟化技术的不同,对安全防护设计和部署具有一定影响。根据有无才采用 SDN、NFV 技术,可分为两类:原生
虚拟化系统和基于 SDN 技术的虚拟化系统。如无特别说明,下述描述均指原生虚拟化系统。
云计算系统典型物理架构
下图给出了一个典型的云计算系统的典型架构。
图一.1 云典型架构
云计算系统通常具有以下特征:
?核心交换机一般采用高性能数据中心级交换机搭建,支持虚拟化技术,并提供 Internet、内部网络、外部专用网络的接入。通过汇聚交换机(支持虚拟化)提供x86 服务器、小型机等服务器的接入。
?与互联网相关,可以提供 VPN 接入,外发访问,以及公众用户对云的访问。
?与内部网络相同,可以提供内部用户对云的访问,以及和内部其他系统进行信息交互。
?都有大量的刀片式服务器,并通过虚拟化软件,实现对计算资源的抽象和池化。
?具有 SAN、NAS 存储系统。具有独立的存储网络。
?具有独立的综合管理平台,实现对云的运营管理。
?具有带外网管系统,实现对整个云的运维管理。
云计算系统逻辑结构
云计算系统一般都包括三个层次两个平台:基础设施即服务(IaaS)、平台即服务(PaaS)、云软件即服务(SaaS)、云管理平台和运维管理平台。如下图所示:
图一.2 云典型逻辑结构
简单说明如下:
?基础设施即服务层(IaaS):包括了各种服务器、存储、网络设备、链路等各种物理资源,以及虚拟化管理程序和对外提供服务的接口。可以基于此层对外提供虚拟主机服务;
?平台即服务层(PaaS):包括了各种系统、平台、应用软件,可以提供应用软件的开发、测试、部署和运营环境;
?软件即服务(SaaS):包括各一系列的应用软件,以及提供各客户/用户使用的交互展示程序。可以通过网络向用户交付相应的应用服务;
?云管理平台:负责云计算服务的运营,并对云计算资源池系统及其中的各类资源进行集中管理,主要功能包括云服务开通、用户管理、计价管理等功能。通常云管理平台通过与资源池系统之间的资源管理接口下发资源管理指令,并通过网管接口向云
维管理平台(网管系统)提供资源池系统内各类设备的管理和监控信息;
?运维管理平台:实现对虚拟设备、系统、网络的技术维护和管理工作,包括容量、配置和事件管理等功能。一般通过带外网络与各种资源进行互联
二云计算安全威胁和需求分析
云计算模式通过将数据统一存储在云计算服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据行为更安全。由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。
安全威胁分析
CSA 在 2013 年的报告中列出了九大安全威胁。依排序分别为 1.数据泄露 2.数据丢失 3.帐户劫持 4.不安全的接口(API)5. 拒绝服务攻击(DDoS)6.内部人员的恶意操作 7.云计算服务的滥用 8.云服务规划不合理 9.共享技术的漏洞问题。把云计算环境下的安全威胁细化,并按云计算环境下等级保护的基本要求进行对应,可得到如下的云计算环境下的具体安全威胁:?网络安全部分
?业务高峰时段或遭遇 DDoS 攻击时的大流量导致网络拥堵或网络瘫痪
?重要网段暴露导致来自外部的非法访问和入侵
?单台虚拟机被入侵后对整片虚拟机进行的渗透攻击,并导致病毒等恶意行为在网络内传播蔓延
?虚拟机之间进行的 ARP 攻击、嗅探
?云内网络带宽的非法抢占
?重要的网段、服务器被非法访问、端口扫描、入侵攻击
?云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源
?虚拟化网络环境中流量的审计和监控
?内部用户或内部网络的非法外联行为的检查和阻断
?内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为
?主机安全部分:
?服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问的行为
?对服务器、宿主机、虚拟机等进行操作管理时被窃听
?同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露
?对服务器的 Web 应用入侵、上传木马、上传 webshell 等攻击行为
?服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵
?虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足?资源抽象安全部分
?虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用
?虚拟资源不足导致非重要业务正常运作但重要业务受损
?缺乏身份鉴别导致的非法登录 hypervisor 后进入虚拟机
?通过虚拟机漏洞逃逸到 hypervisor,获得物理主机的控制权限
?攻破虚拟系统后进行任易破坏行为、网络行为、对其它账户的猜解,和长期潜伏
?通过 hypervisor 漏洞访问其它虚拟机
?虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取
?虚拟机和备份信息在迁移或删除后被窃取
?hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵
?虚拟机可能因运行环境异常或硬件设备异常等原因出错而影响其他虚拟机
?无虚拟机快照导致系统出现问题后无法及时恢复
?虚拟机镜像遭到恶意攻击者篡改或非法读取
?数据安全及备份恢复
?数据在传输过程中受到破坏而无法恢复
?在虚拟环境传输的文件或者数据被监听
?云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据
?因各种原因或故障导致的数据不可用
?敏感数据存储漂移导致的不可控
?数据安全隔离不严格导致恶意用户可以访问其他用户数据
为了保障云平台的安全,必须有有效的抵御或消减这些威胁,或者采取补偿性的措施降低这些威胁造成的潜在损失。当然,从安全保障的角度讲,还需要兼顾其他方面的安全需求。
安全需求和挑战
从风险管理的角度讲,主要就是管理资产、威胁、脆弱性和防护措施及其相关关系,最终保障云计算平台的持续安全,以及其
所支撑的业务的安全。
云计算平台是在传统IT技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点。因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险,从保障系统整体安全出发,其面临的主要挑战和需求如下:
?法律和合规
?动态、虚拟化网络边界安全
?虚拟化安全
?流量可视化
?数据保密和防泄露
?安全运维和管理
针对云计算所面临的安全威胁及来自各方面的安全需求,需要对科学设计云计算平台的安全防护架构,选择安全措施,并进行持续管理,满足云计算平台的全生命周期的安全。
三云安全防护总体架构设计
云安全防护设计应充分考虑云计算的特点和要求,基于对安全威胁的分析,明确来各方面的安全需求,充分利用现有的、成熟的安全控制措施,结合云计算的特点和最新技术进行综合考虑和设计,以满足风险管理要求、合规性的要求,保障和促进云计算业务的发展和运行。
设计思路
在进行方案设计时,将遵循以下思路:
?保障云平台及其配套设施
?云计算除了提供 IaaS、PaaS、SaaS 服务的基础平台外,还有配套的云管理平台、运维管理平台等。要保障云的安全,必须从整体出发,保障云承载的各种业务、服务的安全。
?基于安全域的纵深防护体系设计
?对于云计算系统,仍可以根据威胁、安全需求和策略的不同,划分为不同的安全域,并基于安全域设计相应的边界防护策略、内部防护策略,部署相应的防护措施,从而构造起纵深的防护体系。当然,在云平台中,安全域的
边界可能是动态变化的,但通过相应的技术手段,可以做到动态边界的安全策略跟随,持续有效的保证系统的安全。
?以安全服务为导向,并符合云计算的特点
?云计算的特点是按需分配、资源弹性、自动化、重复模式,并以服务为中心的。因此,对于安全控制措施选择、部署、使用来讲必须满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保障要
求。
?充分利用现有安全控制措施及最新技术
?在云计算环境中,还存在的传统的网络、主机等,同时,虚拟化主机中也有相应的操作系统、应用和数据,传统的安全控制措施仍旧可以部署、应用和配置,充分发挥防护作用。另外,部分安全控制措施已经具有了虚拟化版本,
也可以部署在虚拟化平台上,进行虚拟化平台中的东西向流量进行检测、防护。
?充分利用云计算等最新技术
?信息安全措施/服务要保持安全资源弹性、按需分配的特点,也必须运用云计算的最新技术,如 SDN、NFV 等,从而实现按需、简洁的安全防护方案。
?安全运营
?随着云平台的运营,会出现大量虚拟化安全实例的增加和消失,需要对相关的网络流量进行调度和监测,对风险进行快速的监测、发现、分析及相应管理,并不断完善安全防护措施,提升安全防护能力。
安全保障目标
通过人员、技术和流程要素,构建安全监测、识别、防护、审计和响应的综合能力,有效抵御相关威胁,将云平台的风险降低
到企业可接受的程度,并满足法律、监管和合规性要求,保障云计算资源/服务的安全。
安全保障体系框架
云平台的安全保障可以分为管理和技术两个层面。首先,在技术方面,需要按照分层、纵深防御的思想,基于安全域的划分,从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护;其次,在管理方面,应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。云平台的安全保障体系框架如下图所示:
图三.3 云平台安全保障体系框架
简单说明如下:
?物理环境安全:在物理层面,通过门禁系统、视频监控、环境监控、物理访问控制等措施实现云运行的物理环境、环境设施等层面的安全;
?虚拟化安全:在虚拟化层面,通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施实现虚拟化层的安全;
?网络安全:在网络层,基于完全域划分,通过防火墙、IPS、VLAN ACL 手段进行边界隔离和访问控制,通过 VPN 技术保障网络通信完全和用户的认证接入,在网络的重要区域部署入侵监测系统(IDS)以实现对网络攻击的实时监测和告警,部署流量监测和清洗设备以抵御 DDoS 攻击,部署恶意代码监测和防护系统以实现对恶意代码的防范。需要说明的是这里的网络包括了实体网络和虚拟网络,通过整体防御保障网络通信的安全;
?主机安全:通过对服务主机/设备进行安全配置和加固,部属主机防火墙、主机 IDS,以及恶意代码的防护、访问控制等技术手段对虚拟主机进行保护,确保主机能够持续的提供稳定的服务;
?应用安全:通过 PKI 基础设施对用户身份进行标识和鉴别,部署严格的访问控制策略,关键操作的多重授权等措施保证应用层安全,同时采用电子邮件防护、Web 应用防火墙、Web 网页防篡改、网站安全监控等应用安全防护措施保证特定应用的安全;
?数据保护:从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护,以及离线、备份数据的安全;
?安全管理:根据 ISO27001、COBIT、ITIL 等标准及相关要求,制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面安全管理制度、规范和流程,并配置相应的安全管理组织和人员,并建议相应的技术支撑平台,保证系统得到有效的管理
上述安全保障内容和目标的实现,需要基于 PKI、身份管理等安全基础支撑设施,综合利用安全成熟的安全控制措施,并构建良好的安全实现机制,保障系统的良好运转,以提供满足各层面需求的安全能力。
由于云计算具有资源弹性、按需分配、自动化管理等特点,为了保障其安全性,就要求安全防护措施/能力也具有同样的特点,满足云计算安全防护的要求,这就需要进行良好的安全框架设计。
安全保障体系总体技术实现架构设计
云计算平台的安全保障技术体系不同于传统系统,它也必须实现和提供资源弹性、按需分配、全程自动化的能力,不仅仅为云平台提供安全服务,还必须为租户提供安全服务,因此需要在传统的安全技术架构基础上,实现安全资源的抽象化、池化,提供弹性、按需和自动化部署能力。
总体技术实现架构
充分考虑云计算的特点和优势,以及最新的安全防护技术发展情况,为了达成提供资源弹性、按需分配的安全能力,云平台的安全技术实现架构设计如下:
图三.4 云平台安全技术实现架构
客户程序软件 界面 框架
应用支 撑组件 件的应用
通用平 台组件
(IaaS)
基础设施即服 务
… …
Web 应用防火墙
物理资源
虚拟化和平台
… … 入侵监测/防护 接口 操作系统 异常流量监
测和清洗
安全态势监测平台 日志
服务
目录服务 中间件平台
数据库
平台
…
…
恶意代码分析 安全评估平台 搜索服务
请求服务
数据交换 应用授权 的应用
(PaaS) 平 台 即服务 流量清洗
… … 访问 控制 安全 评估 云管理平台 安全运 营平台
(SaaS) 软 件
即服务 防火墙
……
安全策略管理
抗 DDoS 计费管理 安全事务管理 资源管理 安全资源管理 用户管理 云服务开通 安全
平台管理 云服务 目录管理 安全服 务管理
展示平台 表现形态 服务和
数据
运维管理平台 说明: ? 安全资源池:可以由传统的物理安全防护组件、虚拟化安全防护组件组成,提供基础的安全防护能力;
? 安全平台:提供对基础安全防护组件的注册、调度和安全策略管理。可以设立一个综合的安全管理平台,或者分立的安 全管理平台,如安全评估平台、异常流量检测平台等;
?
安全服务:提供给云平台租户使用的各种安全服务,提供安全策略配置、状态监测、统计分析和报表等功能,是租户管 理其安全服务的门户
通过此技术实现架构,可以实现安全服务/能力的按需分配和弹性调度。当然,在进行安全防护措施具体部署时,仍可以采用 传统的安全域划分方法,明确安全措施的部署位置、安全策略和要求,做到有效的安全管控。对于安全域的划分方法详见第五章。
对于具体的安全控制措施来讲,通常具有硬件盒子和虚拟化软件两种形式,可以根据云平台的实际情况进行部署方案选择。
与云平台体系架构的无缝集成
云平台的安全防护措施可以与云平台体系架构有机的集成在一起,对云平台及云租户提供按需的安全能力。
图 三.5 具有安全防护机制的云平台体系架
构
工程实现
云平台的安全保障体系最终落实和实现应借鉴工程化方法,严格落实“三同步”原则,在系统规划、设计、实现、测试等阶 段把落实相应的安全控制,实现安全控制措施与云计算平台的无缝集成,同时做好运营期的安全管理,保障虚拟主机/应用/服务 实例创建的同时,同步部署相应的安全控制措施,并配置相应的安全策略。
四 云平台安全域划分和防护设计
安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域,在同一安全域中的系统共享相同的安全策略, 通过安全域的划分把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全保护的
故障管理 性能管理 容量管理 配置管理 事件管理 指挥调度 综合监控
财务 应用
交易 应用 邮件 应用 ……
云内网络 存储
服务
器
云间
网络
有效方法。安全域划分是按照安全域的思想,以保障云计算业务安全为出发点和立足点,把网络系统划分为不同安全区域,并进行纵深防护。
对于云计算平台的安全防护,需要根据云平台安全防护技术实现架构,选择和部署合理的安全防护措施,并配置恰当的策略,从而实现多层、纵深防御,才能有效的保证云平台资源及服务的安全。
安全域划分
安全域划分的原则
?业务保障原则:安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率;
?结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难;
?等级保护原则:安全域划分和边界整合遵循业务系统等级防护要求,使具有相同等级保护要求的数据业务系统共享防护手段;
?生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑云平台扩容及因业务运营而带来的变化,以及开发、测试及后期运维管理要求
安全域的逻辑划分
按照纵深防护、分等级保护的理念,基于云平台的系统结构,其安全域的逻辑划分如下图所示:
图四.6 云平台安全域逻辑划分
按照防护的层次,从外向内可分为外部接口层、核心交换层、计算服务层、资源层。根据安全要求和策略的不同,每一层再分为不同的区域。对于不同的区域,可以根据实际情况再细分为不同的区域。例如,根据安全等级保护的要求,对于生产区可以在细分为一级保护生产区、二级保护生产区、三级保护生产区、四级保护生产区,或者根据管理主体的不同,也可细分为集团业务生产区、分支业务生产区。
对于实际的云计算系统,在进行安全域划分时,需要根据系统的架构、承载的业务和数据流、安全需求等情况,按照层次化、纵深防御的安全域划分思想,进行科学、严谨的划分,不可死搬硬套,下面给出一个安全域划分的示例,可参考。
安全域的划分示例
根据某数据中心的实际情况及安全等级防护要求,安全域划分如下图所示:
图四.7 安全域划分示
例
说明如下:
?互联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责实现与 163、169、CMNET 等互联网的互联;
?内联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责实现与组织内部网络的互连;
?广域网接入区:主要包括接入交换机、路由器、网络安全设备等,负责与本组织集团或其他分支网络的接入;
?外联网接入区:主要包括接入交换机、路由器、网络安全设备等,负责本组织第三方合作伙伴网络的接入,如银行、合作网络等;
?核心交换区:由支持虚拟交换的高性能交换机组成。负责整个云计算系统内部之间、内部与外部之间的通信交换;
?生产区:主要包括一系列提供正常业务服务的虚拟主机、平台及应用软件,使提供 IaaS、PaaS、SaaS 服务的核心组件。根据业务主体、安全保护等级的不同,可以进行进一步细分。例如:可以根据保护等级的不同,细分为四级保护子区、三级保护子区、二级保护子区。另外,为了保证不同生产子区之间的通信,可以单独划分一个负责交换的数据交换子区;
?非生产区:非生产区主要为系统开发、测试、试运行等提供的逻辑区域。根据实际情况,一般可分为系统开发子区、系统测试子区、系统试运行子区;
?支撑服务区:该区域主要为云平台及其组件提供共性的支撑服务,通常按照所提供的功能的不同,可以细分为:?通用服务子区:一般包括数字证书服务、认证服务、目录服务等;
?运营服务子区:一般包括用户管理、业务服务管理、服务编排等;
?管理区:主要提供云平台的运维管理、安全管理服务,一般可分为:
?运维管理子区:一般包括运维监控平台、网管平台、网络控制器等;
?安全管理子区:一般包括安全审计、安全防病毒、补丁管理服务器、安全检测管理服务器等。
?资源区:主要包括各种虚拟化资源,涉及主机、网络、数据、平台和应用等各种虚拟化资源。按照各种资源安全策略的不同,可以进一步细分为生产资源、非生产资源、管理资源。不同的资源区对应不同的上层区域,如生产区、非生产区、管理区等;
?DMZ 区:主要包括提供给 Internet 用户、外部用户访问代理服务器、Web 服务器组成。一般情况下 Internet、
Intranet
用户必须通过 DMZ 区服务器才能访问内部主机或服务;
?堡垒区:主要提供内部运维管理人员、云平台租户的远程安全接入以及对其授权、访问控制和审计服务,一般包括 VPN 服务器、堡垒机等;
?运维终端接入区:负责云平台的运行维护终端接入
针对具体的云平台,在完成安全域划分之后,就需要基于安全域划分结果,设计和部署相应的安全机制、措施,以进行有效防护。
云平台不同于一般的 IT 系统,会涉及多个网络,下面对此进行简要说明,再讨论云平台的安全防护。
网络隔离
为了保障云平台及其承载的业务安全,需要根据网络所承载的数据种类及功能,进行单独组网。
?管理网络物理设备是承载虚拟机的基础资源,其管理必须得到严格控制,所以应采用独立的带外管理网络来保障物理设备管理的安全性。同时各种虚拟资源的准备、分配、安全管理等也需要独立的网络,以避免与正常业务数据通信的相互影响,因此设立独立的管理网络来承载物理、虚拟资源的管理流量;
?存储网络对于数据存储,往往采用 SAN、NAS 等区域数据网络来进行数据的传输,因此也将存储网络独立出来,并于其他网络进行隔离;
?迁移网络虚拟机可以在不同的云计算节点或主机间进行迁移,为了保障迁移的可靠性,需要将迁移网络独立出来;
?控制网络随着 SDN 技术的出现,数据平面和数据平面数据出现了分离。控制平面非常重要,关于真个云平台网络服务的提供,因此建议组建独立的控制网络,保障网络服务的可用性、可靠性和安全性
上面适用于一般情况。针对具体的应用场景,也可以根据需要划分其他独立的网络,
安全防护设计
云计算系统具有传统 IT 系统的一些特点,从上面的安全域划分结果可以看到,其在外部接口层、核心交换层的安全域划分是基本相同的,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。如下图所示:
图四.8 传统安全措施的部署
当然,从上面的安全域划分结果可以看到,相对于传统的网络与信息系统来讲,云平台由于采用了虚拟化技术,在计算服务层、资源层的安全域划分与传统 IT 系统有所不同,这主要体现在虚拟化部分,即生产区、非生产区、管理区、支撑服务区、堡垒区、DMZ 区等。下面在对这些采用了虚拟化技术的区域进行重点设计。当然,对于不同的区域,应按照根据 4.3 节安全保障技术框架的要求,选择、落实适用的安全控制措施,下面重点说明。
生产区
生产区部署了虚拟化主机、软件平台、应用层,应基于虚拟化技术实现,因此其安全防护应考虑虚拟化安全、网络安全、主机安全、应用安全、数据安全等内容。
虚拟化安全
虚拟化安全主要涉及虚拟化组件及其管理的安全,包括了虚拟化操作系统、虚拟化交换机、虚拟主机、虚拟存储及虚拟化安全
管理系统的安全。
对于虚拟化安全主要采用的是安全配置和加固、虚拟化映像防护等。详细内容参见第七章介绍。
网络安全
网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、VPN 接入、安全审计等内容。
防火墙及边界防护
安全域需要隔离,并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有 VLAN、网络设备ACL、防火墙、IPS 设备等,这里主要对防火墙的功能、部署进行说明
功能
访问控制系统的安全目标是将云计算中心与不可信任域进行有效地隔离与访问授权。访问控制系统由防火墙系统组成,防火墙在网络入口点或者安全域的边界,根据设定的安全规则,检查经过的通信流量,在保护内部网络安全的前提下,对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。
产品形态
对于云计算环境的边界隔离,主要采用传统防火墙、虚拟化防火墙。
部署
对于云平台,防火墙需要实现对传统网络环境中的安全域的隔离,也需要实现对虚拟化环境中的安全域(如生产域及其子区、生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ 域及其子区等)的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可,而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。
以 VMWare ESXi 虚拟化平台为例,虚拟化防护墙的部署方式如下图所示:
图四.9 虚拟化防火墙部署
网络异常流量监测与分析
云计算中心部署的应用和业务非常丰富,如基于流媒体的音视频服务, VPN 业务等等,必然会受到各种网络攻击,如DDOS,进而出现大量异常流量。在这种流量成分日益复杂,异常流量海量涌现的情况下,对网络流量进行实时监测和分析,从而全面了解流量的各种分布以及变化趋势就显得十分必要了。
功能
网络流量分析系统在云计算中心运营维护中的作用体现在两个方面:异常流量监测分析和流量统计分析。由于互联网上存在大量的异常流量,尤其是大流量的抗拒绝服务(DDoS)攻击经常造成链路拥塞,以至于网络无法正常提供服务甚至造成整个网络环境完全瘫痪。因此异常流量监测分析是网络流量分析系统的首要任务,下面详细阐述流量统计分析和异常流量检测分析的功能。
?流量统计分析流量统计分析的任务是实时监控进出云计算中心流量的地域分布,应用组成分布、变化趋势,并生成相应的统计报表。统计对象的粒度可以为 IP 地址、IP 地址段、用户(用 IP 地址或地址段的组合来定义)。流量的地域分布显示对某个主机(或地址段、用户)的访问流量来自哪些地域。流量统计结果对流量工程具有很重要的参考价值。应用组成分布显示云计算中心内部各种业务的开展情况,结合地域分布的信息,也可以指导流量工程。流量的变化趋势显示流量随时间的变化规律以及峰值时段对带宽的占用情况,这些数据有助于进行云计算中心容量规划。
?异常流量监测分析
?双向异常流量监测异常网络流量分析系统应对网络中的由内至外、由外至内的流量进行双向监测,即可监测外发异常流量,也可监测外来异常流量;
?异常流量定位异常网络流量分析系统应对网络中的流量进行持续监控和实时分析,并对异常流量进行及时的发现、告警和定位,使网管人员能够准确的发现异常流量进入网络的端口和攻击目标;
?异常流量分析异常网络流量分析系统对异常流量进行详细的分析,对异常流量的行为进行记录和分析,使网管人员能够准确的了解异常流量的行为特征;
?异常流量防范异常网络流量分析系统能够针对网络中的异常流量提供防范方法和建议,使网管人员能够快速应对网络中的异常流量,将异常流量对网络和用户的影响减少到最低;
?异常流量记录异常网络流量分析系统应对网络中发生的异常流量进行记录,网管人员可以查询系统的历史记录,分析网络异常流量的类型、特点和趋势,总结长期预防异常流量的手段和方法;
?异常流量过滤异常网络流量分析系统能够根据异常流量的特点、方向,通知其他安全设备对异常流量进行过滤、清洗或压制。或者通知运维人员进行手动处理,以防止或减少云计算中心受异常流量的影响
目前业界的通常解决方案是异常流量检测分析系统与抗拒绝服务攻击系统联动部署实现异常流量分析和过滤,异常流量检测分析系统将异常告警信息实时通告给抗拒绝服务攻击系统,由抗拒绝服务攻击系统实施异常流量过滤净化,将净化后的流量回注。抗拒绝服务攻击系统的在后面的章节详细阐述。
产品技术选型
目前网络流量分析产品主要有两大类型:
?类型一:基于流(FLOW)信息的流量分析产品,流(FLOW)信息由网络中的路由器和交换机产生,流量分析设备根据流(FLOW)信息进行流量分析;
?类型二:基于应用层分析的深度包检测产品(DPI),采用端口镜向或分光方式将需要分析的数据流转发给流量分析设备
基于流(FLOW)信息的流量分析产品具有如下特性,1)采用旁路方式进行部署,不会影响业务;2)能够支持大流量大范围网络的分析需求,由于流(FLOW)数据是对网络实际转发数据流的聚合与抽象,相对于 DPI 设备投资较少;3)对于大流量监测来讲,其检测准确率可以达到 99.99%。
对于云平台,其数据流量较大,且内置的虚拟交换机可以直接输出 Netflow 数据流,因此建议在云计算中心采用基于流(FLOW)信息的流量分析产品。
系统组成和形态
基于 Netflow 技术安全检测与分析系统主要包括异常流量检测系统和综合分析平台。
对于异常网络流量监测系统,其产品形态目前主要有传统物理设备形态,以及虚拟化产品形态。考虑的设备的性能以及与流量清洗设备联动的要求,可同时采用两种形态。
部署建议
综合分析云计算中心的实际情况,其异常流量主要来自互联网、第三方网络、企业广域网,还包括虚拟机之间互相攻击的异常流量。因此需要在云平台的互联网出口、外联网出口、广域网出口,以及生产区域边界、DMZ 区域边界上部署异常流量监测系统(旁路部署 Netflow 流量采样检测模块),实现流量统计分析、路由分析、异常流量检测。它既可以作为流量监控分析产品对网络流量进行深入分析,从而全面了解各类流量的分布以及变化趋势;也可分析诸如 DDoS 攻击、网络滥用误用、P2P 流量等异常流量。
异常流量检测系统基于 Netflow 数据,其采集点是主要物理/虚拟交换机上,可根据需要灵活部署。以 VMWare ESXi 虚拟化平台为例,一般部署情况如下图所示:
图四.10 异常流量监测系统部署
网络入侵检测
云计算对外提供服务,完全面向互联网,所面临的威胁被无限放大,在云计算中心网络出口采用入侵检测机制,收集各种信息,由内置的专家系统进行分析,发现其中潜在的攻击行为。由网络入侵检测系统捕获分析网络中的所有报文,发现其中的攻击企图,根据事先制定的策略通知管理员或自行采取保护措施。
功能
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到更高的重视。
入侵检测系统可实时监控云计算中心网络中的数据访问和系统事件,及时发现攻击行为并作为分析证据并对可疑的访问行为进行自动响应。
利用入侵检测系统的攻击结果判定功能重点关注攻击成功的安全事件。针对某些特定的安全规则单独设定安全策略,针对云计算中心业务特点过滤一些低风险或者不可能成功的攻击行为,从而减少管理员关注日志告警的工作量,也使得重要攻击行为能够得到重点体现。
同时,可以针对业务特点自定义某些特定的安全规则。如敏感内容信息过滤,设置自定义的关键字过滤检测规则,通过与防火墙的联动或自身发送的 TCP Killer 数据包,将涉及敏感信息的 TCP 会话阻断,防止信息泄露或者一些非法的网络信息传递。
产品组成和形态
网络入侵检测系统一般包括网络入侵检测设备和综合分析平台。网络入侵检测设备主要有传统硬件网络入侵检测设备(NIDS)和虚拟化网络入侵检测设备(vNIDS)两种产品形态。
部署建议
入侵检测系统应部署在已被入侵的高危区域或者关键区域。包括互联网接入区、外联网接入区,以及关键的计算服务域。对于互联网接入区、外联网接入区,可采用传统的 IDS,而对于位于虚拟化平台上的关键计算服务域可以用虚拟化入侵检测系统,并可部署一套综合分析系统,对系统所有入侵检测日志进行统一存储、分析和呈现。以 VMWare ESXi 虚拟
化平台为例,一般部署情况如下图所示:
图四.11 网络入侵检测系统部署图
主机安全
主机安全与传统安全相同,这里不再赘述。
信息安全-深信服云盾产品技术白皮书
1背景 随着互联网技术的不断发展,网站系统成为了政务公开的门户和企事业单位互联网业务的窗口,在“政务公开”、“互联网+”等变革发展中承担重要角色,具备较高的资产价值。但是另一方面,由于黑客攻击行为变得自动化和高级化,也导致了网站系统极易成为黑客攻击目标,造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。其安全问题受到了国家的高度关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查,并推出了一系列政策文件。 据权威调研机构数据显示,近年来,中国网站遭受篡改攻击呈增长态势。其中2018 年,我国境内被篡改的网站数量达到13.7万次,15.6万个网站曾遭到CC攻击。2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。中国反钓鱼网站联盟共处理钓鱼网站51198个,平均每月处理钓鱼网站4266个。同时,随着贸易战形势的不断严峻,境外机构针对我国政府网站的攻击力度也不断的加强,尤其是在重要活动期间,政府网站的安全防护成为了重中之重。 为了帮助企业级客户及政府机构保障网站的安全,解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力,深信服云盾提供持续性的安全防护保障,同时由云端专家进行7*24小时的值守服务,帮助客户识别安全风险,提供高级攻防对抗的能力,有效应对各种攻击行为。
2产品体系架构 深信服利用云计算技术融合评估、防护、监测和响应四个模块,打造由安全专家驱动,围绕业务生命周期,深入黑客攻击过程的自适应安全防护平台,帮助用户代管业务安全问题,交付全程可视的安全服务。 客户端无需硬件部署或软件安装,只需将DNS映射至云盾的CNAME别名地址即可。全程专家参与和值守,为用户提供托管式安全防护。安全防护设施部署在深信服安全云平台上,安全策略的配置和调优由深信服安全专家进行,用户仅需要将用户访问的流量牵引至深信服安全云。所有的部署和运维工作全部由深信服安全专家在云上完成,更简单,更安全,更省心。 3用户价值 深信服将网站评估、防护、监测、处置,以及7*24在线的安全专家团队等安全能力整
阿里云安全白皮书V1
阿里云安全白皮书V1.2
前言 (3) 概览 (3) 阿里云安全策略解读 (3) 组织安全 (4) 合规安全 (5) 数据安全 (6) 访问控制 (8) 人员安全 (9) 物理和环境安全 (10) 基础安全 (11) 系统和软件开发及维护 (14) 灾难恢复及业务连续性 (16) 总结 (17)
前言 阿里云以打造互联网数据分享第一平台为使命,借助自主创新的大规模分布式存储和计算等核心云计算技术,为各行业、小企业、个人和开发者提供云计算(包括云服务器、开放存储服务、关系型数据库、开放数据处理服务、开放结构化数据服务、云盾、云监控等其他产品)产品及服务,这种随时、随地、随需的高效云产品和服务同时具备安全方面的优势。 阿里云提供这些云产品及服务的方式来自于阿里巴巴集团在电子商务行业的多年浸渍,而安全则是阿里云的首要和关键组件。本白皮书将介绍阿里云在云安全方面的方法,具体涵盖安全策略、组织安全、合规安全、数据安全、访问控制、人员安全、物理安全、基础设施安全、系统和软件开发及维护、灾难恢复及业务连续性十个方面的主题。在本文里面所描述的策略、流程和技术将以https://www.wendangku.net/doc/0b2908405.html,发布时为准。随着时间的推移,部分细节将随着产品和服务的创新而改变。 概览 阿里云遵循“生产数据不出生产集群”的安全策略,覆盖从数据存储、数据访问、数据传输到数据销毁等多个环节的数据安全控制要求,这些控制要求包含以下十个方面: (1)阿里云安全策略解读; (2)组织安全; (3)合规安全; (4)数据安全; (5)访问控制; (6)人员安全; (7)物理安全; (8)基础安全; (9)系统和软件开发及维护; (10)灾难恢复及业务连续性 阿里云安全策略解读 “生产数据不出生产集群”------阿里云基于阿里巴巴集团十多年信息安全风险管控经验,以保护数据的保密性、完整性、可用性为目标,制定防范数据泄露、篡改、丢失等安全威胁的控制要求,根据不同类别数据的安全级别(例如:生产数据是指安全级别最高的数据类型,其类别主要包括用户数据、业务数据、系统数据等),设计、执行、复查、改进各项云计算环境下的安全管理和技术控制措施。
华为混合云托管解决方案
华为混合云服务解决方案 ——华为云服务https://www.wendangku.net/doc/0b2908405.html,/ 1 客户需求 场景一:某企业业务快速稳定增长,预测未来自身的IT系统基础设施无法满足业务需求。而又由于机房场地电力系统受限、设备带宽采购选型困难、项目周期长、部署进度缓慢等客观原因,无法在现有基础上扩容,实现快速部署上线。 场景二:受国际金融危机等宏观经济影响,企业面临着开源节流,需要降低IT系统整体成本。而又由于原有传统烟囱式IT系统基础架构升级复杂、纯私有云环境下投资居高不下,难以应对未来快速变化的业务需求。 基于华为VDC(虚拟数据中心)、VPC(虚拟私有云)解决方案,华为为企业提供一站式的混合云服务解决方案并提供专线以及VPN传输链路的安全措施,消除企业对公有云以及网络传输安全性的疑虑,拥有低成本、易管理、弹性伸缩、安全可靠等独特优势。 2 华为混合云服务解决方案 针对企业对安全性、灵活性业务的双重需求,华为云服务提供了混合云服务解决方案,在华为公有云节点隔离了一个独立、安全的区域用于业务部署,针对该区域从二层三层网络进行了安全隔离,通过VPN/专线同企业原有数据中心建立安全通道,既满足客户部分业务对弹性IT服务的需求,又解决了信息安全问题。
华为混合云服务示意图 基于VDC、VPC方案特性,混合云服务解决方案通过指定Vlan,构建私有安全区域,允许客户规划自己的网络: ●提供VPN连接接口、专线互联端口 ●可以进行私有网段的IP地址、路由、网关规划,灵活的二层三层组网 ●满足混合托管物理设备可进行托管组网,支持多类型托管的设备:物理服务器、数 据库服务器、硬件负载均衡服务器、网络设备,云主机同托管的物理设备能够互通 及安全访问 ●允许云主机和托管设备的集中限速、组合计费的流量采集,实现统一的带宽计费 3 方案特性 ●安全可靠:一方面混合云服务解决方案集成了VDC、VPC方案的安全特性,另一方面 企业自建数据中心和华为公有云数据通过加密的链路传输,保障了企业IT资源的稳定安全可靠。 ●按需使用、快速部署:减少投资的同时又可以灵活的面对各种业务量的快速变化,
云安全解决方案白皮书
云安全解决方案白皮书Cloud Security Solution
目录 —云计算典型体系结构1 云计算系统分类 云计算系统典型物理架构云计算系统逻辑结构1 1 2 二云计算安全威胁和需求分析3 安全威胁分析安全需求和挑战4 5 三云安全防护总体架构设计5 设计思路 安全保障目标 安全保障体系框架 安全保障体系总体技术实现架构设计5 6 6 7 四云平台安全域划分和防护设计8 安全域划分安全防护设计 9 13 五云计算安全防护方案的演进24 虚拟化环境中的安全防护措施部署软件定义安全体系架构 安全运营24 24 28 六云安全技术服务28 私有云安全评估和加固 私有云平台安全设计咨询服务28 29 七云安全解决方案33 作者和贡献者 关注云安全解决方案33 34 八关于科技34图表 图一.1 云典型架构 (2) 图一.2 云典型逻辑结构 (3) 图三.3 云平台安全保障体系框架 (6) 图三.4 云平台安全技术实现架构 (7) 图三.5 具有安全防护机制的云平台体系架构 (8) 图四.6 云平台安全域逻辑划分 (9) 图四.7 安全域划分示例 (11) 图四.8 传统安全措施的部署 (13) 图四.9 虚拟化防火墙部署 (14) 图四.10 异常流量监测系统部署 (16) 图四.11 网络入侵检测系统部署图 (17) 图四.12 虚拟化Web 应用防火墙部署 (19) 图四.13 堡垒机应用场景 (21) 图四.14 堡垒机部署图 (22) 图四.15 安全管理子区 (22) 图五.16 SDN 典型架构 (25) 图五.17 软件定义安全防护体系架构 (25) 图五.18 使用SDN 技术的安全设备部署图 (26) 图五.19 使用SDN 技术实现流量牵引的原理图 (27) 图五.20 基于手工配置的IPS 防护模式 (28) 图六.21 服务提供者与客户之间的安全控制职责范围划分. 30图六.22 云计算关键领域安全 (31) 图六.23 安全咨询服务思路 (32) 关键信息 本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。
ISO27005信息安全技术风险管理白皮书
ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理 Information Technology – Security techniques - Information security risk management
目录 前言 (4) 介绍 (5) 1. 范围 (6) 2. 规范性引用文件 (6) 3. 术语和定义 (6) 4. 本国际标准的结构 (8) 5. 背景 (9) 6. 信息安全风险管理过程概述 (10) 7. 确定范畴 (13) 7.1. 总则 (13) 7.2. 基本准则 (13) 7.3. 范围和边界 (16) 7.4. 信息安全的组织架构 (17) 信息安全风险评估 (17) 8.1. 信息安全风险评估综述 (17) 8.2. 风险分析 (18) 8.2.1. 风险识别 (18) 8.2.2. 风险估算 (23) 8.3. 风险评价 (27) 信息安全风险处置 (28) 9.1. 风险处置综述 (28) 9.2. 风险降低 (31) 9.3. 风险保持 (32) 9.4. 风险回避 (32) 9.5. 风险转移 (33) 10. 信息安全风险的接受 (33)
11. 信息安全风险的沟通 (34) 12. 信息安全监视和评审 (35) 12.1. 监视和评审风险因子 (35) 12.2. 风险管理监视、评审和改进 (37) 附录A (资料性)界定信息安全风险管理过程的范围和边界 (38) A.1 对组织进行研究 (38) A.2 影响组织的约束清单 (39) A.3 适用于组织的法律法规的参考清单 (42) A.4 影响范围的约束清单 (42) 附录B (资料性)资产的识别和赋值以及影响评估 (44) B.1 资产识别的例子 (44) B.1.1 基本资产的识别 (44) B.1.2 支持性资产的清单和描述 (45) B.2 资产赋值 (52) B.3 影响评估 (56) 附录C (资料性)典型威胁示例 (57) 附录D (资料性)脆弱点和脆弱性评估方法 (61) D.1 脆弱点示例 (61) D.2 评估技术性脆弱点的方法 (65) 附录E (资料性)信息安全风险评估方法 (66) 1 纲领性信息安全风险评估 (66) E.2 详细的信息安全风险评估 (68) E.2.1 示例1:预定值矩阵 (68) E.2.2 示例2:通过风险值进行威胁评级 (71) E.2.3 示例3:为风险的可能性和可能的后果赋值 (71) 附录F (资料性)降低风险的约束 (73)
云计算发展白皮书
云计算发展白皮书
前言 在刚刚结束的全国“两会”中,“新基建”首次写入政府工作报告。“新基建”不仅有助于扩内需、促消费、稳增长,还将为产业发展注入数字动力,成为促进经济增长的新动能。随着“新基建”的推进,云计算必将加快应用落地进程,在各个行业实现快速发展。 本白皮书聚焦过去一年多来云计算产业的发展变化,梳理当前发展热点,展望未来发展趋势。白皮书首先介绍了云计算产业发展概况,然后重点围绕云原生、SaaS、分布式云、原生云安全、数字化转型、新基建等云计算领域热点话题进行探讨,最后对云计算未来发展进行了展望。
一、云计算产业发展概况 (1) (一)全球云计算市场稳定增长,我国公有云规模首超私有云 (1) (二)我国IaaS 发展成熟,PaaS 增长高速,SaaS 潜力巨大 (3) (三)云技术不断推陈出新,云原生采纳率持续攀升 (5) (四)云计算使用率持续提升,分布式云初露头角 (5) (五)安全能力备受关注,原生云安全理念兴起 (7) (六)降本增效显著,云计算成数字化转型关键要素 (7) (七)利好政策不断加码,云计算成新基建重要组成 (8) 二、云原生技术体系日臻成熟,构建数字中台底座 (9) (一)云原生重塑中间件产品 (10) (二)云原生如何更好的服务上层应用成焦点 (11) (三)云原生助力数字中台建设 (12) 三、SaaS 市场开始加速,将成企业上云重要抓手 (14) (一)国外SaaS 市场模式成熟,国内SaaS 蓄势待发 (14) (二)疫情推动SaaS 服务迎来发展新机遇 (16) (三)SaaS 直击企业痛点,加速中小企业应用上云 (18) (四)深耕行业,SaaS 服务向平台化、智能化发展 (19) 四、分布式云成云计算新形态,助力行业转型升级 (21) (一)云计算从中心向边缘延伸 (21) (二)云边协同成为分布式云的核心 (22) (三)云边协同助力行业应用转型升级 (25) 五、原生云安全理念兴起,推动安全与云深度融合 (30) (一)云原生重塑IT 架构,端到端安全风险引关注 (30) (二)原生云安全推动安全与云深度融合 (33) 六、数字化转型旨在提高生产力,云化能力是关键 (40) (一)数字化转型核心是提高生产力,传统信息基础设施亟待升级 (40) (二)云计算加速数字化转型,显著提升企业生产力 (43) (三)IT 云化管理平台作用凸显,技术服务助力企业转型升级 (45) 七、云定位从基础资源向基建操作系统扩展,提升算力与网络水平 (48) (一)新基建概念明确,云计算既是基础资源也是操作系统 (48) (二)云计算加速网络变革,推动通信网络基础设施优化升级 (53) (三)云计算加强多种算力统一调度,提高算力基础设施资源利用率 .. 56 八、云计算发展展望 (58)
天融信云安全监控服务白皮书
天融信云安全监控服务销售白皮书 北京天融信公司 2012年8月
目录 1服务背景 (4) 1.1各类网络安全产品的大量使用带来新的工作挑战 (4) 1.2WEB的广泛应用导致针对WEB服务器的攻击日益盛行 (5) 1.3天融信云安全监控服务 (6) 2服务说明 (7) 2.1天融信安全设备远程监控服务 (7) 2.1.1目标客户 (7) 2.1.2产品功能 (7) 2.1.2.1多方位可用性监控 (7) 2.1.2.2策略评估 (9) 2.1.2.3策略监控 (10) 2.1.2.4策略备份 (10) 2.1.2.5智能风险防御 (10) 2.1.2.6设备更新管理 (10) 2.1.2.7备件响应服务 (11) 2.1.2.8内网事件分析 (11) 2.1.2.9外网事件分析 (11) 2.1.2.10日志云存储服务 (11) 2.1.3典型应用 (12) 2.2天融信网站监控防护服务 (12) 2.2.1目标客户 (13) 2.2.2产品功能 (13) 2.2.2.1可用性状态监控 (13) 2.2.2.2敏感字监控 (13) 2.2.2.3网站页面防篡改监控和网页恢复 (13) 2.2.2.4网站遭受攻击后并可能产生影响时,是否被风险隔离 (14)
2.2.2.5实时阻断对WEB服务的各种攻击行为 (14) 2.2.2.6WEB漏洞检测 (14) 2.2.2.7防拒绝服务攻击 (15) 2.2.2.8异常外联事件分析 (15) 2.2.2.9日志云存储服务 (15) 2.2.2.10安全信息通报服务 (15) 2.2.3典型应用 (16) 3服务特点 (16) 3.1更彻底的网站防护及页面防篡改、页面恢复 (16) 3.2强大的WEB网站防护能力 (16) 3.3符合国家信息安全评测的标准和结果 (17) 3.4提供专业的网站防护巡检、评测、加固、应急等持续性服务 (17) 3.5有效提升网络安全设备的防护价值和风险控制能力 (17) 3.6云安全在线监测服务提供全天侯监控和即时预警 (17) 3.7提供安全设备和网站防护的日志存储服务 (18) 3.8以结果为导向的“托管式全方位服务” (18) 3.9丰富经验和专业技术的保障 (18) 3.10解决实际问题的专家级报告 (18) 4客户收益 (19)
信息安全保障体系服务白皮书
信息安全保障体系咨询服务 技术白皮书 杭州安恒信息技术有限公司 二〇二〇年八月
目录 1.公司简介 (2) 2.信息安全保障体系咨询服务 (3) 2.1.概述 (3) 2.2.参考标准 (4) 2.3.信息安全保障体系建设的指导思想 (4) 2.4.信息安全保障体系建设的基本原则 (5) 3.信息安全保障体系的内容 (6) 3.1.信息安全的四个领域 (6) 3.2.信息安全策略体系 (6) 3.2.1.信息安全战略 (7) 3.2.2.信息安全政策标准体系框架 (7) 3.3.信息安全管理体系 (8) 3.4.信息安全技术体系框架 (9) 3.5.信息安全运营体系 (11) 4.信息安全保障体系的建设过程 (13) 4.1.信息安全保障体系的总体建设方法 (13) 4.2.信息安全策略的定义 (13) 4.2.1.信息安全策略的通用性特征 (14) 4.2.2.信息安全策略的建立过程 (15) 4.3.企业信息安全管理体系的建设 (17) 4.3.1.安全管理体系总体框架 (17) 4.3.2.信息安全环境和标准体系框架 (18) 4.3.3.信息安全意识培养 (18) 4.3.4.信息安全组织 (21) 4.3.5.信息安全审计监督 (21) 4.4.企业信息安全运营体系的建设 (25) 4.5.企业信息安全技术体系的建设 (27) 4.5.1.安全技术设计目标 (27) 4.5.2.安全技术体系的建设 (27) 5.为什么选择安恒信息 (28) 5.1.特性 (28) 5.2.优点 (28) 5.3.效益 (28) 1.公司简介 杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
云计算(1)
云计算20200225鄂州 云 计 算
目录 概述 (3) 产生背景 (4) 发展历程 (5) 特点 (7) 1、虚拟化技术。 (7) 2、动态可扩展。 (7) 3、按需部署。 (8) 4、灵活性高。 (8) 5、可靠性高。 (8) 6、性价比高。 (8) 7、可扩展性。 (9) 服务类型 (9) 1、基础设施即服务IaaS) (9) 2、平台即服务(PaaS) (9) 3、软件即服务(SaaS) (10) 实现关键技术 (10) 一、体系结构 (10) 二、资源监控 (11) 三、自动化部署 (11) 实现形式 (12) 安全威胁 (13) 1、云计算安全中隐私被窃取 (13) 2、云计算中资源被冒用 (14) 3、云计算中容易出现黑客的攻击 (14) 4、云计算中容易出现病毒 (15) 应用 (15) 1、存储云 (16) 2、医疗云 (16) 3、金融云 (16) 4、教育云 (17) 发展问题 (17) 1、访问的权限问题 (17) 2、技术保密性问题 (18) 3、数据完整性问题 (18) 4、法律法规不完善 (18) 完善措施 (19) 1、合理设置访问权限,保障用户信息安全 (19) 2、强化数据信息完整性,推进存储技术发展 (19) 3、建立健全法律法规,提高用户安全意识 (20)
云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返 回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒种)完成对数以万计的数据的处理,从而达到强大的网络服务。 现阶段所说的云服务已经不单单是一种分布式计算,而是分布式计算、效用计算、负载均衡、并行计算、网络存储、热备份冗杂和虚拟化等计算机技术混合演进并跃升的结果。 概述 “云”实质上就是一个网络,狭义上讲,云计算就是一种提供资源的网络,使用者可以随时获取“云”上的资源,按需求量使用,并且可以看成是无限扩展的,只要按使用量付费就可以,“云”就像自来水厂一样,我们可以随时接水,并且不限量,按照自己家的用水量,付费给自来水厂就可以。 从广义上说,云计算是与信息技术、软件、互联网相关的一种服务,这种计算资源共享池叫做“云”,云计算把许多计算资源集合起来,通过软件实现自动化管理,只需要很少的人参与,就能让资源被快速提供。也就是说,计算能力作为一种商品,可以在互联网上流通,就像水、电、煤气一样,可以方便地取用,且价格较为低廉。
华为云混合云服务解决方案
华为云混合云服务解决方案 华为云官网
1 客户需求 场景一:某企业业务快速稳定增长,预测未来自身的IT系统基础设施无法满足业务需求。而又由于机房场地电力系统受限、设备带宽采购选型困难、项目周期长、部署进度缓慢等客观原因,无法在现有基础上扩容,实现快速部署上线。 场景二:受国际金融危机等宏观经济影响,企业面临着开源节流,需要降低IT系统整体成本。而又由于原有传统烟囱式IT系统基础架构升级复杂、纯私有云环境下投资居高不下,难以应对未来快速变化的业务需求。 基于华为VDC(虚拟数据中心)、VPC(虚拟私有云)解决方案,华为为企业提供一站式的混合云服务解决方案并提供专线以及VPN传输链路的安全措施,消除企业对公有云以及网络传输安全性的疑虑,拥有低成本、易管理、弹性伸缩、安全可靠等独特优势。 2 华为混合云服务解决方案 针对企业对安全性、灵活性业务的双重需求,华为云服务提供了混合云服务解决方案,在华为公有云节点隔离了一个独立、安全的区域用于业务部署,针对该区域从二层三层网络进行了安全隔离,通过VPN/专线同企业原有数据中心建立安全通道,既满足客户部分业务对弹性IT服务的需求,又解决了信息安全问题。
华为混合云服务示意图 基于VDC、VPC方案特性,混合云服务解决方案通过指定Vlan,构建私有安全区域,允许客户规划自己的网络: 提供VPN连接接口、专线互联端口 可以进行私有网段的IP地址、路由、网关规划,灵活的二层三层组网 满足混合托管物理设备可进行托管组网,支持多类型托管的设备:物理服务器、数据库服务器、硬件负载均衡服务器、网络设备,云主机同托管的物理设备能够互通及安全访问 允许云主机和托管设备的集中限速、组合计费的流量采集,实现统一的带宽计费 3 方案特性
华为云安全白皮书
华为云安全白皮书 文档版本 3.2 发布日期2020-08-14
版权所有 ? 华为技术有限公司 2020。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://https://www.wendangku.net/doc/0b2908405.html, 客户服务邮箱:support@https://www.wendangku.net/doc/0b2908405.html, 客户服务电话:4008302118
导读过去几年中,华为云与所有云服务供应商(CSP – Cloud Service Provider)和客户一 样,面临着层出不穷的云安全挑战,不断探索,收获颇多。2017年初,华为云部 (Cloud Business Unit, aka Cloud BU)正式成立,重新启程,开启华为云新时代。华 为云迎难而上,视挑战为机遇,恪守业务边界,携手生态伙伴,共同打造安全、可信 的云服务,为客户业务赋能增值、保驾护航。 华为云通过结合业界先进的云安全理念、世界领先的 CSP 优秀安全实践、华为长年积 累的网络安全经验和优势以及在云安全领域的技术积累与运营实践,摸索出了一整套 行之有效的云安全战略和实践。华为云已经构建起多维立体、纵深防御和合规遵从的 基础设施架构,用以支撑并不断完善涵盖了 IaaS、 PaaS 和 SaaS 等具有优良安全功 能的常用云服务。在这背后,是华为云高度自治的扁平化组织,具备高度安全意识和 能力的研发运维运营团队,先进的云服务 DevOps/DevSecOps1流程,以及日益繁荣 的云安全生态圈。华为云将一如既往,本着租户业务优先的原则,携手生态伙伴,不 断发布高质量的云服务增值安全功能、高级云安全服务和安全咨询服务,切实保护租 户利益,帮助租户持续扩大业务,提升华为云市场竞争力,实现用户、合作伙伴、华 为云三者的长期共赢。 藉此,华为云隆重推出《华为云安全白皮书》(简称“白皮书”),将华为云对云安 全的丰富经验,分享给用户,分享给业界,以求相互了解,相互借鉴,共同推动云行 业、云安全行业的开放与发展。 本白皮书面向各行业、各地区的广大读者群: ●从租户、生态伙伴和社区到互联网用户 ●从大中小型企业客户到个人用户 ●从决策层、管理层到 IT、安全和隐私保护等云服务相关的技术岗位人员,以及其 他相关岗位人员 (主要包括营销、采购/合同、合规审计等云服务相关人员)。 说明 1.DevOps 和 DevSecOps 目前尚没有很好的统一中文译名。DevOps 是随着云服务 发展而由高科技公司的实践派而非理论派创造并逐渐成熟的从研发到运营的全线 工程流程和工具链实践。由于 DevOps 需要支撑云服务和其他线上功能的持续集 成持续部署(CI/CD – Continuous Integration/Continuous Deployment),传 统的瀑布流程和敏捷流程下的安全周期管理(SDL – Security Development Lifecycle)已大部分不适应新的节奏。安全必须无缝嵌入并实现高度自动化,这 也就自然而然地形成了名为 DevSecOps 的全新安全周期管理。通过华为对国内外 业界主流云服务和其他线上服务公司的调研,一个不争的事实是这些公司已经越 来越普遍地大范围采用 DevOps/DevSecOps 工程流程和工具链实践。并且,采用 DevOps/DevSecOps 的结果也显示了传统 IT 安全人员源于直觉的担忧是杞人忧
2012云计算白皮书
云计算白皮书 (2012年) 工业和信息化部电信研究院 2012年4月
版权声明 本白皮书版权属于工业和信息化部电信研究院,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:工业和信息化部电信研究院”。违反上述声明者,本院将追究其相关法律责任。
发表《云计算白皮书》,旨在与业界分享工业和信息化部电信研究院近年来在云计算领域的研究成果。 当前,云计算已经成为全球ICT产业界公认的发展重点。各国政府积极通过政策引导、资金投入等方式加快本国云计算的战略布局和产业发展;国际ICT产业巨头加快技术研发、企业转型和联盟合作以抢占云计算发展的主导权和新兴市场空间。我国在云计算领域已具备了一定的技术和产业基础,并拥有巨大的潜在市场空间,存在抓住机遇实现局部突破的机会,但当前发展过程中的产业技术差距、规划布局和制度环境等问题也日益显现。 本白皮书从产业体系、技术架构、数据中心、安全和政府作用等方面深入分析了国内外云计算发展形势,同时也分析了我国云计算发展过程中面临的机遇和存在的问题,提出了未来发展的思考与建议。
一、云计算概念 (1) 1. 云计算概念 (1) 2. 云计算的影响 (2) 二、云计算产业 (5) 1. 云计算产业体系 (5) 2. 全球云计算产业发展现状 (7) 3. 我国云计算产业发展现状 (9) 三、云计算技术 (12) 1. 云计算的技术架构 (12) 2. 云计算“基础设施”关键技术 (13) 3. 云计算“操作系统”关键技术 (18) 4. 我国云计算技术发展 (20) 5. 云计算标准化进展 (22) 四、云计算数据中心 (24) 1. 全球云计算数据中心发展趋势 (24) 2. 我国数据中心的发展状况 (25) 3. 我国云计算数据中心布局的策略 (26) 五、云计算安全 (28) 1. 云计算安全概述 (28) 2. 云计算的法律环境 (29) 六、政府在云计算发展中的作用 (31) 1. 外国政府的云计算行动 (31) 2. 我国政府的云计算行动 (33) 七、我国发展云计算面临的机遇和存在的问题 (36) 1. 我国云计算发展面临的机遇 (36) 2. 我国在云计算发展中存在的问题 (36) 3. 我国云计算未来发展思考 (38)
华为FusionSphere6.0 云套件安全技术白皮书(云数据中心)
华为FusionSphere 6.0云套件 安全技术白皮书(云数据中心) 文档版本V1.0 发布日期2016-04-30
华为FusionSphere 6.0云套件安全技术白皮书(云数据中心) Doc Number:OFFE00019187_PMD966ZH Revision:A 拟制/Prepared by: chenfujun 90002776; 评审/Reviewed by: huangdenghui 00283052;zouxiaowei 00348656;pengzhao jun 00286002;youwenwei 00176512;yanzhongwei 00232184 批准/Approved by: youwenwei 00176512 2015-12-29 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
版权所有? 华为技术有限公司2016。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.wendangku.net/doc/0b2908405.html,
注册个人信息保护专业人员白皮书.doc
谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期:2019年 4 月 中国信息安全测评中心 中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP) 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6
信息安全产品分级评估业务白皮书
国家信息安全测评 信息安全产品分级评估业务白皮书 版本:4.0 ?版权2013—中国信息安全测评中心 二〇一三年八月
目录 1.简介 (1) 1.1引言 (1) 1.2目的和意义 (1) 1.3业务范围 (1) 2.分级评估业务介绍 (2) 2.1业务特点 (2) 2.1.1国家权威,国际认可 (2) 2.1.2公平、公正、保密 (2) 2.1.3技术成熟 (2) 2.2业务需求 (2) 2.2.1对用户 (2) 2.2.2对企业 (3) 2.2.3对政府 (3) 2.3依据标准 (3) 2.4业务实施 (3) 2.4.1证据需求 (3) 2.4.2业务流程 (5) 2.4.3评估内容 (7) 2.4.4人员及时间 (8) 2.4.5资费标准 (9) 2.4.6业务监督 (9) 2.5业务输出 (9) 2.6 FAQ (9)
1.简介 1.1 引言 目前,众多组织机构开展了针对安全产品的多样化的测评业务,这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。 然而,自身功能实现的好坏是否足以衡量一个产品的质量,为用户提供放心的使用环境呢?纵观国内外信息安全界,安全事件屡有发生,产品商业机密遭到泄露,这给用户带来了极大的危害。显然,产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善,都会对用户的使用起到至关重要的作用。 信息安全产品分级评估是指依据国家标准GB/T 18336—2008,综合考虑产品的预期应用环境,通过对信息安全产品的整个生命周期,包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保证级的要求。 1.2 目的和意义 信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发,分级评估的具体的目的和意义包括: 1)对信息安全产品依据国家标准进行分级评估; 2)判定产品是否满足标准中的安全功能和安全保证要求; 3)有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性,维护国家和用户的安全利益; 4)促进中国信息安全市场的优胜劣汰机制的建立和完善,规范市场。 5)对产品、系统、服务等涉及到的漏洞信息进行数据规范性评估与认定。 1.3 业务范围 具有信息技术安全功能的产品,如:防火墙,IDS/IPS、智能卡、网闸、桌面控制、审计等。
信息安全等级保护检查工具箱技术白皮书
信息安全 等级保护检查工具箱系统 技术白皮书 国家信息技术安全研究中心
版权声明 本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护 检查工具箱产品的描述。与内容相关的权利归国家信息技术安全研究中心所有。白皮书中的任何内容未经本中心许可,不得转印、复制。 联系方式: 国家信息技术安全研究中心 地址:北京市海淀区农大南路1号硅谷亮城 2号楼C座4层 电话:0
简介 国家信息技术安全研究中心(以下简称,中心)是适应国家信息安全保障需要批准组建的国家级科研机构,是从事信息安全核心技术研究、为国家信息安全保障服务的事业单位。 中心成立于2005年,是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。 中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目,为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务。 为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了一系列安全防护和检测工具产品。主要有:恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等。 中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目;积极承担国家下达的多项信息安全标准制定和研究任务;紧密跟踪国内外信息安全发展,采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。 经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。
中国云计算产业发展白皮书摘录
中国云计算产业发展白皮书摘录出处:中国计算机报作者:■ 赛迪顾问股份有限公司日期:2011-01-24 继个人计算机、互联网变革之后,2010年,云计算作为第三次IT浪潮的代表正在向我们走来。它将带来人类生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。 作为中国IT产业的观察者和研究者,赛迪顾问充分运用自身的强大资源优势,长期追踪包括云计算在内的中国IT产业发展现状与未来趋势,以标准化、专业化、国际化的定义和方法,结合自身对中国IT产业的深刻理解,最终形成了《中国云计算产业发展白皮书》(以下简称《白皮书》)。 本《白皮书》研究过程中所用到的方法主要包括以下三种: 面访/电访:赛迪顾问历时3个月,走访了近50位云计算产业的重要影响者,包括国家发展和改革委员会及工业和信息化部等中央部委、地方经济和信息化委员会、软件园区等领导,两院院士、高校教授、著名媒体主编、知名博主、大型跨国云计算解决方案提供商、中国本土云计算解决方案和服务提供商以及政府、企业和个人用户,获得了大量的一手资料和众多真知灼见,对《白皮书》起到了重要的支撑作用。 实证研究:采用了企业访谈和对标比较研究相结合的方法,对Microsoft、IBM、Google、VMware、Oracle(Sun)、HP共6家主流云计算解决方案提供商进 行深入剖析,对访谈数据和对标比较研究结果进行综合评估。 案头调研:对赛迪顾问的历史数据库、业务类型库和案例库进行筛选,调阅相关的年度研究报告、统计年鉴、政府项目库和政策法规库,并结合互联网公开信息,搜集了大量的云计算技术趋势、解决方案、市场和政策等全面的文本资料,为本《白皮书》奠定了坚实的基础。 众说纷纭"云计算" 云计算的出现并非偶然,早在上世纪60年代,麦卡锡就提出了把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这成为云计算思想的起源。
混合云产品及方案手册
混合云产品及方案手册
2Cloud Platform 云平台 统一管理数据中心基础资源,实现数据中心资源池化、统一调度、 全面的运维监 控和运营管理。 让数据中心的资源交付变得简单、 弹性、高效和可靠。将数据中心转变为云服务中心,为各类企业级应用(ERP 、OA 、大数据平台等)提供随需应变的数据中心基础设施服务(IaaS )。 2Cloud Matrix 公共资源服务 由云杉网络及合作数据中心运营的虚拟私有云(VPC )服务,支持企业实现混合云部署。 用户在VPC 中,部署和管理按需选购的计算、存储、网络和安全服务。灵活组建网络拓扑,支撑应用部署,并根据业务变化,动态伸缩资源。从用户本地IT 或2Cloud 私有云,通过VPN 或专线与2Cloud Matrix 中的VPC 互联,实现混合云。 2Cloud Service 技术服务 为客户实施私有云建设、公共资源业务部署和混合云部署提供一整套技术服务。 专业的技术服务工程师团队,为所有客户提供本地化和一对一的技术支持。我们坚持以企业业务为核心,以解决客户信息化转型中遇到的问题为价值,致力于帮助客户更好地实现云战略。 云杉网络,领先的混合云平台软件和服务提供商。 公司成立于2011年底,成员主要来自清华大学和Juniper 、百度、华为等国内外知名企业。于2012年推出商用云平台,在2013年完成来自硅谷风投的融资。2014年在北京、上海、广州、苏州和成都等地,构建了覆盖全国的云平台销售及本地化技术服务体系,为数据中心、运营商、企业等客户提供混合云解决方案。 关于我们 产品和服务 合作伙伴生态圈 行业评价 2012 CEO 亓亚烜被评为“苏州金鸡湖双百人才计划“科技领军人才 2013 云杉网络被CSDN 评为“十大云创新企业” 2014 依托云杉网络2Cloud Platform 和技术服务支撑,苏州国科数据中心云服务通过国 家工业和信息化部首批”可信云”认证 云杉混合云 全新云生态 联合领先的软硬件IT 厂商提供企业 级的安全、存储、备份等服务; 联合优质数据中心为企业提供虚拟私有云服务; 联合集成商、代理商、公有云等,为客户提供混合云解决方案。
软件安全白皮书指标
软件安全白皮书指标 前言 介于我司现阶段对于软件产品项目的质量及安全性要求,特此制作此文,以便日后工作对应开展及提升品牌价值,软件产品质量做出指导性描述。 目的 安全性是软件的质量的一个重要属性。狭义较多关注软件的失效安全性问题,即软件运行不引起系统事故的能力,强调的是一类安全关键软件的安全性失效可能造成重大安全,生产,及核心数据丢失等高风险事故,因此对于失效安全性的度量主要简历在可靠性理论基础的安全度,失效度,平均事故间隔,软件事故率等。对于失效安全性测试,常用测试方法目前有基于故障树的测试基于最小割集测试。对于保密安全性。ISO9126质量模型将其定义为与防止对程序和数据进行非法存储的预防能力有关的质量属性。软件安全性是软件在收到恶意攻击时仍提供所需功能的能力。以此为作为软件自身的一个质量管理重要系数,因此特别指定此指标 1.白皮书格式要求 1.标题标头:包含明确的产品及时间信息 2.前言:包含软件自身的需求关系和基础定义,方向目的等 3.术语定义:文章中出现的对应学术名词或专业名词的一个标准化解释 4.自安全:自身安全逻辑,一般包括组织安全,法规安全,人员安全等 5.数据安全:对于数据的安全体系要求,及配套的保密规则 6.应用安全:软件自身功能是否存在逻辑漏洞,是否存在其他数据被调用转出 7.系统&环境(逻辑)安全:对于软件逻辑,开发系统配置的具体要求 8.环境(物理)安全:对于服务器或端口及使用人的一部分约束要求 9.灾难恢复与业务连续性(容错):对于软件自身的一定管控要求 2.安全测试分类 安全功能测试 1.安全功能目的测试 2.安全漏洞测试 渗透测试 1.信息渗透测试 2.注入渗透测试