【關(guān)鍵詞】企業(yè)云 安全 防護 攻擊
1 企業(yè)云安全面臨的威脅
一個存儲海量企業(yè)用戶數(shù)據(jù)的云存儲系
統(tǒng),存在著巨大的非法攻擊誘惑,一旦攻擊者
通過某種手段攻擊企業(yè)云數(shù)據(jù)系統(tǒng),將帶來不
可估量的經(jīng)濟損失。目前,企業(yè)云安全所存在
著普遍性的安全威脅主要包括以下幾個方面:
1.1 數(shù)據(jù)丟失和泄露
數(shù)據(jù)安全是企業(yè)用戶關(guān)注的重點問題,
由于數(shù)據(jù)泄漏會給企業(yè)帶來巨額損失,因此,
一般會采取相應(yīng)措施來保證數(shù)據(jù)的安全性。目
前對于企業(yè)云數(shù)據(jù),一方面攻擊者會通過木馬
程序或其他惡意程序來控制客戶端,進而獲取
和竄改企業(yè)數(shù)據(jù)。另一方面,因為云服務(wù)供應(yīng)
商隔離措施或安全策略的不當,也有可能導致
數(shù)據(jù)丟失或信息篡改。
1.2 網(wǎng)絡(luò)攻擊
在云環(huán)境中,應(yīng)用程序基本上是在網(wǎng)絡(luò)
上進行的,這就間接催生了網(wǎng)絡(luò)攻擊頻繁性和
危害性,網(wǎng)絡(luò)攻擊主要有以下兩種類型。第一
種是賬戶劫持。在云環(huán)境中,攻擊者利用釣魚
網(wǎng)站或軟件漏洞來攻擊企業(yè)用戶,進而獲取用
戶賬號及密碼信息,這樣就可以使用被竊取的
賬號密碼登陸云計算系統(tǒng),竊取或竄改企業(yè)用
戶云中的各類機密性數(shù)據(jù),給企業(yè)帶來巨大
的損失。第二種是拒絕服務(wù)攻擊。通過應(yīng)用層
DDOS 攻擊等方式阻止企業(yè)用戶對云服務(wù)的正
常訪問,這樣就會導致正常操作浪費大量的系
統(tǒng)資源,如內(nèi)存、硬盤空間和網(wǎng)絡(luò)帶寬等,降
低云計算服務(wù)器的反應(yīng)速度,也使企業(yè)用戶由
于資源的大量消耗而蒙受經(jīng)濟損失。這種攻擊
企業(yè)云安全面臨的威脅及防護方案分析
文/李常福
隨著信息時代的到來,傳統(tǒng)
的信息處理手段及模式已無法滿
足企業(yè)快速發(fā)展需要,基于企業(yè)
信息數(shù)據(jù)快速增長的實際情況,
考慮企業(yè)數(shù)據(jù)資源應(yīng)用效率的提
高以及存儲的安全性,云計算在
企業(yè)的應(yīng)用已是大勢所趨。雖然
云計算有諸多優(yōu)勢,但其發(fā)展歷
程較短,仍然面臨著諸多實際應(yīng)
用問題,其中安全問題就是一個
迫切解決的核心及關(guān)鍵問題,文
章在簡要概述目前企業(yè)云安全面
臨的威脅的基礎(chǔ)上,針對性、綜
合性的提出一些防護措施,以促
進云計算在企業(yè)的推廣和應(yīng)用。
摘
要
能夠?qū)崿F(xiàn)很大程度上是由于企業(yè)用戶數(shù)據(jù)中心
沒有做好針對性的安全防范措施。
1.3 技術(shù)漏洞
由于云技術(shù)發(fā)展歷程較短,其共享的平
臺組件及應(yīng)用程序還存在著一些安全漏洞,這
比其它安全問題更為危險和致命,嚴重情況下
會導致整個云計算系統(tǒng)癱瘓。另外,云計算資
源的虛擬化特征會給傳統(tǒng)安全策略在整個虛擬
網(wǎng)絡(luò)的全面應(yīng)用造成阻礙,虛擬化會增加認證
的困難,惡意代碼和病毒更容易傳播,安全問
題產(chǎn)生的機率也就更大。
2 企業(yè)云安全防護方案
基于上述企業(yè)云安全面臨的威脅的主要
威脅,可以通過以下綜合性的安全防護技術(shù)措
施來提高企業(yè)云安全性能。
2.1 云平臺物理安全
物理安全是云計算系統(tǒng)的第一道安全防
線,首先是環(huán)境安全的保障。溫度、濕度等環(huán)
境因素會影響云計算系統(tǒng)的穩(wěn)定運行,因此,
減少環(huán)境風險是企業(yè)云安全防護的基本前提。
云服務(wù)提供商要通過各項措施來保證運維環(huán)境
的安全性,除了安設(shè)一些必不可缺的設(shè)備外,
如溫度和濕度控制器、自動滅火系統(tǒng)等。還應(yīng)
配備支持特定環(huán)境的設(shè)備,如不間斷電源等,
以應(yīng)對各種突變的自然環(huán)境。其次是設(shè)備的維
護。為了保證設(shè)備的長期不間斷運行,需要定
期維護設(shè)備,并詳細記錄維護過程中所遇到的
各種疑似故障及實際故障。最后是網(wǎng)絡(luò)設(shè)備的
配置。云計算系統(tǒng)整體設(shè)備性能的提高是安全
防護的關(guān)鍵,特別是網(wǎng)絡(luò)設(shè)備。應(yīng)配置多臺交
換設(shè)備,網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)鏈路應(yīng)有冗余備份。
某一設(shè)備發(fā)生故障時應(yīng)具備自動恢復功能,且
企業(yè)網(wǎng)絡(luò)應(yīng)具有訪問控制、安全檢測、監(jiān)控、
報警、故障處理等功能。主機設(shè)備的核心應(yīng)采
用多機負載模式,某個主機若存在故障,其它
主機仍能正常運行,同樣服務(wù)器設(shè)備電源、風
扇等也應(yīng)采用冗余配置。
2.2 云平臺訪問控制
首先是網(wǎng)絡(luò)安全訪問控制。云平臺和企
業(yè)用戶之間采用路由控制方式,通過安全訪問
路徑的構(gòu)建提高網(wǎng)絡(luò)安全。避免在網(wǎng)絡(luò)邊界處
安置重要網(wǎng)段,應(yīng)對二者進行有效隔離。且利
用防火墻、IPS、ACL 等技術(shù)在重要業(yè)務(wù)網(wǎng)段
邊界進行隔離。具體而言主要可以采取以下措
施來控制云平臺網(wǎng)絡(luò):限制管理終端訪問網(wǎng)絡(luò)
設(shè)備;設(shè)置安全的訪問控制,過濾蠕蟲的常用
端口;關(guān)閉不使用的端口;關(guān)閉不必要服務(wù),
如 FTP、TFTP 服務(wù)等;修改 BANNER 提示,
避免默認 BANNER 信息泄露系統(tǒng)平臺及其他
信息。其次是邊界防護。清晰界定和綜合防護
系統(tǒng)邊界,科學劃分系統(tǒng)內(nèi)部區(qū)域,加強便捷
訪問控制,增加訪問控制配置,并使用防火墻
等訪問控制設(shè)備對高安全等級區(qū)域進行邊界防
護。最后是防火墻安全訪問控制。在防火墻上
配置常見病毒和攻擊端口的 ACL 過濾控制策
略,防止發(fā)生病毒或蠕蟲擴散,影響核心設(shè)備
正常工作。
2.3 云安全數(shù)據(jù)庫及配置安全
對于云數(shù)據(jù)庫,應(yīng)采用 C2 以上安全控制
標準及多層次安全控制原則。操作系統(tǒng)軟件應(yīng)
能根據(jù)任務(wù)合理地分配系統(tǒng)資源,避免由于資
源枯竭而停機。軟件系統(tǒng)應(yīng)具備良好的容錯能
力,保證某一進程故障的出現(xiàn)不會影響其它進
程的運行,且能自動進行升級,并具備自動恢
復功能,使系統(tǒng)在故障情況下能快速自動恢復。
2.4 云安全監(jiān)控
云安全監(jiān)控的目的是確保云平臺的可用
性,是安全防護過程中不可或缺的。首先是日
志監(jiān)控。通過監(jiān)控系統(tǒng)的輸出日志來監(jiān)控相關(guān)
事件。其次是性能監(jiān)控。通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)
以及應(yīng)用等內(nèi)容,保證云計算平臺的穩(wěn)定運行,
一旦平臺發(fā)生了故障,能迅速報警。
2.5 云安全審計
云安全審計包括日志收集、數(shù)據(jù)庫審計、
網(wǎng)絡(luò)審計等。云服務(wù)提供商需要部署網(wǎng)絡(luò)和數(shù)
據(jù)審計措施,對網(wǎng)頁內(nèi)容、郵件內(nèi)容等敏感信
息進行審計;完善地記錄其日志信息,建立良
好的審核機制,并合理地整理相應(yīng)的目志記錄,
增強違規(guī)事件發(fā)生之后的審查能力。
3 結(jié)語
企業(yè)云安全面臨的威脅是復雜多樣的,必
須針對各類安全問題采取有效性的安全防護策
略,進而保證企業(yè)的各類數(shù)據(jù)信息安全,同時
也能促進云計算機系統(tǒng)在企業(yè)的推廣和應(yīng)用。
參考文獻
[1] 聶亞偉 . 企業(yè)網(wǎng)絡(luò)安全解決方案研究與設(shè)
計 [D]. 邯鄲:河北工程大學 ,2014.
作者簡介
李常福(1973-),男,河南省信陽市人。大
學本科學歷。中級職稱。主要研究方向為信息
安全及云計算。
作者單位
鄭州市中心醫(yī)院 河南省鄭州市 450000
1 企業(yè)云安全面臨的威脅
一個存儲海量企業(yè)用戶數(shù)據(jù)的云存儲系
統(tǒng),存在著巨大的非法攻擊誘惑,一旦攻擊者
通過某種手段攻擊企業(yè)云數(shù)據(jù)系統(tǒng),將帶來不
可估量的經(jīng)濟損失。目前,企業(yè)云安全所存在
著普遍性的安全威脅主要包括以下幾個方面:
1.1 數(shù)據(jù)丟失和泄露
數(shù)據(jù)安全是企業(yè)用戶關(guān)注的重點問題,
由于數(shù)據(jù)泄漏會給企業(yè)帶來巨額損失,因此,
一般會采取相應(yīng)措施來保證數(shù)據(jù)的安全性。目
前對于企業(yè)云數(shù)據(jù),一方面攻擊者會通過木馬
程序或其他惡意程序來控制客戶端,進而獲取
和竄改企業(yè)數(shù)據(jù)。另一方面,因為云服務(wù)供應(yīng)
商隔離措施或安全策略的不當,也有可能導致
數(shù)據(jù)丟失或信息篡改。
1.2 網(wǎng)絡(luò)攻擊
在云環(huán)境中,應(yīng)用程序基本上是在網(wǎng)絡(luò)
上進行的,這就間接催生了網(wǎng)絡(luò)攻擊頻繁性和
危害性,網(wǎng)絡(luò)攻擊主要有以下兩種類型。第一
種是賬戶劫持。在云環(huán)境中,攻擊者利用釣魚
網(wǎng)站或軟件漏洞來攻擊企業(yè)用戶,進而獲取用
戶賬號及密碼信息,這樣就可以使用被竊取的
賬號密碼登陸云計算系統(tǒng),竊取或竄改企業(yè)用
戶云中的各類機密性數(shù)據(jù),給企業(yè)帶來巨大
的損失。第二種是拒絕服務(wù)攻擊。通過應(yīng)用層
DDOS 攻擊等方式阻止企業(yè)用戶對云服務(wù)的正
常訪問,這樣就會導致正常操作浪費大量的系
統(tǒng)資源,如內(nèi)存、硬盤空間和網(wǎng)絡(luò)帶寬等,降
低云計算服務(wù)器的反應(yīng)速度,也使企業(yè)用戶由
于資源的大量消耗而蒙受經(jīng)濟損失。這種攻擊
企業(yè)云安全面臨的威脅及防護方案分析
文/李常福
隨著信息時代的到來,傳統(tǒng)
的信息處理手段及模式已無法滿
足企業(yè)快速發(fā)展需要,基于企業(yè)
信息數(shù)據(jù)快速增長的實際情況,
考慮企業(yè)數(shù)據(jù)資源應(yīng)用效率的提
高以及存儲的安全性,云計算在
企業(yè)的應(yīng)用已是大勢所趨。雖然
云計算有諸多優(yōu)勢,但其發(fā)展歷
程較短,仍然面臨著諸多實際應(yīng)
用問題,其中安全問題就是一個
迫切解決的核心及關(guān)鍵問題,文
章在簡要概述目前企業(yè)云安全面
臨的威脅的基礎(chǔ)上,針對性、綜
合性的提出一些防護措施,以促
進云計算在企業(yè)的推廣和應(yīng)用。
摘
要
能夠?qū)崿F(xiàn)很大程度上是由于企業(yè)用戶數(shù)據(jù)中心
沒有做好針對性的安全防范措施。
1.3 技術(shù)漏洞
由于云技術(shù)發(fā)展歷程較短,其共享的平
臺組件及應(yīng)用程序還存在著一些安全漏洞,這
比其它安全問題更為危險和致命,嚴重情況下
會導致整個云計算系統(tǒng)癱瘓。另外,云計算資
源的虛擬化特征會給傳統(tǒng)安全策略在整個虛擬
網(wǎng)絡(luò)的全面應(yīng)用造成阻礙,虛擬化會增加認證
的困難,惡意代碼和病毒更容易傳播,安全問
題產(chǎn)生的機率也就更大。
2 企業(yè)云安全防護方案
基于上述企業(yè)云安全面臨的威脅的主要
威脅,可以通過以下綜合性的安全防護技術(shù)措
施來提高企業(yè)云安全性能。
2.1 云平臺物理安全
物理安全是云計算系統(tǒng)的第一道安全防
線,首先是環(huán)境安全的保障。溫度、濕度等環(huán)
境因素會影響云計算系統(tǒng)的穩(wěn)定運行,因此,
減少環(huán)境風險是企業(yè)云安全防護的基本前提。
云服務(wù)提供商要通過各項措施來保證運維環(huán)境
的安全性,除了安設(shè)一些必不可缺的設(shè)備外,
如溫度和濕度控制器、自動滅火系統(tǒng)等。還應(yīng)
配備支持特定環(huán)境的設(shè)備,如不間斷電源等,
以應(yīng)對各種突變的自然環(huán)境。其次是設(shè)備的維
護。為了保證設(shè)備的長期不間斷運行,需要定
期維護設(shè)備,并詳細記錄維護過程中所遇到的
各種疑似故障及實際故障。最后是網(wǎng)絡(luò)設(shè)備的
配置。云計算系統(tǒng)整體設(shè)備性能的提高是安全
防護的關(guān)鍵,特別是網(wǎng)絡(luò)設(shè)備。應(yīng)配置多臺交
換設(shè)備,網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)鏈路應(yīng)有冗余備份。
某一設(shè)備發(fā)生故障時應(yīng)具備自動恢復功能,且
企業(yè)網(wǎng)絡(luò)應(yīng)具有訪問控制、安全檢測、監(jiān)控、
報警、故障處理等功能。主機設(shè)備的核心應(yīng)采
用多機負載模式,某個主機若存在故障,其它
主機仍能正常運行,同樣服務(wù)器設(shè)備電源、風
扇等也應(yīng)采用冗余配置。
2.2 云平臺訪問控制
首先是網(wǎng)絡(luò)安全訪問控制。云平臺和企
業(yè)用戶之間采用路由控制方式,通過安全訪問
路徑的構(gòu)建提高網(wǎng)絡(luò)安全。避免在網(wǎng)絡(luò)邊界處
安置重要網(wǎng)段,應(yīng)對二者進行有效隔離。且利
用防火墻、IPS、ACL 等技術(shù)在重要業(yè)務(wù)網(wǎng)段
邊界進行隔離。具體而言主要可以采取以下措
施來控制云平臺網(wǎng)絡(luò):限制管理終端訪問網(wǎng)絡(luò)
設(shè)備;設(shè)置安全的訪問控制,過濾蠕蟲的常用
端口;關(guān)閉不使用的端口;關(guān)閉不必要服務(wù),
如 FTP、TFTP 服務(wù)等;修改 BANNER 提示,
避免默認 BANNER 信息泄露系統(tǒng)平臺及其他
信息。其次是邊界防護。清晰界定和綜合防護
系統(tǒng)邊界,科學劃分系統(tǒng)內(nèi)部區(qū)域,加強便捷
訪問控制,增加訪問控制配置,并使用防火墻
等訪問控制設(shè)備對高安全等級區(qū)域進行邊界防
護。最后是防火墻安全訪問控制。在防火墻上
配置常見病毒和攻擊端口的 ACL 過濾控制策
略,防止發(fā)生病毒或蠕蟲擴散,影響核心設(shè)備
正常工作。
2.3 云安全數(shù)據(jù)庫及配置安全
對于云數(shù)據(jù)庫,應(yīng)采用 C2 以上安全控制
標準及多層次安全控制原則。操作系統(tǒng)軟件應(yīng)
能根據(jù)任務(wù)合理地分配系統(tǒng)資源,避免由于資
源枯竭而停機。軟件系統(tǒng)應(yīng)具備良好的容錯能
力,保證某一進程故障的出現(xiàn)不會影響其它進
程的運行,且能自動進行升級,并具備自動恢
復功能,使系統(tǒng)在故障情況下能快速自動恢復。
2.4 云安全監(jiān)控
云安全監(jiān)控的目的是確保云平臺的可用
性,是安全防護過程中不可或缺的。首先是日
志監(jiān)控。通過監(jiān)控系統(tǒng)的輸出日志來監(jiān)控相關(guān)
事件。其次是性能監(jiān)控。通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)
以及應(yīng)用等內(nèi)容,保證云計算平臺的穩(wěn)定運行,
一旦平臺發(fā)生了故障,能迅速報警。
2.5 云安全審計
云安全審計包括日志收集、數(shù)據(jù)庫審計、
網(wǎng)絡(luò)審計等。云服務(wù)提供商需要部署網(wǎng)絡(luò)和數(shù)
據(jù)審計措施,對網(wǎng)頁內(nèi)容、郵件內(nèi)容等敏感信
息進行審計;完善地記錄其日志信息,建立良
好的審核機制,并合理地整理相應(yīng)的目志記錄,
增強違規(guī)事件發(fā)生之后的審查能力。
3 結(jié)語
企業(yè)云安全面臨的威脅是復雜多樣的,必
須針對各類安全問題采取有效性的安全防護策
略,進而保證企業(yè)的各類數(shù)據(jù)信息安全,同時
也能促進云計算機系統(tǒng)在企業(yè)的推廣和應(yīng)用。
參考文獻
[1] 聶亞偉 . 企業(yè)網(wǎng)絡(luò)安全解決方案研究與設(shè)
計 [D]. 邯鄲:河北工程大學 ,2014.
作者簡介
李常福(1973-),男,河南省信陽市人。大
學本科學歷。中級職稱。主要研究方向為信息
安全及云計算。
作者單位
鄭州市中心醫(yī)院 河南省鄭州市 450000
本站論文資源均為來自網(wǎng)絡(luò)轉(zhuǎn)載,免費提供給廣大作者參考,不進行任何贏利,如有版權(quán)問題,請聯(lián)系管理員刪除! 快速論文發(fā)表網(wǎng)(www.6scc.cn)本中心和國內(nèi)數(shù)百家期刊雜志社有良好的合作關(guān)系,可以幫客戶代發(fā)論文投稿.
投稿郵箱:ksfbw@126.com
客服Q Q:
82702382
聯(lián)系電話:15295038833
本站論文資源均為來自網(wǎng)絡(luò)轉(zhuǎn)載,免費提供給廣大作者參考,不進行任何贏利,如有版權(quán)問題,請聯(lián)系管理員刪除!