云计算系统中的安全问题ppt课件

1、 单租户 到 多租户 数据和效力外包 计算和效力虚拟化 大规模数据并行处置云计算资云计算资源池源池存储才干存储才干 监控管理监控管理计算才干计算才干云计算的特点安全威胁数据和服务外包数据和服务外包（1 1）隐私泄露）隐私泄露（2 2）代码被盗）代码被盗多租户和跨域共享多租户和跨域共享（1 1）信任关系的建立、管理和维护更加困难）信任关系的建立、管理和维护更加困难; ;（2 2）服务授权和访问控制变得更加复杂；）服务授权和访问控制变得更加复杂；（3）反动、黄色、钓鱼欺诈等不良信息的）反动、黄色、钓鱼欺诈等不良信息的云缓冲云缓冲（4）恶意）恶意SaaS应用应用虚拟化虚拟化（1 1）用户通过租用大量

2、的虚拟服务使得协同攻击变得）用户通过租用大量的虚拟服务使得协同攻击变得更加容易，隐蔽性更强；更加容易，隐蔽性更强；（2 2）资源虚拟化支持不同租户的虚拟资源部署在相同）资源虚拟化支持不同租户的虚拟资源部署在相同的物理资源上，方便了恶意用户借助共享资源实施的物理资源上，方便了恶意用户借助共享资源实施侧通侧通道攻击。道攻击。 由此可见，云计算环境的隐私平安、内容平安是云计算研讨的关键问题之一，它为个人和企业放心地运用云计算效力提供了保证，从而可促进云计算继续、深化的开展。安全性要求对其他用户对服务提供商数据访问的权限控制存储隔离存储加密、文件加密数据运行时的私密性虚拟机隔离、操作系统隔离操作系统隔

3、离数据在网络上传输的私密性传输层加密网络加密数据完整性数据检验数据持久可用性数据备份、数据镜像、分布式存储数据访问速度高速网络、数据缓存、CDN 目前的技术可以防止来自其他用户的平安要挟，但是对于效力提供商，想要从技术上完全杜绝平安要挟还是比较困难的，在这方面需求非技术手段作为补充。 一些传统的非技术手段可以被用来约束效力提供商，以改善效力质量，确保效力的平安性。图图1A 1A 云计算系统的体系框架云计算系统的体系框架 图图1B 1B 云计算平安架构云计算平安架构(1) 加密字符串的准确检索基于离散对数的密文检索技术基于Bilinear Map的密文检索技术(2) 加密字符串的模糊检索基于Bl

4、oomFilter的密文检索技术基于矩阵和向量变换的密文检索技术(3) 加密数值数据的算术运算基于矩阵和向量变换的密文计算技术含加/减/乘/除运算(4) 加密数值数据的排序运算 (1) 多虚拟机环境下基于多虚拟机环境下基于Cache的侧通道攻击的实现的侧通道攻击的实现(2) 基于行为监控的侧通道攻击识别方法基于行为监控的侧通道攻击识别方法(3) 基于基于VMM的共享物理资源隔离算法的研讨的共享物理资源隔离算法的研讨(4) 侧通道信息模糊化算法的研讨与实现侧通道信息模糊化算法的研讨与实现经过在物理机、虚拟经过在物理机、虚拟机和虚拟机管理程序机和虚拟机管理程序三个方面添加功能模三个方面添加功能模块

5、来加强虚拟机的平块来加强虚拟机的平安，安，包括云存储数据隔离包括云存储数据隔离加固技术和虚拟机隔加固技术和虚拟机隔离加固技术等。离加固技术等。 云计算运用方式下的互联网平安的法律与法规问题。 云计算平台的平安风险评价与监管问题。 第三方认证 第三方认证是提升信任关系的一种有效手段，即采用一个中立机构对信任双方进展约束。 企业信誉 企业信誉对于任何一个竞争领域的企业来讲都是至关重要的。普通来讲，越大的企业对于本身信誉越看重，不会由于利益去窃取客户的数据。 合同约束 目前曾经有很多云计算效力提供商退出了本人的云计算效力的效力程度协议，这些协议从效力质量、技术支持和知识产权等方面对效力进展了规范，对

6、效力提供者与运用者的权益和义务进展了明确。 目前，绝大多数企业在信息平安建立过程中都面临着各种各样的挑战，从规划、管理，到技术、运作不一而足。例如，没有总体的信息平安规划，平安防御呈碎片化；平安认识不到位，经常在遭到攻击甚至呵斥损失后才认识到问题，平安建立受详细事件驱动；企业应对经济不景气所采取的裁员战略有能够将部分风险由外部转化到内部；平安体系的法规服从问题日益突出 遵照IBM企业信息平安框架的方法论与实施原那么，企业可以从根本上处理上述种种难题，由于企业信息平安框架正是用于指点企业或组织如何根据业务需求，明确风险情况与平安需求、确立企业信息平安架构蓝图及建立道路图，并选择相应的平安功能组件

7、。所以，经过这一框架，企业可以全面了解，并从整体上对信息平安进展把控。 IBM企业信息平安框架从上到下由三个主要层次组成：平安治理风险管理及合规层、平安运维层、根底平安效力和架构层。其中平安治理风险管理及合规层是后两者的实际根据，平安运维层是对信息平安全生命周期的管理，而根底平安效力和架构层那么是企业平安建立技术需求和功能的实现者。 三个层次 平安治理、风险管理和合规 平安运维 根底平安效力和架构 平安治理、风险管理和合规平安治理、风险管理和合规处于企业信息平安框架的最顶层，是业务驱处于企业信息平安框架的最顶层，是业务驱动平安的出发点。经过对企业业务和运营风动平安的出发点。经过对企业业务和运营

8、风险进展评价，确定其战略和治理框架、风险险进展评价，确定其战略和治理框架、风险管理框架，定义合规和战略服从，确立信息管理框架，定义合规和战略服从，确立信息平安文档管理体系。平安文档管理体系。 平安运维平安运维平安运维是指在平安战略的指点下，平安组平安运维是指在平安战略的指点下，平安组织利用平安技术来达成平安维护目的的过程。织利用平安技术来达成平安维护目的的过程。主要包括平安事件监控、平安事件呼应、平主要包括平安事件监控、平安事件呼应、平安事件审计、平安战略管理、平安绩效管理、安事件审计、平安战略管理、平安绩效管理、平安外包效力。平安运维与平安外包效力。平安运维与IT运维相辅相成、运维相辅相成、

9、互为依托、共享资源与信息，它与平安组织互为依托、共享资源与信息，它与平安组织严密联络，交融在业务管理和严密联络，交融在业务管理和IT管理体系中。管理体系中。 根底平安效力和架构根底平安效力和架构根底平安效力和架构定义和包含了企业平安根底平安效力和架构定义和包含了企业平安框架中的五个中心的根底技术架构和相关效框架中的五个中心的根底技术架构和相关效力：物理平安、根底架构平安、身份力：物理平安、根底架构平安、身份/访问平访问平安、数据平安和运用平安。根底平安效力和安、数据平安和运用平安。根底平安效力和架构是平安运维和管理的对象，其功能由各架构是平安运维和管理的对象，其功能由各自子系统提供保证。自子系

10、统提供保证。 企业信息平安框架V5.0平安治理、风险管理和合规平安运维物理平安根底架构平安运用平安数据平安身份/访问平安根底平安效力和架构机房平安网络平安运用开发生命周期平安数据生命周期管理战略和治理框架平安事件监控平安事件呼应平安事件审计平安战略管理平安绩效管理平安外包效力业务流程平安Web 运用平安运用开发环境平安主机平安终端平安视频监控平安数据泄露维护数据加密数据归档灾难备份身份验证访问管理身份生命周期管理合规和战略服从风险管理框架平安治理、风险管理和合规l企业平安战略规划效力lISO27001认证指点咨询效力l信息平安管理体系培训效力l平安管理差距分析效力l信息平安管理体系咨询及设计效

11、力l企业信息系统风险评价效力lPCI DSS合规服从效力l信息平安等级维护合规服从效力根底平安效力和架构根底架构平安l根底架构平安评价效力l网络入侵防护系统l一致要挟管理系统l脆弱性管理系统l网络平安加固效力l主机入侵防护系统l主机访问控制系统l主机系统加固效力l终端平安控制系统物理平安l机房物理平安评价效力l机房物理平安设计效力l智能视频监控平台建立效力数据平安l数据生命周期平安评价效力l数据平安管理规范设计效力l数据平安维护系统集效果劳l数据敏感性分析效力l数据防丧失集效果劳l数据加密维护效力l数据归档设计及实施效力l信息系统灾难恢复的规划及实施运用平安l运用开发生命周期平安评价和设计效力

12、l运用系统代码审计效力l浸透测试效力l运用平安规范设计效力l运用平安评测效力l网页防篡改效力lWeb运用浸透测试及评价l运用开发环境平安评价及建立效力身份/访问平安l一致身份及访问管理架构设计效力l一致身份及访问管理平台建立效力l强身份认证集效果劳l运用系统身份及访问管理平台整合效力l企业单点登录(ESSO)集效果劳l一致身份及访问管理帐号清理效力l一致身份及访问管理帐号管理流程设计及实施效力平安运维l平安运维管理中心设计及建立效力l平安运维管理平台规划及建立效力l平安战略的开发及制定效力l平安事件审计咨询效力l平安事件审计平台的规划及建立效力l操作行为审计平台规划及建立效力l管理平安效力l平

13、安事件呼应流程设计效力l平安应急呼应效力l平安绩效考核体系设计 IBMIBM企业信息平安框架可以：企业信息平安框架可以： - - 协助客户获得信息平安建立的全景视图；协助客户获得信息平安建立的全景视图； - - 呈现给客户目前平安建立所存在的差距；呈现给客户目前平安建立所存在的差距； - - 协助客户识别业务风险；协助客户识别业务风险； - - 协助客户识别平安才干现状，协助客户识别平安才干现状， 以作为协助客户躲避相应风险的技术指以作为协助客户躲避相应风险的技术指点；点； - - 协助客户发现平安才干差距弥补的方法；协助客户发现平安才干差距弥补的方法； - - 协助客户指定平安建立的优先级。

14、协助客户指定平安建立的优先级。 IBMIBM企业信息平安框架企业信息平安框架v5.0v5.0将作为客户需求和将作为客户需求和IBMIBM信息平安处信息平安处理方案的桥梁。成为客户和理方案的桥梁。成为客户和IBMIBM共通的言语。共通的言语。 IBMIBM企业信息平安框架企业信息平安框架v5.0v5.0中的每一个模块都对应了一系列中的每一个模块都对应了一系列的的IBMIBM信息平安效力。它可以协助信息平安效力。它可以协助IBMIBM销售团队快速的了解客销售团队快速的了解客户的平安需求并提供恰当的信息平安处理方案。户的平安需求并提供恰当的信息平安处理方案。 IBMIBM企业信息平安框架企业信息平安

15、框架v5.0v5.0将成为将成为IBMIBM规范化的可复用知识资规范化的可复用知识资产，降低为客户做架构设计的反复投资本钱，在提高有效知产，降低为客户做架构设计的反复投资本钱，在提高有效知识资产利用率的同时，协助企业加速平安建立的周期，降低识资产利用率的同时，协助企业加速平安建立的周期，降低设计实施的风险。设计实施的风险。 IBMIBM企业信息平安框架企业信息平安框架v5.0v5.0协助协助IBMIBM信息平安效力产品线成为信息平安效力产品线成为平安架构设计领域的指点者。平安架构设计领域的指点者。 IBMIBM企业信息平安框架企业信息平安框架v5.0v5.0来源于来源于IBM ISFIBM I

16、SF和和ESAESA的平安架构的平安架构建立方法论。并在此根底上针对中国客户的需求做了客户化建立方法论。并在此根底上针对中国客户的需求做了客户化的定制，使得架构建立的理念和方法更加适宜于本地客户的定制，使得架构建立的理念和方法更加适宜于本地客户ITIT建立的要求。建立的要求。(1)(1)基于本体论的多决策因基于本体论的多决策因子动态信任关系量化模型子动态信任关系量化模型; ;(2)(2)基于机器学习的、具有基于机器学习的、具有可扩展性的动态信任评价可扩展性的动态信任评价与演化模型与演化模型; ;(1)(1)支持用户运用各种加支持用户运用各种加密算法；密算法；(2)(2)加密算法具有不确定加密算法具有不确定性；性；(3)(3)支持模糊检索。支持模糊检索。虚拟机经过读取内存的虚拟机经过读取内存的时间来反映物理时间来反映物理CPU CPU CacheCache的变化情况，从的变化情况，从而间接反映而间接反映CPUCPU的负载。的负载。(1)(1)采用