版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
云计算模式下移动互联网的安全监控
特别随着3G/LTE的发展和云计算应用模式的引入,使宽带移动互联网安全问题变得更加复杂,给移动互联网的安全带来了前所未有的挑战。云计算的虚拟化、多租户和动态性引入了一系列新的安全问题,主要表现在数据安全、隐私保护、内容安全、运行环境安全、风险评估和安全监管等多个方面。同时各种传统的安全问题在云计算和移动互联网中愈加突出突出,入侵、攻击和病毒行为正向规模化、趋利化、复杂化和交叉化等方向发展。依靠传统孤立的采用一种安全产品或技术来解决网络与信息安全已经非常困难。云计算环境下移动互联网用户信息安全保护、虚拟化安全环境、动态安全防护服务等安全问题需要引起高度重视。系统总体技术方案本系统采用创新的云计算模式全局安全深度防护体系架构,主要由外部云计算/互联网安全监控网关、内部云计算/云存储安全防护、接入安全监控与认证、安全监护中心等部分组成。提供云计算应用模式下移动互联网的风险模型、多租户云应用模式下的数据安全与隐私保护、虚拟运行环境安全、云计算和终端安全的评测、移动互联网总体安全体系和业务安全保障体系等功能。内部云计算/云存储业务系统、移动互联网及其终端接入系统、移动互联网安全监护中心构成基于全局认证的深度安全主动防御系统,该系统通过安全网关跟外部云计算/互联网相连。图1.云计算应用模式下全局安全深度防护体系终端访问双向认证、授权内联、访问控制:针对终端系统可能直接通过旁路(WiFi等)与外部互联网相通而造成复杂安全问题,安全监护中心与嵌入在终端上的安全中间件客户端相配合,实施基于全局等技术,隔离终端与外网外云的操作不造成对内网的直接威胁。全局监控、深度安全防御:同时,对内部业务/数据云实施基于全局认证的多级深度安全防护措施,保证内部业务系统的安全性。敏感数据分层保护、密室隔离、授权访问、自动修复:内部业务/数据云采用基于安全加固的分层隔离、授权访问、动态加密等技术,将关键数据、敏感信息存放在安全隔离的“密室”中,对这些数据的访问必须在授权、认证、临时密钥的条件下才能进行,从而保证了在多租户、虚拟存储环境下关键敏感数据、隐私信息的高安全性。关键技术创新特点一:云计算应用模式下移动互联网的安全威胁模型基于对宽带移动互联网、云计算平台与应用、传统互联网等全方位安全威胁的研究,构建出云计算应用模式下移动互联网的风险体系模型。图2.云计算应用模式下移动互联网的安全威胁模型在此基础上,采用云计算、云安全、移动互联网安全方面的的创新性研究成果,规划设计云计算应用模式下移动互联网的安全保障体系——基于全局安全认证的深度防御保障体系。特点二:基于云海操作系统的数据安全隔离和透明存储。在浪潮云海操作系统LC-OS的支持下,利用创新的智能虚拟存储引擎iC-SVC的分域安全密室技术,实现数据隔离分层分块存储、数据安全透明转移。虚拟机及其数据安全隔离——可对虚拟机设置专门的安全隔离区(安全“密室”),隔离区之间的数据迁移必须通过强安全认证和授权,从而阻断不同虚拟机及其隔离区之间的数据混泄,保证放到安全隔离区中的各种关键数据、敏感数据的高安全性。图3.基于云海操作系统的数据安全存储架构数据分域定位安全存储——高安全等级要求的关键数据以及对性能要求高的数据可以放在隔离存储阵列的内部,次关键数据和一般数据可以放在外挂存储上,而对以上的数据都可以通过容灾软件实现容灾。动态灵活的存储管理——强大灵活的资源调度与和组合式应用配置功能,可依据负载情况实现业务、资源的动态调度、基于拓扑的软硬件资源组块配置,能快捷地满足客户动态多变、丰富多样的应用需求。支持大规模管理架构——采用多级联管理体系,可以通过级联方式实现资源的整合管理,可以有效实现超海量存储支持共享存储与分布式云存储组合模式——克服了纯共享存储模式一旦宕机将导致所有虚拟机业务的崩溃的问题。特点三:虚拟存储环境深度安全防御技术采用全局接入认证、安全策略匹配、数据隔离、关键数据加密、数据智能修复等方法,构建虚拟存储深度自动防御系统。面对复杂的网络安全行为,最有效的防御策略即是将网络安全防御技术应用于在整个网络中,而不是在单点进行网络安全的防护部署。图4.基于全局安全接入认证及自动防御系统分层安全访问控制:通过对接入行为进行有效识别、认证,采取针对性的安全策略设定,并对用户进行强制安全控制,做到防患于未然。而对于关键网络区域数据的保护,全局安全一体化可以通过将安全客户端和安全联动设备的有效结合,有效控制终端用户的网络访问行为。敏感数据的隔离与加密:在云存储系统中,虚拟存储管理引擎iSVC,基于统一资源存贮映像和密室隔离技术,将数据存放到不同层面、不同分域的独立区域。并进一步对敏感数据实施加密,只有通过交叉授权的用户通过双向认证后,才能访问自己的数据,从而保证了敏感数据的高安全性。ISVC为加密数据创建专门的拓扑检索视图,以便保证加密数据的授权检索性。多维隔离式虚拟存储引擎(iSVC):iSVC是模块化的结构,由多个Cluster节点组成一个大型的存储池,其中的若干存储设备以一个统一逻辑设备存在,可以被系统中所有服务器访问,防止出现存储设备的信息孤岛。主机也可以有多条数据通路同虚拟引擎,多条路径并发工作。基于统一映像的资源存储管理:iSVC采用基于统一拓扑映像的全局资源管理技术,将所有设备都是其物理设备的逻辑映像,即使物理存储发生变化,这种逻辑映像也不会改变,存储对用户来说将变得透明,与底层细节无关。真正的实现不同存储之间的文件、数据块、对象级别的隔离存储或共享。安全透明的数据迁移:在iSVC的统一拓扑映像下,可实现数据存放位置对用户透明的隔离保护。支持基于用户需求的数据位置控制,实施对关键数据、敏感信息的多层加固隔离,能够在云计算环境的多租户架构上,把用户的数据与其他客户的数据实现物理隔离。当iSVC被加入到一个现有的SAN环境中时,不需要做数据迁移,iSVC把现有的磁盘配置原封不动的继承下来,这样对服务器上的应用是完全透明的。当iSVC完全配置好以后,它又可以将原先磁盘上的卷及数据透明的迁移到其他真正的虚拟卷中。所有的迁移过程对服务器透明,因此不需要中止应用。动态加密和交叉认证:对于存放在安全隔离区“密室”内的关键数据、敏感数据、隐私信息,采用基于分域数据加密和双因子认证,能有效保护无意或恶意泄露云服务器上的数据和传送给最终用户的数据。确保只有可以访问数据的用户才能看到数据。数据自动修复和连续容灾恢复:全局安全接入认证及自动防御系统提供的自动修复(自愈)功能,即能够通过自动使受损系统得以快速恢复,并保证即使在系统不断遭受攻击时,大部分资源仍时刻处在正常使用状态下。对敏感数据、隐私数据、关键业务实施拓扑连续监护和灾难恢复,确保云环境中的数据安全和隐私信息的机密性特点四:基于加固SSR的交叉授权动态加密技术采用基于安全加固服务器的交叉授权、双向认证、密钥动态地实时分发以及密钥及时销毁等技,对整个访问过程进行端到端的加密保护,不仅能有效地保护数据访问操作的全程安全,也能有效地监控防御黑客、木马、甚至云计算中心的管理人员对敏感数据的非法访问、偷窥,从而有效地保证关键数据、敏感信息的高安全性。利用本单位创新的的安全加固服务SSR系统基于先进的ROST技术,完全不同于防火墙和IDS等外层安防技术,而是深入到操作系统、数据库底层对文件、数据、进程、注册表和服务进行强制访问控制和完整性检验,同时利用固化的带外授权密钥,对各种加载运行的应用程序进行动态密钥、交叉认证,从根本上防止了病毒、木马、黑客等各种非法攻击行为。图5:SSR动态加密技术的关键内容这些关键支撑技术主要包括:基于固化SSR的加密控制和动态交叉认证、严密的带外密钥授权控制、固化的多点密钥可靠管理技术、端到端立体安全监控技术、自动化管控溯源追踪技术、智能化容错运行与异常处理技术等。系统应用效果本系统通过构建具有全局安全接入认证、云安全隔离存储、内外云应用隔离、网络安全监控、终端访问控制、关键数据授权加密等功能的全局深度防护体系,实现了面向客户个性化安全服务需求的安全服务管理,为客户提供差异化、多层面、多维度、端到端安全监控防护。全局深度防护体系包括从终端、到网络、到云端全覆盖的的全局总体监控架构、密钥安全管理、身份认证、访问安全控制、信任机制、应用软件接入安全监控、应用程序运行安全监控、信息内容识别与过滤、管控溯源技术以及异常处理、第三方安全工具集成等,重点研究解决移动互联网和云应用系统的安全运行安全监控、安全部署、信息安全管理与保护、安全服务等问题。与传统的互联网相比,移动互联网面临更为严峻的安全威胁与攻击,如身份欺骗、拒绝服务攻击、非法入侵、数据窃取、病毒或恶意代码攻击等,需要采用各种安全技术为用户提供电信级别的安全服务,使移动互联网成为一个可管可控可信的网络。主要实现的功能包括以下各项。特点一:密钥安全管理密钥管理包括从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。本项目的密钥管理采用基于X.509证书的PKI方案。特点二:基于角色授权和双向认证的访问安全控制在移动互联网中,采用云认证机制保障用户身份安全,给用户提供单点登录、实现实体间相互认证、支持各参与方的协同工作、支持动态区域内的安全管理。支持双因子身份鉴定机制,在Web联接中采用双向身份鉴定,双向鉴定确保联接的每一端都是安全的,证实Web应用客户机侧和服务器侧都是安全的;也可以建立SSL协议加密通信联线、确保对话的机密性和完整性,防止第三方闯入对话、消除被欺骗的可能性和引入木马;特点三:对网络入侵和异常流量的管控对与网络入侵和异常,可以通过包分析、行为模式分析等方式来寻找入侵的来源或者导致入侵的系统漏洞,然后通过技术或者管理手段来解决这些问题,从而防止网络入侵和异常的再度发生。特点四:信息内容识别与过滤技术方案信息内容识别与过滤技术是移动互联网内容安全的核心技术,采用传统的网络采集器和数据包抓取两种方式采集信息;采用特征匹配和关键字过滤相结合的方式进行信息过滤;采用基于文档结构和基于文档特征的两种方式进行信息抽取;采用描述优先思想将文本根据其描述的内容和特征分成不同的类别;采用基于功率谱的计算方式来判断话题的热度;采用关键字匹配的方式来判定话题的敏感度;根据数据的相关性来对话题进行短期趋势预测
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2023年护理人员分层培训、考核计划表
- 《粉末冶金成形》课件
- 妇科医疗质量分析
- 小学二年级数学100以内加减法竖式计算同步监控口算题
- 医疗产品说明
- 《汽车新式装备》课件
- 微课如何撰写岗位说明书之基本信息财经管理人力资源管理系
- 特别护理记录单的书写方法记录内容
- 《员工安全技术教育》课件
- 《儿童脑瘫康复》课件
- 2020心肌梗死后心力衰竭防治专家共识课件
- 蓄水池防水施工方案
- 隧道的衬砌计算(85页清楚明了)
- 人教版八年级(初二)数学上册全册课件PPT
- Q∕GDW 10202-2021 国家电网有限公司应急指挥中心建设规范
- CNAS-CL01:2018(ISO17025:2017)改版后实验室首次内审及管理评审资料汇总
- 护理不良事件-PPT课件
- 商业银行两地三中心数据容灾备份方案建议书
- 审核评估报告(课堂PPT)
- 体育运动中的二次函数
- 烹饪烹饪营养与卫生教案
评论
0/150
提交评论