云计算技术应用基础 课件 第6章 云安全与新兴技术

云计算技术应用基础（微课版）工业和信息化精品系列教材——云计算技术第6章云安全与新兴技术云桌面云安全概述云计算相关的其他领域技能实践6.1.1云安全与传统安全1．云安全与传统安全比较传统安全和云安全的相同之处如下。目标相同保护对象相同它们都用于保护信息、数据的安全和完整。它们保护的对象均为系统中的用户、计算、网络、存储资源等。技术类似其包括加解密技术、安全检测技术等。6.1.1云安全与传统安全2．云安全面临的挑战数据集中业务模式开放接口法律方面管理方面系统复杂防护机制6.1.1云安全与传统安全3．云安全主要内容数据安全云用户和云服务提供商应避免数据丢失及被窃，无论使用哪种云计算的服务模式（SaaS、PaaS、IaaS），数据安全都变得越来越重要。云计算服务模式下的数据安全包括数据传输安全、数据隔离和数据残留等。应用安全由于云环境的灵活性、开放性以及公众可用性等特性，给应用安全带来了很多挑战。云服务提供商在云主机上部署的Web应用程序应当充分考虑来自互联网的威胁，主要包括终端用户安全、SaaS应用安全、PaaS应用安全、IaaS应用安全等。虚拟化安全虚拟化软件的安全。虚拟化技术包括全虚拟化或半虚拟化等。在虚拟化过程中，有不同的方法可以通过不同层次的抽象来实现相同的结果。虚拟服务器的安全。虚拟服务器位于虚拟化软件上。传统的对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上，但需要兼顾虚拟服务器的特点。0102036.1.2云安全体系架构1．云计算安全参考模型6.1.2云安全体系架构2．云计算安全模型分析6.1.3安全即服务1．SECaaS的优势人员力量增强提供专业技术知识身份管理网络层保护虚拟机管理将信息安全定位为业务推动力提供先进的安全工具6.1.3安全即服务2．SECaaS应用领域Web安全电子邮件安全安全评估入侵检测/防护安全信息和事件管理加密网络安全身份、授权和访问管理服务数据泄露防护业务连续性和灾难恢复6.1.4云计算技术框架云计算技术体系融合了诸多传统IT技术，从IaaS、PaaS和SaaS及其主要支撑技术角度观察，云计算技术框架示意如图所示。6.1.4云计算技术框架1．IaaS层主要技术（3）关系数据库其基本上是在原有的关系数据库的基础上做了扩展和管理等方面的优化，使其在云中更适应。（1）系统虚拟化可以理解为基础设施层的“多租户”，因为通过虚拟化技术，能够在一个物理服务器上生成多个虚拟机，并且能在这些虚拟机之间实现全面的隔离，这样不仅能降低服务器的购置成本，还能降低服务器的运维成本。（4）NoSQL为了满足一些关系数据库所无法满足的需求，如支撑海量的数据等，一些公司设计了一批不是基于关系模型的数据库（如GoogleBigTable和FacebookCassandra等）。（2）分布式存储为了承载海量的数据，同时保证这些数据的可管理性，需要一整套分布式的存储系统（如GFS等）。6.1.4云计算技术框架2．PaaS层主要技术（1）REST通过描述性状态迁移（RepresentationalStateTransfer，REST）技术，能够非常方便地将中间件层所支撑的部分服务提供给调用者。（2）多租户这是指能让一个单独的应用实例为多个租户服务，而且能保持良好的隔离性和安全性。通过这种技术，能有效地降低应用的购置和维护成本。（3）并行处理为了处理海量的数据，需要利用庞大的x86集群进行规模巨大的并行处理，GoogleMapReduce是这方面的代表之作。（4）应用服务器在原有的应用服务器基础上为云计算进行了大量的优化，如用于GAE的Jetty应用服务器。（5）分布式缓存通过分布式缓存技术，不仅能有效地降低对后台服务器的压力，还能加快相应的反应速度。比较有名的分布式缓存莫过于Memcached。6.1.4云计算技术框架3．SaaS层主要技术（1）HTML其为标准的Web页面技术，现在正处于从HTML4向HTML5过渡的阶段，HTML5会在视频和本地存储等方面推动Web页面的发展。（2）JavaScript其为一种用于Web页面的动态语言，借助JavaScript能够极大地丰富Web页面的功能。比较流行的JavaScript框架有jQuery和Prototype。（3）CSS串联样式表（CascadingStyleSheets，CSS）主要用于控制Web页面的外观，而且能使页面的内容与其表现形式之间进行分离。（4）Flash其为业界最常用的富互联网应用（RichInternetApplication，RIA）技术之一，它能够在现阶段提供HTML等技术所无法提供的基于Web的富应用，能够让用户获得很好的用户体验。（5）Silverlight来自业界巨擘微软的Silverlight技术，虽然其现在市场占有率稍逊于Flash，但它可以使用C#来进行编程，因此对开发者非常友好。云桌面云安全概述云计算相关的其他领域技能实践6.2.1云桌面概述1．云桌面优势（1）工作桌面集中维护和部署，桌面服务能力和工作效率得到了提高。（2）业务数据远程隔离，有效保护数据安全。（3）多终端多操作系统的接入，方便用户使用。6.2.1云桌面概述1．云桌面优势项目云桌面传统PC硬件要求客户端要求很低，仅需要简单的终端设备、显示设备和输入/输出设备；服务器端需要较高配置终端对于硬件要求较高，需要强大的处理器、内存及硬盘支持；服务器端根据实际业务需要弹性变化网络要求单个虚拟桌面的网络带宽需求低；但如果没有网络，独立用户终端将无法使用对于网络带宽属于非稳定性需求，当进行数据交换时带宽要求较高；在没有网络的情况下，可独立使用可管理性可管理性强。终端用户对应用程序的使用可通过权限管理；后台集中式管理，客户端设备趋于零管理；远程集中系统升级与维护，只需要安装升级虚拟机与桌面系统模板，瘦客户端即可自动更新桌面用户自由度比较大。使用者的管理主要是通过行政手段进行；客户端设备管理工作量大；客户端配置不统一，无统一管理平台，不利于统一管理；系统安装与升级不方便安全性本地不存储数据，不进行数据处理，且传输的屏幕信息经过高位加密；由于没有内部软驱、光驱等，可防止病毒从内部对系统的侵害；采用专用的安全协议，实现设备与操作人员身份双认证数据在网络中流动，被截获的可能性大；本机面临计算机病毒、各类威胁和破坏，病毒传入容易，对病毒的监测不易；没有统一的日志和行为记录，不利于安全审计；操作系统和通信协议漏洞多，认证系统不完善升级压力终端设备没有性能不足的压力，升级要求小，整个网络只有服务器需要升级，生命周期为5年左右，升级压力小由于机器硬件性能不足而引起硬件升级或淘汰，生命周期为3年左右，设备升级压力大，对于网络带宽也有升级要求维护成本没有易损部件，硬件出现故障的可能性极低；远程技术支持或者更换新的瘦客户端设备；通过策略部署，出现问题实时响应维护、维修费用高；安装系统与软件修复及硬件更换周期长；自主维护或外包服务响应均需较长时间节能减排云终端电量消耗很小，环境污染减少独立PC电量消耗很大，集中开启时需要空调制冷6.2.1云桌面概述2．云桌面的业务价值（3）应用环保采用云桌面解决方案以后，每个瘦客户端的电量消耗量只有原来传统PC桌面的8%左右，所产生的热量大大减少了，低碳环保的特点非常明显。（1）集中管理在云桌面解决方案中，管理是集中化的，IT工程师通过控制中心管理成百上千的虚拟桌面，所有的更新、弥补漏洞都只需要更新一个基础镜像，修改镜像只需要在几个基础镜像上进行，这样可大大节约管理成本。（4）成本减少相比于传统PC的桌面，云桌面在整个生命周期中的管理、维护和能量消耗等方面的成本大大降低了。在硬件成本方面，云桌面应用初期在硬件上的投资是比较大的，但从长远来看，与传统PC桌面的硬件成本相比，云桌面的总成本可以减少40%左右。（2）安全性高在云桌面解决方案中，所有的数据及运算都在服务器中进行，客户端只是显示其变化的影像而已，所以不需要担心客户端非法窃取资料。IT部门根据安全挑战制定各种新规则，这些新规则可以迅速地作用于每个桌面。020401036.2.1云桌面概述3．普通桌面、虚拟化桌面和移动化桌面以PC或便携机为代表，终端作为IT服务提供的载体，每个用户都拥有单独的桌面终端，大部分用户数据保存在终端设备上。终端拥有比较强的计算、存储能力，基于个人实现便捷、灵活的业务处理和服务访问。通过虚拟化的方式访问应用和桌面，数据统一存放在云计算数据中心中，终端设备可以是非常简单、标准的小盒子。IT服务覆盖前端和后端，提高了端到端IT服务的效率，通过社交与工作的有效融合，实现了“永远在线”。将企业IT应用与移动终端融合，数据存放在企业沙箱中，安全受控。通过企业和个人移动终端App交付、应用和内容管理，实现随时随地、无缝的业务访问，从而带来更多的服务创新和增值。普通桌面虚拟化桌面移动化桌面云桌面不是简单的一个产品，而是一种基础设施，其组成架构较为复杂，根据具体应用场景的差异以及云桌面提供商的不同有不同的形式。通常云桌面可以分为终端设备层、网络接入层、云桌面控制层、虚拟化平台层、硬件资源层和应用层6个部分。6.2.2云桌面的基本架构6.2.3桌面虚拟化技术1．虚拟桌面基础架构VDI是在数据中心通过虚拟化技术为用户准备好安装Windows或其他操作系统和应用程序的虚拟机。用户从客户端设备使用桌面显示协议与远程虚拟机进行连接，每个用户独享一个远程虚拟机。所有桌面应用和运算均发生在服务器中，远程终端通过网络将鼠标、键盘信号传输给服务器，而服务器则通过网络将输出信息传到终端的输出设备（通常只是输出屏幕信息）。集中管理、集中运算安全可控多种接入方式降低运维成本6.2.3桌面虚拟化技术2．虚拟操作系统架构VOI也称为物理PC虚拟化或虚拟终端管理。VOI充分利用了用户本地客户端（利旧PC或高端云终端），桌面操作系统和应用软件集中部署在云端，启动时云端以数据流的方式将操作系统和应用软件按需传送到客户端，并在客户端执行运算。VOI中的计算发生在本地，桌面管理服务器仅做管理使用。该方案将桌面需要的应用收集到服务器来集中管理，在客户端需要时将系统环境调用到本地供其使用，充分利用客户端自身硬件的性能优势实现本地化运算，用户感受、图形显示效率以及外部设备兼容性均与本地PC一致，且对服务器要求极低。集中管理、本地运算灵活管理，安全保障降低运维成本6.2.3桌面虚拟化技术2．虚拟操作系统架构项目VDIVOI终端桌面交付分配虚拟机作为远程桌面分配虚拟系统镜像硬件差异无视驱动分享、PNP等技术远程部署及使用原生支持（速度慢）盘网双待、全盘缓存窄带环境下使用原生支持离线部署、全盘缓存离线使用不支持盘网双待、全盘缓存终端图形图像处理不理想完美支持移动设备支持支持不支持使用终端本地资源不支持完美支持同时利用服务器资源及本地资源不支持不支持6.2.3桌面虚拟化技术3．云桌面应用场景（1）用于日常办公，成本更低、运维更少。（2）搭建教学云平台，统一管理教学桌面、快速切换课程内容。（4）实现多网隔离，轻松实现内网办公、互联网安全访问。（3）用于办事服务大厅或营业厅，提升工作效率和服务质量。云桌面云安全概述云计算相关的其他领域技能实践6.3.1物联网1．物联网的概念物联网就是物物相连的互联网，包含两层含义：这个定义的核心是，物联网的主要特征是每一个物件都可以寻址，每一个物件都可以控制，每一个物件都可以通信。物联网是通过各种信息传感设备及系统（传感器、射频识别系统、红外感应器、激光扫描器等）、条形码与二维码、全球定位系统，按约定的通信协议，将物与物、人与物、人与人连接起来，通过各种接入网、互联网进行信息交换，以实现智能化识别、定位、跟踪、监控和管理的信息网络。其一，物联网的核心和基础仍然是互联网，它是在互联网基础上延伸和扩展的网络；其二，用户端延伸和扩展到了任何物品与物品之间，它们可以进行信息交换和通信，也就是“物物相息”。6.3.1物联网2．物联网的特点和传统的互联网相比，物联网有着鲜明的特征。首先，它广泛应用各种感知技术。物联网中部署了少量的多种类型的传感器，每个传感器都是一个信息源，不同类型的传感器所捕获的信息内容和信息格式不同。其次，它是一种建立在互联网上的网络。物联网技术的重要基础和核心仍旧是互联网，其通过各种有线和无线网络与互联网融合，将物体的信息实时准确地传递出去。此外，物联网不仅提供传感器的连接，其本身也具有智能处理的能力，能够对物体实施智能控制。物联网将传感器和智能处理相结合，利用云计算、模式识别等各种智能技术，扩充其应用领域。人们可从传感器获得的海量信息中分析、加工出有意义的数据，以适应不同用户的不同需求，发现新的应用领域和应用模式。6.3.1物联网3．物联网的应用物联网的应用涉及方方面面，其在工业、农业、环境、交通、物流、安保等基础设施领域均有应用，可有效推动这些领域智能化发展，使得有限的资源得到更加合理的使用、分配，从而提高行业效率、效益。物联网在家居、医疗健康、教育、金融与服务业、旅游业等与生活息息相关的领域的应用，使得服务范围、服务方式到服务质量等有了极大的改进，大大提高了人们的生活质量。6.3.2大数据1．大数据的定义需要新处理模式才能具有更强的决策力、洞察力和流程优化能力来适应海量、高增长率和多样化的信息资产。从技术上看，大数据与云计算的关系就像一枚硬币的正反面一样密不可分。大数据一般无法用单台计算机进行处理，必须采用分布式架构进行处理。它的特色在于对海量数据进行分布式数据挖掘。但它必须依托云计算的分布式处理、分布式数据库和云存储、虚拟化技术。一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库工具能力范围的数据集合，具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。研究机构Gartner（高德纳）给出的定义麦肯锡全球研究院给出的定义6.3.2大数据2．大数据的趋势数据资源化科学理论的突破数据泄露泛滥数据质量是商业智能（BI）成功的关键之一数据生态系统复合化程度加强数据管理成为核心竞争力数据科学和数据联盟的成立与云计算深度结合6.3.3人工智能ACB人工智能（ArtificialIntelligence，AI）是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学。人工智能是计算机科学的一个分支，它试图了解智能的实质，并生产一种新的、能以与人类智能相似的思维做出反应的智能机器。该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能是一门极富挑战性的科学，从事这项工作的人必须懂得计算机知识、心理学和哲学等。人工智能是十分广泛的科学，它由不同的领域组成，如机器学习、计算机视觉等。6.3.3人工智能VS人工智能还在研究中，但有学者认为让计算机拥有智慧是很危险的，它可能会反抗人类。这种担忧也在多部电影中体现过，其主要的关键是是否允许机器拥有自主意识的产生与延续。如果使机器拥有自主意识，则意味着机器具有与人同等或类似的创造性、自我保护意识、情感和自发行为。人工智能的应用领域十分广泛，包括机器翻译、智能控制、专家系统、机器人学、语言和图像理解、遗传编程机器人工厂、自动化程序设计、航天应用、庞大的信息处理和存储与管理等。值得一提的是，机器翻译（简称机译）是人工智能的重要分支和最先应用的领域之一。人工智能安全问题人工智能应用领域6.3.45G网络1．5G网络概述5G网络指的就是在移动通信网络发展中的第五代网络。与之前的第四代移动通信网络相比，5G网络在实际应用过程中表现出更加明显的优势。5G网络属于当前一种新型的网络，并且得到了快速的发展。对于任何一种网络而言，网络安全问题都是十分重要的，5G网络同样如此，因而对于5G网络安全问题需要加强重视。6.3.45G网络2．5G技术的优势5G技术数据传输速率快5G技术是当前世界上最先进的网络通信技术之一。相较于被普遍应用的4G技术，5G技术在数据传输速率上有着非常明显的优势。将5G技术应用在文件传输过程中，会大大缩短数据传输所需要的时间，对于工作效率的提高具有非常重要的作用。5G技术传输的稳定性5G技术不仅在数据传输速率上有所提高，在传输的稳定性上也有突出的进步。5G技术应用在不同的场景中都能进行很稳定的传输，能够适应多种复杂的场景。5G技术传输稳定性的提高使工作的难度降低，不会出现因为工作环境的场景复杂而造成传输时间过长或者传输不稳定的情况，从而大大提高了工作人员的工作效率。5G技术的高频传输技术高频传输技术是5G技术的核心技术之一，高频传输技术正在被多个国家研究。用于低频传输的资源越来越紧张，而5G技术的使用需要更大的频率带宽，低频传输技术已经满足不了5G技术的工作需求，高频传输技术在5G技术的应用中起到了不可忽视的作用。0102036.3.45G网络3．5G技术的安全问题在实际应用过程中，相比实体通信手段，5G网络更加容易被攻击及窃听，严重者会导致其终端设备损坏。在通信网络实际运行及应用中，恶意攻击者往往会伪装成合法用户，在获得网络通信服务信任的情况下实施攻击，而网络中所出现的这种恶意破坏往往很难根除，也很难及时消除。在实际应用过程中，5G技术对于数据接入信道有更高的要求，需要其具有更高的传输速率，然而，实际应用中的大多数设备无法使这一要求得到满足，这对于5G