《计算及其实践教程（第二版）》第八章云安全教学课件

第八章云安全内容8.1云安全概述8.2云安全产品8.3云安全技术8.1云安全概述8.1.1什么是云安全?8.1.2云安全与传统网络安全的差别8.1.3云安全发展现状8.1.1什么是云安全?云安全（CloudSecurity）计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念。云安全这个名词最初是由传统的防病毒厂商提出来的，其主要思路是将用户和厂商安全中心平台通过互联网紧密相连，组成一个庞大的病毒、木马、恶意软件监测、查杀的“安全云”。什么是云安全?从完整意义上说，“云安全”应该包括两个方面的含义：其一是“云上的安全”，即云计算自身的安全，如云计算应用系统及服务安全、云计算用户信息安全等，涉及的技术包括数据加密、灾难备份和恢复、可信计算、云支付等；其二是云计算技术在网络信息安全领域的具体应用，即通过采用云计算技术来提升网络信息安全系统的服务效能，如基于云计算的防病毒技术、挂马检测技术等。为便于区分，一般将前者定义为云计算应用安全，简称云安全；将后者定义为安全云计算，简称安全云。但是，某些场合下，云安全这个术语就既包括云计算应用安全，也包括安全云，或根据上下文判断其不同的含义云安全通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。整个互联网，变成了一个超级大的杀毒软件，这就是云安全计划的宏伟目标。最早提出“云安全”这一概念的是趋势科技，2008年5月，趋势科技在美国正式推出了“云安全”技术。“云安全”的概念在早期曾经引起过不小争议，现在已经被普遍接受。8.1.2云安全与传统网络安全的差别云计算安全与传统信息安全技术并无本质区别，但安全威胁更多、安全风险更高。比如，由于云计算自身的虚拟化、无边界、流动性等特征，使其面临较多的新的安全威胁；同时，云计算应用导致信息资源、用户数据、用户应用的高度集中，带来的安全隐患与风险也较传统应用高出许多安全云方面，比如杀毒软件，则与传统安全技术有较大的区别安全云架构的最大特点就是在于将原来的杀毒变为防毒，用户只要安装了某一款接入“云端”的杀毒软件，上网时，杀毒软件厂商的服务器端会根据已预存的海量病毒库来判断哪些网页行为是恶意的，甚至是木马程序，并自动清除。这样，就可以使用户终端变得很轻松，不用每天升级，也不必再因为杀毒软件而占用内存和带宽。和传统杀毒模式相比，安全云架构的另外一大优势还在于其病毒样本的效率。安全云技术是通过动态对被访问信息的安全等级进行评估，建立各种信誉库，相当于把病毒特征码储存在云端，在恶意信息侵入用户计算机之前，就直接将其阻止8.1.3云安全发展现状2009年4月21日，在美国加利福尼亚州旧金山召开的2009年RSA大会上，CSA(CloudSecurityAlliance，云安全联盟)正式宣告成立云安全联盟成立的目的是为了提供云计算环境下的最佳云安全方案。2009年4月22日，云安全联盟在RSA大会上发布了《云计算关键领域安全指南V1.0》。该指南描述了采用云计算技术的机构应当关注的问题和指南，目的是为安全从业人员与云服务提供商建立积极、安全的关系，提供一个可供参考的发展蓝图。指南的大部分内容也与云服务提供商有关，可以帮助他们改善云服务的质量与安全。2009年12月17日，云安全联盟发布了新版的《云计算关键领域安全指南V2.1》，标志着云计算和安全业界对于云计算及其安全保护的认识升级。2010年3月1日，云安全联盟在2010年RSA大会上发布了《云计算面临的严重威胁V1.0》研究报告。CSA(CloudSecurityAlliance/云安全联盟)也提出了一些应对策略，以尽可能降低用户损失8.2云安全产品8.2.1国外云安全主流产品8.2.2国内云安全主流产品8.2.1国外云安全主流产品1)卡巴斯基云保护8.3云安全技术8.3.1数据加密8.3.2数字签名8.3.3灾难备份和恢复8.3.4可信计算8.3.5云支付(支付宝)8.3.6应用方案和设计实例8.3.3灾难备份和恢复灾难的定义由于IT基础设施的中断所导致的公司流程的非计划性的中断。这个定义包含了网络和信息系统﹑硬件和软件模块以及数据本身以上的描述或者让人觉得灾难必须是大的灾害，例如恐怖性爆炸﹑地震甚至战争。灾难会使人联想起9.11世贸大厦冒烟的数据中心，而不会使人想起某个小公司办公室硬盘的无意擦除。不管在什么情况下，只要是造成了正常业务流程的非计划性中断，这个事件就可称为灾难。灾难是相对的，和所处的环境无关数据丢失对于和IT基础设施相关的业务中断来说，由数据丢失所造成的后果是最具破坏性的，不管数据的丢失是因为无意或有意的删除，或者存储数据的介质损坏，或者是由于任何一种人为或自然的因素，数据都是基础设施各部件中最难存放的，所以由于数据丢失导致的业务中断也是最难克服的灾难恢复的技术根据不同的灾难恢复系统的需求和恢复攻略，有各种灾难恢复技术，这里仅涉及如下主要技术：主机失效保护、数据复制、数据备份及恢复主机失效保护技术主机集群技术：通过心跳线方式监听业务系统主机的运行状态，一旦发现生产主机故障，自动切换到灾难恢复系统主机上负载均衡技术：要求两台或多台主机处于活跃状态，即主机同时工作，均衡负载，当一台主机出现故障时，其上的负载将自动加载到其他主机上。主机切换技术适用于远程两台主机的切换，无法做到共享存储，必须通过存储技术实现生产系统和灾难恢复系统数据的一致性。当灾难发生时，先断开数据复制链路，再通过预先制定的切换预案实现主机切换。数据复制技术异地保存技术：将数据在本地备份到磁盘上，通过人工方式递送到异地保存。在灾难恢复时，需要从备份磁盘中重新安装操作系统、应用系统、业务数据。这种方式最简单，成本低，但恢复时间长。异地备份技术：通过专业的数据备份软件，结合相应的硬件和存储设备，对数据备份进行集中管理，自动实现备份、文件归档、数据分级存储以及灾难恢复等。远程复制技术：这是目前比较流行的技术(实时性强)，通过生产端与灾难恢复端的网络，实现两端数据的一致性。数据备份与恢复技术所谓数据备份就是把数据从一个位置向另一个位置复制的过程，通常是从服务器或磁盘阵列上将数据复制到磁带库中数据备份与恢复技术LANFree：是指数据不经过局域网直接进行备份。用户只需将磁带机或磁带库等备份设备连接到SAN中，各服务器就可把需要备份的数据直接发送到共享的备份设备上，不必再经过局域网连接。ServerFree/ServerLess：是指数据不经过服务器直接进行备份。备份客户端没有安装在应用服务器上。备份服务器将分离出来的数据备份到磁带库上，数据备份对在线应用没有任何影响虚拟带库（VirtualTapeLibrary，简称VTL）：它在本质上是磁盘阵列硬件设备，但是在软件功能上却模拟磁带备份的形式。因此，对于存储管理员来说，它就是一个磁带库，对它的管理如同管理一个物理磁带库一模一样.采用它可以很好的应用现有的高效的备份软件，以求在纠错、备份等方面达到方便灾难恢复业务系统分类关键业务系统：业务数据集中存放，所连客户端及系统较多，对保证整个企业的正常运转至关重要。如ERP系统等。重要业务系统：业务中断对整个企业的正常、有效运转产生较严重的影响。如协同办公系统等。一般业务系统：业务中断将不会立刻对整个企业的正常运转产生严重影响，一旦业务中断可以容忍在数天或数周内恢复，如门户网站系统等。灾难恢复策略建议不同的业务类型使用不同的灾难恢复指标来形成系统所必需的灾难策略。如：关键业务系统在1个小时内恢复：重要业务系统在4个小时内恢复：一般业务系统在24小时内恢复技术分类关键系统重要系统一般系统主机失效主机集群√负载均衡√主机切换√数据复制技术异地保存√异地备份√远程复制√数据备份及恢复技术LANFree√ServerFree√ServerLess√虚拟带库√灾难恢复技术应用举例

灾难恢复系统的增值应用数据资源的利用：通过数据复制手段保证了生产系统与灾难恢复系统数据的一致性，可将这些数据用于测试、开发及培训等。处理能力的利用：可以在灾难恢复系统上运行数据仓库和数据挖掘应用系统。而且，在大数据量查询业务发生时，亦可将灾难恢复系统作为查询的负载分担系统使用，以降低生产系统的压力，并提高查询效率8.3.4可信计算可信计算的定义可信计算组织（TCG，TrustedComputingGroup）用实体行为的预期性来定义“可信”；如果一个实体的行为是以预期的方式符合预期的目标，则该实体是可信的。可信”是指计算机系统所提供的服务可以被证明是可信赖的；如果一个系统按照预期的设计和策略运行，这个系统是可信的；当第二个实体符合第一个实体的期望行为时，第一个实体可假设第二个实体是可信的；可信安全+可靠可信计算的规范在国际上目前TCG推动了一系列的规范，比如说PC的规范，可信服务器的规范，TCM（可信密码模块，TrustedCryptographyModule）的规范，以及可信存储的规范等。可信计算的研究内容可信程序开发工具和可信程序开发方法的研究许多软件开发人员在开发软件系统时往往只注重软件功能的实现而忽略了代码本身的安全性，他们希望通过安全功能模块来实现系统的安全，这是不够的，必须从编程阶段开始就考虑软件的安全性可信计算的研究内容构件的信任属性的建模、分析和预测基于构件的软件开发技术已经逐渐成为主流的软件开发技术，未来的软件将是由各种构件组装而成，而不是从零开始进行开发。在使用构件组装一个系统软件时，可信的构件是实现可信系统软件的前提。如何描述构件的信任属性是关键所在，只有确定了构件信任属性的描述方法，才能对它进行分析和评估可信计算的研究内容容错与容侵系统研究计算机已经被应用到社会生活的各个层面和领域，容错成为衡量计算机系统性能的一项重要技术指标，如何从硬件和软件上提供系统容错性特别是分布式系统的容错性，是需要认真关注的问题；需要研究容侵系统，使得系统即使受到利用存在隐患的攻击仍能运行关键操作可信计算的研究内容无线网络的安全研究无线网络的迅速发展和广泛应用使得它也面临着安全威胁，无线网络的特点决定了对它的攻击方式与有线网络有所不同，因此必须研究新的专门用于无线网络的安全技术；下一代网络将是有线网络和无线网络的结合体，研究有线网络和无线网络的安全技术，为下一代网络的安全技术研究奠定基础是非常有意义的可信计算的研究内容有效的信任管理现有的安全技术，无论是密码算法和协议，还是更高层次的安全模型和策略，都隐含地与信任相关，它们或者预先假定了某种信任前提，或者目的是为了获得或创建某种信任关系。信任管理是一种为确定用于决策的信任而通过搜集、分析和编码相关证据以进行决策评价的行为，它实际上是一种决策支持技术。在开放网络环境（如Internet）中，各系统之间相互独立，但只有建立相互信任关系，系统之间才能实现有效交互，因此通过信任管理来对系统信任关系进行决策成为了亟待解决的基础性问题可信计算面临的问题和挑战一是可信计算的技术超前，理论研究滞后。那么多产品和技术规范都制定了，可是大家公认的可信计算的理论模型没有，软化的可信动态度量模型没有，需要进一步开展理论研究。二是技术方面，还有一些关键技术需要研究和解决。三是缺少可信操作系统、可信数据库和可信网络以及可信应用互相配套。四是缺少安全机制和可靠机制的配合。五是目前可信计算的应用还不够广泛。8.3.5云支付(支付宝)何谓第三方支付平台所谓第三方支付，是具备一定实力和信誉保障的独立机构，采用与各大银行签约的方式，提供与银行支付结算系统接口的交易支持平台的网络支付模式。在第三方支付模式中，买方选购商品后，使用第三方平台提供的账户进行货款支付，并由第三方通知卖家货款到账、要求发货，买方收到货物，并检验商品进行确认后，就可以通知第三方付款给卖家，第三方再将款项转至卖家账户上。目前我国所拥有的主要是“支付宝”、“安付通”、“Pay—pal”、“易支付”等第三方支付手段。支付宝的运营模式支付宝的运营模式性质是为第三方支付中介模式。作为我国第三方支付平台代表的支付宝，其功能简单地说就是为网上交易的双方提供“代收代付的中介服务”和“第三方担保”，实质是以支付宝为信用中介，在买家确认收到货物前，由支付宝替买卖双方暂时保管货款的一种增值服务。第三方支付平台的身份问题以支付宝为例，它的全称是浙江支付宝网络科技公司，从这个名称看是科技公司，它的服务是担保服务，明确提出它不是银行、金融机构，也不提供金融服务。从名称、经营范围、交易规则都回避了它是一个金融机构，回避了银行服务的概念。但从支付宝的交易规则中可以看到，提供的功能至少有五个，代收款、付款功能、退款功能、查询功能、担保功能。可以看出它提供了相关的至少与金融有关的服务还是比较全面的。从第三方支付平台自身定义与之从事的业务看，目前这些所有的第三方支付平台都有超范围经营的问题，或者是突破现有法律规定的特许范围和经营框架而从事经营的问题。支付宝操作具体流程支付过程安全分析1）为了防止个人信息遭到非法利用，最基础而简单的做法是采用双密码制度，即账户的登陆密码与支付密码相分离。用户在登陆支付宝账户使用一组密码，而使用支付宝进行网上支付时采用另一组密码，从而提升支付权在账户管理中的权限，这样可以防止登陆密码无意泄露导致的经济损失。2）为了保证数据传输的安全性，如密码传输的安全性，传统而广泛采用的做法是运用SSL安全协议对网页进行加密。支付过程安全分析3）为了提升密码输入的安全保证，支付宝额外使用InternetExplorerActiveX控件，该安全控