云计算安全防护技术范例(3篇)

云计算安全防护技术范文

云计算服务模式产生了一些新的安全风险，如：用户失去了对物理资源的直接控制，虚拟化环境下产生了虚拟化安全漏洞，多租户的安全隔离、服务专业化引发的多层转包带来的安全问题等。如何实现云安全，已经成为安全产业面临的巨大挑战。

保卫云的安全，需要基于“云”的手段，这可以从两个维度来理解，一个是用安全手段保护云计算环境，确保云计算下网络设施和信息的安全；另一个是采用云计算的架构模式，构建安全防护设施的云环境，以云的方式为企业提供安全保护。

云安全需要一些新的关键技术来保障，如：虚拟化安全，包括虚拟机安全、虚拟化环境下的通信安全等；数据安全和隐私保护技术，包括密文的检索和处理，满足云环境下的数据隐私、身份隐私和属私的保护等；安全云（安全即服务），包括安全系统的云化、安全系统的资源调度和接口互操作性的标准化；可信云计算。

在一次“云计算”项目调研中，信息安全专家卿斯汉发现，目前，我国的云计算项目对常规安全措施做得比较到位，但仍需加强，除需要无缝集成传统网络安全和系统安全的防护工具外，还需要考虑虚拟机安全、隐私性保护及不间断服务等。云计算的核心是虚拟化，保证虚拟机的安全至关重要。

在云计算时代，数据中心的安全建设可以划分为三个阶段：第一阶段，传统安全产品的虚拟化，即：让传统安全产品“跑”在虚拟化设备上，支持虚拟设备功能；第二阶段，融合到云计算平台的虚拟机安全设备，即：安全设备作为一个安全应用被融合在虚拟化平台上；第三阶段，自主安全可控的云计算平台，即：考虑云计算平台自身的安全性。目前，由于云计算应用本身处于基础阶段，革命性的安全技术也未出现，云安全建设多数仍处在第一阶段。不过，云计算应用已经为传统安全产业带来了新的驱动力，并加速了安全技术的融合，安全企业之间的合作也变得越来越紧密。

在云计算的道路上鲜有独行者，云安全生态链同样需要安全企业共同打造和完善。目前，虚拟化领军企业VMware公司就已经跟许多知名的安全企业开展了深度合作，如：CheckPoint、McAffee、RSA、赛门铁克等，通过对安全企业提供API，开发基于虚拟平台的安全产品，共同构建基于云的安全架构体系。而在国内，也很少有一家安全企业独立地把所有安全技术都做得很精，这样一来，多家公司合作，共同提供云安全所需的各种产品和服务，将成为未来的最佳模式。

作为目前全球市场占有率领先的云端安全防护提供商，趋势科技早在六年前就投入大量资金和人力研究虚拟化及云计算安全解决方案。而作为云安全联盟（CSA）成员单位，绿盟公司正在安全智能领域积极进行着前沿的研究与探索实践，启明星辰公司2010年开始在云计算安全领域展开关键技术的研究，并成功申报承担了电子发展基金“云计算关键支撑软件（平台安全软件）研发与产业化”等一系列国家研究项目。在云计算环境下的身份管理中，众人网络走出了一条新路，其方案在工业和信息化部软件与集成电路促进中心（CSIP）联合企业开展的“基于安全可控软硬件产品云计算解决方案”推介工作中，被推选为示范项目。将内容检测和网络安全技术相结合，提供专为安全服务的安全云，成为被安全企业看好新趋势，这也是一些安全企业新的努力方向，以高性能扫描和深度内容检测技术见长的稳捷网络就是如此。

将设备和资源纳入云身份管理

云计算改变了传统安全产业的服务模式，也给安全产业提出了新的挑战。其中，虚拟化安全、数据安全和隐私保护成为云计算应用安全防护的重点和难点。在云计算环境下，多租户模式让身份管理变得更为重要，也更加复杂。要实现云安全，身份管理是基础，因为当所有资源都虚拟化了，就必须对其进行标识，以便于对虚拟化的资源进行管理，明确这些资源的使用权限。

与传统的身份管理不同，在云计算环境下，身份管理的应用范围进一步扩大。在传统安全环境下，身份管理的应用范围有所局限，如：国内现有的30多家CA目前的服务对象主要集中在税务、工商、电子商务等领域。未来，一旦公有云全面建成，一个庞大的云身份体系将会出现，到那时，身份管理将真正形成一种服务，而非技术本身。现在，说到运营CA，更多是基于PKI体系的，其实身份服务还有另外一些不同的技术，如：动态密码体系、IBE体系。在云中，云身份服务可能基于多种技术体系，为云计算服务平台服务。

另外，传统的身份管理服务，更多的是针对人本身进行。而在云中，身份服务更多是针对人、设备和资源进行。上海众人网络安全技术股份有限任公司执行总裁何长龙认为，在云体系中，身份管理的技术架构也将改变，因为传统身份管理针对的互联网用户是有限的，但在云体系中，身份管理针对的数据量却是无限的。

目前，对于云计算环境下的身份认证服务，多数还是基于传统的方法，是原有产品的直接嫁接，即在进行身份管理之前，对现有资源并没有进行虚拟化，这样做无法对资源进行认证、标识和许可，只限于对人或设备进行认证。

与其他同类企业将原有技术直接嫁接到云端不同，众人网络科技公司已经基于私有云，形成了自己的云身份服务平台。众人网络提供的云身份服务是在用户对资源做了虚拟化的基础上进行。

云架构体系对安全企业的技术能力、服务能力提出了更高要求，对身份架构体系的要求也是如此。只有对资源进行了虚拟化，才能得以对其进行定义，由此将其与云身份进行对接。

目前，众人网络在资源虚拟化基础上进行的身份管理已经有了实际应用的案例。众人网络为一家通信类客户架构了一个总部级的身份服务体系，在该用户将现有的硬件资产和软件资源进行统一虚拟架构后，众人科技对其所有资源进行了标识许可，由此实现了对虚拟化的资源进行认证、许可和分配。

融合检测和网络技术，打造安全云

云计算环境正变得越来越开放，云数据和云应用也越来越多，这给传统的网络安全防护带来新的挑战。以防火墙为主的“看门式”安全管理将难以保证云的安全，云计算安全需要建立一个全新的安全管理模式。

与传统的企业网相比，云中心的网络流量变得极其庞大，如果再将安全防护寄望于传统网关设备将不可想象。目前，在云中心，最常用的措施是采用虚拟防火墙、虚拟杀毒软件或虚拟安全网关，这是对传统安全产品的虚拟化，但并没有对云中心进行虚拟化，只是让安全软件跑在一个一个服务器上，它会消耗大量服务器内存，这依然是基于主机的解决方案。在云中心，往往有成千上万个主机，如果给每个主机都装上杀毒软件，维护成本将会很高。因此，这种云中心防护手段不是十分理想。

另外一种云安全方案中，安全设备并没装在主机上，只是将扫描工作放在云中进行，病毒库也是存放在云中，如：360公司的云安全方案就是这样。这种方案将云计算技术应用于安全，但这种方案保护的是云的使用者，并不保护云中心本身。

有没有一种新的手段，对云中心进行更加有效的保护？一些安全企业正在为此而努力。以高性能扫描和深度内容检测技术见长的稳捷网络公司就在进行相关的尝试。

在传统思维下，网络安全厂商一般只负责网络协议、端口有无入侵等，而不去检测内容；而负责内容的杀毒软件厂商也很少想到去网络上做。稳捷网络从创办之初就定位于做基于网络的深度内容检测，把查杀病毒和网络安全两种技术相结合，在网络端对内容进行清洗检测。

稳捷网络公司中国区总经理彭朝晖向《中国计算机报》记者表示，未来，有一种趋势将被看好，那就是：将内容检测和网络安全技术相结合，提供专为安全服务的安全云。

另外，云安全数据中心凭借庞大的网络服务、实时的数据采集、分析及处理能力得到众多厂商青睐。随着卡巴斯基、瑞星、趋势、金山等一批安全厂商逐渐加快云安全数据中心建设，云安全数据中心已经投入到实际应用中。其中，趋势科技已在全球部署5个云安全数据中心。

图解云安全技术和模式

云安全带来了很多新的技术，也带来很多新的课题，如：风险管理与兼容性问题、身份认证与访问管理问题、服务与终端的完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等。围绕这些新课题，传统安全企业及其从业者展开了深入的研究。以下我们选取了部分与云安全相关的关键技术方案和模式图，分别涉及云计算环境下的数据防泄漏方案、虚拟化对于安全功能的拆解、下一代安全的关键能力，这些技术方案或研究成果分别来自RSA公司、启明星辰公司和绿盟公司。这些安全企业所关注的技术焦点也在一定程度上反映了他们在云安全道路上努力的方向。

数据安全是云安全的重中之重。数据防护领域的知名安全企业RSA公司的虚拟化专家MikeFoley认为，在实体环境中，DLP（数据防泄漏）是在操作系统中完成的，一旦操作系统受到威胁，就无法使用DLP的软件和功能。而在虚拟化环境中，相应的数据都储存在虚拟机里，数据防泄漏工作可以通过扫描虚拟机来进行。在这个过程中，需要有一个专门负责安全的虚拟机。

云计算安全防护技术范文篇2

关键词：云计算、信息安全、防护方案

【中图分类号】TP393.08

传统互联网的计算服务模式，存在计算机能量消耗、存储、信息产业人员和硬件成本不断提高等缺陷，已不能应对当前巨大的计算吞吐量，因此，云计算的概念应运而生，云计算具有超大规模、虚拟化、通用性、高可扩展性、按需服务、低成本、镜像部署、提升资源的使用效率等优势，但如果云计算的信息安全性得不到有效保障，则其所有优势都将无法体现。

1云计算概述

云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物，核心思想是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。

被公众认可的服务模式有三种：（1）IaaS（基础设施服务）：整个IT基础设施（服务器、存储设备等）的按需获取，如Amazon的弹性计算云（EC2）；（2）PaaS（平台即服务）：开放应用软件的基础平台，如GoogleApp—Engine；（3）SaaS（软件即服务）：应用软件的按需获取，如Salesforce的客户关系管理服务等。

云计算具有以下特征：（1）基于虚拟化技术快速部署资源或获得服务；（2）实现动态的、可伸缩的扩展：该技术使云端的资源服务能力近乎极大化，进而提升用户的使用体验；（3）按需求提供资源、按使用量付费：用户无需与服务商交互，即可自动得到资助的计算资源能力；（4）通过互联网提供服务、面向海量信息处理：消费者可通过网络来支付所获服务的费用，进而获取不在本地的资源；（5）用户可方便地参与；（6）形态灵活：可根据消费者的需要在资源池中动态配置、部署或释放有关资源；（7）减少用户终端的处理负担；（8）降低了用户对于IT专业知识的依赖。

2云计算环境下的信息安全问题

云用户的机器不再是独立的机器，而是网络中的一个节点，交给全球运行的服务网络。

云用户的数据存于云中，就意味着数据存在被盗用和滥用的可能。

市场分析公司Gartner的一项研究报告表明数据存放在云中存在七大风险：数据被未知的超级用户访问的风险、合规性检查风险、数据存储位置未知风险、数据未被真正隔离的风险、数据恢复风险、增加司法调查困难的风险、长期可用性保证的风险。

云安全联盟（CSA）与惠普公司的一项调查结果显示云计算存在七大安全漏洞，本论述结合相应的案例提出相应的防护方案建议：（1）账户、服务和通信劫持：数据、应用程序和资源都集中在云计算中，若云计算的身份验证机制很薄弱，则攻击者获得云服务用户的凭据后，即可导致云服务客户端问题，如推特DNS账户盗用，建议主动监控这种威胁，并采用双因素身份验证机制；（2）未正确运用云计算：黑客通常能够迅速部署新的攻击技术，来滥用和恶意使用云服务，如Amazon的EC2出现了垃圾邮件和恶意软件的问题，由于此类问题无法完全避免，建议做好监控部署；（3）数据丢失或泄露：API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄露；（4）共享技术问题：由于云计算环境中的很多虚拟服务器共享相同的配置，因此简单的错误配置可能造成严重影响，如VMware的脆弱部件，建议为网络和服务器配置执行服务水平协议（SLA）；（5）内部人员：从云计算服务内部发起攻击，若企业使用了该云服务，威胁将进一步放大，如Verizon的2010数据泄露调查报告表明48%的数据泄露是业内人士造成的，建议企业对供应商进行评估并提出如何筛选员工的方案（6）不安全的应用程序接口：接口质量和安全没有得到保障及第三方插件的安全，如不加密流量，建议在应用程序的生命周期中，部署严格的审核过程；（7）未知的风险：未知的安全漏洞、软件版本、代码更新等。

3云计算环境下的信息安全防护方案探索

云安全要解决安全性问题，很好的为云用户提供服务，解决办法要从两方面考虑：（1）

云计算用户的安全办法：a）在享受云计算服务之前，用户应清楚地了解其风险所在，选用商业信誉良好、相对可靠的提供商；b）根据内容感知的技术，用户应有意识地判断什么数据可以上载，什么数据不可以上载，若发现用户试图将敏感数据传到云端，系统将及时阻断并报警；c）将操作失误的影响降至最低，清楚的认识到风险，增强安全防范意识；d）存储在云中的数据，要经常备份，避免出现数据丢失或受到攻击时，得不到恢复。（2）云服务提供商的安全办法：a）采用必要的安全措施，包括传统的安全措施访问控制、入侵防御、反病毒部署、防止内部数据泄密、网络内容与行为的监控审计等；b）为防止云计算平台供应商“偷窥”客户的数据和程序，可采取分权分集管理，防止出现“内鬼”。

本文对于云计算环境下安全防护的防护方案的主要思路如下：

（1）建设以虚拟化为技术支撑的安全防护体系。云计算的核心技术和手段即通过虚拟化技术为大量用户提供“按需服务”，包含基础网络架构、计算资源、应用资源及应用资源。虚拟化之后，有效解决各用户信息的整体性与环境共享性的矛盾，是云服务系统有效运行和保证用户信息数据的隐私性与安全性的关键所在。

（2）网络安全基础架构的维护。对网络中的“网络点”开展实时的监控，对用户的不同工作要求，进行适当的调整与配合，保证虚拟机的负载均衡，进而确保网络运行的连续性和良好性能；使用过滤器，对于敏感数据进行隔离，有效防止网络攻击和数据外泄。

（3）安全防护的无边界用集中的安全服务中心应对。云计算的资源是高度整合的，不同的用户在申请云计算服务时，只能实现基于逻辑的划分隔离，已不存在物理上的安全边界。在此情况下，安全服务应基于整个网络的安全防护，建设集中的安全服务中心。

（4）桌面终端应用统一安全管理技术。在个人桌面系统上同时安装不同厂家的终端，但每种运行时，都需要重复占用CPU、内存等有限的系统资源，使运行速度变慢，系统性能下降，因此应形成统一的桌面管理平台，提供综合功能和安全性能，降低系统的负载度和维护管理成本。

4总结

云计算作为新兴起的互联网服务方式，发展势不可挡，但是鉴于该技术正处在发展阶段，其安全性问题依旧没有良好的解决方案和统一标准，因此，需要学者、云服务提供商和企业用户共同合作，进而促进云计算技术的不断发展。

参考文献：

[1]刘鹏.云计算[M].北京：电子工业出版社，2022：66-67.

[2]陈尚义.云安全的本质和面临的挑战[J].信息安全与通信保密，2009（10）：23-25.

[3]黎连业，王安，李龙.云计算基础与实用技术[M].清华大学出版社社，2013（1）：295-297.

云计算安全防护技术范文

【关键词】云计算可信平台设计

云计算技术的基础是虚拟化技术，其计算不处于本地计算机以及远程服务器中，而是分布在众多的分布式计算机上，用户能够通过自身需要，选择适当的计算机或者存储系统。使用云计算模式能大大节约计算成本，仅需向云计算服务商支付一定的费用就可以避免购买复杂的软、硬件，通过互联网能够实现存储以及计算。但是，在此过程中出现了一系列问题，例如用户资料外泄等安全事故，同时窃听、干扰、篡改等安全隐患普遍存在，由此可以看出云计算的发展首先就要解决这些安全风险问题。为了解决以上安全问题，可信计算TCG技术被提出，利用密码机制建立信任链，从而从根本上解决安全问题。

1可信平台模块的概念

可信平台主要是由CPU、I/O、非易失性储存器等部分组成，计算机对于嵌入式可信终端开展度量，而后记录度量信息，除了可信平台对于平整性度量的度量和报告外，还具备加密以及用户身份的认证。密码生成器是可信平台模块中的重要组成部分，同时密码生成器是由加密算法引擎、HMAC引擎、随机数生成器等部分组成。首先由HMAC引擎生成随机密码，然后由HMAC引擎根绝实现数据以及命令流出现错误时的传输情况来确认数据的准确性。

2建立可信平台的必要性

当前计算模式已经从大型计算机处理转变为网络分布式处理，并在此基础上发展为以需求分配的云计算模式，对于用户来说，云计算就是一种满足自身需求的服务，能够让用户在使用虚拟资源的时候不受时间、空间的限制，同时能够快速的处理计算问题。但是云计算技术毕竟刚被提及，目前还处在发展阶段，所以不可避免的出现了众多安全问题。云计算中的数据是处在云端当中，因此对数据难以实现完全的控制，所以服务商必须采取强有力的安全措施来保障系统安全，云计算安全问题基本能够概括为以下方面：访问控制、攻击检测、完整性、物理技术防范、多个子因素、恢复、实施、隐私机密性、不可否认性、安全审计。由此可见云计算安全工作具有全面性和复杂性，必须尽快解决。

3云计算环境下存在的安全挑战

首先是使用云计算技术的企业，应该注意自身业务的安全性，强化风险管理意识。其次是身份与认证管理，云计算的目的是为了使各个服务商之间保持良好的合作关系，所以应该根据服务商之间的差异做好身份与认证管理，特别是与外国企业开展合作的时候。然后是服务与终端的完整性，安全性是云计算的生命线，因此对于云计算服务的拓展应该从安全性、兼容性、完整性出发，将终端的完整性作为重点的工作目标。最后是信息保护方面，信息保护应该建立事前、事中、事后全面的信息反馈机制。然后通过不同时间段的信息采取相应的措施进行保护。

4可信接入安全技术分析

虽然在云计算环境当中用户能够将数据资料存放在服务商的平台上，便于访问，但是这种网络形式具有开放性以及复杂性，对于云计算的安全保障提出了更高的要求。从长远来看只有解决了云计算的安全问题，才能保障云计算技术健康发展。对于云计算的可信接入也是计算机技术主要的研究目标。纵观当前对于云计算环境的安全防护措施主要从两方面入手：第一，在传统软件当中设置防火墙；第二，更换硬件设备以达到安全防护的目的，但是最为有效的依然是可信计算技术，其核心理念就是将改变传统被动的防御模式，而采用积极主动的防护模式。可信计算技术的定义为：将可信作为系统运转的原则，将数据信息的通信控制在安全范围内。其计算模型的原始架构是在私人平台上增加隐身和信任功能，同时可信计算模型满足分布式环境下云计算的安全需求，因此具备可行性。以往的安全接入方式包括微软的网络接入保护NAP、TCG的可信网络连接技术TNC以及思科网络准入技术NAC。NAP平台的特点是能够以校验的方式分析接入网络的安全性，对不符合标准的用户设置权限；TNC基于可信计算技术将TPM的可信度量以及可信报告融入到网络连接系统的建设当中，从而能够控制网络访问；NAC能够在系统接入网络之前，就对系统的安全级别给予评价，隔离安全性不稳定的网络系统并且设置访问权限。由于云计算本身的技术难度较高，所以其风险也存在复杂性，仅依靠软件难以实现有效控制。因此有必要利用硬件芯片以及可信计算的技术支撑，然后建立TCB保护用户以及基础设施等，不仅要进行完整性度量，还要以云计算对身份以及软件进行可行性证明。

5云计算的数据安全研究

数据安全是云计算系统安全保障的核心内容，不管是何种云计算服务，都要首先保护数据，避免数据出现流失和被窃。对于数据安全保障的方法主要有以下几点：第一，数据的传输要采取加密的方式，尤其是公共云的情况下，虽然非安全的传输协议难以保障数据的完整，但是能够使数据具有保密性，当数据不处于加密状态时，就容易发生流失和泄露；第二，由于云计算应用数据与用户数据存储在一起，用户没有专用的数据平台，因此就容易当混合数据被访问时，用户的数据就会被窃，尤其是PaaS以及SaaS，把关键的数据信息存储在公共云之外，能够有效避免数据泄露，如果存储到公共云中，则要提前做好加密措施，以区分关键信息与其他用户信息；第三，云计算的储存具有恢复的功能，当用户删除数据后，如果被他人恢复，同样会造成数据泄露，因此服务商要保证用户擦除数据之后不会有残留数据。同时还有服务商向用户提供的系统文件、数据库记录等，都要保证不会被他人恢复盗取信息。

6结语

综上所述，本文首先研究了当下云计算环境下的安全隐患，然后引申出建立可信平台的必要性，即将可信计算技术与云计算有机结合。另外安全协议是网络安全的基本保障，总的得来说将可信计算技术融入云计算当中，能够较大程度提高云计算下的系统安全和稳定。

参考文献

[1]耿姝，刘鑫，刘荣军，方连众，陈刚.基于全同态加密的云计算安全方案的研究[J].中国新通信，2014（1）.

[2]朱宪超.浅析云计算中的信息安全[J].科技风，2013（23）.

[3]李建礼，夏红.云计算环境下个人信息管理的思考[J].农业图书情报学刊，2013（12）.