云安全防御技術范文
時間:2023-12-14 17:38:38
導語:如何才能寫好一篇云安全防御技術,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
中圖分類號:TG519.1 文獻標識碼:A 文章編號:1007-9416(2014)05-0201-01
1 引言
隨著網絡技術的飛速發展,Internet已經滲透到生活的各個方面,繼移動通信3G、4G之后,云計算也成為網絡技術領域的熱門話題和市場的熱捧目標。云計算(cloud computing),分布式計算技術的一種,其最基本的概念,是透過網絡將龐大的計算處理程序自動分拆成無數個較小的子程序,再交由多部服務器所組成的龐大系統經搜尋、計算分析之后將處理結果回傳給用戶。云計算是以公開的標準和服務為基礎,以互聯網為中心,提供安全、快速、便捷的數據存儲和網絡計算服務,讓互聯網這片"云"成為每一個網民的數據中心和計算中心。
2 云計算面臨的安全問題
談到云計算,安全性問題無法回避,實際上這也是目前云計算應用普及過程中所遇到的最大難題。雖然目前云計算服務提供商都在竭力淡化或避免這一話題,但作為云計算的終端用戶,這恰恰是他們關注的一大重點。目前,云計算的商業價值被得到證實;而與此同時,這些“云”也開始成為黑客或各種惡意組織攻擊的目標。綜合起來看,隨著云計算的發展和成功,由此帶來的云計算安全問題也越來越令人擔憂,具體表現在以下幾個方面。
2.1 數據存儲安全問題
云計算的模式決定了用戶的大量數據要存儲在云端,這樣就能給他們減少IT設備和資源的投資,同時也會帶來各種便利。但是越多的數據存于“云”中,對云的依賴性越大,一旦云端數據發生損壞或者丟失,這給用戶的造成的損失將是非常巨大的。
2.2 數據傳輸安全問題
一般情況下,企業IDC保存有大量的企業私密數據,這些數據往往代表了企業的核心競爭力,如企業的客戶信息、財務信息、關鍵業務流程等等。在云計算模式下,企業將數據通過網絡傳遞到云計算服務商進行處理時,面臨著幾個方面的問題:一是如何確保企業的數據在網絡傳輸過程中嚴格加密不被竊取;二是如何保證云計算服務商在得到數據時不將企業絕密數據泄露出去;三是在云計算服務商處存儲時,如何保證訪問用戶經過嚴格的權限認證并且是合法的數據訪問,并保證企業在任何時候都可以安全訪問到自身的數據
2.3 數據審計安全問題
在云計算環境下,云計算提供商如何在確保不對其他企業的數據計算帶來風險和干擾的同時,又提供必要的數據支持,以便協助第三方機構對數據的產生進行安全性和準確性的審計,實現企業的合規性要求;另外,企業對云計算服務商的可持續性發展進行認證的過程中,如何確保云計算服務商既能提供有效的數據,又不損害其他已有客戶的利益,使得企業能夠選擇一家可以長期存在的、有技術實力的云計算服務商進行業務交付,也是安全方面的潛在風險。
3 云計算的網絡安全防御技術
3.1 數據加密
加密技術是網絡安全中一個非常重要的安全技術,數據加密是利用技術手段把要傳輸的重要的數據變為密文(加密)進行傳送,到達接收端后再用相同或不同的手段對密文進行還原(解密)。加密既針對存儲在云服務提供商的服務器上的數據,還針對傳送給最終用戶的數據。加密技術在云計算中的應用,對數據傳輸甚至數據存儲等安全問題的解決都能起到非常重要的作用。
3.2 安全存儲
在實際應用中,網絡中數據的存儲是非常重要的環節,其中包括數據的存儲位置、數據的相互隔離、數據的災難恢復等。在云計算模式下,數據存儲資源處于共享的環境下,即使有數據加密的技術的加入,云計算服務提供商是否能夠保證數據之間的有效隔離也是一個非常重要的問題;另外,還需要做好備份措施,以防止出現各種網絡和系統故障和宕機時,用戶的數據被破壞,造成重大損失。
3.3 安全認證
安全認證可通過單點登錄認證、強制用戶認證、、協同認證、資源認證、不同安全域之間的認證或者不同認證方式相結合的方式,其中很多用戶是通過結合強制用戶認證和單點用戶認證的方式來允許用戶進入云應用的認證,用戶只需登陸一次進入整個web應用,從而可以有效的避免用戶在使用自己的服務時將密碼泄漏給第三方。
3.4 以集中的安全服務中心應對無邊界的安全防護
和傳統的安全建設模型強調邊界防護不同,存儲計算等資源的高度整合,使得用戶在申請云計算服務時,只能實現基于邏輯的劃分隔離.不存在物理上的安全邊界。在這種情況下,已經不可能基于用戶或用戶類型進行流量的匯聚并部署獨立的安全系統。因此,安全服務部署應該從原來的基于各子系統的安全防護,轉移到基于整個云計算網絡的安全防護。建設集中的安全服務中心,以適應這種邏輯隔離的物理模型。
4 結語
本文主要在分析云計算的特征和面臨的安全威脅的基礎上,對云計算應用安全進行分析與研究,并從云計算服務用戶的角度提出云計算應用網絡安全防御策略與手段。隨著對網絡安全隔離與信息交換技術的深入研究,以及與防火墻、入侵檢測系統和病毒檢測等網絡安全技術的有機結合,提高數據的處理速率并根據實際應用修改完善安全功能,必定能為云計算模式下的網絡系統提供更可靠的安全屏障。
參考文獻
[1]IBM.虛擬化與云計算小組虛擬化與云計算[M].北京:電子工業出版社,2009.
[2]葉偉等.互聯網時代的軟件革命-SaaS架構設計[M].北京:電子工業出版社,2009.
[3]谷歌在線文檔共享信息凸顯云計算安全問題[J].信息系統工程,2009.10.
[3]陳濤.云計算理論與技術研究[J].重慶交通大學學報,2009.8.
篇2
Abstract: Cable is widely used in the modern urban power grid. Without safe operation measure, once failure occurs, there will be huge damage. This article introduces the reasons and characteristics of cable fire, the measures to prevent cable secondary combustion, rescue measures and daily checking measures.
關鍵詞: 電力電纜;安全運行;防火技術
Key words: power cable;safe operation;fire prevention technology
中圖分類號:TM247 文獻標識碼:A 文章編號:1006-4311(2013)33-0046-02
0 引言
現代城市電網中,電纜應用十分廣泛。所以一定要保證電網的安全運行,因為一旦發生事故,就會引起嚴重的火災和停電事件,對人們的生活和工作造成嚴重的影響。
1 電纜著火的原因及特點
據粗略統計,2012年距516東赤二線華耐家具環網柜20米處電纜爆炸引起相間絕緣擊穿、短路,電弧引燃電纜絕緣和塑料護套,而報警系統沒有及時的報警,導致部分線路停電;2013年538皇城線明宇花園電纜中間頭爆炸引起附近易燃物品著火,造成了附近居民停電及經濟損失。以上的事例說明,電纜的火災隱患仍然存在,很容易造成嚴重的火災事故,并且不容易處理。所以我們一定要提高自身的電纜防火安全意識,分析火災的原因和特點,認真的做好電纜的防火工作,將其作為一項重要的安全生產工作來抓。
1.1 電力電纜火災事故的原因 ①把雜物放在電纜隧道上,積很厚的灰在電纜或電纜支架上,有可燃氣體或液體泄漏在電纜隧道里等,一旦被引燃就會發生事故。②電纜長期過負荷或和熱力管道的距離過近,因為溫度太高讓絕緣材料老化了,都可能造成火災事故。③電纜在運行中遭到機械損傷或電纜的防護層在電纜敷設時受到損壞,造成電纜相間與外層間的絕緣擊穿。④高位電纜端的絕緣油流失或干枯,熱阻增加,絕緣焦化而擊穿起火,是由于油浸電纜敷設時高、低位差較大,發生淌油或電纜頭滲油所致。⑤電纜中間接頭壓接不緊及銅鍍鋅連接管質量不過關而引起的銅鋁連接產生腐蝕,增大接觸電阻導致絕緣擊穿起火;焊接不牢;電纜盒沒有密封好;注入電纜中間接頭盒的絕緣物質劑量不符合要求,或灌注時盒內存有氣孔;⑥電纜頭瓷套管破裂及引出線相間距離過小、電纜頭表面不清潔干燥等造成火災事故。
1.2 發生電纜火災的特點 ①火勢兇猛。宣化區配網電纜的時候一般都采用隧道和直埋密集敷設,電纜會處在很復雜的環境中,電纜夾層電纜密布,而且自然抽風也會因為電纜隧道的高差而形成,所以一旦著火,造成很大經濟損失和停電事故。②有“二次災害”。除了電纜著火時放出的有毒氣體,對人體造成直接的“一次災害”外,同時也會產生強烈酸霧,對設備和接線回路造成損傷,形成“二次災害”。③損失嚴重。損失嚴重的原因是“二次災害”很可能會導致控制回路失靈,讓火災事故更嚴重。
2 防止電纜著火延燃的措施
2.1 電纜發生火災應采取下列方法撲救 ①立即停電。首先必須切斷電源,仔細觀察,認真檢查,找出故障點,并快速組織人員救火。②電纜溝中電纜發生燃燒時,一旦發現有明顯燃燒可能的電纜,如果是分層排列,應該先切斷起火上面的受熱電源,然后是并排的,最后是下面的電纜。如果是并排的,應將其電纜和電源切斷。③在電纜起火時,采取窒息法滅火,即馬上把電纜溝的兩側堵死。④撲救人員在電纜溝救火時,最好穿上絕緣靴,并戴上防毒面具和橡皮手套。⑤及時的采取措施撲滅電纜火災,此時必須停電。⑥在撲救過程中,不要移動電纜,也不要用手直接接觸電纜。
2.2 防止電纜火災的技術措施 ①敷設電纜時應嚴格按照標準執行,并且加強對運行電纜的巡視維護,不要讓電纜長期的高溫過負荷運行。②清理電纜隧道(溝)內應廢棄電纜,并定期清掃電纜或電纜支架上的積灰,保持其清潔。③在通風孔處設積水井,并把積水排至地面,讓電纜隧道保持干燥通風。④要按標準要求制作電纜頭,盡量不在電纜集中的隧道做電纜接頭。在多個電纜頭并排集中的場合應在電纜頭之間加隔板或填充阻燃材料。⑤在長期受高溫作用的地方采用防火阻燃電纜及低煙氣塑料電纜。⑥必須裝設自動報警裝置和配備必要的滅火器材。⑦電纜溝內的照明要一直能正常使用,并安裝通訊裝置。
2.3 合理應用各種防火阻燃手段
2.3.1 設計方面 ①在封堵電纜孔洞時,封堵應嚴實可靠。帶在繞包時,應拉緊密實,并按照材料使用要求纏繞層數或厚度,繞包完畢后,每隔一定距離應綁扎牢固。應施加防火包帶或涂料在阻火墻兩側的電纜。②對于火災高發的場所或者容易造成事故的電纜回路,必須按設計要求的防火阻燃措施施工。③對重要回路的電纜,可采取特別的措施,比如施加防火涂料等等。
2.3.2 施工方面 ①用耐火材料堵塞密封那些穿越墻壁、樓板的電纜洞孔,必要時加置鋼板或石棉板封閉。電纜隧道及其分叉道口處應設防火墻及防火門。②不能布置熱力管道在那些封閉電纜通道中,不要讓易燃氣體或液體在管道穿越。在爆炸性氣體危險場所敷設電纜,且在不同情況下按照標準要求對電纜進行敷設。電纜在空氣中沿輸送易燃氣體的管道敷設時,應配置在危險程度較低的管道一側,并應符合易燃氣體比空氣重時,電纜宜配置在管道上方;反之則在下方。③要在符合規定的環境溫度下敷設電纜,穿金屬管敷設在可能受到機械損傷和行人容易接近的地方,在穿管前要用柔軟材料包裹住的電纜。④應該在溫度5℃以上的時候安裝電纜接頭盒、終端頭,并且相對濕度不能超過50%,施工地點也要清潔干燥,選用絕緣劑,封鉛后直到完全冷卻才能移動電纜。
2.3.3 運行方面 ①不要在電纜溝道內堆放雜物,應該經常的清掃電纜溝道,使其保持清潔干燥。定期的檢查并記錄電纜的情況,一旦發現異常,要及時的采取措施。②在電纜溝內動火時,附近的門或電纜蓋板要打開,配置滅火器和黃沙,設置施工警示牌。作業前切斷電源,并用石棉板分隔開其和附近電纜。在溝外進行噴燈的點火、加油和熔融絕緣劑,并且熔融劑被送入工作地點的時候要放在有蓋的鐵桶里。導電部分一定要和明火保持距離。作業后,清點設備,清除雜物,封堵孔洞,確認安全離開時,把附近的門關上或電纜蓋板蓋好。③增加一些有效的消防裝置和火災自動報警裝置。
3 日常采取的具體措施和檢查內容
根據《電力安全工作規程》中關于電纜防火工作的要求,對城區配電電纜進行了詳細的檢查,發現了溝內滲水嚴重、沒有防火墻門和隔斷措施等問題,為了減少電纜運行中的火災隱患,提出以下的應對措施,針對滲水問題,以堵為主,以排為輔,并在此基礎上增設防火門和隔離墻。
3.1 具體措施 ①封堵輸排:電纜溝道的墻體地面封堵,電纜輔溝與主溝之間的隔離封堵。電纜穿墻管件和強硬件封堵。完善溝內的排水設施,改造往電纜溝排水的小管道。將市政下水井疏水排放與電纜溝隔離。②完善防火措施,設置防火墻、防火門。③清除廢棄電纜及雜物,完善電纜溝照明。
3.2 檢查內容 ①對于電纜的各項情況一定要進行定期的檢查和記錄,一旦發現異常,就采取應對措施。②發現電纜過負荷的情況要及時的采取減負荷措施。③副班長應該每月至少一次帶著巡回檢查城區配網的電纜隧道等,如果遇到異常情況,要及時的采取有效措施。④電纜的接頭應該是巡視和檢查的重點。⑤電纜線路要進行定期的清掃維護,各支架也必須可靠牢固。
4 結束語
只有掌握了電纜火災事故發生的規律、撲救方法、預防措施和防火檢查內容等,并且嚴格遵守《電力電纜運行規程》的規定,才能保證電力電纜的安全運行,讓企業提高安全經濟效益。
參考文獻:
[1]電力電纜線路運行規程,國家電網公司.
篇3
關鍵詞:配網 饋線故障 反事故措施
引言
近年來,隨著鶴山市經濟迅速發展,工業發展重心逐步由城市轉向農村,對農村配網的安全可靠運行要求越來越高,加上家庭電氣化普及率(特別是空調)使用率大幅提高高,農村供電量近年來保持每年30%以上的增長。目前,該市農村兩網改造的主要投資重點是滿足負荷需求,用于配網自動化建設的資金相對缺乏,配網自動隔離故障、短期恢復正常供電的能力還不足。如何利用有限的大修資金實施反事故措施,改造配網的薄弱點,降低配網的故障率,提高供電可靠性,是目前配網運行的一個工作重心。
一、農村10kV配網運行薄弱點分析
目前,鶴山供電局共有10kV線路126回1053km,以架空線路為主,占總線路長度的77.3%。本文根據鶴山市農村配網的實際情況,主要從以下幾方面因素分析運行中存在的薄弱點。
(一)天氣等人力不可抗拒因素
鶴山市處于珠三角地區,每年的5~10月是雷雨季節,而農村地區絕大部分屬于濕地,是雷電活動的高發區。根據該地區以往的運行記錄,農電公司總跳閘、接地故障經雷擊原因造成的就有130回次,所占比率為61.2%。南部沿海也是臺風的高發區,據氣象局的不完全數據統計,過去10年間,鶴山每年平均發生3.8次影響范圍在100km以內的臺風。可見,雷擊和臺風對中國南部沿海10kV配網的影響非常大,也是配網運行中存在的兩個最大薄弱點。
(二)社會環境因素
南部z海地區在經濟發展迅猛的同時,存在著很多不利于配網安全運行的因素,具體在交通碰撞、基建工地機械破壞(含開挖)、綠化樹木碰觸、偷盜電力設施等幾個方面。2008年由于以上因素造成農村10kV配網跳閘、接地共82回次,占總數的11.5%,尤其以綠化樹木碰觸、基建工地破壞以及交通碰撞為甚,幾乎每月均有發生,在這些薄弱點方面加大技術管理措施,對降低10kV配網的故障率是大有潛力可挖的。
(三)農村10kV配網的內在因素
南部沿海地區自1998年起開展兩網改造工作以來,由于負荷增長迅猛,致使部分10kV饋線(或支線)重載運行,基于安全運行的原因被迫壓負荷處理:另一方面,饋線重載也導致一些舊式的載流線夾,如BB夾、JB夾等出現發熱發紅,甚至燒毀,引起饋線故障。
農村10kV配網中,仍然運行著一部分多年的老型號電力設備,如柱上開關、跌落式熔斷器、閥式避雷器、針式絕緣子、高損配變等,部分運行時間已十幾年。此外,還存在其他容易忽視的薄弱點,例如配電房的防小動物措施不完善、電纜溝坍塌積水等問題。
(四)運行管理方面的因素
運行管理中影響配網安全的主要因素是巡視不到位、消缺不及時。巡視不到位,主要是巡視人員技能素質不高、責任心不強:消缺不及時,消缺管理流程不清晰、責任考核不落實。這些管理上存在的薄弱點,使一般缺陷往往得不到及時消除,甚至擴大為緊急缺陷,直至發生10kV饋線或設備故障。
二、農村10kV配網的反事故措施
(一)針對天氣因素采取的反事故措施
10kV配網實施防雷措施的目的是提高線路的耐雷水平,可考慮從以下幾個方面著手。
1、提高絕緣子的耐雷水平,特別是針式絕緣子的耐雷水平。建議淘汰P-15M型及以下等級的針式絕緣子,逐步將傳統的P-20M型更換為PSN型的柱式絕緣子。新架設線路推薦使用雙瓷橫擔(加強型S-210)的裝置形式,以加大絕緣子的爬距。線路改造時也可以按這個思路實施技改工作。
2、安裝線路避雷器,部分特殊線路段加裝避雷線。提高絕緣子的絕緣等級還不足以保障線路在遭受雷擊后能安全運行,而安裝線路避雷器則是一個經濟、簡單、有效的措施。線路避雷器建議選用非線性、無間隙的金屬氧化物避雷器,推薦使用殘壓為45kV或50kV的避雷器。至于避雷線,一般則在大跨越、高桿塔的情況下才予以考慮。
3、定期檢測接地網,確保接地網的接地阻值合格。
4、在架空線路抗擊臺風方面,加強線路的抗傾覆能力是關鍵。目前使用的水泥電桿,力學等級在J級及以上,標準荷載在3.5kN以上,可滿足強度要求,防臺風的工作重點應放在桿塔基礎的加固上。對地理條件不允許加裝拉線的電桿,宜以電桿中心,半徑1.5m內用沙包堆砌圍堤,圍堤內填充石粉與水泥的混合物(混合比一般為2:1),確保電桿的埋深和培土符合要求。為防止滑坡,沙包外圍可適當增打一些松樁加固。為降低風壓造成的傾覆力矩,農田等開闊地方,在滿足對地安全距離的情況下,在設計時宜選用12m以下的短長度電桿。
(二)針對社會環境因素采取的反事故措施
南部沿海地區大部分線路架設在公路邊,經濟發展所帶來的交通繁忙對線路的危害極大,車輛碰撞桿塔導致線路故障的情況時有發生,尤其在夜間。因此,對路邊桿塔設置必要的警示措施是非常必要的。
采取的反事故措施主要有以下幾個方面:加大宣傳力度,在各種傳媒長期、廣泛宣傳保護電力設施的重要性,詮釋破壞電力設施所帶來的嚴重后果以及肇事者應負的責任;有開挖可能的地下線路,適當設置“沿線地下有電力電纜,動土開挖請聯系……”之類的警示牌;基建工地增加巡視的次數,發現工地有危及線路安全運行的可能,則發出警告傳票,并抄送當地安委會備案。這種做法也適用于經常向線路拋扔雜物的廠區、住宅區。
綠化樹木分兩類:一類是街道兩旁成型的綠化帶,另一類是種植場的綠化樹木。同時應注意防雷措施要同步實施。
(三)針對10kV配網內在因素采取的反事故措施
對于重載10kv饋線和公用臺區,應每月開展負荷監測工作。按照目前珠三角典型10kV饋線結構(出線電纜為YJV22-3X300,主干架空導線為3X LJ-240),除負荷長期穩定的饋線外,對最高負荷電流超過300A的饋線建議采取預警制度,及時制定整改方案轉接負荷;對可能接入點負荷的饋線,最高負荷電流雖不超過300A,也要納入整改方案,落實負荷轉接工作。公用變壓器最高負荷率超過85%的,亦應采取預警制度轉接負荷,必要時可加裝低壓綜合監測儀或多功能電子表進行負荷監測。
對于殘舊設備,應選用技術參數高的現行產品,結合全年的停電計劃安排輪換工作。根據筆者的運行經驗,綜合造價因素,柱上開關可選用零氣壓的VSP5型SF6負荷開關,跌落式熔斷器可選用(H)RW11-12型,連接線夾可選用載流能力強的安普線夾和TA線夾,配變可選用低能耗的S11系列,高壓配電柜可選用HXGN15型及以上SF6系列,低壓開關柜可選用GGD2以上系列。建議從運行時間、檢測參數、外觀檢查等多方面綜合確定輪換的殘舊設備,并在每年年初就開始制定計劃,以便有充分的停電機會執行輪換計劃。
配電房的防小動物措施,重點在于封堵電纜溝進出線孔洞、配電柜電纜出入口等老鼠和小動物容易進入的薄弱點,配電房門窗加裝金屬窗紗(紗孔孔徑建議小于10mm),配電房進出門加裝0.8m高的防鼠閘。電纜溝或電纜槽的蓋板應有“電力電纜”及“高壓危險”的警告標志,對臨近建筑工地、可能受到擠壓塌方的溝井,除了豎立警示牌,向工地負責人發出警告書外,還應加強巡視工作,發現隱患及時消除。
(四)針對運行管理方面因素采取的反事故措施
在運行管理方面,應著重抓好巡視維護及消缺兩項工作。巡視維護方面,應針對不同的天氣、季節特點,每月度制定巡視計劃,落實責任人,確保巡視到位。巡查發現的缺陷或隱患,應設專人進行分析歸類,按先急后緩、是否需要停電等的條件制定計劃,落實消缺工作。同時,應根據單位實際情況,制定相應的配網管理辦法和獎懲規定,充分調動巡檢人員的積極性。鑒于目前沿海地區管理工作已普遍微機化,建議編制相應的計算機軟件,實現巡視消缺工作流程的閉環管理,以便對缺陷進行刷新記錄和匯總分析,同時實現責任考核等功能。
篇4
【關鍵詞】IPRAN IP化 QoS 高可靠性 同步
1 前言
隨著移動通信2G向3G技術的發展演進,以語音為主的移動業務朝著語音和數據業務并重的方向發展,移動互聯網新型的業務需求和商業模式推動著移動業務和承載網絡IP化進程。移動接入網逐步實現IP化,對基站回傳(RAN)采用IP網絡技術承載,是業界達成共識的一個發展趨勢;在向LTE的過渡中完成移動網絡IP化進程也成為全球主流移動運營商的共同選擇,例如歐洲Vodafone、Telefonica、T-Mobile、日本NTT DoCoMo等運營商。
Do A基站引入FE接口已經在國內得到了部分應用,主要采用MSTP網絡實現FE接口的統一接入。但由于自身局限性,基于SDH架構的MSTP技術并不能很好地適應業務全IP化承載的需求,因此已開展移動、視頻及寬帶等全業務運營的電信運營商逐漸傾向于以新技術實現IPRAN的承載,并進一步擴展形成FMC融合承載的統一解決方案。
目前,主流IPRAN組網技術有MPLS-TP、PBT等PTN技術,也有新型以太網、路由器等技術,新型路由器技術具備同PTN設備類似的電信級OAM、保護機制及同步能力,同時具備三層VPN與三層組播功能,可以更靈活地滿足全業務運營環境下的業務承載需求,但缺點是設備的功能增強導致成本增加。
2 IP RAN組網技術分析
目前,BTS上行方向通常采用不同的端口傳送移動語音與數據業務,即語音通過E1端口,Do數據業務通過FE端口傳送;隨著BTS移動語音業務的IP化進程,未來BTS上行方向將通過FE端口統一傳送移動語音與數據業務。針對這兩種應用場景,IP RAN網絡承載可針對語音業務采用端到端的電路仿真方式(PWE3),對于數據業務則采用分段的VPN傳送方式,以實現承載業務的可擴展性。
2.1 IP RAN組網方式
IP RAN組網架構與業務需求及地理環境有關,通常分為接入網與骨干網兩個層面,其中接入網又分為接入層與匯聚層。電信運營商根據現有網絡資源與運營經驗,選擇的組網設備類型會有所區別,通常來說有三種組網方式(如圖1所示)。
(1)方式一:采用端到端的PTN設備進行環型組網,適用于以移動業務為主,但IP網絡資源相對較少的運營商使用。
(2)方式二:接入網采用PTN設備接入BTS,而骨干網采用IP網絡統一承載,適用于以移動業務為主,且擁有覆蓋廣泛的IP網絡資源的電信運營商。
(3)方式三:采用端到端的新型路由器進行組網,即接入網采用路由器組網,骨干網采用統一的IP網絡承載,適用于FMC環境下的電信運營商實現全業務運營。
2.2 IP RAN組網重點
對電信運營商而言,組網重點在于能否滿足業務的承載要求,如端到端的業務傳送、電信級OAM和保護機制、高質量承載及靈活方便的可運維網絡管理能力等。具體包括以下六個方面的內容:
(1)端到端的高可靠性保護機制:若采用端到端PTN組網,則接入網與骨干網均通常采用環型組網1:1保護;若接入網采用PTN,骨干網采用路由器組網,或者采用端到端路由器組網方案,則接入網通常采用環型組網1:1保護,而骨干網采用FRR技術實現可靠性保護。
(2)端到端的高質量承載:主要是滿足移動、語音等業務的高性能指標,實現業務的差異化服務保障,實現流分類、流量監管、優先級標識映射與反映射,隊列調度等機制。
(3)高效的時間與時鐘同步技術:要求端到端的RAN網元及網絡設備支持1588V2協議。
(4)靈活方便的可視化網管:要求業務配置開通、故障告警、破環自動發現、性能監控及報報表等功能全面,操作維護方便。
(5)可擴展性:需要考慮滿足未來LTE環境下的BTS組網要求,如實現基站靈活歸屬、基站互連等;并適用于與VoIP、政企客戶業務的統一承載。
(6)異廠家設備互通:PTN或者路由器設備是否能夠實現與思科、上海貝爾、中興、華為等眾多廠家SR設備的對接互通,滿足現網應用部署。
在全業務運營和IP化融合承載趨勢下,方式一端到端的PTN組網方案由于技術局限性導致承載的業務比較單一,基本上以移動業務為主,不適合多業務綜合承載。有全業務運營需求的電信運營商,往往更傾向于采用方式二與方式三:骨干網由優化的IP網絡設備組建,接入網則采用高質量、高可靠及具備電信級OAM能力的設備構成,實現移動語音與數據、固網NGN語音、政企VPN等高品質業務的統一接入及可靠承載。
3 全業務運營環境下的IP RAN組網部署方案
在全業務運營環境中,電信運營商往往以IP RAN作為切入點來構建一個融合承載移動、視頻及寬帶等綜合業務的承載網絡架構,因此,方式二與方式三將成為電信運營商的優先選擇,如圖2所示。
3.1 組網方案配置部署
目前,BTS上行方向通常是通過不同的端口傳送移動語音與數據業務,Do數據業務通過FE端口傳送,語音通過E1端口。在這種應用場景下,IP RAN承載方式也不相同,對于FE業務采用分段傳送方式,對于E1業務采用端到端的電路仿真方式(PWE3)。
從組網擴展性出發,FE業務采用分段的承載模式,如圖3所示,在接入網采用L2VPN傳送,接入網出口設備作為BTS的星型匯聚節點;骨干網采用L3VPN傳送,接入網與骨干網之間無關聯。BTS FE業務接入到接入網后,通過L2VPN到達并終結于接入網出口節點設備,在剝離L2VPN標簽后,變為原始FE類型數據接入SR再進入L3VPN,并終結于BSC前置SR設備。
對于E1語音業務,接入網入口節點與BSC側RT/PTN之間建立端到端的PWE3電路仿真,接入網L2VPN嵌套在骨干網L2VPN之內,稱為Overlay組網方式。接入網入口節點與BSC側路由器/PTN設備之間建立端到端的PWE3電路仿真,接入網L2VPN嵌套在骨干網L2VPN之內,稱為Overlay組網方式。
在采用方式二的情況下,接入網的PTN設備主要采用靜態配置L2VPN傳送通道;在采用方式三的情況下,接入網的路由器主要通過控制層面路由協議ISIS建立L2VPN傳送通道。
3.2 端到端的可靠性保護
在FE業務承載模式下,與組網方案相關,端到端的可靠性保護也是采用分段模式;網絡中可能出現的節點或鏈路故障如圖5的F1~F9所示。
(1)對于故障點F1~F2,方式二和方式三均在接入網部署1:1 LSP保護和1:1 PW保護機制,對于方式二,PTN設備通過TMP/TMC OAM檢測LSP與PW連接的有效性;而對于方式三的路由器,則通常通過硬件BFD檢測LSP和PW連接的有效性,FFD或BFD報文周期配置在10ms,以保證接入網實現50ms的保護倒換能力。
(2)對于故障點F3~F5,在接入網與骨干網邊界,結合接入網的PW保護倒換技術,SR采用VRRP實現接入網二層設備與骨干網三層設備SR之間的鏈路與節點故障保護倒換。為提高VRRP保護性能,但又不改變現有網絡組網結構,通過骨干網建立SR之間通信的VPLS隧道承載VRPP信令和倒換流量,利用骨干網鏈路與路由冗余提高VRRP保護健壯性,實現接入網與SR之間的保護機制的低耦合和跨廠家節點設備互通,增強網絡靈活性。
(3)對于故障點F6~F7,骨干網建立L3VPN隧道承載移動數據業務,并啟用TE FRR實現快速倒換保護,以實現
(4)對于故障點F8~F9,BSC通過主備鏈路接入BSC側PTN/RT,BSC側PTN/RT啟用VRRP保護,VRRP信令通過BSC側PTN/RT之間二層鏈路傳送。
對于E1業務承載方式中的可靠性保護,由于BTS側PTN/路由器與BSC側PTN/路由器建立端到端的PWE3,整個保護采用端到端的1:1 LSP保護和1:1 PW保護機制即可滿足50ms保護倒換延遲,也就是滿足故障點F1~F4的倒換保護能力。
3.3 端到端的高質量承載
整個IP RAN網絡全程統一定義移動、視頻及寬帶各種業務等級及優先級標識,各種業務根據其業務等級實現相應的標識映射與隊列調度。入口設備完成802.1P/EXP值的映射與隊列調度,中間設備根據EXP值完成業務的隊列調度,為語音、視頻等高品質業務優先轉發保障,從而實現差異化的網絡承載。
3.4 時間與時鐘同步技術
在BSC目前不支持1588V2的時候,在BSC側PTN/路由器外掛GPS時鐘,并作為時鐘源,配置為OC模式;通過骨干網與接入網全網設備部署1588V2協議,采用BC方式實現BTS的時鐘與時間同步,整個網絡方案設計在時鐘同步方面要求滿足G.823模板;在時間同步方面要求滿足
4 移動語音與數據業務網絡加載應用
按照方式二與方式三進行現網模擬實驗測試,并加載移動語音與數據業務進行業務測試,驗證兩種方式的可行性與可運營能力。業務承載能力驗證主要包括:IPRAN改造站點每扇區定點1X主被叫測試;DO下行FTP服務器定點下載數據測試;IPRAN改造站點與周圍站點的1X主被叫測試驗證切換功能。
下面列出了相關KPI指標示意圖:
圖7為1X忙時關鍵指標(掉話率、軟切換成功率、呼叫建立成功率等)對比(標紅線為基站割接到IPRAN承載后日期)。
圖8為DO忙時關鍵指標(掉話率、連接成功率、HRPD會話建立成功率等)對比(標紅線為基站割接到IPRAN承載后日期)
通過關鍵KPI對比可以看出,割接前后BTS業務指標穩定,IP RAN承載組網方式二與方式三均滿足BTS業務承載要求。
5 結束語
全業務經營的電信運營商面臨移動、視頻及寬帶業務快速發展的機遇,也面臨著網絡建設和投資的壓力。電信運營商應利用自身優勢,依托電信現有廣泛覆蓋、豐富的網絡資源,以IP RAN承載為切入點,構建高可靠、高質量、差異化的全業務綜合承載網絡,對實現電信業務規模化運營、促進電信業務持續發展具有重要意義。
參考文獻
[1] 徐榮,任磊. 分組傳送技術與測試[ M]. 北京:人民郵電出版社,2009.
[2] 許銳,梅瓊. 3G無線接入網接口演進與設計[M]. 北京:人民郵電出版社,2008.
[3] 龔倩,徐榮. 分組傳送網[M]. 北京:人民郵電出版社,2009.
[4] 鄧廣安,張優訓. PTN在3G接入傳輸中的組網模式探討[J]. 廣東通信技術,2009(3):60-64.
[5] 戴利彬. 打造移動IPRAN傳送網[J]. 電信網技術,2008(4):18-20.
【作者簡介】
易昀:中山大學通信與信息系統專業碩士研究生,現任職于于中國電信股份有限公司廣州研究院,主要研究方向為電信承載與接入網絡等。
楊廣銘:哈爾濱工程大學計算機科學與通信碩士研究生,現任職于中國電信股份有限公司廣州研究院,主要研究方向為通信網規劃、移動承載網總體設計等。
黃卓君:廣州中山大學通信與信息系統專業碩士研究生,現任職于中國電信股份有限公司廣州研究院,主要研究方向為電信承載與接入網絡等。
篇5
奇虎360關注企業級安全,面對日益嚴峻的安全挑戰,360希望為企業提供安全可靠的防護平臺。360私有云安全就是奇虎360針對高端企業需求推出的一套企業終端安全解決方案,旨在打造高度可控的企業安全網絡。如果把360云安全體系移植到企業內網,就可以讓企業用戶享受云安全技術帶來的高效及便利。360私有云安全系統是國內率先推出基于定制化黑白名單的企業云安全解決方案,依托超過4億終端用戶的云安全體系,為企業打造高度可控云安全解決方案。面對企業復雜的網絡環境,360私有云安全提供內網云安全服務,能極大限度保障業務系統和數據安全,有效降低資源占用和運營成本。
定制防護
通過360私有云安全黑白庫平臺,以及對應的四個安全區策略(核心區、辦公區、客戶區、非信任區),從高到低為企業用戶定制不同的需求,抵制外來以及內部的惡意軟件攻擊。強大的360私有云安全庫以及基于非白即黑的主動防御技術,企業用戶可以在相應的安全區下放心地使用機器。當企業終端用戶發生未知文件操作時,控制臺可以及時發現并記錄用戶的操作行為,在控制臺進行記錄,方便網絡管理員查看。此外,360私有云安全還支持企業域用戶的需求,可實現不同區域終端集中管理。
為了更加有效地部署和保障用戶文件,360私有云安全還設置了獨有的信任機機制,當某臺機器被設定為信任機之后,此機器的軟件會自動加入到360私有云安全白庫中,局域網的其他終端會通過連接控制臺的數據更新白名單,這樣對于用戶來說在部署或者添加、刪除應用程序就更加方便快捷。另外,360私有云安全還支持企業管理員自己添加黑白庫,管理員可通過控制臺自定義黑白庫,對全網終端下發統一策略,讓惡意軟件及非正常操作無法運行。
360私有云安全客戶端通過訪問控制臺頁面進行安裝,快速方便。客戶端系統支持云引擎和QVM啟發式引擎雙查殺,更好地保護企業信息數據安全。同時根據360私有云安全獨有的策略區規則,客戶端會執行相應的策略。白庫加黑庫的雙重策略,有效防護企業用戶的系統文件。通過客戶端快速上報攔截和查殺信息,服務器控制臺生成審計記錄,為企業管理提供了有據可查的功能。
360私有云安全基于B/S架構,支持多級部署,采用集中管理的工作模式。它由三部分組成:服務端是內網云安全系統的數據處理和存儲中心,為全網客戶端提供云安全服務;客戶端安裝在終端上,對計算機實現保護,上報終端安全狀況,下載安全策略,及時處理病毒,和服務端通信并接受統一管理和升級;控制臺采用人機交互界面,通過瀏覽器登錄和管理,管理員可輕松實現全網終端部署、文件審計、策略下發和報表查看等功能。
七大優勢
在為企業提供安全防護時,360私有云安全解決方案有著諸多優勢。
第一是私有云查殺。360私有云安全把文件特征庫置于企業內網服務器端,無需連外網,終端可以通過云查殺引擎直接調用內網服務器端特征庫執行查殺,其運算速度和數據量都遠遠超過傳統殺軟的本地查殺引擎,實現全網協同作戰、集體防御,并允許企業根據業務需求自由設定私有文件的黑白名單,避免內網出現誤殺、漏殺。
第二是統一管理企業安全。360私有云安全,通過一個簡單高效的管理控制中心統一管理終端的安全,解決企業對安全統一管理的需求。360私有云安全提供全網安全監控、病毒查殺、漏洞修復、策略分發、統一升級等。通過基于B/S構架的管理控制臺,管理員可以隨時隨地進行統一的企業安全管理。
第三是智能漏洞修復。及時修復漏洞可以有效保護用戶電腦系統和網絡應用的安全。360私有云安全提供全網補丁智能修復功能,智能分配服務器的流量帶寬,避免因為大量補丁更新導致網絡阻塞,影響正常企業辦公。獨有的系統藍屏修復功能,可幫助您在安裝微軟補丁并發生藍屏或無法啟動等問題后快速修復您的系統。
第四是全網文件審計。360私有云獨創的全網文件安全審計功能,全網的可執行文件信息都匯總到服務器端,所有文件都帶有詳細信息和云鑒定結果,管理員可以按公司名、產品名、數字簽名等方式分類審核文件,便于及時發現和定位未知威脅。
第五是Office宏病毒引擎。360私有云客戶端可全面清除寄生在Excel、Word等文檔中的Office宏病毒,還原珍貴文檔。用戶可開啟360殺毒的“Office宏病毒免疫”,就如同為系統打上疫苗一樣,使辦公文檔免除感染病毒之憂。
第六是斷網保護。360私有云安全支持查殺引擎智能切換,在正常通信時,云引擎將全力保障您的電腦安全,當網絡出現故障時,將自動啟用國際領先的常規反病毒引擎和360 QVM II人工智能引擎,讓電腦依然堅不可摧。
第七是內網帶寬保護。用戶可自定義服務器的下載帶寬、連接數和單臺下載速度等,一旦超出預設值,網絡將自動啟用分流或延緩機制,以確保用戶網絡辦公環境不受影響。
應用案例
目前,360私有云安全系統已經在政府機關和諸多行業企業得到了應用。
例如國內某大型企業就提出了具體的企業內部安全需求:要在企業內部建立私有云安全平臺,實現文件查殺企業內部可控;方便部署及維護,可以讓某個服務器作為可信任的機器,在此機器部署的軟件都為內部可執行文件;可以自行設置黑白文件庫,防御外網未知文件的功能;對內網的安全操作行為進行有效監控,實現每個操作在服務器端有記錄,可供相關人員審核;不同區域的用戶執行不同的策略,核心區用戶的監管相對嚴謹,客戶區的監管可以相對寬松些。
篇6
中型企業在安全管理的規范進程中,正經歷著標準化推進過程中不能量化的煎熬。目前,中國的用戶變得比以往更加關注信息安全產品的ROI(投資回報)和TCO(總擁有成本)的變化。這其中的重要原因是因為實施安全管理透明化的企業在數量和種類上都在增加,實施成本管理的企業已不再局限于金融、電信等傳統豪門,同時也包含了資金相對不充裕的中型企業。
快速發展的中型企業也會遭遇分支機構的安全管理難題。快速增長型企業分散在不同地理位置的分支機構,保護措施相對薄弱,更加容易處在病毒和黑客攻擊的威脅之下,成為不法分子攻擊企業核心網絡的跳板。
云安全技術讓威脅變透明
依托20多年來在安全領域所積累的豐富經驗和全球威脅發現響應體系,趨勢科技在IWSA 1500中,集成了多種先進安全引擎和業界領先的云安全技術,在過濾、分類各種網頁并自動阻擋惡意URL的同時,能夠實時地掃描和防護各種上下行的威脅。此外,它采用最新的引擎和中國區病毒碼,能夠更有效地防范國內流行的各種威脅。IWSA作為針對HTTP/FTP應用進行安全防護和策略控制的綜合性網關解決方案,能夠在一個硬件設備中對HTTP/FTP數據流實現如下七大安全控制:防病毒、防間諜軟件、防網絡釣魚、防Java Applet & ActiveX惡意插件、流量配額管理、惡意URL阻止、URL分類過濾功能。
在網絡效能方面,IWSA依靠趨勢科技獨有云安全技術,遙遙領先其他UTM產品。趨勢科技云安全技術是通過多種方式收集數據信息并動態分析惡意威脅,生成動態的URL、郵件IP、文件信譽庫,并通過行為關聯分析技術,建立各種信譽庫之間的關聯。當用戶訪問目標信息時,云安全技術就可以在幾毫秒內與信譽庫中的URL地址、郵件IP地址等進行比對,獲得安全訪問建議,從源頭阻止對不良URL、郵件和文件的訪問,降低網絡風險的侵入。
目前,云安全技術每天接受的用戶查詢數量已達到50億次,而每日評估處理的URL、郵件IP地址等更達到1200G。與此同時,趨勢科技將70%的威脅特征碼放在云端,從而為IWSA等威脅防御設備減少70%的核心內存占用,大大釋放了系統資源,這些都是傳統的病毒代碼比對技術所無法比擬的。中石油長慶油田公司第一輸油處的常主任表示:“在采購Web安全網關之前,我們測試了多款產品,但發現這些產品依然在使用防毒中的老路數,比如從網關上下載最新的特征碼、URL地址庫,然后對流量進行過濾比對等。由于不采用死代碼的方式, IWSA對網絡的影響我們根本感覺不到,安全效果也很出色。”
篇7
關鍵詞:云計算技術;云安全
美國國家標準與技術研究院認為,云計算技術是一種資源利用模式,它能以簡便的途徑和以按需的方式通過網絡訪問可配置的計算資源(網絡、服務器、存儲、應用、服務等),這些資源可快速部署,并能以最小的管理代價或只需服務提供商開展少量的工作就可實現資源。縱觀云計算技術的概念和實際應用,可以看出云計算技術有兩個特點。一是互聯網的基礎服務資源如服務器的硬件,軟件,數據和應用服務開始于集中和統一;二是互聯網用戶不需再重復消耗大量資源,建立獨立的軟硬件設施和維護人員隊伍,只需通過互聯網接受云計算技術提供商的服務,就可以實現自己需要的功能。云計算技術的研究應用,不僅推動了經濟的飛速發展,而且也影響著人類的生活方式。思科預測,到2020年,三分之一的數據都將存儲在云上或通過云進行存儲。目前,推動移動互聯網、云計算、大數據、物聯網等與現代制造業結合,被寫入了政府工作報告。因此,加強云計算技術的研究和應用,特別是與現代制造業相結合,對我國經濟的發展和人民生活水平的提高A2.重大。在加強云計算技術應用推廣的同時,做好云安全(Cloud Security)防護則顯得尤為重要。
1 云安全概念
最早提出“云安全”這一概念的是趨勢科技,2008年5月,趨勢科技在美國正式推出了“云安全”技術。云安全技術是網絡時代信息安全的最新體現,它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。云安全技術是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果。云安全是繼云計算技術、云存儲之后出現的“云”技術的重要應用,是傳統IT領域安全概念在云計算時代的延伸,已經在反病毒軟件中取得了廣泛地應用,發揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全是我國企業創造的概念,在國際云計算技術領域獨樹一幟。“云安全”的概念在早期曾經引起過不小爭議,已經被普遍接受。值得一提的是,中國網絡安全企業在“云安全”的技術應用上走到了世界前列,金山毒霸、瑞星等公司都相繼推出了云安全產品。
2 云計算技術存在的安全問題
隨著云計算技術的不斷發展,安全性問題將成為企業高端、金融機構和政府IT部門的核心和關鍵性問題,也直接關系到云計算技術產業能否持續健康發展。云計算技術涉及三個層面的安全問題。
2.1 云計算用戶的數據和應用安全。
在用戶數據方面,云用戶和提供商需要避免數據丟失和被竊。如今,個人和企業數據加密都是強烈推薦的,甚至有些情況下是世界范圍法律法規強制要求的。云用戶希望他們的提供商為其加密數據,以確保無論數據物理上存儲在哪里都受到保護。同樣的,云提供商也需要保護其用戶的敏感數據。云計算技術中對數據的安全控制力度并不是十分理想,API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏,并且還可能缺乏必要的數據銷毀政策。同時,數據的完整性、可用性以及數據的可恢復性,都需要云計算技術去考慮。在應用安全方面,由于云環境的靈活性、開放性、以及公眾可用性這些特性,在SaaS、PaaS、IaaS的所有層面,運行的應用程序安全設計也至關重要。同時,應用層的安全認證、審計以及數據的訪問權限控制也需要考慮。
2.2 云計算服務平臺自身的安全。
包括了云計算平臺的硬件基礎設施安全、共享技術安全和web安全等問題。在硬件基礎設施方面,如網絡、主機/存儲等核心IT設備,網絡層面的設備需要考慮包括網絡訪問控制(如防火墻),傳輸數據加密(如SSL、IPSec),安全事件日志,基于網絡的入侵檢測系統/入侵防御系統(IDS/IPS)等安全問題,主機層面的設備需要考慮包括主機防火墻、訪問控制、安裝補丁、系統鞏固、強認證、安全事件日志、基于主機的入侵檢測系統/入侵防御系統等安全問題。在共享技術方面,如在云計算中,簡單的錯誤配置都可能造成嚴重影響,因為云計算環境中的很多虛擬服務器共享著相同的配置,因此必須為網絡和服務器配置執行服務水平協議(SLA)以確保及時安裝修復程序以及實施最佳做法。在web安全方面,云計算模式中,Web應用是用戶最直觀的體驗窗口,也是唯一的應用接口。而近幾年風起云涌的各種Web攻擊手段,則直接影響到云計算的順利發展。
2.3 云計算資源的濫用。
主要包括2個方面,一是使用外掛搶占免費試用主機,甚至惡意欠費,因為云計算的許多業務屬于后付費業務,惡意用戶可能使用虛假信息注冊,不停的更換信息使用資源,導致云服務提供商產生資損。另一方面,許多攻擊者也會租用云服務器,進行垃圾郵件發送、攻擊掃描、欺詐釣魚之類的活動。
這些安全問題實際上在傳統的信息系統和互聯網服務中也存在,只不過云計算技術業務高彈性、大規模、分布化的特性使這些安全問題變得更加突出。同時云計算技術的資源訪問透明和加密傳輸通道等特性給信息監管帶來了挑戰,使得對信息和傳輸途徑的定位跟蹤變得異常困難。安全是云計算技術面臨的首要問題。Google等云計算服務提供商造成的數據丟失和泄漏事件時有發生,這表明云計算的安全性和可靠性仍有待提高。根據IDC的調查結果,將近75%的受訪企業認為安全是云計算發展路途上的最大挑戰。相當數量的個人用戶對云計算服務尚未建立充分的信任感,不敢把個人資料上傳到“云”中,而觀念上的轉變和行為習慣的改變則非一日之功。安全已經成為云計算業務拓展的主要困擾。
3 云安全防護措施
針對云計算技術中暴露出的一些安全問題,必須強化云安全防護措施,這樣才能讓用戶滿意。云安全防護措施主要有以下幾項。
3.1 強化數據安全和應用安全。
數據安全技術包括諸如數據隔離、數據加密解密、身份認證和權限管理,保障用戶信息的可用性、保密性和完整性。密碼學界正在努力研究謂詞加密等新方法,避免在云計算中處理數據時對數據進行解密,近期公布的完全同態加密方法所實現的加密數據處理功能,都大大地推進了云計算的數據安全。基于云計算的應用軟件,需要經過類似于DMZ區部署的應用程序那樣的嚴格設計。這包括深入的前期分析,涵蓋傳統的如何管理信息的機密性、完整性、以及可用性等方面。在安全認證方面,可通過單點登錄認證、強制用戶認證、、協同認證、資源認證、不同安全域之間的認證或者不同認證方式相結合的方式,有效防止云資源濫用問題。在權限控制方面,服務提供商和用戶提供不同的權限,對數據的安全提供保證。用戶應該擁有完全的控制權限,對服務提供商限制權限。
3.2 強化基礎平臺的軟硬件安全。
對于云計算平臺的網絡和主機設備,加強安全防護,可以通過網絡訪問控制(如防火墻),傳輸數據加密(如SSL、IPSec),安全事件日志,基于網絡的入侵檢測系統/入侵防御系統(IDS/IPS)等強化網絡安全,通過主機防火墻、訪問控制、安裝補丁、系統鞏固、強認證、安全事件日志、基于主機的入侵檢測系統/入侵防御系統等強化主機安全,控制防止非法用戶使用云計算資源;對于合法用戶的惡意使用,則可以通過審計日志來實現事后的追查。為了達到云計算終端到終端的安全,用戶保持瀏覽器的良好安全狀態是很必要的,這就需要對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。此外,針對目前幾種典型的云計算模式,部分廠商采取了細化應用安全防護的手段,針對不同的應用,提供專業級的網關安全產品。在數據共享方面,可以根據用戶的需求,建立所需的云服務,即SaaS(軟件即服務)、PaaS(平臺即服務)和IaaS(基礎設施即服務)三種形式。
3.3 強化法律管理措施。
云計算的穩定運行和健康發展,需要一定的法律法規和規章制度進行完善。SAS70標準是由美國公共會計審計師協會制定的一套審計標準,主要用于衡量處理關鍵數據的基準,SAS70作為第三方驗證來確保安全、政策執行和驗證等問題,能夠確保云供應商提供對客戶數據的保護。薩班斯法案的頒布,也為數據的保護提供法律的依據,屬于SarbanesOxley法案的企業在使用云計算服務的時候就必須確保他們的供應商符合SOX(薩班斯法案)。這些法案和制度的建立為云服務提供商更好地服務及避免數據丟失對客戶的損害提供了法律保障,將更有利于云計算提供商開發更優秀的構架。
篇8
關鍵詞:云計算;安全;云安全
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-01
Cloud Computing and Security Issues Analysis
Lei Jiangang1,Qian Haijun2,Yang Ping3
(1.Beijing Institute of Technology,Zhuhai,Zhuhai 519088,China;2.Zhuhai Radio and TV University,Zhuhai 519000,China;3.Institute of Mathematics and Information Science, Guangdong Shaoguan University,Shaoguan 512005,China)
Abstract:The emergence of cloud computing once again reflects the deep changes in the IT field,but it also represents the IT intensive,professional development work in the form of change,the traditional security technologies can not meet the needs of today's network security,cloud security technology into professional development needs of the present era.This paper will introduce many aspects of cloud computing and security technologies appropriate to analyze the problems and propose appropriate security policies.
Keywords:Cloud computing;Security;Cloud security
一、云計算的概述
(一)云計算的概念。云計算是基于互聯網的一種計算方式,通過云計算可以實現所有用戶通過互聯網進而使用共享的軟硬件。其中的云是對于網絡、互聯網的一種比喻說法。云計算的核心思想是將大量通過互聯網連接的計算機軟硬件資源通過統一的管理以及調度,按使用者的需求進行分配服務。(二)云計算分類及服務層次。云計算按其服務對象的不同,主要分為公有云和私有云;公有云是指面向廣域范圍內的服務對象的云計算服務,其主要具有社會性和公益性的特點;私有云主要是指社會單位由于自身需要而建設的自由云計算服務,具有行業性的特點。云計算的表現形式具備多樣化;云計算按其服務層次不同可分為基礎設施服務(IaaS)、平臺服務(PaaS)和軟件服務(SaaS),云計算服務都可以通過瀏覽器進而訪問在線的商業應用、軟件以及數據存儲中心。基礎設施服務(IaaS)是以提供完善的計算機基礎設施的一種云計算應用模式。其在運作過程之中,用戶可以依據其應用能力進行硬件租用,在一定意義上降低了用戶在硬件上的開支。平臺服務(PaaS)是以提供軟件研發平臺的一種云計算應用模式。在一定意義上PaaS是SaaS的另一種模式的延續,同時PaaS的出現以及發展又相應更大程度的促進了SaaS的發展。以Google App Engine平臺為例,它是一集python應用服務器群、Big Table數據庫及GFS而共同組成的一個PaaS平臺,開發者用戶可以在Google App Engine享受到相應的主機服務以及可自動升級的在線應用服務。用戶在Google的基礎架構上所編寫的應用程序可以直接為互聯網用戶提供服務,同樣的由Google提供相應的程序所需的運行平臺資源。
軟件服務(SaaS)是基于互聯網進而提供軟件服務的一種云計算應用模式。此類服務模式由服務提供商進行軟件維護、管理以及軟件運行所需的硬件設施,只要具備能夠接入互聯網的終端,用戶便隨時隨地的都可以使用軟件,不再像傳統模式一樣在軟硬件以及維護人員上面花費大量的費用,此時的用戶只需要支付一定的租賃服務費用,便可以以享用相應的軟硬件以及維護服務。
二、云計算安全隱患
隨著云計算的進一步深入,云計算得到了社會各界的廣泛認可以及運用;孰不知,看似安全的云計算服務,其更容易成為黑客所攻擊的重點目標,同時由于其系統規模較為巨大且開放、復雜,其安全隱患相比之前有著更為嚴峻的考驗。以下本文將分別從服務提供商和用戶的角度進行說明云計算服務所存在安全問題:首先,對于云服務,用戶根本無法真正了解到其內部,服務提供商所向用戶承諾的各種層次的安全方案,用戶不能通過有效手段得到驗證。用戶無法了解的到其所用的云服務是否真正具備所有的云安全特性。其次,用戶在云計算服務時應當權衡下云計算服務商所提供的安全性與自己的數據所要求的安全性是否一致。在使用云計算服務過程中,用戶一定要將最高安全性主動的掌握在自己手中,最大限度保障數據的安全性。
三、云計算服務安全隱患解決策略
云技術服務安全隱患主要涉及用戶以及云計算服務提供商,因此在對隱患解決時,也應當進行雙方面權衡解決。以云計算服務提供商為主體:首先,國家一定要加大對其規范以及監管力度,通過相關權威部門進行強制要求,并定期對其進行規范、安全性檢查。云計算的各個層面也應當由具體化的安全標準進行衡量。其次,云計算服務提供商應當采取分權分級管理模式。此模式可以有效防止云計算服務平臺中供應商“偷窺”用戶數據及程序的行為。一方面對于內部員工進行訪問、使用權限分級,一方面對用戶數據安全等級分級。最大限度保障用戶數據安全性。再次,云計算服務商應當進行跨區域數據復制。如果云計算服務提供商的某區域數據中心出現故障,用戶仍舊可以進行數據訪問,用戶對此毫不知情;這樣做能夠提升用戶對于云計算服務提供商的信賴度。最后,云計算服務提供商應當在開發一種以Web信譽服務、電子郵件信譽服務、文件信譽服務為基礎的云安全架構,并將病毒特征碼文件保存到云端數據庫中,對于用戶的威脅在到達用戶之前被有效的攔截,大大降低用戶數據安全風險。
以云計算服務用戶為主體:首先在選擇上,用戶應當選擇規模較大、商業信譽較好的云計算服務提供商。其次,用戶在進行數據存儲過程中,最好不要將高機密數據存儲于云端,如要存儲,則可先對數據進行加密,保證在云端中存儲的是密文形式的數據。用戶應當經常對其數據進行備份,以免服務器遭攻擊導致數據丟失。再次,如果數據屬于高度機密性的,用戶則可建立“私有云”。私有云是居于用戶防火墻之內的一種更為安全穩定的云計算環境,用戶還擁有云計算環境的自,能夠最大限度的控制并保障數據的安全性。最后,用戶可在客戶端安裝安全防御軟件,對網絡中軟件進行有效監控,如有異常安全防御軟件則在第一時間對用戶進行提醒,同時并將此類信息發至安全防御軟件的服務器進行自動分析和處理,然后將解決方案回饋至客戶端。安全防御軟件的安裝在一定程度上避免了用戶的一些風險操作,提高了其云端軟件以及數據的安全性。
參考文獻:
[1]劉鵬.云計算[M].北京:電子工業出版社,2010,66-67
篇9
關鍵詞: 云安全; 身份認證; 訪問控制; 數據存儲安全; 入侵檢測
中圖分類號: TN911?34 文獻標識碼: A 文章編號: 1004?373X(2014)02?0088?03
0 引 言
云計算是一種以互聯網為基礎的新興計算機應用技術,它融合了分布式計算、效用計算、并行計算、網格計算、網絡存儲、虛擬化等傳統計算機和網絡技術,形成了一整套新的標準和模式,“云計算”概念也迅速運用到生產環境中,各種“云計算”的應服務范圍正日漸擴大,影響力也無可估量。通俗的講,云計算就是讓你把所有數據處理任務都交給網絡來進行,由企業級數據中心負責處理客戶電腦上的數據任務,這樣就可以通過一個數據中心向使用多種不同設備的用戶提供數據服務,從而為個人用戶節省硬件資源[1]。本文介紹的云平臺安全措施主要是面向VMware系列云計算平臺的。
1 云安全簡介
當前,典型的企業私有云計算平臺拓撲結構如圖1所示。
云計算方興未艾,針對云計算平臺的安全性研究也在不斷進行,盡管云計算存在安全問題,但它仍然給信息安全帶來了機遇。在云計算方式下,數據是集中存儲的,這樣至少給數據安全帶來了兩個好處:
(1) 降低了數據被盜、被破壞和外泄的可能。這也是云計算服務商討論最多的一個優點。只要用戶能夠接入Internet,就能根據需要隨時進行訪問,根本就用不著自己隨身攜帶,也用不著自己去維護或維修。
(2) 能夠更容易地對數據進行安全監測。數據集中存儲在一個或若干個數據中心,數據中心的管理者可以對數據進行統一管理,負責資源的分配、負載的均衡、軟件的部署、安全的控制,并能更可靠地進行數據安全的實時監測以及數據的及時備份和恢復。
雖然云計算本身為安全做出了貢獻,但是由于云計算的復雜性、用戶的動態性[2]等特點,安全問題仍是云計算發展所面臨的巨大挑戰,如何確保云計算環境不同主體之間相互鑒別、信任和各個主體問通信機密性和完整性,計算的可用性和機密性[3],使云計算環境可以適用不
同性質的安全要求,都是急需解決的問題。
2 基于企業云平臺的云安全研究
隨著企業信息化的發展,生產和辦公場所對于移動辦公有著迫切的需求,例如移動文件瀏覽和批閱等一些現實需求。同時企業業務發展需要依托先進的信息化平臺來進行有力支撐,高性能計算集群、三維可視化圖形工作站、海量的數據存儲設備以及功能各異的專業應用軟件可以為更加精準、更加高效的綜合決策提供堅實的技術保障,上述的企業需求需要一個全新的服務平臺進行支持,云計算就是這樣一個全新的平臺,它使得服務的交付模式向云端轉移,所有用戶都可以獲得低成本、高性能、快速配置和海量云計算服務支持。然而,安全問題始終是云平臺正常投入使用所面臨的最大問題和隱患,服務安全、數據安全、個人隱私等安全問題都要求必須根據企業實際業務,建立一套完整的云平臺安全保障體系,并基于經濟因素的考慮要盡量將企業原有安全基礎設施與云平臺進行很好的融合,同時對云平臺性能與安全這對矛盾體進行分析研究,找到最佳平衡點,使得云平臺更加安全可靠[4]。圖2顯示了一個完整的云安全體系架構,覆蓋了物理層、鏈路層、網絡層、傳輸層及應用層,采取了盡可能多的安全措施來保障企業私有云平臺的安全運行,但是如何發揮各個安全手段的作用,避免相互之間的矛盾;如何在保障安全的條件下,盡可能減少系統用于安全監控的開銷是需要著重解決的問題。本文介紹的企業主要采用的安全措施有ukey認證、訪問控制、數據加密和入侵檢測等手段。
2.1 ukey統一身份認證安全措施
面對日益復雜的網絡環境,普通的網絡接入認證已經不能滿足安全需要,難以確定用戶身份,保證數據的隱私性,而ukey是用來進行一些特殊業務的準入認證[5]。利用ukey認證作為云平臺的安全接入認證不僅能夠提高云平臺的安全性,也能夠使ukey發揮最大效能,充分利用ukey高可靠性的特點實現對云計算資源的保護,防止無授權用戶的非法操作[6]。SSL VPN[7]是基于SSL協議采用虛擬專用網的方式為遠程用戶提供的一種安全通信服務,采用ukey認證與SSL VPN技術相結合,能夠大幅度提高云平臺的安全。
2.2 云平臺的安全管理、控制、審計等安全管理問題的研究和解決
云安全管理平臺搭建在云計算環境基礎框架上,主要通過Vmware軟件所具有的的功能配合其他一些安全管理策略統一進行管理控制。
2.2.1 訪問控制策略
云安全管理平臺根據資源的不同分別定義不同的訪問策略,對資源進行服務控制,企業中用戶數據的級別和敏感程度也有所不同,重要和敏感數據需要更深層的保護,因此需要針對這些數據和文件專門制定訪問控制策略,通過ukey來進行身份識別,根據不同的身份及所屬類別來限制用戶的訪問權限和所能使用的計算機資源和網絡資源,保證合法用戶正常訪問,并防止非法訪問。
2.2.2 數據存儲安全策略
企業數據始終受到著各種各樣的威脅,存儲服務本身也是不可信任的,因此數據加密成了解決問題的首選。目前基于如DES等的對稱加密算法因其加解密速度較快被廣泛應用,非對稱加密體系如RSA算法則具備更高的強度,因此采用動態生成DES密鑰并結合RSA公鑰加密的方法可以充分發揮兩者的優點,找到性能和強度的平衡點[8]。
處理開始前,云端加密程序從公鑰庫獲取接收數據的用戶對應的RSA公鑰。加密開始時,由一個DES密鑰生成器隨機生成一個DES密鑰,并依照算法選取數值N,從源數據讀取N字節并由該隨機DES密鑰加密為長度為M字節的密文。與此同時,將該DES密鑰由接收端的RSA公鑰加密為一段密文,同N字節源數據加密后的密文,并附上該兩者的長度,一同作為一個數據包保存于云端,如圖3所示。客戶端繼續工作,重新生成隨機DES密鑰和隨機數N,重復上述過程,發送第二個直至最后一個數據包,完成整個加密工作。
解密過程剛開始是數據接收端讀入前兩個32 b,通過RSA解密,分別取得加密的DES密鑰長度(設為L1)和加密的數據長度(L2),順次讀取數據包中其后的L1和L2字節數據,用接收端的RSA私鑰將前者翻譯成明文,得到一個DES密鑰,而后者則由該DES密鑰解密,解密后的明文追加到待保存的目標數據中。這樣就完成了一個數據包的解密,如圖4所示。重復上述過程,直至完成所有數據包的解密,得到加密前的原始數據[9]。
2.3 云計算平臺入侵檢測
云平臺數據更加集中,更易受到攻擊和入侵的威脅,而使用傳統的特征庫判別法的殺毒軟件已無法有效地確保云平臺的安全,因此入侵檢測和防御就顯得更加重要,十分有必要對云計算平臺中的網絡、框架和數據等各種威脅進行全方位實時主動監控、檢測和防御[10]。
傳統入侵檢測防護技術大多是一種被動防御的系統,很難滿足當前網絡攻防的新形勢。這里采用主動防御與傳統被動防御相結合的方式,摸索這種入侵檢測系統與云計算平臺的結合,采用改進的apriori算法[11],利用一個層次順序搜索的循環方法來完成頻繁項集的挖掘工作,提高挖掘速度,迅速發現網絡或系統中是否被入侵的跡象。當查詢的行為是合法的,系統返回一個完整和正確的解釋,當查詢的行為是誤操作或惡意行為的特征,解釋將和具體事件和發生事件的節點關聯起來,通過節點行為(也就是指狀態變化或某些節點上的信息傳遞)來判定行為是否合法或是發生錯誤,并采取必要的處理措施。
3 結 語
云計算作為一種新的模式給企業信息化發展帶來了巨大的變革,是IT行業的一個發展趨勢。其提高了網絡工作效率,節約了企業成本和資源,應用前景非常廣,但是安全問題仍然是阻礙企業全面部署云平臺的最大障礙。雖然本文提出了一些云安全防御策略,但還不成熟,因此今后還要在此基礎上在如何有效控制訪問權限和整體安全管理機制,如何對數據進一步劃分等級,實時安全操作和監控,如何更有效地管控外部攻擊威脅帶來的風險等方面深入開展研究,更有效地提高云計算平臺安全,為云計算在企業中的廣泛應用提供更安全的保障。
參考文獻
[1] 林曉鵬.云計算及其關鍵技術問題[J].現代電子技術,2013,36(12):67?70.
[2] 劉宇濤,夏虞斌,陳海波.基于體系結構擴展的云計算安全增強研究[J].集成技術,2012(1):30?33.
[3] 白妙青.云計算技術在廣播電視網中的應用[J].現代電子技術,2013,36(11):142?144.
[4] 馬杰,羅東芳.云計算安全防范技術[J].電腦開發與應用,2013(6):76?78.
[5] 田燕,張新剛,梁晶晶,等.基于身份認證和訪問控制的云安全管理平臺[J].測控技術,2013,32(2):97?99.
[6] 趙建.視覺零知識身份認證的研究[J].現代電子技術,2013,36(13):100?101.
[7] 劉東霖.SSL VPN技術研究及仿真分析[J].現代電子技術, 2013,36(13):102?104.
[8] 馬曉昊.基于云計算的安全數據存儲服務的研究與實現[D].上海:同濟大學,2008.
[9] 譚武征.云安全存儲解決方案[J].信息安全與通信保密,2012(11):147?149.
篇10
云計算被認為是互聯網的又一次革命,以前互聯網對用戶的各種承諾,正通過云計算變為現實。云計算成為互聯網的新焦點,當然在信息安全領域,也不會被輕視。
你會感覺到有無數的論壇與專家在關注云計算與SaaS的安全問題,無論是Keynote主題演講中的錢伯斯、著名密碼專家WhitfieldDiffie、Ronald Rivest,還是Qualys的CEO Philippe Courtot,以及各個領域的安全專家都在討論云計算、云安全、SaaS方面的問題。
云計算與SaaS本已是熱點,再加上安全,你能夠理清思路嗎?云計算、安全的云計算、云安全、Software as a Service、Securityas a Service,Security as a(Cloud)Service…
焦點1:云的安全
錢伯斯在RSA Conference第二天的主題演講中,提到云計算時語出驚人:“對于安全,云計算是一場噩夢”。
注意,他并不是對云計算有何異議,因為他也認為云計算是不可避免的趨勢,而且云計算的發展肯定對Cisco的發展有著巨大的意義。但是由于云計算所引發的新的安全問題,則又是很難預測的。這些問題甚至會動搖我們已經形成的網絡安全的體系方法。“它是網絡安全的噩夢,而且無法采用傳統的方法來解決”。
無獨有偶,在幾位著名的密碼專家論壇上,云計算也成為了話題。雖然專家們有的對云計算的前景非常擔憂,但云計算產生了與以往不同的新安全問題也是共識。而這些安全問題,是我們無法回避且必須付出很大的努力來解決的。當然對解決云計算安全問題持悲觀態度的人也在少數。
焦點2:*aas的安全
另一個方面,SaaS也是熱點議題。云計算在技術層面上是革新,但更多的是一種商業模式上的創新,而SaaS無疑是這種創新的最好的表現形式。對于SaaS這種模式,安全問題存在與它的各個層次:基礎設施、平臺、上層應用。對于三個層次,所面臨的安全問題是不同的。比如對于IaaS(Infrastructureas a service),數據中心建設、物理安全、網絡安全、傳輸安全、系統安全是主要的關注點。而對于PaaS(Platform as a Service),數據安全、數據與計算可用性、災備與恢復問題則更受關注。而到了最高層的SaaS(software as aService),則對于數據與應用的安全問題更為關注。而且,當SaaS架構在云計算這個平臺上時,最高層的這些安全問題很多是不可知、不可控的。原因在于,使用者再也無法自己實際掌握對安全便捷與數據的控制權。
焦點3:安全也要漫步云端
其實將安全與云結合,不僅僅是利用安全技術來保證云計算的安全性、可靠性,一種更加開放的思維,正是利用云計算的技術,來更好地發揮信息安全技術。并且利用云計算與SaaS這種模式,使得無論是企業用戶還是個人用戶,都能夠更廣泛地接受最新的安全技術,并有效運用,來保護我們的互聯網應用。
其實無論從國內還是國外,都已經有眾多的安全公司參與到這個過程當中。
目前的云安全,主要運用了以下的一些技術,如:將用于安全計算的資源進行匯聚、使得更多的人成為安全的參與貢獻者、在云端將對樣本進行匯聚分析、通過協作的平臺提供更為陜捷的反應、將安全作為服務提供等。云安全起步時間不長,但已經被運用于安全評估、WEB安全防護、惡意軟件防護、病毒防護、反垃圾郵件等多個領域。
觀點1:對云的保護,是云計算與saas模式成功的重要基礎
從我們的角度看來,云只不過是另一種數據中心,數量更多且分散的數據中心的集合,使得訪問與使用更加的快速、便捷。
再加上云端的SaaS應用,能夠為眾多企業,尤其是中小企業,帶來更便捷、成本更低的、無所不在的IT服務。但同時,云計算與SaaS也帶來了新的安全問題,與以往我們經驗中不同的安全問題。因為在云中,沒有邊界,云計算與SaaS的使用者自己再也無法控制邊界、控制數據,甚至都不確切地知道數據在什么位置上。而服務提供者往往還要同時面對IaaS、PaaS、SaaS三個層次的安全問題。
從云的外部,用戶看不到云里面是什么樣子的,也就是說云是不透明的。服務提供商承諾了會提供各種層次的安全方案,從網絡層到應用層、數據保護,以及可管理的安全服務。
但是作為云外的用戶,你真的知道這些安全特性被提供了嗎?或者說,這些安全措施的結果,是你所期待且滿意的嗎?這可能也是很多企業對云計算望而卻步的原因,也是眾多安全專家的爭論所在。不過換個角度,對于很多本來就沒有能力進行安全體系建設與維護的用戶來說,看不清云的內部也不見得是件壞事。
隨之而來的問題:云計算如何進行審計與監管?現實中的各種信息安全問題在云端依然存在,只不過之前是用戶自己能看到的,而現在反而距離用戶更遠了,也更為離散。如果像錢伯斯所說云計算可能是無法避免的趨勢,當然這還要最終的用戶能夠認可。那么我們真的需要更多的工作,來接受這種新模式并克服它所帶來的新安全問題。
觀點2:云安全與Bsaas在未來將有廣闊的空間
眾多的主流安全廠商近年來已經對云安全投入了極大的關注。有的采用平臺的方式做樣本匯聚與分析;有的利用互聯網與云計算的通道,降低客戶端的計算量并解決病毒庫的激增問題,還有一些將云計算的結果與終端的產品相結合來做防護。
這方面作為中國領先的網絡與應用安全解決方案提供商,綠盟科技也有著自己的云計劃。我們希望能夠更為全面地理解并利用好云計算的技術,從安全評估、掛馬檢測、建立互聯網信譽機制、通過協作平臺進行聚合分析研究、對最新客戶安全問題利用云計算資源陜速反應、為各類客戶提供定制安全服務以建立多層次防御體系方面,建立完整閉環的云安全機制。我們要做的不僅僅是利用云計算來收集與處理樣本信息,更需要將云計算的結果,有效地應用到客戶已有的各類綠盟的安全系統以及定制安全服務中,從而使得云計算的結果形成快速有效的安全防御閉環。減輕客戶端的安全計算量、快速反應、多層次的防御是我們最終希望達到的效果。
在云計算的實現過程中,其實最為核心的,依然離不開我們的安全核心技術。云計算更多的是一種模式與手段。通過建立公有云或是私有云的方式,將定制的安全解決方案更便捷地提供給不同層面的客戶,是綠盟科技探索未來信息安全業務模式的關鍵途徑。
未完的故事