信息技术高速发展过程的探索.docVIP

信息技术高速发展过程的探索 网络安全NetworkSecurity是指网络系统的软硬件包括数据受到保护,恶意的或者偶然原因不会使系统遭受到破坏、更改、泄露,系统可以持续可靠正常地运行,应用与服务不中断。运营管理者和服务商不期望出现“棱镜门”、病毒、拒绝服务、非法存取、非法控制、非法占用和黑客攻击。当今世界信息技术迅猛发展,2007年3季度,云计算的横空出世预示着大数据时代的到来。所谓云计算,是指通过使用网络按需分配访问和使用池化的可配置的计算、存储、交互、网络、服务和应用等IT资源的模式,这些资源可以方便地获得、部署和释放。随着信息爆炸、互联网及其应用的高速发展引发了人们对大规模数据进行快速处理的需求----大数据,大数据归结起来有4V特点:大量、高速、多样、真实性(Volume、Velocity、Variety、Veracity)。使用云计算技术和大数据服务与应用的系统,它的安全与性能和功能是一对矛盾体:企业的系统不开放、不服务则不会产生来自外部的威胁;系统一旦接入互联网,则必将融入开放系统互联OSI模型,安全问题由此产生。因而网络运行,安全先行。云计算的按需服务、宽带接入、弹性服务、可测量的服务、虚拟化资源池和多租户等特点,直接影响到了云计算安全保护策略的制定与优化。 由于众多用户共享IT基础架构,安全因素不可小觑,一方面要保护云计算本身的安全性,另一方面,云端服务商把安全作为服务提供给用户。云安全问题还体现在云计算基于TCP/IP协议,网络自身不安全,其核心技术,包括虚拟化、分布式计算,也存在先天不足。虚拟化技术是云计算的基本,云计算的流行使人们对虚拟化产生了越来越广泛的关注。虚拟化技术的快速发展主要得益于硬件计算能力的提升,同时制造、运营成本的降低,它通常指服务器硬件资源(CPU、内存、硬盘、网卡等)被虚拟化。虚拟化技术能够实现在一台物理机上输出多台虚拟机,提高硬件服务器的利用率,以降低运营成本。在每台虚拟机中可以运行不同的操作系统,启用不同的服务和应用,同时虚拟机之间的隔离性又非常好。这些特性都是硬件之上的虚拟机监控器(VirtualMarineMonitor,VMM)软件层来实现的。提髙系统的健壮性常用的方式是搜索和监控客户虚拟机内核内存,从而获取所需关键值。根据CPU负载自调整监控频率的方法,减少了不必要的性能开销,提髙了检测率。但是,为了满足服务器虚拟化的要求通常要改变网络架构。 同时,虚拟化计算环境与传统的IT环境截然不同,这两者都为虚拟化系统带来了与传统相左的安全风险。除自身的原因,程序的实现手段和水平不同(如Map()/Reduce()类的自行实现,有些通过C/C++实现的程序容易导致缓冲溢出攻击等),引起安全漏洞。作为底层支持的操作系统在内存保护、数据隔离、权限管理、身份认证、防木马病毒攻击等方面本身存在缺陷,通过补丁无法根除,难以形成完整的安全体系。这些因素都影响了系统的稳定性、不可控性和风险性。基于虚拟化云计算引入的风险集中在两方面,引入的虚拟化软件的安全和引入的虚拟服务器的安全,则安全性研究的方向主要体现在:一、虚拟化软件安全:软件层直接部署于裸机之上,实现虚拟化可采取操作系统级虚拟化、半虚拟化或全虚拟化。在IaaS系统中,云主机上的客户不必访问该软件层,它完全由云端服务提供商来提供必要的服务。另外,由于虚拟化软件层了保证客户的相互隔离,故必须严格禁止任何未授权非法用户访问虚拟化软件层。云服务提供商应的另一个安全控制措施是限制对于Hypervisor与其他形式的虚拟层的物理与逻辑访问。完整性和可用性是基于虚拟化技术构建的公有云最关键、最重要因素。 二、虚拟服务器安全:虚拟服务器位于虚拟化软件之上,应选取具备TPM安全模块的物理服务器,因为TPM安全模块工作的原理是:在虚拟服务器启动时校验用户密码,如果发现密码PASSWORD及用户名USERNAME的Hash序列不对,则立即禁用此虚拟服务器。安装虚拟服务器时,应推荐使用多核处理器,还应采用独立硬盘分区,这样各虚拟服务器从物理与逻辑上便隔离开来。虚拟服务系统必须安装防火墙、查杀软件、日志记录、IPS(IDS)以及备份恢复软件,与其他物理与逻辑的安全防范措施一起构成多道防范体系。还应对虚拟服务器规划不同的VLAN和IP网段逻辑隔离,虚拟服务器之间通信通过VPN的方式来实现,这样网络传输才得以安全。备份工作也是必不可少的,虚拟机文件、配置源文件及其重要数据都要进行备份。对于企业级服务器的安全体系,涵盖访问控制、检查安全漏洞、攻击监控、加密通讯、认证、备份和恢复、多层防御、隐藏内部消息、设立安全监控中心。 无论企业采用哪种系统,操作系统UNIX/LINUX、WINNTSERVER还是SQLSERVER,其主要行为依然是:一、网络优化,优化网络拓扑,针