基于私有云安全平台安全设置.docVIP

基于私有云安全平台安全设置 　　私有云（Private Clouds）是在云计算平台上发展起来的。在未来信息技术发展与各类应用中，这种以虚拟化为主的构架会逐渐占据主导地位。随着网络信息技术的发展，私有云平台上的应用逐渐增多，对于平台安全也有了更高的要求。本文从私有云平台安全的角度，分别对私有云安全概念、建设意义及安全设置等方面进行探讨。 　　【关键词】私有云 安全 研究 　　1 前言 　　云平台是一个非常大的技术转型市场，如微软的office就已经完成了到office365云化转型。私有云也称内部云，核心属性是专有资源，部署在企业内部数据中心的防火墙内或某个安全的主机托管场所，通过网络对合法用户提供数据管理、资源共享及各类应用服务。私有云平台能够有效应对以APT（Advanced Persistent Threat，高级持续性威胁）攻击为代表的下一代安全威胁，通过监测大量客户端在网络中各种异常行为，分析传输的数据中各类病毒、恶意代码以及运行的程序是否安全流畅等，提供对用户身份、共享业务及用户数据等方面的安全保障。近年来，国内外安全厂商分别提出各自云安全技术理念，并推出相应的云安全产品，它们主要通过特征码检测的方式，只是采用不同的计算方式和提取技术，理念及产品本质上没有太多的差别。 　　2 私有云安全平台建设的意义 　　随着社会与经济的快速发展，政府、企业、教育及各类组织结构信息化应用能力的提升，各行业对信息化产品及服务的需求也越来越高。科学技术的进步，为各行业信息化水平的提高提供有效的技术支撑。根据自身固有特点，各行业的绝大部分业务系统基本部署在特定的封闭环境中。封闭环境能提供较高的安全防御能力，但对跨部门、跨业务系统的数据共享及服务带来较多限制。建设私有云平台，可有效整合各类资源，打通信息孤岛，提升效率和质量。相对的，对于平台环境安全性提出新要求。 　　中国政府将信息安全问题上升至国家战略层面，各行业特别是各级政府机关、特殊领域的国有企业等对知识产权、涉密信息的安全管控有迫切需求。传统的信息威胁防御技术主要基于已有经验知识的建模和模式匹配，通过捕获的威胁信息与原有攻击模式比较来识别攻击行为，再利用识别的结果采取应对措施。随着网络恶意攻击方式朝着复杂、隐蔽和重复可利用方向发展，攻击模式的识别和提取越来越困难。私有云安全平台打破传统防控模式的局限性，构建集病毒防护、环境安全检测、异常修复及问题评估为一体、自主可控、安全可信的智能信息终端安全运维体系，综合利用云安全设备与软件结合的私有云安全平台来构建一个安全、健康的信息网络环境。 　　3 私有云安全的概念及特点 　　3.1 私有云安全平台 　　由云安全设备和云安全软件组成私有云安全平台，它拥有一套完整的“发现、评估、处置、审计”威胁应对流程，并对用户提供平台应用流程定制和按需参与。“发现”潜在安全威胁通过云安全软件的监控能力来实现，“评估”机制依靠定制用户可参与的多级分析鉴定系统，“处置”方案基于用户完全可控的安全策略，“审计”功能保证上述的所有操作都可以事后追查。 　　3.2 私有云安全平台特点 　　（1）私有云安全平台的防御系统通过构建基于用户自定义的安全生态防御体系，从传统依靠黑名单的威胁防御模式提升至利用可分级、自定义的安全基线为基础的精确安全防御模式。 　　（2）私有云安全平台通过改进传统云安全软件的监控模式，能够实时监测网络中新出现的程序、数据及各类异常。 　　（3）采用静态和动态结合的多级多维文件分析鉴定系统，通过它来判别各类文件是否安全可信。 　　（4）通过各种云安全?O备，实时反馈私有云安全平台上各类威胁风险，同时作出风险评估。根据风险评估结果，根据多级防御、威胁处置策略得出的防控方案提供给用户。 　　4 私有云安全平台的安全设置研究 　　4.1 新型恶意代码查杀方案 　　根据私有云安全平台自身灵活、可定制性，私有云安全平台上的安全设置方案具备多元化的特点。传统方式下通过扫描用户数据，和特征代码库对比来识别恶意代码，进而采取相应措施。新型恶意代码防御方式通过程序行为及可信任检测引擎捕获所运行程序行为，通过正向和反向程序行为算法来辨别所捕获程序是否包含恶意代码。如判定为恶意代码，查杀引擎立即进行清理；如果无法判定，先将该程序进行隔离，通过云端代码行为自动分析系统进行处理，将新的恶意代码行为写入程序行为算法库，同时将结果反馈到客户端。该方式下，可有效提升新型恶意代码防御能力。 　　4.2 封闭环境锁定方案 　　大型企业或者政府行政部门的涉密信息通过信息网络传输，对网络环境的安全保密性提出更高要求。因此，私有云平台须有与外部网络相隔离功能。封闭环境下，通过分级、用户自定义的安全基线的方式来判别威胁源。安全防御系统判定在安全基线