上海交通大學(xué)實(shí)習(xí)報(bào)告.doc

學(xué)生實(shí)習(xí)報(bào)告實(shí)習(xí)單位: 密碼學(xué)與計(jì)算機(jī)安全實(shí)驗(yàn)室 實(shí)習(xí)時(shí)間： 2015.7 至 2015.8 學(xué)院(系): 電子信息與電氣工程學(xué)院 專 業(yè): 計(jì)算機(jī)科學(xué)與技術(shù) 學(xué)生姓名: XX 學(xué)號(hào): XX 2015年 9月 4 日 實(shí)習(xí)報(bào)告主要內(nèi)容包括實(shí)習(xí)目的與任務(wù)、實(shí)習(xí)單位、實(shí)習(xí)內(nèi)容、實(shí)習(xí)收獲等第一周周記第一周進(jìn)行了與谷老師的第一次溝通，谷老師給我布置任務(wù)，任務(wù)的內(nèi)容是研究“云管端安全架構(gòu)”，任務(wù)分為三個(gè)階段，第一個(gè)階段是查找資料，第二個(gè)階段是分析比較，第三個(gè)階段是提出自己的建議。 第一周首先進(jìn)行了資料的查詢，主要手段是通過互聯(lián)網(wǎng)查找，第一周找到了華為的一份云管端的安全架構(gòu)報(bào)告，和一份谷歌云安全白皮書。接下來進(jìn)行了報(bào)告的閱讀工作。第二周周記第二周繼續(xù)查詢資料，了解了一下針對(duì)云安全的攻擊方式，和一些網(wǎng)絡(luò)安全和終端安全的方案。查詢到云安全的主要攻擊方式是DDOS攻擊，研究了趨勢(shì)科技的網(wǎng)絡(luò)安全策略，還有symantec的安全防火墻策略。又查找到IBM和DELL的云的簡(jiǎn)單架構(gòu)。第三周周記 第三周開始進(jìn)行各家公司的方案對(duì)比工作，根據(jù)華為提出的終端網(wǎng)絡(luò)平臺(tái)，數(shù)據(jù)管理的架構(gòu)，比較google的云安全白皮書，分析兩家公司不同之處，提出自己的一些建議，和見解。第四周周記 第四周向?qū)焻R報(bào)，通過PPT的形式，向?qū)焻R報(bào)研究成果，導(dǎo)師也之處其中問題，并布置后續(xù)研究方向，和指導(dǎo)意見。SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 總結(jié)報(bào)告本次暑期實(shí)習(xí)研究的課題是“云管端安全架構(gòu)的分析和研究”。課題背景：隨著云技術(shù)的普及，越來越多的APP都是由客戶端與云端交互實(shí)現(xiàn)的，而業(yè)界并沒有對(duì)云管端協(xié)同安全的一個(gè)標(biāo)準(zhǔn)，所以希望比較各家公司的方案，提出一個(gè)相對(duì)更加安全的解決方案。項(xiàng)目流程：查詢資料 分析比較 提出方案匯報(bào)方案，提出進(jìn)一步研究方向項(xiàng)目總結(jié)：云管端總體架構(gòu)：一、平臺(tái)與數(shù)據(jù)安全1.基本架構(gòu)SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 2.虛擬化2.1 CPU虛擬化2.2 內(nèi)存虛擬化2.3 存儲(chǔ)虛擬化2.4 網(wǎng)絡(luò)虛擬化SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 3 cloudOS安全3.1 軟件安全3.2 硬件安全SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 4. 數(shù)據(jù)安全4.1 虛擬機(jī)的隔離：VLAN隔離4.2 虛擬機(jī)的隔離：安全組隔離SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 4.3 硬件網(wǎng)關(guān)虛擬化4.4 軟件虛擬防火墻SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙5. google的方案存儲(chǔ)管理：Google應(yīng)用使用一個(gè)分布式文件系統(tǒng)，用來儲(chǔ)存橫跨很多電腦的大量數(shù)據(jù)。結(jié)構(gòu)化的數(shù)據(jù)被存儲(chǔ)在一個(gè)建立在文件系統(tǒng)上的分布式數(shù)據(jù)中。數(shù)據(jù)被分塊并重組織存儲(chǔ)到不同的系統(tǒng)中，這樣沒有一個(gè)系統(tǒng)是單獨(dú)失敗點(diǎn)。數(shù)據(jù)安全：安全控制建立在綜合谷歌產(chǎn)品平臺(tái)上，這個(gè)平臺(tái)是建立在：1. 數(shù)據(jù)中心的物理安全控制2. 谷歌產(chǎn)品操作系統(tǒng)環(huán)境的綜合3. Root level 的訪問，對(duì)員工操作的監(jiān)控媒介處理：當(dāng)硬盤退役的時(shí)候，首先要求由專業(yè)人士抹去其中數(shù)據(jù)，要求全部寫零，并且全部讀一遍，SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 保證已經(jīng)全部清零。再由第二個(gè)工作人員確認(rèn)硬盤已經(jīng)被抹掉了，最后，這個(gè)抹掉的硬盤被放入庫(kù)存等待再次使用和部署。并且每個(gè)工廠每周都會(huì)接受審核。二、 桌面終端安全管理1. 主要策略三、管理1. 管理員三權(quán)分立SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 2. 管理員認(rèn)證四、網(wǎng)絡(luò)安全趨勢(shì)科技的方案1、Web信譽(yù)服務(wù)借助全球最大的域信譽(yù)數(shù)據(jù)庫(kù)之一，趨勢(shì)科技的Web信譽(yù)服務(wù)按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁面、歷史位置變化和可疑活動(dòng)跡象等因素來指定信譽(yù)分?jǐn)?shù)，從而追蹤網(wǎng)頁的可信度。然后將通過該技術(shù)繼續(xù)掃描網(wǎng)站并防止用戶訪問被感染的網(wǎng)站。為了提高準(zhǔn)確性、降低誤報(bào)率，趨勢(shì)科技Web信譽(yù)服務(wù)為網(wǎng)站的特定網(wǎng)頁或鏈接指定了信譽(yù)分值，而不是對(duì)整個(gè)網(wǎng)站進(jìn)行分類或攔截，因?yàn)橥ǔ：戏ňW(wǎng)站只有一部分受到攻擊，而信譽(yù)可以隨時(shí)間而不斷變化。通過信譽(yù)分值的比對(duì)，就可以知道某個(gè)網(wǎng)站潛在的風(fēng)險(xiǎn)級(jí)別。當(dāng)用戶訪問具有潛在風(fēng)險(xiǎn)的網(wǎng)站時(shí)，就可以及時(shí)獲得系統(tǒng)提醒或阻止，從而幫助用戶快速地確認(rèn)目標(biāo)網(wǎng)站的安全性。通過Web信譽(yù)服務(wù)，可以防范惡意程序源頭。由于對(duì)零日攻擊的防范是基于網(wǎng)站的可信程度而不是真正的內(nèi)容，因此能有效預(yù)防惡意軟件的初始下載，用戶進(jìn)入網(wǎng)絡(luò)前就能夠獲得防護(hù)能力。為協(xié)助防御不斷變動(dòng)的Web攻擊,趨勢(shì)科技提供您創(chuàng)新的SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 Web威脅防御工具上網(wǎng)無憂電子眼，無論您是否為趨勢(shì)科技企業(yè)或個(gè)人用戶，皆可免費(fèi)下載并使用。該工具內(nèi)建Web信譽(yù)服務(wù)(WRS)，安裝之后即可攔截惡意鏈接，有效且完整抵御零時(shí)差的Web攻擊，同時(shí)該工具還提供及僵尸程序監(jiān)測(cè)功能2、電子郵件信譽(yù)服務(wù)趨勢(shì)科技的電子郵件信譽(yù)服務(wù)按照已知垃圾郵件來源的信譽(yù)數(shù)據(jù)庫(kù)檢查IP地址，同時(shí)利用可以實(shí)時(shí)評(píng)估電子郵件發(fā)送者信譽(yù)的動(dòng)態(tài)服務(wù)對(duì)IP地址進(jìn)行驗(yàn)證。信譽(yù)評(píng)分通過對(duì)IP地址的“行為”、“活動(dòng)范圍”以及以前的歷史進(jìn)行不斷的分析而加以細(xì)化。按照發(fā)送者的IP地址，惡意電子郵件在云中即被攔截，從而防止僵尸或僵尸網(wǎng)絡(luò)等web威脅到達(dá)網(wǎng)絡(luò)或用戶的計(jì)算機(jī)。3、文件信譽(yù)服務(wù)現(xiàn)在的趨勢(shì)科技云安全將包括文件信譽(yù)服務(wù)技術(shù)，它可以檢查位于端點(diǎn)、服務(wù)器或網(wǎng)關(guān)處的每個(gè)文件的信譽(yù)。檢查的依據(jù)包括已知的良性文件清單和已知的惡性文件清單，即現(xiàn)在所謂的防病毒特征碼。高性能的內(nèi)容分發(fā)網(wǎng)絡(luò)和本地緩沖服務(wù)器將確保在檢查過程中使延遲時(shí)間降到最低。由于惡意信息被保存在云中，因此可以立即到達(dá)網(wǎng)絡(luò)中的所有用戶。而且，和占用端點(diǎn)空間的傳統(tǒng)防病毒特征碼文件下載相比，這種方法降低了端點(diǎn)內(nèi)存和系統(tǒng)消耗。4、行為關(guān)聯(lián)分析技術(shù)趨勢(shì)科技云安全利用行為分析的“相關(guān)性技術(shù)”把威脅活動(dòng)綜合聯(lián)系起來，確定其是否屬于惡意行為。Web威脅的單一活動(dòng)似乎沒有什么害處，但是如果同時(shí)進(jìn)行多項(xiàng)活動(dòng)，那么就可能會(huì)導(dǎo)致惡意結(jié)果。因此需要按照啟發(fā)式觀點(diǎn)來判斷是否實(shí)際存在威脅，可以檢查潛在威脅不同組件之間的相互關(guān)系。通過把威脅的不同部分關(guān)聯(lián)起來并不斷更新其威脅數(shù)據(jù)庫(kù)，使得趨勢(shì)科技獲得了突出的優(yōu)勢(shì)，即能夠?qū)崟r(shí)做出響應(yīng)，針對(duì)電子郵件和Web威脅提供及時(shí)、自動(dòng)的保護(hù)。5、自動(dòng)反饋機(jī)制趨勢(shì)科技云安全的另一個(gè)重要組件就是自動(dòng)反饋機(jī)制，以雙向更新流方式在趨勢(shì)科技的產(chǎn)品及公司的全天候威脅研究中心和技術(shù)之間實(shí)現(xiàn)不間斷通信。通過檢查單個(gè)客戶的路由信譽(yù)來確定各種新型威脅，趨勢(shì)科技廣泛的全球自動(dòng)反饋機(jī)制的功能很像現(xiàn)在很多社區(qū)采用的“鄰里監(jiān)督”方式，實(shí)現(xiàn)實(shí)時(shí)探測(cè)和及時(shí)的“共同智能”保護(hù)，將有助于確立全面的最新威脅指數(shù)。單個(gè)客戶常規(guī)信譽(yù)檢查發(fā)現(xiàn)的每種新威脅都會(huì)自動(dòng)更新趨勢(shì)科技位于全球各地的所有威脅數(shù)據(jù)庫(kù)，防止以后的客戶遇到已經(jīng)發(fā)現(xiàn)的威脅。由于威脅資料將按照通信源的信譽(yù)而非具體的通信內(nèi)容收集，因此不存在延遲的問題，而客戶的個(gè)人或商業(yè)信息的私密性也得到了保護(hù)。6、威脅信息匯總來自美國(guó)、菲律賓、日本、法國(guó)、德國(guó)和中國(guó)等地研究人員的研究將補(bǔ)充趨勢(shì)科技的反饋和提交內(nèi)容。在趨勢(shì)科技防病毒研發(fā)暨技術(shù)支持中心TrendLabs，各種語言的員工將提供實(shí)時(shí)響應(yīng)，24/7的全天候威脅監(jiān)控和攻擊防御，以探測(cè)、預(yù)防并清除攻擊。趨勢(shì)科技綜合應(yīng)用各種技術(shù)和數(shù)據(jù)收集方式包括“蜜罐”、網(wǎng)絡(luò)爬行器、客戶和合作伙伴內(nèi)容提交、反饋回路以及TrendLabs威脅研究趨勢(shì)科技能夠獲得關(guān)于最新威脅的各種情報(bào)。通過趨勢(shì)科技云安全中的惡意軟件數(shù)據(jù)庫(kù)以及TrendLabs研究、服務(wù)和支持中心對(duì)威脅數(shù)據(jù)進(jìn)行分析。五、其他方案1. 戴爾的方案SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 2. IBM動(dòng)態(tài)云解決方案六、幾點(diǎn)建議和看法1. 華為的內(nèi)存虛擬化，存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化的安全可靠性基本都依賴于CLOUDOS的可靠性。如果cloudOS漏洞被利用，或者有系統(tǒng)管理員有意篡改路由表，數(shù)據(jù)安全不能得到完全的保障（雖然有全磁盤加密）。2. 管理員登陸的手段多樣化，密碼，指紋，usbkey等，在人為疏忽的情況下容易泄露，以現(xiàn)在的技術(shù)甚至獲取指紋也不是難事。建議當(dāng)云端檢測(cè)到不是在常用設(shè)備上登陸時(shí)，服務(wù)器可以要求登陸者念一段文字，進(jìn)行聲音分析，鑒別是否是本人操作。(用戶注冊(cè)時(shí)應(yīng)錄下一段聲音，以便之后對(duì)聲音進(jìn)行對(duì)比分析)3. 對(duì)于管理員的三權(quán)分立，安全管理員，或安全審計(jì)員在授權(quán)審計(jì)的時(shí)候只知道操作而不知道操作來源于誰，操作和對(duì)應(yīng)的產(chǎn)生操作的人由系統(tǒng)日志記錄。類似于高考的時(shí)候防SHANGHAI JIAO TONG UNIVERSITY 學(xué)生實(shí)習(xí)報(bào)告用紙 作弊是盲改的。4. 谷歌的云安全白皮書主要闡述了云端大型數(shù)據(jù)庫(kù)的管理和人員登陸限制。人員不可隨意進(jìn)出數(shù)據(jù)庫(kù)，或訪問客戶數(shù)據(jù)。在內(nèi)存和存儲(chǔ)空間重分配上，谷歌沒有像華為一樣進(jìn)行清零操作，只是清除指針，可能會(huì)造成未清除的一些信息泄露。關(guān)于退役硬件的處理，谷歌有專門的處理方式，不會(huì)把退役的硬件直接扔掉，經(jīng)過一些處理之后再做報(bào)廢處理，保證這些數(shù)據(jù)的安全。5. 對(duì)于DDOS攻擊，主要有IP spoofing, land attack, ICMP flood等。我認(rèn)為服務(wù)器應(yīng)關(guān)閉在一段時(shí)間內(nèi)沒有得到回應(yīng)的端口的監(jiān)聽。同時(shí)記錄下多次發(fā)送這種惡意包的源mac地址，將此地址拉入黑名單。防火墻應(yīng)有IP過濾，