云安全等保防護解決方案

概述隨著美國棱鏡門事件以來,信息安全受到越來越多的國家和企業(yè)是今年從國家層面成立了網(wǎng)絡安全與信息化領導小組，因此就某種程度而言,2014年可以說是真正的信息安全元年。就當前的信息安全建設驅(qū)動來看，主要來自政策性合規(guī)驅(qū)動和市場需求驅(qū)動是兩個重要的驅(qū)動點?！恼邔用婵磭页闪⒘司W(wǎng)絡安全與信息化領導小組，強調(diào)自主可控是信息安全領域國家的基本意志體現(xiàn)。同時也出臺了相關的政策要求對信息安全產(chǎn)云計算息安全的把控?！PT大量的企業(yè)對信息安全的認識已經(jīng)從過去的“被動防御"轉(zhuǎn)變成“主動防御電商業(yè)務·用戶選擇云計算服務的角度來看，我們了解了很多的云計算用戶或潛在的云用戶的業(yè)務數(shù)據(jù)都在云端,因此用戶就擔心自己的隱私數(shù)據(jù)會不會被其他人看云環(huán)境下的等級保護問題研究綜上所述,,27001CSA云計算聯(lián)盟的相關認證.其中等級保護是一項基本政策，比如用戶的一個等級保護三級的業(yè)務，采用云計算模式時,一定要求云計算服務必須達到三級的要求。1.1等級保護挑戰(zhàn)傳統(tǒng)的等級保護標準主要面向靜態(tài)的具有固定邊界的系統(tǒng)環(huán)境.然而,對于.因此,保護面臨新的挑戰(zhàn)：·業(yè)務可控性數(shù)據(jù)中心同區(qū)域的物理設施，傳統(tǒng)的等級保護并沒有考慮這種情況?！ず诵募夹g的自主可控由于云計算中許多核心技術仍然控制在國外企業(yè)手中，許多所謂的自主產(chǎn)品也可能是對國外購買的商業(yè)產(chǎn)品的改良，本質(zhì)就是買下了推廣他人產(chǎn)品的權利，隨著國內(nèi)云市場的不斷發(fā)展，對云環(huán)境的自主可控性帶來很大的挑戰(zhàn)?！ぬ摂M化安全保障技術測評則成為云環(huán)境等級保護的一大難題。1。2等級保護研究現(xiàn)狀分析當前,云計算依然面臨各種安全風險.等級保護作為應對云計算安全的重要手段,得到了人們廣泛的關注。GB/T25070-2010《信息系統(tǒng)安全等級保護設計技術要求》，把云計算中心從用戶網(wǎng)絡接入、訪問應用邊界、計算環(huán)境和管理平臺進行劃分,構建在安全管理中心支持下的可信通信GB/17859.對于云計算安全中的等級保護要求和評測問題,朱圣才從應用安全和系統(tǒng)安55個層面的管理要求對傳統(tǒng)等安全評估指標體系。上述工作表明，云計算環(huán)境下的等級保護問題得到了廣泛的關注。云計算的等級保護建設方案闡述云業(yè)務模式的發(fā)展IT形成了端（終端)、管(管道)、云(云端)IT架構。IT資源利用率降低成本、資4G加豐富的終端接入提供了良好條件。在終端側(cè),對終端設備的性能、規(guī)格要求更隨時隨地的享用云端各類服務?！岸?、管、云”的新型模式,可以讓用戶快速、彈性、按需、隨時隨地的獲取ITIT即服務的轉(zhuǎn)變,是重要的一次信息化變革.IT架構，也帶來了新的安全挑戰(zhàn)和安全需求。2。2云計算安全需求·終端側(cè)：主要考慮用戶終端的安全。采用桌面云的方式是解決云計算環(huán)境下終端安全問題的很好的辦法。終端的處理能力（CPU和硬盤）集中到云并且不提供計算能力;通過桌面云平臺，給每個終端提供虛擬化的“計算機”或推,計算資源動態(tài)伸縮,實現(xiàn)對資源的“按需分配”的管理。·傳輸(管道）：主要考慮用戶側(cè)到云端傳輸信息加密、用戶接入的認證和授權等安全措施?！ぴ朴嬎阒行模ㄔ贫?：針對云計算中心區(qū)域邊界、計算環(huán)境、虛擬化環(huán)境，惡意代碼防病毒·云數(shù)據(jù)安全建設,傳輸、存儲、使用、共享和銷毀在內(nèi)的全生命周期的云環(huán)境下的數(shù)據(jù)安全設計,2.3云環(huán)境下的等保安全防護思路云計算從安全域的角度，可以分為安全計算域、安全網(wǎng)絡域和安全管理域.安全計算域是相同安全保護等級的物理主機/服務器的集合，安全網(wǎng)絡域是由通信網(wǎng)絡和接入網(wǎng)絡構成.安全管理域是對整體云計算中安全事件收集與管控報警的系統(tǒng)平臺。云計算安全部署結(jié)構,如下圖所示:圖云計算部署架構中心,對應的安全措施如下：(1)云計算計算環(huán)境安全云計算計算環(huán)境包含私有云安全云安全:4A擬安全網(wǎng)關共云平臺上的資源、數(shù)據(jù)安全可靠.(2）云計算邊界安全云計算邊界環(huán)境由物理的接入網(wǎng)絡邊界和虛擬化網(wǎng)絡邊界組成,物理網(wǎng)絡接入邊界的防護,采取傳統(tǒng)安全網(wǎng)關即可。針對虛擬化平臺中，應在虛擬平臺中部署虛擬安全網(wǎng)關進行虛擬安全邊界防護。云計算通信網(wǎng)絡安全絡接入云計算中心的通信網(wǎng)絡,VPN設備實現(xiàn)SSL、IPSEC的安全隧道通信；在云計算平臺節(jié)點內(nèi)部的虛擬網(wǎng)絡,可通過部署在虛擬化平臺內(nèi)部的VPN組件實現(xiàn)安全隧道功能。云計算安全管理中心SNMP、Syslog、ODBC、API等協(xié)議接口和數(shù)據(jù)文件,進行綜合分析形成