云安全安全防护精选(九篇)
第1篇:云安全安全防护范文
目前有两种主要途径:第一是利用常用软件本身的漏洞;第二是以大额奖金或者中奖信息诱骗用户点击恶意链接地址的钓鱼网站。黑客利用这种方式可以轻而易举地获取用户的账户信息,如果没有专业反恶意软件,一旦账户被盗,将给用户造成无法估量的损失。
卡巴斯基安全部队2012正是针对用户对反恶意软件的强大需求而推出的复合式防御体系,它结合了卡巴斯基“云技术”和本地安全软件保护,给用户提供全方位、多层级的保护。
新版软件全面提速
之前用过卡巴斯基的用户肯定有一个同样的感觉,就是软件在进行升级或者扫描的时候,会占用较多的系统资源,造成系统反应变慢。
为了减少病毒扫描程序和后台升级对计算机日常运行的影响,新版系统的智能化程度进行了提升。新版程序仅针对激活的组件进行升级,并根据当前的用户活动情况,自动为产品下载最新的数据库。全新的用户交互界面让频繁修改程序设置以及复杂的自定义过程成为历史,用户只需选择高效实用的默认设置,就能感受卡巴斯基最优化的出色保护和最少的用户交互需求。
“新版软件的打开文件时间、机器启动时间、打开网页时间等20多个项目,都要比老版软件提高90%。” 卡巴斯基亚太区的技术副总裁王南表示。
保障实时安全的云
卡巴斯基安全网络服务(云)能够快速汇总并定性来自全球卡巴斯基用户计算机上的恶意软件行为,并以此为蓝本针对其他所有用户计算机上的相同或类似程序行为制定隔离和警告措施。王南解释道:“云计算不是由人来计算,它是由众多计算机组建的,当系统发现疑似情况的时候,会按照事先分析和设定好的值进行比对,如果发生超出正常值的情况,会立刻进行分析、保护,那个程序立刻就会被监控,全球所有使用卡巴斯基云服务的用户马上就会得到保护,而不需要等待每小时进行的病毒特征分析。”
第2篇:云安全安全防护范文
关键词:云计算;安全;防护体系
所谓的云计算,指的是以互联网为基础的新兴计算模式,这也是新一代计算机出现的核心技术。云计算能够为用户提供一种更为安全、快捷的计算机服务。基于这种技术,用户能够通过链接设备的方式在任何地方访问网络应用程序,也可以实现不同地点的资源共享。相比于传统的计算机软件,云计算的优势显而易见,它的成本低、灵活性强、易操作,同时也能够为计算机用户提供更为便捷的服务,如软硬件服务、存储服务和操作平台共享等服务。
1 云计算体系结构
云计算作为一种网络系统,是通过各种网络技术,如网格、集群、分布式文件一同等,将类型和型号不同的计算机设备以软件集合的方式统一在一起工作,实现数据的存储和网络访问功能。云计算系统并不是一个单一的存储设备,而是一种数据访问服务。一般来说,云计算体系结构分为基础服务层、虚拟层、应用层和物理层这样四个方面。基础服务层指的是对云计算的各种资源进行整合和管理,调度不同的应用服务,从而实现设备之间的协调工作,达到高效而安全的利用计算机网络;虚拟层指的是用虚拟的计算机技术对各种硬件设备进行资源的整合、分配,实现资源优化,更好地管理系统;应用层指的是云计算体系结构中最灵活的部分,能够根据不同的需求对云计算系统进行拆分、整合,拆装成不同的服务接口来提供所需服务;物理层指的是一种基础的软件和硬件设备,也是云计算体系结构中最为基础的一部分。
2 云计算安全风险分析
计算机系统本身就是虚拟的,具有无边界、流动性强的特点,因而云计算体系系统也面临着许多潜在的危险,主要包括:滥用云计算技术,不安全的操作带来的是服务受到攻击、数据泄露、账号被盗、服务遭堵等。这些潜在的危险给整个计算机体系带来了极大的麻烦。网络信息系统面临的安全隐患也越来越突出。从信息安全的角度去思考,解决此类信息系统的安全涉及到方方面面,包括运行安全、物理安全、操作系统的安全、应用体系的完善、网络规划和子网的划分、重点主机的防护系统、网路中的访问与隔离系统等。所谓的重点主机指的是在网络系统的内部中存在重要的用户终端,如单位领导使用的主机就是重点主机。这种危险突出表现在云计算中。因为云计算最主要的特征就是提供动态的计算服务,采取的是“服务和约”式的商业模式,在个人隐私和信息安全的处理上存在较大的漏洞,严重威胁到了个人、集体乃至国家的信息安全。人们对云计算技术安全性的担忧从未停止过,谷歌用户信息遭泄密的事件以及亚马逊“简单存储服务”等事故的发生更是加剧了人们的担忧。实际上,这种安全问题的频发也成为影响云计算发展的巨大阻力。要想云计算体系能够健康的发展,就要全面分析云计算体系存在的安全隐患,并不断构建云计算信息的安全防护体系。
3 对云计算安全防护体系相关问题的研究
从安全防护的需求出发,结合云计算技术自身的特点,不断研究各种安全技术手段,建立一个涵盖基础服务层、虚拟层、应用层、物理层多个方面的安全防护体系,才能够对云计算体系的信息安全起到保护作用。
3.1 应用安全
所谓的应用安全指的是云计算系统中包含的具有不同作用的应用系统的安全。云计算系统的灵活性、虚拟性和开放性在某种程度上给应用系统带来了安全隐患,这就要求开发商在云计算体系的开发上充分考虑到这点。云计算的应用体系庞大,很多数据敏感企业已经率先进行了云计算应用。如证券、银行、税务等等部门。这些部门的安全性要求很高。所以应用安全是云计算安全的第一步。
⑴终端客户安全。要想有一个安全的云计算平台,终端客户的安全就必须要受到重视。由于云用户的安全意识和防护意识较差,往往在操作的过程中受到安全侵扰。这就要求云计算平台设计安全防护软件系统,从而保障终端客户的安全。
⑵身份验证和访问控制。另一种保障云计算体系安全的行之有效的方法就是利用身份验证和访问控制的方式。比如采用强制认证、协同认证等不同认证方式相结合色手段,利用身份验证保障安全,从而有效地遏制不法用户的入侵,提高云计算体系的安全。
⑶应用本身的安全。在云计算模式下,用户更加依云计算体系。而这种体系是由各种应用体系综合形成的,存在着较大的安全隐患。不同的应用系统就导致其安全防护的错综复杂。这就要求开发者对不同的应用系统采取不同的手段来提高应用系统的安全性。如通过防止网页篡改、过滤网页和邮件、设置防火墙等措施来加强虚拟网络的安全,或者定期对系统进行检查,一旦出现问题及时解决。
[参考文献]
[1]张水平,李纪真,张凤琴,李晓波,余侃民.基于云计算的数据中心安全体系研究与实现[J]. 计算机工程与设计. 2011(12).
[2]胡光永.基于云计算的数据安全存储策略研究[J].计算机测量与控制.2011(10).
[3]张大朋,蔡克,张敏,徐震.云计算数据安全支撑平台架构研究[J].计算机研究与发展. 2011(S3).
第3篇:云安全安全防护范文
【关键词】 云数据中心 安全防护 防护挑战 解决方案
一、云数据中心概述
云计算简单而言就是一种以互联网技术为依托的计算方式,借助云计算网络上共享的各种信息以及软硬件等其它资源,都可以根据用户的实际需求被准确的提供给包括计算机在内的其它互联网终端设备。云计算的出现对于数据中心的发展起到了很好的促进作用,在功能实现方面,迫使其从以往传统的只是提供存储设备租用以及机房空间,向着真正的按需分配的资源虚拟云数据中心转型。就云数据中心的特点来讲,其主要是通过对虚拟技术的采用来将网络当中的各种资源实施虚拟化操作,以为资源用户之间的资源交互行为提供一种灵活多变的形式。
二、云数据中心安全防护目标
云数据中心安全防护工作的目标为在确保数据安全基础之上,为数据使用者提供更好的服务。在实现这一目标的过程中,云数据中心中数据的机密性、数据的完整性是十分关键的任务。
2.1数据的机密性
在云数据中心安全防护工作中,数据的机密性指的是数据的使用主体为授权用户,而不能泄露,更不能被非授权用户所使用。为了让云数据中心的数据体现出机密性的特征,云数据中心安全防护需要从以下三个方面做出努力:首先,需要提升云数据中心安全防护管理工作队伍专业素养,这一提升过程可以通过培训工作与人才引入工作来实现;其次,云数据中心安全防护工作要重视数据加密技术的广泛应用,如数据安全传输专用链路、云数据中心数据加密以及云数据中心用户授权管理技术等。其中,数据安全传输专用链路主要是采用VPN、SSL、NAT等链路技术确保云数据中心数据传输链路的安全性能。
云数据中心数据加密则可以利用DES系统、ECC系统以及RSA系统等避免云数据中心中的数据被窃取,当然,在加密技术的使用中,服务器内部的攻击是确保数据机密工作中面临的重要挑战,为此,数据加密过程和数据存储服务之间需要具备一定的分离性,在此过程中,加密工作可以在云数据中心客户端完成,而云存储用户所使用的不对称密钥则可以由第三方机构进行管理。
当前云数据中心的用户授权体现出了粗粒度的特征,授权级别主要包括两级,即云数据中心管理员以及从管理员受众得到授权的以及用户,由于这种访问控制机制具有着一定的安全问题,因此高安全性的访问管理技术和身体认证技术是十分必要的。
2.2数据的完整性
在云数据中心安全防护工作中,确保数据不被蓄意或者偶然的重置、修改是重要的工作目标之一,只有实现这一目标,云数据中心的数据才能够具备完整性。从影响云数据中心数据完整性的因素来看,这些因素包括自然灾害、设备故障、计算机病毒、误码等。从云数据中心数据完整性的防护手段来看,则主要包括预防数据丢失与恢复数据两个方面。在云数据中心中,为了能够保证数据在处理、传输以及存储中具备完整性,管理人员进场会运用到分记处理、奇偶校验、镜像以及分级存储等技术。事实上,在云计算环境中,如果运用IaaS进行存储,则数据迁移需要承担的成本较高,另外,数据集具有着明显的动态化特征,因此,传统的数据完整性检验机制很难得到良好的效果,为此,为了确保云数据中心数据的完整性,云数据中心安全防护工作者需要充分了解云计算环境所具有的特征,并使用复制服务器以及两阶段提交协议等技术,对云数据中心中数据的完整性做出检验。
三、面临的挑战
在IT技术迅猛发展的背景下,云数据中心体现出了逐步替代传统数据中心的趋势,在此过程中,云数据中心需要面临虚拟安全域隔离以及虚拟机安全防护等诸多问题,这些问题的存在,在一定程度上制约着云数据中心得到更加广泛的运用并体现出更大的应用价值。云数据中心网络虚拟化,会让网络边界呈现出动态性的特征,因此,网络安全系统对安全策略的制定与部署是至关重要的。具体而言,当前云数据中心安全防护工作主要面临着三个问题:首先,虚拟安全域的隔离问题以及虚拟机的防护问题。虚拟交换层是云数据中心网络虚拟化中新的网络层次,这种网络层次的出现导致了网络管理边界具有了模糊化的特点,与此同时,虚拟服务器难以被原有的网络系统感知,因此,数据中心在安全隔离租户虚拟域的工作中面临着较大的挑战;其次,云数据中心资源难以实现集中管理。在云数据中心中,一个数据流需要经过多重检测,在使用传统方法开展这项工作的过程中,一般需要对不同类型的功能与设备进行简化与堆叠,这一过程需要浪费消耗较多的软硬件资源。另外,由于安全设备所具有的模型和接口存在着一定的差异,所以云数据中心资源的集中管理也较难实现;最后,安全策略如何实现全局协同,也是需要考虑的重要问题。在云数据中心中,安全控制策略和传统的网络安全控制策略具有着一定差异,安全防护工作需要针对应用所具有的特性,对不同安全域进行有效区分,为制定出有效的安全策略,而为了避免产生策略冲突,这些安全策略也需要实现全局协同,这一问题是云数据中心安全防护工作中不得不面临的挑战之一。
四、技术
在当前的云数据中心安全防护工作中,软件定义网络技术能够发挥出不容忽视的作用,在这一技术的支撑下,经过云化处理之后的边界能够形成良好的网络结构,并且也能够确保用户对存储资源以及网络资源做出良好的分割使用。于此同时,在软件定义网络基础上衍生出的软件定义安全技术以及网络功能虚拟化技术等,也能够有效确保云数据中心安全性,并提升云数据中心数据资源的利用效率。
4.1软件定义网络技术
2006年,斯坦福大学首次提出了软件定义网络,2012年,软件定义网络所具有的三层架构也得到了行业内的普遍认可。软件定义网络所具有的三层架构包括应用层、控制层以及数据层,其中,控制层对网络设备中所有的控制功能进行了继承,并且具备可编程的特征,这让控制层与数据层实现了分离,并让数据层实现了简化,在充分发挥这一优势特征的基础上,数据的使用以及开发工作都会变得更加便捷,并且网络与系统也能够根据受众的业务需求做出更加快速的响应。在云数据中心安全防护中,软件定义网络技术具有着明显的优势,首先在运用软件定义网络技术的基础上,可以制定多租户安全服务策略。软件定义网络控制器能够对网络所具有的状态信息进行感知,并可以对云数据中心安全策略和转发策略进行联合编译,与此同时,软件定义网络技术还能蚋据租户虚拟网络拓扑以及租户所提出的需求,将安全策略分布在不同的网络节点之中,这一优势让云数据中心安全策略得到了简化。另外,基于软件定义网络架构,云数据中心安全策略的实施工作与制定工作能够实现较好的隔离,在此基础上,云数据中心安全策略的实施能够体现出更好的灵活性;其次,在运用软件定义网络的基础上,云数据中心能够构建起可复用的安全服务。软件功能模块化以及软件功能的重构,能够让云数据中心对公共处理模块进行合并,从而对软硬件性能进行优化。当然,实现不同控制模型以及接口的统一化,是发挥这一优势的必要前提;最后,在运用软件定义网络的基础上,云数据中心资源可以得到集中的管理与控制。软件定义网络技术能够为云数据中心提供全局网络视图,并能够推动数据调配实现精细化,与此同时,软件定义网络技术通过对虚拟化安全设备和虚拟网络进行协调,也能够为云数据中心安全防护工作提供便利。
4.2网络功能虚拟化技术
nfv网络功能虚拟化技术指的是将电信设备运用于通用服务器,并将各类网元部署在存储器、服务器、交换机等共同构成的平台之上,在此基础上,应用能够对虚拟资源进行快速的减少和增加,并实现快速缩容与扩容,促使系统具备更好的网络弹性。
在云数据中心安全防护工作中,网络功能虚拟化技术体现出两个明显优势,首先,云数据中心租户能够利用一个平台对不同租户以及不同版本的网络设备进行登录,从而实现更好的资源共享;其次,云数据中心可以以租户具体需求为依据,对自身服务能力进行降低或者特征,从而促使自身服务体现出更好的针对性。
五、解决方案
随着信息化时代的到来,社会的数据化发展在给人们带来极大的便利化的同时,信息、数据安全问题的发生也严重影响着人们的个人利益。为此,我们提倡大力发展云数据中心,构建完善的云数据中心安全方案的主要目标之一也是为了对用户的个人信息、相关数据进行保护。但在迈入云计算数据中心时代之后,在云模式构架的影响下,传统数据安全方法遇到了巨大的挑战,无论是抽象控制还是在物理逻辑方面都需要全新的数据安全策略。与此同时各种病毒威胁的发生以及计算机网络在技术、方向方面的发展等也会引发各种网络信息问题,从而对云数据安全造成极大的挑战。因此,我们急需针对当今各种网络信息问题的产生特点,来开发和制定出一套先进的云数据中心安全防御方案,以此来为新时期云数据信息用户以及云端信息的输出,提供一个安全的信息流通环境。切实保护双方安全利益,预防由信息危机而引发的各项社会安全问题的产生。由于云数据中心安全防护涉及范围较广,且面临问题具有一定的复杂、多样性。因此,我们对云数据中心安全方案的制定也必须从大的模式构建和细小的体系建立两个方面来做起,具体来讲主要包括以下内容:
5.1云计算应用模式构建
云计算英语模式作为云数据中心安全防护的主要构成模式,其构建完善与否在很大程度上将决定着云数据中心安全质量的高低。为此,就云服务终端来讲,其安全解决方案的建立首先要在其终端构建起一个独有的安全评估和防御体系,只有如此才能够在云端与终端开展信息流动的过程中,将云端信息安全被侵扰的几率降到最低。为此,我们需要为每一台终端机选择并安装,先进的防病毒、防火墙、恶意软件查找以及IPS等安全软件系统。极大的预防各类网络安全攻击事件的发生,防止个人计算机信息数据的泄露。与此同时,浏览器作为用户与云端开展信息交流的重要媒介,其浏览器的安全与否也在很大程度上决定着云计算安全水平的提升。为此,我们必须必须积极面对,在定期对计算机病毒进行查找的同时,做好浏览器的补丁修护工作,极大的保证浏览器的安全运行。此外,由于终端当中虚拟软件通信不在网络通信监控范围内,其一旦发生匿名网络攻击云端在难以察觉的情况下,很容易受到其攻击,为此我们还应当加强对虚拟软件管理工作。通过完善的信息安全预防工作的实施,来从各个方面预防信息数据安全事故的发生,将安全隐患消灭于微。
5.2云数据防御体系建立
云数据防御体系的建立使得各种网络病毒以及威胁能够在很大程度上被云防御发现并杜绝,提升了云数据防御体系的安全预防能力。具体而言云数据防御体系的建立主要包括以下几个方面:首先,构建web信誉服务体系,这是云数据安全防护的关键也是重要组成部分之一,其预防措施要赶在web威胁发生之前,防护对象主要包括IP、网页、网站等;其次,建立电子邮件信任模型,它主要是针对上面web信誉服务来进行优化作业,以将web当中那些包含不良信息的垃圾邮件直接在这一阶段过滤掉,以防止这些已经收到污染的不安全数据、信息对云端信息或计算机造成传染害,真正的将电子邮件的收发控制在合法范围内。此外还包括,行为关联分析技术体系、自动反馈机制信任体系、以及威胁信息汇总体系的构建。从功能和内容上来讲,无论何种体系的构建起目的都是为了对云安全防御体系进行完善,不断强化其安全防御能力,帮助计算机肃清其工作、运行环境,使其各方面功能得以良好的发挥。
参 考 文 献
[1]申晋. 云计算数据中心安全面临挑战及防护策略探讨[J]. W络安全技术与应用,2016,(03):65+67.
[2]张小梅,马铮,朱安南,姜楠. 云数据中心安全防护解决方案[J]. 邮电设计技术,2016,(01):50-54.
第4篇:云安全安全防护范文
关键词:手术室护理;安全隐患;防范方法
医院手术室是为患者通过外科手术途径解除病痛的场所,是医院高风险科室之一。手术室护理工作具有连续性、综合性、复杂性等特点,再者,因为法律法规的不断完善,患者法律意识不断增强,且十分重视自己的合法权益,一旦受损就可能发生投诉或者纠纷。所以,强化手术室护理安全管理,提高服务质量,将有助于我们减少事故和差错。
1手术室护理存在的安全隐患
1.1护士方面
1.1.1欠缺技术 随着医疗技术的快速发展,新业务、新技术的开展,新的医疗设备大量应用,造成手术室护士技术方面存在隐患。
1.1.2,法律意识淡薄 大多数护士刚毕业,法律意识淡薄,对举证倒置认识不到位。
1.2手术患者方面
1.2.1接错手术患者 因为同一病区多个手术患者,转床患者,术前紧情或者应用镇静剂不能正确回答问话,易发生接错患者。
1.2.2手术部位错误 术前没认真执行3方共同核查制度,病历书写记录错误,手术部位未做标识。
1.2.3手术错误 巡回护士违背了手术摆放原则,对术式不了解,缺乏和术者的沟通所致。
1.3操作方面
1.3.1,用药和输液输血错误 没认真执行3查7对、4查8对制度,药物摆放有误,标识不清,造成误用,执行口头医嘱有误。
1.3.2器械和敷料清点错误 因为台上急需增添物品,而巡回护士没迅速记录,或者术中操作不当造成缝针弹出而寻找困难,器械完好性被疏忽。
1.3.3灼伤、压伤和导管滑脱 电刀电极固定不牢,患者皮肤和金属物品直接接触造成电灼伤,摆放不正确造成压伤和神经关节牵拉伤,手术患者护送不当,发生导管滑脱出扭曲。
1.3.4止血带使用错误 静脉输液使用止血带没有迅速松开,或者骨科手术用驱血带不按规范操作,压力时间错误,引起肢体缺血或者坏死。
2防范方法
2.1强化法制教育,强化法律意识 为了提高手术室护士的安全意识和法律意识,医院和科内组织学习《护士条例》和《医疗事故处理条例》等相关法律法规。使护士学会了用法律武器来保护自己的权益。
2.2提高护士业务素质和思想素质 鼓励我科护士积极参加省市级举办的手术室专科护士培训,注重自身知识的更新和补充。每日晨会提问,每周业务学习,每月对理论和操作考核一次,必须达到人人合格[1]。对护士进行思想素质教育,强化服务理念,提高自律性和责任心,从术前访视、术中护理、术后随访3方面和患者进行沟通,提高患者满意度等。
2.3强化安全管理 完善系统的规章制度是建立质量管理体系的前提,严格执行各项规章制度,是防止差错,事故,提高工作质量的保证[2]。
2.3.1患者查对 接患者时做到六查十二对,依照手术通知单到病区认真查对病历,让患者自己道出姓名,对于年幼儿和昏迷患者应和家属进行沟通,并仔细查对腕带信息,将患者送入规定的手术间,由手术医师、巡回护士和麻醉师共同核对,确认无误后才可麻醉、手术。
2.3.2查对手术部位,合理安置 为了确保手术部位无误,我院手术病区主刀医生在手术部位进行标识,以便进行查对,巡回护士询问患者、阅读病历、查看标识,再通过手术安全核查,确认手术部位。摆放时要符合手术的要求,注意保证患者的安全,舒适和功能位[3]。
手术时间超过2h者,术前对受压部位垫软垫,必要时术中按摩,防止压疮。摆放各种手术时应注意:①固定要牢靠,暴露切口要清楚(如行子宫癌广泛切除术。臀部下面垫一软垫,将臀部稍抬高;行肾手术时,应将肾区对准腰桥,甲状腺手术时,肩下垫厚约10cm软垫,头后仰等)。②腹部不可受压,以免影响呼吸。③身下铺的中单要平整无皱折。④无挤压,骨突出处受压部位应垫以海绵垫。⑤上臂不可过度外展,以免造成损伤[4]。⑥下肢使用约束带不可过紧,以防造成神经麻痹。⑦患者体表不可接触金属,以防术中使用高频电刀时灼伤患者。
所以,必须熟练掌握各种手术的摆放和手术床的操作,使患者舒适、安全,并获得良好的术野暴露,以减少和防止神经、肢体等意外损伤和并发症的发生。
2.3.3手术物品的查对 手术物品清点严格执行3人4次清点原则,即手术医师、器械护士、巡回护士在手术开始前,关体腔前、后,缝合皮肤前分别进行清点,必须做到当面清点,现场记录,并复过核对,台上增添物品,迅速清楚地记录[5]。
2.3.4用药、输血时查对 用药做好3查7对,并熟悉掌握药物的作用、用法、剂量、不良反应和配伍禁忌,执行口头医嘱时应复诵一遍,双方确认无误后才可执行。
输血时要经2人查对后在配血单上签字,并严密观察输血后反应。给患者输血时必须使用输血器,严格执行无菌操作,输血严格执行3查八对,3查:血液有效期、血液质量、血液装置是否完善、是否填写输血协议;八对:对姓名、床号、住院号、血型、交叉配血试验、血液种类和剂量、血袋号,若需两袋血同时输入时,查对给血者姓名(必须是同一个人的血)和采血日期(同一天的血),并严密观察病情变化和输血反应。
2.3.5标本送检 严格执行标本送检制度,术后器械护士亲自将标本和主刀医生核对,立即放入标本袋,贴上标签,注明患者姓名、床号、标本名称、部位,由专人连同病理检查单送病理科。
2.3.6安全正确使用高频电刀、防止电灼伤 使用前先检查仪器功能是否良好,负极板置于肌肉丰富处,并靠近切口部位,强化巡视是否贴牢,患者肢体禁止和金属接触,术中电刀笔置于专用布袋中,以免术者误按开关而引起灼伤,有心脏起搏器者,一般不用高频电刀。
2.3.7防止各种管道滑脱、扭曲 在移动患者时,注意检查各种管道是否固定牢靠,是否从挂钩上取下,有专人负责,搬运时,全体人员齐心协力统一行动,防止管道牵拉。
2.4合理调配人力资源 我科护士长在排班上实行弹性排班制,按照手术量合理安排,增减护士,避免护士超负荷工作而引起差错发生。
充分重视手术室存在的安全隐患,并迅速采取相应的防范方法,强化法律法规和业务知识的学习,提高自身的法律意识和业务综合素质,严格执行各项规章制度,技术操作规程,人人都自觉负责,防患于未然,确保患者安全。
3结论
护理质量安全,首先,要经常、迅速、反复地进行安全教育,学习有关安全规定和工作制度,让护理人员了解安全管理制度,增强做好安全工作的自觉性,同时建立健全各项规章制度,增强工作责任心,牢固树立"安全第一、优质、高效、低耗"的思想,消除不安全隐患,杜绝差错事故的发生,以确保护理安全。
参考文献:
[1]曹朋华.手术室护理小安全因素的分析和管理对策[J].中国误诊学杂志,2009,35(9).
[2]丁秀娟.护理安全隐患和质觉缺陷信息共享制度对护上工作态度的影响调查分析[J].国际护理学杂志,2009,28(12):1613.
[3]丁燕妮.手术室护理安全隐患和防范方法[J].吉林医学,2009,30(8):161.
第5篇:云安全安全防护范文
【关键词】云终端 安全 漏洞策略
云终端采用“集中终端,分布显示”的架构,通过虚拟化技术,将所有桌面终端机合为一体,在服务器端进行集中处理,桌面终端设备仅负责输入输出与界面显示,不参与任何终端和应用,具有高效、可靠,安全的特点。构建集中式云终端资源中心是集约化、一体化的信息系统建设需要,也是将来发展的必然趋势。云终端模式通过将数据统一存储在云终端服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据更安全。由于数据的集中,使得安全运维、安全评估、安全审计等行为更加简单易行,云终端系统还具有较高的可用性,系统容错率,冗余及灾备恢复。但云终端在带来方便快捷的同时也带来一系列新的安全问题。
1 云终端的特点
在共享的工作模式下,所有的软件均安装、运行在服务器上,只是将运行的结果送往云终端显示,云终端只负责显示及输入,不运行软件。云终端机基本上无须维护和升级,一切软硬件升级和维护都只须在服务器端进行。
2 云终端跟传统终端的区别
2.1 传统PC终端
2.1.1 安全漏洞问题层出不穷
杀毒软件安装不同,各自独立,整体维护困难。极易造成一个点感染病毒,直至传染全网。系统违规外联,存在很大安全漏洞。
2.1.2 安全边界问题难以防护
桌面PC硬件绑定。终端分散,数据随便拷贝,U盘等丢失。硬盘损坏造成数据丢失。
2.1.3 数据泄密问题难以防范
重要数据无管控,极易出现泄密。离职员工、外来运维人员泄密以及一些无意识泄密、有意识泄密。
2.2 云终端
2.2.1 统一防护,有效降低漏洞风险
杀毒软件、安全防范统一、后台统一维护、外设严格管控、权限分明、病毒感染可快速隔离、快速虚拟机重新分配、可控制外联行为。
2.2.2 安全边界划分相对比较清晰,桌面与数据分离
桌面与操作系统、数据等硬件环境分离、终端分散但数据集中、系统统一运行维护运行硬件抗损坏性高、自备份、可恢复数据强。
2.2.3 防范数据泄密相对较强
重要数据均集中管理,有效减少外流及泄密。
3 云终端面临的一些安全隐患
包括应用配置不当,平台构建漏洞,可用性、完整性差,平台漏洞,软件漏洞,编程环境的漏洞,堆栈溢出的漏洞,Web服务器的承受能力不强,非法获取高权限,协议及部署缺陷,云数据中的非安全访问许可,数据安全问题,垃圾邮件与病毒,操作系统以及浏览器的安全漏洞以及人员管理以及制度管理的缺陷等等。
4 云终端的安全解决方案
相比于传统的数据中心,云端数据更注重安全的访问,数据安全核心密钥管理;云端存储的文件和数据的安全性及终端网络基础架构的安全。
4.1 划分安全域以及分别网络隔离
安全域是由一组具有同样安全保护需求、并且相互信任的系统所构建成的逻辑区域,在同一安全域中的系统配备有相同的安全策略,通过安全域的划分把一个大规模复杂系统的安全问题,化分为许多更小区域的安全问题,实现大规模复杂的信息系统安全保护的逐层防护。安全域划分以保障云终端业务安全出发,把网络系统划分为不同安全区域,并进行纵深防护。对于云终端平台的安全防护,要根据云平台安全防护技术实现架构,选择和部署相应的,合理有效的安全防护措施,恰当的策略,实现多层次、纵深一体的防御体系,有效保证云平台资源及服务的安全。同时还可根据网络所承载的数据种类及功能,进行单独组网。以实现网络划区域的隔离防护。
4.2 安全防护
云终端系统也具有传统IT系统的一些特点,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。
4.2.1 虚拟化安全
拟化安全涉及虚拟化组件及其管理的安全,包括虚拟化交换机、虚拟主机、虚拟化操作系统、虚拟存储及虚拟化安全管理等。
4.2.2 网络安全
网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、Web应用防护、VPN接入、安全审计等内容。
4.2.3 防火墙及边界防护
安全域需要隔离,并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有VLAN、网络设备ACL、防火墙、IPS设备等。
5 结束语
目前没有一种技术能够完全彻底解决云终端安全问题,但可以通过技术组合、管理等方面的手段去优化从而降低问题产生概率。云终端系统作为一种新的办公系统已经逐步被企业所接受,必将改变信息化的构建和管理方式。
参考文献
[1]邓华国,王刚,鲍娌娜.云终端资源中心的桌面资源优化研究[J].中国新通信, 2015.
[2]何永远.桌面云终端系统在电力行业中的典型应用[J].电力信息通信技术,2014.
作者简介
梁雨(1990-),男,四川省乐山市人。大学本科学历。现供职于国网四川雅安电力(集团)股份有限公司。研究方向为信息系统运维检。
第6篇:云安全安全防护范文
关键词:云计算;安全防范;建议
中图分类号:TP393.08
云计算运行中普遍存在着四大类问题,即云计算的可靠性问题、系统性能和系统扩展问题、系统安全问题以及成本问题。本文基于云计算安全防范内容对如何解决云计算安全防范提出了个人看法。
1 云计算及其特征
云计算指的是通过互联网实现服务的变化、应用以及交付的一种新型的模式,其应用过程中主要通过虚拟化的资源配置实现互联网相关功能的扩展,它的应用也是自上世纪80年代人类发明大型计算机以来的又一次大的变革。目前,云计算已经被广泛的看作是继互联网和PC机变革以后的第三次IT行业改革浪潮,同时也是我国实现IT产业伟大战略复兴计划的重要内容。云计算的应用将会在很大程度上改变人们的生活和生产方式,其发展和应用已经收到世界范围的广泛关注。云计算技术的实质是计算机与新型的网络技术相互融合的产物,其中涉及到的主要技术包括并行处理、分布式处理、网络大容量存储以及虚拟技术等,因此可以说云计算技术是一项技术融合的产物。在维基百科中,云计算的定义是以Internet为基础同时能够虚拟资源动态伸缩的新型计算模式。美国科学标准研究院对于云计算的定义是基于用量付费模式,可以提供实用、快捷的网络访问,并且可以快速获得资源池内部的相关数据资源,同时具有管理操作简单、与服务器上交互较少等优点。
云计算主要具备以下几个方面的特点:伸缩性资源配置;自助式网络服务;快捷网络访问机制;基于用量计费;虚拟化资源。通常情况下,将云计算技术的优势归结为规模大、可靠性高、扩展性强、适用度高以及成本低廉等。
图1
2 云计算的安全防护及其目标
云计算的迅猛发展既使企业享受到云计算带来的种种益处:节省成本开支、增强计算能力、灵活的业务应用扩展等,但同时高整合、高竞争、高淘汰的新商业环境,也让企业的生存和发展高度依赖于两个核心要素,即“云”自身的可用性(Availability)和企业核心数据的安全。
可用性是指软件系统在一段给定时间内正常工作的时间占总时间的比重,通常用百分比来衡量。可用性方面最终解决方案是能够预测问题,并通过提前准备副本、提前解决故障、通知用户等手段来避免这些故障的发生,或者减少故障发生带来的损失。云计算数据的处理和存储都在云平台上进行,计算资源的拥有者与使用者相分离已成为云计算模式的固有特点,由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。
具体来说,云计算的安全防护是指用户数据甚至包括涉及隐私的内容在远程计算、存储、通信过程中都有被故意或非故意泄露的可能,亦存在由断电或宕机等故障引发的数据丢失问题,甚至对于不可靠的云基础设施和服务提供商,还可能通过对用户行为的分析推测,获知用户的隐私信息。这些问题将直接引发用户与云提供者间的矛盾和摩擦,降低用户对云计算环境的信任度,并影响云计算应用的进一步推广。所以云计算的安全防护的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。
3 云计算安全防范构思
3.1 传统数据中心安全部署
传统数据中心安全部署的一般核心思路是:分区规划、分层部署。分区规划是在网络中存在不同价值和易受攻击程度不同的应用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信任模型,将网络划分为不同区域,以满足以下需求。分层部署是指在分区基础上,按照全面的安全防护部署要求,在每个区域的边界处,根据实际情况进行相应的安全需求部署,一般的安全部署包括,防DDoS攻击、流量分析与控制,异构多重防火墙、VPN、入侵防御以及负载均衡等需求。
3.2 云计算的安全防护具体内容
云计算的安全防护是与传统数据中心安全部署有所区别的:一是数据与信息安全防护:安全隔离、权限控制、数据加密、信息传输加密、数据备份和恢复、剩余信息保护等。其次,身份管理与安全审计。采用统一的云服务身份管理模式和认证技术,通过分权分域的控制机制实现跨域的身份认证、授权和访问控制。三是用户账号管理。即为实现云计算系统的集中访问控制、集中授权、集中审计提供可靠的原始数据。
3.3 云计算安全防范思路
云计算安全防范的重点信息平台与数据资产两个核心要素提供安全防护。这需要我们至少做好四个方面的工作:一是主动积极应对。在迈入云计算环境时需要采取一种积极主动的态度。循序渐进、有条不紊的方式部署和推进云计算。做好培训和准备工作,把握好对安全性、可用性和成本等重要问题的控制。二是有效设置信息和应用层。并非所有的信息和应用都是在同一层面上创建的。进行分析并将信息和应用放置在各个层次,这样才能确定哪些能优先进入云环境。三是适时评估风险并主动应对。确保关键信息只能被授权用户访问,确保云服务提供商能满足企业合规性的要求。对云计算的运营运作能力进行评估,如容灾能力、高可用性和灾难恢复能力。四是有效应用智能技术。即利用应用智能在端口和传统防火墙的地址拦截来智能地检测、分类和控制应用程序带宽。基于云计算的应用程序流量的增长已经远远超过了传统防火墙的安全功能。通过对应用程序的检测、分类和控制,可以阻止、限制或者优化任何特定应用程序。
4 结束语
云技术在受到企业用户青睐的同时,也成为黑客和各种恶意组织为获取自身利益而攻击的目标。另外,组成云计算环境的各种系统和应用依然要面对各种病毒、木马和其他恶意软件的威胁。云计算安全防护的基本思路应是:利用传统的IT安全技术解决大部分安全问题;引入新的安全技术解决云计算所特有的安全问题。
参考文献:
[1]陈婷婷.云计算安全防范策略探讨[J].中国电子商务,2013(08).
[2]李彦宾.云计算数据中心网络安全防护部署[J].网络与信息,2012(06).
[3]中国电信网络安全实验室.云计算安全:技术与应用[M].北京:电子工业出版社,2012(02).
第7篇:云安全安全防护范文
自计算机网络诞生以来,网络的安全防范问题就一直存在,计算机网络技术这个“盾”与各种网络攻击技术的“矛”一直并存,并从未消失。就整体而言,计算机网络安全可以分为信息安全和控制安全这两大部分,也即信息本身的安全和信息传递过程中的安全。常见的威胁因素也有很多,主要有毒程序的侵入、物理威胁、系统漏洞等。与传统的网络环境一样,威胁”云”计算下的网络安全的问题也很多,可以总结如下。
1.使用环境安全性
自然环境的安全问题是影响网络安全的最基本因素,它包括网络管理者的误操作、硬件设备的瘫痪、自然灾害的发生等。计算机网络是一个由网络硬件、网络软件共同组成的智能系统,容易受到诸如潮湿、电磁波、振动、撞击等外部使用环境的影响。虽然“云”计算网络环境有效改善了数据信息的存储安全问题,但对于传统网络下使用环境的安全性问题,在“云”计算网络环境下同样存在;并且由于“云”计算环境下的数据存储管理方式的改变,其对于其使用环境的安全性提出了更高的要求。
2.数据存储安全性
数据存储的安全与否,长久以来一直困扰着计算机网络的发展。传统网络环境下,虽已能实现数据共享,但数据多是单机存储,其安全性主要由单机防护能力、数据通信安全等方面决定。而在“云”计算网络环境下,数据主要存储在服务商提供的“云”里,数据存储的安全与否,很大程度上取决于“云”服务提供商的技术能力和诚信水平。这就对服务商的诚信及其“云”存储技术保障能力提出了更高的要求,也对用户安全使用数据的能力提出了更高的要求。
3.数据通信安全性
计算机网络产生的主要目的是为了数据的共享和信息的传递,数据的通信成为网络必不可少的环节,这也是传统网络环境下最易受到外部攻击的部分。“云”计算网络环境下,数据通信安全性主要体现在数据在传输过程中易受到安全威胁。其主要包括:(1)攻击“云”计算服务器,通过短时间内向“云”计算服务器发送超量的服务请求,堵塞信道,导致用户正常的服务请求无法完成;(2)侵入系统、篡改数据,通过黑客技术入侵“云”计算服务器或用户系统,对合法用户的数据进行篡改、删除,造成数据的破坏;(3)监听数据、窃取信息,通过对数据传输过程监听的方式,窃取相关的个人信息和数据信息。
4.身份认证安全性
“云”计算网络环境下,“云”服务器处于计算机网络环境的中心位置,其他用户正常使用的前提是要有合法用户的注册和身份认证。身份认证技术是网络信息主动自我防范和保护的重要手段,同时也是最易遭受攻击的环节。其主要表现为:(1)通过攻击“云”计算用户管理服务器,窃取诸如合法认证用户的用户名、密码等个人信息,非法登录,进行数据操作;(2)通过对网络信道进行非法监听、病毒侵入等手段,窃取合法用户信息,导致用户注册信息及系统数据的泄漏。
5.虚拟环境安全性
“云”计算网络环境不同于传统的网络环境,它整合网络资源构建虚拟的服务环境,用户使用的资源来自“云”端,而不是固定的网络实体。用户都是通过临时租用的方式获得服务,可以有效解决硬件设备不足、运算能力不够等问题,提高整体网络资源的使用度,提升整体计算机网络的运算能力。但是需要注意的是,“云”计算是高度整合的虚拟网络环境,数据中心缺少边界安全保障,传统入侵检测技术无法确保数据中心的安全。
二、“云”计算环境下网络安全防护策略
1.“云”端数据防护策略
目前大量的数据,特别是企业的重要核心业务数据大都采用“云”端存储方式。“云”端数据库的使用为用户带来了极大的方便,但也引发了大家对该存储方式安全性的疑虑。“云”计算服务提供商的网络安全吗?是否会造成数据的泄漏?对于这些问题都需要“云”计算服务商加以技术保障和解决。同时,国家也应出台相应的行业法规对“云”计算服务提供商的行为加以约束。另外,从用户的角度来说,要加强对存储数据安全性的防范,对于“云”端数据可以采用定期备份的形式加以保护。同时,为了保证备份数据的安全性,可以对其进行加密,从而保证客户信息的安全。
2.技术防护策略
有效的技术防护可以保障网络环境的安全性,比如:选用规模化的”云”计算软件,并及时更新,弥补软件漏洞;建立用户数据隔离机制,避免多个虚拟机相互攻击;加强诸如”云”加密等安全技术的使用;建立可靠的数据安全存储机制。“云”安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。结合“云”计算网络环境下只能实现逻辑划分的隔离,不能设立物理安全边界的特点,建设“云”计算安全防护中心,将原来基于子系统的安全防护,扩展到对整个“云”计算网络环境的防护,保证网络防护能力的提升。
3.多重身份认证策略
为了解决身份认证方面存在的不安全因素,可以建立多重身份认证的机制。例如,可以将诸如指纹、视网膜等生物认证技术,动态电子口令认证形式,USBKey认证技术加以引入,从而加强网络安全环境。在加强对合法用户登录使用的同时,还要加强对非法认证用户入侵的管理和防范,通过建立报警与黑名单锁定等机制,进一步加强“云”计算网络环境的防护能力。
4.访问控制策略
访问控制策略是维护网络系统安全、保护网络资源的重要手段。它的主要任务是防止网络资源被非法利用。其涉及的网络技术比较广,包括入网的访问控制、网络权限控制、属性安全控制、网络服务器安全控制等方面。在“云”计算网络环境下可以采用多种访问控制策略相互配合的方式,从而实现对不同用户的授权,满足不同用户设置不同级别的访问权限,有效保证“云”计算网络安全。
5.网络环境安全控制策略
在“云”计算网络环境下,为保证数据传输的安全性,可以使用网络安全协议。同时可以对数据进行加密,保证数据在信道传输时不被监听和窃取。同时,还可以建立基于信任的过滤机制,使用网络安全策略管理工具。
6.非技术性安全管理策略
在“云”计算网络安全中,除了采用上述的技术措施之外,还可以通过制定管理规章制度,加强网络安全管理,从而确保网络安全、可靠地运行。“云”计算网络的安全管理策略包括:确定安全管理等级和安全管理范围;所有添加到网络基础设施中的新设备都应该符合特定的安全需求;制订有关网络操作使用规程和人员管理制度;制定网络系统的维护制度和应急措施等。
三、结语
第8篇:云安全安全防护范文
1.1加强服务器的维护
服务器维护是计算机网络硬件维护的重点。在服务器维护的过程中,应尽量由专业素质过硬的人进行维护,避免不当维护对服务器造成伤害,继而影响整个网络正常运行。加强对网卡冗余技术的应用,调整服务器的荷载,维护荷载平衡稳定。当需要向一些不经常联系的地址发送信息时,可暂时关闭网关,减轻计算机负荷,保证网络的安全运行。
1.2建立云主机
尽快打造快速建站安全云主机,集成云锁服务器安全软件,打破传统服务器思维,实行按秒计费、云节点模式让用户在使用和消费上更满意更合理。集一键自动安装PHP、MYSQL、PAPMYADMIN、ASP上传组件等WEB服务器环境,快速建站、数据库管理、站点信息监控、硬件温度检测、WebShell实时查杀为一体的全能服务器建站助手软件。云锁是集合服务器安全管理与监控为一体的免费安全软件,业界首创C/S架构,通过PC端即实现可对服务器端的远程安全管理与监控。采用内核级安全防护技术与Web访问控制技术,能有效防御病毒、木马、Webshell、后门等恶意代码和CC攻击、Sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为,有效保护服务器和网站安全。
1.3构建网站云
定位于网站云,开发出快速建站、CDN云节点中心、负载均衡、弹性配置、二层隔离、私有网络等特有功能,网站云主机有多个云节点中心,保证用户网站各地访问均能快速打开,除了在网站速度上做到极致,还在网站和云主机安全性上做了多层防护。首先,网站云主机具有二层隔离和私有网络功能,可以杜绝内网入侵和外部扫描。其次,网站云主机集成了网站宝建站助手,可以快速搭建web运行环境、快速创建站点和数据库,实现一分钟建站。在网站安全方面,云锁的结合无意是天作之合,就算网站有漏洞在云锁的防御中也很难实现入侵,网站运行快、网站不被黑。
1.4加强安全管理和服务
技术性问题,通过管理无法解决;管理性问题,技术无法弥补,信息安全维护也是如此。除加强硬件设备的维护和系统软件的优化外,还应加强安全管理和服务,确保安全问题的及时发现及时解决。在安全管理方面,应从安全管理机构的优化、系统建设管理的开发、安全管理制度的完善、系统运维体系的建设出发,尽可能减少非技术问题引发的安全威胁。在安全服务方面,网络应在显目位置展示一些基本的网络安全知识,并在网站的设计中广泛咨询客户的意见和检疫,建立信息安全评估部门,定期对运维人员进行安全培训,加强安全巡检,使安全加固常态化,
2结语
第9篇:云安全安全防护范文
【 关键词 】 云计算;虚拟化;无安全防护模式
Through Higher Vocational Professional Skills Competitions to Analyze the Advantages of Enterprises
High-quality Teaching Resources
Yu Feng
(Zhejiang Water Conservancy And Hydropower College ZhejiangHangzhou 310018)
【 Abstract 】 Based over the years on the observation of the case that the students owning enterprise certifications who participate in Zhejiang Province higher vocational college professional skills competition of computer network, we have found such a law that the teams with more students who own enterprise certifications and higher level of them would get the more chances to win the awards, and the level of awards is higher. This reflects the certification education of well-known enterprises is closer to actual production and engineering in many ways relative to the college education, their technology starting point is high and are more practicability, the students trained by them have got high vocational skills quality, so enterprise certification education is a kind of good career and technical teaching resource. College teaching resources are relative shortage in this respect, subjecting to various constraints, there exist a gap with the requirements of vocational education, therefore we should further strengthen the cooperation between colleges and enterprises, and vigorously introduce enterprise high-quality teaching resources into colleges, assimilate them, learn their advantages and promote vocational education teaching resource optimization.
【 Keywords 】 quality of students' vocational professional skills; vocational professional skills competition; enterprise high-quality teaching resources; strengthening cooperation between colleges and enterprises; optimization of vocational education teaching resources
1 云计算和虚拟化的安全问题
云计算的前景已毋庸置疑。但当前用户在考虑应用云计算服务时还存有各种疑虑,其中安全问题占据所有担心要素的首位。国外许多云计算数据中心都遭受过黑客和病毒的攻击,出现过断网现象。甚至云计算的倡导厂商谷歌、亚马逊、微软的在线服务也发生过宕机事件,导致网站长时间不能提供服务,影响波及大量用户。这些安全事件引发了云计算信任危机,也反映出云计算本身确实存在缺陷,尚不完善。今后一段时间内,制约云计算业务普及开展的重要挑战是安全问题。
云安全技术多集中在虚拟化安全方面。虚拟化是云计算的支撑技术,它实现了各种资源的逻辑抽象和统一表示,用以支持云计算中心根据用户业务需求的变化,快速、灵活、弹性地调用,响应用户的应用请求并提供服务,提高资源的利用率。然而,虚拟化的结果,却使得许多传统的安全防护手段面临着新的挑战甚至失效。从技术层面上讲,云计算与传统IT环境最大的区别在于其虚拟化的环境,也正是这一区别导致其安全问题有别于传统模式。虚拟化环境下计算、存储、网络结构、服务提供模式等的改变,带来了应用进程间的相互影响更加难以监测和跟踪,数据的隔离与访问控制管理更加复杂,传统的分区域防护界限模糊,对使用者身份、权限和行为的鉴别、控制与审计变得更为重要等一系列问题,对安全提出了更高的要求。
虚拟化环境下的安全防护问题成为IT界一个新的关注焦点。在实现功能的同时,追求效能最大化始终是任何一种技术所推崇的。如何在虚拟化环境下既能达到安全防护目的,又能节约IT资源,降低管理成本,需要有全新的思路。“无(Agentless)安全模式”将是最有希望的安全解决方案之一。
无安全模式是相对于传统有安全模式而提出的,所以要理解无安全模式的优势,需要将两种模式进行一下对比,分析各自的工作特点及利弊之处。
2 虚拟化环境有安全模式的弊端
虚拟化的早期阶段,安全解决方案尚无适应虚拟化环境的防护模式,人们只能沿用传统的安全防护策略,即在每台虚拟机上部署安全防护产品套件,即所谓的“安全”,这种安全防护模式称为“有模式(Agent-based)”。但随着云计算和虚拟化技术大规模的应用,此种模式已显现出多种弊端,主要体现在几方面。
1)传统安全软件都是基于物理机开发的,而非专门为虚拟化环境定制设计,尤其是没有考虑针对虚拟化环境下的资源共享进行优化。因而每一台虚拟机都安装安全软件的部署模式,对物理宿主机的存储空间、内存资源占用较大。当上百台虚拟机在同一时间开启病毒库自动升级或者自动进行云查杀,同时需要调用网络资源,数据中心的网络资源将面临极大的压力,甚至超负荷导致瘫痪,耗尽网络带宽,导致正常业务中断,这就是所谓的“防病毒风暴(AV Storms)”。这显然违背了云计算使用虚拟化技术节约IT资源的初衷,分散部署安全软件的模式降低了虚拟化本应带来的好处,导致了对服务器整合工作的不必要消耗。
2)云计算数据中心需要部署多种应用系统运行在不同的虚拟机中,各个虚拟机及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战。由于传统硬件的安全设备只能部署于物理边界,如入侵检测设备IDS,一般利用交换机的端口镜像功能,监控外部网络对DMZ区,以及DMZ区内部不同物理服务器之间的攻击行为。但在虚拟化环境中,位于同一台物理宿主机上的不同虚拟机之间的通信可能不经过网络交换机,利用传统的网络安全设备观察虚拟机间的通信方法失效,因而无法检测或抑制源于同一物理主机的虚拟机的攻击。如果攻击者攻克了一台虚拟机,获得了对其控制权,就可以对宿主机上的其他虚拟机发起攻击,进而获得整个服务器群的控制权,造成业务系统崩溃。如何增强虚拟环境内部虚拟机流量的可视性和可控性,提供虚拟环境内部的网络安全防护,传统的安全产品无能为力。
3)各虚拟机分散地防护(即有模式),不能保证各自均更新为最新版本,补丁完整得到了加固。因为虚拟化的初衷之一是绿色环保、低碳节能,当负载低时可以自动休眠某些虚拟机,当负载高时重新激活这些虚拟机。但在虚拟机休眠期间,病毒代码库和安全补丁是无法更新的,可能出现大量安全漏洞,一旦激活、联机后将可能立即受到攻击。在快照还原、休眠、激活过程中,同步且一致性地为这些安全策略已过期的虚拟机更新为最新安全策略是不可能的。攻击者可以利用这个时期攻击虚拟机,只要某一台虚拟机存在漏洞,出现安全防护的“短板”,就可能对整个虚拟化环境造成安全威胁,这也符合“木桶原理”。
4)在虚拟化动态环境中,新的虚拟机自动进行设置、重新配置,甚至自动迁移。这使得管理员在追踪、维护和实施安全策略时变得异常困难,分散管理模式的成本急剧增大,已难以适应。
综上所述,全新的虚拟化环境若仍然搭配传统的类似垂直式部署的安全防范策略,无疑影响了虚拟平台的使用效率,也势必降低整体安全性。
3 虚拟化环境无安全模式的优势
无安全模式基于宿主机整体考虑,以一个真实物理机为一个管理单位,用户无需在每个虚拟机中部署安装安全防护程序,将安全防护进程移出各个单独的虚拟机,集中部署在一台虚拟安全服务器中运行,分时扫描各应用服务器虚拟机,管理虚拟化环境下其他所有虚拟机的安全防护。因为安全服务器虚拟机直接部署在虚拟化平台上,对下层资源配置和利用情况具有完全的感知与掌控,充分利用虚拟化环境下对资源请求的时间差,统一调度,统计复用资源。这样,就避免了相同的安全防护进程在各虚拟机中并行地运行,并发地耗用底层资源,而改变为由一个虚拟安全服务器串行地运行,均衡了负载和资源的利用。
安全虚拟服务器可采用经过加固的专用系统,安全级别高,从而显著提升了无模式下的整体安全性。用户只需安装一次安全防护套件,一次性部署,然后对这台安全虚拟服务器随时在线升级和维护,对虚拟环境的性能不会造成显著影响。由于避免了各虚拟机重复性更新,也就避免了“防病毒风暴”等现象。只要保护好这台虚拟安全服务器,就能够让其他所有虚拟机得到最新的安全防护。从这一点看,在虚拟化环境中,集中式的无安全防护模式的安全性要高于分散式有安全防护模式。
因为在各虚拟机上取消了安全防护程序,因此可以帮助底层宿主机降低负担。近年来,恶意程序剧增,病毒库、补丁库体积越来越大,分散部署的有安全模式要占用大量资源。而采用无安全模式,当虚拟机数量较大时,节省的资源数量将非常可观,可以提高虚拟机密度,获得最大化效能。有测试报告表明,使用无安全防护模式,虚拟机器的整合率比使用分散的有安全防护模式提高数倍甚至一个数量级。降低了以牺牲性能获得虚拟化安全的制约。
无安全解决方案具有实时性,对于处于休眠状态的虚拟机,一旦激活便可以立即获得最新的防护,甚至对新克隆或安装的虚拟机裸机也同样,解决了虚拟机启动中的防护间隙(Instant-On Gap)问题。并且,安全虚拟服务器可以及时拦截并检查虚拟机内部通信,防止虚拟机间的攻击。
从易管理的角度来看,采用无安全防护模式,云计算数据中心在扩展、迁移虚拟机时,无需再次部署、设置安全解决方案,更新程序,虚拟机的迁移、资源的利用更具弹性。由于提供了统一管理机制,变分散管理为集中管理,大大降低了管理工作的复杂性和成本,省时、省力、省资源,因此总体上降低了企业的IT成本。在运维成本已占IT行业运营总成本极大比例的今天,无疑具有重要的现实意义,容易被企业所接受。因此无模式不仅可用于安全防护,进而可推广成为全面的统一管理平台。
无安全模式有效避免了有模式下产生的诸多负面效应,顺应了从分散走向集中的趋势,符合云计算、虚拟化、透明化、资源整合、集中统一管理的理念和技术潮流,未来必将成为大势所趋。
4 无安全模式目前存在的问题
无安全模式作为一项新技术(或许是一种过渡技术),目前还存在一些问题。
1)每台虚拟服务器运行的应用对安全防护策略的要求不尽一致,因而集中设置的防护策略区分粒度不够精细,不易实现差异化策略设定。
2)如果安全虚拟服务器被攻破,则全体应用服务器虚拟机的安全防护随之瓦解,出现单点失效问题。
3)无安全模式目前主要用于防病毒,因为应用服务器虚拟机中无任何,其他安全措施,如:基于主机的入侵检测(HIDS)、IPS、防火墙、审计、防黑、反垃圾邮件等方面必然较弱,安全防护的深度和广度还存在局限性。有模式分层扫描可做的较为细致,防护能力强。在无模式下,达到同样目的时效性可能会差一些。
4)同一虚拟平台上运行不同操作系统的虚拟机,由于操作系统结构不同,可能出现漏杀现象。
5)不支持跨虚拟化平台的使用。不同虚拟化平台提供给虚拟安全服务器的接口不同,受到不同虚拟化平台迁移的限制。
6)被保护虚拟机必须留有开放接口,以使虚拟安全服务器扫描,这相当于在虚拟服务器上开了一些后门,会带来一定安全风险。
由此可见,目前有和无安全模式各有各有所长。无安全模式正处于发展之中,需要有一个不断完善的过程,要经过长时间的演进。因此,根据具体的安全需求,目前在一些应用场合可能还需要配合有模式使用,达到优势互补。
5 虚拟化安全防护模式之展望
从有模式发展到无模式,开拓了一种虚拟化环境安全模式的新思路,是一种技术进步。沿着这一思路进一步向集中模式发展,最终,将安全防护功能下移到虚拟化平台层,整合进虚拟化系统中,直接监控进出虚拟机的数据,进而考虑实现防火墙、防病毒、IDS、IPS、深度包检测、综合安全网关(UTM)、数据的认证授权访问、法规合规性检查等一系列安全措施,相当于将安全防护部署前移,而无需在虚拟化平台之上再虚拟出一个安全虚拟服务器,这一解决方案更接近“无”的真正含义。从技术角度考虑,低层可以实现的功能,尽量不要放到高层去做,这样必然代价最小,资源利用率最高。
这里我们要明确一个概念,无论哪种安全模式,总要运行安全防护的进程,只是运行的位置和层次不同,因而实现的效能不同。当前“有”和“无”说法和争论更多还是从传统安全技术角度来区分的。虚拟化环境下系统体系发生了变化,与之相适应的安全系统也要有新的体系模式。在传统安全领域中,低层实现效率高,高层实现粒度细。在虚拟化环境下,整合解决方案如何做到安全防护既高效又深度感知,既功能齐全又保持虚拟化平台代码精简,这必然是今后一个重要研究领域。
虚拟化提供了一种集中模式,也为集中式安全管理创造了条件,而集中模式的管控是云环境下的趋势。整合解决方案为当前云计算数据中心仍广泛采用的复杂且分散的传统安全防护模式带来了一次观念和技术上突破的机会,前景美好,商机无限,有实力的厂家应看到这一点,投入力量研发。只要思路正确,技术上的问题总可逐步解决实现。
信息安全伴随着信息的存在而存在,是一个永恒的课题。只要外界存在安全威胁,传统安全领域存在的问题在虚拟化环境中依旧存在,只是攻防的模式会有所不同。安全防护始终是一个动态的过程,只有不断适应信息应用的模式,才能具有生命力和发展前景。
参考文献
[1] 王志良.物联网工程概论[M].第1版,北京:机械工业出版社,2011.4.
[2] 雷万云. 云计算——技术、平台及应用案例[M]. 第1版,北京:清华大学出版社,2011.5.
[3] 杭州华三通信技术有限公司. IP领航,总第9期[J]. 2010.4.
[4] VMware公司官方网站:http:///cn/.
[5] 微软官方网站:http:///zh-cn/default.aspx.
[6] 趋势科技官方网站:http:///cn/.
- 上一篇:清廉医院建设工作汇报材料范文
- 下一篇:初中语文辅导计划范文
