云安全體系

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇云安全體系范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

云安全體系范文第1篇

摘要：文章在研究分析云計算安全風險和安全技術體系架構的基礎上，結合移動互聯網的特點，設計了一個多層次、多級別、彈性、跨平臺和統一用戶接口的移動互聯網通用云計算安全技術體系架構。該架構可實現不同等級的差異化云安全服務，其中跨層的云安全管理平臺可對整個系統的運維安全情況進行跨安全域和跨安全級別的監控。

關鍵詞：移動互聯網；云計算；安全體系架構

Abstract: In this paper, we emphasize the necessity of designing a secure cloud computing architecture for mobile Internet. We analyze cloud computing security risks and secure architectures and propose a general secure cloud computing architecture that takes into account the characteristics of mobile Internet. This architecture has a multihierarchy, multilevel, elastic, cross-platform, unified user interface that can provide cloud services with different levels of security. The cross-layer cloud security management platform can be used to monitor the whole system and maintain different security domains and levels.

Key words: mobile internet; cloud computing; secure architecture

由于云計算特有的優點和巨大的商業前景，移動互聯網領域的許多企業都已提供或準備提供和自身產業相結合的各種云計算服務。云計算引入移動互聯網，會使移動互聯網的體系發生變化，并將帶來許多新的安全問題。為了解決云計算模式下的移動互聯網安全問題，必須系統地研究其安全風險，構建云計算安全技術體系。

在研究分析云計算安全風險和安全技術體系架構的基礎上，文章結合移動互聯網技術的接入方式多樣化、企業運營方式多樣化和用戶安全需求多樣化的特點，根據安全即服務(SeaaS)的思想綜合設計一個多層次、多級別、彈性、跨平臺和統一用戶接口的，基于移動互聯網的通用云計算安全技術體系架構。

1 移動互聯網環境下的

云計算工作

在2011年1月美國國家標準技術研究所(NIST)對云計算的定義的草案中[1]，明確指出支持各種標準的接入手段是云計算的基本特征之一，并將移動互聯網納入云計算技術的架構之下。云計算與移動互聯網結合后，除了移動互聯網本身具有的安全問題外，由于云計算的虛擬化、多租戶、動態性、開放性與復雜性等特點，也給移動互聯網引入了一系列新的安全問題，如何分析和抵抗這些新的安全威脅近幾年已成為產業界和學術界焦點問題。

2008年7月，美國知名市場研究公司Gartner的一份為《云計算安全風險評估》[2]的研究報告認為云計算服務存在著七大潛在安全風險，即特權用戶的接入、可審查性、數據位置、數據隔離、數據恢復、調查支持和長期生存性。2010年3月云安全聯盟的研究報告《云計算主要安全威脅》[3]指出云計算服務的主要威脅主要包括：云計算服務的濫用和惡意使用、不安全的接口和應用程序編程接口(APIs)、惡意的內部攻擊者、共享技術的弱點、數據丟失與泄露和賬號與服務劫持等。微軟公司的《Windows Azure安全筆記》[4]從審計與日志、認證、授權、部署管理、通信、加密、異常管理、輸入與數據驗證和敏感數據這9個方面分別論述了云計算服務的主要安全威脅。加州大學伯克利分校的研究人員在文獻[5]中認為云計算中安全方面的威脅主要有：可用性以及業務連續性、數據鎖定、數據的機密性和相關審計、大規模分布式系統的漏洞和相關性能的不可預知性等等。

在文獻[6-8]中指出云計算中最重要的安全風險主要有：違反服務等級協議，云服務商提供足夠風險評估的能力，隱私數據的保護，虛擬化有關的風險，合約風險等。目前，云計算安全問題已得到越來越多的關注。著名的信息安全國際會議RSA2010將云計算安全列為焦點問題，通信學會理事會(CCS)從2009年起專門設置了一個關于云計算安全的研討會。許多企業組織、研究團體及標準化組織都已啟動了相關研究，安全廠商也已在研究和開發各類安全云計算產品[9]。

云計算服務模式下的移動互聯網是一種復雜的、面臨各種安全威脅的系統，因此必須研究和設計移動互聯網環境下的云計算安全技術來抵抗和防御這些安全威脅，云計算安全體系結構是其研究基礎和依據。許多研究人員和來自移動互聯網相關領域的企業對如何設計和開發云計算安全技術體系架構均展開了相關研究。

微軟云計算平臺Windows Azure是微軟于2008年在微軟開發者大會上的全新的云計算平臺，它基于平臺即服務(PaaS)的思想，向開發人員提供了一個在線的基于Windows系列產品的開發、儲存和服務代管等服務的環境。微軟公司的《Windows Azure安全筆記》[4]從改進Web應用安全的角度出發提出了一個基于應用安全、網絡安全和主機安全概念化安全區域的云計算安全架構。其中應用安全關注應用審計與日志、認證、授權、應用部署管理、加密、異常管理、參數配置、敏感數據、會話管理和驗證等問題；網絡安全保障路由器、防火墻和交換機等的安全；主機安全所需要關注的相關問題則包括補丁和更新、服務、協議、記賬、文件與目錄、共享、端口、注冊登記和審計與日志等。

Bell實驗室的研究人員在文獻[10]中提出一種支持資源無縫集成至企業內部網的云計算安全體系架構VSITE，在保持資源的隔離性和安全性的同時允許云服務提供商拓展資源為多個企業提供服務。云計算服務商提供的資源對企業來說就像是內部資源，VSITE通過使用VPN、為不同的企業分配不同的VLAN以及運用MAC地址對企業進行身份編碼等技術手段來達到這個目標。VSITE體系架構由云服務中心、目錄服務器、云數據中心以及監控中心等相關的實體組成，其監控中心設計了安全機制以防止企業與企業之間的相互攻擊。VSITE具有可擴充性安全性以及高效性。

亞馬遜彈性計算云(Amazon EC2)是一個Web服務，它提供可調整的云計算能力。文獻[11]中指出Amazon EC2使用了一個多級的安全體系架構包括主機的操作系統、操作系統的虛擬實例/客戶操作系統、防火墻和簽名的API調用等層次，目標是保護云端的數據不被未授權的系統和用戶攔截，使得Amazon EC2實例盡可能安全而又不會犧牲客戶按需配置的彈性。

從服務模型的角度，云安全聯盟(CSA)提出了基于3種基本云服務的層次性及其依賴關系的安全參考模型[6]，并實現了從云服務模型到安全控制模型的映射。該模型的重要特點是供應商所在的等級越低，云服務用戶所要承擔的安全能力和管理職責就越多。

從安全協同的角度，Jericho Forum從數據的物理位置、云相關技術和服務的所有關系狀態、應用資源和服務時的邊界狀態、云服務的運行和管理者4個影響安全協同的維度上分類16種可能的云計算形態[12]。不同的云計算形態具有不同的協同性、靈活性及其安全風險特征。云服務用戶則需要根據自身的不同業務和安全協同需求選擇最為合適的相關云計算形態。

上述云安全體系結構雖然考慮了云計算平臺中主機系統層、網絡層以及Web 應用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構沒有結合移動互聯網環境來研究云計算安全體系構建及相關技術。

2 移動互聯網環境下的

通用云計算安全技術

體系架構

2.1 設計目標

移動互聯網環境下的通用云計算安全技術體系架構的設計目標有以下6個方面：

?確保移動互聯網下的不同用戶的數據安全和隱私保護

?確保云計算平臺虛擬化運行環境的安全

?依據不同的安全需求，提供定制化的安全服務

?對運行態的云計算平臺進行風險評估和安全監管

?確保云計算基礎設施安全、構建可信的云服務

?保障用戶私有數據的完整性和機密性的基礎

2.2 安全體系架構設計

結合上述設計目標，考慮移動互聯網接入方式、企業運營方式和用戶安全需求的多樣性，文章設計了一個移動互聯網環境下的通用云計算安全技術體系架構（如圖1所示），它具有多層次、多級別、彈性、跨平臺和統一用戶接口等特點。

與云計算架構中的軟件即服務(SaaS)、PaaS和基礎設施即服務(IaaS) 3個層次相應，文章首先設計了云安全應用服務資源群，包括隱私數據保護、密文數據查詢、數據完整性驗證、安全事件預警和內容安全服務等云安全應用服務。

針對云計算虛擬化的特點文章還設計了云安全基礎服務資源群包括虛擬機安全隔離、虛擬機安全監控、虛擬機安全遷移和虛擬機安全鏡像等云安全基礎服務，運用虛擬技術跨越了不同系統平臺（如不同的操作系統）。同時移動互聯網環境下的云計算安全技術體系架構中也包含云安全基礎設施。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。

移動互聯網環境下的云計算安全技術體系架構中的云安全基礎設施的建設則可以參考移動通信網絡和互聯網絡中云安全基礎設施已有的相關建設經驗。

移動互聯網環境下的云計算安全技術體系架構還包含一個統一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權認證、防火墻、反病毒、安全日志、預警機制和審計管理等子系統。云安全管理平臺縱貫云安全應用服務、云安全平臺服務和云安全基礎設施服務所有層次，對包含不同安全域和具有多個安全級別的整個系統的運維安全情況進行了跨安全域、跨安全級別的一系列綜合管理。

體系架構考慮了移動互聯網環境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統一的云安全應用服務接口，并提供手機多媒體服務、手機電子郵件、手機支付、網頁瀏覽和移動搜索等服務，同時還可以提供隱私數據保護、密文數據查詢、數據完整性驗證、安全事件預警和內容安全等用戶可以直接定制的安全服務。

同時，體系架構還考慮了整個系統參照云安全標準及測評體系的合規性檢查。云服務商提供的應用軟件在部署前必須由第三方可信測評機構系統地測試和評估，以確定其在移動互聯網云環境下的安全風險并設立其信任等級，云應用服務提供商不可自行設定服務的信任等級，云用戶就可能預先避免因定制未經第三方可信測評機構評估的安全云應用服務而帶來的損失。云應用服務安全等級的測試和評估也給云服務提供商帶來準入規范，迫使云服務提供商提高云服務的服務質量以及安全意識。

2.3 關鍵技術

對用戶而言，多用戶私有資源的遠程集中式管理與計算環境的開放性之間構成了尖銳的矛盾，主要表現為：用戶資源的私有性和機密性要求其應用環境相對固定和穩定，而計算環境的開放性則會使私有數據面對來自多方的安全威脅?？梢哉f，云服務提供商與用戶之間的信任問題是云計算能否推廣的關鍵，而數據的安全和隱私保護是云計算安全中極其重要的問題。解決該問題的關鍵技術涉及支持密文存儲的密文查詢、數據完整性驗證、多租戶環境下的隱私保護方法等。

云計算平臺要統一調度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運行環境的安全是云計算安全的關鍵。在此安全體系之下，結合虛擬化技術，平臺必須提供虛擬機安全監控、虛擬機安全遷移、虛擬機安全隔離以及虛擬機安全鏡像等核心基礎服務。各種服務模式的虛擬機都存在隔離問題引起的安全風險，這包括：內存的越界訪問，不同安全域的虛擬機控制和管理，虛擬機之間的協同工作的權限控制等。如果云計算平臺無法實現不同（也可能相同）云用戶租用的不同虛擬機之間的有效隔離，那么云服務商則會無法說服云用戶相信自己提供的服務是非常安全的。

用戶定制的各種云服務由虛擬機中運行相關軟件來實現，因此存在虛擬機中運行的相關軟件是否按用戶需求運行的風險問題，例如運行的環境的安全級別是否符合需求和運行的流程是否異常等；虛擬機運行的預警機制與安全審計問題包括安全策略管理、系統日志管理和審計策略管理等。

云計算模式下的移動互聯網是一種多源、異構服務共存的環境。與此同時，依據多租戶的不同安全需求，滿足不同等級的差異化云安全服務應以訪問控制為手段，進行安全服務定制以及安全自適應。

為了支撐移動互聯網環境下云計算的安全準入，云計算安全體系同樣需要針對運行態云計算平臺的風險評估方法、安全測評方法以及支持第三方的安全審計等。

移動互聯網上的云計算安全監管體系一方面負責對移動互聯網的內容安全監管和針對基于云計算的安全攻擊的預警與防護；另一方面還負責對云服務提供商對云服務安全性的相關保障措施和執行情況進行審計。

3 結束語

在滿足移動互聯網多種接入方式、多種企業運營方式和不同參與者不同的安全需求的基礎上，文章結合云計算技術，根據SeaaS的思想，設計了一個移動互聯網環境下的通用云計算安全技術體系架構。整個體系架構提供給用戶云服務的安全級別可以適用用戶需求的差異化，還可以無縫融合不同的操作系統和異構的網絡體系，給不同接入方式終端用戶帶來統一的操作模式。

4 參考文獻

[1] MELL P, GRANCE T. The NIST Fefinition of Cloud Computing(draft) [R]. NIST Special Publication 800-145.Gaithersbung, MD,USA:NIST,2011.

[2] BRODKIN J. Gartner: Seven Cloud-Computing Security Risks [EB/OL].(2008-07-02).

folk.ntnu.no/oztarman/tdt60/cloud%20computing/3%20Cloud_Computing_Security_Risk.pdf, july, 2008

[3] Top Threats to Cloud Computing V1.0 [R].San Francisco, CA, USA: Cloud Security Alliance,2010.

[4] MEIER J D. Windows Azure Security Notes [R]. Microsoft,2011.

[5] ARMBRUST M, FOX A, GRIFFITH R, et al. A View of Cloud Computing[J].Communications of the ACM, 2010,53(4): 50-58.

[6] Security Guidance for Critical Areas of Focus in Cloud Computing V2.1[R].San Francisco, CA, USA: Cloud Security Alliance, 2009.

[7] ENISA Cloud Computing Risk Assessment[R]. European Network and Information Security Agency, 2009.

[8] MOTAHARI-NEZHAD H, STEPHENSON B, SINGHAL S. Outsourcing Business to Cloud Computing Services: Opportunities and Challenges [R].HPL-2009-23. Palo Alto ,CA,USA:HP Labs, 2009.

[9] 馮登國,張敏,張妍,等. 云計算安全研究[J].軟件學報,2011,22(1): 71-83.

[10] LI L E, WOO T. VSITE: A Scalable and Secure Architecture for Seamless L2 Enterprise Extension in the Cloud[C], Proceedings of the 6th IEEE Workshop on Secure Network Protocols (NPSec’10), Oct 5, 2010, Kyoto, Japan. Piscataway, NJ, USA: IEEE,2010: 31-36.

[11] Amazon Web services: Overview of Security Processes[R]. Seattle, WA, USA: Amazon,2010.

[12] Forum j. Cloud Cube Model：Selecting Cloud Formations for Secure Collaboration[EB/OL].(2009-04-30). http：//省略/Jericho/ cloud-cube-model-v1.0.pdf

收稿日期：2012-02-12

作者簡介

劉建偉，北京航空航天大學電子信息工程學院副院長、教授、博士生導師，中國密碼學會理事，中國電子學會高級會員；研究方向為無線通信網絡、密碼學、信息安全、通信網絡安全、信道編碼與調制技術等；100余篇，出版專著4部。

云安全體系范文第2篇

關鍵詞：云計算；計算機網絡安全；防范策略

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2013） 10-0116-01

一、云計算

（一）云計算的概念

云計算（CloudComputing）是近年來發展的一種新的計算形態。它是網格計算（GridComputing）、分布式計算（DistributedComputing）、并行計算（ParallelComputing）、效用計算（UtilityComputing）、網絡存儲（NetworkStorageTechnologies）、虛擬化（Virtualization）、負載均衡（LoadBalance）等傳統計算機和網絡技術發展融合的產物。云計算的核心思想是將大量用網絡連接的計算資源統一管理和調度，構成一個計算資源池向用戶按需服務。提供資源的網絡被稱為“云”。“云”中的資源在使用者看來是可以無限擴展的，并且可以隨時獲取，按需使用，隨時擴展，按使用付費。

（二）云計算的工作原理

云計算的思想就是把力量聯合起來，然后給其中的每一個成員使用。云計算的基本原理就是通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中。這使得企業能夠將資源切換到需要的應用上，根據需求訪問計算機和存儲系統。這也意味著計算能力就像我們現在使用水和電一樣，取用方便，費用低廉。

二、云計算背景下計算機網絡安全存在的問題

在技術方面，云計算存儲了大量的數據，一旦在云計算中心放生故障，將導致不可估量的損失。云計算在網絡的建設中擁有巨大的優勢，但是存在的問題也很多。其中最突出的就是網絡的虛假地址和虛假標識問題。

其次，在計算機的網絡里，我們的防范措施很單一，網絡上的黑客和病毒隨時都有可能攻擊我們的云計算中心。在云計算中心里存儲的大數據信息對這些攻擊具有強大的吸引力。因此，云計算有許多重要的安全問題，例如在沒有真正明確保密性、完整性和可用性責任的情況下把服務委托給第三方等。

此外，互聯網技術在中國發展太快、變化太多，以致于讓我們對網絡安全的認識跟不上，缺少防范意識，雖然近幾年有了一定的提高，但是還不能滿足網絡安全的需求。我國對網絡安全的立法還并不全面，存在著漏洞，而且監管的嚴密性也不夠。目前我國的立法不全，缺乏對網絡安全的制裁手段和懲罰。

三、云計算背景下計算機網絡安全的防范策略

（一）提高防范意識，明確網絡安全發展目標

一方面，加強對網絡系統認證身份的確認和識別，明確授權主體，從而提高對網絡安全在身份上的確認保障，避免因第三方侵入網絡安全系統；另一方面，保證網絡信息的完整性和機密性、一致性，加強對信息傳播的監控操作，防止機密信息流失造成不必要的影響，禁止非授權用戶對信息數據的整改，嚴格把關信息安全的操控。

（二）提高網絡安全壁壘，強化應對網絡威脅的能力

1.系統安全分析

系統安全分析是把系統中復雜事物分成相對簡單的組成部分，并找出各組成部分之間的內部聯系，查明危害的過程。系統安全分析的目的是為了在整個系統生命周期內，徹底除去或是控制危害。

2.采用加密技術

要提高網絡安全，加密技術是最常用的安全保密手段，利用技術手段把重要的數據變為亂碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。

3.采用認證和數字簽名技術

身份認證是指用數字辦法確認、鑒定、認證網絡上參與信息交流者或服務器的身份。數字證書是一個擔保個人、計算機系統或者組織的身份和密鑰所有權的電子文檔。認證的主要目的確定信息的真實性、完整性和不可否認性。所謂認證系統是為了使接收者或第三者能夠識別和確認消息的完整性的密碼系統。

4.運用服務器

服務器只允許因特網的主機訪問其本身，并有選擇地將某些允許的訪問傳輸給內部網，這是利用服務器軟件的功能實現的。采用防火墻技術，易于實現內部網的管理，限制訪問地址?？梢员Ｗo局域網的安全，起到防火墻的作用：對于使用服務器的局域網來說，在外部看來只有服務器是可見的，其他局域網的用戶對外是不可見的，服務器為局域網的安全起到了屏障的作用。

5.使用過濾器

Vontu、Websense和Vericept等公司提供一種系統，目的在于監視哪些數據離開了你的網絡，從而自動阻止敏感數據。比方說，身份證號碼具有獨特的數位排列方式。還可以對這類系統進行配置，以便一家公司里面的不同用戶在導出數據方面享有不同程度的自由。

參考文獻

[1]劉穎，劉景.計算機網絡安全問題及措施[J].科技資訊，2008，6.

[2]姚遠耀，張予民.云計算在網絡安全領域的應用[J].科技廣場，2009，7.

[3]王洪鎮，謝立華.關于云計算及其安全問題的綜述[J].現代計算機（專業版），2013，6.

[4]梁杰文，佟得天.云計算下的信息安全綜述[J].信息與電腦（理論版），2012，12.

云安全體系范文第3篇

一、相關理論知識概述

（一）云會計的概念

程平和何雪峰將云會計定義為“構建于互聯網上， 并向企業提供會計核算、 會計管理和會計決策服務的虛擬會計信息系統”①。對于云會計的理解可以分別從企業用戶和云服務供應商的角度來進行簡述：云服務供應商應該做到計算機軟件、硬件、互聯網服務的云計算和企業的會計信息系統的選擇維護工作，只需要關注所提供的軟硬件設備以及相關的會計信息系統是否合適，能否有效的完成企業對于系統的一些會計信息化的需求。對于企業來說，它僅僅關注所提供的服務是否滿足本企業的個性化需求，所要求的價格是否與所提供的服務相匹配，不關心提供服務的供應商本身的情況。因此，云會計更類似于一場企業和云服務供應商之間的關于企業會計服務外包的交易。

（二）云會計的應用優勢

（1）大大降低企業會計信息化建設成本。相較于傳統的會計模式而言，云會計更突出的優勢是將企業的會計工作外包出去，這樣企業就有更多的時間和精力專注于本企業的會計管理以及決策的制定上面。

（2）應用十分便捷。隨著互聯網時代的不斷發展，云會計也將更加契合現代人的工作方式，它不再使會計人員局限于辦公室辦公，正如現在許多云會計服務商提出的“Anytime、Anywhere、Anyway”的3A服務理念，這些都說明云會計的應用使得會計工作方式變得更加的便利②。

（3）幫助決策科學性。由于云平臺是一個信息共享的地方，所以可以將企業所有的資產信息、交易信息、財務數據等一切歷史數據進行整合分析從而對企業未來的發展進行預測并幫助企業做出科學合理的決策，提高會計信息的使用價值。

二、云會計信息安全問題

（一）會計信息的存儲及備份安全問題

在云會計環境下企業所有的會計信息都儲存在“云端”的數據資源庫以便可以及時地獲取并處理會計信息。但由于云計算所使用的儲存方式是虛擬的，所以會計信息使用者對于信息儲存的具置是不清楚的，而且也不知道服務器供應商所提供的儲存管理技術是否完善，是否在提供服務時私自保留了一些特權等。

此外，在進行會計數據儲存時很重要的一個步驟就是對會計數據進行備份，但由于備份數據一般都儲存在磁盤或者優盤中，而數據在備份的過程中肉眼是無法看到整個過程是如何進行的，所以只要操作稍有不當或者疏忽，就會出現儲存數據備份不全或者數據無法讀取的情況。

（二）會計信息的傳輸安全問題

會計信息從企業到“云端”數據庫的傳輸過程中需要經過云會計服務器供應商和互聯網，這一過程如果不嚴格管理就可能會出現問題。一般會計信息在企業內部傳輸時只需要進行簡單地加密算法或者雙方直接進行傳輸，但是在傳輸到“云端”數據庫的過程中，會計信息必須要經過云服務供應商，所以如果企業選擇的云服務供應商在數據傳輸過程中有意或無意導致信息泄露是企業一時無法察覺的。此外，由于一般傳輸都是采用互聯網進行的，所以在互聯網傳輸的過程中可能會留下一些痕跡而有意想要獲取信息的人就可以通過這些痕跡跟蹤獲取到企業的一些有價值的信息。

（三）會計信息的使用安全問題

會計信息對于一個企業來說基本上都是屬于本企業的商業機密，一般可以有權獲得這些信息的都是會計相關人員或者是企業的領導和管理層，所以一旦這些人員在使用會計信息的過程中不小心出現了泄露和損壞會計信息的行為，企業將會遭受嚴重的損失。對于企業來說，因為在云會計下直接使用和處理會計信息的一般是企業的相關財務人員，所以財務人員的粗心大意或者是在處理信息過程中隨意的離開電腦旁，這些都可能造成會計信息的泄露。

三、云會計信息安全問題的解決思路

（一）從云技術本身增強會計信息安全性

云會計的基礎是云計算，但是在目前的大環境下許多用來保證云技術安全性的核心技術還是不夠成熟，所以第一步就要從完善核心云技術來探討相應的解決思路。首先是加強對訪問用戶的身份驗證和管理，要建立起強大的企業用戶身份的安全識別認證和訪問控制機制。其次，加強企業對加密密鑰相關管理技術的學習。這樣一方面減輕了云服務供應商在密鑰管理上的工作量，降低了由此而出現信息泄露等問題；另一方面也保證了企業的會計信息不被其他無關人員看到，大大加強了會計信息的安全性。

（二）從企業人員管理上保證會計信息安全性

2011年蘋果公司的離職員工泄露了公司當時新產品信息和銷售計劃，使得蘋果公司虧損了近兩百萬美元。所以，對于企業內部相關人員信息權限授予的管理是極其必要的。具體的來說，每個員工都應根據自己的工作內容設有賬號權限并且只能查看賬號權限內授權的信息，而且當員工因為工作需要變動賬號時必須要經過上級領導的審批，這就確保了企業員工只對其工作范圍內的信息具有完全控制權而無法接觸到工作以外的信息，同時當有員工離職時要及時的刪除相關賬號，確保信息不會被未授權人員獲取或泄露。

（三）從數據管理上確保會計信息安全性

一般而言，企業核心價值的體現就是企業重要的會計信息和經濟信息，但是在會計信息傳送至“云端”這一過程中，會計信息的安全性和完整性完全是由云服務供應商控制著，所以企業要在與云服務供應商簽訂傳輸協議時強調對會計信息的完整性進行檢查校對，然后在云服務供應商將會計信息傳輸至“云端”之后進行會計信息的檢查從而確定在整個傳輸過程中會計信息的真實性和完整性。但是如果企業無法實現上述的要求，那就需要企業根據自身的實際情況來決定哪些部分可以使用云會計來完成。

總之，我們要早日解決云會計下信息安全問題，從而加速實現企業會計信息化建設的進程。注解：

云安全體系范文第4篇

關鍵詞:云計算;無線局域網;WPA;PSK

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9611-04

Cloud Computing and Research of WPA Security

WANG Jian1, FANG Hong-ying2

(1.College of Computer Science and Technology,Chongqing University of Posts and Telecoms,Chongqing 400065, China; 2.College of Science,Chongqing Jiaotong University,Chongqing 400074, China)

Abstract: The WLAN with wireless channel for the transmission medium widely applied to the domain needing for removable data processing or unable to cabling with physics transmission medium. But its open characteristic causes wiretapping,identity threats, and so on counterfeiting and tampering of information are actually ubiquitous. The IEEE 802.11 proposes a series of safety mechanism to solves these Safety potential, as identification authentication and the data encryption and so on. But along with cloud computation, facing the super-computing platform, computing hundreds of millions of times per second, the encryption protocol in WLAN became frail at present. In this paper based on the WLAN WPA encryption, a detailed analysis of cloud computing to WLAN security challenges will be discussed, finally the experimental data will prove the authenticity and severity of such security threat.

Key words: cloud computing; WLAN; WPA; PSK

無線局域網(Wireless Local Area Network,WLAN)作為有線聯網方式的補充和延伸,逐漸成為計算機網絡中一個至關重要的組成部分。WLAN以無線信道作傳輸媒介,廣泛適用于需要可移動數據處理或無法進行物理傳輸介質布線的領域。

無線媒介具有開放性特點,但它要求比有線網絡更嚴格的安全措施。雖然WLAN規范的標準化,使無線網絡技術變得成熟與完善,但竊聽、身份假冒和信息篡改[1]等威脅卻無處不在。為了解決這些安全隱患,IEEE 802.11協議提出了一系列安全機制,來實現身份驗證和數據加密。但是隨著云計算的提出,面對每秒數億次的超級計算平臺,目前WLAN中的加密協議顯得來力不從心。本文以WLAN中最常用的WPA加密協議為例,詳細分析云計算對無線局域網安全帶來的挑戰。

1 云計算

云計算(Cloud Computing)是分布式計算技術的一種,其最基本的概念,是透過網絡將龐大的計算處理程序自動分拆成無數個較小的子程序,再交由多部服務器所組成的龐大系統經搜尋、計算分析之后將處理結果回傳給用戶。透過這項技術,網絡服務提供者可以在數秒之內,達成處理數以千萬計甚至億計的信息,達到和“超級計算機”同樣強大效能的網絡服務――維基百科(Wikipedia)。

1.1 云計算的原理

云計算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網格計算(Grid Computing)的發展。其原理是,通過使計算分布在大量的分布式計算機上,而非本地計算機或遠程服務器中,企業數據中心的運行將更與互聯網相似。這使得企業能夠將資源切換到需要的應用上,根據需求訪問計算機和存儲系統。云計算具有綜合利用網絡上的軟件和數據的能力,把計算資源和存儲資源聯合起來,供每一個成員使用。

1.2 云計算的特征

云計算[2]是“海量存儲”和“高性能計算服務”的高度融合。高性能計算服務(云計算)部署依賴于計算機集群,也吸收了自主計算和效用計算的特點;海量存儲(Cloud Storage,云存儲)是一種將數據保存在虛擬存儲池上的實現方式,數據獨立存儲,而非與計算部件共享服務器上。

從事云計算服務研究的結構眾多,包括Wikipedia,Google,Microsoft,Garmer和Forrester等,它們依據各自的利益和不同的研究視角給出了對云計算不同的的定義和理解。但是無論廣義的還是狹義的云計算,均具有如下特征:快速部署資源或獲得服務;按需擴展和使用;可以按使用量計費;通過網絡提供服務。

1.3 云計算為安全帶來的好處[3]

1) 數據集中存儲:數據的集中存儲減少了數據泄露的可能性,可靠的安全監測提供可靠的實時安全保障,用戶的存儲成本也大大降低。

2) 事件快速反應:事件的快速反應是指云計算縮短了服務時間,降低了服務器出錯概率,使服務更有針對性。

3) 密碼可靠性測試:如果用戶需要使用密碼破解工具定期對密碼強度進行測試,那么可以使用云計算減少密碼破解時間,并更能保證密碼強度的可靠性。

4) 無限期日志:在云存儲模式下,如果磁盤空間不足,可以重新分配,并不會影響日志的存儲使用,而且沒有日期限制。完善日志索引機制提供實時索引功能。

5) 提升安全軟件的性能:在云計算中,出現了越來越多的高性能安全軟件,也可以在某種程度上說,云帶來了安全產品的整體提升。

6) 可靠的構造:通過預控制機制減少漏洞,同時更容易檢測到安全狀況,有助于構造出更安全的工作環境。

7) 安全性測試:降低安全測試成本,節省昂貴的安全性測試費用。通過云計算還可以在潛在成本規模經濟下開發產品。

2 云計算對無線網絡安全的挑戰[4]

無線局域網(WLAN)是一種利用無線技術、實現局域網功能的技術。相對于有線通信技術而言,無線傳輸媒體的開放性導致監聽變得無處不在。因此,IEEE 802.11-1999標準中提出了一系列技術,希望從認證、加密和數據的完整性三方面為數據傳輸提供安全保障。

2.1 WEP協議

WEP(Wired Equivalent Privacy,有線等效加密)[5]安全技術源自于名為RC4的RSA數據加密技術,以滿足用戶更高層次的網絡安全需求。RC4加密算法是RSA Security的Ron Rivest在1987年設計的密鑰長度可變的流加密算法簇。該算法具有很高級別的非線性,其速度可以達到DES加密的10倍。

WEP協議的安全性取決于密鑰及其不被發現的能力。研究表明RC4算法中如果用相同的初始化向量和密鑰加密兩條消息,那么流密碼容易受到攻擊:因為如果對相同密鑰流加密的密文進行XOR運算,那么密鑰流將互相抵消而保留兩條明文的XOR結果。攻擊者也可能查找某一已知明文,并可以用它對兩條明文的XOR結果再作XOR運算來計算另一條明文的內容。歸結WEP協議的弱點如表1所示,其今天的地位只能說是說有勝于無了。

2.2 WPA協議

WPA(Wi-Fi Protected Access)是另一種保護無線局域網安全的技術,它有針對性的解決了WEP中的幾個嚴重的弱點[6]。

從表2可以看出WPA在安全方面進行了如下革新:身份驗證機制杜絕了偽鏈接攻擊;增強至48Bits的IV加上Sequence Counter機制防止IV 重復;MIC信息編碼完整性機制,使得要偽造一個合法數據包變得異常的困難;Per-Packet Key加密機制,讓每個包都使用不同的key加密;Dynamic key management,動態key管理機制,為密碼的安全提供保障。

目前使用的WPA有普通WPA 和WPA2(802.11i)兩個標準。其區別在于數據加密算法(TKIP、AES)和數據完整性校驗算法(MIC、CCMP)的不同,如表3所示。

在WPA/WPA2中和密碼相關的信息有加密數據包和身份認證數據。通過分析TKIP和AES可以得出,由于無法知道明文,要通過捕獲足夠的加密數據包從而找到可以攻擊的信息很難實現。那么破解的突破口就在于WPA/WPA2的身份認證過程。

WPA/WPA2分為兩種認證方式:802.1x (基于端口的網絡接入控制)+ EAP(擴展認證協議)模式,是一種工業級的身份認證體系,需要架設專用的認證服務器(如Radius);Pre-shared Key (PSK,預共用密鑰)模式,是設計給負擔不起 802.1x 驗證服務器的成本和復雜度的家庭和小型公司網絡用的。針對前者的攻擊代價太高,目前主要的破解行為都集中在PSK模式上。

2.2.1 預共用密鑰(Pre-shared Key,PSK)

PSK的認證過程包含STA(Station,客戶端)與AP(access point)間的四次握手(Four-Way Handshake),如圖1所示。

2.4.1 WPA-PSK 初始化工作

使用 SSID 和passphares使用以下算法產生PSK 在WPA-PSK 中PMK=PSK

PSK=PMK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096)

1) 第一次握手

AP:廣播SSID、AP_MAC到STA。

STA:使用接收到的SSID,AP_MAC和passphares計算出PSK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096);且PMK=PSK。

2) 第二次握手

STA:發送一個隨機數SNonce,STA_MAC到AP。

AP端:接收到SNonce,STA_MAC后產生一個隨機數Anonce;然后用PMK,AP_MAC,STA_MAC,SNonce,ANonce 產生PTK=SHA1_PRF(PMK, Len(PMK), "Pairwise key expansion",MIN(AP_MAC,STA_MAC) ||Max(AP_MAC,STA_MAC) || Min(Anonce,SNonce) || Max(Anonce,SNonce));提取這個PTK 前16Bytes組成一個MIC KEY。

3) 第三次握手

AP:發送上面產生的Anonce到STA。

STA:用接收到ANonce 和以前產生PMK,SNonce,AP_MAC,STA_MAC用同樣的算法產生PTK;提取這個PTK 前16Bytes組成一個MIC KEY;使用以下算法產生MIC = HMAC_MD5(MIC Key,16,802.1x data),其中802.1x data 是802.1x 數據幀。

4) 第四次握手

STA:用上面那個準備好的802.1x 數據幀在最后填充上MIC值和兩個字節的0(十六進制),然后發送這個數據幀到AP。

AP:收到這個數據幀后提取這個MIC,并把這個數據幀的MIC部分都填上0(十六進制),這時用這個802.1x data 數據幀,和用上面AP產生的MIC KEY 使用同樣的算法得出MIC’;如果MIC’等于STA發送過來的MIC。那么第四次握手成功,若不等說明則AP 和STA的密鑰不相同,或STATION 發過來的數據幀受到過中間人攻擊,原數據被篡改過。握手失敗了。

2.2.2 PSK的破解

雖然PSK安全體系是十分完善的,但自始至終是一個靠密鑰保護的系統,密鑰成為了系統的關鍵點,也是威脅安全的失效點。

圖1中很清楚的表明,在四次握手中主要傳遞的有如下數據:SSID,AP_MAC,STA_MAC,SNonce,ANonce,802.1x data,MIC。前面6 個元素很清楚,不跟密鑰有聯系,只有最后一個MIC和密碼有所聯系。MIC是通過上面六個信息元素和密碼通過三個主要的算法計算出來的。理論上說只要找到這三個算法的逆反算法就可以根據上面的7個信息元素把密碼計算出來了呢。但是事與愿違的是pdkdf2_SHA1,SHA1_PRF,HMAC_MD5這三個函數都是HASH(散列) 函數。眾所周知,HASH函數幾乎都不存在反函數,因此唯一可行的就是建立字典(Hash Tables)進行攻擊。

1) 字典法

字典法,又叫窮舉法、遍歷法。首先把可能的密鑰羅列起來組成一個密碼字典。然后采用待破解系統相同的加密過程(加密算法和步驟)依次計算出每一個密鑰的密文值與現有密文值進行比較,嘗試猜解密碼;也可以依次將字典中的每一個密鑰導入待破解系統,在線驗證密碼。

PSK密鑰規范規定:可以采取HEX和ASCII模式做密鑰,最多64Bytes,符號包括字母和數字。那么可是使用的字符個數為95個,密碼空間為9564。這超乎想象的密碼空間是目前任何計算機系統都無法勝任的。

2) 弱口令字典[7]

弱口令是一個相對的概念,指的是密鑰空間中很有希望破解的那部分。由此構成的字典被稱為弱口令字典?？紤]到現實生活中人們設置密鑰的習慣,常見的弱口令字典包括:社會工程學的弱口令;有一定聯系性規律性弱口令;暴露過的強口令。

3) 內存-時間平衡(Time-Memory Trade-Offs)法[8]

單純地使用字典,采用和目標同等算法破解,其速度其實是非常緩慢的,就效率而言根本不能滿足實戰需要。如果能夠實現直接建立出一個數據文件,里面事先記錄了采用和目標采用同樣算法計算后生成的Hash值,在需要破解的時候直接調用這樣的文件進行比對,破解效率就可以大幅度地,這一方法還可以依托大型數據庫進行文本匹配,從而更加速了解密的進程。由于這種方法意味著使用大量內存的能夠減少破解密碼所需要的時間,由此被稱作“內存-時間平衡法”。而事先構造的Hash數據文件在安全界被稱之為Table表(文件)。

2.2.3 云計算構建PSK Hash Tables

在“內存-時間平衡”法和弱口令字典的基礎之上,可以開始構建跟PSK解密相關的Hash表了。所采用的方法即前文所述的Four-Way Handshake,涉及到的函數包括pdkdf2_SHA1、SHA1_PRF、HMAC_MD5。目的是將弱口令字典中的每一個密鑰(MK)通過pdkdf2_SHA1計算出PMK(即PSK),再通過SHA1_PRF函數計算該PMK對應的PTK,最終將原始的MK和生成的PTK對存入PSK Hash Tables備用。

云計算中軟件即服務(SaaS)的收費服務理念在分布式構建PSK Hash Tables時非常有效。全球每一個用戶既可以在PSK云計算平臺中將自己計算機空閑資源共享出來,通過分布式計算為PSK Hash Tables添磚加瓦,從而按計算量獲取報酬;又可以享受在擁有被攻擊對象PTK的情況下,高速查詢原始密鑰的服務,一切只需要付費即可。

以由1000臺計算機構成的PSK云計算平臺為例,計算PSK Hash Tables的時間減少為原來的1/1000。通過該云計算平臺,可以將以前的100~300 key/s的單機破解速率,提升到30000~100000 key/s,破解效率提升了近300~1000倍。綜合所述,這個破解PSK密鑰的速度提高了106倍。

2.2.4 現狀

國外高級安全機構(如churchofwifi、shmoo等),也已經建立了高達500G的詳盡WPA/WPA2攻擊Hash Tables庫,并將一些基本完善的PSK Hash Tables公開出售,這使得普通電腦在5分鐘內破解14位長足夠復雜的PSK帳戶密碼成為現實。

4 結論

該文研討了云計算對無線網絡安全帶來的挑戰,充分展現了“云計算”+“內存-時間平衡法”的高效性。

安全研究是把雙刃劍,既可能對系統造成破壞,使用得當也可以預測和避免網絡威脅。安全領域中,云計算可用于:加密算法強度評估;無限期日志;可靠性測試; 安全性測試等方面。

參考文獻:

[1] 張豐翼,劉曉寒,馬文平,王新梅.無線局域網安全的關鍵問題[J].信息安全與通信保密,2004(5):34-37.

[2] 顧理琴.淺談云計算(Cloud Computing)--未來網絡趨勢技術[J].電腦知識與技術,2008(S2):11-12.

[3] 編者.云計算為安全帶來的七大利好[J].計算機與網絡,2008(17):37-38.

[4] 謝四江,馮雁.淺析云計算與信息安全[J].北京電子科技學院學報,2008(4):1-3.

[5] Matthew Gast.802.11?R Wireless Networks The Definitive Guide [M].2nd ed.Sebastopol,CA:O'Reilly Media,Inc,2005.

[6] 孫宏,楊義先.無線局域網協議802.11安全性分析[J].電子學報,2003(7):1098-1100.

云安全體系范文第5篇

關鍵詞：高速公路；營運安全管理；特殊天氣；應急處置機制

引言

高速公路是人們實際生活出行以及社會發展的主要交通要道，對于社會經濟發展具有一定價值，不過在告訴公路建設期間，因為工期長、建設環境相對比較復雜，加上其他藝術產生的影響，一旦在施工期間安全管理不過關，那么就很容易出現各種安全事故和問題，會對整個施工企業造成不可忽視的損失和影響。因此在強化高速公路施工整體安全管理同時，還要不斷提升整體建筑質量，對于施工人員自身安全具有一定價值，現在高速公路安全管理受到人們廣泛關注，不過在實際運營期間依舊存在很多問題需要改進。

1高速公路施營運安全管理出現的各種問題

1.1安全管理意識薄弱

現在，高速公路已經成為我國主要交通要道，新時代下對高度公路提出了全新需求，不過，很多高速公路在實際施工期間缺少安全管理意識和思維，將主要精力和時間全部投放在經濟利益上，從而對于安全責任以及職責管理不過重視，導致高速公路安全管理上出現各種問題和不足。再加上人們缺少高速公路安全責任意識，最終使得高速公路管理上出現各種不足。政府對于安全管理資金投入不足，日常生活中缺少安全管理培訓，從而導致高速公路運營期間出現各種問題。

1.2安全設備不足

在高速公路施工進行中，企業對于安全設備的提供不足，一般都是集中在電子圖形層次上，不過因為警示音響設備在整個過程中比較匱乏，從而導致高速公路建筑經常出現各種問題。因此基于實際情況上具體分析，很多施工企業在工作期間采用的安全設置都是應用在普通公路中的，和高速公路實際需求之間存在很大差異性，從而不能滿足現代化高速發展需求[1]。

1.3人員專業能力不足

高速公路屬于勞動密集型行業，很多企業為節省更多資金投入，進而在施工期間使用較少金額，雇傭幾個專業技術人才進行管理，，不過企業項目則缺少專業人士管理，交由分包企業進行施工。施工兌取一般都是臨時拼湊和組建的人員，參與施工的人員數量通常都是一些農民工，數值比較少，并未進行專業化培訓工作，進入高速公路現場后臨時學習，自我安全意識不足，自救能力比較薄弱。加上農民工工作是施工主要任務，在一線工作期間必定存在很多不足和問題，將會給高速公路施工帶來不確定性危險系數[2]。

1.4安全管理機制并未有效落實

素有行業的第一任務都是保證施工整個過程的安全性，高速公路屬于一項高危行業，需要配合完整安全機制作為支撐。制定完整機制后，需要有效落實和執行，只有這樣才能夠使得機制在整個過程中發揮自身的價值。以現在實際情況具體分析，很多施工企業并未成立安全管理機制，制定的企業也并未結合實際情況有效落實，從而使得安全管理機制成為一種不必要的擺設[3]。并未，很多施工企業在制定安全管理機制期間，沒有有效結合實際情況進行。

2提升高速公路營運施工安全管理的有效對策

2.1提升安全投入，增強安全管理績效

為保證所有車輛都能夠在高速公路上行駛，在營運期間一定要強化對高速公路護欄、隔離設施以及視線誘導等進行嚴格控制，在高速公路上設置安全標線以及交通標志，強化安全管理，保證整個高速公路完好率。在長坡、轉彎以及事故多發地點還要添加減速標志，以及在周圍設置安全警示等，提示駕駛人員行駛期間的安全性[4]。還要在高速公路周圍建立便于冬季時期乘客防滑自救儲料池，對高速公路上橋頭跳車等進行伸縮縫的合理設置和分析，還要為行駛人員提供照明，通過上述工作不斷提升高速公路安全管理效果。引起政府的高速重視，從而可以在修建高速公路中投入更多資金，增強整個路線的安全管理績效。

2.2高度重視特殊天氣，特別路段強化安全管理

雨污風暴等不佳天氣會對高速公路行駛帶來影響，在此種條件下車輛行駛極易出現安全事故，因此，在整個過程中一定要強化信息互通以及報告工作，經營企業一定要通過合作形式進行配合，對高速公路安全營運進行共同監督和防范[5]。在實際交通運行中一旦出現惡劣天氣，那么就要第一時間為警察提供現場資料和信息，進而是對現場進行多層次監控工作，采取多種措施結合共同監督和管理，以就近分流以及路線形式狀態等對信息進行共享，對高速公路上車輛進行及時疏導，避免因為天氣不佳造成車輛阻塞現象。在天氣不佳狀態下對重點以及危險路段進行全面排查和分析。還要結合天氣對于整個道路的影響進行分析，使用間斷放行形式對行駛車輛進行控制，對車速進行限制，避免高速公路上出現大型客車以及危險化學品車輛。進而需要多方共同合作，積極配合對高速公路進行管理，不同人員一定要踴躍承擔自身基本責任，層層聯動，逐層遞進，調度有序，對事故進行及時處理，從而避免告訴公路現場出現人員安全問題以及財產損失問題。

2.3完善安全管理機制，構建應急處置對策

①要結合高速公路應急預案進行全面管理和處理工作，對高速公路上出現的危險源以及重點工作進行合理預測和分析，還要制定現場預案處理工作，在預案機制制定期間一定要由相關專家參與其中，使得制定的預案更加規范和正確；②制定結束后，需要依據預案進行演練和預測，結合高速公路實際情況指定演練機制，使得多方可以更好的合作和配合，快速相應，對現場進行救援，進而做好應急處理工作，在平時工作期間也要做好管理維護工作，在整個工作期間，還需要一些應急救援基本技術作為支撐和保證[6]；③注重提升管理人員的應急處理能力，強化培訓工作，從根本上提升人員工作應急處理意識以及能力，避免高速公路現場出現各種安全事故和問題；④對高速公路聯動機制進行完善，對各種不佳自然災害以及安全事故進行處理，使得各方之間可以協調工作，進而可以最大限度發揮聯動機制的工作價值，對現場實際情況進行共同應對和防范。

3結束語

總而言之，由于交通網絡系統的快速發展，高速公路是其中最主要部分，在數量以及質量上都提出了更高要求，使其從原有基礎上升一個層次。高速公路在實際施工期間一定要進行安全管理工作，保證整體實際質量同時，使得高速公路進行順利進行下去，進而可以最大限度發揮高速公路的價值，因此在對高速公路進行安全管理工作，對于我國交通事業發展具有推動作用，最大限度滿足人們營運需求。

參考文獻

[1]王祝欣.芻議高速公路施工安全管理[J].建筑知識，2017（16）：107-108.

[2]高秉蔚.芻議高速公路運營成本控制問題[J].科技展望，2017（16）.

[3]趙云揚.芻議高速公路隧道施工技術與控制要點[J].環球市場，2017（22）.