云平臺信息安全整體保護技術(shù)研究

2013-11-28 11:37:53 萬方數(shù)據(jù)　點擊量：評論 (0)

1 引言自Google 公司提出云計算的概念以來，各類與云計算相關(guān)的服務(wù)紛紛涌現(xiàn)，隨之而來的就是人們對云安全問題的關(guān)注。云安全的策略構(gòu)想是：使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋

安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

自主訪問控制應在安全策略控制范圍內(nèi)，使用戶對其創(chuàng)建的客體具有相應的訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和(或)記錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

標記和強制訪問控制在對安全管理員進行身份鑒別和權(quán)限控制的基礎(chǔ)上，應由安全管理員通過特定操作界面對主、客體進行安全標記;應按安全標記和強制訪問控制規(guī)則，對確定主體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級。應確保安全計算環(huán)境內(nèi)的所有主、客體具有一致的標記信息，并實施相同的強制訪問控制規(guī)則。云計算環(huán)境訪問控制工作流程如圖3 所示。

圖3 云計算環(huán)境訪問控制工作流程

系統(tǒng)安全審計應記錄系統(tǒng)的相關(guān)安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。應提供審計記錄查詢、分類、分析和存儲保護;確保對特定安全事件進行報警;確保審計記錄不被破壞或非授權(quán)訪問。應為安全管理中心提供接口;對不能由系統(tǒng)獨立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。

用戶數(shù)據(jù)完整性保護應采用密碼等技術(shù)支持的完整性校驗機制，檢驗存儲和處理的用戶數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否被破壞，且在其受到破壞時能對重要數(shù)據(jù)進行恢復。

用戶數(shù)據(jù)保密性保護應采用密碼等技術(shù)支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進行保密性保護。

客體安全重用應采用具有安全客體復用功能的系統(tǒng)軟件或具有相應功能的信息技術(shù)產(chǎn)品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。

程序可信執(zhí)行保護可構(gòu)建從操作系統(tǒng)到上層應用的信任鏈，以實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時采取措施恢復，例如采用可信計算等技術(shù)。

3.3.2 云安全區(qū)域邊界設(shè)計要求

對于云安全區(qū)域邊界，主要從以下技術(shù)點進行設(shè)計：區(qū)域邊界訪問控制，區(qū)域邊界包過濾，區(qū)域邊界安全審計以及區(qū)域邊界完整性保護。

區(qū)域邊界訪問控制應在安全區(qū)域邊界設(shè)置自主和強制訪問控制機制，實施相應的訪問控制策略，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。

區(qū)域

上一頁 1 2 3 4 5 6 7 8 下一頁