一种基于信息安全等级保护思想的云计算安全防护系统,其包括物理安全、网络安全、虚拟化安全、主机安全、应用安全、数据安全与备份恢复和可移植性安全;所述物理安全包括物理位置安全、物理环境条件安全、防自然灾害和防物理破坏;所述网络安全包括网络结构划分及安全、网络访问控制、网络安全审计、网络入侵防范、网络恶意代码防范和网络设备防护;所述虚拟化安全包括虚拟中间件安全、虚拟机隔离和虚拟机监控;所述主机安全包括主机身份鉴别、主机访问控制、主机安全审计、主机剩余信息防护、主机入侵防范、主机恶意代码防范和主机资源控制。主机恶意代码防范和主机资源控制。主机恶意代码防范和主机资源控制。
【技术实现步骤摘要】
一种基于信息安全等级保护思想的云计算安全防护系统
[0001]本专利技术涉及安全防护系统,具体为一种基于信息安全等级保护思想的云计算安全防护系统。
技术介绍
[0002]随着社会与经济的发展,信息化迅猛发展的今天,金融网络化、电子化已经是不可抗拒的大势,许多银行已经在网络开设了重要的应用。而相应的各种安全威胁也接憧而来。这些安全问题不仅会给银行带来巨大的经营风险,导致难以估量的经济损失,而且还会严重影响银行形象,妨碍电子银行和网上银行工作的正常开展,造成危害社会的更大影响,为了应对这些安全问题,网站安全需求也在不断的变化和增长。
[0003]传统的安全防护方案是由用户购买并部署反病毒软件、防护墙、入侵检测等一系列安全设备,不仅成本高昂、部署麻烦、维护困难,还存在带宽瓶颈,串接设备若发生故障将影响整个网络,对于运营、配置、维护有着较高的要求,因此由于安全防护的木桶理论决定了一旦某个环节有所疏漏,整个安全防护体系都会功亏一篑。
技术实现思路
[0004]针对上述情况,为克服现有技术的缺陷,本专利技术提供一种基于信息安全等级保护思想的云计算安全防护系统,有效的解决了传统的安全防护方案是由用户购买并部署反病毒软件、防护墙、入侵检测等一系列安全设备,不仅成本高昂、部署麻烦、维护困难,还存在带宽瓶颈,串接设备若发生故障将影响整个网络,对于运营、配置、维护有着较高的要求,因此由于安全防护的木桶理论决定了一旦某个环节有所疏漏,整个安全防护体系都会功亏一篑的问题。
[0005]为实现上述目的,本专利技术提供如下技术方案:本专利技术包括物理安全、网络安全、虚拟化安全、主机安全、应用安全、数据安全与备份恢复和可移植性安全;
[0006]所述物理安全包括物理位置安全、物理环境条件安全、防自然灾害和防物理破坏;
[0007]所述网络安全包括网络结构划分及安全、网络访问控制、网络安全审计、网络入侵防范、网络恶意代码防范和网络设备防护;
[0008]所述虚拟化安全包括虚拟中间件安全、虚拟机隔离和虚拟机监控;
[0009]所述主机安全包括主机身份鉴别、主机访问控制、主机安全审计、主机剩余信息防护、主机入侵防范、主机恶意代码防范和主机资源控制;
[0010]所述应用安全包括应用身份鉴别、应用访问控制、用用安全审计、应用剩余信息保护、通信保密性、抗抵赖、软件容错、应用资源控制和应用接口与API安全;
[0011]所述数据安全与备份恢复包括收据完整性、数据保密性、数据隔离、数据托管定位和数据备份与恢复;
[0012]所述可移植性安全包括本地化已知安全和跨平台移植安全。
[0013]所述物理位置安全包括物理位置选择及物理访问控制。
[0014]所述物理位置选择为:设计规划、建造部署云计算数据中心机房时,合理布局,建立应急措施和备份系统,云计算机房一旦发生问题,将会影响业务的运行并造成用户敏感数据的丢失,为保证云计算机房运行的稳定性与可靠性,物理位置选址时应避开火灾易发、易产生粉尘油烟、低洼潮湿、强电磁干扰、建筑高层或地下室、辐射源等地。
[0015]所述物理访问控制措施包括建立围墙控制台门锁、设置警卫、建立监控系统。
[0016]所述物理环境条件安全包括温湿度及灰尘控制、电力供应和电磁防护。
[0017]所述物理破坏包括暴力损毁、盗窃、虫害。
[0018]所述网络结构划分及安全:在进行网络结构划分时网络边界分为两种:外部边界和内部边界,其中内部边界因虚拟化技术的使用,又存在有传统物理机间边界和虚拟机间虚拟边界两种形式;
[0019]外部边界是将云计算信息系统网络实体分为终端用户实体和云平台实体后得到的,即终端用户实体和云平台实体间边界。云平台实现了信息系统应具备的全部业务功能,终端用户只需按需从云平台获取服务而不必关心其他任何技术细节,云平台的内部结构对终端用户是透明的,终端用户访问云平台时跨越的边界构成云系统外部边界;内部边界是云平台内不同网络实体间的边界,由于云计算大量使用虚拟化技术,一台物理主机或交换机可以虚拟出多台主机和交换机,网络结构划分不能采用传统的以物理机器为划分依据的方式,而应以逻辑机器为划分实体对网络进行划分,这样既能使划分更清晰和易于理解,又能为后续边界防护提供依据,因此,网络实体包括传统物理实体和虚拟实体两种,实体间边界包括传统物理机边界、物理机与虚拟机间边界、虚拟机之间边界,又因虚拟机必寄宿在某物理机上,所以物理机与虚拟机间边界可划归传统物理机边界内。
[0020]所述网络访问控制针对三种网络边界:云平台面向互联网边界、云平台内物理机间边界、虚拟机间边界。
[0021]所述网络安全审计包括一切具有审计需求的云平台对象,如防火墙、路由器、服务器、Hypervisor和虚拟机,审计内容包括:对网络流量监测以及对异常流量的识别和报警、网络设备运行情况的监测,利用云计算存储、计算资源的优势,建立基于云的网络安全审计平台,对全网网络安全审计实行集中统一管理,要求对网络设备运行、网络流量等基本情况进行记录;可以通过审计记录的分析,形成报表,并在一定情况下发出报警、阻断等动作;对审计记录建立保护措施;设置审计跟踪极限阈值,做到集中审计。
[0022]所述网络入侵防范:建立基于云的网络入侵检测平台,对全网网络入侵防范实施集中统一管理,要求能够检测常见攻击的发生,并发出报警,做到检测、报警井自动采取相应动作阻断。
[0023]有益效果:本专利技术针对云计算安全防护问题,首先从传统信息系统安全防护出发,对我国推行的信息系统安全等级保护进行了分析和介绍;然后指出了等级保护无法解决云计算新的安全问题,在云安全防护上具有一定局限性;最后在借鉴等级保护基本要求和技术措施基础上,结合云计算安全特点,提出了一种从七个层面对云计算进行安全防护的技术。
[0024]围绕云计算安全评估问题,在文中提出的基于等级保护基本要求和技术措施的云计算安全防护技术基础上,首先,通过将防护技术指标化,引入层次分析法和模糊综合评价法,提出了一种新的云计算安全评估方法;然后,依据云安全防护方法,选取教学信息系统
为对象,从七大技术层面制定了教学信息系统云安全设计概要;最后,使用云安全评估方法对进行了安全评估。
附图说明
[0025]附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:
[0026]图1是本专利技术整体结构示意图;
[0027]图2是本专利技术物理安全结构示意图;
[0028]图3是本专利技术网络安全结构示意图;
[0029]图4是本专利技术虚拟化安全结构示意图;
[0030]图5是本专利技术主机安全结构示意图;
[0031]图6是本专利技术应用安全结构示意图;
[0032]图7是本专利技术数据安全与备份恢复结构示意图;
[0033]图8是本专利技术可移植性安全结构示意图。
具体实施方式
[0034本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于:包括物理安全、网络安全、虚拟化安全、主机安全、应用安全、数据安全与备份恢复和可移植性安全;所述物理安全包括物理位置安全、物理环境条件安全、防自然灾害和防物理破坏;所述网络安全包括网络结构划分及安全、网络访问控制、网络安全审计、网络入侵防范、网络恶意代码防范和网络设备防护;所述虚拟化安全包括虚拟中间件安全、虚拟机隔离和虚拟机监控;所述主机安全包括主机身份鉴别、主机访问控制、主机安全审计、主机剩余信息防护、主机入侵防范、主机恶意代码防范和主机资源控制;所述应用安全包括应用身份鉴别、应用访问控制、用用安全审计、应用剩余信息保护、通信保密性、抗抵赖、软件容错、应用资源控制和应用接口与API安全;所述数据安全与备份恢复包括收据完整性、数据保密性、数据隔离、数据托管定位和数据备份与恢复;所述可移植性安全包括本地化已知安全和跨平台移植安全。2.根据权利要求1所述的一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于,所述物理位置安全包括物理位置选择及物理访问控制。3.根据权利要求2所述的一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于,所述物理位置选择为:设计规划、建造部署云计算数据中心机房时,合理布局,建立应急措施和备份系统,云计算机房一旦发生问题,将会影响业务的运行并造成用户敏感数据的丢失,为保证云计算机房运行的稳定性与可靠性,物理位置选址时应避开火灾易发、易产生粉尘油烟、低洼潮湿、强电磁干扰、建筑高层或地下室、辐射源等地。4.根据权利要求2所述的一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于,所述物理访问控制措施包括建立围墙控制台门锁、设置警卫、建立监控系统。5.根据权利要求1所述的一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于,所述物理环境条件安全包括温湿度及灰尘控制、电力供应和电磁防护。6.根据权利要求1所述的一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于,所述物理破坏包括暴力损毁、盗窃、虫害。7.根据权利要求1所述的一种基于信息安全等级保护思想的云计算安全防护系统,其特征在于,所述网络结构划分及安全:在进行网络结构划分时网络...
【专利技术属性】
技术研发人员:郑晓亮,
申请(专利权)人:深圳市智安网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。