云操作系统安全加固技术探讨
2014-08-08纪求华
【摘要】在云计算的部署过程中,对于安全问题的担忧已经成为用户选择云计算服务时的重要考量。基于此,将重点关注云计算安全的核心问题,通过对云操作系统安全体系结构、API安全管理、虚拟网络安全加固技术进行具体阐述,探讨了云操作系统的安全加固技术,从而保障了云计算基础环境的安全可靠。
【关键词】云操作系统安全体系结构API安全管理
中图分类号:TP3-0文献标识码:A文章编号:1006-1010(2014)-10-0049-05
Research on Security Reinforcement Technology of Cloud Operating System
JI Qiu-hua
(GCI Science & Technology Co., Ltd., Guangzhou 510310, China)
[Abstract] During the deployment of cloud computing, security concern becomes an important consideration when the user selects the cloud computing services. The paper will focus on the core issues of cloud computing security. The security architecture, API security management and virtual network security reinforcement technology of cloud operating system are illustrated. In addition, the security reinforcement technology of cloud operating system is discussed, thus making cloud computing environment safe and reliable.
[Key words]cloud operating systemsecurity architectureAPI security management
1 引言
当前,虚拟化、云计算及移动互联网的快速发展改变着信息化的环境,同时也为云计算环境带来了更为复杂的安全问题。云安全操作系统及加固技术是基于云操作系统技术开发、适用于构建安全云计算环境的安全的云基础架构产品。云操作系统安全加固技术正是基于用户对数据安全的担忧,采取有别于传统的安全防护措施,从网络安全、数据安全以及系统安全加固等层面对云计算环境进行安全防护,更有效地保障了数据的安全性。
在云计算环境下,传统的安全风险依然存在。传统安全防护是基于边界防护,然而在云计算中心虚拟化后,边界变模糊了,因此虚拟化安全和安全虚拟化是当前云计算安全防护要考虑的两大重点问题。云操作系统安全加固技术通过将安全功能特性与虚拟机、虚拟化服务器、云管理平台、数据存储以及数据传输相结合,充分考虑到虚拟化安全和安全虚拟化,构建了一套云安全保障体系,包括对云平台的系统安全、应用安全、网络安全、数据安全和主机安全的考虑,解决了用户在云计算环境下对安全的担忧。
2 云操作系统安全加固技术
研究云操作系统加固技术的目的是建立安全可靠的云平台系统以及云平台内各组件所基于的操作系统运行安全性(即操作系统加固),同时对平台内所有网络行为进行安全监控(包括网络攻击分析、网络流量监控、网络服务安全分析等方面),通过对云平台的统一管理,周期性提供平台安全状态运行报告以及平台安全审计结果,从而保障用户操作安全、平台运行安全、数据传输与存储安全、网络安全以及平台应用安全等。
为实现上述的安全问题,其核心是研究云操作系统的安全体系结构、实现API的安全管理以及虚拟网络的安全加固技术。
2.1云操作系统安全体系结构
云操作系统安全体系建设主要包括:数据安全、服务/应用安全、平台宿主系统安全以及平台网络安全。
云操作系统安全体系架构有别于传统的安全体系架构,结合笔者公司现有云平台的体系架构,建立以下安全体系架构,如图1所示。
云操作系统安全体系分为以下层次:
(1)系统基础设施服务层
主要从以下两个层面进行安全划分:
◆整个云平台系统基础设施剖面:包括各组件之间网络通讯、数据传输的安全以及云平台数据存储的安全;
◆云平台物理节点剖面:包括各组件宿主操作系统安全以及虚拟机操作系统安全。
(2)平台管理层
主要从云平台管理服务层对安全进行抽象定义,包括:云平台管理系统安全性(防病毒、攻击防护、用户权限管理、身份认证管理以及系统预警等)、用户接入平台安全性、平台数据管理服务的安全性(主要考虑虚拟机对存储的安全使用,包括权限控制、存储资源配额、安全传输等)、网络访问控制/安全策略(主要是对虚拟机网络的访问控制策略以及虚拟机的安全策略定制)、软件服务安全管控(主要是如何安全管理对虚拟机系统的软件自动部署、配置、注册、注销等)、日志分析(根据日志分析平台周期性的运行效果)、审计评估(对平台安全可靠性的整体审计,包括用户历史行为审计评估、系统安全运行审计评估、虚拟机安全性审计评估)、安全运维(主要从安全性考虑,对系统功能的操作性定义、系统故障时安全性恢复等问题进行考虑)。
(3)平台应用层
应用服务访问安全主要是指平台对外提供的服务如何保障其安全,如应用服务的认证/授权、支持SSL(Secure Sockets Layer,安全套接层)传输的应用系统访问等。
2.2API安全管理
API是预先定义的函数,目的是提供一种不通过源码来访问应用程序服务的方法,而在应用程序与应用、应用与用户之间则是基于Internet通过API来开放服务。当前,以API开放服务的方式在云计算领域已经成为主流方式,主要是基于REST、Web Service、SOAP等协议或方式来提供,这源自云计算的核心理念——云即服务。
API的设计准则为可靠性、可扩展性以及安全性等,其中安全性是基础,没有安全的服务既无法保证服务质量,同时也会有损服务主体的利益。因此,从云操作系统开始设计时就要引入API安全设计,而传统安全设计使用硬编码等直接耦合式的方法来解决安全问题,这会为应用带来一定程度的复杂性,也不易于维护。
云操作系统的API安全管理平台提供API网关,基于网关实现七层的安全管理,主要功能包括基于内容的防护、集中认证和API管理。API网关架构如图2所示。
API网关作为连接外部网络环境与云平台的门户,实现七层过滤,包含当前业界使用API的主流协议,如REST、Web Service、SOAP等,基于过滤的内容实现以下三大安全功能:
(1)基于内容的防护
主要包括敏感信息过滤和基于身份的DoS防护。
◆敏感信息过滤:根据用户的需要定义敏感信息的过滤规则,基于规则进行过滤、拦截以及监控;
◆基于身份的DoS防护:提供一种应用层DoS防护方法,基于平台认证的身份进行DoS防护。
endprint
(2)集中认证
主要包括身份信息抽取、身份认证以及集成第三方认证。
◆身份信息抽取:过滤通过网关的信息,从中抽取出身份相关的信息进行身份认证;
◆身份认证、SSO(Single Sign On,单点登录):基于抽取的身份信息进行认证,实现高层的SSO功能;
◆集成第三方认证:将抽取的身份认证信息转发给第三方认证系统进行认证,从而实现无缝接入。
(3)API管理
主要包括API发布管理和API组装。
◆API发布管理:管理API的发布,基于不同粒度(系统、应用、API等级别)进行管理;
◆API组装:根据业务需要对不同的API进行组装,对API进行定制,从而使用不同的业务需要。
2.3虚拟网络安全加固技术
(1)云操作系统中的vUTM协同合作系统
不同于以往传统的物理UTM(Unified Threat Management,安全网关)设备,这套系统包括多个服务器的多虚拟机协同合作,在虚拟化环境下不仅可以分担大量的计算任务(如状态检测、深度检测、全景检测、入侵检测、智能攻防、病毒黑客防御、VPN等),还可以更加灵活地运用计策设置陷阱引诱、套住并围剿黑客。vUTM协同合作系统将具备良好的性能和高可靠性,统一的产品管理平台下,集防火墙、VPN、网关、防病毒、防黑客、IPS(Intrusion Prevention System,入侵防御系统)、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能。下面将介绍如何开发该vUTM协同合作系统的实施方案:
构建网络安全协议层防御:主要针对虚拟网络IP、端口等信息进行防护和控制,但是真正的安全不能只停留在底层,需要构建一个更高、更强、更可靠的墙,此处的vUTM协同合作系统除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用。因此,vUTM系统将会和虚拟网关及物理网关相连或直接融汇网关的责任。除了具有传统防病毒反黑客的功能外,还将在vUTM系统中实现IPS理念的主动攻防和自主免疫功能。
通过分类检测技术降低误报率:vUTM系统将会和虚拟网关相连或融合,但是接入网关的设备一旦误报过高,将会对用户带来灾难性的后果。低粒度分类检测技术可以大幅度降低误报率,针对不同的攻击采取不同的检测技术,如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。vUTM系统将从以下方面实现低粒度分类检测及访问控制:
◆基本的访问控制能力:支持包括常见的虚拟机IP、虚拟子网、时间、端口、内容搜索、文件格式检查在内的基本访问控制对象。
◆强身份认证能力:身份认证是整个访问控制的基础。严格的身份认证将大幅提高网络的抗攻击能力,基于数字证书的SSL、微软Active Directory认证都是具有极高安全性的身份认证方式。
◆应用层协议分析功能:应用层协议分析可过滤基于协议漏洞发起的攻击并过滤应用层协议的命令,更精确地控制用户的访问,减少因无用命令开放暴露出的命令滥用风险。同时,通过对HTTP(Hypertext Transfer Protocol,超文本传输协议)等协议的分析,还可以过滤恶意控件或脚本等对象。
◆应用参数过滤功能:SQL注入、Tampering等许多攻击行为都是利用URL(Uniform Resource Locator,统一资源定位符)等应用接口传送参数实现的。攻击者经常通过URL,利用用户ASP(Active Server Pages,动态服务器页面)等动态页面以及Web服务器的设计错误控制系统或窃取用户数据。通过应用参数的检查,可以避免这类利用溢出或其他参数检查漏洞造成的攻击。
(2)主动攻防和自主免疫功能
结合以上vUTM方案,开发出虚拟化环境下的主动攻防和自主免疫功能,既可以实现在新病毒出现之前就能够预防(就好像人体的免疫系统一样),还可以实现在黑客未入侵成功时就能主动发现,阻断并反攻黑客,且在反攻时回溯定位到黑客的真实位置。具体的实施方案如下:
构建仿生自主神经系统:通过vUTM协同合作系统以及VLAN(Virtual Local Area Network,虚拟局域网)域内的其他服务器上的防火墙共同构建一套仿生自主神经系统,如图3所示:
图3仿生自主神经系统架构示意图
该系统仿生模拟动物的自主神经系统,主要包括电脑神经元、神经末梢、周围神经系统和中央神经系统。电脑神经元感知和监控每一个进程的运行;神经末梢感知和监控每一个线程的工作;周围神经系统感知和监控主机整体的系统运作以及做一些简单的决策;中央神经系统由vUTM服务器承担进行复杂计算以及全面策划防御措施。
虚拟化环境下的防新病毒能力:有了这套仿生自主神经系统后,它会对每一个进程乃至线程进行细微感应,一旦发现任何异常行为,将会对其阻断彻查并通过神经连接直接上报给vUTM服务器或进一步上报给病毒中心。如果新病毒入侵,尽管病毒库不知道是何种病毒,这套系统依然可以根据异常行为发现并阻断其继续传播。
主动攻防功能:这套仿生神经系统将整个VLAN包括vUTM服务器连接成一个整体,任何外部的攻击就好比用针扎皮肤一样,会立刻被感知到。此时这个整体将会协同工作,设计各种陷阱、运用各种计策对黑客进行防御并主动反击,而且这种反击能力比单个PC的能力要大得多,被攻击的对象是整个VLAN的成百上千台机器组成的军队在vUTM系统地带领下并肩作战。更进一步,通过vUTM协同体系可以和其他VLAN结合形成一个更庞大的军队。当今黑客可以利用大量被非法占领的机器对某个目标发动大规模入侵(如DDoS攻击),而新的基于仿生神经系统的主动攻防方案将会在数量上不处于劣势,这样就可以更有效地进行防御甚至反攻。
3 结束语
综上所述,本文探讨了云操作系统的安全加固技术,主要包括:云操作系统的安全体系结构、API的安全管理技术以及虚拟网络的安全加固技术。通过对云计算系统的安全加固,才能更好地推动云计算的发展,以及更有效、及时地解决当前云计算发展所面临的安全问题。只有把这些问题解决好,才能真正发挥云计算在各行各业信息化进程中的重大作用。
参考文献:
[1] Armbrust M, Fox A, Griffith R, et al. A View of Cloud Computing[J]. Communications of the ACM, 2010, 53(5).
[2] Sean C, Kevin C. Cloud Computing Security[J]. International Journal of Ambient Computing and Intelligence, 2011, 3(1).
[3] Jon B, Gartner. Seven cloud-computing security risks[EB/OL]. (2008-07-02)[2012-02-16]. http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853.
[4]Gene T. Financial Cryptography and Data Security[M]. Springer, 2010: 136-149.
[5] 褚诚云. 云安全:云计算的安全风险、模型和策略[J]. 程序员, 2010(5): 71-73.★
作者简介
纪求华:工程师,硕士毕业于华南理工大学,现任职于广州杰赛科技股份有限公司,主要研究方向为云计算、信息安全和智慧城市。
endprint
(2)集中认证
主要包括身份信息抽取、身份认证以及集成第三方认证。
◆身份信息抽取:过滤通过网关的信息,从中抽取出身份相关的信息进行身份认证;
◆身份认证、SSO(Single Sign On,单点登录):基于抽取的身份信息进行认证,实现高层的SSO功能;
◆集成第三方认证:将抽取的身份认证信息转发给第三方认证系统进行认证,从而实现无缝接入。
(3)API管理
主要包括API发布管理和API组装。
◆API发布管理:管理API的发布,基于不同粒度(系统、应用、API等级别)进行管理;
◆API组装:根据业务需要对不同的API进行组装,对API进行定制,从而使用不同的业务需要。
2.3虚拟网络安全加固技术
(1)云操作系统中的vUTM协同合作系统
不同于以往传统的物理UTM(Unified Threat Management,安全网关)设备,这套系统包括多个服务器的多虚拟机协同合作,在虚拟化环境下不仅可以分担大量的计算任务(如状态检测、深度检测、全景检测、入侵检测、智能攻防、病毒黑客防御、VPN等),还可以更加灵活地运用计策设置陷阱引诱、套住并围剿黑客。vUTM协同合作系统将具备良好的性能和高可靠性,统一的产品管理平台下,集防火墙、VPN、网关、防病毒、防黑客、IPS(Intrusion Prevention System,入侵防御系统)、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能。下面将介绍如何开发该vUTM协同合作系统的实施方案:
构建网络安全协议层防御:主要针对虚拟网络IP、端口等信息进行防护和控制,但是真正的安全不能只停留在底层,需要构建一个更高、更强、更可靠的墙,此处的vUTM协同合作系统除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用。因此,vUTM系统将会和虚拟网关及物理网关相连或直接融汇网关的责任。除了具有传统防病毒反黑客的功能外,还将在vUTM系统中实现IPS理念的主动攻防和自主免疫功能。
通过分类检测技术降低误报率:vUTM系统将会和虚拟网关相连或融合,但是接入网关的设备一旦误报过高,将会对用户带来灾难性的后果。低粒度分类检测技术可以大幅度降低误报率,针对不同的攻击采取不同的检测技术,如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。vUTM系统将从以下方面实现低粒度分类检测及访问控制:
◆基本的访问控制能力:支持包括常见的虚拟机IP、虚拟子网、时间、端口、内容搜索、文件格式检查在内的基本访问控制对象。
◆强身份认证能力:身份认证是整个访问控制的基础。严格的身份认证将大幅提高网络的抗攻击能力,基于数字证书的SSL、微软Active Directory认证都是具有极高安全性的身份认证方式。
◆应用层协议分析功能:应用层协议分析可过滤基于协议漏洞发起的攻击并过滤应用层协议的命令,更精确地控制用户的访问,减少因无用命令开放暴露出的命令滥用风险。同时,通过对HTTP(Hypertext Transfer Protocol,超文本传输协议)等协议的分析,还可以过滤恶意控件或脚本等对象。
◆应用参数过滤功能:SQL注入、Tampering等许多攻击行为都是利用URL(Uniform Resource Locator,统一资源定位符)等应用接口传送参数实现的。攻击者经常通过URL,利用用户ASP(Active Server Pages,动态服务器页面)等动态页面以及Web服务器的设计错误控制系统或窃取用户数据。通过应用参数的检查,可以避免这类利用溢出或其他参数检查漏洞造成的攻击。
(2)主动攻防和自主免疫功能
结合以上vUTM方案,开发出虚拟化环境下的主动攻防和自主免疫功能,既可以实现在新病毒出现之前就能够预防(就好像人体的免疫系统一样),还可以实现在黑客未入侵成功时就能主动发现,阻断并反攻黑客,且在反攻时回溯定位到黑客的真实位置。具体的实施方案如下:
构建仿生自主神经系统:通过vUTM协同合作系统以及VLAN(Virtual Local Area Network,虚拟局域网)域内的其他服务器上的防火墙共同构建一套仿生自主神经系统,如图3所示:
图3仿生自主神经系统架构示意图
该系统仿生模拟动物的自主神经系统,主要包括电脑神经元、神经末梢、周围神经系统和中央神经系统。电脑神经元感知和监控每一个进程的运行;神经末梢感知和监控每一个线程的工作;周围神经系统感知和监控主机整体的系统运作以及做一些简单的决策;中央神经系统由vUTM服务器承担进行复杂计算以及全面策划防御措施。
虚拟化环境下的防新病毒能力:有了这套仿生自主神经系统后,它会对每一个进程乃至线程进行细微感应,一旦发现任何异常行为,将会对其阻断彻查并通过神经连接直接上报给vUTM服务器或进一步上报给病毒中心。如果新病毒入侵,尽管病毒库不知道是何种病毒,这套系统依然可以根据异常行为发现并阻断其继续传播。
主动攻防功能:这套仿生神经系统将整个VLAN包括vUTM服务器连接成一个整体,任何外部的攻击就好比用针扎皮肤一样,会立刻被感知到。此时这个整体将会协同工作,设计各种陷阱、运用各种计策对黑客进行防御并主动反击,而且这种反击能力比单个PC的能力要大得多,被攻击的对象是整个VLAN的成百上千台机器组成的军队在vUTM系统地带领下并肩作战。更进一步,通过vUTM协同体系可以和其他VLAN结合形成一个更庞大的军队。当今黑客可以利用大量被非法占领的机器对某个目标发动大规模入侵(如DDoS攻击),而新的基于仿生神经系统的主动攻防方案将会在数量上不处于劣势,这样就可以更有效地进行防御甚至反攻。
3 结束语
综上所述,本文探讨了云操作系统的安全加固技术,主要包括:云操作系统的安全体系结构、API的安全管理技术以及虚拟网络的安全加固技术。通过对云计算系统的安全加固,才能更好地推动云计算的发展,以及更有效、及时地解决当前云计算发展所面临的安全问题。只有把这些问题解决好,才能真正发挥云计算在各行各业信息化进程中的重大作用。
参考文献:
[1] Armbrust M, Fox A, Griffith R, et al. A View of Cloud Computing[J]. Communications of the ACM, 2010, 53(5).
[2] Sean C, Kevin C. Cloud Computing Security[J]. International Journal of Ambient Computing and Intelligence, 2011, 3(1).
[3] Jon B, Gartner. Seven cloud-computing security risks[EB/OL]. (2008-07-02)[2012-02-16]. http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853.
[4]Gene T. Financial Cryptography and Data Security[M]. Springer, 2010: 136-149.
[5] 褚诚云. 云安全:云计算的安全风险、模型和策略[J]. 程序员, 2010(5): 71-73.★
作者简介
纪求华:工程师,硕士毕业于华南理工大学,现任职于广州杰赛科技股份有限公司,主要研究方向为云计算、信息安全和智慧城市。
endprint
(2)集中认证
主要包括身份信息抽取、身份认证以及集成第三方认证。
◆身份信息抽取:过滤通过网关的信息,从中抽取出身份相关的信息进行身份认证;
◆身份认证、SSO(Single Sign On,单点登录):基于抽取的身份信息进行认证,实现高层的SSO功能;
◆集成第三方认证:将抽取的身份认证信息转发给第三方认证系统进行认证,从而实现无缝接入。
(3)API管理
主要包括API发布管理和API组装。
◆API发布管理:管理API的发布,基于不同粒度(系统、应用、API等级别)进行管理;
◆API组装:根据业务需要对不同的API进行组装,对API进行定制,从而使用不同的业务需要。
2.3虚拟网络安全加固技术
(1)云操作系统中的vUTM协同合作系统
不同于以往传统的物理UTM(Unified Threat Management,安全网关)设备,这套系统包括多个服务器的多虚拟机协同合作,在虚拟化环境下不仅可以分担大量的计算任务(如状态检测、深度检测、全景检测、入侵检测、智能攻防、病毒黑客防御、VPN等),还可以更加灵活地运用计策设置陷阱引诱、套住并围剿黑客。vUTM协同合作系统将具备良好的性能和高可靠性,统一的产品管理平台下,集防火墙、VPN、网关、防病毒、防黑客、IPS(Intrusion Prevention System,入侵防御系统)、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能。下面将介绍如何开发该vUTM协同合作系统的实施方案:
构建网络安全协议层防御:主要针对虚拟网络IP、端口等信息进行防护和控制,但是真正的安全不能只停留在底层,需要构建一个更高、更强、更可靠的墙,此处的vUTM协同合作系统除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用。因此,vUTM系统将会和虚拟网关及物理网关相连或直接融汇网关的责任。除了具有传统防病毒反黑客的功能外,还将在vUTM系统中实现IPS理念的主动攻防和自主免疫功能。
通过分类检测技术降低误报率:vUTM系统将会和虚拟网关相连或融合,但是接入网关的设备一旦误报过高,将会对用户带来灾难性的后果。低粒度分类检测技术可以大幅度降低误报率,针对不同的攻击采取不同的检测技术,如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。vUTM系统将从以下方面实现低粒度分类检测及访问控制:
◆基本的访问控制能力:支持包括常见的虚拟机IP、虚拟子网、时间、端口、内容搜索、文件格式检查在内的基本访问控制对象。
◆强身份认证能力:身份认证是整个访问控制的基础。严格的身份认证将大幅提高网络的抗攻击能力,基于数字证书的SSL、微软Active Directory认证都是具有极高安全性的身份认证方式。
◆应用层协议分析功能:应用层协议分析可过滤基于协议漏洞发起的攻击并过滤应用层协议的命令,更精确地控制用户的访问,减少因无用命令开放暴露出的命令滥用风险。同时,通过对HTTP(Hypertext Transfer Protocol,超文本传输协议)等协议的分析,还可以过滤恶意控件或脚本等对象。
◆应用参数过滤功能:SQL注入、Tampering等许多攻击行为都是利用URL(Uniform Resource Locator,统一资源定位符)等应用接口传送参数实现的。攻击者经常通过URL,利用用户ASP(Active Server Pages,动态服务器页面)等动态页面以及Web服务器的设计错误控制系统或窃取用户数据。通过应用参数的检查,可以避免这类利用溢出或其他参数检查漏洞造成的攻击。
(2)主动攻防和自主免疫功能
结合以上vUTM方案,开发出虚拟化环境下的主动攻防和自主免疫功能,既可以实现在新病毒出现之前就能够预防(就好像人体的免疫系统一样),还可以实现在黑客未入侵成功时就能主动发现,阻断并反攻黑客,且在反攻时回溯定位到黑客的真实位置。具体的实施方案如下:
构建仿生自主神经系统:通过vUTM协同合作系统以及VLAN(Virtual Local Area Network,虚拟局域网)域内的其他服务器上的防火墙共同构建一套仿生自主神经系统,如图3所示:
图3仿生自主神经系统架构示意图
该系统仿生模拟动物的自主神经系统,主要包括电脑神经元、神经末梢、周围神经系统和中央神经系统。电脑神经元感知和监控每一个进程的运行;神经末梢感知和监控每一个线程的工作;周围神经系统感知和监控主机整体的系统运作以及做一些简单的决策;中央神经系统由vUTM服务器承担进行复杂计算以及全面策划防御措施。
虚拟化环境下的防新病毒能力:有了这套仿生自主神经系统后,它会对每一个进程乃至线程进行细微感应,一旦发现任何异常行为,将会对其阻断彻查并通过神经连接直接上报给vUTM服务器或进一步上报给病毒中心。如果新病毒入侵,尽管病毒库不知道是何种病毒,这套系统依然可以根据异常行为发现并阻断其继续传播。
主动攻防功能:这套仿生神经系统将整个VLAN包括vUTM服务器连接成一个整体,任何外部的攻击就好比用针扎皮肤一样,会立刻被感知到。此时这个整体将会协同工作,设计各种陷阱、运用各种计策对黑客进行防御并主动反击,而且这种反击能力比单个PC的能力要大得多,被攻击的对象是整个VLAN的成百上千台机器组成的军队在vUTM系统地带领下并肩作战。更进一步,通过vUTM协同体系可以和其他VLAN结合形成一个更庞大的军队。当今黑客可以利用大量被非法占领的机器对某个目标发动大规模入侵(如DDoS攻击),而新的基于仿生神经系统的主动攻防方案将会在数量上不处于劣势,这样就可以更有效地进行防御甚至反攻。
3 结束语
综上所述,本文探讨了云操作系统的安全加固技术,主要包括:云操作系统的安全体系结构、API的安全管理技术以及虚拟网络的安全加固技术。通过对云计算系统的安全加固,才能更好地推动云计算的发展,以及更有效、及时地解决当前云计算发展所面临的安全问题。只有把这些问题解决好,才能真正发挥云计算在各行各业信息化进程中的重大作用。
参考文献:
[1] Armbrust M, Fox A, Griffith R, et al. A View of Cloud Computing[J]. Communications of the ACM, 2010, 53(5).
[2] Sean C, Kevin C. Cloud Computing Security[J]. International Journal of Ambient Computing and Intelligence, 2011, 3(1).
[3] Jon B, Gartner. Seven cloud-computing security risks[EB/OL]. (2008-07-02)[2012-02-16]. http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853.
[4]Gene T. Financial Cryptography and Data Security[M]. Springer, 2010: 136-149.
[5] 褚诚云. 云安全:云计算的安全风险、模型和策略[J]. 程序员, 2010(5): 71-73.★
作者简介
纪求华:工程师,硕士毕业于华南理工大学,现任职于广州杰赛科技股份有限公司,主要研究方向为云计算、信息安全和智慧城市。
endprint
