前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇云安全服務的主要功能范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

云安全服務的主要功能范文第1篇

關鍵詞：云安全終端；電力信息化；云平臺；5G技術(shù)

引言

隨著電力信息管理系統(tǒng)的推廣使用，如何保障虛擬環(huán)境下電力數(shù)據(jù)和用戶隱私的安全，成為電力部門必須要考慮的問題。云安全終端的運用，將以往零散分布的PC端，全部采用虛擬化技術(shù)，進行集中管理。所有的數(shù)據(jù)全部在云端存儲，不僅提高了系統(tǒng)兼容性和數(shù)據(jù)傳輸速度，而且云存儲環(huán)境下數(shù)據(jù)的安全保密程度更高，在防范病毒入侵和越權(quán)操作等方面有獨特優(yōu)勢。因此，探究云安全終端的應用策略，成為現(xiàn)階段基層電力單位在推進信息化建設中的重要工作。

1云安全終端的應用優(yōu)勢

1.1提高了桌面終端的管控與維護效率

以往電力部門的各臺PC機零散的分布在各個場所，日常的使用、管理和維護費時費力。并且PC機的連接線路也容易受到人為損壞或機械故障，經(jīng)常會因為線路問題、硬件問題等，導致PC機無法正常運行。相比之下，使用云安全終端，可以將PC機和桌面應用軟件，采用虛擬化技術(shù)全部遷移到云安全終端上。這樣就可以實現(xiàn)桌面終端的集中分布、統(tǒng)一管理。日常維護時，可以通過一鍵更新或一鍵修復，就可以將云端應用更新至最新版本，既可以減輕維護壓力，又能夠確保終端辦公的高效率開展。

1.2成本低廉，操作方便

云安全終端在應用成本方面的優(yōu)勢也十分明顯。在云安全終端環(huán)境下使用虛擬化設備，節(jié)省了硬件設備采購與維護的成本；云安全終端只需要一臺客戶端，正常情況下每小時耗電量在15W左右。相比于以往電力單位幾十臺甚至上百臺終端同時運行的情況，在節(jié)電效果方面也有明顯的優(yōu)勢。除此之外，云安全終端除了可以安裝在PC端上，也支持移動設備。這樣就實現(xiàn)了“機隨人動”，管理人員可以隨時隨地的通過移動設備上的云安全終端，了解信息，操作管理，對提高電力管理的時效性有積極幫助。

1.3部署靈活，數(shù)據(jù)安全

傳統(tǒng)的電力信息管理系統(tǒng)中，包含主機、顯示器等若干設備，占地面積大，部署難度高。而云安全終端可以將大部分設備全部采用虛擬化技術(shù)，在云端環(huán)境下完成運行，并且可以支持遠程維護和動態(tài)監(jiān)管，部署更加靈活。在信息安全方面，云安全終端首先是解決了因為系統(tǒng)不兼容導致的數(shù)據(jù)丟失或亂碼等問題，提高了電力數(shù)據(jù)的完整性與利用價值。其次是云安全終端作為集成化系統(tǒng)，能夠更加方便的采取封閉式防護，從而杜絕了PC端發(fā)生病毒入侵進而感染電力部門其他計算機的情況。此外，云安全終端支持冗余備份，且備份數(shù)據(jù)采用異地存儲，進一步提高了數(shù)據(jù)的安全性。表1具體分析了云桌面和傳統(tǒng)桌面的優(yōu)缺點。

2電力信息化管理中云安全終端的系統(tǒng)架構(gòu)

隨著云技術(shù)的成熟，在不同行業(yè)中，以及根據(jù)企業(yè)需求的不同，云安全終端的邏輯結(jié)構(gòu)在細節(jié)方面也有一定的差異。但是系統(tǒng)的主要架構(gòu)類似，總體來看主要包括硬件資源層、終端接入層、應用管理層和云平臺層四個部分。各個層次的主要功能以及面向的對象如下。

2.1終端接入層

終端接入層采用體積較小的瘦客戶端進行介入，只配置包含嵌入式處理器、本地閃存以及各種外設的接口，傳輸過程中只傳輸終端信號和圖像的高強加密變換值，提供了更加安全的環(huán)境。終端接入層面向的對象主要包括電力用戶和終端管理員。本地電力用戶的用電信息，可以通過智能電表等收集并傳輸?shù)浇K端控制平臺。終端管理員可以綜合各類數(shù)據(jù)（用電數(shù)據(jù)、系統(tǒng)運行數(shù)據(jù)等），在操作界面上發(fā)出相應的指令。由于云安全終端可以支持移動設備的靈活接入，用戶可以隨時隨地的通過終端接口，登錄云安全終端賬號并獲取操作權(quán)限，提高了云安全終端的利用率。

2.2應用管理層

應用管理層主要分為終端服務子系統(tǒng)、安全審計子系統(tǒng)、云硬盤子系統(tǒng)三部分。端服務器子系統(tǒng)為員工提供桌面級服務，實現(xiàn)對員工身份的統(tǒng)一驗證，桌面資源的統(tǒng)一管理、動態(tài)調(diào)配；桌面應用的標準安裝，遠程運維等功能。安全審計子系統(tǒng)通過對員工辦公操作的實時采集分析，進行實時的審計錄像，并將審計數(shù)據(jù)集中存儲管理。可有效的避免違規(guī)或違法操作以及敏感數(shù)據(jù)泄露。云硬盤子系統(tǒng)采用PC服務器+云硬盤子系統(tǒng)替代昂貴的陣列存儲，為個人提供按需的存儲空間，并且提供文件共享、文件備份、通訊錄等功能。2.3云平臺層云平臺層主要包含若干虛擬機，以及與電力管理業(yè)務相關的虛擬軟件。具有較強的可擴展性，隨著電力管理業(yè)務的增加，可以隨時在云平臺層增加虛擬機或虛擬軟件的數(shù)量，用較低的成本，滿足云安全終端的使用需求。云平臺層內(nèi)的虛擬設備，采用獨立連接的方式，相互之間不會發(fā)生串擾。即便發(fā)生了病毒攻擊或是程序故障，導致其中一臺虛擬設備出現(xiàn)停運，也不會影響其他功能的發(fā)揮，有利于提高云安全終端的整體運行穩(wěn)定。另外，云平臺層提供了豐富的接口，分別支持不同的業(yè)務辦理。采用Xen虛擬化技術(shù)和SPICE桌面?zhèn)鬏攨f(xié)議，實現(xiàn)了外設的重定向。

2.4硬件資源層

云安全終端雖然可以將電力部門的大多數(shù)業(yè)務和硬件設備，遷移至虛擬化的環(huán)境中，但是也不可能完全脫離硬件設備，常用的硬件設備有計算機、交換機、控制器等。硬件資源層的作用就是將現(xiàn)有的資源進行整合并進行池化，根據(jù)用戶的需求進行劃分，并將所有的處理數(shù)據(jù)都存儲在固定的數(shù)據(jù)存儲設備中，提高數(shù)據(jù)安全性。云安全終端可以實現(xiàn)對必要硬件設備的參數(shù)監(jiān)控，并將工況參數(shù)反饋給云管理員。只有保證硬件資源運行穩(wěn)定，才能為云安全終端各項功能的發(fā)揮，創(chuàng)造良好的虛擬環(huán)境。

3電力信息化背景下云安全終端的發(fā)展趨勢

3.1訪問速度進一步提升

隨著電網(wǎng)覆蓋范圍的增加，電力信息管理系統(tǒng)的運行負載也隨之加大。在一些電網(wǎng)密集、電力用戶較多的地區(qū)，基層電力部門的云安全終端中，可能會包含幾百臺甚至是上千臺虛擬機。當這些虛擬機同步運行時，同一時間段內(nèi)產(chǎn)生了較大的數(shù)據(jù)流量，容易出現(xiàn)訪問延遲、訪問無響應等問題。為了提高管理效率和更好的服務于電力用戶，一種措施是從云安全終端的內(nèi)部結(jié)構(gòu)著手，使用獨立的計算機架構(gòu)ICA協(xié)議，通過數(shù)據(jù)分流、批次傳輸?shù)哪Ｊ?，降低對網(wǎng)絡帶寬產(chǎn)生的沖擊壓力；另一種措施則是從外部著手，嘗試運用5G技術(shù)，提高網(wǎng)絡傳輸容量和效率，解決網(wǎng)絡擁堵問題。

3.2系統(tǒng)兼容性進一步增強

隨著電力服務項目的增多，以及電力系統(tǒng)結(jié)構(gòu)的復雜化、電力設備的多樣化，不同設備、系統(tǒng)之間無法做到完美兼容的問題，也成為制約電力信息化管理的重要阻礙。尤其是業(yè)務系統(tǒng)所需的外接設備，如POS機、抄表機、指紋儀、IC卡、電力操作指導書PDA等系統(tǒng)的兼容性有待提高。在云安全終端的發(fā)展中，要進一步完善技術(shù)標準，對PC端應用軟件進行虛擬化操作時，應執(zhí)行統(tǒng)一的標準，實現(xiàn)不同系統(tǒng)之間，電力數(shù)據(jù)的無障礙、高效率傳輸，提高數(shù)據(jù)的時效性和實用性。

3.3安全規(guī)范進一步完善

云安全終端相比于傳統(tǒng)的PC終端，在涉密數(shù)據(jù)的安全保護方面優(yōu)勢顯著。但是我們也必須認識到，云安全終端也并不能保證數(shù)據(jù)的絕對安全，只有不斷的開展保密技術(shù)研究，持續(xù)的完善安全規(guī)范標準，才能讓云安全終端具有更強的病毒抵御能力和數(shù)據(jù)保護能力。今后要繼續(xù)在數(shù)據(jù)加密算法、數(shù)字簽名認證等方面加強研究，支持云安全終端保密性能的進一步提升。

云安全服務的主要功能范文第2篇

隨著科學技術(shù)日新月異的進步，尤其是計算機技術(shù)的飛速發(fā)展，使各行各業(yè)在計算機技術(shù)應用方面得到了廣泛的普及和使用。圖書信息管理系統(tǒng)也在計算機技術(shù)的基礎上發(fā)展和豐富起來，將傳統(tǒng)的圖書管理方式徹底的解脫出來，提高效率，減輕以往繁忙的工作，減小出錯的概率。實現(xiàn)圖書管理信息系統(tǒng)，既能夠提高工作效率，又可以提高工作水平。具有手工管理所無法比擬的優(yōu)點。例如：檢索迅速、查找方便、可靠性高、存儲量大、保密性好、壽命長、成本低等。這些優(yōu)點能夠極大地提高圖書信息管理的效率，使圖書管理工作規(guī)范化，系統(tǒng)化，程序化，避免圖書管理的隨意性，提高信息處理的速度和準確性，能夠及時，準確，有效的查詢和修改圖書情況。

當前云計算技術(shù)取得較快的發(fā)展，利用云計算技術(shù)建設安全、高效、經(jīng)濟、低碳的數(shù)字圖書館，為讀者提供滿意的云個性化閱讀服務已成為數(shù)字圖書館未來發(fā)展的主流與方向。

圖書信息管理系統(tǒng)總體框架

1.組成部分

圖書管理系統(tǒng)可以分為前臺顯示界面模塊、信息綜合管理模塊以及后臺數(shù)據(jù)庫模塊三個部分。

其中前臺顯示界面的主要工作就是顯示圖書的信息，借閱情況，查詢清空等問題，主要是向大家展示必要的信息。

綜合信息管理模塊作為核心，其主要功能就是實現(xiàn)圖書的查詢、借書、還書、圖書入庫以及清除庫存等。這部分將在接下來的1.2節(jié)進行說明。

后臺數(shù)據(jù)庫模塊主要是為了實現(xiàn)上述功能而進行的數(shù)據(jù)信息的記錄、儲存與交換的。

2.系統(tǒng)核心功能模塊

圖書信息管理系統(tǒng)的核心模塊即是圖書綜合信息管理模塊，該模塊具體可包括三個次級模塊組成：借還操作模塊、信息管理模塊、信息瀏覽模塊，如圖1所示。每個模塊之間既相對獨立又相互聯(lián)系，構(gòu)成一個有機的整體。

3.數(shù)據(jù)庫設計

數(shù)據(jù)庫在一個信息管理系統(tǒng)中占有非常重要的地位，數(shù)據(jù)庫結(jié)構(gòu)設計的好壞將直接影響系統(tǒng)的效率和數(shù)據(jù)的完整及一致性。數(shù)據(jù)庫設計是建立數(shù)據(jù)庫及其應用系統(tǒng)的核心和基礎，它要求對于指定的應用環(huán)境，構(gòu)造出適宜的數(shù)據(jù)庫模式，建立起數(shù)據(jù)庫應用系統(tǒng)，并使系統(tǒng)能有效地存儲數(shù)據(jù)，滿足用戶的各種應用需求。規(guī)范化數(shù)據(jù)庫設計步驟包括需求分析、概念結(jié)構(gòu)設計、邏輯結(jié)構(gòu)設計、數(shù)據(jù)庫物理設計、數(shù)據(jù)庫實施運行和維護。需求分析階段主要是分析用戶的要求，收集基礎數(shù)據(jù)，它是下一步設計的基礎。概念結(jié)構(gòu)設計是整個數(shù)據(jù)庫設計的關鍵，在此階段要逐步形成數(shù)據(jù)庫的各級模型，其中主要的是E-R模型。E-R模型（Entity-Relationship Data Model）即實體聯(lián)系模型，它用簡單的圖形反映現(xiàn)實世界中存在的數(shù)據(jù)及其相互關系，面向現(xiàn)實世界。邏輯設計階段的任務是把得到的E-R模型轉(zhuǎn)換某個具體數(shù)據(jù)庫所支持的數(shù)據(jù)模型。物理設計的目標是提高數(shù)據(jù)庫的性能、節(jié)省存儲量，例如文件的存放格式，緩沖區(qū)的管理等等，在關系型數(shù)據(jù)庫系統(tǒng)中，這些都是由操作系統(tǒng)來管理。數(shù)據(jù)庫的實施與維護是在前述各階段完成后著手建立一個具體的數(shù)據(jù)庫，然后載入數(shù)據(jù)。

2.云計算原理

云計算是一種互聯(lián)網(wǎng)上的資源利用新方式，可為大眾用戶依托互聯(lián)網(wǎng)上異構(gòu)、自治的服務進行按需即取的計算。云計算通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務，企業(yè)或用戶數(shù)據(jù)中心的運行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應用上，根據(jù)需求訪問計算機和存儲系統(tǒng)。云計算可以認為包括以下幾個層次的服務：基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）。云計算的應用包含這樣的一種思想，把力量聯(lián)合起來，給其中的每一個成員使用。從最根本的意義來說，云計算就是利用互聯(lián)網(wǎng)上的軟件和數(shù)據(jù)的能力。在圖書館復雜的大量信息處理與服務中，長遠來說正好可以應用這種思想和能力。

圖書信息管理云平臺架構(gòu)設想

1.技術(shù)架構(gòu)

高校圖書信息管理云平臺基于云計算架構(gòu)體系、云安全架構(gòu)體系進行設計，包括基礎設施即服務、平臺即服務、軟件即服務以及云安全、云管理等幾個部分組成。如圖2所示。

其中，基礎設施即服務：它是圖書館內(nèi)部各相關科室部門或高校各院系圖書資料室云平臺使用者的技術(shù)支撐；平臺即服務：它是為用戶進行使用操作的平臺提供的技術(shù)與服務支撐；軟件即服務：它是以服務方式提供給圖書館各部門及用戶的應用軟件。

3.物理架構(gòu)

高校圖書信息管理云平臺的物理架構(gòu)可采用集中與分散結(jié)合的方式進行部署。采用高性能服務器或小型機布置在圖書館專門機房，集中管理；各終端機或應用服務器布置在各閱覽室、查詢點，或布置在各二級院系的資料室里，數(shù)據(jù)傳輸共享，共同構(gòu)成整個高校圖書信息管理的物理架構(gòu)體系。

云計算開發(fā)平臺的選擇與實現(xiàn)

云計算開發(fā)平臺有很多種，比如基礎設施即服務（IaaS）的有OpenStack、Eucalyptus、CloudStack、OpenNebula等，平臺即服務（PaaS）的有CloudFoundry、OpenShift等，皆可供選擇。語言編寫上可使用Python、Ruby、Java、C++、腳本語言等進行編寫。此外，虛擬化技術(shù)對于云計算來說是很重要的，IaaS的基礎就是虛擬化技術(shù)，更具體來說就是Xen和KVM。云計算除了虛擬化技術(shù)之外，存儲技術(shù)，尤其是分布式存儲也是相當重要的。云計算的技術(shù)問題都可以歸根為操作系統(tǒng)的技術(shù)問題。

云安全服務的主要功能范文第3篇

【 關鍵詞 】 信息安全等級保護；等級測評；物聯(lián)網(wǎng)；云計算

Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation

Zhao Liang

（Sinopec Shandong Dongying Oil Company ShandongJinan 257000）

【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies， such as cloud computing， Internet of Things， tri-networks integration， brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development， represented by cloud computing and Internet of Things， in order to promote the development of test method research， and provide theoretical basis to further research.

【 Keywords 】 classified protection of information security； multilevel security database； cloud computing； internet of things

1 引言

社會信息化技術(shù)和國民經(jīng)濟的飛速發(fā)展，使得信息系統(tǒng)與網(wǎng)絡的基礎性與全面性作用逐漸增強，而由此帶來的信息安全問題也變得突出，并逐漸成為關系國家安全的重大戰(zhàn)略問題。信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度，而等級測評作為檢驗和評價信息系統(tǒng)安全保護水平的重要方法，是信息安全等級保護實施過程中的重要環(huán)節(jié)。近幾年，越來越多的研究者致力于等級測評技術(shù)、方法和工具的研究與開發(fā)，并取得了一定的成果。但越來越多網(wǎng)絡新技術(shù)的出現(xiàn)，在開拓等級保護與等級測評應用領域的同時，也對傳統(tǒng)等級測評技術(shù)帶來了一定的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計算兩種新的技術(shù)應用，并探討了其對等級測評技術(shù)產(chǎn)生的影響，旨在推動等級測評技術(shù)的發(fā)展，為其深入研究提供理論參考。

2 安全等級保護與等級測評

信息安全等級保護是指根據(jù)應用業(yè)務重要程度及其實際安全需求，通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準，對信息安全實行等級化保護和等級化管理，以保障信息安全和系統(tǒng)安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。等級保護是幫助用戶分析、評定信息系統(tǒng)的等級，在后期的工作中根據(jù)不同的等級進行不同級別的安全防護，

在我國的信息安全等級保護制度中，等級保護工作主要分為五個環(huán)節(jié)：定級、備案、建設整改、等級測評和監(jiān)督檢查。

等級測評是指第三方等級測評機構(gòu)根據(jù)等級保護的管理規(guī)范和技術(shù)標準要求，針對已經(jīng)實施了安全等級保護的信息系統(tǒng)進行的符合性測評活動，以確保信息系統(tǒng)的安全性保護措施符合對應等級的基本安全要求，是信息安全等級保護工作的重要環(huán)節(jié)，既可以在信息系統(tǒng)安全建設完成后進行，也可以在信息系統(tǒng)的運行維護過程中進行?！禛B/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》作為等級測評的基礎性標準，目前主要基于其進行符合性判定。

3 物聯(lián)網(wǎng)技術(shù)與等級測評

3.1 物聯(lián)網(wǎng)技術(shù)簡介

物聯(lián)網(wǎng)（Internet of Things， IOT），顧名思義，就是“物物相連的網(wǎng)絡”，是指通過各種信息傳感設備（如傳感器、射頻識別技術(shù)、全球定位系統(tǒng)、紅外感應器、激光掃描器等各種裝置與技術(shù)），實時采集任何需要監(jiān)控、連接、互動的物體或過程，采集其聲、光、熱、電、力學、化學等各種需要的信息，與互聯(lián)網(wǎng)結(jié)合形成的一個巨大網(wǎng)絡。物聯(lián)網(wǎng)作為新一代信息技術(shù)的重要組成部分，其目的是實現(xiàn)物與物、物與人，所有的物品與網(wǎng)絡的連接，方便識別、管理和控制。

物聯(lián)網(wǎng)被稱為繼計算機、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。業(yè)內(nèi)專家認為，物聯(lián)網(wǎng)不僅可以大大提高經(jīng)濟效益，有效節(jié)約成本，還可以為全球經(jīng)濟的復蘇提供技術(shù)動力支持。目前，美國、歐盟、韓國等都在加大力度深入研究物聯(lián)網(wǎng)。我國也正在高度關注、重視物聯(lián)網(wǎng)的研究，工業(yè)和信息化部會同有關部門，在新一代信息技術(shù)方面正在開展研究，以形成支持新一代信息技術(shù)發(fā)展的政策措施。

與傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)有其明顯的特征：（1）它是各種感知技術(shù)的廣泛應用；（2）以互聯(lián)網(wǎng)為基礎；（3）其本身具有智能處理的能力，能對物體實施智能控制。物聯(lián)網(wǎng)用途廣泛，主要應用領域有智能家居、智能醫(yī)療、智能環(huán)保、智能交通、智能農(nóng)業(yè)。

3.2 物聯(lián)網(wǎng)對等級測評技術(shù)的影響

物聯(lián)網(wǎng)技術(shù)的推廣和應用，一方面將顯著提高經(jīng)濟和社會運行效率，另一方面也對國家、社會、企業(yè)、公民的信息安全和隱私保護問題提出了嚴峻的挑戰(zhàn)，其開放性的特點與信息安全理念背道而馳，對信息安全等級測評的工作方法及測評范圍產(chǎn)生了較大的影響。主要體現(xiàn)在幾個方面。

（1） 信號易擾：雖然物聯(lián)網(wǎng)能夠智能化的處理一些突發(fā)事件，不需要人為干涉，但傳感設備都是安裝在物品上的，且其信號很容易收到干擾，因此很可能導致物品的損失。此外，如果國家某些重要機構(gòu)如金融機構(gòu)依賴物聯(lián)網(wǎng)，也存在信號擾導致重要信息丟失的隱患。這樣如何評估物聯(lián)網(wǎng)技術(shù)的安全性及穩(wěn)定性成為等級測評中的難題。

（2） 針對性入侵技術(shù)：物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的關系，使得互聯(lián)網(wǎng)上的安全隱患同樣也會對物聯(lián)網(wǎng)造成危害。物聯(lián)網(wǎng)上傳播的黑客、病毒和惡意軟件等進行的惡意操作會侵害物品，進一步侵犯用戶的隱私權(quán)。尤其是對一些敏感物品如銀行卡、身份證等物品的惡意掌控，將造成不堪設想的后果。因此，在對物聯(lián)網(wǎng)進行安全保護以及等級測評過程中，不僅要考慮到物聯(lián)網(wǎng)無線網(wǎng)絡的防惡意入侵能力，更要考慮互聯(lián)網(wǎng)傳統(tǒng)的入侵技術(shù)。

（3） 通訊安全：物聯(lián)網(wǎng)與3G手機的結(jié)合，在很大程度上方便了人們的生活。然而，移動通訊設備本身存在的安全問題也會對物聯(lián)網(wǎng)造成影響。移動通信設備存在許多安全漏洞，黑客很有可能通過移動設備的漏洞竊取物聯(lián)網(wǎng)內(nèi)部的各種信息，從而帶來安全隱患。而且移動設備的便攜性也使得其很容易丟失，若被不法分子獲得，則很容易造成用戶敏感信息的泄露。因此，在對物聯(lián)網(wǎng)進行等級測評的過程中，還要考慮到通信終端及通信過程的保密性。

總之，在考慮物聯(lián)網(wǎng)的等級保護與等級測評過程中，要以構(gòu)建物聯(lián)網(wǎng)安全體系框架為目標，在充分理解物聯(lián)網(wǎng)的結(jié)構(gòu)、技術(shù)和應用模式的基礎上，深入分析物聯(lián)網(wǎng)設備、網(wǎng)絡、信息和管理等各層面面臨的安全威脅和風險，梳理物聯(lián)網(wǎng)安全的主要問題，明確物聯(lián)網(wǎng)安全需求（“物”的真實性、“聯(lián)”的完整性、“網(wǎng)”的健壯性），并針對各項安全需求，研究保障物聯(lián)網(wǎng)安全的關鍵技術(shù)（低能耗密碼算法設計技術(shù)、海量信息標識技術(shù)、物聯(lián)網(wǎng)設備管理技術(shù)、物聯(lián)網(wǎng)密鑰管理技術(shù)、動態(tài)安全策略控制技術(shù)、物聯(lián)網(wǎng)安全等級保護技術(shù)、傳感設備物理安全防護技術(shù)），提出物聯(lián)網(wǎng)安全目標以及技術(shù)體系、承載裝備體系、標準規(guī)范體系和管理體系框架，給出物聯(lián)網(wǎng)安全體系頂層設計思路、建設任務和應對措施，為全面建設物聯(lián)網(wǎng)安全體系奠定必要的基礎。

4 計算與等級測評

4.1 云計算技術(shù)簡介

作為一種新興的共享基礎架構(gòu)的網(wǎng)絡應用模式，云計算（Cloud Computing）越來越受到研究者的關注。云計算的概念最早由IBM提出，是傳統(tǒng)計算機技術(shù)和網(wǎng)絡技術(shù)發(fā)展融合的產(chǎn)物，旨在通過網(wǎng)絡把多個成本相對較低的計算機實體整合成一個具有強大計算能力的系統(tǒng)，并借助各種商業(yè)模式把強大的計算能力分布給終端用戶。其核心思想是使用大規(guī)模的數(shù)據(jù)中心和功能強勁的服務器運行網(wǎng)絡應用程序、提供網(wǎng)絡服務，使得任何一個用戶都能輕松訪問應用程序。這種特殊的應用模式，使得云計算具有大規(guī)模、服務虛擬化、通用性、高可靠性、高擴展性等特點。

云計算作為一種新的概念和應用模式，研究尚未成熟，還存在若干制約其發(fā)展的問題，包括服務的可靠性、標準化問題、安全性問題、數(shù)據(jù)傳輸瓶頸以及信譽和法律危機。其中云安全問題是目前發(fā)展云計算首要解決的問題之一。

4.2 云計算對等級測評技術(shù)的影響

云計算平臺在為用戶提供服務的同時，仍不可避免的面臨嚴峻的安全考驗。由于其用戶、信息資源的高度集中，帶來的安全事件后果與風險較傳統(tǒng)應用高出很多。據(jù)IDC在2009年底的一項調(diào)查報告顯示，當前云計算面臨的三大市場挑戰(zhàn)分別為安全性、穩(wěn)定性和性能表現(xiàn)。由此可見，解決云計算的安全問題尤為迫切。云計算面臨的安全問題及其對等級保護和等級測評造成的影響主要有幾個方面。

（1） 身份與權(quán)限控制：大數(shù)用戶對于云計算缺乏信心，其中一個很大原因是對于云模式下的使用和管理權(quán)限有顧慮。在復雜、虛擬的環(huán)境下，如何有效保證數(shù)據(jù)與應用依然清晰可控，這既是用戶的問題，也是云服務提供商的問題。因此，身份與權(quán)限控制解決方案成為云安全的核心問題之一，同樣的，傳統(tǒng)等級測評中針對身份認證和權(quán)限控制的相關技術(shù)與方法也不適用于這種虛擬、復雜的應用環(huán)境，需要開發(fā)專用的測試技術(shù)；

（3）計算層并行計算的干擾：計算層的主要功能是為整個云計算提供高效、靈活、高強度的計算服務，但也面臨一定的問題，主要有計算性能的不可靠性，即資源競爭造成的性能干擾，云計算主要采用并行計算間性能隔離機制來解決此問題。因此在等級測評中，需要開發(fā)新的測試技術(shù)和方法來評估并行計算間的干擾問題。

云計算給我們帶來創(chuàng)新和變革的同時，對安全問題與等級測評技術(shù)也提出了更高的要求。在云計算環(huán)境下，無論是使用云服務的用戶，還是云服務提供商，安全問題都是第一大問題。研究適用于云計算應用的等級測評技術(shù)，將極大的推動云計算領域的發(fā)展。

5 結(jié)束語

隨著各行各業(yè)對信息安全等級保護工作的關注和重視，等級保護和等級測評工作已逐漸成為制度化、規(guī)范化的研究課題。許多新技術(shù)如云計算、物聯(lián)網(wǎng)、三網(wǎng)融合等的推廣應用在帶來機遇的同時，也給等級保護乃至整個信息安全帶來了新的挑戰(zhàn)。本文分別介紹了物聯(lián)網(wǎng)和云計算兩種新的技術(shù)應用，并探討了其對等級測評技術(shù)產(chǎn)生的影響，旨在推動等級測評技術(shù)的發(fā)展，為其深入研究提供理論參考。

參考文獻

[1] 公通字[2004]66號 關于信息安全等級保護工作的實施意見.

[2] GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求.

[3] 楊磊，郭志博. 信息安全等級保護的等級測評. 中國人民公安大學學報（自然科學版），No. 1 2007.

[4] 劉忠寶. 物聯(lián)網(wǎng)技術(shù)應用與研究. 信息與電腦，2010年第10期.

[5] 郝文江，武捷. 物聯(lián)網(wǎng)技術(shù)安全問題探析. 實踐探究，2010.

[6] 王斐. 淺談信息化的新浪潮――云計算. 科技創(chuàng)新導報，2010 No.30

[7] Jon Brodkin. Gartner： Seven cloud-computing Security risks[EB/OL]. 2008，07.http：///d/.

[8] 陳丹偉，黃秀麗，任勛益. 云計算及安全分析. 計算機技術(shù)與發(fā)展，2010 第2期.

[9] 任偉.物聯(lián)網(wǎng)安全架構(gòu)與技術(shù)路線研究.信息網(wǎng)絡安全，2012.5.

云安全服務的主要功能范文第4篇

【 關鍵詞 】 工業(yè)控制系統(tǒng)；基礎設施安全；安全隔離網(wǎng)關；邊界防護

1 引言

“兩化”融合的推進和以太網(wǎng)技術(shù)在工業(yè)控制系統(tǒng)中的大量應用，引發(fā)的病毒和木馬對工業(yè)控制系統(tǒng)的攻擊事件頻發(fā)，直接影響公共基礎設施的安全，其造成的損失可能非常巨大，甚至不可估量。而在工業(yè)控制系統(tǒng)中，工控網(wǎng)絡管理和維護存在著特殊性，不同設備廠家使用不同的通信協(xié)議/規(guī)約，不同的行業(yè)對系統(tǒng)網(wǎng)絡層次設計要求也各不相同，直接導致商用IT網(wǎng)絡的安全技術(shù)無法適應工業(yè)控制系統(tǒng)。

2 國內(nèi)工控安全現(xiàn)狀

2.1 信息化建設的趨勢

過去10年間，世界范圍內(nèi)的過程控制系統(tǒng)（DCS/PLC/PCS/RTU等）及SCADA系統(tǒng)廣泛采用信息技術(shù)，Windows、Ethernet、現(xiàn)場總線技術(shù)、OPC 等技術(shù)的應用使工業(yè)設備接口越來越開放，企業(yè)信息化讓控制系統(tǒng)及SCADA系統(tǒng)等不再與外界隔離。但是，越來越多的案例表明，來自商業(yè)網(wǎng)絡、因特網(wǎng)、移動U盤、維修人員筆記本電腦接入以及其它因素導致的網(wǎng)絡安全問題正逐漸在控制系統(tǒng)及SCADA系統(tǒng)中擴散，直接影響了工業(yè)穩(wěn)定生產(chǎn)及人身安全，對基礎設備造成破壞。

2.2 以太網(wǎng)及協(xié)議的普及

目前，市場上具有以太網(wǎng)接口和TCP/IP協(xié)議的工控設備很多。以太網(wǎng)技術(shù)的高速發(fā)展及它的80%的市場占有率和現(xiàn)場總線的明顯缺陷，促使工控領域的各大廠商紛紛研發(fā)出適合自己工控產(chǎn)品且兼容性強的工業(yè)以太網(wǎng)。其中，應用較為廣泛的工業(yè)以太網(wǎng)之一是德國西門子公司研發(fā)的PROFINET工業(yè)以太網(wǎng)。

施耐德電氣公司推出了一系列完整、以TCP/IP 以太網(wǎng)為基礎、對用戶高度友好的服務，專門用于工業(yè)控制領域。自1979 年以來， Modbus 就已成為工業(yè)領域串行鏈路協(xié)議方面的事實標準。它已經(jīng)在數(shù)以百萬計的自動化設備中作為通信協(xié)議得到了應用。Modbus 已經(jīng)得到了國際標準IEC 61158 的認可，同時也成為了“中國國家標準”。通過Modbus 消息可以在TCP/IP 以太網(wǎng)和互聯(lián)網(wǎng)上交換自動化數(shù)據(jù)，以及其它各種應用（ 文件交換、網(wǎng)頁、電子郵件等等）。

如今，在同一個網(wǎng)絡上，無需任何接口就可以有機地融合信息技術(shù)與自動化已成為現(xiàn)實。

2.3 國產(chǎn)化程度

隨著工業(yè)控制系統(tǒng)、網(wǎng)絡、協(xié)議的不斷發(fā)展和升級，不同廠商對于以太網(wǎng)技術(shù)也在加速推廣，而國內(nèi)80%以上的控制系統(tǒng)由國外品牌和廠商所占據(jù)，核心的技術(shù)和元件均掌握在他人手里，這給國內(nèi)的工業(yè)網(wǎng)絡安全形勢，造成了極大的威脅和隱患。

目前，在國內(nèi)工控領域應用比較多的是通用網(wǎng)閘產(chǎn)品和工業(yè)安全隔離網(wǎng)關產(chǎn)品，用于工控企業(yè)控制網(wǎng)和辦公網(wǎng)的物理隔離和邊界防護。由于國內(nèi)重要控制系統(tǒng)有超過80%的系統(tǒng)都使用的是國外產(chǎn)品和技術(shù)，這些技術(shù)和產(chǎn)品的漏洞不可控，將給控制系統(tǒng)留下巨大的安全隱患。而國內(nèi)通用IT網(wǎng)絡與工業(yè)控制網(wǎng)絡存在巨大差異，通用IT的安全解決方案無法真正滿足工控領域的需求，工業(yè)控制系統(tǒng)的安全威脅，一觸即發(fā)。

2.4 軟、硬件的漏洞

國家信息安全漏洞共享平臺（China National Vulnerability Database，簡稱CNVD），在2011年CNVD收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京三維力控和北京亞控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關企業(yè)雖然積極配合CNCERT處理了安全漏洞，但這些漏洞可能被黑客或惡意軟件利用。

由于早期的工業(yè)控制都是相對獨立的網(wǎng)絡環(huán)境，在產(chǎn)品設計和網(wǎng)絡部署時，只考慮了功能性和穩(wěn)定性，對安全沒有考慮。經(jīng)過測試，很多支持以太網(wǎng)的控制器都存在比較嚴重的漏洞和安全隱患。

2.5 病毒攻擊的發(fā)展

國外典型工業(yè)控制系統(tǒng)入侵事件。

* 2007 年，攻擊者入侵加拿大的一個水利SCADA 控制系統(tǒng)，通過安裝惡意軟件破壞了用于取水調(diào)度的控制計算機。

* 2008 年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導致4 節(jié)車廂脫軌。

* 2010 年，“網(wǎng)絡超級武器”Stuxnet 病毒通過針對性的入侵ICS 系統(tǒng)，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營。

* 2011 年，黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。

* 2011年，Stuxnet 變種 Duqu， 有關“Duqu”病毒的消息是在10月出現(xiàn)的。 “Duqu”病毒似乎專為收集數(shù)據(jù)而來，其目的是使未來發(fā)動網(wǎng)絡襲擊變得更加容易。這種新病毒的目的不是破壞工業(yè)控制系統(tǒng)，而是獲得遠距離的進入能力。

* 2012年，肆虐中東的計算機病毒“火焰”日前現(xiàn)身美國網(wǎng)絡空間，甚至攻破了微軟公司的安全系統(tǒng)。

3 工控安全與通用IT安全的區(qū)別

3.1 協(xié)議區(qū)別

比如OPC，因為其基于DCOM技術(shù)，在進行數(shù)據(jù)通訊時，為了響應請求，操作系統(tǒng)就會為開放從1024到5000動態(tài)端口使用，所以IT部門在使用普通商用防火墻時根本沒有任何意義。對于一般防火墻更無法進行剖析，而使OPC客戶端可以輕易對OPC服務器數(shù)據(jù)項進行讀寫，一旦黑客對客戶端電腦取得控制權(quán)，控制系統(tǒng)就面臨很大風險。

黑客可以很輕松的獲得系統(tǒng)所開放的端口，獲取/偽裝管理員身份，對系統(tǒng)進行惡意破壞，影響企業(yè)的正常生產(chǎn)運營。

3.2 成本及影響對照（如圖1所示）

4 工控安全防御方法建議

4.1 白名單機制

白名單主動防御技術(shù)是通過提前計劃好的協(xié)議規(guī)則來限制網(wǎng)絡數(shù)據(jù)的交換，在控制網(wǎng)到信息網(wǎng)之間進行動態(tài)行為判斷。通過對約定協(xié)議的特征分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運行和傳播。

“白名單”安全機制是一種安全管理規(guī)范，不僅應用于防火墻軟件的設置規(guī)則，也是在實際管理中要遵循的原則，例如在對設備和計算機進行實際操作時，需要使用指定的筆記本、U盤等，管理人員只信任可識別的身份，未經(jīng)授權(quán)的行為將被拒絕。

4.2 物理隔離

網(wǎng)絡物理隔離類技術(shù)誕生較早，最初是用來解決網(wǎng)絡與非網(wǎng)絡之間的安全數(shù)據(jù)交換問題。后來，網(wǎng)絡物理隔離由于其高安全性，開始被廣泛應用于政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務、海關、民航、社保等多個行業(yè)部門，其主要功能支持：文件數(shù)據(jù)交換、http訪問、www服務、ftp訪問、收發(fā)電子郵件、關系數(shù)據(jù)庫同步以及TCP/UDP定制等。

在工業(yè)控制領域，網(wǎng)絡物理隔離也開始得到應用和推廣。通常采用“2+1”的三模塊架構(gòu)，內(nèi)置雙主機系統(tǒng)，隔離單元通過總線技術(shù)建立安全通道以安全地實現(xiàn)快速數(shù)據(jù)交換。網(wǎng)絡物理隔離提供的應用專門針對控制網(wǎng)絡的安全防護，因此它只提供控制網(wǎng)絡常用通信功能如OPC、Modbus等，而不提供通用互聯(lián)網(wǎng)功能，因此更適合于控制網(wǎng)絡與辦公網(wǎng)絡，以及控制網(wǎng)絡各獨立子系統(tǒng)之間的隔離。其主要特點有幾種：

* 獨立的運算單元和存儲單元，各自運行獨立的操作系統(tǒng)和應用系統(tǒng)；

* 安全隔離區(qū)采用私有加密的數(shù)據(jù)交互技術(shù)，數(shù)據(jù)交換不依靠TCP/IP協(xié)議；

* 工業(yè)通信協(xié)議，OPC/MODBUS/60870-5-104/等；

* 與信息層上傳數(shù)據(jù)時，可實現(xiàn)斷線緩存、續(xù)傳；

* 實時數(shù)據(jù)交換，延時時間小于1ms；

* 訪問控制；

* 身份認證；

* 安全審計與日志管理。

4.3 工業(yè)協(xié)議深度解析

商用防火墻是根據(jù)辦公網(wǎng)絡安全要求設計的一種防火墻，它可以對辦公網(wǎng)絡中傳輸使用的大部分通用網(wǎng)絡協(xié)議（如http、ftp等）進行完全包過濾，能給辦公網(wǎng)絡提供有效的保護。但是，對于工業(yè)網(wǎng)絡上使用的工業(yè)通信協(xié)議（如Modbus、OPC等應用層協(xié)議）的網(wǎng)絡包，商用防火墻只能做網(wǎng)絡層和傳輸層的淺層包過濾，它無法對網(wǎng)絡包中應用層數(shù)據(jù)進行深層檢查，因此，商用防火墻有一定的局限性，無法滿足工業(yè)網(wǎng)絡的要求。因此，自動化行業(yè)內(nèi)迫切需要一款專用于工業(yè)網(wǎng)絡的工業(yè)防火墻，可以針對工業(yè)通信協(xié)議進行有效的過濾檢查，以保證工業(yè)控制系統(tǒng)的運行安全。

4.4 漏洞掃描

工信部在“451”號文以后，開展了全國各地的工控系統(tǒng)安全調(diào)研活動，對文中所涉及到的各行業(yè)發(fā)放了調(diào)查問卷。在實際工作中，我們了解到，各地工信部、委和央企信息中心在落實工作的過程中，缺少對工控系統(tǒng)的了解和培訓，不敢輕易對工控系統(tǒng)進行調(diào)查、檢測等操作。因此針對工控領域的第三方的權(quán)限設備和技術(shù)，將有效解決該問題。

4.5 云管理服務平臺

構(gòu)建滿足工業(yè)控制系統(tǒng)的全廠級風險識別模型，除了需要細化工業(yè)控制系統(tǒng)的風險因素，還需要建立基于工業(yè)控制系統(tǒng)的安全管理域，實施分等級的基線建設，兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。

安全管理私有云服務平臺的建立要求包括：

* 方便地對整個系統(tǒng)里所有安全設備模塊、控制器和工作站，進行部署、監(jiān)控和管理；

* 規(guī)則輔助生成，指導用戶方便快捷地從權(quán)限、授權(quán)管理報告中，創(chuàng)建防火墻的規(guī)則；

* 自動阻止并報告任何與系統(tǒng)流量不匹配的規(guī)則；

* 接收、處理和記錄由安全模塊所上傳的報警信息；

* 全網(wǎng)流量收集識別能力；

* 基于白名單的終端應用控制能力；

* 實時ICS 協(xié)議與內(nèi)容識別能力；

* 異常行為的仿真能力；

* 可視化配置、組態(tài)；

* 安全事件搜索、跟蹤和預處理能力。

5 結(jié)束語

隨著以太網(wǎng)技術(shù)在工業(yè)控制網(wǎng)絡的應用，以及國家對“兩化”整合的繼續(xù)推進，未來的工業(yè)控制系統(tǒng)將會融合更多的先進的信息安全技術(shù)，如可信計算、云安全等，信息安全成為關系政治穩(wěn)定、經(jīng)濟發(fā)展的重要因素，本文介紹了在工業(yè)控制系統(tǒng)安全中采用的技術(shù)手段和策略，與此同時，還需不斷加強對工業(yè)控制領域的整體安全部署，完善和提供整體的安全解決方案。

參考文獻

[1] DRAFT Guide to Industrial Control Systems （ICS） Security.

[2] 王聰.工業(yè)網(wǎng)絡安全（Security）.來源：e-works， 2012-3-8.

[3] 工業(yè)以太網(wǎng)在實際應用中安全對策解決方案.來源： ducuimei.

[4] 施耐德Connexium工業(yè)以太網(wǎng)產(chǎn)品目錄及參數(shù).

[5] 2011年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述 CNVD.

[6] 王孝良，崔保紅，李思其.關于工控系統(tǒng)信息安全的思考與建議. 信息網(wǎng)絡安全，2012.8.

[7] 劉威，李冬，孫波.工業(yè)控制系統(tǒng)安全分析.信息網(wǎng)絡安全，2012.8.

[8] 余勇，林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護體系研究.信息網(wǎng)絡安全，2012.5.