CN105282178A - 一种云计算安全技术平台 - Google Patents
一种云计算安全技术平台 Download PDFInfo
- Publication number
- CN105282178A CN105282178A CN201510842256.1A CN201510842256A CN105282178A CN 105282178 A CN105282178 A CN 105282178A CN 201510842256 A CN201510842256 A CN 201510842256A CN 105282178 A CN105282178 A CN 105282178A
- Authority
- CN
- China
- Prior art keywords
- security
- safety system
- module
- cloud computing
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明公开了一种云计算安全技术平台,涉及云计算领域,所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;本发明一种云计算安全技术平台在美国技术和标准研究院的五个关键特征的基础上阐述了一个全新的安全技术体系,本平台具有通用性好、可扩展性强、安全性高的特点。
Description
技术领域
本发明涉及云计算领域,特别涉及一种云计算安全技术平台。
背景技术
如今越来越丰富的市场数据,正在打消人们对于“云”概念的怀疑。越来越多的成功部署案例,表明云计算不再是漂浮在头顶上一团虚无缥缈的水气。目前,对云计算的定义和特征、应用等存在各种不同的看法和流派,较为公认的一个云计算描述是美国技术和标准研究院(NIST)的五个关键特征,即按需的自服务、宽带接入、虚拟池化的资源、快速弹性架构、可测量的服务。
随着云计算的部署和实施,云计算服务的提供者需要考虑一个亟待解决的问题,即如何在保障云计算平台自身安全的基础上,更好的为客户提供服务。本发明将针对这个问题,给出一种云计算安全技术平台,旨在为云计算平台安全技术体系的建设,提供一个有益的参考和借鉴。
发明内容
本发明所要解决的技术问题是提供一种云计算安全技术平台,以适应越来越多的云平台安全基础应用,为基于云平台的基础应用提供一套切实可行的安全防护体系。
为实现上述目的,本发明提供以下的技术方案:一种云计算安全技术平台,所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;
所述IaaS层安全系统涵盖了从机房设备到其中硬件平台的基础设施资源层面的安全,该系统实现了将资源抽象化及相反的功能,并交付连接到这些资源的物理或逻辑网络连接,IaaS层安全系统提供一组API,允许用户管理基础设施资源以及进行其它形式的交互;
所述PaaS层安全系统位于IaaS层安全系统之上,该系统用来与应用开发框架、中间件能力、数据库、消息和队列的功能集成,PaaS层安全系统中开发者可以在平台之上开发应用,开发的编程语言和工具由PaaS层安全系统支持提供;
所述SaaS层安全系统位于底层的IaaS层安全系统和PaaS层安全系统之上,SaaS层安全系统提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力;
所述共有安全系统对公共的数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理以及业务连续性安全进行管理。
优选的,所述IaaS层安全系统包括物理与环境安全模块、主机安全模块、网络安全模块、虚拟化安全模块、接口安全模块。
优选的,所述PaaS层安全系统包括接口安全模块、运行安全模块。
优选的,所述SaaS层安全系统包括应用安全模块。
优选的,所述共有安全系统包括数据安全模块、加密和密钥管理模块、身份识别和访问管理模块、安全事件管理模块、业务连续性模块。
采用以上技术方案的有益效果是:本发明一种云计算安全技术平台在美国技术和标准研究院的五个关键特征的基础上阐述了一个全新的安全技术体系,本平台具有通用性好、可扩展性强、安全性高的特点。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的描述。
图1是本发明一种云计算安全技术平台的应用图。
具体实施方式
下面结合附图详细说明本发明一种云计算安全技术平台的优选实施方式。
如图1所示,本发明一种云计算安全技术平台的具体实施方式,所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;
所述IaaS层安全系统涵盖了从机房设备到其中硬件平台的基础设施资源层面的安全,该系统实现了将资源抽象化及相反的功能,并交付连接到这些资源的物理或逻辑网络连接,IaaS层安全系统提供一组API,允许用户管理基础设施资源以及进行其它形式的交互;
所述PaaS层安全系统位于IaaS层安全系统之上,该系统用来与应用开发框架、中间件能力、数据库、消息和队列的功能集成,PaaS层安全系统中开发者可以在平台之上开发应用,开发的编程语言和工具由PaaS层安全系统支持提供;
所述SaaS层安全系统位于底层的IaaS层安全系统和PaaS层安全系统之上,SaaS层安全系统提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力;
所述共有安全系统对公共的数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理以及业务连续性安全进行管理。
所述IaaS层安全系统包括物理与环境安全模块、主机安全模块、网络安全模块、虚拟化安全模块、接口安全模块。
所述PaaS层安全系统包括接口安全模块、运行安全模块。
所述SaaS层安全系统包括应用安全模块。
所述共有安全系统包括数据安全模块、加密和密钥管理模块、身份识别和访问管理模块、安全事件管理模块、业务连续性模块。
所述IaaS层安全系统中,
物理与环境安全模块实现功能包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰的安全控制;
主机安全安全模块实现功能包括操作系统本身缺陷所带来的不安全因素、操作系统的安全配置问题、病毒对操作系统的威胁的安全控制;实现功能有身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码控制、资源控制,主要采取的措施和技术手段包括身份认证、主机安全审计、主机入侵保护、主机防病毒系统;
网络安全模块实现功能包括网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护的安全控制;主要安全措施和技术包括防火墙、IDS/IPS、网络安全审计系统、防病毒、防病毒网关、强身份认证。
虚拟化的安全模块实现功能包括虚拟技术本身的安全控制和虚拟化引入的新的安全控制;采用的相应技术措施有虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM监控、VM安全迁移;
接口安全模块实现功能包括接口的强用户认证、加密和访问控制的有效性、避免利用接口对内和对外的攻击、避免利用接口进行云服务的滥用的安全控制。
所述PaaS层安全系统中,运行安全模块实现功能包括对用户应用的安全审核、不同应用的监控、不同用户系统的隔离、安全审计的安全控制。
所述SaaS层安全系统中,应用安全模块实现功能是Web应用安全的安全控制;采用的技术防护措施有访问控制、配置加固、部署应用层防火墙。
所述共有安全层安全系统中,
数据安全模块实现功能包括在数据的创建、存储、使用、共享、归档、销毁阶段,都进行保护措施,保护措施包括数字版权管理、访问控制、数据加密、DLP、数据备份、数据销毁、安全审计技术手段来保障数据安全;
加密和密钥管理模块实现功能包括加密网络传输中的数据、加密静止数据、加密备份媒介中的数据、密钥存储的保护、密钥存储的访问控制、密钥的备份和回复;
身份识别和访问管理模块实现功能包括对身份识别和管理;
安全事件管理模块实现功能包括对安全事件进行集中管理,实现数据采集、关联分析、事件优先重要性分析、安全事件处理,从而可以更好的监测发现、评估安全事件,及时有效的对安全事件作出响应,启动适当的措施来预防和降低事件的影响,并从事件中恢复正常的云服务;
业务连续性模块实现功能包括业务连续性管理,制定相应的业务连续性规划,并且能够得以落实和实施,使得当出现灾难时,可以快速的恢复业务,继续为用户提供服务,采取的技术措施包括备份数据中心、网络冗余架构、抗拒绝服务攻击。
以上的仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (9)
1.一种云计算安全技术平台,其特征在于:所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;
所述IaaS层安全系统涵盖了从机房设备到其中硬件平台的基础设施资源层面的安全,该系统实现了将资源抽象化及相反的功能,并交付连接到这些资源的物理或逻辑网络连接,IaaS层安全系统提供一组API,允许用户管理基础设施资源以及进行其它形式的交互;
所述PaaS层安全系统位于IaaS层安全系统之上,该系统用来与应用开发框架、中间件能力、数据库、消息和队列的功能集成,PaaS层安全系统中开发者可以在平台之上开发应用,开发的编程语言和工具由PaaS层安全系统支持提供;
所述SaaS层安全系统位于底层的IaaS层安全系统和PaaS层安全系统之上,SaaS层安全系统提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力;
所述共有安全系统对公共的数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理以及业务连续性安全进行管理。
2.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述IaaS层安全系统包括物理与环境安全模块、主机安全模块、网络安全模块、虚拟化安全模块、接口安全模块。
3.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述PaaS层安全系统包括接口安全模块、运行安全模块。
4.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述SaaS层安全系统包括应用安全模块。
5.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述共有安全系统包括数据安全模块、加密和密钥管理模块、身份识别和访问管理模块、安全事件管理模块、业务连续性模块。
6.根据权利要求2所述的一种云计算安全技术平台,其特征在于:所述IaaS层安全系统中,
物理与环境安全模块实现功能包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰的安全控制;
主机安全安全模块实现功能包括操作系统本身缺陷所带来的不安全因素、操作系统的安全配置问题、病毒对操作系统的威胁的安全控制;实现功能有身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码控制、资源控制,主要采取的措施和技术手段包括身份认证、主机安全审计、主机入侵保护、主机防病毒系统;
网络安全模块实现功能包括网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护的安全控制;主要安全措施和技术包括防火墙、IDS/IPS、网络安全审计系统、防病毒、防病毒网关、强身份认证;
虚拟化的安全模块实现功能包括虚拟技术本身的安全控制和虚拟化引入的新的安全控制;采用的相应技术措施有虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM监控、VM安全迁移;
接口安全模块实现功能包括接口的强用户认证、加密和访问控制的有效性、避免利用接口对内和对外的攻击、避免利用接口进行云服务的滥用的安全控制。
7.根据权利要求3所述的一种云计算安全技术平台,其特征在于:所述PaaS层安全系统中,运行安全模块实现功能包括对用户应用的安全审核、不同应用的监控、不同用户系统的隔离、安全审计的安全控制。
8.根据权利要求4所述的一种云计算安全技术平台,其特征在于:所述SaaS层安全系统中,应用安全模块实现功能是Web应用安全的安全控制;采用的技术防护措施有访问控制、配置加固、部署应用层防火墙。
9.根据权利要求5所述的一种云计算安全技术平台,其特征在于:所述共有安全层安全系统中,
数据安全模块实现功能包括在数据的创建、存储、使用、共享、归档、销毁阶段,都进行保护措施,保护措施包括数字版权管理、访问控制、数据加密、DLP、数据备份、数据销毁、安全审计技术手段来保障数据安全;
加密和密钥管理模块实现功能包括加密网络传输中的数据、加密静止数据、加密备份媒介中的数据、密钥存储的保护、密钥存储的访问控制、密钥的备份和回复;
身份识别和访问管理模块实现功能包括对身份识别和管理;
安全事件管理模块实现功能包括对安全事件进行集中管理,实现数据采集、关联分析、事件优先重要性分析、安全事件处理,从而可以更好的监测发现、评估安全事件,及时有效的对安全事件作出响应,启动适当的措施来预防和降低事件的影响,并从事件中恢复正常的云服务;
业务连续性模块实现功能包括业务连续性管理,制定相应的业务连续性规划,并且能够得以落实和实施,使得当出现灾难时,可以快速的恢复业务,继续为用户提供服务,采取的技术措施包括备份数据中心、网络冗余架构、抗拒绝服务攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510842256.1A CN105282178A (zh) | 2015-11-29 | 2015-11-29 | 一种云计算安全技术平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510842256.1A CN105282178A (zh) | 2015-11-29 | 2015-11-29 | 一种云计算安全技术平台 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105282178A true CN105282178A (zh) | 2016-01-27 |
Family
ID=55150504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510842256.1A Pending CN105282178A (zh) | 2015-11-29 | 2015-11-29 | 一种云计算安全技术平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105282178A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107483530A (zh) * | 2017-06-14 | 2017-12-15 | 广州宏和网络科技有限公司 | 一种基于云计算和物联网的智慧城市系统及其实现方法 |
CN108243040A (zh) * | 2016-12-23 | 2018-07-03 | 南京联成科技发展股份有限公司 | 一种云计算的身份认证和访问管理安全服务的实现架构 |
CN108494880A (zh) * | 2018-04-18 | 2018-09-04 | 云家园网络技术有限公司 | 基于大规模数据中心管理的通信方法及系统 |
CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
WO2019095374A1 (en) * | 2017-11-20 | 2019-05-23 | Nokia Shanghai Bell Co., Ltd. | Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment |
CN110087238A (zh) * | 2019-05-13 | 2019-08-02 | 商洛学院 | 一种移动电子设备信息安全保护系统 |
CN111600889A (zh) * | 2020-05-18 | 2020-08-28 | 广东电网有限责任公司惠州供电局 | 一种云计算网络安全服务方法 |
CN112565279A (zh) * | 2020-12-09 | 2021-03-26 | 苗改燕 | 一种基于安全网络用传感器信号处理系统 |
US11050773B2 (en) | 2019-01-03 | 2021-06-29 | International Business Machines Corporation | Selecting security incidents for advanced automatic analysis |
CN114205121A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 一种电网数据用的信息访问安全保护方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571948A (zh) * | 2011-12-29 | 2012-07-11 | 国云科技股份有限公司 | 基于云计算的PaaS平台系统及其实现方法 |
CN104092728A (zh) * | 2014-06-20 | 2014-10-08 | 裴兆欣 | 一种安全云计算系统 |
CN104683394A (zh) * | 2013-11-27 | 2015-06-03 | 上海墨芋电子科技有限公司 | 新技术的云计算平台数据库基准测试系统及其方法 |
-
2015
- 2015-11-29 CN CN201510842256.1A patent/CN105282178A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571948A (zh) * | 2011-12-29 | 2012-07-11 | 国云科技股份有限公司 | 基于云计算的PaaS平台系统及其实现方法 |
CN104683394A (zh) * | 2013-11-27 | 2015-06-03 | 上海墨芋电子科技有限公司 | 新技术的云计算平台数据库基准测试系统及其方法 |
CN104092728A (zh) * | 2014-06-20 | 2014-10-08 | 裴兆欣 | 一种安全云计算系统 |
Non-Patent Citations (1)
Title |
---|
张学明: ""云计算安全技术的控制模型"", 《江苏航空》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108243040A (zh) * | 2016-12-23 | 2018-07-03 | 南京联成科技发展股份有限公司 | 一种云计算的身份认证和访问管理安全服务的实现架构 |
CN107483530A (zh) * | 2017-06-14 | 2017-12-15 | 广州宏和网络科技有限公司 | 一种基于云计算和物联网的智慧城市系统及其实现方法 |
WO2019095374A1 (en) * | 2017-11-20 | 2019-05-23 | Nokia Shanghai Bell Co., Ltd. | Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment |
US11368489B2 (en) | 2017-11-20 | 2022-06-21 | Nokia Technologies Oy | Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment |
CN108494880A (zh) * | 2018-04-18 | 2018-09-04 | 云家园网络技术有限公司 | 基于大规模数据中心管理的通信方法及系统 |
CN108494880B (zh) * | 2018-04-18 | 2021-04-27 | 云家园网络技术有限公司 | 基于大规模数据中心管理的通信方法及系统 |
CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
US11050773B2 (en) | 2019-01-03 | 2021-06-29 | International Business Machines Corporation | Selecting security incidents for advanced automatic analysis |
CN110087238A (zh) * | 2019-05-13 | 2019-08-02 | 商洛学院 | 一种移动电子设备信息安全保护系统 |
CN111600889A (zh) * | 2020-05-18 | 2020-08-28 | 广东电网有限责任公司惠州供电局 | 一种云计算网络安全服务方法 |
CN112565279A (zh) * | 2020-12-09 | 2021-03-26 | 苗改燕 | 一种基于安全网络用传感器信号处理系统 |
CN114205121A (zh) * | 2021-11-17 | 2022-03-18 | 南方电网数字电网研究院有限公司 | 一种电网数据用的信息访问安全保护方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105282178A (zh) | 一种云计算安全技术平台 | |
Barona et al. | A survey on data breach challenges in cloud computing security: Issues and threats | |
Jansen | Cloud hooks: Security and privacy issues in cloud computing | |
Sharma et al. | Literature review: Cloud computing-security issues, solution and technologies | |
CN110233817B (zh) | 一种基于云计算的容器安全系统 | |
Srivastava et al. | Control framework for secure cloud computing | |
Bokhari et al. | Security and privacy issues in cloud computing | |
Wen et al. | The study on data security in Cloud Computing based on Virtualization | |
Hamza et al. | Cloud computing security: abuse and nefarious use of cloud computing | |
Leguías Ayala et al. | Emerging threats, risk and attacks in distributed systems: Cloud computing | |
Aich et al. | A survey on cloud environment security risk and remedy | |
Hashemi et al. | Taxonomy of the security aspects of cloud computing systems-a survey | |
Raza et al. | Security and management framework for an organization operating in cloud environment | |
Gupta et al. | A light weight centralized file monitoring approach for securing files in cloud environment | |
Manavi et al. | Secure model for virtualization layer in cloud infrastructure | |
Pitropakis et al. | It's All in the Cloud: Reviewing Cloud Security | |
Aruna et al. | Security concerns and risk at different levels in Cloud Computing | |
Li et al. | Information resources sharing security in cloud computing | |
Kalloniatis et al. | Migrating into the cloud: identifying the major security and privacy concerns | |
Patel et al. | Cloud Computing Security, Privacy Improvements Using Virtualized High Trust Zone | |
Oka et al. | Analysis of Current Preventive Approaches in the Context of Cybersecurity | |
Oktay et al. | Circular chain VM protection in AdjointVM | |
Mansukhani et al. | The Security Challenges and Countermeasures of Virtual Cloud | |
Tang | The Research on Cloud computing security model and Countermeasures | |
Sharma et al. | Review Of Cloud Computing Data Security And Threats |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160127 |