CN105282178A - 一种云计算安全技术平台 - Google Patents

一种云计算安全技术平台 Download PDF

Info

Publication number
CN105282178A
CN105282178A CN201510842256.1A CN201510842256A CN105282178A CN 105282178 A CN105282178 A CN 105282178A CN 201510842256 A CN201510842256 A CN 201510842256A CN 105282178 A CN105282178 A CN 105282178A
Authority
CN
China
Prior art keywords
security
safety system
module
cloud computing
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510842256.1A
Other languages
English (en)
Inventor
朱正刚
刘显明
孙欣
马勇
付萍萍
陈雪莲
微明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jiangxi Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jiangxi Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Jiangxi Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510842256.1A priority Critical patent/CN105282178A/zh
Publication of CN105282178A publication Critical patent/CN105282178A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

本发明公开了一种云计算安全技术平台,涉及云计算领域,所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;本发明一种云计算安全技术平台在美国技术和标准研究院的五个关键特征的基础上阐述了一个全新的安全技术体系,本平台具有通用性好、可扩展性强、安全性高的特点。

Description

一种云计算安全技术平台
技术领域
本发明涉及云计算领域,特别涉及一种云计算安全技术平台。
背景技术
如今越来越丰富的市场数据,正在打消人们对于“云”概念的怀疑。越来越多的成功部署案例,表明云计算不再是漂浮在头顶上一团虚无缥缈的水气。目前,对云计算的定义和特征、应用等存在各种不同的看法和流派,较为公认的一个云计算描述是美国技术和标准研究院(NIST)的五个关键特征,即按需的自服务、宽带接入、虚拟池化的资源、快速弹性架构、可测量的服务。
随着云计算的部署和实施,云计算服务的提供者需要考虑一个亟待解决的问题,即如何在保障云计算平台自身安全的基础上,更好的为客户提供服务。本发明将针对这个问题,给出一种云计算安全技术平台,旨在为云计算平台安全技术体系的建设,提供一个有益的参考和借鉴。
发明内容
本发明所要解决的技术问题是提供一种云计算安全技术平台,以适应越来越多的云平台安全基础应用,为基于云平台的基础应用提供一套切实可行的安全防护体系。
为实现上述目的,本发明提供以下的技术方案:一种云计算安全技术平台,所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;
所述IaaS层安全系统涵盖了从机房设备到其中硬件平台的基础设施资源层面的安全,该系统实现了将资源抽象化及相反的功能,并交付连接到这些资源的物理或逻辑网络连接,IaaS层安全系统提供一组API,允许用户管理基础设施资源以及进行其它形式的交互;
所述PaaS层安全系统位于IaaS层安全系统之上,该系统用来与应用开发框架、中间件能力、数据库、消息和队列的功能集成,PaaS层安全系统中开发者可以在平台之上开发应用,开发的编程语言和工具由PaaS层安全系统支持提供;
所述SaaS层安全系统位于底层的IaaS层安全系统和PaaS层安全系统之上,SaaS层安全系统提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力;
所述共有安全系统对公共的数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理以及业务连续性安全进行管理。
优选的,所述IaaS层安全系统包括物理与环境安全模块、主机安全模块、网络安全模块、虚拟化安全模块、接口安全模块。
优选的,所述PaaS层安全系统包括接口安全模块、运行安全模块。
优选的,所述SaaS层安全系统包括应用安全模块。
优选的,所述共有安全系统包括数据安全模块、加密和密钥管理模块、身份识别和访问管理模块、安全事件管理模块、业务连续性模块。
采用以上技术方案的有益效果是:本发明一种云计算安全技术平台在美国技术和标准研究院的五个关键特征的基础上阐述了一个全新的安全技术体系,本平台具有通用性好、可扩展性强、安全性高的特点。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的描述。
图1是本发明一种云计算安全技术平台的应用图。
具体实施方式
下面结合附图详细说明本发明一种云计算安全技术平台的优选实施方式。
如图1所示,本发明一种云计算安全技术平台的具体实施方式,所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;
所述IaaS层安全系统涵盖了从机房设备到其中硬件平台的基础设施资源层面的安全,该系统实现了将资源抽象化及相反的功能,并交付连接到这些资源的物理或逻辑网络连接,IaaS层安全系统提供一组API,允许用户管理基础设施资源以及进行其它形式的交互;
所述PaaS层安全系统位于IaaS层安全系统之上,该系统用来与应用开发框架、中间件能力、数据库、消息和队列的功能集成,PaaS层安全系统中开发者可以在平台之上开发应用,开发的编程语言和工具由PaaS层安全系统支持提供;
所述SaaS层安全系统位于底层的IaaS层安全系统和PaaS层安全系统之上,SaaS层安全系统提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力;
所述共有安全系统对公共的数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理以及业务连续性安全进行管理。
所述IaaS层安全系统包括物理与环境安全模块、主机安全模块、网络安全模块、虚拟化安全模块、接口安全模块。
所述PaaS层安全系统包括接口安全模块、运行安全模块。
所述SaaS层安全系统包括应用安全模块。
所述共有安全系统包括数据安全模块、加密和密钥管理模块、身份识别和访问管理模块、安全事件管理模块、业务连续性模块。
所述IaaS层安全系统中,
物理与环境安全模块实现功能包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰的安全控制;
主机安全安全模块实现功能包括操作系统本身缺陷所带来的不安全因素、操作系统的安全配置问题、病毒对操作系统的威胁的安全控制;实现功能有身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码控制、资源控制,主要采取的措施和技术手段包括身份认证、主机安全审计、主机入侵保护、主机防病毒系统;
网络安全模块实现功能包括网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护的安全控制;主要安全措施和技术包括防火墙、IDS/IPS、网络安全审计系统、防病毒、防病毒网关、强身份认证。
虚拟化的安全模块实现功能包括虚拟技术本身的安全控制和虚拟化引入的新的安全控制;采用的相应技术措施有虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM监控、VM安全迁移;
接口安全模块实现功能包括接口的强用户认证、加密和访问控制的有效性、避免利用接口对内和对外的攻击、避免利用接口进行云服务的滥用的安全控制。
所述PaaS层安全系统中,运行安全模块实现功能包括对用户应用的安全审核、不同应用的监控、不同用户系统的隔离、安全审计的安全控制。
所述SaaS层安全系统中,应用安全模块实现功能是Web应用安全的安全控制;采用的技术防护措施有访问控制、配置加固、部署应用层防火墙。
所述共有安全层安全系统中,
数据安全模块实现功能包括在数据的创建、存储、使用、共享、归档、销毁阶段,都进行保护措施,保护措施包括数字版权管理、访问控制、数据加密、DLP、数据备份、数据销毁、安全审计技术手段来保障数据安全;
加密和密钥管理模块实现功能包括加密网络传输中的数据、加密静止数据、加密备份媒介中的数据、密钥存储的保护、密钥存储的访问控制、密钥的备份和回复;
身份识别和访问管理模块实现功能包括对身份识别和管理;
安全事件管理模块实现功能包括对安全事件进行集中管理,实现数据采集、关联分析、事件优先重要性分析、安全事件处理,从而可以更好的监测发现、评估安全事件,及时有效的对安全事件作出响应,启动适当的措施来预防和降低事件的影响,并从事件中恢复正常的云服务;
业务连续性模块实现功能包括业务连续性管理,制定相应的业务连续性规划,并且能够得以落实和实施,使得当出现灾难时,可以快速的恢复业务,继续为用户提供服务,采取的技术措施包括备份数据中心、网络冗余架构、抗拒绝服务攻击。
以上的仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。

Claims (9)

1.一种云计算安全技术平台,其特征在于:所述云计算安全技术平台包括IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统;所述IaaS层安全系统、PaaS层安全系统、SaaS层安全系统、共有安全系统通过网络互连;
所述IaaS层安全系统涵盖了从机房设备到其中硬件平台的基础设施资源层面的安全,该系统实现了将资源抽象化及相反的功能,并交付连接到这些资源的物理或逻辑网络连接,IaaS层安全系统提供一组API,允许用户管理基础设施资源以及进行其它形式的交互;
所述PaaS层安全系统位于IaaS层安全系统之上,该系统用来与应用开发框架、中间件能力、数据库、消息和队列的功能集成,PaaS层安全系统中开发者可以在平台之上开发应用,开发的编程语言和工具由PaaS层安全系统支持提供;
所述SaaS层安全系统位于底层的IaaS层安全系统和PaaS层安全系统之上,SaaS层安全系统提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力;
所述共有安全系统对公共的数据安全、加密和密钥管理、身份识别和访问管理、安全事件管理以及业务连续性安全进行管理。
2.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述IaaS层安全系统包括物理与环境安全模块、主机安全模块、网络安全模块、虚拟化安全模块、接口安全模块。
3.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述PaaS层安全系统包括接口安全模块、运行安全模块。
4.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述SaaS层安全系统包括应用安全模块。
5.根据权利要求1所述的一种云计算安全技术平台,其特征在于:所述共有安全系统包括数据安全模块、加密和密钥管理模块、身份识别和访问管理模块、安全事件管理模块、业务连续性模块。
6.根据权利要求2所述的一种云计算安全技术平台,其特征在于:所述IaaS层安全系统中,
物理与环境安全模块实现功能包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰的安全控制;
主机安全安全模块实现功能包括操作系统本身缺陷所带来的不安全因素、操作系统的安全配置问题、病毒对操作系统的威胁的安全控制;实现功能有身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码控制、资源控制,主要采取的措施和技术手段包括身份认证、主机安全审计、主机入侵保护、主机防病毒系统;
网络安全模块实现功能包括网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护的安全控制;主要安全措施和技术包括防火墙、IDS/IPS、网络安全审计系统、防病毒、防病毒网关、强身份认证;
虚拟化的安全模块实现功能包括虚拟技术本身的安全控制和虚拟化引入的新的安全控制;采用的相应技术措施有虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM监控、VM安全迁移;
接口安全模块实现功能包括接口的强用户认证、加密和访问控制的有效性、避免利用接口对内和对外的攻击、避免利用接口进行云服务的滥用的安全控制。
7.根据权利要求3所述的一种云计算安全技术平台,其特征在于:所述PaaS层安全系统中,运行安全模块实现功能包括对用户应用的安全审核、不同应用的监控、不同用户系统的隔离、安全审计的安全控制。
8.根据权利要求4所述的一种云计算安全技术平台,其特征在于:所述SaaS层安全系统中,应用安全模块实现功能是Web应用安全的安全控制;采用的技术防护措施有访问控制、配置加固、部署应用层防火墙。
9.根据权利要求5所述的一种云计算安全技术平台,其特征在于:所述共有安全层安全系统中,
数据安全模块实现功能包括在数据的创建、存储、使用、共享、归档、销毁阶段,都进行保护措施,保护措施包括数字版权管理、访问控制、数据加密、DLP、数据备份、数据销毁、安全审计技术手段来保障数据安全;
加密和密钥管理模块实现功能包括加密网络传输中的数据、加密静止数据、加密备份媒介中的数据、密钥存储的保护、密钥存储的访问控制、密钥的备份和回复;
身份识别和访问管理模块实现功能包括对身份识别和管理;
安全事件管理模块实现功能包括对安全事件进行集中管理,实现数据采集、关联分析、事件优先重要性分析、安全事件处理,从而可以更好的监测发现、评估安全事件,及时有效的对安全事件作出响应,启动适当的措施来预防和降低事件的影响,并从事件中恢复正常的云服务;
业务连续性模块实现功能包括业务连续性管理,制定相应的业务连续性规划,并且能够得以落实和实施,使得当出现灾难时,可以快速的恢复业务,继续为用户提供服务,采取的技术措施包括备份数据中心、网络冗余架构、抗拒绝服务攻击。
CN201510842256.1A 2015-11-29 2015-11-29 一种云计算安全技术平台 Pending CN105282178A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510842256.1A CN105282178A (zh) 2015-11-29 2015-11-29 一种云计算安全技术平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510842256.1A CN105282178A (zh) 2015-11-29 2015-11-29 一种云计算安全技术平台

Publications (1)

Publication Number Publication Date
CN105282178A true CN105282178A (zh) 2016-01-27

Family

ID=55150504

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510842256.1A Pending CN105282178A (zh) 2015-11-29 2015-11-29 一种云计算安全技术平台

Country Status (1)

Country Link
CN (1) CN105282178A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483530A (zh) * 2017-06-14 2017-12-15 广州宏和网络科技有限公司 一种基于云计算和物联网的智慧城市系统及其实现方法
CN108243040A (zh) * 2016-12-23 2018-07-03 南京联成科技发展股份有限公司 一种云计算的身份认证和访问管理安全服务的实现架构
CN108494880A (zh) * 2018-04-18 2018-09-04 云家园网络技术有限公司 基于大规模数据中心管理的通信方法及系统
CN108809935A (zh) * 2018-04-20 2018-11-13 国网江西省电力有限公司信息通信分公司 一种云环境或虚拟环境下的安全访问控制方法和装置
WO2019095374A1 (en) * 2017-11-20 2019-05-23 Nokia Shanghai Bell Co., Ltd. Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment
CN110087238A (zh) * 2019-05-13 2019-08-02 商洛学院 一种移动电子设备信息安全保护系统
CN111600889A (zh) * 2020-05-18 2020-08-28 广东电网有限责任公司惠州供电局 一种云计算网络安全服务方法
CN112565279A (zh) * 2020-12-09 2021-03-26 苗改燕 一种基于安全网络用传感器信号处理系统
US11050773B2 (en) 2019-01-03 2021-06-29 International Business Machines Corporation Selecting security incidents for advanced automatic analysis
CN114205121A (zh) * 2021-11-17 2022-03-18 南方电网数字电网研究院有限公司 一种电网数据用的信息访问安全保护方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571948A (zh) * 2011-12-29 2012-07-11 国云科技股份有限公司 基于云计算的PaaS平台系统及其实现方法
CN104092728A (zh) * 2014-06-20 2014-10-08 裴兆欣 一种安全云计算系统
CN104683394A (zh) * 2013-11-27 2015-06-03 上海墨芋电子科技有限公司 新技术的云计算平台数据库基准测试系统及其方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571948A (zh) * 2011-12-29 2012-07-11 国云科技股份有限公司 基于云计算的PaaS平台系统及其实现方法
CN104683394A (zh) * 2013-11-27 2015-06-03 上海墨芋电子科技有限公司 新技术的云计算平台数据库基准测试系统及其方法
CN104092728A (zh) * 2014-06-20 2014-10-08 裴兆欣 一种安全云计算系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张学明: ""云计算安全技术的控制模型"", 《江苏航空》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108243040A (zh) * 2016-12-23 2018-07-03 南京联成科技发展股份有限公司 一种云计算的身份认证和访问管理安全服务的实现架构
CN107483530A (zh) * 2017-06-14 2017-12-15 广州宏和网络科技有限公司 一种基于云计算和物联网的智慧城市系统及其实现方法
WO2019095374A1 (en) * 2017-11-20 2019-05-23 Nokia Shanghai Bell Co., Ltd. Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment
US11368489B2 (en) 2017-11-20 2022-06-21 Nokia Technologies Oy Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment
CN108494880A (zh) * 2018-04-18 2018-09-04 云家园网络技术有限公司 基于大规模数据中心管理的通信方法及系统
CN108494880B (zh) * 2018-04-18 2021-04-27 云家园网络技术有限公司 基于大规模数据中心管理的通信方法及系统
CN108809935A (zh) * 2018-04-20 2018-11-13 国网江西省电力有限公司信息通信分公司 一种云环境或虚拟环境下的安全访问控制方法和装置
US11050773B2 (en) 2019-01-03 2021-06-29 International Business Machines Corporation Selecting security incidents for advanced automatic analysis
CN110087238A (zh) * 2019-05-13 2019-08-02 商洛学院 一种移动电子设备信息安全保护系统
CN111600889A (zh) * 2020-05-18 2020-08-28 广东电网有限责任公司惠州供电局 一种云计算网络安全服务方法
CN112565279A (zh) * 2020-12-09 2021-03-26 苗改燕 一种基于安全网络用传感器信号处理系统
CN114205121A (zh) * 2021-11-17 2022-03-18 南方电网数字电网研究院有限公司 一种电网数据用的信息访问安全保护方法

Similar Documents

Publication Publication Date Title
CN105282178A (zh) 一种云计算安全技术平台
Barona et al. A survey on data breach challenges in cloud computing security: Issues and threats
Jansen Cloud hooks: Security and privacy issues in cloud computing
Sharma et al. Literature review: Cloud computing-security issues, solution and technologies
CN110233817B (zh) 一种基于云计算的容器安全系统
Srivastava et al. Control framework for secure cloud computing
Bokhari et al. Security and privacy issues in cloud computing
Wen et al. The study on data security in Cloud Computing based on Virtualization
Hamza et al. Cloud computing security: abuse and nefarious use of cloud computing
Leguías Ayala et al. Emerging threats, risk and attacks in distributed systems: Cloud computing
Aich et al. A survey on cloud environment security risk and remedy
Hashemi et al. Taxonomy of the security aspects of cloud computing systems-a survey
Raza et al. Security and management framework for an organization operating in cloud environment
Gupta et al. A light weight centralized file monitoring approach for securing files in cloud environment
Manavi et al. Secure model for virtualization layer in cloud infrastructure
Pitropakis et al. It's All in the Cloud: Reviewing Cloud Security
Aruna et al. Security concerns and risk at different levels in Cloud Computing
Li et al. Information resources sharing security in cloud computing
Kalloniatis et al. Migrating into the cloud: identifying the major security and privacy concerns
Patel et al. Cloud Computing Security, Privacy Improvements Using Virtualized High Trust Zone
Oka et al. Analysis of Current Preventive Approaches in the Context of Cybersecurity
Oktay et al. Circular chain VM protection in AdjointVM
Mansukhani et al. The Security Challenges and Countermeasures of Virtual Cloud
Tang The Research on Cloud computing security model and Countermeasures
Sharma et al. Review Of Cloud Computing Data Security And Threats

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160127