云平臺信息安全整體保護技術研究

2013-11-28 11:37:53 萬方數據　點擊量：評論 (0)

1 引言自Google 公司提出云計算的概念以來，各類與云計算相關的服務紛紛涌現，隨之而來的就是人們對云安全問題的關注。云安全的策略構想是：使用者越多，每個使用者就越安全，因為如此龐大的用戶群，足以覆蓋

安全強度的兩種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數據進行保密性和完整性保護。

自主訪問控制應在安全策略控制范圍內，使用戶對其創(chuàng)建的客體具有相應的訪問操作權限，并能將這些權限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級，客體的粒度為文件或數據庫表級和(或)記錄或字段級。自主訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。

標記和強制訪問控制在對安全管理員進行身份鑒別和權限控制的基礎上，應由安全管理員通過特定操作界面對主、客體進行安全標記;應按安全標記和強制訪問控制規(guī)則，對確定主體訪問客體的操作進行控制。強制訪問控制主體的粒度為用戶級，客體的粒度為文件或數據庫表級。應確保安全計算環(huán)境內的所有主、客體具有一致的標記信息，并實施相同的強制訪問控制規(guī)則。云計算環(huán)境訪問控制工作流程如圖3 所示。

圖3 云計算環(huán)境訪問控制工作流程

系統(tǒng)安全審計應記錄系統(tǒng)的相關安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結果等內容。應提供審計記錄查詢、分類、分析和存儲保護;確保對特定安全事件進行報警;確保審計記錄不被破壞或非授權訪問。應為安全管理中心提供接口;對不能由系統(tǒng)獨立處理的安全事件，提供由授權主體調用的接口。

用戶數據完整性保護應采用密碼等技術支持的完整性校驗機制，檢驗存儲和處理的用戶數據的完整性，以發(fā)現其完整性是否被破壞，且在其受到破壞時能對重要數據進行恢復。

用戶數據保密性保護應采用密碼等技術支持的保密性保護機制，對在安全計算環(huán)境中存儲和處理的用戶數據進行保密性保護。

客體安全重用應采用具有安全客體復用功能的系統(tǒng)軟件或具有相應功能的信息技術產品，對用戶使用的客體資源，在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露。

程序可信執(zhí)行保護可構建從操作系統(tǒng)到上層應用的信任鏈，以實現系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時采取措施恢復，例如采用可信計算等技術。

3.3.2 云安全區(qū)域邊界設計要求

對于云安全區(qū)域邊界，主要從以下技術點進行設計：區(qū)域邊界訪問控制，區(qū)域邊界包過濾，區(qū)域邊界安全審計以及區(qū)域邊界完整性保護。

區(qū)域邊界訪問控制應在安全區(qū)域邊界設置自主和強制訪問控制機制，實施相應的訪問控制策略，對進出安全區(qū)域邊界的數據信息進行控制，阻止非授權訪問。

區(qū)域

上一頁 1 2 3 4 5 6 7 8 下一頁