云安全解决方案云服务厂商通过国际云安全联盟csastar认证


云计算的魅力几乎征服了整个IT界,未来前景恐怕更超乎人们想像。然而,从云计算诞生之日起,人们对其安全问题的担忧就一直不曾放下。“迈向云计算是一段旅程,趋势科技将在这段旅程中与大家安全相随。”趋势科技联合创始人兼全球执行总裁陈怡桦在大会开场演讲中宣告。

从20年前全球一年总共发现多种病毒、到现在每1.5秒就发现一种新威胁,信息安全形势一直在不断发展变化,云计算的出现更给这个产业提出了新的重大课题。“云计算时代企业的网络将具有伸缩性,而弹性网络就需要有弹性的安全,而不是僵硬的解决方案。趋势科技从年开始涉足云安全、率先推出公有云保护解决方案,目前已成为云安全领域的领军者。”陈怡桦声称。

据陈怡桦介绍,早在年趋势科技刚刚开始做云安全的时候,业界很多人听了以后都不理解,他们常常会问:“what?(你们到底在做什么啊?)”可是今天,几乎所有的信息安全厂商都开始踏上云安全里程,不仅为客户的“云”提供安全解决方案,而且也利用“云”来提供安全服务。

“年,趋势科技的业务有81%是为客户提供物理服务器的安全解决方案;到年,我们的业务有78%是保障虚拟服务器的安全。”趋势科技执行副总裁、全球研发长暨亚太区总经理张伟钦告诉记者。他认为,这个戏剧化的数字转变最能说明,亚太地区已经进入了虚拟化环境的时代。

在云时代,信息安全产业将面临一些全新的形势,比如一直困扰传统信息安全产业的系统性能与安全性的平衡问题就具有了新的内涵:一方面,一些病毒比对之类的安全工作可以不再在客户本地主机上做,而转移到云上进行,这使得安全系统有了更多的灵活性;另一方面,由于需要考量本地CPU是否有剩余计算能力执行部分安全工作,以及需要足够的带宽来保障本地和云之间的工作协同,安全程序变得更复杂了;第

三,云计算通过虚拟化实现计算资源的全部共享、I/O共用,这就要求安全解决方案要更加重视性能。

据介绍,目前趋势科技在传统信息安全产品和云安全产品上投入的研发资源比例大致为1:

1,未来三年将有越来越多的资源投在云安全方面。

那么,不同厂商的云安全之路是否路径相同呢?趋势科技的特色又是什么呢?“目前在业界,大家都认可云安全的大方向,都知道云的安全是一个大问题,是一个需要解决的问题,但是每一家的主攻路线不同。趋势科技非常重视虚拟化,我们认为网络将变得随时可以伸缩,因此需要通过虚拟化来使安全解决方案也具有弹性;而有的厂商则着重把安全解决方案放在芯片里;也有的厂商更加注重资料存储。”陈怡桦告诉记者。

传统的信息安全解决方案已经不足以解决云时代的安全问题,趋势科技认为,云安全应该由四大支柱支撑,分别是:本地服务器与桌面虚拟化安全、3G网络与移动设备安全、数据集中保护和云应用安全。

其中,“本地服务器与桌面虚拟化安全”专门针对系统共享、存储共享的动态数据中心;“3G网络与移动设备安全”针对无处不在的无边界3G网络以及大量的移动终端设备,这一块的安全也是目前最令人担忧的;“数据集中保护”为数据提供整体的管理、身份认证、接入控制、隐私保护;“云应用安全”针对一些新应用平台提供安全保护。在这四个方面,趋势科技目前都有成熟的产品提供。

“年年初开始,公司的云安全业务开始加速增长,一些客户已经开始率先采用云安全解决方案。一场云安全的风暴正在袭来,我们正兴奋而紧张地等待这一时刻的到来。”陈怡桦表示。

为了帮助用户放心享有混合云的“红利”,补齐传统安全解决方案在混合云中的“短板”,亚信安全提供了基于亚信安全服务器深度安全防护系统(DeepSecurity)的混合式云端防护解决方案,为云端应用程序和数据提供保护,防止企业营运中断,确保创新业务在混合架构中的合规性。

灵活且高性价比的云计算,一直是IT决策者迁移企业业务平台的重要方向。与私有云和公有云相比,混合云兼具安全、灵活、弹性、成本节约等优势,有助于企业在确保安全性的同时提升IT创新力。因此,混合云当之无愧地成了年的“网红”。

但是,在采用混合云时,许多企业只注意到混合云在安全架构上的优势,却没有在部署实践中将安全防护落到实处,导致出现安全漏洞、性能损失、投资损失、安全策略不统

一、无法满足合规性要求等问题,并因此严重影响了用户部署混合云的信心。

对此,亚信安全云安全专家朱立认为:“要提升混合云的安全性,就要保护公有云和私有云的虚拟化安全,确保存储在多家云服务商上的数据安全,以及混合云中的数据传输安全。但是,许多传统安全产品和策略任务都无法转移到云服务中,进而造成安全管理的不一致,数据安全无法保障。因此,用户需要统一的管理以及单一架构,既能有效保护云端和虚拟化环境中的关键数据与应用程序,又能提升营运和经济效益。”

为了帮助用户解决混合云安全的难题,亚信安全提供了跨云平台的混合云安全解决方案,支持用户现有网络中部署的深度防御措施,并确保混合云安全管理策略的继续执行。

首先,虚拟化防毒是实现混合云安全管理的前提。作为跨平台和混合云安全解决方案的核心,亚信安全服务器深度安全防护系统(DeepSecurity)是为虚拟化环境量身打造的专属安全防护系统,产品具备了虚拟补丁功能,以及Web应用层检测、IDS、IPS等深度检测包技术,可以有效发现和拦截APT攻击等高级网络威胁。最为重要的是,亚信安全创新的“无”部署特性能帮助用户避免产生防毒风暴(AVStorm),从而大幅提升虚拟机密度,帮助云计算运营平台实现更具弹性的部署和更快的处理速度。

其次,通过亚信安全服务器深度安全防护系统中的DeepSecurityManager,用户可以统一管控本地物理服务器、近端和云端虚拟化服务器,以及全面支持各大云服务商混合云方案和Docker等开源技术构建混合云平台。对于Docker的安全防护需求,亚信安全服务器深度安全防护系统中的DeepSecurityforDocker,可以保存Docker中R像的配置文件、监控相同属性容器的活动,并在主机上检查网络情况,洞悉Docker中流动的网络安全威胁,从而阻拦黑客从外部、内部(不受限制节点)发动的网络攻击,为混合云环境打造一体化的安全管理平台。

最后,在数据传输方面,亚信安全服务器深度安全防护系统可以侦测虚拟化网络恶意代码,支持安全策略在云平台之间移动,以及自动追踪和防护休眠状态中的虚拟资源,避免安全防御间隙的产生。在混合云边境,亚信安全深度威胁安全网关DeepEdge提供了VPN加密等保护特性,结合业界领先的云安全智能防护网络(SmartProtectionNetwork,SPN)和新一代的高级威胁侦测分析引擎,可无缝对接亚信安全的深度威胁发现平台(DD),实现混合云中的数据安全传输。

每个混合云部署都各有特点。有时用户会通过移动设备查看、传输、存储数据,这些移动设备有可能成为“移动目标”。在公私混合架构中,企业可能牢牢掌握了其私有网络中的数据安全,而一旦开始进入云端,事情变得更加复杂。例如:一部分服务运行在企业自己的数据中心,另一部分运行在公有云厂商A中,还有一部分运行在公有云B中。

云计算已经从概念走向应用。在近日举办的第四届中国云计算大会上,中国电子学会名誉理事长吴基传表示,年全球云计算服务的市场规模已经接近900亿美元,预计到年将达到亿美元。在信息安全领域,很多厂商都提出了云安全解决方案,将病毒、木马特征库放在云端。但是由于担心敏感信息被泄露,很多高端企业用户将云安全拒之门外。而通过不断升级软件来满足用户需求的方式,对系统资源占用量高,造成工作效率降低。私有云安全解决方案似乎是高端企业级市场的最佳选择。

为此,瑞星在其瑞星杀毒软件网络版中加入了私有云解决方案,为用户建立企业私有云平台,在企业内部建立了云查杀功能,同时利用智能动态资源分配技术优化了杀毒引擎的核心技术,并对病毒库进行了细化,优化其存储和加载方式,降低资源占用。此外,据瑞星安全专家唐威介绍,私有云平台让管理员可以统一对终端设备进行维护和管理,提升工作效率,“一次快速病毒查杀的时间仅仅需要47秒”。

今年RSA大会上的一项调查显示,面对BYOD带来的安全风险,66%的受访者希望建立类似AppStore的企业内部移动应用商店;55%的受访者希望这些内部应用能够跟企业的业务系统结合起来。瑞星私有云平台的另一个重要功能,就是满足了企业的这些需求,为企业搭建个性化的云安全应用软件平台。

“瑞星把一些常用的软件放在私有云平台上,帮助企业建立内部的AppStore。其他在瑞星私有云平台上加载的软件也必须是通过检测的安全软件。”瑞星公司销售部副总经理王志强在接受本报记者采访时表示,该平台“建立了白名单机制,明确员工在通过企业网上网时,允许或禁止访问哪些网站和应用,企业IT管理人员可以根据企业要求,定制黑名单、白名单列表”。他还告诉记者:“未来,除了瑞星提供的杀毒软件等安全产品,其他厂商提供的安全应用都可以通过这个平台进行统一管理和部署。另外,瑞星还将跟用户合作,将该平台向第三方软件开放,以满足用户的软件需求。”

国内大多数安全厂商的盈利模式多以销售产品和解决方案为主,安全服务大多是为了促进产品的销售,服务在安全厂商的营收中所占的比例往往较低。然而随着安全形势越来越严峻,企业对信息安全服务的重视程度越来越高。

作为京师畿辅之地的河北,是最早响应《“互联网 税务”行动计划》的省份之
一,在年便启动了河北省地税云管理平台项目。该项目面向全国云服务商招标,计划构建完整的省市两级共享、省级集中管理的私有云计算中心,以实现面向省、市两级的云资源动态管理、动态扩展、自助申请、自动交付等功能,促进河北税收工作c互联网的深度融合,满足纳税人和税收管理不断增长的互联网应用需求。

这样的解决方案,自然受到了高度重视信息安全的税务部门的欢迎。对于河北地税来说,云、网、安的融合,则完美地满足了河北地税“互联网 税务”现在及未来的发展及扩展的需求。

在云计算层面,以省级集中部署、省市两级共享使用、分级管理的架构,进一步扩充了对各类虚拟化资源池的监控和管理,同时通过部署独立的SDN控制器、云服务管理模块等,实现了对所有虚拟化资源的统一管理以及云资源动态扩展、自助申请、自动交付等功能。

在网络层面,实现了基于现有网络的升级,通过部署基于OverLay技术的网络,利用新的隧道封装技术为云计算管理平台实现跨网络区域的业务部署、管理、通信、迁移等。

中图分类号:TP393.18文献标识码:A文章编号:-()07--00

Abstract:Withthecontinuousdevelopmentofinformationtechnology,esmorewidelyused.Digitalcampusbringsmanyconveniencestothemanagement,workapplicationofuniversity.Butatthesametimeitalsoexposesalotofproblems,like:lowresourceutilizationintraditionalofficemodeofITequipments,difficultyinequipmentmanagementandmaintenance,cloudbasedonvirtualizationtechnologywillbeagoodsolutiontosolvetheproblemsinthemanagementandmaintenanceofthetraditionalofficeterminalsindigitalcampus.

随着云计算与虚拟化技术的不断成熟和应用,在信息化发展过程中,服务器、存储以及网络虚拟化技术,被广泛应用于高校数据中心机房和基础网络当中,可以说虚拟化技术为数字化校园创造了更加高效的基础环境[1]。然而随着网络用户的增多,作为办公、访问网络资源的终端多为传统的电脑、笔记本等,在传统办公模式中IT设备资源利用率低、设备管理维护困难、网络病毒日益严重,分散的终端在管理、维护和安全等方面都比较困难,如何解决这些问题给从事网络信息建设和管理维护的人员带来了巨大的考验。而依托于虚拟化技术而产生的桌面云,将成为解决高校数字化校园中管理和维护终端难题的一种可行的方案。

桌面云是满足“云计算”定义的一种云,“云计算”的定义大家广泛认可的是维基百科给出的,也即:“云计算(puting),是一种互联网上的资源利用新方式,可为大众用户依托互联网上异构、自治的服务进行按需即取的计算,云计算的资源是动态易扩展而且虚拟化的,通过互联网提供”。在IBM云计算智能商务桌面(Cloud)的介绍页面看到桌面云的定义是:“可以通过瘦客户端或者其他任何与网络相连的设备来访问跨平台的应用程序以及整个客户桌面”[2]。桌面云中用户桌面环境都是在数据中心部署,客户终端只是输入输出的显示设备而已,所有的数据都是集中存储在数据中心,应用软件的安装、配置、执行、管理都在服务器端完成。也就是说只需把显示器、鼠标、键盘插在一个能与网络通信的设备盒子上,只要打开盒子电源,通过浏览器或者专用程序,就可以使用驻留在服务器端的个人桌面和各种应用程序,省略了开机过程,也不用担心中病毒和重新安装操作系统等,并且具有传统个人电脑一模一样的使用体验[3]。

桌面云解决方案结合了硬件和软件的虚拟化技术,对学校内部的数据中心进行云化,形成动态、可扩展的资源池,是一个将应用程序和虚拟桌面以按需分配(on-demandservices)的方式提供给用户,使用户可以从任何一个地方安全且高效地连接到数据中心。在解决信息安全问题的同时极大提升桌面IT运维效率,并降低桌面整体总拥有成本(TotalCostofOwnership),桌面云解决方案架构如图1所示:



(1)桌面虚拟化平台。在数据中心,使用模块化的刀片服务器,可以简化基础设施的添加过程,并具有更高可靠性。通过虚拟化软件实现服务器虚拟池化,采用虚拟桌面基础架构(infrastructure)的服务器资源池化后分别组成群集,虚拟机在群集里可以实现策略迁移、故障热迁移等。此外,FCSAN网络存储可提供高速、安全的数据访问,并可对文件进行操作和实时存储,保持数据始终一致。实现对数据的统一管理和监控,让数据更加安全可靠。



(2)安全的桌面云。桌面云的兴起方便用户通过互联网接入到校园内桌面环境,桌面云技术带来了办公上的灵活性和便利性,然而桌面云在将用户与办公桌面距离拉近的同时,也产生了安全隐患。诸如:理论上员工只要有权限、有网络就可以接入到校园中的桌面,从而接触到以前只能在校园内才可以看到的数据。而权限一般是用户名加密码的方式,一旦密码被截获、破解或丢失,都将会给学校带来一定的安全风险。因此,在本方案中使用双因素认证动态密码桌面登录认证方式,有效的解决学校用户安全登录桌面云系统的需求。



(3)桌面云客户端设备。桌面云客户端设备包括瘦客户端设备和传统PC或笔记本电脑。瘦终端设备作为桌面云的用户操作界面,比传统PC使用更少的元器件,所以更加轻便,更加安全和对使用者提供更好的保护(如:辐射少、噪音少、节能等)。传统笔记本和PC通过Client软件连接服务器,也可以像瘦终端一样使用桌面云。

桌面云是继服务器虚拟化之后发展起来的一种新技术。在虚拟化环境里,采用瘦终端设备,终端不存数据,不做运算处理,只显示从服务器推送的桌面,所有东西如操作系统、应用软件、文件数据,都放在远端。因此桌面云带来了很多优点如:



(1)实现了移动办公:在桌面云解决方案中,任一终端都可以登录到自己的桌面中。不同的用户使用不同的使用需求,与终端无关,只对应到用户账户,实现了桌面资源、权限到用户的一一对应。



(2)提高资源的使用率:桌面云解决方案,将运算性能统一到服务器端,可以实现70%以上的资源利用率。而在传统PC台式机的方式中,每台PC机的一般性能负荷在10%左右,剩余的90%都不能与其他PC机共享,造成很大的资源浪费,



(3)更易于安全管理:桌面云解决方案,在瘦客户端上不需要安装任何程序,且可以控制接入外接设备,在很大程度上降低了外部设备接入带来的威胁,由于桌面与用户实现的是一一对应关系,操作可以对应到使用者,便于定位和追溯问题根源。



(4)高效的管理:桌面云解决方案实现统一病毒库更新,统一补丁装载,统一应用管理等,无需到现场即可实现虚拟桌面的统一维护,极大的降低了维护工作量。



(5)减少能耗,绿色IT:每个瘦客户端的电量消耗在16w左右,只有传统个人桌面的8%,远低于传统PC200-300W的功耗,可以有效的降低能耗。

随着云技术、虚拟化技术不断发展和应用,桌面云解决方案更加成熟,桌面云不再是高大上的奢侈品。在校园中构建一套桌面云系统,可以减少办公电脑故障维护时间和人力成本,可根据不同的使用需求,灵活配置、安装各类桌面环境和应用软件,提高教师工作效率,对于高校数字化建设和教学改革来说,有很多积极的意义,是未来发展的必然趋势[4]。

[1]马文杰.桌面虚拟化技术在高校数字化校园中的研究与应用[J].凯里学院学报,(12):95-97.