前言：中文期刊網(wǎng)精心挑選了云計(jì)算安全防護(hù)技術(shù)范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

云計(jì)算安全防護(hù)技術(shù)范文1

【關(guān)鍵詞】云平臺(tái) 多層次網(wǎng)絡(luò)安全防護(hù) 面向切面

1 云平臺(tái)服務(wù)模型

云計(jì)算就是通過(guò)大規(guī)模的分布式計(jì)算為消費(fèi)者提供相關(guān)服務(wù)，云平臺(tái)由集群的虛擬化計(jì)算機(jī)組成，通過(guò)統(tǒng)一的接口以面向服務(wù)的形式為用戶(hù)提供服務(wù)，在現(xiàn)階段，云計(jì)算平臺(tái)提出了三種服務(wù)模式，即基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)和軟件即服務(wù)，基礎(chǔ)設(shè)施即服務(wù)提供包括數(shù)據(jù)處理、存儲(chǔ)等服務(wù)，平臺(tái)即服務(wù)提供給用戶(hù)按自身需求在云服務(wù)提供商的平臺(tái)上構(gòu)建主機(jī)應(yīng)用，軟件即服務(wù)軟件即服務(wù)即通過(guò)云平臺(tái)使用軟件服務(wù)提供商提供的服務(wù)。

2 云平臺(tái)安全概述

云平臺(tái)的搭建是需要很多支撐技術(shù)的，如：主流操作系統(tǒng)文件、加密通信技術(shù)、身份認(rèn)證技術(shù)、虛擬化技術(shù)和開(kāi)源代碼庫(kù)等，還需要各種基本組件、核心組件等。云平臺(tái)如此眾多的支撐技術(shù)，相關(guān)的漏洞這個(gè)剛被堵塞，另一個(gè)新的漏洞又被發(fā)現(xiàn)，漏洞總是難以避免的，這就要求一個(gè)多層次的云平臺(tái)安全防護(hù)體系是必要的，以使云平臺(tái)某個(gè)漏洞被利用，某層防護(hù)被突破的時(shí)候卻無(wú)法突破云平臺(tái)下一層的安全防護(hù)。

云平臺(tái)除了復(fù)雜的架構(gòu)和眾多的支撐技術(shù)容易出現(xiàn)漏洞以外，云平臺(tái)對(duì)外提供的大量開(kāi)放式服務(wù)也為云平臺(tái)的安全防護(hù)帶來(lái)很大的挑戰(zhàn)，例如，用戶(hù)上傳自己的服務(wù)代碼和數(shù)據(jù)、用戶(hù)需要網(wǎng)絡(luò)連接、用戶(hù)需要訪(fǎng)問(wèn)磁盤(pán)、用戶(hù)需要使用數(shù)據(jù)庫(kù)等等，這些都是云平臺(tái)提供的對(duì)外開(kāi)放式服務(wù)，云平臺(tái)的安全防護(hù)需要多層次的防護(hù)同時(shí)還需要能夠靈活的配置和功能擴(kuò)展。

3 云平臺(tái)安全防護(hù)技術(shù)分析

目前主流的云平臺(tái)主要有亞馬遜的 Web Service、谷歌的 Cloud以及微軟的Azure等，我國(guó)在這方面雖然有些落后，但也出現(xiàn)了阿里云、新浪SAE等綜合云服務(wù)平臺(tái)。本節(jié)主要分析一下這些主流云平臺(tái)的安全防護(hù)策略。

3.1 亞馬遜Web Service

亞馬遜Web Service云計(jì)算平臺(tái)是現(xiàn)階段市場(chǎng)占有率最大的云計(jì)算平臺(tái)，其防護(hù)策略主要包括以下幾個(gè)主要方面： Https安全網(wǎng)絡(luò)通信技術(shù)用以保證用戶(hù)和云平臺(tái)之間的網(wǎng)絡(luò)通信安全；防火墻規(guī)則用于防范拒絕服務(wù)攻擊等，另外，防火墻規(guī)則可由用戶(hù)自行設(shè)定從而使用戶(hù)可自行靈活配置訪(fǎng)問(wèn)策略；亞馬遜的AWS通過(guò) Identity and Access Management （IAM）授權(quán)管理工具來(lái)對(duì)用戶(hù)的訪(fǎng)問(wèn)進(jìn)行管理；多重認(rèn)證；允許用戶(hù)創(chuàng)建私有子網(wǎng)，私有子網(wǎng)的網(wǎng)絡(luò)安全防護(hù)可由用戶(hù)自行O置，這是額外增加的一層安全防護(hù)；支持用戶(hù)數(shù)據(jù)加密和密鑰管理，另外還可對(duì)密鑰進(jìn)行加密存儲(chǔ)Trusted Advisor服務(wù)監(jiān)控用于監(jiān)控用戶(hù)操作和云平臺(tái)資源、配置可能存在的漏洞；支持專(zhuān)用數(shù)據(jù)連接。

3.2 各平臺(tái)安全防護(hù)總結(jié)和分析

綜合分析亞馬遜的AWS，微軟的Azure和谷歌的 Cloud的云安全防護(hù)措施，它們都擁有很多的共性，都是提供鏡像隔離機(jī)制和一些已有的安全技術(shù)進(jìn)行安全防護(hù)，對(duì)某些關(guān)鍵點(diǎn)加強(qiáng)防護(hù)。這些防護(hù)措施已經(jīng)能起到很好的效果，有一定的多層次深度防御特性，但也存在不少缺點(diǎn)：

（1）亞馬遜的AWS，微軟的Azure和谷歌的 Cloud都使用了大量的支撐技術(shù)和開(kāi)源代碼，這些支撐技術(shù)和開(kāi)源代碼大多未考慮在云計(jì)算場(chǎng)景下的安全需求，這就使得在云計(jì)算場(chǎng)景下，這些支撐技術(shù)和開(kāi)源代碼本身就存在一些漏洞，有的漏洞還未被發(fā)現(xiàn)，云計(jì)算平臺(tái)在未來(lái)有可能會(huì)因?yàn)檫@些漏洞被逐漸發(fā)現(xiàn)而受到攻擊，也就是說(shuō)，云計(jì)算平臺(tái)應(yīng)該對(duì)這些支撐技術(shù)進(jìn)行改進(jìn)以使其適應(yīng)開(kāi)放的云計(jì)算平臺(tái)；

（2）傳統(tǒng)的安全防護(hù)方案在云計(jì)算平臺(tái)下有些可以直接使用，但有的并不能直接適用，從安全模式來(lái)看，在云環(huán)境下，每一個(gè)節(jié)點(diǎn)都可能會(huì)受到攻擊，而對(duì)傳統(tǒng)網(wǎng)絡(luò)安全來(lái)說(shuō)，一般有防火墻和入侵檢測(cè)就能夠滿(mǎn)足要求。從數(shù)據(jù)存儲(chǔ)來(lái)看，在云環(huán)境下，數(shù)據(jù)存儲(chǔ)在云端比在內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)安全更加難以控制。從技術(shù)差異來(lái)看，云平臺(tái)是建立在虛擬化技術(shù)基礎(chǔ)之上的，而傳統(tǒng)網(wǎng)絡(luò)是沒(méi)有虛擬化技術(shù)的。傳統(tǒng)企業(yè)安全防護(hù)方案重在對(duì)通信安全防護(hù)和阻止外部攻擊，對(duì)于來(lái)自?xún)?nèi)部其他用戶(hù)的隔離防護(hù)以及內(nèi)部人員的惡意攻擊行為防護(hù)較少。

4 結(jié)語(yǔ)

本章為相關(guān)技術(shù)分析，對(duì)各個(gè)云平臺(tái)安全防護(hù)技術(shù)進(jìn)行了總結(jié)和分析，主要包括Amazon Web Service、微軟 Azure和Google Cloud。

云計(jì)算就是通過(guò)大規(guī)模的分布式計(jì)算為消費(fèi)者提供相關(guān)服務(wù)，云平臺(tái)由集群的虛擬化計(jì)算機(jī)組成，通過(guò)統(tǒng)一的接口以面向服務(wù)的形式為用戶(hù)提供服務(wù)，在現(xiàn)階段，云計(jì)算平臺(tái)提出了三種服務(wù)模式，即基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)和軟件即服務(wù)，基礎(chǔ)設(shè)施即服務(wù)提供包括數(shù)據(jù)處理、存儲(chǔ)等服務(wù)，平臺(tái)即服務(wù)提供給用戶(hù)按自身需求在云服務(wù)提供商的平臺(tái)上構(gòu)建主機(jī)應(yīng)用，軟件即服務(wù)即通過(guò)云平臺(tái)使用軟件服務(wù)提供商提供的服務(wù)。

當(dāng)前，基礎(chǔ)設(shè)施即服務(wù)，平臺(tái)即服務(wù)，軟件即服務(wù)之間的界限已經(jīng)越來(lái)越模糊，三種模型有日趨融合之勢(shì)，云服務(wù)商大多也開(kāi)始從提供單一服務(wù)向提供多種服務(wù)轉(zhuǎn)變。綜合的云平臺(tái)比單一的云平臺(tái)面臨更多的安全問(wèn)題，任何一個(gè)組件或者支撐技術(shù)出現(xiàn)安全問(wèn)題都可能會(huì)影響到整個(gè)云平臺(tái)的安全。

參考文獻(xiàn)

[1]李程遠(yuǎn).云平臺(tái)信息安全整體保護(hù)技術(shù)研究[J].信息安全與技術(shù)，2011（09）：1-5.

[2]孔丹.基于云平臺(tái)的安全審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與通信保密，2013（10）：6.

[3]吳文典.云平臺(tái)信息安全整體保護(hù)技術(shù)研究[J].信息安全與技術(shù)，2014（02）：12-13.

[4]LM Kaufman.Data security in the world of cloud computing. Security & Privacy，2009，14（01）：33-38.

云計(jì)算安全防護(hù)技術(shù)范文2

陷入困境的虛擬世界安全

得益于IT物理架構(gòu)成熟的安全防御體系，數(shù)據(jù)中心里進(jìn)出的流量（與外網(wǎng)交互的南北向數(shù)據(jù)流）現(xiàn)在已經(jīng)能夠進(jìn)行有效的管控與防護(hù)，但數(shù)據(jù)中心內(nèi)部虛機(jī)之間的數(shù)據(jù)訪(fǎng)問(wèn)對(duì)于用戶(hù)而言卻還是一團(tuán)迷霧，看不到更無(wú)法管控。

很多用戶(hù)所租用的虛擬機(jī)都放在同一臺(tái)服務(wù)器里，沒(méi)有采取任何防護(hù)措施，用戶(hù)無(wú)法及時(shí)獲悉其租用虛擬機(jī)的安全狀況，也不清楚相鄰其他虛擬機(jī)是否存在異常，更不知道虛擬機(jī)之間交互的數(shù)據(jù)是否暗藏殺機(jī)。堡壘往往最容易從內(nèi)部被攻破，數(shù)據(jù)中心內(nèi)部虛機(jī)之間的數(shù)據(jù)訪(fǎng)問(wèn)幾乎毫無(wú)限制，一旦某個(gè)虛機(jī)被惡意控制，威脅將很輕松的在數(shù)據(jù)中心內(nèi)部擴(kuò)展。

另外，云計(jì)算最大的特點(diǎn)就是能夠應(yīng)需而動(dòng)，那么云端的安全也需要能夠隨機(jī)應(yīng)變，隨著數(shù)據(jù)中心的擴(kuò)展同步進(jìn)行動(dòng)態(tài)擴(kuò)展。所以，云端需要安全可視化，需要云端安全可控、可擴(kuò)展、可遷移，要做到可管、可靠、可信。

其實(shí)虛擬機(jī)的安全問(wèn)題早已引起人們的注意，安全企業(yè)紛紛推出各類(lèi)產(chǎn)品，力圖解決虛擬環(huán)境里的安全危機(jī)，例如為每個(gè)租戶(hù)提供單防火墻虛機(jī)，或者將防火墻功能插入虛擬機(jī)管理程序?qū)又械鹊取５嗟膯?wèn)題也隨之出現(xiàn)：無(wú)法滿(mǎn)足云計(jì)算的動(dòng)態(tài)擴(kuò)展需求、會(huì)給數(shù)據(jù)中心帶來(lái)額外負(fù)擔(dān)、增加虛擬機(jī)管理壓力……可擴(kuò)展性、與云平臺(tái)的對(duì)接是做虛擬化安全最困難的地方，每個(gè)云平臺(tái)都有不同的管理系統(tǒng)，而且不同的虛擬平臺(tái)架構(gòu)也需要進(jìn)行適應(yīng)。

微隔離給虛擬機(jī)穿上防護(hù)服

在充分考慮了上述問(wèn)題后，山石網(wǎng)科決定給每個(gè)虛機(jī)穿上一套緊身高彈性安全防護(hù)服――將其安全防護(hù)能力深度插入到虛擬化環(huán)境中，做到每個(gè)虛擬機(jī)跟外部網(wǎng)絡(luò)或內(nèi)部其它虛擬機(jī)之間通信的精細(xì)監(jiān)控，但有敢伸出罪惡黑手者，立馬斬?cái)嘀∵@就是山石網(wǎng)科所獨(dú)創(chuàng)的微隔離虛擬機(jī)安全防護(hù)技術(shù)，而其具體的產(chǎn)品形態(tài)就是“山石云?格”。

山石云?格包括1個(gè)vSOM、2個(gè)vSCM，以及最多可擴(kuò)展至200個(gè)的vSSM，預(yù)計(jì)可實(shí)現(xiàn)對(duì)6000個(gè)VM的保護(hù)。山石云?格可以透明的部署在虛擬化環(huán)境中，部署在VMWare、KVM里。其流量可視化功能，可以幫助用戶(hù)看清虛擬機(jī)之間的通信流量。而深入到虛擬機(jī)的微隔離，可以對(duì)任何網(wǎng)段虛擬機(jī)之間的流量進(jìn)行細(xì)粒度訪(fǎng)問(wèn)控制。在此基礎(chǔ)上，山石云.格還提供深度包檢測(cè)、防火墻、入侵防御以及分布式拒絕服務(wù)攻擊（DDoS）防護(hù)功能。

不僅健康的虛擬機(jī)能夠?yàn)樯绞?格所保護(hù)，那些已經(jīng)被惡意控制的虛擬機(jī)也能夠被山石云?格及時(shí)發(fā)現(xiàn)，并進(jìn)行安全隔離，阻斷其繼續(xù)感染、攻擊其他虛擬機(jī)。對(duì)于用戶(hù)而言，還有兩個(gè)好消息是，山石云?格不僅不會(huì)給虛擬環(huán)境帶來(lái)任何負(fù)擔(dān)，而且不受VMWare演進(jìn)升級(jí)的影響。

云計(jì)算安全防護(hù)技術(shù)范文3

社會(huì)經(jīng)濟(jì)的發(fā)展和網(wǎng)絡(luò)技術(shù)的進(jìn)步催生出一個(gè)全新的名詞“云計(jì)算”。云計(jì)算這一概念始創(chuàng)于2007年，它以應(yīng)用計(jì)算機(jī)技術(shù)為基礎(chǔ)，以互聯(lián)網(wǎng)發(fā)展為前提，為客戶(hù)提供更加安全可靠的數(shù)據(jù)儲(chǔ)存方式的同時(shí)以其強(qiáng)大的計(jì)算能力為人們的工作或?qū)W習(xí)提供了無(wú)限的便利。但是在網(wǎng)絡(luò)信息技術(shù)交互性和開(kāi)放性的特點(diǎn)下，云計(jì)算在實(shí)際運(yùn)用中不可避免地存在著一系列的網(wǎng)絡(luò)安全問(wèn)題。而要更大程度地發(fā)揮云計(jì)算的效力，就需要立足于云計(jì)算的發(fā)展現(xiàn)狀解決其中存在的問(wèn)題。文章首先對(duì)云計(jì)算的概念及特點(diǎn)進(jìn)行進(jìn)一步的闡釋?zhuān)治霈F(xiàn)階段云計(jì)算運(yùn)用時(shí)存在的網(wǎng)絡(luò)安全問(wèn)題及其相應(yīng)的解決措施。

關(guān)鍵詞：

云計(jì)算 網(wǎng)絡(luò)安全問(wèn)題 概念特點(diǎn) 解決措施

云計(jì)算（cloudcomputing）依托于網(wǎng)絡(luò)技術(shù)的進(jìn)步而發(fā)展，作為一項(xiàng)新興的技術(shù)，云計(jì)算的出現(xiàn)不僅打破了用戶(hù)傳統(tǒng)使用計(jì)算機(jī)的方式，也進(jìn)一步推動(dòng)了信息化時(shí)代的發(fā)展。云計(jì)算的涉及領(lǐng)域很廣，由許多信息網(wǎng)絡(luò)技術(shù)相互融合而產(chǎn)生，但是因?yàn)槌霈F(xiàn)時(shí)間較短，其中很多技術(shù)比如Web數(shù)據(jù)集成、個(gè)人數(shù)據(jù)空間管理、數(shù)據(jù)外包服務(wù)以及移動(dòng)上網(wǎng)等還不是十分成熟，對(duì)于隱私的保護(hù)還不能盡如人意，但是相信隨著時(shí)間的發(fā)展，云計(jì)算將會(huì)改變現(xiàn)有用戶(hù)對(duì)網(wǎng)絡(luò)的認(rèn)知，將信息網(wǎng)絡(luò)發(fā)展推向一個(gè)新。

1云計(jì)算的概念及其特點(diǎn)

客觀(guān)來(lái)看，云計(jì)算并非一個(gè)具體的技術(shù)而是多項(xiàng)技術(shù)的整合。之所以將其稱(chēng)為云計(jì)算是因?yàn)楸旧砭哂泻芏喱F(xiàn)實(shí)云的特征：規(guī)模很大，無(wú)法確定其具置，邊界模糊，可動(dòng)態(tài)伸縮等。雖然現(xiàn)在對(duì)于云計(jì)算這一概念還沒(méi)有一個(gè)確切的定義，但是簡(jiǎn)單來(lái)說(shuō)，云計(jì)算就是建立在網(wǎng)絡(luò)技術(shù)上的數(shù)據(jù)處理庫(kù)，但是由于其規(guī)模極大，性能極強(qiáng)，能夠通過(guò)一個(gè)數(shù)據(jù)中心向多個(gè)設(shè)備或者用戶(hù)提供多重?cái)?shù)據(jù)服務(wù)，幫助使用者用以最少的空間獲得最大的信息來(lái)源。因此，云計(jì)算的核心所在便是資源與網(wǎng)絡(luò)，由網(wǎng)絡(luò)組建的巨大服務(wù)器集群能夠極大地提升資源的使用效率與平臺(tái)的服務(wù)質(zhì)量。從云計(jì)算的研究現(xiàn)狀來(lái)看，云計(jì)算大致呈現(xiàn)出幾個(gè)特點(diǎn)：首先，規(guī)模極大且虛擬性極強(qiáng)。迄今為止，已經(jīng)有幾百萬(wàn)臺(tái)的服務(wù)器支撐著云計(jì)算的運(yùn)轉(zhuǎn)與數(shù)據(jù)的存儲(chǔ)，同時(shí)通過(guò)網(wǎng)絡(luò)技術(shù)的即時(shí)傳播，用戶(hù)能夠在任何位置、任何地點(diǎn)獲取到服務(wù)。同時(shí)，由于請(qǐng)求的“云”并非實(shí)體，云計(jì)算在實(shí)際運(yùn)行中也顯示出超強(qiáng)的虛擬性。其次，按需收費(fèi)但價(jià)格低廉。云計(jì)算能夠向終端提供各種資源，但是用戶(hù)需要向平臺(tái)繳納一定的費(fèi)用，但是在公用性與通用性極強(qiáng)的特點(diǎn)下，“云計(jì)算”的資源利用率極高，這也使得云計(jì)算的收費(fèi)極為低廉。當(dāng)然，云計(jì)算也具有極高的拓展性，不斷地進(jìn)行資源獲取與資源處理以便更好地滿(mǎn)足用戶(hù)及其應(yīng)用不斷增長(zhǎng)的信息需求。

2現(xiàn)階段云計(jì)算在實(shí)際運(yùn)用中面臨的網(wǎng)絡(luò)安全問(wèn)題

2.1客戶(hù)端信息的安全

就現(xiàn)階段云計(jì)算的運(yùn)作現(xiàn)狀來(lái)看，云計(jì)算是建立在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上的大型信息處理庫(kù)，而在系統(tǒng)中的每一臺(tái)計(jì)算機(jī)都被認(rèn)為云計(jì)算的一個(gè)節(jié)點(diǎn)。換句話(huà)說(shuō)，一旦一臺(tái)計(jì)算機(jī)被接入網(wǎng)絡(luò)，那么其中的信息就極有可能成為“云”資源的一部分。這就涉及隱私保護(hù)問(wèn)題，如果沒(méi)有做好信息安全防護(hù)，造成一些私密信息泄露，對(duì)于一些特殊機(jī)構(gòu)如政府、醫(yī)院、軍隊(duì)等來(lái)說(shuō)將是極為沉重的打擊。同時(shí)，如果大量的病患信息、軍事機(jī)密、政府信息等泄出，也會(huì)造成整個(gè)社會(huì)的不穩(wěn)定。

2.2服務(wù)器端的信息安全

當(dāng)前，云計(jì)算發(fā)展中存在的最大障礙便是安全性與隱私性的保護(hù)問(wèn)題。立足于服務(wù)器端的信息安全問(wèn)題來(lái)看，數(shù)據(jù)的擁有者一旦選擇讓別人儲(chǔ)存數(shù)據(jù)，那么其中的不可控因素便會(huì)大為增強(qiáng)。比如一家投資銀行的員工在利用谷歌在做員工社會(huì)保障號(hào)碼清單時(shí)，實(shí)際上進(jìn)行了隱私保護(hù)和安全保護(hù)職能的轉(zhuǎn)移，銀行不再保有對(duì)數(shù)據(jù)保密以保證數(shù)據(jù)不受黑客侵襲的職責(zé)，相反這些責(zé)任落在了谷歌身上。在不通知數(shù)據(jù)所有者的基礎(chǔ)上，政府調(diào)查人員有權(quán)讓谷歌提供這一部分社會(huì)保障號(hào)碼。就最近頻發(fā)的各類(lèi)信息泄露事件以及企業(yè)數(shù)據(jù)丟失數(shù)據(jù)事件如2007年轟動(dòng)一時(shí)的TJXX零售商信用卡信息泄露等情況來(lái)看，云計(jì)算服務(wù)器端的信息安全現(xiàn)狀不容樂(lè)觀(guān)。

3解決當(dāng)前云計(jì)算安全問(wèn)題的具體措施

3.1建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系

云計(jì)算的突出特點(diǎn)就是虛擬性極強(qiáng)，這也成為云計(jì)算服務(wù)商向用戶(hù)提供“有償服務(wù)”的重要媒介和關(guān)鍵性技術(shù)。同時(shí)，在信息網(wǎng)絡(luò)時(shí)代下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、儲(chǔ)存資源及其相關(guān)配套應(yīng)用資源的發(fā)展和完善都是建立在虛擬化技術(shù)發(fā)展的前提下的。因此，在解決云計(jì)算安全問(wèn)題時(shí)也需要緊緊圍繞虛擬化這一關(guān)鍵性技術(shù)，以用戶(hù)的需求與體驗(yàn)感受為導(dǎo)向，為用戶(hù)提供更為科學(xué)、有效的應(yīng)用資源合理分配方案，提供更具個(gè)性化的存儲(chǔ)計(jì)算方法。同時(shí)，在虛擬化技術(shù)發(fā)展運(yùn)用過(guò)程中還需要構(gòu)建實(shí)例間的邏輯隔離，利用基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)用戶(hù)信息間的分流隔斷，保障用戶(hù)的數(shù)據(jù)安全。各大云計(jì)算服務(wù)商在優(yōu)化升級(jí)時(shí)要牢記安全在服務(wù)中的重要性，破除由網(wǎng)絡(luò)交互性等特點(diǎn)帶來(lái)的系列弊端。

3.2建設(shè)高性能更可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系

云計(jì)算中的流量模型在運(yùn)行環(huán)境時(shí)在不同時(shí)段或者不同運(yùn)行模塊中會(huì)產(chǎn)生一定的變化，在進(jìn)行云計(jì)算安全防護(hù)時(shí)就需要進(jìn)一步完善安全防護(hù)體系，建設(shè)更可靠的高性能網(wǎng)絡(luò)節(jié)點(diǎn)，提升網(wǎng)絡(luò)架構(gòu)整體穩(wěn)定性。但是在當(dāng)前的企業(yè)私有云建設(shè)時(shí)不可避免地會(huì)存在大流量在高速鏈路匯聚的情況，安全設(shè)備如果不進(jìn)行性能上的提升，數(shù)據(jù)極有可能出現(xiàn)泄漏。因此，要提升安全設(shè)備對(duì)高密度接口（一般在10G以上）的處理能力，安全設(shè)備要與各種安全業(yè)務(wù)引擎緊密配合，實(shí)現(xiàn)云計(jì)算中對(duì)云規(guī)模的合理配置。但是，考慮到云計(jì)算業(yè)務(wù)的連續(xù)發(fā)展性，設(shè)備不僅要具有較高性能，還需要更可靠。雖然近年來(lái)在這個(gè)方面已經(jīng)取得了可喜的成就，如雙機(jī)設(shè)備、配套同步等的引入與優(yōu)化，但是云計(jì)算實(shí)現(xiàn)大規(guī)模流量匯聚完全安全防護(hù)還有很長(zhǎng)一段路要走。

3.3以集中的安全服務(wù)中心對(duì)無(wú)邊界的安全防護(hù)

與傳統(tǒng)安全建設(shè)模型相比，云計(jì)算實(shí)現(xiàn)有效安全防護(hù)存在的一個(gè)突出的問(wèn)題便是“云”的無(wú)邊界性，但是就現(xiàn)代的科學(xué)技術(shù)條件來(lái)看，建成一個(gè)無(wú)邊界的安全防護(hù)網(wǎng)絡(luò)是極不現(xiàn)實(shí)的。因此，要盡快建立一個(gè)集中的安全服務(wù)中心，實(shí)現(xiàn)資源的高效整合。在集中的安全服務(wù)中心下，各個(gè)企業(yè)用戶(hù)在進(jìn)行云計(jì)算服務(wù)申請(qǐng)時(shí)能夠進(jìn)行信息數(shù)據(jù)的劃分隔離，打破傳統(tǒng)物理概念上的“安全邊界”。云計(jì)算的安全服務(wù)中心負(fù)責(zé)對(duì)整個(gè)安全服務(wù)進(jìn)行部署，它也取代了傳統(tǒng)防護(hù)體制下對(duì)云計(jì)算各子系統(tǒng)的安全防護(hù)。同時(shí)，集中的安全服務(wù)中心也顯現(xiàn)出極大的優(yōu)越性，能夠提供單獨(dú)的用戶(hù)安服務(wù)配置，進(jìn)一步節(jié)省了安全防護(hù)成本，提升了安全服務(wù)能力。

3.4充分利用云安全模式加強(qiáng)云端與客戶(hù)端的關(guān)聯(lián)耦合

利用云安全模式加強(qiáng)云端與客戶(hù)端的關(guān)聯(lián)耦合，簡(jiǎn)單來(lái)說(shuō)就是利用云端的超強(qiáng)極端能力幫助云安全模式下安全檢測(cè)與防護(hù)工作的運(yùn)行。新的云安全模型在傳統(tǒng)云安全模型的基礎(chǔ)上增加了客戶(hù)端的云威脅檢測(cè)與防護(hù)功能，其具體運(yùn)作情況為客戶(hù)端通過(guò)對(duì)不能識(shí)別的可疑流量進(jìn)行傳感測(cè)驗(yàn)并第一時(shí)間將其傳送至安全檢測(cè)中心，云計(jì)算對(duì)數(shù)據(jù)進(jìn)行解析并迅速定位，進(jìn)行安全協(xié)議的內(nèi)容及特征將可疑流量推送至安全網(wǎng)關(guān)處進(jìn)一步處理。總的來(lái)看，利用云安全模式加強(qiáng)云端與客戶(hù)端的關(guān)聯(lián)耦合可以提升整個(gè)云端及客戶(hù)端對(duì)未知威脅的監(jiān)測(cè)能力。

3.5在云計(jì)算中確保數(shù)據(jù)安全

對(duì)于普通云計(jì)算用戶(hù)可能缺少解決云計(jì)算安全漏洞的能力，但是在云計(jì)算使用過(guò)程中同樣可以采取一些措施對(duì)一些私密數(shù)據(jù)進(jìn)行保密。首先，可以在保存文件和信息時(shí)對(duì)其加密，加密雖然不能阻礙數(shù)據(jù)上傳但是可以有效減少數(shù)據(jù)信息泄露情況的發(fā)生。其次，要盡量使用信譽(yù)良好的服務(wù)，大的平臺(tái)、大的服務(wù)抵御安全風(fēng)險(xiǎn)的能力較強(qiáng)，也不屑于與營(yíng)銷(xiāo)商共享數(shù)據(jù)。同時(shí)，采用過(guò)濾器對(duì)數(shù)據(jù)進(jìn)行監(jiān)控與檢測(cè)，查看哪些數(shù)據(jù)離開(kāi)了網(wǎng)絡(luò)，防止敏感數(shù)據(jù)泄露。

4結(jié)語(yǔ)

云計(jì)算是網(wǎng)絡(luò)技術(shù)不斷發(fā)展的產(chǎn)物，為人們的生活提供了很多的便利。但是作為新生的事物，其安全性還存在一定的爭(zhēng)議。進(jìn)一步完善云計(jì)算的安全建設(shè)，確保用戶(hù)信息的安全與私密是云計(jì)算發(fā)展的重要前提之一。在新的時(shí)期，需要利用虛擬性技術(shù)、集中的安全服務(wù)中心、更可靠的高性能安全防護(hù)體系等提升云計(jì)算服務(wù)的安全可靠性，實(shí)現(xiàn)云計(jì)算技術(shù)的進(jìn)一步發(fā)展。

作者：蔡艷 蔡豪 單位：河南教育學(xué)院 河南廣播電視大學(xué)

[參考文獻(xiàn)]

[1]張超.云計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估研究與分析[D].北京：北京郵電大學(xué)，2014.

[2]李菊茵.云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題及應(yīng)對(duì)措施探討[J].通訊世界，2015（9）:15-16.

[3]荊宜青.云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題及應(yīng)對(duì)措施探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（9）:75-76.

云計(jì)算安全防護(hù)技術(shù)范文4

關(guān)鍵詞：風(fēng)電企業(yè)；信息網(wǎng)絡(luò)安全；防護(hù)體系

1 風(fēng)電企業(yè)信息網(wǎng)絡(luò)規(guī)劃和安全需求

1.1 風(fēng)電企業(yè)信息網(wǎng)絡(luò)規(guī)劃

一般情況下，風(fēng)電公司本部均設(shè)在遠(yuǎn)離下屬風(fēng)電場(chǎng)的城市中，下屬風(fēng)電場(chǎng)只做為單純的生產(chǎn)單元，以國(guó)電云南新能源公司為例，本部設(shè)在昆明，在云南省擁有多個(gè)地州上的風(fēng)電場(chǎng)，各項(xiàng)工作點(diǎn)多面廣、戰(zhàn)線(xiàn)長(zhǎng)，為有效提高公司管理效率，已建成全省范圍安全可靠信息傳輸網(wǎng)絡(luò)。本部與各風(fēng)電場(chǎng)通過(guò)ISP提供的專(zhuān)線(xiàn)連接，項(xiàng)目部、外地出差、臨時(shí)辦公機(jī)構(gòu)也能通過(guò)INTERNET網(wǎng)以VPN方式聯(lián)入公司網(wǎng)絡(luò)，基本滿(mǎn)足公司日常管理和安全生產(chǎn)的需要。

圖1

1.2風(fēng)電企業(yè)信息網(wǎng)絡(luò)安全需求分析

從圖1可以看出，一般現(xiàn)在風(fēng)電場(chǎng)的網(wǎng)絡(luò)不僅要滿(mǎn)足管理的日常信息化需求，還要滿(mǎn)足于電網(wǎng)交換信息的需求，所以風(fēng)電場(chǎng)的網(wǎng)絡(luò)安全任務(wù)就是要符合國(guó)家和集團(tuán)的有關(guān)電力二次安全規(guī)定。嚴(yán)格執(zhí)行“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的要求，以防范對(duì)電網(wǎng)和風(fēng)電場(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障其安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。

2 風(fēng)電企業(yè)信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

2.1 網(wǎng)絡(luò)安全原則

根據(jù)國(guó)家電監(jiān)辦安全[2012]157號(hào)文《關(guān)于印發(fā)風(fēng)電、光伏和燃?xì)怆姀S(chǎng)二次系統(tǒng)安全防護(hù)技術(shù)規(guī)定（試行）的通知》的相關(guān)要求，風(fēng)電場(chǎng)的網(wǎng)絡(luò)二次安全防護(hù)基本原則是以下幾點(diǎn)：

2.1.1 安全分區(qū)：按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》，將發(fā)電廠(chǎng)基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理性，重點(diǎn)保護(hù)生產(chǎn)控制以及直接影響電力生產(chǎn)運(yùn)行的系統(tǒng)。

2.1.2 網(wǎng)絡(luò)專(zhuān)用：電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專(zhuān)用網(wǎng)絡(luò)，發(fā)電廠(chǎng)段的電力數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，物理上與發(fā)電廠(chǎng)其他管理網(wǎng)絡(luò)和外部公共信息網(wǎng)絡(luò)安全隔離。

2.1.3 橫向隔離：在生產(chǎn)控制大區(qū)域管理信息大區(qū)之間必須部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向隔離裝置。

2.1.4 縱向認(rèn)證：發(fā)電廠(chǎng)生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪(fǎng)問(wèn)控制。

2.2 安全部署方案

風(fēng)電場(chǎng)業(yè)務(wù)系統(tǒng)較為繁多，根據(jù)相關(guān)規(guī)定，我們對(duì)風(fēng)電場(chǎng)的業(yè)務(wù)系統(tǒng)基本分區(qū)見(jiàn)表1：

根據(jù)劃分結(jié)果，我們針對(duì)不同的分區(qū)之間設(shè)定了防護(hù)方案，部署示意圖如圖2：

2.2.1生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護(hù)：目前公司從生產(chǎn)控制大區(qū)內(nèi)接出的數(shù)據(jù)只有風(fēng)電場(chǎng)監(jiān)控系統(tǒng)，部署了一套珠海鴻瑞生產(chǎn)的Hrwall-85M-II單比特百兆網(wǎng)閘，保證他們之間的數(shù)據(jù)是完全單向的由生產(chǎn)控制大區(qū)流向管理信息大區(qū)。

2.2.2控制區(qū)與非控制區(qū)邊界安全防護(hù)：在風(fēng)電場(chǎng)監(jiān)控系統(tǒng)與風(fēng)功率預(yù)測(cè)系統(tǒng)、狀態(tài)監(jiān)測(cè)系統(tǒng)等進(jìn)行信息交換的網(wǎng)絡(luò)邊界處安裝了防火墻和符合電網(wǎng)規(guī)定的正方向隔離裝置。

2.2.3系統(tǒng)間的安全防護(hù)：風(fēng)電場(chǎng)同屬控制區(qū)的各監(jiān)控系統(tǒng)之間采用了具有訪(fǎng)問(wèn)控制功能的防火墻進(jìn)行邏輯隔離。

2.2.4縱向邊界防護(hù)：風(fēng)電場(chǎng)生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)之間采用了符合國(guó)家安全檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置，并配有加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，與調(diào)度段實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)和訪(fǎng)問(wèn)控制。

2.2.5與本部網(wǎng)絡(luò)邊界安全防護(hù)：風(fēng)電場(chǎng)監(jiān)控系統(tǒng)與生產(chǎn)廠(chǎng)家、公司SIS系統(tǒng)之間進(jìn)行數(shù)據(jù)交換，均采用了符合國(guó)家和集團(tuán)規(guī)定的單向單比特隔離網(wǎng)閘。同時(shí)禁止廠(chǎng)商以任何方式遠(yuǎn)程直接接入風(fēng)電場(chǎng)網(wǎng)絡(luò)。

2.3 防病毒措施

從某種意義上說(shuō)，防止病毒對(duì)網(wǎng)絡(luò)的危害關(guān)系到整個(gè)系統(tǒng)的安全。防病毒軟件要求覆蓋所有服務(wù)器及客戶(hù)端。對(duì)關(guān)鍵服務(wù)器實(shí)時(shí)查毒，對(duì)于客戶(hù)端定期進(jìn)行查毒，制定查毒策略，并備有查殺記錄。病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。病毒的防護(hù)應(yīng)該覆蓋所有生產(chǎn)控制大區(qū)和管理信息大區(qū)的主機(jī)與工作站。特別在風(fēng)電場(chǎng)要建立獨(dú)立的防病毒中心，病毒特征碼要求必須以離線(xiàn)的方式及時(shí)更新。

2.4 其他安全防護(hù)措施

2.4.1 數(shù)據(jù)與系統(tǒng)備份。對(duì)風(fēng)電場(chǎng)SIS系統(tǒng)和MIS系統(tǒng)等關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。

2.4.2 主機(jī)防護(hù)。主機(jī)安全防護(hù)主要的方式包括：安全配置、安全補(bǔ)丁、安全主機(jī)加固。

安全配置：通過(guò)合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。禁止不必要的應(yīng)用，作為調(diào)度業(yè)務(wù)系統(tǒng)的專(zhuān)用主機(jī)或者工作站， 嚴(yán)格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。

安全補(bǔ)丁：通過(guò)及時(shí)更新系統(tǒng)安全補(bǔ)丁，消除系統(tǒng)內(nèi)核漏洞與后門(mén)。

主機(jī)加固：安裝主機(jī)加固軟件，強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系統(tǒng)的資源（包括數(shù)據(jù)與進(jìn)程）的訪(fǎng)問(wèn)符合定義的主機(jī)安全策略，防止主機(jī)權(quán)限被濫用。

3 建立健全安全管理的工作體系

安全防護(hù)工作涉及企業(yè)的建設(shè)、運(yùn)行、檢修和信息化等多個(gè)部門(mén)，是跨專(zhuān)業(yè)的系統(tǒng)性工作，加強(qiáng)和規(guī)范管理是確實(shí)保障電力二次系統(tǒng)的重要措施，管理到位才能杜絕許多不安全事件的發(fā)生。因此建立健全安全管理的工作體系，第一是要建立完善的安全管理制度，第二是要明確各級(jí)的人員的安全職責(zé)。

參考文獻(xiàn)

[1]李艷.水電企業(yè)信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)探討[J].信息安全，2012（9）.

云計(jì)算安全防護(hù)技術(shù)范文5

【 關(guān)鍵詞 】 大數(shù)據(jù)；電網(wǎng)安全；防護(hù)策略

1 引言

電力系統(tǒng)在國(guó)家基礎(chǔ)設(shè)施建設(shè)中具有十分重要的地位。隨著云計(jì)算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展，電力系統(tǒng)的數(shù)字化、信息化、智能化程度越來(lái)越高。新技術(shù)在推動(dòng)電網(wǎng)企業(yè)不斷發(fā)展的同時(shí)，也帶來(lái)了一系列安全問(wèn)題，構(gòu)成了較大的威脅與挑戰(zhàn)。本文著眼于大數(shù)據(jù)時(shí)代下的電網(wǎng)企業(yè)安全，系統(tǒng)分析了電網(wǎng)企業(yè)面臨的主要威脅，并針對(duì)性地提出安全防護(hù)策略，為電網(wǎng)企業(yè)安全建設(shè)與應(yīng)用提供指導(dǎo)。

2 大數(shù)據(jù)發(fā)展現(xiàn)狀

2.1 大數(shù)據(jù)推動(dòng)社會(huì)進(jìn)步

大數(shù)據(jù)（Big Data）是指所涉及的數(shù)據(jù)量規(guī)模巨大到無(wú)法通過(guò)人工在合理時(shí)間內(nèi)達(dá)到截取、管理、處理，并整理成為幫助企業(yè)經(jīng)營(yíng)決策更積極目的信息。

2011年，全球知名咨詢(xún)公司麥肯錫的研究報(bào)告，引起了IT界的廣泛關(guān)注。Google、IBM、EMC、Facebook等公司相繼開(kāi)展了大數(shù)據(jù)技術(shù)研究，并紛紛推出各自的大數(shù)據(jù)解決方案和相關(guān)產(chǎn)品，例如Google公司的MapReduce、GFS，Apache組織推出的Hadoop大數(shù)據(jù)分析框架等。 2012年，美國(guó)政府聯(lián)合六大部門(mén)了高達(dá)2億美元的“大數(shù)據(jù)研究和發(fā)展計(jì)劃”，標(biāo)志著美國(guó)政府在政策層面將大數(shù)據(jù)提升到國(guó)家戰(zhàn)略層面，該計(jì)劃共投入了155個(gè)項(xiàng)目種類(lèi)，涉及國(guó)防、醫(yī)療、能源等多個(gè)領(lǐng)域。

我國(guó)也在不斷提高對(duì)大數(shù)據(jù)的認(rèn)識(shí)與應(yīng)用，認(rèn)為大數(shù)據(jù)在降低經(jīng)濟(jì)社會(huì)運(yùn)行成本和提高政府決策效率方面具有廣闊的應(yīng)用空間，許多呼聲要求盡快出臺(tái)中國(guó)的大數(shù)據(jù)發(fā)展戰(zhàn)略。能源、醫(yī)療、工業(yè)制造、金融、電信等行業(yè)率先投入了大量的人力物力進(jìn)行大數(shù)據(jù)創(chuàng)新實(shí)踐與應(yīng)用，著力解決本領(lǐng)域數(shù)據(jù)資源積累與有效轉(zhuǎn)換，輔助優(yōu)化企業(yè)運(yùn)營(yíng)與效率提升。

2.2 大數(shù)據(jù)推動(dòng)電網(wǎng)企業(yè)轉(zhuǎn)型發(fā)展

近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的不斷突破，智能電網(wǎng)成為電網(wǎng)企業(yè)發(fā)展的重要方向，并多次出現(xiàn)在政府工作報(bào)告中。智能電網(wǎng)（Smart Grid）是以物理電網(wǎng)為基礎(chǔ)，將現(xiàn)代先進(jìn)的傳感測(cè)量技術(shù)、通信技術(shù)、信息技術(shù)、計(jì)算機(jī)技術(shù)和控制技術(shù)與物理電網(wǎng)高度集成而形成的新型電網(wǎng)。智能電網(wǎng)能夠優(yōu)化整個(gè)電網(wǎng)企業(yè)的資源配置，實(shí)現(xiàn)電力的可靠、安全、經(jīng)濟(jì)、高效運(yùn)行和安全使用，支撐新一代電網(wǎng)安全生產(chǎn)和管理發(fā)展。隨著智能電網(wǎng)的加快部署與業(yè)務(wù)應(yīng)用的深化拓展，電網(wǎng)業(yè)務(wù)數(shù)據(jù)不斷豐富與擴(kuò)增，結(jié)構(gòu)化和非結(jié)構(gòu)化的電力數(shù)據(jù)中心不斷運(yùn)行，形成了規(guī)模龐大且結(jié)構(gòu)復(fù)雜的數(shù)據(jù)集合，這為智能電網(wǎng)優(yōu)化配置、電力服務(wù)行業(yè)發(fā)展提供了寶貴的數(shù)據(jù)資源，對(duì)電網(wǎng)企業(yè)“以電力生產(chǎn)為中心”的工作模式，向“以用戶(hù)為中心”的服務(wù)模式的轉(zhuǎn)型發(fā)展起了極大的推動(dòng)作用。

當(dāng)前，國(guó)家電網(wǎng)企業(yè)大數(shù)據(jù)建設(shè)尚處于試點(diǎn)研究階段，其主要涉及的領(lǐng)域與業(yè)務(wù)主要集中在電網(wǎng)企業(yè)的運(yùn)檢、營(yíng)銷(xiāo)、運(yùn)監(jiān)等各個(gè)環(huán)節(jié)，通過(guò)挖掘數(shù)據(jù)之間的關(guān)系與規(guī)律，提高電網(wǎng)企業(yè)在生產(chǎn)、經(jīng)營(yíng)、管理等方面的質(zhì)量與效率。例如開(kāi)展電網(wǎng)設(shè)備狀態(tài)監(jiān)測(cè)的大數(shù)據(jù)應(yīng)用，實(shí)現(xiàn)電網(wǎng)設(shè)備狀態(tài)的智能監(jiān)測(cè)，實(shí)時(shí)分析電網(wǎng)線(xiàn)損、配電負(fù)載等數(shù)據(jù)，及時(shí)發(fā)現(xiàn)電網(wǎng)企業(yè)運(yùn)行異常，為電網(wǎng)調(diào)度、交易和檢修提供支撐，提高電網(wǎng)企業(yè)的資源合理優(yōu)化。開(kāi)展用電信息與客戶(hù)服務(wù)的數(shù)據(jù)分析，實(shí)時(shí)反饋客戶(hù)購(gòu)電與用電信息，建立合理的分時(shí)階梯電價(jià)模型，促進(jìn)電力效能的整體優(yōu)化。同時(shí)，電網(wǎng)企業(yè)數(shù)據(jù)還能夠與其他互聯(lián)網(wǎng)、交通、經(jīng)濟(jì)等社會(huì)數(shù)據(jù)相融合，為經(jīng)濟(jì)宏觀(guān)發(fā)展、產(chǎn)業(yè)分布情況調(diào)查、公共事業(yè)管理提供有力支持。

3 電網(wǎng)企業(yè)大數(shù)據(jù)分析

3.1 電網(wǎng)企業(yè)大數(shù)據(jù)概念與特征

電網(wǎng)企業(yè)大數(shù)據(jù)旨在對(duì)電力生產(chǎn)與使用過(guò)程中產(chǎn)生的大規(guī)模數(shù)據(jù)進(jìn)行分析與處理，實(shí)現(xiàn)大數(shù)據(jù)對(duì)電網(wǎng)企業(yè)效能的“增值”。電網(wǎng)企業(yè)的數(shù)據(jù)主要包括三類(lèi)：一是電網(wǎng)企業(yè)的設(shè)備運(yùn)行數(shù)據(jù)，主要包括電網(wǎng)設(shè)備監(jiān)測(cè)數(shù)據(jù)、狀態(tài)數(shù)據(jù)等；二是電網(wǎng)企業(yè)的管理數(shù)據(jù)，主要包括跨單位、跨部門(mén)的電網(wǎng)企業(yè)職工數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等；三是電網(wǎng)企業(yè)的運(yùn)營(yíng)數(shù)據(jù)，主要包括客戶(hù)信息、客戶(hù)用電數(shù)據(jù)、電費(fèi)數(shù)據(jù)等。電力信息化委員會(huì)進(jìn)行了專(zhuān)項(xiàng)研究，并提出電網(wǎng)企業(yè)大數(shù)據(jù)具有3V、3E特征。

（1）數(shù)據(jù)體量大（Volume）：電網(wǎng)企業(yè)數(shù)據(jù)體量超大，并隨著智能電網(wǎng)的發(fā)展不斷擴(kuò)增。當(dāng)前，中國(guó)電網(wǎng)企業(yè)已經(jīng)采集了135TB的數(shù)據(jù)，并以每年90TB的數(shù)據(jù)在不斷增長(zhǎng)，規(guī)模十分龐大。

（2）數(shù)據(jù)類(lèi)型多（Varity）：隨著智能電網(wǎng)的不斷發(fā)展，電網(wǎng)企業(yè)大數(shù)據(jù)類(lèi)型也在不斷擴(kuò)增，除了傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)，以視頻、音頻、文本為主的非結(jié)構(gòu)化數(shù)據(jù)也在迅速增長(zhǎng)，這對(duì)現(xiàn)有的數(shù)據(jù)分析技術(shù)提出了新的挑戰(zhàn)。

（3）數(shù)據(jù)速度快（Velocity）：電力生產(chǎn)、傳輸、使用速度十分迅速，其產(chǎn)生的相關(guān)數(shù)據(jù)對(duì)“實(shí)時(shí)性”需求也十分緊迫，例如電力調(diào)度、運(yùn)維數(shù)據(jù)必須進(jìn)行實(shí)時(shí)處理，這直接關(guān)系到電網(wǎng)企業(yè)的公共服務(wù)質(zhì)量。

（4）數(shù)據(jù)即能量（Energy）：電網(wǎng)企業(yè)大數(shù)據(jù)的產(chǎn)生與應(yīng)用，就是電力能量不斷的釋放過(guò)程，對(duì)電網(wǎng)企業(yè)大數(shù)據(jù)的分析、處理與優(yōu)化，就是對(duì)基礎(chǔ)能源與基礎(chǔ)設(shè)施的優(yōu)化改進(jìn)。

（5）數(shù)據(jù)即交互（Exchange）：電網(wǎng)企業(yè)大數(shù)據(jù)的生產(chǎn)與利用，實(shí)質(zhì)上是與外部國(guó)民經(jīng)濟(jì)、社會(huì)成員不斷的數(shù)據(jù)交互，其具有顯著的交互特性。

（6）數(shù)據(jù)即共情（Empathy）：電網(wǎng)企業(yè)作為基礎(chǔ)服務(wù)行業(yè)，應(yīng)不斷改進(jìn)電網(wǎng)企業(yè)工作模式，建立電網(wǎng)企業(yè)與用戶(hù)的情感聯(lián)系，增進(jìn)兩者共情。

3.2 電網(wǎng)企業(yè)大數(shù)據(jù)安全威脅分析

大數(shù)據(jù)在電網(wǎng)企業(yè)具有廣闊的應(yīng)用前景與市場(chǎng)需求，電網(wǎng)企業(yè)大數(shù)據(jù)勢(shì)必會(huì)推動(dòng)電網(wǎng)企業(yè)向著更為優(yōu)質(zhì)、高效的服務(wù)方向前進(jìn)。同時(shí)，大數(shù)據(jù)時(shí)代的到來(lái)，對(duì)電網(wǎng)企業(yè)的安全帶來(lái)了一些新的威脅與挑戰(zhàn)，如何構(gòu)建多層次的安全防護(hù)體系，是未來(lái)電網(wǎng)企業(yè)發(fā)展中必須面臨的重要問(wèn)題。

大數(shù)據(jù)時(shí)代下電網(wǎng)企業(yè)工作模式如圖1所示：（1）電網(wǎng)企業(yè)物理設(shè)施采用分布式的物理部署方式，主要維持日常的電力生產(chǎn)、輸電、變電、配電、用電等操作，并利用設(shè)備監(jiān)控系統(tǒng)不斷實(shí)時(shí)采集所需數(shù)據(jù)，傳輸至電網(wǎng)企業(yè)大數(shù)據(jù)中心。同時(shí)，企業(yè)應(yīng)用平臺(tái)所需的非設(shè)備數(shù)據(jù)也將不斷采集與傳輸至電網(wǎng)企業(yè)大數(shù)據(jù)中心，為應(yīng)用平臺(tái)的運(yùn)行提供數(shù)據(jù)支撐；（2）電網(wǎng)企業(yè)大數(shù)據(jù)中心提供云存儲(chǔ)與云計(jì)算功能（也可將兩者分離），為企業(yè)應(yīng)用平臺(tái)提供所需的數(shù)據(jù)與計(jì)算服務(wù)；（3）面向不同的應(yīng)用（電力運(yùn)維、電力分配、企業(yè)管理、市場(chǎng)分析等），企業(yè)應(yīng)用平臺(tái)進(jìn)行相應(yīng)的數(shù)據(jù)分析與處理，自動(dòng)優(yōu)化與管理電力物理設(shè)施，提高電網(wǎng)企業(yè)的運(yùn)行效率。本文對(duì)電網(wǎng)企業(yè)存在的主要安全威脅進(jìn)行了系統(tǒng)分析，主要包括三個(gè)方面內(nèi)容。

（1）電網(wǎng)企業(yè)物理安全威脅。電網(wǎng)企業(yè)擁有大量的物理設(shè)備，包括變電站、輸配電線(xiàn)路等物理設(shè)備，這些設(shè)備是電網(wǎng)企業(yè)的核心，其安全性必須得到高度重視。隨著網(wǎng)絡(luò)物理系統(tǒng)（CPS：Cyber Physical Systems）與大數(shù)據(jù)在電網(wǎng)企業(yè)的不斷應(yīng)用，越來(lái)越多的安全問(wèn)題隨之產(chǎn)生。監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SCADA）是承載電力物理實(shí)體與網(wǎng)絡(luò)空間的連接紐帶，往往成為物理攻擊的重點(diǎn)突破方向。2010年，“震網(wǎng)”病毒武器通過(guò)網(wǎng)絡(luò)對(duì)伊朗布什爾核電站發(fā)動(dòng)攻擊，導(dǎo)致伊朗濃縮鈾工程約1/5的離心機(jī)報(bào)廢，極大延遲了伊朗的核進(jìn)程，并開(kāi)啟了世界各國(guó)對(duì)網(wǎng)絡(luò)物理系統(tǒng)安全的重視與管控。

（2）電網(wǎng)企業(yè)平臺(tái)安全威脅。電網(wǎng)企業(yè)的信息化程度越來(lái)越高，除了傳統(tǒng)的電力調(diào)度管理信息系統(tǒng)（DMIS）、企業(yè)管理信息系統(tǒng)（MIS）、企業(yè)辦公自動(dòng)化系統(tǒng)（OAS）等信息平臺(tái)之外，電網(wǎng)企業(yè)大數(shù)據(jù)平臺(tái)將會(huì)成為未來(lái)電網(wǎng)企業(yè)的核心公共平臺(tái)，它將對(duì)現(xiàn)有電網(wǎng)企業(yè)信息系統(tǒng)進(jìn)行數(shù)據(jù)接入，通過(guò)統(tǒng)一的數(shù)據(jù)融合、分析挖掘、可視化等功能服務(wù)建設(shè)，實(shí)現(xiàn)對(duì)電網(wǎng)企業(yè)的優(yōu)化配置。同時(shí)，以上電網(wǎng)企業(yè)平臺(tái)連接于不同安全等級(jí)的網(wǎng)絡(luò)中，在安全建設(shè)方面仍然存在一定的技術(shù)缺陷與安全隱患，隨著病毒、木馬、DDOS攻擊、APT攻擊等先進(jìn)網(wǎng)絡(luò)攻擊手段的技術(shù)提升，電網(wǎng)企業(yè)平臺(tái)安全成為未來(lái)電力系統(tǒng)能夠高效、穩(wěn)定運(yùn)行的關(guān)鍵。

（3）電網(wǎng)企業(yè)數(shù)據(jù)安全威脅。電網(wǎng)企業(yè)大數(shù)據(jù)中心的建設(shè)旨在將電網(wǎng)企業(yè)數(shù)據(jù)進(jìn)行集中匯總，實(shí)現(xiàn)數(shù)據(jù)采集、存儲(chǔ)、分析與應(yīng)用等服務(wù)。同時(shí)，大數(shù)據(jù)自身存在的安全威脅不可避免的影響未來(lái)電網(wǎng)企業(yè)的安全建設(shè)與應(yīng)用，主要包括電網(wǎng)企業(yè)大數(shù)據(jù)云存儲(chǔ)環(huán)境安全、電網(wǎng)企業(yè)大數(shù)據(jù)用戶(hù)隱私安全、電網(wǎng)企業(yè)大數(shù)據(jù)可控共享安全等眾多問(wèn)題，這對(duì)未來(lái)電網(wǎng)企業(yè)大數(shù)據(jù)的建設(shè)應(yīng)用提出了較高的需求。

4 電網(wǎng)企業(yè)縱深防護(hù)策略

針對(duì)大數(shù)據(jù)時(shí)代下電網(wǎng)企業(yè)的安全威脅，根據(jù)常見(jiàn)的網(wǎng)絡(luò)攻擊及電網(wǎng)企業(yè)信息化建設(shè)情況，本文從電網(wǎng)企業(yè)的物理環(huán)境安全防護(hù)、終端安全防護(hù)、邊界安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、應(yīng)用平臺(tái)安全防護(hù)、數(shù)據(jù)安全防護(hù)等技術(shù)層面提出如圖2所示的縱深防護(hù)策略，形成具有層次特性的電網(wǎng)企業(yè)安全防護(hù)體系，提高大數(shù)據(jù)時(shí)代下的電網(wǎng)企業(yè)安全。與此同時(shí)，在管理層面開(kāi)展相關(guān)的保障措施以保證防護(hù)工作的順利開(kāi)展。

4.1 物理環(huán)境安全防護(hù)

電網(wǎng)企業(yè)物理環(huán)境根據(jù)設(shè)備部署安裝位置的不同，選擇相應(yīng)的防護(hù)措施。大數(shù)據(jù)時(shí)代下的電網(wǎng)企業(yè)物理環(huán)境安全防護(hù)策略具體所述。

（1）室內(nèi)物理環(huán)境要按照國(guó)家電網(wǎng)公司信息化工程的安全防護(hù)總體方案，并按照等級(jí)保護(hù)對(duì)應(yīng)安全等級(jí)的物理安全要求進(jìn)行防護(hù)，確保電網(wǎng)企業(yè)室內(nèi)物理設(shè)備安全。

（2）室外物理設(shè)備如采集器、集中器、表計(jì)、信息采集類(lèi)終端等，其主體需安裝于室外設(shè)備機(jī)柜/機(jī)箱中，其安全防護(hù)要求應(yīng)遵循國(guó)家相關(guān)工業(yè)安全標(biāo)準(zhǔn)。同時(shí)，室外物理設(shè)備還需滿(mǎn)足國(guó)家對(duì)于電氣、環(huán)境、噪音、電磁、防腐蝕、防火、防雷、電源等要求。

4.2 終端安全防護(hù)

電網(wǎng)企業(yè)擁有配電網(wǎng)子站、信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)、移動(dòng)作業(yè)類(lèi)設(shè)備等多種類(lèi)型終端，對(duì)于不同終端，需要根據(jù)具體終端的類(lèi)型、應(yīng)用環(huán)境以及通信方式等選擇適宜的防護(hù)措施，具體的終端安全防護(hù)策略如下所述。

（1）配電網(wǎng)子站終端需要配置安全模塊，對(duì)來(lái)源于主站系統(tǒng)的控制命令和參數(shù)設(shè)置指令采取安全鑒別和數(shù)據(jù)完整性驗(yàn)證措施，以防范冒充主站對(duì)子站終端進(jìn)行攻擊，惡意操作電氣設(shè)備。

（2）信息內(nèi)外網(wǎng)辦公計(jì)算機(jī)終端需按照國(guó)家信息安全等級(jí)保護(hù)的要求實(shí)行分類(lèi)分級(jí)管理，根據(jù)確定的等級(jí)實(shí)施必要的安全防護(hù)措施。例如，內(nèi)網(wǎng)終端關(guān)閉FTP、Telnet等具有安全風(fēng)險(xiǎn)的服務(wù)，統(tǒng)一安裝殺毒軟件，定時(shí)更新病毒庫(kù)與漏洞補(bǔ)丁，有效防范木馬、蠕蟲(chóng)等惡意程序入侵。

（3）移動(dòng)作業(yè)類(lèi)終端嚴(yán)格執(zhí)行公司辦公終端嚴(yán)禁“內(nèi)外網(wǎng)機(jī)混用”原則，移動(dòng)終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入，確保移動(dòng)終端的接入安全。

4.3 邊界安全防護(hù)

電網(wǎng)企業(yè)網(wǎng)絡(luò)具有分層分區(qū)的特點(diǎn)，例如用于電力生產(chǎn)的電網(wǎng)生產(chǎn)控制大區(qū)，用于企業(yè)管理的管理信息大區(qū)等，在不同區(qū)的網(wǎng)絡(luò)邊界需要加強(qiáng)安全防護(hù)，使邊界的內(nèi)部不受來(lái)自外部的攻擊，具體的防護(hù)策略涉及幾個(gè)方面。

（1）在電網(wǎng)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。對(duì)于重點(diǎn)防護(hù)的調(diào)度中心、發(fā)電廠(chǎng)、變電站，在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處，應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置，或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪(fǎng)問(wèn)控制。

（2）在管理信息大區(qū)內(nèi)部，審核不同業(yè)務(wù)網(wǎng)絡(luò)密級(jí)與安全等級(jí)，在網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)的隔離保護(hù)。按照業(yè)務(wù)網(wǎng)絡(luò)的安全等級(jí)、用途以及實(shí)時(shí)性需求等評(píng)價(jià)指標(biāo)，對(duì)關(guān)鍵核心業(yè)務(wù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)進(jìn)行安全隔離，實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的資源訪(fǎng)問(wèn)限制。其中，可以采用的安全隔離技術(shù)包括三類(lèi)：（a）物理隔離技術(shù)，在物理上將內(nèi)部網(wǎng)與外部網(wǎng)分離，阻斷內(nèi)外網(wǎng)之間的連接；（b）協(xié)議隔離技術(shù)，在內(nèi)外網(wǎng)的連接端點(diǎn)處，配置協(xié)議隔離器實(shí)現(xiàn)內(nèi)外網(wǎng)的連通與阻斷；（4）防火墻隔離技術(shù)，在內(nèi)外網(wǎng)之間設(shè)置防火墻，利用防火墻配置實(shí)現(xiàn)數(shù)據(jù)流的檢測(cè)、限制與阻斷，實(shí)現(xiàn)內(nèi)外網(wǎng)之間的邏輯隔離。

4.4 網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)是連接電網(wǎng)企業(yè)物理設(shè)備、應(yīng)用平臺(tái)與數(shù)據(jù)的基礎(chǔ)環(huán)境，是整個(gè)電網(wǎng)企業(yè)正常運(yùn)轉(zhuǎn)的重要保障。當(dāng)前電網(wǎng)企業(yè)主要采用專(zhuān)用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)，其中專(zhuān)用網(wǎng)絡(luò)用以支撐電網(wǎng)企業(yè)的設(shè)備管理、調(diào)度管理、生產(chǎn)管理、資源管理等核心業(yè)務(wù)，并且不同業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)享有不同密級(jí)與安全等級(jí)，需要采取不同的防護(hù)策略。大數(shù)據(jù)時(shí)代下，電網(wǎng)企業(yè)的業(yè)務(wù)網(wǎng)絡(luò)將會(huì)不斷拓展，安全風(fēng)險(xiǎn)不斷增加，具體的防護(hù)策略如下所述。

（1）對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)基礎(chǔ)服務(wù)、網(wǎng)絡(luò)業(yè)務(wù)信息流等基礎(chǔ)網(wǎng)絡(luò)環(huán)境加強(qiáng)安全防護(hù)，采用訪(fǎng)問(wèn)控制、安全加固、監(jiān)控審計(jì)、身份鑒別、入侵檢測(cè)、資源控制等措施進(jìn)行網(wǎng)絡(luò)環(huán)境安全防護(hù)。

（2）針對(duì)信息資源的安全交換需求，構(gòu)建電網(wǎng)企業(yè)的業(yè)務(wù)虛擬專(zhuān)網(wǎng)（VPN）。在電網(wǎng)企業(yè)網(wǎng)絡(luò)中，有些重要數(shù)據(jù)與信息需要安全通信，考慮成本因素，建議在已有基礎(chǔ)網(wǎng)絡(luò)中建立安全通信機(jī)制，此時(shí)應(yīng)采用VPN技術(shù)。VPN采用隧道、信息加密、用戶(hù)認(rèn)證、訪(fǎng)問(wèn)控制等相關(guān)技術(shù)，建立數(shù)據(jù)加密的虛擬網(wǎng)絡(luò)隧道進(jìn)行信息傳輸，能夠有效防止敏感數(shù)據(jù)的竊取。

（3）采用先進(jìn)的網(wǎng)絡(luò)防護(hù)技術(shù)，增強(qiáng)網(wǎng)絡(luò)的安全性與彈性。網(wǎng)絡(luò)彈性是指網(wǎng)絡(luò)在遇到災(zāi)難事件時(shí)快速恢復(fù)和繼續(xù)運(yùn)行的能力，建立電網(wǎng)企業(yè)基礎(chǔ)網(wǎng)絡(luò)的一體化感知、檢測(cè)、響應(yīng)和恢復(fù)機(jī)制，采取硬件冗余、網(wǎng)絡(luò)疊加、虛擬化等方法提高企業(yè)網(wǎng)絡(luò)彈性。

4.5 應(yīng)用平臺(tái)安全防護(hù)

電網(wǎng)企業(yè)應(yīng)用平臺(tái)安全直接關(guān)系到各業(yè)務(wù)應(yīng)用的穩(wěn)定運(yùn)行，對(duì)電網(wǎng)企業(yè)應(yīng)用平臺(tái)進(jìn)行安全防護(hù)，可以有效避免電力業(yè)務(wù)的阻斷、擾亂、欺騙等破壞行為。為此，本文提出幾種防護(hù)策略。

（1）加強(qiáng)應(yīng)用平臺(tái)的安全測(cè)評(píng)，確保應(yīng)用平臺(tái)的安全可靠。在應(yīng)用平臺(tái)投入使用前，應(yīng)依賴(lài)第三方開(kāi)展測(cè)評(píng)，對(duì)應(yīng)用系統(tǒng)進(jìn)行全面、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，并制定相應(yīng)的安全保障措施，確保應(yīng)用平臺(tái)的安全可靠。

（2）加強(qiáng)應(yīng)用平臺(tái)的訪(fǎng)問(wèn)權(quán)限與訪(fǎng)問(wèn)控制。可以選擇采用下列訪(fǎng)問(wèn)控制技術(shù)：基于動(dòng)態(tài)和控制中心的訪(fǎng)問(wèn)控制、基于屬性的訪(fǎng)問(wèn)控制、基于域的訪(fǎng)問(wèn)控制、基于角色的訪(fǎng)問(wèn)控制等。

（3）記錄應(yīng)用平臺(tái)操作日志，便于調(diào)查取證與追蹤溯源。可以對(duì)用戶(hù)的訪(fǎng)問(wèn)記錄、操作記錄等信息進(jìn)行歸檔存儲(chǔ)，防范內(nèi)部人員進(jìn)行異常操作，為安全事件分析提供取證與溯源數(shù)據(jù)。

4.6 數(shù)據(jù)安全防護(hù)

大數(shù)據(jù)時(shí)代下電網(wǎng)企業(yè)，是以數(shù)據(jù)為中心進(jìn)行電力的生產(chǎn)、傳輸與應(yīng)用，因此，數(shù)據(jù)是電網(wǎng)企業(yè)的核心資源，需要受到高度重視。目前，大數(shù)據(jù)的應(yīng)用尚不成熟，相關(guān)技術(shù)產(chǎn)品也存在很多安全問(wèn)題，尤其是大數(shù)據(jù)的隱私保護(hù)、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)訪(fǎng)問(wèn)安全、數(shù)據(jù)追蹤溯源等問(wèn)題，仍然制約與困擾著大數(shù)據(jù)的發(fā)展。本文提出如下安全策略，用以提升電網(wǎng)企業(yè)大數(shù)據(jù)的安全應(yīng)用。

（1）加強(qiáng)電網(wǎng)企業(yè)數(shù)據(jù)的隱私安全，提高電網(wǎng)企業(yè)的可信度。電網(wǎng)企業(yè)擁有近乎國(guó)家人口規(guī)模的用戶(hù)數(shù)據(jù)，這些數(shù)據(jù)不僅包含個(gè)人的隱私信息，而且還包括個(gè)人、家庭的電力消費(fèi)行為信息，如果數(shù)據(jù)不妥善處理，會(huì)對(duì)用戶(hù)造成極大的危害。為了保護(hù)電網(wǎng)企業(yè)數(shù)據(jù)的隱私安全，此處可采用的措施包括：（a）數(shù)據(jù)分享、分析、時(shí)進(jìn)行匿名保護(hù)；（b）隱私數(shù)據(jù)存儲(chǔ)加密保護(hù)。

（2）強(qiáng)化數(shù)據(jù)存儲(chǔ)安全，提高大數(shù)據(jù)的應(yīng)用安全。大數(shù)據(jù)一般在云端存儲(chǔ)，主要采用分布式文件系統(tǒng)技術(shù)。為了提高電網(wǎng)企業(yè)大數(shù)據(jù)的安全性，在對(duì)云存儲(chǔ)環(huán)境進(jìn)行安全防護(hù)的前提下，還需要對(duì)電網(wǎng)關(guān)鍵數(shù)據(jù)與核心數(shù)據(jù)進(jìn)行冗余備份，提高電網(wǎng)企業(yè)大數(shù)據(jù)存儲(chǔ)的安全性能。

（3）嚴(yán)格控制數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，有效抵制外部惡意行為。針對(duì)電網(wǎng)企業(yè)大數(shù)據(jù)的應(yīng)用現(xiàn)狀，對(duì)大數(shù)據(jù)用戶(hù)進(jìn)行分類(lèi)與角色劃分，明確各角色的數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，規(guī)范各級(jí)用戶(hù)的訪(fǎng)問(wèn)行為，確保不同等級(jí)密級(jí)數(shù)據(jù)的讀、寫(xiě)操作，有效管理云存儲(chǔ)環(huán)境下的電網(wǎng)企業(yè)大數(shù)據(jù)安全。

4.7 大數(shù)據(jù)安全技術(shù)

應(yīng)該大力發(fā)展基于大數(shù)據(jù)信息安全技術(shù)的研究，提升企業(yè)網(wǎng)絡(luò)與信息安全水平。在網(wǎng)絡(luò)安全防范方面，內(nèi)部威脅大于外部威脅，應(yīng)積極研究網(wǎng)絡(luò)內(nèi)部人員威脅探測(cè)技術(shù)、異常檢查技術(shù)以及運(yùn)用圖形分析和認(rèn)知主動(dòng)發(fā)現(xiàn)威脅技術(shù)等；另外針對(duì)那些使用過(guò)程中保持加密狀態(tài)的數(shù)據(jù)，開(kāi)發(fā)加密數(shù)據(jù)編程計(jì)算技術(shù)，使加密數(shù)據(jù)狀態(tài)的數(shù)據(jù)仍然能使用在云環(huán)境中，客服大數(shù)據(jù)云計(jì)算環(huán)境中的信息安全問(wèn)題；開(kāi)發(fā)數(shù)據(jù)管理架構(gòu)和處理工具，包括用于自動(dòng)識(shí)別重大異常事件的大數(shù)據(jù)云存儲(chǔ)與分析技術(shù)，提供電網(wǎng)持續(xù)監(jiān)控系統(tǒng)的安全性，任務(wù)數(shù)據(jù)的可用性與可靠性性，減少對(duì)審計(jì)日志的時(shí)間和資源消耗，實(shí)現(xiàn)多種分析方法，提供日志腳本的實(shí)現(xiàn)、開(kāi)發(fā)與支持；針對(duì)外部威脅，定義惡意軟件和定向攻擊等漏洞，創(chuàng)建通過(guò)分析Web、防火墻等其它硬件設(shè)備日志來(lái)應(yīng)對(duì)惡意軟件和網(wǎng)絡(luò)漏洞威脅的分析方法等技術(shù)。

4.8 管理層面

在以數(shù)據(jù)為中心的新型電力系統(tǒng)構(gòu)建與應(yīng)用過(guò)程中，應(yīng)首先從電力大數(shù)據(jù)政策法規(guī)層面建立相應(yīng)的安全防護(hù)策略，規(guī)范電力企業(yè)的總體安全防護(hù)能力，約束與管理整個(gè)行業(yè)的安全操作行為，確保物理安全與管理安全。

（1）著眼統(tǒng)一認(rèn)識(shí)，明確安全防護(hù)遵循原則，制定相應(yīng)管理規(guī)定。為確保電力企業(yè)的安全管理，應(yīng)從戰(zhàn)略的角度開(kāi)展行業(yè)整體安全理論研究，從安全認(rèn)識(shí)、建設(shè)原則、工作思路等多個(gè)方面進(jìn)行專(zhuān)項(xiàng)研究，制定整個(gè)行業(yè)的安全管理規(guī)定，宏觀(guān)指導(dǎo)大數(shù)據(jù)時(shí)代下各電力企業(yè)的建設(shè)、管理與工作。

（2）制定行業(yè)標(biāo)準(zhǔn)，指導(dǎo)與規(guī)范電力系統(tǒng)安全管理。從技術(shù)的角度出發(fā)，制定電力行業(yè)信息安全系列標(biāo)準(zhǔn)，對(duì)不同的應(yīng)用與系統(tǒng)進(jìn)行分類(lèi)，并設(shè)置不同的安全等級(jí)與防護(hù)措施，指導(dǎo)電力系統(tǒng)安全建設(shè)與管理。

（3）聚焦關(guān)鍵設(shè)施，建設(shè)專(zhuān)職安全防護(hù)力量，確保電力系統(tǒng)穩(wěn)定運(yùn)行。為了有效防護(hù)電力系統(tǒng)安全，應(yīng)對(duì)電力系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行隔離保護(hù)，設(shè)置安全管理機(jī)構(gòu)，建立專(zhuān)職的安全運(yùn)維與防護(hù)力量，保證電力系統(tǒng)的穩(wěn)定運(yùn)行。

（4）加強(qiáng)崗位培訓(xùn)，提高電力員工信息安全防護(hù)能力。嚴(yán)格執(zhí)行電力企業(yè)員工崗位培訓(xùn)制度，分別對(duì)管理層、技術(shù)層和職工層進(jìn)行針對(duì)性的安全教育與培訓(xùn)，對(duì)關(guān)鍵崗位人員、專(zhuān)業(yè)防護(hù)人員進(jìn)行信息安全知識(shí)和安全法規(guī)教育，并定期進(jìn)行安全檢查與考核。

5 結(jié)束語(yǔ)

大數(shù)據(jù)在推動(dòng)電網(wǎng)企業(yè)不斷向前發(fā)展的同時(shí)，也為電網(wǎng)企業(yè)的轉(zhuǎn)型發(fā)展與應(yīng)用創(chuàng)新帶來(lái)了新的威脅與安全隱患。本文對(duì)電網(wǎng)企業(yè)面臨的安全威脅進(jìn)行了系統(tǒng)分析，從電網(wǎng)企業(yè)的物理環(huán)境安全防護(hù)、終端安全防護(hù)、邊界安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、應(yīng)用平臺(tái)安全防護(hù)、數(shù)據(jù)安全防護(hù)等技術(shù)層面，提出了相應(yīng)的安全防護(hù)策略。本文的研究能夠?yàn)槲磥?lái)電網(wǎng)企業(yè)大數(shù)據(jù)的安全建設(shè)與應(yīng)用提供有效的指導(dǎo)，相應(yīng)的防護(hù)策略與方法有待在進(jìn)一步探索與實(shí)踐中不斷優(yōu)化與改進(jìn)。

參考文獻(xiàn)

[1] James Manyika，MichaelChui，BradBrown，etc. Big data：The next frontier for innovation， competition， and productivity[R]. USA：McKinsey Global Institute，2011.

[2] 中國(guó)電機(jī)工程學(xué)會(huì)電力信息化委員會(huì).中國(guó)電力大數(shù)據(jù)發(fā)展白皮書(shū)[R].中國(guó)電力出版社，2013.

[3] 張培，楊華飛，許元斌.電力大數(shù)據(jù)及其在電網(wǎng)公司的應(yīng)用[J].中國(guó)電機(jī)工程學(xué)報(bào)，2014（z1）：85-92.

[4] 高新華，王文，馬曉.電力信息網(wǎng)絡(luò)安全隔離設(shè)備的研究[J].電網(wǎng)技術(shù)，2003，27（9）69-72.

[5] 王保義，王藍(lán)婧電力信息系統(tǒng)中基于屬性的訪(fǎng)問(wèn)控制模型的設(shè)計(jì)[J].電力系統(tǒng)自動(dòng)化，2007，31（7）：81-84.

[6] Celia Li，Cungang Yang，Todd Mander，Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting，2005，1115-1122.

作者簡(jiǎn)介：

蔣明（1979-），男，安徽淮北人，華北電力大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專(zhuān)業(yè)，工學(xué)學(xué)士，現(xiàn)任國(guó)網(wǎng)安徽省電力公司信通公司信息通信運(yùn)檢中心副主任，高級(jí)工程師；主要工作業(yè)績(jī)： 負(fù)責(zé)電力信息化運(yùn)行和管理工作，多次獲得安徽省電力公司科技進(jìn)步獎(jiǎng)和群眾性創(chuàng)新獎(jiǎng)。

云計(jì)算安全防護(hù)技術(shù)范文6

一、云檔案常用的安全技術(shù)

為了保護(hù)云檔案信息的安全，可以通過(guò)提升云檔案整體平臺(tái)的安全性來(lái)確保檔案信息的安全，以防止未授權(quán)的使用而導(dǎo)致數(shù)據(jù)被惡意更改、刪除、泄露數(shù)據(jù)等安全性問(wèn)題。常用的安全技術(shù)包括：

（一）強(qiáng)制存取控制。強(qiáng)制存取控制是通過(guò)對(duì)每一個(gè)數(shù)據(jù)進(jìn)行嚴(yán)格的分配不同的密級(jí)，允許不同類(lèi)型的用戶(hù)訪(fǎng)問(wèn)不同密級(jí)的信息，它是保證云檔案信息安全的重要的一環(huán)。在強(qiáng)制存取控制中，云檔案所管理的全部實(shí)體被分為主體和客體兩大類(lèi)。主體是系統(tǒng)中的活動(dòng)實(shí)體，它不僅包括被管理的實(shí)際用戶(hù)，也包括代表用戶(hù)的各進(jìn)程。客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括各種數(shù)據(jù)信息。對(duì)于主體和客體，云檔案管理系統(tǒng)為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記。[2]主客體各自被賦予相應(yīng)的安全級(jí)，主體的安全級(jí)反映主體的可信度，而客體的安全級(jí)反映客體所含信息的敏感程度。對(duì)于病毒和惡意軟件的攻擊可以通過(guò)強(qiáng)制存取控制策略進(jìn)行防范。雖然強(qiáng)制存取控制并不能從根本上避免攻擊的問(wèn)題，但可以從較高安全性級(jí)別程序向較低安全性級(jí)別程序進(jìn)行信息傳遞。

（二）基于PKI的訪(fǎng)問(wèn)控制。PKI（Public Key infrastructure，公鑰基礎(chǔ)設(shè)施）是一個(gè)利用非對(duì)稱(chēng)密碼算法（即公開(kāi)密鑰算法）原理和技術(shù)，遵循標(biāo)準(zhǔn)的公鑰加密技術(shù)，實(shí)現(xiàn)并提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)。PKI通過(guò)認(rèn)證中心，把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)信息捆綁在一起，動(dòng)態(tài)地管理所有網(wǎng)絡(luò)應(yīng)用所需要的密鑰和證書(shū)，再通過(guò)密鑰和證書(shū)對(duì)用戶(hù)的信息交流和傳遞提供安全保障。目前，通用的辦法是采用基于PKI結(jié)構(gòu)結(jié)合數(shù)字證書(shū)，通過(guò)把要傳輸?shù)臄?shù)字信息進(jìn)行加密，保證信息傳輸?shù)谋Ｃ苄浴⑼暾裕ㄟ^(guò)簽名保證身份的真實(shí)性和抗抵賴(lài)。建立基于PKI的訪(fǎng)問(wèn)控制，可以保證云檔案數(shù)字信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。

（三）建立統(tǒng)一身份認(rèn)證基礎(chǔ)上的單點(diǎn)登錄技術(shù)。統(tǒng)一身份認(rèn)證是通過(guò)一個(gè)適合于所有應(yīng)用系統(tǒng)的、唯一的認(rèn)證服務(wù)系統(tǒng)來(lái)接過(guò)每個(gè)應(yīng)用系統(tǒng)中單獨(dú)的認(rèn)證模塊，各應(yīng)用系統(tǒng)只需要遵循統(tǒng)一認(rèn)證服務(wù)調(diào)用接口，即可實(shí)現(xiàn)用戶(hù)身份的認(rèn)證過(guò)程。首先為每一用戶(hù)分配如下用戶(hù)信息，包括：用戶(hù)標(biāo)識(shí)、定義服務(wù)時(shí)段、初始管理員及其口令、定義用戶(hù)資源、分配用戶(hù)內(nèi)部安全策略空間及客戶(hù)可定義安全策略最大數(shù)量。在用戶(hù)登錄云服務(wù)系統(tǒng)時(shí)，通過(guò)云服務(wù)提供商對(duì)該用戶(hù)進(jìn)行身份認(rèn)證和越界訪(fǎng)問(wèn)的判斷；在用戶(hù)通過(guò)身份認(rèn)證并且沒(méi)有超越訪(fǎng)問(wèn)權(quán)限的情況下，檢查所述用戶(hù)是否符合客戶(hù)內(nèi)部安全策略，若否，拒絕訪(fǎng)問(wèn)，若是，許可訪(fǎng)問(wèn)云資源。為了解決同一網(wǎng)絡(luò)中多應(yīng)用系統(tǒng)之間的復(fù)雜登錄問(wèn)題，可以建立在統(tǒng)一身份認(rèn)證基礎(chǔ)上的單點(diǎn)登錄技術(shù)。同一用戶(hù)只需要強(qiáng)制認(rèn)證一次，就可以在不同的授權(quán)系統(tǒng)之間進(jìn)行轉(zhuǎn)換而不必重新登錄，而系統(tǒng)的身份認(rèn)證操作則在后臺(tái)自動(dòng)執(zhí)行。

（四）數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密是對(duì)云檔案中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密，使之成為密文，只有被授權(quán)者才能對(duì)加密后的數(shù)據(jù)進(jìn)行解密和使用，這是一種主動(dòng)安全防范策略。數(shù)據(jù)加密后，即使攻擊者截獲了數(shù)據(jù)，也無(wú)法知道數(shù)據(jù)的內(nèi)容，從而保證了檔案信息資源的安全。數(shù)據(jù)加密技術(shù)作為一種古老、而又重要和基本的防止信息泄露的技術(shù)，它可以從根本上滿(mǎn)足信息完整性的要求，被認(rèn)為是最可靠的安全保障形式。數(shù)據(jù)加密技術(shù)要求只有在指定的用戶(hù)或網(wǎng)絡(luò)下，才能解除密碼而獲得原來(lái)的數(shù)據(jù)，這就需要給數(shù)據(jù)發(fā)送方和接受方以一些特殊的密鑰用于解密。[3]由于密鑰的值是從大量的隨機(jī)數(shù)中選取的，因此可以保證通過(guò)加密的云檔案數(shù)據(jù)信息具有較高的安全性。

（五）審計(jì)。審計(jì)將用戶(hù)操作云檔案的所有記錄存儲(chǔ)在審計(jì)日志（Audit Log）中，對(duì)用戶(hù)操作活動(dòng)進(jìn)行記錄與監(jiān)控。對(duì)于開(kāi)放的云檔案來(lái)說(shuō)，用戶(hù)活動(dòng)非常頻繁，并不是所有的事件都對(duì)系統(tǒng)的安全構(gòu)成威脅。審計(jì)的任務(wù)是收集并分析用戶(hù)與系統(tǒng)安全有關(guān)的事件，并根據(jù)事先確定的閾值，發(fā)現(xiàn)并盡量控制審計(jì)事件（事件結(jié)果達(dá)到或超過(guò)審計(jì)閾值），同時(shí)將審計(jì)信息記錄下來(lái)（成為審計(jì)日志），以備日后分析追查。這樣，當(dāng)系統(tǒng)出現(xiàn)問(wèn)題時(shí)，就可以很方便地進(jìn)行調(diào)查和分析，找出非法存取數(shù)據(jù)的時(shí)間、內(nèi)容以及相關(guān)的人。從軟件工程的角度上看，目前通過(guò)存取控制、數(shù)據(jù)加密的方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)是不夠的。[4]因此，作為重要的補(bǔ)充手段，審計(jì)是云檔案信息安全系統(tǒng)不可缺少的一部分，是實(shí)現(xiàn)云檔案信息安全的最后一道防線(xiàn)。

二、云檔案的其它安全措施

為了確保云檔案信息的安全，除了采取以上的安全技術(shù)外，還可以在“云”的核心架構(gòu)里引入安全機(jī)制，基于云計(jì)算平臺(tái)的強(qiáng)大處理能力，加強(qiáng)基礎(chǔ)設(shè)施層、應(yīng)用部署層與服務(wù)接口層的基礎(chǔ)安全體系，增強(qiáng)云架構(gòu)的檔案信息平臺(tái)的安全服務(wù)模式。主要包括[5]：

（一）建立高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系。在云檔案的建設(shè)過(guò)程中，多條高速鏈路匯聚成大流量數(shù)據(jù)中心，要求云檔案必須能夠處理海量的數(shù)據(jù)流和各式各樣的多用戶(hù)需求。因此，為了應(yīng)對(duì)云檔案環(huán)境下的數(shù)據(jù)流量模型變化，相關(guān)安全防護(hù)體系的建設(shè)需要朝著高性能、高可靠、一體化的防護(hù)方向發(fā)展。如既帶內(nèi)容過(guò)濾的綜合網(wǎng)絡(luò)保護(hù)、帶入侵檢測(cè)和防護(hù)的深度數(shù)據(jù)包檢測(cè)、惡意軟件檢測(cè)，又帶狀態(tài)的防火墻保護(hù)，以及能同時(shí)防護(hù)已知和未知威脅的電子郵件過(guò)濾，等等，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。

（二）建立以虛擬化為技術(shù)支撐的安全防護(hù)體系。虛擬化是云檔案的關(guān)鍵技術(shù)，包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源等虛擬化。基于虛擬化技術(shù)，云檔案才可能根據(jù)不同用戶(hù)的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，并實(shí)現(xiàn)不同用戶(hù)之間的數(shù)據(jù)安全。但是，隨著虛擬化的使用，私有云和公共云在資源隔離、數(shù)據(jù)安全事件管理和數(shù)據(jù)保護(hù)等領(lǐng)域?qū)⒁l(fā)新的信息安全挑戰(zhàn)。在利用虛擬化將多臺(tái)服務(wù)器整合到單個(gè)主機(jī)時(shí)，兩臺(tái)服務(wù)器之間的物理隔離被清除，從而加大了危害可能從一臺(tái)虛擬機(jī)擴(kuò)散到同一臺(tái)物理主機(jī)上的其它虛擬機(jī)的風(fēng)險(xiǎn)。此外，若虛擬軟件的管理程序被攻擊危害，可能會(huì)導(dǎo)致所有托管的虛擬機(jī)（VM）以及共享的物理資源（例如存儲(chǔ)應(yīng)用數(shù)據(jù)和代碼的硬盤(pán)驅(qū)動(dòng)器）都被波及。因此，建立以虛擬化為技術(shù)支撐的安全防護(hù)體系，包括數(shù)據(jù)加密和隔離、VM 隔離、安全的 VM 遷移、虛擬化網(wǎng)絡(luò)隔離、安全事件和訪(fǎng)問(wèn)監(jiān)控等方面，是確保云檔案的安全措施。