1、 單租戶 到 多租戶 數(shù)據(jù)和效力外包 計(jì)算和效力虛擬化 大規(guī)模數(shù)據(jù)并行處置云計(jì)算資云計(jì)算資源池源池存儲(chǔ)才干存儲(chǔ)才干 監(jiān)控管理監(jiān)控管理計(jì)算才干計(jì)算才干云計(jì)算的特點(diǎn)安全威脅數(shù)據(jù)和服務(wù)外包數(shù)據(jù)和服務(wù)外包（1 1）隱私泄露）隱私泄露（2 2）代碼被盜）代碼被盜多租戶和跨域共享多租戶和跨域共享（1 1）信任關(guān)系的建立、管理和維護(hù)更加困難）信任關(guān)系的建立、管理和維護(hù)更加困難; ;（2 2）服務(wù)授權(quán)和訪問(wèn)控制變得更加復(fù)雜；）服務(wù)授權(quán)和訪問(wèn)控制變得更加復(fù)雜；（3）反動(dòng)、黃色、釣魚欺詐等不良信息的）反動(dòng)、黃色、釣魚欺詐等不良信息的云緩沖云緩沖（4）惡意）惡意SaaS應(yīng)用應(yīng)用虛擬化虛擬化（1 1）用戶通過(guò)租用大量

2、的虛擬服務(wù)使得協(xié)同攻擊變得）用戶通過(guò)租用大量的虛擬服務(wù)使得協(xié)同攻擊變得更加容易，隱蔽性更強(qiáng)；更加容易，隱蔽性更強(qiáng)；（2 2）資源虛擬化支持不同租戶的虛擬資源部署在相同）資源虛擬化支持不同租戶的虛擬資源部署在相同的物理資源上，方便了惡意用戶借助共享資源實(shí)施的物理資源上，方便了惡意用戶借助共享資源實(shí)施側(cè)通側(cè)通道攻擊。道攻擊。 由此可見(jiàn)，云計(jì)算環(huán)境的隱私平安、內(nèi)容平安是云計(jì)算研討的關(guān)鍵問(wèn)題之一，它為個(gè)人和企業(yè)放心地運(yùn)用云計(jì)算效力提供了保證，從而可促進(jìn)云計(jì)算繼續(xù)、深化的開(kāi)展。安全性要求對(duì)其他用戶對(duì)服務(wù)提供商數(shù)據(jù)訪問(wèn)的權(quán)限控制存儲(chǔ)隔離存儲(chǔ)加密、文件加密數(shù)據(jù)運(yùn)行時(shí)的私密性虛擬機(jī)隔離、操作系統(tǒng)隔離操作系統(tǒng)隔

3、離數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)乃矫苄詡鬏攲蛹用芫W(wǎng)絡(luò)加密數(shù)據(jù)完整性數(shù)據(jù)檢驗(yàn)數(shù)據(jù)持久可用性數(shù)據(jù)備份、數(shù)據(jù)鏡像、分布式存儲(chǔ)數(shù)據(jù)訪問(wèn)速度高速網(wǎng)絡(luò)、數(shù)據(jù)緩存、CDN 目前的技術(shù)可以防止來(lái)自其他用戶的平安要挾，但是對(duì)于效力提供商，想要從技術(shù)上完全杜絕平安要挾還是比較困難的，在這方面需求非技術(shù)手段作為補(bǔ)充。 一些傳統(tǒng)的非技術(shù)手段可以被用來(lái)約束效力提供商，以改善效力質(zhì)量，確保效力的平安性。圖圖1A 1A 云計(jì)算系統(tǒng)的體系框架云計(jì)算系統(tǒng)的體系框架 圖圖1B 1B 云計(jì)算平安架構(gòu)云計(jì)算平安架構(gòu)(1) 加密字符串的準(zhǔn)確檢索基于離散對(duì)數(shù)的密文檢索技術(shù)基于Bilinear Map的密文檢索技術(shù)(2) 加密字符串的模糊檢索基于Bl

4、oomFilter的密文檢索技術(shù)基于矩陣和向量變換的密文檢索技術(shù)(3) 加密數(shù)值數(shù)據(jù)的算術(shù)運(yùn)算基于矩陣和向量變換的密文計(jì)算技術(shù)含加/減/乘/除運(yùn)算(4) 加密數(shù)值數(shù)據(jù)的排序運(yùn)算 (1) 多虛擬機(jī)環(huán)境下基于多虛擬機(jī)環(huán)境下基于Cache的側(cè)通道攻擊的實(shí)現(xiàn)的側(cè)通道攻擊的實(shí)現(xiàn)(2) 基于行為監(jiān)控的側(cè)通道攻擊識(shí)別方法基于行為監(jiān)控的側(cè)通道攻擊識(shí)別方法(3) 基于基于VMM的共享物理資源隔離算法的研討的共享物理資源隔離算法的研討(4) 側(cè)通道信息模糊化算法的研討與實(shí)現(xiàn)側(cè)通道信息模糊化算法的研討與實(shí)現(xiàn)經(jīng)過(guò)在物理機(jī)、虛擬經(jīng)過(guò)在物理機(jī)、虛擬機(jī)和虛擬機(jī)管理程序機(jī)和虛擬機(jī)管理程序三個(gè)方面添加功能模三個(gè)方面添加功能模塊

5、來(lái)加強(qiáng)虛擬機(jī)的平塊來(lái)加強(qiáng)虛擬機(jī)的平安，安，包括云存儲(chǔ)數(shù)據(jù)隔離包括云存儲(chǔ)數(shù)據(jù)隔離加固技術(shù)和虛擬機(jī)隔加固技術(shù)和虛擬機(jī)隔離加固技術(shù)等。離加固技術(shù)等。 云計(jì)算運(yùn)用方式下的互聯(lián)網(wǎng)平安的法律與法規(guī)問(wèn)題。 云計(jì)算平臺(tái)的平安風(fēng)險(xiǎn)評(píng)價(jià)與監(jiān)管問(wèn)題。 第三方認(rèn)證 第三方認(rèn)證是提升信任關(guān)系的一種有效手段，即采用一個(gè)中立機(jī)構(gòu)對(duì)信任雙方進(jìn)展約束。 企業(yè)信譽(yù) 企業(yè)信譽(yù)對(duì)于任何一個(gè)競(jìng)爭(zhēng)領(lǐng)域的企業(yè)來(lái)講都是至關(guān)重要的。普通來(lái)講，越大的企業(yè)對(duì)于本身信譽(yù)越看重，不會(huì)由于利益去竊取客戶的數(shù)據(jù)。 合同約束 目前曾經(jīng)有很多云計(jì)算效力提供商退出了本人的云計(jì)算效力的效力程度協(xié)議，這些協(xié)議從效力質(zhì)量、技術(shù)支持和知識(shí)產(chǎn)權(quán)等方面對(duì)效力進(jìn)展了規(guī)范，對(duì)

6、效力提供者與運(yùn)用者的權(quán)益和義務(wù)進(jìn)展了明確。 目前，絕大多數(shù)企業(yè)在信息平安建立過(guò)程中都面臨著各種各樣的挑戰(zhàn)，從規(guī)劃、管理，到技術(shù)、運(yùn)作不一而足。例如，沒(méi)有總體的信息平安規(guī)劃，平安防御呈碎片化；平安認(rèn)識(shí)不到位，經(jīng)常在遭到攻擊甚至呵斥損失后才認(rèn)識(shí)到問(wèn)題，平安建立受詳細(xì)事件驅(qū)動(dòng)；企業(yè)應(yīng)對(duì)經(jīng)濟(jì)不景氣所采取的裁員戰(zhàn)略有能夠?qū)⒉糠诛L(fēng)險(xiǎn)由外部轉(zhuǎn)化到內(nèi)部；平安體系的法規(guī)服從問(wèn)題日益突出 遵照IBM企業(yè)信息平安框架的方法論與實(shí)施原那么，企業(yè)可以從根本上處理上述種種難題，由于企業(yè)信息平安框架正是用于指點(diǎn)企業(yè)或組織如何根據(jù)業(yè)務(wù)需求，明確風(fēng)險(xiǎn)情況與平安需求、確立企業(yè)信息平安架構(gòu)藍(lán)圖及建立道路圖，并選擇相應(yīng)的平安功能組件

7、。所以，經(jīng)過(guò)這一框架，企業(yè)可以全面了解，并從整體上對(duì)信息平安進(jìn)展把控。 IBM企業(yè)信息平安框架從上到下由三個(gè)主要層次組成：平安治理風(fēng)險(xiǎn)管理及合規(guī)層、平安運(yùn)維層、根底平安效力和架構(gòu)層。其中平安治理風(fēng)險(xiǎn)管理及合規(guī)層是后兩者的實(shí)際根據(jù)，平安運(yùn)維層是對(duì)信息平安全生命周期的管理，而根底平安效力和架構(gòu)層那么是企業(yè)平安建立技術(shù)需求和功能的實(shí)現(xiàn)者。 三個(gè)層次 平安治理、風(fēng)險(xiǎn)管理和合規(guī) 平安運(yùn)維 根底平安效力和架構(gòu) 平安治理、風(fēng)險(xiǎn)管理和合規(guī)平安治理、風(fēng)險(xiǎn)管理和合規(guī)處于企業(yè)信息平安框架的最頂層，是業(yè)務(wù)驅(qū)處于企業(yè)信息平安框架的最頂層，是業(yè)務(wù)驅(qū)動(dòng)平安的出發(fā)點(diǎn)。經(jīng)過(guò)對(duì)企業(yè)業(yè)務(wù)和運(yùn)營(yíng)風(fēng)動(dòng)平安的出發(fā)點(diǎn)。經(jīng)過(guò)對(duì)企業(yè)業(yè)務(wù)和運(yùn)營(yíng)

8、風(fēng)險(xiǎn)進(jìn)展評(píng)價(jià)，確定其戰(zhàn)略和治理框架、風(fēng)險(xiǎn)險(xiǎn)進(jìn)展評(píng)價(jià)，確定其戰(zhàn)略和治理框架、風(fēng)險(xiǎn)管理框架，定義合規(guī)和戰(zhàn)略服從，確立信息管理框架，定義合規(guī)和戰(zhàn)略服從，確立信息平安文檔管理體系。平安文檔管理體系。 平安運(yùn)維平安運(yùn)維平安運(yùn)維是指在平安戰(zhàn)略的指點(diǎn)下，平安組平安運(yùn)維是指在平安戰(zhàn)略的指點(diǎn)下，平安組織利用平安技術(shù)來(lái)達(dá)成平安維護(hù)目的的過(guò)程?？椑闷桨布夹g(shù)來(lái)達(dá)成平安維護(hù)目的的過(guò)程。主要包括平安事件監(jiān)控、平安事件呼應(yīng)、平主要包括平安事件監(jiān)控、平安事件呼應(yīng)、平安事件審計(jì)、平安戰(zhàn)略管理、平安績(jī)效管理、安事件審計(jì)、平安戰(zhàn)略管理、平安績(jī)效管理、平安外包效力。平安運(yùn)維與平安外包效力。平安運(yùn)維與IT運(yùn)維相輔相成、運(yùn)維相輔相成、

9、互為依托、共享資源與信息，它與平安組織互為依托、共享資源與信息，它與平安組織嚴(yán)密聯(lián)絡(luò)，交融在業(yè)務(wù)管理和嚴(yán)密聯(lián)絡(luò)，交融在業(yè)務(wù)管理和IT管理體系中。管理體系中。 根底平安效力和架構(gòu)根底平安效力和架構(gòu)根底平安效力和架構(gòu)定義和包含了企業(yè)平安根底平安效力和架構(gòu)定義和包含了企業(yè)平安框架中的五個(gè)中心的根底技術(shù)架構(gòu)和相關(guān)效框架中的五個(gè)中心的根底技術(shù)架構(gòu)和相關(guān)效力：物理平安、根底架構(gòu)平安、身份力：物理平安、根底架構(gòu)平安、身份/訪問(wèn)平訪問(wèn)平安、數(shù)據(jù)平安和運(yùn)用平安。根底平安效力和安、數(shù)據(jù)平安和運(yùn)用平安。根底平安效力和架構(gòu)是平安運(yùn)維和管理的對(duì)象，其功能由各架構(gòu)是平安運(yùn)維和管理的對(duì)象，其功能由各自子系統(tǒng)提供保證。自子系

10、統(tǒng)提供保證。 企業(yè)信息平安框架V5.0平安治理、風(fēng)險(xiǎn)管理和合規(guī)平安運(yùn)維物理平安根底架構(gòu)平安運(yùn)用平安數(shù)據(jù)平安身份/訪問(wèn)平安根底平安效力和架構(gòu)機(jī)房平安網(wǎng)絡(luò)平安運(yùn)用開(kāi)發(fā)生命周期平安數(shù)據(jù)生命周期管理戰(zhàn)略和治理框架平安事件監(jiān)控平安事件呼應(yīng)平安事件審計(jì)平安戰(zhàn)略管理平安績(jī)效管理平安外包效力業(yè)務(wù)流程平安Web 運(yùn)用平安運(yùn)用開(kāi)發(fā)環(huán)境平安主機(jī)平安終端平安視頻監(jiān)控平安數(shù)據(jù)泄露維護(hù)數(shù)據(jù)加密數(shù)據(jù)歸檔災(zāi)難備份身份驗(yàn)證訪問(wèn)管理身份生命周期管理合規(guī)和戰(zhàn)略服從風(fēng)險(xiǎn)管理框架平安治理、風(fēng)險(xiǎn)管理和合規(guī)l企業(yè)平安戰(zhàn)略規(guī)劃效力lISO27001認(rèn)證指點(diǎn)咨詢效力l信息平安管理體系培訓(xùn)效力l平安管理差距分析效力l信息平安管理體系咨詢及設(shè)計(jì)效

11、力l企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)效力lPCI DSS合規(guī)服從效力l信息平安等級(jí)維護(hù)合規(guī)服從效力根底平安效力和架構(gòu)根底架構(gòu)平安l根底架構(gòu)平安評(píng)價(jià)效力l網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)l一致要挾管理系統(tǒng)l脆弱性管理系統(tǒng)l網(wǎng)絡(luò)平安加固效力l主機(jī)入侵防護(hù)系統(tǒng)l主機(jī)訪問(wèn)控制系統(tǒng)l主機(jī)系統(tǒng)加固效力l終端平安控制系統(tǒng)物理平安l機(jī)房物理平安評(píng)價(jià)效力l機(jī)房物理平安設(shè)計(jì)效力l智能視頻監(jiān)控平臺(tái)建立效力數(shù)據(jù)平安l數(shù)據(jù)生命周期平安評(píng)價(jià)效力l數(shù)據(jù)平安管理規(guī)范設(shè)計(jì)效力l數(shù)據(jù)平安維護(hù)系統(tǒng)集效果勞l數(shù)據(jù)敏感性分析效力l數(shù)據(jù)防喪失集效果勞l數(shù)據(jù)加密維護(hù)效力l數(shù)據(jù)歸檔設(shè)計(jì)及實(shí)施效力l信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃及實(shí)施運(yùn)用平安l運(yùn)用開(kāi)發(fā)生命周期平安評(píng)價(jià)和設(shè)計(jì)效力

12、l運(yùn)用系統(tǒng)代碼審計(jì)效力l浸透測(cè)試效力l運(yùn)用平安規(guī)范設(shè)計(jì)效力l運(yùn)用平安評(píng)測(cè)效力l網(wǎng)頁(yè)防篡改效力lWeb運(yùn)用浸透測(cè)試及評(píng)價(jià)l運(yùn)用開(kāi)發(fā)環(huán)境平安評(píng)價(jià)及建立效力身份/訪問(wèn)平安l一致身份及訪問(wèn)管理架構(gòu)設(shè)計(jì)效力l一致身份及訪問(wèn)管理平臺(tái)建立效力l強(qiáng)身份認(rèn)證集效果勞l運(yùn)用系統(tǒng)身份及訪問(wèn)管理平臺(tái)整合效力l企業(yè)單點(diǎn)登錄(ESSO)集效果勞l一致身份及訪問(wèn)管理帳號(hào)清理效力l一致身份及訪問(wèn)管理帳號(hào)管理流程設(shè)計(jì)及實(shí)施效力平安運(yùn)維l平安運(yùn)維管理中心設(shè)計(jì)及建立效力l平安運(yùn)維管理平臺(tái)規(guī)劃及建立效力l平安戰(zhàn)略的開(kāi)發(fā)及制定效力l平安事件審計(jì)咨詢效力l平安事件審計(jì)平臺(tái)的規(guī)劃及建立效力l操作行為審計(jì)平臺(tái)規(guī)劃及建立效力l管理平安效力l平

13、安事件呼應(yīng)流程設(shè)計(jì)效力l平安應(yīng)急呼應(yīng)效力l平安績(jī)效考核體系設(shè)計(jì) IBMIBM企業(yè)信息平安框架可以：企業(yè)信息平安框架可以： - - 協(xié)助客戶獲得信息平安建立的全景視圖；協(xié)助客戶獲得信息平安建立的全景視圖； - - 呈現(xiàn)給客戶目前平安建立所存在的差距；呈現(xiàn)給客戶目前平安建立所存在的差距； - - 協(xié)助客戶識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)；協(xié)助客戶識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)； - - 協(xié)助客戶識(shí)別平安才干現(xiàn)狀，協(xié)助客戶識(shí)別平安才干現(xiàn)狀， 以作為協(xié)助客戶躲避相應(yīng)風(fēng)險(xiǎn)的技術(shù)指以作為協(xié)助客戶躲避相應(yīng)風(fēng)險(xiǎn)的技術(shù)指點(diǎn)；點(diǎn)； - - 協(xié)助客戶發(fā)現(xiàn)平安才干差距彌補(bǔ)的方法；協(xié)助客戶發(fā)現(xiàn)平安才干差距彌補(bǔ)的方法； - - 協(xié)助客戶指定平安建立的優(yōu)先級(jí)。

14、協(xié)助客戶指定平安建立的優(yōu)先級(jí)。 IBMIBM企業(yè)信息平安框架企業(yè)信息平安框架v5.0v5.0將作為客戶需求和將作為客戶需求和IBMIBM信息平安處信息平安處理方案的橋梁。成為客戶和理方案的橋梁。成為客戶和IBMIBM共通的言語(yǔ)。共通的言語(yǔ)。 IBMIBM企業(yè)信息平安框架企業(yè)信息平安框架v5.0v5.0中的每一個(gè)模塊都對(duì)應(yīng)了一系列中的每一個(gè)模塊都對(duì)應(yīng)了一系列的的IBMIBM信息平安效力。它可以協(xié)助信息平安效力。它可以協(xié)助IBMIBM銷售團(tuán)隊(duì)快速的了解客銷售團(tuán)隊(duì)快速的了解客戶的平安需求并提供恰當(dāng)?shù)男畔⑵桨蔡幚矸桨?。戶的平安需求并提供恰?dāng)?shù)男畔⑵桨蔡幚矸桨浮?IBMIBM企業(yè)信息平安框架企業(yè)信息平安

15、框架v5.0v5.0將成為將成為IBMIBM規(guī)范化的可復(fù)用知識(shí)資規(guī)范化的可復(fù)用知識(shí)資產(chǎn)，降低為客戶做架構(gòu)設(shè)計(jì)的反復(fù)投資本錢，在提高有效知產(chǎn)，降低為客戶做架構(gòu)設(shè)計(jì)的反復(fù)投資本錢，在提高有效知識(shí)資產(chǎn)利用率的同時(shí)，協(xié)助企業(yè)加速平安建立的周期，降低識(shí)資產(chǎn)利用率的同時(shí)，協(xié)助企業(yè)加速平安建立的周期，降低設(shè)計(jì)實(shí)施的風(fēng)險(xiǎn)。設(shè)計(jì)實(shí)施的風(fēng)險(xiǎn)。 IBMIBM企業(yè)信息平安框架企業(yè)信息平安框架v5.0v5.0協(xié)助協(xié)助IBMIBM信息平安效力產(chǎn)品線成為信息平安效力產(chǎn)品線成為平安架構(gòu)設(shè)計(jì)領(lǐng)域的指點(diǎn)者。平安架構(gòu)設(shè)計(jì)領(lǐng)域的指點(diǎn)者。 IBMIBM企業(yè)信息平安框架企業(yè)信息平安框架v5.0v5.0來(lái)源于來(lái)源于IBM ISFIBM I

16、SF和和ESAESA的平安架構(gòu)的平安架構(gòu)建立方法論。并在此根底上針對(duì)中國(guó)客戶的需求做了客戶化建立方法論。并在此根底上針對(duì)中國(guó)客戶的需求做了客戶化的定制，使得架構(gòu)建立的理念和方法更加適宜于本地客戶的定制，使得架構(gòu)建立的理念和方法更加適宜于本地客戶ITIT建立的要求。建立的要求。(1)(1)基于本體論的多決策因基于本體論的多決策因子動(dòng)態(tài)信任關(guān)系量化模型子動(dòng)態(tài)信任關(guān)系量化模型; ;(2)(2)基于機(jī)器學(xué)習(xí)的、具有基于機(jī)器學(xué)習(xí)的、具有可擴(kuò)展性的動(dòng)態(tài)信任評(píng)價(jià)可擴(kuò)展性的動(dòng)態(tài)信任評(píng)價(jià)與演化模型與演化模型; ;(1)(1)支持用戶運(yùn)用各種加支持用戶運(yùn)用各種加密算法；密算法；(2)(2)加密算法具有不確定加密算法具有不確定性；性；(3)(3)支持模糊檢索。支持模糊檢索。虛擬機(jī)經(jīng)過(guò)讀取內(nèi)存的虛擬機(jī)經(jīng)過(guò)讀取內(nèi)存的時(shí)間來(lái)反映物理時(shí)間來(lái)反映物理CPU CPU CacheCache的變化情況，從的變化情況，從而間接反映而間接反映CPUCPU的負(fù)載。的負(fù)載。(1)(1)采用