精华内容
下载资源
问答
  • 云安全

    千次阅读 2012-10-08 10:33:08
    云计算中的安全控制其主要部分与其它IT环境中的安全控制并没有什么不同,使用云计算唯一最大的变化是共享资源的使用,即多租户环境,这种变化的影响是可信边界的移动。基于采用的云服务模型、运行模式以及提供云服务...


    云计算中的安全控制其主要部分与其它IT环境中的安全控制并没有什么不同,使用云计算唯一最大的变化是共享资源的使用,即多租户环境,这种变化的影响是可信边界的移动。基于采用的云服务模型、运行模式以及提供云服务的技术,与传统IT解决方案相比云计算可能面临不同的风险。

    云计算安全问题包括云计算安全技术的挑战,服务供应商及用户如何进行相互协作的管理方面的挑战,以及其跨地域性、多租户、虚拟化等特性带来的政府信息安全监管、隐私保护和司法取证等方面的挑战。云计算的安全问题主要还是指“云”端数据的使用安全。许多用户希望更多的数据放在“云”上,这样他们耗资更少,而得到的便利会更多。但越多的数据存于“云”中,就意味着有越多的数据被滥用的可能。云安全对云计算如此重要,下面介绍云安全主要方面的相关技术考虑。

    一、基础设施安全

    基础设施安全包括网络、主机/存储等核心IT基础设施的安全。云计算相关的所有网络层安全挑战在云计算条件下变得更加严重,但这都不是云计算所造成的,网络层面的安全控制包括网络访问控制(如防火墙),传输数据加密(如SSL、IPSec),安全事件日志,基于网络的入侵检测系统/入侵防御系统(IDS/IPS)等。

    主机层的安全问题,例如日益增长的主机边界安全的需求以及对安全增加虚拟化环境的需求,在云计算中也被扩大了,却也不是由云计算所引起的,主机层面的安全控制包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等。

    基础设施的安全以及云计算相关的问题需要理清哪一方提供什么层面的安全(例如是由用户提供还是由云计算服务商提供),换句话说,需要定义信任边界。云安全架构的一个关键特点是云计算服务商所在的等级越低,用户自己所要承担的安全能力和管理职责就越多。

    二、虚拟化安全

    利用虚拟化带来的经济上的可扩展有利于加强在基础设施、平台、软件层面提供多租户云服务的能力,然而利用这些虚拟化技术也会带来其它安全问题,如果云服务的基础设施采用了虚拟机(VM)技术,这些VM系统间的隔离加固是必须要考虑的。

    虚拟操作系统管理方面的实践现状是:大多数提供缺省安全保护的进程都未被加入,因此必须特别注意如何代替它们的功能。虚拟化技术本身引入了hypervisor和其它管理模块这些新的攻击层面,但更重要的是虚拟化对网络安全带来的严重威胁,虚拟机间通过硬件的背板而不是网络进行通信,因此,这些通信流量对标准的网络安全控制来说是不可见的,无法对它们进行监测、在线封堵,类似这些安全控制功能在虚拟化环境中都需要采用新的形式。

    数据混合在集中的服务和存储中是另一需考虑的问题,云计算服务提供的集中数据在理论上应比在大量各种端点上分布的数据更安全,然而这同时也将风险集中了,增加了一次入侵可能带来的后果。

    还有一个问题是不同敏感度和安全要求的VM如何共存。在云计算中,某一最低安全保护的租户,其安全性会成为多租户虚拟环境中所有租户共有的安全性,除非设计一种新的安全结构,安全保护它们之间不会通过网络相互依赖。因此,需要考虑虚拟机的安全隔离、虚拟机镜像安全管理、虚拟化环境下的通信安全、虚拟化和物理安全设备的统一管理和可视化等技术。对不需要运行的虚拟机应当立即关闭。

    三、数据安全

    云用户和提供商需要避免数据丢失和被窃。如今,个人和企业数据加密都是强烈推荐的,甚至有些情况下是世界范围法律法规强制要求的。云用户希望他们的提供商为其加密数据,以确保无论数据物理上存储在哪里都受到保护。同样的,云提供商也需要保护其用户的敏感数据。

    强加密及密钥管理是云计算系统需要用以保护数据的一种核心机制。由于加密本身不能保证防止数据丢失,加密提供了资源保护功能,同时密钥管理则提供了对受保护资源的访问控制。

    数据安全技术包括诸如数据隔离、数据加密解密、身份认证和权限管理,保障用户信息的可用性、保密性和完整性。密码学界正在努力研究谓词加密等新方法,避免在云计算中处理数据时对数据进行解密,近期公布的完全同态加密方法所实现的加密数据处理功能,都大大地推进了云计算的数据安全。

    四、身份和访问管理安全

    管理身份和访问企业应用程序的控制仍然是当今的IT面临的最大挑战之一。虽然企业可以在没有良好的身份和访问管理策略的前提下利用若干云计算服务,但从长远来说延伸企业身份管理服务到云计算确是实现按需计算服务战略的先导。因此对企业基于云的身份和访问管理(IAM)是否准备就绪进行一个诚实的评估,以及理解云计算服务商的能力,是采纳云生态系统的必要前提。

    云中实施成功有效的身份管理必不可少的IAM功能包括:身份供应/取消供应、认证、联盟、授权和用户配置文件管理。同时还包括支持SAML、使用SPML开通用户,以及能满足各种用户和访问流程自动化需求的开放式应用程序接口等。

    企业在云计算中有效管理身份和访问控制最重要的因素是:需要在组织内构建一套强大的目录和身份联合管理功能——如体系架构和系统、用户和访问生命周期管理流程、以及审计和合规功能。对于认证云计算中的用户和服务,除了基于风险的认证方法外,还需要注意简单性和易用性。

    五、Web安全

    云计算模式中,Web应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种Web攻击手段,则直接影响到云计算的顺利发展。

    “浏览器就是你的操作系统”的说法恰当地说明了浏览器的重要作用。为了达到云计算终端到终端的安全,用户保持浏览器的良好安全状态是很必要的,这就需要对浏览器安装补丁和升级以降低浏览器漏洞的威胁。此外,针对目前几种典型的云计算模式,部分厂商采取了细化应用安全防护的手段,针对不同的应用,提供专业级的网关安全产品。

    六、应用安全

    由于云环境其灵活性、开放性、以及公众可用性这些特性,在SaaS、PaaS、IaaS的所有层面,对于应用程序来说,云计算都是一个特别的挑战。基于云计算的应用软件需要经过类似于DMZ区部署的应用程序那样的严格设计。这包括深入的前期分析,涵盖传统的如何管理信息的机密性、完整性、以及可用性等方面。

    由于云计算应用程序面向公众的性质,无疑增加了软件开发生命周期的安全需求,同时也需确保API彻底经过安全测试。部署于公共云中的网络应用程序必须根据互联网威胁模型进行设计,而且必须在软件开发生命周期(SDLC)中内嵌安全。

    应用程序的安全控制手段包括软件开发生命周期内嵌安全的开发流程、“最小特权”配置、及时安装应用程序补丁、用户认证、访问控制、帐户管理、浏览器用最新的补丁加固、终端安全措施包括反病毒、入侵防御系统、基于主机的入侵检测系统、主机防火墙和用于管理的虚拟专用网络VPN等。


    尽管现在很多人呼吁使用混合云,但是一些IT管理者关心的还是把所有的生产应用移交给第三方是否会损失本地基础架构的实质投入。在这样的案例中,混合环境可以利用公有云和私有云的好处。

    但是混合云并不完美;仍旧包含了一些安全障碍。在分析维护混合云的业务和技术障碍时,要谨记下面五个问题。

    混合云安全问题1:缺少数据冗余

    公有云提供商提供重要的资源,以确保其基础架构在终端用户需要时有效且可访问。尽管云提供商进了最大努力,问题仍不可避免。

    大量宣传的宕机事件突出了将应用运转在单一数据中心且没有在其他数据中心进行故障恢复的风险。云架构师需要跨数据中心的冗余来减缓单一数据中心宕机的影响。缺少冗余对于混合云来说可能是严重的安全风险,尤其是如果数据冗余备份没有跨数据中心分布。在数据中心之间转移虚拟机(VM)实例比在大型数据集之间容易的多。

    云架构师可以使用一个厂商的多个数据中心实现冗余,或者多个公共云厂商或者是混合云。同时可以用混合云改善业务连续性,因为这并不是实现这个模型的唯一原因。同时使用来自单一厂商的多个数据中心,你可以节省成本,达到减少类似风险的水平。

    混合云安全问题2:法规遵从

    维护和证明混合云法规尊重从更加困难。你不但要确保你的公有云提供商和私有云提供商符合法规,而且你必须证明两个云之间的协调是顺从的。

    比如,如果你的企业处理支付卡数据,你可能能够证明你的内部系统和你的云提供商遵从支付卡行业数据安全标准(Payment Card Industry Data Security Standard (PCI DSS))。引入了混合云,你必须确保两个云之间的数据转移是受到保护的。

    此外,你还需要确保卡数据不会从一个私有云上的法规遵从数据中心转移到一个较少安全性的公有云存储系统。你内部系统使用的预防漏洞的方法可能不直接转化到公有云上。

    混合云安全问题3:拙劣构架的SLA

    你可能坚信你的公有云提供商能够始终如一的符合服务水平协议(SLA)中期望的详细说明,但是你的私有云是否有同样的SLA?如果没有,你可能需要基于两个云的期望创建SLA,很可能就是基于你自己的私有云了。

    在你的私有云的可用性和性能的显示工作负载下收集数据。集成公有云和私有云寻求潜在的问题都会破坏服务。例如,如果一个私有云的关键业务驱动在本地保持敏感和机密数据,然后你的SLA应该体现出在公有云中使用这些服务的限制性。

    混合云安全问题4:风险管理

    从业务角度,信息安全是管理管理风险的。云计算(尤其是混合云)使用新的应用程序接口(API),要求复杂的网络配置,并对传统的系统管理员的知识和能力范围造成挑战。

    这些因素引入了新型的威胁。云计算并不比内部基础架构一样安全,但是混合云是个复杂的系统,管理员在管理上有限的经验,可能就造成了风险。

    混合云安全问题5:安全管理

    现有的安全控制,像身份认证、授权和身份认证管理需要在公有云和私有云中共同工作。整合这些安全协议,你只能选择其一:在两个云中复制控制并保持安全数据同步,或者使用身份认证管理服务,提供单一的服务运转在云端。在计划和时间阶段分配足够的时间,以便解决这些相当复杂的整合问题。

    实现混合云引入的不仅仅是技术问题;IT管理者需要解决安全问题。通过理解和掌握这五个障碍,混合云将提供更多好处。



    自云计算服务出现以来,发生的大量安全事件已经引起了广泛关注,并进一步引发了用户对公共云服务的信任问题。从用户层面特别是大型企业用户已经开始到云端安全的必要性,在部署云服务时安全问题不容忽视,所以在提供云计算服务解决方案的方案商要对云安全有全新的深度的认识,可从产品层面、技术层面及战略层面解构云安全,方能更好的为用户提供完整的有保障的云方案。 

      产品层面

      从目前各大安全厂商推出的基于云技术的安全产品来看,云安全是基于云计算商业模式应用的安全软件,硬件,用户,机构,安全云平台的总称。它是“云计算”技术的重要分支,是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果,而且已经在反病毒领域当中获得了广泛应用。

      最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展像一阵风,瑞星、趋势、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山等都推出了云安全解决方案,而且中国厂商在“云安全”的技术应用上走到了世界前列。

      技术层面

      同传统的信息化系统一样,从技术上看,云计算系统的安全漏洞是不可避免的,且由于服务网络化、数据集中化、平台共享化和参与角色多样化,云计算所面临的安全风险相对于传统信息化系统更加复杂。

      但也应该看到,在绝大多数情况下,相对于个人和中小企业用户而言,云服务提供商可以提供更加专业和完善的访问控制、攻击防范、数据备份和安全审计等安全功能,并通过统一的安全保障措施和策略对云端IT 系统进行安全升级和加固,从而提高了这部分用户系统和数据的安全水平。

      战略层面

      目前,信息技术领域逐渐被发达国家特别是美国所垄断,全球真正有实力研发和提供“云计算”服务的公司只有谷歌、微软、IBM(微博)和亚马逊等少数IT巨头。而发展中国家在技术上没有主导权,其战略选择非常有限。现在的格局是,跨国企业在“云计算”领域的咄咄逼人和各国政府对“云计算”发展的深远谋划,对我国政治、经济、科技和国家安全都形成了严峻挑战。事实上,如果我们不具备自有“云计算”实力,那么绝大多数企业和个人为了满足应用需要,将别无选择地通过如上所述的“云计算”中心存储和处理各类数据。

      因此在国家不断完善云计算、云安全相关政策及研究研发的同时,给云服务提供商、方案商提供了机会,同时方案商也有义务帮助入云企业尽快建立信息安全管理规范,确保云计算得到健康有序的发展。


    “云计算”一词正在变身一只超大容量的筐,SOA、虚拟化、SaaS、网络服务、网格都能往里装。而对计算本身而言,“云”模式让网络成为一个界面,一个标准交流插座,而这正是新一轮技术创新的动力。

      云计算(CloudComputing)正在成为技术界的行话甚至暗语。不仅Google(www.g.cn)、IBM(www.ibm.com.cn)、微软和雅虎(www.yahoo.cn)等大公司是云计算的拥趸,规模较小的公司也在逐渐向其靠拢。CRM软件在线服务提供商Salesforce.com开始称自己为云计算应用,而在此前它的定位是“取代传统软件交付”的SaaS(软件即服务)模式;Facebook(www.Facebook.cn)干脆宣称自身是云计算平台,开发人员可以在平台上开发应用并在这个平台上分发这些应用。

      “真的,我们没有创造存储、数据库、计算机或数据库功能,只是提供一种较为经济的数据处理途径。”亚马逊网络服务资深副总裁安迪·杰西说。他的部门创建于2006年,是云计算基础架构服务提供者里的先行者,《纽约时报》利用这项名为“弹性计算云”(ElasticComputeCloud)的服务在互联网上提供1851年到1922年间的该报版本。

      简单说来,云计算意味着计算资源的获得、处理、存储,信息传递和数据库都来自公司本身的四堵墙之外,而用户只需为自己使用的那部分资源埋单。在过去数年,这种计算模式也被叫做网格(GridNet)或效用计算(UtilityComputing)—在需要的时候接入它,就像使用电力网络或者自来水一样,并且只为使用的那一部分付费。同时,它的应用边际成功扩张到SOA、虚拟化、SaaS、网络服务等等领域。

      无所不能的“云”?

      就像MP3播放器杀死CD碟片,云计算的产生必然会打破旧有的计算模式,并引发在此基础上“无所不能”的热切狂想:有了高速互联网接入、近乎无限的存储空间,集结的处理能力,还有什么不能做?

      6月24日一天内,IBM同时在中国和南非的约翰内斯堡成立了两家云计算中心。在IBM的计划中,今年年底全球要建成至少10家云计算中心。IBM把自己的创意称为“蓝云(BlueCloud)”,目前至少有200位研究员专注于云计算的工作。

      “随着时间的流逝,一些老东西又以新的面貌出现了。”IBM全球创新与技术执行副总裁NickolasDonofrio感叹。近几年,IBM在数据中心高效运行方面做了很多努力,如网格计算集中了桌面电脑和其他设备,用户扩展横跨很多机器的计算工作,并且使编程更加简单。在有了远远超出当年的网络带宽和虚拟化技术之后,网格等技术借助云计算得以发扬光大。“从某种意义上说,云计算是网格计算模型自然而然的进一步发展。”IDC分析师FrankGens认为,“所不同的是,Google的编程模式以及它真正的开放性—普通人也可以编写应用程序,而不必非得是斯坦福或者卡耐基梅隆大学的博士。”

      一个展示云计算魅力的生动例子来自于Animoto,这个成立于纽约、仅18个月的公司,允许客户上传他们的图片和音乐并提供自动生成定制的基于网络的视频展示服务,人们可以和他们的朋友分享这些视频,每天约有5000个访客使用这项服务。

      今年4月中旬,Facebook的用户对这个应用产生的兴趣出现了一个小小的高潮,三天时间里有约75万人在Animoto上进行了注册。在高峰期,每小时约有两万五千人使用Animoto的服务。

      为了填补服务器的需求缺口,这家公司需要在现有基础上对服务器扩容100倍。但创办人既没有资金进行如此规模的服务器扩容,也没有技术能力和兴趣来管理这些服务器。

      所以,他们开始和Rightscale—一家位于加利福尼亚圣塔芭芭拉的云计算服务供应商合作,这家公司为亚马逊的云计算设计应用软件。通过这个合作,Animoto只需为应付三天的流量激增付费,并且不需购买或配置任何新的服务器。它把负载交给亚马逊承担,一台服务器一小时的费用只有约10美分,包含了带宽,存储和相关服务带来的一些边际成本。当服务器需求下降时,Animoto自动降低他们的服务器使用,也降低了他们的账单。

      像Facebook一样把快速反应的能力和新销售和市场渠道结合在一起正是引起软件企业对云计算产生浓厚兴趣的原因。这甚至对那些非软件行业的公司也适用—传统公司也正在改动他们的计算机架构以使用云计算。

      “事实上,云计算对技术产生的作用就像电力网络对电力应用产生的作用”,《哈佛商业评论》前执行主编NickCarr在新书《大转换》(TheBigSwitch)中比较了云计算和电力网络的发展。电力网络改进了公司的运行,当每个家庭都拥有便宜的能源和接入时,“就有了令人难以置信的创造力来利用这些便宜的能源,”Carr说。他认为云计算也会在下一个十年促成和电力网络发展类似的循环。

      安全在“云端”

      从理论上讲,云计算的强大数据运算与同步调度能力,可以极大的提升安全公司对新威胁的响应速度,同时第一时间将补丁或安全策略分发到各个分支节点。

      趋势科技全球副总裁暨大中华区执行总裁张伟钦表示,趋势早在三年前就开始关注云计算模式,探索如何将客户端日渐庞大的资料库摆在云端。

      对于传统反病毒厂商而言,云计算的引入可以极大的提升其对病毒样本的收集能力,减少威胁的响应时间。趋势科技、瑞星都已经打出了“安全云”计算口号,网络安全厂商Websense在恶意代码收集及应急响应方面也充分利用了云计算的特征,其在全球范围部署的蜜罐和网格计算的紧密结合,可以及时应对网络中不断出现的新型攻击行为,为其规则库的及时更新提供了有力的支持。

      实施安全云计算的前提是快速高效的收集用户的安全威胁。通过云计算的实施数据分析,来响应用户的安全需求。那么如何快速准确的收集用户的异常信息,成为安全云计算实施的第一个难题。

      趋势科技借助威胁信息汇总的全球网络,在Web威胁到达网络或计算机之前对其予以拦截。包括微软在内,几乎所有的安全厂商都对用户的终端设备使用情况进行实时的跟踪。

      同时,为了便于更加准确快速的获取信息,赛门铁克、趋势等厂商设立专门的“蜜罐系统”,来广泛收集网络中存在的攻击行为,“蜜罐+网格计算”的架构被认为是云计算的一种简单实现。

      ForresterResearch的分析师指出,云计算是一个具备高度扩展性和管理性并能够胜任终端用户应用软件计算基础架构的系统池。但如果每个云的基础架构都是与众不同的,假如基础架构要应用虚拟化技术,如何解决许可证授权成为实施云计算需要思考的问题。同时,需要解决云计算特权用户的访问权限,数据存储以及数据隔离等现实问题。

      市场研究公司Gartner称,安全软件将从PC端点转向云计算。在未来五年里,基于云计算的电子邮件和即时消息中恶意软件和垃圾信息检测收入占全部消息安全收入的比例将从目前的20%提高到60%。

      安全公司赛门铁克也预测了这种转变,家庭用户和企业用户将从在单个电脑上安装安全软件转向通过远程计算机在线访问安全服务。赛门铁克称,企业已经在使用代理安全服务器来减少安全软件对性能的影响。

      基于云计算的代理计算机能够提供过去在本地执行的安全服务,如强制进行身份识别、防止数据丢失、入侵检测、网络接入控制和安全漏洞管理等。

      Gartner分析师KellyKavanagh称,在云计算中提供大规模可升级的处理、存储和带宽的能力将要求以新的方式和由新的服务提供商向用户提供安全控制和功能。

      云的隐忧

      然而一些实际问题仍然可能会把“云”变成“雨”。

      Carr在《大转换》中也描绘了云计算不太光明的一面。他认为计算器既是解放的技术,又是控制的技术。尤其是当系统变得更加集中化时,个人数据被越来越多地暴露;数据挖掘软件越来越专业时,控制之手将占上风,系统将变成监视和操控人类的绝佳机器。

      谷歌的隐私政策规定:如果该公司“善意地理由”必须提供相关数据,以满足“任何可适用的法律、法规、法律程序或者强制执行的政府要求”,那么它将与政府共享数据。谷歌的产品管理主管ScottPetry说:“我们在对待客户的数据时,投入的审计和监管力度比许多顾客自己还要来得大。但如果我们接到传票,就会按法办事。”他补充说,在某些情况下,传票可以是“保密的”,也就是说,谷歌公司可以按照法律不用告知用户他们的数据提供给了政府。

      Gartner咨询公司副总裁兼分析家DavidCearley表示,“使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。”企业通过减少对某些数据的控制,来节约经济成本,意味着可能要把企业信息、客户信息等敏感的商业数据存放到云计算服务提供商的手中,对于信息管理者而言,他们必须对这种交易是否值得做出选择。

      最近一系列影响较大的网络故障,让人们对云计算的可靠性产生了实质性的担忧。今年2月和7月,亚马逊的“简单存储服务”(SimpleStorageService,简称S3)两次中断,导致依赖于网络单一存储服务的网站被迫瘫痪。亚马逊解释服务中断是鉴定请求的数量增多造成的,S3问题阻止了新虚拟机在计算云上的注册,以至于有些虚拟机无法启动。对这些处于初创期、公司的用户黏性还不大的企业来说,网站瘫痪的损失极易动摇他们的信心。

      今年7月,被认为将要取代微软Office等传统应用程序的GoogleApps(在线办公应用软件)中断服务,用户的文件只能“呆”在“云”中;8月,Google的云计算服务出现严重问题,Blogger和Spreadsheet等服务均长时间当机,Gmail服务两周内三次停摆,不满的用户纷纷到Twitter网站上发出抱怨。经Google调查,这主要是因为Gmail所用的联系人系统存在储运损耗问题,从而导致Gmail邮箱无法正常下载数据。

      云计算模式下,所有的业务处理都将在服务器端完成,服务器一旦出现问题,就将导致所有用户的应用无法运行,数据无法访问。由于网络工程师的及时修复,解决云故障的时间并不长,然而足以作为一个对云计算的警示。毕竟这些云服务的规模十分庞大,在出现问题之后,很容易导致网民对于云计算模式的怀疑,动摇用户对云服务的信心。由此可见,如果云计算的可靠性和安全性的软肋不能很好解决的话,云计算的普及仍有很长一段路要走。

      云层解忧

      针对云计算的合理成本、可靠性以及安全性,GoogleApps业务开发经理JeffKeltner反驳道:“人们认为驾驶自己的汽车要比乘坐飞机更舒适,但是统计数字显示乘坐飞机更加安全。当我们想到云计算的时候,应该把云计算的风险与现有业务环境的风险做一个对比。”

      但美国利福尼亚州公用事业委员会的CIOCarolynLawson显然不同意这一观点——“从政府的角度来讲,我们不会将所有的数据信息都迁移到‘云’中,因为我们的数据包括个人社会保障号码、驾驶执照、还有子女信息等等,公众把他们的个人信息交给我们希望我们能够很好的保护这些信息。如果我们将这些信息交给一家云计算公司,而这家公司非法将这些信息出售的话,我们该怎么解决?我们要承担这个责任。”

      在现阶段,云计算模式似乎更加适合那些因为新项目而紧急需要计算处理能力的用户,他们可以调动云环境中的所有计算实例,而且在不需要的时候关闭这些应用。

      另一方面,“云”应用也是某些行业和用户不得以选择的道路。在杀毒软件领域,爆发式的病毒传播速度让原来架设在用户终端的病毒库不堪重负。“如何解决每3秒钟一只新病毒的问题,是趋势当初走上云端技术的原因。如果单纯走传统的方法,我们觉得没有办法解决问题。”张伟钦说。

      从习惯上来说,发达国家的多数企业已经拥有依赖于传统的硬件、软件和常规的工作方式的基础设施,一些企业对于现有本地数据和业务,甚至已经建立了本地的数据中心;在东南亚、印度、中国等地,中小企业很少拥有复杂的客户机/服务器基础设施。而且,服务器的价格在持续下降,继续使用价格便宜的传统设备架构并不是不可以。

      自云计算问世那天起,质疑之声一刻也没有平息。尽管人们存在这样那样的疑虑,但我们把它归结为善意的质疑。毕竟,云计算还只是处于初级阶段,有着诸多不足,遇到很多困难和挑战多于直接利益,但是如果轻易地否定它,无异于拒绝信息时代的新发展,扼杀了一棵正在崛起的幼苗。云计算存在着许多安全风险,并不是要劝说用户不要使用云计算。对用户而言,更重要的是在云计算下增强安全意识,清楚地认识到风险,并采取必要的防范措施来确保安全。

      云的传承

      云计算宣告了以设备为中心计算时代的终结,取而代之的是以互联为中心的计算方式。但是并非只停留在空中,靠哗众取宠来赢得赞誉。由于云计算与公用计算、按需计算等概念非常相似,不少人把它们混为一谈。其实,但是从基础层面看,云的容量更加博大,云计算环境可能实际存在于网格中,存在于公用计算环境中,或存在于按需计算中,但这对服务的用户来说,可能并不重要,他们不一定知道云在哪里,但是却可以很方便地拿来用。

      云计算的演进,大致经历了网格计算,公用计算,软件即服务三个阶段。上个世纪80年代,网格计算伴随着互联网技术而迅速发展起来。它利用互联网把分散的电脑组成一个“虚拟的超级计算机”,每一台参与计算的计算机构成一个“节点”,而整个计算是由成千上万的“节点”组成一张“网格”,提供此前无法完成的新服务。可以说,网格计算第一次把IT计算世界推向了资源与服务。

      上世纪末,虚拟化逐步由概念走向了应用层次,公用计算应运而生。它利用将网格计算统领的计算机集群作为虚拟平台,采用可计量的业务模式进行计算。通过公用计算服务,包括硬件、软件在内的所有计算资源都由服务提供商提供,客户只需通过专有网络或Internet访问所需资源并按照实际使用情况付费即可。其中,计费的项目包括CPU时间、存储容量、软件使用等。

      作为一种完全创新的软件应用模式,SaaS开始蓬勃发展。用户不用再购买软件,而是根据自己的实际需求,向提供商租用基于Web的软件,来管理企业经营活动。SaaS供应商在向客户提供互联网应用的同时,也提供软件的离线操作和本地数据存储,让用户随时随地都可以使用其定购的软件和服务。与公用计算不同,它不是按消耗的资源收费,而是根据向订户提供的应用程序的价值收费。

      纵观云计算的演进,其中公用计算往往也需要类似“云”那样的基础架构,但它的重点在于商业模式,企业只为他们真正需要时所使用的计算资源付费。随着SaaS软件客户的增长,客户消耗的网络存储和带宽基础等资源越来越多,迫使SaaS供应商提供更多的硬件资源。这时,云计算广阔的网络资源便成了SaaS增加容量的不二之选。

      传统的数据中心对能源,冷却系统和服务器机架的需求正超出大多数机构的IT资源能力。那些对于运算能力需求的增长远大于摩尔定律的红移(Redshift)机构,正在将它们庞大的计算资源提供给所有人,从而避免机构单独拥有和控制非常庞大和昂贵的数据中心。在抛出红移理论后,Sun迅速挖掘到了自己的“长尾”——数据仓库,网格计算等高性能计算将是很普通的事。这一发现也令暮色中的Sun重新焕发出活力,并调整策略,继续在高性能计算方向有所突破,在为数目稳定的大型客户服务之外拓展另一极的市场。

      Sun的Papadopoulos用能源公用事业比喻这个问题的解决:正如机构从自己发电转向从电网购买电力。他建议,计算应该是一个公共资源,机构从一个相当“电网”的地方采购他们所需的数据处理服务,而不是拥有自己的数据中心。

      可以说,网格计算迈出了充分利用计算机资源并进行整合的第一步,为云计算奠定了技术基础;公用计算将整合后的计算资源作为可计量的业务,为云计算的商业模式提供了可能性;而SaaS这种按需计费的应用,为云计算模式提供了典型的案例。相信有了以上几个方面的积累,加上微软、雅虎、IBM等IT巨头的探索、研究,一旦业界找到较为完善的安全保障解决方案,云计算的普及应用风潮将势不可挡。



    巨额金钱正源源不断的滚向云计算。IDC和Gartner等顶级研究机构都在密切关注并预测云计算服务的增长率。 

      但是,你有没有看到诸多有关安全方面的头条?没有。但人们对这方面有着很多担忧。看起来供应商们似乎并没有关注这方面的问题,但是很显然,安全性方面的忧虑正是很多公司对是否接受云计算服务犹豫不决的原因(之一)。 

      很多IT经理认为云计算是一个安全黑洞,敏感的公司数据随时面临着被无数远程IT罪犯们盗窃/复制/篡改的威胁。这些担忧并不是杞人忧天。 

      这个蓬勃发展中的技术有以下几种潜在危险: 

      1.特权用户访问 

      有了云计算,你那些无价的数据会被在远程办公的员工们监控到(可能程度不同,但或多或少总是有的)。从而,公司之外的人们也有可能会获得访问它们的全部权限。 

      2.承诺 

      就算没有萨班斯法案,公司们对于敏感数据的监控和存档仍然是负有责任的。即使公司与一个外部的云计算服务商签订过合同,公司本身仍然需要为这些数据的泄露或丢失负责。 

      3.数据分离 

      云计算供应商的确在使用SSL协议来保护传输中的数据,但是因为数据最终是被保存起来的,所以它们有可能会和其他公司的数据保存在同一个虚拟空间中。你可以接受自己的数据和竞争者们的混在一起吗? 

      4.可用性(这是最关键的一点) 

      理论上来说,你不需要担心自己的数据在使用云计算的时候消失。对于供应商来说,在不同的地域做一个数据的备份镜像是很简单的事,这样就不用担心系统崩溃带来的损失。 

      但是,你的员工们拥有能够时刻访问数据的权限吗?万一虚拟管道堵塞了怎么办?假如供应商的某些内部问题导致在你和你的关键数据之间出现长时间的阻碍怎么办?规模再大的供应商也会害怕停电。 

      事实上,任何一个合格的云计算供应商都会试图解决这每一个问题。 

      但是关键是要确认他们正在这样做。得到他们的回答——以书面文档的形式。你的数据会因此而感谢你的。 


    云安全为我们提供了足够广阔的视野,这些看似简单的内容,其中涵盖核心技术有:

    一、Web信誉服务

    借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率,安全厂商还为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截,因为通常合法网站只有一部分受到攻击,而信誉可以随时间而不断变化。

    通过信誉分值的比对,就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户进入网络前就能够获得防护能力。

    二、电子邮件信誉服务

    电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址,同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址,恶意电子邮件在云中即被拦截,从而防止僵尸或僵尸网络等Web威胁到达网络或用户的计算机。

    三、文件信誉服务

    文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中,因此可以立即到达网络中的所有用户。而且,和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。

    四、行为关联分析技术

    通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。

    五、自动反馈机制

    云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。例如:趋势科技的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。

    由于威胁资料将按照通信源的信誉而非具体的通信内容收集,因此不存在延迟的问题,而客户的个人或商业信息的私密性也得到了保护。

    六、威胁信息汇总

    安全公司综合应用各种技术和数据收集方式——包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。通过趋势云安全中的恶意软件数据库、服务和支持中心对威胁数据进行分析。过7×24小时的全天候威胁监控和攻击防御,以探测、预防并清除攻击。

    七、白名单技术

    作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。AVTest.org的近期恶意样本(BadFiles,坏文件)包括了约1200万种不同的样本。即使近期该数量显着增加,但坏文件的数量也仍然少于好文件(GoodFiles)。商业白名单的样本超过1亿,有些人预计这一数字高达5亿。因此要逐一追踪现在全球存在的所有好文件无疑是一项巨大的工作,可能无法由一个公司独立完成。

    作为一种核心技术,现在的白名单主要被用于降低误报率。例如,黑名单中也许存在着实际上并无恶意的特征码。因此防病毒特征数据库将会按照内部或商用白名单进行定期检查,趋势科技和熊猫目前也是定期执行这项工作。因此,作为避免误报率的一种措施,白名单实际上已经被包括在了SmartProtectionNetwork中。




    网络安全在整个信息化中的地位是每个信息化工作者都知道的,不管是桌面系统的个人机的文件保密安全,还是网络设备的通信安全,以及邮件服务器和企业整体信息系统的安全。在中国的安全发展历程中,单机的杀毒和防毒曾经是上个世纪最后十年最主要的形式。而进入本世纪,防火墙、防入侵以及立体防御攻击成为新的安全解决方案。但是,随着时代的发展和互联网的复杂,这些通用的技术手段也不能完全迎接挑战,新形势下的安全问题面临以下几个特点。


    云时代的主要安全威胁


    1. 虚拟化带来的虚拟机的系统安全


    虚拟化在今天对于多数信息化工作者已经不陌生了,这道理很简单,本来服务器主机的利用率就不是很高,如果遇到异构的环境,用虚拟机来解决是一个很既经济又便捷的方法,所以得到了多数拥趸的喜爱。但是,问题也来了,无端开了这么多虚拟机,如果一个系统感染了病毒,其它系统是否会受到株连,隔离工作能否做好,甚至后台的存储与数据信息是否受影响。如果虚拟机系统崩溃了,是否会对其它虚拟机有影响,这是一个很现实的问题。


    2. 云计算如何保证自身关键业务数据的安全


    云计算,也是当下最热门的话题,把自己的业务放到云端数据中心去,如何系统内的用户可以轻松共享,节约了很多事情。看上去挺美,但是安全问题呢,万一数据泄密呢?这是每个CIO心里都打鼓的问题,这个问题既是安全问题,又是信息化的规划问题,而且要熟悉云计算的方方面面,我到底是拿哪一层做虚拟,怎么来做。这些问题既对安全厂商展现机遇,又提出挑战。

    3. 电子商务的兴起带来的身份认证安全,个人信息安全和交易安全


    电子商务成为互联网的一个重要的发展方向,目前,每年全国网络产生的交易额已经占到全年所有交易总额的9%,许多贵重的大件物品也有在网络上面交易的趋势。因此电子商务交易安全就成为非常迫切的问题,而在这方面,用户的安全防护却显得非常薄弱,个人交易密码被盗,网站或者银行数据库信息泄漏问题层出不穷,成为新的安全热点。

    4. 移动用户对传统网络的冲击带来的安全


    随着智能手机的普及和移动互联的发展,移动终端的安全问题正在挑战传统的网络攻防体系。大家知道,以前传统的安全防护是守住我服务器的端口,用防火墙防毒墙和流量监控等铸成一道马其诺防线,这样什么邮件服务器,数据库服务器,以及外面的各种攻击都会被拒之门外。但是,当移动互联网融入常规网络后,估计由以前的平面变成了立体的了。许多邮件病毒或者攻击程序是从手机或者PDA引入的,这使得常规的防护体系面临巨大的挑战。

    5. 数据中心与云存储带来的信息安全


    十年前建设的数据中心,不但设备老化了,就是整体的架构已经不能适应发展了。每天产生的海量数据如何存储,无限制得扩充自己的硬件设备是不现实的。那么,只能试试云存储,但是,当数据纷纷移到云端的时候,安全问题马上又来了。是不是传统的数据中心要寿终正寝了,新的节能高效的数据中心如何构建,这是一个令人头痛的问题。

     安全的未来趋势


    网络安全,这个在信息化时代每个人都不能离开的问题,到现在变得很是难堪。十年前国内的安全厂商遍地都是,从杀毒到防火墙到反垃圾邮件,而今天,群雄争霸的时代已经过去,慢慢走向了诸侯割据和大垄断的时代。单凭一项独门绝技称霸市场已经不现实,安全需要全新的立体的全方位的解决方案。从客户端的桌面到服务器和数据中心,从移动设备到电子商务安全,从虚拟化到云端存储,这一切客户都需要得到安全的保护。因此,这就呼唤技术实力强大的整体安全解决方案的厂商出现,这是一个大的趋势。


    第二个趋势就是专门做移动互联网的安全解决方案提供商,毕竟手机的使用率太高了,而拿手机上网或者聊天已经成为多数智能手机的常规活动。这个市场还可以产生一些安全厂商。当然,像金山,腾讯,360早已开始在这里圈地了。


    最后,就是由云计算安全而派生出的安全规划咨询机构。最近,已经有CIO愿意将自己公司关键业务的云安全规划交到外面的正规安全咨询机构来做,只要他们提供这种顾问服务,相信会有不少用户喜欢的。毕竟,云是大势所趋,没有人能阻挡得了,那么,为什么不交给更加专业的人士去做呢。相信在这块也会产生一些安全服务机构。




    来源:中国信息产业网  作者: [字体:  ]

    云计算,从概念到实践

    据统计,当前比较经典的云计算定义超过50种。不同的专家、企业都从自己的角度对云计算的概念进行了定义。其中得到比较认可、比较权威的是美国国家标准技术研究所(NIST)的定义。

    NIST对云计算的定义:云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(例如网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。云模型由五个基本特征、三个服务模型和四个发布模型组成。

    那么该如何解析NIST定义的云模型呢?

    首先让我们了解一下云模型的基本特征。

    ——按需自助服务。视客户需要,可以从每个服务提供商那里单方面地向客户提供计算能力,譬如服务器时间和网络存储,而这些是自动进行的无需干涉的。

    ——广泛的网络访问。具有通过规范机制网络访问的能力,这种机制可以使用各种各样的瘦和胖客户端平台(例如携带电话、笔记本电脑以及PDA)。

    ——资源共享。提供商提供的计算资源被集中起来通过一个多客户共享模型来为多个客户提供服务,并根据客户的需求,动态地分配或再分配不同的物理和虚拟资源。有一个区域独立的观念,就是客户通常不需要控制而需要知道被提供资源的确切位置,但是可能会在更高一层的抽象(例如国家、州或者数据中心)领域指定资源的位置。资源的例子包括存储设备、数据加工、内存、网络带宽和虚拟机等。

    ——快速的可伸缩性。具有快速、可伸缩性提供服务的能力。在一些场景中,所提供的服务可以自动、快速地横向扩展,在某种条件下迅速释放以及快速横向收缩。对于客户来讲,这种能力用于使所提供的服务看起来好像是无限的,并且可以在任何时间购买任何数量。

    ——可度量的服务。云系统通过一种可计量的能力杠杆在某些抽象层上自动地控制并优化资源以达到某种服务类型(例如存储、处理、带宽以及活动用户账号)。资源的使用可以被监视和控制,通过向供应商和用户提供这些被使用服务报告以达到透明化。

    该云模型提供了三种服务模型。

    一是软件即服务(SaaS)。客户使用的服务商提供的应用程序运行在云基础设施上。这些应用程序可以通过各种各样的客户端设备来访问,例如基于WEB的电子邮件。客户不管理或者控制底层的云基础架构,包括网络、服务器、操作系统、存储设备,甚至独立的应用程序机能,在可能异常的情况下,限制用户可配置的应用程序设置。

    二是平台即服务(PaaS)。客户使用云供应商支持的开发语言和工具,开发出应用程序,发布到云基础架构上。客户不管理或者控制底层的云基础架构,包括网络、服务器、操作系统或者存储设备,但是能控制发布应用程序和可能的应用程序运行环境配置。

    三是架构即服务(IaaS)。向客户提供处理、存储、网络以及其他基础计算资源,客户可以在上面运行任意软件,包括操作系统和应用程序。用户不管理或者控制底层的云基础架构,但是可以控制操作系统、存储、发布应用程序,以及可能限度的控制选择的网络组件(例如防火墙)。

    该云模型的发布形态有几种:私有云、社区云、公有云、混合云。

    在云计算的具体实践中,一般是从某几个方面开始涉入,与具体的应用结合,找到一条通过云计算技术来提升效率的成功之路。

    我国在战略上非常重视云计算的这一波浪潮,在国家多个部门的“十二五”规划中,都把云计算提到了一个非常重要的位置,并在多个城市、多个企业开始了云计算的试点。在云计算的试点实践中,如何有规划、分步骤地开始云计算系统的建设,是一个重要问题。

    企业云计算系统的建设过程与安全保障

    在国内云计算系统的建设实践中,比较典型的推进方式是:从私有云开始,从IaaS服务开始,逐渐扩展到云计算应用的其他方面。

    如左图所示,某大型集团企业的云计算系统规划如下:

    1.通过资源层的整合,将核心计算域的服务器资源整合成计算资源池,形成云计算数据中心,并通过引入服务器虚拟化技术来提高资源使用效率。

    2.通过统一管理平台,解决云计算数据中心的资源分配与管理,实现动态弹性部署和备份迁移管理。

    3.开发云计算系统的用户管理和用户自服务界面,为集团内部各部门和各业务系统提供IaaS服务。

    在私有云和IaaS服务的基础上,扩展到针对集团内部的PaaS/SaaS服务,再扩展到对外提供服务。

    在整个云计算系统的实施过程中,相应的安全保障措施是对客户提出的一项巨大挑战。根据云计算系统的不同建设阶段,提出了相应的安全保障措施。

    一是在计算资源整合与服务器虚拟化阶段,安全保障的关键是解决服务器虚拟化所带来的安全网关部署位置问题。

    二是在统一管理平台阶段,安全保障的重点是解决虚拟服务器动态部署所带来的安全功能伴随迁移问题。

    三是在用户自服务接口开发阶段,安全保障的重点是统一身份认证系统的建设和运维审计问题。

    服务器虚拟化之后的安全设备部署

    服务器虚拟化对安全网关设备的部署提出了新的要求。

    一是针对传统的安全设备,需要支持多实例(也称为虚拟安全网关),每个实例支持独立的安全引擎和安全管理配置界面,以支持云计算系统中的多个用户使用。

    二是在同一台物理服务器内部的不同虚拟化服务器之间的通信流量不经过网络,需要一种新形态的安全设备,部署在虚拟操作系统内部,可以对虚拟服务器之间的访问进行控制。


    展开全文
  • CCSK云安全认证-M2-云基础设施安全

    万次阅读 多人点赞 2020-03-05 11:54:28
    CCSK云安全认证-M2-云基础设施安全


    一.云基础设施概述

    在云计算中,基础设施有两个大层面

    • 汇聚在一起用来构建云的基础资源,这层用于构建云资源池的原始的,物理的和逻辑的计算(处理器,内存等),网络和存储资源

    • 由云用户管理的虚拟/抽象的基础设施,例如各个云平台中的服务器基础设施等,这层是从资源池中使用的计算、网络和存储资产,例如,由云用户定义和管理的虚拟网络的安全性

    二.保护虚拟网络

    2.1 云网络虚拟化

    每一个云厂商利用某种形式的虚拟网络来抽象物理网络并创建网络资源池,华为云/腾讯云/亚马逊/AWS/阿里云都具有相关专业网络VPC的

    如果作为云提供商或者私有云管理者,出于操作和安全的原因,将云的网络进行物理隔离是非常重要的

    2.2 云计算中常见的网络虚拟化
    • VLAN (虚拟局域网)
      利用现有的网络技术在大多数网络硬件实现,但其本身并不适用大规模虚拟化或者安全性,不应该作为一个网络隔离的有效的安全控制手段来考虑

    • SDN (软件定义网络)
      在顶部的一个更完整的网络硬件抽象层,SDN将网络控制平面从数据平面解耦,使得用户摆脱传统局域网的局限性,对网络进行抽象

    • SDN特点:
      1.提供有效的安全隔离边界
      2.提供软件定义的任意IP范围
      3.更好的扩展现有的网络
      4.SDN的安全优势
      5.隔离更容易,不受物理硬件的限制,构建出尽可能多的隔离网络
      6.SDN防火墙(安全组)可用于比基本硬件的防火墙更灵活标准的资产,不受物理拓扑限制
      7.与云平台的编排层相结合,使用传统的硬件或基于主机的方法,可以使用较 少的管理开销实现非常动态和粒度化的组合和策略
      8. 默认拒绝通常是起点

    2.3 微分段和软件定义的边界
    • 微分段

      微分段利用虚拟网络拓扑来运行更多、更小, 更加孤立的网络,而不用增加额外的硬件成本
      利用此功能,如果攻击者破坏单个系统,这将大 大降低爆炸半径。攻击者不能再利用此立足点扩展整个数据中心

    • 软件定义的边界

      云安全联盟软件定义边界工作组开发了 一种模型和规范,它结合了设备和用户身份验证,动态地提供对资源的网络访问和增强安全性

    • SDP三个组件

      1.连接资产的 SDP 客户机
      2.SDP 控制器,用于验证和授权 SDP 客户机并配置与 SDP 网关的连接
      3.SDP 网关,终止 SDP 客户机网络流量,在与 SDP 控制器通信时强制执行策略。

    2.4 监控和过滤

    如果两个虚拟机位于相同的物理机器上,则没有理由将机箱内的网络流量路由到网络之上,他们可以直接通讯,并且在网络上(或附加在路由器/交换机硬件)的监控和过滤 工具永远看不到流量。
    解决办法:
    (1)可以将流量路由到同一硬件(包含网络安全产品的虚拟机版本)上 的虚拟网络监控或过滤工具。
    (2)将流量桥接道网络,或路由到相同虚拟网络的 网络设施上

    云平台/提供商可能不支持直接访问网络监控。由于复杂性和成本,公有云提供商 很少允许客户进行全面数据包网络监控

    2.5 提供者 & 消费者的责任
    • 云提供商责任
      云提供商要负责建立安全的网络基础设施并正确配置。隔离和独立网络流量, 以防止租户访问其他用户的流量,这是绝对最高优先级的安全性。这是任何多租户网 络最基础的安全控制。

    • 云用户责任
      云消费者主要负责合理配置虚拟网络的部署,尤其是虚拟防火墙。云消费者负责管理器暴露控制正确权限管理及配置。当虚拟防火墙和/ 或监控不满足安全需求时,云消费者可能需要用虚拟安全设备或主机安全代理进行补偿

    2.6云提供商或私有云的其他注意事项
    • 云提供商
      供应商必须维护物理/传统网络的核心安全性,平台在其之上构建。
      保持多租户环境的分区和隔离是绝对必要的。
      供应商必须向云用户暴露安全控制措施,以便他们能够正确配置和管理其网络 安全性。
      负责实现保护环境的边界安全,但最大限度地减少对客户负 载的影响
      确保当实例被释放回到虚拟机管理程序时,任何潜在的敏感信息是被擦除了,以确保当磁盘空间被重新分配后信息不能够被另一个客户读取

    三. 云计算与负载安全

    负载概念
    负载作为一个处理单元,可以在虚拟机、容器或者其他的抽象中。负载始终运行 在处理器上并占用内存。
    对于云提供商来说,维持每一个运行在硬件栈上的云负载及其硬件的完整性都是 非常关键的

    3.1 计算抽象类型

    计算抽象类型,每一个都有不同程度的隔离性

    • 虚拟机
      虚拟机是最广为人知的计算抽象形式,所有的 IaaS 提供商都可以提供。
      威胁挑战:虚拟机有遭到内存攻击的可能性,但由于软硬件的不断改进使得隔离逐步加强, 现在变得越来越难。在现在的 hypervisor 上运行的虚拟机通常受到了有效的安全 控制,并且针对虚拟机和安全运行环境的硬件隔离不断增强也将会不断提升这些 控制能力。

    • 容器
      容器是运行在操作系统上的代码执行环境(目前),共享并充分利用操作 系统的资源。
      威胁挑战:容器提供了 一个受限的代码运行环境,只允许代码访问容器的配置定义的进程和功能。由于 容器的平台依赖性,其隔离功能不会与平台产生差异。容器也随着不同的管理系 统、底层操作系统和容器技术而快速发展。

    • 基于平台的负载
      基于平台的负载是一个更加复杂的类别,其运行在除虚拟机和容器之外的共享的平台上,如运行在共享数据库平台上的逻辑/过程。
      威胁挑战:平台提供商需要对其隔离性和安全性负全部责任,尽管提供商可能 公开某些安全选项和控件。

    • 无服务器计算
      无服务器是一个广泛的类别,主要是指云用户不需要管理任何底 层硬件或虚拟机的场景,只需要访问公开的功能。
      威胁挑战: 从安全角度上看,无服务器只不过是一个包含容器和基于平台 负载的组合项,由云提供商管理所有的底层,包括基础的安全功能和控制项。

    3.2 云对负载安全的改变

    所有的处理器和内存几乎都始终要运行多个负载,负载经常来自不同的租户。多 个租户很可能共享同一个物理计算节点,不同的物理栈上会有一系列的隔离能力。维持负载的隔离应该是云提供商的首要的责任之一。
    尽管有的平台支持指定负载运行在特定的硬件池或通用位置来提供可用性、合规性和其他需求,但是不管使用哪种部署模型,云用户都很少能够控制负载的物理的运 行位置。

    3.3 负载安全监控和日志的变化
    • 安全日志/监控在云计算中更加复杂
    • 日志中的IP地址并并一定反应一个特定的工作流,因为多个虚拟机可能在一段时间内共享相同的IP地址,而一切负载,如容器和无服务器负载可能根本没有可识别的IP地址
    • 云具有更快的变化速度,日志也需要在外部更快地被卸载和收集。
    • 日志的机构需要考虑云存储和网络消耗

    四. 管理平面安全

    • 管理平台安全
      管理平面是传统基础架构和云计算之间唯一最重大的安全差异
      管理平面控制和配置元结构,也是元结构本身的一部分,相当于管理平台及配置API,也都是API应用程序的一部分
      云管理平面负责管理资源池中的资产,云消费者负责配置他们的资产和部署到云端的资产

    • 访问管理平面
      管理平台通常是通过 API 和 Web 控制台来实现。应用程序接口允许对云的可编 程式管理。它们是将云的组件保持在一起并实现其编排的粘合剂。

    • 保障管理平面的安全(安全建议)

    • 确保 API 网关和 Web 控制台具有足够的外围安全性

    • 使用强认证和多因素认证

    • 严格控制主账户持有人/root 账户凭证并考虑双重授权访问

    • 与您的提供者建立多个账户将有助于账户粒度和限制危害范围(使用 IaaS 和 PaaS)

    • 使用独立的超管和日常管理员账户,而不是 root/主账户持有人的凭据。

    • 坚持使用最小特权账户访问元结构

    • 可能的情况下强制使用多因素身份验证

    五.业务连续性和容灾

    • 责任模型

      像安全和合规一样,业务连续性和灾难恢复(BC/DR)是双方共担的责任。云提 供方应管理其职责内的方面,云客户也应承担云服务如何使用和管理的最终责任。

    • 混沌工程
      混沌工程通常用于帮助构建弹性云部署,因为所有的云都是基于API的,所以混沌工程使用工具来选择性的降低云的某一部分,以持续性

    展开全文
  • 云安全: 紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜 。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知...

    云安全:

    紧随云计算、云存储之后,云安全也出现了。云安全是我国企业创造的概念,在国际云计算领域独树一帜 。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。

    “云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。

    云安全是我国企业创造的概念,在国际云计算领域独树一帜。

    “云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。

    在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出,如多个虚拟机租户间并行业务的安全运行,公有云中海量数据的安全存储等。由于云计算的安全问题涉及广泛,以下仅就几个主要方面进行介绍:

    • 用户身份安全问题

    云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。

    • 共享业务安全问题

    云计算的底层架构(IaaS和PaaS层)是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。

    • 用户数据安全问题

    数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的IT架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。

    阿里云大学互联网学院:云安全专业认证考试首页

    跟随阿里云技术专家,掌握最权威云安全知识;

    从云服务器、网络安全,到云上数据、应用安全,从安全风险原理,到防护解决方案,从0开始,成为一名优秀的云上安全工程师。跟随阿里云技术专家,掌握最权威云安全知识;

    适用人群:

    云安全爱好者、开发者

    准备从事云安全的人员,其它互联网从业者或互联网安全爱好者

    学习时长:

    5个月 每周3小时,掌握大数据开发核心技术

    先修知识:

    计算机操作基础知识

    有网络、操作系统基础知识

    实战项目:

    15个场景化项目

    名师授课,掌握云安全最新实用技能

    阿里云开发者社区全面升级,一站式体验,用得更爽:(阿里云开发者社区首页

    展开全文
  • 阿里云安全恶意程序检测冠军经验分享(万字长文)

    万次阅读 多人点赞 2021-02-04 19:34:50
      最近收到不少收费用户的私信,想要学习我是如何拿到阿里云安全恶意程第一名的优异成绩的经验。大家渴望学习的热情感染了我,所以特意整理了一篇详尽的经验分享博客,希望能对大家有所帮助。 文章目录1. 任务...

      最近收到不少收费用户的私信,想要学习我是如何拿到阿里云安全恶意程第一名的优异成绩的经验。大家渴望学习的热情感染了我,所以特意整理了一篇详尽的经验分享博客,希望能对大家有所帮助。
    在这里插入图片描述
    在这里插入图片描述

    1. 任务描述

      将windows可执行程序在动态沙箱中模拟运行,从而得到每个程序的API指令序列。根据得到的API序列进行多分类(八个类别),具体类别表示为:0(正常)、1(勒索病毒)、2(挖矿程序)、3(DDoS木马)、4(蠕虫病毒)、5(感染型病毒)、6(后门程序)、7(木马程序)。其中数据来源为阿里云安全恶意程序检测赛题(https://tianchi.aliyun.com/competition/entrance/231694)。

    2. 数据统计分析

    下表为训练集各个类别的样本个数分布:

    class 0 class 1 class 2 class 3 class 4 class 5 class 6 class 7
    4978 502 1196 820 100 4289 515 1487

      根据统计结果可得,各个类别分布并不均衡,其中部分类别样本个数过少,这就会造成训练的模型效果不够好。所以后续需要采取措施,从而提高模型的泛化能力。

      根据统计得出,训练集和测试集中总共使用的API个数为301个。相比于其它的NLP任务来说,API的个数远远小于词的个数。

      下表为训练集中每个文件对应的API个数分布:

    分布区间 个数
    (0, 100] 2363
    (100, 200] 779
    (200, 500] 1513
    (500, 1000] 1037
    (1000, 2000] 1423
    (2000, 5000] 2220
    (5000, 10000] 1777
    (10000, 20000] 1504
    (20000, 50000] 986
    (50000, 100000] 71
    (100000, 10000000] 58

    3. 方案设计

      机器学习方法根据使用的计算资源来划分,可以分为传统机器学习和深度学习。考虑到实际应用分为两种情况:线上预测和线下预测,前者必须在极短的响应时间内完成预测,往往计算资源也相对有限,所以更加适合使用传统机器学习。而后者不需要在短时间内完成预测,为了得到更好的检测效果,所以可以采用深度学习。

    3.1 单模型设计

      从处理流程来说,传统机器学习相比深度学习而言,传统机器学习需要手动提取特征,而深度学习是自动提取特征。

    3.1.1 传统机器学习

    3.1.1.1 特征工程

      根据上述的数据统计结果,API个数约为300个,而自然语言(如汉语)包括的词为上万级。所以由于维度灾难,自然语言往往是无法使用n-gram进行特征工程,而对于此任务就非常适合。但是n-gram本质上也是one-hot向量,所以无法得到API之间的相似性。为了解决上述问题,使用word2vec训练词向量,从而可以得到每个API对应的向量,再将每个文件中的所有API向量相加求平均,就得到每个文件API序列对应的word2vec向量。最后将n-gram特征和word2vec特征融合在一起,从而构成对每个文件API序列的特征提取。

      在此过程中遇到一些问题,为了让大家少走弯路,特意记录如下:

    1. 尽可能使用更多的数据(训练集+测试集+其他数据集)来训练词向量,由于使用word2vec来训练词向量,只需要CPU和一定的内存即可进行训练。
    2. 使用gensim训练word2vec词向量时须注意,min_count默认为5(词出现个数如果少于该数,就会过滤掉),需要将此参数修改为1。否则会出现KeyError。
    3. 使用sklearn.feature_extraction.text.CountVectorizer来提取n-gram特征,可通过ngram_range的参数来设置n-gram的n,并且该接口可以同时取到多个n-gram的汇总结果。如ngram_range(1, 3),取到的是词袋模型、2gram和3gram(左闭右闭)的汇总结果。
    4. CountVectorizer返回是稀疏矩阵,而word2vec得到的是稠密矩阵。两者拼接过程是先把CountVectorizer(ngram)的稀疏矩阵转换成稠密矩阵(float32精度即可),然后将两个稠密矩阵进行拼接,最终转换成稀疏矩阵。如果不做这步转换,就会在后续的训练过程中造成OOM(Out of Memory)。范例代码如下所示:
    x_train = np.concatenate((x_train_ngram.A.astype('float32'), x_train_word2vec_mean), axis=1)
    

    3.1.1.2 分类器

      XGBoost是一种应用梯度提升树算法的分类器。它广泛应用于工业界和学术界,并且在各个数据科学的比赛中被广泛使用。为了最大程度的发挥XGBoost的效果,通过网格搜索寻找多个参数的最佳值,如树的最大深度(max_depth)、学习率(eta)、对数据集的采样率(subsample)、对特征的采样率(colsample_bytree)。

      为了提高模型的稳定性和预测精度,在训练数据时将数据进行10折分层采样(验证集是用来进行早停)。由于分层采样中可以设置不同的随机种子,所以最终的模型结果为为折数*随机种子数个模型的平均。

      单个训练过程的代码如下所示:

    dtrain = xgb.DMatrix(X_train, label=X_train_label)
    dval = xgb.DMatrix(X_val, X_val_label)
    dtest = xgb.DMatrix(x_test_new)
    param = {'max_depth': 6, 'eta': 0.1, 'eval_metric': 'mlogloss', 'silent': 1, 'objective': 'multi:softprob',
    'num_class': 8, 'subsample': 0.8,
    'colsample_bytree': 0.85}
    evallist = [(dtrain, 'train'), (dval, 'val')]
    num_round = 300
    model = xgb.train(param, dtrain, num_round, evallist, early_stopping_rounds=50)
    

    3.1.2 深度学习

    3.1.2.1 深度学习模型设计

      近年来,深度学习是最热门的技术之一。如何将深度学习应用到恶意代码检测中成为了一个很重要的课题。虽然深度学习能够自动提取特征,但是针对文本类任务而言,需要对每个词进行数字化表示(词嵌入)。虽然大杀四方的BERT模型(包括各种变体模型)在各个NLP领域中都取到了非常骄人的成绩,但是它有一个很大的限制条件在于max_len最多为512(句子的最大长度,超过该长度就会进行截断)。根据上述的数据统计分析,绝大多数文件的API序列长度是大于512的,所以无法使用BERT来训练词向量。除了BERT以外,ELMo也解决了一词多义的问题。但它本质上是使用双向的LSTM,由于序列长度超长,容易造成梯度消失或者梯度爆炸。分析下来,最终只好使用word2vec的词向量。

      需要注意的是,在word2vec词向量中需要添加padding对应的词向量(一般为零向量,也可使用其他向量)。

    embedding = Embedding(max_cnt, embed_size, input_length=max_len, mask_zero=mask_zero, weights=[embedding_matrix], trainable=False)(_input)
    

      模型方面,考虑到计算资源和梯度潜在的问题,并结合实践结果(也曾尝试DPCNN、BiLSTM等模型,但效果不佳),将TextCNN作为终极模型。TextCNN的本质上是选取ngram中效果最大的某一个N元组,在TextCNN中的参数filter_size相当于ngram中的n。为了提高模型的预测能力,将filter_size设置为[2, 4, 6, 8, 10, 12, 14, 16, 18, 20],在全局最大池化的基础上添加了全局平均池化(来近似表示整个API序列的语义)。由于TextCNN无法对变长序列进行处理,再根据训练集中每个文件对应的API个数分布表,为了尽可能的保存序列信息,填充每个API序列为统一长度50000,超过50000的序列只保留前50000个API(也经过实验进行测试,选取长度为5000和10000,但效果均不如50000)。
      为了抑制过拟合现象,采用了Dropout、EarlyStopping、标签平滑等方法。由于API序列本质上也是文本,所以使用SpatialDropout1D。

      标签平滑是将标签进行变换,转换前的标签为one-hot表示:
    y={1,0,y = \left\{ \begin{array} { l } { 1,真实类别 } \\ { 0,其它类别} \end{array} \right.
      转换后的类别如下所示:
    y={1ϵ,ϵ/(n1),y = \left\{ \begin{array} { l} { 1-\epsilon,真实类别 } \\ { \epsilon/(n-1),其它类别 } \end{array} \right.
      标签平滑来自于paper《Regularizing Neural Networks by Penalizing Confident Output Distributions》。如果是只预测对应的类别ϵ\epsilon取0.1效果就会有提升,如果是需要预测每个类别的概率,ϵ\epsilon就要取比较小才会有效果(例如0.005,针对阿里云比赛数据的最佳值)。这部分代码非常简单,如:

    for i in range(len(train_labels)):
        for j in range(len(train_labels[i])):
            if train_labels[i][j] == 0:
                train_labels[i][j] = 0.005 / 7
            else:
                train_labels[i][j] = 0.995
    

      除了对标签进行平滑,也可通过修改损失函数的方法达到同样的功效。可参考苏剑林老师的博客https://kexue.fm/archives/4493。

    3.1.2.2 深度学习模型训练

      由于谷歌提供了TPU计算资源,可大大加快模型的训练速度。为了方便大家使用,将训练方法总结如下。

    1. 重装Tensorflow1.13.1。根据谷歌官网(https://cloud.google.com/tpu/docs/supported-versions#supported-tensorflow) ,colab TPU最高支持的Tensorflow版本为1.13。
    !pip install tensorflow==1.13.1
    
    1. 更改运行时类型为TPU,并重新启动代码执行程序(两者均是在菜单栏中的代码执行程序中)。
    2. 验证环境是否切换到了TPU
    import pprint
    
    use_tpu = True #@param {type:"boolean"}
    
    if use_tpu:
        assert 'COLAB_TPU_ADDR' in os.environ, 'Missing TPU; did you request a TPU in Notebook Settings?'
    
    if 'COLAB_TPU_ADDR' in os.environ:
        TF_MASTER = 'grpc://{}'.format(os.environ['COLAB_TPU_ADDR'])
    else:
        TF_MASTER=''
    
    with tf.Session(TF_MASTER) as session:
        print ('List of devices:')
        pprint.pprint(session.list_devices())
    
    1. 定义模型,即通过函数返回tensorflow.keras.models.Model对象。
    def TextCNN_add_pool_wordvec_not_trainable(max_len, max_cnt, embed_size, \
    num_filters, kernel_size, conv_action, mask_zero, embedding_matrix):
        input = Input(shape=(max_len,), dtype='int32')
        embedding = Embedding(max_cnt, embed_size, input_length=max_len, mask_zero=mask_zero, weights=[embedding_matrix], trainable=False)(input)
        embedding = SpatialDropout1D(0.2)(embedding)
        warppers = []
        for _kernel_size in kernel_size:
        conv1d = Conv1D(filters=num_filters, kernel_size=_kernel_size, activation=conv_action)(_embed)
        warppers.append(GlobalMaxPooling1D()(conv1d))
        warppers.append(GlobalAveragePooling1D()(conv1d))
        fc = concatenate(warppers)
        fc = Dropout(0.5)(fc)
        fc = Dense(256, activation='relu')(fc)
        fc = Dropout(0.25)(fc)
        preds = Dense(8, activation = 'softmax')(fc)
        model = Model(inputs=_input, outputs=preds)
        return model
    
    1. 训练模型
    strategy = tf.contrib.tpu.TPUDistributionStrategy(
    tf.contrib.cluster_resolver.TPUClusterResolver(tpu='grpc://' + os.environ['COLAB_TPU_ADDR']))
    
    model = TextCNN_add_pool_wordvec_not_trainable()
    model = tf.contrib.tpu.keras_to_tpu_model(model, strategy)
    model.compile('adam', 'sparse_categorical_crossentropy', ['sparse_categorical_accuracy'])
    model.fit(
    x_train, y_train,
    validation_data=(x_valid, y_valid),
    epochs = 20,
    batch_size = 128)
    

    3.2 模型融合

      首先介绍一下模型融合的大原则:强强联合、优势互补。初学者比较容易犯的一个误区,就是不管模型好与坏,都强行进行融合,结果往往不尽人意。
    在这里插入图片描述
      针对此任务而言,基于传统机器学习的XGBoost模型和深度学习TextCNN模型各有所长。具体来说,XGBoost模型的特征输入是短距离的n-gram信息和word2vec的整体语义信息,它的优势是具有相对完整的整体语义信息和所有短距离n元组信息的非线性表示(短距离+整体语义)。而TextCNN的优势在于加入了多个长距离n元组中最有效的单个n元组信息(长距离)。所有将两者融合以后就会取得更好的效果。

      根据两个模型在训练集中得到的混淆矩阵,两个模型在不同类别的效果也不太一致。其中XGBoost在第0、1、2、3、4、5类效果明显由于TextCNN模型。而两个模型在第6、7类效果差异不大。所以对两个模型在不同类别设置不同的权重,最终再将概率归一化。

    3.3 线上部署

      线下预测只要每次执行py文件即可完成预测。但此方式并不适合线上的形式。原因在于每次导包、加载模型就会占据大量的时间。所以需要需要将加载模型持久化到内存中,接着每次通过网络实时发送数据,模型实时预测并把预测结果以json格式返回。经过调研,采用Flask框架创建模型API接口并部署上线。话不多说,上代码(flask_model.py):

    #导包
    import xgboost as xgb
    import pickle
    import numpy as np
    import pandas as pd
    from gensim.models import KeyedVectors
    import json
    from scipy import sparse
    import joblib
    from flask import Flask
    from flask import request
    from flask import jsonify
    
    #加载word2vec词向量
    with open(r'model/word2idx_vec_whole_data_new.json') as f:
        json_data = json.load(f)
    
    embedding = pd.read_pickle(r'model/word_seg_vectors_arr_whole_data.pkl')
    words = list(json_data.keys())
    #由于第一行是保存的是padding的词向量,而在XGBoost中不需要
    vectors = embedding[1:,:]
    
    
    model_word2vec = KeyedVectors(vectors.shape[1])
    model_word2vec.add(words, vectors)
    #加载ngram特征
    ngram_vectorizer = joblib.load("model/ngram_joblib.dat")
    #加载五折XGBoost的模型
    model_xgb_list = [joblib.load('model/xgb_{}_joblib.dat'.format(str(i))) for i in range(0, 5)]
    
    
    app = Flask(__name__)
    @app.route('/',methods=['POST','GET'])
    def output_data():
        test_data=request.args.get('inputdata')
        test_data =[test_data]
        
        if test_data:
            x_test_word2vec_mean = [np.mean(model_word2vec[filter(lambda x: x in model_word2vec.vocab.keys(), i.split())], axis = 0) for i in test_data] 
            x_test_word2vec_mean = np.array(x_test_word2vec_mean)
    
            x_test = ngram_vectorizer.transform(test_data)
            x_test_new = np.concatenate((x_test.A.astype('float32'), x_test_word2vec_mean), axis=1)
            x_test_new = sparse.csr_matrix(x_test_new)
    
            result_test = np.zeros(shape=(1, 8))
            dtest = xgb.DMatrix(x_test_new)
            for model_xgb in model_xgb_list:
                pred_test = model_xgb.predict(dtest)
                result_test += pred_test
            result_test = result_test / 5.0
            test_labels = np.argmax(result_test, axis=1)
        
            return jsonify(str(test_labels))
    if __name__ == '__main__':
        app.config['JSON_AS_ASCII'] = False
        app.run(host='127.0.0.1',port=5010) # 127.0.0.1
        
    print('finished')
    

    predict.py

    import requests
    base = 'http://127.0.0.1:5010/?inputdata=recv recv'
    response = requests.get(base)
    answer = response.json()
    print('预测结果',answer)
    

    4. 总结

      机器学习中也没有“银弹”。对于不同的应用领域,最适合的方法也是截然不同的。错误的步骤是一上来就先用最复杂的模型,然后进行调参。但问题在于在某些情况下,复杂模型的最优效果还不如一些baseline模型(新浪微博预测大赛中随机森林的效果就优于GBDT,而LR的效果又优于随机森林,可参考链接为https://mp.weixin.qq.com/s?spm=5176.12282029.0.0.439a4ab3CcJTNV&__biz=MzAwNjM1ODkxNQ==&mid=400341222&idx=1&sn=868b9c0a84c6a8391889e1b5186cb832#rd)。而正确的方法是先做数据统计分析,然后结合自己的调研(paper等)、经验和思考,从各种baseline方法开始做起。在迭代过程中,及时记录每一个模型的结果,并思考模型的效果为什么会上升或者下降(比如在此任务中,TF-IDF的特征效果不如词袋模型的特征,为什么ngram的效果会很好等等)。

      在按部就班的分析、实践的基础上,有时间多参加各种讲座,比如在亚马逊的深度学习讲座中涉及了一些优化方法,如标签平滑、mixup等。除此之外还需要一些不同寻常的idea,比如ngram特征结合word2vec特征。

      另外,当时由于计算资源非常有限,所以并没有尝试预训练模型。如果计算资源比较充足,可以自己重头开始预训练BERT模型来替代上文中的CNN模型(这是由于现有的预训练模型基本上针对的是自然语言,还没有现成的API序列的预训练模型)。

    展开全文
  • 阿里云云安全助理工程师认证(ACA) 
Alibaba Cloud Certified Associate - Cloud Security 阿里云云安全助理工程师认证(Alibaba Cloud Certified Associate,ACA)是面向学生群体及开发者和运维人员的阿里云...
  • 阿里云云安全助理工程师认证(Alibaba Cloud Certified Associate,ACA)是面向学生群体及开发者和运维人员的阿里云在线认证,获得此认证可证明您掌握了阿里云安全产品的核心功能和应用技能,可以在阿里云生态获得更...
  • 云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,收集并呈现10余种类型的日志和云上资产指纹,并结和网络实体威胁情报进行安全态势分析,扩大安全可见性。 更多参考阿里云帮助中心-云安全中心 ...
  • 1. 安骑士 某公司属于传统行业,一年前刚刚发展互联网线上业务,用了五台云服务器ECS实例,没有专门的系统管理员,最近半年来线上系统总是出现...阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为
  • 文章目录一、云安全中心二、云监控三、RAM访问控制四、安全众测五、堡垒机六、安全责任七、架构和网络优化建议八、主机应用优化建议及报警策略设置九、总结 一、云安全中心 云安全中心 二、云监控...
  • 云安全中心是阿里云云上安全监控和诊断服务,面向云上资产提供安全事件检测、漏洞扫描、基线配置核查等服务。云安全中心结合了阿里自主研发的大数据和机器学习算法,通过多引擎查杀帮助您实时全面了解和有效处理...
  • 云安全课程】云平台使用安全

    千次阅读 2017-10-17 11:12:52
    阿里云大学Apsara Clouder云安全专项技能认证:云平台使用安全 您还在担心阿里云官网的帐号单凭密码登录不够安全?还在为服务代维时工程师的权限过大而产生风险?或者您作为系统管理员还在寻求一个完美的系统监控...
  • 阿里云/腾讯云/华为云安全组配置开放端口1. 阿里云安全组端口开放教程1.1 进入配置规则1.2 添加安全组规则1.2.1 规则填写说明2. 腾讯云安全组端口开放教程2.1 进入安全组2.2 添加安全组规则2.2.1 配置说明3. 华为...
  • 阿里云大学Apsara Clouder云安全专项技能认证:云平台使用安全 您还在担心阿里云官网的帐号单凭密码登录不够安全?还在为服务代维时工程师的权限过大而产生风险?或者您作为系统管理员还在寻求一个完美的系统监控...
  • 云安全联盟CSA:云安全7个致命的安全风险 导读]在RSA 2010大会上,云安全成为了众人关注的焦点,去年成立的云安全联盟CSA一直以来提倡保障云环境安全的最佳做法并对用户对云怎样确保计算安全的疑问进行教育。为此,...
  • 文章目录一、互联网的组成二、互联网的风险三、Top N 攻击详解四、阿里云安全体系五、云盾的安全防护 一、互联网的组成 二、互联网的风险 三、Top N 攻击详解 四、阿里云安全体系 ...
  • 云安全相关技术介绍

    千次阅读 2020-05-21 18:17:54
    随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从...
  • ACA考试名称为阿里云助理工程师...以下试题为阿里云ACA考试云安全内容典型试题。 1.如果企业云上的架构选择的是All in one的部署方式,以下哪种安全注意事项是不需要考虑的? A .云实例之间的数据传输安全 B .登陆安全
  • 云安全架构的设计

    千次阅读 2021-03-17 14:27:02
    公有云安全概述 云安全职责划分-共同担责 软件即服务SAAS 云服务厂家几乎负责所有的安全性,因为租户只能访问、管理和使用其提供的应用程序,但无法对应用程序做破坏性操作。例如:SAAS服务厂家提供安全、日志、...
  • 近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。” 登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或...
  • 云安全配置管理

    2019-09-26 13:04:14
    今年6月份Gartner正式发布了2019年的十大安全项目。 ...CARTA-InspiredVulnerability Management,符合CARTA方法论的弱点管理 Detection and Response,检测...Cloud Security PostureManagement,云安全配置管理(CSPM...
  • ACP 云安全 题库

    2021-03-12 20:06:10
    1.关于云安全中心的客户端(安装在ECS的软件)说法正确的是? A.默认强制安装的 B.在购买ECS的时候可选安装 C.都需要客户手动安装 D.不需要安装agent软件 1.B 2.客户在开通高防IP时,除了弹性带宽外,还可以选择抗...
  • 《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》(下文简称“云安全等保合规”)是由公安部发布的国家级安全标准文件,此标准是在国内参照执行度最高的安全标准。“云计算安全技术要求”分册...
  • 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面 (1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些...
  • 阿里云ACA试题-云安全典型题19道

    千次阅读 2020-03-25 16:21:41
    以下试题为阿里云ACA考试云安全内容典型试题,以供参考。 更多阿里云考试介绍,请参考阿里云帮助中心-阿里云认证介绍 以下试题,红色部分为答案。 1.如果企业云上的架构选择的是All in one的部署方式,以下哪种...
  • “如今,企业上云已经不再是新鲜事,如何做好云安全建设,是所有企业都非常关心的一个问题。此次科技云报道采访深信服安全业务CTO郝轶,探讨企业云安全的建设及网络安全发展趋势。” 全球安全市场正在面临巨大的...
  • 近日,国际权威咨询机构Gartner发布了《云...相对于其他厂商的安全产品因只具备某一领域安全功能而入围垂直安全领域供应商,阿里云凭借云安全中心丰富完善的产品功能及支持多个云平台的能力而入围“全功能、多系统...
  • 阿里云安全管家使用教程

    千次阅读 2019-04-09 14:38:16
    关于阿里云安全管家使用详情:阿里云安全管家使用教程 阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 38,079
精华内容 15,231
关键字:

云安全