云安全技术应用.pdf

目 录 I 高等职业教育云计算系列规划教材 云安全技术应用云安全技术应用 路 亚 李 腾 主 编 迟 骋 张占启 赵金俊 副主编 Publishing House of Electronics Industry 北京BEIJING 云安全技术应用 II 内 容 简 介 本书针对云计算技术与应用专业人才对云安全知识和技能的迫切需求，借鉴主流云计算服务商和信息安全服务商的安全防护技术和培训经验，结合国家相关技术标准，根据高职高专教学特点，合理编排，构建了云安全技术知识体系，内容涵盖云安全基础、云计算系统安全保障、基础设施安全、虚拟化安全、云数据安全、云应用安全和 SECaaS（安全即服务）等。本书是产教融合、校企合作开发教材的成果，注重实践技能的提高，每章都精心设计了不依赖于专门设备的实训项目，以提高学生的实际操作能力。本书不仅可作为高职高专、应用型本科相关专业的教材，也可作为云计算培训及自学教材。另外，本书还可作为电子信息类专业教师及学生的参考书。未经许可，不得以任何方式复制或抄袭本书之部分或全部内容。版权所有，侵权必究。图书在版编目（CIP）数据 云安全技术应用/路亚，李腾主编.北京：电子工业出版社，2019.1 高等职业教育云计算系列规划教材 ISBN 978-7-121-34880-8 .云 .路 李 .计算机网络网络安全高等职业教育教材 .TP393.08 中国版本图书馆 CIP 数据核字（2018）第 184656 号 策划编辑：徐建军（）责任编辑：王 炜 印 刷：装 订：出版发行：电子工业出版社 北京市海淀区万寿路 173 信箱 邮编：100036 开 本：7871 092 1/16 印张：12.25 字数：313 千字 版 次：2019 年 1 月第 1 版 印 次：2019 年 1 月第 1 次印刷 印 数：1 500 册 定价：35.00 元 凡所购买电子工业出版社图书有缺损问题，请向购买书店调换。若书店售缺，请与本社发行部联系，联系及邮购电话：（010）88254888，88258888。质量投诉请发邮件至 ，盗版侵权举报请发邮件至 。本书咨询联系方式：（010）88254570。目 录 III 前 言 近年来，我国云计算产业发展势头迅猛，创新能力显著增强，服务能力大幅提升，应用范畴不断拓展，已成为提升信息化发展水平、打造数字经济新动能的重要支撑。预计到 2019年，我国云计算产业规模将达到 4300 亿元以上。同时，随着云计算的发展，云安全问题逐渐凸显，已成为云计算发展的主要障碍之一。相对于传统信息系统，云计算系统面临着更复杂的网络环境和网络安全问题。传统信息系统主要面临黑客、病毒、木马、蠕虫等社会攻击及内部破坏的安全威胁，而云计算系统除了受到这些威胁之外，还面临着云计算服务因多角色参与而产生的信任问题和安全职责划分问题。如云租户担心云服务商私自保留数据备份或滥用客户数据；云服务商是否要为云租户因个人安全防护缺失而导致的账号密码泄露担责；云服务商提供的服务可持续性能否有效保障；云数据的保密性是否能够得到保障；云应用是否安全可信；云审计信息是否公正等。另外，云端资源的集中汇聚，也导致了黑客攻击目标更为明确集中，并且为黑客利用云资源开展分布式攻击提供了便利。可见在云环境下，安全问题面临的形势更加严峻。然而，国内/外与云计算安全相关的书籍却不多，适合高职高专层面使用的云计算安全教材更是稀缺。而传统信息安全技术相关教材中几乎没有云安全的相关内容，为了更好地开展专业教学，满足学生未来的职业需求，我们专门编写了本书。由于云计算安全涉及的内容非常多，本书在编写中侧重于技术内容及标准要求，并注重基础知识普及和实际操作应用等方面。全书共 7 章，第 1 章介绍了云安全的概念和由来；第2 章讲述了云计算系统安全保障涉及的内容；第 3 章介绍了云计算基础设施安全的内容及传统网络安全设备的相关知识；第 4 章介绍了虚拟化技术及其安全问题和安全技术；第 5 章介绍了云数据安全涉及的内容，并补充了密码学的基础知识；第 6 章介绍了云应用安全问题及防护措施；第 7 章介绍了“安全即服务”的典型技术实现。本书是产教融合、校企合作开发教材的成果，由重庆电子工程职业学院路亚、李腾担任 云安全技术应用 IV 主编，迟骋、华道天勤（北京）技术有限公司工程师张占启、赵金俊担任副主编，路亚编写了全书大纲并统稿。本书第 13 章由路亚编写，第 4、5 章由迟骋、张占启、赵金俊编写，第 6、7 章由李腾编写，重庆电子工程职业学院人工智能与大数据学院武春岭院长审阅了全书。为了方便教师教学，本书配有电子教学课件，请有此需要的教师登录华信教育资源网（），注册后免费下载，如有问题可在网站留言板留言，或与电子工业出版社联系（E-mail：）。虽然我们精心组织，认真编写，但错误和疏漏之处在所难免；同时，由于编者水平有限，书中也存在诸多不足之处，恳请广大读者给予批评和指正，以便在今后的修订中不断改进。编 者 目 录 V 目 录 第第 1 章章 云安全基础云安全基础1 1.1 云计算概述 1 1.1.1 计算模式的演变 1 1.1.2 云计算的产生背景 2 1.1.3 云计算的概念 4 1.1.4 云计算的模型 4 1.2 信息安全概述 6 1.2.1 信息安全概念 6 1.2.2 信息安全属性 7 1.2.3 信息安全原则 7 1.2.4 信息安全视角 8 1.2.5 信息安全模型 10 1.3 云安全11 1.3.1 云计算的安全问题 11 1.3.2 云计算的安全责任 12 1.3.3 云安全的概念 13 1.3.4 保护对象的比较 14 1.4 项目实训15【课后习题】16 第第 2 章章 云计算系统安全保障云计算系统安全保障17 2.1 概述17 2.1.1 云计算系统安全保障的概念 17 2.1.2 信息系统安全保障的模型 17 2.2 云计算安全标准和规范18 2.2.1 云计算安全标准 18 2.2.2 云计算安全参考架构 21 2.2.3 云计算关键领域安全指南 22 2.3 云计算安全等级保护23 2.3.1 等级保护实施流程 23 2.3.2 云计算安全测评 26 云安全技术应用 VI 2.4 云计算安全风险评估 28 2.4.1 风险评估的相关概念 28 2.4.2 云计算面临的安全威胁 29 2.4.3 云计算系统脆弱性扫描 30 2.4.4 云计算安全风险分析 31 2.5 云计算安全技术体系 34 2.6 项目实训 35【课后习题】39 第第 3 章章 基础设施安全基础设施安全40 3.1 物理安全 41 3.1.1 物理安全的概念与威胁 41 3.1.2 物理安全的具体措施 42 3.2 网络通信安全 44 3.2.1 TCP/IP 协议安全隐患 44 3.2.2 基于 TCP/IP 簇的安全协议 44 3.2.3 网络入侵与防范 46 3.3 网络安全设备 54 3.3.1 防火墙 54 3.3.2 入侵检测 58 3.3.3 VPN 61 3.3.4 网络隔离 64 3.3.5 UTM 网关 67 3.4 项目实训 68 3.4.1 网络监听 68 3.4.2 数据包过滤 69 3.4.3 搭建 VPN 72 3.4.4 Snort 安装与配置 77【课后习题】80 第第 4 章章 虚拟化安全虚拟化安全 82 4.1 主机虚拟化安全 82 4.1.1 主机虚拟化技术 82 4.1.2 主机虚拟化安全威胁 85 4.1.3 主机虚拟化安全技术 88 4.2 网络虚拟化安全 94 4.2.1 网络虚拟化技术 95 4.2.2 虚拟网络安全分析 98 4.2.3 IaaS 层网络安全防护 100 4.3 VPC102 目 录 VII 4.3.1 VPC 的概念102 4.3.2 VPC 的应用102 4.4 存储虚拟化技术103 4.4.1 存储虚拟化 104 4.4.2 云存储 106 4.5 项目实训108 4.5.1 主机虚拟化上机实践 108 4.5.2 虚拟化安全实训 111【课后习题】113 第第 5 章章 云数据安全云数据安全114 5.1 密码学基础114 5.1.1 概述 114 5.1.2 古典密码 117 5.1.3 现代密码 118 5.1.4 序列密码 119 5.1.5 分组密码 121 5.1.6 公钥密码 126 5.1.7 Hash 函数129 5.1.8 数字签名 131 5.1.9 PKI133 5.2 云数据生命周期136 5.3 云数据隔离137 5.3.1 数据分级 137 5.3.2 访问控制 138 5.3.3 SaaS 多租户数据隔离139 5.4 云数据保密性保障140 5.4.1 存储保密性 140 5.4.2 密文检索技术 141 5.4.3 传输保密性 143 5.5 云数据完整性验证144 5.6 云数据可用性保护144 5.6.1 多副本技术 144 5.6.2 数据复制技术 145 5.6.3 容灾备份技术 146 5.7 云数据删除150 5.7.1 数据销毁技术 150 5.7.2 安全数据删除技术 151 5.8 项目实训151 5.8.1 PGP 的安装和使用 151 云安全技术应用 VIII 5.8.2 云数据安全综合实训 155【课后习题】157 第第 6 章章 云应用安全云应用安全158 6.1 云应用158 6.1.1 云应用发展现状 158 6.1.2 云应用安全问题 160 6.2 用户管理与认证162 6.2.1 4A 统一安全管理162 6.2.2 账号管理 162 6.2.3 身份认证 163 6.2.4 授权管理 164 6.2.5 安全审计 165 6.3 内容安全管控165 6.3.1 内容安全问题 166 6.3.2 内容安全检测 166 6.4 云 Web 应用安全167 6.4.1 针对 Web 应用的攻击167 6.4.2 Web 应用安全防护 169 6.4.3 Web 应用防火墙 169 6.4.4 云 WAF 产品169 6.5 云 App 安全171 6.5.1 App 安全问题171 6.5.2 云 App 安全加固172 6.6 项目实训173【课后习题】177 第第 7 章章 SECaaS178 7.1 SECaaS 概念178 7.2 SECaaS 常见服务179 7.3 SECaaS 发展前景180 7.4 SECaaS 技术措施181 7.4.1 主动式云端截毒技术 182 7.4.2 绿盟云智慧安全 2.0 战略 184 7.5 项目实训185【课后习题】185 参考文献参考文献186 第 1 章 云安全基础 1 第 1 章 云安全基础 学习目标学习目标 了解计算模式的演变过程；了解云计算、云安全问题的产生；了解 PDRR、PPDRR 模型；理解云计算、信息安全、云安全相关概念；理解不同角色的信息安全视角；理解云计算各参与方不同的安全责任；掌握云计算安全和“安全即服务”的区别。1.1 云计算概述 自 2006 年 Google 首次明确提出云计算概念，Amazon 第一次将对象存储作为一种服务对外售卖开启云计算时代以来，云计算技术和相关产业迅速发展，新兴云计算企业如雨后春笋般不断涌现，云计算商业模式得到市场的普遍认可。十年间，全球各国政府纷纷出台政策扶持云计算产业，“云”的概念渐渐深入人心。随着云计算的普及，云计算安全问题逐渐凸显，已成为云计算服务提供商和用户共同关心的话题。1.1.1 计算模式的演变 计算模式是指利用计算机完成任务的方式，或计算资源的使用模式。从早期的计算机应用，到如今的云计算，在计算技术的发展历史中，计算模式主要经历了集中式计算模式、个人桌面计算模式、分布式计算模式和按需取用云计算模式的四种演变。1集中式计算模式 第一台电子计算机 ENIAC 诞生于 1946 年 2 月 14 日，由美国宾夕法尼亚大学研究建造，开启了人类使用计算机的时代。早期的计算机由于体积庞大、造价高昂、操作