上海交通大学实习报告.doc

学生实习报告实习单位: 密码学与计算机安全实验室 实习时间： 2015.7 至 2015.8 学院(系): 电子信息与电气工程学院 专 业: 计算机科学与技术 学生姓名: XX 学号: XX 2015年 9月 4 日 实习报告主要内容包括实习目的与任务、实习单位、实习内容、实习收获等第一周周记第一周进行了与谷老师的第一次沟通，谷老师给我布置任务，任务的内容是研究“云管端安全架构”，任务分为三个阶段，第一个阶段是查找资料，第二个阶段是分析比较，第三个阶段是提出自己的建议。 第一周首先进行了资料的查询，主要手段是通过互联网查找，第一周找到了华为的一份云管端的安全架构报告，和一份谷歌云安全白皮书。接下来进行了报告的阅读工作。第二周周记第二周继续查询资料，了解了一下针对云安全的攻击方式，和一些网络安全和终端安全的方案。查询到云安全的主要攻击方式是DDOS攻击，研究了趋势科技的网络安全策略，还有symantec的安全防火墙策略。又查找到IBM和DELL的云的简单架构。第三周周记 第三周开始进行各家公司的方案对比工作，根据华为提出的终端网络平台，数据管理的架构，比较google的云安全白皮书，分析两家公司不同之处，提出自己的一些建议，和见解。第四周周记 第四周向导师汇报，通过PPT的形式，向导师汇报研究成果，导师也之处其中问题，并布置后续研究方向，和指导意见。SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 总结报告本次暑期实习研究的课题是“云管端安全架构的分析和研究”。课题背景：随着云技术的普及，越来越多的APP都是由客户端与云端交互实现的，而业界并没有对云管端协同安全的一个标准，所以希望比较各家公司的方案，提出一个相对更加安全的解决方案。项目流程：查询资料 分析比较 提出方案汇报方案，提出进一步研究方向项目总结：云管端总体架构：一、平台与数据安全1.基本架构SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 2.虚拟化2.1 CPU虚拟化2.2 内存虚拟化2.3 存储虚拟化2.4 网络虚拟化SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 3 cloudOS安全3.1 软件安全3.2 硬件安全SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 4. 数据安全4.1 虚拟机的隔离：VLAN隔离4.2 虚拟机的隔离：安全组隔离SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 4.3 硬件网关虚拟化4.4 软件虚拟防火墙SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸5. google的方案存储管理：Google应用使用一个分布式文件系统，用来储存横跨很多电脑的大量数据。结构化的数据被存储在一个建立在文件系统上的分布式数据中。数据被分块并重组织存储到不同的系统中，这样没有一个系统是单独失败点。数据安全：安全控制建立在综合谷歌产品平台上，这个平台是建立在：1. 数据中心的物理安全控制2. 谷歌产品操作系统环境的综合3. Root level 的访问，对员工操作的监控媒介处理：当硬盘退役的时候，首先要求由专业人士抹去其中数据，要求全部写零，并且全部读一遍，SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 保证已经全部清零。再由第二个工作人员确认硬盘已经被抹掉了，最后，这个抹掉的硬盘被放入库存等待再次使用和部署。并且每个工厂每周都会接受审核。二、 桌面终端安全管理1. 主要策略三、管理1. 管理员三权分立SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 2. 管理员认证四、网络安全趋势科技的方案1、Web信誉服务借助全球最大的域信誉数据库之一，趋势科技的Web信誉服务按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数，从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率，趋势科技Web信誉服务为网站的特定网页或链接指定了信誉分值，而不是对整个网站进行分类或拦截，因为通常合法网站只有一部分受到攻击，而信誉可以随时间而不断变化。通过信誉分值的比对，就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时，就可以及时获得系统提醒或阻止，从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务，可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容，因此能有效预防恶意软件的初始下载，用户进入网络前就能够获得防护能力。为协助防御不断变动的Web攻击,趋势科技提供您创新的SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 Web威胁防御工具上网无忧电子眼，无论您是否为趋势科技企业或个人用户，皆可免费下载并使用。该工具内建Web信誉服务(WRS)，安装之后即可拦截恶意链接，有效且完整抵御零时差的Web攻击，同时该工具还提供及僵尸程序监测功能2、电子邮件信誉服务趋势科技的电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址，同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址，恶意电子邮件在云中即被拦截，从而防止僵尸或僵尸网络等web威胁到达网络或用户的计算机。3、文件信誉服务现在的趋势科技云安全将包括文件信誉服务技术，它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单，即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中，因此可以立即到达网络中的所有用户。而且，和占用端点空间的传统防病毒特征码文件下载相比，这种方法降低了端点内存和系统消耗。4、行为关联分析技术趋势科技云安全利用行为分析的“相关性技术”把威胁活动综合联系起来，确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处，但是如果同时进行多项活动，那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁，可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库，使得趋势科技获得了突出的优势，即能够实时做出响应，针对电子邮件和Web威胁提供及时、自动的保护。5、自动反馈机制趋势科技云安全的另一个重要组件就是自动反馈机制，以双向更新流方式在趋势科技的产品及公司的全天候威胁研究中心和技术之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁，趋势科技广泛的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式，实现实时探测和及时的“共同智能”保护，将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库，防止以后的客户遇到已经发现的威胁。由于威胁资料将按照通信源的信誉而非具体的通信内容收集，因此不存在延迟的问题，而客户的个人或商业信息的私密性也得到了保护。6、威胁信息汇总来自美国、菲律宾、日本、法国、德国和中国等地研究人员的研究将补充趋势科技的反馈和提交内容。在趋势科技防病毒研发暨技术支持中心TrendLabs，各种语言的员工将提供实时响应，24/7的全天候威胁监控和攻击防御，以探测、预防并清除攻击。趋势科技综合应用各种技术和数据收集方式包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路以及TrendLabs威胁研究趋势科技能够获得关于最新威胁的各种情报。通过趋势科技云安全中的恶意软件数据库以及TrendLabs研究、服务和支持中心对威胁数据进行分析。五、其他方案1. 戴尔的方案SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 2. IBM动态云解决方案六、几点建议和看法1. 华为的内存虚拟化，存储虚拟化和网络虚拟化的安全可靠性基本都依赖于CLOUDOS的可靠性。如果cloudOS漏洞被利用，或者有系统管理员有意篡改路由表，数据安全不能得到完全的保障（虽然有全磁盘加密）。2. 管理员登陆的手段多样化，密码，指纹，usbkey等，在人为疏忽的情况下容易泄露，以现在的技术甚至获取指纹也不是难事。建议当云端检测到不是在常用设备上登陆时，服务器可以要求登陆者念一段文字，进行声音分析，鉴别是否是本人操作。(用户注册时应录下一段声音，以便之后对声音进行对比分析)3. 对于管理员的三权分立，安全管理员，或安全审计员在授权审计的时候只知道操作而不知道操作来源于谁，操作和对应的产生操作的人由系统日志记录。类似于高考的时候防SHANGHAI JIAO TONG UNIVERSITY 学生实习报告用纸 作弊是盲改的。4. 谷歌的云安全白皮书主要阐述了云端大型数据库的管理和人员登陆限制。人员不可随意进出数据库，或访问客户数据。在内存和存储空间重分配上，谷歌没有像华为一样进行清零操作，只是清除指针，可能会造成未清除的一些信息泄露。关于退役硬件的处理，谷歌有专门的处理方式，不会把退役的硬件直接扔掉，经过一些处理之后再做报废处理，保证这些数据的安全。5. 对于DDOS攻击，主要有IP spoofing, land attack, ICMP flood等。我认为服务器应关闭在一段时间内没有得到回应的端口的监听。同时记录下多次发送这种恶意包的源mac地址，将此地址拉入黑名单。防火墙应有IP过滤，