專利名稱:一種集中式遠端云計算安全裝置的制作方法
技術領域:
本實用新型涉及一種網絡安全裝置�����,尤其是涉及一種集中式遠端云計算安全裝置。
背景技術:
隨著計算機技術的飛速發(fā)展����,信息網絡已經成為社會發(fā)展的重要保證。有很多是 敏感信息��,甚至是國家機密�。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄 漏、信息竊取�����、數據篡改����、數據刪添、計算機病毒等)���。同時��,網絡實體還要經受諸如水災�����、火 災���、地震��、電磁輻射等方面的考驗�����。計算機犯罪案件也急劇上升��,計算機犯罪已經成為普遍的國際性問題��。據美國聯 邦調查局的報告�,計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一����,每筆犯罪的平均金額為 45000美元,每年計算機犯罪造成的經濟損失高達50億美元���,而且這個數字在不斷增加�。擁有網絡安全意識是保證網絡安全的重要前提�。許多網絡安全事件的發(fā)生都和缺 乏安全防范意識有關。近幾年��,不論是企業(yè)還是個人對網絡安全都有了不同層度的重視���。個人電腦殺毒軟件�����、木馬防治軟件�、安全瀏覽器����,企業(yè)的硬件防火墻、IPS�、IDS都被 廣泛的應用到個人電腦和企業(yè)網絡中。如圖1所示�����,為現行公認程度較高網絡安全示意圖���。小型一些網絡��、對網絡安全要求并不太高的企業(yè)�,會把防火墻接入Internet,防火 墻充當路由器�����、防火墻����、VPN網關多種出口設備功能。在網絡出口投入硬件防火墻設備��,根 據實際需求劃分����,安全區(qū)、非安全區(qū)��、DMZ區(qū)域���。對網絡安全要求較高網絡會在核心交換機 架設IPS入侵檢測設備����,進行網絡監(jiān)控�����、網絡數據分析等。隨著信息安全問題的日益突出�����,安全管理理論與技術的不斷發(fā)展��,需要從安全的 角度去管理整個網絡和系統����。獨立孤島式的網絡安全部署存在很大的不足�����。為了不斷應對新的安全挑戰(zhàn)�,企業(yè)和組織先后部署了防火墻、UTM���、入侵檢測和防 護系統����、漏洞掃描系統��、防病毒系統��、終端管理系統,等等��,構建起了一道道安全防線����。然而, 這些安全防線都僅僅抵御來自某個方面的安全威脅���,形成了一個個“安全防御孤島”��,無法 產生協同效應�。更為嚴重地�����,這些復雜的IT資源及其安全防御設施在運行過程中不斷產生 大量的安全日志和事件�,形成了大量“信息孤島”,有限的安全管理人員面對這些數量巨大��、 彼此割裂的安全信息�,操作著各種產品自身的控制臺界面和告警窗口,顯得束手無策�����,工作 效率極低,難以發(fā)現真正的安全隱患�����。另一方面���,企業(yè)和組織日益迫切的信息系統審計和內 控要求、等級保護要求�����,以及不斷增強的業(yè)務持續(xù)性需求�����,也對客戶提出了嚴峻的挑戰(zhàn)��。信息安全孤島��,同樣帶來的就是網絡安全設備硬件資源浪費���,百兆級別的安全設 備投入�,也需要數十萬的資金投入�����,而且在線網絡病毒數據庫需要使用時間限制,每年不但 需要續(xù)保硬件設備���,軟件的使用期限也需要購買�����。隨著云計算技術的興起�����,居于這些網絡安 全的硬件和軟件�����,都可以應用云計算軟件進行整合���。和云計算服務器群的原理等同,每臺孤 立的安全設備和孤立的服務器一樣�,硬件性能發(fā)揮到30%的時間都不到20%的時間。所有的在線病毒特征庫��,單獨的一個企業(yè),連的特征文件都難以匹配�����?��;?聯網所有計算機�,隨著云計算時代的到來���。開始新的變革���,互聯網的發(fā)展從大型 計算機的集中計算��,演變到微型計算機的分散式互聯網時代�。所謂分久必合。云計算被它 的吹捧者視為“革命性的計算模型”�,因為它使得超級計算能力通過互聯網自由流通成為了 可能。企業(yè)與個人用戶無需再投入昂貴的硬件購置成本���,只需要通過互聯網來購買租賃計 算力����,“把你的計算機當做接入口�����,一切都交給互聯網吧!�,,針對互聯網“革命性的計算模型”�,概念中包含計算機性能、數據存儲�����、網絡帶寬����, 三方面的無限擴展。那么��,在網絡安全領域����,是否同樣適用?現有網絡安全布設形式是分散獨立的��,包擴單獨的計算機主機的網絡安全性�����、局 域網的網絡安全性、企業(yè)內部網絡的安全�、廣域網的網絡安全、甚至是國家網絡的安全����。從 網絡架構和網絡安全需求性是獨立的個體,當然計量單位可以是一個�、也可以是一群。網絡 安全不健全所帶來的巨大損失推動著整個行業(yè)的不斷發(fā)展�����,其市場是數以萬億計的����。個體 形式存在的網絡安全設備造成巨大的資源浪費�����。
發(fā)明內容本實用新型的目的就是為了克服上述現有技術存在的缺陷而提供一種商業(yè)價值 高����,市場前景廣闊,可操作性強,省電�、省投入、省人力的集中式遠端云計算安全裝置���。本實用新型的目的可以通過以下技術方案來實現一種集中式遠端云計算安全裝 置����,其特征在于����,該裝置包括云計算安全中心服務器1、IDC機房2和接入口 3��,所述的云計 算安全中心服務器1�����、IDC機房2和接入口 3依次連接���。所述的IDC機房2內設有防火墻設備����。所述的接入口3 包括 Uninet31���、Chinanet32����、CMnet33 和企業(yè)接入口 34。所述的Uninet31��、Chinanet32和Mnet33分別和企業(yè)接入口 34連接�。與現有技術相比,本實用新型應用于互聯網行業(yè)����,在網絡安全、專線接入�、云計算 技術、IDC托管等多個領域有極高的商業(yè)價值����。市場前景廣闊,可操作性極強�。本實用新型旨在使企業(yè)網網絡安全部署全透明�����,傳統INTERNET線路接入形式��,如 光纖、模擬線路����、IDC托管等保持接入外網形式不變,在出口無需部署防火墻設備��,以及網絡 監(jiān)控分析設備�,如IPS、IDS等�����?��?芍苯舆x擇路由器或者直接接入內部交換機�����。具體需求交 付安全中心處理�����。在保證高網絡安全級別部署同時����,還可以實現多線路前端負載均衡。通過前期的調研���,各技術部門確認分工��,市場協同表示該項目極具市場����,而且切實 可行���。云計算技術使得孤立分散的安全孤島得以集中統一部署�,并在網絡安全技術方面���,相 互獨立性�、功能特異性等多種要求可以通過虛擬化技術實施���。旨在為客戶帶來�����,互聯網接入 即安全接入的網絡環(huán)境�。在網絡安全領域實現硬件�、軟件、技術支持的整合��。從企業(yè)個體而言�,有效減少網 絡安全部署投入,無需建立專業(yè)化網絡安全技術團隊��。從宏觀角度而言����,云計算技術使得網 絡安全設備虛擬化,動態(tài)按需提供網絡安全服務���。集中的網絡安全技術團隊����,提供一對多的 服務����,將技術人才復合利用,更加有利于技術人員的技術培養(yǎng)����。本實用新型省電、省投入����、省 人力����,完全符合國家“節(jié)能���、減排���、低碳”的號召。
圖1為現行公認程度較高網絡安全示意圖�����;圖2為一種集中式遠端云計算安全裝置的結構示意圖�;圖3為云計算安全中心的功能結構示意圖;圖4為云計算安全中心的軟件流程處理示意圖��。
具體實施方式
以下結合附圖和具體實施例對本實用新型進行詳細說明�。實施例如圖2所示,一種集中式遠端云計算安全裝置����,該裝置包括云計算安全中心服務 器1、DMT IDC機房2和接入口 3,云計算安全中心服務器1���、DMT IDC機房2和接入口 3依次 連接�����。DMT IDC (互聯網數據中心)機房2內設有防火墻設備,接入口 3包括Uninet (中國聯 通GPRS網絡接入點)31���、Chinanet (中國公用Internet骨干網接入口)32���、CMnet (中國移 動 GPRS 網絡接入口)33 和 DMTnet (企業(yè)接入口)34,Uninet31���、Chinanet32 和 Mnet33 分別 和 DMTnet34 連接���,Uninet31 為 UninetAS17621,Chinanet32 為 Chinanet AS4812, CMnet33 為CMnet AS9800�����,企業(yè)接入口 34為企業(yè)接入口 AS24141���。在專線接入平臺前端根據安全架構模型����,以及各個安全功能需求架設云計算安全 中心,如圖3所示��。 原客戶接入網關從原有路由器替換成防火墻安全設備���。把各個防火墻設備��,用云計算軟件進行關聯�,形成硬件設備云集合�。在云計算安全中心,投入UTM�����、入侵檢測和防護系統�、漏洞掃描系統、防病毒系統�、 終端管理系統,等等�����。作為云計算安全中心的功能模塊。建立網絡安全技術團隊��,包含網絡安全分析員����、網絡安全工程師、安全經理�、網絡 安全技術支持等職能崗位�����。負責安全平臺運營�。建立嚴格安全事件處理流程,并把軟件開發(fā)方向定位為事件手動人為處理�,逐步 轉化成軟件流程處理,如圖4所示���。作為專線接入用戶��,可以根據實際需求進行選擇接入傳統專線平臺�����,還是接入云 計算安全平臺����。示意圖上不難看出,技術難關在于防火墻虛擬化之后怎么來滿足����,網絡完全 區(qū)域劃分。安全架構分為安全區(qū)�����、非安全區(qū)�����、DMZ區(qū)域����。傳統防火墻通過配置可以把防火墻接 口邏輯劃分到三個對應區(qū)域中。結構上而言�,非安全區(qū)域,其實就可以認為是外部網絡���,在操作實施上可以不加考 慮�??蛻魧>€接入到內網�����,可以直接指定為安全區(qū)域���。DMZ區(qū)域需求,可以有三種解決方案客戶專線接入直接分為兩根物理線路�����,一根接入內網為安全區(qū)域���。另外一根作為 DMZ區(qū)域上聯出口。在平臺直接劃分出一個網段作為DMZ區(qū)域地址段�����,IP地址非同網段����,制定相對應 通信規(guī)則,邏輯隔離�。把DMZ區(qū)域服務器托管到DMT托管機房,既解決上網出口問題����,又解決DMZ區(qū)域隔 離問題���。[0042]云計算安 全中心架構初期架構包含硬件防火墻、云平臺管理軟件��、UTM�、入侵檢測和防護系統、漏洞掃描 系統���、防病毒系統��、DDOS預防及流量清洗系統��、終端管理系統��。本實用新型可以根據云計算的無限擴展性將互聯網出口設備進行整合����,并利用云 計算虛擬化的特點來將不同用戶的網絡安全需求進行區(qū)分?����,F實互聯網出口接入即為安全 接入的網絡應用需求�����。并可以通過互聯網對企業(yè)內部網絡進行分析、評審��,在企業(yè)網內部或 外部制定和實施相應的網絡安全措施��。使專線接入客戶和IDC托管用戶�,網絡安全專業(yè)化, 統一專業(yè)化網絡安全團隊進行集中管理���,并可根據單一客戶進行個性化安全部署��,已經網 絡安全監(jiān)控�。不單單在網絡安全投入上大大節(jié)省開支�,而且網絡安全專業(yè)化水平上大大提 升。本實用新型應用于互聯網行業(yè)���,在網絡安全、專線接入���、云計算技術��、IDC托管等多 個領域有極高的商業(yè)價值�����。市場前景廣闊���,可操作性極強���。本實用新型結合專線接入、云計算技術����、S0C(Security Operations Center)安全 運行中心/安全管理平臺(下文簡稱S0C)、IDC托管多個互聯網領域技術的一種新應用技 術��,并包含云計算防火墻的核心軟件���。不與SOC等同�,SOC僅僅為安全團隊間接的對網絡參 數獲取��,進行網絡安全分析�����,安全等級評定�,網絡漏洞分析����。本實用新型為直接管理安全設 備�����,并不是簡單的獲取SNMP數據進行分析�。在保證網絡安全的統一化、專業(yè)化的同時��,根據 云計算的虛擬化技術同樣可以做到�����,根據客戶實際應用需求做到個性化�����。本實用新型旨在使企業(yè)網網絡安全部署全透明��,傳統INTERNET線路接入形式���,如 光纖、模擬線路����、IDC托管等保持接入外網形式不變�,在出口無需部署防火墻設備����,以及網絡 監(jiān)控分析設備,如IPS����、IDS等?����?芍苯舆x擇路由器或者直接接入內部交換機�。具體需求交 付安全中心處理。在保證高網絡安全級別部署同時��,還可以實現多線路前端負載均衡�。云計算技術使得孤立分散的安全孤島得以集中統一部署,并在網絡安全技術方 面����,相互獨立性、功能特異性等多種要求可以通過虛擬化技術實施。旨在為用戶帶來互聯網 接入(即安全接入)的網絡環(huán)境�����。
權利要求1.一種集中式遠端云計算安全裝置�����,其特征在于�����,該裝置包括云計算安全中心服務器 (1)��、IDC機房(2)和接入口(3)�,所述的云計算安全中心服務器⑴、IDC機房(2)和接入口 (3)依次連接����。
2.根據權利要求1所述的一種集中式遠端云計算安全裝置,其特征在于���,所述的IDC機 房(2)內設有防火墻設備����。
3.根據權利要求1所述的一種集中式遠端云計算安全裝置,其特征在于��,所述的接入 口 (3)包括 Uninet (31)��、Chinanet (32)�����、CMnet (33)和 net (34)���。
4.根據權利要求3所述的一種集中式遠端云計算安全裝置,其特征在于�����,所述的 Uninet (31)����、Chinanet (32)和 CMnet (33)分別和企業(yè)接入口(34)連接。
專利摘要本實用新型涉及一種集中式遠端云計算安全裝置��,該裝置包括云計算安全中心服務器(1)�����、IDC機房(2)和接入口(3),所述的云計算安全中心服務器(1)�����、IDC機房(2)和接入口(3)依次連接�����。與現有技術相比�����,本實用新型具有極高的商業(yè)價值��,市場前景廣闊��,可操作性極強����,省電、省投入����、省人力等優(yōu)點。
文檔編號H04L29/06GK201839310SQ20102053792
公開日2011年5月18日 申請日期2010年9月21日 優(yōu)先權日2010年9月21日
發(fā)明者趙昕, 鄭杰 申請人:上海地面通信息網絡有限公司