专利名称:一种集中式远端云计算安全装置的制作方法
技术领域:
本实用新型涉及一种网络安全装置,尤其是涉及一种集中式远端云计算安全装置。
背景技术:
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是 敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄 漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火 灾、地震、电磁辐射等方面的考验。计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。据美国联 邦调查局的报告,计算机犯罪是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为 45000美元,每年计算机犯罪造成的经济损失高达50亿美元,而且这个数字在不断增加。拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺 乏安全防范意识有关。近几年,不论是企业还是个人对网络安全都有了不同层度的重视。个人电脑杀毒软件、木马防治软件、安全浏览器,企业的硬件防火墙、IPS、IDS都被 广泛的应用到个人电脑和企业网络中。如图1所示,为现行公认程度较高网络安全示意图。小型一些网络、对网络安全要求并不太高的企业,会把防火墙接入Internet,防火 墙充当路由器、防火墙、VPN网关多种出口设备功能。在网络出口投入硬件防火墙设备,根 据实际需求划分,安全区、非安全区、DMZ区域。对网络安全要求较高网络会在核心交换机 架设IPS入侵检测设备,进行网络监控、网络数据分析等。随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的 角度去管理整个网络和系统。独立孤岛式的网络安全部署存在很大的不足。为了不断应对新的安全挑战,企业和组织先后部署了防火墙、UTM、入侵检测和防 护系统、漏洞扫描系统、防病毒系统、终端管理系统,等等,构建起了一道道安全防线。然而, 这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法 产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生 大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、 彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作 效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内 控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。信息安全孤岛,同样带来的就是网络安全设备硬件资源浪费,百兆级别的安全设 备投入,也需要数十万的资金投入,而且在线网络病毒数据库需要使用时间限制,每年不但 需要续保硬件设备,软件的使用期限也需要购买。随着云计算技术的兴起,居于这些网络安 全的硬件和软件,都可以应用云计算软件进行整合。和云计算服务器群的原理等同,每台孤 立的安全设备和孤立的服务器一样,硬件性能发挥到30%的时间都不到20%的时间。所有的在线病毒特征库,单独的一个企业,连的特征文件都难以匹配。互 联网所有计算机,随着云计算时代的到来。开始新的变革,互联网的发展从大型 计算机的集中计算,演变到微型计算机的分散式互联网时代。所谓分久必合。云计算被它 的吹捧者视为“革命性的计算模型”,因为它使得超级计算能力通过互联网自由流通成为了 可能。企业与个人用户无需再投入昂贵的硬件购置成本,只需要通过互联网来购买租赁计 算力,“把你的计算机当做接入口,一切都交给互联网吧!,,针对互联网“革命性的计算模型”,概念中包含计算机性能、数据存储、网络带宽, 三方面的无限扩展。那么,在网络安全领域,是否同样适用?现有网络安全布设形式是分散独立的,包扩单独的计算机主机的网络安全性、局 域网的网络安全性、企业内部网络的安全、广域网的网络安全、甚至是国家网络的安全。从 网络架构和网络安全需求性是独立的个体,当然计量单位可以是一个、也可以是一群。网络 安全不健全所带来的巨大损失推动着整个行业的不断发展,其市场是数以万亿计的。个体 形式存在的网络安全设备造成巨大的资源浪费。
发明内容本实用新型的目的就是为了克服上述现有技术存在的缺陷而提供一种商业价值 高,市场前景广阔,可操作性强,省电、省投入、省人力的集中式远端云计算安全装置。本实用新型的目的可以通过以下技术方案来实现一种集中式远端云计算安全装 置,其特征在于,该装置包括云计算安全中心服务器1、IDC机房2和接入口 3,所述的云计 算安全中心服务器1、IDC机房2和接入口 3依次连接。所述的IDC机房2内设有防火墙设备。所述的接入口3 包括 Uninet31、Chinanet32、CMnet33 和企业接入口 34。所述的Uninet31、Chinanet32和Mnet33分别和企业接入口 34连接。与现有技术相比,本实用新型应用于互联网行业,在网络安全、专线接入、云计算 技术、IDC托管等多个领域有极高的商业价值。市场前景广阔,可操作性极强。本实用新型旨在使企业网网络安全部署全透明,传统INTERNET线路接入形式,如 光纤、模拟线路、IDC托管等保持接入外网形式不变,在出口无需部署防火墙设备,以及网络 监控分析设备,如IPS、IDS等。可直接选择路由器或者直接接入内部交换机。具体需求交 付安全中心处理。在保证高网络安全级别部署同时,还可以实现多线路前端负载均衡。通过前期的调研,各技术部门确认分工,市场协同表示该项目极具市场,而且切实 可行。云计算技术使得孤立分散的安全孤岛得以集中统一部署,并在网络安全技术方面,相 互独立性、功能特异性等多种要求可以通过虚拟化技术实施。旨在为客户带来,互联网接入 即安全接入的网络环境。在网络安全领域实现硬件、软件、技术支持的整合。从企业个体而言,有效减少网 络安全部署投入,无需建立专业化网络安全技术团队。从宏观角度而言,云计算技术使得网 络安全设备虚拟化,动态按需提供网络安全服务。集中的网络安全技术团队,提供一对多的 服务,将技术人才复合利用,更加有利于技术人员的技术培养。本实用新型省电、省投入、省 人力,完全符合国家“节能、减排、低碳”的号召。
图1为现行公认程度较高网络安全示意图;图2为一种集中式远端云计算安全装置的结构示意图;图3为云计算安全中心的功能结构示意图;图4为云计算安全中心的软件流程处理示意图。
具体实施方式
以下结合附图和具体实施例对本实用新型进行详细说明。实施例如图2所示,一种集中式远端云计算安全装置,该装置包括云计算安全中心服务 器1、DMT IDC机房2和接入口 3,云计算安全中心服务器1、DMT IDC机房2和接入口 3依次 连接。DMT IDC (互联网数据中心)机房2内设有防火墙设备,接入口 3包括Uninet (中国联 通GPRS网络接入点)31、Chinanet (中国公用Internet骨干网接入口)32、CMnet (中国移 动 GPRS 网络接入口)33 和 DMTnet (企业接入口)34,Uninet31、Chinanet32 和 Mnet33 分别 和 DMTnet34 连接,Uninet31 为 UninetAS17621,Chinanet32 为 Chinanet AS4812, CMnet33 为CMnet AS9800,企业接入口 34为企业接入口 AS24141。在专线接入平台前端根据安全架构模型,以及各个安全功能需求架设云计算安全 中心,如图3所示。 原客户接入网关从原有路由器替换成防火墙安全设备。把各个防火墙设备,用云计算软件进行关联,形成硬件设备云集合。在云计算安全中心,投入UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、 终端管理系统,等等。作为云计算安全中心的功能模块。建立网络安全技术团队,包含网络安全分析员、网络安全工程师、安全经理、网络 安全技术支持等职能岗位。负责安全平台运营。建立严格安全事件处理流程,并把软件开发方向定位为事件手动人为处理,逐步 转化成软件流程处理,如图4所示。作为专线接入用户,可以根据实际需求进行选择接入传统专线平台,还是接入云 计算安全平台。示意图上不难看出,技术难关在于防火墙虚拟化之后怎么来满足,网络完全 区域划分。安全架构分为安全区、非安全区、DMZ区域。传统防火墙通过配置可以把防火墙接 口逻辑划分到三个对应区域中。结构上而言,非安全区域,其实就可以认为是外部网络,在操作实施上可以不加考 虑。客户专线接入到内网,可以直接指定为安全区域。DMZ区域需求,可以有三种解决方案客户专线接入直接分为两根物理线路,一根接入内网为安全区域。另外一根作为 DMZ区域上联出口。在平台直接划分出一个网段作为DMZ区域地址段,IP地址非同网段,制定相对应 通信规则,逻辑隔离。把DMZ区域服务器托管到DMT托管机房,既解决上网出口问题,又解决DMZ区域隔 离问题。[0042]云计算安 全中心架构初期架构包含硬件防火墙、云平台管理软件、UTM、入侵检测和防护系统、漏洞扫描 系统、防病毒系统、DDOS预防及流量清洗系统、终端管理系统。本实用新型可以根据云计算的无限扩展性将互联网出口设备进行整合,并利用云 计算虚拟化的特点来将不同用户的网络安全需求进行区分。现实互联网出口接入即为安全 接入的网络应用需求。并可以通过互联网对企业内部网络进行分析、评审,在企业网内部或 外部制定和实施相应的网络安全措施。使专线接入客户和IDC托管用户,网络安全专业化, 统一专业化网络安全团队进行集中管理,并可根据单一客户进行个性化安全部署,已经网 络安全监控。不单单在网络安全投入上大大节省开支,而且网络安全专业化水平上大大提 升。本实用新型应用于互联网行业,在网络安全、专线接入、云计算技术、IDC托管等多 个领域有极高的商业价值。市场前景广阔,可操作性极强。本实用新型结合专线接入、云计算技术、S0C(Security Operations Center)安全 运行中心/安全管理平台(下文简称S0C)、IDC托管多个互联网领域技术的一种新应用技 术,并包含云计算防火墙的核心软件。不与SOC等同,SOC仅仅为安全团队间接的对网络参 数获取,进行网络安全分析,安全等级评定,网络漏洞分析。本实用新型为直接管理安全设 备,并不是简单的获取SNMP数据进行分析。在保证网络安全的统一化、专业化的同时,根据 云计算的虚拟化技术同样可以做到,根据客户实际应用需求做到个性化。本实用新型旨在使企业网网络安全部署全透明,传统INTERNET线路接入形式,如 光纤、模拟线路、IDC托管等保持接入外网形式不变,在出口无需部署防火墙设备,以及网络 监控分析设备,如IPS、IDS等。可直接选择路由器或者直接接入内部交换机。具体需求交 付安全中心处理。在保证高网络安全级别部署同时,还可以实现多线路前端负载均衡。云计算技术使得孤立分散的安全孤岛得以集中统一部署,并在网络安全技术方 面,相互独立性、功能特异性等多种要求可以通过虚拟化技术实施。旨在为用户带来互联网 接入(即安全接入)的网络环境。
权利要求1.一种集中式远端云计算安全装置,其特征在于,该装置包括云计算安全中心服务器 (1)、IDC机房(2)和接入口(3),所述的云计算安全中心服务器⑴、IDC机房(2)和接入口 (3)依次连接。
2.根据权利要求1所述的一种集中式远端云计算安全装置,其特征在于,所述的IDC机 房(2)内设有防火墙设备。
3.根据权利要求1所述的一种集中式远端云计算安全装置,其特征在于,所述的接入 口 (3)包括 Uninet (31)、Chinanet (32)、CMnet (33)和 net (34)。
4.根据权利要求3所述的一种集中式远端云计算安全装置,其特征在于,所述的 Uninet (31)、Chinanet (32)和 CMnet (33)分别和企业接入口(34)连接。
专利摘要本实用新型涉及一种集中式远端云计算安全装置,该装置包括云计算安全中心服务器(1)、IDC机房(2)和接入口(3),所述的云计算安全中心服务器(1)、IDC机房(2)和接入口(3)依次连接。与现有技术相比,本实用新型具有极高的商业价值,市场前景广阔,可操作性极强,省电、省投入、省人力等优点。
文档编号H04L29/06GK201839310SQ20102053792
公开日2011年5月18日 申请日期2010年9月21日 优先权日2010年9月21日
发明者赵昕, 郑杰 申请人:上海地面通信息网络有限公司