云计算服务提供商应做哪些基本安全建设_云服务提供商的安全威胁包括

你好，在传统计算形式中，运营、使用单位承担从设备到应用全部的安全责任。但在云计算环境中，根据角色的不同，安全责任由云服务商和云服务客户分担。采用“权责分离，两级建设”的原则，云服务商和云服务客户应根据各自安全责任，进行安全防护能力建设。

其中，云服务商的主要安全责任是保障云平台基础设施的安全，同时提供各项基础设施服务以及各项服务内置的安全功能。在IaaS模式下，云服务商需保证云计算环境基础设施，物理网络及链路，依托于虚拟化技术实现的网络、计算、存储的安全，同时对云服务管理平台、云服务监控系统、云 *** 作系统等负有完全的安全责任。

云服务客户则是对云上各类可控的资源进行配置，对自行部署在云上的业务应用、 *** 作系统、数据库、中间件、数据等负有完全的安全责任。

等级保护制度规定的云平台需提供的安全防护措施

《GB/T22239-2019信息安全技术网络安全等级保护基本要求》明确指出了云平台需要提供的安全防护措施。对云平台的安全防护措施进行分解：

①在物理环境方面，云平台应提供物理隔离、电力保障、外来人员访问控制、火灾检测、视频监控等措施。

②在通信网络方面，云平台应在物理通信网络的基础上对虚拟通信网络提供安全措施。如提供物理网络及虚拟网络的区域划分、虚拟网络隔离、设备及链路的冗余、通信加密等措施。

③在区域边界方面，云平台应在物理区域边界安全措施的基础上增加对虚拟网络边界、虚拟机与宿主机之间的边界的安全措施。

④在计算环境方面，云平台应提供安全加固的 *** 作系统及镜像、虚拟机隔离、双因素身份验证以及访问控制、安全审计等措施。

⑤在安全管理中心方面，云平台应提供权限划分、授权、审计日志的集中收集与分析、时钟同步等措施。

总的而言，云平台的安全防护措施可以分为两类：

①原生的安全措施：云平台自身具备或可提供的安全措施；

②引入的安全措施：在云平台无法满足的情况下,需要采用解耦方式为平台提供的安全措施。

为什么要这样分类呢？这是因为：

云平台原生的安全措施仅能够覆盖云平台自身的安全以及云服务客户的部分需求，如虚拟机隔离、镜像快照/完整性校验等。但受云平台开发商在安全方面技术能力以及平台功能的限制，对于等级保护制度中规定的基线核查、安全审计、恶意代码检测、Web防护等方面的措施要求，云平台无法提供完整的解决方案。

但根据等保相关规定，云平台“应具有根据云服务客户业务需求自主设置安全措施的能力，包括定义访问路径、选择安全组件、配置安全策略”。因此，云平台在自身无法满足云服务客户安全需求的情况下，应采用解耦方式提供可自主设置的安全措施，进而为云服务客户提供完整的、合规的安全能力及服务。

一、引言云计算是近年来在信息领域兴起的新理念，目标是将计算和存储简化为像公共的水和电一样易用的资源，用户利用终端设备只要联网即可方便地使用。云计算也是一种基础架构的方法论，大量的计算资源组成IT （Information Technology，特指与信息相关的技术）资源池，用于动态创建高度虚拟化的资源提供给网络用户使用。
“云”是一些可以自我维护和管理的虚拟计算资源，通常为一些服务器集群①，包括计算服务器、存储服务器、宽带资源等。云计算可分为共有云、私有云以及混合云。对于一个区域教育来说，主要强调的是教育私有云，具体地说，则是基于基础设施云层次的私有云解决方案——即教育城域网的解决方案。
二、教育城域网建设现状
教育城域网是一个对上链接CERNET②、Internet主干网，对下链接各县市区教育局和各个学校，对内沟通市级教育系统各单位和学校，对外面向全社会服务的大型综合性信息网络，涉及范围广、系统结构复杂。教育数据中心是区域教育机构通过建立能够存储T 级(1T=1 024GB)数据量，链接互联网或者高速光纤城域网的区域教育中心站点，运用主机托管③、服务托管和应用托管等多种服务形式，为区域内的学校提供教育资源共享和数据管理服务的网络平台。
图1是市级教育城域网的拓扑图。烟台市教育城域网始建于2001年，目前，烟台市13个县市区已部署了较为完整的传统意义下的教育城域网络，以核心路由器、交换机、服务器等设备构成的教育网络中心，下链各学校等教育用户，是一个典型的星型网络结构。
三、传统教育城域网存在的主要问题
从传统教育城域网整体结构来看，其线路的利用率相对较低，核心设备的负载较重，中央任何一个链接点的中断，都将导致整个局域网的瘫痪。随着教育网络用户的不断扩大及其需求量的增加，传统意义下的教育城域网中的弊端日益显现：
（1）网络业务量不断增长，IT设施设备数量（物理服务器、存储设备等）急速增加，导致网络中心整体维护成本和管理难度加大；
（2）教育网络中心机房的容量、电力、制冷等方面负载加重；
（3）传统教育城域网的业务模式、各个业务系统之间独立专属，无法共享；
（4）网络设施设备随着业务需求的不断增加，多数系统主机（服务器）利用率低下；
（5）网络业务系统的计划和非计划停机，对多业务网络用户和IT管理者影响较大。
传统教育城域网之所以存在以上诸多问题，根本原因在于其网络需求变了而网络平台的建设没有根本改变，网络服务器、存储设备等独立存在、各负其责，无法满足目前网络的“社会化服务”和“合作学习”的教育需要，教育城域网建设理念需要随着教育现代化的发展而发展，基于虚拟化的云计算平台则可以有效解决以上问题。
四、云计算解决方案
在云计算的模式下，用户基本上不再需要拥有使用信息技术所需的各种基础设施，而仅仅是租用并访问云服务供应商所提供的服务，这就是一切即服务的理念，它体现了云计算模式的重要特征，是用户选择的最终结果。
1云计算的主要特性
（1）以互联网为核心
云计算所提供的服务是与 *** 作系统（OS）平台无关的，基于云计算应用存在于互联网上，用户通过网络终端直接访问这些应用服务，云计算服务是永远可用、安全可靠的。
（2）规模经济性
云计算把计算这种看不见、摸不着的效能作为服务提供给用户, 在多个用户之间共享，使得资源的利用率大为提高，云计算通过互联网为用户提供计算服务,具有规模经济性。
（3）易伸缩性
易伸缩性也称为d性，是指云计算系统可以非常方便、自由地调整规模，满足用户大规模或小规模的需要。
2服务器资源池的搭建
服务器是云计算平台的核心，承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装虚拟化软件④，使得计算资源能以一种虚拟服务器的方式被不同的用户所使用。
在搭建服务器资源池之前，首先应该确定资源池的数量和种类，并对服务器进行归类。归类的标准通常是根据服务器的处理器类型、型号、配置、物理位置来决定。对云计算平台而言，属于同一个资源池的服务器，通常就会将其视为一组可互相替代的资源。所以，一般都是将相同处理器、相近型号系列并且配置与物理位置接近的服务器，比如相近型号、物理距离不远的机架式服务器或者刀片服务器归为一类，在做资源池规划的时候，也需要考虑其规模和功用。
初期的资源池规划应该涵盖所有可能被纳管到云计算平台的所有服务器资源，包括那些为搭建云计算平台新购置的服务器、教育内部闲置的服务器以及正在运行业务应用的服务器。在云计算平台搭建的初期，正在为业务系统服务的服务器并不会直接被纳入云计算平台的管辖，但随着云计算平台的上线和业务系统的数据迁移⑤，这些服务器也将逐渐被并入云计算平台的资源池中。
3存储的规划
对云计算平台存储规划的出发点应该是应用本身。首先应该考虑每个业务应用的优先级，以及其对存储性能、可靠性与灵活性的要求。对需要高性能与高可靠性的云计算应用，原则上应该为其或者其所在的资源池配备性能及可靠性均较好的高端存储，而对于灵活性要求较高的业务应用，则应该考虑为其或其所在的资源池配备灵活性比较好的存储虚拟化方案。
如果应用足够重要，在设计存储架构的时候还应该考虑存储级别的备份，以对各个节点可能出现的故障做冗余。比如，可以采用双存储交换机互为热备的形式，来防止存储用光纤交换机所出现的故障可能。同样，该资源池后面所拖的存储，也可以采用双存储热备的形式，为该资源池的主存储购置一个型号相同的备用存储服务器并通过磁盘对磁盘的备份方式，对两个存储服务器上的数据进行同步，资源池、交换机和存储服务器的关系如图2所示：

建设网站的必要条件:服务器，网站程序源码，域名！域名就是像

com，这就是域名，一般去域名服务商去购买即可，购买好域名对域名进行解析，和自己的云服务器ip进行绑定！通常情况下云服务器会有一个建站助手，在助手里新建一个网站，填写相关资料，选择相关的语言，然后新建一个网站根目录

最后将程序员写好的网站代码上传到网站根目录，现成的博客系统wordpress，论坛系统DZ等，直接下载即可，然后浏览器访问你的域名，根据提示一步一步安装好网站程序，最后用安装时填写的管理员帐号密码登录网站管理后台，安装合适自己的模板，更新网站相关信息，内容填充即可

当然如果云服务器由国内服务商提供，网站还需要备案

---