论文部分内容阅读
【摘 要】云计算作为一项全新的互联网应用商业模式,各类应用发展迅速,而安全性是用户选 择云计算应用时的首要考虑因素,也是云计算实现健康可持续发展的基础。本文在总结分析 云计算应用面临的技术层面安全威胁的基础上,对云计算应用安全进行了系统分析与研究,并分别从云计算服务提供商和用户角度提出云计算应用安全策略与建议。
【关键词】云计算;云安全;网络安全技术
【中图分类号】TP393【文献标识码】A【文章编号】1672-5158(2013)02-0032-01
1.云计算应用存在的安全风险
云计算应用为广大用户提供了极大方便,但是由于其将大量的用户、信息资源集中化,一旦出现安全事件,其后果和风险不堪设想。09年,谷歌、微软、亚马逊等公司的云安全系统都出现了不同程度的故障,对客户的信息服务产生了重大影响,也使得业界人士更加重视云计算应用的安全问题。
1.1 云主机服务安全问题
(1)云计算用户实名认证机制尚未建立。在用户注册时,系统要求用户必须填写真实姓名、有效证件号码和联系方式等,但这些信息的真实性值得商榷。如果个别不法分子用伪造的身份证,成功获得云主机资源的使用权后,肆意发布不良信息,或者从事黑客活动,很难追根溯源,落实当事人身份成为一大难题。
(2)云计算资源分配缺乏有效控制。用户只要向账户中充值,或者满足一定条件成为VIP用户,即可申请使用云主机功能,用户藉此可运作任何互联网业务。虽然安全备案选项中规定用户想要开办网站必须提供备案号,但实际中,系统一般不会对用户的主机实行端口限制,也即允许用户可使用云主机开展任何网络业务。
(3)云计算主机存在安全漏洞,面临黑客攻击风险。一般的云主机都提供了木马扫描和杀毒服务。但是,是否安装只取决于用户,而且此类防护级别较低,只针对Windows终端,云主机面临攻击的风险较大。
1.2 PaaS服务安全问题
开发者通过PaaS平台提供的受限托管环境,能够进行应用开发,并使用诸如内存缓存、下载存储、任务队列一类的服务。其潜在的安全问题包括以下几方面:
(1)信息发布服务的审核环节较为宽松,缺乏备案。PaaS服务具有信息发布和托管功能,并且有良好接口,可以方便的与微博、微信等第三方应用平台配合使用,借助API方式供他人使用。不过现阶段的大部分PaaS应用都没有独立备案。
(2)平台漏洞可能导致越权访问。PaaS平台的应用开发环境有限制,但其编程环境的技术漏洞被利用后,用户便可以访问底层资源,盗用其他用户信息。公共服务层的漏洞会导致非法访问剧增,并造成网络资源浪费。
1.3 云存储安全问题
微盘默认给用户1GB的存储空间,部分微盘为方便用户同步文件,还提供桌面或网页客户端,微盘发布信息的自由度较大,这是最主要的安全问题。当前,微盘用户身份无需验证。分享发布信息愈发方便快捷,这使得微盘信息的覆盖面广、传播速度快,这为恶意程序、不良信息的散布提供了温床。
1.4 SaaS服务安全问题
SaaS服务是面向企业单位,主要有以下两个问题:
(1)数据丢包和服务宕机。企业启用SaaS服务后,会将关键数据和日常事务信息同平台关联,服务可靠性、数据保密性是关键点。
(2)商业机密遭窃风险。SaaS的应用环境较为宽松,公共服务平台、应用软件本身、底层设施对SaaS用户均是完全透明,SaaS平台企业的品牌度、信赖度需要接受第三方部门的监管。
2.应对策略和建议
根据服务对象和服务范围的不同,云计算分为私有云、公共云和混合云三种。私有云安全实现较容易,传统IT保护措施可直接应用到私有云上。后二者安全性要求较为复杂,需要云计算运营商和客户配合实施。
2.1 云计算服务提供商
数据安全性、计算环境隔离、服务质量保证都是运营商要重点考虑的内容。结合现阶段云计算应用面临的各种安全问题,建议采取以下应对策略:
(1)提高云计算系统的稳定性、连续性,建立完善的系统安全防御机制。
A.严格限制恶意程序、病毒木马在云计算平台中的传播,一经发现,及时查杀;
B.建立实时监控系统,对云计算系统的数据包进行筛选,同时关注系统运行状态,及时修复网络故障,并有相应的应急预案;
C.部署防火墙或与大型软件公司合作,防范黑客攻击造成的服务器瘫痪;
D.完善云计算平台的容错能力,重要系统、数据要进行异地备份;
(2)加强对用户信息的保护。
A.对用户信息进行隔离保护,确保用户信息能够安全存储,并建立明确的用户边界逻辑关系;
B.在用户传输数据时,藉由数据加密、VPN等技术保证传输的单向性和安全性;
C.完善数据加密和密钥管理机制,定期进行用户信息的管理维护;
D.在发生突发状况时,要能够在最短时间内为用户恢复数据。
(3)身份认证控制
要有严格的身份管理制度、安全认证机制和分明的访问权限设置,并保存用户访问记录,方便日后查询。
(4)云计算数据中心的安全审查机制亟待完善,要成立专门的班组成员进行日志审查管理,及时了解云计算服务器的操作、维护、检修情况,一旦出现违规现象,要及时纠察。
2.2 云计算用户
广大用户首先要对云计算有一个清晰的认识,明确云计算服务与自身业务的结合点,节本增效、事半功倍;同时也要采取必要的手段,尽量降低云计算服务迁移可能带来的安全风险。
(1)私有云业务
私有云应用范围较小,一般在企业内部,安全风险较低,常见的问题有软件许可等级、应用稳定性、SLA等。用户需要采取成熟的技术实现手段,做好运行管理工作,具体的方法可以参照上文。另外,系统容错、数据还原机制也要逐步完善,提高企业应对各类突发事件的能力。
(2)公共云业务
A.选择信誉好的云服务运行商,降低连带业务风险;
B.有选择性的进行业务迁移。对于核心知识产权、关键技术一类的敏感信息,在做好万全的测试验证前,最好不要盲目迁移;
C.对协议内容有一个清晰的把握,诸如SLA协议、隐私协议等敏感之处,要倍加小心,企业应要求服务商及时更新数据系统,实现与自身业务的良好匹配;
D.了解服务商的数据存储地点,在必要时,要抓住数据存放点的主动权,避免因不同地区、国家的法律差异而引起的业务纠纷。
再者,云计算服务的涉及范围多是一些敏感重要的信息,政府和监管部门要制定相关的法律法规,保证云计算应用服务的安全性和法律适用性。
结束语
安全是云计算实现长久发展的基石。只有为用户提供可靠稳定、方便快捷、性价比高的云计算服务,企业才能获得可持续发展。相信随着云计算市场的完善,以及政府部门针对这一块的法律条文的健全,云计算服务将会焕发出勃勃生机!
参考文献
[1] 《虚拟化与云计算》小组.虚拟化与云计算[M].北京:电子工业出版社,2009.
[2] 李德毅.云计算热点分析[G]//北京:第二届中国云计算大会, 2010.
【关键词】云计算;云安全;网络安全技术
【中图分类号】TP393【文献标识码】A【文章编号】1672-5158(2013)02-0032-01
1.云计算应用存在的安全风险
云计算应用为广大用户提供了极大方便,但是由于其将大量的用户、信息资源集中化,一旦出现安全事件,其后果和风险不堪设想。09年,谷歌、微软、亚马逊等公司的云安全系统都出现了不同程度的故障,对客户的信息服务产生了重大影响,也使得业界人士更加重视云计算应用的安全问题。
1.1 云主机服务安全问题
(1)云计算用户实名认证机制尚未建立。在用户注册时,系统要求用户必须填写真实姓名、有效证件号码和联系方式等,但这些信息的真实性值得商榷。如果个别不法分子用伪造的身份证,成功获得云主机资源的使用权后,肆意发布不良信息,或者从事黑客活动,很难追根溯源,落实当事人身份成为一大难题。
(2)云计算资源分配缺乏有效控制。用户只要向账户中充值,或者满足一定条件成为VIP用户,即可申请使用云主机功能,用户藉此可运作任何互联网业务。虽然安全备案选项中规定用户想要开办网站必须提供备案号,但实际中,系统一般不会对用户的主机实行端口限制,也即允许用户可使用云主机开展任何网络业务。
(3)云计算主机存在安全漏洞,面临黑客攻击风险。一般的云主机都提供了木马扫描和杀毒服务。但是,是否安装只取决于用户,而且此类防护级别较低,只针对Windows终端,云主机面临攻击的风险较大。
1.2 PaaS服务安全问题
开发者通过PaaS平台提供的受限托管环境,能够进行应用开发,并使用诸如内存缓存、下载存储、任务队列一类的服务。其潜在的安全问题包括以下几方面:
(1)信息发布服务的审核环节较为宽松,缺乏备案。PaaS服务具有信息发布和托管功能,并且有良好接口,可以方便的与微博、微信等第三方应用平台配合使用,借助API方式供他人使用。不过现阶段的大部分PaaS应用都没有独立备案。
(2)平台漏洞可能导致越权访问。PaaS平台的应用开发环境有限制,但其编程环境的技术漏洞被利用后,用户便可以访问底层资源,盗用其他用户信息。公共服务层的漏洞会导致非法访问剧增,并造成网络资源浪费。
1.3 云存储安全问题
微盘默认给用户1GB的存储空间,部分微盘为方便用户同步文件,还提供桌面或网页客户端,微盘发布信息的自由度较大,这是最主要的安全问题。当前,微盘用户身份无需验证。分享发布信息愈发方便快捷,这使得微盘信息的覆盖面广、传播速度快,这为恶意程序、不良信息的散布提供了温床。
1.4 SaaS服务安全问题
SaaS服务是面向企业单位,主要有以下两个问题:
(1)数据丢包和服务宕机。企业启用SaaS服务后,会将关键数据和日常事务信息同平台关联,服务可靠性、数据保密性是关键点。
(2)商业机密遭窃风险。SaaS的应用环境较为宽松,公共服务平台、应用软件本身、底层设施对SaaS用户均是完全透明,SaaS平台企业的品牌度、信赖度需要接受第三方部门的监管。
2.应对策略和建议
根据服务对象和服务范围的不同,云计算分为私有云、公共云和混合云三种。私有云安全实现较容易,传统IT保护措施可直接应用到私有云上。后二者安全性要求较为复杂,需要云计算运营商和客户配合实施。
2.1 云计算服务提供商
数据安全性、计算环境隔离、服务质量保证都是运营商要重点考虑的内容。结合现阶段云计算应用面临的各种安全问题,建议采取以下应对策略:
(1)提高云计算系统的稳定性、连续性,建立完善的系统安全防御机制。
A.严格限制恶意程序、病毒木马在云计算平台中的传播,一经发现,及时查杀;
B.建立实时监控系统,对云计算系统的数据包进行筛选,同时关注系统运行状态,及时修复网络故障,并有相应的应急预案;
C.部署防火墙或与大型软件公司合作,防范黑客攻击造成的服务器瘫痪;
D.完善云计算平台的容错能力,重要系统、数据要进行异地备份;
(2)加强对用户信息的保护。
A.对用户信息进行隔离保护,确保用户信息能够安全存储,并建立明确的用户边界逻辑关系;
B.在用户传输数据时,藉由数据加密、VPN等技术保证传输的单向性和安全性;
C.完善数据加密和密钥管理机制,定期进行用户信息的管理维护;
D.在发生突发状况时,要能够在最短时间内为用户恢复数据。
(3)身份认证控制
要有严格的身份管理制度、安全认证机制和分明的访问权限设置,并保存用户访问记录,方便日后查询。
(4)云计算数据中心的安全审查机制亟待完善,要成立专门的班组成员进行日志审查管理,及时了解云计算服务器的操作、维护、检修情况,一旦出现违规现象,要及时纠察。
2.2 云计算用户
广大用户首先要对云计算有一个清晰的认识,明确云计算服务与自身业务的结合点,节本增效、事半功倍;同时也要采取必要的手段,尽量降低云计算服务迁移可能带来的安全风险。
(1)私有云业务
私有云应用范围较小,一般在企业内部,安全风险较低,常见的问题有软件许可等级、应用稳定性、SLA等。用户需要采取成熟的技术实现手段,做好运行管理工作,具体的方法可以参照上文。另外,系统容错、数据还原机制也要逐步完善,提高企业应对各类突发事件的能力。
(2)公共云业务
A.选择信誉好的云服务运行商,降低连带业务风险;
B.有选择性的进行业务迁移。对于核心知识产权、关键技术一类的敏感信息,在做好万全的测试验证前,最好不要盲目迁移;
C.对协议内容有一个清晰的把握,诸如SLA协议、隐私协议等敏感之处,要倍加小心,企业应要求服务商及时更新数据系统,实现与自身业务的良好匹配;
D.了解服务商的数据存储地点,在必要时,要抓住数据存放点的主动权,避免因不同地区、国家的法律差异而引起的业务纠纷。
再者,云计算服务的涉及范围多是一些敏感重要的信息,政府和监管部门要制定相关的法律法规,保证云计算应用服务的安全性和法律适用性。
结束语
安全是云计算实现长久发展的基石。只有为用户提供可靠稳定、方便快捷、性价比高的云计算服务,企业才能获得可持续发展。相信随着云计算市场的完善,以及政府部门针对这一块的法律条文的健全,云计算服务将会焕发出勃勃生机!
参考文献
[1] 《虚拟化与云计算》小组.虚拟化与云计算[M].北京:电子工业出版社,2009.
[2] 李德毅.云计算热点分析[G]//北京:第二届中国云计算大会, 2010.