论文部分内容阅读
摘要:“维基解密”、“棱镜计划”的相继曝光使各国开始重视网络信息安全,重新思量在信息技术不断更新的时代如何来应对这一问题以维护国家利益。随着云计算技术的日益成熟和广泛应用,云内的安全问题也得到了重视。文章从“棱镜计划”讲起,探讨了云计算体系下的信息安全问题。
关键词:云计算;“棱镜计划”;信息安全;互联网
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)30-0022-02
1 “棱镜计划”与云计算
棱镜计划是一项由美国国家安全局自2007年起开始实施的绝密级电子监听计划。该计划的正式名称为“US-984XN”。根据报道,泄露的文件中描述PRISM计划能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知,以及社交网络细节。综合情报文件《总统每日简报》中在2012年内在1477个计划使用了来自棱镜计划的资料,关于PRISM的报道是在美国政府持续秘密地要求威讯向国家安全局提供所有客户每日电话记录的消息曝光后不久出现的。泄露这些绝密文件的是国家安全局合约外包商的员工爱德华·斯诺登,于2013年6月6日在英国《卫报》和美国《华盛顿邮报》公开。
云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作或与服务供应商进行很少的交互。云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。
2 从“棱镜计划”分析信息安全问题
黑客的攻击成为目前信息安全所面临的首要威胁,黑客通过侵入他人电脑系统、盗窃系统保密信息、破坏目标系统来获取信息。随着网络的不断发展国家的能源、通信、商业、金融、交通等信息的交流都有赖于网络。一旦网络系统出现问题导致信息被窃取指令无法正常执行,将会给国家带来局带来损失并直接影响国家
安全。
网络信息技术的不断更新使间谍组织有更好的工具获取机密信息。美国“棱镜计划”的曝光使大众了解到美国窃取情报活动涉密程度和情报信息量。美国视我国为其最大的利益威胁国,依靠其技术的优势,长期对我国的通信和计算机网络进行全天候无地域限制的侦察与监控,美国借助谷歌将用户的所有浏览记录都备份到情报局以达到实时监控的效果。如此严峻的形势下中国不得不再次提高信息安全警报等级,网络信息安全已经不仅仅是指军事上的国家安全,它将会对国家的经济政治等方面产生直接的影响。
3 云计算技术所引发的信息安全问题
云的部署方式分为软件及服务SAAS,另外四种部署方式为公有云、私有云、社区云和混合云。这种部署能够考虑到成本控制和安全控制等多方面的需求。云所具备的功能使其能够在计算机网络中得到广泛的应用。云完成了对数的存储和计算工作不可避免地存在存储的信息安全出现问题。云计算的出现对国家信息安全存在潜在和现实威胁。一旦有哪个国家有很强的技术能够控制云,将会掌控全球的信息,窃取其他国家的机密信息。
云环境下信息安全出现以下几个问题:安全边界的消失,无法采取针对性的安全防护措施,无法确保信息的安全;信息数据的过度集中,云计算中对信息的处理和存储都是在云端上完成,网络是一个开放性的互联虚拟平台,它的身份识别与认证,对信息浏览的访问控制技术尚不成熟,容易造成信息传输过程中的泄密或丢失;虚拟化技术的应用问题,云计算依赖于虚拟技术,但虚拟设备的管理非常困难,设备能否正常运行受到电脑病毒、安全漏洞等的影响;可靠稳定性问题,容灾恢复能力、安全策略等无法满足云计算服务的需求,云端高度集中的信息资源会促使恶意代码和黑客程序的不断侵入对云端的信息安全带来极大的威胁。
4 云体系下应对信息安全威胁的策略
对于公有云与私有云用户对信息安全的较高要求,必须要建立健全信息安全标准体系,加强在云计算体系下基础设施的安全性管理,提高云计算的技术水平提高信息风险防范能力,为云计算提供良好的系统运行环境。
(1)国际合作共同规范化和标准化信息安全标准体系如云计算中的设备的合理配置、运营流程、用户安全要求、访问控制策略。安全标准体系的建立以云安全管理中心为核心注重云环境安全、云边界安全、云通信网络安全。在云中当加密后的通信信息与用户交流时,通过对安全策略的不断改进使其更具合理性和更强的健壮性来保证云计算环境下的信息安全。
(2)云计算的运行平台是基于基础设施的,其自身设备有漏洞和安全风险的存在,所以加强在云计算体系下基础设施的安全性管理就成为信息安全威胁的一种防护策略。将基础网络IP统一管理规划,对关键节点的中断和服务器的IP和MAC地址进行绑定操作,用来防止出现地址欺骗;对于网络的核心设备使其能对集合链路冗余备份,在防火墙技术的异常流量监控中能够及时准确地发现并且阻断互联网对DDOS的攻击,将防火墙设置在DMZ内网和互联网接入点与DMZ之间,来确保在云端信息的安全存储与完整的传输与正常通信;要对应用系统主机设备进行安全加固,关闭不使用的服务端口如黑客常利用的3389端口远程控制用户主机以及相应的组件,对操作系统、虚拟机、数据库及时打补丁,并且实时监控恶意代码和病毒的出现,在信息中心部署IAS/IPS设备保护系统自身的安全。
(3)laaS虚拟化、PaaS分布式、SaaS在线软件是云计算体系中的关键技术。虚拟技术是将IT的硬件资源转化成资源池通过网络将信息传输至客户端来实现IT资源灵活性和利用率最大化,虚拟化安全要运用到数据存储冗余保护技术、并行访问,完善容灾和容错技术等;在分布式处理技术中,Hadoop HAFS、Google GFS等分布式系统增加了Secondary Master对主服务器的备份,结合冗余存储方式,引进分布式同步和沙箱隔离技术来确保云端信息安全;在防火墙执行逻辑分区边界防护和集中管理分段功能的基础上启动虚拟端口限速功能,并对虚拟网络上的日志审计,才能及时发现异常流量现象并予以控制。 (4)信息风险的防范有多种方式,数据加密是信息风险防范的关键方法,不仅对访问权限加密同时也要对元数据加密,在传输文件数据时要使用AES加密方法,对密钥进行RSA加密,之后将密钥密文与文件密文绑定,系统分块后存储在HDFS的存储节点上,在经过一系列的抽取密钥密文、私钥解密、文件密文解密从而获取文件。数据删除技术可以降低信息的风险,用户要对云端上有价值的数据进行删除,如果运行时磁盘出现故障可能会泄露信息,借助数据删除减少敏感信息的泄露。数据灾备技术是保护信息安全的又一屏障,灾难备份和恢复非常重要,因为数据中心存储了大量的业务信息,除了云计算所使用的虚拟技术,还可最大程度发挥SAN的自身优势,实现数据的共享,以此来提高信息灾难备份的效果。
(5)系统环境对信息安全的防护有着不容小觑的影响,在应对信息安全威胁时,优化程度越好的系统环境越不容易受到不良的蓄意攻击。用户身份识别确定用户身份的唯一性,可以根据数字证书、生物特征、硬件信息绑定等方式进行用户身份验证,同时结合账号退出检测、账号连续出错自动锁定管理身份认证;实行访问控制、标记和强制访问,强制访问相对于自主访问与角色访问其特点更适合于云环境下,有利于维护数据安全,提供安全接口来达到特定事件的提前预警;提供密码保护技术来完善校验机制,通过核实、授权信任级别,用户行为跟踪和获取,监督、规范用户行为,评估、量化用户行为数据等方法进行信任管理来确保信息安全;对程序的执行过程进行保护使其能够与可靠的信宿建立可信任连接,使用可信计算技术和数据恢复技术防止恶意代码篡改程序对信息安全性造成的
影响。
5 结语
“棱镜计划”曝光再次说明信息安全问题所面临的严峻形势,新兴技术云计算改变了原有的信息存储模式,改变了信息服务提供和获取的方式,给信息安全带来了多方面的考验,引发出了更加复杂的安全问题。云计算体系下,安全需求和安全措施对应的矛盾更为突出,基于对信息安全威胁因素的分析,根据信息的机密性、完整性、可用性依照相关的规范准则建立完整统一的安全防护体系来确保信息安全。信息安全问题是无法避免的问题,云计算的安全问题通过技术与管理两方面将安全风险降到可以接受的范围。
参考文献
[1] 维基百科:http://zh.wikipedia.org/wiki/%E9%BB%91%E5%AE%A2.
[2] 百度百科:http://baike.baidu.com/view/1316082.htm.
[3] 张宝胜,邹本娜.浅谈云计算与信息安全[J].计算机安全,2014,(4).
[4] 庞松涛,李清玉.云计算安全体系探讨[A].2013电力行业信息化年会论文集[C].北京:人民邮电出版社,2014.
作者简介:贾海宁(1993-),女,江苏镇江人,就读于南京邮电大学计算机学院,研究方向:计算机科学与技术。
关键词:云计算;“棱镜计划”;信息安全;互联网
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)30-0022-02
1 “棱镜计划”与云计算
棱镜计划是一项由美国国家安全局自2007年起开始实施的绝密级电子监听计划。该计划的正式名称为“US-984XN”。根据报道,泄露的文件中描述PRISM计划能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知,以及社交网络细节。综合情报文件《总统每日简报》中在2012年内在1477个计划使用了来自棱镜计划的资料,关于PRISM的报道是在美国政府持续秘密地要求威讯向国家安全局提供所有客户每日电话记录的消息曝光后不久出现的。泄露这些绝密文件的是国家安全局合约外包商的员工爱德华·斯诺登,于2013年6月6日在英国《卫报》和美国《华盛顿邮报》公开。
云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作或与服务供应商进行很少的交互。云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。
2 从“棱镜计划”分析信息安全问题
黑客的攻击成为目前信息安全所面临的首要威胁,黑客通过侵入他人电脑系统、盗窃系统保密信息、破坏目标系统来获取信息。随着网络的不断发展国家的能源、通信、商业、金融、交通等信息的交流都有赖于网络。一旦网络系统出现问题导致信息被窃取指令无法正常执行,将会给国家带来局带来损失并直接影响国家
安全。
网络信息技术的不断更新使间谍组织有更好的工具获取机密信息。美国“棱镜计划”的曝光使大众了解到美国窃取情报活动涉密程度和情报信息量。美国视我国为其最大的利益威胁国,依靠其技术的优势,长期对我国的通信和计算机网络进行全天候无地域限制的侦察与监控,美国借助谷歌将用户的所有浏览记录都备份到情报局以达到实时监控的效果。如此严峻的形势下中国不得不再次提高信息安全警报等级,网络信息安全已经不仅仅是指军事上的国家安全,它将会对国家的经济政治等方面产生直接的影响。
3 云计算技术所引发的信息安全问题
云的部署方式分为软件及服务SAAS,另外四种部署方式为公有云、私有云、社区云和混合云。这种部署能够考虑到成本控制和安全控制等多方面的需求。云所具备的功能使其能够在计算机网络中得到广泛的应用。云完成了对数的存储和计算工作不可避免地存在存储的信息安全出现问题。云计算的出现对国家信息安全存在潜在和现实威胁。一旦有哪个国家有很强的技术能够控制云,将会掌控全球的信息,窃取其他国家的机密信息。
云环境下信息安全出现以下几个问题:安全边界的消失,无法采取针对性的安全防护措施,无法确保信息的安全;信息数据的过度集中,云计算中对信息的处理和存储都是在云端上完成,网络是一个开放性的互联虚拟平台,它的身份识别与认证,对信息浏览的访问控制技术尚不成熟,容易造成信息传输过程中的泄密或丢失;虚拟化技术的应用问题,云计算依赖于虚拟技术,但虚拟设备的管理非常困难,设备能否正常运行受到电脑病毒、安全漏洞等的影响;可靠稳定性问题,容灾恢复能力、安全策略等无法满足云计算服务的需求,云端高度集中的信息资源会促使恶意代码和黑客程序的不断侵入对云端的信息安全带来极大的威胁。
4 云体系下应对信息安全威胁的策略
对于公有云与私有云用户对信息安全的较高要求,必须要建立健全信息安全标准体系,加强在云计算体系下基础设施的安全性管理,提高云计算的技术水平提高信息风险防范能力,为云计算提供良好的系统运行环境。
(1)国际合作共同规范化和标准化信息安全标准体系如云计算中的设备的合理配置、运营流程、用户安全要求、访问控制策略。安全标准体系的建立以云安全管理中心为核心注重云环境安全、云边界安全、云通信网络安全。在云中当加密后的通信信息与用户交流时,通过对安全策略的不断改进使其更具合理性和更强的健壮性来保证云计算环境下的信息安全。
(2)云计算的运行平台是基于基础设施的,其自身设备有漏洞和安全风险的存在,所以加强在云计算体系下基础设施的安全性管理就成为信息安全威胁的一种防护策略。将基础网络IP统一管理规划,对关键节点的中断和服务器的IP和MAC地址进行绑定操作,用来防止出现地址欺骗;对于网络的核心设备使其能对集合链路冗余备份,在防火墙技术的异常流量监控中能够及时准确地发现并且阻断互联网对DDOS的攻击,将防火墙设置在DMZ内网和互联网接入点与DMZ之间,来确保在云端信息的安全存储与完整的传输与正常通信;要对应用系统主机设备进行安全加固,关闭不使用的服务端口如黑客常利用的3389端口远程控制用户主机以及相应的组件,对操作系统、虚拟机、数据库及时打补丁,并且实时监控恶意代码和病毒的出现,在信息中心部署IAS/IPS设备保护系统自身的安全。
(3)laaS虚拟化、PaaS分布式、SaaS在线软件是云计算体系中的关键技术。虚拟技术是将IT的硬件资源转化成资源池通过网络将信息传输至客户端来实现IT资源灵活性和利用率最大化,虚拟化安全要运用到数据存储冗余保护技术、并行访问,完善容灾和容错技术等;在分布式处理技术中,Hadoop HAFS、Google GFS等分布式系统增加了Secondary Master对主服务器的备份,结合冗余存储方式,引进分布式同步和沙箱隔离技术来确保云端信息安全;在防火墙执行逻辑分区边界防护和集中管理分段功能的基础上启动虚拟端口限速功能,并对虚拟网络上的日志审计,才能及时发现异常流量现象并予以控制。 (4)信息风险的防范有多种方式,数据加密是信息风险防范的关键方法,不仅对访问权限加密同时也要对元数据加密,在传输文件数据时要使用AES加密方法,对密钥进行RSA加密,之后将密钥密文与文件密文绑定,系统分块后存储在HDFS的存储节点上,在经过一系列的抽取密钥密文、私钥解密、文件密文解密从而获取文件。数据删除技术可以降低信息的风险,用户要对云端上有价值的数据进行删除,如果运行时磁盘出现故障可能会泄露信息,借助数据删除减少敏感信息的泄露。数据灾备技术是保护信息安全的又一屏障,灾难备份和恢复非常重要,因为数据中心存储了大量的业务信息,除了云计算所使用的虚拟技术,还可最大程度发挥SAN的自身优势,实现数据的共享,以此来提高信息灾难备份的效果。
(5)系统环境对信息安全的防护有着不容小觑的影响,在应对信息安全威胁时,优化程度越好的系统环境越不容易受到不良的蓄意攻击。用户身份识别确定用户身份的唯一性,可以根据数字证书、生物特征、硬件信息绑定等方式进行用户身份验证,同时结合账号退出检测、账号连续出错自动锁定管理身份认证;实行访问控制、标记和强制访问,强制访问相对于自主访问与角色访问其特点更适合于云环境下,有利于维护数据安全,提供安全接口来达到特定事件的提前预警;提供密码保护技术来完善校验机制,通过核实、授权信任级别,用户行为跟踪和获取,监督、规范用户行为,评估、量化用户行为数据等方法进行信任管理来确保信息安全;对程序的执行过程进行保护使其能够与可靠的信宿建立可信任连接,使用可信计算技术和数据恢复技术防止恶意代码篡改程序对信息安全性造成的
影响。
5 结语
“棱镜计划”曝光再次说明信息安全问题所面临的严峻形势,新兴技术云计算改变了原有的信息存储模式,改变了信息服务提供和获取的方式,给信息安全带来了多方面的考验,引发出了更加复杂的安全问题。云计算体系下,安全需求和安全措施对应的矛盾更为突出,基于对信息安全威胁因素的分析,根据信息的机密性、完整性、可用性依照相关的规范准则建立完整统一的安全防护体系来确保信息安全。信息安全问题是无法避免的问题,云计算的安全问题通过技术与管理两方面将安全风险降到可以接受的范围。
参考文献
[1] 维基百科:http://zh.wikipedia.org/wiki/%E9%BB%91%E5%AE%A2.
[2] 百度百科:http://baike.baidu.com/view/1316082.htm.
[3] 张宝胜,邹本娜.浅谈云计算与信息安全[J].计算机安全,2014,(4).
[4] 庞松涛,李清玉.云计算安全体系探讨[A].2013电力行业信息化年会论文集[C].北京:人民邮电出版社,2014.
作者简介:贾海宁(1993-),女,江苏镇江人,就读于南京邮电大学计算机学院,研究方向:计算机科学与技术。