论文部分内容阅读
云应用里面存在安全隐患这是必然的。因为任何一种应用都是流程和逻辑的体现,而大部分应用是不能够准确无误地再现流程和逻辑的,因此必然会存在缺陷和漏洞,这些缺陷和漏洞也就成为了最大的安全隐患。
更另人担忧的是,这种应用上的隐患与云基础架构本身的安全问题叠加,会带来更加复杂的问题。能否实现云应用和云基础架构的安全逻辑分割,也许是未来可以考虑的方向之一,对于云计算安全问题的解决会起到简化作用。
获得安全的云服务
云服务面临两个方面的安全挑战,技术上的和社会层面上的,获得安全的云服务要分別从这两个方面着手。社会层面上,要尽快建立相关的法律法规。当然,法律法规的建立并不能根本解决社会信任和信誉机制建立的问题,但可以促进信任和信誉机制的成熟。
没有法律法规的保障,我个人认为,云服务的安全只能是一个美好的愿望。而从技术层面上看,要针对云服务的特点,研究专门的安全防护技术,开发有针对性的云服务及云应用的安全产品;同时,还需要针对法律法规的相关规定,为法律法规的实施提供相应的技术支持,例如纠纷出现时,取证以及仲裁所需要的法证技术及产品等。
此外,用户的数据和隐私安全是云计算领域最早提出的,也是争论最多的安全问题。这种关切其实很容易被人理解,它很类似于我们经常接触到的存款问题。我们把钱存到银行,怎样确保我们的钱不会因为银行倒闭或者某些犯罪行为而被盗用或者丢失?怎样确保我的财产信息不被泄漏?如果我们研究一下现有的银行体系,就会获得很多启示。
首先,要有法律法规来应对,有了法律法规才可以为用户数据和隐私提供一个有力的保障手段。其次,要有监督审核机制来防范。用户数据和隐私交给云服务提供商,并不意味着不需要监督。无数经验证明,完全建立在信任和信誉基础之上的安全是最不安全的。因此,云服务提供商以及云基础设施提供者,需要为第三方提供可靠的、有效的监督审核渠道和技术手段。最后,还要有一个查询和确认机制。这种查询和确认机制,可以让数据和信息所有者,及时地了解自己所拥有数据的安全状态。
上述这些方面,其实在技术上都需要一些新的方法和手段来支撑,包括数据的加密,权限的认证,数据处理流程的监控以及取证技术的支持等。
三种云在安全问题上的差异
在安全问题上,私有云、公共云和混合云这三种云在安全问题上还是有差异的。私有云的安全问题与传统企业或组织内部的信息资产安全问题差别不大。以往存在的安全威胁也是私有云的安全威胁。而私有云的建立,一定程度上会提高企业或组织内部的信息资产安全。因为,私有云很大程度上解决了企业或组织内部经常存在的数据分散,以及不能有效集中管理所带来的风险。
相对于私有云,公共云的安全问题将更为突出。不仅仅要面对私有云所面对的安全威胁和风险,而且涉及到多个云使用者之间的逻辑安全分割及防护的问题。混合云的安全问题与公共云安全问题类似。
私有云的安全重点,在于防止云基础设施及系统受到入侵和外部攻击。而公共云的安全重点,在于内部服务的逻辑安全分割以及数据和隐私等信息的泄漏。混合云的安全防护需要同时考虑私有和公用两种情景下的防范重点。
对于云计算环境的防护,我认为云端的基础架构和上层的应用系统是需要重点部署安全产品的位置。云端的基础架构中,在网关上部署具有虚拟化识别能力的防火墙,减少对网关内虚拟服务器的攻击;部署专用的入侵检测系统,对虚拟服务器的非法入侵进行检测。
在上层的应用系统中,部署对系统漏洞、病毒、木马和恶意软件进行检测的产品,避免应用服务带来的安全隐患;对应用系统中存储的数据进行加解密操作,采用不同的加解密算法,防止数据被篡改。
更另人担忧的是,这种应用上的隐患与云基础架构本身的安全问题叠加,会带来更加复杂的问题。能否实现云应用和云基础架构的安全逻辑分割,也许是未来可以考虑的方向之一,对于云计算安全问题的解决会起到简化作用。
获得安全的云服务
云服务面临两个方面的安全挑战,技术上的和社会层面上的,获得安全的云服务要分別从这两个方面着手。社会层面上,要尽快建立相关的法律法规。当然,法律法规的建立并不能根本解决社会信任和信誉机制建立的问题,但可以促进信任和信誉机制的成熟。
没有法律法规的保障,我个人认为,云服务的安全只能是一个美好的愿望。而从技术层面上看,要针对云服务的特点,研究专门的安全防护技术,开发有针对性的云服务及云应用的安全产品;同时,还需要针对法律法规的相关规定,为法律法规的实施提供相应的技术支持,例如纠纷出现时,取证以及仲裁所需要的法证技术及产品等。
此外,用户的数据和隐私安全是云计算领域最早提出的,也是争论最多的安全问题。这种关切其实很容易被人理解,它很类似于我们经常接触到的存款问题。我们把钱存到银行,怎样确保我们的钱不会因为银行倒闭或者某些犯罪行为而被盗用或者丢失?怎样确保我的财产信息不被泄漏?如果我们研究一下现有的银行体系,就会获得很多启示。
首先,要有法律法规来应对,有了法律法规才可以为用户数据和隐私提供一个有力的保障手段。其次,要有监督审核机制来防范。用户数据和隐私交给云服务提供商,并不意味着不需要监督。无数经验证明,完全建立在信任和信誉基础之上的安全是最不安全的。因此,云服务提供商以及云基础设施提供者,需要为第三方提供可靠的、有效的监督审核渠道和技术手段。最后,还要有一个查询和确认机制。这种查询和确认机制,可以让数据和信息所有者,及时地了解自己所拥有数据的安全状态。
上述这些方面,其实在技术上都需要一些新的方法和手段来支撑,包括数据的加密,权限的认证,数据处理流程的监控以及取证技术的支持等。
三种云在安全问题上的差异
在安全问题上,私有云、公共云和混合云这三种云在安全问题上还是有差异的。私有云的安全问题与传统企业或组织内部的信息资产安全问题差别不大。以往存在的安全威胁也是私有云的安全威胁。而私有云的建立,一定程度上会提高企业或组织内部的信息资产安全。因为,私有云很大程度上解决了企业或组织内部经常存在的数据分散,以及不能有效集中管理所带来的风险。
相对于私有云,公共云的安全问题将更为突出。不仅仅要面对私有云所面对的安全威胁和风险,而且涉及到多个云使用者之间的逻辑安全分割及防护的问题。混合云的安全问题与公共云安全问题类似。
私有云的安全重点,在于防止云基础设施及系统受到入侵和外部攻击。而公共云的安全重点,在于内部服务的逻辑安全分割以及数据和隐私等信息的泄漏。混合云的安全防护需要同时考虑私有和公用两种情景下的防范重点。
对于云计算环境的防护,我认为云端的基础架构和上层的应用系统是需要重点部署安全产品的位置。云端的基础架构中,在网关上部署具有虚拟化识别能力的防火墙,减少对网关内虚拟服务器的攻击;部署专用的入侵检测系统,对虚拟服务器的非法入侵进行检测。
在上层的应用系统中,部署对系统漏洞、病毒、木马和恶意软件进行检测的产品,避免应用服务带来的安全隐患;对应用系统中存储的数据进行加解密操作,采用不同的加解密算法,防止数据被篡改。