论文部分内容阅读
摘要:云计算的安全问题是制约云计算发展的一个重要问题,从云计算的定义出发,文章详细分析了云计算带来的若干新兴的安全问题,进而从云计算服务供应商的角度,给出了一个加强云计算安全的保障体系,为云计算的应用平台构建和服务提供做好铺垫。
关键词:云计算;安全问题;保障体系
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)10-2308-02
云计算是传统计算机技术和网络技术发展融合的产物,也是引领未来信息产业创新的关键战略性技术和手段,作为21世纪IT行业乃至社会关注的焦点和热点,未来云计算应用可以作为一种IT基础设施服务模式、一种信息交换的交付模式、一种创新性资源服务模式、一种基于互联网的新型商业模式,将为人类社会提供更加方便、快捷的信息服务。
根据美国国家技术和标准研究院(NIST, Nstioanl Institute of Standards and Technology)对外公布的一个云计算定义:云计算是一个提供便捷的可通过网络访问一个可定制的计算机资源共享池能力的模式(计算资源包括网络、服务器、存储、应用和服务);这些资源能够快速部署、并只需很少的管理工作或服务供应商很少的交互。
这个定义相对来说是比较具体的,也更为技术,它强调了一个共享的计算资源池,然后用户可以方便地通过网络来进行访问,总的来说云计算就是信息技术作为服务(IT as a Service)的一种计算供应和消费方式,因此云计算也可以被称为云服务。
随着云计算技术的深入研究,云安全越来越称为云计算以及安全业界关注的焦点问题,一方面由于云计算应用的无边界性特点而引发的很多新安全问题,另一方面,云计算也对传统的安全技术产生了深远的影响。在网络安全形势如此严峻的形势下,有必要对云计算的安全问题有一个整体和清晰的认识,才能在实际应用中把握安全界限。
1 云计算的常见安全问题
这里综述以下几类云计算带来的新兴安全问题。
1)云计算资源的滥用
由于云计算服务可以实现通过较低的成本轻易获得大量的计算资源,因此部分黑客利用运资源滥发垃圾邮件、破解用户关键密码以及开发僵尸网络程序来控制用户主机,等等。这些行为有可能造成云计算服务供应商的网络地址作为黑名单,而导致其他用户无法正常使用。此外,由于云计算资源的滥用,在一定情况下为保全证据,有可能会导致其他服务应用的中断。
2)云计算环境的安全保护
当云计算服务供应商某一服务或客户遭到入侵,导致资料被窃取时,极有可能会影响到该供应商服务的其他客户,使得这些客户不得不放弃该服务供应商的服务。除此之外,另外一个云计算的安全问题发生在多用户的环境中,用户的活动特征有可能被抓取或者泄密,例如2013年3月15日由中国中央电视台曝光的网易等网络公司通过Cookie抓取用户特征,并对用户信息进行出卖,这些行为也同样会出现在云计算的应用场景中。
3)云服务供应商的信任问题
如同在传统数据中心环境中,员工泄密等情况时有发生一样,在云计算环境下可能会发生因为供应商内部员工窃取客户资料的情况。另外,某些云服务供应商对用户知识产权的保护是有限度的,因此在选择云服务供应商的时候,必须审慎阅读云服务供应商提供的直接对数据中心资料进行调查的款项,例如在欧盟和日本的法律中,就规定涉及到个人隐私的数据不可以传送到存储该数据以外的数据中心。
4)多向及多方审计
在云计算环境中,由于牵涉到服务供应商和客户的双向设计问题,因此远比传统数据中心的审计来的更加困难。在某些安全事故中,审计对象可能涉及到多个用户,复杂度很高,为了维护审计结果的公信力,审计行为可能会由独立的第三方来完成,云服务供应商负责记录和维护审计过程中所有的稽核轨迹。随着云计算的普及和深入,应逐步制定相关规范来完善审计制度。
5)系统数据备份
一方面,由于云计算服务供应商随时会因为各种原因而中断服务,因此即使云服务供应商宣布已经做好了完善的灾备措施,用户也应当即使保护好哦自己的数据备份。另一方面,当用户不再使用某一个云服务供应商的服务时,如何确保相关的关键数据已经被其删除,因为这是对用户隐私的极大挑战。
这些问题都是因为云计算的应用环境而引发的新的安全问题,为了克制这些安全问题,或者为了消除安全隐患,有一系列的工作值得我们去探索。
2 云计算的安全保障体系
对于云计算而言,如何在最大程度上降低云计算系统的安全威胁,提高服务质量,保障用户信息安全是云计算能否取得成功应用的关键,而在这些安全措施的防范基础上,该文主要就服务供应商的安全职责进行探讨,说明云计算服务供应商应具有的安全保障体系。
利用现行的集成数据机密技术、VPN技术、身份认证技术、安全存储技术,云计算服务可以构建面应云服务的一套安全保障体系:
1)提高云计算系统的安全防御体制,提高云服务系统的健壮性、安全性,保障系统服务的连续性和稳定性。
为了实现这个目的,可以采取的措施包括:控制木马等病毒程序在计算平台内外的传播,对云计算系统的数据流量以及系统运行状态进行实时监控,部署网络攻击防御系统,完善云计算平台的容灾备份机制等等。
2)保护用户信息的可用性、私密性和完整性。
用户信息的保护是云计算安全的首要问题,可以对用户系统的数据进行数据加密、VPN使用机制以及安全的故障恢复机制。
3)身份认证与安全接入控制。
建立严格的云计算安全机制,实施严格的身份管理、安全认证以及访问限制控制,对于用户的访问记录进行安全保护,做到可溯源。
4)加强云计算服务供应商本身的安全管理,健全网络安全审计机制。
加强云计算数据中心的安全管理,加强对操作、维护等各类日志的审计管理,提高对违规溯源的事后审查能力。
云计算安全是云计算服务供应商和云计算用户之间的共同责任,但是两者之间的安全界限随着云服务类型的不同而千差万别,因此在云计算应用中,为了避免服务纠纷,有必要对云服务供应商和用户之间的责任进行明确的界定和划分。
3 小结
本文对云计算的安全问题进行探讨,具体分析了云计算由于计算模式的不同而引发的一系列新的安全问题,并从云计算服务供应商的角度给出了若干加强云计算安全的措施,为云计算平台的具体设计和使用提供了安全保障。
参考文献:
[1] 李鹏. Arbor全网方案确保云计算安全运营[J]. 通信世界,2009(48).
[2] ITValue.十问云计算[J].电子商务,2012(4) .
[3] 斯蒂芬·霍普金斯. 云计算的安全性[J]. 通讯世界,2009(11) .
[4] 千堆栈.时文选译[J].计算机安全, 2010(6) .
[5] Steve Hanna,许翠苹.云计算:风险以及规避措施[J].通讯世界, 2009(12).
[6] 梁静,石冰心. 服务水平协议的现状及未来[J]. 电信快报, 2001(9) .
[7] Eric Chabrow, 善娴.云安全:利弊同根生[J].通讯世界, 2009(12) .
[8] 刘冉. 浅析企业让云端数据更安全的解决方案[J]. 网络与信息, 2012(4) .
[9] 石菲. SaaS扛起云计算大旗[J]. 中国计算机用户, 2009(15).
关键词:云计算;安全问题;保障体系
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)10-2308-02
云计算是传统计算机技术和网络技术发展融合的产物,也是引领未来信息产业创新的关键战略性技术和手段,作为21世纪IT行业乃至社会关注的焦点和热点,未来云计算应用可以作为一种IT基础设施服务模式、一种信息交换的交付模式、一种创新性资源服务模式、一种基于互联网的新型商业模式,将为人类社会提供更加方便、快捷的信息服务。
根据美国国家技术和标准研究院(NIST, Nstioanl Institute of Standards and Technology)对外公布的一个云计算定义:云计算是一个提供便捷的可通过网络访问一个可定制的计算机资源共享池能力的模式(计算资源包括网络、服务器、存储、应用和服务);这些资源能够快速部署、并只需很少的管理工作或服务供应商很少的交互。
这个定义相对来说是比较具体的,也更为技术,它强调了一个共享的计算资源池,然后用户可以方便地通过网络来进行访问,总的来说云计算就是信息技术作为服务(IT as a Service)的一种计算供应和消费方式,因此云计算也可以被称为云服务。
随着云计算技术的深入研究,云安全越来越称为云计算以及安全业界关注的焦点问题,一方面由于云计算应用的无边界性特点而引发的很多新安全问题,另一方面,云计算也对传统的安全技术产生了深远的影响。在网络安全形势如此严峻的形势下,有必要对云计算的安全问题有一个整体和清晰的认识,才能在实际应用中把握安全界限。
1 云计算的常见安全问题
这里综述以下几类云计算带来的新兴安全问题。
1)云计算资源的滥用
由于云计算服务可以实现通过较低的成本轻易获得大量的计算资源,因此部分黑客利用运资源滥发垃圾邮件、破解用户关键密码以及开发僵尸网络程序来控制用户主机,等等。这些行为有可能造成云计算服务供应商的网络地址作为黑名单,而导致其他用户无法正常使用。此外,由于云计算资源的滥用,在一定情况下为保全证据,有可能会导致其他服务应用的中断。
2)云计算环境的安全保护
当云计算服务供应商某一服务或客户遭到入侵,导致资料被窃取时,极有可能会影响到该供应商服务的其他客户,使得这些客户不得不放弃该服务供应商的服务。除此之外,另外一个云计算的安全问题发生在多用户的环境中,用户的活动特征有可能被抓取或者泄密,例如2013年3月15日由中国中央电视台曝光的网易等网络公司通过Cookie抓取用户特征,并对用户信息进行出卖,这些行为也同样会出现在云计算的应用场景中。
3)云服务供应商的信任问题
如同在传统数据中心环境中,员工泄密等情况时有发生一样,在云计算环境下可能会发生因为供应商内部员工窃取客户资料的情况。另外,某些云服务供应商对用户知识产权的保护是有限度的,因此在选择云服务供应商的时候,必须审慎阅读云服务供应商提供的直接对数据中心资料进行调查的款项,例如在欧盟和日本的法律中,就规定涉及到个人隐私的数据不可以传送到存储该数据以外的数据中心。
4)多向及多方审计
在云计算环境中,由于牵涉到服务供应商和客户的双向设计问题,因此远比传统数据中心的审计来的更加困难。在某些安全事故中,审计对象可能涉及到多个用户,复杂度很高,为了维护审计结果的公信力,审计行为可能会由独立的第三方来完成,云服务供应商负责记录和维护审计过程中所有的稽核轨迹。随着云计算的普及和深入,应逐步制定相关规范来完善审计制度。
5)系统数据备份
一方面,由于云计算服务供应商随时会因为各种原因而中断服务,因此即使云服务供应商宣布已经做好了完善的灾备措施,用户也应当即使保护好哦自己的数据备份。另一方面,当用户不再使用某一个云服务供应商的服务时,如何确保相关的关键数据已经被其删除,因为这是对用户隐私的极大挑战。
这些问题都是因为云计算的应用环境而引发的新的安全问题,为了克制这些安全问题,或者为了消除安全隐患,有一系列的工作值得我们去探索。
2 云计算的安全保障体系
对于云计算而言,如何在最大程度上降低云计算系统的安全威胁,提高服务质量,保障用户信息安全是云计算能否取得成功应用的关键,而在这些安全措施的防范基础上,该文主要就服务供应商的安全职责进行探讨,说明云计算服务供应商应具有的安全保障体系。
利用现行的集成数据机密技术、VPN技术、身份认证技术、安全存储技术,云计算服务可以构建面应云服务的一套安全保障体系:
1)提高云计算系统的安全防御体制,提高云服务系统的健壮性、安全性,保障系统服务的连续性和稳定性。
为了实现这个目的,可以采取的措施包括:控制木马等病毒程序在计算平台内外的传播,对云计算系统的数据流量以及系统运行状态进行实时监控,部署网络攻击防御系统,完善云计算平台的容灾备份机制等等。
2)保护用户信息的可用性、私密性和完整性。
用户信息的保护是云计算安全的首要问题,可以对用户系统的数据进行数据加密、VPN使用机制以及安全的故障恢复机制。
3)身份认证与安全接入控制。
建立严格的云计算安全机制,实施严格的身份管理、安全认证以及访问限制控制,对于用户的访问记录进行安全保护,做到可溯源。
4)加强云计算服务供应商本身的安全管理,健全网络安全审计机制。
加强云计算数据中心的安全管理,加强对操作、维护等各类日志的审计管理,提高对违规溯源的事后审查能力。
云计算安全是云计算服务供应商和云计算用户之间的共同责任,但是两者之间的安全界限随着云服务类型的不同而千差万别,因此在云计算应用中,为了避免服务纠纷,有必要对云服务供应商和用户之间的责任进行明确的界定和划分。
3 小结
本文对云计算的安全问题进行探讨,具体分析了云计算由于计算模式的不同而引发的一系列新的安全问题,并从云计算服务供应商的角度给出了若干加强云计算安全的措施,为云计算平台的具体设计和使用提供了安全保障。
参考文献:
[1] 李鹏. Arbor全网方案确保云计算安全运营[J]. 通信世界,2009(48).
[2] ITValue.十问云计算[J].电子商务,2012(4) .
[3] 斯蒂芬·霍普金斯. 云计算的安全性[J]. 通讯世界,2009(11) .
[4] 千堆栈.时文选译[J].计算机安全, 2010(6) .
[5] Steve Hanna,许翠苹.云计算:风险以及规避措施[J].通讯世界, 2009(12).
[6] 梁静,石冰心. 服务水平协议的现状及未来[J]. 电信快报, 2001(9) .
[7] Eric Chabrow, 善娴.云安全:利弊同根生[J].通讯世界, 2009(12) .
[8] 刘冉. 浅析企业让云端数据更安全的解决方案[J]. 网络与信息, 2012(4) .
[9] 石菲. SaaS扛起云计算大旗[J]. 中国计算机用户, 2009(15).