论文部分内容阅读
[摘 要] 云计算服务是当前全球范围内炙手可热的商务服务新宠。今后,云计算服务能够提供与超级电脑相媲美的强大功能。依托云服务,用户还能弹性化地设置服务需求,同时节省了PC、服务器等基础软硬件投入。本文主要介绍了我国云计算服务中存在的漏洞风险,并根据云计算模型探讨了相应的应对措施。
[关键词] 云计算服务; 用户接入; 应对风险
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 22. 043
[中图分类号] TP3 [文献标识码] A [文章编号] 1673 - 0194(2013)22- 0068- 02
云计算是基于Web网络虚拟化的服务模式。具体来说,用户只需要购买一项服务,而不需额外投入任何资金设备,就能完全使用该项服务。云计算服务的根本优势在于,将传统因特网服务中的服务器、PC机等进行资源整合,集成于云服务中。
1 主流云计算技术简介
1.1 IBM云技术
目前,IBM云是我国主流云计算服务之一。IBM公司认为云计算服务属于一种新兴的体验式服务交付模式。目前通用的云技术服务分为公有云、私有云以及混合云,即是IBM公司所提出。从国内情况来看,IBM云体现了云技术服务的主流优势:开放兼容;灵活性强,能够同时服务多领域多系统;涵盖SOA思想,能够进行弹性化的简化扩展,以及涵盖对应软硬件的资源整合。
1.2 惠普(HP)云技术
HP云以提供高度扩展、简洁操作的个性化云服务为特点。用户在使用过程中,使用统一操作流程,无需用户自行提供任何技术架构。同时HP云可以完全按照用户要求进行任何形式的服务扩展。HP云的分类方式较多,如按服务对象、按业务系统以及按资源等方式。目前,HP云的市场用户群主要集中于电商企业。
1.3 GOOGLE云技术
GOOGLE公司是最早提出云计算概念并开展云计算平台设计的。最初GOOGLE建设该平台的目的是为了为其旗下搜索引擎开发与运作提供辅助服务。目前,该云服务主要包括分布式文件、编程模式、分布式数据库以及分布式加锁机制4个模块[1]。上述模块共同组成了其云服务平台特点,即大容量、高效、扩展以及安全可靠。
2 我国云计算服务存在的漏洞
2.1 用户接入模块存在的漏洞
用户接入是使用云服务的第一步。既然该层面是面向广大用户的,那么不能排除的是其中一些“用户”本身也是攻击者。从一般网络服务的角度来分析,云服务在用户接入模块中,极有可能受到以下攻击:① 窃取服务密码。通常的云技术服务会禁止远程平台管理以避免攻击。但是HP云中的Paas/Iaas来说,该功能是开放的,而且也是用户常用的,无形中造成了系统的漏洞。② 伪造证件。目前常见的多因子身份认证,包括口令、数字证书、指纹以及虹膜等[2]。攻击者可能利用云服务中断对用户信息进行搜集破解,从而仿造。由此发散,还可能存在用户信息窃取。此外同其他网络服务一样,在用户接入模块中,还可能出现欺诈网站、DDOS攻击等。
2.2 业务应用软件模块存在的漏洞
业务应用是一切网络服务的核心,云服务亦是如此。由于业务应用模块存在着大量用户操作以及操作反馈,因此攻击者通过篡改相关业务应用程序,从而窃取用户信息,破坏业务服务。同传统网络服务一样,云技术服务在此模块(SaaS/PaaS)中极容易出现以病毒蠕虫(并携带木马)、应用软件破坏(如SQL注入、XSS攻击)、Web挂马(针对云服务的BS架构)等攻击,严重情况甚至可能出现主机攻击。
2.3 虚拟机模块存在的漏洞
利用虚拟机,攻击者可能攻击云服务提供商的后台。一般来说,以虚拟机为主的网络攻击较多。① 溢出。云计算服务的兴起时间较短,各项技术较为不成熟。目前已有黑客宣布做到了“溢出”。② 资源滥用。破坏者并不仅针对云计算服务本身,而是利用廉价的云服务开展其他网络应用的恶意攻击,譬如借助云服务的大容量超高速的计算能力作为“肉鸡”,去破译用户密码,非法获取资料。
对于后台管理模块和数据中心的漏洞同一般的网络服务类似,也包括黑客入侵、内部人员风险、设备故障以及盗取数据中心的物理介质,从而窃取信息等。
3 我国云计算技术服务的发展策略
3.1 加强云安全控制的可视化
对于云服务的使用者来说,该云服务项目目前的安全现状、风险管控以及是否合法合规都是模糊的。用户在使用过程中,无法了解上述问题,不仅不利于用户对云服务高效全面的使用,增加了用户的风险感,同时也不利于云服务项目本身的合法有序发展。因此我国今后应当大力推进云计算服务的可视化发展,建立透明的IT云服务管理机制。这样不但能够增加用户对于云服务产品的全面认识与信任,而且能够增强服务商对云服务的可控制性以及国家行业对云项目的可监管性。
3.2 采用身份认证与访问管理权限
云服务有着大容量存储处理以及多服务对象的特点。使得实际操作中,权限管理成为了云服务质量以及服务安全的重要指标。笔者认为,多空间的分层管理对于云服务中的身份验证以及访问权限管理是必须的,同时应当从以下方面入手:针对存在网络信用劣迹的用户增加必要的活动监视;加强用户与第三方的系统权限授权与认证监管;简化用户的接入与业务服务操作,如单点登录(SSO)。
3.3 加强数据安全管理
数据安全是任何信息服务中的关键问题。在云服务中,必须做到访问权限的科学划分、系统实现与有效监管。具体来说,就是要保证用户数据的相互隔离,用户是绝对不能访问不属于自己的数据。一般可通过以下操作实现:通过网络安全协议(SSL、IPSec等)访问敏感数据[3]。加强虚拟机的数据管理;建设物理隔离、设备隔离,确保信息的独立性与安全性。此外,对于需要删除的信息,提供安全完备的销毁服务。
3.4 加强云服务数据中心的物理安全
云服务作为网络服务的一种,同时还必须对数据中心采取高安全级别的管理。其中包括:① 加强中心内外的设备人员监控与保护;② 以技术手段严格控制人员进入以及操作权限,加强工作人员的管理,甚至对于具有较高权限的工作人员,企业一定程度上还需要掌握其社会背景及社交情况;③ 制定突发自然灾害的预警防御机制。
4 结 语
云计算服务在全球范围受到广泛重视,许多IT人士对其寄予厚望。云计算服务所提供的高度弹性扩展的高效网络服务模式,决定了今后云服务将成为网络服务的绝对主导者。对于云计算服务提供商来说,进一步加强质量控制与风险管理,确保云服务安全是一项与云计算服务开发同等重要的工作。
主要参考文献
[1] 海洋. 云计算项目中的安全考虑[J]. 计算机光盘软件与应用,2010,4(14):172-173.
[2] 施游,张智勇. 云计算体系架构[J]. 电脑知识与技术:学术交流,2011,4(1):228-229.
[3] 欧素华. 云计算数据中心网络的技术解析[J]. 信息通信,2013,4(23):189-190.
[关键词] 云计算服务; 用户接入; 应对风险
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 22. 043
[中图分类号] TP3 [文献标识码] A [文章编号] 1673 - 0194(2013)22- 0068- 02
云计算是基于Web网络虚拟化的服务模式。具体来说,用户只需要购买一项服务,而不需额外投入任何资金设备,就能完全使用该项服务。云计算服务的根本优势在于,将传统因特网服务中的服务器、PC机等进行资源整合,集成于云服务中。
1 主流云计算技术简介
1.1 IBM云技术
目前,IBM云是我国主流云计算服务之一。IBM公司认为云计算服务属于一种新兴的体验式服务交付模式。目前通用的云技术服务分为公有云、私有云以及混合云,即是IBM公司所提出。从国内情况来看,IBM云体现了云技术服务的主流优势:开放兼容;灵活性强,能够同时服务多领域多系统;涵盖SOA思想,能够进行弹性化的简化扩展,以及涵盖对应软硬件的资源整合。
1.2 惠普(HP)云技术
HP云以提供高度扩展、简洁操作的个性化云服务为特点。用户在使用过程中,使用统一操作流程,无需用户自行提供任何技术架构。同时HP云可以完全按照用户要求进行任何形式的服务扩展。HP云的分类方式较多,如按服务对象、按业务系统以及按资源等方式。目前,HP云的市场用户群主要集中于电商企业。
1.3 GOOGLE云技术
GOOGLE公司是最早提出云计算概念并开展云计算平台设计的。最初GOOGLE建设该平台的目的是为了为其旗下搜索引擎开发与运作提供辅助服务。目前,该云服务主要包括分布式文件、编程模式、分布式数据库以及分布式加锁机制4个模块[1]。上述模块共同组成了其云服务平台特点,即大容量、高效、扩展以及安全可靠。
2 我国云计算服务存在的漏洞
2.1 用户接入模块存在的漏洞
用户接入是使用云服务的第一步。既然该层面是面向广大用户的,那么不能排除的是其中一些“用户”本身也是攻击者。从一般网络服务的角度来分析,云服务在用户接入模块中,极有可能受到以下攻击:① 窃取服务密码。通常的云技术服务会禁止远程平台管理以避免攻击。但是HP云中的Paas/Iaas来说,该功能是开放的,而且也是用户常用的,无形中造成了系统的漏洞。② 伪造证件。目前常见的多因子身份认证,包括口令、数字证书、指纹以及虹膜等[2]。攻击者可能利用云服务中断对用户信息进行搜集破解,从而仿造。由此发散,还可能存在用户信息窃取。此外同其他网络服务一样,在用户接入模块中,还可能出现欺诈网站、DDOS攻击等。
2.2 业务应用软件模块存在的漏洞
业务应用是一切网络服务的核心,云服务亦是如此。由于业务应用模块存在着大量用户操作以及操作反馈,因此攻击者通过篡改相关业务应用程序,从而窃取用户信息,破坏业务服务。同传统网络服务一样,云技术服务在此模块(SaaS/PaaS)中极容易出现以病毒蠕虫(并携带木马)、应用软件破坏(如SQL注入、XSS攻击)、Web挂马(针对云服务的BS架构)等攻击,严重情况甚至可能出现主机攻击。
2.3 虚拟机模块存在的漏洞
利用虚拟机,攻击者可能攻击云服务提供商的后台。一般来说,以虚拟机为主的网络攻击较多。① 溢出。云计算服务的兴起时间较短,各项技术较为不成熟。目前已有黑客宣布做到了“溢出”。② 资源滥用。破坏者并不仅针对云计算服务本身,而是利用廉价的云服务开展其他网络应用的恶意攻击,譬如借助云服务的大容量超高速的计算能力作为“肉鸡”,去破译用户密码,非法获取资料。
对于后台管理模块和数据中心的漏洞同一般的网络服务类似,也包括黑客入侵、内部人员风险、设备故障以及盗取数据中心的物理介质,从而窃取信息等。
3 我国云计算技术服务的发展策略
3.1 加强云安全控制的可视化
对于云服务的使用者来说,该云服务项目目前的安全现状、风险管控以及是否合法合规都是模糊的。用户在使用过程中,无法了解上述问题,不仅不利于用户对云服务高效全面的使用,增加了用户的风险感,同时也不利于云服务项目本身的合法有序发展。因此我国今后应当大力推进云计算服务的可视化发展,建立透明的IT云服务管理机制。这样不但能够增加用户对于云服务产品的全面认识与信任,而且能够增强服务商对云服务的可控制性以及国家行业对云项目的可监管性。
3.2 采用身份认证与访问管理权限
云服务有着大容量存储处理以及多服务对象的特点。使得实际操作中,权限管理成为了云服务质量以及服务安全的重要指标。笔者认为,多空间的分层管理对于云服务中的身份验证以及访问权限管理是必须的,同时应当从以下方面入手:针对存在网络信用劣迹的用户增加必要的活动监视;加强用户与第三方的系统权限授权与认证监管;简化用户的接入与业务服务操作,如单点登录(SSO)。
3.3 加强数据安全管理
数据安全是任何信息服务中的关键问题。在云服务中,必须做到访问权限的科学划分、系统实现与有效监管。具体来说,就是要保证用户数据的相互隔离,用户是绝对不能访问不属于自己的数据。一般可通过以下操作实现:通过网络安全协议(SSL、IPSec等)访问敏感数据[3]。加强虚拟机的数据管理;建设物理隔离、设备隔离,确保信息的独立性与安全性。此外,对于需要删除的信息,提供安全完备的销毁服务。
3.4 加强云服务数据中心的物理安全
云服务作为网络服务的一种,同时还必须对数据中心采取高安全级别的管理。其中包括:① 加强中心内外的设备人员监控与保护;② 以技术手段严格控制人员进入以及操作权限,加强工作人员的管理,甚至对于具有较高权限的工作人员,企业一定程度上还需要掌握其社会背景及社交情况;③ 制定突发自然灾害的预警防御机制。
4 结 语
云计算服务在全球范围受到广泛重视,许多IT人士对其寄予厚望。云计算服务所提供的高度弹性扩展的高效网络服务模式,决定了今后云服务将成为网络服务的绝对主导者。对于云计算服务提供商来说,进一步加强质量控制与风险管理,确保云服务安全是一项与云计算服务开发同等重要的工作。
主要参考文献
[1] 海洋. 云计算项目中的安全考虑[J]. 计算机光盘软件与应用,2010,4(14):172-173.
[2] 施游,张智勇. 云计算体系架构[J]. 电脑知识与技术:学术交流,2011,4(1):228-229.
[3] 欧素华. 云计算数据中心网络的技术解析[J]. 信息通信,2013,4(23):189-190.