论文部分内容阅读
摘 要:随着云计算逐渐被人们所了解,对于云计算安全问题的关注也在不断升温,如何保证云中数据安全将是云计算发展的关键。本文就云计算目前面临的安全问题及应对策略归纳几点建议,希望对即将迈入云计算领域的用户有所帮助。
关键词:云计算;云安全
1 引言
云计算虽然是一种新的互联网技术,但只不过是数据结构和计算方式的改变,由云服务提供商的数据中心负责存储过去一直保存在最终用户个人电脑或企业自己数据中心的信息,用户通过互联网远程访问这些应用程序和数据。其实质上只是一种服务方式的改变。
尽管云计算已逐渐融入我们的生活,但云计算的发展仍然存在各种问题,尤其是数据隐私问题、安全问题等更为突出。事实上,数据保护、终端防护、虚拟环境中的风险管理等信息安全将面临更加严峻的挑战。
2 云计算面临的安全威胁
开放的互联网环境已经使得安全问题更加复杂多变,多形态安全威胁将是主流趋势,用户需要防范的不仅仅是病毒,数据中心也面临着无穷的隐患,各种隐患及难题极大地加大了数据中心的运维难度及成本。因此,无论从终端维护还是从数据中心等安全考虑,都无疑是一种全新的威胁和挑战。
3 云计算安全防范策略
云计算改变了服务方式,但其安全模式并没有实质性的改变,只不过是将原来的安全责任主体(用户)转移到了现在的云服务提供商,由云服务提供商负责安全保障。因此,云计算服务提供商应积极改善其安全策略,以应对各种新的安全挑战。在此过程中,政府相关部门也要及时推出相应的规章制度予以规范,强制要求云计算服务提供商采用必要的服务措施,保证服务的安全性,同时,用户也要从自身的角度做好安全防护工作。下面,针对用户最为关注的云计算安全问题及应对策略归纳如下:
(1)数据泄露或丢失
事实上,数据泄露或丢失是目前云计算用户最为担忧的安全问题。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。
从这个角度看,云计算服务商在向用户推荐云计算服务时,需要和企业用户签署服务质量保证协议,并从技术和管理两个方面向用户进行安全保证,以减轻用户对于数据安全的担忧。
如何保证存放在云服务提供商的数据不被泄露,不被非法利用,不仅需要技术改进,也需要相应法律进一步完善。
(2)内部人员的恶意操作行为
在云计算环境下,不同用户的访问权限控制也是很关键的问题。用户权限即合法用户可以进行的具体操作,但不是每个用户都可以进行所有的操作,不同的用户将具有不同的权限,访问控制的目的是保证各用户信息资源不被非法访问和使用。
无论是在企业内部还是云计算服务提供商内部,人员的恶意操作都是非常危险的,同样后果也非常严重。有些数据是企业的商业机密,数据的安全性关系到企业的生存发展,如果内部监控不严,也就意味着只要有了一定级别的授权,将可能导致内部人员私自获得用户机密数据,从而对用户的利益造成严重损害。
抵御这一数据丢失的最好办法是从管理、合同、技术等几个角度同时入手。管理上加强安全意识教育,各个业务流程上落实相关的安全控制,明确雇员的法律责任,在违反安全规定造成安全事故时有权送交司法机关;在供应商的管理环节上必须对网络安全有专门的条款和核查措施,对供应商出现安全滥用和违犯合同,甚至犯罪的情况制定明确的惩罚措施;在技术上广泛采取加密、认证、访问控制、入侵检测、审计等安全措施。
(3)账号和服务劫持
很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制,如果很薄弱的话,入侵者就可以轻松获得用户账号,并登录客户的虚拟机,可进行浏览、检索、下载、创建、更新(修改或删除)等操作,这将对用户数据及隐私的安全性构成极大的威胁。另外,在云环境中,如果攻击者获得了你的账号信息,就可以窃听你的活动和交易,返回假冒的信息,将你的客户导向假冒的站点,并且被“劫持”的服务和账号可能被用来发起新的攻击,你的网络“信誉”或信用会被降低或失掉。
在这种情况下,必需采取有效的访问控制策略予以防范,云服务提供商必须要引入严格的身份认证机制,不同类别的账号要区分管理。
提示:我们不能否认云计算给我们带来的便利,但我们更要学会如何降低风险,要引入第三方来评估云服务提供商,并仔细评估其云服务合同,这样可最大限度防范安全风险。
4 结束语
云计算发展迅猛,涉及各行各业,安全问题是云计算发展过程中不可回避和逾越的问题,要勇于面对。业内人士指出,如想真正解决云计算的安全性问题,仅靠一两个厂商的力量是不够的,需要业界联合起来组成一个完整的生态系统,共同保护云计算的安全。相信随着政策法规的不断完善、厂商技术的不断创新、用户安全意识的不断提高,云计算安全会得到更好的保障。
参考文献
[1]孙松儿.云计算环境下安全风险分析.H3C.
[2]赵粮.云计算面临的七大安全威胁.中国教育网.
[3]实施云计算必须明确的四大威胁. http : //
www.cloudcomputing-china.cn / Article /cl
oudcomputing/201207/1481.html
[4]云安全.http://baike.baidu.com/view /172
5454.htm.
关键词:云计算;云安全
1 引言
云计算虽然是一种新的互联网技术,但只不过是数据结构和计算方式的改变,由云服务提供商的数据中心负责存储过去一直保存在最终用户个人电脑或企业自己数据中心的信息,用户通过互联网远程访问这些应用程序和数据。其实质上只是一种服务方式的改变。
尽管云计算已逐渐融入我们的生活,但云计算的发展仍然存在各种问题,尤其是数据隐私问题、安全问题等更为突出。事实上,数据保护、终端防护、虚拟环境中的风险管理等信息安全将面临更加严峻的挑战。
2 云计算面临的安全威胁
开放的互联网环境已经使得安全问题更加复杂多变,多形态安全威胁将是主流趋势,用户需要防范的不仅仅是病毒,数据中心也面临着无穷的隐患,各种隐患及难题极大地加大了数据中心的运维难度及成本。因此,无论从终端维护还是从数据中心等安全考虑,都无疑是一种全新的威胁和挑战。
3 云计算安全防范策略
云计算改变了服务方式,但其安全模式并没有实质性的改变,只不过是将原来的安全责任主体(用户)转移到了现在的云服务提供商,由云服务提供商负责安全保障。因此,云计算服务提供商应积极改善其安全策略,以应对各种新的安全挑战。在此过程中,政府相关部门也要及时推出相应的规章制度予以规范,强制要求云计算服务提供商采用必要的服务措施,保证服务的安全性,同时,用户也要从自身的角度做好安全防护工作。下面,针对用户最为关注的云计算安全问题及应对策略归纳如下:
(1)数据泄露或丢失
事实上,数据泄露或丢失是目前云计算用户最为担忧的安全问题。用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。
从这个角度看,云计算服务商在向用户推荐云计算服务时,需要和企业用户签署服务质量保证协议,并从技术和管理两个方面向用户进行安全保证,以减轻用户对于数据安全的担忧。
如何保证存放在云服务提供商的数据不被泄露,不被非法利用,不仅需要技术改进,也需要相应法律进一步完善。
(2)内部人员的恶意操作行为
在云计算环境下,不同用户的访问权限控制也是很关键的问题。用户权限即合法用户可以进行的具体操作,但不是每个用户都可以进行所有的操作,不同的用户将具有不同的权限,访问控制的目的是保证各用户信息资源不被非法访问和使用。
无论是在企业内部还是云计算服务提供商内部,人员的恶意操作都是非常危险的,同样后果也非常严重。有些数据是企业的商业机密,数据的安全性关系到企业的生存发展,如果内部监控不严,也就意味着只要有了一定级别的授权,将可能导致内部人员私自获得用户机密数据,从而对用户的利益造成严重损害。
抵御这一数据丢失的最好办法是从管理、合同、技术等几个角度同时入手。管理上加强安全意识教育,各个业务流程上落实相关的安全控制,明确雇员的法律责任,在违反安全规定造成安全事故时有权送交司法机关;在供应商的管理环节上必须对网络安全有专门的条款和核查措施,对供应商出现安全滥用和违犯合同,甚至犯罪的情况制定明确的惩罚措施;在技术上广泛采取加密、认证、访问控制、入侵检测、审计等安全措施。
(3)账号和服务劫持
很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制,如果很薄弱的话,入侵者就可以轻松获得用户账号,并登录客户的虚拟机,可进行浏览、检索、下载、创建、更新(修改或删除)等操作,这将对用户数据及隐私的安全性构成极大的威胁。另外,在云环境中,如果攻击者获得了你的账号信息,就可以窃听你的活动和交易,返回假冒的信息,将你的客户导向假冒的站点,并且被“劫持”的服务和账号可能被用来发起新的攻击,你的网络“信誉”或信用会被降低或失掉。
在这种情况下,必需采取有效的访问控制策略予以防范,云服务提供商必须要引入严格的身份认证机制,不同类别的账号要区分管理。
提示:我们不能否认云计算给我们带来的便利,但我们更要学会如何降低风险,要引入第三方来评估云服务提供商,并仔细评估其云服务合同,这样可最大限度防范安全风险。
4 结束语
云计算发展迅猛,涉及各行各业,安全问题是云计算发展过程中不可回避和逾越的问题,要勇于面对。业内人士指出,如想真正解决云计算的安全性问题,仅靠一两个厂商的力量是不够的,需要业界联合起来组成一个完整的生态系统,共同保护云计算的安全。相信随着政策法规的不断完善、厂商技术的不断创新、用户安全意识的不断提高,云计算安全会得到更好的保障。
参考文献
[1]孙松儿.云计算环境下安全风险分析.H3C.
[2]赵粮.云计算面临的七大安全威胁.中国教育网.
[3]实施云计算必须明确的四大威胁. http : //
www.cloudcomputing-china.cn / Article /cl
oudcomputing/201207/1481.html
[4]云安全.http://baike.baidu.com/view /172
5454.htm.