云安全问题分析及研究思路17篇云安全问题分析及研究思路 云服务安全分析及监管策略 一、云服务成为 ICT领域最具活力的增长点之一 当前,云计算在互联网领域所产生的巨大作用已经毋庸置疑下面是小编为大家整理的云安全问题分析及研究思路17篇,供大家参考。
篇一:云安全问题分析及研究思路
云服务安全分析及监管策略一、云服务成为
ICT领域最具活力的增长点之一
当前,云计算在互联网领域所产生的巨大作用已经毋庸置疑。根据Gartner的统计,2014年全球云计算服务市场规模将达到1528亿美元,增长率达到17.9%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中,绝大多数的用户或买单者是互联网服务的提供商。云计算充分体现了互联网“快速迭代”的特征,是当前ICT产业技术和应用创新最活跃的领域之一,同时其服务范围也从最初单纯的资源出租向包括IT资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的IaaS提供商,也是最大的云服务提供商,据估计AWS2014年业务收入将达到50亿美元左右,约占全球IaaS市场的三分之一。根据公开的数据,仅到2013年年中,AWS上托管网站数量就达到了1160万,年增长达到了71%,这一数量是我国网站总数的近4倍。在国内,阿里云作为最大的云服务提供商,其用户数量已经超过百万,2013年双十一活动中,有75%的交易业务量利用阿里云平台完成,而2012年只有20%,云平台也成为淘宝和天猫店主们的主要业务平台,80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。
在互联网之外的其他领域,云计算也正在不断抢占IT设备制造商的传统市场,从产品到服务的迁移不断加速。这其中,政府行业是最受关注,最具影响力的领域。各国政府近年来纷纷制定国家战略和行动计划,加速政策改革和创新,将政府采购作为重要的支持政策,通过政府的示范先导,培育和拉动国内市场。一方面,加快政府部门内的IT系统向云计算的迁移,改造日趋复杂的政府信息化系统,可以节省庞大的IT经费支出;另一方面,政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。
二、云服务安全事件屡屡出现
带动安全市场快速增长
2014年全球范围内的云服务数据泄露问题严重,美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事件,各行业数据泄露事件逐年呈上升趋势。随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用,网络攻击逐步向各类业务系统和个人用户信息渗透,例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点;随着大数据时代的到来,丰富和集中的数据更加容易被滥用或窃取。虽然世界各互联网发达国家均重视网络数据保护并出台相关保护举措,但是网络数据承载日益重要的价值以及数据跨国界流动等特点使得数据安全保护仍然是世界性难题,拥有6亿多网民的中国更是信息窃取、网络攻击的主要受害者,面临着巨大的网络安全压力。
2014年云安全联盟(CSA)发布的《云故障事件统计报告》显示亚马逊、谷歌、微软、索尼、苹果、Facebook等六家公司出现的云服务故障接近统计的50%。不安全的接口、数据丢失或泄露是导致云服务故障的两个最主要因素。
图1
各云服务商发生的云故障事件比例统计
来源:云安全联盟(CSA)
图2
云服务发生故障的原因
来源:云安全联盟(CSA)
云安全服务市场正在快速增长。以安全驱动业务的强烈需求,数据安全、移动安全、云安全成为2014年最大热点。Gartner发布的报告“2014年全球云安全服务市场趋势”中预测,随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。
图3
云安全服务市场快速增长
从Gartner的统计数据可以看出,2014年基于云的安全服务市场规模将达到26亿美元,到2015年将增长到31亿美元。云安全将保持强劲增长,但是收入机会将有所不同。
企业投入最多的云安全服务——安全邮件网关服务今年的市场规模将增长至8亿美元,2015年将爬升至9.42亿美元,2017年将达10亿美元。但是其年度增长速度与其他云安全服务如IAM的增长相比较为缓慢。
IAM目前总体市场规模约5亿美元,2015年将增长至8.6亿美元,2017年约12亿美元,年复合增长率高达28.3%。IAM所属的认证即服务AaaS市场中最主要的增长动力来自多功能身份即服务IDaaS。
IAM云安全服务的主要增长动力来自中小企业的日益增长的需求,包括扩展基础IAM功能,为越来越多的访问SaaS应用和内部web应用的员工提供服务。越来越多的中小企业开始部署IAM云服务取代
原来的内部部署的IAM工具,而大企业则倾向以混合云和内部部署的方式使用IAM。
此外,IAM市场的云单点登录服务(SSO)和云加密服务都是云安全市场新的增长热点。未来最抢手的云服务将仍然是电子邮件安全、网络安全服务、身份和访问管理(IAM)。不过,在2013年和2014年,最强劲的增长仍在基于云的特征标记和加密、安全信息和事件管理(SIEM)、漏洞评估和网络应用防火墙。
考虑到成熟度、问价接受度和本地IT基础架构等方面的差异,不同地区的云安全系统部署率还存在着相当大的差异。与预置部署相比,相关业务社区、地方性法规和问价等方面的成熟度都影响着专门向这种交付模式投入开支的水平。隐私仍然是阻碍所有云服务模式的重要因素,尤其是在那些执行强有力监管要求的地区和国家(例如欧洲,有自己数据保护立法)。
三、国际云计算安全应对措施进展
3.1国际云安全标准化进展
国际上,从事云计算安全标准的部分主要机构包括:
ISO/IECJTC1:《开放虚拟机格式》、《云计算安全与隐私管理系统》、ISO/IEC27017《基于ISO/IEC27002的云计算服务的信息安全控制措施实用规则》、ISO/IEC27018《公共云计算服务的数据保护控制措施实用规则》、ISO/IEC27036-4《供应商关系的信息安全
—第四部分:云服务安全指南》、ISO/IEC27009《ISO/IEC27001在特定行业/服务的认可的第三方认证中的使用和应用》
NIST:《云计算参考体系架构》、《完全虚拟化技术安全指南》、《云计算安全障碍与缓和措施》、《公共云计算中安全与隐私》、《通用云计算环境》、《美国政府云计算安全评估与授权的建议》(FedRAMP)
ENISA:《云计算——信息安全保障框架》、《云计算——信息安全的好处,风险和建议》、《政府云的安全和弹性》
CSA:《云计算面临的严重威胁》、《关键领域的云计算安全指南》、《身份隐私与接入安全》
ITU-T:《云安全、威胁与需求》、《电信领域云计算安全指南》
CIO委员会:《美国政府云计算风险评估方法》
TheOpenGroup:《云安全和SOA参考架构》
OASIS:《身份在云中的使用》
DMTF:《云管理体系结构》
3.2数据安全是云服务管理的重点
随着互联网数据流量的高速增长,数据已被看作是与石油等处于同等重要地位的新兴战略资源,数据主权也提高到国家安全和主权的高度,很多国家从国家安全层面给予高度重视。云计算的发展将吸引各行业领域将内部的信息服务外包给云计算服务商,将会出现大量经济运行、社会服务乃至国家安全相关的信息和数据向主要云服务企业集中的趋势,这一数据集聚效应带来了不可知的、潜在的国家信息安
全和用户信息安全风险。目前在云计算领域处于优势地位的仍是一些发达国家的跨国企业,因此,发展中国家普遍担心数据信息向跨国企业聚集,并开始采取措施加强数据安全管理。
第一,加强个人信息保护立法,保护个人数据安全。近几年来各国掀起了个人数据保护立法的新高潮。截至2013年中期,有不同种类的数据隐私法律的国家大约有99个。其中,墨西哥2011年对云计算进行了特别规定,要求云服务提供者的隐私政策应当符合法律规定,云服务的外包应当透明,云服务提供者要确保个人数据的安全,云服务合同中应当包含隐私政策披露和数据保护安全措施等内容。
第二,部分国家禁止云计算的相关数据跨境流动。几乎所有的国家都通过立法,授予相关机构拥有索取存储在其管辖范围内的云服务数据的权利:甚至为避免重要数据在境外被其他国家获取,一些国家还对重要数据的跨境存储和流动采取了限制措施。印尼在其《公共服务法》(PublicServices("Law25"))中提出数据中心本地化要求。该法要求提供公共服务的电子系统运营商(electronicsystemoperator)必须在印尼国内建立数据中心。除此以外,印度政府管制规则要求电子系统运营商必须把交易数据存储在印尼境内。
3.3支撑政府采购云服务的制度和法律环境不断完善
各国通过建立制定标准、规范合同、采购管控、评估认证等制度环境进一步提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性,也为其他国家提供了十分有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私保护法的基础上,通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定。
政府采购云服务的制度体系包括建立标准、规范合同、评估认证、采购管控、管理制度等多个环节。
建立标准:美国NIST编制了标准《800-53REV3,InformationSecurity》,英国编制了标准《HMGInformationStandardsNo.1&2.》,以上标准对云服务的安全和服务质量等方面提出了具体要求。
规范合同:英国建议在与服务提供商的合同中应包括服务器地点等与云计算环境安全相关的条款;日本规定应将云服务的安全特性、服务水平等方面的要求事项等写入协议书。
评估认证:美国FISMA法案规定为政府提供云服务的提供商必须通过测试认证,美国医疗行业要求第三方机构对云服务提供商进行监督审查。
采购管控:英国建立政府云服务采购机制,所有的公共ICT服务的采购和续用都必须经过G-Cloud委员会的审查;日本规定云设备采购要通过信息安全委员会的安全审查。
管理制度:美国建立了较为完善的政府采购云管理制度,包括开展周期性评估,SLA监控,服务质量的管理等。
3.4第三方评估和认证成为保障云服务质量和安全性的必要手段
在各国为政府采购云服务所建立的制度体系环境中,第三方评估和认证成为保障云服务质量和安全性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。
2010年美国云计算管理办公室PMO的安全工作组提出FedRamp(FederalRiskandAuthorizationManagementProgram)认证项目,进入政府采购清单目录的云服务商,必须经过FedRamp的认证。FedRAMP认证基于NISTSP800-53REV3标准,由美国标准研究所(NIST)负责标准的维护。目前IaaS通过认证进入采购清单的有12家,EaaS有22家。
2012年,英国政府开通“云市场”(CloudStore)网站,启动G-Cloud认证工作,供政府部门选择、采购各类云计算服务。G-Cloud认证标准基于ISO27001和《HMGInformationStandardsNo.1&2.》
。截至2014年初,“云市场”上已有1200家提供商的13000多项云服务通过了认证,可供英国的政府部门选择使用。
从2008年开始,在日本信息通信部的支持下,FMMC(FoundationforMultimediaCommunications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证,ASPIC(ASP-SaaS-CloudCONSORTIUM)作为协作单位,负责具体认证标准的制定,目前包括ASP/SaaS、IaaS/PaaS和数据中心三类认证。ASP/SaaS认证于2008年开始启动,已认证174项服务;IaaS/PaaS
认证于2010年12月开始启动,已认证169项云服务;数据中心认证于2012年9月启动。
欧盟委员会在2012年9月发布了名为“释放欧洲云计算潜力”的报告,其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。根据这个报告,欧盟成立了“欧洲云合作指
导
委
员
会
”(TheSteeringBoardoftheEuropeanCloudPartnership)推动相关工作。另外,ETSI和ENISA正在制定云服务数据、安全、服务等方面的标准,并于2013年开始实施“可信赖云服务供应商”认证。
四、我国云服务安全面临的挑战和监管策略分析
4.1我国公共云服务安全面临的挑战和问题
在国家推动各地政府兴建云计算基地的大背景,基于云端的安全解决方案不断被引入云项目。尤其是针对中小企业的诉求,安全软件公司不断跟国内知名的基础软硬件厂商合作,以期在最短时间内将领先的云技术引入中小企业用户。
国内大型数据中心不断兴建,包括网络、数据及虚拟化的安全解决方案需求也成为IT投资重点。并且随着移动安全的趋热,云安全也由缓慢落地步入兴盛。相比国外,国内大型企业银行、政府、制造等等行业,用户倾向于在其私有云内实现数据安全保护。集团性企业通过总部数据中心的云安全技术来管理其在全国各地分支的数据安
全,包括邮件管理、上网行为、入侵检测等管理。
云安全相对于中小企业而言更具有吸引力。尤其是SaaS在中国市场快速落地及物联网的不断被关注,中小企业越来越倾向于云服务。在公司初期通过在免费的云基础环境下或是掏少量的服务费,这样的模式尤其顺应他们对IT的需求同时又能放心地管理其业务。这也使得云安全兴起的主要推力之一。
图4
用户选择云计算服务商的首先考虑因素
来源:电信研究院收集
我国云服务规模较小,运行时间短,未经历大规模用户及服务环境的安全考验。我国云服务市场规模相对较小,仅为美国的1/30,我国在安全防护能力、安全应急处置经验以及安全预警预案等方面也较不成熟,未来规模增长后,能否应对新出现的问题还存在不确定性。
在云服务核心软硬件技术方面,全球各国都处在美国的阴影之下。微软、亚马逊已经开始涉足我国云服务,我国产业安全乃至国家安全将受到威胁。云服务商在选择厂商、用户选择云服务商时没有标准可依,标准制定上的短板很大程度上阻碍了我国云安全产业和整个
云计算产业的发展。
此外,未针对云服务制定网络数据保护、数据跨境流动等方面的法律法规。
图5
我国公共云服务安全的七类问题
来源:电信研究院
4.2国内云计算安全标准化处于起步阶段
我国云安全标准处于起步阶段,尚未正式出台,主要由CCSA和TC260两个组织制定。
中国通信标准化协会(CCSA)方面,2011年9月,在网络与信息安全技术工作委员会(TC8)的安全基础工作组(WG4)下成立了云计算安全子工作组,专门负责云计算安全方面的标准研发工作,目前该工作组已召开了三次会议,组织制定了多项云计算安全方面的标准
和研究报告。正在制定的标准有:在云计算的总体架构方面,有《云安全标准体系研究》、《公有云安全基线要求》、《云计算安全威胁和需求》等;在访问控制方面,有《云计算身份识别与访问管理应用场景及技术要求》、《云计算的可信技术研究》等;在云中隐私和数据保护方面,有《公有云数据安全要求》、《公有云中隐私保护措施》等;在行业云方面,有《基于云计算的电子政务公共平台安全》、《基于云计算的居民健康服务平台安全框架》等;在基于云计算的IDC方面,有《基于云计算的互联网数据中心信息安全技术要求》和《基于云计算的互联网数据中心信息安全管理要求》;在云计算应用安全方面,有《云计算应用安全运营技术要求》等。
全国信息安全标准化委员会(TC260)方面,在信安标委内部立了专门对云计算及安全进行研究的课题,正在制定的标准有:《云计算安全及标准研究报告V1.0》、《政府部门云计算安全》、《基于云计算的因特网数据中心安全指南》等。
4.3可信云服务认证工作
从国内外发展的经验来看,云计算的信任体系的建立对于促进云计算健康发展至关重要。现阶段应支持标准组织及产业组织开展针对云服务可用性、安全性、数据保护、可迁移性等关键方面的标准研制和评估认证,并鼓励企业开展符合标准的可信云建设,增强用户信心。
根据工业和信息化部电信研究院对国内云计算市场的调查,半数以上的用户对云服务的安全性、可靠性、服务质量等方面存在疑虑,这在很大程度上影响了云计算应用的进一步推广和深化。从调查来看,目前云服务的提供商和使用方均希望建立一定的信用制度,并通过开展服务商自律活动来引领公共云服务市场的健康快速发展。因此,工业和信息化部电信研究院成立的“云计算发展与政策论坛”设立了“可信云认证工作组”,在参考全球各国云服务认证经验的基础上,研究并提出了一套与我国市场发展状况相适应的云服务信用体系,并以此为基础开展了可信云服务认证。
可信云服务认证以培育市场、鼓励创新为目的,以云服务为评估对象。评估内容包括三方面:企业信息披露;云服务承诺的完备性和规范性;云服务承诺的真实性。其中云服务需要承诺的有三大类共16个指标,具体如下。
?
数据管理类:数据存储的持久性、数据可销毁性及可迁移性、数据私密性、数据知情权、业务可审查性。
?
业务质量类:业务可用性、业务功能、业务弹性、网络接入性能、故障恢复能力、服务计量准确性。
?
权益保障类:服务变更和终止条款、服务赔偿条款、用户约束条款和服务商免责条款。
?
评估与认证的对象合理分类是关键问题。在实践过程中发现,按照IaaS、PaaS、SaaS的分类方式在操作上存在较大难度,于是结合实际提出了按照云服务产品线进行认证的分类方法,将认证对象分为云主机、对象存储、云数据库、块存储、云引擎、云分发等,并陆续制定评估认证方法。此外,云计
算发展与政策论坛和数据中心联盟已经完成了《云计算服务协议参考框架》的起草工作。
可信云服务认证已经根据第一版本的标准完成了对20个云服务的评估,这20个云服务覆盖云主机、对象存储和云数据库三大类,涵盖了10家典型企业,包括中国电信、中国移动、阿里巴巴、百度、腾讯、新浪、京东、蓝汛、世纪互联和UCloud。从业界反映来看,认证评测工作既实现了增强用户信心、培育市场的初衷,又提升和规范了云服务商的服务能力和承诺,社会反响良好。
由于可信云服务认证已初步显现了积极效果,可以将其作为推进我国云计算发展、完善公共云服务监管和保障网络信息安全的重要基础性手段,加快探索和推进。
篇二:云安全问题分析及研究思路
龙源期刊网http://www.qikan.com.cn论云计算的安全问题及其解决方案作者:谢志伟
来源:《中国科技博览》2014年第26期
[摘要]云计算是一种基于互联网的大众参与的计算模式,其计算资源包括计算能力、存储能力、交互能力等,是动态的、虚拟化的、以服务方式提供。在这个特殊的云计算环境下,如何保证存储在云上的数据的安全,将是云计算面临的重要问题之一,因此需要在充分分析云计算安全问题的基础上采取有效的解决方案。
[关键词]云计算;安全问题;解决方案
中图分类号:TP301文献标识码:A文章编号:.
云计算是分布式计算(DistributedComputing)、网格计算(GridComputing)、并行计算(ParallelComputing)等发展的基础上提出的一种新型计算模型,它面对超大规模的分布式环境,提供数据存储和网络服务。云计算是互联网服务功能不断增加的产物,通过互联网为用户提供虚拟化的资源,在各行各业中得到了广泛的运用,但是也面临着数据安全问题。
1.云计算的概念与系统架构
1.1云计算的概念
“云”计算是“计算机服务”(ComputingasaService,CaaS),即计算资源作为“服务”可以通过互联网来获取。云计算将所有数据处理任务都交给网络进行,由企业级数据中心负责处理客户电脑上的数据任务,同时通过一个数据中心向使用多种不同设备的用户提供数据服务,从而为个人用户节省硬件资源并加快运算速度。云计算能从各方面确保服务的便捷性、创新性、灵活性以及经济性。
1.2云计算的系统架构
云计算的体系架构按照功能层面从下到上依次分为基础管理层、应用接口层和访问层等三个层次,其系统架构模型如图1。其各层的功能分别为:
访问层:采用云计算方式实现的一些具体应用。
应用接口层:解决以何种方式对外提供服务;
基础管理层:解决计算资源的共享问题;
图1:云计算的系统架构
龙源期刊网http://www.qikan.com.cn2.云计算的特性
云计算作为一种新兴的应用计算机技术,拥有规模巨大、虚拟服务、容错可靠、通用性强、按需购买、价格低廉等显著性的优点。
2.1规模巨大
“云”规模巨大,企业私有云服务器也有上百台,一些大型的专业网站云计算服务器达数十万台甚至上百万台。超大的服务器规模赋予了用户前所未有的计算能力。
2.2虚拟服务
云计算支持用户随时随地使用各类型终端获取应用服务,需求的资源来自“云”,应用也在“云”中运行,用户只需要一个终端,就可以通过网络服务实现所需。
2.3容错可靠
云计算使用了数据多副本容错、计算节点同构可互换等保护措施,以保证云计算服务的可靠性。
2.4通用性强
云计算应用具有很好的通用性特点,它不会只针对某类型特定的应用,而是全面支持各类不同的应用。
2.5按需购买
云中的资源可以按需购买,用户可随意选择自己需要的服务。此外,云的规模可以动态的伸缩,满足不同用户和应用增长的需要,不会造成不必要的浪费。
2.6价格低廉
云计算中,众多的节点由极其廉价的服务器构成,其面对社会的通用性使利用率得以大幅提升,从而使成本大幅下降。
3.云计算存在的安全问题
3.1云计算访问层的安全问题
3.1.1平台漏洞多、承受能力不足
龙源期刊网http://www.qikan.com.cn
当前云计算的平台都存在漏洞风险,对外提供API的平台应用中,编程环境的漏洞、堆栈溢出的漏洞、高权限非法获取的漏洞都会存在。在大量网络连接时,web服务器等平台会出现承受能力不足,或在其他极端环境下出现可用性不足。
3.1.2SSL易受攻击
SSL是大多数云安全应用的基础,或会成为一个主要的病毒传播媒介。用户若不采取办法避免暴露在默认攻击下,则很有可能遭受SSL攻击。
3.1.3应用配置不合理
在云基础架构中运行应用,若未进行安全配置,平台将所运行时的风险概率非常高。
3.2应用层的安全问题
3.2.1数据入侵
在信息输入过程中容易丢失或被非法入侵主机的黑客篡改、窃取,甚至遭受病毒破坏、信息泄露的问题。
3.2.2病毒及木马问题
病毒、蠕虫等在网络中大量传播占用了用户网络的带宽资源,被植入木马程序的机器将迅速感染局域网用户机器,导致敏感、机密信息数据泄露。
3.2.3操作系统及浏览器自身漏洞
由于目前操作系统、lE浏览器漏洞较多,容易被病毒、木马程序等破坏。而使得用户口令丢失的事情时有发生,从而使安全性得不到保障。
3.2.4管理缺陷风险
云计算服务商人员的工作态度、职业道德可能造成安全危险;安全法律制度的不健全,保密规范和条款缺失,也是急需解决的问题。
3.3基础层的安全问题
3.3.1数据转移问题
数据向云迁移时,数据将从单用户环境迁移到多租户环境,这种多租户环境就自然成为了数据泄露的起因。
龙源期刊网http://www.qikan.com.cn3.3.2设备软硬件问题
云计算设备,包括硬件的服务器、存储、网络等以及软件的包括兼容性、稳定性、可维护性等,都可能存在不稳定的因素。
3.3.3虚拟化权限管理
IaaS基于虚拟化为基础,不可避免存在虚拟化技术所带来的风险。包括权限管理、堆栈溢出、虚拟化管理程序软件都会成为被攻击的目标。
3.3.4服务中断
包括数据中心停止服务,灾难、电力供应等不可抗拒性破坏。
4.云计算安全问题的解决方案
4.1访问层安全方案
4.1.1及时更新杜绝漏洞
当应用有新版本或补丁推出,应及时进行更新或升级,并根据正确的步骤进行配置。建立有效的管理和监督体制,确保SSL补丁和变更程序能够迅速落实并发挥作用。
4.1.2安全配置提高安全性
严格按照应用程序供应商提供的安全配置要求进行配置,必须具有IIS、MicrosoftSQL和.NET安全的能力。不使用不安全的Guest账户或者默认的密码,以有效提高安全性。
4.2应用层安全方案
4.2.1建立安全平台
对病毒实行有效防治,安装杀毒软件,设置病毒防火墙,实行入侵检测;同时严格执行权限控制,保障邮件安全。通过有效的过滤保证网络传输时系统应用、数据存储及传输的安全性。
4.2.2兼顾服务器与客户端
应用层安全,要将服务器端与客户端的防护相结合。通过虚拟化技术,当服务器矩阵中某台服务器出现故障,不会影响系统的整体使用,从而确保服务器端的稳定性。此外,通过SSL服务器端认证的HTTPS协议,将所有传输的数据进行加密,并以加密的方式进行数据传输,结合U-KEY等身份认证方案唯一识别客户身份,以提高安全系数。
龙源期刊网http://www.qikan.com.cn4.2.3科学运营管理
建立服务商与客户之间的诚信体系,完善相关的法律法规,加大社会及相关机构的监督力度,加大对泄露信息行为的惩处力度,从而逐步形成良好的信用体系。引入第三方制度,如引入监理,确保管理的科学与公平,确保SaaS合理有效地运营。此外,对相关人员进行素质及业务的培训教育,增强安全管理意识、加强遵纪守法观念、提升业务能力,更好地实现管理工作。
4.3基础层安全方案
4.3.1数据可控与隔离
解决数据泄露风险主要通过数据隔离。用户自主控制所需使用的网络安全策略;采取虚拟存储,在底层进行数据隔离,各用户只能看到自己对应的数据;同时结合部署虚拟机如VMware的VMFS文件系统,以实现更好的隔离。
4.3.2合理配置软硬件
在软硬件选择时,重点考虑软硬件的质量、稳定性、易用性、可维护性等内容,选取性价比高的产品。
4.3.3异地容灾方案
为避免不可抗力造成的毁灭性的损坏,在部署云计算数据中心时,可选择基于异地容灾的策略,进行数据与环境的备份。一旦某地出现毁灭性的的意外情况,可以通过异地容灾中心进行服务,并进行有效回复,以免造成严重事故。
5.结语
云计算是科学技术发展的产物,是计算机技术应用到生产、生活实际过程中的产物,云计算能够解决大数据、高复杂的问题,弥补了传统计算方式的缺陷与不足,随着科技进一步发展以及科学研究的进一步深入,云计算定将得到更为广泛的应用。然而云计算所面临的安全性问题也是不容忽视的,在云计算快速发展的同时也需要不断提升其安全性,从而为人们生产生活提供更优质服务。
参考文献:
[1]冯锐,张君瑞.人工智能研究进路的范式转化[J].现代远程教育研究,2010(1).[2]张慧,邢培振.云计算环境下信息安全分析[J].计算机技术与发展,2011(12).
龙源期刊网http://www.qikan.com.cn
篇三:云安全问题分析及研究思路
云计算安全问题分析厉剑
【摘
要】Asanewdistributedcomputingmodel,thecloudcomputinghasdevelopedrapidlyandbecomethefocusofaca-demicandindustrialcircles.However,manysecurityriskshavebecomeabottleneckrestrictingthedevelopment.Thefeaturesandexistingsecurityissuesofcloudcomputingisanalyzed,andthecorrespondingsolutionsisproposed,whichprovidessometheoreticalsupportforthedevelopmentofcloudcomputingintermsofsecurity.%云计算作为一种新型的分布式计算模式,已迅速发展并成为学术界和产业界的焦点,然而其存在的安全隐患成为制约其发展的一个瓶颈。分析了现有的云计算特征及其面临的安全问题,然后提出相应的解决方案,为云计算发展提供一些安全方面的理论支撑。
【期刊名称】《现代电子技术》
【年(卷),期】2013(000)019
【总页数】4页(P91-94)
【关键词】云计算;云安全;分布式计算;公共云
【作
者】厉剑
【作者单位】中国人民解放军75660部队,广西
桂林541002
【正文语种】中
文
【中图分类】TN915.08-34;TP309
由于互联网的不断发展,基于互联网的沟通和交互形式极大改变了人们的工作和生活方式,各种网络业务需求激增,应用程序层出不穷、信息规模迅猛增长、处理任务复杂多变、存储设备日趋紧张、使用成本随之升高等问题接踵而至,原始的互联网系统与服务设计已经不能满足上述需求,急需新的解决方案,云计算(Cloudcomputing)正是在这样的背景下应运而生。
1.1什么是云计算
在整个IT界可以提供资源的网络被称为“云”,它是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等。云计算是在分布式计算(Distributedcomputing)、网格计算(Gridcomputing)、并行计算(Parallelcomput?ing)等发展的基础上提出的一种新型计算模型,是一种新兴的共享基础框架的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。狭义的云计算是指IT基础设施的交付和使用模式,通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。广义的云计算是指服务的交付和使用模式,通过网络以按需、易扩展的方式获得所需的服务,这种服务可以是IT和软件、互联网相关的,也可是任意其他的服务。云计算通过将计算任务分布在由大量计算机构成的资源池(“云”)上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。这种全新的互联网应用模式,成为解决高速数据处理、海量信息存储、资源动态扩展、数据安全与实时共享等问题的有效途径。
云计算可分为公共云、私有云和混合云三种模式。公共云是由多家企业共享使用云中各种基础设施的服务平台,并由第三方进行管理。私有云是由企业自己部署的或由云服务商运用虚拟化技术为企业建立的专有网络或数据中心,可提供对数据、安全性和服务质量的最有效控制,但开销较公有云大。混合云是公共云和私有云的结合。由于公共云是共享资源的服务平台,相比使用私有云,开销较小,但比私有云
面临更多、更大的安全风险,本文讨论的云安全问题主要是针对公共云提出的。
1.2云计算服务体系架构
根据NIST的定义,云计算服务体系架构通常分为3个层次,如图1所示,分别是:
(1)基础设施即服务(Infrastructureasaservice,IaaS)为用户提供处理、存储、网络以及其他基础计算资源的服务,用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底层的云架构,但是他们需要控制操作系统、存储资源以及被部署的应用,还有可能要对某些网络部件(例如主机防火墙)进行有限的控制,如Amazon(亚马逊)的弹性计算云(Elasticcomputecoud,EC2)、IBM的蓝云(Bluecloud)以及Sun的云基础设施平台(IaaS)等。
(2)平台即服务(Platformasaservice,PaaS)为用户提供将其应用(可能是用户自己创建也可能是从别处获取)部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储),但是他们需要对被部署的应用进行控制,还有可能要对应用环境进行配置,如Google的Googleappen?gine与微软的Azure平台等。
(3)软件即服务(Softwareasaservice,SaaS)是一种由云计算服务商集中部署的应用系统,客户通过互联网访问的一种服务方式。为用户提供在云架构上运行的应用的服务。用户可以从多种多样的客户设备经由客户接口(例如Web浏览器)对应用进行访问。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储,甚至包括个别的应用能力),而只需要关心一些需要特别设定的应用配置,如Salesforce公司的客户关系管理服务等。
处于底层的云基础设施将是未来信息世界的灵魂,其数量虽然有限但规模庞大,具有互联网级的强大分析处理能力,例如应用虚拟化技术、自动化技术、网格计算、服务器集群、IT服务管理等;云平台服务层提供基础性、通用性服务,例如云操作系统、云数据管理、云搜索、云开发平台等,相当于中间件部分;云应用服务层则包括与人们日常工作和生活相关的大量各类应用,例如电子邮件服务、云地图服务、云电子商务服务、云文档服务等,这些丰富的应用给人们带来实实在在的便捷。各个层次的服务之间既彼此独立又相互依存,形成一个动态稳定结构。
1.3云计算特点
云计算作为一种新兴的应用计算机技术,代表着IT领域向集约化、规模化与专业化道路发展的趋势,体现了“网络就是计算机”的思想,是发生在IT领域的深刻变革,其主要特点如下:
(1)规模大。Google云计算已拥有100多万台服务器,Amazon、IBM、微软、Yahoo的“云”均拥有几十万台服务器,企业私有云一般也拥有数百上千台服务器,“云”能为用户提供巨大的计算能力。
(2)虚拟化。用户所请求资源在“云”中,不限于固定的某个实体,应用在“云”中某处运行,用户无需了解也不必担心应用运行的具体位置,只需要一台计算机或者一部手机,即可通过网络实现所需要的应用服务。
(3)可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,因此云计算比本地计算更加可靠。
(4)通用性。云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。
(5)可扩展性。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。
(6)自治性。通过自动化配置管理服务,用户可以按需自动调配任务,以及根据应用环境的变化自动增加或减少服务的数量。
(7)廉价性。由于“云”可以采用廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担高昂的数据管理成本,“云”的通用性使资源的利用率较
之传统系统大幅提升,用户可以充分享受“云”的低成本优势。
虽然云计算具有上述诸多优势,但目前还并未得到用户的广泛接受,主要原因在于其大规模共享资源所产生的安全问题。
由于云计算大规模和开放性,导致云计算面临着比以前系统更为严峻的安全威胁,安全问题已成为制约云计算发展的重要因素。2010年5月在第二届中国云计算大会上,我国提出了应加强云计算信息安全研究,解决共性技术问题,保证云计算产业健康、可持续发展。许多对云计算感兴趣的研究团体也开始着手研究云计算的安全问题,安全厂商也在关注各类安全云计算产品。
2.1云计算存在的安全隐患
(1)内部人员非法访问或恶意破坏。用户的信息特别是敏感信息,是在用户无法控制的“云”中进行加工处理的,将会绕过用户对这些信息物理、逻辑和人工的控制,因此有可能被服务商内部管理人员及信息处理人员非法访问及恶意破坏,从某种程度上说,完全依赖于云服务提供商的安全系统是云计算存在的最大的风险。
(2)审计功能不完备。传统服务提供商需要接受外部审计,但一些云计算提供商却拒绝接受外部审计。用户只需要提交原始数据,最终结果由云计算服务器提供,数据的运算过程不接受用户的任何安全审计与安全评估,用户对自己数据的安全和完整承担全部责任。
(3)数据保护难度大。用户数据的储存位置可能分散于世界各地,由于不同国家和地区的地理、气候、人文环境不同,地震、水灾、火灾、暴力破坏等各种灾害难以预料和有效控制,给存储数据的硬件设施带来了极大的安全威胁。同时,由于数据存储位置的不确定性,一旦云计算过程发生意外出错或者中止,用户数据恢复难度增大。另外,各国隐私保护政策不同,信息泄密和隐私暴露的风险也大大增加。
(4)数据隔离不清晰。在云计算的体系下,软件平台广泛采用了Multi?tenancy(多租户)架构,即单个软件系统实例服务于多个客户组织,所有用户的数据将被
共同保存在惟一一个软件系统实例内,数据具有无边界性,无法像传统网络一样清楚地定义安全边界和保护措施,如果恶意用户通过不正当手段取得合法虚拟机权限,就有可能威胁到同一台物理服务器上其他虚拟机。虽然数据都处于加密状态,但是云计算服务商无法确保加密服务绝对安全,一旦加密系统出现问题,则极有可能发生泄密问题,因此,进行数据隔离是防止此类事件的必要手段。
(5)运算时效性难以控制。由于数据都是经过网络传输,难免因为网络堵塞、网络硬件出错、遭受DOS攻击或者数据恢复而耽误时间,而时效性对于很多业务而言是至关重要的,甚至关系到企业的前途命运,一旦发生服务延迟,有可能会给企业带来巨大损失,而云计算服务商不会承担这种责任。
(6)网络攻击变得更加容易。黑客通过网络钓鱼或软件漏洞来劫持用户信息,通常根据一个密码就可以窃取用户多个服务中的资料,如果被盗的密码可以登陆云端平台,那么用户的所有数据将被窃听、篡改,甚至重定向用户的服务到其他恶意网站,并且被“劫持”的服务和账号可能会被利用来发起新的攻击。资源和能力开放是云计算时代的一个重要业务变革方向,作为技术层面的实现,云计算服务商需要提供大量的网络接口和API来整合上下游、发展业务伙伴、甚至直接提供业务,但从实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后带来了额外的安全入侵入口。由于云计算可以为任何人提供计算资源,并不考虑使用者的目的,而这些便利的具有巨大计算能力的资源极有可能被黑客用来进行**用户帐户信息、窃取服务器数据、发动DOS攻击等恶意行为。
(7)调查支持难以实现。在云计算环境下,计算、存储、带宽服务可在全球跨国获取,数据和运算结果会在不同地区的多台主机或数据中心之间传递、交换,如果在某一台主机运算的数据被黑客攻击,则经过多次的数据传递交换后,将无法确定
数据究竟何时何地在哪台主机被攻击过,相关安全部门若进行调查,将无从下手。
(8)服务持久性难以保证。在云计算系统中,终端用户对提供商的依赖性更高,当云计算技术供应商因出现破产等情况而导致服务中断或不稳定时,用户的数据存储和使用云计算服务将会遇到很大的麻烦。
(9)兼容性较弱。如果企业决定将服务从一个云服务商迁移到另一个服务商,就会出现兼容性的问题,如Amazon的S3和IBM的蓝云就互不兼容。
2.2云计算安全问题的解决方案
针对以上云计算面临的安全问题,从终端用户和云计算服务商以及国家层面三个方面提出相应的解决方案。
(1)终端用户
①选择信誉较高的服务商。用户应选择经营规模大、信誉度高的服务商,并对服务商能够提供服务的安全等级和能够持久服务的能力进行评估。签订云计算服务合同时要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定,防止误入合同文字陷阱中。
②数据加密技术。目前除了软件服务(SaaS)服务商之外,云计算服务商一般不具备隐私数据的保护能力,因此在使用云计算过程中,终端用户如果将数据以明文的形式存储于分散的云端服务器,则无法保证数据的机密性和完整性,因此用户可以采用相关加密对术对敏感数据进行加密,并做好密钥管理工作。但同时加密会降低数据的利用率,二者的关系需要进行权衡。
③进行权限控制。企业用户将数据传输到云端服务器之后,要对数据的访问权限加以控制,限制云计算服务商的访问权限,数据的完全控制权应属于终端用户。
④加强用户安全教育。用户在使用云计算服务时,最常使用的客户端工具是WEB浏览器等,必须要避免在使用自己的服务时将密码泄露给第三方、以免被他人利用合法身份进行信息窃取,而这需要对使用人员进行相应的安全知识培训。
(2)云服务提供商
①加强安全认证,整合运用多种认证技术手段,确保只有合法的用户才能访问和使用云资源。
②加强接口和API在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践,广泛采用更加全面的安全测试用例。
③采用数据隔离技术。采用额外的数据隔离机制来保证各个用户之间的数据不可见性,目前主要通过对虚拟机隔离从逻辑上实现如传统网络模式下的物理隔离和边界防护,防止系统越界访问。
④部署严密的安全防御体系,保证用户数据不被轻易攻击,同时还应采用屏蔽、抗干扰等技术为防止电磁泄漏。
⑤完备的数据容灾系统支持,其应具备相应的预报、告警、自动排除危害机制,保证因一些自然灾害导致断电、硬件损坏而引起数据丢失后,能够迅速恢复数据。
⑥对出网数据进行监控。制定监控策略,使用过滤器对离开网络的数据进行监控,确保用户隐私信息和核心数据没有非法外流。
⑦确保用户正常删除的敏感数据彻底消失,不能再被从云端恢复。
⑧提供审计服务。审计用于跟踪记录用户的各种行为以及数据的访问使用情况,审计日志保存时间要尽可能的长久,以便发生法律纠纷时能够提供调查依据。
⑨提供不同安全等级的服务。云计算服务提供商需要对服务区分安全等级,然后以此为依据协助用户对自己的数据和应用进行风险评估,并根据评估结果向用户推荐提供相应安全等级的服务。
⑩正规内部管理。运营商必须规范内部工作机制,健全各项管理规定,加强员工职业道德教育,特别对于那些拥有特权帐户的人员,与员工签定承诺书和相关责任书、合同或协议,确保内部不发生不道德行为和违法行为。可以采取分级控制的方法同,对内部工作人员进行分级,分配相应的访问和使用权限;
(3)国家层面
国家应加强法律法规建设,加强云计算产业规范和监管。当前,制约云计算发展的主要障碍之一就是各种标准和法规的缺失。没有法律法规的规范和约束,就很难保证云计算服务商服务的安全性和正规化,云计算的信任和信誉机制就很难建立,而这极易导致产生违法行为,如某服务商可能被重金收买后将某个时期内某个行业的发展趋势信息、创新型无形资产和竞争性商务信息秘密出售他人,而这将会给某些企业致命打击。外国公司企业在拥有传统技术标准和制订新技术标准方面都有较大优势,我国企业还不容易取得标准方面的主动权,因此一方面要努力学习借鉴,加大这方面的研发投入,另一方面要充分发挥我国应用市场广大的优势,推进实践应用,不断积累经验,在此基础之上提炼相应的标准和规范,积极争取话语权。
云计算作为一种新型的分布式计算模式,有着非常广阔的发展前景,但其在很多环节还存在诸多安全隐患,安全问题已经成为困扰云计算更大发展的最重要的因素。云计算的发展必须有健全的法律法规作为规范和约束,必须使用先进的技术手段消除各种安全风险,必须运用先进的运营理念和管理策略保证正规有序服务,只有做到这些,云计算才能真正被广大用户所接受和使用,云计算才能得到真正的发展。
【相关文献】
[1]郝文江.云计算与信息安全[J].城市与减灾,2010(4):12?15.[2]杨斌,邵晓,肖二永.云计算安全问题探析[J].计算机安全,2012(3):63?66.[3]冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2010(11):73?81.[4]陈尚义.云安全的本质和面临的挑战[J].信息安全与通信保密,2009(10):44?46.[5]姚小兵,高媛.浅谈网络时代的云安全技术[J].信息科学,2010(3):35?38.[6]王丽丽.云计算安全问题研究综述[J].小型微型计算机系统,2012(3):472?477.[7]《虚拟化与云计算》小组.虚拟化与云计算[M].北京:电子工业出版社,2009.
篇四:云安全问题分析及研究思路
云计算存在的安全问题云计算存在的安全问题
云安全联盟与惠普公司共同列出了云计算的七宗罪,主要是基于对29家企业、技术供应商和咨询公司的调查结果而得出的结论。
1)数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
2)共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA),以确保及时安装修复程序以及实施最佳做法。
3)供应商可靠性不易评估:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
4)身份认证机制薄弱:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,人侵者就可以轻松获取用户账号并登录客户的虚拟机。
5)不安全的应用程序接口:在开发应用程序方面,企业
必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
6)没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
7)未知的风险:透明度问题一直困扰着云服务供应商,账户用户仅使用前端界面,他们不知道他们的供应商使用的"是哪种平台或者修复水平,主要是管理的问题。
七宗罪说明了云安全状况变化非常快,比以往的信息系统问题更加严重,信息安全等级保护如何适应石计算,需要深人研究。对现有的防护措施应做相应的变化。
另外,云计算与以往的计算模式安全风险不同,云计算环境下,信息安全问题更严重、更突出,核心的问题在于两个方面,首先是以前的信息系统都是自己建的,或者托管,在安全资源和基础设备方面有可控性。在云计算的环境下,是由不可控不可信的经营商统管IT资源和基础设施,自己无法管理和控制。第二个问题就是更大规模异构共享和虚拟动态的运行环境难以控制,云计算是属于动态变化的计算环境,这个运行环境在某种意义上是无序的。
篇五:云安全问题分析及研究思路
龙源期刊网http://www.qikan.com.cn云计算安全问题研究与探讨作者:王学芹
来源:《科技与创新》2015年第17期
摘
要:随着云计算的广泛应用,越来越多的企业和个人使用云计算存储和计算。然而,云计算的安全问题不容忽视,其已成为阻碍云计算应用的主要因素。应用云计算的安全性日益受到社会的关注,因此,对云计算的安全问题进行了分析和探究。
关键词:云计算;计算资源池;防火墙;安全架构
中图分类号:TP309文献标识码:ADOI:10.15913/j.cnki.kjycx.2015.17.0411云计算
云计算是一种通过网络,以便捷、按需的形式从共享的可配置的计算资源池(网络、服务器、存储、应用和服务)中获取服务的业务模式。云计算业务资源应支持通过简洁的管理或交互过程快速地部署和释放。上述对云计算的定义是在2011年由美国国家标准和技术研究院(NIST)提出的,其得到了业界最广泛的认可。
目前,云计算的普及程度逐步提高,安全问题也逐渐成为制约其发展的重要因素。云计算安全是云计算健康、可持续发展的重要前提。各国均高度重视云计算的安全问题,云计算服务商也都制定了云平台安全策略和机制,美国政府甚至出台了联邦云计算安全战略。由此可见,确保云计算的安全越来越重要,提高我国云计算的安全性也越来越重要,因此,要加强对云服务提供商的管理,并建立云计算安全标准体系。
2云计算安全及其安全问题分析
2.1云计算安全的含义
与云计算相关的安全问题统称为“云安全”,一般包括云计算使用安全和云计算数据安全两部分。云计算使用安全是指云计算技术在信息安全领域的具体应用中,主要采用云服务模式,利用云计算架构对云计算安全进行统一的安全监控和管理;云计算数据安全是指对云计算本身的安全保护,主要研究相应的安全防护方案和措施,以消除云计算自身存在的安全隐患,比如云计算环境的数据保护、云计算安全体系架构和云计算应用服务安全等。
2.2云计算安全的主要特征
2.2.1动态性和移动性强
龙源期刊网http://www.qikan.com.cn
在云计算环境中,用户数据会实时与服务器同步,变化频率高、动态性和移动性强的特点使其安全防护必须满足动态调整的需要。在云计算中,用户远程操作和远程使用服务系统的次数、系统更新数量不断增加,这是对原有安全策略的全新挑战。
2.2.2数据地域性限制消失
在传统数据安全中,数据基本储存在本地,一般通过邮件服务器、网页服务器等接口暴露,可在物理和逻辑方面定义安全域边界,并通过设置防火墙和访问控制等安全措施保护系统。但在云环境下,云计算采用了虚拟化技术和多租户模式,云计算数据不储存在本地,导致物理边界被打破,数据暴露在公开的网络中,数据节点可能会受到攻击,因此,传统的边界性安全防护机制在云计算中难以发挥效用。
2.2.3技术标准不统一
目前,众多企业使用了云计算技术,虽然云计算的技术标准较多,但缺乏安全标准,数据可存储在任何地方,且数据储存格式各不相同,这都为数据交互安全带来了挑战。
2.2.4服务安全保障和数据安全保护
在云计算的数据存储模式中,数据常与管理分离,因此,安全保护手段对数据的私密性和安全性非常重要。云计算采用服务交互模式,要求保护数据的完整性、数据加密过程、数据恢复等。云计算服务提供商的权利巨大,需要第三方的监管和审计才能确保用户的权利得以保障。
2.3云计算安全分析
因云计算具有的特征,导致数据安全中存在众多问题,比如数据不再存放在某个确定的物理节点,改变了传统的地域安全性;用户不再对数据和环境安全具有完全的控制权;由于服务商提供了动态、虚拟的存储空间,所以,数据定位的难度不断加大;传统的数据存储和处理安全方法无法应用于云计算时代的数据存储和处理;数据的动态性导致数据管理、保密和安全工作的难度加大。
3云计算安全技术研究
3.1云计算安全框架
3.1.1可信云架构
可信云架构是Intel公司与其他公司共同提出的一种云架构。其综合使用可多个公司的安全技术,功能十分强大。该架构利用Intel的可信技术保障基础设施的安全,并运用VMWare
龙源期刊网http://www.qikan.com.cn公司的虚拟隔离技术保障云架构成功启动后虚拟机的安全。VMWare公司在防止病毒和木马入侵方面的优势明显,该架构会不断收集硬件层和虚拟层的安全数据,并实时监控。
3.1.2CSA的云计算安全架构
CSA的云计算安全架构是一种被广泛使用的安全框架,主要应用于等级较低的服务供应商,其云服务用户会承担更多的安全管理职责。CSA云计算安全架构是针对云计算缺少可视化控制能力、基础设施的抽象化、集成各种通用安全控制能力缺失等问题提出的云服务模型,且是根据3种基本云服务的层次性和依赖关系设计的。因此,将安全控制和合规模型完美地映射到云服务模型中可实现云计算的安全管理。
3.2云计算安全技术
云计算的安全核心就是数据安全,数据的安全性也是用户最关心的问题。在云计算系统中,不同用户的数据放在同一个物理存储器中。因此,要做好数据隔离,一般通过存储映射确保数据的隔离性,还可设置独立的存储空间,从物理层面隔离保护客户的重要数据;可对数据加密,防止他人窃取原始文件,用户可使用密钥对数据加密后上传至云计算环境中,避免物理介质储存非加密数据,数据加密包括对称加密、公钥加密和iscsi加密等。
云计算平台的数据保护安全措施能为数据和信息提供全面的保护,保护企业中具有知识产权和敏感的信息,一般使用快照、备份和容灾等手段保护客户的重要数据。一般由数据库自动备份和恢复在线、离线数据。此外,还应有效处理数据残留。数据残留是指数据在被移除后所残留的物理表现。数据残留在云计算环境中更容易泄露信息,因此,要在存储空间被释放前完全清除数据残留。一般使用多次擦除法、加密的密钥擦除法等清除数据残留。
参考文献
[1]罗军舟.云计算:体系架构与关键技术[J].通信学报,2011(07).[2]王操.云计算安全的发展现状和趋势述评[J].网络安全技术与应用,2015(01).
〔编辑:张思楠〕
篇六:云安全问题分析及研究思路
政务云平台面临的安全问题及应对策略摘要:信息发展随着社会的不断进步也在逐渐加快,在当前信息发达的时代,信息网络安全需要受到人们的重视。云平台作为政务工作的重要部分,保障好云平台的安全正常运行,是云平台为政务部门提供好云服务的必要前提。以下将论述云平台在为政务部门提供服务时遇到的安全问题以及应对策略。
关键词:电子政务;云平台;信息安全
电子政务一直将信息安全放在首要位置,国家也曾提出过“没有网络安全,就没有国家安全”。此句话的提出,意味着网络信息安全已经被提升至国家安全战略。政务云平台作为电子政务的基础设施,它在资源的节约以及经济效益方面的提升有显著的优势,但是也不可否认云平台在信息安全方面具有一些弊端。因此,政务云平台在被推广的时候,需要将信息安全防范意识提高,并且在技术以及法律法规方面都需要提升管控措施,这样才可以保证云平台的正常运行。
一、政务云平台安全简介
政务云平台,就是由县级以上的主管信息化部门结合专业的信息技术服务机构,通过使用云计算技术,将已有的资源比如计算资源、存储资源以及网络信息等资源结合利用起来,并且进行统一建设成为政务部门的基础设施。政务云平台中的信息安全服务,是通过统一建设成为安全并且可控的,维护信息安全的基础设施,并且,通过运用安全技术等手段,来制定出能够全方位保障安全的制度和标准,给政务部门提供安全保障的服务当公共平台开展业务的时候。
但是,大部分的数据信息被储存在云平台的时候,用户们会担心自己的隐私被泄露,并且云计算服务自从被创设以来,曾出现过不少的安全问题,比如信息丢失泄露以及在工作过程中服务中断的情况出现。其实早在《云计算安全风险评估》报告中显示,供应商对于云计算可能会出现的风险进行过分析,提出云计算存在某些特权用户可以审查,数据位置,数据隔离等行为存在安全风险。并且在云计算服务的以下三个层面可以看出,云计算不同的层级应用服务都各自面临着安全问题:在基础设施方面所面临的问题是云计算在使用时的可靠性,物理安全,网络传输安全以及系统安全方面的问题;平台服务则是数据的可用性,应用程序被攻击等问题,软件方面所面临的问题及应用的权限和数据安全。
政务云平台在建设的过程中,其部署方式由分散部署改为集中部署。但是,在实际的工作过程中,由于它所承载的应用系统增多,因此政务云平台就容易成为被攻击的对象,安全问题也由此显露出来。因此,政务云平台对于系统安全的可靠性,安全性和管理性等要求都高于传统的电子政务系统。因为,传统的电子政务系统所出现的安全问题是局部的,并不会引起大范围的影响。但是在云计算的工作模式下,所面临的信息安全问题是会影响整个系统的安全,一旦出现安全问题,那么它所出现的影响可能会干扰社会的正常秩序,影响人们的生活。
二、政务云平台面临的安全问题
2.1我国目前的信息行业存在因为已经形成的使用习惯和只追求某些信息设备性能的问题,所以目前还是在使用其他国家的信息技术和软件硬件设备。其他国家的信息技术和软件硬件设备都具有他们独特的优势,这是我们所缺乏的。所以在使用的过程中由于缺乏自身的主导权和操作系统等方面技术,我们就很有可能面临在使用的过程中任一环节出现问题,并且,曾经在国际上发生过的重大信息安全问题就意味着,其他国家存在利用先进的信息技术来窃取信息,甚至破坏对方的信息系统。
并且,在云计算平台的一些关键技术方面,我国目前还没有掌握核心的技术,缺乏具有自主知识产权的技术和设备。所以,当前我国的政务云平台所使用的芯片,操作系统和软硬件设备,都是有其他国家生产的。因此,我们需要学习他们先进的生产技术,并且引进相关的设备。我国由于缺乏技术改造在系统安全和应用等方面,都与生产这些技术产品的国家有较大的差距,众多安全方案的建立基础都需要依靠国外的技术和产品,这些都有可能导致政务云平台在之后的工作中出现问题。
2.2自身存在危险漏洞
政务云平台将电子政务信息集中的进行收集、传输、存储和管理应用。由于其用户群数量庞大,并且聚合了众多的数据资源,因此经常会吸引黑客进行攻击。并且政务云平台它本身存在的漏洞和隐患也会造成安全问题。政务云平台的核心技术就是虚拟化技术,但是它本身也存在一些隐患。系统配置的不恰当,也会造成系统漏洞,因此政务云平台需要提高运行的稳定性以及规范性。在云平台运行操作的过程中,如果小的漏洞问题不及时发现解决,一旦出现大的安全问题那后果将是不容易弥补的。
2.3数据丢失或被泄露
在当前社会,数据信息是很重要的资产,也是政务云平台所需要关注的重点问题。因为政府部门的业务信息,以及企业和个人的隐私,都存在于这些数据中,但是用户却不能其实掌握云平台对于数据的安全把控,数据的安全都依赖于云平台供应商。如果出现储存众多数据的云平台遭受恶意攻击,那么无论在数据的存储,运输等环节都有可能发生数据泄露或者被恶意篡改的情况,都会对政府造成重大影响。这种危险存在的情况有以下四种;第一是因为建设项目的资金短缺,政务云平台在未建立远程容灾备份中心的时候,一一旦遭遇火情或者其他紧急情况,那么众多的应用系统都会受到影响。第二点就是对政务云平台的管理维修工作人员,都具有对于数据的访问权限,如若缺少监督工作,那么就会有可能出现工作人员借助工作为由盗取机密数据,从而导致信息数据泄露。第三点就是用户登录的机制不完善,个人信息的认证不安全,就可能会被其他人顶替登录。第四点就是虚拟化软件和服务器存在漏洞,黑客进行入侵窃取数据并恶意篡改。
三、如何加强云平台的安全措施
3.1提升自主创新水平
提升自我创新的水平,是解决政务云平台面临安全风险的主要方法。实现自主创造,就需要国家增加对于科学研究的支持,并且能够使软硬件、运营等多产业链一同发展,鼓励自主研发芯片、操作系统等产品。改变使用其他国家云平台的核心技术产品的现状,在政务云平台的使用方面实现自主创造并且安全的设备,来确保云平台在工作过程中的安全。
3.2建立远程容灾设备中心,并且加强管控
任何先进的技术都不能阻止一些不可抗力因素所造成的影响。比如发生火灾或者出现黑客恶意入侵的情况,都可能导致数据的丢失。因此要在其他技术方面和管理的规章制度进行安全管控。建立远程容灾备份中心,将所有的数据进行备份处理,并且在传输的过程中要进行保密运输。对数据采取加密储存,和访问数据者的身份控制管理,来提高云平台服务的安全性。制定合理安全的数据管理制度,加强日常的管控工作。
3.3加强安全教育宣传
政务云平台可以正常安全运行,除了依靠技术的支持,也要考虑人为的安全因素。可以通过信息安全教育的宣传,让云平台的相关工作人员和用户的安全意识和防护水平进行提高。并且培养维护信息安全的专业管理人员,提高云平台管理人员的水平,可以保障云平台在工作中能够正常的运行。
四、结语
政务云平台的安全问题是需要重视并且及时解决的,无论从技术还是管理方面都需要提高,提高自主创新水平的同时也要加强日常工作的管控,完善云平台安全管理体系,建立相关的法律法规,并且加强安全保护意识的宣传,从各方面减少出现危险的情况,切实保护政务云平台的安全运行。
参考文献:
[1]潘胜健.政务云平台面临的安全问题及应对策略[J].海峡科学,2015(07):28-30.
推荐访问:云安全问题分析及研究思路 云安 思路 分析
