云计算及云计算安全问题探讨(共6页).doc

《云计算及云计算安全问题探讨(共6页).doc》由会员分享，可在线阅读，更多相关《云计算及云计算安全问题探讨(共6页).doc（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上云计算及云计算安全问题探讨摘要：云计算是一种基于Internet的新兴应用计算机技术，在信息行业的发展中占据着重要的位置，在当前互联网高速发展模式下，如何保证云计算的数据信息安全，将是云计算面临的一个大问题。本文将从云计算的特征及目前存在的问题出发，浅析云计算的网络安全问题和云计算安全问题，并提出相应的对策来加强云计算的安全性。关键字：云计算；信息安全；网络安全0引言所谓云计算，指的是一种模式，一个利用互联网和远程服务器来维护数据和应用程序的新概念。通过互联网，云计算能提供动态的虚拟化资源、带宽资源和定制软件给用户，并承诺在应用中为用户产生可观的经济效益。通过互联网，

2、用户可以方便地使用云平台上的各类应用服务。此外，通过云计算用户可以节约投资成本并可灵活地实现按需定制服务，云平台的按需定制服务可以快速地响应用户需求，并方便地将用户资源接人宽带网络。用户可以动态申请部分资源，支持各种应用程序的运转，有利于提高效率、降低成本和技术创新。通过云计算技术，网络服务提供者可以在数秒之内，处理数以千万计甚至亿计的信息，达到和“超级计算机”同样强大的网络服务。云计算系统的建设目标是将原来运行在PC上或单个服务器上独立的、个人化的运算转移到一个数量庞大的服务器“云”中，由这个云计算系统来负责处理用户的请求，并输出结果，它是一个以数据运算和处理为核心的系统。由于云计算不同于现

3、有的以桌面为核心的数据处理和应用服务都在本地计算机中完成的使用习惯，而是把这些都转移到“云”中，它将改变我们获取信息，分享内容和相互沟通的方式，于是，随之产生的是客户的重要数据和应用服务在云中的安全问题。1.云计算概述1.1云计算的特点云计算是在分布式计算、网格计算、并行计算等发展的基础上提出的一种计算模型，它面对的是超大规模的分布式环境，核心是提供数据存储和网络服务。它具有如下一些特点：（1）高可靠性：云计算采用了使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性，使用云计算比使用本地计算机更加可靠。（2）超大规模性：由具备一定规模的多个结点组成，服务器可以通过结点无限扩容。

4、（3）高可扩展性：可用即插即用的方式方便、快速地增加和减少资源，可扩展性和弹性比较高，满足应用和用户规模增长的需要。（4）资源共享性：提供一种或多种形式的计算或存储能力资源池，如物理服务器，虚拟机，事物和文件处理能力或任务进程。（5）动态分配：实现资源的自动分配管理，包括资源即时监控和自动调度等，并能够提供使用量监控和管理。（6）跨地域：能够将分布于多个物理地点的资源进行整合，提供统一的资源共享，并能在各物理地点间实现负载均衡。1.2云计算服务模式许多公司，机构经常需要对海量数据进行存储和检索，而云计算可以有效地以最小的成本、最短的时间和最大的灵活性来实施完成该项任务。利用云计算获取便利的同时

5、，用户也要面临云计算中各种不同的安全风险问题，如必须要将云平台上不同用户的数据相隔离，要保证不同云用户数据的私密性、可靠性和完整性。此外，云服务提供商对云上的基础服务设施必须制定一套完善的风险管理控制方案，像服务提供商操纵或窃取程序代码的安全风险是时有出现的。 “云”是一个大型资源池，可以轻松地获取虚拟化资源（如硬件、开发平台或服务）。这些资源可以动态地重新配置和灵活整合，达到一个最佳的资源利用率。云服务提供商通过定制服务水平协议，提供基础设施服务并按付费的模式来管理维护这种资源池。云计算不是一个单一产品。它提供了不同的服务模式，主要包括以下3种：软件即服务、平台即服务（PaaS）和基础设施即

6、服务（IaaS）。云计算按照服务类型大致可以分为三类：将基础设施作为服务IaaS、将平台作为服务PaaS和将软件作为服务SaaS，如图1所示。图1 云计算的服务类型1.3云计算体系架构云计算的体系架构如图2所示，包括基础管理层、应用接口层及访问层。基础管理层解决计算资源的共享问题，应用接口层解决以何种方式对外提供服务，而访问层是采用云计算来解决一些实际问题。图2 云计算体系架构2.云计算的安全问题在云计算应用发展中面临着诸多挑战，如标准化问题、网络带宽问题、安全风险问题，其中安全问题被认为是最大的挑战之一，对于云计算的商业模式能否成功起着至关重要的影响。云计算安全出了传统IT架构中的信息安全风

7、险外，还包括虚拟化、多租户技术带来的新的业务风险，导致信息安全风险复杂度升高。云计算服务除了提供计算服务外，还必然提供了存储服务。但是云计算服务当前垄断在私人机构（企业）手中，而他们仅仅能够提供商业信用。对于政府机构、商业机构（特别像银行这样持有敏感数据的商业机构）对于选择云计算服务应保持高度的警觉。一旦商业用户大规模使用私人公司提供的云计算服务，都很难避免地让这些私人机构以“数据（信息）”的重要性挟制整个社会。对于信息社会而言，“信息”是至关重要的。另一方面，云计算中的数据对于数据所有者以外的其他用户云计算用户是保密的，但是对于提供云计算的商业机构而言却是透明的。所有这些潜在的危险，是商业机

8、构和政府机构选择云计算服务、特别是国外机构提供的云计算服务时，不得不考虑的一个重要的前提。在安全控制方面，云与其它IT环境相比并没有很大的不同，但是，在服务模型、运营模型以及用于提供服务的相关技术等方面，云可能会导致与以往不同的风险。 以云的服务模型为例，前文介绍的三种云计算服务模式：IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service），NIST为它们做的定义如下： SaaS：为用户提供在云架构上运行的应用的服务。用户可以从多种多样的瘦客户设备经由瘦客户接口（例如web

9、浏览器）对应用进行访问。用户不需要管理或控制底层的云架构（包括网络、服务器、操作系统、存储，甚至包括个别的应用能力），而只需要关心有限的一些需要他们做特别设定的应用配置； PaaS：为用户提供将其应用（可能是用户自己创建也可能是从别处获取）部署在云架构上的服务，而创建这些应用的编程语言和工具必须得到服务提供商的支持。用户不需要管理或控制底层的云架构（包括网络、服务器、操作系统、存储），但是他们需要对被部署的应用进行控制，还有可能要对应用环境进行配置； IaaS：为用户提供处理、存储、网络以及其它基础计算资源的服务，用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底

10、层的云架构，但是他们需要控制操作系统、存储资源以及被部署的应用，还有可能要对某些网络部件（例如主机防火墙）进行有限的控制。 从这三种云服务模型的定义中，不难看出尽管用户已经将他们的计算和存储都托付给了云，但是在享受服务的过程中他们并不可以做甩手掌柜，特别是在安全策略方面，更是绝对不能寄希望于云提供商去解决所有的问题。三种云服务模型的安全防护在方法和责任上都有所不同：SaaS为云提供商提出了最高的安全要求，使得他们需要建立从顶层应用到底层硬件的整体防护体系以确保服务的安全，从而承担了绝大部分安全责任，但是这也限制了用户的自由发挥；相反的，IaaS给予了用户足够的自由度构建自己所需的计算环境进而开

11、发或部署所需的应用，但是它也要求用户必须自行管理计算系统层次架构中除底层硬件以外的所有层次，而提供商只需考虑硬件层的安全问题；PaaS位于其它两种服务模型之间，既需要服务提供商提供基本的安全防护，又需要用户针对实际需求进行有差异的安全配置，才能构成完备的防护体系，但这也使得提供商和用户之间的责任边界变得模糊。 那么云计算到底存在着哪些安全问题呢？ 首先，在技术方面，按照Google的理念，如果云计算得以实现的话，那么未来人们在本地硬盘上几乎不保存数据，所有的数据都在“云”里，一旦发生由于技术方面的因素导致的服务中断，那么用户只能束手无策。 其次、云对外部来讲其实是不透明的。云计算的服务提供商并

12、没有对用户给出许多细节的具体说明,如其所在地、员工情况、所采用的技术以及运作方式等等。 当计算服务是由一系列的服务商来提供(即计算服务可能被依次外包)时,每一家接受外包的服务商基本上是以不可见的方式为上一家服务商提供计算处理或数据存储的服务, 这样,每家服务商使用的技术其实是不可控的, 甚至有可能某家服务商会以用户未知的方式越权访问用户数据。 而且,虽然每一家云计算方案提供商都强调使用加密技术(如SSL)来保护用户数据,但即使数据采用SSL技术进行加密,也仅仅是指数据在网络上是加密传输的,数据在处理和存储时的保护仍然没有解决。尤其是在数据处理的时候,由于这时数据肯定已解密,如何保护,很难解决,

13、即使采用进程隔离类的技术一定程度解决了,也很难赢得用户的信任。3.云计算中安全问题的应对措施3.1 对保存文件进行加密加密技术可以对文件进行加密,那样只有密码才能解密。加密让你可以保护数据，哪怕是数据上传到别人在远处的数据中心时。PGP或者对应的开源产品TrueCrypt等程序都提供了足够强大的加密功能：只要你使用无法破解的密码，那么除了你，没人能访问你的敏感信息。3.2对电子邮件进行加密PGP和TrueCrypt都能对文件在离开你的控制范围之前对它们进行加密，从而起到保护作用。但这样一来，电子邮件就岌岌可危了，国为它是以一种仍能够被偷窥者访问的格式到达你的收件箱。为了确保邮件安全，不妨使用H

14、ushmail或者Mutemail之类的程序，两者都能在网上使用，可以自动对你收发的所有邮件进行加密。3.3 使用信誉良好的服务就算你对文件进行了加密，有些在线活动（尤其是涉及在网上处理文件、而不是仅仅保存文件的活动）仍很难保护。这意味着用户仍需要认真考虑自己使用哪些服务。专家们建议使用名气大的服务，它们不大可能拿自己的名牌来冒险，不会任由数据泄密事件发生，也不会与营销商共享数据。3.4 考虑商业模式在设法确定哪些互联网应用值得信任时，应当考虑它们打算如何盈利。收取费用的互联网应用服务可能比得到广告资助的那些服务来得安全。广告给互联网应用提供商带来了经济上的刺激，从而收集详细的用户资料用于针对

15、性的网上广告，因而用户资料有可能落入不法分子的手里。3.5 阅读隐私声明几乎有关互联网应用的每项隐私政策里面都有漏洞，以便在某些情况下可以共享数据。大多数互联网应用提供商在自己的政策条款中承认：如果执法官员提出要求，自己会交出相关数据。但了解到底哪些信息可能会披露，可以帮你确定把哪些数据保存在云计算环境、哪些数据保存在桌上。3.6使用过滤器Vontu、Websense和Vericept等公司提供一种系统，目的在于监视哪些数据离开了你的网络，从而自动阻止敏感数据。比方说，社会保障号码具有独特的数位排列方式。还可以对这类系统进行配置，以便一家公司里面的不同用户在导出数据方面享有不同程度的自由。 3

16、.7加强网络传输 数据通过网络传输到远端云的过程中需要加强保护，在传输过程中使用SSL、PPTP或VPN等不同的方式。 3.8加强监管和自律 首先，云服务提供商需要有高度的社会责任感，云计算服务提供商最好是本国注册且数据中心、总部或资产在本国的大规模企业，具有长久的存续能力。只有这样，才能保证其能够尊重驻在国法律并受驻在国法律的监管，长久提供稳定、安全、可靠的服务。在发生事故后，由于其总部或资产在驻在国境内，因此赔偿或追讨可以顺利进行。在中国，这样的企业或组织包括大型IT服务商和开发商、电信运营商、银行、保险公司、各个高新技术园区、政府机构等。其次，云计算服务提供商应该遵循相应应用的开放标准，

17、尽量不采用私有标准。如果没有标准可以遵循，至少要提供数据导入导出框架以及数据转换机制，为数据迁移提供必要的保障和方便。 4.结束语云计算是未来IT互联网产业发展的趋势，也是今后社会发展的研究热点。随着云计算的进一步发展和应用，无论是对云服务用户而言，还是对云服务提供商而言，信息安全问题已经成为云计算发展的丞待解决的问题，加强云计算的安全，我们还有很长的路要走。 参考文献：蒋建春,文伟平. “云” 计算环境的信息安全问题J.信息网络安全, 2010 (002): 61-63.1 杜常青.计算机网络信息技术安全及防范对策研究J.信息安全与技术,2011,(11):54-55.2 邹佳顺.云计算环境

18、下安全问题及其对策研究J.计算机光盘软件与应用,2012,(14):35-36.3 胡细玲.云计算环境下网络安全问题探究J.信息通信,2012,(06):151-152.4 王义申.云计算环境下的信息安全解决方案J.计算机安全,2012,(11):30-32+36.5 张慧,邢培振.云计算环境下信息安全分析J.计算机技术与发展,2011,(12):164-166+171.6 张亚红,郑利华,邹国霞.云计算环境下的信息安全探讨J.网络安全技术与应用,2010,(10):76-77.7王鹏.走进云计算M.北京:人民邮电出版社.2009-68王左利.云计算面临三重门J.中国教育风络,2008-129 中国云计算网, http: / /www. cloudcomputing - china. cn.专心-专注-专业