云计算下的信息安全(共11篇)
云计算下的信息安全 篇1
一、引言
云计算的提出可以追溯到20世纪90年代, 是由IBM提出的, 但当时只运用在超级计算机。随着新世纪网络技术的日渐成熟发展, 云计算已经推广到很多领域。云计算提供给终端用户超高的计算能力和无数的虚拟化资源, 终端用户体验到云计算带来的方便同时, 也开始被各种恶意组织和黑客所攻击。
二、云计算基本含义
2.1云计算概念
云计算的权威解释有两种:其一是维基百科给出的, 云计算是种能够将动态伸缩的虚拟化资源通过互联网以服务的方式提供给用户的计算模式, 用户不需要知道如何管理那些支持云计算的基础设施;其二是IBM提出的, 它认为云计算是一种共享的网络交付信息服务的模式, 使用者只看到服务本身, 而不用关心相关基础设施的具体体现。最终我们可以给云计算下这样一个定义:云计算是一种由经济驱动的大规模分布式计算模式, 实现虚拟的、可管理计算、存储、平台和服务等资源池, 通过互联网提供给用户, 用户本人无需知道相关设施的具体实现。
2.2推动云计算发展的因素
1) 以任务为中心:用户与合作者可以共同规划并执行任务, 并可随时交流;2) 以用户为中心:数据放在资源池中, 用户可以随时以任意便捷方式安全获得或与他人分享;3) 智能化:基于大数据的数据挖掘来获得更多的新知识;4) 并行软件的可编程性:如何编写在数以万计的计算机上并行执行的程序?Google目前已经有所进展;5) 强大功能:放在资源池中由无数计算集群提供的超大计算能力、存储能力能完成传统单台计算机根本无法完成的任务;6) 基础设施可行性:目前, 上千台服务器可以获得极高的性能。
三、云计算中的信息安全问题
云计算作为一项大幅度降低成本的新兴技术, 它日渐受到众多企业的喜爱, 纵使很多机构感觉云计算提供最安全、最可靠的数据存储中心, 但是, 云计算带来的一系列安全问题需要引起重视。
表面看, 云计算是安全的, 但自习分析, 不难发现, “云”对外部来讲是不透明的。云计算的提供商并没给用户具体细节说明。当服务是由一系列的供应商来提供时, 每一家接受服务的商家对其上家是以不可见的方式提供数据的, 这样每家服务商提供的技术是不可控制的, 极可能出现越权访问用户数据的现象。
总的说来, 云计算安全有如下问题:
3.1用户的权限和分类不同, 隐私保护和特权接入
在云计算中, 用户个人数据随机的分布在不同位置的各个虚拟中心, 用户的信息可能被最高权限管理人员访问甚至泄露。用户需要获得服务商享有特权的管理人员的具体信息。
3.2数据位置不确定性
若使用云计算, 用户并不知道数据存储在什么地方。服务器可能建在很多地方, 更可能同时建在很多地方。
3.3数据隔离不清
如果用户的数据在云计算中共享, 一旦加密失灵, 那么所有数据都会被封闭不能使用。所以需要云计算供应商将数据按不同分类, 彼此隔离。
3.4审查功能不完善
用户在云计算中对自己数据的完整性和安全性有最终责任。但是一些云计算服务提供商拒绝外部审查和安全认证。所以用户需要承担更多因无法审计运算结果而造成的责任和义务。
四、云计算的信息安全策略
4.1对电子邮件、保存文件进行加密
PGP和True Crypt等程序提供了强大的加密功能, 即能对文件进行加密更能对文件在离开用户控制范围之前进行加密。但另一方面, 电子邮件比较危险, 因为它是以一种仍能够被偷窥者访问的格式到达用户的收件箱。为了安全可以使用Mutemail或者Hushmail之类的程序, 可以自动对邮件进行加密。
4.2建立私有、公共和混合云的安全防护
云计算按照服务的对象分为私有、公共和混合云。私有一般在企业网内部, 使用传统的安全措施可以直接对私有云进行保护。公共云和混合云需要服务商和用户系统配合, 共同提高云计算安全服务水平。
4.3使用信誉良好的服务商
即使使用了加密, 有些在线的活动仍很难保护, Gartner公司副总裁曾说:“使用云计算的局限是企业必须认真对待的敏感问题, 企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。”所以专家推荐使用那些规模大、信誉好、有品牌保障的大公司。
4.4经常备份
存在云中的数据, 要经常备份以免在受到攻击时数据丢失无法恢复。
4.5制定相关的法律和协议
萨班斯法律的公布就是为数据保护提供法律支撑。法律和规章制度的建立有利于云计算的稳定运行和健康发展, 并使得云计算服务提供商能更好服务避免数据丢失, 对客户损害提供保障, 利于云计算开发出更优化的架构。
五、结束语
云计算的出现极大方便了人们获取更多的网络资源, 并能随时随地进行存储。然而对于云计算未来能否健康可持续发展, 信息安全是重要指标。本文围绕云计算概念讨论了云计算存在的问题, 并提出几点策略。随着云计算的不断发展, 云计算技术会日渐成熟, 向着更安全、可靠、可信的方向发展。
摘要:随着科技的发展, 一种基于Internet的、新兴计算机应用技术——云计算诞生了。它的出现有望大幅降低成本, 所以深受使用者的追捧。但是安全性是使用者考虑的首要因素, 更是云计算发展的根本。通过云计算概况及目前存在的问题, 分析云计算下的信息安全。
关键词:云计算,信息安全,互联网
参考文献
[1]陈丹伟, 黄秀丽, 任勋益。云计算与安全分析[J].计算机技术与发展, 2010 (2) 。
[2]张水平, 李纪真, 张凤琴等, 基于云计算的数据中安全体系研究与实现[J], 计算机工程与设计, 2011 (12) 。
[3]谢四江, 冯雁浅.析云计算与信息安全.北京电子科技学院学报, 2008, (12) .
[4]余娟娟.浅析“云安全”技术[J].计算机安全, 2011 (09) :39-44
云计算下的全球安全合作 篇2
云计算安全成最大热点
3月2日上午的主题演讲,历来都是全球信息安全产业未来发展的风向标,今年同样如此。EMC (NYSE:EMC)信息安全事业部RSA全球总裁亚瑟•科维洛(Arthur W. Coviello)先生为大会开幕式发表了主题演讲,他开宗明义地提出,云计算的广泛采用,将为未来的信息安全产业带来巨大的挑战,同时也蕴藏着巨大的机遇。
科维洛说:“毫无疑问,业界厂商和用户都已经肯定,云计算已经成为全球信息产业的重要发展方向。现在已经过了要不要上云计算的时期,而到了如何上云计算的时期。但是,对信息安全的担忧,已经成为全球部署云计算的重要障碍。一项调查显示,全球51%的首席信息官认为安全问题是部署云计算时最大的顾虑。”
他认为,云计算安全问题的挑战主要来自于如何在云计算环境下保护用户的数据、如何保证可管理性和性能。他定义了实现云计算安全的四个具体目标:安全的可见性、可评估性、可信任性和可提供合规证明。
但他认为,正因为如此,云计算的安全性问题为安全行业带来了前所未有的机遇,谁抓住了这一机遇,谁就能在未来的云计算时代胜出。
这些论断让我们看到,未来相当长的一段时间内,为云计算保驾护航将是全球信息安全技术的发展方向。
在本次大会上,RSA宣布与Intel和VMware共同推出一个更加安全、透明、负责的云计算基础架构,包括硬件信任根、安全虚拟环境、安全信息与事件管理、GRC(治理、风险与合规) 管理软件。其好处是:可对云计算底层的实际情况提供前所未有的可视性,可看到物理和虚拟机内的活动和实际状态,使企业能够拥有验证安全条件的能力,深入云计算“黑盒子”中;更精细地控制,增强私有云的区分策略,例如哪些硬件设备可运行虚拟机,哪些业务单位可以共享资源;简化合规性,通过自动的流程搜集、分析和报告基础架构层的活动和事件。
业内其他许多厂商也在云计算安全方面推出了各种新的解决方案。在展会开始之前的3月1日,会议组织了安全行业“2010年最具创新精神公司”的竞赛,前十名入围公司有一半都是针对云计算提供的各类安全解决方案,其中包括虚拟防火墙等。
与此同时,业界普遍认为,基于云计算机的安全服务将成为未来信息安全产业的重点发展方向。事实上,国际国内许多信息安全厂商早已在此方向上进行了重要探索,并在市场上取得了丰硕的成果,比如赛门铁克、趋势科技、迈克菲、瑞星等国际国内反病毒厂商,早已经利用云计算架构为用户收集和发放病毒代码,对互联网网页和文件进行信誉评估。本次大会上,这一做法再次得到了首肯。
中国参展厂商联想网御公司的 CTO 毕学尧向记者介绍,目前的IPS/UTM、防病毒软件/网管、终端安全等产品都可使用该类服务,但未来还需研究如何应用到数量更多的老设备、如防火墙上。“真正面向业务应用的云计算时代到来或许还需要较长时间,但云计算技术用于信息安全保障服务正在脚踏实地地发展,相信未来在认证、授权管理领域还会有更新的尝试。”
安全管理日趋重要
除了云计算安全趋势外,其他一些技术发展趋势同样值得我们关注。
联想网御总经理刘科全告诉记者,通过参会,他深切地感受到了信息安全技术的三个发展趋势:一是应用安全已成为信息安全发展的最大需求来源和发展方向;二是安全必须为用户创造新价值;三是网络安全的可视化趋势。可视化是这次展会比较突出的亮点之一,所谓安全可视化,就是通过技术手段,实时地掌握网络内部不可视的业务状况、安全形势、合规程度等,帮助用户真正感受到安全建设的价值。
毕学尧则从技术的角度进行分析,他认为,未来安全管理产品和解决方案将会更有前途。在此次展会上约有一半企业展示了安全管理产品和解决方案,特别是安全信息与事件管理SIEM产品。“这是因为设备越来越多,网络、主机及安全设备记录了大量日志,集中收集并综合分析,及时准确定位安全事件已成为普遍需求,是信息安全向高级阶段发展的必然趋势。”他介绍,此次展会上,既有Arcsight等老牌安管产品厂商,也有HP、IBM等传统网管厂商展示SIEM产品,还有传统的身份认证厂商RSA介入该领域。
此外,合规性也将主导未来信息安全技术的发展方向。 毕学尧介绍,大多数参展的国外厂商都在强调产品符合GRC、PCI、SOX等相关法案,国内即将全面启动的等级保护整改工作也必将提出明确的技术要求,因此,今后产品的研发和部署都将满足这些法规要求。
中国企业不逊国外
本次大会另一个重要特色是,中国信息安全企业集体出击,在中关村科技园区管委会的组织和补贴下,首次以中关村信息安全企业整体形象组织了7家中国信息安全企业,展位面积达到了80平米,给大会留下深刻印象。
事实上,国家或地区统一组团参展不仅是中国的特色,也是世界的趋势,显示出发展信息安全技术已经成为各个国家的战略重点。联想网御总经理刘科全告诉记者,除了中国政府组团参加外,德国信息安全产业也统一组织了十几家公司、集中展示最新的技术,让全球对德国信息安全产业留下很深的印象。新加坡也组织了五六家公司集体参加,整体推介新加坡信息安全产业。刘科全认为,这样做整体效果非常好。这种在政府主管部门的组织下,以国家或城市为单位走出国门的形式,既解决了厂家不了解海外情况、准备工作难做和费用负担过重的问题,又有助于强化国家层面的冲击力和影响力,是一种很好的“政府搭台、企业唱戏”的组织形式。
当然,参加这种展览对中国信息安全企业来说,也具有重要的意义。刘科全认为,通过连续5年参会,联想网御发生了三点重要变化。首先是视野的变化,“RSA大会是全球信息安全界的顶级盛会,是全球同行相互展示、交流的平台,通过多年参会,我们逐渐具备了与全球领先企业同步产品规划、技术布局的业务视野。”其次是触角的变化,“我们确实在会议期间找到了适合公司发展的国际业务合作伙伴,并付诸实践。”最后是心态的变化,“最初小心谨慎地观摩,到这两年的正式参展,既了解了别人,也更了解了自己的实力,信心更足了,我们有能力与世界各国企业同台竞技。”
据悉,在这次会上,联想网御与Netlogic 联合发布了全球性价比最高的中高端多核统一威胁管理产品UTM/IPS/Anti-DDoS,并已经与美国合作伙伴在旧金山召开了战略合作会议,初步决定通过引进技术团队,设立联想网御在美国硅谷的技术创新中心。
云计算下的信息安全综述 篇3
关键词:云计算,信息安全
由于云计算技术应用发展, 云安全问题引起了信息安全领域的普通关注。云计算有虚拟化、数据集中、无边界等特点, 给信息安全带来新的挑战和机遇。广义上的云安全有2个含义, 一是针对云计算应用的信息安全问题;其二是云计算技术或其理念在信息安全上的应用。本文主要针对前者进行讨论。
1、云计算概述
1.1 什么是云计算
云计算是并行计算、分布式计算和网格计算的发展, 也可以说是这些概念的商业实现[1], 其核心是基于大型硬件平台的互联网服务与应用, 平台、服务、应用程序等均位于“云端”[2]。
1.2 云计算的关键特征
依据NIST (美国技术和标准研究院) 的描述, 云计算有以下特征:
按需的自服务:无需人工干预、自助服务。
宽带接入:通过网络提供服务, 对获取应用的位置以及终端没有限制。
资源虚拟池化:把物理上孤立的资源映射为功能模块化的资源池, 实现面向多用户的服务。
快速弹性架构。
可测量的服务:云计算所提供的“服务”能制定明确价格。
这些关键特征直接影响到了云计算环境的安全, 关系到相关的安全保护策略的制定。
2、云计算环境下信息安全的机遇
集中存储数据, 便于对数据实行监测。数据集中存储于指定的数据中心, 使得数据监控更实时、数据的备份以及恢复更及时, 数据安全的控制更有效、可靠。
便宜有效的容错机制。“云计算”模式下能够以较低的代价实现数据多副本容错, 以及计算节点同构, 从而提升了服务的连续性和可靠性。
3、云计算环境下信息安全的风险
谷歌某数据中心在2009年2月一次例行维护中, 意外导致另一数据中心过载, 至使Gmail服务中断四小时。事实证明云计算有其缺陷, 本文尝试从云计算特征分析其技术本身风险。
3.1 数据存储风险
数据共享风险:在云计算服务平台下, 用户数据均在共享环境下, 这就必须保证数据在共享环境互相隔离、相对独立。
数据位置的风险:用户数据离散分布在不同的数据中心和不同位置, 并不清楚数据被放置何处。云存储是没有明确边界的, 需保证存储的数据不会因为设备所在地方不同导致丢失, 并且数据调用过程中不能破坏数据的可用性和完整性。
3.2 虚拟化的风险:
虚拟化的、动态的管理方式带来的安全威胁:由于在云计算中同一物理资源上可能绑定了多个虚拟资源, 用户通过“租用”的形式共享资源。平台中虚拟化软件存在安全漏洞可能导致用户的数据被其他用户访问。
共享技术漏洞:虚拟服务器在云计算环境中通常允许共享着相同的配置, 为了在意外之后能及时安装修复程序, 应当为服务器和网络配置执行服务水平协议 (SLA) 。
3.3 数据访问权限的风险:
机密性是数据安全的重要方面, 云服务商在接收的用户数据以后, 需要制定有效策略以防信息泄露, 并且禁止用户数据权限外的访问。[3]
4、云计算安全的关键技术和措施
在云计算环境下, 可以通过数据加密、身份认证、安全审查、系统冗余等技术手段以及管理方法, 提升业务平台的服务连续性、鲁棒性, 以及用户数据的安全性[4]。
4.1 数据存储措施
控制数据位置:
云计算环境下, 数据离散分布在不同位置, 很有可能跨越国家, 对于隐私数据保护的法律法规有着地狱差异, 跨国业务在制定管理策略时必须重视这一问题[5]。
数据加密:
数据加密是信息安全的传统手段, 在云环境下, 不但要对服务提供商服务器上的数据进行加密, 对于传送给最终用户的数据也需要保护, 数据加密能避免和限制信息泄露。
4.2 虚拟化安全措施
云计算的核心就是虚拟化技术, 针对虚拟化带来的数据访问风险, 云架构提供者需要保证数据的隔离性和安全性。Santhanam等人提出了基于虚拟机技术的grid环境下的隔离执行机[6], 而Raj则认为可以通过缓存层次可感知的核心分配, 以及给予缓存划分的页染色的两种资源管理方法实现性能与安全隔离[7]。这类方案在隔离影响一个VM的缓存接口时是有效的, 并整合到一个样例云架构的资源管理 (RM) 框架中。
4.3 数据访问控制
要对用户身份进行审查后分配其合理的权限, 以保证数据安全。对数据进行高强加密以防泄漏。对数据操作前, 需要对操作者身份进行核查。
5、云安全的发展
目前针对云计算提出的安全技术已经日趋成熟, 未来的研究方向应该集中在以安全服务等级测评和安全目标验证为核心, 建立云计算安全标准及其测评体系;此外, 还需要建立安全指导标准及其测评技术体系。安全标准是度量云服务商安全服务能力以及用户安全需求的标尺, 同时也是安全服务提供商建立安全服务的重要依据, 能够在出现安全事故时快速认定责任, 避免责任推诿。
参考文献
[1]胡炜, 钟卫连.浅谈云计算的网络安全问题[J].中国科技信息, 2008 (23) :108-111
[2]王雷, 房倩.对云安全的初探.实验室科学, 第5期, 2009年10月
[3]张健.云计算概念和影响力分析[J].电信网络技2009
[4]Elangop S, Dusseauaetal A.Deploying virtual machines assandboxes for the grid.In:Proc.of the 2nd Workshop on Real LargeDistributed Systems.San Francisco, 2005.7-12.
[5]姜涛.云计算安全性探讨.华南金融电脑, 2009年12期
[6]Wei J, Zhang X, Ammons G, Bala V, Ning P.Managingsecurity of virtual machine images in a cloud environment.In:Proc.ofthe 2009 ACM Workshop on Cloud Computing Security.2009.91-96.
[7]Raj H, Nathuji R, Singh A, England P.Resource managementfor isolation enhanced cloud services.In:Proc.of the 2009 ACMWorkshop on Cloud Computing Security.2009.77-84
[8]孙文乾.浅谈云计算和信息安全.电脑知识与技术.Vol6, No9, March 2010,
[9]阮立志, 许凌云.一种基于网格计算环境的安全实现研究[J].微电子学与计算机, 2009, 26 (5) :265-268.
[10]Cai Zhun, Kong Fanyu, Yu Jia, et al.An improved myproxy system in grid by using hardware security devices[C]//The 2006International Conference on Hybrid Infor2mation Technology (ICHIT2006) .Cheju Island, Korea, IEEE Computer Society, 2006:89-97.
云计算环境下的计算机网络安全 篇4
目前,我国云计算正在蓬勃发展中,计算机的普及使越来越多的人学会利用云计算享受网络中的共享资源。
在诸多网络信息中,自然会涉及到用户的个人资料,其中潜在的安全隐患不可轻视。
1.1.1被动地位和网络陷阱云计算的运行需要云服务的提供商和提供商的客户共同配合。
作为用户而言,在享受服务商提供的网络便利的同时,也受到服务商的直接制约。
根据现今的科学技术,计算机网络仍呈单向箭头的供应趋势,即一旦服务商发生技术故障后暂停服务,用户只能被动地等待。
此外,网络中存在大量的虚假地址和虚假标识,这些陷阱也令用户举步维艰。
1.1.2违法黑客当今社会,已有一部分黑客逐渐演变为违法黑客,他们利用高超的计算机技术破坏用户系统或窃取用户信息。
云计算中存储的庞大资源群对于违法黑客们来说具有巨大的吸引力。
因此加强计算机网络的安全屏障系统亟不可待。
1.2云计算服务隐藏的安全隐患
云计算的开放式网络在给用户带来便捷的`同时,也给不法分子创造了犯罪机会。
一方面,云计算服务被垄断在私人机构或企业手中,但他们只能提供商业信用,无法保证信息在传输过程中的安全;另一方面,在表面看来,云计算中的用户信息对于该用户以外的其他用户是保密的,可对于提供云计算服务的提供商而言并不存在保密功能,一旦内部遭受恶意攻击,大量用户信息极易被暴露并盗取。
1.3信息安全技术问题
1.3.1基础设施安全问题云计算的基础设施包括互联网和计算机基础设施,其安全问题自然针对每个组成部分采取相应的措施。
单就互联网而言,它的云安全体现在公有云和私有云的安全问题上。
前者收费较低,规模较大,网络交叉点较多,用户群较为广泛,因此无法确保公有云中的资源能够持久地具备隐秘性、完整性和可用性,同时,由于公有云节点的数目庞大,安全屏障无法顾全到整个云端,即使全面盖后也无法保障单个节点的强大安全性。
而后者较之于前者,收费小幅增高,规模较小,网络交叉点较少,用户群较为密集,还额外设立了专用的外联网,全方位提高了私有云的安全性能。
计算机基础设施的安全是整个基础设施安全的核心所在,在保障主机应用安全的基础上,还需提高互联网的安全性能以保障云计算的稳定运行,二者缺一不可。
云计算的安全问题是一场持久战,需要云计算服务商和用户长期、定期地更新安全系统,抵挡病毒、木马等人为攻击,消除安全隐患,树立牢固的安全意识。
1.3.2数据安全问题云计算的数据安全应具备隐秘性、完整性和可用性。
服务商的安全保障需同时满足这三个特质,无论哪一点都不可或缺。
(1)数据隐秘性。
用户的个人信息属于个人隐私,在无本人的同意下,绝不可被窥窃。
服务商应提供强力有效的安全屏障来维护用户的隐私。
(2)数据完整性。
用户上传并存储的数据须保持从始至终的完整性,即在无用户自身的修改等操作时数据不应出现任何变动。
一方面,服务商要提供完善的网络防火墙以防黑客对数据进行篡改和破坏;另一方面,服务商也要定期更新和维修自身的总服务器,确保不因服务器出现的问题而破坏数据的完整性。
(3)数据可用性。
服务商应提供稳定的网络运行系统,使用户能够随时对数据进行有效操作。
2加强计算机网络安全防范的具体措施
2.1建立“云计算”数据中心
“云计算”数据中心较之传统的数据中心并无较大的差异。
在基础设施方面,“云计算”数据中心和传统数据中心同样需要旁挂核心或交换机来保证数据的分区部署;在特性方面,两者的数据部署都具备完整性、规范性和条理性;在功能方面,相同的是两者都需满足资源的最大化利用,不同的是“,云计算”数据中心比传统数据中心更快捷、更实用、更具体。
2.1.1模式扩大网络用户数量的急剧增加和网络应用程序开发速度的大幅增快,都对网络数据中心提出了更高的要求“。
云计算”数据中心较之传统的数据中心拥有更大的规模。
不仅是网络内外的传输,还是网络内部之间服务器的传输,都在最大程度上提高了供应量和存储量。
数据中心还需确保每个节点之间、节点和服务器之间以及每个服务器之间的传输都能畅通无阻。
首先“,云计算”数据中心需具备更大的容纳量,同时也要提高与之相适应的接应和处理能力,才能使网络能够灵活地运作。
其次,服务量的增大也意味着网络危险因素的增多,这就要求云计算的安全性能也能随之增强。
2.1.2虚拟化将云计算中的数据进行虚拟化不仅可以节约网络存储空间,还能够加快网络的运行速度,对于整体而言则是降低了网络运营的成本投入。
因此,虚拟化是网络发展的必然趋势。
我国的网络虚拟化便有了较为成熟的技术支持;而今随着科技的快速发展,计算机人才的数量不断增多,技术水平也逐渐提高,他们创造的一次次网络革新都会为我国的“云计算”发展带来全新的局面。
其中计算机网络服务器和存储器已有了先进的虚拟化技术,但防火墙等重要计算机网络安全设备的虚拟化还有待加强。
2.2加强防火墙的部署
在计算机网络安全防护设备中,防火墙无疑是最佳的选择。
它不仅能够单向地抵挡病毒、木马等恶意攻击,还能将其安全防护性能扩展到其他插卡中以完成多方位的安全保障。
同时,扩展后的安全性能并不会因设备的增多而减弱。
因此,加强防火墙的部署可有效解决云计算的安全问题。
至于防火墙的虚拟化则通过以下三种情况实现。
2.2.1通用化防火墙的通用化是指暂不升级防火墙的虚拟功能,只以其基础的安全屏障进行计算机网络安全的保护。
但与一般的安全软件不同,服务商需针对不同的应用类型和需求提供不同的防火墙区域保护,做到因“域”制宜。
2.2.2虚拟化为保障多个用户的独立化安全保障,通常采取以下两种措施:①物理化,即简单地使用多台防火墙对相应的网络系统进行安全防护。
②将防火墙虚拟化,即由一台防火墙设备投射到多个用户的网络系统中。
第二种方法实现了资源利用的最大化,同时也可满足对不同业务的共同控制。
2.2.3多元化和独立化增强网络配置时,可实行多个管理员同时对所有设备进行配置管理,但每个设备又保有多个独立的配置文件。
这种既交叉又独立的管理方式和配置原则可确保每个设备都拥有可选择的基本版和加强版的计算机网络安全防护配置。
综上所述,最为科学且安全的防护措施即是对一台防火墙设备进行虚拟化,再将其功能投射到多个用户的网络系统中,每个系统既能通过自身的多个配置文件实行独立作业,又可在多个管理员的管理下确保设备能进行安全地运行。
才能打造相互隔离但不分散的安全保障系统。
总而言之,修补云计算的安全漏洞和保障云计算的安全运行是一个多层次、多领域、多方位的协作作业,也是一场需要耐心和毅力的持久战。
针对云计算安全出现的问题要做到及时、有效地解决,并定期跟踪其后续的安全保障。
包括增强网络安全意识、完善网络安全的法律法规、严格执行侵犯网络隐私的惩戒手段、建立健全的云计算安全屏障、更新云计算安全防范操作、提高云计算安全技术水平等措施在内,都保障了云计算的安全运行。
云计算下的信息安全 篇5
摘 要:安全问题是制约云计算发展的重要因素,如何判断云服务安全性是否可以达到安全要求,需要在现有的等级保护体系下进一步丰富完善涉及云计算相关的内容,为等级测评提供必要的依据。文章在教育等级保护测评中心实际测评工作实践基础上对信息安全在云计算环境下面临的新挑战与问题进行了分析,提出信息安全等级保护建设在云计算环境下的若干建议,并就如何对云计算环境进行等级测评提出参考办法,给出了云计算环境下信息安全等级保护的思考,阐述了云计算相关安全标准和配套法规目前不够完善,亟需补充加强。
关键词:云计算;等级保护;等级测评
中图分类号:TP319 文献标志码:B 文章编号:1673-8454(2016)11-0013-05
引言
云计算(cloud computing)发展如火如荼,在各个行业都得到了广泛应用,政府部门以及产业界和学术界对此非常关注。云计算的本质就是将大量计算资源统一整合,这个资源远离终端用户,通过网络高速链接提供给用户进而云化,这里的计算资源也包括了存储资源以及软件资源。云计算服务商藉此对外提供便捷的IT 服务。云计算可以说是继互联网经济繁荣以来IT 产业的又一个重要增长点,其主要特点是成本低、通用型、可扩展性强、服务灵活。云计算极大提高了IT资源的使用效率,但也必须充分认识到这一新技术的发展给用户的信息资产安全及隐私保护等带来了巨大威胁和考验。安全问题是云计算服务使用过程中用户最为关注的关键性问题。伴随随着云计算应用的不断推广与普及,云计算安全与否已成为用户选择云计算服务商的重要因素之一。从国家层面到许多信息安全企业以及学术研究团体、国家标准化组织对云计算安全课题已经开始进行研究,同时国内外云服务商联合传统安全厂商也在研究开发基于云计算的信息安全产品并有一些应用。本文拟通过对当前云计算所面临的安全问题以及云计算环境下等级保护工作开展中遇到的问题进行分析与总结,探索云计算安全等级保护建设和测评的方法,希望可以为各测评机构和用户在云计算安全与信息系统安全等级保护工作实践做出有益的探索。
一、云计算概述
根据NIST对云计算的定义:云计算是一种基于互联网实现的可以随时随地、按需、便捷地访问共享资源池(如计算设施、存储设备、应用程序等)的计算模式[1]。
云计算融合与发展了互联网技术、分布式计算、大规模资源管理等技术,云计算的应用研究是一个复杂的系统工程,其知识领域覆盖了信息安全、虚拟化资源管理、云数据中心管理、大规模数据处理等重要问题。云计算最主要的特征,就是提供按需服务的弹性资源,其主要特点有:运用虚拟化技术、低成本、高可用、高可靠、横向扩展能力强、按需服务、不受规模限制等特点。
云计算服务可以分为三个层次:基础设施即服务(IaaS, infrastructure as a service)、平台即服务(PaaS, platform as a service)、软件即服务(SaaS, software as a service)[2]。其中:
(1)IaaS基础设施服务:封装云数据中心的基础设施,为用户提同服务,提供给用户不同的操作系统,数据库软件等来部署不同的业务,自主完成应用系统的搭建,典型的如Amazon的EC2、S3、VPC等分别为用户提供计算、存储和虚拟网络服务;
(2)PaaS平台服务:通过整合各种应用程序所需的运行环境对外提供服务,用户只需安装自己的软件即可,典型的有微软的AZURE;
(3)SaaS软件服务,是云服务商将应用软件以服务的方式封装提供给用户,用户可以不要安装部署任何软件,直接使用云端提供的服务(预装软件)即可,微软的Office Live就是这样的一种服务。
云计算服务的参考体系架构[3]可以用图1表示。云计算服务管理的重点是对云计算核心服务(IaaS、PaaS、SaaS)进行管理,保证这些服务的安全性、可用性、可靠性等是有保障的。服务管理的内容主要包括云计算的安全管理、云计算服务质量保证、云计算服务计费管理、资源监控等。云计算服务管理的的核心是云平台本身的运行管理和服务质量管理。
云计算部署可以分为公有云、私有云、混合云和社区云四种[4]。其中公有云,是由云服务商负责搭建并以服务的方式提供给用户共享使用的云环境;而私有云一半是由企业自己出资独立构建并只为用户自己使用的私有云环境;混合云是对前两种云部署模式的折衷,用户一方面部署了自己的私有云,此外由购买使用第三方的公有云服务,通过一定技术手段实现了公有云和私有云之间的数据和应用交互;所谓社区云则是指那些有着共同利益的企业和用户自己出资的共享基础设施的云环境,本质是一种私有云,只是不是由一个用户独立投资建设使用。
二、云计算所带来的安全挑战
随着信息系统和用户数据向云端的转移,云计算数据中心势必成为网络信息安全攻击的核心目标。云计算环境下数据中心内系统的规模都比较巨大,云管理平台系统本身就非常的复杂、对多租户的管理及权限的划分也是一大管理难点,基于以上因素给云计算的安全性带来了非常严峻的考验:①云环境下提供的各种云计算服务都没有独立的主机、网络、存储等基础设施,各用户的服务之间没有明确安全边界,用户的数据安全和隐私保护需要较传统数据中心更加高强度的保护;②云服务的环节较多,涉及不同的云数据中心,云平台的管理、不同云计算资源的管理、带来了较大程度上的管理复杂性,在安全防护的统一规划部署上有一定的局限、而且有的云服务商需要用户自己进行安全防护;③云计算服务汇聚了多用户的数据与计算,在存储与读取上,安全策略的制定上,要求能够满足的规模并发信息处理的需求[5]。
云计算模式所带来的的核心安全问题是用户对自身数据失去了完全控制权,而对元计算环境基本不可控。一般而言,云计算的安全保障是由云计算服务提供商来提供的,但也不完全是,云计算的安全问题主要集中在云数据中心的安全,云管理平的安全、数据的安全,虚拟化应用部署的安全,服务器的安全,云计算本身的安全,瘦客户端的安全,云服务的法律保障等方面。怎么来解决云计算安全,需要重点分析与解决以下问题:
1.云计算数据存储的安全
对私有云和社区云而言,数据存储可以认为还是在用户可控的存储服务器内,但对于业选择使用公有云环境的用户而言,云计算服务商实际掌控了用户的数据物理存储,用户很难限制其数据访问权[6]。云计算服务商应保证:用户的数据被正确合理地存储、传递及使用,证明该用户的数据没有被盗用或者泄漏、确保用户的相关行为数据没有被记录并分析、非业务数据已被彻底清楚,最终要的是该用户数据被正确存储在中国境内等等;
2.虚拟化应用安全问题
在云计算环境中,计算、存储、网络等都是宿主机虚拟出来的,很多云计算用户共享基础资源,存在不同虚拟资源运行于相同的物理资源上的可能。虚拟化层面的安全漏洞,极有可能导致虚拟机逃逸和用户数据的泄露。
3.云计算的服务安全问题
在公有云计算环境下,根据用户选择不同的云服务,用户和云计算服务商的安全边界比较模糊。不同的云服务可能涉及到多个云计算服务提供商,当用户同时选择了多个云服时,而云服务又是由不同的云计算服务商来提供,那么这些服务的衔接之间可能存在着多层转包问题会将云服务管理的复杂性进一步放大,从而使得云计算服务的安全风险变得更大。
4.云计算软件平台的安全问题
云计算软件平台因为设计或配置不当,可能导致在云计算资源调度、用户访问控制隔离等方面存在安全问题,存在云计算环境下的非授权用户访问不当资源、进一步造成数据泄露等安全风险。
5.云管理平台的安全问题
云管理平台对云计算环境进行统一监控和运维管理,对云管理平台的操作或配置不当将导致云计算服务水平下降。
6.网络边界问题
虚拟网络和SDN的出现打破了传统网络的边界,虚拟网络的访问控制和恶意代码检查变得更加复杂。
三、信息系统安全等级保护概述
信息安全等级保护制度是国家实施网络与信息安全工作的抓手,信息安全等级保护制度是一系列的管理规范和标准体系的总和, 主要包括了30多个国家标准,其中基础核心标准主要有:
(1)《计算机信息系统安全等级保护划分准则》(GT/T 17859-1999);
(2)《信息系统安全管理要求》(GB/T 20269-2006);
(3)《信息系统安全等级保护基本要求》(22239-2008);
(4)《信息系统安全等级保护定级指南》(GB/T 22240-2008)等。
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理、对信息系统中发生的信息安全事件分等级响应、处置[7]。
如图2所示,我国的信息安全等级等保护标准体系的组成包含了等级保护工作过程中所需的各标准共同组成。这些标准按照基本分类的视角可以划分为三大类:基础类标准、管理类标准和产品类标准;根据标准制定对象视角可以分为基础标准、系统标准、产品标准、安全服务标准和安全时间标准五大类;而根据等级保护的生命周期则可以分为通用/基础标准、系统定级应用标准、安全建设用标准、等级测评用标准、运行维护用标准等[8]。
我国的信息系统安全等级保护主要工作主要有:定级备案、建设整改、等级测评和监督检查。其中《计算机信息系统安全保护等级划分准则》(GB17859-1999)是基础性标准、其他标准在GB17859-1999的基础上做了进一步的扩展。《信息系统安全等级保护实施指南》(GB/T 25058-2010)指导等级保护工作如何开展;《信息系统安全保护等级定级指南》(GB/T22240-2008)指导系统定级;《信息系统安全等级保护基本要求》(GB/T22239-2008)是建设整改和测评的依据;在等级测评环节主要参考《信息系统安全等级保护测评要求》(GB/T 28448-2012)和《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)。
《信息安全等级保护管理办法》(公通字[2007]43号)明确要求:信息系统运营、使用单位依据[2007]43号文和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。《信息系统安全等级保护测评要求》明确提出应定期开展等级测评工作,其中三级系统的测评频率是年度至少一次,四级系统至少半年一次,五级系统的测评要求不低于四级,依据特殊安全需求进行等级测评——实践中还没有系统为五级,暂是没有可参考的数据。
四、云计算环境下的等级测评
和传统的信息系统安全等级测评不同,云计算环境可以被视为是一类特殊的信息系统,等级保护虽然对于云计算而言有一定的局限性,但依然可以参考适用于云计算环境。
在选择不同的云计算环境前,用户和企事业单位应对重要的信息系统(主要指三级及以上系统)进行研究,从系统安全性、运营成本等方面综合考虑,考察是否符合等级保护建设的要求,建议重要信息系统(三级及以上系统)应当以私有云建设为主[9]。
云计算环境下的测评,主要针对云基础设施如云计算数据中心、云管理软件如云平台、其他云应用服务如操作系统、虚拟机、存储、应用软件、身份认证识别与管理等,其中云计算数据中心是基础,云平台是管理核心。和传统的数据中心相比较而言,云计算数据中心的规模经济效应更为明显、可扩展性更强、具有更强的自治性[10]。超大规模的的云计算数据中心有数万个计算节点,而且其规模一直在呈上升趋势。大规模云计算中心的网络结构非常复杂,网络虚拟化和主机虚拟化技术被广泛深入应用在云计算中,为硬件资源池化提供了技术基础,使得为用户提供按需服务得以实现,充分利用硬件的性能而没有浪费。
唐国纯在文献[11]中提出了云安全框架,如图3所示。该架构指出云计算安全问题不仅是云服务提供商的责任,用户也要为自身安全承担责任。云服务提供商承担数据安全、信息加密安全、身份识别、业务连续性等云服务公共安全问题,其中云计算数据中心的基础设施安全、运维安全管理、云平台的安全管理是根本,而云用户主则要对自身使用的终端、身份及密码负责,保证与云端链接的是用户自己。
等级保护测评需要根据信息系统安全保护对象,按照其对应的安全功能要求项进行检测,通过表1对云计算环境下的保护对象与传统环境下的保护对象进行了简单的对比。
针对云计算环境下保护对象特点,总结教育信息安全等级保护测评中心的项目实施经验以及与公安部三所及不同云服务商的交流结果,根据云环境中所特有的安全风险,等级保护测评在传统环境下测评之外应重点检查以下内容:
(1)云计算环境中的网络虚拟化结构是否合理,边界是否清晰,访问控制策略是否合理,虚拟化网络设备配置是否恰当;
(2)云计算环境中云平台的管理是否得到恰当的授权,资源的访问和申请是否得到有效控制,关键业务系统是否采取了加固的操作系统;
(3)云计算环境中对数据传输是否有完整性、保密性和抗抵赖性保障安全措施;
(4)云计算环境中的虚拟机之间是否隔离,是否存在隐蔽信道;
(5)云计算服务商是否对访问用户数据做了限制,是否记录了用户隐私;
(6)云计算环境中的用户数据是否按照指定加密算法进行了加密;
(7)云计算环境中的用户数据及管理数据是否有合理的备份策略并能及时恢复;
(8)云环境中的数据是否采用了数据审计的策略,包括云服务方和用户方各自的审计,以保证数据的可溯源性;
(9)云计算中心是否采用剩余信息保护机制以防止用户数据泄露。
(10)云计算服务内容的审查和服务水平的约定,以及云服务提供商与用户的责任与权限的界定;
(11)云计算环境中虚拟机镜像是否不定期进行安全加固、涉及敏感信息的快照应当加密以防止非法访问;
(12)云计算的软件平台应该进行访问控制和身份鉴别,并能进行安全审计,应检查其通信接口是否统一并进行了加密。
五、云计算环境下等级保护工作的思考
我们国家的信息系统安全等级保护体系经过20多年的发展已经基本建立并逐步完善,各行业也陆续推出了自己的行业标准,但基本仍然是在国标的基础上针对本行业的信息系统特点进行的特殊归纳总结,面对大数据和云计算的应用模式仍然存在这一定的局限性。国标GB/T 22239-2008主要从物理、网络、主机、数据保护、应用安全等方面对信息系统安全等级保护提出了明确的要求,其立足点主要是针对信息系统,鉴于标准本身的滞后性,其面对当前广泛应用的云计算,不是非常的适用,对于云计算的服务模式、云计算应用构架、云计算的安全模型等方面亟须补充一个统一规范和标准。从目前云计算服务的发展来看,不同的云计算服务商服务平台的建设存在较大差异,用户和云计算服务商都对云计算环境的安全保障存在着不同的理解。考虑到国内外复杂的信息安全形势,出台配套的云计算安全保障相关的规范和标准用以指导云计算环境下的信息系统安全建设变得尤为迫切,对云计算的安全风险进行分析,在此基础上建立一个安全框架,提供云计算安全服务体系与云计算安全标准及其测评规范,并积极开展其中各个云安全的关键技术研究,为实现云计算环境下的安全目标提供技术支撑,为云计算服务平台和云计算安全体系的同步规划建设提供依据,指导用户在国内云计算环境下的信息系统安全建设,减少云计算环境下的信息安全风险,实现对云计算环境有效管理和控制。
从当前教育等级保护中心开展的测评实践来看,依照现有的基本要求和测评指南,对大的云计算中心进行测评比较困难,我们认为要从根本上解决云计算安全问题,可以首先考虑从国家层面上补充建立云计算安全标准和云计算安全服务等级测评办法和实施指南。通过云计算安全标准规范云计算服务商为云计算用户提供一个可以度量的云用户安全目标,同时为等级保护测评机构检验云服务商安全服务能力提供依据,通过云计算安全服务等级测评版和试试指南指导信息系统安全等级测评机构为云计算安全服务提供商的云计算中心和提供的云服务进行测评,以满足我国信息安全等级保护法规的相关要求。
结束语
云计算安全既包含技术问题和管理管理问题,更是相关技术标准和服务监管模式等问题的综合,更离不开国家在大数据及隐私保护方面的法律法规的进一步完善。要解决云计算环境下的安全问题,单从信息安全技术本身出发是远远不够的,云计算安全是IT厂商、云计算服务商、信息安全领域的厂商和学者以及政府信息安全主管部门的共同责任,需要大家的共同努力才有可能实现。
等级保护制度是国家信息安全的基本制度,坚定不移地推动等级保护工作,丰富和完善等级保护相关标准制度,通过测评机构在信息安全等级测评及时发现当前云计算环境下暴露出来的信息安全问题,指导云计算服务商和用户及时整改,是推动和加速云计算应用健康发展的基石。本文从信息安全等级保护机构从业者的角度出发,把我们遇到的一些问题进行分析,为等级保护从业人员及云计算终端用户提供一些思考,为在云计算环境下的国家信息安全等级保护标准系统的补充制定和推广提供参考。
参考文献:
[1]MELL P, GRANCE T.The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology, 2011.
[2]黄河,刘旭东,孙海龙.云计算环境下服务中间件动态管理框架的设计与实现[J].计算机工程与科学,2013,35(1):30-35.
[3]罗军舟等.云计算:体系架构与关键技术[J].通信学报,2011(7).
[4]王宗江,郑秋生,曹健.混合云中的一个高效协调器[J].计算机科学,2015,42(1):92-95.
[5]冯登国等.云计算安全研究[J].软件学报,2011(1).
[6]赵雅琴.以用户为中心的云计算服务存在的问题[J].信息系统工程,2012(3):152-153.
[7]刘静,王鹏.基于等级保护的检察系统信息安全保障体系建设[C].全国计算机安全学术交流会论文集(第二十二卷),2007:29-31.
[8]赵林,郭启全,任卫红等.信息安全等级保护系列标准应用案例[J].中国信息安全,2012(4):73-77.
[9]孙铁.云环境下开展等级保护工作的思考[J].信息网络安全,2011(6):11-13.
[10]Greenberg A, Hamilton J, Maltz D A, et al. The Cost of a Cloud: Research Problems in Data Center Networks[J]. Acm Sigcomm Computer Communication Review, 2009, 39(1):68-73.
[11]唐国纯.云安全的体系结构及关键技术研究[J].信息技术,2015(7).
[12]黄海.关于云计算的数据安全关键技术研析[J].科技创新与应用,2015(25).
[13]王静宇.面向云计算环境的访问控制关键技术研究[D].北京科技大学,2015.
[14]陈敏刚,胡芸,蔡立志.云计算环境下数据安全的等级保护研究[C].第二届全国信息安全等级保护技术大会会议论文集,2013.
云计算环境下的信息安全探析 篇6
1. 云计算的概述
1.1 云计算定义
本文将云计算的概念分为狭义和广义之分。狭义云计算是指IT基础设施的交付和使用模式, 指通过网络以按需、易扩展的方式获得所需的资源。广义云计算是指服务的交付和使用模式, 指通过网络以按需、易扩展的方式获得所需的服务。按需部署是云计算的核心。要解决好按需部署, 必须解决好资源的动态可重构、监控和自动化部署等, 而这些又需要以虚拟化技术、高性能存储技术、处理器技术、高速互联网技术为基础。所以云计算除了需要仔细研究其体系结构外, 还要特别注意研究资源的动态可重构、自动化部署、资源监控、虚拟化技术、高性能存储技术、处理器技术等。
1.2 云计算体系架构
基础管理层、应用接口层以及访问层是云计算的体系架构从下到上的三个层次, 如图1所示。由图1中可以看出, 最下面一层就是解决计算资源的共享问题, 第二层就是解决以何种方式对外提供服务, 最上面一层就是采用云计算来解决一些实际问题。
1.3 云计算优点
云计算被广泛应用, 必然其存在很多优点, 具体表现在以下几个方面: (1) 部署容易、配置方便。各种用户都可以通过互联网进行访问; (2) 可扩展性。云计算能够扩展到大规模的集群之上, 甚至能够同时处理数千个节点; (3) 可用性高。对于节点的错误, 云计算是能够忍受的, 甚至在多数节点发生失效后, 也不会对程序的正确运行产生任何影响; (4) 资源可以共享。互联网就可以实现资源共享, 而此时的资源指的是软资源的共享, 而并不是硬资源的共享。不管是软资源还是硬资源的共享, 云计算都能实现; (5) 使得开支减小。有专业云计算平台提供商对所有的管理和维护等进行保证。
1.4 云计算的应用形式
云计算的应用形式主要有软件服务 (Saa S) 、平台即服务 (PaaS) 、基础设施服务 (IaaS) 。 (1) SaaS。此应用形式是将应用软件统一部署在提供上的服务器上, 应用软件服务需要用户根据自己的实际需求通过互联网向厂商订购, 服务提供商根据客户所定软件的数量、时间的长短等因素收费, 并且通过浏览器向客户提供软件的模式。这种服务模式的优势是, 由服务提供商维护和管理软件、提供软件运行的硬件设施, 用户只需拥有能够接入互联网的终端, 即可随时随地使用软件; (2) PaaS。这种应用形式提供开发环境当成一种服务来进行。这是一种分布式平台服务, 厂商提供开发环境、服务器平台、硬件资源等服务给客户, 用户在其平台基础上定制开发自己的应用程序并通过其服务器和互联网传递给其他客PaaS能够给企业或个人提供研发的中间件平台, 提供应用程序开发、数据库、应用服务器、试验、托管及应用服务。 (3) IaaS。这中应用程序即把厂商的由多台服务器组成的“云端”基础设施, 作为计量服务提供给客户。它将内存、I/O设备、存储和计算能力整合成一个虚拟的资源池为整个业界提供所需要的存储资源和虚拟化服务器等服务。这是一种托管型硬件方式, 用户付费使用厂商的硬件设施。
2. 云计算存在的安全风险
2008年, 美国公司Gartner发布了一份关于云计算安全风险分析, 其中包括数据传输、数据存储、数据审计等。 (1) 数据传输安全。一般情况下, 企业私密数据代表着企业的核心竞争力, 而这些数据都存储在企业数据中心。在云计算模式下, 通过网络企业将数据传递到云计算服务商中对其进行处理, 在这个过程中存在以下问题:如何确保企业的数据在网络传输过程中不被窃取;如何保证云计算商在得到企业机密数据时不会将其泄露出去;在云计算服务商存储时, 如何保证访问用户经过严格的权限认证并且是合法的数据访问。 (2) 数据存储安全。数据存储是非常重要的一个环节。在云计算模式下, 在高度整合的大容量存储空间上, 云计算开辟出了一部分存储空间提供给企业应用。但是对于数据具体的存放位置, 客户根本就不了解;云计算服务商在存储资源所在国是否会存在信息安全问题;在这种严格的加密形式下, 存储的数据之间是否能够保证优先的隔离;如果用户了解了数据的具体存放位置, 也必须要求服务商对数据进行备份, 从而使得重大事故得以防止; (3) 数据审计安全。企业进行内部数据管理时, 为了保证数据的准确性往往会引入第三方的认证机构进行审计或是认证。但是在云计算环境下。云计算服务商如何存确保不对其他企业的数据计算带来风险的同时, 又提供必要的信息支持.以便协助第三方机构对数据的产生进行安全性和准确性的审计, 实现企业的合规性要求;另外, 企业对云计算服务商的可持续性发展进行认证的过程中, 如何确保云计算服务商既能提供自.效的数据。又不损害其他已有客户的利益, 使得企业能够选择一家可以长期存在的、有技术实力的云计箅服务商进行业务交付, 也是安全方面的潜存风险。
3. 云计算信息安全
3.1 系统软件安全与用户隐私保护
软件系统安全仍然是一个挑战性难题。在云计算环境下, 如果所使用的商业操作系统不是安全操作系统, 那么系统管理员拥有过高的权限, 一旦这些权限失控, 获得这些权限的人都可以访问用户的个人信息。因此, 将会直接影响到用户的个人数据隐私。同时, 与传统计算模式不同的是, 云计算利用虚拟计算技术, 用户个人数据可能分散在各个虚拟的数据中心, 而不是在同一个物理位置, 也许跨越国境, 此时, 数据隐私保护面临不同法律体系争议。另一方面, 用户在使用云计算服务时候, 有可能泄露用户隐藏信息。攻击者可以根据用户提交的计算任务, 分析透露用户的关键任务。目前, 一些研究人员在探讨利用加密技术保护用户隐私。
3.2 软件可靠性与服务可持续性运行
同传统计算模式安全风险相同, 云计算仍然需要解决服务可靠性问题, 但不同的是, 在云计算形式下, 用户对服务提供者依赖性更高, 云计算的服务由各种软件模块或者各种Web Services来集成实现, 一旦软件安全事件出现将会产生巨大的影响。例如, 云计算服务者系统软件漏洞被利用, 造成攻击者可以进行拒绝服务攻击, 用户将无法远程访问到云服务。
3.3 服务协议符合性与软件服务可信证明
在云计算下, 有可能存在一些恶意的服务者, 这些服务者所提供的服务内容不一定能够满足服务协议。例如, , 数据拥有者Alice将数据库外包给Bob, 但Bob不是恶意服务者, Bob只选择性执行Alice查询任务, 或者说, 给Alice查询服务结果不完整。
3.4 虚拟计算平台安全与云计算服务可信
云计算服务可信性依赖于计算平台的安全性。目前, 服务者通过新型的虚拟计算 (Virtual Computing) 技术来实现云计算模式。在云计算下, 服务者利用XEN、VMWare等技术, 将
一台高性能的物理机器运行多个虚拟机 (VM) 以满足用户的需求。例如, Amazon以在线书店和电子零售业起家, 如今已在业界享有盛誉。它最新的业务却与云计算有关。两年多以前, 亚马逊作为首批进军云计算新兴市场的厂商之一, 为尝试进入该领域的企业开创了良好的开端。Amazon公司的EC2。这种计算组织形式, 可以让不同虚拟机运行互不干扰, 但是前提是虚拟机的管理控制软件Hypervisor是可信的, 而且由于各虚拟机共享物理内存, 用户的机密数据有可能通过内存泄漏, 或者黑客利用VM进行拒绝服务攻击。同时, 潜在带来安全的问题是, 黑客可能租用“虚拟机”来攻击云计算平台。因此, 云计算服务可信性, 必须解决虚拟计算平台软件的安全, 特别是虚拟机管理软件Hypervisor。
3.5 应用虚拟映像与软件安全管理
与传统的软件发布模式不同的是, 在云计算环境下, 软件开发商通过将应用软件预安装, 同操作系统打包形成不同类型的虚拟机文件格式VA (virtual appliances) 。用户即可以在Hypervisor支持下, 自行运行VA, 或者通过租用云计算服务提供者的计算机运行。虽然这种软件部署模式对终端用户简单, 但是软件安全维护将会变得复杂, 目前漏洞和补丁管理系统尚不支持对VA有效管理。通常VA文件比较大, 用户使用传统杀毒方式, 检测速度比较缓慢。同时, VA实际上是一台虚拟机, 只是未运行, 但是如何测试VA安全配置将是一个软件安全管理难题。
3.6 基于VM恶意代码与病毒检测软件变革
随着各种应用VM Image文件发布而传播, 恶意代码有可能伪装一个特殊的VM。当用户运行VM时候, 就激活恶意代码VM, 但是传统的计算机病毒检测软件无法监测到, 因为恶意代码和现有杀毒软件不在同一台计算机。给出一个利用VMM技术构造的恶意代码SubVirt。
3.7 虚拟机与僵尸网络
僵尸网络控制者可能利用云计算资源, 将僵尸代码以虚拟机形式传播, 这些僵尸代码虚拟机运行在受害用户的计算机中, 用户难以察觉。同时, 僵尸网络控制者还可能利用租用的虚拟机隐藏自己的真实身份。
3.8 虚拟计算与网络内容安全
在云计算环境下, 有害信息网站利用虚拟计算技术, 将信息隐藏在虚拟机中, 然后发布, 这些基于虚拟机网站部署简单, 可以随时动态运行, 传统网络内容安全机制有可能无法察觉。
3.9 云计算与网络安全控制
黑客有可能利用云计算开放环境, 匿名租用各种虚拟机, 然后发起各种攻击。例如, 黑客可以租用虚拟机, 绕开网络安全机制 (如防火墙) 。
总而言之, 在云计算环境下, 无论是对云服务用户而言, 还是对云服务提供商而言, 第一大问题都是信息安全问题。本文对云计算环境下的信息安全问题从系统软件安全与用户隐私保护、软件可靠性与服务可持续性运行、服务协议符合性与软件服务可信证明、虚拟计算平台安全与云计算服务可信、应用虚拟映像与软件安全管理、基于VM恶意代码与病毒检测软件变革、虚拟机与僵尸网络、虚拟计算与网络内容安全、云计算与网络安全控制、网络犯罪与计算机取证这十个方面进行了分析, 为云计算环境下提供了高安全性的方法。
参考文献
[1]汪建, 方洪鹰.云计算与无线局域网安全研究[J]重庆师范大学学报 (自然科学版) , 2010, (03) .
[2]顾理琴.浅谈云计算 (Cloud Computing) ——未来网络趋势技术[J]电脑知识与技术, 2008, (S2) .
[3]姚远耀, 张予民.云计算在网络安全领域的应用[J].科技广场, 2009, (07) .
[4]郭乐深, 张乃靖, 尚晋刚.云计算环境安全框架[J].信息网络安全, 2009, (07) .
云计算下的信息安全 篇7
1.1 云计算概念
云计算是一种基于互联网的计算方式,通过这种方式,可以实现软硬件资源的共享,也就是信息可以提供给计算机和其他设备,达到信息无障碍交流的高水平。云不是实体,不是云朵,它是一种比喻化的说法用来形容互联网。体现互联网和底层基础设施的抽象形象。云计算打破了信息获取的专业化限制,是大型计算机到客户端转变后的又一次飞跃。这次巨大的转变体现新的IT服务的增加,虚拟化的资源可以通过互联网实现动态扩展。云计算是IT领域的概念,具备以下几条特征:可以随需随时进行自助服务,打破了时间空间身份的限制,可以实现多人共享资源,突破知识壁垒,云技术可以快速重新部署极具灵活度,这样就减少减少了用户终端的处理负担,同时云技术不需要高神的技术这样一来也就降低了用户对于IT专业知识的依赖。
1.2 云计算研究现状及特点
1.2.1 国内云计算发展研究现状
2010年《国务院关于加快培育和发展战略性新兴产业的决定》发布后,将云计算列为新一代信息技术产业的核心领域,云计算研究当之无愧的成为热点研究领域,政府、学界和业界都对云技术给予了高度关注。总体而言,云技术还处于初步阶段,就什么是云计算的问题而言,学者和业界还没有达成有效的共识,只能在模糊的概念上定义。但是对于一些具有代表性的定义,在普遍意义上还是可以为大多数人接受的。除了学术研究外,在现实应用中云技术发挥着越来越重要的作用,可以在众多领域找到云计算的身影,例如政府部门、商业部门和教育部门等。事实上最简单的云计算技术就是其在互联网上的应用,例如搜寻引擎、网络信箱等,使用者只要输入简单指令即能得到大量信息。也许在不久的将来,手机、GPS等行动装置都会透过云计算技术,发展出更多的应用服务。
1.2.2 国外云计算发展研究现状
在云技术发展之初,一些专家基于云计算的强大作用,就预测云计算会改变互联网的技术基础,甚至会影响整个产业的格局,引起新一轮的竞争。在这次信息革命中,国外关于云计算更是走在了前列,像亚马逊、谷歌、微软、戴尔、IBM等IT国际巨头以及百度、阿里、著云台等国内业界都在积极研究云计算技术和云服务,他们都期望在此次机遇中,抓住机会,掌握云技术的核心,走在信息产业的行列。Google 2003年公开发布的云计算的核心文件;2006年Amazon奋起直追,公布EC2的商业化应用;再后来美国电话电报公司也不甘落后推出的动态托管服务。多种基于云计算的服务节约成本,提高了企业的盈利水平,事实上云计算服务正在行进在公共服务的大路上。
1.3 云计算环境下信息特点
在云计算的大背景下,大数据时代到来,云计算带来了数据存储方式的又一次转型,在云计算背景下,数据存储量加大,用户访问量剧增,信息生长量呈爆炸式规模增长。云计算背景下信息的运行在云端运行,这种运行模式降低了用户对基础设施的依赖,有利于信息的广泛传播。对于信息的选择,在云模式下,客户用户可以根据自己的需求和喜好来定制服务,可以在任何时间、任何地点以便捷、安全的方式获得云中的相关信息或服务,满足了信息服务的动态性与需求动态性相匹配。
云计算强大的计算能力、无限的存储容量、兼容的协作优势引起了信息服务的变革,实现了“低成本,高品质”,为用户带来便利。
2 图书馆云计算应用的优点与能力
2.1 云计算的应用降低了图书馆的运营成本
硬件设备需要维护,同时作为软件的数据库系统也需要维护,维护就需要资金,事实上对于图书馆来说,数据库的维护是一笔不小的经费。与传统数据库相比,云计算的应用将给图书馆的数据管理带来前所未有的改变,硬件水平将不再成为制约图书馆发展的瓶颈,一个小小的浏览器就能够满足用户的所有需求,试想一下,图书云存储后可以节约多少空间,空间节约也就伴随着其他服务的节约这就最大限度的实现了资源的有效利用,实现了利益的最大化。
2.2 云计算的应用带来超强的运算能力
图书馆常面临的一个不可避免的缺点,那就是使用者过多常常造成服务器濒临崩溃,传统的计算方式不能达到高水平的的运算速度,这无疑影响图书馆功能的发挥。但是云计算就没有这种后顾之忧,云技术有超强的运算速度,可以支持图书馆数据库的良好运转,云计算技术还是实现了资源的合理分配,例如在读者较多时,云网络会自动要求分配较多的运算资源,以保证线路的通畅;反之,在读者较少时,云网络会自动减少运算资源,这样一来就减少了资源浪费,实现了图书馆的优化。
2.3 云计算的应用带来了巨大的存储空间和形成强大的网络体系
云计算的基础是信息的“整合”,在云计算的背景下,图书馆可以利用云计算的这一特性将众多图书资源进行整合,从而形成一个百科全书式的知识网,这样的全球图书馆的信息资源将得到全面的整合和共享,用户也能实现在家就能遍访世界图书馆的梦想。云计算在为用户提供巨大的存储空间是也为用户提供安全的数据存储中心,这样一来图书馆使用将更加便捷,图书馆资源中心的作用也将得到最大限度的发挥。
3 图书馆云计算应用存在的问题
3.1 云计算背景下图书馆访问控制安全问题
对图书馆进行访问控制是保证图书馆安全的必要措施,如果省略了这一环节,图书馆的的信息资源就会面临巨大的威胁要知道图书馆利用云计算集中存储了各种资源,其中一些资源具有重要的经济、政治和战略价值,所以说图书馆资源对黑客来说有巨大的诱惑,除此之外,云环境的高度复杂性,不可避免地会给黑客留下一些机会,黑客们极有可能通过寻找云环境内的安全漏洞,来窃取用户资料或破坏所存储的信息包括图书馆的各种数据。所以为了避免图书馆被非法访问和使用,必须进行访问控制。
3.2 云计算背景下图书馆数据泄露危险的存在
数据保密关涉个人隐私,对于用户在图书馆的隐私如何保护也成为图书馆管理研究的重要课题,图书馆将读者在图书馆借阅情况的数据交给云计算服务商,保密性如何保护也成为云计算安全问题研究的重要问题。事实上在图书馆应用云计算后,保密控制权也就转移到云计算服务商,但是在云计算环境下,整个信息服务的收集、传输、处理、利用、存储等环节都有可能遭到破坏,这样一来就严重威胁各图书馆的信息安全。
3.3 云计算背景下图书馆知识产权保护难度加大
云计算的应用致使数字图书馆时代的到来,在这一新的时代中知识产权问题将会加剧。知识的共享一定程度上意味着知识产权的受损。在实际生活中,图书馆先购买云计算服务,然后将自己的数据交给云,由云计算企业托管这些数据。理论上讲,用户拥有被托管数据的知识产权,但是在现实中,云计算企业会通过一系列措施将这些数据进行整合、挖掘,最后以知识服务的名义使用户数据,这就在一定程度上损害了图书馆的知识产权。
4 云计算环境下数字图书馆信息安全对策研究
4.1 完善和制定相关法律法规
法律法规的制定是云安全最后的保护底线,在云计算广泛应用的今天,图书馆界不能坐以待毙,而是以积极地姿态应对挑战,制定出应用云计算所需的标准和相关协议的研究,达成行业共识,对云计算进行规范。除此之外,云安全不仅是图书管理界的问题,事实上,云安全问题关系整个国家的信息安全和保密工作,棱镜门事件就是前车之鉴,为了实现云计算的健康发展,国家层面也要制定相关政策,以实现云产业又好又快的发展,避免云安全问题的出现。最后就是云安全产业规范的制定,在云计算行业,各个服务商不能恶性竞争,应该齐心协力推动产业的良性发展,在本行业中制定有利于云安全问题解决的方案,做到保信息存储、信息传递的安全。
4.2 不断创新信息资源的安全存储模式
图书馆在云计算的环境下的第一威胁就是信息安全,保证图书馆数据的万无一失,对服务商和图书馆来说都是头等大事,为了实现数据安全,服务商和图书馆必须不断创新存储技术,采取更为安全有效的技术手段,保证数据安全。就云技术提供的服务商来说,采用目前最为先进的虚拟化海量存储技术来管理和存储数据资源是实现安全存储的有效途径。虚拟化海量存储技术采用数据副本的方式进行容错,通过对每个虚拟盘创建多个副本来提高数据可用性和访问性能,实现存储。另一方面对于图书馆而言,对图书资料进行备份是必不可少的,各馆也应自行对馆藏各种数据资源进行及时、全面的备份并长期、可靠地保存。
4.3 保证图书馆信息资源的保密性和完整性
加快信息安全基础设施建设,推进其核心内容公钥基础设施pki的应用是云计算环境下为了保证“云”中的信息资源在存储和传输过程中不被非法下载或恶意篡改的重要途径,只有不断进行技术创新,才能应对图谋不轨者的不良意图,安全基础设施建设是网络安全的基础,应用最先进的技术可以建设数据被篡改、破坏的可能性。只有当你的安全级别最高时,技术低的黑客才能望而却步,实践证明pki的建设和应用,使图书馆可以在各种网络使用加密和数字签名技术,保证了数据的机密性和完整性。
4.4 加强图书馆信息资源的操作权限管理
图书馆的操作权限必须加以控制,这是毋庸置疑的,在云计算环境下的图书馆中,如何进行权限设置也成为图书管理探索的主要问题,实际应用中,图书馆操作权限的制定是以用户对信息需求程度划分的,用户被分为若干个层级,根据阶段严格控制用户对资源的访问权限。目前比较成熟的权限管理与控制技术是特权管理基础设施pmi,基于属性证书(ac),以pki体系为基础,在用户请求服务时进行权限验证,这也使其成为用户和服务提供者间的安全基础。图书馆通过pmi进行授权管理,可以区分普通用户和图书馆的工作者,这样就增加了图书馆数据的安全性。
4.5 加强图书馆信息资源的用户访问控制
由于云计算环境具有异构性、动态性、跨组织性等特点,这就引起了一个弊端,那就是对用户在使用每一个云资源之前都进行身份认证成为乌托邦,但是云计算环境下进行用户身份认证对于数据安全起到至关重要意义,事实上只有通过认证的授权用户才能访问云中的相应的信息资源。为此,云环境下的图书馆可采用单点登录的统一身份认证与pmi权限控制技术相结合的方法,利用两者的优势形成互补之势,从而严格控制用户对资源的访问,以有效地保证数据与服务安全。
5 结束语
在互联网的时代,图书馆信息资源中心于云计算模式联姻,为图书馆的发展带来机遇的同时也带来挑战。数字图书馆应用云服务平台,具有了更快的服务速度和更大的储存空间,既带来巨大的经济利益也带来良好的社会效果。与此同时数字图书馆的高度共享与协作也带来了云安全问题。面对数据安全问题,各界都在积极探索解决方案,我们有理由相信,随着图书馆界对云计算技术的关注以及安全技术的广泛应用,我国数字图书馆的发展将进入一个崭新的阶段。
摘要:云计算技术作为新兴的技术,成为社会各界关注的焦点,将云计算应用于传统图书馆管理,也给图书馆界带来巨大的革命。本文基于云计算的作用,对云计算进行概述,云以及云计算给图书馆带来的新机遇和安全问题,以期为信息安全管理给出好的解决方案。
关键词:云计算,云安全,图书馆,对策
参考文献
[1]邓仲华,钱剑红,陆颖隽.国内图书情报领域云计算研究的分析[J].信息资源管理学报,2012(02).
[2]马晓亭,陈臣.云安全2.0技术体系下数字图书馆信息资源安全威胁与对策研究[J].现代情报,2011(03).
[3]李永先,栾旭伦,李森森.云计算技术在图书馆中的应用探讨[J].江西图书馆学刊,2009(01).
[4]杜海宁.基于云计算的图书馆海量数据存储研究[J].图书与情报,2010(03).
[5]续敏.图书馆云计算应用模式[J].现代电子技术,2012(03).
[6]翟玲.混合云是公有云和私有云两种服务方式的结合[J].计算机光盘软件与应用,2013(06).
[7]刘增才,柳毅.基于混合云的安全数据存储架构[J].现代计算机(专业版),2011(27).
[8]刘媛媛,刘志亮.云教育在数字校园中的应用[J].电脑知识与技术,2012(36).
[9]李春华,刘世平,张璐和.关于对云计算的图书馆海量数据存储研究[J].图书与情报,2012(04).
云计算下的信息安全 篇8
云计算是计算机基于互联网的技术产物, 是一种基于互联网的简单快捷的计算方式。云计算是对网络技术、互联网而言的一种虚拟资源, 云计算环境就是互联网技术的环境。通过网络, 在云计算环境中, 信息资源、软件资源和硬件资源可以实现共享, 小到软件安装、配置, 大到复杂繁琐程序编写。通常意义上说的云计算指的是计算机的一种应用模式, 云计算环境将网络中的服务器、软件、存储等等资源进行聚集, 用户需要时访问云, 即可获取自己需要的数据。随着互联网的普及, 云计算呈现大规模发展态势, 很多企业利用云计算生产出相关产品在互联网上提供服务, 但这些服务仍主要面向普通用户, 从目前的发展情况来看, 尚未在商业应用中得到认可和普及。其原因是云计算的运营模式有待进一步探讨, 而更为重要的原因是云计算仍然存在很多问题尚未解决, 其中非常重要的一个便是安全问题。发现云计算安全问题, 找出解决的策略是提高云计算信息安全水平, 保证其顺利发展的重要环节。
云计算体系架构分三个层次, 从下网上依次为基础管理层、应用接口层和访问层, 其中, 基础管理层实现资源共享, 应用接口层完成对外提供服务的方式方法, 最高层访问层可以实际解决一些问题。
1 云计算环境下存在的信息安全、风险探讨
云计算环境下, 资源虚拟化, 使得云计算环境下的服务器、存储设备、网络设备等硬件高度整合, 从而使网络边界模糊, 数据存储和处理方式变化, 因此导致云计算环境下的信息安全风险扩大化。
1.1 信息安全边界模糊
与传统的网络边界在物理和逻辑上的安全区域有清晰的界定相比较, 云计算环境下的信息安全边界比较模糊, 这是由于云计算在物理上, 包括多个存储设备、计算资源和网络设备等, 进行高度整合, 基础网络架构一体化, 且同时运行多个系统, 在逻辑上实现了虚拟化, 使得云计算环境下很难清楚、准确的定义边界, 进而造成传统环境下的用户信息安全保障手段很难实现预期效果。因此, 在云计算环境下, 需要探寻新的安全保障模式。
1.2 数据存储和传输的安全风险
在云计算环境下, 所有数据的处理、存储、传输均在在云端完成, 用户端只需完成数据发送请求, 数据处理、传输、终端页面展示等都是在云端通过网络处理和传输, 因此, 云计算对开放的云端、开放的网络依靠性极强, 这也带来了严重的安全隐患, 如终端用户之间的数据机密性、安全性和完整性不能保证。在云计算环境下, 用户将数据保存在云端, 而云服务供应商如何确保终端用户数据在云端被妥善保存, 并确保提供服务时数据被可靠地交付给用户, 而不存在泄密问题、访问机制问题和身份认证问题, 都直接决定数据存储和传输的安全性, 而在云计算“大行其道”的今天, 这些都问题都亟待解决。
1.3 云服务器安全风险
云计算的特点就是实时、实地的为客户提供资源共享, 因此云服务器承担着大数据、大资源的网络架构, 其服务器工作的繁重程度可想而知。具体来说, 云计算服务器承担着对内对外多重的任务, 对外提供应用服务, 对内提供数据需求、处理等。云服务器的网络环境具有开放性特点、云服务器的用户采用多种终端设备和场景访问服务器, 这些都给云计算服务器带来多重的安全风险。如何提高云服务器的安全性, 使之充分保障云端的安全、用户的安全都是指的研究的内容。
另外, 云计算环境下, 对服务器的承载能力有一定的要求, 要有一定的扩展性, 依托统一架构。云计算环境下, 还存在身份甄别、认证管理等安全机制问题。
2 你云计算环境下信息安全防护策略
从根本上解决云计算环境下的信息安全问题, 首先就必须要从机制上制定相关规定, 完善市场环境, 建立市场准入制度, 加强对其骨干网的监控, 这样才能保证市场公平有序竞争。其次, 要引导云计算有序发展, 加大云计算开发、服务力度, 培育公共云服务体系, 最终服务于社会经济的全面发展。第三就是要整合现有资源, 优化云计算设施, 对云计算数据进行合理布局, 为信息资源更好的对用户开放实现资源共享打下坚实基础。第四就是要充分发展创新能力, 发挥云服务企业的主观能动性, 逐步突破技术难点, 适时推动云计算与互联网、物联网的融合, 创新发展, 推动云计算整个产业链条全面进步。最后是根据云计算的环境特点, 切实加强云计算的服务安全。
2.1 对云计算环境进行安全区域划分
云计算从安全体系结构上进行划分一般包括主机安全、网络安全和应用层安全, 从以上讨论分析的云计算需解决的问题, 将云计算按照安全防御体系进行安全区域划分, 包括基础网络层级、虚拟化服务层级和数据存储层级三个防护级别。其中, 基础网络层级安全防护的主要内容为保障各类计算机资源基于统一基础架构的网络接入和运行平台的安全;虚拟化服务层级安全防护的主要内容为保障整合、处理的各种虚拟资源能够按提供按需服务来承载平台的安全性;数据存储层级安全防护的主要内容是保障云计算大数据存储、传输并实现数据安全隔离的支撑平台安全。
2.2 建立行之有效的安全机制
首先是要建立纵向深入的防御机制, 保证基础网络的安全性。云计算环境下, 物理边界界限模糊不清, 用户划分实现隔离只能依赖于逻辑, 不能利用以往的模式来对流量和部署进行安全防护。因此, 安全的部署应由基于子系统的转换为基于整个云计算架构的安全防护。这种整体的安全防护措施可以提供统一集中的安全服务, 符合云计算环境下, 物理边界不清晰的逻辑隔离方式。其次加强加密和VPN技术, 构建出安全的逻辑边界, 保障用户数据流网络传输的安全性。最后, 加强备份, 包括系统、数据的异地容灾备份。
云计算的纵向深入安全防御机制要将云计算的网络、用户端、后台维护端整体、全面的覆盖, 这样才能保证云计算环境下的安全可靠性。
2.3 建立可靠可行的虚拟化环境, 保证云计算安全
云计算的目的就是满足用户的需求服务, 要实现用户的需求就必须借助虚拟化技术来实现。利用虚拟化技术提供个性需求并合理分配资源, 也就是说利用虚拟化才能给用户从云的一端到另一端的数据服务。因此云计算服务管理中心要采用分布式虚拟交换技术来实现以上需求。
2.4 防火墙技术
智能防火墙技术是在模糊数据库原理的基础上, 建立新型的防火墙技术, 通过分析网络行为、精确配置资源数据, 对信息进行辨识来起到控制用户访问的目的。智能防火墙技术主要包括:入侵防御技术、防欺骗技术、防扫描技术、防攻击技术等。智能防火墙可以准确识别恶意数据, 拦截这些数据流入到用户的终端机内, 有效保证了用户的安全性。
2.5 反病毒技术
计算机病毒给计算机带来了很大的威胁, 在云计算环境下, 其危害性更加严重。在云计算环境中安装反病毒技术, 可有效防御病毒的入侵。反病毒技术包括:动态实时反病毒技术和静态反病毒技术, 从动静两个状态对其进行全面反入侵。
2.6 综合多种技术手段, 保障数据安全
数据存储在云端的存储设备中, 是云计算的核心, 数据的安全性、用户信息的保密性、隐私性和完整性是云计算安全的首要核心问题。一般采取的综合技术手段包括:数据加密技术、身份鉴别技术、登录认证模式、权限管理控制、用户访问审计、数据备份恢复机制、参与信息保护等方面对云计算安全性进行综合管控。
3 结语
云计算是未来计算机与互联网结合发展的趋势, 云计算将给用户带来极大的方便, 就有无限的可能。给用户带来利好的同时对云计算提出了更高的要求。在云计算环境下, 全面分析其隐含的安全风险, 本着保障云计算环境下用户信息的完整性、安全性、机密性等基本原则和目标, 构建切实可行的规范机制, 积极创新云计算的功能点, 解决其安全风险问题, 是云计算、大数据发展的必要环节。
参考文献
[1]顾理琴.浅谈云计算 (Cloud Computing) —未来网络趋势技术[J]电脑知识与技术, 2008, (S2) .
[2]杨寅春.网络安全技术[M].西安电子科技大学出版社, 2009.
[3]张显龙.全球视野下的中国信息安全战略[M].北京, 清华大学出版社, 2013.
[4]高东升.如何面对云计算的安全问题[J].网络与信息, 2012 (09) .
[5]郭乐深, 张乃靖, 尚晋刚.云计算环境安全框架[J].信息网络安全, 2009, (07) .
[6]李洪洋.云计算差异化安全技术研究[J].计算机光盘软件与应用, 2013, (16) .
[7]刘洁, 薄详臣.云计算环境下信息安全防护方案探讨[J], 网友世界, 2013, (7) .
云计算下的信息安全 篇9
云计算是一种将无数个个体计算机通过虚拟网络连接起来,组成一个分散式的群体,并且通过运算处理庞大的数据信息,将庞大的程序进行拆分,形成诸多细小程序,通过实行同时间处理,得出客户需求的数据信息后进行整合,从而快速的反应给客户。这种分布式的计算方式,并未获得业界的专业定义,在经过可以的不断演化,它逐渐形成了自己独特技术体系,融合了虚拟化、网络计算和分布式的诸多技术成分在其中。云计算的技术平台主要是以为云计算的各客户提供软件服务的Saa S(Software-as-a-service,软件即服务),以及对云计算应用给予软件开发服务支持的Paa S(Platform-as-a-Service,平台即服务)和以为Paa S提供存储资源与计算资源的Iaa S(Infrastructure-as-a-Service,基础设施即服务)三部分组成。
2 云计算存在的优点与缺点
云计算的产生与应用对于用户来说有相应的好处,由于云计算采用上千节点共同工作的方法,对于其中个别节点的失效带来的影响可以忽略不计,大大的提高了工作效率,从而降低了重复操作,失败操作的产生。上述优点是基于云计算本身较强的扩展特性,可以允许上千节点共同工作,形成集群化。云计算的布局上相较于传统网络也更加的方便用户操作,用户可以通过互联网进行相应的软件资源,以及硬资源的共享,相较于传统网络来说,功能性大大的增加了。
然而凡事有利自然有弊,特别是对于网络这种高科技技术来说。云计算虽然实现了网络资源高效的推广与共享,然而相对的其安全性也同时无法得到保障,与此同时作为新兴的服务技术对于服务质量也还不能更好的保障,与传统技术分布的过渡还不够完善,并且容易形成行业垄断。
3 传统技术安全与云计算安全技术的差异
传统的技术虽然在灵活性上无法与云技术同日而语,然而在安全性上却有一定的长处。其中由于传统的网络技术对于网络封闭的要求较高,知识企业的对外出口仅仅是邮件或者网页服务器,这些渠道都相对较为保密,与外界的实际接触相对较少。相对的,云计算中的“云”确实处于公开网络之中,完全的暴露使其很容易受到网络攻击,无法确保自身的安全。且此在信息存储方面,传统技术都会将信息存储在可以掌控的范围之内,而云技术却将整个信息技术存放在整个“云”之内,导致了数据的存放与管理想分离的结果。再者云计算的虚拟化虽然拥有着相对的方便性,却也存在着不稳定性,并且想要解决其的安全性也相对较为复杂。最后是对于软件的升级方法,原有技术的软件升级是将升级程序下载到本地之后,对于相应软件进行升级,而云技术则直接采用在线升级,虽然大大降低了升级时间,可是对于之后的信息保护,则构成了严峻的考验。
4 云计算面临的安全隐患
以上的安全问题只是相对与传统技术来说的整体问题的冰山一角,接下来将对云计算面临的安全隐患进行较为系统的分析。
4.1 用户身份确认面临的问题
在云计算的服务中,云计算为不同的服务对象提供了不同的服务内容。但是根据不同的客户应用环境不同,对于确保客户信息的安全性,则提出了很严峻的需求。如果云计算的网络服务提供者无法做到拥有相对较完善的认证系统,致使应用中存在安全隐患,无法确实的认证客户身份,则会给不乏分子带来可乘之机。进而使云计算系统受到网络攻击,破坏系统整体安全性,导致客户身份的信息泄露或者被篡改,这对客户和服务提供者来说都是不可估量的损失。
4.2 网络层面的安全问题
云计算做为向网络用户提供服务的一种技术,可以分为私人云计算与公共云计算两种形式。其中私人云计算因其是针对私人提供的云服务,所以在其安全型的问题上并不用做太多探讨。相对的,公共云计算则全然不同。在公共的云计算里,由于“云”中数据的公开性,致使许多原本处于私人网络上信息通过“云”提供给了公共网络,这就使相应的云服务要保障其数据的完整性、保密性及安全性。然而由于云计算服务的开放性,则相应的安全漏洞,系统漏洞则不可避免的产生在相应的服务当中。另外,在资源的访问控制方面,云计算也存在着一定的问题,由于系统中提供的资源相对较为庞大,其中是否混有有问题的资源没有人能够及时明确,即使发现到存在问题的文件,查找出源头也非常困难。
4.3 法律道德层面的安全隐患
这种隐患并非来自于对云计算应用或者其技术方面的隐患,而是更多的来自于社会方面的隐患。由于云计算在实际的应用中,信息存储性与流动性都非常巨大,而且完全不受物理空间地域的限制。这样的信息流动往往不仅局限于某一方面或者某一国家,在法律无法完全顾忌到的领域,引起相应的法律纠纷或者道德纠纷的几率非常大。又由于云计算本身的虚拟性,在相应的法律判定与道德审查中又很难具体给出相应定论,极易引起社会混乱。
5 云计算安全防范的策略
5.1 用户身份确认的解决方案
面对用户身份确认的复杂性,目前云计算采取的合理的解决方法是,通过确保用户身份信息的合法性,来确保登录系统的用户是其本人。主要的认证方法有三种。其一是静态密码的输入,这种密码是由申请用户自行设置,做为登录系统的凭证,虽然相对较为简单,但是由于其自身是静态的,所以容易被网络截取。其二是USB KEY的应用。这是一种利用USB接口作为识别的移动钥匙,存储着用户相应的个人信息与动态密码钥匙和其他认证资料,利用内置芯片中的运算系统对用户进行身份信息的认证。其三是通过生物手段进行识别。这种手段是基于人体勘测的一种方法,通过指纹、声纹、人脸等方式识别。这种方式在三种方式中是最为安全并且最为精准的一种识别方式。只是需要的设备相对较为精贵,因此需付额外成本较高。
5.2 网络层面的解决办法
对于网络层面产生的问题,目前行之有效的处理方法是对相应的信息内容进行加密处理,客户想要提取想要的内容信息,必须要输入相应的密码才可以进行提取下载。这样可以有效的提升文件的安全性,也可以更为有效的提供分享平台。相应的,对于无法确认其是否存在问题的文件,则可以采取文件上传及时审核制度,根据分析整理存在问题的文件内容形式与特征,从而对上传到“云”的文件进行统一的筛选与处理,更好的保证文件的安全性,降低其产生问题的概率。
5.3 构架体统完善的安全体系
使用云计算的客户,在看中了其方便快捷的前提下,也同样对其的安全性有着很高的期待。在技术层面上解决了相应的问题之后,在法律道德层面出台相应的政策也对构建云计算安全体系有着重要的推进作用。针对目前云计算的特点,行之有效的建立相应的规章制度,从法律层面进行约束。另外道德方面也要进行正确疏导,从而使其有底线,不越底线,整体技术向着有利于人类社会发展的方向前进。
云计算是科技发展过程中重要的创新思维,虽然在其完善的过程中还存在着不足之处,但是随着科技的不断进步,其自身的发展也能跟着逐步完善。积极探讨云计算仍存在的不足,正确探索行之有效的改革方向,才能促进其不断成熟,从而推进现有科技再一次做出质的飞跃。
摘要:随着科技的高速发展,计算机应用到千家万户,计算机技术的探索也从未止步。云计算作为一种全新的技术形式,在近年来的计算机应用里迅速的占领了市场。由于它自身存在的虚拟性与分布性以及强大的网络计算能力,越来越受到应用群体的偏爱。本文将根据云计算在网络环境下运行中产生的安全问题进行研究,从而找到合理的改进方法。
关键词:云计算,网络环境,信息安全,问题研究
参考文献
[1]徐帅.云环境中数据安全及访问控制模型研究[D].华东理工大学.2014.
[2]李凌.云计算服务中数据安全的若干问题研究[D].中国科学技术大学.2013.
[3]熊金波.云计算环境中文档安全访问与自毁研究[D].西安电子科技大学.2013.
云计算下的信息安全 篇10
关键词 网络环境 计算机信息 安全体系
中图分类号:TP3 文献标识码:A
0引言
随着信息化的不断发展,计算机被广泛应用于生活、工作和娱乐中,然而,在使用计算机的同时,也会面临许多问题,如黑客入侵,信息泄露等,给人们的生活带来很大的困扰。为此,应该对影响计算机信息安全的因素进行详细的分析,这样才能有针对性的提出应对措施,确保计算机信息的安全。
1网络环境下计算机信息存在的安全隐患
(1)计算机软件存在的隐患
任何的软件都存在一定的安全隐患,这已经成为了人们公认的一种客观事实,然而,这些隐患的存在为非法用户进行信息破坏创造了有利条件,这严重影响人们的工作和生活。
(2)经常遭受到病毒入侵
不法分子经常利用病毒,以计算机为载体,以电子邮件和网页访问的形式进行传播,从而使用户在网络操作过程中无意识的就感染了病毒,以至于信息被不法分子篡改或窃取。如果用户不对信息进行加密或安全处理,就很容易被病毒攻击,造成个人资料泄露等后果。
(3)计算机软硬件水平相对落后
就目前而言,使用的软件以盗版居多,这在很大程度上造成了计算机信息的泄露和病毒入侵。在安装软件的过程中,一定要选择正版,并进行及时的漏洞修补和更新,安装杀毒软件,尽量降低网络信息的安全隐患,以免造成不必要的麻烦和危险。
(4)用户缺乏安全意识
在进行计算机操作时,很多时候用户会出现操作不当的现象,使计算机存在一些潜在的安全隐患,同时,由于一些用户缺乏安全意识,导致由于操作不当引发的漏洞得不到及时修补,从而造成系统瘫痪等现象。还有用户意识不到一些安全隐患,将自己的账号转借他人,造成一些不必要的网络信息泄露。
(5)信息安全管理水平不高
计算机的信息安全管理主要包括风险管理、安全系数评估和安全认证,很多国家已经建立起一套安全有效的信息管理体系。而我国目前的信息安全管理水平还相对不高,甚至没有相应的法律制约,导致我国信息安全存在很大隐患,由于我国的计算机信息安全管理是属于分开管理和执行的,所以给计算机信息资源的整合造成了很大困难。
2如何建构网络环境下的计算机信息安全技术
(1)树立安全意识
随着网络的飞速发展,网络信息安全也越来越受到人们的重视,然而,计算机病毒和木马也在不断的进化,所以,必须树立计算机信息安全意识,不能只有在受到侵害之后才想到要修复,要有优先意识,在病毒还没入侵之前就要采取措施积极防御,做到防患于未然,这都需要我们树立一个积极的安全意识,及时处理安全隐患。
(2)安装防火墙和杀毒软件
网络防火墙技术是一种用来加强网络之间的访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络数据,保护内部网络操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以确定网络之间的通信是否被允许,并监视网络运行状态。通常根据防火墙采用的技术可分为包过滤型、地址转换型、代理型和监测型。杀毒软件是我们经常使用的安全技术,它可以有效防御黑客入侵。但是,杀毒软件必须及时升级,只有升级都最新版本才能有效的防毒。
(3)加强密码技术的使用
密码技术是我们现阶段网络中最常用的安全技术,在重要信息的传输过程中,先使用加密设备对其进行加密处理,然后再进行发送。在对方接收到信息之后,用相应的解密钥匙进行解密,并将原文恢复,即使信息被盗取也无法得到信息的真实内容。所以,应更广泛的应用该技术,以确保信息技术的安全。
(4)加强用户账号的安全
在登陆一些网址和系统的时候,都需要一个账号,如网上银行账号,支付宝账号和电子邮件账号等。而获取合法账号和密码是黑客攻击网络系统最常用的方法,所以,要及时更换密码,尽量设置安全度较高的密码。
(5)加强对信息管理人员的培养
人才是一个行业的核心竞争力。只有注重培养高质量人才,才有可能及时处理计算机的信息安全隐患,才能促进计算机信息管理技术的不断发展。
(6)安全协议
在网络环境下,计算机信息处理安全系统的完善离不开安全协议,安全协议的建立使计算机信息处理安全保密系统更加规范、标准。通常保密协议分为加密协议、钥匙管理协议、数据验证协议、安全审计协议、防护协议。当前,要努力完善计算机处理安全系统,综合利用各种有效的信息安全措施,保护个人信息,减少信息安全隐患。
3结语
计算机信息处理从信息识别、采集、发布、管理到传递、储存等各个环节不断优化,呈现出迅速、准确、不受地域空间限制等特点,但是网络环境复杂,信息涉及面广,也造成了信息安全、信息质量等存在巨大隐患,针对这种现象,要综合利用各种安全技术,使计算机信息处理安全系统日趋完善。
参考文献
[1] 孟晓峰.关于网络环境下计算机信息安全的研究[J].信息与电脑(理论版),2014,08:32-33.
[2] 熊俊.基于网络环境下计算机文件信息安全的研究[J].信息安全与技术,2013,10:35-36.
云计算下的信息安全 篇11
经济全球化使整个市场的环境变得更加复杂, 这就对金融行业的管理、服务、业务的创新等提出更高的要求, 以适应时代的发展, 金融信息系统的建立对金融机构的转型或发展非常关键, 传统金融行业的信息管理和建设方式已经不再适应现代金融机构的需要, 金融机构要想在市场化浪潮下继续生存, 必须进行不断的探索。
2云计算概述
云计算是对互联网内的大量计算和存储资源进行优化整合, 利用虚拟手段来实现共用资源的目的, 云计算的使用者可以使计算机的管理、数据的运行与维修、后勤的保障等复杂的问题简单化, 用户只需要对生产的业务进行处理和相关的计算与使用。云计算提供的服务主要有以下几个特征:
2.1按需进行使用
云计算的用户可以根据自己的需求从云计算的资源中得到自己所学的资源。
2.2接入方式的多样化
云计算为客户提供的接入方式不是单一的, 有软件即服务, 平台即服务和基础设施即服务三种。
2.3 IT资源的虚拟化
云计算的虚拟作用可以把资源动态分布到不同的用户手中, 以便用户使用。
2.4弹性的架构
云计算能够根据客户需要弹性实现快速的上线和扩容, 而且其架构的改变不会影响用户的当前业务。
2.5异界环境的自组织
云计算能够同时为不同用户和应用提供相应的服务, 并对使用的资源进行优化, 对动态进行控制。
3云计算下金融信息安全隐患的分析
3.1银行核心的硬件技术被垄断, 对境外的软件依赖性很大
目前我国银行的核心硬件都是IBM, 但是这些系统基本上都使用国外的品牌, 存在很多的后门隐患, 虽然这些隐患很明显, 但是银行从多方面进行考虑, 不会对核心的硬件进行更换。
3.2数据的安全和应用存在隐患
国外发达国家很早就建立完备的安全系统, 但是现实中, 部分外国企业利用先进的技术对我国的网络系统进行侵扰的例子也层出不穷, 这样也影响了银行系统的数据安全, 对其形成隐患。
3.3金融的自助设备的核心技术也被外国垄断
我国金融行业的自助设备国产化比较高, 市场的占有率也较高, 但是其核心的技术却被外国垄断。国产的机芯在ATM中比例还不到11%, 进口的机芯占据90%, 其中蕴含的人民币识别技术与国家金融安全关系密切, 这些技术由国外掌握, 对我国的金融系统造成巨大的威胁。
4云计算下的金融信息系统安全
云金融是云计算在金融行业的应用, 可以把金融机构内的客户端和数据分散到“云”里, 使信息的共享程度得到提高, 可以使众多的企业进行联合, 对线下线上的资源进行整合, 对一系列金融活动进行整合, 形成全面、综合、整体的金融信息系统, 还为客户提供全方位的外包和云平台服务。基于云计算下建构的金融信息系统也面临一些安全问题, 云计算的平台应用需要客户的信任, 只有这样, 用户才会把数据信息存储到云环境内。
云计算支持下的金融信息系统安全风险防范。云计算使金融行业的信息系统得到很快的发展, 其安全问题也得到广泛的关注。具体如下:首先可以请安全的专业公司对金融信息系统的数据存储和运行的服务器定期进行升级, 关闭一些不必要的端口和服务, 以减少整个系统的安全漏洞。其次还要安装正版、正规的杀毒软件, 对病毒库及时进行更新, 提高系统服务器的安全性能, 使之能经受住病毒的侵害。然后要安装相应的防火墙, 不能使系统直接在网上暴露, 严格对接入的互联网进行限制, 最好只开放已经接入的客户端地址。最后要设置强度高的密码, 根据实际情况进行密码设置, 并经常进行更新, 密码更新的时间间隔要根据系统的数据情况而定。
5灾备方法分析
加强金融行业的灾备建设对于弥补金融业在信息系统安全方面的短板, 提高信息系统的安全能力, 避免发生大规模的数据泄露有重要作用。在云计算支持下, 云灾备也在金融信息系统的安全中发挥很大的功效。
云灾备建设要注意具有较高的可用性。金融行业具有较高的复杂性, 与其他行业的联系也越来越紧密, 随之而来的是因各种原因造成的数据信息安全问题。数据的灾备恢复往往涉及多个部门, 所以进行灾备建设必须要重视系统的可用性, 否则会对其他行业产生影响。云灾备建设还要注意数据的时间性、有效性和正确性。灾备系统是金融信息系统安全的重要防线, 所以不能使任何环节出现问题。
在进行金融信息系统安全的灾备建设时, 要注意对形式的把握, 加强对信息安全的重视。要想真正的做好灾备建设, 相关领导人必须加大对信息安全的重视力度, 不能应付检查, 要把工作做到实处, 要使安全信息工作变成常态。还要注意把握重点, 有序的进行灾备建设, 在平时的工作中要进行生产与灾备设备之间应急演练, 注意提高各步骤的自动化水平, 对灾备建设的设备和技术人员进行完善, 全面的提高金融机构应急能力。
此外, 灾备工作要做好相应的准备工作, 加强相互沟通。灾备工作要以备份中心的运营安全为核心, 对各类不可控制的灾害风险进行综合的分析与评估, 还要对到本地区的通信、电力等资源进行充分的考虑, 合理选择灾备中心的地址。
6结论
云计算支持下, 金融信息系统已经有了巨大的进步, 有利于金融机构发现和及时解决问题的水平和能力, 提高了金融行业的效率, 改进了其工作流程, 降低了企业成本。数据的安全问题会对这种技术的普及造成影响, 需要得到相关人员的重视, 不断进行改进, 提高安全性能, 从而促进金融行业的整体发展。
摘要:随着时代的发展和科技的进步, 越来越多的产业走向服务化道路, 云计算是一种新兴的互联网系统, 为金融行业发展服务化提供了新的空间, 有利于金融信息系统的安全, 促进金融行业健康发展。本文主要对在云计算支持下的金融信息系统的安全进行分析, 并对灾备方法进行研究, 以便更好的促进金融业的发展与进步。
关键词:云计算,金融信息,系统安全,灾备方法
参考文献
[1]杨华.云环境下金融信息系统安全框架研究[J].中国管理信息化, 2014, (17) :26-29.
[2]祁方民.银行业金融机构信息系统灾备建设问题分析与探索[J].机房建设, 2014, (08) :72-73.
【云计算下的信息安全】推荐阅读:
云计算中的信息安全11-26
云计算教育信息09-17
云计算环境下的计算机网络安全07-06
云计算信息技术教育08-21
云计算信息化09-25
云计算企业信息化06-01
云计算中小企业信息化09-07
云计算的医院全面质量管理信息系统设计论文09-21
云计算下的存储变革08-07
信息安全计算机安全11-10