未来智库 > 云计算论文 > 云计算下的信息安全探析

云计算下的信息安全探析

发布时间:2018-07-23 01:07:06 文章来源:未来智库    
    关键词:云计算;信息安全;安全策略
    0 引言
     随着信息技术的迅速发展,互联网需要处理的业务量快速增长。社会媒体网站例如视频在线、社交、博客、微博等提供了越来越多的服务;移动宽带网络和移动智能终端的使用及普及,非网络系统也带来了更多的负载。然而,与此同时数据中心的建设及维护成本则急剧增加。因此,如何处理海量数据与服务,进行资源优化,为用户提供便捷的网络服务,成为我们当前面临的首要问题。
     在这样的背景下,基于分布式计算特别是网格技术的发展,产生了一种共享基础架构的新型服务模式――云计算。
     1 云计算的含义及特点
     云计算借用了量子物理中的“电子云”思想,强调计算的弥漫性和无所不在的分布性和社会性特征。所谓的云计算中的“云”,是指用来完成数据存储和应用服务的几十万台、甚至上百万台的计算机群。
     1.1 云计算的概念
     云计算是一种新型的技术,对于这个概念还没有统一公认的界定。以下列举两个比较权威机构对云计算的解释。
     维基百科指出云计算是一种能够将动态伸缩的虚拟化资源通过互联网以服务的方式提供给用户的计算模式,用户不需要知道如何管理那些支持云计算的基础设施。
     IBM则认为云计算是一种共享的网络交付信息服务的模式,云服务的使用者看到的只有服务本身,而不用关心相关基础设施的具体实现。
     在比较和总结两个定义后,可认为云计算是一种由经济驱动的大规模分布式计算模式,实现抽象的、虚拟的、可动态扩展、可管理的计算、存储、平台和服务等资源池,通过互联网提供给用户,用户无需知道相关基础设施的具体实现。
     1.2 云计算的特征
     从上述定义中,可得出云计算的4个显著特征:
     (1)硬件和软件都是资源,通过互联网提供给用户。云计算改变传统的自给自足的IT运作模式,形成分工专业、协同配合的模式。资源不再限定在处理器、网络带宽等物理范畴,而是扩展到软件平台、Web服务和应用程序的软件范畴。
     (2)资源可根据需要进行动态扩展和配置。例如,Amazon EC2(Amazon公司构建的云基础设施服务)可以在极短的时间内为华盛顿邮报报社初始化200台虚拟服务器的资源,并在9个小时的任务完成后快速地回收这些资源,来满足用户的需求。
     (3)提供给用户的资源在物理上以分布式的共享方式存在,但在结果上以单一整体形式呈现。IBM公司在世界范围内共拥有8所研究院,IBM RC2系统将研究院中的数据中心通过企业内部网连接起来,为世界各地提供服务。作为最终用户,并不知道每次的科学计算运行在哪个研究院的哪台服务器上,分布式的资源隐藏了实现细节,以单一整体的形式呈现给用户。
     (4)用户按需使用云中的资源,按实际使用量付费,而不需管理它们。
     2 云计算信息安全问题
     在云计算环境下,用户不再需要自身去拥有基础设施的硬件资源,软件可随时运行在云中,业务数据也存储在云系统中,因此云计算的信息安全至关重要,是其能否健康持续发展的重要指标。Gartner公司的两名分析师共同撰写了《云计算安全分析按评估》的研究报告,该报告指出云计算存在巨大市场,但也要清楚地认识到它的风险,采取必要的防范措施。云计算存在的信息安全问题表现如下:
     (1)用户的分类和权限不同,隐私保护和特权接入。在云计算环境里,用户的个人数据随机分布在不同位置的各个虚拟数据中心,用户隐藏的数据和信息可能被具有最高权限的系统管理员访问并泄露。企业需要获得云计算服务商提供和监管享有特权的管理员方面的具体信息。
     (2)审查功能不健全。在使用云计算的服务环境下,用户对自己数据的完整性和安全性负有最终的责任。然而一些云计算服务提供商拒绝外部审查和安全认证。因而用户无法审计运算结果则需要承担更多的责任和义务。
     (3)数据位置不定和数据隔离不清。基于云计算资源分布共享方式的特点,用户无法清楚地知道数据运算和存放的具体位置,而是随机分布在世界各地云计算服务提供商提供的服务器上。除此之外,用户的数据在云计算环境中共享,一旦加密系统失灵,则所有数据将被封闭、不可使用。所以用户要求云计算提供商将一些数据与另一些隔离,以及由专家设计并测试加密服务。
     (4)数据恢复较难。由于用户无法得知数据在云计算中的运算和存储的具体位置,因此若是没有对数据和应用程序进行备份,一旦出现突发事件(例如断电、机器故障等)时,将无法保障用户数据的安全性,更无法对数据进行恢复。
     (5)信息安全法律法规存在地区差异。目前,如果云计算的多台服务器放置在不同的国家,他们面临的IT管制政策会不同。比如有些国家可以通过法律授权机构查看存放在数据中心的数据,而有些国家则严格保证用户的数据信息隐私,所以用户和企业使用云计算服务时,可根据自身情况提出个性化的需求。
     3 云计算中信息安全策略
     针对云计算的安全风险评估和信息安全问题,在云计算应用过程中应采用以下几方面的安全策略:
     (1)操作权限管理及访问控制。根据用户对信息的需求及数据信息的保密级程度不同,将用户、信息划分为不同的等级,严格控制和管理对信息的访问权限。其次,用户的身份认证和管理也是非常重要的。只有通过认证的授权用户,在其身份的生命周期内才可以访问云中的相应信息。身份认证可以通过单点登录认证、强制用户认证、代理、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式,控制信息资源的访问,从而保证数据和信息的安全。
     (2)建立私有云、公共云及混合云的安全防护。云计算可按照服务对象划分为私有云、公共云和混合云。私有云一般部署在企业网内部,使用传统的IT安全措施可直接应用到私有云的保护上,安全防护相对比较简单,但也应做好系统容灾、数据备份及业务回退机制,提高针对突发安全事件的处理能力。公共云和混合云则涉及到云服务商和云计算用户,安全防护较复杂,需要云计算服务提供商和用户系统配合,共同提高云计算服务安全水平,以应对云计算系统故障等突发安全风险。
     (3)数据的隔离、加密和保护。云计算服务提供商应根据数据和服务的类型而使用不同的隔离技术,来实现用户间及用户不同类型数据间的隔离。为保证云计算的安全必须加强数据的私密性,因而不论是用户还是提供商,都要对数据进行加密。例如Amazon的S3在客户存储数据的时候自动生成MD5散列,不需要使用外部工具为数据生成MD5校验,以此保证数据的完整性。对于在云计算平台存储和运行的数据,采用快照、备份和容灾等手段确保用户数据的安全。
     (4)选用可靠的云计算服务提供商。Gartner公司副总裁David Cearly表示,“使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。”所以,企业或用户在选择云计算服务上时,应根据其自身的具体要求进行选择,专家推荐使用那些规模大、信誉好、品牌有保障的大公司。
     (5)法律和协议。美国公共会计审计师协会制定的SAS70标准是以第三方认证来确保数据安全,萨班斯法案的颁布也是为数据保护提供法律依据。这些法律和规章制度的建立有利于云计算的稳定运行和健康发展,并且使得云计算服务提供商能够更好的服务避免数据丢失,对客户损害提供了保障,将利于云计算开发出更优化的架构。
     4 结束语
     云计算的出现使人们可直接通过网络获得更多的资源,并实现随时随地使用硬件和软件进行运算存储。然而面对云计算未来能否健康可持续发展的问题,信息安全是其中的一个重要指标。本文围绕云计算的定义和特征探讨云计算的信息安全问题,并提出几点安全策略。随着云计算产业链的不断完善,云计算应用及服务将会向着更可靠、更安全、更可信的方向发展。参考文献:
    \[1\] 王萍,张际平.云计算与网络学习\[J\].现代教育技术,2008(6).
    \[2\] 陈丹伟,黄秀丽,任勋益.云计算及安全分析\[J\].计算机技术与发展,2010(2).
    \[3\] 刘猛.探析云计算中的信息安全\[J\].计算机安全,2011(2).
    \[4\] 张水平,李纪真,张凤琴,等.基于云计算的数据中安全体系研究与实现\[J\].计算机工程与设计,2011(12).
    \[5\] 虚拟化与云计算小组.虚拟化与云计算\[M\].北京:电子工业出版社,2010.
    (责任编辑:夏红玉)
    

转载请注明来源。原文地址:https://www.7428.cn/page/2018/0723/23565/
 与本篇相关的热门内容: