论文部分内容阅读
摘 要:云计算技术是IT行业的发展方向,并成为各国最优先发展的技术之一。目前,阻碍云计算发展的瓶颈是云安全。云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面。要实现云安全,必须解决几个问题。最后指出具体使用那些云安全技术来解决云安全问题并附云安全调查报告。
关键词:云;云计算;云安全
中图分类号:TP393.01
自2006年谷歌公司提出云、云计算概念、理论及推出的“云计划”,世界上各大IT公司陆续推出自己的“云计划”。由于云计算,以其低成本 、高度自动化、无限存储扩展性、高度灵活性、无需基建投资等等的巨大优势,迅速成为IT行业发展的方向,并成为各国最优先发展的技术之一。随着云计算技术的发展,各种云计算应用,诸如:云办公、云安全、云存储、云打印、云通讯等等相继推出。特别是在大众消费电子、信息技术产品上诸如:“云手机”、“云电视”、“云杀毒”、“云游戏”……各种“云概念”产品和服务急剧增加,似乎世界一下进入到“云计算时代”。
然而,在人们享用云计算的好处的同时,云的安全和风险日益成为阻碍云计算发展的现实问题。也就是说,云安全日益成为阻碍云计算产业发展的瓶颈。进而影响到整个信息产业的发展。
1 在我们探讨云安全之前,我们先来了解下,什么是云?什么是云计算?
云,这个概念由谷歌公司提出。因其无边的扩展性而形象的取名。实际上,云指的是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等等。
云计算,也由谷歌公司提出。是将所有的计算资源(云)集中起来,并由软件实现自动管理。是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。具体说,是指建立功能强大的数据中心,用户最大程度简化个人客户端,接入数据中心进行存储和运算。就像过去打井取水,现在则从自来水公司购买水喝。简单说,云计算,就是非本地计算。
对于用户而言,云安全问题的解决是关系到云服务能否得到认可的关键因素。对于云计算的应用而言,云安全也是云计算应用的主要障碍之一。比如:计算资源的系统发生故障,缺乏统一的安全标准、安全法规,以及隐私保护、数据属权、迁移、传输、安全、灾备等问题如何有效的解决。
2 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面
(1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些信息的。
但是当用户信息成为云计算的资源储存在云上时,任何人使用这些信息,导致隐私泄漏,尚没有法律依据如何进行处罚。
另外云服务提供商对登记注册管理不严格,也极有可能造成不良分子注册成功并对云服务进行攻击,造成云的滥用、恶用以及对云服务的破坏。
(2)互联网、硬件设备的安全。云中可能存在不安全的接口和API,且用户数据集中在此,更容易受到黑客攻击和病毒感染。当遇到重大事故时,云系统将可能面临崩溃的危险。
2.1 那么如何才能实现云安全?
必须解决以下几个问题:首先,健全法律法规,保障云计算用户象相信银行一样,相信云服务提供商,树立云服务提供商的公信力,使用户象在银行存钱一样,把数据存在云服务提供商那里。其次,保障不同用户之间相互隔离,互不影响,防治用户“串门”。第三,租用第三方的云平台,必须考虑解决云服务提供商管理人员权限的问题。第四,传统互联网服务为避免单点故障,使用了双机备份:主服务器停止服务,备用服务器随即启动提供服务。但是在云环境下,一旦云服务提供商的服务停止了,将会影响到一大片用户,其损失很可能是巨大的。因此必须解决云服务突然终止所带来的风险问题。
2.2 那么如何实施应用具体的云安全技术解决云安全问题?
云中数据安全:目前,云中数据安全防护技术主要有:增强加密技术、密钥管理、数据隔离、数据残留等,用这些技术来解决用户数据在云端计算、存储及数据的归属权、管理权相分离,带来的数据安全问题。
云计算的虚拟化安全:云计算的特征之一是虚拟化。虚拟化的安全直接关系到云计算的安全。虚拟化技术虽然加强了基础设施、软件平台、业务系统的扩展能力,但却使传统物理安全边界逐渐缺失,使基于以往的安全域/安全边界的防护机制不能满足虚拟化环境下的多租户应用模式。
云环境中存在着虚拟化软件安全和虚拟服务器安全两方面问题。虚拟环境中的安全机制与传统物理环境中的安全措施相比,仍有差距。因此,在云计算环境下,用户需要了解用户及云服务提供商双方所要承担的安全责任,只有用户与云服务提供商共同承担安全责任,才能保证云计算环境的安全。
云终端的安全:目前可以从云终端的基础设施、硬件芯片可信技术、操作系统安全机制、应用安全更新机制等四个方面进行云终端安全防护。
云计算的应用安全:由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来很大挑战。云服务提供商在部署应用程序时应当充分考虑可能引发的安全风险。对于使用云服务的用户而言,应提高安全意识,采取必要措施,保证云终端的安全。如用户在处理敏感数据的应用程序与服务器之间通信时采用加密技术。用户应建立定期更新机制,及时为使用云服务的应用打补丁或更新版本。
云计算产业发展的核心是服务,因此,为保证云计算服务的可靠性、易用性、可操作性、安全性和稳定性,必须在数据迁移、备份、加密以及位置控制方面深入探索、研究。同时,要不断完善云计算相关的法律法规,让用户象在银行存钱那样对使用云计算有信心。但无可否认,除了不断探索、研究、推广成熟的云计算安全技术之外,用户的自我防护意识也需要加强。
当然,在相关云计算技术和标准尚未成熟的今天。若想解决云计算的安全问题,需要政府大力支持和业界的广泛联合,组成一个完整的生态系统,共同实现云计算的安全。
附录一:《2010中国云计算调查报告》关于云安全在中国应用状况调查的主要结论:
(1)针对云安全的三种说法,都有相当的用户认可(三种提法:1、云安全是利用云计算技术提升信息安全;2、云安全是安全即服务;3、云安全是解决云计算技术本身安全的问题)。
(2)在安全即服务厂商认知度调查中,奇虎360、瑞星、卡巴斯基等厂商表现较突出。
(3)企业用户对数据安全与隐私关注度最高。
(4)不同规模企业对于云杀毒的价值订可度存在差异。
(5)用户对云安全的发展趋势持乐观态度。
附录二:《2012年中国云计算安全调查报告》调查结果:
(1)在云计算部署模型中,企业认为私有云是最安全的,其次为基础设施即服务(IaaS),平台即服务(PaaS)位居第三。
(2)在云计算部署模型中,企业认为软件即服务(SaaS)是最不安全的,其次为混合式(有的是内部管理资源,有的是来自于IaaS/PaaS/SaaS厂商)。
(3)企业表示永远不会迁移到云端的特殊类型数据依次为信用卡数据、商业或者合作伙伴的财务数据和客户身份信息。
(4)对于云计算/云服务,企业最关心的三个主要的安全问题是账户劫持、云数据访问以及特定云攻击/威胁(非目标性的)。
参考文献:
[1]薄明霞.浅谈云计算的安全隐患及防护策略[J].信息安全与技术,2011,9.
[2]TechTarget中国.2012年中国云计算安全调查报告.
[3]盛拓-SEQUEL[J].云计算在中国的应用,2010-9.
作者简介:张秀娟(1962.5-),女,呼和浩特人,本科,中级职称,教师,研究方向:教学;武玉庆(1964.9-),男,呼和浩特人,专科,中级职称,教师,研究方向:计算机应用及网络技术。
作者单位:内蒙古卫生干部教育培训中心,呼和浩特 010031
关键词:云;云计算;云安全
中图分类号:TP393.01
自2006年谷歌公司提出云、云计算概念、理论及推出的“云计划”,世界上各大IT公司陆续推出自己的“云计划”。由于云计算,以其低成本 、高度自动化、无限存储扩展性、高度灵活性、无需基建投资等等的巨大优势,迅速成为IT行业发展的方向,并成为各国最优先发展的技术之一。随着云计算技术的发展,各种云计算应用,诸如:云办公、云安全、云存储、云打印、云通讯等等相继推出。特别是在大众消费电子、信息技术产品上诸如:“云手机”、“云电视”、“云杀毒”、“云游戏”……各种“云概念”产品和服务急剧增加,似乎世界一下进入到“云计算时代”。
然而,在人们享用云计算的好处的同时,云的安全和风险日益成为阻碍云计算发展的现实问题。也就是说,云安全日益成为阻碍云计算产业发展的瓶颈。进而影响到整个信息产业的发展。
1 在我们探讨云安全之前,我们先来了解下,什么是云?什么是云计算?
云,这个概念由谷歌公司提出。因其无边的扩展性而形象的取名。实际上,云指的是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等等。
云计算,也由谷歌公司提出。是将所有的计算资源(云)集中起来,并由软件实现自动管理。是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。具体说,是指建立功能强大的数据中心,用户最大程度简化个人客户端,接入数据中心进行存储和运算。就像过去打井取水,现在则从自来水公司购买水喝。简单说,云计算,就是非本地计算。
对于用户而言,云安全问题的解决是关系到云服务能否得到认可的关键因素。对于云计算的应用而言,云安全也是云计算应用的主要障碍之一。比如:计算资源的系统发生故障,缺乏统一的安全标准、安全法规,以及隐私保护、数据属权、迁移、传输、安全、灾备等问题如何有效的解决。
2 目前,云安全主要体现在用户数据的隐私保护和传统互联网、硬件设备的安全这两方面
(1)用户数据的隐私保护。在云计算出来之前,用户信息存储于自己的电脑中,是受法律保护的,任何人不经许可是不能查看、使用这些信息的。
但是当用户信息成为云计算的资源储存在云上时,任何人使用这些信息,导致隐私泄漏,尚没有法律依据如何进行处罚。
另外云服务提供商对登记注册管理不严格,也极有可能造成不良分子注册成功并对云服务进行攻击,造成云的滥用、恶用以及对云服务的破坏。
(2)互联网、硬件设备的安全。云中可能存在不安全的接口和API,且用户数据集中在此,更容易受到黑客攻击和病毒感染。当遇到重大事故时,云系统将可能面临崩溃的危险。
2.1 那么如何才能实现云安全?
必须解决以下几个问题:首先,健全法律法规,保障云计算用户象相信银行一样,相信云服务提供商,树立云服务提供商的公信力,使用户象在银行存钱一样,把数据存在云服务提供商那里。其次,保障不同用户之间相互隔离,互不影响,防治用户“串门”。第三,租用第三方的云平台,必须考虑解决云服务提供商管理人员权限的问题。第四,传统互联网服务为避免单点故障,使用了双机备份:主服务器停止服务,备用服务器随即启动提供服务。但是在云环境下,一旦云服务提供商的服务停止了,将会影响到一大片用户,其损失很可能是巨大的。因此必须解决云服务突然终止所带来的风险问题。
2.2 那么如何实施应用具体的云安全技术解决云安全问题?
云中数据安全:目前,云中数据安全防护技术主要有:增强加密技术、密钥管理、数据隔离、数据残留等,用这些技术来解决用户数据在云端计算、存储及数据的归属权、管理权相分离,带来的数据安全问题。
云计算的虚拟化安全:云计算的特征之一是虚拟化。虚拟化的安全直接关系到云计算的安全。虚拟化技术虽然加强了基础设施、软件平台、业务系统的扩展能力,但却使传统物理安全边界逐渐缺失,使基于以往的安全域/安全边界的防护机制不能满足虚拟化环境下的多租户应用模式。
云环境中存在着虚拟化软件安全和虚拟服务器安全两方面问题。虚拟环境中的安全机制与传统物理环境中的安全措施相比,仍有差距。因此,在云计算环境下,用户需要了解用户及云服务提供商双方所要承担的安全责任,只有用户与云服务提供商共同承担安全责任,才能保证云计算环境的安全。
云终端的安全:目前可以从云终端的基础设施、硬件芯片可信技术、操作系统安全机制、应用安全更新机制等四个方面进行云终端安全防护。
云计算的应用安全:由于云环境的灵活性、开放性以及公众可用性等特性,给应用安全带来很大挑战。云服务提供商在部署应用程序时应当充分考虑可能引发的安全风险。对于使用云服务的用户而言,应提高安全意识,采取必要措施,保证云终端的安全。如用户在处理敏感数据的应用程序与服务器之间通信时采用加密技术。用户应建立定期更新机制,及时为使用云服务的应用打补丁或更新版本。
云计算产业发展的核心是服务,因此,为保证云计算服务的可靠性、易用性、可操作性、安全性和稳定性,必须在数据迁移、备份、加密以及位置控制方面深入探索、研究。同时,要不断完善云计算相关的法律法规,让用户象在银行存钱那样对使用云计算有信心。但无可否认,除了不断探索、研究、推广成熟的云计算安全技术之外,用户的自我防护意识也需要加强。
当然,在相关云计算技术和标准尚未成熟的今天。若想解决云计算的安全问题,需要政府大力支持和业界的广泛联合,组成一个完整的生态系统,共同实现云计算的安全。
附录一:《2010中国云计算调查报告》关于云安全在中国应用状况调查的主要结论:
(1)针对云安全的三种说法,都有相当的用户认可(三种提法:1、云安全是利用云计算技术提升信息安全;2、云安全是安全即服务;3、云安全是解决云计算技术本身安全的问题)。
(2)在安全即服务厂商认知度调查中,奇虎360、瑞星、卡巴斯基等厂商表现较突出。
(3)企业用户对数据安全与隐私关注度最高。
(4)不同规模企业对于云杀毒的价值订可度存在差异。
(5)用户对云安全的发展趋势持乐观态度。
附录二:《2012年中国云计算安全调查报告》调查结果:
(1)在云计算部署模型中,企业认为私有云是最安全的,其次为基础设施即服务(IaaS),平台即服务(PaaS)位居第三。
(2)在云计算部署模型中,企业认为软件即服务(SaaS)是最不安全的,其次为混合式(有的是内部管理资源,有的是来自于IaaS/PaaS/SaaS厂商)。
(3)企业表示永远不会迁移到云端的特殊类型数据依次为信用卡数据、商业或者合作伙伴的财务数据和客户身份信息。
(4)对于云计算/云服务,企业最关心的三个主要的安全问题是账户劫持、云数据访问以及特定云攻击/威胁(非目标性的)。
参考文献:
[1]薄明霞.浅谈云计算的安全隐患及防护策略[J].信息安全与技术,2011,9.
[2]TechTarget中国.2012年中国云计算安全调查报告.
[3]盛拓-SEQUEL[J].云计算在中国的应用,2010-9.
作者简介:张秀娟(1962.5-),女,呼和浩特人,本科,中级职称,教师,研究方向:教学;武玉庆(1964.9-),男,呼和浩特人,专科,中级职称,教师,研究方向:计算机应用及网络技术。
作者单位:内蒙古卫生干部教育培训中心,呼和浩特 010031