论文部分内容阅读
摘 要:当前信息技术正沿着集成化、专业化、规模化的方向发展,云计算就是在这一趋势下产生的新一代技术,是信息技术在个人计算机与互联网之后的第三个技术高峰,云计算正引领信息产业的变革。在美国监控事件曝光后,国际上又开始了新一轮关于信息技术安全性的讨论,在云计算大规模投入使用前,必须确保其安全性,否则会阻碍云计算的进一步发展与应用。通过分析云计算安全现状与其主要安全风险来源,提出了提高云计算安全性的具体建议。
关键词:云计算;安全风险;解决途径
中图分类号:TP393
1 云计算概述
近几年云计算成为信息技术行业的热门话题,由于云计算是由多种技术混合演进的结果,各大信息技术公司对其关注度颇高,使其迅速从最初的理论迅速发展成一项成熟的技术。云计算技术的基本原理是将用网络链接起来的大量计算资源中剩余的部分进行整合,进行统一的管理和合理分配调度,形成一个存储能力和运算能力强大的计算资源池,为用户提供所需服务。云计算的最基本特征是通过网络,将信息技术资源作为一种服务提供给用户,服务内容包括:计算能力、存储能力、应用程序、编程工具、网络,甚至于通信服务和协作工作等。由于提供服务的资源通过网络进行整合形成,因此称之为“云”,对于用户来说只要支付相应费用,“云”中的资源是可以随时获取、随时扩展、并可以无限扩展的。
2 云计算安全现状与风险来源
2.1 云计算安全现状
在云计算应用过程中,其信息安全的基本安全需求、基本属性与传统信息技术相比不存在特殊性,依然是要保证系统或网络中的所有信息资源的安全,确保其免受各种类型的干扰、破坏和威胁。云计算的安全问题之所以成为备受关注的焦点问题,是由于云计算与传统互联网存在本質的差别,云计算将网络连接的资源整合成一个整体,一些传统互联网时代适用的一度被认为是成熟、可靠的安全措施已经不再适用于新应用环境下的云计算。传统安全防护措施不适用于云计算,且云计算的安全防护难度更大。
首先,云计算以虚拟化技术为主要服务形式,不仅是单纯的虚拟化技术,还综合了分布计算、并行计算、网格计算等,形成了云计算整个复杂的体系架构。各大云计算服务提供商的物理位置、部署方式、服务模型以及计费管理系统上各不相同存在很大差异,使其安全防护变得更复杂,且在理论方面没有进一步突破的情况下,更加大了安全防护工作的难度。
其次,云计算具有规模大、开放程度高的特点,以及在该技术初步投入使用时一些潜在的技术问题,这些因素使云计算中心部署的集中化、专业化的安全防护的优势被削弱,且在一些特定的情况下,既有可能成为劣势。通过从现有的信息技术和安全防护技术以及已经被曝光的各种信息安全事件来分析,传统互联网时代中的安全隐患对云计算服务同样产生了巨大威胁,云计算的规模巨大和开放程度高与机构复杂等特点,对安全防护提出了更多问题和挑战。从云计算的用户角度而言,使用云计算服务其承担的风险更大。
2.2 云计算安全风险的来源分析
(1)合法云计算用户进行不法行为。在云计算运营者的众多合法用户中,不能排除一些用户利用其所租用得云计算运营商的庞大资源从事不法行为的可能性,例如:非法攻击破解、DDOS攻击以及从事法律禁止的服务等不法行为,因此获得合法使用权的云计算用户也可能成为云计算的安全风险来源之一,造成云计算资源被非法使用的风险,对网络违法行为调查和溯源的风险,计算和存储共享伴随的风险等。
(2)云计算运营商管理可能出现疏漏。由于云计算的安全防护策略由运营商进行决策,且计算、存储、软件、带宽等服务也是有运营商提供给用户,一个庞大的管理体系,不可能会面面俱到,例如近期出现的搜狗浏览器泄露用户数据事件。云计算运营商安全管理方面若是出现疏漏则会产生安全隐患,甚至会在企业用户长期发展中出现运营风险。
(3)云计算运营商内部工作人员滥用职权。运营商内部的工作人员拥有云计算中所托管的大部分数据的优先访问权,并且承担者系统备份、切换等多项技术工作,如果有内部工作人员出于某些目的擅自使用用户数据,就可出现用户数据被滥用、倒卖等现象。因此云计算运营的内部工作人员如果不能规范、有效行使职责,则可能带来数据优先访问权的风险。
(4)恶意攻击盗取信息。云计算具有巨大的存储量,其存储器中存储有用户大量的隐私信息、运营数据等,通过云计算可以快速获得大量有价值信息,因此极易成为恶意攻击者的目标。通过窃取用户身份、窃取数据、窃取特定服务、盗用或中断服务器、使用不安全的API、等手段,恶意攻击者可以快速获得任何需要的信息。这种恶意行为将对云计算的计算和存储、网络违法行为的溯源和调查带来风险。
(5)网络战中的敌对方。当前互联网反战程度很高,甚至被称为“第五空间”,网络很可能成为国家主权摩擦的另一战场。2011年美国发布的国家战略曾称,网络上的攻击可能会因引发战争,在云计算的核心技术方面非技术领先国家与技术领先国家的技术掌握程度差距较大,一旦发生冲突若敌对方为技术领先国家,则会对非技术领先国家包括我国在内造成巨大的信息安全风险。
3 提升云计算安全性的策略
3.1 建立完善相关法律法规
由于网络发展速度较快,而相关法律法规完善、建立较慢,为一些违法行为提供了法律漏洞。必须通过完善法律法规明确规定云计算用户、运营商以及内部工作人员相应的安全职责。在这方面可模仿相关法律法规较健全的欧美等国家,例如:对关键信息的跨国流动进行管制,明确个人隐私、商业秘密、数据保护、信息隔离方面的界定和要求等。
3.2 云计算大规模投入使用前完善其安全性技术
由于设计之初IP协议就缺乏安全性的考虑,再投入使用后即使打了无数补丁之后仍然出现一些列的安全问题。目前我国处于云计的应用初期,规模不大,为了避免出现类似IP协议的尴尬,在这一时期有必要加强其安全技术,如认证、隔离、加密等。
3.3 建立云计算安全评估和安全监管体系
云计算是当前一种先进的服务交付和使用模式,代表了信息技术的发展方向。目前我国云计算方面已经有云海、祥云、深圳云等大量的示范应用,为了提高云计算规模化应用的安全性,建立安全评估和监管体系非常重要。安全评估机构对各云计算的服务平台上对用户提供的各类服务进行安全评估,通过评估后方可开放平台为用户提供服务;安全监管机构则负责监督各运营商的安全管理与防范是否合格,通过双重的管理保证运营商为用户提供高安全保障的服务。
3.4 加大对信息技术科研的支持
加大对信息技术自主知识产权核心技术科研的支持,快速提高我国信息技术的创新能力加快技术的发展是信息安全核心保障。加快云计算核心技术的研究,进一步缩小我国与技术领先国家的差距,加快推进云计算硬件与软件以及网络设施等资源发展的脚步,才能避免在未来可能发生的网络战中在云计算环境下从根本上保障国家信息的安全。
4 总结
2009年美国通信学会理事会为了研讨云计算安全的相关问题专门设置了一个研讨会,许多研究团体、信息技术企业及标准化组织都开始了相关研究;信息安全国际会议RSA2010也将云计算得安全问题列为焦点议题。云计算安全问题越来越受关注,安全性是除技术因素外能对云计算发展与应用产生巨大影响的另一重要因素,提高其安全性有利于云计算技术的进一步发展。
参考文献:
[1]林兆骥,付雄,王汝传.云计算安全关键问题研究[J].信息化研究,2011(02).
[2]苗耀锋,周媛,刘智慧.移动互联网中的云计算安全架构[J].科技通报,2013(08).
[3]柯行斌,宋媛媛.云计算时代对信息安全的影响及对策分析[J].信息安全与技术,2012(10).
作者单位:南昌大学计划财务处,南昌 330031
关键词:云计算;安全风险;解决途径
中图分类号:TP393
1 云计算概述
近几年云计算成为信息技术行业的热门话题,由于云计算是由多种技术混合演进的结果,各大信息技术公司对其关注度颇高,使其迅速从最初的理论迅速发展成一项成熟的技术。云计算技术的基本原理是将用网络链接起来的大量计算资源中剩余的部分进行整合,进行统一的管理和合理分配调度,形成一个存储能力和运算能力强大的计算资源池,为用户提供所需服务。云计算的最基本特征是通过网络,将信息技术资源作为一种服务提供给用户,服务内容包括:计算能力、存储能力、应用程序、编程工具、网络,甚至于通信服务和协作工作等。由于提供服务的资源通过网络进行整合形成,因此称之为“云”,对于用户来说只要支付相应费用,“云”中的资源是可以随时获取、随时扩展、并可以无限扩展的。
2 云计算安全现状与风险来源
2.1 云计算安全现状
在云计算应用过程中,其信息安全的基本安全需求、基本属性与传统信息技术相比不存在特殊性,依然是要保证系统或网络中的所有信息资源的安全,确保其免受各种类型的干扰、破坏和威胁。云计算的安全问题之所以成为备受关注的焦点问题,是由于云计算与传统互联网存在本質的差别,云计算将网络连接的资源整合成一个整体,一些传统互联网时代适用的一度被认为是成熟、可靠的安全措施已经不再适用于新应用环境下的云计算。传统安全防护措施不适用于云计算,且云计算的安全防护难度更大。
首先,云计算以虚拟化技术为主要服务形式,不仅是单纯的虚拟化技术,还综合了分布计算、并行计算、网格计算等,形成了云计算整个复杂的体系架构。各大云计算服务提供商的物理位置、部署方式、服务模型以及计费管理系统上各不相同存在很大差异,使其安全防护变得更复杂,且在理论方面没有进一步突破的情况下,更加大了安全防护工作的难度。
其次,云计算具有规模大、开放程度高的特点,以及在该技术初步投入使用时一些潜在的技术问题,这些因素使云计算中心部署的集中化、专业化的安全防护的优势被削弱,且在一些特定的情况下,既有可能成为劣势。通过从现有的信息技术和安全防护技术以及已经被曝光的各种信息安全事件来分析,传统互联网时代中的安全隐患对云计算服务同样产生了巨大威胁,云计算的规模巨大和开放程度高与机构复杂等特点,对安全防护提出了更多问题和挑战。从云计算的用户角度而言,使用云计算服务其承担的风险更大。
2.2 云计算安全风险的来源分析
(1)合法云计算用户进行不法行为。在云计算运营者的众多合法用户中,不能排除一些用户利用其所租用得云计算运营商的庞大资源从事不法行为的可能性,例如:非法攻击破解、DDOS攻击以及从事法律禁止的服务等不法行为,因此获得合法使用权的云计算用户也可能成为云计算的安全风险来源之一,造成云计算资源被非法使用的风险,对网络违法行为调查和溯源的风险,计算和存储共享伴随的风险等。
(2)云计算运营商管理可能出现疏漏。由于云计算的安全防护策略由运营商进行决策,且计算、存储、软件、带宽等服务也是有运营商提供给用户,一个庞大的管理体系,不可能会面面俱到,例如近期出现的搜狗浏览器泄露用户数据事件。云计算运营商安全管理方面若是出现疏漏则会产生安全隐患,甚至会在企业用户长期发展中出现运营风险。
(3)云计算运营商内部工作人员滥用职权。运营商内部的工作人员拥有云计算中所托管的大部分数据的优先访问权,并且承担者系统备份、切换等多项技术工作,如果有内部工作人员出于某些目的擅自使用用户数据,就可出现用户数据被滥用、倒卖等现象。因此云计算运营的内部工作人员如果不能规范、有效行使职责,则可能带来数据优先访问权的风险。
(4)恶意攻击盗取信息。云计算具有巨大的存储量,其存储器中存储有用户大量的隐私信息、运营数据等,通过云计算可以快速获得大量有价值信息,因此极易成为恶意攻击者的目标。通过窃取用户身份、窃取数据、窃取特定服务、盗用或中断服务器、使用不安全的API、等手段,恶意攻击者可以快速获得任何需要的信息。这种恶意行为将对云计算的计算和存储、网络违法行为的溯源和调查带来风险。
(5)网络战中的敌对方。当前互联网反战程度很高,甚至被称为“第五空间”,网络很可能成为国家主权摩擦的另一战场。2011年美国发布的国家战略曾称,网络上的攻击可能会因引发战争,在云计算的核心技术方面非技术领先国家与技术领先国家的技术掌握程度差距较大,一旦发生冲突若敌对方为技术领先国家,则会对非技术领先国家包括我国在内造成巨大的信息安全风险。
3 提升云计算安全性的策略
3.1 建立完善相关法律法规
由于网络发展速度较快,而相关法律法规完善、建立较慢,为一些违法行为提供了法律漏洞。必须通过完善法律法规明确规定云计算用户、运营商以及内部工作人员相应的安全职责。在这方面可模仿相关法律法规较健全的欧美等国家,例如:对关键信息的跨国流动进行管制,明确个人隐私、商业秘密、数据保护、信息隔离方面的界定和要求等。
3.2 云计算大规模投入使用前完善其安全性技术
由于设计之初IP协议就缺乏安全性的考虑,再投入使用后即使打了无数补丁之后仍然出现一些列的安全问题。目前我国处于云计的应用初期,规模不大,为了避免出现类似IP协议的尴尬,在这一时期有必要加强其安全技术,如认证、隔离、加密等。
3.3 建立云计算安全评估和安全监管体系
云计算是当前一种先进的服务交付和使用模式,代表了信息技术的发展方向。目前我国云计算方面已经有云海、祥云、深圳云等大量的示范应用,为了提高云计算规模化应用的安全性,建立安全评估和监管体系非常重要。安全评估机构对各云计算的服务平台上对用户提供的各类服务进行安全评估,通过评估后方可开放平台为用户提供服务;安全监管机构则负责监督各运营商的安全管理与防范是否合格,通过双重的管理保证运营商为用户提供高安全保障的服务。
3.4 加大对信息技术科研的支持
加大对信息技术自主知识产权核心技术科研的支持,快速提高我国信息技术的创新能力加快技术的发展是信息安全核心保障。加快云计算核心技术的研究,进一步缩小我国与技术领先国家的差距,加快推进云计算硬件与软件以及网络设施等资源发展的脚步,才能避免在未来可能发生的网络战中在云计算环境下从根本上保障国家信息的安全。
4 总结
2009年美国通信学会理事会为了研讨云计算安全的相关问题专门设置了一个研讨会,许多研究团体、信息技术企业及标准化组织都开始了相关研究;信息安全国际会议RSA2010也将云计算得安全问题列为焦点议题。云计算安全问题越来越受关注,安全性是除技术因素外能对云计算发展与应用产生巨大影响的另一重要因素,提高其安全性有利于云计算技术的进一步发展。
参考文献:
[1]林兆骥,付雄,王汝传.云计算安全关键问题研究[J].信息化研究,2011(02).
[2]苗耀锋,周媛,刘智慧.移动互联网中的云计算安全架构[J].科技通报,2013(08).
[3]柯行斌,宋媛媛.云计算时代对信息安全的影响及对策分析[J].信息安全与技术,2012(10).
作者单位:南昌大学计划财务处,南昌 330031