引言
隨著計(jì)算機(jī)與互聯(lián)網(wǎng)的發(fā)展,云計(jì)算與物聯(lián)網(wǎng)、智慧地球等概念一樣備受關(guān)注。目前云計(jì)算已從產(chǎn)生到實(shí)質(zhì)發(fā)展階段,因此云計(jì)算的安全問題備受關(guān)注,近年來成為計(jì)算機(jī)學(xué)科領(lǐng)域的研究熱點(diǎn)。
1 云計(jì)算的概念及特征
1.1云計(jì)算概念
2011年1月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of standards and llechnology,NIsT)公布了其對(duì)云計(jì)算的定義,受到業(yè)界的高度認(rèn)可,其定義如下:云計(jì)算是一種模式,基于這種模式終端用戶可以通過網(wǎng)絡(luò)按需訪問可配置的計(jì)算資源(例如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、應(yīng)用程序和服務(wù)),這些資源可實(shí)現(xiàn)快速部署并發(fā)布,同時(shí)可以減少服務(wù)提供商的干預(yù),并且使管理成本降到最低。
1.2云計(jì)算的特征
按需的自助服務(wù),廣泛的網(wǎng)絡(luò)訪問,資源池,快速伸縮性,高可擴(kuò)展性。
2 云計(jì)算安全研究現(xiàn)狀
2.1云計(jì)算安全支撐體系
目前,全球范圍內(nèi)已有30多個(gè)標(biāo)準(zhǔn)組織宣布加人云計(jì)算標(biāo)準(zhǔn)的制訂行列。其中有一些組織做了大量有意義的工作,推動(dòng)了云計(jì)算安全的發(fā)展進(jìn)程。例如1)2009年成立的云安全聯(lián)盟CSA(cloud security Alliance),致力于在云計(jì)算環(huán)境下提供最佳的安全方案,于2009年發(fā)布了新版的《云安全指南》v2.1,該指南非常務(wù)實(shí),貼近當(dāng)前的最新的業(yè)界實(shí)踐。2020兒年1月,NIST發(fā)布了“公共云計(jì)算安全與隱私指南”,該指南概述了公共云計(jì)算面臨的安全與隱私挑戰(zhàn)。同時(shí)還發(fā)布了最終版的“完全虛擬化技術(shù)安全指南”。
2.2云計(jì)算安全體系架構(gòu)
目前安全業(yè)界各大公司推出了各種各樣的云安全解決方案。csA(云安全聯(lián)盟)從云服務(wù)模型角度提出了一個(gè)云計(jì)算安全參考模型,該模型描述了三種基本云服務(wù)的層次性及其依賴關(guān)系;IBM公司基于其企業(yè)信息安全框架給出了一個(gè)云計(jì)算安全架構(gòu),思科公司提出了一個(gè)云數(shù)據(jù)中心安全框架,該云數(shù)據(jù)中心安全框架描述了云數(shù)據(jù)中心的威脅模型以及可減少安全風(fēng)險(xiǎn)的措施。
3 云計(jì)算面臨的安全隱患
3.1云計(jì)算平臺(tái)的安全隱患
1)針對(duì)系統(tǒng)可靠性的隱患
由于“云”中存儲(chǔ)大量的用戶業(yè)務(wù)數(shù)據(jù)、隱私信息或其他有價(jià)值信息,因此很容易受到攻擊,這些攻擊可能來自于竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的合法云計(jì)算用戶或者云計(jì)算運(yùn)營(yíng)商內(nèi)部人員,當(dāng)遇到嚴(yán)重攻擊時(shí),云計(jì)算系統(tǒng)將可能面臨崩潰的危險(xiǎn),無法提供高可靠性的服務(wù)。
2)安全邊界不清晰
因?yàn)樘摂M化技術(shù)是實(shí)現(xiàn)云計(jì)算的關(guān)鍵技術(shù),實(shí)現(xiàn)共享的數(shù)據(jù)具有無邊界性,服務(wù)器及終端用戶數(shù)量都非常龐大,數(shù)據(jù)存放分散,因此無法像傳統(tǒng)網(wǎng)絡(luò)一樣清楚地定義安全邊界和保護(hù)措施,很難為用戶提供充分的安全保障。
3.2“云”中的數(shù)據(jù)安全
1)數(shù)據(jù)隱私
首先,“云”中的數(shù)據(jù)是隨機(jī)地存儲(chǔ)在在世界各地的服務(wù)器上,用戶并不清楚自己的數(shù)據(jù)具體被存儲(chǔ)在什么位置;另外當(dāng)終端用戶把自己的數(shù)據(jù)交付給云計(jì)算提供商之后,數(shù)據(jù)的優(yōu)先訪問權(quán)已經(jīng)發(fā)生了變化,即云計(jì)算提供商享有了優(yōu)先訪問權(quán),因此如何保證數(shù)據(jù)的機(jī)密性變得非常重要。
2)數(shù)據(jù)隔離
在通過虛擬化技術(shù)實(shí)現(xiàn)計(jì)算和資源共享的情況下,如果惡意用戶通過不正當(dāng)手段取得合法虛擬機(jī)權(quán)限,就有可能威脅到同一臺(tái)物理服務(wù)器上其他虛擬機(jī)。因此進(jìn)行數(shù)據(jù)隔離是防止此類事件的必要手段,但是隔離技術(shù)的選擇及效果評(píng)估目前仍在進(jìn)一步研究之中。
3.3其他安全隱患
1)云計(jì)算提供商能否提供持久服務(wù)
在云計(jì)算系統(tǒng)中,終端用戶對(duì)提供商的依賴性更高,因此在選擇服務(wù)提供商時(shí),應(yīng)考慮這方面的風(fēng)險(xiǎn)因素,當(dāng)云計(jì)算技術(shù)供應(yīng)商出現(xiàn)破產(chǎn)等現(xiàn)象,導(dǎo)致服務(wù)中斷或不穩(wěn)定時(shí),用戶如何應(yīng)對(duì)數(shù)據(jù)存儲(chǔ)等問題。
2)安全管理問題
企業(yè)用戶雖然使用云計(jì)算提供商的服務(wù)或者將數(shù)據(jù)交給云計(jì)算提供商,但是涉及到網(wǎng)絡(luò)信息安全相關(guān)的事宜,企業(yè)自身仍然負(fù)有最終責(zé)任。但用戶數(shù)據(jù)存儲(chǔ)在云端,用戶無法知道具體存儲(chǔ)位置,很難實(shí)施安全審計(jì)與評(píng)估,因此會(huì)帶來很多的安全管理困難。
4 云計(jì)算中確保信息安全的解決方案
針對(duì)以上提出的云計(jì)算面臨的安全隱患,從企業(yè)終端用戶和云計(jì)算運(yùn)營(yíng)商以及監(jiān)管方國家層面來研究和設(shè)計(jì)基于云計(jì)算的安全解決方案。如圖1所示。
4.1企業(yè)用戶
從企業(yè)終端用戶來看,可采用以下四種保護(hù)技術(shù):
1)數(shù)據(jù)加密技術(shù)
目前除了軟件即服務(wù)(SaaS)運(yùn)營(yíng)商之外,云計(jì)算運(yùn)營(yíng)商一般不具備隱私數(shù)據(jù)的保護(hù)能力,因此在使用云計(jì)算過程中,企業(yè)用戶若直接以明文的形式將數(shù)據(jù)存儲(chǔ)于分散的云端服務(wù)器,則無法保證數(shù)據(jù)的機(jī)密性和完整性,因此企業(yè)用戶可以采用加密技術(shù)對(duì)敏感數(shù)據(jù)進(jìn)行加密,但是加密會(huì)降低數(shù)據(jù)的利用率,需要企業(yè)用戶權(quán)衡二者的關(guān)系,同時(shí)做好密鑰管理工作。
圖1 云計(jì)算的安全隱患和解決方案
2)數(shù)據(jù)隔離技術(shù)
在云計(jì)算的虛擬化條件下,企業(yè)用戶無法知道自己的數(shù)據(jù)到底存儲(chǔ)在“云”中的什么位置,如果能利用數(shù)據(jù)隔離技術(shù)將自己的數(shù)據(jù)與其他數(shù)據(jù)隔離開.則可以更加有效地保護(hù)數(shù)據(jù)安全。
3)選擇信譽(yù)較高的運(yùn)營(yíng)服務(wù)商
考慮到自身的長(zhǎng)期發(fā)展,企業(yè)用戶在選擇運(yùn)營(yíng)服務(wù)商的時(shí)候,應(yīng)考慮該服務(wù)商是否具備提供持久服務(wù)的能力,一般選擇經(jīng)營(yíng)規(guī)模大、信譽(yù)度較高的公司,同時(shí)不能與其他服務(wù)商共享用戶數(shù)據(jù),這樣在避免惡意操作給用戶帶來的損失同時(shí),最大程度地保證了持久服務(wù)。
4)進(jìn)行權(quán)限控制
企業(yè)用戶將數(shù)據(jù)傳輸?shù)皆贫朔⻊?wù)器之后,數(shù)據(jù)的優(yōu)先訪問權(quán)發(fā)生變化,因此要對(duì)數(shù)據(jù)的訪問權(quán)限加以控制,限制云計(jì)算服務(wù)商的訪問權(quán)限,數(shù)據(jù)的完全控制權(quán)應(yīng)屬于企業(yè)用戶。
4.2云服務(wù)提供商
對(duì)于云服務(wù)提供商的解決方案:
1)使用過濾器監(jiān)視出網(wǎng)數(shù)據(jù)。
制定監(jiān)控策略,對(duì)于離開網(wǎng)絡(luò)的數(shù)據(jù),使用過濾器進(jìn)行監(jiān)視,阻止隱私數(shù)據(jù)外泄。
2)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,建立公有云和私有云。云計(jì)算服務(wù)提供商首先制定自己的安全服務(wù)等級(jí),然后以此為依據(jù)協(xié)助用戶對(duì)自己的數(shù)據(jù)和應(yīng)用進(jìn)行風(fēng)險(xiǎn)平估,根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,向用戶提供相應(yīng)等級(jí)的安全服務(wù)。
3)整合數(shù)據(jù)加密技術(shù)、VPN技術(shù)、身份認(rèn)證等技術(shù)手段,完整解決云計(jì)算架構(gòu)安全、虛擬化技術(shù)安全、分布式計(jì)算安全,保證云計(jì)算的可用性、可靠性及用戶信息的安全。
4)加強(qiáng)安全認(rèn)證,建立可信云。在云架構(gòu)中,使用可信算法從底層到頂層建立可信任關(guān)系,最終構(gòu)建成可信任云。同時(shí)可以采用多種認(rèn)證方式相結(jié)合的方法,防止用戶信息的外泄,保證數(shù)據(jù)安全。
除了以上所述之外,對(duì)內(nèi)部員工的安全培訓(xùn)與教育,是云計(jì)算運(yùn)營(yíng)商和企業(yè)用戶都要進(jìn)行的工作。因?yàn)槠髽I(yè)用戶在使用云計(jì)算服務(wù)時(shí),最常使用的客戶端工具是WEB瀏覽器等,如何避免用戶在使用自己的服務(wù)時(shí)將密碼泄露給第三方、避免利用合法身份進(jìn)行信息竊取等,都依賴于對(duì)內(nèi)部員工的安全培訓(xùn)和教育,因此不管是運(yùn)營(yíng)商還是企業(yè)用戶,都應(yīng)該規(guī)范內(nèi)部員工,健全內(nèi)部機(jī)制,從而減少各種攻擊的出現(xiàn),保障數(shù)據(jù)安全。
4.3從監(jiān)管方的角度
目前云計(jì)算已經(jīng)從概念發(fā)展到實(shí)質(zhì)發(fā)展和應(yīng)用階段,然而,對(duì)于云計(jì)算的監(jiān)管仍處于相對(duì)落后的階段,云計(jì)算相關(guān)的核心技術(shù)國內(nèi)仍未掌握,而且也沒有廠商能夠提供完整的云計(jì)算業(yè)務(wù)解決方案,因此我國有必要從建立健全相關(guān)的法律法規(guī)、加強(qiáng)核心技術(shù)的自主研發(fā)與創(chuàng)新、建立基于云計(jì)算的安全評(píng)估和監(jiān)管休系幾個(gè)方面人手,快速部署云計(jì)算的安全基礎(chǔ)設(shè)施及安全平臺(tái),為云計(jì)算的進(jìn)一步發(fā)展和應(yīng)用做好強(qiáng)有力的支撐。
5 結(jié)束語
云計(jì)算的產(chǎn)生使得云計(jì)算的安全架構(gòu)、安全解決方案近年來也成為計(jì)算機(jī)領(lǐng)域的研究熱點(diǎn),隨著云計(jì)算的發(fā)展和應(yīng)用,將面臨新的安全威脅,這使得云計(jì)算安全涉及到的云計(jì)算的監(jiān)管方、云計(jì)算的使用方(企業(yè)或個(gè)人)、云計(jì)算的提供方都要更加關(guān)注云安全,不論是哪一方,都需要在安全問題上付諸更多的研究和實(shí)踐。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:基于云計(jì)算的信息安全防護(hù)方案研究
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083973065.html
相關(guān)文章
