基于云计算的信息安全研究

来源:用户上传      作者: 孟庆伟 张玉 刘婷

　　摘要：云计算是一种在网络上共享资源的新型服务模式，云计算信息安全是网络领域中研究的热点。文中介绍了云计算的概况和云计算带来的机遇，从云计算服务提供商和云计算用户的角度分析了云计算带来的安全挑战。
　　关键词：云计算；信息安全；云安全
　　中图分类号：TP393 文献标识码：A
　　云计算（cloud computing）是一种因特网的超级计算模式，是当前全球IT界共同关注的热点。云计算是基于虚拟化技术快速部署云端的资源以获取服务，通过互联网让云端的用户方便的参与海量的信息处理。云计算给终端用户提供超强的计算能力和海量的虚拟化资源，终端用户体验到云计算优越性的同时，也开始成为各种恶意组织或黑客为某种利益攻击的目标。组成云的各种软硬件系统等资源依然面对传统网络环境中所面对的各种病毒、木马、和恶意的攻击，云计算的信息安全值得我们高度关注。
　　1云计算
　　云计算是一个完全由第三方提供计算资源的新的计算理念，它由大量计算机群组成，动态的分配资源，实时监控资源的部署和分配情况，提供可托管的应用程序环境。广义的云计算是指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的服务。狭义的云计算是指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。云计算中的服务根据提供的服务层次可以分为软件即服务(software as a service SaaS) 、平台即服务( platform as a servicePaaS) 和基础设施即服务(infrastructurea serviceIaaS)3个层次。提供软件资源的网络被称为"云"。存在于互联网的服务器、存储器、CPU等硬件资源和应用软件、集成开发环境等资源可以按使用者的需求随时获取，随时扩展，并按使用情况付费。
　　2云计算的优势
　　云计算将计算任务分布在大量的计算机构成的资源池上，通过网络按需提供可动态伸缩的廉价计算服务。云中的资源对使用者来说可以随时获取，随时扩展，按需使用，按使用付费。
　　2.1终端用户投入低，效益高。
　　云计算模式中，互联网的计算架构由“服务器+客户端”向“云服务平台+客户端”模式演变。用户不用投入大量的资金用于配置大型机和购买昂贵的高性能设备，也不需要花费资金来更换陈旧的设备，只需一台PC机作为终端就可以登录到云系统中直接使用其高性能的资源。通过虚拟化、自动化等云计算关键技术，智能、动态地调配各种资源，如计算、存储、带宽、硬件、软件等。
　　2.2用户使用方便
　　用户可以在任何地方通过浏览器在“云”的另一端运行程序和数据，可以和相关人员随时分享信息，不用担心机器上是否安装了应用软件，或担心是不是最新的版本。云计算可以轻松实现不同设备间的数据与应用共享，实现云计算中"一切皆服务"的理念。
　　2.3数据存储安全
　　云计算提供最安全最可靠的数据存储中心，不仅能够确保数据的隐私性，而且确保数据不会受到破坏。因为在“云”里有最专业的团队来帮忙管理信息；有先进的数据中心来保存数据；有专业的计算机维护人员来管理维护硬件，升级软件；有专门的杀毒软件帮忙防范病毒的攻击和网络攻击。用户不用担心自己的数据丢失或病毒入侵等。
　　2.4充分利用资源共享
　　云计算提供不同服务器间数据共享环境，有效扩大信息资源的共享范围。云计算将分散在不同服务器上的数据库统一起来，为用户提供一站式服务。云计算模式可以在技术和管理上将分布式存储的数据库和一站式的检索界面结合起来，帮助用户高质量的完成任务。
　　3云计算带来的安全挑战
　　云计算时代的安全设备和安全措施的部署位置不同，安全的主体也由用户自己保证安全变为由云计算服务提供商来保证安全，云计算虽然改变了服务方式，但并没有颠覆传统的安全模式，因此用户使用云计算仍将面临信息安全风险。
　　信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性，信息服务不中断。
　　3.1云计算服务提供商的风险
　　(1)服务质量问题
　　云服务提供商的硬件设施遭到损坏或故障，或云计算服务提供商维持不了经营时，能否提供相应的措施来保障正常的服务。如：亚马逊云计算中心宕机，包括回答服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare在内的一些网站都受到了影响。但相关的法律制度不建全，各云服务提供商都有自己的标准，云服务提供商的服务协议中尽可能地规避大部分风险，亚马逊连续4天宕机事故竞不违反和用户签订的"霸王"服务水平协议。
　　(2)用户的隐私问题
　　云服务提供商是否会以越权的方式访问或使用用户的数据，掌握企业信息、客户信息等敏感的商业数据。多主租用架构下用户分享基础设施，如何防止用户间有意或无意的“窥视”行为？当用户的隐私被侵犯时，云服务提供商是否支持用户调查。云计算应用在设计之初已采用诸如“数据标记”等技术以防非法访问混合数据，但是通过应用程序的漏洞，非法访问还是会发生。另外，云服务提供商必须能向用户确保：在信息所占存储空间被释放或再分配给其他云用户之前，相关信息能得到完全清除（无论其信息存放在硬盘还是在内存中），避免数据残留泄露敏感信息。
　　(3)网络安全问题
　　网络是云存储和云服务的基础和媒介，云计算所采用的技术和服务同样面临着网络安全问题，如：网络系统的硬件、软件及其系统中的数据受到保护，利用大规模僵尸网络进行的拒绝服务攻击（DDOS）、漏洞攻击、木马恶意程序入侵等。识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。云计算服务提供商要采用防火墙保证不被非法访问，使用杀毒软件保证机器不被染毒，要防止入侵，保证数据信息不被窃取。
　　3.2云计算用户的风险
　　(1)选取可靠的云计算服务提供商
　　用户在使用以前，要了解云计算的风险，选取可靠的、商业信誉好的云计算服务提供商。慎重将企业信息、客户信息等数据放在云端，增强安全防范意识，数据加密后再放入云端，保证存储在云端的数据只能以密文的形式存在。注意密码的保密性。
　　(2)做好备份，防止数据丢失
　　放在云端的数据要经常备份，以免在云计算服务受到攻击或云计算资源受到破坏时数据丢失的情况下数据得不到恢复。
　　(3)建立自己“私有云”
　　用户绝不要将具有竞争优势或包含用户敏感信息的应用软件放在公共“云”上。重要数据放在自己建立的私有云中，拥有私有云的控制权，自主控制数据的安全性。
　　(4)注意数据残留的问题。
　　数据残留是数据在被以某种形式擦除后所残留的物理表现，存储介质被擦除后可能留有一些物理特性使数据能够被重建，在云计算环境中，数据残留更有可能会无意泄露敏感信息，用户要密切关注残留数据是否能得到完全清除。
　　结束语
　　云计算作为一种新型服务模式，具备了众多的优势和商机，并将对IT产业的诸多方面产生积极影响。但同时必须意识到云计算上存在着信息安全问题，只有正视并有效解决云计算面临的这些挑战，云计算才能更好地被用户接受。趋势、瑞星、卡巴斯基、赛门铁克、金山、360安全卫士等都推出了“云安全”的解决方案来保证信息安全，我们也要增强安全意识，及早发现并采取必要的防范措施来确保信息安全。

转载注明来源:https://www.xzbu.com/8/view-2272176.htm