基于云计算的计算机安全问题分析与探讨 |
| 2012-08-25 20:09 作者:梁 佳 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网8月25日消息 《硅谷》杂志2012年第14期刊文称,目前,随着科技发展的日新月异,无论是基于硬件还是软件的计算机领域内的安全技术发展都已经相当成熟。云计算的出现,是时代的产物,也是发展的成果,其提供一种计算机用户使用计算资源、存储资源和软件资源的新模式,酝酿着IT产业的巨大变革,那么云安全问题也逐渐成为大众关注的焦点。处于发展阶段的云计算,不可避免地存在各种安全问题和潜在风险,根据云计算的基本原理和特点,分析云计算的安全问题,并提出云计算的安全保障方法。
云计算利用网络为用户提供硬件和软件方面的服务和应用,开始受到越来越多的关注,一定程度上来讲,云计算是未来网络、计算机服务的主导者。云计算服务是将传统企业的人、事、物全部都搬迁至互联网上面,立志在互联网上打造出一种虚拟化、高效化、安全化的互联网企业模式,以此来形成一种传统模式与互联网模式互相结合的服务平台。
1云计算的基本原理和特点
云计算(cloudcomputing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。云计算在基于互联网的大众参与的计算模式下,以服务的方式利用互联网上某些节点强大的计算资源(包括计算能力、存储能力和交互能力等),将这些资源变成可被广大用户使用的动态可伸缩的虚拟化资源。简单来说就是藉由Internet,把数据处理交由网络进行,由数据中心处理终端的数据,通过数据中心向不同设备的用户提供数据服务。
云计算有如下特点:超大规模的分布式环境----面向大众用户的多样化应用,一个云计算中心的服务器可以超过百万台,如Google云计算服务器;虚拟化----通过计算机的计算能力,提供虚拟服务,一个终端就可以实现需要的一切;高性能高可靠性----通过集群协作,快速处理大量搜索等,且具有数据多副本容错、计算节点同构可互换的特性;通用可扩展----动态伸缩规模,满足各方面需求;按需服务,资源共享----云计算强调用户主导、按需服务、即用即付、各用户协同;终端要求低、廉价----廉价服务器构成众多节点,设备要求低、成本低。
2云安全问题
云安全问题一直是研究热点,云计算的可控性、可靠性和安全性的缺失,会给用户造成极大的损失。很多计算机安全技术虽然为大众所认可,但仍然免不了安全漏洞、病毒侵害、恶意攻击及信息泄露等安全问题。目前,基于X.509标准的PKI与PMI体系进行数字加密的技术、TLS/SSL技术,动态密码技术,各种防病毒、防钓鱼、防DOS、访问控制、防火墙等安全技术都为云计算所运用。
在ITValue社区针对CIO人群的调查结果中显示,有20%以上的企业已经在开始部署或使用云计算这一服务,有将近30%的企业考虑在近期部署云计算服务平台。诸多CIO在云计算面前无动于衷,是出于对迁移成本、实施周期、技术成熟度和安全性的考虑,也就是云计算的安全问题和集成问题并没有彻底解决。云计算的一些安全事故在去年就发生好多起,如去年4月22日亚马逊云被位于弗吉尼亚州的云计算中心宕机,导致回答服务Quora、新闻服务Reddit与Hootsuite、位置跟踪服务FourSquare和为网络出版商提供游戏工具的BigDoor瘫痪,故障持续了4天,被认为是亚马逊史上最为严重的云计算安全事件。可见,云计算的安全让人质疑是有一定内外在因素的。
美国Gartner公司在其发布的一份名为《云计算安全风险评估》的报告中,总结了七条云计算安全风险:
另外,云计算是一个虚拟的网络平台,其安全问题也具有独特性质,为此,我们总结出以下几点:
①所有用户的数据都是存放在外部的数据中心中,需要对这个数据信息进行加密处理来保证其安全,同时,还需要设置一定的认证系统与控制访问系统,方便内部人员进行访问。
②为了保证数据的安全,在受到毁灭性攻击后可以快速恢复,必须对数据进行储存,因为云计算数据众多且繁杂,因此,必须保证其一致性、完整性,这就需要采用冗余存储的手段进行储存,并采用特定的方法进行审计。
③云计算的计算机安全问题要想得到实时保障,必须对其进行加密处理与密匙管理,并且将密匙进行定时的改变。
④虚拟化是云计算的3个参考模型(IaaS/PaaS/SaaS)的基本理论基础,是不可或缺的,但是虚拟化同时带来的也有安全问题及虚拟机的安全、管理方面问题。
3云安全的基本保障措施
云计算在为人们服务的同时,其安全问题也已开始广泛的被人们所的重视,在2010年召开的信息安全国际会议就将云计算安全问题列入了焦点问题之中,CCS也在2009年专门组织了一个关于云计算安全的研讨会,此后的时间里,众多的企业组织与研究团体及标准化组织都先后展开了对其的相关研究,云计算服务已经在世界各地慢慢展开。
要妥善解决安全和风险问题,需要对云计算的评估、实施、管理,维护和解决问题等各个环节充分加以考虑。为了充分利用云计算机遇,应解决各种特定的云安全问题:流程、技能、技术,以及控制。进入云环境的组织应考虑如下的系列实践点:
1)在采纳云服务之前,针对身份、数据,以及设备,实施功能完善的遵从性程序。
2)在评估风险和针对是否采用云计算做决策时,数据分类是一个关键需求。低风险数据可以放心投入云中,而高影响数据则要求更强大的安全保护和隐私控制,在得到完善的处理之后才能放心的投入云中。
3)部署模式(私有、社区,以及公用)的选择需以数据分类、安全和隐私需求,以及业务需求为基础,对各个数据分类进行针对性的选取。
4)就算全面采纳云计算,组织依然需要强有力的内部团队,以及与云提供商合作,管理安全和遵从性需求。
5)透明度、遵从性控制,以及审计能力对于任何云服务提供商的评估工作都是重点因素。
6)组织必须为云中承载的应用的开发实施安全开发生命周期方法,并需要用类似的流程评估云提供商的遵从性。
7)作为访问管理系统的基础,应使用更强的凭据取代用户名和密码,控制访问管理系统的安全性,以此提高云运行的安全。
8)所考虑的问题应为信息生命周期提供所需的控制,无论数据来源如何,都应对信息的访问进行限制,限制已授权的个人,并限制可用的时间框。
9)数据的访问控制需要跨越组织边界运作,或需要跨越不同部门、外部供应商、政府机关,以及消费者。因此必须提供能够跨越这些边界的联合访问,哪怕客户并不直接需要管理自己的身份和身份验证。
4结束语
云计算最重要的外部特征是IT资源服务,内部特征比较突出的是运行模式,支撑这种模式顺利进行的是云安全。云计算中的云安全一般是通过对网络中的客户端软件进行监控,一旦其中的软件行为发生异常就能够及时得知信息,并以此来分辨获取互联网中的木马、恶意程序等最新信息,将其推送到Server终端进行数据自动分析与处理,再将解决方案分发到每一个客户端。目前,云计算发展处于一个关键时期,做好云安全工作,实现信任云目标,是突破瓶颈的有效途径。(原文载于《硅谷》杂志2012年第14期,硅谷网及《硅谷》杂志版权所有,未经允许禁止转载) |
|
|
|
【对“基于云计算的计算机安全问题分析与探讨”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
