引言
隨著計算機與互聯(lián)網(wǎng)的發(fā)展,云計算與物聯(lián)網(wǎng)、智慧地球等概念一樣備受關(guān)注。目前云計算已從產(chǎn)生到實質(zhì)發(fā)展階段,因此云計算的安全問題備受關(guān)注,近年來成為計算機學(xué)科領(lǐng)域的研究熱點。
1 云計算的概念及特征
1.1云計算概念
2011年1月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of standards and llechnology,NIsT)公布了其對云計算的定義,受到業(yè)界的高度認可,其定義如下:云計算是一種模式,基于這種模式終端用戶可以通過網(wǎng)絡(luò)按需訪問可配置的計算資源(例如網(wǎng)絡(luò)、服務(wù)器、存儲設(shè)備、應(yīng)用程序和服務(wù)),這些資源可實現(xiàn)快速部署并發(fā)布,同時可以減少服務(wù)提供商的干預(yù),并且使管理成本降到最低。
1.2云計算的特征
按需的自助服務(wù),廣泛的網(wǎng)絡(luò)訪問,資源池,快速伸縮性,高可擴展性。
2 云計算安全研究現(xiàn)狀
2.1云計算安全支撐體系
目前,全球范圍內(nèi)已有30多個標(biāo)準(zhǔn)組織宣布加人云計算標(biāo)準(zhǔn)的制訂行列。其中有一些組織做了大量有意義的工作,推動了云計算安全的發(fā)展進程。例如1)2009年成立的云安全聯(lián)盟CSA(cloud security Alliance),致力于在云計算環(huán)境下提供最佳的安全方案,于2009年發(fā)布了新版的《云安全指南》v2.1,該指南非常務(wù)實,貼近當(dāng)前的最新的業(yè)界實踐。2020兒年1月,NIST發(fā)布了“公共云計算安全與隱私指南”,該指南概述了公共云計算面臨的安全與隱私挑戰(zhàn)。同時還發(fā)布了最終版的“完全虛擬化技術(shù)安全指南”。
2.2云計算安全體系架構(gòu)
目前安全業(yè)界各大公司推出了各種各樣的云安全解決方案。csA(云安全聯(lián)盟)從云服務(wù)模型角度提出了一個云計算安全參考模型,該模型描述了三種基本云服務(wù)的層次性及其依賴關(guān)系;IBM公司基于其企業(yè)信息安全框架給出了一個云計算安全架構(gòu),思科公司提出了一個云數(shù)據(jù)中心安全框架,該云數(shù)據(jù)中心安全框架描述了云數(shù)據(jù)中心的威脅模型以及可減少安全風(fēng)險的措施。
3 云計算面臨的安全隱患
3.1云計算平臺的安全隱患
1)針對系統(tǒng)可靠性的隱患
由于“云”中存儲大量的用戶業(yè)務(wù)數(shù)據(jù)、隱私信息或其他有價值信息,因此很容易受到攻擊,這些攻擊可能來自于竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的合法云計算用戶或者云計算運營商內(nèi)部人員,當(dāng)遇到嚴(yán)重攻擊時,云計算系統(tǒng)將可能面臨崩潰的危險,無法提供高可靠性的服務(wù)。
2)安全邊界不清晰
因為虛擬化技術(shù)是實現(xiàn)云計算的關(guān)鍵技術(shù),實現(xiàn)共享的數(shù)據(jù)具有無邊界性,服務(wù)器及終端用戶數(shù)量都非常龐大,數(shù)據(jù)存放分散,因此無法像傳統(tǒng)網(wǎng)絡(luò)一樣清楚地定義安全邊界和保護措施,很難為用戶提供充分的安全保障。
3.2“云”中的數(shù)據(jù)安全
1)數(shù)據(jù)隱私
首先,“云”中的數(shù)據(jù)是隨機地存儲在在世界各地的服務(wù)器上,用戶并不清楚自己的數(shù)據(jù)具體被存儲在什么位置;另外當(dāng)終端用戶把自己的數(shù)據(jù)交付給云計算提供商之后,數(shù)據(jù)的優(yōu)先訪問權(quán)已經(jīng)發(fā)生了變化,即云計算提供商享有了優(yōu)先訪問權(quán),因此如何保證數(shù)據(jù)的機密性變得非常重要。
2)數(shù)據(jù)隔離
在通過虛擬化技術(shù)實現(xiàn)計算和資源共享的情況下,如果惡意用戶通過不正當(dāng)手段取得合法虛擬機權(quán)限,就有可能威脅到同一臺物理服務(wù)器上其他虛擬機。因此進行數(shù)據(jù)隔離是防止此類事件的必要手段,但是隔離技術(shù)的選擇及效果評估目前仍在進一步研究之中。
3.3其他安全隱患
1)云計算提供商能否提供持久服務(wù)
在云計算系統(tǒng)中,終端用戶對提供商的依賴性更高,因此在選擇服務(wù)提供商時,應(yīng)考慮這方面的風(fēng)險因素,當(dāng)云計算技術(shù)供應(yīng)商出現(xiàn)破產(chǎn)等現(xiàn)象,導(dǎo)致服務(wù)中斷或不穩(wěn)定時,用戶如何應(yīng)對數(shù)據(jù)存儲等問題。
2)安全管理問題
企業(yè)用戶雖然使用云計算提供商的服務(wù)或者將數(shù)據(jù)交給云計算提供商,但是涉及到網(wǎng)絡(luò)信息安全相關(guān)的事宜,企業(yè)自身仍然負有最終責(zé)任。但用戶數(shù)據(jù)存儲在云端,用戶無法知道具體存儲位置,很難實施安全審計與評估,因此會帶來很多的安全管理困難。
4 云計算中確保信息安全的解決方案
針對以上提出的云計算面臨的安全隱患,從企業(yè)終端用戶和云計算運營商以及監(jiān)管方國家層面來研究和設(shè)計基于云計算的安全解決方案。如圖1所示。
4.1企業(yè)用戶
從企業(yè)終端用戶來看,可采用以下四種保護技術(shù):
1)數(shù)據(jù)加密技術(shù)
目前除了軟件即服務(wù)(SaaS)運營商之外,云計算運營商一般不具備隱私數(shù)據(jù)的保護能力,因此在使用云計算過程中,企業(yè)用戶若直接以明文的形式將數(shù)據(jù)存儲于分散的云端服務(wù)器,則無法保證數(shù)據(jù)的機密性和完整性,因此企業(yè)用戶可以采用加密技術(shù)對敏感數(shù)據(jù)進行加密,但是加密會降低數(shù)據(jù)的利用率,需要企業(yè)用戶權(quán)衡二者的關(guān)系,同時做好密鑰管理工作。
圖1 云計算的安全隱患和解決方案
2)數(shù)據(jù)隔離技術(shù)
在云計算的虛擬化條件下,企業(yè)用戶無法知道自己的數(shù)據(jù)到底存儲在“云”中的什么位置,如果能利用數(shù)據(jù)隔離技術(shù)將自己的數(shù)據(jù)與其他數(shù)據(jù)隔離開.則可以更加有效地保護數(shù)據(jù)安全。
3)選擇信譽較高的運營服務(wù)商
考慮到自身的長期發(fā)展,企業(yè)用戶在選擇運營服務(wù)商的時候,應(yīng)考慮該服務(wù)商是否具備提供持久服務(wù)的能力,一般選擇經(jīng)營規(guī)模大、信譽度較高的公司,同時不能與其他服務(wù)商共享用戶數(shù)據(jù),這樣在避免惡意操作給用戶帶來的損失同時,最大程度地保證了持久服務(wù)。
4)進行權(quán)限控制
企業(yè)用戶將數(shù)據(jù)傳輸?shù)皆贫朔⻊?wù)器之后,數(shù)據(jù)的優(yōu)先訪問權(quán)發(fā)生變化,因此要對數(shù)據(jù)的訪問權(quán)限加以控制,限制云計算服務(wù)商的訪問權(quán)限,數(shù)據(jù)的完全控制權(quán)應(yīng)屬于企業(yè)用戶。
4.2云服務(wù)提供商
對于云服務(wù)提供商的解決方案:
1)使用過濾器監(jiān)視出網(wǎng)數(shù)據(jù)。
制定監(jiān)控策略,對于離開網(wǎng)絡(luò)的數(shù)據(jù),使用過濾器進行監(jiān)視,阻止隱私數(shù)據(jù)外泄。
2)進行安全風(fēng)險評估,建立公有云和私有云。云計算服務(wù)提供商首先制定自己的安全服務(wù)等級,然后以此為依據(jù)協(xié)助用戶對自己的數(shù)據(jù)和應(yīng)用進行風(fēng)險平估,根據(jù)風(fēng)險評估結(jié)果,向用戶提供相應(yīng)等級的安全服務(wù)。
3)整合數(shù)據(jù)加密技術(shù)、VPN技術(shù)、身份認證等技術(shù)手段,完整解決云計算架構(gòu)安全、虛擬化技術(shù)安全、分布式計算安全,保證云計算的可用性、可靠性及用戶信息的安全。
4)加強安全認證,建立可信云。在云架構(gòu)中,使用可信算法從底層到頂層建立可信任關(guān)系,最終構(gòu)建成可信任云。同時可以采用多種認證方式相結(jié)合的方法,防止用戶信息的外泄,保證數(shù)據(jù)安全。
除了以上所述之外,對內(nèi)部員工的安全培訓(xùn)與教育,是云計算運營商和企業(yè)用戶都要進行的工作。因為企業(yè)用戶在使用云計算服務(wù)時,最常使用的客戶端工具是WEB瀏覽器等,如何避免用戶在使用自己的服務(wù)時將密碼泄露給第三方、避免利用合法身份進行信息竊取等,都依賴于對內(nèi)部員工的安全培訓(xùn)和教育,因此不管是運營商還是企業(yè)用戶,都應(yīng)該規(guī)范內(nèi)部員工,健全內(nèi)部機制,從而減少各種攻擊的出現(xiàn),保障數(shù)據(jù)安全。
4.3從監(jiān)管方的角度
目前云計算已經(jīng)從概念發(fā)展到實質(zhì)發(fā)展和應(yīng)用階段,然而,對于云計算的監(jiān)管仍處于相對落后的階段,云計算相關(guān)的核心技術(shù)國內(nèi)仍未掌握,而且也沒有廠商能夠提供完整的云計算業(yè)務(wù)解決方案,因此我國有必要從建立健全相關(guān)的法律法規(guī)、加強核心技術(shù)的自主研發(fā)與創(chuàng)新、建立基于云計算的安全評估和監(jiān)管休系幾個方面人手,快速部署云計算的安全基礎(chǔ)設(shè)施及安全平臺,為云計算的進一步發(fā)展和應(yīng)用做好強有力的支撐。
5 結(jié)束語
云計算的產(chǎn)生使得云計算的安全架構(gòu)、安全解決方案近年來也成為計算機領(lǐng)域的研究熱點,隨著云計算的發(fā)展和應(yīng)用,將面臨新的安全威脅,這使得云計算安全涉及到的云計算的監(jiān)管方、云計算的使用方(企業(yè)或個人)、云計算的提供方都要更加關(guān)注云安全,不論是哪一方,都需要在安全問題上付諸更多的研究和實踐。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于云計算的信息安全防護方案研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083973065.html