云计算环境下的信息安全探讨
2010-08-15张亚红郑利华邹国霞
张亚红 郑利华 邹国霞
桂林航天工业高等专科学校计算机系 广西 541004
0 前言
对于IT业最新的热点话题之一---云计算,它的出现使得人们可以直接通过网络应用获取软件和计算能力,实现计算的随时随地使用。但是来自网络威胁的多样性和动态性也使用户越来越多地感觉到单一的防御技术很难达到有效的防御效果,因为企业和用户在享受云计算带来的好处的同时也希望保护好自身的重要信息和降低管理风险,这就涉及到云计算环境下的信息安全问题。
1 云计算
云计算是在分布式处理、并行处理和网格计算等发展的基础上提出的一种新型计算模型,是一种新兴的共享基础架构的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。云计算做为一种新型计算模式以服务作为核心理念,把信息、软件、平台和各种计算资源商品化和服务化,降低了信息处理和信息服务的成本。云计算利用软件将硬件资源进行虚拟化管理和调度,形成一个巨大的虚拟化资源池,把存储于个人电脑、移动设备和其他设备上的大量信息和处理器资源集中在一起,协同工作。它真正实现了按需计算,从而有效地提高了对软硬件资源的利用效率。由此总结出云计算具有以下特点:①虚拟化;②高可靠性、可用性和可扩放性;③服务的多样性;④经济性。
2 云安全
来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,各种间谍软件、傀儡程序、键盘记录软件、广告软件等趁机进入用户的主机并运行,用户却未能及时察觉,这会给个人电脑和企业信息安全带来巨大的安全风险。在这种情况下,单纯采用特征库判别法显然不能满足安全需要,云安全应运而生了。云安全是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并在Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。利用云安全技术,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。简言之,云安全就是从传统的单机杀毒模式,转换成网络化的主动防毒模式。
云安全的概念提出后,瑞星、卡巴斯基、金山、360安全卫士、卡卡上网安全助手等都推出了云安全解决方案。例如,瑞星基于云安全策略开发的 2009新品,每天拦截数百万次木马攻击。
虽然很多公司已经推出了云安全解决方案,但是离真正的安全云还有一定的距离。原因主要有一下几点:
(1)云计算提供的法律保护仍不充足
由于目前缺乏云计算架构的安全模型和标准,云计算服务提供商有可能规避大部分安全风险,而将风险转嫁给用户。因为云服务公司一般都有训练有素的法律部门,因而用户在购买这些服务后,在签订的协议中绝对占不到任何便宜。
(2)需要加强用户教育
尽管云计算为企业带来了很大的好处和便利,比如允许随时随地访问数据、消除了令人头痛的维护问题,但随时可用的服务也意味着,那些原本只会对在家办公的员工产生威胁的网络钓鱼攻击,现在也可能危及到公司。因此企业要加强用户教育,让用户明白,不但自己面临那些危险,自己所在的企业也将因自己的行为而面临同样的危险。
(3)云计算服务商的预置映像上的机器实例存在安全隐患
安全公司 SensePost公司的研究人员在浏览了许多预配置的实例后,发现了缓存中的验证密钥,信用卡数据,也证实恶意软件有可能隐藏在系统里面,更让人担心的是,大多数客户尚没有意识到使用第三方开发人员开发的机器映射会带来什么安全隐患。
(4)信任问题是云计算发展过程中的大障碍
华中科技大学教授金海指出,人们把钱放到银行里,因为银行是国有的背后有政府的法律保证。但对于云计算来说,没有任何有公信力的第三方在制度上保证云计算运营商数据中心的数据是安全的,因此用户不敢把数据放进运营商的数据中心,这就使得云计算的普及不太容易。
3 云计算环境下信息安全策略
针对上述云计算的安全风险及信息安全需求,云计算在应用过程中应重点关注以下几方面的安全策略。
(1)云计算相关标准及政策法规的制定与完善
在云计算应用过程中,应该组织对于应用云计算所需的标准和相关政策法规的研究,以促成相关管理章程或政策法规制度的出台,从而对知识产权保护、责任追究及各方权益提供有力保障。
(2)信息的安全存储
一方面,云服务商应采用目前最为先进的虚拟化海量存储技术来存储和管理数据资源,相应的安全机制有数据加密、数据隔离、数据校验、数据备份、灾难恢复。另一方面对于企业而言,企业也应对自己的各种核心数据资源进行及时、全面的备份并长期、可靠地保存。
(3)信息的操作权限管理和用户访问控制
企业可以根据信息密级程度以及用户对信息需求的不同,将信息和用户从低到高划分为若干个等级,并严格控制用户对信息的访问权限。其次用户身份认证对于云中的数据安全非常重要,只有通过认证的授权用户才能访问云中相应的信息。针对云计算环境动态性、跨组织性、服务的多样性等特点,通过单点登录的统一身份认证与权限控制技术,严格控制用户对信息资源的访问,从而有效地保证数据与服务安全。
(4)信息的保密性与完整性
为了保证“云”中信息在存储和传输过程中不被非法下载、泄漏或恶意篡改,应加快信息安全基础设施建设,使云中的企业或个人可以在各种网络应用中方便地使用加密、数字签名技术和信息隐藏技术,从而保证数据的机密性和完整性,为用户营造一个安全云。
(5)采用主动防御技术保证信息安全
云服务提供商需要专业的反病毒技术和经验,采用最新的主动防御技术,一方面保护存储在云中心的数据安全,另一方面在用户即将访问有害网页或病毒程序前提醒用户。
4 结束语
云计算是未来IT互联网产业发展的趋势,本文围绕云计算的特点探讨了云计算的信息安全问题并提出了几点安全策略。“云安全”将是大势所趋,而“云安全”时代的到来,也必将引起安全行业的一场巨大变革。
[1]王萍,张际平.云计算与网络学习[J].现代教育技术.2008.
[2]尚建新,解月光,王伟.云计算模型下的 PLE 构建初探[J].现代教育技术.2009.
[3]陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展.2010.