基于云计算信息安全测评的框架设计研究
2014-11-05宋焱宏
宋焱宏
摘 要
近几年来,随着信息网络技术的不断发展,云计算已成为研究的热点,而云计算的信息安全问题也成为研究的重要。为此,本文对云计算信息安全测评的框架设计给予详细研究,旨在提高云计算信息安全水平。
【关键词】云计算 信息安全测评 框架设计
1 云计算安全分析
在不同的云服务模式中,其拥有的安全责任也不相同。基础设施即服务主要涵盖了机房设备、硬件平台以及网络等多个方面,通常情况下,服务商的职责主要是确保物理和环境等相关的安全,而用户则主要是以操作管理为主,从而确保数据的应用安全。由此可以看出,不论哪一种云服务模式的服务提供上都涉及了信息安全问题,具体分析如下:
1.1 虚拟化安全
在云计算过程中,虚拟化是其中的核心位置,它主要是为了实现资源的合理利用,从而将操作系统和应用程序等相关设施迁移的虚拟机文件,从而避免资源浪费的可能。基于这种原因,云计算服务商就可以向用户提供比较全面的服务,这时就可以发挥存储资源的作用,这样就能够根据用户的需求实现自行分配,最终成为云计算中的关键环节。在这种条件下,实现基础架构和安全的统一虚拟交付,就成为云计算中心基础网络架构和应用服务的虚拟化重点内容。
1.2 数据安全
在云计算的过程中,数据传输过程中以及数据存储过程中都可以使数据的安全性受到威胁。从数据传输的安全的角度来说,用户的数据内容一般都会涉及一些隐秘信息,一旦启用云计算模式,用户就可以利用网络将这些数据传送到云计算服务商,进而进行处理,而在这个过程中,就给不法分子以可乘之机,使得数据的安全性得不到有效保证。从数据存储的角度来说,一旦启动云计算,云计算服务商就会对大量的存储空间进行高度整合,在这个基础上,就需要有新的存储空间来供用户使用。然而,云计算在数据存储上有一定的未知性,这就使得数据在存储过程中受到严重威胁。从数据审计的角度来说,为了确保数据的准确性和有效性,一旦启用云计算,云计算环境下的第三方认证机构便会对其进行审讯,这就需要一定的技术支持,才能更好的让第三方认证机构顺利完成对数据的审计。而这个过程中就会很容易侵害到其他用户的利益,从而使数据安全受到威胁。
1.3 应用安全
云计算和传统的操纵系统及其他系统相较而言,应用安全无疑是更大的挑战。因此,在云计算的环境下,不仅要注意应用的安全,还要注意Web的应用安全,这样才能确保软件的安全性能。因此,这就要求在应用软件设计开发之前,就要全面考量其安全性。所以,云计算的应用安全主要设计到多方面的内容,其中包括云用户身份管理、云安全审计以及云安全加密等方面。
1.4 管理安全
在云计算中,管理安全主要体现在可用性管理、访问控制以及安全漏洞等方面的管理。在可行性管理中,一旦管理出现误差,云计算服务将很容易出现死机、停机的情况出现,很容易因服务器中断给企业造成不可避免的损失。通常情况下,云计算服务停机的严重程度和停机的情况息息相关。而访问控制则主要是为了解决用户权限的分配问题,用户工作职能和责任权限的分配问题,以及访问权限的认证方法等问题。因此,在云计算模式中,用户可以通过任何可以连接到网络的设备就可以对云计算服务进行访问,这就使得网络访问控制的作用逐渐减少,一旦出现问题,将很容易导致审计的不精确。另外,恶意软件或者黑客就可以利用远程设备,对云计算服务造成极大的威胁,因此,安全漏洞的管理可以有效保护主机、网络设备等造成漏洞攻击。
2 云计算安全测评框架设计探究
2.1 云计算安全测评框架的分析
针对国内外开展云计算的实际情况来说,建立起一套由政府主管部门,云计算用户、云计算服务提供商等共同参与的云计算安全组织管理体系,第三方测评机构按照相应的要求进行测评等措施,对于云计算的发展具有积极的推动作用。
2.2 云计算安全测评的注意要点分析
云计算安全测评的注意要点有很多,这里主要以应用安全要求、数据安全要求以及虚拟化安全要求为主,具体分析如下。
(1)应用安全要求。为了确保所交付或提供的云产品应用安全,云计算服务提供商就需要制定相关措施,像制定应用安全开发程序,它主要对安全的需求和设计进行详细分析,制定相应的安全编码,对代码进行安全审计等过程,在这个过程中,每一个流程都要保证安全无误。当在开发的过程中,对一些隐私性数据进行处理时,要严格对开发和维护过程中的数据进行控制,避免出现数据泄露或非法访问的情况出现。而安全编码流程中,应参考权威性资料编写各类代码,防止因开发人员操作不当而出现恶意代码。而在代码审计过程中,用严格对代码进行审核,从而满足应用安全要求。
(2)数据安全要求。为了确保数据生命周期中的完整性和机密性,云计算服务提供商就应该制定数据安全保护策略,从而实现上述目的。采取将数据所有权和管理权进行有效区分,从而保证系统管理员必须禁止窃取用户数据。在数据存储的过程中,还要保证所有的数据都应该存有备份和副本,且存储在法规制度所规定的位置中,从而确保数据的绝对安全。另外,为了确保数据的安全保障,还可以利用数据分散存储技术。而数据的访问过程中,为了实现数据的安全防护措施和审计的精确性,就要使云计算服务提供商访问安全的云产品。总之,数据的备份和恢复都要求确保数据能够可用,将云数据备份做到位,从而防止因丢失或数据的损害给企业造成无法挽回的损失。
(3)虚拟化安全要求。它主要是要求云计算服务提供商,能够制定虚拟化服务器隔离以及数据销毁等措施,从而实现服务器等相关设施的虚拟化。其中,虚拟化服务器隔离技术主要是为了实现不同用户虚拟服务器之间和外部公共网络相互访问控制的目的。而数据的销毁则是根据不同物理服务器之间的迁移来实现的,同时还要利用虚拟服务器自动化故障诊断技术和虚拟服务器自动化迁移技术,避免数据在迁移过程中,不会受到损害,从而保证了数据的完整性。
3 结束语
总而言之,云计算的发展和应用符合了现代科技的发展要求,但也在信息安全方面是一项巨大的挑战任务。因此,只有加强对云计算信息安全测评的研究,才能够采取相应的措施,对云计算基础设施以及平台和应用的研发和完善,从而避免信息安全问题的产生。但这并非一朝一夕所能完成,而是在人们的共同努力下,不断优化和创新技术,从而构建更加安全、有效的云计算环境,推动云计算的发展。
参考文献
[1]李洋.云计算应用对测评工具的影响[J].信息网络安全,2011,(8):91-92.
作者单位
武汉软件工程职业学院 湖北省武汉市 430000endprint