云计算环境下信息安全保障体系研究
2015-08-09刘晔
刘 晔
(河南医学高等专科学校,河南 郑州 451191)
云计算作为分布式计算、并行计算和网络计算发展的新阶段,能够低成本高效率地向各种网络应用提供计算、存储、网络、软件的资源共享与服务,对传统网络信息运算模式产生了变革性的影响。在云计算技术的广泛应用下,研究信息安全保障体系对于信息技术产业的发展具有重大和直接的现实意义。
1 云计算技术
1.1 云计算技术的概念及特点
云安全联盟CSA在2014年修订发布的《云计算关键领域的安全指南》第三版中对云计算做出定义:云计算是一种模式,它是一种无处不在的、便捷的、按需的、基于网络访问的、共享使用的、可配置的计算资源(如网络、服务器、存储、应用和服务)[1]。本质上说,云计算是并行计算、分布式计算和网格计算的发展与商业化,是一种能将动态、可伸缩的IT计算资源通过互联网向用户分配与供给的服务模式[2]。
1.1.1 海量存储与强大的数据计算能力
云计算技术应用环境下,用户可以使用云端服务器存储海量数据,通过浏览器就可以使用软件,利用云端大型服务器的资源优势进行数据计算。信息的云存储是云计算技术的核心功能。
1.1.2 资源整合并按需分配,节省成本,优化资源利用率
通过对存储资源、计算资源的虚拟化处理和统一整合,云端服务商可以实现对硬件资源的按需分配,用户以较低廉的成本使用云端服务器、存储设备和各类应用程序;通过对信息资源进行统一标准化的组织和存储,实现了各领域各地区信息资源的有机整合和互联互通,大幅提高了信息资源的价值与效益。
1.1.3 多元化服务
源于云计算环境的数据存储和整合的特殊性,用户不仅是各项数据存储和计算服务的使用者,同时也是信息资源的提供者。云计算的服务模式和接入方式也是多元化的:可针对不同层次的用户提供多样化服务;用户在任何地方都可以通过web 手段接入到云计算平台,不受物理条件的限制。
1.2 云计算环境下信息安全威胁分析
1.2.1 数据安全隐患
海量数据存放在云计算平台的虚拟环境下,任何用户都可以通过网络调取数据,数据内容的保密性和完整性存在风险。数据传输过程中容易受到黑客攻击,数据有被破坏和篡改的风险。
1.2.2 云端服务供应商安全隐患
用户数据全部存储在云端服务供应商,如果云平台遇到自然灾难、战争或者设备故障等意外,用户数据的完整性将会受到威胁。另外云计算服务商内部是否能保证客户资料不被窃取或篡改。
1.2.3 用户终端安全隐患
用户对数据的存储和管理完全依赖于各种云服务提供商,用户仅保留对虚拟机的控制权限,从用户的角度,存储数据与计算结果的安全性、私密性非常重要。如果某一客户在使用服务时受到非法入侵,数据被窃取或篡改,就有可能影响到其他客户数据的准确性和安全性。
1.2.4 法律法规,政策不配套
云计算技术应用后,数据交由服务提供商监管,在数据发生危险的情况下,如果服务商拒绝接受监督和审计,只能由用户对个人的数据安全、私密性和完整性负责。使用云计算可能不满足某些工业标准、法律规定的需求而产生矛盾或纠纷:有些法规要求特定数据不能与其他数据混杂保存在共享的服务器或数据库上;有些国家严格限制本国公民的私密数据不能保存于其他国家中;有些银行监管部门要求客户将数据保留在本国等。
2 信息安全保障体系概念及构成要素
信息安全保障体系应定义为:在保证效率的前提下,确保信息安全,实现应用系统的持续平稳运行;在信息系统的运行周期和服务期限内,综合运用人才、管理、技术和系统等因素;通过采取防护、检测、预警等手段排除风险,运用灾备、恢复及反击等安全保障策略,来保障信息系统的完整性、保密性、可控性和可用性;降低安全风险到可接受的程度,保障系统进行效率和应用系统的服务质量,实现系统组织机构的使命[3]。其构成要素有:
2.1 技术层面
采用预警机制保证信息系统的物理安全,保护硬件系统免受自然灾害和人为破坏,保证操作系统硬件安全;采用防病毒技术、防网络攻击技术、防火墙技术、入侵检测技术等保证操作系统软件安全;利用加密技术、访问控制技术、数字签名技术、审计技术、数据完整性检测技术等保证信息传输过程中的数据安全;采用加密技术、数据备份及恢复技术、身份认证技术、信息鉴别交换技术保证数据存储安全;采用应急机制、系统加固技术保证信息系统的运行安全。信息安全保障不仅保护数据的安全,还应包括利用检测技术和预警技术、建立反应和恢复机制保证信息系统的正常运行。在构建信息安全保障体系的过程中,应有反应信息系统恢复机制的技术模块,保障受到攻击后的数据恢复能力。
2.2 管理层面
安全风险源于不同社会主体的技术操作及技术过程,涉及的社会内容和社会行为具有不同的法律属性和利益属性,需要不同的政府职能部门监督和管理[4]。建立有效的信息安全组织管理体系,包括信息系统运行中的组织机构管理、人员管理、制度建设,对信息行为进行管理,规范数据操作过程。
2.3 法律法规层面
云计算的技术创新和对信息的有效利用与有效的法律体系和监管框架密切相关,法律法规作为坚实基础,能够保障政府部门、企业和普通用户云平台的信息安全。在信息安全受到威胁的情况下,信息安全保障体系应包括国家层面配套的法律法规和政策支持,保证数据的安全性和私密性。
3 云计算环境下信息安全保障体系构建
基于信息安全保障体系的概念及要素分析,结合云计算技术应用情况下的云平台信息处理环境,将云计算环境下信息安全保障体系构建如图1所示。
图1 云计算环境下信息安全保障体系框架
3.1 云端服务商
3.1.1 技术层面
3.1.1.1 预防机制模块。在开放的网络环境下,对云平台存储的数据进行加密处理,采用冗余技术保证信息的完整性;利用防病毒技术、安装防病毒软件,防网络攻击技术、防火墙技术保证服务器不被病毒和黑客攻击;采用身份认证技术,加强用户的账号管理和访问控制,保证对数据访问的私密性和安全性;定期对云端服务商的数据中心和服务器风险进行安全性评估,定期进行防护演练,及时发现漏洞,提高安全性能。
3.1.1.2 安全检测模块。在系统运行过程中,检测用户访问行为、信息处理过程和不良信息的发布,对系统可能受到的攻击行为及时准确地发现。安全检测的主要目的是防止黑客发现并恶意修改信息安全体系结构中检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高[5]。通过安全检测模块,能够实时发现可能会窃取数据、破坏数据完整性、修改数据处理结果的威胁情况,及时对系统进行调整和保护,防止数据的安全性受到影响。
3.1.1.3 应急机制模块。应急能力是指采取手段与措施,使得信息系统针对所出现的各种突发事件,具备及时响应、处置信息系统所遭受的攻击,恢复信息系统基本服务的能力[6]。主要指在受到物理条件影响或者软件入侵导致信息数据损坏的情况下,能够对已经损坏的数据进行及的地恢复。实时对云平台存储的海量文件、数据资源、软件资源进行备份处理,如果云平台的服务器受到黑客攻击,服务商可以迅速恢复海量数据,保证数据的安全性和完整性。
3.1.1.4 审计机制。云计算存储的海量数据中很多涉及企业公司的机密、生产数据、销售数据、个人隐私、账户信息等敏感数据,为防止发生数据泄密、窃取等危害信息安全性的行为,云端服务商建立完善的信息安全审计机制,对关键环节实施信息安全审计。
3.1.2 管理层面
为防止云端服务商工作人员肆意篡改或窃取数据,云端服务商应建立有效的组织管理体系,对工作人员的数据处理行为采取管理手段,严格控制工作人员口令,定时更新信息处理档案,杜绝因内部管理不善造成数据丢失或安全性遭到威胁的发生。
3.2 用户
3.2.1 管理模块
若云端用户为企业、公司、科研所等组织机构,用户同样需要对内部工作人员的数据处理行为进行管理。云端用户应当对工作人员上传数据的内容进行检测,及时发现不良信息或违法信息;对工作人员使用数据的行为进行管理,防止用户肆意修改数据信息和数据处理结果,窃取与个人无关的公司机密。
3.2.2 技术模块
云端用户如果受到网络病毒攻击,同样会对云端服务器产生不良影响,为保障信息安全,应采用防火墙技术、杀毒软件等对用户端的计算机信息系统进行检测和防护。采用加密技术和数字签名技术等对用户数据和身份进行加护处理,提高用户系统的稳定性,保证用户和云端服务器的正常连接,确保云计算过程的正常运行。
3.2.3 文化模块
对企业和公司等组织机构,建立正确使用和处理云端数据的企业文化。对于个人用户,无法用管理手段规范信息行为,宣传规范信息使用行为的重要性,培养用户的信息意识和信息素养成为约束用户个人信息行为的有效方法。
3.3 国家法律法规、政策支持
为保证云计算技术得到良性的使用和发展,保障云计算条件下的信息安全,国家应针对云计算技术运用的特点修订信息安全相关法律法规和各项政策,规范信息利用行为,对肆意窃取、修改数据,破坏数据完整性、私密性的行为起到有效的惩罚,对云端服务商用户的信息利用行为起到有效的约束和保障。
4 结语
云计算技术可以存储海量数据,并具有强大的数据处理能力,同时可以优化资源配置,节省成本,提高资源利用效率,作为一门新兴产业,在各行各业的发展速度不容小觑,对信息安全的要求也越来越高。在这种大数据环境下,建议政府或相关机构成立信息安全保障组织,专门负责在云计算环境下各行业信息安全保障体系的构建和有效运行,建设良好的网络信息环境。
[1]云计算关键领域安全指南V3.0.云安全联盟,2014.
[2]温钊健.OCLC worldcat 云计算数字图书馆模型[J].图书情报工作,2012(15):54-60.
[3]张显恒.保障体系建设研究[J].经济研究导刊,2013(25):201-202,49.
[4]王娜,方滨兴,罗建中,等.“5432战略”:国家信息安全保障体系框架研究[J].通信学报,2004(7):1-9.
[5]张颖.计算机网络的信息安全体系结构研究[J].信息工程,2015(3):147-148.
[6]方滨兴.谈计算机网络应急处理体系[J].计算机安全,2002(1):30-33.