云计算环境下信息安全现状及其防护方案研究.docVIP

云计算环境下信息安全现状及其防护方案研究 　　摘要：目前，云计算作为迅速兴起的互联网服务方式，具有良好的应用前景，但是信息安全问题已成为制约云计算发展的重要因素。本文对云计算环境下的信息安全问题的现状进行了阐述，并对其防护方案进行了探讨。 　　关键词：云计算、信息安全、防护方案 　　【中图分类号】TP393.08 　　传统互联网的计算服务模式，存在计算机能量消耗、存储、信息产业人员和硬件成本不断提高等缺陷，已不能应对当前巨大的计算吞吐量，因此，云计算的概念应运而生，云计算具有超大规模、虚拟化、通用性、高可扩展性、按需服务、低成本、镜像部署、提升资源的使用效率等优势，但如果云计算的信息安全性得不到有效保障，则其所有优势都将无法体现。 　　1 云计算概述 　　云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物，核心思想是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。 　　被公众认可的服务模式有三种：（1）IaaS（基础设施服务）：整个IT基础设施（服务器、存储设备等）的按需获取，如Amazon的弹性计算云（EC2）；（2）PaaS（平台即服务）：开放应用软件的基础平台，如Google App—Engine；（3）SaaS（软件即服务）：应用软件的按需获取，如Sales force的客户关系管理服务等。 　　云计算具有以下八大特征：（1）基于虚拟化技术快速部署资源或获得服务；（2）实现动态的、可伸缩的扩展：该技术使云端的资源服务能力近乎极大化，进而提升用户的使用体验；（3）按需求提供资源、按使用量付费：用户无需与服务商交互，即可自动得到资助的计算资源能力；（4）通过互联网提供服务、面向海量信息处理：消费者可通过网络来支付所获服务的费用，进而获取不在本地的资源；（5）用户可方便地参与；（6）形态灵活：可根据消费者的需要在资源池中动态配置、部署或释放有关资源；（7）减少用户终端的处理负担；（8）降低了用户对于IT专业知识的依赖。 　　2 云计算环境下的信息安全问题 　　云用户的机器不再是独??的机器，而是网络中的一个节点，交给全球运行的服务网络。 　　云用户的数据存于云中，就意味着数据存在被盗用和滥用的可能。 　　市场分析公司Gartner发布的一项研究报告表明数据存放在云中存在七大风险：数据被未知的超级用户访问的风险、合规性检查风险、数据存储位置未知风险、数据未被真正隔离的风险、数据恢复风险、增加司法调查困难的风险、长期可用性保证的风险。 　　云安全联盟（CSA）与惠普公司的一项调查结果显示云计算存在七大安全漏洞，本论述结合相应的案例提出相应的防护方案建议：（1）账户、服务和通信劫持：数据、应用程序和资源都集中在云计算中，若云计算的身份验证机制很薄弱，则攻击者获得云服务用户的凭据后，即可导致云服务客户端问题，如推特DNS账户盗用，建议主动监控这种威胁，并采用双因素身份验证机制；（2）未正确运用云计算：黑客通常能够迅速部署新的攻击技术，来滥用和恶意使用云服务，如Amazon的EC2出现了垃圾邮件和恶意软件的问题，由于此类问题无法完全避免，建议做好监控部署；（3）数据丢失或泄露：API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄露；（4）共享技术问题：由于云计算环境中的很多虚拟服务器共享相同的配置，因此简单的错误配置可能造成严重影响，如VMware的脆弱部件，建议为网络和服务器配置执行服务水平协议（SLA）；（5）内部人员：从云计算服务内部发起攻击，若企业使用了该云服务，威胁将进一步放大，如Verizon的2010数据泄露调查报告表明48%的数据泄露是业内人士造成的，建议企业对供应商进行评估并提出如何筛选员工的方案（6）不安全的应用程序接口：接口质量和安全没有得到保障及第三方插件的安全，如不加密流量，建议在应用程序的生命周期中，部署严格的审核过程；（7）未知的风险：未知的安全漏洞、软件版本、代码更新等。 　　3 云计算环境下的信息安全防护方案探索 　　云安全要解决安全性问题，很好的为云用户提供服务，解决办法要从两方面考虑：（1） 　　云计算用户的安全办法：a）在享受云计算服务之前，用户应清楚地了解其风险所在，选用商业信誉良好、相对可靠的提供商；b）根据内容感知的技术，用户应有意识地判断什么数据可以上载，什么数据不可以上载，若发现用户试图将敏感数据传到云端，系统将及时阻断并报警；c）将操作失误的影响降至最低，清楚的认识到风险，增强安全防范意识；d）存储在云中的数据，要经常备份，避免出现数据丢失或受到攻击时，得不到恢复。（2）云服务提供商的安全办法：a）采用必要的安全措施，包括传统的安全措施访问控