云计算及的应用安全的策略.docVIP

云计算及的应用安全的策略 　　摘要：云计算作为一种新兴的商业模式，其安全问题尤为重要，本文阐述云计算概念和面临的安全问题，并探讨应用安全的策略。 　　关键词：云计算； 云安全；安全策略 　　基金支持：广州市科技计划项目，《基于云计算的数据挖掘技术在电信业务中的应用》(2011.1-2013.8, 项目编号：2011J5100004) 　　云计算（cloud computing），是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。本文首先阐述云计算概念和面临的安全问题，然后探讨应用安全的策略。 　　1.云计算的概念 　　2006年8月9日，Google在有哪些信誉好的足球投注网站引擎大会（SES San Jose 2006）首次提出“云计算”的概念。该概念是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。 　　云是网络、互联网的一种比喻说法，过去在图中往往用云来表示电信网，后来也用来表示互联网和底层基础设施的抽象。狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。 　　云计算的模式可以认为包括以下三个层次的服务：Infrastructure-as-a-Service (IaaS，基础设施即服务)，Platform-as-a-Service (PaaS，平台即服务)，Software-as-a- Service (SaaS，软件即服务)。 　　IaaS指消费者通过Internet可以从完善的计算机基础设施获得服务。PaaS实际上是指将软件研发的平台作为一种服务，以SaaS的模式提交给用户。因此，PaaS也是SaaS模式的一种应用。但是，PaaS的出现可以加快SaaS的发展，尤其是加快SaaS应用的开发速度。SaaS是一种通过Internet提供软件的模式，用户无需购买软件，而是向提供商租用基于Web的软件，来管理企业经营活动。 　　2.云计算面临的安全问题 　　美国知名市场研究公司Gartner发布的一份名为“云计算安全风险评估”的研究报告，该报告认为虽然云计算产业具有巨大的市场增长前景，但对于使用这项服务的企业用户来说，云服务存在着七大潜在的安全风险，即特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。 　　针对“云计算安全风险评估”中提出的七大风险，可得出云计算用户的安全需求: 　　(1)特权用户的接入:云服务提供商（CSP）提供和监管享有特权的管理员方面的具体信息以及控制访问方面的具体信息。 　　(2)可审查性:CSP愿意而且有能力做到遵从相关法律法规。 　　(3)数据位置:CSP给出合同承诺，遵守相关数据管理法律法规，提供数据存储地点信息的查询服务。 　　(4)数据隔离:CSP按照不同数据，提供数据隔离存储服务。 　　(5)数据恢复:CSP有能力对数据进行快速全面恢复。 　　(6)调查支持:CSP以合同承诺来支持特定的几种调查。 　　(7)长期生存性:CSP提供长期发展风险的安全措施，譬如用户如何拿回自己的数据，以及拿回的数据如何被导入到替代的应用程序中。 　　目前，各个公司所部署和开发的云计算业务运行并不稳定，部分云计算提供商比较频繁地出现数据安全方面的问题。典型案例有：2009年2月24日，Google Gmail邮箱爆发的全球性故障，2011年3月，Google Gmail邮箱再次爆发的大规模用户数据泄漏事件，及2011年4月22日，亚马逊云数据中心服务器大面积宕机事件。这些事件让用户对云计算的安全性产生了质疑。“云安全”概念(即“云计算的安全问题”)随之也被提出、被关注和重视。 　　3.云计算应用安全策略 　　因为云计算的安全问题是多方面问题综合而产生的，因此，关于云计算安全问题的解决，需要考虑云计算安全的成因，需要多管齐下，需要从技术、标准、法律以及业务监管等多个方面来进行综合考虑。 　　传统的安全需求，如授权合法性、信息完整性、不可抵赖性、身份真实性等问题，但是云计算的操作模式是将用户数据和相应的计算任务交给全球运行的服务器网络和数据库系统。用户数据的存储，以及用户数据的处理和保护等操作，都是在“云”中完成的。这样，就不可避免地使用户的数据处于一种可能被破坏和窃取的不安全状态，并且也有更多更详细的个人隐私信息曝露在网络上，存在非常大的泄露风险。 　　从云计算的发展来看，用户数据的安全、用户隐私信息的保护问题、数据的异地存储以及云计算自身的