云计算导论第4章.pptVIP

云审计服务。由于用户缺乏安全管理与举证能力，要明确安全事故责任就要求服务提供商提供必要的支持。因此，由第三方实施的审计就显得尤为重要。云审计服务必须提供满足审计事件列表的所有证据以及证据的可信度说明。当然，若要该证据不会披露其他用户的信息，则需要特殊设计的数据取证方法。此外，云审计服务也是保证云服务提供商满足各种合规性要求的重要方式。云密码服务。由于云用户中普遍存在数据加、解密运算需求，云密码服务的出现也是十分自然的。除最典型的加、解密算法服务外，密码运算中密钥管理与分发、证书管理与分发等都可以以基础类云安全服务的形式存在。云密码服务不仅为用户简化了密码模块的设计与实施，也使得密码技术的使用更集中、规范，也更易于管理。3.云安全应用服务

云安全应用服务与用户的需求紧密结合，种类繁多。典型的例子，如DDOS攻击防护云服务、Botnet检测与监控云服务、云网页过滤与杀毒应用、内容安全云服务、安全事件监控与预警云服务、云垃圾邮件过滤及防治等。传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制，难以满足日益复杂的安全需求，而云计算优势可以极大地弥补上述不足:云计算提供的超大规模计算能力与海量存储能力，能在安全事件采集、关联分析、病毒防范等方面实现性能的大幅提升，可用于构建超大规模安全事件信息处理平台，提升全网安全态势把握能力。此外，还可以通过海量终端的分布式处理能力进行安全事件采集，并上传到云安全中心分析，极大地提高了安全事件搜集与及时地进行相应处理的能力。第4章云计算安全问题4.1云安全的提出4.2云安全隐患的分类4.3云安全防范4.4云计算安全技术框架4.5云安全的现状4.6小结4.1云安全的提出

当前，云计算发展面临许多关键性问题，而安全问题首当其冲。随着云计算的不断普及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。Gartner2009年的调查结果显示，70%以上受访企业的CTO认为近期不采用云计算的首要原因在于其存在数据安全性与隐私性的忧虑。云计算拥有全世界最专业的队伍对数据进行管理，从表面上看云计算好像是安全的，但是如果仔细分析，就会发现云计算的服务提供商并没有对用户给出细节的具体说明，如其所在地、员工情况、所采用的技术以及运作方式等。而近年来，Amazon、Google等云计算发起者不断爆出各种安全事故，这更加剧了人们的担忧。例如：2009年3月，Google发生大批用户文件外泄事件；2009年2月和7月，亚马逊的“简单存储服务(SimpleStorageService，简称S3)”两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等。因此，要让企业和组织大规模应用云计算技术与平台，放心地将自己的数据交付于云服务提供商管理，就必须全面地分析并着手解决云计算所面临的各种安全问题。目前，云计算安全问题已得到越来越多的关注。著名的信息安全国际会议RSA2010将云计算安全列为焦点问题，CCS（CloudComputingSummit,云计算高峰论坛暨展览）从2009年起专门设置了一个关于云计算安全的研讨会。许多企业组织、研究团体及标准化组织都启动了相关研究，安全厂商也在关注各类安全云计算产品。本章通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响，提出未来云计算安全技术框架及重要的科研方向，以为我国未来云计算安全的科研、产业发展做出有益的探索。由于系统的巨大规模以及前所未有的开放性与复杂性，其安全性面临着比以往更为严峻的考验。对于普通用户来说，其安全风险不是减少而是增大了。云计算将推动信息安全领域的又一次重大革新。安全管理也由信息安全产品测评发展到大规模信息系统的整体风险评估与等级保护等，如图4－1所示。4.2云安全隐患的分类

来自内部的安全隐患

美国一家咨询公司Gartner在2008年发布的一份《云计算安全风险评估》报告中称：云计算存在着七大安全隐患,可视为来自云内部的安全隐患。

特权用户访问。当用户把数据交给云计算服务提供商后，对数据最具有优先访问权的不是用户本人，而是服务提供商。Gartner建议用户应该了解更多管理数据者的信息，从而将风险降到最低。合规性。用户最终要对自己数据的安全性和完整性负责，即便这些数据是交给云计算服务提供商托管的。传统的云计算服务提供商会接受外部审计和安全认证。如果云计算服务提供商拒绝接受审计和安全认证，用户就不能对数据进行有效的利用。12数据隔离。云计算的数据通常来自其他客户的数据共享环境，加密是有效的，但不是万能的。Gartner表示加密意外可以降低数据的可用性，甚至使数据完全无法使用。3数据的位置。用户在使用云时可能不知道数据的确切位置，所以用户在选择云计算前应