云安全问题分析及研究思路(19篇)云安全问题分析及研究思路云计算安全问题探讨-百度文库 陈艳华210计科 云计算在互联网中的安全问题探讨 摘要:云计算是一种基于互联网的大众参与的计算模式,下面是小编为大家整理的云安全问题分析及研究思路(19篇),供大家参考。
篇一:云安全问题分析及研究思路
tle>云计算安全问题探讨-百度文库陈艳华210计科
云计算在互联网中的安全问题探讨
摘要:云计算是一种基于互联网的大众参与的计算模式,其计算资源包括计算能力、存储能力、交互能力等,都是动态的,被虚拟化了的,而且是以服务的方式提供。在这个特殊的云计算环境下,如何保证存储在云上的数据的安全,将是云计算面临的一个大问题。云计算应用模式下的移动互联网安全问题及关键安全技术研究,对完善移动互联网安全技术体系保障移动互联网演进安全具有重要的意义。
关键字:云计算、互联网、安全问题
一、引言
由于互联网的急速发展,存储、计算机能量消耗,数据急剧增长,成本也随之升高,原始的互联网系统与服务设计已经不能解决上述种种问题,互联网急需新的解决方案,同时,大型企业必须充分研究数据资源,才能支持商业行为,数据的收集与分析必须建立在一种新的平台上,于是,2007年,一个称为“云计算”的概念首次被Google提出,这是一个美丽的网络应用模式。随后,这一IT技术风暴席卷了整个IT界,为全球IT界带来了一场全新的变革。
云计算是在分布式计算(DistributedComputing)、网格计算(GridComputing)、并行计算(ParallelComputing)等发展的基础上提出的一种新型计算模型,是一种新兴的共享基础框架的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。
由于云计算不同于现有的以桌面为核心的数据处理和应用服务都在本地计算机中完成的使用习惯,而是把这些都转移到“云”中,它将改变我们获取信息,分享内容和相互沟通的方式,于是,随之产生的是客户的重要数据和应用服务在云中的安全问题。
二、云计算概述
1、云计算概念
近几年来,随着科技的发展,“云计算”一词正在变身一只超大容量的筐,SOA、虚拟化、SaaS、网络服务、网格都能往里装。而对计算本身而言,“云”模式让网络成为一个界面,一个标准交流插座,为用户提供更为方便的服务,而这正是新一轮技术创新的动力,也是众多厂商争相进入的因素。
目前,对于云计算还没有一个公认的统一定义。下面列举几个定义:
1)、提供资源的网络被称为“云”。
“云”计算是“计算即服务”(ComputingasaService,CaaS),即计算资源作为“服务”可以通过互联网来获取。在“云”里可能有成千上万台计算机,但对于“云”外面的使用者来说,他看到的只是一个统一的“服务”(或接口)界面,就像在使用一台巨大的虚拟“计算机”,用户可以通过互联网像使用本地计算机一样使用“云”计算机。
2)、云计算就是让你把所有数据处理任务都交给网络来进行,由企业级数据中心(其功能超级强大)负责处理客户电脑上的数据任务,这样就可以通过一个数据中心向使用多种不同设备的用户提供数据服务,从而为个人用户节省硬件资源。
3)、Gartner对云计算的定义是:“一种计算,通过互联网技术将可扩展的弹性IT相关功能以服务的形式提供给客户。”
“云计算能从各方面确保服务的灵活性、创新性、简捷性以及经济价值”。
2、云计算特点
云计算作为一种新兴的应用计算机技术,拥有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等显著性的优点。
然而任何以互联网为基础的应用都存在着一定的危险性,云计算也不例外,云计算服务除了提供计算服务外,还必然提供了存储服务。但是云计算服务当前垄断在私人机构(企业)手中,而他们仅仅能够提供商业信用。对于政府机构、商业机构(特别像银行这样持有敏感数据的商业机构)对于选择云计算服务应保持足够的警惕。一旦商业用户大规模使用私人机构提供的云计算服务,无论其技术优势有多强,都不可避免地让这些私人机构以“数据(信息)”的重要性挟制整个社会。对于信息社会而言,“信息”是至关重要的。另一方面,云计算中的数据对于数据所有者以外的其他用户云计算用户是保密的,但是对于提供云计算的商业机构而言确实毫无秘密可言。这就像常人不能监听别人的电话,但是在电讯公司内部,他们可以随时监听任何电话。所有这些潜在的危险,是商业机构和政府机构选择云计算服务、特别是国外机构提供的云计算服务时,不得不考虑的一个重要的前提。
三、云计算在IT公司的应用
●GoogleGoogle声称云计算将是其下一个梦想:目前,Google已投资建立了全球最大的数据中心,提供的云服务有:GoogleApps、GoogleDos等。GoogleApps为用户提供了类似office的文字、电子表格功能.还有电子邮件、IM、日历、网页创建等服务,可以实现协同办公。GoogleDocs是Google出品的一套在线办公软件。可以处理和搜索文档、表格、幻灯片,并可以通过网络和他人分享,有google的帐号就能使用。若云计算真是未来的方向,那么2/6
浏览器才会是用户端唯一重要的软件。因此,Goosle也于9月2日推出了自己的测览器——Chrome,这是Google在云计算战略中的重要一步。
由于Google的所有软件都是以网络应用为基础.通过互联网在浏览器中运行,因此,云计算正在使Goosle成为这个新时代的主宰者。
●IBM过去10年,IBM一直都是新概念的发明者,从“随需应变”到“全球整合企业”,IBM一直站在信息产业的风头浪尖。如今,却与已成为未来商业风向标的Google一起推广云计算这个概念。6月24目一天内.1BM同时在北京和南非约翰内斯堡成立了两家云计算中心:7月7日,荷兰阿姆斯特丹又有一家云计算中心诞生。IBM计划在今年年底之前在全球建成至少10家云计算中心。IBM在中国北京的云计算中心称为“蓝云”“蓝云”。是基于IBMAlmaden研究中一L,(AlmadenResearchCenter)的云基础架构,包括Xen和PowerVM虚拟化、Linux操作系统映像以及Hadoop文件系统与并行构建。
●
微软
微软是PC时代的缔造者,微软首席软件设计师雷-奥兹表示,Web已经取代PC成为数字时代的中心。所以,微软也将战略重点从“端”移到。云一一端”。在去年PDC2008的主题演讲中,微软首席软件架构师雷-奥兹宣布了微软的云计算战略以及云计算平台?一WindowsAzure。WindowsAzure以云技术为核心,提供了软件+服务的计算方法。微软抛出了即将在距离美国东部130英里处的得梅岗创建云计算数据中心的计划,以此来支持软件+服务的计算方法。
四、云计算发展过程中的安全问题
虽然云的应用和推广已经势在必行,但是从诞生开始,它的安全就一直为人们所诟病。当所有的计算行为和数据存储都散布在聚散无形虚无缥缈的云中的时候,人们将会普遍感到失控的恐慌,并毫无例外地产生云是否会破坏他们的隐私进而损害他们的权益的质疑。
由CA公司委托美国安全研究机构PonemonInstitute进行的一项最新调查表明,IT专业人士担心,如果公司采用云计算,则敏感数据将可能落入坏人之手。同时,许多受调查者承认,一些可能已经采用云计算的公司的员工忽略了这些风险。
云的安全和传统的安全到底有多大的差异?需要在哪些方面给予特别的注意?如CSA在其发布的“SecurityGuidanceforCriticalAreasofFocusinCloudComputing”中所言:在安全控制方面,云与其它IT环境相比并没有很大的不同;但是,在服务模型、运营模型以及用于提供服务的相关技术等方面,云可能会导致与以往不同的风险。
以云的服务模型为例,对于当前已经为人们熟知却未必非常合理的三种模型:IaaS3/6
(InfrastructureasaService)、PaaS(PlatformasaService)和SaaS(SoftwareasaService),NIST为它们做的定义如下:
-
SaaS:为用户提供在云架构上运行的应用的服务。用户可以从多种多样的瘦客户设备经由瘦客户接口(例如web浏览器)对应用进行访问。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储,甚至包括个别的应用能力),而只需要关心有限的一些需要他们做特别设定的应用配置;
-
PaaS:为用户提供将其应用(可能是用户自己创建也可能是从别处获取)部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储),但是他们需要对被部署的应用进行控制,还有可能要对应用环境进行配置;
-IaaS:为用户提供处理、存储、网络以及其它基础计算资源的服务,用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底层的云架构,但是他们需要控制操作系统、存储资源以及被部署的应用,还有可能要对某些网络部件(例如主机防火墙)进行有限的控制。
从这三种云服务模型的定义中,不难看出尽管用户已经将他们的计算和存储都托付给了云,但是在享受服务的过程中他们并不可以做甩手掌柜,特别是在安全策略方面,更是绝对不能寄希望于云提供商去解决所有的问题。三种云服务模型的安全防护在方法和责任上都有所不同:SaaS为云提供商提出了最高的安全要求,使得他们需要建立从顶层应用到底层硬件的整体防护体系以确保服务的安全,从而承担了绝大部分安全责任,但是这也限制了用户的自由发挥;相反的,IaaS给予了用户足够的自由度构建自己所需的计算环境进而开发或部署所需的应用,但是它也要求用户必须自行管理计算系统层次架构中除底层硬件以外的所有层次,而提供商只需考虑硬件层的安全问题;PaaS位于其它两种服务模型之间,既需要服务提供商提供基本的安全防护,又需要用户针对实际需求进行有差异的安全配置,才能构成完备的防护体系,但这也使得提供商和用户之间的责任边界变得模糊。
那么云计算到底存在着哪些安全问题呢?
1、首先,在技术方面,按照Google的理念,如果云计算得以实现的话,那么未来人们在本地硬盘上几乎不保存数据,所有的数据都在“云”里,一旦发生由于技术方面的因素导致的服务中断,那么用户只能束手无策。
2、其次、"云"对外部来讲其实是不透明的。云计算的服务提供商并没有对用户给出许多细节的具体说明,如其所在地、员工情况、所采用的技术以及运作方式等等。
当计算服务是由一系列的服务商来提供(即计算服务可能被依次外包)时,每一家接受外包的服务商基本上是以不可见的方式为上一家服务商提供计算处理或数据存储的服务,这样,每家服务商使用的技术其实是不可控的,甚至有可能某家服务商会以用户未知的方式越权访问用户数据。
4/6
而且,虽然每一家云计算方案提供商都强调使用加密技术(如SSL)来保护用户数据,但即使数据采用SSL技术进行加密,也仅仅是指数据在网络上是加密传输的,数据在处理和存储时的保护仍然没有解决。尤其是在数据处理的时候,由于这时数据肯定已解密,如何保护,很难解决,即使采用进程隔离类的技术一定程度解决了,也很难赢得用户的信任。
三、云计算中安全问题的应对措施
1对保存文件进行加密
加密技术可以对文件进行加密,有密
码才能解密。加密让你可以保护数据,哪怕
是数据上传到别人在远处的数据中心时。
2对电子邮件进行加密
电子邮件是以一种仍能够被偷窥者访
问的格式到达你的收件箱。为了确保邮件
安全,可以使用Hushmail或者Mutemail之类的程序自动对你收发的所有邮件进行
加密。
3使用信誉良好的服务
建议使用名气大的服务,它们不大可
能拿自己的名牌来冒险,不会任由数据泄
密事件发生,也不会与营销商共享数据。
4考虑商业模式
收取费用的互联网应用服务可能比得
到广告资助的那些服务来得安全。所以在选择存储环境时,首先考虑付费存储。
5阅读隐私声明
在将数据存储到云计算环境中的时候,一定要阅读隐私声明,因为几乎有关互联网应用的每项隐私政策里面都有漏洞,以便在某些情况下可以共享数据。这样你就可以确定应该把哪些数据保存在云计算环境,哪些数据保存在自己的电脑中。
6使用过滤器
Vontu、Websense和Vericept等公司提供一种系统,目的在于监视哪些数据离
开了你的网络,从而自动阻止敏感数据。
7、安全传输
数据在网络传输到云中处理过程中需要得到保护,在传输过程中使用SSL,PPTP或VPN等不同的方式。
另外在云计算服务提供商层面上,也应采取相关措施让用户放心使用云计算服务。
首先,云计算服务提供商最好是本国注册且数据中心、总部或资产在本国的大规模企业,具有长久的存续能力。只有这样,才能保证其能够尊重驻在国法律并受驻在国法律的监管,长久提供稳定、安全、可靠的服务。在发生事故后,由于其总部或资产在驻在国境内,因此赔偿或追讨可以顺利进行。在中国,这样的企业或组织包括大型IT服务商和开发商、电信运营商、银行、保险公司、各个高新技术园区、政府机构等。
其次,云计算服务提供商应该遵循相应应用的开放标准,尽量不采用私有标准。如果没5/6
有标准可以遵循,至少要提供数据导入导出框架以及数据转换机制,为数据迁移提供必要的保障和方便。
结束语:
云计算愈加普及,安全性就愈应该得到重视,在最近召开的Hadoop云计算大会和第二届云计算大会上,有关云计算的安全话题也占了相当的比例。对云服务提供商来说,如何保证用户存储在云中的数据的安全?对用户来说,如何才能相信云服务提供商能保证云中数据的安全?将是云计算落地急需解决的问题。
参考文献:
[1]BarmanBikram.SafeontheCloud(APerspectiveintotheSecurityConcernsofCloudComputing)[A].Siliconindia.2009-3,12(4):34-35.[2]EdwardsJohn.CuttingthroughtheFogofCloudSecurity[J],Computerworld;2009;43(8):26-29.[3]AssessingtheSecurityRisksofCloudComputing,2008,http://www.gartner.com/DisplayDocument?id=685308.[4]潘春燕.云计算的数据安全性值得进一
步探究[EB/OL].IT专家网.http://security.ctocio.com.cn/securitycomment/239/8243739.shtml[5]王左利.云计算面临三重门[J].中国教育网络,2008,12。
[6]中国云计算网,http://www.cloudcomputing-china.cn.
6/6
篇二:云安全问题分析及研究思路
tle>云服务安全分析及监管策略-2015---完整稿..-百度文库云服务安全分析及监管策略
一、云服务成为
ICT领域最具活力的增长点之一
当前,云计算在互联网领域所产生的巨大作用已经毋庸置疑。根据Gartner的统计,2014年全球云计算服务市场规模将达到1528亿美元,增长率达到17.9%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中,绝大多数的用户或买单者是互联网服务的提供商。云计算充分体现了互联网“快速迭代”的特征,是当前ICT产业技术和应用创新最活跃的领域之一,同时其服务范围也从最初单纯的资源出租向包括IT资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的IaaS提供商,也是最大的云服务提供商,据估计AWS2014年业务收入将达到50亿美元左右,约占全球IaaS市场的三分之一。根据公开的数据,仅到2013年年中,AWS上托管网站数量就达到了1160万,年增长达到了71%,这一数量是我国网站总数的近4倍。在国内,阿里云作为最大的云服务提供商,其用户数量已经超过百万,2013年双十一活动中,有75%的交易业务量利用阿里云平台完成,而2012年只有20%,云平台也成为淘宝和天猫店主们的主要业务平台,80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。
在互联网之外的其他领域,云计算也正在不断抢占IT设备制造商的传统市场,从产品到服务的迁移不断加速。这其中,政府行业是最受关注,最具影响力的领域。各国政府近年来纷纷制定国家战略和行动计划,加速政策改革和创新,将政府采购作为重要的支持政策,通过政府的示范先导,培育和拉动国内市场。一方面,加快政府部门内的IT系统向云计算的迁移,改造日趋复杂的政府信息化系统,可以节省庞大的IT经费支出;另一方面,政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。
二、云服务安全事件屡屡出现
带动安全市场快速增长
2014年全球范围内的云服务数据泄露问题严重,美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事件,各行业数据泄露事件逐年呈上升趋势。随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用,网络攻击逐步向各类业务系统和个人用户信息渗透,例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点;随着大数据时代的到来,丰富和集中的数据更加容易被滥用或窃取。虽然世界各互联网发达国家均重视网络数据保护并出台相关保护举措,但是网络数据承载日益重要的价值以及数据跨国界流动等特点使得数据安全保护仍然是世界性难题,拥有6亿多网民的中国更是信息窃取、网络攻击的主要受害者,面临着巨大的网络安全压力。
2014年云安全联盟(CSA)发布的《云故障事件统计报告》显示亚马逊、谷歌、微软、索尼、苹果、Facebook等六家公司出现的云服务故障接近统计的50%。不安全的接口、数据丢失或泄露是导致云服务故障的两个最主要因素。
图1
各云服务商发生的云故障事件比例统计
来源:云安全联盟(CSA)
图2
云服务发生故障的原因
来源:云安全联盟(CSA)
云安全服务市场正在快速增长。以安全驱动业务的强烈需求,数据安全、移动安全、云安全成为2014年最大热点。Gartner发布的报告“2014年全球云安全服务市场趋势”中预测,随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。
图3
云安全服务市场快速增长
从Gartner的统计数据可以看出,2014年基于云的安全服务市场规模将达到26亿美元,到2015年将增长到31亿美元。云安全将保持强劲增长,但是收入机会将有所不同。
企业投入最多的云安全服务——安全邮件网关服务今年的市场规模将增长至8亿美元,2015年将爬升至9.42亿美元,2017年将达10亿美元。但是其年度增长速度与其他云安全服务如IAM的增长相比较为缓慢。
IAM目前总体市场规模约5亿美元,2015年将增长至8.6亿美元,2017年约12亿美元,年复合增长率高达28.3%。IAM所属的认证即服务AaaS市场中最主要的增长动力来自多功能身份即服务IDaaS。
IAM云安全服务的主要增长动力来自中小企业的日益增长的需求,包括扩展基础IAM功能,为越来越多的访问SaaS应用和内部web应用的员工提供服务。越来越多的中小企业开始部署IAM云服务取代
原来的内部部署的IAM工具,而大企业则倾向以混合云和内部部署的方式使用IAM。
此外,IAM市场的云单点登录服务(SSO)和云加密服务都是云安全市场新的增长热点。未来最抢手的云服务将仍然是电子邮件安全、网络安全服务、身份和访问管理(IAM)。不过,在2013年和2014年,最强劲的增长仍在基于云的特征标记和加密、安全信息和事件管理(SIEM)、漏洞评估和网络应用防火墙。
考虑到成熟度、问价接受度和本地IT基础架构等方面的差异,不同地区的云安全系统部署率还存在着相当大的差异。与预置部署相比,相关业务社区、地方性法规和问价等方面的成熟度都影响着专门向这种交付模式投入开支的水平。隐私仍然是阻碍所有云服务模式的重要因素,尤其是在那些执行强有力监管要求的地区和国家(例如欧洲,有自己数据保护立法)。
三、国际云计算安全应对措施进展
3.1国际云安全标准化进展
国际上,从事云计算安全标准的部分主要机构包括:
ISO/IECJTC1:《开放虚拟机格式》、《云计算安全与隐私管理系统》、ISO/IEC27017《基于ISO/IEC27002的云计算服务的信息安全控制措施实用规则》、ISO/IEC27018《公共云计算服务的数据保护控制措施实用规则》、ISO/IEC27036-4《供应商关系的信息安全
—第四部分:云服务安全指南》、ISO/IEC27009《ISO/IEC27001在特定行业/服务的认可的第三方认证中的使用和应用》
NIST:《云计算参考体系架构》、《完全虚拟化技术安全指南》、《云计算安全障碍与缓和措施》、《公共云计算中安全与隐私》、《通用云计算环境》、《美国政府云计算安全评估与授权的建议》(FedRAMP)
ENISA:《云计算——信息安全保障框架》、《云计算——信息安全的好处,风险和建议》、《政府云的安全和弹性》
CSA:《云计算面临的严重威胁》、《关键领域的云计算安全指南》、《身份隐私与接入安全》
ITU-T:《云安全、威胁与需求》、《电信领域云计算安全指南》
CIO委员会:《美国政府云计算风险评估方法》
TheOpenGroup:《云安全和SOA参考架构》
OASIS:《身份在云中的使用》
DMTF:《云管理体系结构》
3.2数据安全是云服务管理的重点
随着互联网数据流量的高速增长,数据已被看作是与石油等处于同等重要地位的新兴战略资源,数据主权也提高到国家安全和主权的高度,很多国家从国家安全层面给予高度重视。云计算的发展将吸引各行业领域将内部的信息服务外包给云计算服务商,将会出现大量经济运行、社会服务乃至国家安全相关的信息和数据向主要云服务企业集中的趋势,这一数据集聚效应带来了不可知的、潜在的国家信息安
全和用户信息安全风险。目前在云计算领域处于优势地位的仍是一些发达国家的跨国企业,因此,发展中国家普遍担心数据信息向跨国企业聚集,并开始采取措施加强数据安全管理。
第一,加强个人信息保护立法,保护个人数据安全。近几年来各国掀起了个人数据保护立法的新高潮。截至2013年中期,有不同种类的数据隐私法律的国家大约有99个。其中,墨西哥2011年对云计算进行了特别规定,要求云服务提供者的隐私政策应当符合法律规定,云服务的外包应当透明,云服务提供者要确保个人数据的安全,云服务合同中应当包含隐私政策披露和数据保护安全措施等内容。
第二,部分国家禁止云计算的相关数据跨境流动。几乎所有的国家都通过立法,授予相关机构拥有索取存储在其管辖范围内的云服务数据的权利:甚至为避免重要数据在境外被其他国家获取,一些国家还对重要数据的跨境存储和流动采取了限制措施。印尼在其《公共服务法》(PublicServices("Law25"))中提出数据中心本地化要求。该法要求提供公共服务的电子系统运营商(electronicsystemoperator)必须在印尼国内建立数据中心。除此以外,印度政府管制规则要求电子系统运营商必须把交易数据存储在印尼境内。
3.3支撑政府采购云服务的制度和法律环境不断完善
各国通过建立制定标准、规范合同、采购管控、评估认证等制度环境进一步提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性,也为其他国家提供了十分有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私保护法的基础上,通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定。
政府采购云服务的制度体系包括建立标准、规范合同、评估认证、采购管控、管理制度等多个环节。
建立标准:美国NIST编制了标准《800-53REV3,InformationSecurity》,英国编制了标准《HMGInformationStandardsNo.1&2.》,以上标准对云服务的安全和服务质量等方面提出了具体要求。
规范合同:英国建议在与服务提供商的合同中应包括服务器地点等与云计算环境安全相关的条款;日本规定应将云服务的安全特性、服务水平等方面的要求事项等写入协议书。
评估认证:美国FISMA法案规定为政府提供云服务的提供商必须通过测试认证,美国医疗行业要求第三方机构对云服务提供商进行监督审查。
采购管控:英国建立政府云服务采购机制,所有的公共ICT服务的采购和续用都必须经过G-Cloud委员会的审查;日本规定云设备采购要通过信息安全委员会的安全审查。
管理制度:美国建立了较为完善的政府采购云管理制度,包括开展周期性评估,SLA监控,服务质量的管理等。
3.4第三方评估和认证成为保障云服务质量和安全性的必要手段
在各国为政府采购云服务所建立的制度体系环境中,第三方评估和认证成为保障云服务质量和安全性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。
2010年美国云计算管理办公室PMO的安全工作组提出FedRamp(FederalRiskandAuthorizationManagementProgram)认证项目,进入政府采购清单目录的云服务商,必须经过FedRamp的认证。FedRAMP认证基于NISTSP800-53REV3标准,由美国标准研究所(NIST)负责标准的维护。目前IaaS通过认证进入采购清单的有12家,EaaS有22家。
2012年,英国政府开通“云市场”(CloudStore)网站,启动G-Cloud认证工作,供政府部门选择、采购各类云计算服务。G-Cloud认证标准基于ISO27001和《HMGInformationStandardsNo.1&2.》
。截至2014年初,“云市场”上已有1200家提供商的13000多项云服务通过了认证,可供英国的政府部门选择使用。
从2008年开始,在日本信息通信部的支持下,FMMC(FoundationforMultimediaCommunications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证,ASPIC(ASP-SaaS-CloudCONSORTIUM)作为协作单位,负责具体认证标准的制定,目前包括ASP/SaaS、IaaS/PaaS和数据中心三类认证。ASP/SaaS认证于2008年开始启动,已认证174项服务;IaaS/PaaS
认证于2010年12月开始启动,已认证169项云服务;数据中心认证于2012年9月启动。
欧盟委员会在2012年9月发布了名为“释放欧洲云计算潜力”的报告,其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。根据这个报告,欧盟成立了“欧洲云合作指
导
委
员
会
”(TheSteeringBoardoftheEuropeanCloudPartnership)推动相关工作。另外,ETSI和ENISA正在制定云服务数据、安全、服务等方面的标准,并于2013年开始实施“可信赖云服务供应商”认证。
四、我国云服务安全面临的挑战和监管策略分析
4.1我国公共云服务安全面临的挑战和问题
在国家推动各地政府兴建云计算基地的大背景,基于云端的安全解决方案不断被引入云项目。尤其是针对中小企业的诉求,安全软件公司不断跟国内知名的基础软硬件厂商合作,以期在最短时间内将领先的云技术引入中小企业用户。
国内大型数据中心不断兴建,包括网络、数据及虚拟化的安全解决方案需求也成为IT投资重点。并且随着移动安全的趋热,云安全也由缓慢落地步入兴盛。相比国外,国内大型企业银行、政府、制造等等行业,用户倾向于在其私有云内实现数据安全保护。集团性企业通过总部数据中心的云安全技术来管理其在全国各地分支的数据安
全,包括邮件管理、上网行为、入侵检测等管理。
云安全相对于中小企业而言更具有吸引力。尤其是SaaS在中国市场快速落地及物联网的不断被关注,中小企业越来越倾向于云服务。在公司初期通过在免费的云基础环境下或是掏少量的服务费,这样的模式尤其顺应他们对IT的需求同时又能放心地管理其业务。这也使得云安全兴起的主要推力之一。
图4
用户选择云计算服务商的首先考虑因素
来源:电信研究院收集
我国云服务规模较小,运行时间短,未经历大规模用户及服务环境的安全考验。我国云服务市场规模相对较小,仅为美国的1/30,我国在安全防护能力、安全应急处置经验以及安全预警预案等方面也较不成熟,未来规模增长后,能否应对新出现的问题还存在不确定性。
在云服务核心软硬件技术方面,全球各国都处在美国的阴影之下。微软、亚马逊已经开始涉足我国云服务,我国产业安全乃至国家安全将受到威胁。云服务商在选择厂商、用户选择云服务商时没有标准可依,标准制定上的短板很大程度上阻碍了我国云安全产业和整个
云计算产业的发展。
此外,未针对云服务制定网络数据保护、数据跨境流动等方面的法律法规。
图5
我国公共云服务安全的七类问题
来源:电信研究院
4.2国内云计算安全标准化处于起步阶段
我国云安全标准处于起步阶段,尚未正式出台,主要由CCSA和TC260两个组织制定。
中国通信标准化协会(CCSA)方面,2011年9月,在网络与信息安全技术工作委员会(TC8)的安全基础工作组(WG4)下成立了云计算安全子工作组,专门负责云计算安全方面的标准研发工作,目前该工作组已召开了三次会议,组织制定了多项云计算安全方面的标准
和研究报告。正在制定的标准有:在云计算的总体架构方面,有《云安全标准体系研究》、《公有云安全基线要求》、《云计算安全威胁和需求》等;在访问控制方面,有《云计算身份识别与访问管理应用场景及技术要求》、《云计算的可信技术研究》等;在云中隐私和数据保护方面,有《公有云数据安全要求》、《公有云中隐私保护措施》等;在行业云方面,有《基于云计算的电子政务公共平台安全》、《基于云计算的居民健康服务平台安全框架》等;在基于云计算的IDC方面,有《基于云计算的互联网数据中心信息安全技术要求》和《基于云计算的互联网数据中心信息安全管理要求》;在云计算应用安全方面,有《云计算应用安全运营技术要求》等。
全国信息安全标准化委员会(TC260)方面,在信安标委内部立了专门对云计算及安全进行研究的课题,正在制定的标准有:《云计算安全及标准研究报告V1.0》、《政府部门云计算安全》、《基于云计算的因特网数据中心安全指南》等。
4.3可信云服务认证工作
从国内外发展的经验来看,云计算的信任体系的建立对于促进云计算健康发展至关重要。现阶段应支持标准组织及产业组织开展针对云服务可用性、安全性、数据保护、可迁移性等关键方面的标准研制和评估认证,并鼓励企业开展符合标准的可信云建设,增强用户信心。
根据工业和信息化部电信研究院对国内云计算市场的调查,半数以上的用户对云服务的安全性、可靠性、服务质量等方面存在疑虑,这在很大程度上影响了云计算应用的进一步推广和深化。从调查来看,目前云服务的提供商和使用方均希望建立一定的信用制度,并通过开展服务商自律活动来引领公共云服务市场的健康快速发展。因此,工业和信息化部电信研究院成立的“云计算发展与政策论坛”设立了“可信云认证工作组”,在参考全球各国云服务认证经验的基础上,研究并提出了一套与我国市场发展状况相适应的云服务信用体系,并以此为基础开展了可信云服务认证。
可信云服务认证以培育市场、鼓励创新为目的,以云服务为评估对象。评估内容包括三方面:企业信息披露;云服务承诺的完备性和规范性;云服务承诺的真实性。其中云服务需要承诺的有三大类共16个指标,具体如下。
?
数据管理类:数据存储的持久性、数据可销毁性及可迁移性、数据私密性、数据知情权、业务可审查性。
?
业务质量类:业务可用性、业务功能、业务弹性、网络接入性能、故障恢复能力、服务计量准确性。
?
权益保障类:服务变更和终止条款、服务赔偿条款、用户约束条款和服务商免责条款。
?
评估与认证的对象合理分类是关键问题。在实践过程中发现,按照IaaS、PaaS、SaaS的分类方式在操作上存在较大难度,于是结合实际提出了按照云服务产品线进行认证的分类方法,将认证对象分为云主机、对象存储、云数据库、块存储、云引擎、云分发等,并陆续制定评估认证方法。此外,云计
算发展与政策论坛和数据中心联盟已经完成了《云计算服务协议参考框架》的起草工作。
可信云服务认证已经根据第一版本的标准完成了对20个云服务的评估,这20个云服务覆盖云主机、对象存储和云数据库三大类,涵盖了10家典型企业,包括中国电信、中国移动、阿里巴巴、百度、腾讯、新浪、京东、蓝汛、世纪互联和UCloud。从业界反映来看,认证评测工作既实现了增强用户信心、培育市场的初衷,又提升和规范了云服务商的服务能力和承诺,社会反响良好。
由于可信云服务认证已初步显现了积极效果,可以将其作为推进我国云计算发展、完善公共云服务监管和保障网络信息安全的重要基础性手段,加快探索和推进。
篇三:云安全问题分析及研究思路
tle>云计算下的信息安全问题与解决方案分析-百度文库云计算下的信息安全问题与解决方案分析
摘要:云计算技术是现代科技不断发展背景下所产生的最新技术,尽管此项技术有着广泛的用途,但也面临着严峻的信息安全问题,这对于该项技术的广泛应用会产生极为不利的影响。为更好促进云计算技术推广和应用,本文对云计算下的信息安全问题进行分析,在此基础上提出针对性的解决方案。
关键词:云计算;信息安全;问题;解决方案
引言:云计算的概念最早产生于2007年,概念一经提出就得到业内研究机构的高度关注,在科研机构和企业的共同配合下,研发出系列的云计算产品,目前已实现商业化,能够为社会各界提供优质服务。尽管云计算技术的应用对于推动社会经济发展产生重要意义,但是此项技术在应用过程中也面临着信息安全方面的问题,需要人们高度关注并积极采取措施加以解决。
一、云计算背景下面临的信息安全问题
1、数据中心面临的网络安全威胁
云计算技术在应用过程中会在系统之中储存大量敏感信息,这些信息会分布在位于不同区域的服务器之上,以此来满足用户访问数据和使用数据的需求。而且为了充分享受云计算技术所提供的便利条件,大多数企业都会选择将自身经营和发展过程中产生的系列信息存储在云平台之中,利用这种方法能够有效降低企业的信息储存成本。在行业竞争压力不断加剧的背景之下,云计算平台中的信息成为竞争对手迫切希望获取的关键信息,在这种背景下,黑客充分利用计算机网络系统存在的漏洞,侵入其中盗取关键信息,此类信息一旦泄露,就会给企业未来的发展带来严重影响。因此云计算技术背景之下,数据中心面临着网络安全威胁,这是需要行业特别注意的问题。
2、数据传输中面临着威胁
由于在云计算背景之下企业和云端服务器主要借助网络来传输数据,这对数据传输过程中的安全性和保密性都提出极高的要求。如果在数据传输过程中关键信息被黑客恶意篡改,就会给企业各项业务开展带来极为不利的影响,同时也会导致企业蒙受巨大经济损失。这不仅会扰乱正常的市场秩序,也会使云计算服务供应商的信誉度受到极大影响。由于云计算技术是建立在数据开放和共享基础之上而开发出的一项服务,此项服务主要借助互联网来应用,因此一旦数据传输中出现信息安全问题就会对行业的健康有序发展带来极为不利的影响。这意味着云计算服务商要认真应对数据传输中面临的系列威胁,积极采取措施加以应对。
3、对后台程序进行攻击的威胁
云计算技术在应用过程中,服务商为有效做好各项服务保障,会专门开发后台程序。近年来,网络黑客对后台程序所进行的攻击层出不穷,这也是需要在云计算背景下认真反思并加以改进的信息安全问题,如果无法得到有效解决,云计算技术也很难发挥出最大功效。
二、云计算下信息安全问题的解决方案
云计算技术在未来会有更加广泛的应用,为使该项技术应用过程中能够充分发挥出自身的价值,结合该项技术应用过程中存在的安全问题,建议云计算服务商从以下几个方面来积极采取措施加以应对,才能不断提升信息安全水平,为客户提供更优质的服务。
1、不断加大对边界安全问题的关注力度
云计算技术与传统的计算机网络技术有所不同,由于在云计算技术背景下,信息的传递,储存和分析都需要借助网络而开展,用户在使用过程中不需要专门配置硬件存储设备,因此传统网络的边界在云计算技术背景之下荡然无存,这也意味着传统的线下边界防护手段很难在云计算背景下发挥出理想效果。为改变这一现状,需要云计算服务商在开展管理活动的过程中特别注意不断加大对边界安全问题的关注力度,建立基于互联网的入侵监测与信息安全防护机制,用网络防
护墙来筑起安全防线,在此基础上才能建立虚拟环境下的安全防线,实现对黑客入侵等问题的有效防护。这意味着企业要不断加大对虚拟防火墙技术的应用力度,充分做好对云计算系统的安全防护,建立基于互联网的安全防护机制,由此就能从根本上改变云计算背景下的信息安全现状,使云计算技术得到更大范围的应用。
2、强化对数据传输过程中的安全防护
在云计算背景之下,终端客户在使用云计算技术的过程中会借助网络,将数据远程传输到云服务平台,同时在云端也会进行内部信息的有效传输。在这种背景之下,云计算服务商就要高度重视数据传输过程中的安全防护问题,为有效提升此项工作开展的有效性,需要在安全防护工作开展过程中建立起传输加密机制,实现对各个环节的有效把控。同时,也要特别注意将SSL协议有效应用以此实现对相关信息的有效加密,当使用这种加密传输模式之后,就能使数据传输过程中的安全性与可靠性得到充分保障,这意味着服务商在目前需要不断加大对相关技术的研究力度,以此来强化应用,才能使安全性能得到保证。
3、不断加大对云服务器的安全防护力度
在云计算技术背景之下,终端客户大多都习惯于将数据传输到云端服务器上,由于终端客户自身不需要建立服务器,所以在这种背景之下对云服务器的安全防护问题提出更高的要求。这意味着云服务器在开发与建设的过程中,需要在服务器中专门建立杀毒程序并自动升级相关补丁,借助杀毒系统的建立能够以此形成有效的防护系统,在此基础上,就能提高云服务器的安全防护能力。在不断加大云服务器安全防护力度的过程中,还需要特别注意建立身份认证和访问控制的相关机制,通过对用户和网络IP进行授权做好有效防护。在这种背景之下,才能使语音计算下的信息安全问题得以妥善解决。在提升云服务器安全防护力度的过程中,还要特别注意不断加大自主知识产权防护系统的开发和应用力度,做好了此项工作才能不断提高信息安全防护水平。
结束语:云计算技术在未来社会经济发展过程中,会有更大范围的应用,因此已成为业界未来的发展方向,这意味着相关企业在发展过程中都需要不断加大对技术应用过程中信息安全问题的关注力度,在全面分析问题的基础上,通过技
术手段做好边界安全、信息传输以及云服务器的安全防护,由此就不断提高信息的性能,进而为云计算技术的应用奠定坚实基础。
参考文献
[1]刘小磊,宋玉龙,梁希望.云计算下网络信息安全问题与解决对策分析[J].电子世界,2020(09):176-177.
[2]赵凯,何文海,阎冰冰.云计算下的信息安全问题与解决方案分析[J].中国新通信,2019,21(01):64.
[3]商庆伟.云计算下的信息安全问题与解决方案分析[J].计算机产品与流通,2018(10):100.
[4]高原,吴长安.云计算下的信息安全问题研究[J].情报科学,2015,33(11):48-52.
作者简介:
周江(1976,6),男,汉,四川宜宾人,硕士研究生学历,副教授,研究方向:信息安全、云计算、软件开发
篇四:云安全问题分析及研究思路
tle>云安全探讨-百度文库云安全探讨
摘要:本文针对云计算与去服务飞速发展的形势下,对运营商的影响,以及运营商在云安全方面的思考与改变,作者形象地对云计算的框架与模式、云风险与威胁,云环境中安全解决方案等进行了详细的思考与梳理,通过从云框架、服务模式以及云环境中可能遇到和面对的安全风险、安全威胁与安全漏洞等,进行详细的论述,并通过云安全思考,构建出全方位的云安全框架,提出了具体的云安全需要考虑和应对的措施。通过针对运营商在移动互联网和云计算时代遇到的安全问题、云运营等方面的分析,给出了在这个时代运营商如何进行应对的思路和建议。
关键词:云计算、云安全、风险、威胁、运营商
CloudSecurityinOperatorsAuthorName(LinShuchun)AuthorName2(LiYingzhuang)
1.ChinaMobileLimitedHainanBranch,Haikou,Hainan,China
Abstract:Inthispaper,underthecircumstancesofthecloudcomputingandcloudserviceswithrapiddevelopment,theauthordescriptstheimpactontheoperator,andtheoperatorschangingandthethinkingaboutsecurityinthecloud.Theauthormadethedetailedthinkingaboutthecloudframeworkandservicesmodelofthecloudcomputing,anddetailedstudyfacedrisksandthreatsinthecloudenvironment,presentsecuritysolutionsforthecloud.Inthecloudenvironment,securityrisks,threatsandvulnerabili-ties,etc.arediscussedindetail,andtheauthorthinkthroughthecloudsecurity,tobuildacomprehensivecloudsecurityframeworkproposedspecificforthecloudsecurity,andresponsemeasuresneedtobecon-sidered.AlsoforthecalculationandanalysisofsafetyissuesencounteredintheeraofcloudoperationsandotheraspectsforoperatorsinthemobileInternetandcloudcomputing,theauthorgivesideasandsuggestionsinthisageabouthowtodealwithintheoperators.Keywords:CloudComputing,CloudSecurity,Risk,Thread,TelecomOperators
1引言
近年来,随着云计算技术和移动互联网的飞速发展,包括移动、电信运营商,以及互联网企业在内的IT巨头,都在建设企业私有云和公有云,移动云、天翼云、百度云、阿里云等等,都在迅速扩展,抢占市场。现在看来,云计算具有不可比拟的特点和优势:灵活、易扩展、便捷、0投入、易管理、有保障、按需使用、快速部署、弹性带宽等等,对于个人用户,使移动互联网应用、数据存储和共享成为可能,随时随地使用数据和共享数据,对于企业用户,使企业以极低的成本快速走向互联网和移动互联网成为可能。云不再是一种概念,而不知不觉中逐渐成为我们生活和工作不可或缺的一部分。
然而,作为云平台与云服务的供应商,如何确保云的安全,已成为云安全中非常重要的课题。本文试图通过云计算架构和技术的剖析,找出在云中可能的安全风险与威胁,以及如何实现对云安全的评估。
2云计算
美国国家标准与技术研究院(NIST)对云计算进行了定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。这里的云,包含了五个基本特征,三种服务模式,以及四种部署方式。
五个基本特征:
1、按需自助服务:云服务提供商提供自动的计算能力和资源;
2、高带宽多种方式接入:多种客户平台能够方便地接入,并能过高带宽使用这些计算资源;
3、资源池共享:在云里,计算资源以资源池方式灵活提供多种分配模式;
4、快速弹性扩展:根据用户模式、商业模式等,方便快速实现对计算资源的弹性扩展;
5、量化服务:云服务可方便地使用量化方式衡量使用效果;
三种服务模式:
图1云服务模式
1、IaaS(InfrastructureasaService):基础设施即服务。消费者通过Internet可以从完善的计算机基础设施获得服务。例如:硬件服务器租用。
2、PaaS(Platform-as-a-Service):平台即服务。PaaS实际上是指将软件研发的平台作为一种服务,以SaaS的模式提交给用户。因此,PaaS也是SaaS模式的一种应用。但是,PaaS的出现可以加快SaaS的发展,尤其是加快SaaS应用的开发速度。例如:软件的个性化定制开发。
3、SaaS(Software-as-a-Service):软件即服务。它是一种通过Internet提供软件的模式,用户无需购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动。例如:阳光云服务器。
四种部署方式:
1、公有云(PublicCloud):对公众用户提供的云服务,如百度云、苹果云等,提供给个人用户使用;
2、企业云(CommunityCloud):提供给企业或组织使用的云服务,企业使用云服务来建设自己的IT或数据系统,如主机外包、托管服务在云平台服务上的延伸;
3、私有云(PrivateCloud):企业内部建设的云平台,通常部署企业多个业务系统;
4、混合云(HybridCloud):单一的云实体平台,同时包含多种服务提供,即可能包括企业云,也包含公有云或私有云。
3云安全风险与威胁
最近的出版物和媒体报道讨论迁移到云计算的广泛的好处:更好的管理和IT物理资源分析具有灵活性、高可扩展性、弹性和成本节约。然而,改变总会带来问题,比如会产生新的风险和新的威胁。企业使用云服务必须考虑迁移到云计算必须意识到的风险,这些安全风险是否是他们可以接受并管理的。
因此在云安全问题上,我们必须面对一是如何识别与发现可能的新的安全风险、问题或威胁,二是如何解决这些问题。
作为云服务提供商,基于提供的服务模式不同,面临的安全问题也不同,如下图所示:
在IaaS模式中,云服务提供商只需要关注基础设施资源,安全风险、问题和威胁相对较小,对于应用安全、数据安全则完成由客户自己承担。而SaaS模式中,云服务提供商需要考虑的不仅仅是基础设施安全,同时业务应用、用户数据等安全均需要重点关注。
最重要的,不管是哪种方式,云计算安全与传统IT安全最大的区别,是在于使用云服务的用户数据和应用,不在是独立和屏蔽的,而是开放的,面临着如下的安全问题:
1、当数据和业务应用信息位于公共的计算环境中时,如果确保安全性?
2、云服务的维护人员或厂商人员,是否可以随时访问到用户数据或业务应用数据?
3、在公共IP环境中,是否有来自IP层面的攻击?
4、怎么才能知道,在云平台中是否存在安全漏洞?
5、在云服务流程中是否可能存在一些流程对业务和数据有入侵的可能?
等等。
在云服务中,同样我们需要重点关注数据的保密性、完整性、可用性,以及在云计算中如何确保安全威胁的来源,安全漏洞的存在等。
总的来说,在云计算中我们可能遇到的安全问题或安全威胁包括:
图2
云安全威胁
1.数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
2.共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
3.内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
4.帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
5.不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
6.没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
7.未知的风险:透明度问题一直困扰着云服务供应商,帐户用户仅使用前端界面,他们不知道他们的供应商使用的是哪种平台或者修复水平。
4云安全思考
基于上述云安全风险与威胁,对照云框架与服务模式,针对不同的层次,需要找到对应的安全解决思路,并且这些安全思路不同于传统的IT安全技术,因为云本身在资源管理、资源使用、计算、应用与业务、管理方式等等方面都已有很大的区别,结合云计算框架,云安全思考如下图所示:
这里物理安全与传统的物理安全,如环境安全、门卫保安等并没有区别,不再赘述。
针对计算主机与存储安全,需要考虑的是云计算中所有主机网元本身的安全性,如通过漏洞扫描、配置核查等确保在主机与存储层最少的安全漏洞和风险;确保安全基础。而在云病毒防护中,与传统的单机防病毒不同,需要自上而下全面考虑,云主机、云终端、云应用、云虚拟机等进行主动病毒防护。
可信计算安全层,进行云中的资源安全管理,确保云计算层面安全,包括云计算签注密钥、安全输入输出、云存储屏蔽、计算认证等,实现保护指定的数据存储区,防止敌手实施特定类型的物理访问,以及所有在计算平台上执行的计算是在一个未被篡改环境中运行的保护。
网络安全包括了在云计算网络中如何更好更安全地部署IDS/IPS、防火墙、Anti-DDos等安全防护设备,不同于传统网络中的安全防护,在云计算环境中更多需要考虑的地虚拟网络、虚拟应用层面的防护技术部署。
云管理安全重点是在云计算环境中存在大量的云管理平台和系统,这些平台和系统的安全直接关系到云计算的整体安全性,因此需要考虑在云管理中的策略安全管理、路径安全性、配置安全性、云审计、管理平台安全监控等方面。
数据安全则是云计算环境中安全重点内容之一,在云计算环境中,数据的安全存储、使用、防泄露尤为复杂,需要重点做好数据的存储安全、使用安全、如何防泄露、防滥用、数据库安全性等。
应用安全,由于在云计算中应用都是基于虚拟环境部署的,在应用层面,除了需要考虑传统的应用安全外,如应用审计、漏洞检查、代码审计、流程审计外,还需要进行应用的云资源使用与云计算使用的安全性。
云安全视图是在云安全管理中的统一视图,实现云管理的集中化与统一展现,以及云安全管理工作的管理等。
5结束语
云时代与虚拟化技术的快速崛起,以及互联网安全的重要程度越来越高,使伴随着云的崛起而来的,云安全也随之越来越引起重视。我们从云框架、云服务和云安全问题与威胁等多个角度阐述从安全角度思考,如何建立符合云计算要求的安全体系。着眼于云关键业务,也就是第一层应用虚拟化过程中的实现,如何确保应用的安全和高可用性,全面介绍如何构建云安全体系,实现跨设备的应用和数据交付技术的同时,最大的安全保障。总体说来,云安全也是伴随着云计算、云存储等新兴云技术的产物,是为了确保云计算的使用者、提供者、服务者、经营者等多方面的安全保障,云安全的策略构想是使用者安全使用云,云服务提供商确保云平台的安全稳定,云安全覆盖云及互联网的每个角落。而运营商面对云建设与推广的新形势,必须正确面对云带来的安全问题、风险、威胁,同步建立云安全体系,确保云平台安全,以及提供安全的云服务。
参考文献
[1]
[2]
[3]
[4]
[5]
张戈.云安全找回渠道价值[N].电脑商报,2010-03-08(027).瑞星系统架构师
钟伟.云安全——巨大的互联网软件[N].中国计算机报,2008-11-24(C03).那罡.从云安全到安全云[N].中国计算机报,2010-08-02(036).电脑商报记者
张戈.“云安全”是趋势[N].电脑商报,2009-03-16(027).王春雁.云计算首获安全防护,“安全云”横空出世——趋势科技正式发布云安全3.0[J].中国教育信息化,2010,(15).[6]
网御星云安全专家畅谈网络安全之一:说说网络安全中“最熟悉的陌生人”[J].信息安全与通信保密,2011,(5).[7]
说说网络安全中“最熟悉的陌生人”——网御星云安全专家畅谈网络安全之一[J].计算机安全,2011,(5).[8]
孙泠.云的安全和云安全[J].IT经理世界,2010,(7).[9]
褚诚云.云安全:云计算的安全风险、模型和策略[J].程序员,2010,(5).[10]
王汝林.发展“云计算”必须高度重视“云安全”[J].中国信息界,2011,(1).[11]
马晓亭,陈臣.云安全2.0技术体系下数字图书馆信息资源安全威胁与对策研究[J].现代情报,2011,(3).[12]
袁伟伟.“云安全”为数字化校园网络信息安全保驾护航[J].信息与电脑(理论版),2011,(3).[13]
徐刚.云计算与云安全[J].信息安全与技术,2011,(Z1).
推荐访问:云安全问题分析及研究思路 云安 思路 分析
