论文部分内容阅读
摘要:云计算是一种新兴的技术和商业模式,它将IT资源以服务的形式通过互联网提供给用户使用。近年来,云计算发展迅速,其应用范围不断扩大,也推动着其他行业的发展,然而其信息安全问题逐渐暴露出来,制约着云计算的发展。文章首先简要介绍了云计算的概念和特征,然后从几个方面分析了云计算存在的安全问题,最后从云计算相关制度与法律法规的建设,以及安全保障技术层面分析了云计算的安全防范措施。
关键词:云计算;IT资源;信息安全;法律法规;安全保障技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)25-0021-02
Analysis on the Security Problems and Precautions of Cloud Computing
LI Qian
(College of Information Science and Engineering, Chengdu University, Chengdu 610106, China)
Abstract: Cloud computing is a new technology and business mode. It provides IT resources to users through the Internet in the form of services. In recent years, cloud computing has developed rapidly, its application scope is expanding, and it also promotes the development of other industries. However, the problem of information security has been gradually exposed, which restricts the development of cloud computing. The paper first briefly introduces the concept and characteristics of cloud computing, and then analyzes the security problems of cloud computing from several aspects. Finally, it analyzes the security precautions of cloud computing from the construction of cloud computing related systems and laws and regulations, and the technical level of security guarantee.
Key words: cloud computing; IT resources; information security; laws and regulations; security technology
云计算是通过云来共享分布式资源的形式,是时代、科技发展的产物。自2006年谷歌的首席执行官埃里克·施密特提出了“云计算”的概念之后,时至今日,云计算已经不仅仅是IT基础设施的交付和使用,更是一整套云解决方案的提供。云计算的应用在当今越来越普遍,当它给社会带来巨大经济效益、给人们带来极大便利的同时,其安全问题也随之而来。
1 云计算概述
对于云计算的定义有多种说法,美国国家标准与技术研究院(NIST)对其定义为:“云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。”云计算具有虚拟化、规模大、可靠性高、通用性强、扩展性强、价格低廉、按需服务等特点[1]。目前,越来越多的企业和个人使用云计算服务,这也是未来的发展趋势。用户最关心的问题是数据的安全,商业机密、隐私信息、敏感数据等不被泄露。因此,云计算的信息安全备受人们的关注[2]。
2 云计算的信息安全问题
近年来,云计算的发展很快,但是其安全问题从一定程度上影响了它的普及,不少人担心数据丢失,隐私数据被泄露,企业敏感数据、商业机密被窃取等。以下从不同方面对云计算面临的安全问题进行分析。
2.1 物理安全
云计算的安全首先要从物理安全开始。物理安全主要包括云物理设备的安全、介质的安全、云物理环境的安全等。需要防盗、防毁、防火、防水防潮、电能供给、电磁保护等[3]。
2.2 虚拟化安全
虚拟化技术是云计算的核心技术之一,是基于基础架构层的资源管理技术,它对计算机硬件平台的各种资源进行抽象、模拟,并最大化利用。在当今硬件系统快速发展和应用需求复杂多变的情况下,虚拟化技术能够提高资源的利用率和使用的灵活性,带来更高的可扩展性、可用性,同時减少管理成本。然而,虚拟化技术也存在安全问题。
虚拟机监控程序(Virtual Machine Monitor,VMM),也称为监管程序(Hypervisor),是一种中间层软件,它运行在操作系统和物理服务器之间,能够访问物理服务器上的各种硬件设备。服务器启动后执行Hypervisor,为每个虚拟机分配相应的CPU、内存、磁盘、网络等物理资源,并对资源的访问进行协调。因此,在云计算环境中,Hypervisor是核心软件,如果攻击者控制了Hypervisor,则相当于控制了Hypervisor监控的整个资源[4]。虚拟机溢出导致安全问题蔓延、黑客攻击、补丁更新负担加重等都是一些安全隐患。 2.3 应用安全
目前,云主机上部署的Web应用程序也存在来自互联网的安全威胁。由于云服务应用的客户端普遍采用浏览器进行访问,而各类浏览器均存在软件漏洞,有被攻击的风险,从而影响应用的安全[5]。不同的云计算服务模式下,存在不同的应用安全责任主体。IaaS(基础设施即服务)模式提供的是云计算基础设施,用户在其上部署和管理其应用程序,也就由用户自己负责全部应用的安全。PaaS(平台即服务)模式提供的服务是应用的开发和运行环境,由PaaS提供商负责PaaS平台自身的安全,用户在平台上开发或部署自己的应用,进行应用的安全配置和管理。SaaS(软件即服务)模式提供的是云平台上软件的租用服务,由SaaS提供商负责平台及应用的安全,用户只需通过浏览器对应用进行访问,负责操作的安全。
2.4 数据安全
云计算要对大量数据进行存储、传输、处理,而且是分布式的计算,数据通过网络进行传输,如果没有保护措施,则存在着很大的安全隐患。一方面用户信息有被窃取、篡改、丢失、损坏的可能,另一方面如果云计算缺乏对数据的审核,也不能保证数据本身是安全的,从而有可能带来更大范围的安全威胁。
3 云计算的安全防范措施
面对云计算存在的各种安全威胁,必须采取有效的安全防范措施。以下从制度、法律法规层面和技术层面进行分析。
3.1 加强相关制度与法律法规的建设
云计算作为新兴产业,不仅需要政策支持,更应有相应制度和法律进行约束和规范,保障其安全顺利的发展。虽然在我国已有的法律法规中有一些与云安全密切相关,如:在加强个人信息保护方面,《中华人民共和国网络安全法》《中华人民共和国刑法修正案(九)》等对个人信息进行了定义,并对收集、使用、传输、存储个人信息提出了要求,规定了泄露个人信息行为的罚则,但相对于云计算安全问题的日益复杂化,相关制度还不够完善,法律法规也没能及时跟进,均有待加强和完善。
3.2 加强技术保障
云计算的信息安全问题更多是技术层面的问题,因而必须加强技术的完善。身份认证是保障云计算信息安全的重要手段之一,应提高身份认证水平和强度,可进行多层身份认证,如密码、数字证书、生物特征识别、智能卡等。各种系统漏洞和业务软件的漏洞易成为入侵者攻击的目标,应加强漏洞检测,及时修补漏洞。数据加密是数据安全的最后一道防线,根据云服务模式不同,由用户加密数据后上传至云端,或由云服务提供商提供数据的加解密。应结合对数据加密强度、速度等方面的要求选择加密算法,同时做好密钥的定期更新和备份。另外,还要加强入侵检测、访问控制、病毒防治、防火墙技术等多方面的安全防护。
4 结论
云计算是一种新兴的商业模式,以虚拟化技术为基础,将IT资源以服务的形式提供给用户,用户按需付费。云计算发展迅速,在向各行业渗透、推动行业发展的同时,其安全问题也逐渐显现出来,影响着自身的发展。因此,要从制度、法律法规的建设上,以及云计算技术保障上多层面地分析安全问题,并积极应对,从而保障云计算产业的可持续发展。
参考文献:
[1] 王硕刚,巨维博,王一宁,等.浅谈大数据、云计算技术对高校学生管理信息化建设的影响[J].中国管理信息化,2018(3):211-213.
[2] 王然然.论云计算下的网络安全及措施[J].电子技术与软件工程,2018(1):224-225.
[3] 黃金凤,郑美容.基于云计算的信息安全风险评估模型[J].宁德师范学院学报,2018,30(1):34-40.
[4] 王丽丽.云计算中虚拟化技术的安全问题及对策研究[J].首都师范大学学报,2015,36(4):16-19.
[5] 张云勇,陈清金,潘松柏,等.云计算安全关键技术分析[J].电信科学,2010,26(9):64-69.
【通联编辑:梁书】
关键词:云计算;IT资源;信息安全;法律法规;安全保障技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)25-0021-02
Analysis on the Security Problems and Precautions of Cloud Computing
LI Qian
(College of Information Science and Engineering, Chengdu University, Chengdu 610106, China)
Abstract: Cloud computing is a new technology and business mode. It provides IT resources to users through the Internet in the form of services. In recent years, cloud computing has developed rapidly, its application scope is expanding, and it also promotes the development of other industries. However, the problem of information security has been gradually exposed, which restricts the development of cloud computing. The paper first briefly introduces the concept and characteristics of cloud computing, and then analyzes the security problems of cloud computing from several aspects. Finally, it analyzes the security precautions of cloud computing from the construction of cloud computing related systems and laws and regulations, and the technical level of security guarantee.
Key words: cloud computing; IT resources; information security; laws and regulations; security technology
云计算是通过云来共享分布式资源的形式,是时代、科技发展的产物。自2006年谷歌的首席执行官埃里克·施密特提出了“云计算”的概念之后,时至今日,云计算已经不仅仅是IT基础设施的交付和使用,更是一整套云解决方案的提供。云计算的应用在当今越来越普遍,当它给社会带来巨大经济效益、给人们带来极大便利的同时,其安全问题也随之而来。
1 云计算概述
对于云计算的定义有多种说法,美国国家标准与技术研究院(NIST)对其定义为:“云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。”云计算具有虚拟化、规模大、可靠性高、通用性强、扩展性强、价格低廉、按需服务等特点[1]。目前,越来越多的企业和个人使用云计算服务,这也是未来的发展趋势。用户最关心的问题是数据的安全,商业机密、隐私信息、敏感数据等不被泄露。因此,云计算的信息安全备受人们的关注[2]。
2 云计算的信息安全问题
近年来,云计算的发展很快,但是其安全问题从一定程度上影响了它的普及,不少人担心数据丢失,隐私数据被泄露,企业敏感数据、商业机密被窃取等。以下从不同方面对云计算面临的安全问题进行分析。
2.1 物理安全
云计算的安全首先要从物理安全开始。物理安全主要包括云物理设备的安全、介质的安全、云物理环境的安全等。需要防盗、防毁、防火、防水防潮、电能供给、电磁保护等[3]。
2.2 虚拟化安全
虚拟化技术是云计算的核心技术之一,是基于基础架构层的资源管理技术,它对计算机硬件平台的各种资源进行抽象、模拟,并最大化利用。在当今硬件系统快速发展和应用需求复杂多变的情况下,虚拟化技术能够提高资源的利用率和使用的灵活性,带来更高的可扩展性、可用性,同時减少管理成本。然而,虚拟化技术也存在安全问题。
虚拟机监控程序(Virtual Machine Monitor,VMM),也称为监管程序(Hypervisor),是一种中间层软件,它运行在操作系统和物理服务器之间,能够访问物理服务器上的各种硬件设备。服务器启动后执行Hypervisor,为每个虚拟机分配相应的CPU、内存、磁盘、网络等物理资源,并对资源的访问进行协调。因此,在云计算环境中,Hypervisor是核心软件,如果攻击者控制了Hypervisor,则相当于控制了Hypervisor监控的整个资源[4]。虚拟机溢出导致安全问题蔓延、黑客攻击、补丁更新负担加重等都是一些安全隐患。 2.3 应用安全
目前,云主机上部署的Web应用程序也存在来自互联网的安全威胁。由于云服务应用的客户端普遍采用浏览器进行访问,而各类浏览器均存在软件漏洞,有被攻击的风险,从而影响应用的安全[5]。不同的云计算服务模式下,存在不同的应用安全责任主体。IaaS(基础设施即服务)模式提供的是云计算基础设施,用户在其上部署和管理其应用程序,也就由用户自己负责全部应用的安全。PaaS(平台即服务)模式提供的服务是应用的开发和运行环境,由PaaS提供商负责PaaS平台自身的安全,用户在平台上开发或部署自己的应用,进行应用的安全配置和管理。SaaS(软件即服务)模式提供的是云平台上软件的租用服务,由SaaS提供商负责平台及应用的安全,用户只需通过浏览器对应用进行访问,负责操作的安全。
2.4 数据安全
云计算要对大量数据进行存储、传输、处理,而且是分布式的计算,数据通过网络进行传输,如果没有保护措施,则存在着很大的安全隐患。一方面用户信息有被窃取、篡改、丢失、损坏的可能,另一方面如果云计算缺乏对数据的审核,也不能保证数据本身是安全的,从而有可能带来更大范围的安全威胁。
3 云计算的安全防范措施
面对云计算存在的各种安全威胁,必须采取有效的安全防范措施。以下从制度、法律法规层面和技术层面进行分析。
3.1 加强相关制度与法律法规的建设
云计算作为新兴产业,不仅需要政策支持,更应有相应制度和法律进行约束和规范,保障其安全顺利的发展。虽然在我国已有的法律法规中有一些与云安全密切相关,如:在加强个人信息保护方面,《中华人民共和国网络安全法》《中华人民共和国刑法修正案(九)》等对个人信息进行了定义,并对收集、使用、传输、存储个人信息提出了要求,规定了泄露个人信息行为的罚则,但相对于云计算安全问题的日益复杂化,相关制度还不够完善,法律法规也没能及时跟进,均有待加强和完善。
3.2 加强技术保障
云计算的信息安全问题更多是技术层面的问题,因而必须加强技术的完善。身份认证是保障云计算信息安全的重要手段之一,应提高身份认证水平和强度,可进行多层身份认证,如密码、数字证书、生物特征识别、智能卡等。各种系统漏洞和业务软件的漏洞易成为入侵者攻击的目标,应加强漏洞检测,及时修补漏洞。数据加密是数据安全的最后一道防线,根据云服务模式不同,由用户加密数据后上传至云端,或由云服务提供商提供数据的加解密。应结合对数据加密强度、速度等方面的要求选择加密算法,同时做好密钥的定期更新和备份。另外,还要加强入侵检测、访问控制、病毒防治、防火墙技术等多方面的安全防护。
4 结论
云计算是一种新兴的商业模式,以虚拟化技术为基础,将IT资源以服务的形式提供给用户,用户按需付费。云计算发展迅速,在向各行业渗透、推动行业发展的同时,其安全问题也逐渐显现出来,影响着自身的发展。因此,要从制度、法律法规的建设上,以及云计算技术保障上多层面地分析安全问题,并积极应对,从而保障云计算产业的可持续发展。
参考文献:
[1] 王硕刚,巨维博,王一宁,等.浅谈大数据、云计算技术对高校学生管理信息化建设的影响[J].中国管理信息化,2018(3):211-213.
[2] 王然然.论云计算下的网络安全及措施[J].电子技术与软件工程,2018(1):224-225.
[3] 黃金凤,郑美容.基于云计算的信息安全风险评估模型[J].宁德师范学院学报,2018,30(1):34-40.
[4] 王丽丽.云计算中虚拟化技术的安全问题及对策研究[J].首都师范大学学报,2015,36(4):16-19.
[5] 张云勇,陈清金,潘松柏,等.云计算安全关键技术分析[J].电信科学,2010,26(9):64-69.
【通联编辑:梁书】