云计算对信息安全的影响及对策分析.docVIP

云计算对信息安全的影响及对策分析 　　【摘要】随着云计算应用的不断兴起和普及，不可避免的出现了一些制约和影响云计算发展的安全问题。本文从云计算的基本概念和特征出发，介绍了云计算的部署方式及其特点，分析了云计算信息安全面临的主要问题，并针对这些安全问题提出了相应的对策。 　　【关键词】云计算;安全问题;安全对策 　　一、云计算的概念 　　作为正在发展中的云计算，对其存在多样化的解释，概括的说，云计算是一种基于互联网的计算机方式，通过互联网将大量规模化的虚拟化资源以服务的形式提供给外部用户。用户享受服务的同时不需要知道支持该项服务的软硬件基础设施是如何运作和管理的，由云服务商负责软硬件资源的管理、维护、安全保护等。一般来讲云计算具有如下特征： 　　1、软硬件资源均通过互联网提供给用户，对网络带宽具有一定的要求; 　　2、云中资源具有动态扩展性，根据用户的需求资源能够进行扩展和动态配置; 　　3、资源以整体的形式呈现给用户，但是在物理上资源是以分布式共享方式存在的，用户并不了解服务基于的软硬件资源位置以及服务的实现方式; 　　4、用户按照需求使用资源，并根据实际使用量付费，不必为其它空闲计算资源负担费用。 　　二、云计算部署方式 　　云计算的部署方式根据服务对象范围的不同，分为：私有云、混合云、社区云、公共云，这四种云按顺序其数据安全性和隐私性依次降低，但是其节约的成本逐渐增多。 　　1、私有云主要运行在企业或者组织的内部，在企业或者组织内部实现计算机资源的统一管理和动态分配，此种云模式需要企业自己购买软硬件设备，安排专门人员进行整个云计算系统的运行管理和维护，一般存在于Google、Amazon、微软等大型公司，私有云开放性不高因而所面临的安全威胁相对较少。 　　2、社区云一般由多个私有云通过VPN链接在一起构成，其规模要大于私有云。 　　3、公共云是云计算的初衷，其基础设施由大型运营企业建立和维护，如Amazon、Google、微软、百度等IT巨头企业，企业将服务以按需购买的形式销售给外部用户，对于用户而言只需要对自己使用的资源和服务进行付费，不需要建立自己的实体数据中心。因为公共云具有较高的开放性，并且用户失去了对计算和数据的直接控制权，因此公共云面临的安全威胁最为突出，以致于目前多数企业仍不愿意将核心数据上传到公共云中，只是将边缘数据上传，对于云计算安全的要求也主要集中在公共云方面。 　　4、混合云是私有云和公共云的混合，一般用户将敏感数据存放在私有云中，而将非敏感数据存放在一个或者多个公共云中，这种模式是目前多数公司开始使用云计算服务的初期策略。 　　三、云计算面临的主要信息安全风险 　　云计算技术作为近年来IT热点研究技术，其应用不断普及，随之带来的是安全问题的不断出现。2011年4月，亚马逊云计算数据中心服务器大面积崩溃，造成其云服务连续中断四天，受影响服务涉及应答服务、新闻服务和位置跟踪等。2012年2月，微软Azure云基础设施和开发服务出现了严重的中断故障，其系统的服务管理组件在世界范围内断网。2013年2月微软Azure云存储服务中断达12小时以上，用户无法访问云计算连接的数据或者利用任何捆绑到这些服务的多媒体内容。2013年10月，知名企业级云存储服务商Nirvanix公司宣布破产，要求用户在2个月内取回自己的数据，致使很多企业客户的需要面对巨量数据迁移的困境，其中不乏IBM和惠普的很多合作伙伴和客户。不断出现的云计算相关安全问题使得云计算的可靠性得到质疑并成为制约其发展的主要因素。 　　云计算的核心特征之一是数据的计算、存储完全在云端进行，数据的安全由供应商完全负责，用户减轻了负担的同时，也失去了物理隔离以及访问权限控制等最为有效的传统数据保护措施，对于用户而言唯一的保障就是与服务商签订的一纸协议。 　　云安全联盟CSA与惠普公司共同列出了云计算安全问题的七个方面： 　　1、数据丢失和泄露。云计算中对数据的安全控制力度并不高，管理方面的不足以及安全机制的缺失都可能造成数据泄露，无论是私人数据还是企业乃至国家的重要数据，一旦出现泄露甚至丢失都会造成严重的后果。 　　2、共享技术漏洞。云计算本身也是一个超大的数据共享平台，共享程度越大漏洞就会越多，攻击点也会随之增多。 　　3、供应商可靠性不易评估。数据对于服务商而言是透明的，要避免敏感数据的泄露，需要一个可信的服务提供商，如何对服务商进行可信度评估仍需要进一步研究。 　　4、身份认证机制薄弱。由于大量数据和资源都集中在云中，有效的身份验证机制能够防止入侵者获取账号的几率，减少未经授权的非法操作。 　　5、不安全的应用程序接口和API接口。云计算的应用程序系统十分复杂，保障其安全性更为困难，有的应用程序接口可