云计算对传统信息安全领域的影响及应对策略.docVIP

云计算对传统信息安全领域的影响及应对策略摘要：对于云计算数据集中的安全问题，用户的数据存储、处理和网络传输等都与云计算密切关，如何有效存储数据以避免数据丢失或损坏，如何避免数据被非法访问和篡改，如何对多租户应用进行数据隔离，如何避免数据服务被阻塞，如何确保云端退役数据的妥善保管或销毁等问题都是云计算解决问题时需要重点考虑的。关键词：云计算 数据 网络传输云计算是一种新的服务模式，它将影响传统的信息安全领域。特别是对传统的反病毒、入侵检测和防御厂商而言，利用云计算平台，将大大提升他们的服务能力和水平。一、云计算对于传统信息安全领域的影响（1）约束云计算的服务提供商的行为和技术，需要国家出台相应的法规，比如云计算服务提供商的网络安全吗？有没有别人闯进去盗取账号？他们提供的存储安全吗？会不会造成数据泄密？这些疑问都是云计算服务提供商们要解决、要向客户承诺的问题。（2）客户在使用云计算服务的同时也要考虑：在云计算服务提供商的安全性和自己数据的安全性上做个平衡，特别重要的数据不要放到云里，可以将其加密后再放到云中，只有自己才能解密，将安全性的主动权牢牢掌握在自己手中，而不是依赖于服务提供商的承诺和他们的解决方案。（3）客户要保管好自己的账户，防止他人盗取你的账号使用云中的服务，而让你承担后果。二、云计算关键特征（1）按需自助服务（on-demandself-service）。用户能够自动获取所需计算资源或服务，而不必和服务供应商交互。（2）宽带网络接入（broad network access）。服务能力通过网络提供，带宽足够且成本低廉，支持各种标准接入手段，包括各种类型的客户端平台（如智能手机、笔记本电脑或PDA），也包括其它传统的基于云的服务。（3）虚拟化的资源“池”（resource pooling）。提供商的计算资源汇集到资源池中，使用多租户模型，按照用户需要，将不同的物理和虚拟资源动态地分配或再分配给多个消费者使用。（4）快速弹性架构（rapid elasticity）。资源或服务能力可以快速、弹性地供应。对于用户来说，可供应的资源或服务能力近乎无限，可以随时按需购买。用户既不用担心资源不够用，也不用担心资源浪费。（5）可测量的服务（measured service）。云计算利用经过某种程度抽象的测量能力（例如存储、处理、带宽或者活动用户账号等）实现自动控制，优化某种服务的资源使用，有明确的价格与收费政策。三、云计算安全参考模型1.云服务模型（1）软件作为服务（software as a service，SaaS）。提供给用户的能力是使用服务商运行在云基础设施之上的应用。（2）平台作为服务（platform as a service，PaaS）。提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用服务商支持的编程语言或工具开发。（3）基础设施作为服务（infrastructure as a service，IaaS）。提供给用户的能力是云供应了处理、存储、网络以及其它基础性的计算资源，以供用户部署或运行自己任意的软件，包括操作系统或应用。云服务的规模化、专业化改变了信息资源的分散格局，还可以融合信息安全专家资源，安全本身也可以作为服务提供。2.云部署模型（1）公共云（public cloud）。由某个组织拥有，其云基础设施对公众或某个很大的业界群组提供云服务。（2）私有云（private cloud）。云基础设施特定为某个组织运行服务。（3）社区云（community cloud）。云基础设施由若干个组织分享，以支持某个特定的社区。（4）混合云（hybrid cloud）。云基础设施由2个或多个云（私有的、社区的或公共的）组成，独立存在，但是通过标准的或私有的技术绑定在一起，这些技术促成数据和应用的可移植性。3.云计算的安全挑战云计算作为多种传统技术并行计算、分布式计算、网格计算、虚拟化、效用计算等综合应用、发展与商业实现的结果，信息安全的基本属性与安全需求不变，涉及信息资产、安全威胁、保护措施等的信息保障安全观不变。从供应商的安全能力角度分析云计算面临的安全风险来讲，云计算技术主要存在7大安全风险，特权用户接入，可审查性，数据位置、数据隔离、数据恢复、调查支持、长期生存性。4.云计算安全应对策略（1）CSA的安全指南云计算中的安全控制机制与传统IT环境中的安全控制机制没有本质的不同。不过，云计算环境下有凸显的安全风险，因此具有特别的安全关注领域。CSA对云服务的主要安全关注点分为治理和运行2个领域，共涉及12个具体的关键域，如治理和企业风险管理、法律和电子证据发现、合规与设计、信息生命周期管理和可移植性和互操作性等。对于每一个关键域给出相应的安全控制实施建议，为用户安全地使用云服务提供指南。不是已有的安全