当前云计算存在安全风险和解决途径探究.doc

当前云计算存在安全风险和解决途径探究 　　摘 要：当前信息技术正沿着集成化、专业化、规模化的方向发展，云计算就是在这一趋势下产生的新一代技术，是信息技术在个人计算机与互联网之后的第三个技术高峰，云计算正引领信息产业的变革。在美国监控事件曝光后，国际上又开始了新一轮关于信息技术安全性的讨论，在云计算大规模投入使用前，必须确保其安全性，否则会阻碍云计算的进一步发展与应用。通过分析云计算安全现状与其主要安全风险来源，提出了提高云计算安全性的具体建议。 关键词：云计算；安全风险；解决途径 中图分类号：TP393 1 云计算概述 近几年云计算成为信息技术行业的热门话题，由于云计算是由多种技术混合演进的结果，各大信息技术公司对其关注度颇高，使其迅速从最初的理论迅速发展成一项成熟的技术。云计算技术的基本原理是将用网络链接起来的大量计算资源中剩余的部分进行整合，进行统一的管理和合理分配调度，形成一个存储能力和运算能力强大的计算资源池，为用户提供所需服务。云计算的最基本特征是通过网络，将信息技术资源作为一种服务提供给用户，服务内容包括：计算能力、存储能力、应用程序、编程工具、网络，甚至于通信服务和协作工作等。由于提供服务的资源通过网络进行整合形成，因此称之为“云”，对于用户来说只要支付相应费用，“云”中的资源是可以随时获取、随时扩展、并可以无限扩展的。 2 云计算安全现状与风险来源 2.1 云计算安全现状 在云计算应用过程中，其信息安全的基本安全需求、基本属性与传统信息技术相比不存在特殊性，依然是要保证系统或网络中的所有信息资源的安全，确保其免受各种类型的干扰、破坏和威胁。云计算的安全问题之所以成为备受关注的焦点问题，是由于云计算与传统互联网存在本质的差别，云计算将网络连接的资源整合成一个整体，一些传统互联网时代适用的一度被认为是成熟、可靠的安全措施已经不再适用于新应用环境下的云计算。传统安全防护措施不适用于云计算，且云计算的安全防护难度更大。 首先，云计算以虚拟化技术为主要服务形式，不仅是单纯的虚拟化技术，还综合了分布计算、并行计算、网格计算等，形成了云计算整个复杂的体系架构。各大云计算服务提供商的物理位置、部署方式、服务模型以及计费管理系统上各不相同存在很大差异，使其安全防护变得更复杂，且在理论方面没有进一步突破的情况下，更加大了安全防护工作的难度。 其次，云计算具有规模大、开放程度高的特点，以及在该技术初步投入使用时一些潜在的技术问题，这些因素使云计算中心部署的集中化、专业化的安全防护的优势被削弱，且在一些特定的情况下，既有可能成为劣势。通过从现有的信息技术和安全防护技术以及已经被曝光的各种信息安全事件来分析，传统互联网时代中的安全隐患对云计算服务同样产生了巨大威胁，云计算的规模巨大和开放程度高与机构复杂等特点，对安全防护提出了更多问题和挑战。从云计算的用户角度而言，使用云计算服务其承担的风险更大。 2.2 云计算安全风险的来源分析 （1）合法云计算用户进行不法行为。在云计算运营者的众多合法用户中，不能排除一些用户利用其所租用得云计算运营商的庞大资源从事不法行为的可能性，例如：非法攻击破解、DDOS攻击以及从事法律禁止的服务等不法行为，因此获得合法使用权的云计算用户也可能成为云计算的安全风险来源之一，造成云计算资源被非法使用的风险，对网络违法行为调查和溯源的风险，计算和存储共享伴随的风险等。 （2）云计算运营商管理可能出现疏漏。由于云计算的安全防护策略由运营商进行决策，且计算、存储、软件、带宽等服务也是有运营商提供给用户，一个庞大的管理体系，不可能会面面俱到，例如近期出现的搜狗浏览器泄露用户数据事件。云计算运营商安全管理方面若是出现疏漏则会产生安全隐患，甚至会在企业用户长期发展中出现运营风险。 （3）云计算运营商内部工作人员滥用职权。运营商内部的工作人员拥有云计算中所托管的大部分数据的优先访问权，并且承担者系统备份、切换等多项技术工作，如果有内部工作人员出于某些目的擅自使用用户数据，就可出现用户数据被滥用、倒卖等现象。因此云计算运营的内部工作人员如果不能规范、有效行使职责，则可能带来数据优先访问权的风险。 （4）恶意攻击盗取信息。云计算具有巨大的存储量，其存储器中存储有用户大量的隐私信息、运营数据等，通过云计算可以快速获得大量有价值信息，因此极易成为恶意攻击者的目标。通过窃取用户身份、窃取数据、窃取特定服务、盗用或中断服务器、使用不安全的API、等手段，恶意攻击者可以快速获得任何需要的信息。这种恶意行为将对云计算的计算和存储、网络违法行为的溯源和调查带来风险。 （5）网络战中的敌对方。当前互联网反战程度很高，甚至被称为“第五空间”，网络很可能成为国