云计算导论第4章PPT.pptVIP

; 　4.1　云安全的提出　　当前，云计算发展面临许多关键性问题，而安全问题首当其冲。随着云计算的不断普及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。Gartner2009年的调查结果显示，70%以上受访企业的CTO认为近期不采用云计算的首要原因在于其存在数据安全性与隐私性的忧虑。 ;;　　目前，云计算安全问题已得到越来越多的关注。著名的信息安全国际会议RSA2010将云计算安全列为焦点问题，CCS（CloudComputingSummit,云计算高峰论坛暨展览）从2009年起专门设置了一个关于云计算安全的研讨会。许多企业组织、研究团体及标准化组织都启动了相关研究，安全厂商也在关注各类安全云计算产品。本章通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响，提出未来云计算安全技术框架及重要的科研方向，以为我国未来云计算安全的科研、产业发展做出有益的探索。 ;图4－1　信息安全技术发展阶段图 ; 4.2　云安全隐患的分类　　1.来自内部的安全隐患　　美国一家咨询公司Gartner在2008年发布的一份《云计算安全风险评估》报告中称：云计算存在着七大安全隐患,可视为来自云内部的安全隐患。　　（1）特权用户访问。当用户把数据交给云计算服务提供商后，对数据最具有优先访问权的不是用户本人，而是服务提供商。Gartner建议用户应该了解更多管理数据者的信息，从而将风险降到最低。 ;　　（2）合规性。用户最终要对自己数据的安全性和完整性负责，即便这些数据是交给云计算服务提供商托管的。传统的云计算服务提供商会接受外部审计和安全认证。如果云计算服务提供商拒绝接受审计和安全认证，用户就不能对数据进行有效的利用。　　（3）数据的位置。用户在使用云时可能不知道数据的确切位置，所以用户在选择云计算前应事先了解服务器位置，以及提供的服务是否符合相关国家的法律规范。 　　（4）数据隔离。云计算的数据通常来自其他客户的数据共享环境，加密是有效的，但不是万能的。Gartner表示加密意外可以降低数据的可用性，甚至使数据完全无法使用。 ;　　（5）数据恢复。即使用户了解自己数据放置在哪台服务器上，也应要求服务提供商做出承诺，必须对所托管数据进行备份，以防止出现重大事故时用户数据无法得到恢复。Gartner建议用户不仅要知道服务提供商是否有数据恢复的能力，还要知道服务提供商能在多长时间内恢复数据。　　（6）调查支持。Gartner认为在云计算中进行非法调查是不可能的，在云中进行调查特别困难，因为多个用户的数据可能设在同一地点，也可能分散在不断变化的一组主机和数据中心。如果用户得不到云计算服务提供商的承诺或有证据表明云计算服务提供商已成功支持过调查活动，那么调查是不可能进行下去的。　　（7）长期生存。云计算服务提供商提供长期发展风险的安全措施，譬如用户如何拿回自己的数据，以及拿回的数据如何被导入到替代的应用程序中。 ;　　2.来自外部的安全隐患　　Forrester研究公司在《你的云计算有多安全》的研究报告中建议用户必须考虑如下问题：数据保护、身份管理、安全漏洞管理、物理和个人安全、应用程序安全、时间相应和隐私措施。云计算环境对违法黑客极具有吸引力，因为云本身就是隐藏这类恶意软件的良好场所。云计算所采用的技术和服务同样可以被黑客利用来发送垃圾邮件，或者发起针对下载、数据上传统计、恶意代码监测等更为高级的恶意程序。　　所以，云计算服务提供商需要采用防火墙以保证不被非法访问，使用杀毒软件以保证其内部的机器不被感染，使用入侵监测和防御设备以防止黑客的入侵；用户则需要采用数据加密、文件内容过滤等，以防止敏感数据存放在相对不安全的云里。 ; 　4.3　云安全防范 　　1.建立以数据安全和隐私保护为主要目标的云安全技术框架　　当前，云计算平台的各个层次，如主机系统层、网络层以及Web应用层等都存在相应的安全威胁，但这类通用安全问题在信息安全领域已得到较为充分的研究，并具有比较成熟的产品。研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等对数据安全与隐私保护带来的挑战。 ;　　1)云计算的服务计算模式所引发的安全问题　　当用户或企业将所属的数据外包给云计算服务提供商或者委托其运行所属的应用时，云计算服务提供商就获得了该数据或应用的优先访问权。事实证明，由于存在内部人员失职、黑客攻击及系统故障导致安全机制失效等多种风险，云计算服务提供商没有充足的证据让用户确信其数据被正确地使用。例如，用户数据没有被盗卖给其竞争对手、用户使用习惯隐私没有被记录或分析、用户数据被正确存储在其指定的国家或区域，且不需要的数据已被彻底删除等。 ;　　2)云计算的动态虚拟化管理方式所引发的安全问