关于云计算应用安全问题探讨.docVIP

关于云计算应用安全问题探讨 　　【摘 要】云计算作为一项全新的互联网应用商业模式，各类应用发展迅速，而安全性是用户选 择云计算应用时的首要考虑因素，也是云计算实现健康可持续发展的基础。本文在总结分析 云计算应用面临的技术层面安全威胁的基础上，对云计算应用安全进行了系统分析与研究，并分别从云计算服务提供商和用户角度提出云计算应用安全策略与建议。 　　【关键词】云计算；云安全；网络安全技术 　　【中图分类号】TP393【文献标识码】A【文章编号】1672-5158（2013）02-0032-01 　　1.云计算应用存在的安全风险 　　云计算应用为广大用户提供了极大方便，但是由于其将大量的用户、信息资源集中化，一旦出现安全事件，其后果和风险不堪设想。09年，谷歌、微软、亚马逊等公司的云安全系统都出现了不同程度的故障，对客户的信息服务产生了重大影响，也使得业界人士更加重视云计算应用的安全问题。 　　1.1 云主机服务安全问题 　　（1）云计算用户实名认证机制尚未建立。在用户注册时，系统要求用户必须填写真实姓名、有效证件号码和联系方式等，但这些信息的真实性值得商榷。如果个别不法分子用伪造的身份证，成功获得云主机资源的使用权后，肆意发布不良信息，或者从事黑客活动，很难追根溯源，落实当事人身份成为一大难题。 　　（2）云计算资源分配缺乏有效控制。用户只要向账户中充值，或者满足一定条件成为VIP用户，即可申请使用云主机功能，用户藉此可运作任何互联网业务。虽然安全备案选项中规定用户想要开办网站必须提供备案号，但实际中，系统一般不会对用户的主机实行端口限制，也即允许用户可使用云主机开展任何网络业务。 　　（3）云计算主机存在安全漏洞，面临黑客攻击风险。一般的云主机都提供了木马扫描和杀毒服务。但是，是否安装只取决于用户，而且此类防护级别较低，只针对Windows终端，云主机面临攻击的风险较大。 　　1.2 PaaS服务安全问题 　　开发者通过PaaS平台提供的受限托管环境，能够进行应用开发，并使用诸如内存缓存、下载存储、任务队列一类的服务。其潜在的安全问题包括以下几方面： 　　（1）??息发布服务的审核环节较为宽松，缺乏备案。PaaS服务具有信息发布和托管功能，并且有良好接口，可以方便的与微博、微信等第三方应用平台配合使用，借助API方式供他人使用。不过现阶段的大部分PaaS应用都没有独立备案。 　　（2）平台漏洞可能导致越权访问。PaaS平台的应用开发环境有限制，但其编程环境的技术漏洞被利用后，用户便可以访问底层资源，盗用其他用户信息。公共服务层的漏洞会导致非法访问剧增，并造成网络资源浪费。 　　1.3 云存储安全问题 　　微盘默认给用户1GB的存储空间，部分微盘为方便用户同步文件，还提供桌面或网页客户端，微盘发布信息的自由度较大，这是最主要的安全问题。当前，微盘用户身份无需验证。分享发布信息愈发方便快捷，这使得微盘信息的覆盖面广、传播速度快，这为恶意程序、不良信息的散布提供了温床。 　　1.4 SaaS服务安全问题 　　SaaS服务是面向企业单位，主要有以下两个问题： 　　（1）数据丢包和服务宕机。企业启用SaaS服务后，会将关键数据和日常事务信息同平台关联，服务可靠性、数据保密性是关键点。 　　（2）商业机密遭窃风险。SaaS的应用环境较为宽松，公共服务平台、应用软件本身、底层设施对SaaS用户均是完全透明，SaaS平台企业的品牌度、信赖度需要接受第三方部门的监管。 　　2.应对策略和建议 　　根据服务对象和服务范围的不同，云计算分为私有云、公共云和混合云三种。私有云安全实现较容易，传统IT保护措施可直接应用到私有云上。后二者安全性要求较为复杂，需要云计算运营商和客户配合实施。 　　2.1 云计算服务提供商 　　数据安全性、计算环境隔离、服务质量保证都是运营商要重点考虑的内容。结合现阶段云计算应用面临的各种安全问题，建议采取以下应对策略： 　　（1）提高云计算系统的稳定性、连续性，建立完善的系统安全防御机制。 　　A.严格限制恶意程序、病毒木马在云计算平台中的传播，一经发现，及时查杀； 　　B.建立实时监控系统，对云计算系统的数据包进行筛选，同时关注系统运行状态，及时修复网络故障，并有相应的应急预案； 　　C.部署防火墙或与大型软件公司合作，防范黑客攻击造成的服务器瘫痪； 　　D.完善云计算平台的容错能力，重要系统、数据要进行异地备份； 　　（2）加强对用户信息的保护。 　　A.对用户信息进行隔离保护，确保用户信息能够安全存储，并建立明确的用户边界逻辑关系； 　　B.在用户传输数据时，藉由数据加密、VPN等技术保证传输的单向性和安全性； 　　C.完善数据加密和密钥管理机制，定期