云计算安全风险评估及其应对措施探讨.docVIP

云计算的安全风险评估及其应对措施探讨 　　摘要　文章首先介绍了云计算日渐普及后安全问题日益凸显的状况；接着在此基础上进一步分析评估了云计算的安全风险，并着重从企业需求和解决方案两方面对上述安全风险提出应对措施；最后文章总结了落实云安全后给企业带来的益处。 　　关键词　云计算　信息安全　应对措施 　　 　　1　引言 　　 　　云计算是近几年来逐渐兴起的新理念，旨在使计算能力和存储资源简化，变得像公共自来水或者电一样易用，最终实现用户只要连接上网络即可方便地使用并按量付费的目标。云计算不仅提供了灵活高速的计算能力，而且还提供了庞大的存储资源，采用云计算的企业不需要像传统企业一样构建，自己专用的数据中心便可以在云平台上运行各种各样的业务系统。云计算所采用的创新计算模式，可以使用户通过互联网随时获得近乎无限的计算能力和丰富多样的信息服务，便于用户对计算能力和存储等服务取用自由、按量付费。 　　可是，随着云计算的日渐推广和普及，云安全的问题也逐渐浮出水面。和传统的安全风险不同，在云计算中恶意用户和黑客都是在云端互动环节中攻击数据中心的，其具体表现有信息体的伪造、变造、假冒、抵赖以及木马攻击、病毒损毁等，并且这些危害不仅仅是发生在服务定制和交付这两个出入口，还贯穿于服务的组织、加工、整理、包装等过程中。 　　IDC曾经对244位IT主管或CIO们做过一项调查，了解他们对于企业内部署云计算的看法，结果显示安全性以74.6％的关注率排在第一位，成为他们最关心的问题。无独有偶，根据IBM的一项调查显示，阻碍用户迁移到云计算最重要的原因就是出于对数据安全性和私密性的担忧；另外一个重要的原因是出于对云计算服务质量的考虑，但这也可以被视作是在一种广义的安全性范畴中的考虑。 　　对比来看，在传统的企业数据中心中，服务提供商只提供机架和网络，而包括服务器、防火墙、软件和存储设备等都由企业自行负责。用户对所有的物理设备和软件系统有完全的控制权，企业不论是不顾成本自建数据中心还是租用机房，通过物理隔离的方式都可以避免未授权用户接触到自己的服务器和数据。而在云计算环境下，企业自身的数据都在云中，而云本身的构架又是不透明的，从而会产生一种不信任的心理。因此，这不仅仅是一个单纯的技术问题，还是一个商业问题，其中涉及到诚信、法律法规等多方面的因素。举例来说，我们都知道把钱存在银行比放在自己家中要安全，这是因为在技术上需要密码才可以从银行取款，更重要的是大家因为银行的信誉而选择相信银行能够通存通兑。同样的道理，对于云计算而言，要解决安全性的问题也要从技术和非技术着手。 　　下文将探讨企业部署云计算面临的安全风险，并找寻其解决之道。 　　 　　2　云计算的安全风险 　　 　　虽然云计算有助于企业打破IT基础设施和最终用户之间的粘合从而收益更多，但是由此而增大的安全威胁必须被意识到并加以防范和解决，才能使云计算的益处落到实处。企业面临的云计算安全风险如下： 　　(1)在云计算中企业将失去对物理安全的控制。在云中，企业和其他公司甚至可能是竞争对手在共享计算资源，企业无从得知自己的数据存储在哪里，能得到的仅仅是云服务提供商的保证。 　　(2)恶意用户和黑客针对云的攻击。企业将大量的敏感数据放在全球可以访问的云中，因而攻击者不再需到现场窃取数据，甚至其从地球的任一个角落就能发起攻击。在云中采取的虚拟化技术使多个企业的虚拟机共存于同一物理服务器上，而传统数据中心采用的物理隔离和基于硬件的安全防护无法防止云中虚拟机之间的互相攻击。 　　(3)密钥的安全性。数据在云中传输的时候将会被加密，但是加密解密的密钥会在谁手中?是企业还是云服务商?对于大多数企业而言，都希望其数据在传输时使用SSL加密。同样涉及到密钥的还有在云中存储的数据。 　　 　　(4)云存储的兼容性。如果企业决定从一个云服务商迁移到另一个服务商，之间就会存在兼容性问题，比如Amazon的S3和IBM的蓝云就不兼容。 　　(5)云应用的安全漏洞。如果企业在云中使用了SaaS产品，这意味着和传统相比软件开发会少得多。例如使用一个由SaaS服务商提供基于Web的客户关系管理产品，产品本身是否有安全漏洞?如今混合技术的不成熟使用将不可避免地在这些应用中产生不为人知的安全漏洞。 　　(6)云日志的监控。随着越来越多的关键任务被迁移到云中，云服务商会保留所有的日志，但是这些日志一般是内部的，不一定能被企业用户访问到，因此监控是困难的。 　　(7)灾难恢复。如果企业的非关键任务应用下线，企业可能仍能维持运转；但是如果关键任务应用下线，可能结果就并非如此了。 　　(8)法律法规的风险。云计算使得企业遵守法规的过程变得更为复杂：有些法规要求某些数据不能与其他的数据混杂保存在共享的服务器或数据