云计算环境下企业信息安全探讨.docVIP

云计算环境下企业信息安全的探讨 　　［摘要］ 云计算已经进入人们的视线中，有部分企业选择将信息储存到“云”中，利用“云”庞大的资源和强大的计算能力来处理信息。但随之而来的一个不可忽视的问题是云计算环境下企业信息的安全。本文对云计算的安全问题进行分析，结合目前云计算的发展状况，从法律、标准、技术等方面综合考虑，提出加强云计算环境下企业信息安全的方法。 　　［关键词］ 云计算； 企业信息； 信息安全 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 20. 036 　　［中图分类号］TP393.08 ［文献标识码］A ［文章编号］1673 - 0194（2011）20- 0060- 02 　　 　　１引言 　　部分企业将信息储存在一个云状的、可通过互联网访问的、由服务器构成的集合中，而非本地的计算机中。需要的时候，只需将客户端连入“云”中，便可以运行软件，获得需要的服务。本地计算机几乎不需要做什么，所有的处理都是由云计算服务提供商所提供的计算机群来完成。信息对企业重要性是显而易见的，信息流向哪里、谁可以访问这些信息，都应有非常严格的控制。 　　２云计算环境下企业信息面临的风险 　　云计算环境下企业信息的安全风险主要有： 　　（１） 数据丢失或泄露。到目前为止还没有一种被广泛认可的安全级别，能够保证云中的数据安全。有些应用之所以会泄露数据是因为脆弱的ＡＰＩ接入控制，以及密钥的生成、存储和管理不善。 　　（２） 存在技术漏洞。基础设施即服务（Ｉaas）厂商用在基础设施中的基础组件,并不能在多用户架构中提供强有力的隔离能力。供应商使用虚拟化来缩小这一差距，但是由于安全漏洞存在的可能性，很有可能会有一些未经授权的改动或其他行为。 　　（３） 恶意软件带来的挑战。随着越来越多地通过插件和浏览器来实现互操作性，原本只针对单独某个操作系统的安全攻击，现在已发展成为跨平台的攻击。 　　（４） 黑客的攻击。企业有大量的数据、应用和资源集中在云中，而如果云服务商的认证存在漏洞，那么黑客便可轻松进入用户的账户，窃取企业信息，甚至将数据变为伪造的信息，将账户引到非法的网站等。 　　（５） Ｗｅｂ应用在云计算领域的脆弱性。浏览器其实是个很复杂的安全环境。 　　（６） 未知的风险。透明度的问题将会继续困扰着云服务商。有账号的用户只是和服务器的前端界面进行互动，而他们并不了解这些背后隐藏着什么，更不知道他们正在使用的平台是什么版本，有什么补丁。 　　３云计算下企业信息安全防护问题 　　除去云计算服务系统本身的故障带来的问题，其设计时的漏洞很可能会成为某些用心不良的人的攻击目标。恶意用户只需要进入到云中，便可以获得大量的企业信息。这些泄露的企业信息很可能会给企业日常工作带来困扰，更容易造成经济上的损失，甚至是法律上的责任，因此应从以下几个方面加以防护。 　　３．１完善立法：促进安全 　　云计算正处于发展的初期，由于目前并没有相关法律对云计算服务的提供商进行约束，很可能会出现一些企业打着云计算的幌子来进行一些恶意的行为。用户难免会担心自己储存在云中的信息是否安全，是否会在自己不知情的情况下被用于其他的方面，尤其是企业用户，其金融信息、发展计划、科研信息，甚至可能会被不道德的云计算服务提供商提供给其他机构来获利。因此，建立健全相关法律法规势在必行。需要一个通用的控制框架来统一那些广为认可和接受的行业标准和规章。 　　３．２改善技术：提升安全 　　在技术方面是从云计算的本身来加强其信息的安全性，相对来说要更加直接。而改善技术包含以下几个方面与方法： 　　３．２．１对信息进行分类 　　云计算用户和服务商应该对云中储存的信息进行分类，然后进行分级评估。根据信息的重要程度，将云中的信息重要性和安全级别分为几个等级。 　　区别公共云和私有云，用户可以将核心的机密信息储存在本地计算机中而非云中； 　　比较重要的信息，则可以向服务商要求租用只供自己使用的服务器，将资料存储于这个私有云当中； 　　其他一些较为大众化的信息，或对用户不会造成什么影响的信息，或一些公开信息，则可以放心地存放在公共云当中，方便使用或与他人共享。 　　由于私有云只对特定用户服务，同时私有云一般存在于企业防火墙之内，它本身就可以避免很多安全问题。客户可以自己控制私有云中的数据，决定谁可以访问信息，信息如何储存，如何加密，以及何时使用。那些处理隐私数据的机构（如金融服务、健康服务和政府机构）不会也不可能让第三方有机会访问其敏感数据，如果出现信息泄露其甚至还要承担法律现任。 　　当然，仅仅靠将数据分别储存在公共云或私有云中，并不能从根本上解决问题。私有云的安全问题与传统企业或组织内部的信息资产安全问题差