云计算安全问题研究_00002.docVIP

云计算的安全问题研究 　　摘要：云计算的安全问题是制约云计算发展的一个重要问题，从云计算的定义出发，文章详细分析了云计算带来的若干新兴的安全问题，进而从云计算服务供应商的角度，给出了一个加强云计算安全的保障体系，为云计算的应用平台构建和服务提供做好铺垫。 　　关键词：云计算；安全问题；保障体系 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）10-2308-02 　　云计算是传统计算机技术和网络技术发展融合的产物，也是引领未来信息产业创新的关键战略性技术和手段，作为21世纪IT行业乃至社会关注的焦点和热点，未来云计算应用可以作为一种IT基础设施服务模式、一种信息交换的交付模式、一种创新性资源服务模式、一种基于互联网的新型商业模式，将为人类社会提供更加方便、快捷的信息服务。 　　根据美国国家技术和标准研究院（NIST， Nstioanl Institute of Standards and Technology）对外公布的一个云计算定义：云计算是一个提供便捷的可通过网络访问一个可定制的计算机资源共享池能力的模式（计算资源包括网络、服务器、存储、应用和服务）；这些资源能够快速部署、并只需很少的管理工作或服务供应商很少的交互。 　　这个定义相对来说是比较具体的，也更为技术，它强调了一个共享的计算资源池，然后用户可以方便地通过网络来进行访问，总的来说云计算就是信息技术作为服务（IT as a Service）的一种计算供应和消费方式，因此云计算也可以被称为云服务。 　　随着云计算技术的深入研究，云安全越来越称为云计算以及安全业界关注的焦点问题，一方面由于云计算应用的无边界性特点而引发的很多新安全问题，另一方面，云计算也对传统的安全技术产生了深远的影响。在网络安全形势如此严峻的形势下，有必要对云计算的安全问题有一个整体和清晰的认识，才能在实际应用中把握安全界限。 　　1 云计算的常见安全问题 　　这里综述以下几类云计算带来的新兴安全问题。 　　1）云计算资源的滥用 　　由于云计算服务可以实现通过较低的成本轻易获得大量的计算资源，因此部分黑客利用运资源滥发垃圾邮件、破解用户关键密码以及开发僵尸网络程序来控制用户主机，等等。这些行为有可能造成云计算服务供应商的网络地址作为黑名单，而导致其他用户无法正常使用。此外，由于云计算资源的滥用，在一定情况下为保全证据，有可能会导致其他服务应用的中断。 　　2）云计算环境的安全保护 　　当云计算服务供应商某一服务或客户遭到入侵，导致资料被窃取时，极有可能会影响到该供应商服务的其他客户，使得这些客户不得不放弃该服务供应商的服务。除此之外，另外一个云计算的安全问题发生在多用户的环境中，用户的活动特征有可能被抓取或者泄密，例如2013年3月15日由中国中央电视台曝光的网易等网络公司通过Cookie抓取用户特征，并对用户信息进行出卖，这些行为也同样会出现在云计算的应用场景中。 　　3）云服务供应商的信任问题 　　如同在传统数据中心环境中，员工泄密等情况时有发生一样，在云计算环境下可能会发生因为供应商内部员工窃取客户资料的情况。另外，某些云服务供应商对用户知识产权的保护是有限度的，因此在选择云服务供应商的时候，必须审慎阅读云服务供应商提供的直接对数据中心资料进行调查的款项，例如在欧盟和日本的法律中，就规定涉及到个人隐私的数据不可以传送到存储该数据以外的数据中心。 　　4）多向及多方审计 　　在云计算环境中，由于牵涉到服务供应商和客户的双向设计问题，因此远比传统数据中心的审计来的更加困难。在某些安全事故中，审计对象可能涉及到多个用户，复杂度很高，为了维护审计结果的公信力，审计行为可能会由独立的第三方来完成，云服务供应商负责记录和维护审计过程中所有的稽核轨迹。随着云计算的普及和深入，应逐步制定相关规范来完善审计制度。 　　5）系统数据备份 　　一方面，由于云计算服务供应商随时会因为各种原因而中断服务，因此即使云服务供应商宣布已经做好了完善的灾备措施，用户也应当即使保护好哦自己的数据备份。另一方面，当用户不再使用某一个云服务供应商的服务时，如何确保相关的关键数据已经被其删除，因为这是对用户隐私的极大挑战。 　　这些问题都是因为云计算的应用环境而引发的新的安全问题，为了克制这些安全问题，或者为了消除安全隐患，有一系列的工作值得我们去探索。 　　2 云计算的安全保障体系 　　对于云计算而言，如何在最大程度上降低云计算系统的安全威胁，提高服务质量，保障用户信息安全是云计算能否取得成功应用的关键，而在这些安全措施的防范基础上，该文主要就服务供应商的安全职责进行探讨，说明云计算服务供应商应具有的安全保障体系。 　　利用现行的集成数据机密技术、VP