基于云计算信息安全测评框架设计研究.docVIP

基于云计算信息安全测评框架设计研究 　　摘 要 　　近几年来，随着信息网络技术的不断发展，云计算已成为研究的热点，而云计算的信息安全问题也成为研究的重要。为此，本文对云计算信息安全测评的框架设计给予详细研究，旨在提高云计算信息安全水平。 　　【关键词】云计算 信息安全测评 框架设计 　　1 云计算安全分析 　　在不同的云服务模式中，其拥有的安全责任也不相同。基础设施即服务主要涵盖了机房设备、硬件平台以及网络等多个方面，通常情况下，服务商的职责主要是确保物理和环境等相关的安全，而用户则主要是以操作管理为主，从而确保数据的应用安全。由此可以看出，不论哪一种云服务模式的服务提供上都涉及了信息安全问题，具体分析如下： 　　1.1 虚拟化安全 　　在云计算过程中，虚拟化是其中的核心位置，它主要是为了实现资源的合理利用，从而将操作系统和应用程序等相关设施迁移的虚拟机文件，从而避免资源浪费的可能。基于这种原因，云计算服务商就可以向用户提供比较全面的服务，这时就可以发挥存储资源的作用，这样就能够根据用户的需求实现自行分配，最终成为云计算中的关键环节。在这种条件下，实现基础架构和安全的统一虚拟交付，就成为云计算中心基础网络架构和应用服务的虚拟化重点内容。 　　1.2 数据安全 　　在云计算的过程中，数据传输过程中以及数据存储过程中都可以使数据的安全性受到威胁。从数据传输的安全的角度来说，用户的数据内容一般都会涉及一些隐秘信息，一旦启用云计算模式，用户就可以利用网络将这些数据传送到云计算服务商，进而进行处理，而在这个过程中，就给不法分子以可乘之机，使得数据的安全性得不到有效保证。从数据存储的角度来说，一旦启动云计算，云计算服务商就会对大量的存储空间进行高度整合，在这个基础上，就需要有新的存储空间来供用户使用。然而，云计算在数据存储上有一定的未知性，这就使得数据在存储过程中受到严重威胁。从数据审计的角度来说，为了确保数据的准确性和有效性，一旦启用云计算，云计算环境下的第三方认证机构便会对其进行审讯，这就需要一定的技术支持，才能更好的让第三方认证机构顺利完成对数据的审计。而这个过程中就会很容易侵害到其他用户的利益，从而使数据安全受到威胁。 　　1.3 应用安全 　　云计算和传统的操纵系统及其他系统相较而言，应用安全无疑是更大的挑战。因此，在云计算的环境下，不仅要注意应用的安全，还要注意Web的应用安全，这样才能确保软件的安全性能。因此，这就要求在应用软件设计开发之前，就要全面考量其安全性。所以，云计算的应用安全主要设计到多方面的内容，其中包括云用户身份管理、云安全审计以及云安全加密等方面。 　　1.4 管理安全 　　在云计算中，管理安全主要体现在可用性管理、访问控制以及安全漏洞等方面的管理。在可行性管理中，一旦管理出现误差，云计算服务将很容易出现死机、停机的情况出现，很容易因服务器中断给企业造成不可避免的损失。通常情况下，云计算服务停机的严重程度和停机的情况息息相关。而访问控制则主要是为了解决用户权限的分配问题，用户工作职能和责任权限的分配问题，以及访问权限的认证方法等问题。因此，在云计算模式中，用户可以通过任何可以连接到网络的设备就可以对云计算服务进行访问，这就使得网络访问控制的作用逐渐减少，一旦出现问题，将很容易导致审计的不精确。另外，恶意软件或者黑客就可以利用远程设备，对云计算服务造成极大的威胁，因此，安全漏洞的管理可以有效保护主机、网络设备等造成漏洞攻击。 　　2 云计算安全测评框架设计探究 　　2.1 云计算安全测评框架的分析 　　针对国内外开展云计算的实际情况来说，建立起一套由政府主管部门，云计算用户、云计算服务提供商等共同参与的云计算安全组织管理体系，第三方测评机构按照相应的要求进行测评等措施，对于云计算的发展具有积极的推动作用。 　　2.2 云计算安全测评的注意要点分析 　　云计算安全测评的注意要点有很多，这里主要以应用安全要求、数据安全要求以及虚拟化安全要求为主，具体分析如下。 　　（1）应用安全要求。为了确保所交付或提供的云产品应用安全，云计算服务提供商就需要制定相关措施，像制定应用安全开发程序，它主要对安全的需求和设计进行详细分析，制定相应的安全编码，对代码进行安全审计等过程，在这个过程中，每一个流程都要保证安全无误。当在开发的过程中，对一些隐私性数据进行处理时，要严格对开发和维护过程中的数据进行控制，避免出现数据泄露或非法访问的情况出现。而安全编码流程中，应参考权威性资料编写各类代码，防止因开发人员操作不当而出现恶意代码。而在代码审计过程中，用严格对代码进行审核，从而满足应用安全要求。 　　（2）数据安全要求。为了确保数据生命周期中的完整性和机密性，云计算服务提供商就应该制定数据安全保