云计算信息安全技术研究.docVIP

云计算信息安全技术研究 摘要 云计算的飞速发展应该重视暴露出的安全问题，这决定了云计算行业的未来发展趋势和兴衰。本文通过研究云计算的服务模式、部署模式和各种云计算安全问题的现象，从技术和管理以及人为等方面分析了可能导致风险的原因，提出云计算服务商在技术方面、管理方面、可以采取的对策。 关键词：云计算；信息技术；安全 前言 无论使用者是个人或是组织，都必须将云计算服务中最核心的资源：数字信息，传递给云计算服务商进行处理，这就直接导致了用户对信息的不可控，由此带来了一个容易在云计算服务快速发展中容易忽视或得不到足够重视的问题——云计算服务环境下的用户信息安全。 2.云计算服务带来的安全隐患 2.1数字信息被非法盗取 云计算以分布式网络为基础，每一个用户都是网络中的一个节点，当使用云计算服务时需要连接网络，那么各个节点都可以被云计算服务商通过某些手段访问，并且用户之间也可以通过一些网络协议进行访问，这样用户的数据信息诸如网页浏览历史痕迹、网页缓存等信息，几乎任何操作都会被记录并被云计算服务商获取。更为令人担心的是云计算用户在享受服务供应商的服务时，需要将数据存放到“云”端，联网状态下信息传输过程中容易被黑客或其他恶意组织攻击，即使在数据完整的传输到“云”端时，由于云计算的模式特点是其提供的公共接口繁多，这样就加剧了信息被盗取的风险。 2.2数字信息被非法利用 云计算下用户数据具有易复制、转移方便、传播速度快等特点，同时因为数据存放在“云”端导致用户对数据不可控，由于信息的不对称，用户可能在不知情的情况下，存储在“云”端的数据极容易因为私人利益、商业利益被非法利用，即使这种情况发生，用户也不易被察觉。通常被非法利用的数据都具有经济价值，通常包括科研人员或科研单位的研究成果，个人用户的各种文学、艺术和摄影作品等，其中大部分被非法利用的都是因为这些数据和信息具有经济价值并随之带来了知识产权遭到破坏问题。并且越来越多的黑客更加关注存储在云计算服务商那里的数据和信息，这是因为把用户存储在云端的信息盗取并利用更不易被察觉也很难追踪溯源，同时如果云计算服务商即使发现这些漏洞和问题大多不愿意公布信息或承认这种事件的发生。 2.3数字信息被篡改、破坏 对于使用云计算服务的用户来说，“云”就像一个黑匣子，用户不知道有哪些服务器提供数据的存储和处理，此时用户丧失了对数据的控制。当更换服务器或者服务器或者服务器发生异常时数据是否还丢失，数据是否完整这些都是模糊的，一旦问题发生可能导致数据无法恢复的风险。 3.云计算信息安全对策研究 3.1确保物理环境安全 物理层的安全与传统的信息系统安全要面对的问题几乎相同，主要包括以下几个因素： 1)地震、水火灾等不可抗力造成设备的损坏。 2）电源安全事故致使设备断电，导致数据丢失。 3）云计算设备被盗、毁坏造成信息丢失或泄露。 解决物理环境的安全重点是设计并且能维持一种安全的外部硬件环境，阻止对设备和建筑未经授权的访问、损坏和干扰。这其中涉及到设计和控制外部的安全边界和入口；建造安全的工作空间和设施；提供能最小化火灾和保护电源和数据缆线安全的保护设备。对于物理层风险造成的数据丢失，服务商该建立数据容灾系统，采取数据冗余、异地保存，在相隔较远的两地建立两套甚至多套相同的云计算系统，随时做好系统间的监视和系统切换的准备，当其中一处因意外停止工作时另一系统及时的切换到工作状态中，以维持云计算服务正常运行，并且能提供意外发生时刻的节点数据备份，并能恢复。 3.2确保云计算应用程序的安全和数据安全 首先无论的SaaS、PaaS、IaaS三种云计算服务模式的共同点是服务商将应用程序提供给用户，只不过 PaaS是将应用程序部署在了浏览器端。对此从云计算服应用程序角度出发更应将注意力集中在云计算的SaaS、PaaS、IaaS三种应用服务模式的应该如何避免恶意脚本注入、恶意文件入侵执行等常见攻击手段。 采用SaaS的服务模式，云计算服务商直接将应用程序发送给用户，用户的权限只是简单的访问和操作，因此在开发应用程序时要负责应用程序和组件的安全性。PaaS下的安全问题集中在客户端，用户在尤其是在PaaS这种服务模式越来越流行的情况下，这些恶意的攻击更容易通过网络渗透到云计算服务商的平台上，而且云计算服务商要面对的是上万个客户节点，这就意味着服务商不只要承受着巨大的服务请求，这将使云计算服务平台变得十分脆弱。PaaS模式服务需要通过浏览器访问，首先要设计好访问平台的安全，其次是建立在浏览器平台上网络程序的安全。对此采取的最好办法是使用用户授权、单点登录。PaaS的特点可以使云计算服务商允许开发者在平台上开发应用，这也决定论 Paa