云計(jì)算環(huán)境下信息安全問(wèn)題

1、云計(jì)算環(huán)境下的信息安全問(wèn)題大綱：云計(jì)算是一種基于Internet的新興應(yīng)用計(jì)算機(jī)技術(shù)，在信息行業(yè)的發(fā)展中據(jù)有重視要的地址，它為互聯(lián)網(wǎng)用戶(hù)供應(yīng)了安全可靠地服務(wù)和計(jì)算能力。其信息安全問(wèn)題不不過(guò)是云計(jì)算所要解決的首要問(wèn)題，也是決定云計(jì)算的發(fā)展遠(yuǎn)景的要點(diǎn)性因素。本文主要對(duì)云計(jì)算的歸納、云計(jì)算存在的安全風(fēng)險(xiǎn)及云計(jì)算信息安全進(jìn)行了解析。要點(diǎn)詞：云計(jì)算；信息安全；網(wǎng)絡(luò)序言云計(jì)算是一種商業(yè)計(jì)算模型，也是一種能便利、按需、由網(wǎng)絡(luò)接入到一個(gè)可定制的計(jì)算資源共享池的模式，它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)組成的資源池上，使用戶(hù)能夠按需獲得計(jì)算力、儲(chǔ)藏空間和信息服務(wù)，被看作是全球IT產(chǎn)業(yè)革命中的第三次改革。用戶(hù)能夠動(dòng)向申請(qǐng)

2、部分資源，支持各種應(yīng)用程序的運(yùn)轉(zhuǎn)，有利于提高效率、降低成本和技術(shù)創(chuàng)新。經(jīng)過(guò)云計(jì)算技術(shù)，網(wǎng)絡(luò)服務(wù)供應(yīng)者能夠在數(shù)秒之內(nèi)，辦理數(shù)以千萬(wàn)計(jì)甚至億計(jì)的信息，達(dá)到和“超級(jí)計(jì)算機(jī)”同樣富強(qiáng)的網(wǎng)絡(luò)服務(wù)。云計(jì)算系統(tǒng)的建設(shè)目標(biāo)是將原來(lái)運(yùn)轉(zhuǎn)在PC上或單個(gè)服務(wù)器上獨(dú)立的、個(gè)人化的運(yùn)算轉(zhuǎn)移到一個(gè)數(shù)量弘大的服務(wù)器“云”中，由這個(gè)云計(jì)算系統(tǒng)來(lái)負(fù)責(zé)辦理用戶(hù)的央求，并輸出結(jié)果，它是一個(gè)以數(shù)據(jù)運(yùn)算和辦理為核心的系統(tǒng)。云計(jì)算的歸納云計(jì)算的看法狹義云計(jì)算是指IT基礎(chǔ)設(shè)施的交付和使用模式，指經(jīng)過(guò)網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的資源。廣義云計(jì)算指服務(wù)的交付和使用模式，指經(jīng)過(guò)網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的服務(wù)。按需部署是云計(jì)算的核心

3、。要解決好按需部署，必定解決好資源的動(dòng)向可重構(gòu)、監(jiān)控和自動(dòng)化部署等，而這些又需要以虛假化技術(shù)、高性能儲(chǔ)藏技術(shù)、辦理器技術(shù)、高速互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)。因此，云計(jì)算除了需要仔細(xì)研究其系統(tǒng)結(jié)構(gòu)外，還要特別注意研究資源的動(dòng)向可重構(gòu)、自動(dòng)化部署、資源監(jiān)控、虛假化技術(shù)、高性能儲(chǔ)藏技術(shù)、辦理器技術(shù)等。云計(jì)算系統(tǒng)架構(gòu)云計(jì)算的系統(tǒng)架構(gòu)如圖1所示，包括基礎(chǔ)管理層、應(yīng)用接口層及接見(jiàn)層。基礎(chǔ)管理層解決默算資源的共享問(wèn)題，應(yīng)用接口層解決以何種方式對(duì)外供應(yīng)服務(wù)，而接見(jiàn)層是采用云計(jì)算來(lái)解決一些實(shí)責(zé)問(wèn)題。個(gè)人空間服務(wù)、運(yùn)企事業(yè)單位實(shí)現(xiàn)數(shù)據(jù)備視頻監(jiān)控、IPTV等系接見(jiàn)層份、數(shù)據(jù)歸檔、集中存統(tǒng)的集中儲(chǔ)藏；網(wǎng)絡(luò)大營(yíng)商空間租借等儲(chǔ)、遠(yuǎn)程

4、共享等容量在線(xiàn)儲(chǔ)藏等網(wǎng)絡(luò)接入、用戶(hù)認(rèn)證、權(quán)限管理等應(yīng)用接口層公用API接口、應(yīng)用軟件、WebService等基礎(chǔ)管理層集群系統(tǒng)、分布式文件系統(tǒng)、網(wǎng)格計(jì)算等圖1云計(jì)算系統(tǒng)架構(gòu)云計(jì)算的特點(diǎn)云計(jì)算是在分布式計(jì)算、網(wǎng)格計(jì)算、并行計(jì)算等發(fā)展的基礎(chǔ)上提出的一種計(jì)算模型，它面對(duì)的是超大規(guī)模的分布式環(huán)境，核心是供應(yīng)數(shù)據(jù)儲(chǔ)藏和網(wǎng)絡(luò)服務(wù)。它擁有以下一些特點(diǎn)：較高的可靠性：云計(jì)算采用了計(jì)算節(jié)點(diǎn)同構(gòu)可互換、數(shù)據(jù)多副本容錯(cuò)均分支，因此與當(dāng)?shù)赜?jì)算機(jī)對(duì)照，其可靠性更高。大規(guī)模性：由具備必然規(guī)模的多個(gè)結(jié)點(diǎn)組成，系統(tǒng)規(guī)模能夠無(wú)量大。高度的可擴(kuò)展性：可用即插即用的方式方便、快速地增加和減少資源，可擴(kuò)展性和彈性比較高。資源共享性：

5、供應(yīng)一種或多種形式的計(jì)算或儲(chǔ)藏能力資源池，如物理服務(wù)器，虛假機(jī)，事物和文件辦理能力或任務(wù)進(jìn)度。動(dòng)向分配：實(shí)現(xiàn)資源的自動(dòng)分配管理，包括資源即時(shí)監(jiān)控和自動(dòng)調(diào)換等，并能夠供應(yīng)使用量監(jiān)控和管理?？绲赜颍耗軌?qū)⒎植加诙鄠€(gè)物理地址的資源進(jìn)行整合，供應(yīng)一致的資源共享，并能在各物理地址間實(shí)現(xiàn)負(fù)載均衡。其他，由于云計(jì)算擁有廉價(jià)的成本及廣闊的應(yīng)用空間，不斷吸引著電信運(yùn)營(yíng)商和制造商的關(guān)注。如中國(guó)三大電信運(yùn)營(yíng)商紛紛睜開(kāi)了云計(jì)算的研究和試驗(yàn)工作，成立中國(guó)IT支撐云、業(yè)務(wù)云、公眾服務(wù)云，為社會(huì)供應(yīng)基于云計(jì)算的IT服務(wù)。但是，在云計(jì)算應(yīng)用發(fā)展中面對(duì)著諸多挑戰(zhàn)，如標(biāo)準(zhǔn)化問(wèn)題、網(wǎng)絡(luò)帶寬問(wèn)題、安全風(fēng)險(xiǎn)問(wèn)題，其中安全問(wèn)題被認(rèn)為是最

6、大的挑戰(zhàn)之一，關(guān)于云計(jì)算的商業(yè)模式可否成功起著至關(guān)重要的影響。云計(jì)算安全出了傳統(tǒng)IT架構(gòu)中的信息安全風(fēng)險(xiǎn)外，還包括虛假化、多租戶(hù)技術(shù)帶來(lái)的新的業(yè)務(wù)風(fēng)險(xiǎn)，以致信息安全風(fēng)險(xiǎn)復(fù)雜度高升。云計(jì)算信息安全風(fēng)險(xiǎn)解析盡管很多研究機(jī)構(gòu)認(rèn)為云計(jì)算供應(yīng)了最可靠、最安全的數(shù)據(jù)儲(chǔ)藏中心，但安全問(wèn)題是云計(jì)算存在的主要問(wèn)題之一。誠(chéng)然每一家云計(jì)算方案供應(yīng)商都重申使用加密技術(shù)(如SSL)來(lái)保護(hù)用戶(hù)數(shù)據(jù)，但即便數(shù)據(jù)采用SSL技術(shù)進(jìn)行加密，也不過(guò)是指數(shù)據(jù)在網(wǎng)絡(luò)上加密傳輸?shù)模瑪?shù)據(jù)在辦理和儲(chǔ)藏時(shí)的保護(hù)依舊沒(méi)有解決。主要存在以下安全風(fēng)險(xiǎn)：由于網(wǎng)絡(luò)界線(xiàn)模糊帶來(lái)的安全風(fēng)險(xiǎn)在傳統(tǒng)的網(wǎng)絡(luò)界線(xiàn)防范中，一般都是依照網(wǎng)絡(luò)中資源重要程度的不同樣進(jìn)行地

7、域劃分，各個(gè)地域之間界線(xiàn)明確，爾后再在不同樣地域依照安全需求不同樣采用相應(yīng)的界線(xiàn)防范措施。但在云計(jì)算環(huán)境下，由于大量運(yùn)用虛假化技術(shù)，資源池化技術(shù)以致云計(jì)算環(huán)境內(nèi)服務(wù)器、儲(chǔ)藏設(shè)施和網(wǎng)絡(luò)設(shè)施等硬件基礎(chǔ)設(shè)施被高度整合，多個(gè)系統(tǒng)同時(shí)運(yùn)轉(zhuǎn)在同一個(gè)物理設(shè)施上，傳統(tǒng)的網(wǎng)絡(luò)界線(xiàn)正在被打破，傳統(tǒng)意義上網(wǎng)絡(luò)界線(xiàn)防范手段也需要調(diào)整以適應(yīng)新的技術(shù)改革。數(shù)據(jù)安全面對(duì)的風(fēng)險(xiǎn)信息遠(yuǎn)程傳輸面對(duì)的安全風(fēng)險(xiǎn)在云計(jì)算環(huán)境下，全部的數(shù)據(jù)辦理、儲(chǔ)藏都是在云端完成的，用戶(hù)一端只擁有較少的計(jì)算辦理能力。這就意味著用戶(hù)的原始數(shù)據(jù)、發(fā)送的辦理央求、用戶(hù)端顯現(xiàn)的內(nèi)容等數(shù)據(jù)都需要經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，云計(jì)算環(huán)境中將嚴(yán)重依賴(lài)網(wǎng)絡(luò)。在開(kāi)放的互聯(lián)網(wǎng)中如何保

8、證云端與用戶(hù)端之間數(shù)據(jù)傳輸?shù)臋C(jī)密性、完滿(mǎn)性是需要解決的問(wèn)題。信息集中儲(chǔ)藏面對(duì)的安全風(fēng)險(xiǎn)若是用戶(hù)一旦遷移到云環(huán)境中后，用戶(hù)全部的數(shù)據(jù)都將在云端，云服務(wù)商以何種技術(shù)保證用戶(hù)的數(shù)據(jù)在云端獲得了穩(wěn)當(dāng)保存而沒(méi)有被沒(méi)心或惡意的泄露出去，用戶(hù)如何能保證自己儲(chǔ)藏的數(shù)據(jù)都是合法的、經(jīng)過(guò)授權(quán)的用戶(hù)所接見(jiàn)而沒(méi)有被競(jìng)爭(zhēng)對(duì)手窺探，云計(jì)算環(huán)境下的身份鑒別、認(rèn)證管理和接見(jiàn)控制等安全體系可否切合用戶(hù)的需求，這些都已經(jīng)成為云計(jì)算環(huán)境下迫切需要解決的問(wèn)題。云服務(wù)器面對(duì)的安全風(fēng)險(xiǎn)在云計(jì)算環(huán)境中，由于數(shù)據(jù)和資源的大集中以致云服務(wù)器需要擔(dān)當(dāng)比傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的服務(wù)器更加深重的任務(wù)。云計(jì)算環(huán)境對(duì)外供應(yīng)的應(yīng)用服務(wù)、用戶(hù)提出的數(shù)據(jù)辦理需求等等都

9、需要由云服務(wù)器來(lái)完成。但同時(shí)云環(huán)境下開(kāi)放的網(wǎng)絡(luò)環(huán)境、多用戶(hù)的應(yīng)用途景給云服務(wù)器的安全帶來(lái)更多的隱患。云計(jì)算環(huán)境下的信息安全策略界線(xiàn)安全為了適應(yīng)由于網(wǎng)絡(luò)界線(xiàn)模糊帶來(lái)的安全需求，大量的界線(xiàn)防范設(shè)施，如防火墻、入侵檢測(cè)等系統(tǒng)也進(jìn)行了相應(yīng)的改造，供應(yīng)虛假化環(huán)境下的安全防范能力以適應(yīng)新的安全需求。以防火墻系統(tǒng)為例。在云計(jì)算環(huán)境下的防火墻寬泛采用虛假防火墻技術(shù)，將一臺(tái)物理的防火墻基于虛假設(shè)施資源進(jìn)行劃分，每個(gè)虛假后的防火墻不僅具備獨(dú)立的管理員操作權(quán)限，能隨時(shí)監(jiān)控和調(diào)整策略的配置情況，同時(shí)多個(gè)虛假防火墻的管理員也支持并行操作。物理防火墻能保存每個(gè)虛假防火墻的配置和運(yùn)轉(zhuǎn)日志。經(jīng)過(guò)虛假化此后的防火墻能像一般的物

10、理防火墻同樣，由不同樣的業(yè)務(wù)系統(tǒng)使用，由各自業(yè)務(wù)系統(tǒng)自主管理和配置各自的虛假防火墻，采用不同樣的安全策略，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間的安全隔斷。虛假化此后的安全設(shè)施也與網(wǎng)絡(luò)設(shè)施，服務(wù)器等同樣實(shí)現(xiàn)的資源的池化。從安全的角度出發(fā)，不同樣的虛假機(jī)也應(yīng)該像物理服務(wù)器同樣劃分到不同樣的安全域，采用不同樣的界線(xiàn)隔斷。關(guān)于虛假機(jī)之間界線(xiàn)防范的技術(shù)思路有兩種，一種是虛假化廠(chǎng)商為代表，在利用虛假化的界線(xiàn)防范設(shè)施的基礎(chǔ)上，與虛假化管理功能進(jìn)行整合，經(jīng)過(guò)內(nèi)置的端口檢測(cè)虛假機(jī)之間的數(shù)據(jù)流量。這類(lèi)方式與互換設(shè)施沒(méi)關(guān)，但耗資費(fèi)源多，不能夠推行靈便的安全策略。另一種劃分思路是以網(wǎng)絡(luò)設(shè)施廠(chǎng)商為代表，由網(wǎng)絡(luò)設(shè)施對(duì)虛假機(jī)進(jìn)行表記并將其流

11、量牽引到物理互換機(jī)中實(shí)現(xiàn)流量監(jiān)測(cè)，詳盡實(shí)現(xiàn)方法是采用邊緣虛假橋EVB協(xié)議將內(nèi)部的不同樣虛假機(jī)之間網(wǎng)絡(luò)流量全部交與服務(wù)器相連的物理互換機(jī)進(jìn)行辦理。在這類(lèi)工作模式下，互換設(shè)施與虛假化管理層親密結(jié)合，能推行靈便的虛假機(jī)流量監(jiān)控策略，同時(shí)也使得安全設(shè)施的部署變得更加簡(jiǎn)單。數(shù)據(jù)傳輸安全在云計(jì)算環(huán)境中的數(shù)據(jù)傳輸包括兩各種類(lèi)，一種是用戶(hù)與云之間超越互聯(lián)網(wǎng)的遠(yuǎn)程數(shù)據(jù)傳輸，另一種是在云內(nèi)部，不同樣虛假機(jī)之間數(shù)據(jù)的傳輸。為了保證云中數(shù)據(jù)傳輸?shù)陌踩?，需要在信息的傳輸過(guò)程中推行端到端的傳輸加密，詳盡的技術(shù)手段能夠采用協(xié)議安全套接層或傳輸層安全協(xié)議(SSL/TLS)或IPSec，在云終端與云服務(wù)器之間、云應(yīng)用服務(wù)器之間

12、基于SSL協(xié)議實(shí)現(xiàn)數(shù)據(jù)傳輸加密。在某些安全級(jí)別要求高的應(yīng)用途景，還應(yīng)該盡可能地采用同態(tài)加密體系以提高用戶(hù)終端通信的安全。同態(tài)加密是指云計(jì)算平臺(tái)能夠在不對(duì)用戶(hù)數(shù)據(jù)進(jìn)行解密的情況下，直接對(duì)用戶(hù)的密文數(shù)據(jù)進(jìn)行辦理，并返回正確的密文結(jié)果。經(jīng)過(guò)同態(tài)加密技術(shù)能進(jìn)一步提高云計(jì)算環(huán)境中用戶(hù)數(shù)據(jù)傳輸?shù)陌踩煽?，但這類(lèi)技術(shù)目前依舊處于研究階段，還不能夠投入商業(yè)應(yīng)用領(lǐng)域。數(shù)據(jù)儲(chǔ)藏安全關(guān)于云計(jì)算中的數(shù)據(jù)安全儲(chǔ)藏安全的一個(gè)最有效的解決方案就是對(duì)數(shù)據(jù)采用加密的方式。在云環(huán)境下的加密方式能夠分為兩種：一是采用對(duì)象儲(chǔ)藏加密的方式；一是采用卷標(biāo)儲(chǔ)藏加密的方式。對(duì)象儲(chǔ)藏時(shí)云計(jì)算環(huán)境中的一個(gè)文件/對(duì)象庫(kù)，能夠理解為文件服務(wù)器或硬盤(pán)

13、驅(qū)動(dòng)器。為了實(shí)現(xiàn)數(shù)據(jù)的儲(chǔ)藏加密，能夠?qū)?duì)象儲(chǔ)藏系統(tǒng)配置為加密狀態(tài)，即系統(tǒng)默認(rèn)對(duì)全部數(shù)據(jù)進(jìn)行加密。但若該對(duì)象儲(chǔ)藏是一個(gè)共享資源，即多個(gè)用戶(hù)共享這個(gè)對(duì)象儲(chǔ)藏系統(tǒng)時(shí)，則除了將對(duì)象儲(chǔ)藏設(shè)置為加密狀態(tài)外，單個(gè)用戶(hù)還需要采用“虛假私有儲(chǔ)藏”的技術(shù)進(jìn)一步提高個(gè)人私有數(shù)據(jù)儲(chǔ)藏的安全?！疤摷偎接袃?chǔ)藏”是由用戶(hù)先對(duì)數(shù)據(jù)進(jìn)行加密辦理后，再傳到云環(huán)境中，數(shù)據(jù)加密的密鑰由用戶(hù)自己掌握，云計(jì)算環(huán)境中的其他用戶(hù)即即是管理者都無(wú)權(quán)擁有這個(gè)密鑰，這樣能夠保證用戶(hù)私有數(shù)據(jù)儲(chǔ)藏的安全。另一種數(shù)據(jù)儲(chǔ)藏安全的解決方案是卷標(biāo)儲(chǔ)藏加密。在云計(jì)算環(huán)境中，卷標(biāo)被模擬為一個(gè)一般的硬件卷標(biāo)，對(duì)卷標(biāo)的數(shù)據(jù)儲(chǔ)藏加密能夠采用兩種方式：一種方式是對(duì)實(shí)質(zhì)的

14、物理卷標(biāo)數(shù)據(jù)進(jìn)行加密，由加密后的物理卷標(biāo)實(shí)例出來(lái)的用戶(hù)卷標(biāo)不加密，即用戶(hù)卷標(biāo)在實(shí)例化的過(guò)程中采用透明的方式完成了加解密的過(guò)程；另一種方式是采用特其他加密代理設(shè)施，這類(lèi)設(shè)施串行部署在計(jì)算實(shí)例和儲(chǔ)藏卷標(biāo)或文件服務(wù)器之間實(shí)現(xiàn)加解密。這些加密代理設(shè)施一般也是云計(jì)算環(huán)境中的虛假設(shè)施，經(jīng)過(guò)串行的方式來(lái)實(shí)現(xiàn)計(jì)算實(shí)例與物理儲(chǔ)藏設(shè)施之間透明的數(shù)據(jù)加解密。它的工作原理是當(dāng)計(jì)算實(shí)例向物理儲(chǔ)藏設(shè)施寫(xiě)數(shù)據(jù)時(shí)，由加密代理設(shè)施將計(jì)算實(shí)例的數(shù)據(jù)進(jìn)行加密后儲(chǔ)藏到物理儲(chǔ)藏設(shè)施中；當(dāng)計(jì)算實(shí)例讀取物理儲(chǔ)藏設(shè)施數(shù)據(jù)時(shí)，由加密代理將物理儲(chǔ)藏設(shè)施中的數(shù)據(jù)解密后將明文交給計(jì)算實(shí)例。云服務(wù)器安全關(guān)于云服務(wù)器的安全，第一，在云服務(wù)器中也需安裝病

15、毒防范系統(tǒng)、及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，但是與傳統(tǒng)服務(wù)器不同樣的是，在云服務(wù)器中應(yīng)用的病毒防范系統(tǒng)和補(bǔ)丁系統(tǒng)也相應(yīng)的進(jìn)行升級(jí)以適應(yīng)新的環(huán)境。如病毒防范系統(tǒng)為了在不增加系統(tǒng)冗余度的前提下供應(yīng)更好的病毒查殺能力，提出了安裝一個(gè)病毒防范系統(tǒng)的虛假服務(wù)器，在其他系統(tǒng)中只安裝探測(cè)引擎的模式。當(dāng)系統(tǒng)需要供應(yīng)病毒查殺服務(wù)時(shí)，由引擎將央求傳達(dá)給安裝病毒防范系統(tǒng)的服務(wù)器完成病毒查殺任務(wù)。除了外面的安全防范手段之外，云服務(wù)器上部署的操作系統(tǒng)自己的安全對(duì)云服務(wù)器的安全也起到至關(guān)重要的作用。目前外國(guó)的一些云服務(wù)供應(yīng)商已經(jīng)退出了云安全操作系統(tǒng)，已經(jīng)具備了身份認(rèn)證、接見(jiàn)控制、行為審計(jì)等方面的安全體系。結(jié)束語(yǔ)云計(jì)算是未來(lái)IT互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的趨勢(shì)，是今年來(lái)的研究熱點(diǎn)。隨著云計(jì)算的進(jìn)一步發(fā)展和應(yīng)用，無(wú)論是對(duì)云服務(wù)用戶(hù)而言，還是對(duì)云服務(wù)供應(yīng)商而言，信息安全問(wèn)題必然成為云計(jì)算發(fā)展的要點(diǎn)技術(shù)問(wèn)題。本文主要對(duì)云計(jì)算的相關(guān)知識(shí)進(jìn)行了歸納，并商議了云環(huán)境下的信息安全問(wèn)題。參照文件：1蔣建春,文偉平.云“”計(jì)算環(huán)境的信息安全問(wèn)題J.信息網(wǎng)絡(luò)安全,2010(002):61-63.杜常青.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)安全及防范對(duì)策研究J.信息安全與技術(shù),2011,(11):54-55.3鄒佳順.云計(jì)算環(huán)境下安全問(wèn)題及其對(duì)策研究J.計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2012,(14):35-