云计算安全体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇云计算安全体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
云计算安全体系范文第1篇
中图分类号:F426.6 文献标识码:A 文章编号:1009-914X(2015)05-0315-01
最近十多年来,随着互联网的高速发展,社会信息数据化不断加深,尤其是在移动互联网急速扩张的今天,产生的数据量在以惊人的速度在增长。一方面,庞大的数据需要庞大的计算能力来进行处理;另一方面零散的计算机节点大概只有不到30%的存储和计算资源被使用,70%实际上是被闲置的。原来以不断堆砌硬件设备的服务模式已经不能应对当前巨大的计算吞吐量,如何把众多的具有闲置计算资源的计算机节点组织起来,以一种新的形式去解决当前出现的问题,这成为学术界和产业界共同关注的问题。由此,云计算的概念应运而生。
一、云计算的概念
简单来讲,云计算(Cloud?Computing)是基于分布式计算(Distributed?Computing)、网格计算(Grid?Computing)、并行计算(Parallel?Computing)等发展的基础上,以网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等为关键技术的一种新型计算模型,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。
二、云计算的基本架构
云计算的体系架构可以分为三层,从下到上依次是硬件平台层、云平台层和云服务层,其系统架构模型如图1所示。
硬件平台是包括是包括服务器、网络设备、存储设备等在内的所有硬件设施。它是云计算的数据中心,通过虚拟化技术来实现资源池化。
云平台提供服务开发工具和基础软件(如:数据库、分布式操作系统),从而帮助云服务的开发者开发服务。另外,它也是云服务的运行平台,所以,云平台要具有Java运行厍,Web2.0应用运行厍、各类中间件等等。
云服务就是指可以在互联网上使用一种标准接口来访问的一个或多个软件功能(比如:财务管理软件,客户关系管理软件,计算软件等)。
三、云计算的特点
1、超强的计算能力。云计算通过集群应用、网格技术、分布式处理等功能将网络中的计算设备调用起来协调工作,共同组成一个计算资源池,提供给用户前所未有的计算能力。据统计,Google云计算的服务器有上百万台服务器,IBM,Anlazon也有几十万台,大中型企业的私有云也有至少上百台,整合在一起的计算能力不容忽视。
2、硬件虚拟化。虚拟化是云计算最显著的特点。云计算把将计算资源连接起来,由软件自动管理,支持用户在任意位置使用各种终端获取应用服务,请求的资源来自“云”,应用也在“云”中运行,用户只需要一个终端,就可以通过网络服务实现所需要的一切,而不用关心资源究竟在哪里,整个过程是如何在哪里实现的。用户只需要将自己的需求提交给云,云返回用户所要的结果就可以了,用户只需用一个终端就可以随时获得想要的资源和服务,使用起来非常方便,而且对用户终端的要求不高,降低了用户的成本。
3、高可靠性。云计算使用了数据多副本容错、计算节点同构可互换等措施来保证服务的高可靠性。
4、高通用性。云计算不针对特定的应用,在云服务层上可以很方便的支撑不同的应用。
5、可扩展性高。云计算的规模可以根据实际情况进行动态的伸缩,满足不同用户和应用增长的需要。
6、按需购买。云中的计算资源可以按需购买,如同现在使用水电那种方便。
四、云计算的安全问题
云计算的优势是明显的,它的发展也非常迅速,但是仍然有人对云计算的前景担忧,主要出于对安全问题的忧虑。当我们把数据放在云上时,云是一个虚拟的环境,我们并不知道数据究竟在哪里,哪些人在使用云,又是哪些人在控制着云,应用环境和数据都脱离了用户可控范围,这些都是云计算的不安全因素。随着云计算应用的越来越广,用户越来越关注以下几种安全方面的问题:
1、云服务商的接人权限;2、数据存放位置;3、数据隔离;4、持久的服务。
五、云环境下安全对策的探讨
对于云计算服务提供商来说,务必在云环境提供以下安全策略:
1.云计算环境应该具有多个基本的安全域,每个安全域要有全局和局部主题映射;
2.位于不同安全域之间的操作必须相互鉴别,并且要提供完整单点登录认证、、协同认证、资源认证,在认证过程中的通信也必须通过SSL、VPN等安全方式来保证用户登录信息的安全。
3.建立可靠及时的备份容错服务,即使灾难发生,也可以保证数据的安全和完整性。
4.提供过滤器系统,目的在于监视并能自动阻止敏感数据离开了自己的网络。
5.建立严格的内部监管机制,防止人为从内部泄漏用户数据。
6.应该遵循相应应用的开放标准,尽量不采用私有标准。如果没有标准可以遵循,至少要提供数据导入导出框架以及数据转换机制,为用户的数据迁移提供必要的保障和方便。
而对于云计算服务使用的用户来说,应该注意以下几点:
1.用户可以对自己的数据先进行加密再上传到云端,PGP或者True?Crypt等机密软件都提供了足够强大的加密功能。
2.从安全性和完备性来考虑,都应该使用信誉良好的服务商,大型的云服务商不会拿自己的企业品牌来冒险,也不会窘迫到和营销商共享数据,同时在企业内部也有比较严格的规章制度来保证数据的安全。最好选择是本国注册且数据中心、总部或资产在本国的大型企业,这样可保证其能够尊重驻在国家法律并受驻在国法律的监管,长久提供稳定、安全、可靠的服务。在发生事故后,由于其总部或资产在驻在国境内,因此赔偿或追讨可以顺利进行。
3.尽量采用付费的模式,因为免费的午餐终究是没有保证的。
云计算安全体系范文第2篇
关键词: 云计算; 云安全; 分布式计算; 公共云
中图分类号: TN915.08?34; TP309 文献标识码: A 文章编号: 1004?373X(2013)19?0091?04
0 引 言
由于互联网的不断发展,基于互联网的沟通和交互形式极大改变了人们的工作和生活方式,各种网络业务需求激增,应用程序层出不穷、信息规模迅猛增长、处理任务复杂多变、存储设备日趋紧张、使用成本随之升高等问题接踵而至,原始的互联网系统与服务设计已经不能满足上述需求,急需新的解决方案,云计算(Cloud computing)正是在这样的背景下应运而生。
1 云计算概述
1.1 什么是云计算
在整个IT 界可以提供资源的网络被称为“云”,它是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等。云计算是在分布式计算(Distributed computing)、网格计算(Grid computing)、并行计算(Parallel computing)等发展的基础上提出的一种新型计算模型,是一种新兴的共享基础框架的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。狭义的云计算是指IT基础设施的交付和使用模式,通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。广义的云计算是指服务的交付和使用模式,通过网络以按需、易扩展的方式获得所需的服务,这种服务可以是IT和软件、互联网相关的,也可是任意其他的服务。云计算通过将计算任务分布在由大量计算机构成的资源池(“云”)上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。这种全新的互联网应用模式,成为解决高速数据处理、海量信息存储、资源动态扩展、数据安全与实时共享等问题的有效途径。
云计算可分为公共云、私有云和混合云三种模式。公共云是由多家企业共享使用云中各种基础设施的服务平台,并由第三方进行管理。私有云是由企业自己部署的或由云服务商运用虚拟化技术为企业建立的专有网络或数据中心,可提供对数据、安全性和服务质量的最有效控制,但开销较公有云大。混合云是公共云和私有云的结合。由于公共云是共享资源的服务平台,相比使用私有云,开销较小,但比私有云面临更多、更大的安全风险,本文讨论的云安全问题主要是针对公共云提出的。
1.2 云计算服务体系架构
根据NIST的定义,云计算服务体系架构通常分为3个层次,如图1所示,分别是:
(1)基础设施即服务(Infrastructure as a service,IaaS)为用户提供处理、存储、网络以及其他基础计算资源的服务,用户可以在其上部署和运行包括操作系统和应用在内的任何软件。用户不需要管理或控制底层的云架构,但是他们需要控制操作系统、存储资源以及被部署的应用,还有可能要对某些网络部件(例如主机防火墙)进行有限的控制,如Amazon(亚马逊)的弹性计算云(Elastic compute coud,EC2)、IBM的蓝云(Blue cloud)以及Sun的云基础设施平台(IaaS)等。
(2)平台即服务(Platform as a service,PaaS)为用户提供将其应用(可能是用户自己创建也可能是从别处获取)部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储),但是他们需要对被部署的应用进行控制,还有可能要对应用环境进行配置,如Google的Google app engine与微软的Azure平台等。
(3)软件即服务(Software as a service,SaaS)是一种由云计算服务商集中部署的应用系统,客户通过互联网访问的一种服务方式。为用户提供在云架构上运行的应用的服务。用户可以从多种多样的客户设备经由客户接口(例如Web浏览器)对应用进行访问。用户不需要管理或控制底层的云架构(包括网络、服务器、操作系统、存储,甚至包括个别的应用能力),而只需要关心一些需要特别设定的应用配置,如Salesforce公司的客户关系管理服务等。
处于底层的云基础设施将是未来信息世界的灵魂,其数量虽然有限但规模庞大,具有互联网级的强大分析处理能力,例如应用虚拟化技术、自动化技术、网格计算、服务器集群、IT服务管理等;云平台服务层提供基础性、通用,例如云操作系统、云数据管理、云搜索、云开发平台等,相当于中间件部分;云应用服务层则包括与人们日常工作和生活相关的大量各类应用,例如电子邮件服务、云地图服务、云电子商务服务、云文档服务等,这些丰富的应用给人们带来实实在在的便捷。各个层次的服务之间既彼此独立又相互依存,形成一个动态稳定结构。
1.3 云计算特点
云计算作为一种新兴的应用计算机技术,代表着IT领域向集约化、规模化与专业化道路发展的趋势,体现了“网络就是计算机”的思想,是发生在IT领域的深刻变革,其主要特点如下:
(1)规模大。Google云计算已拥有100 多万台服务器,Amazon、IBM、微软、Yahoo 的“云”均拥有几十万台服务器,企业私有云一般也拥有数百上千台服务器,“云”能为用户提供巨大的计算能力。
(2)虚拟化。用户所请求资源在“云”中,不限于固定的某个实体,应用在“云”中某处运行,用户无需了解也不必担心应用运行的具置,只需要一台计算机或者一部手机,即可通过网络实现所需要的应用服务。
(3)可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,因此云计算比本地计算更加可靠。
(4)通用性。云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。
(5)可扩展性。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。
(6)自治性。通过自动化配置管理服务,用户可以按需自动调配任务,以及根据应用环境的变化自动增加或减少服务的数量。
(7)廉价性。由于“云”可以采用廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担高昂的数据管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,用户可以充分享受“云”的低成本优势。
虽然云计算具有上述诸多优势,但目前还并未得到用户的广泛接受,主要原因在于其大规模共享资源所产生的安全问题。
2 云计算安全
由于云计算大规模和开放性,导致云计算面临着比以前系统更为严峻的安全威胁,安全问题已成为制约云计算发展的重要因素。2010年5月在第二届中国云计算大会上,我国提出了应加强云计算信息安全研究,解决共性技术问题,保证云计算产业健康、可持续发展。许多对云计算感兴趣的研究团体也开始着手研究云计算的安全问题,安全厂商也在关注各类安全云计算产品。
2.1 云计算存在的安全隐患
(1)内部人员非法访问或恶意破坏。用户的信息特别是敏感信息,是在用户无法控制的“云”中进行加工处理的,将会绕过用户对这些信息物理、逻辑和人工的控制,因此有可能被服务商内部管理人员及信息处理人员非法访问及恶意破坏,从某种程度上说,完全依赖于云服务提供商的安全系统是云计算存在的最大的风险。
(2)审计功能不完备。传统服务提供商需要接受外部审计,但一些云计算提供商却拒绝接受外部审计。用户只需要提交原始数据,最终结果由云计算服务器提供,数据的运算过程不接受用户的任何安全审计与安全评估,用户对自己数据的安全和完整承担全部责任。
(3)数据保护难度大。用户数据的储存位置可能分散于世界各地,由于不同国家和地区的地理、气候、人文环境不同,地震、水灾、火灾、暴力破坏等各种灾害难以预料和有效控制,给存储数据的硬件设施带来了极大的安全威胁。同时,由于数据存储位置的不确定性,一旦云计算过程发生意外出错或者中止,用户数据恢复难度增大。另外,各国隐私保护政策不同,信息泄密和隐私暴露的风险也大大增加。
(4)数据隔离不清晰。在云计算的体系下,软件平台广泛采用了Multi?tenancy(多租户)架构,即单个软件系统实例服务于多个客户组织,所有用户的数据将被共同保存在惟一一个软件系统实例内,数据具有无边界性,无法像传统网络一样清楚地定义安全边界和保护措施,如果恶意用户通过不正当手段取得合法虚拟机权限,就有可能威胁到同一台物理服务器上其他虚拟机。虽然数据都处于加密状态,但是云计算服务商无法确保加密服务绝对安全,一旦加密系统出现问题,则极有可能发生泄密问题,因此,进行数据隔离是防止此类事件的必要手段。
(5)运算时效性难以控制。由于数据都是经过网络传输,难免因为网络堵塞、网络硬件出错、遭受DOS攻击或者数据恢复而耽误时间,而时效性对于很多业务而言是至关重要的,甚至关系到企业的前途命运,一旦发生服务延迟,有可能会给企业带来巨大损失,而云计算服务商不会承担这种责任。
(6)网络攻击变得更加容易。黑客通过网络钓鱼或软件漏洞来劫持用户信息,通常根据一个密码就可以窃取用户多个服务中的资料,如果被盗的密码可以登陆云端平台,那么用户的所有数据将被窃听、篡改,甚至重定向用户的服务到其他恶意网站,并且被“劫持”的服务和账号可能会被利用来发起新的攻击。资源和能力开放是云计算时代的一个重要业务变革方向,作为技术层面的实现,云计算服务商需要提供大量的网络接口和API来整合上下游、发展业务伙伴、甚至直接提供业务,但从实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后带来了额外的安全入侵入口。由于云计算可以为任何人提供计算资源,并不考虑使用者的目的,而这些便利的具有巨大计算能力的资源极有可能被黑客用来进行破解用户帐户信息、窃取服务器数据、发动DOS攻击等恶意行为。
(7)调查支持难以实现。在云计算环境下,计算、存储、带宽服务可在全球跨国获取,数据和运算结果会在不同地区的多台主机或数据中心之间传递、交换,如果在某一台主机运算的数据被黑客攻击,则经过多次的数据传递交换后,将无法确定数据究竟何时何地在哪台主机被攻击过,相关安全部门若进行调查,将无从下手。
(8)服务持久性难以保证。在云计算系统中,终端用户对提供商的依赖性更高,当云计算技术供应商因出现破产等情况而导致服务中断或不稳定时,用户的数据存储和使用云计算服务将会遇到很大的麻烦。
(9)兼容性较弱。如果企业决定将服务从一个云服务商迁移到另一个服务商,就会出现兼容性的问题,如Amazon的S3和IBM的蓝云就互不兼容。
2.2 云计算安全问题的解决方案
针对以上云计算面临的安全问题,从终端用户和云计算服务商以及国家层面三个方面提出相应的解决方案。
(1)终端用户
①选择信誉较高的服务商。用户应选择经营规模大、信誉度高的服务商,并对服务商能够提供服务的安全等级和能够持久服务的能力进行评估。签订云计算服务合同时要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定,防止误入合同文字陷阱中。
②数据加密技术。目前除了软件服务(SaaS)服务商之外,云计算服务商一般不具备隐私数据的保护能力,因此在使用云计算过程中,终端用户如果将数据以明文的形式存储于分散的云端服务器,则无法保证数据的机密性和完整性,因此用户可以采用相关加密对术对敏感数据进行加密,并做好密钥管理工作。但同时加密会降低数据的利用率,二者的关系需要进行权衡。
③进行权限控制。企业用户将数据传输到云端服务器之后,要对数据的访问权限加以控制,限制云计算服务商的访问权限,数据的完全控制权应属于终端用户。
④加强用户安全教育。用户在使用云计算服务时,最常使用的客户端工具是WEB浏览器等,必须要避免在使用自己的服务时将密码泄露给第三方、以免被他人利用合法身份进行信息窃取,而这需要对使用人员进行相应的安全知识培训。
(2)云服务提供商
①加强安全认证,整合运用多种认证技术手段,确保只有合法的用户才能访问和使用云资源。
②加强接口和API在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践,广泛采用更加全面的安全测试用例。
③采用数据隔离技术。采用额外的数据隔离机制来保证各个用户之间的数据不可见性,目前主要通过对虚拟机隔离从逻辑上实现如传统网络模式下的物理隔离和边界防护,防止系统越界访问。
④部署严密的安全防御体系,保证用户数据不被轻易攻击,同时还应采用屏蔽、抗干扰等技术为防止电磁泄漏。
⑤完备的数据容灾系统支持,其应具备相应的预报、告警、自动排除危害机制,保证因一些自然灾害导致断电、硬件损坏而引起数据丢失后,能够迅速恢复数据。
⑥对出网数据进行监控。制定监控策略,使用过滤器对离开网络的数据进行监控,确保用户隐私信息和核心数据没有非法外流。
⑦确保用户正常删除的敏感数据彻底消失,不能再被从云端恢复。
⑧提供审计服务。审计用于跟踪记录用户的各种行为以及数据的访问使用情况,审计日志保存时间要尽可能的长久,以便发生法律纠纷时能够提供调查依据。
⑨提供不同安全等级的服务。云计算服务提供商需要对服务区分安全等级,然后以此为依据协助用户对自己的数据和应用进行风险评估,并根据评估结果向用户推荐提供相应安全等级的服务。
⑩正规内部管理。运营商必须规范内部工作机制,健全各项管理规定,加强员工职业道德教育,特别对于那些拥有特权帐户的人员,与员工签定承诺书和相关责任书、合同或协议,确保内部不发生不道德行为和违法行为。可以采取分级控制的方法同,对内部工作人员进行分级,分配相应的访问和使用权限;
(3)国家层面
国家应加强法律法规建设,加强云计算产业规范和监管。当前,制约云计算发展的主要障碍之一就是各种标准和法规的缺失。没有法律法规的规范和约束,就很难保证云计算服务商服务的安全性和正规化,云计算的信任和信誉机制就很难建立,而这极易导致产生违法行为,如某服务商可能被重金收买后将某个时期内某个行业的发展趋势信息、创新型无形资产和竞争性商务信息秘密出售他人,而这将会给某些企业致命打击。外国公司企业在拥有传统技术标准和制订新技术标准方面都有较大优势,我国企业还不容易取得标准方面的主动权,因此一方面要努力学习借鉴,加大这方面的研发投入,另一方面要充分发挥我国应用市场广大的优势,推进实践应用,不断积累经验,在此基础之上提炼相应的标准和规范,积极争取话语权。
3 结 语
云计算作为一种新型的分布式计算模式,有着非常广阔的发展前景,但其在很多环节还存在诸多安全隐患,安全问题已经成为困扰云计算更大发展的最重要的因素。云计算的发展必须有健全的法律法规作为规范和约束,必须使用先进的技术手段消除各种安全风险,必须运用先进的运营理念和管理策略保证正规有序服务,只有做到这些,云计算才能真正被广大用户所接受和使用,云计算才能得到真正的发展。
参考文献
[1] 郝文江.云计算与信息安全[J].城市与减灾,2010(4):12?15.
[2] 杨斌,邵晓,肖二永.云计算安全问题探析[J].计算机安全,2012(3):63?66.
[3] 冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2010(11):73?81.
[4] 陈尚义.云安全的本质和面临的挑战[J].信息安全与通信保密,2009(10):44?46.
[5] 姚小兵,高媛.浅谈网络时代的云安全技术[J].信息科学,2010(3):35?38.
云计算安全体系范文第3篇
【关键词】云计算;信息安全;问题;应对策略
1云计算信息安全的问题
1.1法律制度不健全
云计算技术是时展的产物,由于云计算的虚拟、远程等影响以及云服务提供商与用户对云端数据支配权等,给法律带来了很大的挑战。因为云计算平台相对开放,云端上的数据资源很容易被他人复制或使用,这样用户的知识产权是否被他人侵犯就不得而知。
1.2云技术的不足
云技术的虚拟化技术使得用户能灵活又高效地利用云计算资源,而云技术的多租户技术使云计算具有较好的延展性且成本较低。但是,因为云计算得不到传统逻辑隔离以及物理隔离的保护,软件安全漏洞可能会造成数据被他人非法访问或窃取的影响。
1.3云服务提供商的可信度与用户隐私问题
云服务提供商的可信度很重要,但不能轻易被评估,若用户将信息托给可信度有问题的提供商,则提供商可能恶意窃取用户信息数据;若提供商可信度度没有问题,但其在信息管理上有失误,用户的信息也可能会受到黑客袭击。同时,对于云服务提供商获取了用户哪些信息,以及用户不再使用云服务时信息是否销毁的问题,用户有权知晓。如果用户的信息没有得到有效地保护,被他人窃取后很可能发生信息倒卖的状况,则用户的隐私也就泄露了。
1.4数据安全性
用户对云中数据服务进行访问时,需要得到与云之间的双向认证。而当前提供商对用户身份进行管理的方式比较单一,用户身份认证机制比较薄弱就给不法分子非法使用用户信息提供了可乘之机。除了常见的系统漏洞问题,若云服务提供商的员工个人出现操作失误、不规范等情况,也会给云计算安全造成严重的打击,所以还要重视员工专业素养的提升。
2云计算信息安全问题的应对策略
2.1提高云计算安全的认识和观念
科技的发展促进我国对云计算有了一个全面而清晰的认识和了解,云计算的应用给社会各领域带来了便利,同时也存在着一些问题。用户要用科学的发展的眼光去看待云计算在市场经济与科研方面的潜力,充分挖掘云计算的优势,认真探索云计算的发展趋势,开拓其发展空间。对于云计算安全问题,首先用户要给予足够的重视,然后采取各种措施来强化我们的正确观念,比如多参加一些培训活动,了解和掌握云计算安全方面的基础理论,提高自己云计算技术的水平和解决云计算问题的能力。同时用户要选择信誉良好的云计算服务提供商,还要注意在公共场所不要轻易透露自己的密码信息,而要采取加密处理与备份处理的方式,降低信息被泄露的风险。
2.2建立健全云计算安全的立法制度,并严格执法
随着经济全球化、信息技术的不断发展,国际信息传递与处理变得日益频繁。在云计算平台上,国家对网络资源的使用要有科学的统一的规范和标准,这样才有利于云计算的应用与强化云计算安全管理。对于云计算安全问题,我国应结合实际情况建立完善相关法律法规,比如为保护用户隐私需制定相应得法律条款等,增强法律法规的针对性和信息流动的规范性,同时立法要与国际社会接轨,使得我国在云计算安全上有更多话语权。而且,政府要加强云服务安全有关监管政策的实施,使用户与提供商之间建立稳固的信任关系,维护用户与提供商的利益。黑客攻击是云中犯罪的一个重要原因,云时代黑客攻击范围较广且数量较大,而且取证比较困难,所以要制定相应的法律对这种行为进行强有力的约束,对不良网络因素进行遏制。健全民事诉讼请求、赋予用户一定的刑事或民事赔偿权利,是一种严厉打击云中违法犯罪分子的有效措施。
2.3加强云服务运行商之间的交流与合作,建立一个统一的云计算信息保障平台
用户的信息资源一旦遭到泄露,势必会给用户带来很大的威胁。云服务提供商要通过对数据系统进行加密,对用户身份以及访问权限进行严格的管理和认证,确保用户登录的合法性以及用户数据的安全、完整,还可以有效阻挡木马病毒的入侵。云计算技术推动了互联网行业的发展,促进了两者之间的融合。互联网运行商之间存有竞争关系,有着各自的信息保障平台和独立的开发方式,这样对有效利用各云端信息产生不利影响,从而造成云计算信息资源的浪费。当今时代信息的存储量和传输量庞大,互联网运行商不能继续以往独立的信息保障和管理方式,而应加强合作关系,共同建立一个广阔的统一的信息保障平台,进而实现所有信息的高效整合和流通,将云计算信息保障的优势充分发挥出来,各运行商的协同发展将对信息安全起到更多的保护作用。
2.4提高云计算技术水平,重视相关技术水准的建立
云计算安全体系范文第4篇
关键词: 云计算; 信息安全; 层次分析法; 模糊理论; 评价指标
中图分类号: TN915.08?34; TP391 文献标识码: A 文章编号: 1004?373X(2017)11?0084?04
Research on information security under cloud computing background
ZHOU Jian
(Suzhou Administration Institute, Suzhou 215011, China)
Abstract: The information security is the premise and foundation of normal application of the cloud computing system. In order to solve the problems existing in information security under cloud computing background, and improve the security of cloud computing system, an information security evaluation scheme combining analytic hierarchy process (AHP) with fuzzy theory under cloud computing background is put forward. Aiming at the high redundancy characteristic of the information security eva?luation index system under cloud computing background, the correlation analysis is adopted to process the index to improve the independence of the index. The AHP is used to construct the multi?level evaluation index system. The fuzzy theory is employed to evaluate the level of information security under cloud computing background. The evaluation index system is applied to the specific information security analysis of cloud computing system. The results show that the evaluation scheme can assess the security state of the cloud computing system objectively, which provides a reliable information for information security risk decision under cloud computing background.
Keywords: cloud computing; information security; analytic hierarchy process; fuzzy theory; evaluation index
0 引 言
S着互联网规模的扩大,网络上每天处理的数据急剧增加,单一计算机系统不能满足大数据处理的要求,为此出现了云计算(Cloud Computing)系统。云计算系统加快了大规模数据处理的速度,提高了数据处理的效率,扩大了互联网的应用范围[1?3]。但同时,在云计算系统中还有许多安全问题,其中信息安全尤为重要,引起了专家的高度关注。
当前信息安全风险分析主要从定性和定量两方面进行,其中定性的信息安全风险分析方法主要有因素分析法、德尔斐法等[4?5],具有评价过程简单等优点,但其主要通过专家进行评价,然而专家的知识有一定局限性,因此通用性比较差,而且评价结果说服力不强。定量的信息安全风险分析方法包括层次分析法、决策树法等,它们通过建立信息安全风险分析的评价指标,根据权值或者决策树得到信息安全风险所处的等级,实现过程比较简单,但是假设条件相当多,简化了信息安全风险问题,这样实际应用效果差[6]。为了克服单一定性分析方法和定量分析方法的局限性,有学者利用两者的优点提出基于人工智能的信息安全风险评价模型[7?9],采用层次分析法对信息安全风险评价指标进行确定,采用神经网络、贝叶斯网络等建立信息安全风险评价的分类器,得到信息安全风险所处的等级,评价结果更加可靠,主观性少,而且结果的可解释性更优。但是在实际应用中,信息安全风险评价的指标多,指标之间存在高度冗余,使得数据之间的重复比较严重,如何有效消除数据之间的高度冗余是一个较大的问题,同时信息安全风险存在不确定性和模糊性,如何建立更加适应信息安全风险变化特点的评价模型具有重要意义[10]。
当前针对单机的信息安全风险分析研究已经不少,但是针对云计算背景下的信息安全研究相对较少,为了提高云计算系统的安全性,提出一种基于层次分析法和模糊理论相结合的云计算背景下信息安全评价策略。首先采用相关分析法对云计算背景下信息安全评价指标体系进行处理,然后采用层次分析法构建多层次评价指标体系,并采用模糊理论对计算背景下信息安全等级进行评价,结果表明,该评价策略可以对云计算系统的安全状态进行客观估计,为云计算背景下信息安全分析提供了一种新的研究思路。
1 云计算系统的工作原理
在云环境下,数据处理方式常采用Map/Reduce的模式,将一个大规模数据处理问题划分成为多个小规模,然后采用各个节点并行进行处理,提高数据完成效率,减少执行时间,具体如图1所示。在数据和信息处理过程中,一些非法或者没有授权用户对系统的信息进行非法窃取,或者对信息进行破坏,产生了云计算背景下信息安全问题。
图1 云计算背景下的数据处理原理
2 云计算背景下信息安全问题的影响因子
在云计算系统中,信息安全问题是多种影响因素共同作用的结果,影响云计算背景下信息安全问题的因素,即常说的安全风险评价指标。基于全面性和科学性的原则建立如图2所示的云计算背景下信息安全风险评价指标体系。
3 云计算背景下信息安全问题评价模型的实现
3.1 相关分析法消除指标的冗余特性
在云计算背景下信息安全问题处理过程中,各N指标之间具有一定的相关性,当相关性较大时,指标之间的信息冗余就比较严重,对云计算背景下信息安全问题分析结果产生干扰,导致风险评价结果不准确,为此采用相关分析方法消除指标之间的冗余特性,以便后续云计算背景下信息安全风险评价的建模。设专家组由人组成,分别对指标属性A和B量化打分,如表1所示。
图2 评价指标体系的原始结构
表1 信息安全风险指标的专家打分表
[指标 … … 指标 … … ]
由于每一种计算背景下信息安全风险评价指标均包括一定的随机噪声,采用式(1)和式(2)消除指标和中的随机噪声:
(1)
(2)
采用式(3)和式(4)统计它们的标准差和
(3)
(4)
指标之间的相关性值为:
(5)
如果>0,表示两个指标和之间是一种正相关关系;如果
采用相关分析法对所有指标之间的相关性进行检测,去掉一些指标之间的冗余特征,增加指标的独立性,以便后续的指标处理。
3.2 建立层次结构的云计算背景下信息风险评价指标
根据云计算背景下信息风险评价指标的特点,考虑全面性、可操作、科学性等原则,采用层次分析法建立层次结构的云计算背景信息风险评价指标体系,具体如图3所示。
3.3 模糊理论的云计算背景下信息风险评价
模糊理论是一种人工智能综合评价算法,根据模糊集合论和最大隶属度原则对指标与风险之间的关系进行估计,从而得到云计算背景下信息风险评价结果,判断信息安全的状态,具体步骤如下:
Step1:建立云计算背景下信息风险评价的指标集。建立云计算背景信息风险评价准则集合为表示准则的个数,且有那么第个准则为表示第个准则的指标数量。
Step2:建立云计算背景下信息风险评价的评语集合。表示云计算背景下信息风险评价等级的评语集合,表示云计算背景下信息风险评价的评判等级。
Step3:建立云计算背景下信息风险的模糊评判矩阵。根据指标集和评语集的关系,得到每一层指标评价矩阵对的模糊映射为那么有:
(6)
模糊评判矩阵见表2。
表2 模糊评判矩阵
[ … … … … ]
Step4:确定云计算背景下信息风险评价指标权重。由于每一个指标对云计算背景下信息风险评价的贡献不同,采用综合评价法,一个专家对个指标进行风险评价得到个权重。表示第个权重值,表示第个权重值。进而采用权重进行定量分析,具体为:
① 同一层指标两两进行对比,得到权值的比值为:
(7)
式中:>0。
② 计算矩阵每一行的乘积得到权值=且有=
③ 根据式(8)对进行归一化处理,得到特征向量处理结果如下所示:
(8)
④ 对矩阵一致性进行检验,具体为:
(9)
(10)
(11)
其中:CI代表一致性指标;RI代表相应的平均随机一致性指标;CR为一致性,当时,可接受一致性检验,否则将对判断矩阵修正。
⑤ 进行一致性检验后,建立指标的权重向量为且0
Step5:云计算背景下信息风险的综合评价。根据权重向量和模糊评价矩阵不同层的评价结果得到云计算背景下信息风险的最终评价结果且有:
(12)
式中“”表示模糊算子。
根据模糊评判结果得到云计算背景下的信息安全风险评价等级。
4 云计算背景下信息安全问题的实例分析
为了检测层次分析法和模糊理论相结合的云计算背景下信息安全评价方法的性能,对一个计算系统信息安全状态进行估计,首先建立云计算背景下信息安全风险评估的模糊评估矩阵,具体见表3。
确定不同层次云计算背景下信息风险评价指标的权重,两两比较得到的结果为:
(13)
采用层次分析法计算指标的权重,得到各层指标的权重向量为:
最后得到云计算背景下的信息安全风险较低,比较安全。
5 结 论
针对云计算背景下信息不安全的y题,提出基于层次分析法和模糊理论相结合的云计算背景下信息安全评价策略,具体为:
(1) 构建云计算背景下的信息安全风险评价指标体系,并采用相关分析法对指标冗余性进行检测,去除指标之间的冗余,增强指标之间的独立性,提高信息安全风险评价速度。
(2) 针对云计算背景下信息安全评价指标体系的随机性和不确定性,采用层次分析法确定指标的权值,构建多层次评价指标体系,使信息安全风险评价结果更加客观和可信。
(3) 根据云计算背景下信息安全变化的模糊性,引入模糊理论对云计算背景下信息安全等级进行评价,提高信息安全风险评价精度,评价结果更加科学。
(4) 具体应用实例结果表明,该评价策略是一种精度高、速度快的云计算背景下信息安全评价工具,易于操作和推广。
由于云计算背景下信息安全变化具有一定的非线性,通过引入人工智能学习算法对信息安全风险进行建模与评价,这是下一步要进行的研究工作。
参考文献
[1] 李乔,郑啸.云计算研究现状综述[J].计算机科学,2011,38(4):32?36.
[2] 冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报, 2004,25(7):10?18.
[3] 高阳,罗军舟.基于灰色关联决策算法的信息安全风险评估方法[J].东南大学学报(自然科学版),2009,39(2):225?229.
[4] 唐作其,陈选文,戴海涛,等.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用,2011,47(15):104?106.
[5] 王桢珍,姜欣,武小悦,等.信息安全风险概率计算的贝叶斯网络模型[J].电子学报,2010,38(2):18?22.
[6] 赵冬梅,马建峰,王跃生.信息系统的模糊风险评估模型[J].通信学报,2007,28(4):51?56.
[7] 阮慧,党德鹏.基于RBF模糊神经网络的信息安全风险评估[J].计算机工程与设计,2011,32(6):2113?2115.
[8] 赵冬梅,刘金星,马建峰.基于小波神经网络的信息安全风险评估[J].计算机科学,2010,37(2):90?93.
云计算安全体系范文第5篇
【关键字】 云计算 数据安全 对策
随着网络技术的进步和数据量的大量增长,云计算服务作为新兴的超级计算方式,在人们的生活中发挥着日益重要的作用。在云计算服务给人们提供方便的同时,数据安全问题也成为人们更加关注的问题。因此,确保云计算服务中数据安全对促进云计算发展有重要意义。
一、云计算的核心内容及应用概况
1.1 云计算的核心内容
所谓云计算,就是利用网络访问量进行按需计算的模式。该模式能够让人们更加便捷地进行网络访问,更加快速在网络上查找自己所需的资料和信息,使人们的工作效率大大提高,减少了时间成本。
更加通俗地说,E-mail、Office办公软件、网络存储、社交通讯软件等深受广大网民喜欢的工具和服务都属于云计算范围。
云计算的主要构架是能够进行动态升级和进行虚拟化地存储资源,并且用户能够通过网络进行资源的共享和下载。广大网民并不需要对云计算有充分的了解也能够利用云计算便利地在网络上获取个人所需的资源信息。
1.2云计算的运用概况
当前,云计算已经不是特定的技术产品,而是符合广大网民生活学习的网络技术,云计算服务已经深入人们生活之中。云计算通过网络进行资源信息的共享和传播,对各行各业都有深入地影响。就当前而已,云计算的应用有以下三个趋势:
第一,进行大数据的处理。随着科学技术的发展和信息量的剧增,原有的互联网技术已经不能满足日益提高的人们需求。互联网上的数据量之多已经无法进行衡量。当前,许多互联网公司针对用户的需求进行大量数据的处理以及资料的存储,以满足用户的需求;在此过程中,处理大量数据的能力以及超出了传统的IT计算方式,使用云计算技术成为普遍采用的方式。
第二,运用到企业生产管理中。随着现代化企业建设的进程加快,企业每天需要进行大量的数据处理,公司的发展也需要更迅速的通讯、数据处理手段。传统的IT构架已经不能够满足企业的发展需求,因此企业将传统的计算中心等设备淘汰转而使用云计算服务方式,通过虚拟化的网络服务,对所需数据进行计算整理,实现公司资源的优化配置,提高了企业的生产效率以及管理水平[1]。
第三,广泛运用中小企业中,实现社会化的IT服务。现有的云服务由于成本高、技术水平要求高,不适用于中小企业。中小企业只能使用传统的硬件设备进行企业数据的运算。
随着网络科技的发展,云计算的商业化趋势越来越明显,通过实现社会化的IT服务,使中小企业也能够进行淘汰传统的计算方式,而使用高速度的虚拟化的云计算服务[2]。
二、云计算服务中数据安全存在的主要问题
2.1网络通讯威胁
网络通讯威胁是指在云计算服务中,用户通过使用网络进行数据的传输过程中面临的安全威胁,或者受到黑客攻击导致数据的传输故障。一般表现为,用户的数据受到恶意地篡改、数据隐私得不到保护、甚至数据遭到破坏。此外,在云服务中通过网络监听、身份哄骗等手段对用户数据进行非法获取,破换了用户数据机密[3]。
2.2存储安全威胁
用户在网络中进行数据的存储过程中,由于并没有使用加密手段,使得用户的数据收到威胁。此种情况下,不仅有外部因素,内部人员也是重要的威胁对象。当用户在使用云服务中进行数据存储时受到攻击,对用户数据就会产生泄露的危险。
一是黑客直接接触存储介质。攻击者在逃避了监控之后对用户存放数据的介质直接进行了接触并恶意篡改用户数据信息、增加或者删除用户数据。二是用户在进行云存储时并没有对数据进行加密处理,从而使数据受到攻击而泄露。三是云计算服务商没有及时进行用户数据的拷贝,在受到攻击之后造成用户数据的永久性丢失。
2.3身份认证因素威胁
在云计算中,攻击者利用非法手段入侵第三方服务器盗取用户资料,并对用户的身份认证信息篡改,使用用户账户登陆、恶意泄露用户信息[4]。虽然攻击者对自己的所为并不承认,但却不能否认用户数据遭到了破坏。
三、云计算服务中数据安全问题的防范对策
3.1 进行技术控制
技术控制是实现云计算服务中数据安全的有效手段。技术人员通过技术控制,对云计算服务进行实时监控,一旦发现威胁,立即进行中止计算和服务,保护用户的数据安全和隐私安全。一是云服务商技术人员通过技术控制确保用户数据的安全,并将用户数据进行实时拷贝更新,确保用户数据的安全性和永久实用性;二是进行用户间的数据隔离,避免虚拟服务器相互攻击;三是及时更新系统补丁,避免系统漏洞对用户数据造成泄漏、破坏用户数据。
3.2建立安全的文件存储模块
在云计算中有一个存储模块专门用来进行用户数据的备份存储。用户能够使用账户登陆进行数据的删改和存储替换。因此,技术人员在数据存储中采用加密的数据存储模块,为用户提供安全密码进行后台的登陆和数据的增改、删除、更新[5]。
如果安全密码错误,则服务器就会拒绝用户访问,并在多次错误后进行账户的锁定,确保用户数据的安全隐私。通过文件存储模块的使用,使得用户数据能够在云计算服务中得到有效存储,保证数据的安全。
3.3建立安全的身份认证措施
身份认证措施是比较复杂和先进的措施,在云计算服务中使用安全身份认证措施,能够加强对用户数据的保护。云计算服务商技术人员可以根据个人特征构建多重认证方式。例如进行实时身份认证,对用户的认证行为和身份信息进行追踪分析[6]。
在建立身份认证之时,对身份加密机制进行四个阶段地建立:一是参数提取阶段,即对用户的私有信息与云计算目的服务器的身份描述相符;二是系统设置阶段通过设置用户安全密码用作用户登录服务器之用;三是加密阶段对用户的身份认证信息进行加密;四是解密阶段对用户的登录访问请求进行身份验证后的解密登录。通过身份认证措施,对用户的身份认证进行加密,确保用户的数据安全。
四、结束语
虽然云计算服务为人民的生活工作提供了诸多便利,但其数据安全问题一直受到社会的普遍关注。在对云计算服务中存在的数据安全问题进行了解之后,需要采取切实有效的措施对用户数据进行加密保护,确保用户数据的可靠性、安全性,使广大用户能更好地利用云计算服务生活工作,同时也为云计算服务的发展指明了方向。
参 考 文 献
[1]尹鑫.云计算服务中数据安全的若干问题研究[J].电脑知识与技术,2013,(36):8270-8272.
[2]田静.云计算服务中数据安全的相关问题研究[J].软件工程师,2014,(2):38-39.
[3]李瑞轩,董新华,辜希武等.移动云服务的数据安全与隐私保护综述[J].通信学报,2013,34(12):158-166.
[4]邵华.关于云计算服务中数据安全的问题研究[J].计算机光盘软件与应用,2013,(24):163-163,165.
