云计算环境下信息安全问题
- 来源:环球市场信息导报 smarty:if $article.tag?>
- 关键字:云计算,信息安全,IT产业 smarty:/if?>
- 发布时间:2014-11-03 15:13
云计算是一个网络计算中的新标志,它具有虚拟化、无边界、数据集中等特点,它能使用共享的计算资源并包含有用的计算。它的出现不仅给信息安全带来新的挑战,同时也给信息安全带来了新的技术和理念。该文通过阐述云计算环境下信息安全管理存在的风险,对云计算环境下的信息安全问题做了系统分析,并提出云计算环境下保证信息安全的相关对策。
基金项目:基于SaaS的中小企业信息化模式研究,吉教科合字【2013】第401号
一、概述
在信息化发展的今天,每一个国家都经历了前所未有的发展机遇,而云计算技术也是在这一背景的冲击下,由并行计算、网络计算发展的必然结果。云计算是一项新兴技术,尽管云计算技术能为IT产业及其应用开辟新的空间,但是云计算环境下的信息安全问题仍是我们亟需解决的一个重要问题。为此,积极寻求高效的信息安全策略已刻不容缓。
二、云计算的含义及原理
云计算的含义。云计算是在分布式处理、并行处理和网格计算发展的基础上提出的一种新型计算模型,它面对的是超大规模的分布式环境,并以提供数据存储和网络服务作为核心任务,平台、服务、应用程序等均位于“云端”。云计算将所有的计算资源集中起来,由软件实现自动管理,无需人为参与,提供多种人为服务,为云计算用户带来了便利。
云计算的原理。将计算分布在非常多的分布式计算机上,在远程服务器或非本地计算中,能使企业数据中心的运行与互联网更为接近。这样便能使企业把资源转变成所需的应用,同时再根据他们的需求去访问存储系统和计算机。从上述这一原理中,我们可以将其看成一种革命性的举措,换而言之,就好比是从老一代的单台发电机模式变换成电厂集中供电的模式,道理是类似的。
三、云计算环境下信息安全管理存在的风险
云计算技术的兴起,在降低IT管理成本方面发挥了很大作用。它能使公司将计算处理工作的一部分外包出去,信息主管无需在内部服务器维护方面花费太多精力,也不需要配备额外的专业技术人员,基于这一点使云计算受到越来越多企业的青睐。但是,在使用的过程中也出现了又一个关键性问题,就是“信息安全”。在云计算环境下,运用了大量虚拟化技术、资源池化技术,使网络边界防护手段、数据存储、处理方式相继都发生了改变,从而导致信息安全遭受的风险越来越多,主要体现在以下几个方面:
云计算用户对自己的数据资源负有最终责任,所以为保证数据安全和云计算服务的有效性,应在事前做好审查性工作,也就是对云计算提供商进行外部审计和安全认证。但是,有很多提供商对于这种审查是持反对态度的。因此,这也是一个要解决的问题。
信息被泄露,也就是非授权用户通过技术手段窃取系统中的信息资源。还有的信息遭到破坏,影响了自身的完整性,也就是数据遭到恶意删除、修改等。
数据的存储地点不明确。在使用服务时,用户对自己的数据存储地点还不了解,同时也不了解数据的存储是否保存于专门介质以及提供商是否遵循了当地的隐私协议。
来自数据隔离加密方面的问题也是应该注意的。因为在云计算服务中,用户的数据都存储在一个共享环境中,尽管有加密措施,但是还远远不够,还要求用户弄清加密服务是不是由专家设计并已经通过一定级别的安全测试,加密系统一旦出现了问题,那么用户的所有数据都将报废,进而带来不利影响。
业务流分析:长期监听整个系统,并采用统计分析方法,主要是研究通信频度、通信的信息流向、通信总量的变化等参数,通过研究从中可以发现一些有价值的信息及规律。
数据的有效性。一般在比较理想的状况下,云计算提供商不会出现破产或者被收购等大的危机,但是用户还是要认真确认一下,一旦发生此类问题,是否会影响到自己的数据,如发生了影响,就要考虑该怎样取回数据,并保证取回的数据能继续被使用。
四、云计算环境下保证信息安全的对策
多应用边界防护技术。边界防护技术是计算机安全维护中最为常见的一种应用类型。其中,防火墙技术、入侵检测技术以及抗DDOS等系统技术都是被人们所熟知的。防护墙技术主要是维护安全的,主要应用于内部网和外部网之间。在受到防火墙保护的网络中,能有效将网络中的威胁和问题屏蔽。入侵检测技术作为一种安全警报技术,一般在电脑信息交往中处于“睁大眼”的状态,主要是监视、分析信息,一旦计算机出现问题,能对整个计算机系统进行审计处理,查找出其中潜在的问题;与此同时,在平常的运行过程中,还可以对外来的入侵准确识别,并将这些活动反馈出来,发出警报,从而避免更大问题出现。抗DDOS主要是抗击分布式拒绝服务攻击的技术,近几十年来,DDOS是骚扰安全的一种常见问题,这一问题主要表现为拒绝服务攻击。云计算用户在受到DDOS的影响之后,就不能正常的访问网络资源,进而影响到信息安全。针对这些问题,抗DDOS技术可以保护主机不受DDOS的侵害,也保护了文件信息的安全。
加强操作和访问权限的管理。第一,要根据不同用户的不同需求以及信息的不同保密级别,对信息进行科学划分,分类管理。第二,在用户身份认证方面要严格把关,只有通过认证的用户,并且在协定期限内才有访问和操作权限。在云计算环境下,还要注意保护隐私数据,对服务提供商服务器上的数据进行加密,还要保护好最终传达给用户的数据,以免泄露信息。
做好云服务器的安全防护。主要可以采用清马和修补漏洞两种方法进行安全防护。清马的步骤为:先将挂马的标签和网马的地址找到,之后找恶意代码,开展清马工作。如果是网页被挂马,那么用手动清理或批量清理的方式都可以。修补漏洞的一般步骤为:先对网站后台的用户名、密码及后台的默认路径进行一一修改,再更改数据库名。之后对网站是否有注入漏洞或跨站漏洞进行仔细的检查,如发现有漏洞,就要打上防注入或防跨站补丁。此外,网站的上传文件也是重点检查的项目,发现有上传漏洞,就过滤相应的代码即可。为了防止被社会工程学猜解出管理用户及密码,就尽可能的不要暴露出网站的后台地址。
建立起私有云、公共云和混合云多重防护。可以将云计算分为三种形式,即私用云、公共云和混合云,第一种形式主要是用于企业内网,只要采取IT防护措施便可以收到较好的效果,但是也不可以太过大意,做一个数据备份是十分必要的。一般后两种形式的安全防护比较复杂,涉及到提供商和用户双方两方面,为了提高安全服务水平,及时处理好突发危机,供应商和用户需要密切的配合。
目前,云计算的发展过程中还有很多疑虑存在,但是它已经成为当前具有革命意义的计算模型,极具发展潜力,也将是计算机行业今后发展的一个新趋势。但是云计算的应用推广还面临一大问题,就是云计算环境下的信息安全。所以,业界要结合我国国情,积极研究云安全技术,找到一些完善的安全保障方案,从而使云计算得到进一步推广。
武昊然 文