网络与信息安全概论论文-李大为

网络与信息安全概论论文杨宏宇老师南三-101周日第1-4节《浅析云计算的若干安全问题》李大为120146612经济与管理学院工商管理专业浅析云计算的若干安全问题李大为120146612（中国民航大学经济与管理学院，天津300300）摘要：云计算是当今IT领域的热门技术，有着广泛的应用前景。它因低成本消耗、快速部署、灵活多变的规模调整等优势而备受欢迎。然而云计算环境下的信息安全问题也是云计算在应用时的主要问题之一，提高安全技术，可以有效促进云计算的应用。故而介绍云安全问题包括哪些及应该如何应对。关键词：云计算(CloudComputing)；信息安全；网络；云存储0、引言随着信息技术的发展，近几年各种类型的云计算和云服务平台越来越多地出现在人们的视野中，比如邮件、搜索、地图、在线交易、社交网站等等。由于它们本身所具备的便捷性、可扩充性、低成本性等优点，才正越来越广泛地被人们所采用，并成为各行各业不可或缺的一部分。但是，一旦用户将自身数据上传到云端，他就立即失去了对上传文件的控制权，转而由云服务运营商操控，在此过程中就会产生一系列的安全问题。本文就一些常见的热门的问题进行探讨，以供后续研究者借鉴与交流。1、云计算1.1关于云计算的概念2006年谷歌公司(Google)在其“GooglelOl计划”中第一次给出云计算的相关概念和理论。云计算是分布式计算(DistributedComputing)、并行计算ParallelComputing)和网格计算(GridComputing)的新发展,也是这些计算机科学概念的最新商业实现,它是一种以服务模式调整计算资源利用率的技术(Miller.2009)。云计算主要利用现有资源,使用虚拟化技术构建由大量计算机组成的资源池,这种资源池被称之为云”,它具有功能强大的控制和监管能力,能够动态切割和分配计算资源来满足用户的不同需求进而交付服务,用户只需要指定委托即可获得所需的服务,而不需要去了解云计算服务的提供细节。因此,云计算被业界预示为IT行业的下一代基础架构(Mell,Grance,2009：Armbrust,Fox,Griffith,etal,2009)。它的概念模型如图1所示[1]。美国国家标准技术研究院（NIST）将云计算定义为“一种无处不在的、便捷的且按需的对一个共享的可配置的计算资源（如网络、服务器、存储、应用和服务）进行网络访问的模式，它能够通过最少量的管理或与服务供应商的互动实现计算资源的迅速供给和图1：云计算的概念模型释放。[2]”1.2云计算的服务类型目前世界各运营商的云计算服务类型千差万别，但大致可以分为3类。（1）软件即服务（SaaS，SoftwareasaService），提供给用户以服务的方式使用应用程序的能力；（2）平台即服务（PaaS，PlatformasaService），提供给用户在云基础设施之上部署和使用开发环境的能力；（3）基础设施即服务（IaaS，InfrastructureasaService），提供给用户以服务方式使用处理器、存储、网络以及其它基础性计算资源的能力[3]。现依次各举一例:云应用Saleforce在线CRM取务,GoogleAppEngine,AmazonEC2,S3服务。2、云计算安全2.1云计算安全概念在云计算出现之后，云计算就与安全有着密切的联系，产业界、学术界因此提出了“云安全”的概念。对于“云安全”一词，目前还没有明确的定义。大多数研究者认同一个观点，即“云安全”是网络时代的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的常检测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。这样整个互联网就像一个庞大的杀毒软件，而且用户越多，每个用户就越安全，整个网络也就越安全。张亚红、郑利华、邹国霞[4]用一句话总结了“云安全”，他们认为“云安全”其实就是从传统的单机杀毒模式，转换成网络化的主动防毒模式。瑞星安全工程师王占涛称，在瑞星看来，整个网络就是一个云，而整个网络的安全，也就是云的安全。而菲菲[5]认为，广义的“云安全”应该包括：用云计算保护用户安全；保护云操作系统的安全；解决“云”的安全问题；在云里提供安全服务。2.2云计算安全的特征由于云计算资源虚拟化、服务化的特有属性，与传统安全相比，云计算安全具有一些新的特征[3]：2.2.1传统的安全边界消失，在传统安全中，通过在物理上和逻辑上划分安全域，可以清楚的定义边界，但是由于云计算采用虚拟化技术以及多租户模式，传统的物理边界被打破，基于物理安全边界的防护机制难以在云计算环境中得到有效的应用；2.2.2动态性，在云计算环境中，用户的数量和分类不同，变化频率高，具有动态性和移动性强的特点，其安全防护也需要进行相应的动态调整；2.2.3服务安全保障，云计算采用服务的交互模式，涉及服务的设计、开发和交付，需要对服务的全生命周期进行保障，确保服务的可用性和机密性；2.2.4数据安全保护，在云计算中数据不在当地存储，数据加密、数据完整性保护、数据恢复等数据安全保护手段对于数据的私密性和安全性更加重要；2.2.5第三方监管和审计，由于云计算的模式，使得服务提供商的权利巨大，导致用户的权利可能难以保证，如何确保和维护两者之间平衡，需要有第三方监管和审计。3、云安全现状及问题近几年，各种类型的云服务如电子邮件、网络硬盘、在线交易等越来越多的出现在人们的视野，其采用的分布式计算和虚拟化技术带给用户的便利、低廉等益处是不言而喻的，然而相应的安全性问题也不容忽视。从世界范围来看，网络云安全问题时刻不停，一直困扰着广大用户、运营商乃至政府。从而也解释了相当多的用户对网络云持观望态度的原因。这些云安全问题给用户、企业、甚至国家带来巨大的损失，故而随着云计算应用的深入,云安全问题的重要性也在不断上升，不得不承认其在一定程度上阻碍了云计算发展的进程，现在简单介绍几起云安全事件。3.1云安全事故表现谷歌公司是目前最大的云计算使用者,其搜索引擎建立在分布于200多个地点、超过100万台服务器的支撑体系之上,GoogleEarth、Maps、Gmail、Docs、News、AppEngine等应用相继推出。2009年Gmail服务和News服务连续出现中断事故,导致用户无法访问服务;同年12月部分Gmail用户的邮件被无故删除(Arrington,2006)。2010年2月,由于备份数据中心发生故障导致GoogleAppEngine宕机,同样给谷歌用户造成影响。2009年10月,微软公司的云计算服务也出现问题,由于服务器故障导致用户个人数据丢失,同时备份服务器上的用户个人数据也出现丢失现象。2010年8月,由于网络问题,微软云计算体系上托管软件服务在北美周大约停机两小时,用户完全无法访问微软的企业生产力在线套件(BPOS)(Perez,2010)。作为云计算领域最成功的企业典范亚马逊公司,其在线计算服务的组件:简单存储服务(S3)于2008年7月发生了超过6小时的系统宕机故障,造成使用亚马逊服务的用户无法访问,比如:SmugMug(网络照片和视频提供商)存储于S3中的数据在宕机期间内无法访问(Arnazon.com,2008)。另外,2009年12月,亚马逊公司的弹性计算云服务(EC2)在一周内连续出现由僵尸网络(BonetNetwork)引发的内部服务错误和数据中心的电源问题两起故障。3.2云安全问题3.2.1数据存储安全在数据存储方面，用户一旦把数据传输给云服务商，从本质上讲，就已不能完全控制对这些数据的自主处理。这就使得研究者不得不深思，把数据存储在“云”端会不会引起法律争议，数据会不会丢失、泄露，能否彻底地删除，丢失的数据能否快速完整地恢复，数据能不能进行有效的隔离等一系列的问题。具体体现为数据加密、数据隔离、数据校验、数据备份、灾难恢复、数据删除及数据存储位置等方面。3.2.2数据传输安全在云服务中，数据传输高度依赖于网络设备，由于网络信息以二进制代码为载体，传输过程中，首先要将各种图文信息通过计算机设备转换为数字代码，然后通过线路进行传输，最后要通过计算机设备将数字代码还原成我们可识别的图文信息，其中任何一个环节的不到位都会给用户数据带来安全风险。黑客，病毒等等危险因素时刻威胁着云安全，另外硬件系统也有可能造成信息失密，如计算机内的信息可能通过电磁波形式泄漏出去，外部网络通信线路也可能被截获、监听等[6]。3.2.3数据访问安全在数据访问方面主要涉及以下问题，身份管理、访问控制、用户权限等。在云计算模式下一些云服务商可能以用户未知的方式越权访问用户数据，同时由于“云”端的数据处于共享环境，如果缺乏用户访问控制和信息操作权限的有效管理，也会导致用户的数据被非法访问。企业可以根据信息密级程度以及用户对信息需求的不同，将信息和用户从低到高划分为若干个等级，并严格控制用户对信息的访问权限，而且还概括了用户身份认证的重要性，并提出企业应该结合单点登录的统一身份认证和权限控制技术，严格控制用户对信息资源的访问，使得数据和服务安全得到有效的保证[4]。4、云安全应对策略4.1国家层面云安全不仅是一个技术问题，而且还涉及到一个国家的军事、经济、政治等多方面的安全。因此，仅仅通过发展技术来解决云安全问题是远远不够的，只有充分发挥我国政府的职能作用，加快制定云安全相关立法，完善云安全管理，及时制订国家级的战略规划，协调全国范围内的云计算，才能实现云计算的更好更快的发展。否则，万一发生战争，海啸，洪水等不可抗力，抑或公司破产，谁来保护用户的数据安全？运营商究竟有多大的权限来对用户数据进行控制？万一发生数据完整性丢失，运营商到底该负多大责任？诸如此类的问题亟需加强立法。4.2运营商层面云服务提供商应该采用主动防御技术保证信息安全，一方面保护存储在云中心的数据安全，另一方面在用户即将访问有害网页或病毒程序前提醒用户。在实际运行过程中，很难保证运营商的硬件设施运营安全，在硬件设施损坏，停电导致的设施关闭等问题发生时，能否保证云端信息的正常存取工作。在设备损坏时能否保证信息安全，避免信息丢失，依然是个不容忽视的问题。此外，软件问题也威胁着云计算的正常运转，在云端的信息是否有效处理，在处理时是否能有效避免错误发生，使云计算在一些敏感信息方面的应用受到限制。4.3用户层面在云用户方面，云计算服务自产生以来，已经拥有了众多用户，但是随着云计算服务的发展，各种安全事件层出不穷，严重影响了用户对云计算业务和相关应用的接受程度。那么用户应该如何选择比较安全的云计算服务提供商来获取云服务？夏良，冯元认为[7]，云用户应该选择信誉良好的云服务，尽量使用付费存储，仔细阅读隐私声明。刘猛认为[8]，用户还应该注意使用过滤器，加强用户口令管理，使用加密技术，保护API密钥。5、结语总而言之，在信息时代的今天，基于云计算环境的信息处理是一个大的发展方向，它不仅方便信息处理工作，对信息的安全与利用也起着不可忽视的作用。虽然云计算发展有很多难题需要攻克，但我们相信技术的进步及各方的努力会让云计算更加安全，快捷，高效地服务大众。因此，加强对云计算安全研究的投入刻不容缓，以期实现在信息领域更加广泛安全的应用。参考文献：[1]李凌.云计算服务中数据安全的若干问题研究[D].合肥:中国科学技术大学,2014.[2]MellP，GranceT．TheNISTDefinitionofCloudComputing[R]．NationalInstituteofStandardsandTechnology，InformationTechnologyLaboratory,2009.[3]段翼真，王晓程，刘忠.云计算安全：概念、现状与关键技术[J].第27次全国计算机安全学术交流会论文集.2012:（08）[4]张亚红,郑利华,邹国霞.云计算环境下的信息安全探讨[J].网络安全技术与应用,2010,(10):76-77.[5]菲菲.云安