云计算在信息安全中的应用
邹 维 丁 羽 韩心慧 杨文瀚北京大学
云计算在信息安全中的应用
引言
互联网时代的信息安全面临着高强度、高时效的技术对抗,零日(zero-day )攻击、僵尸网络以及用户隐私信息大面积泄露等都是新的挑战。然而,云计算的迅速发展,除了给信息安全带来挑战外,也为信息安全提供了有效的技术支撑。
云计算既是一种技术,也是一种商业模式,其特点是将大规模计算及存储资源在基础设施即服务(infrastructure as a service ,IaaS )、平台即服务(platform as a service ,PaaS )、软件即服务(soft-ware as a service ,SaaS )三个层面为用户提供不同类型的、弹性化的服务,并在云端对其进行管理。云计算已经在信息搜索、邮件服务、客户关系管理、信息存储等领域取得了巨大的成功。
目前许多信息安全活动都以服务形式呈现。基于云计算模式的信息安全服务,称作安全即服务(security as a service ,SecaaS )。一般认为它是云计算中软件即服务的一个子类。据高德纳(Gart-ner )预测,2011年至2013年全球SecaaS 业务将增长三倍。云安全联盟(Cloud Security Alliance, CSA )的SecaaS 工作组于2011年发布的报告[1],列举了10大类SecaaS 服务:
1 身份与访问管理(identity and access manage-ment ,IAM )
2 数据防丢失(data loss prevention ,DLP )
3 Web 安全(Web security )
4 电子邮件安全(Email security )
关键词:信息安全 病毒查杀 网页木马 漏洞挖掘
5 安全评估(security assessments )
6 入侵管理(intrusion management )
7 安全信息与事件管理(security information and event management ,SIEM )
8 加密(encryption )
9 业务连续性与灾难恢复(business continuity and disaster recovery )
10 网络安全(network security )
服务基本涵盖了直接面向用户的各类安全检测和防护的内容,只是未提及软件安全漏洞挖掘。本文将介绍云计算在信息安全领域的三类具体应用:
基于云计算的病毒查杀 属于第10类服务,
其核心是云和客户端的协同问题;
基于云计算的网页木马检测 属于第3类服
务,其核心是海量数据安全性的分析问题;
软件漏洞并行挖掘 不属于以上10类服务,是
第5类服务的重要支撑,复杂计算的并行化执行是其面临的主要挑战。
基于云计算的病毒查杀
密歇根大学乔恩·奥博赫德(Jon Oberheide )等人在2008年USENIX Security Symposium 会议上发表的题为“CloudAV: N-Version Antivirus in the Net-work Cloud ”论文中,首次提出基于云计算的病毒查杀思想[2]。该技术借用云服务平台提供的强大灵活的计算能力,将病毒扫描分析这一计算与资源密集型任务转移到云平台中。通过对云计算平台的计
算与存储资源的充分利用,CloudAV 不但降低了客户端防病毒软件的负担,同时提高了对未知、多态病毒的平均识别率。
在CloudAV 杀毒模式中(图1),用户终端的杀毒程序自动将敏感文件上传到云端进行分析,云端借助大型病毒特征库,通过分析引擎对汇集的成千上万份敏感文件样本进行并行化检测,将处理结果返回给客户端杀毒程序,从而减轻了用户终端负载,增强了查杀效果,也改善了用户体验。
相对于传统的杀毒软件,CloudAV 具有以下优势:1 在云端易于部署基于虚拟机沙箱的恶意行为动态分析工具,以及时发现未知病毒;
2 借助云计算中MapReduce 等技术对病毒样本做并行化静态分析,大大提升分析效率;
3 通过在云端部署多种来自不同厂商的病毒检测引擎,对病毒样本进行交叉检测,可提升检测准确率;
4 在云端可维护大型甚至巨型病毒特征库,一旦分析引擎发现了来自某个客户端的一种新型病毒,则会迅速入库,让成千上万的客户端共享最新、最全的病毒信息。
基于云计算的病毒查杀技术(简称“云杀毒”)的核心思想是“云查—端杀”,即利用云端强大的计算能力,进行病毒分析和检测,客户端跟据结果进行病毒杀灭。目前主流的防病毒软件厂商都不同程度实现了云杀毒,其中包括赛门铁克、奇虎、卡巴斯基、瑞星等公司。虽然各厂商所采用的技术框架及原理基本相同,但在具体实现上各有特色。
赛门铁克公司将客户端的文件标为三个不同的信任等级,并根据用户所选择的信任等级确定扫描范围;奇虎公司在云端建立了大型黑白名单数据库,以提升云端运行效率;瑞星公司在云端部署了木马/恶意软件自动分析系统来进行分析;卡巴斯基公司的客户端杀毒程序在发现疑似样本时,会自动将在该公司检测网中首次出现的时间、使用人数、已信任该样本的用户比例等信息提供给用户进行判断,系统根据判断结果进行相应处理。云端杀毒由于需要从客户端外传用户文件等信息,一些用户往往会担心个人信息泄露,卡巴斯基公司的做法减小了用户的担忧,但需要用户具备基本的防病毒知识和更多的人机交互。
云杀毒技术经过4年的发展,已全面进入实用阶段。这是云计算在信息安全领域一项最成功的应用。随着4G 宽带无线通信技术的普及应用,移动互联网也将迎来云杀毒时代。
基于云计算的网页木马检测
网页木马是近年来出现的一种新形态恶意代码,它通常被人为植入Web 服务器端的HTML 页面中,目的在于向客户端传播恶意程序。当用户通过客户端浏览器访问该页面时,它会利用浏览器及其插件的漏洞将恶意程序自动植入客户端电脑中。网页木马的表现形式是一个或一组有链接关系、含有恶意代码(通常用JavaScript 等脚本语言编写)的HTML 页面,恶意代码在该(组)页面被客户端浏
图1 CloudAV 架构图[2]
Suspicious Files End Host
HTTP Email Media
P2P
IM
Files
Host Agent
Safe Files
File
Threat Report
Network Service
Forensics Archive
Analysis Engines
览器加载、渲染的过程中被执行,并利用浏览器及插件中的漏洞隐蔽地下载、安装、执行病毒或间谍软件等恶意可执行代码。与主动传播的网络蠕虫不同,网页木马采取“守株待兔”的被动传播方式,当用户浏览页面时,网页木马以网页内容的正常下载为掩护,隐蔽地完成感染和入侵,因此被称为“Drive-by-Download”。
谷歌的一项研究表明其搜索结果中平均约1.3%的网页被感染木马[4],网页木马已经成为网络攻击与病毒传播的重要手段。
网页木马的检测一般分为高交互式和低交互式两类:(1)高交互式检测通常基于虚拟技术模拟一种浏览器环境,通过透视度量、控制流完整性检
测等技术对网页的动态行为进行检测;(2)低交互式检测主要包括基于已知漏洞特征匹配的检测方法、基于机器学习的方法和基于统计的方法。
网页木马的检测非常适合在云计算环境中进行,因为分析一个单独网页安全性的时间代价并不大,而且网页数量众多,借助爬虫技术可以爬取到足够多的网页进行分析。因此使用云计算来进行大规模网页并行分析是十分有效的。
谷歌的安全浏览(safe browsing)服务可以为使用搜索引擎的用户提供URL的安全性警示,包括钓鱼网站(phishing)和网页木马(malware page)两项安全性检测。提到谷歌的网页木马检测,人们往往会想到Stopbadware[5]。它是一个与恶意代码(或“坏件”,badware)作斗争的非盈利组织,源于哈佛大学的https://www.360docs.net/doc/9b2550656.html,项目。该组织定期公布一个全球恶意网站黑名单。有人误认为谷歌是通过这一黑名单比对来确定搜索结果中是否包含恶意网页。其实不然,谷歌采用的是尼尔斯·普洛斯(Niels Provos)等人研制的自动检测系统[3],该系统具有以下3个特点:
1 采用基于MapReduce模型的启发式算法进行网页裁剪,大幅度缩减检测页面的数量;
2 通过虚拟机上的IE浏览器沙箱(Sandbox)技术,对网页进行动态行为分析;
3 结合多种来自不同厂商的反病毒引擎扫描结果,进行动态验证。
图2显示了基于以上关键技术形成的检测方法。
网页木马本质上是针对客户端万维网(Web)浏览器安全漏洞的渗透攻击代码,通过破坏客户端软件运行时刻的完整性,获得远程代码执行机会并进一步植入恶意代码。因此,对网页木马的检测可归结为动态完整性遭到破坏与否的检测问题。
奇虎公司的360云安全系统的网页安全性检测采用了机器学习方法,每天处理5TB以上的数据。北京大学互联网安全技术北京市重点实验室研发的Web网页木马监测系统[6],采用海量网页过滤、轻量级并行化沙箱、挂马链分析、网页木马场景收集与重放等技术,形成一个基于云计算架构的Web网页在线安全服务平台,为客户网站提供持续的Web 浏览安全监测服务。近三年来协助中国教育和科研计算机网(CERNET)紧急响应组(CCERT)为网内3.5万个网站提供持续的网页木马检测服务。
软件漏洞并行挖掘
软件安全漏洞(security vulnerability)是指可以被攻击者用于破坏目标系统安全策略的软件错误。安全漏洞是网络攻防的重要信息资源,信息技术大国特别是美国已形成一条围绕安全漏洞发现、评估、交易、利用的产业链[7]。
图2 谷歌网页木马检测[3]
Web Page
Repository
MapReduce
Heuristical URL Extraction
Monitor
Execution Analysis
Malicious Page
Repository
Result
URL
Virtual Machine
Internet
Expolrer
漏洞的发现包括两个方面:(1)漏洞挖掘:通过对软件程序(包括二进制执行程序)的静态或动态分析,发现安全漏洞的过程;(2)漏洞逆向分析:通过对软件补丁或恶意代码的逆向分析,发现补丁试图弥补、防护的软件漏洞,或者发现恶意代码试图攻击的软件漏洞。
经过几十年的发展,漏洞挖掘逐渐形成静态挖掘和动态挖掘两个主要技术方向。各种软件漏洞挖掘技术都会不可避免的遇到路径爆炸问题。为了缓解路径爆炸,提高软件漏洞分析效率,研究者开始将目光转向并行漏洞挖掘方向。云计算服务能够提供大量弹性的计算资源,为并行化软件漏洞挖掘创造了条件。比较杰出的几项并行漏洞挖掘工作:
斯坦福大学Saturn项目[8] 谢依晨(Yichen
Xie )等人针对可被有限状态机(DFA )刻画的漏洞模式,构造了并行漏洞挖掘系统Saturn 。该系统扩展了布尔抽象理论,将程序整型变量、路径谓词抽象为布尔(Bool )矢量和谓词,强化对指针和结构体的分析,在遍历程序路径时,将漏洞触发条件编码为Bool 谓词,通过判定Bool 谓词的可满足性从而判断漏洞是否存在。Saturn 系统充分利用函数依赖关系,结合函数摘要技术,并行分析彼此不依赖的函数。这项并行技术取得了出色的实验结果,使对Linux 内核锁异常的分析时间从原来的23小时缩减至50分钟。
加州大学伯克利分校的Vulnivore项目[9] 瓦
格纳(D. Wagner )等人研发的Vulnivore 系统关注于格式化字符串(format string )漏洞,将此类漏洞
的挖掘并行化。在一个月的时间内,完成对Debian 3.1 Linux 中3692个代码包分析,成功发现数千个安全隐患。
Sun公司的Parfait系统[10] 该系统使用并行、
迭代化模块和启发式策略进行漏洞挖掘。Parfait 系统以具体需求为驱动(demand driven ),采用“瀑布”模型,整合不同的漏洞挖掘模块和启发式策略,进行并行化、迭代式漏洞挖掘。
瑞士Cloud9系统[11] 赛尔蒂(L. Ciortea )等人
在Amazon EC2云计算平台上实现了Cloud9系统。它能够在符号化遍历程序执行空间过程中,并行遍历不同的执行路径,在不同的计算节点间调度遍历任务,并保持负载均衡。基于云计算的并行符号执行与负载均衡技术是Cloud9的两项创新。其结构见图3。
北京大学互联网安全技术北京市重点实验室基于云计算的并行漏洞挖掘 实验室在面向安
全的反编译、基于污点跟踪与符合执行的漏洞挖掘等方法研究方面有一定积累,已发现20多个零日安全漏洞(指首次被发现、尚无补丁的漏洞)[12,13]。实验室软件安全课题组基于G. Edward Suh 安全脆弱性模型,尝试从源代码中找出可能的软件漏洞脆弱点,结合动态污点分析和二元决策图(binary deci-sion diagram )理论,使用自底向上的方法计算各个潜在脆弱点的可达性。该方法具有良好的可伸缩、并行化能力,因此适用于云计算环境。该课题解决两个关键性技术难题:(1)脆弱性Sink (指程序中出现缓冲区溢出等异常的位置)的筛选问题,如何从大型复杂软件中挑选出潜在的脆弱性Sink 。
(2)在已知潜在脆弱性Sink 的情况下,采用哪种并
行、高效方法,以辨别出Sink 是否是真实的漏洞。
现有的研究结
果显示,并行技术能够显著提高漏洞挖掘技术的效率,
图3 Cloud9结构图
Load balancer
Worker #1
Worker #n
Worker #2
Runtime
Searcher
Program under Test
Constraint solver
是未来漏洞挖掘工作的一个重要研究方向。需要指出的是,由于程序结构的复杂性,其运行状态及可执行路径数量随程序代码行数迅速增长,同时许多程序分析方法理论性强、实现复杂度高,因此漏洞挖掘的并行化实现难度远高于前面介绍的“云查杀”和基于云计算的网页木马检测。正因如此,国内外在基于云计算的软件漏洞挖掘研究方面仍处于
探索阶段,许多理论研究工作有待实际验证。
结语
本文介绍了云计算在病毒查杀、网页木马检测、软件漏洞挖掘方面的典型应用。前两类应用技术相对成熟,已进入实用阶段,第三类尚处于研究阶段,有待进一步探索。可以预见,云计算作为继个人电脑、互联网之后的第三次信息革命产物,在信息安全领域的应用前景将十分广阔。■
致谢:本文得到国家发改委国家信息安全专项2010课题、国家242信息安全计划项目(2011A40)的资助。
[8] Y.Xie,A.Aiken. Saturn: A Scalable Framework for
Error Detection using Boolean Satisfiability. ACM Transactions on Programming Languages and Systems (TOPLAS), Vol.29(3), May 2007
[9] K.Chen, D.Wagner. Large-Scale Analysis of Format
String Vulnerabilities in Debian Linux, Programming Languages and Analysis for Security(PLAS’07), 2007 [10]C.Cifuentes, B.Scholz. Parfait –Designing a Scalable Bug
Checker, Proceedings of the 2008 workshop on Static analysis (SAW’08), 2008
[11]L. Ciortea, C. Zamfir, S. Bucur, V. Chipounov, G.
Candea. Cloud9: A Software Testing Service, ACM SIGOPS Operating Systems Review, Vol. 43 Issue 4, Jan 2010, P.5-10.
[12]Tielei Wang, Tao Wei, Guofei Gu, Wei Zou: TaintScope:
A Checksum-Aware Directed Fuzzing Tool for Automatic
Software Vulnerability Detection. IEEE Symposium on Security and Privacy 2010: 497-512.
[13]Tielei Wang, Tao Wei, Guofei Gu, Wei Zou: Checksum-
Aware Fuzzing Combined with Dynamic Taint Analysis and Symbolic Execution. ACM Trans. Inf. Syst. Secur.
14(2): 15 (2011)
云计算与信息安全
云计算与信息安全 信息安全是当前计算机科学的一个研究热点;云计算是一个新的技术,给信息安全提供了挑战和机遇。介绍了云计算的基本概念、云计算的安全问题,通过云计算用户以及云计算服务提供商两方面分析了云计算中确保信息安全的方法。 论文关键词:云计算,网格计算,信息安全,云安全 0 引言 信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。 1 云计算简介 何为云(cloud)?云实际上就是互联网(Internet)的别称,其实是指分布在Internet 中的形形色色的计算中心,包含成千上万甚至几十万、几百万台计算机或服务器。用户不再购买高性能的硬件,也不再购买或开发各种功能的软件,而是使用任何可上网的设备,连接'云' ,利用'云'提供的软件或服务,直接在'云'上处理并存储数据。云计算的概念最早可以追溯到图灵奖得主Jone McCarthy 在60年代发表的观点:“计算有可能在未来成为一种公共设施。”进入21世纪后,SaaS (Software as a Service),软件服务的概念越来越广泛的应用于业界。随后,从2007年开始,云计算开始出现,包括Google、Amazon、IBM、Microsoft 等业界的领袖企业都宣布了各自的与技术项目。 简言之网格计算,云计算( cloud computing)是一种基于Internet的计算。在云计算中,存储和运算将不再运行在本地计算机或服务器中,而是运行在分布于Internet上的大量计算机上,也就是说,云计算通过把原来由个人计算机和私有数据中心执行的任务转移给分布在Internet上由全体用户共享的大型计算中心来完成,实现了计算机硬件、软件等计算资源及对这些计算资源进行安装、配置与维护等服务资源的充分共享论文服务。 但是云计算远远不止这些。云计算目前的主要架构是基于一个新一代的数据中心,提供虚拟的计算和存储资源。而这些资源的消费和使用,可以按照事先规定的可以计量的标准进行收费。 2 云计算的安全问题 尽管很多研究机构认为云计算提供了最可靠、最安全的数据存储中心,但安全问题是云计算存在的主要问题之一。
云计算与信息安全
与减灾 Way for Seeking Truth 公安部第一研究所郝文江 云计算与信息安全 Cloud computing and information safety 云计算概念是由Google 提出的,这是一个美丽的网络应用模式。云计算的概念一经提出,随即引来的是计算机信息产业的大讨论。许多人士认为,云计算只是概念性的炒作,没有实际的技术应用和使用价值。笔者认为,云计算作为一种新型的计算模式,代替了传统的单机终端计算,它可以通过网络将世界各地的计算机统一管理起来,统一的存储,统一的使用,提高了计算能力和处理能力。 云计算概念及发展历程 云计算(cloud comput ing ),是分布式计算技术的一种,其最基本的概念,是指透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。通过这项技术,网络服务 提供者可以在数秒之内,达成处理数以千万计甚至亿计的信息,达 到和“超级计算机”同样强大效能的网络服务。通俗地讲,就是用户原来使用单机来处理自己的工作,效率低,时间长,而通过云计算后,用户可以将自己的工作直接上传到云服务器,云服务器通过统一调配,安排与云相连的计算机来共同完成任务,这样一来,效率大大提高,时间相应地缩短了许多。狭义云计算 在整个IT 界可以提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。这种特性经常被称为像水电一样使用IT 基础设施。通常IT 界人士会将自己的终端电脑提供出来,作为云中的一个粒子,为云的计算提供服务。 广义云计算 广义云计算服务可以是整个IT 界与软件、互联网相关的,也可以是任意其他的服务。“云”是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括 计算服务器、存储服务器、宽带资源等等。云计算将所有的计算资源集中起来,并由软 2010.412
云计算环境下如何确保数据安全性
遇到电子商务法问题?赢了网律师为你免费解惑!访问>> https://www.360docs.net/doc/9b2550656.html, 云计算环境下如何确保数据安全性 (中国电子商务研究中心讯)原来局限在私有网络的资源和数据 现在暴露在互联网上,并且这些资源和数据放到了第三方云计算提供商所有的共享公共网络上。 与第一个风险因素相关的例子是2008年12月报道的亚马逊Web 服务(AWS )漏洞注1。在一篇博客文章中,作者详细说明了在数字签名算法中的一个漏洞,通过HTTp对亚马逊SimpleDB数据库(Amazon SimpleDB )、亚马逊弹性计算云(Amazon Elastic Compute Cloud,EC2 )或亚马逊简单队列服务(Amazon Simple Queue Service,SQS)执行查询(Query,又称REST )请求。”尽管采用HTTpS (代替HTTp )可能会降低完整性风险,但是不使用HTTpS (却使用HTTp )的用户却面临着越来越大的风险,他们的数据可能在传输中被莫名其妙地修改。 注1:这个问题于2008年12月18日报告在Colin percival的博客Daemonic Dispatches”上,参见AWS signature version 1 is insecure”在亚马逊Web服务网站上并没有公开承认这个问题,也没
有对percival的博客文章做公开回应。 确保适当的访问控制 由于资源的一部分(也可能是资源的全部)现在暴露在互联网上,公共云使用机构的数据将面临日益增长的风险。对云计算提供商的网络运行进行审计(更不用说基于自身网络进行实时监控)基本上是不 太可能的,哪怕是事后审计也很困难。能够获取的网络层面的日志和数据不多,而且全面进行调查并收集取证数据的能力也是相当有限的。 与第二个风险因素相关的例子是Ip地址再使用(再分配)的问题。一般来说,当用户不再需要已分配的Ip地址时,云计算提供商不再保留用户的Ip地址。当地址变为可用后,地址通常再分配给其他用户使用。从云计算提供商的角度看,这么做是有道理的。Ip地址数量有限,同时也是用于收费的资产。然而从用户安全的角度出发,Ip地址再分配使用可能会带来问题。用户无法确信他们对资源的网络访问能随着Ip地址的释放一并终止,从DNS中的Ip地址改变到DNS缓存清理,这之间显然存在一段时间延迟。从ARp表中改变物理地址(例如MAC )到将ARp地址从缓存中清除也会有一定的滞后时间,因此在老的地址被清除之前,还是会一直存在于ARp缓存中。这意味着即使地址可能已经变化,原先的地址在缓存中依旧有效,因此用户
云计算的发展以及对信息安全的影响
云计算的发展以及对信息安全的影响 2006年谷歌推出了“Google 101计划”,并正式提出“云”的概念和理论。随后亚马逊、微软、惠普、雅虎、英特尔、IBM等公司都宣布了自己的“云计划”,接着云安全、云存储、内部云、外部云、公共云、私有云等概念也逐渐出现在人们的视野当中。云计算从它的出现直到现在一直都是IT行业的热点,每一点小的进步都引来无数的追捧,那么到底什么是云计算?它的发展如何?又给IT行业带来了那些影响?以下是本人通过李向阳老师课上的学习以及课后查阅资料所得到的一点启发。(由于云计算对IT行业的影响方面太多,故仅仅选取其中一个小的方面即信息安全进行分析) 1.云计算的概念 云计算(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,是分布式技术的一种,其最基本的概念是通过网络将庞大的计算机处理程序自动分 拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统进行搜寻和计算分析,最后将处理结果回传给用户。通过这项技术网络服务提供者可以在数秒内处理数以千计甚至亿计的信息,达到和超级计算机同样强大效能的网络服务。 李开复对云计算打了一个形象的比喻:钱庄。最早人们只是把钱放在枕头底 下,后来有了钱庄,很安全,不过兑现起来比较麻烦。现在发展到银行可以到任何一个网点取钱,甚至通过ATM,或者国外的渠道。就像用电不需要家家装备发电机,可直接从电力公司购买一样。 最简单的云计算目前已经随处可见了,包括搜索引擎、网络信箱,如Google的Gmail、Gtalk、Google日历以及FaceBook等等。 2.云计算的基本原理 云计算的基本原理是通过使计算分布在大量的分布式计算机上,而非本地计算机或者远程服务器中,企业数据中心的运行与互联网情况相似。这使得企业能够将资源切换到需要的
大数据云计算环境下的数据安全
大数据云计算环境下的数据安全 发表时间:2019-06-05T14:58:42.027Z 来源:《中国西部科技》2019年第5期作者:贾同凯[导读] 目前我们处于信息化的时代,同时云计算与大数据也得到了快速的发展,本文对云计算和大数据的内涵进行分析,多方面的论述了云计算的大数据存在的安全隐患问题,并且提出了相应的保护措施,从而推动我国云计算平台服务的不断发展。 中车大连机车车辆有限公司在信息化的时代背景下,云计算服务得到了广泛的应用与传播,其成为我国信息产业发展的主要方向。飞速发展的信息化要在云计算服务的指导下进行一次科学有效的技术改革。云计算服务对我们社会的发展来说是至关重要的,但是在发展过程中存在着一些问题,其安全性一直没有得到有效的解决。因此要对大数据安全隐私保护问题进行有效的讨论与分析,从而使云计算更好地给人们提供便利。 一、云计算与大数据的概念 1.1云计算 云计算主要依靠互联网技术,对传统的计算模式进行突破,利用云平台给用户提供信息,同时做到信息共享,更好地满足计算机和网络设备的需求。利用云计算可以使信息行业的工作效率有效的提高,云计算这种方式具有一定的先进性,符合时代的发展,更好地满足社会的需求。 1.2大数据 大数据拥有着很多数据量,如果用传统的数据管理方式不利于开展管理和处理的工作,因此要利用信息技术对数据进行存储与处理,使海量资料得到有效的管理,大数据在处理和管理数据方面充分的发挥着自身的作用。 二、基于云计算的大数据安全隐私问题 2.1基于云计算的数据隐私 在云计算的网络环境中,数据的安全隐私问题十分的复杂,而且认识问题所涉及的内容比较多,因为有不同用户,所以对需求的侧重点也不同,对用户的数据进行保护。当用户进行搜索的时候,要对用户的搜索内容与范围等进行保护,要根据用户需求对用户数据的隐私内容进行保护。总之要根据用户的不同需求对数据信息进行有效的保障工作,同时要做到有侧重点的进行。 2.2云计算平台数据的安全隐私服务 用户的安全隐私对于云计算来说是十分重要的,面对云计算平台数据中的安全隐私问题要进行充分的考虑,因此云平台要使用相关的技术进行云计算服务,从而使安全隐私得到保障。如果有用户将数据通过云服务存储的云计算平台中,当使用这些资料的时候要得到授权,以此保证数据的安全使用。云平台安全隐私服务方面,要符合我国信息时代的需求,这样也有利于我国经济社会的发展,因此云计算的工作人员要格外关注这些问题。 2.3常见的基于云计算的大数据安全隐私问题探讨与思考 目前云计算平台对于我国的经济发展来说起到了至关重要的作用,推动着我国经济的不断提高,但是在使用过程中还存在着一系列的安全问题,这就对我国云计算平台有着负面的影响。因此要对大数据安全隐私问题进行探讨与思考。 (1)用户加密方面。有些用户为了应用平台上的存储服务功能,用户会通过特定的算法对相关的个人信息进行有效的处理与加密,从而有效地提高信息的安全性。但是对于云计算平台来说,框架设计还存在着不科学的现象,就会在对数据进行分析的时候出现错误,不能很好地进行加密处理,因此云计算的相关工作人员要重视该问题。 (2)保证远程数据的完整性。使用云计算平台的用户要根据相关的规定对数据进行上传,但是在上传的过程中数据的完整性会有一定的难度,如果数据没有完整的上传,就会对用户造成很大的影响,也会对云服务平台的能力产生负面影响,所以要对云计算数据的完整性问题进行解决。 (3)数据计算的隐私保护方面。相关的部门要重视数据计算的信息和结果,还要使云计算平台的安全保护规模加大,这样可以使信息减少泄露的情况。 2.4常见的影响大数据数据隐私的安全问题 在大数据的云服务平台中安全隐私问题,主要出现在存储数据方面。在对数据进行存储的过程中,会涉及到信息的安全性问题。因此相关的部门要考虑到大数据的特点,同时根据云计算平台的发展情况对大数据的特征进行有效的考虑并加以重视,使安全隐私问题得到有效的解决,如果没有及时的解决,就会受到来自数据厂商、服务提供商和外部入侵者带的威胁,这样就会造成严重的后果。因此要从云计算服务的角度入手,做好大数据的安全隐私问题。 (1)大数据在云计算平台的应用问题中,数据拥有者会造成用户隐私的侵害,同时也要考虑到拥有者对数据的控制能力是存在一定局限性的,对于侵害问题有效解决难度就会加大。 (2)由于应用提供商的技术或者在对待数据进行处理的时候,没有较为完善的服务体系,这样就会使数据信息在云平台的安全性受到威胁,相关的工作人员要对这一点格外的关注,提高云平台服务水平。 (3)当大数据信息应用到云平台服务当中时,所包括的技术性问题具有一定的复杂性,同时互联网又具有一定的多样性和开放性,所以在这种环境下就会导致大数据出现安全问题,所以要对安全性问题进行有效的解决,使云计算可以具有一定的可靠性,让更多的人使用云计算。 三、基于云计算的大数据安全隐私保护措施 云计算大数据的有关部门要根据实际情况,对数据进行科学有效的保护措施,提高我国云计算平台的服务。为了更好地使大数据的安全隐私得到有效的保障,云服务供应商应该利用隐式机制来使云计算具有一定的安全可靠性。这种机制是使用加密的形式,只能在搞清楚矩阵中所有元素的信息时,才可以对平台的内容进行获取,这样可以提高安全性,同时具有一定的实践效果。利用隐式机制的安全措施可以使云计算平台充分发挥自身的优势,更好地满足用户的需求,同时还有利于云计算的安全性能有效的提高。 结束语:目前我们生活在信息化的时代,云计算平台得到了广泛的应用,但是其中会涉及到安全隐私问题,所以要对这些问题进行深入的研究与思考,找到相应的解决措施,从而有效地提高云计算的安全性,更好地解决存在的问题,推动我国社会的稳定发展,让云计算更好地为人们提供便利。
云计算环境下的信息安全问题
访问层应用接口层基础管理层 云计算环境下的信息安全问题 摘要:云计算是一种基于Internet 的新兴应用计算机技术,在信息行业的发展中占据着重要的位置,它为互联网用户提供了安全可靠地服务和计算能力。其信息安全问题不仅仅是云计算所要解决的首要问题,也是决定云计算的发展前景的关键性因素。本文主要对云计算的概述、云计算存在的安全风险及云计算信息安全进行了分析。 关键词:云计算;信息安全;网络 0 引言 云计算是一种商业计算模型,也是一种能便捷、按需、由网络接入到一个可定制的计算资源共享池的模式,它将计算任务分布在大量计算机构成的资源池上,使用户能够按需获取计算力、存储空间和信息服务,被看成是全球IT 产业革命中的第三次变革。用户可以动态申请部分资源,支持各种应用程序的运转,有利于提高效率、降低成本和技术创新。通过云计算技术,网络服务提供者可以在数秒之内,处理数以千万计甚至亿计的信息,达到和“超级计算机”同样强大的网络服务。云计算系统的建设目标是将原来运行在PC 上或单个服务器上独立的、个人化的运算转移到一个数量庞大的服务器“云”中,由这个云计算系统来负责处理用户的请求,并输出结果,它是一个以数据运算和处理为核心的系统。 1 云计算的概述 (1) 云计算的概念 狭义云计算是指IT 基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源。广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。按需部署是云计算的核心。要解决好按需部署,必须解决好资源的动态可重构、监控和自动化部署等,而这些又需要以虚拟化技术、高性能存储技术、处理器技术、高速互联网技术为基础。因此,云计算除了需要仔细研究其体系结构外,还要特别注意研究资源的动态可重构、自动化部署、资源监控、虚拟化技术、高性能存储技术、处理器技术等。 (2) 云计算体系架构 云计算的体系架构如图1所示,包括基础管理层、应用接口层及访问层。基础管理层解决计算资源的共享问题,应用接口层解决以何种方式对外提供服务,而访问层是采用云计算来解决一些实际问题。
网络信息安全-作业二 - 云计算安全的现状与发展趋势
云计算安全的现状与发展趋势 网络安全的概念与架构 什么是网络安全? 网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确 保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度” 的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个 人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保 护。而从企业的角度来说,最重要的就是内部信息上的安全加密以及保护。 网络安全的架构有哪些? 按照计算机网络系统体系结构,我们将安全保障体系分为7个层面: (1)实体安全 实体安全包含机房安全、设施安全、动力安全、等方面。其中,机房安全涉及到:场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁;设施安全如:设备可靠性、通讯线路安全性、辐射控制与防泄露等;动力包括电源、空调等。这几方面的检测优化实施过程按照国家相关标准和公安部颁发实体安全标准实施。 (2)平台安全 平台安全包括:操作系统漏洞检测与修复(Unix系统、Windows 系统、网络协议);网络基础设施漏洞检测与修复(路由器、交换机、防火墙);通用基础应用程序漏洞检测与修复(数据库、Web/ftp/mail/DNS/其它各种系统守护进程);网络安全产品部署(防
火墙、入侵检测、脆弱性扫描和防病毒产品);整体网络系统平台安全综合测试、模拟入侵与安全优化。 (3)数据安全 数据安全包括:介质与载体安全保护;数据访问控制(系统数据访问控制检查、标识与鉴别);数据完整性;数据可用性;数据监控和审计;数据存储与备份安全。 (4)通信安全 既通信及线路安全。为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化;安装网络加密设施;设置通信加密软件;设置身份鉴别机制;设置并测试安全通道;测试各项网络协议运行漏洞等方面。 (5)应用安全 应用安全包括:业务软件的程序安全性测试(bug分析);业务交往的防抵赖;业务资源的访问控制验证;业务实体的身份鉴别检测;业务现场的备份与恢复机制检查;业务数据的唯一性/一致性/防冲突检测;业务数据的保密性;业务系统的可靠性;业务系统的可用性。 (6)运行安全 以网络安全系统工程方法论为依据,为运行安全提供的实施措施有:应急处置机制和配套服务;网络系统安全性监测;网络安全产品运行监测;定期检查和评估;系统升级和补丁提供;跟踪最新安全漏洞及通报;灾难恢复机制与预防;系统改造管理;网络安全专业技术咨询服务。
云计算与信息安全
云计算与信息安全给信息安全提供了信息安全是当前计算机科学的一个研究热点;云计算是一个新的技术, 通过云计算用户以及云计算服介绍了云计算的基本概念、云计算的安全问题,挑战和机遇。务提供商两方面分析了云计算中确保信息安全的方法。论文关键词:云计算,网格计算,信息安全,云安全 0 引言 信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。 1 云计算简介 何为云(cloud)?云实际上就是互联网(Internet)的别称,其实是指分布在Internet中的形形色色的计算中心,包含成千上万甚至几十万、几百万台计算机或服务器。用户不再购买高性能的硬件,也不再购买或开发各种功能的软件,而是使用任何可上网的设备,连接'云' ,利用'云'提供的 软件或服务,直接在'云'上处理并存储数据。云计算的概念最早可以追溯到图灵奖得主Jone McCarthy 在60年代发表的观点:“计算有可能在未来成为一种公共设施。”进入21世纪后,SaaS (Software as a Service),软件服务的概念越来越广泛的应用于业界。随后,从2007年开始,云计算开始出现,包括Google、Amazon、IBM、Microsoft等业界的领袖企业都宣布了各自的与技术项目。 简言之网格计算,云计算( cloud computing)是一种基于Internet的计算。在云计算中,存储和运算将不再运行在本地计算机或服务器中,而是运行在分布于Internet上的大量计算机上,也就是说,云计算通过把原来由个人计算机和私有数据中心执行的任务转移给分布在Internet上由全体用户共享的大型计算中心来完成,实现了计算机硬件、软件等计算资源及对这些计算资源进行安装、配置与维护等服务资源的充分共享论文服务。 但是云计算远远不止这些。云计算目前的主要架构是基于一个新一代的数据中心,提供虚拟的计算和存储资源。而这些资源的消费和使用,可以按照事先规定的可以计量的标准进行收费。 2 云计算的安全问题 尽管很多研究机构认为云计算提供了最可靠、最安全的数据存储中心,但安全问题是云计算存在的主要问题之一。. 表面上看,云计算好像是安全的,但如果仔细分析, '云'对外部来讲其实是不透明的。云计算的服务提供商并没有对用户给出许多细节的具体说明,如其所在地、员工情况、所采用的技术以及运作方式等等。当计算服务是由一系列的服务商来提供(即计算服务可能被依次外包)时,每一家接受外包的服务商基本上是以不可见的方式为上一家服务商提供计算处理或数据存储的服务, 这样,每家服务商使用的技术其实是不可控的, 甚至有可能某家服务商会以用户未知的方式越权访问 用户数据。 总的说来, 由云计算带来的信息安全问题有以下几个方面:
信息安全技术网络安全等级保护云计算测评指引
ICS xx.xxx L xx 团体标准 T/ISEAA XXX-2019 信息安全技术 网络安全等级保护云计算测评指引 Information security technology— Testing and evaluation guideline of cloud computing for classified production of cybersecurity (征求意见稿) 20XX -XX-XX 发布20XX -XX-XX 实施 中关村信息安全测评联盟发布
目次 前言.............................................................................................................................................. II 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 4 概述 (2) 5 云计算等级测评实施 (3) 6 云计算等级测评问题分析 (7) 7 云计算等级测评结论分析 (8) 附录A 被测系统基本信息表(样例) (10) 附录B 云计算平台服务(样例) (12)
前言 为配合国家网络安全等级保护制度2.0全面推进,更好的指导等级测评机构在云计算环境下开展等级测评工作,加强、规范云计算安全等级测评工作的独立性、客观性、合规性及有效性,依据网络安全等级保护2.0相关系列标准,制定网络安全等级保护云计算安全等级测评指引,本指引遵从下列标准规范: —— GB/T 22239—2019 信息安全技术网络安全等级保护基本要求; —— GB/T 28448—2019 信息安全技术网络安全等级保护测评要求; —— GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南。 本标准由中关村信息安全联盟提出并归口。 本标准起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、阿里云计算有限公司、深信服科技股份有限公司、电力行业信息安全等级保护测评中心、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、中国金融电子化公司测评中心、交通运输信息安全中心有限公司、信息产业信息安全测评中心、公安部第一研究所、中国信息通信研究院、国家信息中心、教育部信息安全等级保护测评中心、国家计算机网络与信息安全管理中心、安徽省信息安全测评中心、广西网信信息安全等级保护测评有限公司、中国电信集团系统集成有限责任公司、成都市锐信安信息安全技术有限公司。 本标准主要起草人:张振峰、张志文、王睿超、伊玮珑、廖智杰、张乐、沈锡镛、陈立峰、陈妍、王理冬、冯伟、王建峰、祁志敏。
云计算的云数据安全与加密技术
云计算的云数据安全与加密技术 云计算、大数据等信息技术正在深刻改变着人们的思维、生产、生活和学习方式,并延深进入人们的日常生活。 伴随着社交媒体、电商、健康医疗、智能交通、电信运营、金融和智慧城市等各行业各领域的大数据的产生,大数据分析技术和应用研究使大数据呈现出不可限量的经济社会价值和科学研究意义,引起了国内外学术界和产业界的研究热潮,对此各国政府也高度重视并不断上升为国家战略高度。 数据信息在很多环节暴露出的大数据安全问题日益突出,成为了制约大数据应用发展的瓶颈。 今儿想聊聊云安全的云数据安全,毕竟云计算技术的发展导致大数据在收集、存储、共享、使用等过程面临的安全威胁愈演愈烈,大数据泄露的企业个人隐私信息给用户带来了巨大的损失。 加密和密钥管理 加密根本不是一项新技术,但在过去,加密的数据存储在服务器上,而服务器摆放在公司内部,公司直接控制着它们。 由于如今许多流行的业务应用程序托管在云端,企业主管们要么需要依赖合同条文来保护资产,选择一家让客户可以先加密数据,然后发送到云端以便存储或处理的云服务提供商,要么与软件即服务(SaaS)提供商合作,由对方管理其企业数据的加密和解密工作。 客户端加密方式 其实在客户端主要做的是数据的可见性,主要的安全问题还是放在服务端,毕竟所有的数据都是在服务端,服务端收到数据还会进行校验,还要看是否是重放攻击等; 而客户端要做的无非防止反编译和传输数据加密。
一般的都会做传输数据加密,有的公司app不存在敏感信息,就只用post get方式。 之前的加密是用的DES和RSA加密方式,先生成一个DESKey然后用RSA公钥加密DESKey,然后用DESKey加密数据,最后将加密后的数据和加密后的DESKey一同传输到后台; 后台先用RSA私钥解密DESKey,然后用解密后的DESKey解密数据。 这是整个加解密过程,但是因为后台解密速度达不到要求(后台解密压力太大,因为RSA 解密太耗时,客户端可能没什么感觉),所以进行了改进: 先和服务端交换DESKey(先将加密后的DESKey传输到后台),返回交换成功后,再将用DESKey加密的数据传输到后台。这样做服务端可以用传输间隙进行解密,适当的缓解服务端压力。 云服务端加密方式 内容感知加密和保格式加密是云计算的常用加密方法: 内容感知加密:在数据防泄露中使用,内容感知软件理解数据或格式,并基于策略设置加密,如在使用email将一个信用卡卡号发送给执法部门时会自动加密; 保格式加密: 加密一个消息后产生的结果仍像一个输入的消息,如一个16位信用卡卡号加密后仍是一个16位的数字,一个电话号码加密后仍像一个电话号码,一个英文单词加密后仍像一个英语单词. 云服务端加密服务是云上的加密解决方案。服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求。借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
云计算数据安全的防御措施.doc
云计算数据安全的防御措施 1云计算的概念 云计算技术是在分布式处理、并行计算和网络计算的基础上发展而来的新型计算技术。云计算的核心是将计算任务分布到大量的分布式计算服务器上,而不是在本地服务器上进行计算,也就极大的减轻了本地服务器的运行压力,即将计算与数据存储进行分离。在这个过程中提供云计算服务的企业负责的是计算任务在云计算服务器上的管理和维护,只要保证计算任务能够正常运行,并保证足够的计算数据存储空间,这样,用户就可以通过互联网进入到云计算服务中心访问数据,并对数据进行操作。 2云计算数据安全 云计算的安全层次由高到低可以分为身份和访问安全、数据安全、网络安全、存储安全、服务器安全和物理安全。其中数据安全是云计算的重要因素,这其中存在着用户对服务商的信任问题、数据安全的标准问题以及可以信任的第三方对其的制约。 2。1信任问题 因为数据和软件应用的管理和维护是外包的或者委托的,并不能被云计算服务商严格控制,所以,云计算时代的信任则依赖于云计算的部署构架。在传统部署架构中,是通过强制实施的安全法则来产生信任的,而在云计算时代,控制权在于拥有计算基础设施的一方。云可分为公有云和社区云。在公有云的部署过程中,因为服务商的可信任度成为考虑因素,为了降低危险,需要削弱基础设施拥有者的权限,这样能够强制实施一些有效的安全防护措施,减少安全隐患;而在私有云的部署过程中,因为私有云的基础设施是由私有组织来实施管理和操作,而其数据和应
用都是由私有组织来负责,也就不存在额外的安全隐患。云计算时代,使得数据边界安全的观点不在适用,因为在云计算的世界里,很难定位是什么人在什么位置获取了什么数据,所以传统的边界安全观点很难在云计算中实施。因此我们在处理一些涉及到安全漏洞的问题的时候,在云环境中,需要通过信任和密码学保证数据的机密性,保证数据的完整性,保证数据通讯的可靠性,也就是我们需要引入一个可信的第三方。这个第三方也就是代表客户对于特殊操作的可信任性,同时也能够保证整个操作过程中数据的安全性。被信任的第三方在数据信息系统中的作用是提供终端对终端的安全服务,这些安全服务是基于安全标准,且适用于不同的部分、地理位置和专业领域,还可以进行扩展。引入被信任的第三方可以有效降低因传统安全边界失效而产生的安全隐患,因为在实质上,第三方是是一个被用户委派的信任机构,其有责任和义务去解决在云环境中存在的安全问题。 2。2安全标准 我们要对一个信息系统进行安全维护,必然会遭遇到一些特殊的威胁和挑战,而这些问题都必须找到一个适当的解决方法。云计算由于其特殊的构架而在安全上存在着一些先天优势,如数据与程序的分割、冗余和高可用性等,一些传统的安全危机都因为云计算系统的基础设施的单一性而被有效解决,然而却有一些新的安全隐患产生。在考虑到云计算的一些独特特性,我们会对云计算的可用性和可靠性、数据集成、恢复,以及隐私和审记等诸多方面的评估。通常来说,安全问题与数据的机密性、完整性和可用性等重要方面息息相关,这些方面也成为设计安全系统时必须考虑的基本安全模块。所谓保密性,就是指只有授权的组织或系统能够对数据进行访问,非授权的个人或组织,不能够
云计算下的信息安全(含事例分析)
云计算下的信息安全(含事例分析)
从信息安全大事件分析云计算下信息安全 影响 本文从 Stuxnet 蠕虫病毒、CSDN 网站用户数据泄露心脏滴血三个事件分析 当今信息安全面临的一些问题。因笔者才疏学浅,仅从云计算一个角度,管中窥豹地 分析了网络安全对世界的影响。b5E2RGbCAP 一. 事件之 Stuxnet 蠕虫病毒 Stuxnet 及其变种是一种利用最新的 Windows Shell 漏洞传播恶意文件的蠕虫, 被多国安全专家形容为全球首个“超级工厂病毒”,又名“震网”,主要针对微软件 系统以及西门子工业系统。造成这个漏洞的原因是 Windows 错误地分析快捷方式,当 用户单击特制快捷方式的显示图标时可能执行恶意代码(文件带有.LNK 扩展名)。伊 朗第一座核电厂“不什尔电厂”已成为其攻击目标。p1EanqFDPw Stuxnet 蠕虫病毒最大的特点是打破恶意程序只攻击用户电脑的“惯例”,将攻 击目标偏向于用户的生活与生存环境上来。一旦用户的电脑不幸遭受 Stuxnet 蠕虫病 毒入侵,不但会使用户电脑变成任由其摆布的“肉鸡”,而且还会引发“多米诺骨牌 效应”,导致与受害用户联网的人群遭受同样攻击,显然大数据和云计算的策略加剧 了它的效果。DXDiTa9E3d 该病毒可通过伪装 RealTek 与 JMicron 两大公司的数字签名,从而顺利绕过安全 产品的检测。从编写手法上看,该病毒将来很可能出现 RTCrpUDGiT 同样原理的复杂病毒。Stuxnet 病毒还会不断的变种,其隐蔽性、攻击力度和破 坏程度会越来越强,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,
1 / 10
云计算及其数据安全浅析
云计算及其数据安全浅析 互联网大数据技术的进一步发展,使得云计算的普及度也随之提高,云计算在军、政、民用中的广泛使用为社会带来了极大地便利,同时也凸显出了各种安全问题。文章首先对云计算和安全问题进行了分析,然后深入探讨了数据安全问题,并针对不同的数据威胁提出了具有参考价值的可行性解决方案。 标签:云计算;数据安全;应用;浅析 引言 云计算是基于蓬勃发展的互联网技术提出来的,自从其诞生时起便受到了各领域的广泛关注和积极响应。国内外企业通过创建云计算数据中心,积极部署云业务,首先将这技术推及民用,而后政府部门在体验到云计算的便捷优势后,开始将政务要务部署在云上方便民众和工作人员通过互联网处理事务,来提高工作效率。 随着数据量爆炸式增长,利用云计算实现一系列搜寻、存储和处理功能成为现今数据业务的主要完成方法。然而云计算的缺点也不容忽视,基于开放互联网环境,在没有任何防护措施的情况下,进行数据存储、传输、处理等操作都容易产生安全隐患,为民众数据安全带来威胁。因此云计算下的数据安全研究意义重大。 1 云计算概念 云计算概念出现时间较短,定义并不统一,但是目前普遍接受的是NIST提出的概念[1],它清晰的划分了云计算和传统计算之间的差别,即按照用户需要提供服务、利用宽带接入实现网络互联互通、将多台主机通过虚拟化技术构成一个数据资源中心、建立分布式架构提供弹性服务并且可以量化服务,五种突出差别概括了云计算的主要特征。 云计算的实质是利用虚拟化技术,按照需要提供相应计算服务、基础设施和保障平台运行的核心技术。因此云计算主要提供的服务分为三方面: (1)以基础设施提供云服务(IaaS)。基础设施是数据中心最根本的构成,也是目前使用最为广泛的云服务。云计算提供商通过向用户或企业开放服务器使用权收取租赁费用,如亚马逊云中心、阿里云以及百度云等都为用户提供服务器以便于用户部署相关业务。 (2)以平台提供云服务(PaaS)。通过提供搭建好的软硬件平台,将用户的上层应用移植到云服务器上,以平台的方式当做提供的服务呈现给用户,开展用户需要的信息和数据访问等。
云计算与网络信息安全
2011.12 13 云计算与网络信息安全研究 任乐华 刘希玉 刘凤鸣 山东师范大学管理科学与工程学院 山东 250014 摘要:网络信息安全一直是IT 行业的一个热门话题和研究热点。云计算是一个新兴技术,给网络信息安全提供机遇的同时,也带来了很多挑战。本文介绍了云计算的基本概念和实现机制,并在此基础上分析了云计算与网络信息安全的关系。最后,针对云计算面临的网络信息安全的挑战,给出了几点建设性的提议并对云计算进行了展望。 关键词:云计算;信息安全;网络 0 引言 云计算(Cloud Computing)是在2007年第3季度才诞生的新名词,但仅仅过了半年多,其被关注度就超过了网格计算(Grid Computing)。很少有一种技术能够像“云计算”这样,在短短几年时间内就产生巨大的影响力。Google 、亚马逊、IBM 和微软等IT 巨头们以前所未有的速度和规模推动云计算技术和产品的普及。然而,对于到底什么是云计算,至少可以找到上百种解释,本文综合给出一种定义。云计算是一种商业计算模型,它将计算任务分布在大量计算机构成的资源池上,使用户能够按需获取计算力、存储空间和信息服务。云计算将计算资源集中起来,并通过专门软件实现自动管理,无需人为参与。用户可以动态申请部分资源,支持各种应用程序的运转,无需为繁琐的细节而烦恼,能够更加专注于自己的业务,有利于提高效率、降低成本和技术创新。 信息安全是云计算面临的首要问题。云计算意味着企业将把类似客户信息这类具有很高商业价值的数据存放到云计算服务提供商的手中,信息的安全性和私密性是用户最为关心的事情。对于严重依赖云计算的个人或企业用户,一旦服务提供商出现安全问题,他们存储在云中的数据可能会被长期遗忘在某个角落里甚至像石沉大海般消失得无影无踪。Google 等云计算服务提供商造成的数据丢失和泄露事件时有发生,这表明云计算的安全性和可靠性仍有待提高。 1 云计算平台实现机制 根据云计算物理资源层、资源池层、管理中间层和构建 层四层的技术体系结构,简述一下云计算平台的实线机制。如图1所示。 用户交互接口以Web Services 方式向应用提供访问接口,获取用户需求。服务目标是用户可以访问的服务清单。系统管理模块负责管理和分配所有可用的资源,其核心是负载均衡。配置工具负责在分配的节点上准备任务运行环境。监视统计模块负责监视节点的运行状态,并完成用户使用节点情况的统计。执行过程并不复杂,用户交互接口允许用户从目录中选取并调用一个服务,该请求传递给系统管理模块后,它将为用户分配恰当的资源,然后调用配置工具为用户准备运行环境。 图1 实现机制图 2 云计算与网络信息安全 无论从个人角度还是从商业层面上看,云计算的各种优点都为人们带来了非常广阔的应用前景。云计算平台拥有超
云计算环境下的信息安全探析
2011年10月刊 信息安全 信息与电脑 China Computer&Communication 云计算近些年来在我国已经被广泛应用。2008年IBM 在北京创立了第2家中国的云计算中心;2009年,我国首家云计算产业协会在深圳成立,云计算产业给深证信息产业带来了新的商机,同期中国云计算技术与产业联盟在北京成立;2010年上海公布云计算发展战略,上海将打造亚太地区的云计算中心……云计算在我国的广泛应用,必然会给企业带来一些机遇,但是同时,也带来了更大的安全问题。解决云计算的信息安全问题不仅仅是云计算所要解决的首要问题,同时也是决定云计算的发展前景的关键性因素。 1.云计算的概述 1.1 云计算定义 本文将云计算的概念分为狭义和广义之分。狭义云计算是指IT 基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源。广义云计算是指服务的交付和使用模 式,指通过网络以按需、易扩展的方式获得所需的服务。按需部署是云计算的核心。要解决好按需部署,必须解决好资源的动态可重构、监控和自动化部署等,而这些又需要以虚拟化技术、高性能存储技术、处理器技术、高速互联网技术为基础。所以云计算除了需要仔细研究其体系结构外,还要特别注意研究资源的动态可重构、自动化部署、资源监控、虚拟化技术、高性能存储技术、处理器技术等。 1.2 云计算体系架构 基础管理层、应用接口层以及访问层是云计算的体系架构从下到上的三个层次,如图1所示。由图1中可以看出,最下面一层就是解决计算资源的共享问题,第二层就是解决以何种方式对外提供服务,最上面一层就是采用云计算来解决一些实际问题。 图1 云计算体系架构图 1.3 云计算优点 云计算被广泛应用,必然其存在很多优点,具体表现在以下几个 方面:(1)部署容易、配置方便。各种用户都可以通过互联网进行访问;(2)可扩展性。云计算能够扩展到大规模的集群之上,甚至能够同时处理数千个节点;(3)可用性高。对于节点的错误,云计算是能够忍受的,甚至在多数节点发生失效后,也不会对程序的正确运行产生任何影响;(4)资源可以共享。互联网就可以实现资源共享,而此时的资源指的是软资源的共享,而并不是硬资源的共享。不管是软资源还是硬资源的共享,云计算都能实现;(5)使得开支减小。有专业云计算平台提供商对所有的管理和维护等进行保证。 1.4 云计算的应用形式 云计算的应用形式主要有软件服务(S a a S )、平台即服务(PaaS )、基础设施服务(IaaS )。(1)SaaS 。此应用形式是将应用软件统一部署在提供上的服务器上,应用软件服务需要用户根据自己的实际需求通过互联网向厂商订购,服务提供商根据客户所定软件的数量、时间的长短等因素收费,并且通过浏览器向客户提供软件的模式。这种服务模式的优势是,由服务提供商维护和管理软件、提供软件运行的硬件设施,用户只需拥有能够接入互联网的终端,即可随时随地使用软件;(2)PaaS 。这种应用形式提供开发环境当成一种服务来进行。这是一种分布式平台服务,厂商提供开发环境、服务器平台、硬件资源等服务给客户,用户在其平台基础上定制开发自己的应用程序并通过其服务器和互联网传递给其他客PaaS 能够给企业或个人提供研发的中间件平台,提供应用程序开发、数据库、应用服务器、试验、托管及应用服务。(3)IaaS 。这中应用程序即把厂商的由多台服务器组成的“云端”基础设施,作为计量服务提供给客户。它将内存、I/O 设备、存储和计算能力整合成一个虚拟的资源池为整个业界提供所需要的存储资源和虚拟化服务器等服务。这是一种托管型硬件方式,用户付费使用厂商的硬件设施。 2.云计算存在的安全风险 2008年,美国公司Gartner 发布了一份关于云计算安全风险分析,其中包括数据传输、数据存储、数据审计等。(1)数据传输安全。一般情况下,企业私密数据代表着企业的核心竞争力,而这些数据都存储在企业数据中心。在云计算模式下,通过网络企业将数据传递到云计算服务商中对其进行处理,在这个过程中存在以下问题:如何确保企业的数据在网络传输过程中不被窃取;如何保证云计算商在得到企业机密数据时不会将其泄露出去;在云计算服务商存储时,如何保 证访问用户经过严格的权限认证并且是合法的数据访问。(2)数据存储安全。数据存储是非常重要的一个环节。在云计算模式下,在高度整合的大容量存储空间上,云计算开辟出了一部分存储空间提供给 云计算环境下的信息安全探析 倪红彪 (吉林警察学院,吉林长春 130117) 摘 要:云计算是一个新兴的计算机应用技术,其在信息行业的发展中占据着重要位置,它为互联网用户提供了安全可靠的服务和计算能力。云计算的信息安全问题不仅仅是云计算所要解决的首要问题,同时也是决定云计算的发展前景的关键性因素。本文主要对云计算的概述、云计算存在的安全风险、云计算信息安全进行了分析。 关键词:云计算;信息安全;风险 中图分类号:TP309.2 文献标识码:A 文章编号:1003-9767(2011)10-0063-02