云计算环境下的信息安全探析
云计算环境下的信息安全策略研究
云计算环境下的信息安全策略研究随着云计算技术的发展,云计算环境正成为越来越多企业的重要应用平台。
但是,随之而来的安全问题也不容忽视。
在这样一个环境下,如何保证信息的安全性是云计算领域内的一个重要问题。
本文将从如何实现云计算环境下信息安全的角度进行探讨。
一、云计算环境下信息安全的挑战在云计算环境下,信息安全面临的挑战主要有以下几个方面:1. 数据隐私性:在云计算环境下,数据存储在云端,数据的隐私性难以得到保障。
云服务提供商拥有大量用户的数据,一旦攻击者成功入侵云端,就将获得大量用户的敏感信息。
2. 数据保密性:在云计算环境下,数据传输层次较多,数据的保密性需得到保障。
一旦数据在传输过程中泄密,将会造成严重的后果。
3. 数据一致性:在云计算环境下,数据存储在云端,存在多路径中增、删、改操作,如何保证数据的一致性是一个非常重要的问题。
4. 数据可用性:在云计算环境下,数据的可用性受到多种因素的影响,一旦云服务提供商发生宕机或故障,数据的可用性将会受到严重影响。
二、云计算环境下信息安全策略针对上述挑战,云计算环境下的信息安全策略应包括以下方面:1. 加强数据加密技术为了保障数据的隐私性和保密性,云计算环境下应当采取足够有效的加密技术,防止攻击者获取敏感信息。
常见的加密技术包括SSL、AES等,在此基础上,应进一步加强安全策略的执行。
2. 强化身份验证技术在云计算环境下,攻击者可能会以攻击云服务提供商或用户的账号密码的形式入侵系统,因此,加强身份认证技术是保证信息安全的关键。
多层身份验证技术和多因素身份验证技术可以大大提高身份认证的安全性,从而防止非授权登录。
3. 移动云安全策略由于移动设备在云计算环境下用户的便利性及行动效率显著提高,因此,移动云安全策略在信息安全的保障上起着至关重要的作用。
移动端设备安全控制包括App的下载安全、操作系统和移动应用程序的安全性等一系列措施,可以大大提高数据的安全性。
4. 网络监控技术云计算环境下的网络监控技术旨在防止恶意攻击,并及时响应。
云计算环境下的信息安全问题分析
云计算环境下的信息安全问题分析随着云计算技术的发展和普及,越来越多的企业和个人开始向云平台迁移他们的工作负载和数据存储。
随之而来的是信息安全问题。
云计算环境下的信息安全问题是当前亟待解决的难题之一。
本文将对云计算环境下的信息安全问题进行深入分析,探讨可能的解决方案。
云计算环境下的信息安全问题主要包括以下几个方面:1. 数据隐私问题:在云计算环境下,数据存储在云平台上,用户很难掌控其数据的安全。
一旦云平台出现数据泄露或者被非法获取,用户的隐私将遭受到侵犯。
2. 网络安全问题:云计算环境下,数据的传输和通信都是通过网络进行的,网络安全问题成为了云计算的一大挑战。
黑客可以通过网络入侵的方式获取数据,让用户的数据安全受到威胁。
3. 虚拟化安全问题:云计算环境下的虚拟化技术提供了资源的共享和复用,但是随之而来的是虚拟化安全问题,例如如何保证虚拟机的安全、虚拟网络的安全等。
4. 身份认证和访问控制问题:在云计算环境下,用户需要在不同的平台上进行反复的身份认证,如果身份被冒用或者访问控制机制不完善,那么就会造成严重的安全漏洞。
1. 加强数据加密:数据加密是保护数据安全的基础。
用户在将数据上传至云平台之前,需要对数据进行加密处理,确保数据在传输和存储过程中的安全性。
2. 完善访问控制机制:云平台需要建立健全的访问控制机制,包括身份认证、授权和审计等环节,确保非法用户无法访问到用户的数据。
3. 提高网络安全防护:企业需要加强对云计算环境下的网络安全防护措施,包括防火墙、入侵检测系统和安全监控系统等。
4. 完善虚拟化安全策略:针对虚拟化环境下的安全问题,企业需要建立完善的虚拟化安全策略,包括安全的虚拟机管理、网络隔离和安全审计等。
5. 加强安全意识培训:企业需要加强员工的安全意识培训,让员工了解云计算环境下的安全风险,并学会有效应对。
云计算环境下的信息安全问题分析
云计算环境下的信息安全问题分析云计算是指通过互联网将计算资源、存储资源和应用程序等服务提供给用户的一种方式。
随着云计算技术的快速发展,越来越多的企业和个人选择将自己的数据和应用程序部署在云平台上。
云计算环境下的信息安全问题也成为了人们关注的焦点。
本文将就云计算环境下的信息安全问题进行分析,并提出相关的解决方法。
一、数据隐私保护在云计算环境下,用户的数据被存储在云平台上,而云平台通常由多个用户共享,这就存在着数据被窃取和篡改的风险。
用户的数据隐私可能会面临泄露的风险,而这种泄露可能导致用户的个人隐私、企业的商业机密等重要信息的泄漏。
解决方法:对于云计算环境下的数据安全问题,一种解决方法是加强数据加密技术。
用户可以对自己的数据进行加密处理,然后再上传到云平台,这样就可以保护数据的隐私安全。
云平台服务商也需要加强数据的安全管理,包括建立严格的权限管理机制,对于用户的数据进行访问控制和监控。
二、身份认证和访问控制在云计算环境下,用户需要通过互联网来访问云平台,这就需要进行有效的身份认证和访问控制。
如果身份认证和访问控制不够严格,就可能导致未经授权用户获取到系统的访问权限,从而对系统进行恶意操作。
解决方法:对于云计算环境下的身份认证和访问控制问题,可以采用双因素认证等技术手段,提高用户的身份认证安全性。
在访问控制方面,可以采用基于角色的访问控制(RBAC)技术,对不同的用户分配不同的权限,从而降低系统被未经授权用户访问的风险。
三、虚拟化安全云计算环境下通常采用虚拟化技术来实现资源的动态分配和共享。
虚拟化技术虽然为用户提供了更灵活的资源管理方式,但也带来了一些安全隐患,比如虚拟机逃逸、虚拟机间的隔离等问题。
解决方法:针对虚拟化安全问题,需要加强对于虚拟化平台的监控和管理。
可以采用安全加固技术,对虚拟化平台进行安全加固,从而提高系统的安全性。
还可以采用网络与端点安全技术,对虚拟化平台进行全面的安全防护。
四、第三方服务安全在云计算环境下,用户需要使用到诸如云存储、云数据库等第三方服务。
云计算环境下的信息安全问题分析
云计算环境下的信息安全问题分析随着云计算技术的普及和成熟,越来越多的企业和个人开始将自己的信息和数据存储在云端。
云计算提供了高效的数据存储和处理方式,极大地方便了用户的日常生活和工作。
随之而来的是信息安全问题的提出和关注。
在云计算环境下,信息安全面临着更为复杂和严峻的挑战,本文将对云计算环境下的信息安全问题进行分析,并提出相应的解决方案。
一、数据隐私保护问题在云计算环境下,用户的数据被存储在云端的服务器上,而不再是传统的本地存储方式。
这就带来了数据隐私保护的问题。
一方面,云端服务器可能存在数据泄露的风险,一旦遭受到黑客攻击或者内部人员的恶意操作,用户的隐私数据就有可能被泄露。
作为云服务提供商的公司可能会收集用户的数据进行分析和营销,这就意味着用户的隐私可能会被侵犯。
针对这一问题,可以首先对云端服务器进行加密和访问控制,确保只有授权的用户才能访问和操作数据。
云服务提供商应该强化用户数据隐私保护意识,明确告知用户他们的数据将会被如何使用,避免未经授权的数据收集和使用行为。
二、数据完整性验证问题在云计算环境下,用户的数据通常被存储在多个服务器上,并且可能会经常被移动和备份。
这就带来了数据完整性验证的问题。
用户无法确保他们存储在云端的数据在传输和存储过程中没有被篡改或者损坏,这就给数据的可信度带来了挑战。
为了解决这一问题,可以采用数据完整性验证的技术,比如哈希值验证和数字签名等方式,确保在数据传输和存储过程中数据的完整性。
还可以加强云端服务器的安全性,防范黑客攻击和内部人员的恶意行为,确保数据不会被篡改或者损坏。
三、身份认证和访问控制问题在云计算环境下,用户的数据通常需要被多个用户或者多个应用程序访问和操作。
身份认证和访问控制就成为了一项至关重要的任务。
一旦用户的身份认证信息泄需,恶意攻击者就有可能冒充合法用户进行数据访问和操作。
而且,如果用户对访问控制的设置不当,也会给恶意攻击者可乘之机。
为了解决这一问题,可以采用多因素身份认证的方式,比如使用密码和动态口令相结合,提高身份认证的难度。
云计算环境下的信息安全问题分析
云计算环境下的信息安全问题分析随着云计算技术的快速发展和广泛应用,云计算环境下的信息安全问题也日益凸显。
云计算环境下的信息安全问题涉及到数据隐私保护、数据安全传输、网络安全等多个方面,需要各方共同关注和解决。
本文将对云计算环境下的信息安全问题进行分析,并就如何加强信息安全提出一些建议。
1. 数据隐私保护问题在云计算环境下,大量的个人信息、企业数据被存储在云端,数据的隐私保护成为了一个重要问题。
由于云计算服务都是由第三方提供的,数据的安全性和隐私性难以得到有效保障,一旦出现数据泄露,将给个人和企业造成不可估量的损失。
2. 数据安全传输问题在云计算环境下,数据的传输是不可避免的,而数据传输的安全性直接关系到数据的保密性和完整性。
一旦数据在传输过程中受到攻击或窃取,就会导致数据泄露、篡改等问题,给信息安全带来严重隐患。
3. 网络安全问题云计算环境下,大量的数据通过网络进行传输和存储,网络安全问题成为信息安全的一个主要难题。
网络攻击、黑客入侵、恶意软件等都可能给云计算环境带来严重威胁,使得信息安全面临严峻挑战。
二、加强云计算环境下的信息安全建议1. 加强数据加密技术在云计算环境下,加强数据加密技术是保护信息安全的重要手段。
通过对数据进行加密处理,可以有效防止数据被窃取或篡改,提高数据的保密性和完整性。
2. 加强访问控制加强访问控制是保护数据安全的重要手段,只有经过授权的用户才能够访问数据,可以有效防止未经授权的用户对数据进行访问和操作,降低数据泄露的风险。
3. 强化网络安全防护在云计算环境下,强化网络安全防护是保护信息安全的关键措施。
建立健全的防火墙、入侵检测系统等网络安全设施,加强对网络的监控和防护,有效防止网络攻击和黑客入侵。
4. 加强数据备份和恢复机制在云计算环境下,加强数据备份和恢复机制是保护信息安全的重要手段,一旦数据出现丢失或损坏,可以及时进行数据恢复,降低数据丢失的风险。
5. 定期进行安全审计和检测定期进行安全审计和检测是加强云计算环境下信息安全的有效手段,及时发现和解决安全隐患,提高系统的安全性和稳定性。
云计算网络环境下的信息安全问题研究
云计算网络环境下的信息安全问题研究1. 引言1.1 云计算网络环境下的信息安全问题研究云计算网络环境下的信息安全问题研究是当前互联网发展中的一个重要课题。
随着云计算技术的广泛应用,用户可以通过互联网轻松访问和利用数据,享受各种云服务带来的便利和效益。
然而,随之而来的是信息安全问题的不断凸显和困扰。
在云计算网络环境下,信息安全隐患层出不穷,涉及到数据隐私、身份认证、访问控制、数据加密等方面。
云计算网络环境下的信息安全挑战主要体现在数据安全、网络安全和系统安全等方面。
云计算的虚拟化特点使得各种攻击手段更为复杂和隐蔽,黑客可以通过漏洞利用、拒绝服务攻击、数据泄露等手段对云平台进行攻击,威胁用户数据的安全和完整性。
此外,云计算网络环境下的数据隐私保护、身份认证与访问控制、数据加密与传输安全等问题也是当前云计算信息安全研究的重点之一。
针对上述问题,本文将从云计算的定义与特点入手,深入探讨云计算网络环境下的信息安全挑战,并就数据隐私保护、身份认证与访问控制、数据加密与传输安全等方面提出相关解决方案和建议,以期为云计算网络环境下的信息安全问题研究提供参考和指导。
2. 正文2.1 云计算的定义与特点云计算是一种基于互联网的计算方式,通过将计算资源和服务进行集中管理和分配,用户可以通过网络随时随地访问和使用这些资源。
云计算的特点包括资源共享、按需服务、可伸缩性、高可靠性和虚拟化技术等。
云计算的资源共享是指用户可以共享同一份硬件资源,通过虚拟化技术实现资源的灵活分配和管理,提高资源利用率和降低成本。
云计算提供的按需服务允许用户根据需求动态调整计算资源,并根据实际使用情况付费,避免了资源的浪费。
云计算具有良好的可伸缩性,用户可根据业务需求快速扩展或缩减计算能力,保证系统的稳定性和性能。
云计算采用高可靠性的架构,通过数据备份、冗余和故障转移等技术保障数据安全和系统可用性。
云计算的定义与特点使其成为一种灵活、高效、可靠的计算模式,得到了广泛应用和推广。
云计算环境下的网络安全问题分析与解决方案
云计算环境下的网络安全问题分析与解决方案随着云计算的兴起和普及,越来越多的企业选择将他们的业务和数据迁移到云平台上。
然而,云计算环境中的网络安全问题也日益突出,对企业和个人的信息安全构成了严峻的挑战。
本文将对云计算环境中的网络安全问题进行分析,并给出一些解决方案。
一、云计算环境中的网络安全问题1. 数据隐私保护:在云计算中,用户的数据存储和处理往往是由云服务提供商负责的。
这就引发了一个重要的问题:用户的数据是否能够得到足够的隐私保护?由于云服务提供商需要处理大量的用户数据,数据隐私泄露的风险也相应增加。
2. 虚拟化安全问题:云计算中广泛使用虚拟化技术,这给网络安全带来了新的挑战。
虚拟化技术的不完善可能导致虚拟机隔离不严,恶意软件可以通过虚拟机逃逸攻击,使得攻击者能够访问其他虚拟机中的敏感数据。
3. DDOS攻击:分布式拒绝服务(DDOS)攻击是云计算环境中的一种常见攻击方法。
攻击者通过伪造大量的请求流量向目标系统发动攻击,以使系统瘫痪,导致服务不可用。
虽然云服务提供商通常会采取一些措施来缓解这种攻击,但DDOS攻击仍然是一个持续存在的威胁。
二、解决方案1. 加强数据隐私保护:用户在选择云服务提供商时应仔细评估其数据隐私保护措施。
确保云服务提供商采取了适当的加密手段来保护用户数据,并合规于相关隐私保护法律法规。
此外,用户也可以采用自己的加密措施,在云计算环境下进行数据的加密存储和传输。
2. 强化虚拟化安全:云计算环境中,虚拟机的安全性对整个系统的安全至关重要。
云服务提供商应采取必要的措施,确保虚拟机之间的隔离性,防止恶意虚拟机逃逸攻击。
此外,定期更新虚拟机和虚拟化软件的补丁,识别和解决虚拟机中可能存在的安全漏洞。
3. 抵御DDOS攻击:云服务提供商可以通过多层次的防御机制来应对DDOS攻击。
这些机制可以包括流量过滤、入侵检测系统(IDS)和入侵防御系统(IPS)等。
同时,利用云平台的可扩展性和弹性,可以快速增加服务器的数量以应对攻击流量的增长。
云计算下的信息安全
云计算下的信息安全随着科技的飞速发展,我们的生活和工作方式都发生了翻天覆地的变化。
其中,云计算技术的广泛应用,使得信息的获取、处理和存储方式也发生了根本性的改变。
然而,这种变革也带来了一系列信息安全问题。
本文将探讨云计算下的信息安全问题及其应对策略。
一、云计算下的信息安全挑战1、数据安全和隐私保护在云计算环境中,数据的安全和隐私保护是首要的挑战。
云计算用户的数据存储在云端,用户无法确定其数据何时被访问、被谁访问,这增加了数据泄露和滥用的风险。
如果云服务提供商没有足够的安全措施,黑客可能会利用这些漏洞窃取用户数据,给用户带来损失。
2、认证和授权问题在传统的IT环境中,企业和组织通常会使用内部开发的认证系统来管理用户访问权限。
然而,在云计算环境中,由于数据存储在云端,这种做法变得不可行。
因此,如何保证用户身份的真实性,以及如何合理地分配和撤销访问权限,成为了一个重要的问题。
3、DDOS攻击由于云计算服务通常通过Internet提供,这使得它们成为分布式拒绝服务(DDOS)攻击的常见目标。
这些攻击可以通过大量的请求流量,使云服务超负荷运行,从而导致合法用户无法访问他们的数据。
二、云计算下信息安全策略1、加强数据安全性和隐私保护为了加强数据安全性和隐私保护,云服务提供商需要采取严格的数据加密措施,包括在数据传输过程中使用SSL/TLS等加密协议,以及在数据存储时使用AES等加密算法。
提供商还需要定期进行安全审计和漏洞扫描,以发现并修复可能存在的安全漏洞。
2、建立全面的身份验证和授权机制为了解决认证和授权问题,云服务提供商需要建立全面的身份验证和授权机制。
例如,多因素身份验证可以提高用户身份的真实性;基于角色的访问控制(RBAC)可以合理地分配和撤销用户访问权限。
提供商还可以采用最新的加密技术,如区块链和零知识证明,来提高身份验证和授权的安全性。
3、防御DDOS攻击为了防御DDOS攻击,云服务提供商需要建立有效的防御机制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2011年10月刊信息安全信息与电脑China Computer&Communication云计算近些年来在我国已经被广泛应用。
2008年IBM 在北京创立了第2家中国的云计算中心;2009年,我国首家云计算产业协会在深圳成立,云计算产业给深证信息产业带来了新的商机,同期中国云计算技术与产业联盟在北京成立;2010年上海公布云计算发展战略,上海将打造亚太地区的云计算中心……云计算在我国的广泛应用,必然会给企业带来一些机遇,但是同时,也带来了更大的安全问题。
解决云计算的信息安全问题不仅仅是云计算所要解决的首要问题,同时也是决定云计算的发展前景的关键性因素。
1.云计算的概述1.1 云计算定义本文将云计算的概念分为狭义和广义之分。
狭义云计算是指IT 基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源。
广义云计算是指服务的交付和使用模 式,指通过网络以按需、易扩展的方式获得所需的服务。
按需部署是云计算的核心。
要解决好按需部署,必须解决好资源的动态可重构、监控和自动化部署等,而这些又需要以虚拟化技术、高性能存储技术、处理器技术、高速互联网技术为基础。
所以云计算除了需要仔细研究其体系结构外,还要特别注意研究资源的动态可重构、自动化部署、资源监控、虚拟化技术、高性能存储技术、处理器技术等。
1.2 云计算体系架构基础管理层、应用接口层以及访问层是云计算的体系架构从下到上的三个层次,如图1所示。
由图1中可以看出,最下面一层就是解决计算资源的共享问题,第二层就是解决以何种方式对外提供服务,最上面一层就是采用云计算来解决一些实际问题。
图1 云计算体系架构图1.3 云计算优点云计算被广泛应用,必然其存在很多优点,具体表现在以下几个方面:(1)部署容易、配置方便。
各种用户都可以通过互联网进行访问;(2)可扩展性。
云计算能够扩展到大规模的集群之上,甚至能够同时处理数千个节点;(3)可用性高。
对于节点的错误,云计算是能够忍受的,甚至在多数节点发生失效后,也不会对程序的正确运行产生任何影响;(4)资源可以共享。
互联网就可以实现资源共享,而此时的资源指的是软资源的共享,而并不是硬资源的共享。
不管是软资源还是硬资源的共享,云计算都能实现;(5)使得开支减小。
有专业云计算平台提供商对所有的管理和维护等进行保证。
1.4 云计算的应用形式云计算的应用形式主要有软件服务(S a a S )、平台即服务(PaaS )、基础设施服务(IaaS )。
(1)SaaS 。
此应用形式是将应用软件统一部署在提供上的服务器上,应用软件服务需要用户根据自己的实际需求通过互联网向厂商订购,服务提供商根据客户所定软件的数量、时间的长短等因素收费,并且通过浏览器向客户提供软件的模式。
这种服务模式的优势是,由服务提供商维护和管理软件、提供软件运行的硬件设施,用户只需拥有能够接入互联网的终端,即可随时随地使用软件;(2)PaaS 。
这种应用形式提供开发环境当成一种服务来进行。
这是一种分布式平台服务,厂商提供开发环境、服务器平台、硬件资源等服务给客户,用户在其平台基础上定制开发自己的应用程序并通过其服务器和互联网传递给其他客PaaS 能够给企业或个人提供研发的中间件平台,提供应用程序开发、数据库、应用服务器、试验、托管及应用服务。
(3)IaaS 。
这中应用程序即把厂商的由多台服务器组成的“云端”基础设施,作为计量服务提供给客户。
它将内存、I/O 设备、存储和计算能力整合成一个虚拟的资源池为整个业界提供所需要的存储资源和虚拟化服务器等服务。
这是一种托管型硬件方式,用户付费使用厂商的硬件设施。
2.云计算存在的安全风险2008年,美国公司Gartner 发布了一份关于云计算安全风险分析,其中包括数据传输、数据存储、数据审计等。
(1)数据传输安全。
一般情况下,企业私密数据代表着企业的核心竞争力,而这些数据都存储在企业数据中心。
在云计算模式下,通过网络企业将数据传递到云计算服务商中对其进行处理,在这个过程中存在以下问题:如何确保企业的数据在网络传输过程中不被窃取;如何保证云计算商在得到企业机密数据时不会将其泄露出去;在云计算服务商存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问。
(2)数据存储安全。
数据存储是非常重要的一个环节。
在云计算模式下,在高度整合的大容量存储空间上,云计算开辟出了一部分存储空间提供给云计算环境下的信息安全探析倪红彪(吉林警察学院,吉林长春 130117)摘 要:云计算是一个新兴的计算机应用技术,其在信息行业的发展中占据着重要位置,它为互联网用户提供了安全可靠的服务和计算能力。
云计算的信息安全问题不仅仅是云计算所要解决的首要问题,同时也是决定云计算的发展前景的关键性因素。
本文主要对云计算的概述、云计算存在的安全风险、云计算信息安全进行了分析。
关键词:云计算;信息安全;风险中图分类号:TP309.2 文献标识码:A 文章编号:1003-9767(2011)10-0063-022011年10月刊信息安全信息与电脑China Computer&Communication企业应用。
但是对于数据具体的存放位置,客户根本就不了解;云计算服务商在存储资源所在国是否会存在信息安全问题;在这种严格的加密形式下,存储的数据之间是否能够保证优先的隔离;如果用户了解了数据的具体存放位置,也必须要求服务商对数据进行备份,从而使得重大事故得以防止;(3)数据审计安全。
企业进行内部数据管理时,为了保证数据的准确性往往会引入第三方的认证机构进行审计或是认证。
但是在云计算环境下。
云计算服务商如何存确保不对其他企业的数据计算带来风险的同时,又提供必要的信息支持.以便协助第三方机构对数据的产生进行安全性和准确性的审计,实现企业的合规性要求;另外,企业对云计算服务商的可持续性发展进行认证的过程中,如何确保云计算服务商既能提供自.效的数据。
又不损害其他已有客户的利益,使得企业能够选择一家可以长期存在的、有技术实力的云计箅服务商进行业务交付,也是安全方面的潜存风险。
3. 云计算信息安全3.1 系统软件安全与用户隐私保护软件系统安全仍然是一个挑战性难题。
在云计算环境下,如果所使用的商业操作系统不是安全操作系统,那么系统管理员拥有过高的权限,一旦这些权限失控,获得这些权限的人都可以访问用户的个人信息。
因此,将会直接影响到用户的个人数据隐私。
同时,与传统计算模式不同的是,云计算利用虚拟计算技术,用户个人数据可能分散在各个虚拟的数据中心,而不是在同一个物理位置,也许跨越国境,此时,数据隐私保护面临不同法律体系争议。
另一方面,用户在使用云计算服务时候,有可能泄露用户隐藏信息。
攻击者可以根据用户提交的计算任务,分析透露用户的关键任务。
目前,一些研究人员在探讨利用加密技术保护用户隐私。
3.2 软件可靠性与服务可持续性运行同传统计算模式安全风险相同,云计算仍然需要解决服务可靠性问题,但不同的是,在云计算形式下,用户对服务提供者依赖性更高,云计算的服务由各种软件模块或者各种Web Services 来集成实现,一旦软件安全事件出现将会产生巨大的影响。
例如,云计算服务者系统软件漏洞被利用,造成攻击者可以进行拒绝服务攻击,用户将无法远程访问到云服务。
3.3 服务协议符合性与软件服务可信证明在云计算下,有可能存在一些恶意的服务者,这些服务者所提供的服务内容不一定能够满足服务协议。
例如,,数据拥有者Alice 将数据库外包给Bob ,但Bob 不是恶意服务者,Bob 只选择性执行Alice 查询任务,或者说,给Alice 查询服务结果不完整。
3.4 虚拟计算平台安全与云计算服务可信云计算服务可信性依赖于计算平台的安全性。
目前,服务者通过新型的虚拟计算(Virtual Computing)技术来实现云计算模式。
在云计算下,服务者利用XEN 、VMWare 等技术,将一台高性能的物理机器运行多个虚拟机(VM )以满足用户的需求。
例如,Amazon 以在线书店和电子零售业起家,如今已在业界享有盛誉。
它最新的业务却与云计算有关。
两年多以前,亚马逊作为首批进军云计算新兴市场的厂商之一,为尝试进入该领域的企业开创了良好的开端。
Amazon 公司的EC2。
这种计算组织形式,可以让不同虚拟机运行互不干扰,但是前提是虚拟机的管理控制软件Hypervisor 是可信的,而且由于各虚拟机共享物理内存,用户的机密数据有可能通过内存泄漏,或者黑客利用VM 进行拒绝服务攻击。
同时,潜在带来安全的问题是,黑客可能租用“虚拟机”来攻击云计算平台。
因此,云计算服务可信性,必须解决虚拟计算平台软件的安全,特别是虚拟机管理软件Hypervisor 。
3.5 应用虚拟映像与软件安全管理与传统的软件发布模式不同的是,在云计算环境下,软件开发商通过将应用软件预安装,同操作系统打包形成不同类型的虚拟机文件格式V A(virtual appliances)。
用户即可以在Hypervisor 支持下,自行运行VA ,或者通过租用云计算服务提供者的计算机运行。
虽然这种软件部署模式对终端用户简单,但是软件安全维护将会变得复杂,目前漏洞和补丁管理系统尚不支持对VA 有效管理。
通常VA 文件比较大,用户使用传统杀毒方式,检测速度比较缓慢。
同时,VA 实际上是一台虚拟机,只是未运行,但是如何测试VA 安全配置将是一个软件安全管理难题。
3.6 基于VM 恶意代码与病毒检测软件变革随着各种应用VM Image 文件发布而传播,恶意代码有可能伪装一个特殊的VM 。
当用户运行VM 时候,就激活恶意代码VM ,但是传统的计算机病毒检测软件无法监测到,因为恶意代码和现有杀毒软件不在同一台计算机。
给出一个利用VMM 技术构造的恶意代码SubVirt 。
3.7 虚拟机与僵尸网络僵尸网络控制者可能利用云计算资源,将僵尸代码以虚拟机形式传播,这些僵尸代码虚拟机运行在受害用户的计算机中,用户难以察觉。
同时,僵尸网络控制者还可能利用租用的虚拟机隐藏自己的真实身份。
3.8 虚拟计算与网络内容安全在云计算环境下,有害信息网站利用虚拟计算技术,将信息隐藏在虚拟机中,然后发布,这些基于虚拟机网站部署简单,可以随时动态运行,传统网络内容安全机制有可能无法察觉。
3.9 云计算与网络安全控制黑客有可能利用云计算开放环境,匿名租用各种虚拟机,然后发起各种攻击。
例如,黑客可以租用虚拟机,绕开网络安全机制(如防火墙)。
总而言之,在云计算环境下,无论是对云服务用户而言,还是对云服务提供商而言,第一大问题都是信息安全问题。
本文对云计算环境下的信息安全问题从系统软件安全与用户隐私保护、软件可靠性与服务可持续性运行、服务协议符合性与软件服务可信证明、虚拟计算平台安全与云计算服务可信、应用虚拟映像与软件安全管理、基于VM 恶意代码与病毒检测软件变革、虚拟机与僵尸网络、虚拟计算与网络内容安全、云计算与网络安全控制、网络犯罪与计算机取证这十个方面进行了分析,为云计算环境下提供了高安全性的方法。