云计算及安全性分析
云计算安全性能分析与评估
云计算安全性能分析与评估近年来,随着云计算技术的快速发展和广泛应用,越来越多的组织和企业选择将业务系统和数据存储在云平台上。
然而,在享受云计算带来的高效、灵活和便捷的同时,云计算安全问题也越来越受到关注。
为了确保云计算平台的安全性能,本文将对云计算的安全性能进行分析与评估。
一、云计算的安全性问题1. 虚拟化层的安全问题:云计算平台的基础是虚拟化技术,虚拟化层的安全问题会直接影响整个云平台的安全性。
如何保护虚拟化层免受恶意攻击和非法利用,是云计算平台安全性的重要问题之一。
2. 数据安全问题:云计算将数据存储在远程服务器上,这些服务器可能由其他用户共用,安全问题会更加复杂。
如何确保数据在传输、存储和处理过程中的机密性、完整性和可用性,是云计算平台安全性的重要问题之一。
3. 身份认证和访问控制问题:在云计算平台上,用户通过虚拟化技术访问服务器资源和应用程序。
如何确保用户合法身份认证,并控制用户对资源和应用程序的访问,是云计算平台安全性的重要问题之一。
二、云计算的安全性评估为确保云计算平台的安全性,需要对云计算平台的安全性能进行评估。
下面,本文将从以下三个方面对云计算平台的安全性能进行评估。
1. 基础设施安全性评估:基础设施是云计算平台的基础,其安全性能对整个云计算平台的安全性影响重大。
基础设施安全性评估的内容主要包括硬件安全性、网络安全性、虚拟化安全性、操作系统安全性等。
其中,硬件安全性评估要求对云平台的硬件设备进行详细的检查和测试,以保证服务器硬件的可靠性和安全性;网络安全性评估要求对网络拓扑结构、网络设备和数据传输通道进行测试,以保证网络安全可靠;虚拟化安全性评估要求对虚拟环境进行测试,以保证虚拟化技术的安全性和稳定性;操作系统安全性评估要求对操作系统进行评估,以发现可能存在的漏洞和缺陷。
2. 数据安全性评估:数据安全性评估是对云计算平台存储和处理数据所涉及的机密性、完整性和可用性进行评估。
数据安全性评估的内容主要包括存储安全性、传输安全性和处理安全性。
云计算安全隐患分析
云计算安全隐患分析云计算作为一种新兴的信息技术,已经广泛应用于各个领域,为企业和个人提供了便利和高效的服务。
然而,在云计算普及的背后,也存在着一些安全隐患。
本文将对云计算安全隐患进行分析,并提出相应的解决方案。
一、数据隐私泄露风险在云计算环境下,用户的数据存储在云服务提供商的服务器上,而不再存储在本地设备上。
这种集中式存储的方式可能会导致数据隐私泄露的风险。
云服务提供商可能会利用用户的数据进行商业用途或不当传播,给用户的隐私带来威胁。
解决方案:1.选择可信赖的云服务提供商,对其隐私政策和安全措施进行全面了解。
2.采取数据加密措施,确保用户数据在传输和存储过程中都得到保护。
二、虚拟化技术漏洞云计算的核心技术之一是虚拟化技术,它可以将一台物理服务器划分为多个虚拟机,每个虚拟机可以独立运行一个操作系统和应用程序。
然而,虚拟化技术本身存在一些漏洞,可能导致虚拟机之间的互相攻击,甚至窃取主机或其他虚拟机的数据。
解决方案:1.及时进行安全补丁和更新,修复虚拟化平台中的漏洞。
2.合理设置虚拟机的访问权限和网络隔离机制,防止虚拟机之间的攻击。
三、数据备份与恢复问题在云计算环境下,用户的数据通常会备份到多个服务器,并且云服务提供商会定期对数据进行备份。
然而,若云服务提供商的备份策略不当或备份过程中发生故障,可能会导致数据丢失或无法及时恢复的问题。
解决方案:1.选择提供及时且可靠数据备份服务的云服务提供商。
2.用户也应自行对重要数据进行备份,以防止由于云服务提供商的原因造成数据丢失。
四、身份认证与访问控制不当云计算环境下,用户需要通过身份认证才能获得访问云服务的权限。
若身份认证和访问控制措施不严格,恶意攻击者有可能冒充合法用户,获取非法访问权限,并对云服务进行破坏或数据篡改。
解决方案:1.采用多层次的身份认证机制,如用户账号和密码、短信验证码、指纹识别等,确保身份信息的安全性。
2.建立完善的访问控制策略,根据用户角色和权限设置合理的访问权限。
云计算安全性研究及防范措施分析
云计算安全性研究及防范措施分析随着大数据时代的到来,人们对于数据的存储、处理和分析需求越来越多,云计算逐渐成为了一种最优的解决方案。
然而随着其应用的不断扩大,云计算安全性问题也受到了广泛关注。
本文将从云计算的安全性研究入手,探讨云计算安全性问题及防范措施。
一、云计算安全性研究现状云计算的安全性问题主要体现在以下几个方面:首先,云计算涉及的数据涉密性问题。
在云计算过程中,用户的数据将通过网络等不安全的环境进行传输,数据泄露可能是暴露客户数据最容易发生问题之一;其次,云计算中的数据存储涉及数据完整性和可用性的问题。
由于云计算环境中的众多用户,安全备份和恢复操作是不容忽视的,因为在一个不存在可靠性需求和自身安全性保护机制的云计算系统中,挂起操作可能导致严重的数据丢失;另外,云计算的操作系统和网络平台也面临着许多不同类型和不同级别的威胁。
加之云计算环境的复杂性和规模性,这些安全挑战在实战中可能更为复杂和难以控制。
针对云计算安全性问题,研究人员近年来已经提出了大量的研究方案,并且大多数都是关于如何增强云计算的加密技术追求可以在运行时提供可靠的身份验证和访问控制,来防范恶意程序和不当行为。
二、云计算安全性问题及解决方案1.数据加密数据加密是防止数据泄露最有效的方法之一。
如果有人试图窃取加密的数据,则容易识别存储在外部空间中的数据应该是未解密的,从而提高数据的保密性和安全性。
同时,加密技术只允许经过身份验证的用户解密数据,确保数据的完整性和可用性。
因此,在云计算环境中广泛使用加密技术来保护数据的安全性。
2.访问控制访问控制可防止未经授权的用户对数据进行访问和修改。
为了实现安全保护,可以通过精细的访问控制和独立的分离安全控制器来增强系统安全性,如使用RBAC和ABAC等访问控制模型,强化审计策略,提高审计的实效性和可追溯性。
3.虚拟化云计算虚拟化技术是云安全保护的重要切入点。
针对云安全问题,可以采用虚拟化技术和安全服务来改进安全性,如搭建强应用保护机制,检测根属性、加密链接、安全备份和恢复等手段。
云计算安全性评估研究报告
云计算安全性评估研究报告随着云计算在各个领域的广泛应用,云计算的安全性问题备受关注。
本文将对云计算的安全性进行评估研究,并提出相应的解决方案,以保障云计算环境的信息安全。
一、引言随着信息技术的不断发展和进步,云计算作为一种新兴的计算模式,提供了强大的计算能力和存储资源。
然而,云计算的安全性问题也倍受关注。
云计算的特点使其面临着许多安全威胁,例如数据泄露、虚拟化攻击、身份认证问题等。
因此,对云计算安全性进行评估和研究,具有重要的实际意义。
二、云计算安全性评估方法为了评估云计算的安全性,我们可以采用以下几种方法:1.安全性需求分析:通过对云计算系统的需求进行分析,确定安全性需求,包括对数据的机密性、完整性和可用性的要求等。
2.威胁建模:通过建立威胁模型,确定云计算系统所面临的各类安全威胁,包括恶意攻击、数据泄露、身份认证等。
3.风险评估:通过对云计算系统的风险进行评估,确定可能的安全风险,并进行风险等级划分和优先级排序。
4.安全控制策略:根据评估结果,制定相应的安全控制策略,包括访问控制、数据加密、安全监测等措施,以降低风险并提高安全性。
三、云计算安全性评估工具在云计算安全性评估过程中,使用合适的工具可以提高评估的效率和准确性。
以下介绍几种常用的云计算安全性评估工具:1.风险评估工具:包括安全风险评估和漏洞扫描工具,可以帮助评估云计算系统的安全风险,并及时发现漏洞。
2.日志分析工具:用于对云计算环境中的日志进行分析和监测,以发现潜在的安全威胁和异常行为。
3.安全监测工具:用于实时监测云计算系统的安全状态,包括网络流量监测、入侵检测等。
四、云计算安全性解决方案为了提高云计算的安全性,我们可以采取以下解决方案:1.数据加密:对于敏感信息,采用合适的加密算法进行加密,在数据传输和存储过程中保护数据的机密性。
2.访问控制:建立完善的访问控制机制,限制用户的访问权限,避免非法用户对云计算系统的操作和访问。
3.身份认证:采用多层次的身份认证机制,包括密码认证、生物特征识别等,确保只有授权用户才能访问云计算系统。
云计算技术在金融行业的应用及其安全性分析
云计算技术在金融行业的应用及其安全性分析一、引言近年来,云计算技术的发展及应用已经成为金融行业关注的焦点。
云计算技术通过在云端部署服务,为金融机构提供更高效、更便利的操作和管理,节省了大量本地设备和人员成本,打破了传统金融机构之间的竞争局面。
本文将从金融行业的业务特点出发,介绍云计算技术在金融行业的应用,并从安全角度探讨云计算技术在金融行业的安全性。
二、金融行业的业务特点及对云计算技术的需求金融行业的业务特点具有高效、迅速的特征,这要求金融机构需要保持高效、快速、可靠,同时兼顾数据安全性。
尤其在当今金融市场活动频繁,交易瞬息万变,对信息的实时性要求非常高,这些都成为了金融机构引入云计算的主要动因。
1. 设备更新和维护成本的负担传统金融机构的业务架构需要维护大量的物理设备,而这些设备可能会发生故障或者需要更新,且在数据中心中要占据不少的面积成本。
作为应对之策,金融机构引入云计算技术,将数据和服务部署到云端,节约设备的更新和维护成本。
2. 大型金融交易的高可扩展性要求金融行业的交易涉及到海量数据和高并发的处理能力,传统单机方式往往存在性能瓶颈。
而云计算通过可扩展的性能,可以更好满足金融行业在业务高峰期的需求。
3. 金融数据的多级保护要求金融行业对数据安全性要求非常高,传统金融机构需要建立多级防护机制。
而云计算在数据保护方面也有其独特性,可以通过多层次的安全控制,为用户数据提供更好的保护。
三、云计算技术在金融行业的应用金融行业的应用场景非常广泛,这里先介绍云计算在一些主流金融应用中的使用情况。
1. 云存储金融机构需要存储海量的交易数据和客户数据,传统方式往往需要大量的设备和空间成本。
而基于云计算技术中的云存储技术,可以将数据存储在远程服务器上,实现数据的长期备份,节约成本,并且通过数据中心本地备份,保证金融数据的安全性。
2. 云计算数据分析金融机构需要处理的数据量非常庞大,这也注定了传统数据处理方式的低效性。
云计算环境下的安全性与隐私保护
云计算环境下的安全性与隐私保护在当今数字化的时代,云计算已经成为企业和个人存储、处理和访问数据的重要方式。
然而,随着云计算的广泛应用,安全性与隐私保护问题日益凸显。
理解和解决这些问题对于充分发挥云计算的优势,同时保护用户的利益至关重要。
云计算环境下的安全威胁多种多样。
首先是数据泄露的风险。
在云计算中,大量的数据被存储在云端服务器上,如果云服务提供商的安全措施不到位,或者遭遇黑客攻击,用户的数据就有可能被窃取或泄露。
这些数据可能包括个人身份信息、财务数据、商业机密等,一旦泄露,将给用户带来巨大的损失。
其次,云计算中的访问控制也是一个关键问题。
如果访问权限设置不当,未经授权的用户可能能够访问到敏感数据。
这可能是由于身份验证机制存在漏洞,或者授权管理不够精细导致的。
另外,云计算服务的可用性也面临着威胁。
例如,分布式拒绝服务攻击(DDoS)可能会使云服务瘫痪,导致用户无法正常访问和使用其数据和服务。
再者,云计算中的数据存储和传输过程也存在安全隐患。
数据在传输过程中如果没有进行加密处理,就有可能被拦截和篡改。
而且,云服务提供商的数据中心可能会发生物理故障,如火灾、水灾等,导致数据丢失。
为了应对这些安全威胁,采取一系列的安全措施是必不可少的。
数据加密是一种常见且有效的方法。
通过对数据进行加密,即使数据被窃取,黑客也无法轻易解读其中的内容。
此外,强身份验证和授权管理机制能够确保只有合法的用户能够访问相应的数据。
多因素身份验证,如结合密码、指纹、短信验证码等方式,可以大大提高身份验证的安全性。
同时,定期进行安全审计和风险评估,能够及时发现潜在的安全漏洞,并采取措施加以修复。
云服务提供商在保障云计算安全方面承担着重要的责任。
他们需要建立强大的安全基础设施,包括防火墙、入侵检测系统、防病毒软件等。
同时,要对数据中心进行严格的物理安全管理,确保服务器和存储设备的安全。
此外,云服务提供商还应该具备应急响应能力,在发生安全事件时能够迅速采取措施,减少损失,并及时通知用户。
云计算的安全性
云计算的安全性一直是企业和个人担忧的问题之一。
在互联网普及的今天,越来越多的人们将自己的数据存储在云端。
不过,随之而来的是对云计算安全性的担忧。
本文将从云计算的定义、特点以及安全性等方面来探讨问题。
一、云计算的定义和特点云计算(cloud computing)是一种计算方式,它利用网络连接远程服务器的计算和存储资源,以达到共享资源、简化部署、降低成本的目的。
与传统的本地计算不同,云计算强调了数据的共享、虚拟化和可扩展性。
云计算还具有以下三个特点:1. 资源共享:云计算通过共享服务器、存储和网络资源,实现大型数据中心的资源高效分配,大大提高了硬件利用率,也降低了使用成本。
2. 灵活性:用户可以根据自己的需求来使用云计算的各项服务,能够随时扩展或缩小计算资源。
3. 可扩展性:云计算的服务可以随着业务的发展而不断扩大,可以根据不同业务需求快速地增加或减少计算资源。
二、问题随着互联网时代的到来,人们越来越愿意将自己的数据存储在云端。
然而,云计算的数据存储和计算与传统本地计算有所不同,也带来了一系列的安全隐患。
以下是常见的云计算安全性问题:1. 数据隐私:云计算中的数据存储在云端,存储和处理数据的服务商(如亚马逊、谷歌等)可以访问用户的数据,这就在一定程度上侵犯了用户的隐私。
2. 数据丢失:由于云计算服务经常面对大量的用户,服务商有可能会出现失误,导致用户数据丢失,尤其是在备份和恢复数据时,这一问题会更加突出。
3. 虚拟机安全性:虚拟机是云计算的一项基本技术,但虚拟机的安全性也是云计算面临的一大难题。
虚拟机中可能会存在漏洞,这会导致攻击者获取到云计算中的数据信息。
4. 安全管理:使用云计算服务的用户需要充分了解云计算的安全风险,管理用户账户,设置口令,以及管理数据的安全性,这些都需要得到用户高度的重视。
三、如何保证1. 针对数据隐私问题,一方面需要完善法律法规的规范,对云计算提供的数据隐私保护提供更为明确的规定;另一方面,服务商有责任保护用户的隐私,并要求服务商对涉密信息提供更加严格的管理和控制。
云计算安全性与风险分析
云计算安全性与风险分析随着信息化时代的来临,互联网已经成为人们日常生活的必备神器,而云计算则成为了企业和个人在信息化进程中的重要一环。
但是,在享受云计算带来的便利的同时,也不得不关注与之伴随而来的风险与安全问题。
一、云计算的基本概念云计算是一个广义的概念,它既可以指代一种计算模式,也可以指代一种商业模式,甚至可以指代一类技术。
简单的说,云计算是基于互联网的一种计算模式,它将计算资源(包括硬件和软件)从本地转移到网络中,通过虚拟化技术将多个物理资源组合成一个逻辑资源,以达到高效利用资源的目的。
在云计算中,用户基于自己的需求,通过网络向云提供商租借计算资源,而云提供商则根据用户的需求提供相应的计算服务。
这种计算模式大大降低了用户的成本,提高了效率,也使得大规模分布式计算成为了可能。
二、云计算的安全风险然而,随着云计算的普及,云安全问题也逐渐暴露出来。
由于大量的用户和数据同时存在于同一个服务器上,云计算很容易成为攻击者的攻击目标,而云提供商也难以为每一个用户提供完美的保障。
其中,最重要的安全问题就是数据安全问题。
在云计算中,用户数据存储在云上,而云提供商也需要通过网络传输数据,因此数据被攻击的风险也随之增加。
此外,在云计算中,用户所使用的软件也可能存在漏洞,使得攻击者通过这些漏洞获取用户的敏感数据。
除了数据安全问题,云计算还存在着助长黑客行为的问题。
由于云计算对于计算资源的高效利用,一旦黑客攻入云环境,就能够利用云的高速网络连接来轻松地攻陷其他网站或者企业的网络环境。
而巨额数据量使得黑客们容易找到一些潜在的漏洞,同时攻击者也可以借助云计算来进行庞大的DDoS攻击。
三、云计算安全风险分析为了规避云计算的安全风险,我们要对这些风险进行充分的分析,并采取相应的措施来减少风险。
首先,我们需要明确云计算中的安全问题,需加强对数据的保护,采用加密技术保证数据的安全,同时进行用户身份认证和授权管理。
其次,加强对云服务提供商的审查和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云计算及安全性分析摘要:云计算是一种基于互联网的新兴的超级计算模式,该文在业界多种关于云计算定义的基础上,分析了云计算的特点给出了云计算概念。
在此基础上,介绍了Gartner提出的七大安全风险中的数据位置、数据隔离和数据恢复三大风险,分析了云计算的安全。
最后给出了云计算未来的发展方向。
关键词:云计算;概念;特点;安全The Concept of Cloud Computing and Security AnalysisCHEN Zhen-zhen(School of Computer Science and Technology, China University of Mining and Technology, Xuzhou 221116, China)Abstract: Cloud computing is an emerging Internet-based super-computing model. This paper analyzed the characteristics of cloud computing and gave the concept of cloud computing on the basis of a variety of its definitions in the industry. On this basis, introduced data location, data isolation and data recovery of seven security risks proposed by Gartner, analyzed the security of cloud computing. Finally, gave the future direction of cloud computing.Key words: cloud computing; concept; characteristic; security云计算代表了信息时代的未来,是个热度很高的新名词,越来越被人们所关注。
但是云计算并不是瞬间横空出世的全新技术,它是分布式计算、并行计算和网格计算混合演进的结果,它描述了一种可以通过互联网进行访问的扩展应用程序,是在实际应用需求中应运而生的。
众多知名IT企业是云计算的先行者,它们纷纷推出云计算基础设施或云计算平台,如Sun的云基础设施,IBM的“蓝云”计算平台,Google的云计算基础设施,微软的Azure云平台,Amazon 的弹性云计算。
同时学术界也纷纷对云计算进行研究,其实,在云计算的概念提出之前学术界已经得出针对云计算方便用户使用方面的研究成果,例如远在云计算提出之前我国计算机研究人员已有透明计算的构思[1]。
在各大IT企业及学术界的共同推动下,并随着网络软件的改进和网络速度的提高,云计算发展极为迅速,能够完成的任务越来越多,IDC预测在未来的15-20年内云计算将成为影响整个IT行业的关键性因素。
当云计算成为各大公司竞相追逐的对象的时候,首先亚马逊S3服务中断,接着Google公司误将用户的部分在线文档进行共享,这些事故让多数业内人士和用户对云计算的安全提出了质疑。
国际数据公司IDC的高级副总裁兼主要分析师Frank Gens指出目前云计算的安全是用户最关心的问题。
美国知名市场研究公司Gartner于2008年6月发布的《云计算安全风险评估》研究报告中指出云计算潜在的七大安全风险。
以上表明云计算尚未成熟,云计算的安全是决定云计算发展的规模和前景的关键性因素。
1 云计算简介自“云计算”一词出现以来,云计算还没有公认的概念。
各大IT企业针对不一样的云计算理念给出了不同的定义,学术界也众说纷纭,从不同的角度提出了云计算的定义,但其实质都是利用互联网为企业和用户提供服务和应用。
本节根据云计算的特点及业界给出的定义提出一个参考性的概念。
1.1 云计算的概念目前具有代表性的云计算的定义主要有以下几种。
1) 2007年底,IBM公司在其技术白皮书[2]中第一次提到云计算的概念,并指出云是一个虚拟化的计算机资源池。
云计算一方面描述了提供服务的系统平台,即用来构造应用程序的基础设施,另一方面描述了可以通过互联网进行访问的可扩展的应用程序,这样用户只需要一个标准的浏览器和合适的互联网接入设备就可以访问云计算应用程序[1]。
2) 2009年2月10日,加州大学伯克利分校电子工程和计算机科学系的Michael Armbrust等[3]在“伯克利云计算白皮书”中给出云的定义:云计算包含两部分,一是互联网上的各种应用服务,这些应用服务一直被称作软件即服务(Software as a Service,SaaS),二是在数据中心提供这些应用服务的软硬件设施,即所谓的云(Cloud)。
公共云是指以即用即付的方式提供给公众的云,当前典型的有Amazon Web Services、Google AppEngine和微软的Azure等。
私有云指那些不对公众开放的企业或组织内部数据中心的资源。
公共云出售的是效用计算,所以云计算就是SaaS和效用计算,但一般不包括私有云。
3) 2009年,维基百科给云计算下的最新定义[4]可以理解为云计算采用的是按需即取的新计算方式,用户通过互联网按需索取云计算的资源以获取需要的服务,这些资源是动态的、易扩展的、虚拟化的,集中在“云端”,这里的云端一般指一些大型的服务器集群。
4) 2009年4月24日,美国标准局(NIST)专家给出了一个概括了云计算的五大特点、三大服务模式、四大部署模式的云计算定义草案,云计算定义的形象模型如图1所示。
定义内容为[5]:云计算提供可用的、方便的、按需的网络访问,以便进入一个可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源只需投入很少的管理工作或与服务供应商进行很少的交互,就能够快速地被提供和释放,是一种按使用量付费的模式,这种云计算模式提高了可用性。
1.2 云计算的特点本文来源于(论文网) 原文链接:/ligong/jisuanji/0ZX64262010.html根据上述云计算不同的概念,可以总结出云计算的一些特点:1) 以互联网为中心。
云计算以互联网为中心向用户提供服务,用户通过互联网获取各种服务。
2) 虚拟化。
网络、服务器、存储等全部虚拟化,构成虚拟资源池。
3) 降低终端设备要求。
终端用户只要一个浏览器和可以上网的接入设备就可以访问云计算应用程序,降低对终端设备的要求。
4)对用户透明。
用户在不需要关心云内部的细节,不具备相关专业知识及不管理或控制底层基础设施的情况下就可以通过网络获取服务。
5)可扩展性。
云计算通过动态的扩展虚拟化的层次能够无缝地扩展到大规模的集群之上。
6) 数据共享方便。
在云计算环境下数据分布在云端,不同用户只需连接互联网就可以同时共享同一份数据。
7) 按需付费。
用户采用按使用情况付费的方式来获得服务。
根据上述云计算的特点和不同定义,可以得出一般意义上云计算的概念为:云计算可以看作是一种融合了虚拟化技术和Web 2.0等技术的超级计算模式,云端服务器通过网络连接以虚拟机方式构成虚拟资源池,具有超强的运算能力、数据存储能力和共享能力,它通过互联网向用户提供IT资源、各种应用和数据等形式的服务,用户按需付费。
2 云计算的安全云计算像是一把双刃剑,给企业和用户带来巨大的潜力和好处的同时也带来了安全和风险。
本节首先介绍云计算存在的七大安全风险,简单分析了数据位置、数据隔离、数据恢复三大风险,最后分析了云计算的安全。
2.1 云计算的七大安全风险美国高德纳Gartner公司于2008年发布的一份名为《云计算安全风险评估》的报告,报告指出云计算存在的七大安全风险[6,7]:优先访问权、管理权限、数据位置、数据隔离、数据恢复、调查支持、长期发展。
这里简单分析三个已经发生的风险:数据位置、数据隔离、数据恢复。
1) 数据位置用户使用云服务时,用户一般不知道自己的数据储存在哪个服务器上,甚至都不知道放置在哪个国家。
Gartner建议用户向提供商询问数据是否存储在专门的司法管辖区,以及他们是否会为遵循当地的隐私协议签署一份合同。
由于黑莓信息的服务器位于美国、加拿大和英国,法国政府于2007年颁布法令禁止政府官员使用黑莓,以防止在某些情况下给法国政府带来威胁。
2) 数据隔离在云计算环境下,所有数据都存储在共享环境中,对数据加密也不能保证数据绝对安全。
Gartner建议将各个企业的数据隔离。
3) 数据恢复即使用户不知道自己的数据在哪,云计算提供商也应当告知用户在发生重大事故的情况下其数据和服务将会面临什么风险。
任何托管的数据都要通过多个网站备份,否则数据会完全失效。
Gartner认为用户需要咨询提供商是否有完全恢复数据的能力和恢复数据需要的时间。
数据隔离和数据恢复都与隐私安全相关,但这类最敏感的隐私信息已经不止一次的大规模的外泄,如2007年英国政府于丢失2500万人的社会保障号码等资料;美国农业部(DOA)的计算机系统被黑客入侵,黑客通过网络盗窃了26000名在华盛顿地区的工作人员的姓名、社会安全号码、照片等个人信息。
2.2 云计算的安全[8]云安全联盟(CSA)于2009年12月发布的《云计算关键领域安全指南V2.1》中介绍了“什么是云计算的安全”:在极大程度上,云计算中的安全控制和其它IT环境中的安全控制没有什么不同,但是,云计算采用的是云服务模型、运行模式及用来提供云服务的技术,这样对于一个机构来说,云计算可能面临着与传统IT解决方案不同的风险。
云计算一个独有的特点就是即使运行责任由某个或者某些第三方伙伴负责,其也能在适度的失去控制的同时又保持可纠责性(accountability)。
成熟度、有效性和实现基于风险调节的安全控制的完整性是一个机构的安全态势的特征,其中的安全控制在一层或多层上被实现,从设备(物理安全)到网络基础设施(网络安全)到IT系统(系统安全)一直到信息和应用(应用安全),此外,控制还在人员和过程层面上被实现,比如人员的职责分离和过程的变更管理。
云计算提供商和用户在不同的云服务模型中所提供的安全责任有很大的不同,例如,亚马逊的AWS EC2架构作为服务提供的安全责任和的客户资源管理(CRM)SaaS提供的刚好相反。
AWS EC2架构包括了一直到超级监视者安全的供应商的安全责任,这也就意味着他们仅仅解决如物理安全、环境安全和虚拟化安全这样的安全控制,而用户对与IT系统(事件)相关的安全控制负责,包括操作系统、应用和数据。
的提供商不仅对物理和环境安全负责而且还解决在基础设施、应用和数据上的安全控制。