云计算中的网络安全问题及对策研究摘要:随着全球信息化时代的来临,信息技术已经取得空前的发展和广泛的应用,目前其已经渗透到了人类生活的各个环节。
这其中,云计算的发展可谓异军突起,它将智能网络技术、3g无线网络技术、虚拟技术和资源调度等先进前沿技术进行了有机融合,使it 领域发生深刻的变革。
云计算是it领域朝着集约化、规模化和专业化方向发展的标志,是“网络就是计算机”思想的具体表现,有着巨大的发展前景和研究价值。
但是在云计算提供前所未有的巨大效能的同时,其安全问题在技术、法律、监管方面都有着很多的漏洞,并且严重威胁我国网络用户的信息安全,可以说,对云计算安全性的研究是云计算发展的首要任务,其重要性和紧迫性已经刻不容缓。
接下来笔者将基于云计算的安全模型和关键技术,并结合我国云计算的研究现状,对云计算的安全问题进行简单的分析。
关键词:云计算;计算机网络;安全问题中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)14-3253-03云计算是继计算机、互联网出现后信息领域又一次改革,云计算的应用使各个企业能够对先进信息技术进行更好更快的利用,能够降低企业前期的运营成本,将企业的可获利润最大化。
但是云计算在给各行各业带来福利时,云计算安全事件也时有发生,由云计算问题引发的计算机网络安全信任危机也愈演愈烈。
如2011年3月大约有15万goolge gmail用户的邮件和聊天记录被删除和恶意使用,部分用户账户信息被重置;2011年8月microsoft和amazon 在欧洲的云计算网络大规模停机,多家网站被同时关闭,数小时后才恢复正常,这些云计算安全事故严重地影响了用户使用云服务的信心,据morgan stanley在2011年关于云计算的调查结果表明,将近80%的用户对云服务的安全性表示担忧。
因此,在研究云计算的技术架构和面向社会服务模式的同时,也要从企业商业机密安全和网络用户私人信息安全角度,对云计算时代所面临的计算机网络安全威胁和相应的应对措施进行深刻的探讨和研究。
1 云计算的基本概念和发展现状1.1 云计算的基本概念云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物,云是网络、互联网的一种比喻的说法,能提供资源的网络即可称为“云”,过去在图形中往往用云来作为互联网的一种抽象表示。
云计算就是把所有的数据处理任务都交给计算机网络来处理,有功能超级强大的数据处理中心负责处理客户电脑上的一切数据任务,这样就可以通过一个数据中心同时向多个用户提供服务,从而节省了企业的硬件资源,与传统的互联网应用模式相比,云计算能够从各个方面确保服务的灵活性、高效性和精确性,能够为用户带来更完美的网络体验,能够为企业创造更多的利润。
1.2 云计算的发展现状随着全球信息化的步伐逐渐加快,计算机所需存储的数据和所需处理的数据也急剧增加,传统的互联网应用模式和计算机网络系统已不能满足社会飞快发展的需求。
于是,在2007年,goolge首次提出了云计算这个概念,这种新的网络应用模式使企业能够充分对数据资源进行研究,使得数据收集和数据处理能够在同一平台上进行,云计算的出现彻底打破了地域的概念,使得资源可以跨地域存储。
但是,目前各个公司所开发和运营的云计算业务还不够成熟稳定,云计算的数据存储和处理对于用户而言,就像一个黑匣子,用户不知道自己的私人信息到底存储在哪里以及将以何种方式进行处理,而且,云计算的数据处理方式和效率相当不稳定,非常不可控,这对于数据私密性不强的用户而言算不上问题,但对那些数据私密性要求较高的用户来说,云计算频繁出现的安全问题,会给他们带来很多安全隐患和威胁。
从目前云计算的发展情况来看,用户数据的安全、用户隐私的保护、数据的跨区域存储以及云计算本身的稳定性和高效性等诸多问题是影响云计算发展的重要阻碍,而且能不能保证用户的数据和隐私的安全,是用户是否选择云计算的重要前提条件。
2 云计算的服务系统架构云计算及其发展而来的云安全就是云计算服务方式的改变,目前,国际大型it公司已经陆续建立起自己的云计算服务终端以及向外提供各种云计算服务业务,如2011年7月,“盛大云”平台正式开放公测;2011年10月,在阿里巴巴开发者大会上,阿里云计算正式发布旗下的云计算产品与服务;2012年初,华为cloud+个人云、hwcloud公有云服务开始测试等等,根据美国国家标准与计算机研究院的定义,当前的云计算服务体系架构可以分为3个层次:1)基础管理层,基础管理层主要是解决计算机资源的共享问题,主要可以分为集群系统、分布式文件系统、网络计算、并行计算等几个方面,它们可以将it基础设施以服务的形式供用户自由使用,主要包含服务器、数据存储和网络等资源,如amazon的弹性计算云、ibm的蓝云等。
2)应用接口层,应用接口层主要是解决以何种方式对外提供服务,包含网络接入、用户验证、权限管理等几个方面,是一种由云计算服务商集中部署的应用系统,客户进行互联网访问的一种服务接口,如公用api接口、应用软件、web service 等。
3)访问层,访问层是指云计算所提供的一些具体的应用,它将满足某种应用需求的平台以服务的形式提供给用户,如:个人空间服务、运营商空间租赁企事业单位或smb实现数据备份、网络大容量在线存储等。
3 云计算的安全问题云计算的吸引力主要在于其拥有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等显著性的优点。
然而任何以互联网为基础的应用都存在着一定的危险性,云计算也不例外,云计算的安全问题可以从传统安全问题和新出现的安全问题两大方面入手。
3.1 传统安全问题未能有效的解决3.1.1 不安全的apiapi(应用程序编程接口)的安全性是云计算保证用户数据安全的基本保障,通常云服务的安全性和处理数据的能力与api的安全性息息相关,云计算服务商需要提供大量的网络接口和api来整合上下游、寻找业务伙伴,甚至直接提供业务,所以这些api接口的设计必须能够防御意外和恶意企图的信息泄露行为,以确保用户认证、加密和访问控制的有效性。
然而传统api 的性能并不理想,在针对网络接口和api上都还不够成熟,在一些通常运行于后台相对安全环境的功能被开放出来之后,就会给云计算服务带来新的安全威胁。
3.1.2 审计功能不完备传统服务提供商需要对用户信息进行外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审计服务,而且,用户只需要提交自身原始数据,数据的运算过程全部由云计算服务器处理,最终结果也直接通过云计算服务器提供,用户无法参与数据运算过程也无法审计运算结果,使得原始数据提供者承担了更多的责任和义务,除此之外,使用云计算的用户对自己数据的完整性和安全性负有最终的责任。
这种审计功能的不完备性,使得用户要蒙受更多的损失,严重影响了用户对使用云计算服务的信心。
3.1.3 非法用户的侵入云计算在给用户带来快捷运算的同时,也给用户的信息安全带来威胁。
黑客攻击、病毒传播、用户信息被盗等这些不法行为也同样可以发生在云平台上,而且云平台相比传统互联网服务具有更大的开放性和动态性,所以其影响范围也将远远高于传统互联网,当云计算平台受到黑客攻击时将对所有的云服务产生影响,并且黑客还可以利用云计算工具将攻击范围大大扩张。
3.2 云计算新出现的安全问题3.2.1 业务定位模糊云计算服务集成了互联网内容服务、数据存储、内容分发等业务,并扩大了经营范围。
由于其庞大的服务范围和业务模式,所以根本无法简单的将云计算进行电信业务分类,就更谈不上与之相对应的业务服务体系和执行标准了。
同时,当前云计算服务发展参差不齐,大到政府投资建设的、规模达数十亿的云计算中心,小到某一智能终端厂商开发的云计算软件商店,都没制定出相应的服务条例和管理规则,导致云计算服务行业没有一个统一的标准去执行,这也大大增加了云计算服务出现安全事件的可能性。
3.2.2 数据恢复难度大云计算环境下,用户数据在众多“云”粒子终端运算,用户不知道数据存储的位置,在发生安全事故时,云服务商不能及时的告知用户他们所存储的数据遇到了怎样的情况,用户也就无法对所需运输的数据进行及时的处理。
如:当用户的数据正在运算过程中,突然遭遇断电等突发事件,用户的数据将无法保证。
由于数据存放地点不清楚,数据恢复更是无从谈起。
而且也有可能被不法份子趁机盗取,给用户造成巨大损失。
3.2.3 复杂的合法规则性需求云计算服务是面向全世界的一种计算机网络服务,每个国家都有权利制定相应的法律对云计算业务进行监督管理,而不同国家所制订和执行的法律之间,总会存在些许差异,这就对跨国运营的云计算提供商提出了比较大的挑战,使得云计算的跨国合作更加困难。
4 云计算安全问题的解决措施4.1 完善相应的法律法规和技术规范理论是实践的基础,是实践的指导军师,所以必须基于云计算的技术发展和业务模式,尽快制定完善的法律法规和技术规范,使得云计算行业有统一的执行标准和服务条例。
如出台数据保护法、建立云计算平台网络安全防护制度与应急处置预案、明确云计算服务提供商信息安全管理责任等。
4.2 建设更有针对性的监控手段云计算服务进一步降低了互联网业务的开发和应用门槛,并为信息创造了更快捷、更廉价的传播渠道,这不仅为用户带来了便利,同时也为企业带来了福利。
但是就是因为其有利可图,所以需配套建设有力的技术管控手段,来确保云计算服务行业的和谐与干净,如开发数据审计系统、违法信息和有害信息的发现和过滤系统、用户信息验证系统等等4.3 建立云计算服务分级分类管理制度。
由于云计算服务范围空前的广泛,使得对其的管理难度也空前的巨大,但是我们可以采用“模块化”思想,将云计算服务按照使用对象、使用范围、业务模式划分为不同的安全等级要求,如根据使用对象划分分为面向政府、企业和普通用户的云服务,根据使用范围划分为私有云、公有云、混合云等,根据业务模式划分为提供信息、软件和基础设施资源的云服务,并根据每个等级的特点和需求制定安全防护标准和等级保护制度。
除此之外,还可以建立诚实可信的第三方公共云服务平台,如由中小企业提供的云服务平台、由政府独自开发的公共云服务平台等等。
4.4 积极自主研发新技术我国对云计算的研究与应用要晚于欧美发达国家,在云计算核心技术方面的研究也严重不足,拥有自主知识产权的技术也较少,所以我国应该建立相应的云计算研究部门,自主开发研究云计算新技术,在一些重要的信息技术和网络设施要尽量使用我国自主研发的,这样才能促进我国云计算技术的发展,才能缩短与先进国家的差距,使我国的云计算服务安全性能更高,使国内用户能够放心地、乐意地使用云计算服务。
5 结束语在信息化时代的今天,云计算将会越来越普及,云计算的安全也会越来越受重视,云计算的发展在给人们带来便利灵活、高效处理数据能力的同时,也给人们带来了许多未知的安全威胁,对于服务商来说,如何保证用户的重要数据和私人信息的安全?对用户来说,如何相信云计算服务能够保证自身数据的安全?这两方面问题将是云计算发展道路上必须解决的问题。
