導(dǎo)讀:信息安全是當(dāng)前計算機(jī)科學(xué)的一個研究熱點(diǎn);云計算是一個新的技術(shù),給信息安全提供了挑戰(zhàn)和機(jī)遇.介紹了云計算的基本概念,云計算的安全問題,通過云計算用戶以及云計算服務(wù)提供商兩方面分析了云計算中確保信息安全的方法。
信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對于人類具有特別重要的意義。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論,以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。
1、云計算簡介
何為云(cloud)?云實(shí)際上就是互聯(lián)網(wǎng)(Internet)的別稱,其實(shí)是指分布在Internet中的形形色色的計算中心,包含成千上萬甚至幾十萬、幾百萬臺計算機(jī)或服務(wù)器。用戶不再購買高性能的硬件,也不再購買或開發(fā)各種功能的軟件,而是使用任何可上網(wǎng)的設(shè)備,連接“云”,利用“云”提供的軟件或服務(wù),直接在“云”上處理并存儲數(shù)據(jù)。云計算的概念最早可以追溯到圖靈獎得主Jone McCarthy在60年代發(fā)表的觀點(diǎn):“計算有可能在未來成為一種公共設(shè)施。”進(jìn)入21世紀(jì)后,SaaS(Software as a Service),軟件服務(wù)的概念越來越廣泛的應(yīng)用于業(yè)界。隨后,從2007年開始,云計算開始出現(xiàn),包括Google、Amazon、IBM、Microsoft等業(yè)界的領(lǐng)袖企業(yè)都宣布了各自的與技術(shù)項目。
簡言之,云計算(cloud computing)是一種基于Internet的計算。在云計算中,存儲和運(yùn)算將不再運(yùn)行在本地計算機(jī)或服務(wù)器中,而是運(yùn)行在分布于Internet上的大量計算機(jī)上,也就是說,云計算通過把原來由個人計算機(jī)和私有數(shù)據(jù)中心執(zhí)行的任務(wù)轉(zhuǎn)移給分布在Internet上由全體用戶共享的大型計算中心來完成,實(shí)現(xiàn)了計算機(jī)硬件、軟件等計算資源及對這些計算資源進(jìn)行安裝、配置與維護(hù)等服務(wù)資源的充分共享。
但是云計算遠(yuǎn)遠(yuǎn)不止這些。云計算目前的主要架構(gòu)是基于一個新一代的數(shù)據(jù)中心,提供虛擬的計算和存儲資源。而這些資源的消費(fèi)和使用,可以按照事先規(guī)定的可以計量的標(biāo)準(zhǔn)進(jìn)行收費(fèi)。
2、云計算的安全問題
盡管很多研究機(jī)構(gòu)認(rèn)為云計算提供了最可靠、最安全的數(shù)據(jù)存儲中心,但安全問題是云計算存在的主要問題之一。表面上看,云計算好像是安全的,但如果仔細(xì)分析,“云”對外部來講其實(shí)是不透明的。云計算的服務(wù)提供商并沒有對用戶給出許多細(xì)節(jié)的具體說明,如其所在地、員工情況、所采用的技術(shù)以及運(yùn)作方式等等。當(dāng)計算服務(wù)是由一系列的服務(wù)商來提供(即計算服務(wù)可能被依次外包)時,每一家接受外包的服務(wù)商基本上是以不可見的方式為上一家服務(wù)商提供計算處理或數(shù)據(jù)存儲的服務(wù),這樣,每家服務(wù)商使用的技術(shù)其實(shí)是不可控的,甚至有可能某家服務(wù)商會以用戶未知的方式越權(quán)訪問用戶數(shù)據(jù)。
總的說來,由云計算帶來的信息安全問題有以下幾個方面:
2.1特權(quán)用戶訪問若使用云計算,機(jī)密數(shù)據(jù)將由公司外面的人員來處理,所以可想而知:不是公司的員工完全可以訪問這些數(shù)據(jù)。
2.2法規(guī)遵從在(薩班斯一奧克斯利法案)當(dāng)?shù)赖臅r代,公司有責(zé)任實(shí)施嚴(yán)格的數(shù)據(jù)監(jiān)控和歸檔級別。即便一家公司與外部的云計算服務(wù)提供商簽訂了合同,這些法規(guī)仍要求這家公司負(fù)有責(zé)任。云計算服務(wù)提供商應(yīng)當(dāng)提交審計和安全方面的證書,確保對方能夠履行約定的承諾。
2.3數(shù)據(jù)位置若使用云計算,用戶不知道自己的數(shù)據(jù)到底存放在什么地方。服務(wù)器可能建在馬來西亞、加拿大或者美國的新澤西州,說不定同時建在上述三個地方。
2.4數(shù)據(jù)隔離當(dāng)然,云計算提供商會使用SSL來保護(hù)傳輸中的數(shù)據(jù),但當(dāng)公司的數(shù)據(jù)位于存儲設(shè)備中時,可能與其他公司的數(shù)據(jù)共用一只“虛擬保管箱”。公司的數(shù)據(jù)與別人的數(shù)據(jù)能經(jīng)過適當(dāng)隔離嗎?
2.5可用性從理論上來說,如果用戶使用云計算服務(wù)提供商。沒有必要擔(dān)心自己的數(shù)據(jù)會消失——這些提供商很容易采用冗余機(jī)制把你的數(shù)據(jù)復(fù)制到眾多地方,這樣萬一系統(tǒng)崩潰,仍可以高枕無憂。
但公司的員工能不能隨時訪問完成工作所需的數(shù)據(jù)呢?比方說,要是虛擬管道受到堵塞會怎樣?要是提供商自身出現(xiàn)的某種內(nèi)部故障導(dǎo)致你無法訪問自己的關(guān)鍵數(shù)據(jù),又會怎樣?
2.6災(zāi)難恢復(fù)希望最糟糕的永遠(yuǎn)不會發(fā)生:任何重大的災(zāi)難也不會發(fā)生在你、你的提供商或者整個世界頭上。但你的提供商必須為此作好防備。
2.7調(diào)查支持開展內(nèi)部的法律調(diào)查向來就不是容易的事,因為這需要清查可能散布在實(shí)體位置和虛擬位置的大批文檔。如果你使用云計算服務(wù)提供商,那么開展這種調(diào)查更是困難重重:許多客戶的數(shù)據(jù)也許放在一塊兒,散布在地點(diǎn)不斷變化的一系列數(shù)據(jù)中心。
2.8存活能力你的提供商會被收購嗎?或者更糟糕的是,會破產(chǎn)嗎?如果是這樣,對方需要多久才能把數(shù)據(jù)交還給你、而且采用的格式讓你可以導(dǎo)入到另一家提供商的基礎(chǔ)設(shè)施上?
2.9降低風(fēng)險方面的支持你的員工開始使用外部提供商時,會經(jīng)歷一個學(xué)習(xí)過程。這家提供商提供的界面用起來多容易?提供商是否幫助你的管理人員設(shè)置監(jiān)控政策?又采取了哪些措施來防范惡意軟件和網(wǎng)絡(luò)釣魚?
3、云計算中確保信息安全的具體方法
盡管云計算存在安全問題,但它仍然給信息安全帶來了機(jī)遇。在云計算方式下,數(shù)據(jù)是集中存儲的,這樣至少給數(shù)據(jù)安全帶來了兩個好處:
降低了數(shù)據(jù)被盜、被破壞和外泄的可能。這也是云計算服務(wù)商討論最多的一個優(yōu)點(diǎn)。在云計算出現(xiàn)之前,數(shù)據(jù)很容易被泄露,如便攜式筆記本電腦的失竊、計算機(jī)維修時的數(shù)據(jù)被盜(如“艷照門”事件)。而隨著云計算的推廣應(yīng)用,用戶可以將自己的數(shù)據(jù)存儲在“云”中,只要用戶能夠接入Internet,就能根據(jù)需要隨時進(jìn)行訪問,根本就用不著自己隨身攜帶,也用不著自己去維護(hù)或維修。能夠更容易地對數(shù)據(jù)進(jìn)行安全監(jiān)測。數(shù)據(jù)集中存儲在一個或若干個數(shù)據(jù)中心,數(shù)據(jù)中心的管理者可以對數(shù)據(jù)進(jìn)行統(tǒng)一管理,負(fù)責(zé)資源的分配、負(fù)載的均衡、軟件的部署、安全的控制,并能更可靠地進(jìn)行數(shù)據(jù)安全的實(shí)時監(jiān)測以及數(shù)據(jù)的及時備份和恢復(fù)。
3.1云計算用戶的安全辦法
3.1.1聽取專家建議,選用相對可靠的云計算服務(wù)提供商用戶在享受云計算服務(wù)之前,要清楚地了解使用云服務(wù)的風(fēng)險所在?一般地,專家推薦使用那些規(guī)模大、商業(yè)信譽(yù)良好的云計算服務(wù)提供商。Gartner咨詢公司副總裁DavidCearley表示,“使用云計算的局限是企業(yè)必須認(rèn)真對待的敏感問題。企業(yè)必須對云計算發(fā)揮作用的時間和地點(diǎn)所產(chǎn)生的風(fēng)險加以衡量”。企業(yè)通過減少對某些數(shù)據(jù)的控制,來節(jié)約經(jīng)濟(jì)成本,意味著可能要把企業(yè)信息、客戶信息等敏感的商業(yè)數(shù)據(jù)存放到云計算服務(wù)提供商的手中,對于信息管理者而言,他們必須對這種交易是否值得做出選擇?;趦?nèi)容感知的技術(shù)可以幫助用戶判斷什么數(shù)據(jù)可以上載,什么數(shù)據(jù)不可以上載,如果發(fā)現(xiàn)試圖將敏感數(shù)據(jù)傳到云端,系統(tǒng)將及時阻斷并報警。
3.1.2增強(qiáng)安全防范意識幸運(yùn)的是,一點(diǎn)點(diǎn)常識和一些簡單的正確電腦操作練習(xí)可以將這類安全性失誤的影響降至最低,避免將你的機(jī)密資料放在云端上,如果你真的放了,例如利用網(wǎng)上銀行時。避免在網(wǎng)絡(luò)咖啡廳、學(xué)?;驁D書館內(nèi)的公用電腦上進(jìn)行,也別太隨便給出自己真正的聯(lián)絡(luò)資料,避免每個賬號都使用同一個密碼,就算只更改一個字母也好。云計算下增強(qiáng)安全意識。清楚地認(rèn)識到風(fēng)險,并采取必要的防范措施來確保安全。
3.1.3經(jīng)常備份存儲在云里的數(shù)據(jù),要經(jīng)常備份,以免在云計算服務(wù)遭受攻擊、數(shù)據(jù)丟失的情況下,數(shù)據(jù)得不到恢復(fù)。
3.1.4建立企業(yè)的“私有云”當(dāng)數(shù)據(jù)重要到不放心放在別人管理的云里,就建立自己的私有云。私有云也叫企業(yè)云,它是居于企業(yè)防火墻以里的一種更加安全穩(wěn)定的云計算環(huán)境,面向內(nèi)部用戶或者外部客戶提供云計算服務(wù),企業(yè)擁有云計算環(huán)境的自主權(quán)。與之相對應(yīng)的是“公共云”,通過云計算提供商自己的基礎(chǔ)架構(gòu)直接向用戶提供服務(wù),用戶通過互聯(lián)網(wǎng)訪問服務(wù),但用戶不擁有云計算資源。
3.1.5數(shù)據(jù)加密后放到云端保存透明加密技術(shù)可以幫助企業(yè)強(qiáng)制執(zhí)行安全策略,保證存儲在云里的數(shù)據(jù)只能是以密文的形式存在,企業(yè)自主控制數(shù)據(jù)安全性,不再被動依賴服務(wù)提供商的安全保障措施。
3.2云計算服務(wù)提供商的安全辦法
3.2.1國家對云計算服務(wù)提供商進(jìn)行規(guī)范和監(jiān)督美國加利福尼亞州公用事業(yè)委員會的CIO Carolyn Lawson認(rèn)為:“從政府的角度來講,我們不會將所有的數(shù)據(jù)信息都遷移到‘云’中,因為我們的數(shù)據(jù)包括個人社會保障號碼、駕駛執(zhí)照、還有子女信息等等,公眾把他們的個人信息交給我們希望我們能夠很好的保護(hù)這些信息。如果我們將這些信息交給一家云計算公司,而這家公司非法將這些信息出售的話,我們該怎么解決?我們要承擔(dān)這個責(zé)任”。這充分顯示了云計算安全問題的癥結(jié),即云計算公司的安全可信度成了當(dāng)今云計算應(yīng)用的主要障礙。
3.2.2解決這個問題的根本辦法不是依賴云計算提供商的自覺性,而是依賴政府部門或相當(dāng)?shù)臋?quán)威部門強(qiáng)制要求云計算公司采用必要的措施,保證服務(wù)的安全性。
也許不久的將來,國家政府部門將制定相應(yīng)的法規(guī),對云計算企業(yè)強(qiáng)制進(jìn)行合規(guī)性檢查,檢查包括廠商對客戶承諾的不合理性、廠商信守承諾的程度、廠商在對待客戶的數(shù)據(jù)的審計和監(jiān)管力度。像檢查自來水公司水的安全性那樣,國家要對云計算廠商的安全性進(jìn)行規(guī)范和監(jiān)督。
3.2.3云計算廠商采用必要的安全措施云計算廠商內(nèi)部的網(wǎng)絡(luò)和我們大多數(shù)企業(yè)的網(wǎng)絡(luò)沒什么不一樣的地方,其要實(shí)施的安全措施也是傳統(tǒng)的安全措施。包括訪問控制、入侵防御、反病毒部署、防止內(nèi)部數(shù)據(jù)泄密和網(wǎng)絡(luò)內(nèi)容與行為監(jiān)控審計等。
3.2.4云計算廠商采用分權(quán)分級管理為了防止云計算平臺供應(yīng)商“偷窺”客戶的數(shù)據(jù)和程序,可以采取分級控制和流程化管理的方法。銀行是一個很好的例子,銀行雖然儲存著所有客戶銀行卡的密碼,但即使是銀行內(nèi)部員工,也無法獲取客戶的密碼信息;同時,銀行系統(tǒng)內(nèi)也有一系列流程防止出現(xiàn)“內(nèi)鬼”。例如,將云計算的運(yùn)維體系分為兩級,一級是普通的運(yùn)維人員,他們負(fù)責(zé)日常的運(yùn)維工作,但是無法登錄物理主機(jī),也無法進(jìn)入受控的機(jī)房,接觸不到用戶數(shù)據(jù):二級是具備核心權(quán)限的人員,他們雖然可以進(jìn)入機(jī)房也可以登錄物理主機(jī),但受到運(yùn)維流程的嚴(yán)格控制。
4、結(jié)束語
計算機(jī)網(wǎng)絡(luò)信息的發(fā)展極大的促進(jìn)了經(jīng)濟(jì)和社會的發(fā)展,然而在網(wǎng)絡(luò)中總有一些不安全的因素存在,對于已經(jīng)網(wǎng)絡(luò)化的社會和企業(yè)而言,正常的網(wǎng)絡(luò)運(yùn)行和信息服務(wù)是極為重要的,因此深入做好計算機(jī)網(wǎng)絡(luò)信息安全管理工作的研究必將推動網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。在云計算的背景下,無論是數(shù)據(jù)發(fā)布中的隱私,還是位置服務(wù)中的位置隱私,用戶個人信息的保護(hù)顯的尤為重要。在人們把數(shù)據(jù)放于本機(jī)硬盤都還嫌不夠安全的今天,如何保證個人隱私不泄漏,將是云計算是否能夠普及和攻克的另一難題。