云计算引发的安全风险

云计算引发的安全风险（精选八篇）

云计算引发的安全风险 篇1

尽管我国煤炭企业的信息化水平不断提高,但由于历史原因,多数煤炭企业信息化建设存在起步较晚,技术水平较低,资金投入不足等问题,导致在安全管理及市场经营方面与发达国家相比有较大差距,由此严重制约了煤炭企业尤其是跨国煤炭企业的国际市场竞争力。在传统模式下的信息化建设,由于要求硬件、软件及人力资源等方面的大量投入,使得部分煤炭企业信息化建设难以为继甚至望而却步。在此艰难的背景中,随着网络技术的发展,云计算技术应运而生。它一方面通过云端服务,省去了大量的设备投入 ;另一方面凭借着超强的计算能力,使得大数据的处理成为了可能。云计算技术的优势使得很多煤炭企业可以进行低成本、高效率信息化建设,多家煤炭企业开始建立并应用云计算服务,取得了积极的进展,为煤炭企业的可持续发展提供了技术支持。

然而云计算技术作为新兴的信息技术,在具有巨大优势的同时,也具有诸多安全隐患,无论是客户端、服务端、以及客户端与服务端之间的数据传输,都存在安全隐患。对于信息保密和安全生产方面均有一定要求的煤炭企业而言,这些风险无疑具有较大的威胁,值得煤炭企业尤其是跨国煤炭企业的重视。本文将从云计算技术的基本原理开始入手,结合煤炭企业应用云计算时的实际需求和状况,对云计算技术在煤炭企业应用时存在的安全风险进行深入分析,并针对这些风险提出提高安全性的有关建议,以期未煤炭企业科学运用云计算技术,确保企业安全、可持续发展。

1 云计算技术简要介绍

云计算是 分布式处 理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的结合体,是在这三者的基础上发展出来的。它可以利用并行计算来提高速度,并通过网络计算的方式提升计算能力,并将这种能力作为一种可提供服务的资源,尤其在互联网宽带技术和虚拟化技术高速发展的情况下体现出广阔的应用前景。

云计算的基本原理,是通过分布式的计算机作为服务器来模拟云端,在互联网中为用户提供计算、存储、软硬件等服务。在解决了用户计算和存储方面的问题的情况下,用户可以将更多的注意力集中在应用需求上。通过云计算,普通的服务器或是PC机进行联网,综合起来可以达到超级计算机的计算和存储能力,甚至犹有过之,但是成本方面并不高。同时,云计算可以针对用户需求进行专门性的服务,无需另行构建一套通用的程序语言,在资源利用率方面也能有所提高。从使用者的角度来看,高性能的并行计算只需要交给服务方去解决,用户只需要告知自己的需求,而无需对计算机技术进行深度掌握,对社会资源分配而言,也是一种更合理的表现。用户在云计算模式下无需了解云端的工作细节,只要有高速的互联网,他们就可以使用这些云端上的网络资源。

云计算系统的构成,分为两个部分 :前端和后端。前端即客户端,是享受云计算服务一方 ;后端即服务端,是提供云计算服务的一方。这二者通过互联网紧密相连。进一步的细分,云计算由六个部分组成,由顶层到底层分别为 :客户端、服务、应用、平台、存储、基础设施。

(1)客户端 :与计算服务的客户所使用的硬件及软件,包括计算机、平板、手机及安装的有关软件等。

(2)服务 :服务的范围比较广泛,可以是某种产品,或是某种服务,或者是某种解决方案,它们可以在网上进行交付和使用。这些服务的最终指向,都是为了满足客户的需求。

(3)应用 :云计算服务的主要工作由服务端完成,所以对于用户来说,只需要安装简易而不占用多少系统资源的应用软件或甚至不需要安装应用程序,只要确保联网即可。这减轻了用户的软硬件开发及维护成本。

(4)平台 :由于云计算需要将一系列的计算机或服务器级联起来,并形成一个完成体系,在运行过程中要进行进一步的分工,每一个组成部分负责某一部分的运算任务,再进行汇总整理及深加工等,所以作为服务方需要搭建整套的系统,形成云平台。这种平台自由程度较高,可以让开发人员有较大的发挥空间。

(5)存储 :云存储可以作为一项服务来存放大量的数据,同时也可以提供计算所需的基础数据。在结算时,可以使用存储量来进行衡量,也可以考虑存储时间等因素。

(6)基础设施 :以计算机为主,包括云计算服务端的硬件,是整个虚拟化的平台环境,也可以作为一项服务应用于云系统的搭建。

2 煤炭企业云计算技术安全风险分析

云计算具有灵活、低成本等特点,广泛应用于商业服务中。但云计算服务采用动态化、共享式的管理方式,将所有数据存储在云端,其他客户对其进行访问也同样存在着可能性,这种开放性服务也给煤炭企业带来了安全风险。

(1)云计算服务模式中存在的安全风险。当煤炭企业将其生产监控数据或市场经营数据提供给云计算服务商,由云计算服务商提供服务时,云计算服务商能够访问到这些基础数据,对他们来说便毫无机密可言。即使云计算服务商本身未必会因此作出对煤炭企业不利的行为,但由于其失职、遭受黑客攻击或系统故障等原因,增加了数据外泄的可能性。尤其目前国内的云计算发展水平滞后于欧美国家,若采用西方国家提供的云计算服务,更有保密数据外泄的危险。这种风险对于我国煤矿企业,是难以承受的,且被动地寄希望于云计算服务方能够确保保密性万无一失,也是不现实的。

(2)动态虚拟化的管理方式存在的安全风险。在云计算服务过程中,整个系统资源向所有用户平等开放,由用户选择服务方式,其中包括用户可以自由访问云存储中的资源。在云计算服务的模式下,可以由多个用户共享同一信息,可想而知,当煤炭企业信息存在被其他用户获取的可能性时,存在安全信息或市场经营信息外泄的风险。即使云计算服务商采取权限管理的方式限制其他用户对于保密数据的访问,但由于云计算技术是一门新兴技术,其安全保密方面做得尚未成熟,其风险依然存在,甚至高于传统意义上的PC机。

(3)云计算服务多重外包情况下的安全风险。云计算服务的未来发展方向,是更专业化、更精细化。尤其对于较大数据量和计算量的任务来说,存在多家云计算服务商共同参与提供服务的情况。这会进一步增加数据的传输途径,也涉及到更多服务商之间的利益纠纷,由此其安全风险也会进一步增加。

由于云计算技术的发展,尤其在信息安全领域方面尚未成熟,目前多数云计算服务商采用商业手段来回避安全风险问题,但对于煤炭企业,市场经营类的数据可以采取这样的方式,但涉及保密数据方面,便无法承受这样的风险,这不是能够用商业价值来衡量的问题。而且从长期来看,信息安全是无法回避的核心问题,只有将安全风险降低到可接受的范围,云计算技术才能在煤炭企业中得到进一步的普及应用。

3 相关对策建议

根据云计算技术的基本原理和特点,结合煤炭企业实际情况,本文从数据安全、应用安全和虚拟化安全三个方面来进行分析研究,提出煤炭企业应用云计算技术相关建议,以降低安全风险。

3.1 数据安全

对于煤炭企业而言,数据的安全性是最基本也是最核心的要求。只有云计算服务商能够提供完全确保数据安全,不泄露用户有关信息的服务,才能让煤炭企业能够放心使用,否则服务质量无从谈起。因此对于云计算服务商而言,必须确保用户的数据安全,才能在煤炭行业市场上得以长期稳定发展。从动态和静态的角度划分,包括数据传输安全和数据存储安全,同时从当期和过期的角度看,还应当包括数据残留安全。

(1)数据传输安全

煤炭企业向云计算服务商传输数据、云计算服务商之间传输数据、云计算服务商向煤炭企业传输数据,这些过程中都有可能造成信息外泄。比起传统网络模式,黑客们更容易在任一环节窃取到有关数据,威胁到数据的安全性,会给煤炭企业带来难以估量的经济损失甚至安全损失。所以需要增强其安全性,对于被传输的数据应进行加密处理,比如利用身份认证、交易接口、数据加密或各种网络协议等,应用动态密匙,确保需要保密的数据能够单点对单点的传输。

(2)数据存储安全

应用云存储服务,能够节省大量的存储设施,但也由于云服务的开放性,存在网络阻塞、数据损坏丢失、数据泄露等安全风险,需要采取一定的应对措施。

一是进行加密处理,分别对主机层、网络层、存储层进行加密。对于主机层,要在应用前端上安装加密软件,当数据到达云计算服务端时就已经处于加密状态。对于网络层,在数据存储于网络时进行再次加密,通过在存储网络中插入专门性的加密软件或硬件,或直接在云端服务器上安装加密软硬件。对于存储层,由存储媒介自身来进行保密设置,通过身份认证或带有加密机制的硬盘等来实现。

二是进行访问控制,通过目录级安全控制、访问权限控制、登录访问控制、属性安全控制等方式实现。主要是通过一些控制策略或权限对不同的用户进行不同程度、不同位置的访问进行授权,尤其是保密资源进行严加限制,防止其他用户对保密资源的非法访问和使用。

三是划分专用存储区域。对于煤炭企业,其数据往往带有保密性质,所以在购买云存储服务时,应当由服务商划定专门的数据存储区域,只供煤炭企业本身进行访问。该部分区域可进行加密,不支持共享,仅对煤炭企业开放访问权限。在煤炭企业和服务商达成协议之前,就需要明确指定专用的数据存储区域,并在协议中加入一旦数据外泄,服务商所需承担的责任等内容。

(3)数据残留安全

当煤炭企业不再需要数据存储服务,或是在云计算过程中的产生了相关数据时,服务商会根据用户要求删除有关数据。但数据删除后仍旧有被恢复的可能,比如磁盘恢复技术等等。当云服务提供商结束某项服务,将涉密存储区域里面的数据删除后,将其作为可共享、可供所有客户任意浏览的数据存储区域,就使得该区域原涉密数据有外泄的可能。因此服务商一方面要采用文件粉碎、磁盘格式化等方式来保证煤炭企业涉密数据的彻底删除,另一方面可采取保密存储区域始终作为保密存储区域的方式降低安全风险。

3.2 应用安全

在云计算服务的运行过程中,由于其灵活开放的使用环境,同样会给煤炭企业带来诸多安全威胁,需要在前端和后端都采取一定的措施来避免这些威胁,提高安全性。根据NIST的权威定义,云计算有三大服务模式,从底层到顶层分别为基础设施即服务Iaa S、平台即服务Paa S、软件即服务Saa S,每一种服务都有降低安全风险的必要。

(1)基础设施即服务(Iaa S)安全

基础设施即服务为用户提供了存储、网络等基础性资源,但它是一种可以共享的基础设施,某些组件中,例如CPU缓存、GPU等对于所有使用者都不是完全隔离的。在动态的使用过程中,系统受到攻击,则令服务商和用户难以防范,有泄露数据的危险。对于煤炭企业而言,其用户端所安装的软件必须是安全可靠的或是受到云计算服务商认证可靠的,并注重安全防护系统的建立和维护。同样对于服务商来说,他们也必须确保整个服务过程受到实时监控,监测是否有未经授权的修改或活动。

(2)平台即服务(Paa S)安全

对于煤炭企业而言,能够在一个灵活开放的程序开发环境中自我编程并发布指令,比起每一项需要都交由服务端编程要经济、高效得多。节省了云端服务时间,那么数据外泄的可能小会减小,安全风险方面也会有所降低。所以建议云服务商在确保安全性的情况下能够搭建起一个开发平台,让有一定自主编程能力的客户可以发挥主观能动性,自己选择所要实现的功能。客户可以选择完全托管式的服务,也可以选择可自主部署应用程序的方式。用户端和服务端可以采用统一的语言环境,提高交互能力,缩短计算时间,在提高效率的同时也使得其他人员获取保密信息的难度增大,降低了安全风险。

(3)软件即服务(Saa S)安全

软件即服务是一种比较高级的服务模式,更加贴近用户的实际需求。对于不需要保密的用户而言,用户可以采用较为便捷的方式来访问云端资源,甚至只需要使用浏览器来访问和应用。而对于煤炭企业,用户不能对云计算服务进行控制,也无法保障信息安全,所以需要定制专用软件,与服务端的专用平台相配套,形成相对独立的操作体系。

用户和服务商应对应用软件的设计、模块和程序运行安全防护措施方面达成一致,并在协议中体现出来,服务商需要将有关确保安全性的措施向用户进行详细说明,并允许检测。用户也可以请第三方专业机构来检测其软件运行的安全性,以保障用户的信息安全需要。

3.3 虚拟化安全

云计算服务离不开虚拟化技术,其虚拟化技术安全主要体现在两个方面 :虚拟化软件安全和虚拟化服务器安全。

(1)虚拟化软件安全

虚拟化软件通常是煤炭企业用户端上的应用软件,可以创建、删除、使用甚至编辑虚拟服务器,可以使用户操作方面更加人性化。该软件由云计算服务商提供,与服务器相匹配,定制整套虚拟化软件可以在安全性方面有进一步的加强。煤炭企业须谨慎选择安全无漏洞的虚拟化软件,在选择前需要与服务商反复沟通、了解,确保软件运行的每一环节都有安全保障。

(2)虚拟化服务器安全

虚拟化服务器是云计算服务平台的重要组成部分,存在于服务器中,与虚拟化软件进行配套。它需要能够鉴别用户身份,确保煤炭企业的保密数据不会泄露给其他用户,同时对内部开发、监控、维护也有权限限制,最大程度上提高安全性。同时,客户最好能够建立逻辑隔离,在逻辑上切断各个虚拟机之间的联系。

在每个虚拟机上,建议统一安装有较好兼容性的杀毒软件,便于服务器的统一安全管理。同时,虚拟服务器上也可安装防火墙、系统恢复软件等,与杀毒软件一起对云端数据形成多层防护。

4 结语

云计算应用是大数据、大运算量用户的选择趋势,它具有的高效率、低成本的优势是煤炭企业未来的必然选择,尤其对于信息化建设起步晚、信息化投入不足的我国煤炭企业,应用前景十分宽广。然而由于煤炭企业的特殊性,在应用云计算技术时对于安全性也有更严格的要求。所以如何降低云计算技术应用的安全风险,使之能够适应煤炭企业的安全性需求,是在煤炭企业中普及应用云计算技术的最高一道门槛,也是最亟待解决的问题。本文对此提出一系列建议,希望能对煤炭企业应用云计算技术提供安全性方面的有效参考。

摘要：云计算技术的普及与应用,使得煤炭企业信息化投入成本的降低、大数据处理能力的提高成为了可能。但同样云计算技术也存在着诸多安全风险,成为煤炭企业应用该项技术的主要阻碍。本文以云计算技术基本原理为切入点,结合煤炭企业实际需求和应用情况,研究分析云计算存在的安全风险,并据此提出提高安全性的相关建议。

中国云计算面临5大潜在风险 篇2

地方政府发展云计算产业的积极性更加高涨，目前至少20个城市宣布推出各自的云计算规划，如北京的“祥云工程”、上海的“云海计划”等。同时，几乎所有的IT设备和软件厂商也都宣布进入云计算领域，如中国移动的“大云计划”、华为的云计算平台等。

上述所有这一切似乎都在预示着，我国云计算发展的形势一片大好。然而，在这种表象背后，其实隐含着很多的潜在风险，值得我们关注。

风险一：技术

在云计算的业务体系分类中，除了基础设施即服务（IaaS）外，平台即服务和软件即服务都需要强大的软件技术和产业作为支撑，特别是系统软件、平台软件和数据库管理系统。长期以来，这恰恰是我国软件技术方面的短板。由于得不到有效的支持，我们软件企业早已放弃了在这些基础软件领域的努力，沦为跨国公司附庸，进行二次开发。实际上，基础软件的开发存在着一个“干中学”的必要过程，只有开发出产品并在长期的应用过程中不断加以改进，基础软件的价值才能得到保障，技术水平才能得到提高，用户规模和市场价值才能得到不断扩大。这也就预示着，未来我国在云计算发展方面可能将继续面临着受制于人的被动局面。

对云计算平台来说，其技术复杂度和管理要求远非一般的操作系统可比。因为真正的云计算平台应该是各类基础软件以及各类业务应用软件的综合体。从理想状态来看，只有具备了相应的基础软件开发能力，才能为市场上的各行各业的用户提供量身定做的服务。当然，在云计算初级阶段将经历一个为客户提供通用业务应用服务的过程，就像目前微软所做的那样，以云计算方式提供办公软件（Office 365）服务。但是，无论如何，基础平台软件开发能力是必须的。从这个意义上讲，我国企业尚不具备全面的云计算开发能力。实际上，当前我国很多城市开展的云计算项目，背后都离不开IBM、微软、Oracle等跨国公司的影子。毫无疑问，这将对我国云计算发展产生非常不利的影响。

风险二：产业

这里先来定义一个概念：产业主权。所谓产业主权，是指产业分工各方在整个产业链条中所处的位置和地位，以及对产业价值分配的主导权。我国的产业位置分布和产业价值分配基本上呈现两种截然不同的形态：产业位置分布往往呈现纺锤体形状，而产业价值分配则是哑铃型形状。虽然我国几乎在所有行业都有大量的企业参与其中，但是绝大多数都被挤在产业链的中间位置，而产业链两端即技术研发与标准制定、品牌与最终产品销售则很少，因而呈现出纺锤体形状;同时，中间位置能够从产业中所获取的价值却很低，最大的价值被产业链两端的企业所攫取。面对纺锤体和哑铃型产业结构，我国产业结构往往不能自主地实现有效的产业升级和创造更多的经济价值，所有这些都只能由占据产业高端的跨国公司所控制。

因此，我国产业发展的这两种形状分布实际上是最没有产业安全可言的。就IT产业整体分布来看，外国企业往往在技术研发和专利、技术标准制定等产业高端占据主导地位，而我国企业通常集中在生产制造与加工等中间环节，而终端产品则由跨国公司来统一组装和销售（这也就是所谓的“贴牌”生产）。

目前，国内云计算产业同样呈现这样两种形态。就企业分布而言，高端的云计算平台操作系统、核心业务系统以及大型数据库等领域，主要是一些国外跨国公司主导，我国的企业则主要在部分硬件制造、所谓的系统集成和传输方面具有一定的优势。这样一种产业结构也预示着我国未来的云计算产业价值的哑铃型分配格局，这不得不让我们忧虑未来我国云计算发展的产业安全问题。

风险三：管理

云计算已经超越了我们现有的信息化内涵，将对国家政治、经济安全产生深刻的影响。就我们现在对信息化的理解来看，信息化只是应用现代信息技术改进和提高经济社会管理水平和效率，根据人们的需要计算、分析和管理我们的日常事务。在这个过程中，“现代信息技术”仅仅是一种技术手段，“现代信息技术”的应用者仍然居于主导地位，可以自主地建立和管理业务与数据，并在相当程度上掌握可能出现的安全问题。

但是，在云计算环境下，这些权利已经发生了重大的变化，云计算服务提供商得以剥夺应用者（云服务接入者）的这些权利，并能够将其日常业务活动置于自己的监控之下。也就是说，云计算技术日益将云服务接入者推向“他者化（被人监视和管理）”状态:信息技术一方面让社会更加高效，另一方面也使人类更加透明，并将个人置于他者的管制之下。云计算技术使得“他者化”状态提前来临，将对经济社会产生重大的影响。在国外跨国公司居于控制地位的情况下，这种影响更应该引起我们的高度关注。

风险四：信息安全

信息安全是一种普遍存在的问题，但是在云计算环境下，信息安全又发生了一些新的变化。信息安全主要包括两个方面：一是与个人隐私和商业秘密有关的信息安全；二是宏观统计安全。前一个是一种常规的信息安全问题，而且在非信息技术条件下也同样存在，但是后一个则是传统的信息化条件所不具备的。在传统的信息化条件下，企业通常都是自己负责管理其信息基础设施和信息系统，而在云计算环境下，由于云服务提供商能够网聚大量的甚至是海量的（中小）企业接入自己的云计算平台，因而对一国经济来说，这就具有了一种特别的风险，那就是宏观统计风险。云服务提供商可以很容易地从其接入者中挑选分析样本，对各行各业随时进行精确的分析与预测，从而掌握一个国家的经济发展形势与问题，并对该国经济社会发展带来潜在的安全风险。

我国中小企业众多，遍布我国经济社会发展的各行各业。目前，中小企业被看做是云计算服务的重要对象，也是云服务提供商们进行竞争的重要领域。因此，如何确保中小企业信息化的信息安全，是规划未来云计算发展的重要问题。

风险五：市场

这里的市场风险主要是指面对国内云计算产业的快速发展，整个市场表现出一种混乱局面，而且这种混乱的市场局面正在对国内云计算产业发展产生越来越不利的影响。这些主要表现在两个方面：

1. 跨国公司在国内云计算市场发展中占据先机并长期居于主导地位，将对未来经济社会发展产生深刻的影响。

当前，我国云计算正进入一个新的发展阶段：由概念形成阶段向应用推广阶段转变，而促进这种转变的却并不是国内民族企业，而是跨国公司。本来，从技术上讲，我国IT企业尚未做好云计算产业发展的技术储备，只是处于学习和研究或开发阶段。然而，最近一年以来，围绕云计算应用的分析和报道却在铺天盖地地展开，让人觉得云计算好像已经瓜熟蒂落了。其实，这种假象都是由某些跨国公司的市场营销行为所造成的。实际上，对于像IBM、微软等巨头们来说，它们几年前就展开了有关云计算方面的技术和产业研究，并为此投入了大量的研究人员与研发资金。对于这些企业来说，投进去的钱总要有所回报，而且获取回报的时间还不能太长，最好是越早越好。于是，有些公司去年就开始提“推进云计算应用的元年”。其初衷不外乎两个：一是提前收回成本，二是占得先机，先国内云计算企业一步抢占市场。

2. 我国云计算领域面临着重复建设的征兆。现在地方政府对于发展云计算的热情过于高涨了，不仅缺乏有效的规划布局，而且又在重蹈建设的覆辙。云计算中心建设将是一个非常消耗电力的事情，因此必须挑选电力供应充沛、安全高效的地方。但是，目前我国的云计算中心主要集中在电力紧张的东部，拥有大量电力的西部则较少。另外，过多的云计算中心也与云计算本身所要求的规模化、共享服务背道而驰，我们不得不注意这些问题的后续影响。

链接

如何化解云计算的潜在风险

为了能够有效地掌控和化解我国的云计算发展所面临的诸多风险，当前我们有必要采取一些切实可行且行之有效的措施。这些措施包括：

1．建立云计算产业发展专项资金。为了促进物联网产业的快速发展，国家有关部门已经设立了物联网产业发展专项资金。毫无疑问，我们也应该设立云计算产业发展专项资金，通过专项资金的扶持重点来支持形成国内云计算技术的自主开发能力，构建国内完整的云计算产业链条，提升云计算产业主权。当然，云计算产业发展专项资金也要与软件信息服务业发展政策相统一。

2．加强对云计算产业的规划布局与管理。根据云计算发展特点，合理规划云计算数据中心建设，同时，加强云计算产业发展的配套条件建设，特别是加快无线宽带网络建设。

3．加强对云计算服务提供商的管理。由于云计算所具有的潜在问题，信息化主管机关有必要加强对云计算行业的监管，包括对云计算服务进行准入管理，要求云计算服务提供商报备有关云服务项目及其基本内容，以及接入其云计算服务的客户信息。尤其重要的是，应要求跨国公司必须与国内IT企业组建合资公司，才能在国内提供云计算服务，而且提供云计算服务的数据中心必须建在国内。

4．大力扶持本土企业开展云计算服务。要充分发挥电信运营商在云计算传输渠道方面的优势，在云计算发展过程中积极争取主动。电信运营商要与像华为这样的已经具备一定云计算技术优势的电信设备制造商合作，加强云计算终端的研发，依靠各方面优势，突破目前我国云计算核心技术不足的缺陷，提高我国在云计算市场的综合竞争力。

5．为推进云服务，可以考虑优先就一些公共信息系统服务建立全国性的云计算中心，向社会公众免费提供服务。这方面可以考虑国产办公软件如WPS、全国自然人基础数据、法人基础数据共享与查询服务等。通过这些简单易行的云服务，培育和促进我国企业在云计算方面的技术开发能力和水平。

6．实事求是地定位政府在促进云计算市场发展中的作用。在当前我国电子政务建设尚未形成科学合理的顶层设计架构的情况下，指望通过建设“政府云”去推动国内云服务是不切实际的。当前我们应该根据云计算技术的特点和要求，理顺行政管理体制与业务数据的关系，构建有中国特色的电子政务企业架构。

云计算的安全风险及应对策略研究 篇3

1 云计算概述

云计算是并行计算、分布式计算和网格计算的发展, 或者说是这些计算机科学概念的商业实现。是一种基于互联网的强大的运算模式, 可以使分布在各地的海量计算机资源进行分布式计算, 用户通过互联网访问数据中心按照自己的需求获取计算及其他服务。

2 云计算的特点

1) 强大的计算能力:云计算可以使大量计算机和服务器进行分布式计算, 共享计算资源, 获得强大的计算能力。

2) 按需付费:用户可以根据需要订购所需的服务, 并按照相应的价格支付费用, 在需要有变化时也可以进行更新和调整。

3) 减少用户投资:用户所需的服务全部由云平台提供, 省去了购置和维护设备的费用, 节省了用户的投资, 提高了资金的使用效率。

4) 具备一定的可靠性:云计算的服务特性使得用户的数据分布于相互隔离的主机中, 木马、病毒和黑客的攻击没有了集中的目标, 分散了安全风险, 使得系统的安全性和可靠性得到提高。

5) 接入条件低:用户可以通过电脑、手机等设备随时随地通过互联网访问云计算服务, 对硬件和软件的要求很低, 使用起来很方便。

3 云计算的主要服务形式

1) Saa S (软件即服务) :用户可以使用手机、电脑、PDA等终端设备通过浏览器访问服务提供商提供的自己所需要的、在云端上运行的应用服务, 用户不需要操作任何云计算硬件设施也不需要购买和安装软件。Saa S适用于普通用户。

2) Paa S (平台即服务) :是把软件开发的平台, 包括用户使用的开发语言和工具等部署到云计算基础设施上, 并作为一种服务提供给用户使用。用户不需要购买硬件和软件, 就能够建立和部署软件和应用。Paa S主要面向开发人员。

3) Iaa S (基础设施即服务) :云服务提供商为用户提供所需要的虚拟机或数据存储等资源来装载用户的相关应用, 用户只需专心做好自己的事, 不必操心基础设施和相关软件的购置和管理。Iaa S的主要用户是系统管理员。

4 云计算的安全风险

1) 用户数据安全问题:在云计算环境中, 用户对自己的数据安全性没有什么控制能力, 如果服务提供商在服务器、软件、数据加密、数据备份等方面存在漏洞, 则很可能导致用户数据的泄露或丢失。

2) 敏感数据易被窃取:用户存放在云端的数据中可能包含机密、隐私等敏感数据, 如果服务提供商内部管理制度不严格, 内部员工将很容易窃取到用户的敏感数据, 以致于对用户的利益造成损害。

3) 账号安全问题:用户在登录云计算服务时的安全主要靠运营商的身份认证机制, 如果运营商的身份认证管理存在漏洞, 或用户终端遭到木马或黑客入侵, 则可能发生用户帐号被冒用并导致用户数据被泄露或删除等严重后果。

4) 云服务端给平台带来安全隐患:云计算的运算资源包括数以万计的计算机和服务器, 其中难免会有部分云服务端受到黑客和病毒袭击, 这将会给整个平台带来安全隐患。

5 云计算的安全策略

1) 加强对云服务提供商的监管。

目前著名的云服务提供商大部分为跨国公司, 云服务端可能位于世界各地, 机密信息甚至国家敏感信息易被窃取或泄漏。同时随着移动智能终端的大量使用, 移动互联网的接入方便、互动性强、安全性差等特点极易被不法分子利用, 这些都给国家安全监管工作带来巨大挑战。因此国家应制定相应法律法规, 加强对云服务提供商的监管, 明确责任和义务;积极参与国际云计算标准研究和制定工作, 争取形成具有我国自主知识产权的云计算标准。

2) 敏感数据不要置于云端。出于对云服务技术特点的考虑, 用户尽量不要把敏感数据和机密数据置于云端, 一旦发生安全问题, 信息的泄漏将会给用户造成不可估量的损失, 而且由于相关法律法规尚不完善, 用户进行责任追究将会遇到很多阻碍。

3) 做好数据备份工作。虽然目前云服务商都采用虚拟化存储等先进技术来存储和管理数据资源, 而且也配备有数据备份、灾难恢复等数据保护机制, 但也不能排除数据丢失的可能。因此, 用户应对自己的核心数据进行及时、定期的备份, 以避免特殊情况的发生。

4) 建立私有云。如果用户对于在公有云上运行企业管理软件不放心, 或者不想把敏感数据放置在公有云上, 那么在条件允许的情况下可以尝试建立私有云。私有云可由企业自身建设或由云服务提供商搭建, 这种模式赋予用户极高的控制权限, 使用户拥有云计算环境的自主权。

5) 提高安全意识。云服务提供商必须建立完善的身份验证和权限分配制度, 对内部员工加强培训和监督, 严格控制数据访问权限, 及时修复系统漏洞, 最大限度的保证数据安全。用户要增强安全防范意识, 注重各类木马、病毒和黑客程序的主动防御, 减少安全风险。

参考文献

[1]汪来福.云计算应用安全研究[J].电信科学, 2010 (6) .

[2]钱煜明, 陆平, 赵培.云计算的开放架构设计[J].中兴通讯技术, 2011 (4) .

云计算引发的安全风险 篇4

一、云计算的概念和特征

1.1云计算的概念

“云计算”这个概念是2006年谷歌的一名工程师克里斯托夫·比希利亚提出来的, 同年谷歌公司向美国的华盛顿大学提供40台个人电脑, 在华盛顿大学建成一个小型的云。2008年云计算迅速成为了互联网最热门的技术和关键词, 随后, 微软、雅虎、亚马逊等国际知名的企业也陆续开始开展了对云计算的研究和推广工作, 进一步推动了云计算的发展。目前国际上对云计算概念定义比较准确的是美国国家标准与技术研究院给出的:云计算是一种按使用量付费的模式, 这种付费模式能够提供快速、可用、按需的网络访问, 用户就可以进入到可配置的计算机资源共享池。这种模式最大的好处是不需要用户耗费大量的时间进行管理, 或者与云计算服务商进行交互工作。

1.2云计算的特征

根据云计算的定义, 云计算的特征主要有以下五种:第一云计算资源共享性。利用云平台, 将信息资源集中在一起, 能够为用户提供更多的服务, 然后根据客户的需求, 对数据信息进行分配和管理, 客户进入云系统, 可以快速找到想要的数据信息;第二自助服务, 云系统服务商只需要向用户提供账号和密码, 用户就可用直接在云端找到自己所需要计算、存储的数据信息, 用户不需要耗费时间对云端进行管理或者与服务商进行复杂的交互工作, 因此大大便利广大计算机用户;第三是具有广泛的网络访问, 用户可以通过PC、手机、PAD等各种类型的终端平台就可以实现对云端的网络;第四具有延展性, 云计算通过监控系统, 能够每一个服务按照不同的策略动态分配到各种移动设备上, 用户不需要对它进行管理或者处理, 只要把设备在云计算系统上做登记, 就可用纳入云计算的服务分配资源上, 从而实现对资源的扩展, 它改变了传统计算机固定资源配置的模式, 能够最大限度的提高资源的利用率;第五可度量性, 云计算本身就是一种按使用量进行付费的模式, 因此它有明确的收费价格和收费政策, 并通过系统控制及时向用户告知, 实现资源使用的透明化。

二、云计算安全风险分析

2.1云计算服务的对外接口存在漏洞

云计算服务商往往会通过软件接口让客户进入到云平台, 在云端进行查找、存储、计算等工作。而这些软件接口控制了大量的虚拟机, 并混合了远程访问机制或者web访问, 如果软件接口存在一些漏洞或者携带了病毒, 那么这些漏洞可能被黑客或者一些居心不良的人利用, 他们侵入用户的数据中心, 随意篡改用户信息。2011年, 亚马逊系统EC2服务的一个控制接口出现了漏洞, 这个漏洞被黑客利用随意修改和删除了亚马逊网络的用户。

2.2存储与传输中数据丢失或泄露的风险

云计算作为一种新型的互联网应用模式, 它改变了传统互联网的以桌面系统为中心的应用模式, 逐渐形成了一种以网络为中心的模式, 它极大了改变了人们信息生产、交流、开发的方式, 降低了人们管理数据信息的时间、人力成本, 也改变了国家控制信息的模式。因此很多政府、企业和个人将大量的数据信息上传到云平台上, 这些数据信息可能包含了国家政府的重要数据、企业客户资源和业务记录等等, 如果企业在没有备份的情况下, 一旦黑客侵入到云系统中, 他们可能随意将数据进行修改和删除, 或者更改用户密码, 导致用户下一次使用过程中密钥无法解密, 给用户带来严重的经济损失。2011年10月阿里云服务器磁盘出现错误, 结果修复以后发现Team Cola公司存储在云端的数据信息丢失。云计算采用分布式架构, 它的数据信息分布更广更多, 如果云计算系统的加密技术不够强大, 那么数据信息在传输的过程中, 可能遭受黑客等一些不法分子的攻击, 对数据进行篡改。

2.3云计算被不法分子利用

随着云计算的发展, 越来越多的企业认识到它的发展前景, 因此大量的企业涌入到云计算的研究和发展, 为了抢占更多的市场和用户, 一些云计算商不按照相关的云计算登记流程和提供分层次服务。因此一些不法之徒以低成本获取了云服务密钥, 利用云计算平台向用户发送大量的垃圾邮件和恶意代码、破坏系统的密码、制造网络僵尸。2015年5月20, 苹果云包括电子邮件在内的11项苹果服务系统中断了7个小时的服务, 很多服务系统完全瘫痪, 其他一些程序运行的非常缓慢。

随着互联网的发展, 越来越多的人在网上进行消费、投资理财。这也成为不少黑客攻击的对象, 黑客利用系统漏洞侵入用户的个人计算机, 窃取用户个人信息以后, 登录用户个人网上银行, 将用户的资金转移,

三、提高云计算信息安全风险的策略

3.1加快推荐云计算信息安全法律法规的建设

国家应该尽快建立云计算信息安全的相关法律法规, 制定国家、企业以及个人的数据云端管理规范, 并解决云计算的IP、用户隐私和商业保密等相关问题;其次是建立云资格许可服务制度和云计算技术的相关技术标准。此外, 涉及国家安全的政治、经济、社会公共安全的信息系统应该建立相关的审核制度, 进一步规范云计算市场。

3.2加大云计算的研发

虽然我国云计算与西方发达国家相比还存在不少问题, 云计算的核心技术被国外企业垄断, 国内企业在系统操作、底层硬件的开发比较少, 大多偏重云计算的建设应用。因此必须加大云计算关键技术的培育和研究, 提高我国云计算技术的自主性。

四、结语

随着云计算技术的发展和应用, 未来云计算一定会是IT成为廉价的公共资源。然而云计算在发展的过程中, 它的安全性已经成为制约它发展的一个重要因素。目前信息安全风险依然是云计算攻克的主要技术难点。

摘要：随着计算机网络技术的进步, 云计算也越来越被大家所提及, 这种基于互联网的按使用量付费模式在互联网应用的越来越广泛。但是它在方便人们生活的同时, 所带来的信息安全风险也越来越被大家所关注。本文从云计算的概念、特点, 以及对云计算信息安全风险进行分析, 并提出了相关的防范措施。

关键词：计算机,网络技术,云计算,信息安全风险

参考文献

[1]臧超.电子政务SaaS云计算信息安全风险解析[J].科技创新导报, 2015, (34) :148, 171.

[2]李洋, 张阳, 陶锐等.云计算模式下信息安全风险管控与法规制定探讨[J].硅谷, 2014, (10) :160-161.

[3]魏光禧.云计算时代个人信息安全风险与防控措施[J].重庆理工大学学报 (社会科学版) , 2016, (2) :92-97.

[4]宋国平.基于云计算的信息安全风险分析与探索[J].吉林广播电视大学学报, 2014, (3) :144-145.

云计算安全风险分析和服务 篇5

关键词：云计算安全,安全服务,信息安全,可信访问控制技术,数据安全技术,虚拟化安全技术,云资源访问控制技术

1 引言

根据相关调查和统计,云用户对云计算的安全需求主要集中在以下方面:特权用户的接入;云服务商对外部的可审查性;云服务商对不同位置的数据进行监控;数据的隔离以及数据的恢复;数据的可用性等。云用户应用云计算和访问云资源时需要进行身份鉴别和认证,用户在使用过程中还需要经过云服务以及云应用程序等的授权。在云计算系统中,需要保证多个数据存储区的机密性、数据的完整性、可用性等。

2 云计算安全风险分析

2.1 云计算平台安全风险

2.1.1 针对系统可靠性的隐患

由于“云”中存储大量的用户业务数据、隐私信息或其他有价值信息,因此很容易受到攻击,这些攻击可能来自于窃取服务或数据的恶意攻击者、滥用资源的合法云计算用户或者云计算运营商内部人员,当遇到严重攻击时,云计算系统将可能面临崩溃的危险,无法提供高可靠性的服务。

2.1.2 安全边界不清晰

因为虚拟化技术是实现云计算的关键技术,实现共享的数据具有无边界性,服务器及终端用户数量都非常庞大,数据存放分散,因此无法像传统网络一样清楚地定义安全边界和保护措施,很难为用户提供充分的安全保障。

2.2 数据安全风险

2.2.1 数据隐私

当终端用户把自己的数据交付给云计算提供商之后,数据的优先访问权已经发生了变化,即云计算提供商享有了优先访问权,因此如何保证数据的机密性变得非常重要。

2.2.2 数据隔离

在通过虚拟化技术实现计算和资源共享的情况下,如果恶意用户通过不正当手段取得合法虚拟机权限,就有可能威胁到同一台物理服务器上其他虚拟机。因此进行数据隔离是防止此类事件的必要手段,但是隔离技术的选择及效果评估目前仍在进一步研究之中。

2.3 其他安全风险

2.3.1 云计算提供商能否提供持久服务

在云计算系统中,终端用户对提供商的依赖性更高,因此在选择服务提供商时,应考虑这方面的风险因素,当云计算提供商出现破产等现象,导致服务中断或不稳定时,用户如何应对数据存储等问题。

2.3.2 安全管理问题

企业用户虽然使用云计算提供商的服务或者将数据交给云计算提供商,但是涉及到网络信息安全相关的事宜,企业自身仍然负有最终责任。但用户数据存储在云端,用户无法知道具体存储位置,很难实施安全审计与评估。

3 云计算安全关键技术

3.1 可信访问控制技术

由于无法信赖服务商忠实实施用户定义的访问控制策略,所以在云计算模式下,研究者关心的是如何通过非传统访问控制类手段实施数据对象的访问控制。其中,得到最多关注的是基于密码学方法实现访问控制,包括:基于层次密钥生成与分配策略实施访问控制的方法;利用基于属性的加密算法(如密钥规则的基于属性加密方案(KP-ABE)或密文规则的基于属性加密方案(CP-ABE));基于代理重加密的方法;在用户密钥或密文中嵌入访问控制树的方法等。基于密码类方案面临的一个重要问题是权限撤销,一个基本方案是为密钥设置失效时间,每隔一定时间,用户从认证中心更新私钥。但目前看,带有时间或约束的授权、权限受限委托等方面仍存在许多有待解决的问题。

3.2 数据安全技术

(1)数据传输安全:通常情况下,企业数据中心保存大量的企业私密数据,这些数据往往代表了企业的核心竞争力,如企业的客户信息、财务信息、关键业务流程等。在云计算模式下,企业将数据通过网络传递到云计算服务商进行处理时,面临着如下问题:一是如何确保企业的数据在网络传输过程中严格加密不被窃取;二是如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去;三是在云计算服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证企业在任何时候都可以安全访问自身的数据。

(2)数据存储安全:企业的数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云计算模式下,云计算服务商在高度整合的大容量存储空间上,开辟出一部分存储空间提供给企业使用。但客户并不清楚自己的数据被放置在哪台服务器上,甚至根本不了解这台服务器放置在哪个国家;云计算服务商在存储资源所在是否会存在信息安全等问题,能否确保企业数据不被泄露;同时,在这种数据存储资源共享的环境下,即使采用了加密方式,云计算服务商是否能够保证数据之间的有限隔离;另外,即使企业用户了解数据存放的服务器的准确位置,也必须要求服务商作出承诺,对所托管数据进行备份,以防止出现重大事故时,企业用户的数据无法得到恢复。在云计算环境中,数据残留更有可能会无意泄露敏感信息,因此云服务提供商应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。

(3)数据审计安全:企业进行内部数据管理时,为了保证数据的准确性往往会引入第三方认证机构进行审计或认证。但在云计算环境下,云计算服务商如何在确保不对其他企业的数据计算带来风险的同时提供必要的信息支持,以便协助第三方机构对数据的产生进行安全性和准确性审计,实现企业的合规性要求。另外,企业对云计算服务商的可持续性发展进行认证过程中,如何确保云计算服务商既能提供有效的数据,又不损害其他已有客户的利益,使企业能够选择一家可以长期存在的、有技术实力的云计算服务商进行业务交付,也是安全方面的潜在风险。

(4)数据残留安全:数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重建。在云计算环境中,数据残留更有可能会无意泄露敏感信息,因此云服务提供商应通过销毁加密数据相关介质、存储介质销毁、磁盘擦拭、内容发现等技术和方法来保证数据的完整清除。

3.3 虚拟化安全技术

虚拟化安全是云计算需要考虑的特有安全威胁之一。虚拟化技术是将底层的硬件,包括服务器、存储与网络设备全面虚拟化,在虚拟化技术上,通过建立一个随需而选的资源共享、分配、管控平台,可根据上层数据和业务形态的不同需求,搭配出各种互相隔离的应用,形成一个服务导向、可伸缩的IT基础架构,为用户提供出租IT基础设施资源形式的云计算服务。虚拟化安全包括虚拟机间信息流控制、虚拟机监控、虚拟机可信平台、虚拟机隔离、虚拟网络接入控制等。综合起来可以归结为两个方面:一是虚拟化软件的安全;二是客户端或虚拟服务器的安全。

(1)虚拟化软件安全:该软件层直接部署于裸机上,能够提供创建、运行和销毁虚拟服务器等功能,如操作系统级虚拟化、半虚拟化(硬件和Xen、VMware的结合)或基于硬件的虚拟化。云服务提供商应建立必要的安全控制措施,限制对于Hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制。在Iaa S中,用户不能接入虚拟化软件层,该层由云服务提供商操作和管理。

(2)虚拟服务器的安全:虚拟服务器或客户端面临许多主机安全威胁,包括接入和管理主机的密钥被盗、攻击未打补丁、在脆弱的服务标准端口侦听、劫持未采取合适安全措施的账户等,需要采取以下措施:选择具有TPM(可信计算平台)安全模块的虚拟服务器;安装时为每台虚拟服务器分配一个独立的硬盘分区,以便进行逻辑隔离;每台虚拟服务器应通过VLAN和不同IP网段的方式进行逻辑隔离,对需要通信的虚拟服务器间通过VPN进行网络连接;进行有计划的备份,包括完整、增量或差量备份方式。

3.4 云资源访问控制技术

在云计算环境中,各个云应用属于不同的安全管理域,每个安全域都管理着本地的资源和用户。当用户跨域访问资源时,需在域边界设置认证服务,对访问共享资源的用户进行统一的身份认证管理。在跨多个域的资源访问中,各域有自己的访问控制策略,在进行资源共享和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略。云计算的访问控制与基于网络的访问控制相比,云计算用户访问控制尤为重要,因为它是将用户身份与云计算资源绑定在一起的重要手段。在Paa S交付模式中,云计算服务提供商负责管理对网络、服务器和应用程序平台基础设施的访问控制,而用户负责部属于Paa S平台的应用程序的访问控制。对应用程序的访问控制表现为终端用户的管理,包括用户开通和身份认证。根据当前云计算环境下的访问控制框架和研究内容,云计算访问控制的研究主要集中在以下3个方面:云计算访问控制模型、基于ABE密码体制的云计算访问控制、云中多租户及虚拟化访问控制。

4 云计算安全服务解决思路

云计算安全服务体系由一系列云安全服务构成,是实现云用户安全目标的重要技术手段。根据其所属层次的不同,云安全服务可以进一步分为云安全基础设施服务、云安全基础服务以及云安全应用服务三类。

4.1 云安全基础设施服务

云基础设施服务为上层云应用提供安全的数据存储、计算等IT资源服务,是整个云计算体系安全的基石。这里,安全性包含两个层面的含义:一是抵挡来自外部黑客的安全攻击的能力;二是证明自己无法破坏用户数据与应用的能力。一方面,云平台应采取全面严密的安全措施,解决传统计算平台面临的安全问题;另一方面,云平台应向用户证明自己具备某种程度的数据保护和隐私保护能力。另外,由于用户安全需求方面存在着差异,云平台应具备提供不同安全等级的云基础设施服务的能力。

4.2 云安全基础服务

云安全基础服务属于云基础软件服务层,为各类云应用提供共性信息安全服务,是支撑云应用满足用户安全目标的重要手段。其中,比较典型的云安全基础服务包括:

(1)云用户身份管理服务,主要涉及身份的供应、注销及身份认证过程,在云环境下,实现身份联合和单点登录,可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务,并减少重复认证带来的运行开销;

(2)云访问控制服务,云访问控制服务的实现,依赖于如何妥善地将传统的访问控制模型(如基于角色的访问控制、基于属性的访问控制模型以及强制/自主访问控制模型等)和各种授权策略语言标准(如XACML、SAML等)扩展后移植入云环境;

(3)云审计服务,由于用户缺乏安全管理与举证能力,要明确安全事故责任就要求服务商提供必要的支持,因此,由第三方实施的审计就显得尤为重要,云审计服务必须提供满足审计事件列表的所有证据,以及证据的可信度说明;

(4)云密码服务,由于云用户中普遍存在数据加、解密运算需求,除最典型的加、解密算法服务外,密码运算中密钥管理与分发、证书管理及分发等都可以基础类云安全服务的形式存在。

4.3 云安全应用服务

云安全应用服务与用户的需求紧密结合,种类繁多。云计算提供的超大规模计算能力与海量存储能力,能在安全事件采集、关联分析、病毒防范等方面实现性能的大幅提升,可用于构建超大规模安全事件信息处理平台,提升全网安全态势把握能力。

5 结语

目前,云计算得到越来越广泛的应用,云计算给人们带来创新和变革的同时,对安全问题也提出了更高的要求。如何在应用云计算的同时,最大限度地降低云计算应用和运行过程所带来的安全风险是进一步发展云计算过程中必须解决的重要问题。无论是云计算服务提供商还是使用者,对云计算技术背后的安全性问题都必须有足够的认识,只有深刻认识到云技术的优点和风险,才能更好地在现实生活中科学合理地利用云技术,充分发挥其带来的巨大效益和优势。

参考文献

[1]阮洁珊.计算机网络云计算技术浅析[J].科协论坛,2009(07):171-173.

[2]吴涛.浅谈云计算及云安全[J].信息安全与通信保密,2012(02):63-66.

[3]王洪镇,谢立华.关于云计算及其安全问题的综述[J].现代计算机,2013(02):12-15.

[4]王娜娜.面向安全风险的云计算测试技术研究[J].电脑开发与应用,2014,27(03):33-36.

[5]NIO Standards technology,W Jansen,T Grance.Guidelines on Security and Privacy in Public Cloud Computing[J].National Institute of Standards&Technology,2012(03):149-151.

[6]张韬.国内外云计算安全体系架构研究状况分析[J].广播与电视技术,2011,38(11):123-127.

[7]张慧,邢培振.云计算环境下信息安全分析[J].计算机技术与发展,2011,21(12):164-166.

[8]盖玲.基于云计算的安全服务研究[J].电信科学,2011(06):105-106.

[9]林果园,贺珊.一种云计算环境下的安全模型[J].电信科学,2010(09):103-105.

[10]林敏,龚让声.云计算安全关键技术研究[J].合作经济与科技,2012(06):114-116.

云计算引发的安全风险 篇6

云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问, 进入可配置的计算资源共享池,这些资源能够被快速提供。 在以往的资源配置过程中, 每个访问分配的计算和存储资源是固定的,云计算的方式部署和分配资源,可以使分配方式更加灵活, 在实际应用过程中可以获得更多的计算资源分配。在企业发展过程中, 由于企业的信息能力各有不同,在市场竞争过程中,那些信息化建设水平较差的企业就无法建立起有效的企业信息系统,从而导致其在市场竞争中的优势下降。 而云计算通过灵活的资源配置可以有效帮助企业的信息化建设,但同时也给企业的发展带来安全风险。

2 云计算在企业中的应用

2.1 帮助企业在服务器之间实现负载均衡

企业可以将文件放在这个网络服务上,而不用再在企业内部建立文件服务器。 通过对数据进行备份等措施来保障数据的安全, 数据在网络服务上不会出现丢失、损坏的情况。 严格的权限管理策略可以帮助企业用户放心的与用户指定的人共享数据。 在云计算上可以轻松的实现一些互联网级别的应用服务,让世界上顶级的专家为企业服务。 而企业需要付出的成本可能比自己部署服务器要少的多。

2.2 实现在不同应用之间的数据共享

私有云计算可以让企业的IT部门最大化企业的资源,并根据业务需要调整IT服务。 企业可选择租赁数据中心服务商的IT资源, 从而直接减少购买昂贵设备所需要的成本。 云计算可以实现各个业务系统之间的资源相互调度,实现资源扩展,使IT资源的利用率大幅度提升,通过扩展资源使用率提升企业运营效率。

3 云计算在企业运用过程中的安全风险

3.1 云计算资源被滥用的风险

云计算供应方为了扩大其供应范围,促进其服务的快速发展,其登记门槛都比较低,云计算的资源价格设置比较低。 当前,只要持有有效的信用卡,就可以注册和使用云服务。 这种低门槛的云服务使用制度,可以有效扩大云服务的使用范围,增强云计算的发展能力,但也同样给云计算资源的使用带来风险。 企业在发展过程中,如果遇到不良竞争,通过对云计算资源的分布式拒绝服务攻击和对企业身份的破解,可以达到对企业信息系统的攻击。

3.2 对网络违法行为调查和溯源的风险

在企业发展过程中,企业如果遇到恶意的拒绝服务攻击和身份认证的破解, 在未来对破坏者的追查过程中,由于云计算服务注册门槛较低,服务范围大,企业很难找到违法行为的实施者, 对自身遭受的风险和损失,无法采取规避措施。

3.3 企业长期发展方面的风险

在企业的长期发展过程中,企业对云计算服务商长期提供信息数据,云计算服务中心则为企业发展提供数据的管理服务。 但是,如果云计算服务商出现技术上的漏洞和管理上的疏忽,或者是破产或被并购,那么企业发展过程中的数据管理就会出现风险,数据的安全和完整性会受到威胁, 不能给企业提供稳定的云计算服务,从而造成企业发展过程中的风险。

4 云计算在企业应用过程中的安全风险控制措施

4.1 构建科学的云计算应用措施

云计算的发展是依靠计算机技术和互联网技术的发展应用的,所以在发展过程中,通过相关的技术控制达到对云计算的安全性管理,可以有效避免云计算过程中的安全风险给企业造成的数据风险。 在云计算服务的使用过程中,企业可以采取相应的数据加密技术和攻击防范机制的建设,加强企业自身数据的安全性,提高对企业信息数据的保护。

4.2 正确选择云计算服务商

企业在云服务上的选择过程中, 要充分考察云服务商的技术水平和安全服务能力, 对比分析云计算服务商的数据保护能力和信息处理能力, 根据自身的数据管理需求,选择合适的云计算服务商。 从而避免云计算服务商因为破产、并购和管理上的漏洞,造成对企业数据服务的中断和不稳定,并引起企业自身生产发展的潜在风险。

4.3 加强对软件使用的安全管理

企业在云计算服务的选择上,根据自身的服务需求往往会采用相应的云服务软件,而软件服务的提供是由云计算服务商合作的第三方提供的,第三方在软件提供过程中,企业无法获取软件的有效安全信息,如果云计算服务商没有严格对软件进行审核,那么企业很容易受到不安全的软件的影响, 造成信息数据的丢失和损坏。所以,企业在选择软件服务的同时,要深入了解软件的来源的合法性和使用的安全性,以免在使用过程中威胁企业的数据信息安全。

5 结束语

随着计算机技术和互联网技术的迅速发展,当前的数据服务和信息服务越来越规模化、虚拟化,这给企业的发展带来了信息数据管理上的便捷,降低了企业数据管理和分享的门槛。 同时,也给企业带来了潜在的数据风险和安全威胁。 充分认识云计算在企业应用过程中的安全风险, 并采取有效的云计算风险的控制管理措施,可以帮助提高对云计算服务的使用水平,促进企业的安全发展,提高企业的竞争能力。

摘要：随着云计算的发展,其中的安全问题成为阻碍云计算的应用和发展的重要障碍。对于企业来说,云计算的安全风险,如何采取有效措施,规避云计算在企业的应用过程中的安全风险,成为当前企业发展过程中必须要考虑的重要问题。

云计算引发的安全风险 篇7

自从进入云计算模式后,用户只需要对虚拟机进行控制即可,不需要再自己管理数据以及机器,但是也带来了很大的风险,用户的信息极有可能泄露出去,因此对信息的安全、私密性提出了更高的要求。这就需要加大云计算信息安全风险评估力度,利用有效的方法对云计算机系统的所有环节进行风险评估,这样才能在最大程度上保障信息安全,将风险降到最低。

1 云计算等级保护的分析

当前云计算等级保护主要从两个方面进行,一是管理层次,二是技术层次。从管理层次上来看,与传统计算机模式下的等级保护并无差异,传统的等级保护方法依然适用于云计算,只要按照一定的原则对信息进行管理,这样就可以有效防止用户信息的泄露。而从技术层次上来看,传统计算机模式下的等级保护需要设置三重防护,不仅要保证计算环境、区域边界的安全,而且还需要保证通信网络安全[1]。但是云计算不同,该模式下的云边界不够清晰,甚至消失,而且存在诸多不确定因素,这就需要强化等级保护,其中最容易出现问题的是应用以及系统安全,所以这应为成为云计算等级保护的重点。

2 云计算中存在的风险评估

2.1 总的信息安全风险评估

相比于传统计算机模式下的安全控制,云计算更为复杂,具有更大的安全风险,因为云计算不仅增加了云服务模型,而且还增加了相应的运行模式与云服务,同时云法律法规不够完善,用户在使用云计算的过程中一旦发生任何的信息泄露问题,根本就没有相应的法律保障自身权益,这就在很大程度上增加了信息安全风险。实际中容易出现以下五种风险:第一,云应用容易发生安全漏洞问题。云计算涉及了多种类型,不仅有SaaS、PaaS类型,还有I aaS类型,特别是SaaS,人们还没有完全掌握是否存在安全漏洞,需要继续进行深入的研究。第二,云数据存储存在风险。用户对于信息的存储不仅要求完整性,而且还要求机密性,但是在云计算模式中,一直以来都是使用逻辑存储方式,用户根本就不了解存储的具体位置,所以在实际中很难做到存储的完整性以及机密性。第三,云密钥存在风险。在数据保护中通常采用云密钥技术,用户需要对存储的信息进行加密操作,用户的身份验证同样需要进行加密处理,因此云密钥的安全性非常重要[2]。第四,云日志存在风险。在云计算系统程序完善的情况下,云计算应用也越来越频繁,在实际操作中云服务商通常都会保留日志,具有内部属性,很难对其进行监控,需要加强安全性。第五,云访问控制存在风险。云访问控制的安全性至关重要,因为社会上不同企业数据的存储,通常都全部转移到云服务上,甚至全部存储于同一种物理设备中,而这些企业有可能是竞争对象,因此必须要重点关注这个问题。

2.2 从应用安全的角度分析风险

为了能够更好地解决云计算的应用安全问题,需要采取相应的措施有效解决有可能存在的各种威胁,这就需要先了解具体的安全威胁,才能根据等级保护的基本要求提出相应的处理方法。首先,云应用自身以及操作数据过程中存在安全漏洞,这主要是因为云服务商没有对系统进行有效的技术防护以及管理,同时没有提供有效的数据内存处理方法,这就需要云服务商在日常工作中能够对应用程序的功能进行全面的监测,提供相应的性能测试报告,并在数据传输的过程中进行加密传输处理,采取措施完全隔离虚拟机,这样才能保证应用以及数据的安全。

其次,特殊与非特殊云应用没有严格区分开,在一个虚拟机中运行,或者敏感与非敏感数据没有严格区分开,同时存在于一个虚拟机中,这就在很大程度上增加了数据泄露的风险。所以,应当严格区分数据中心、敏感与非敏感数据服务器,在数据传输的过程中,应当通过不同的通道传输信息。

再次,云应用的密钥以及证书具有很大的风险,并且很有可能发生日志泄露。这主要是因为密码可能已经泄露或者已经被篡改,或者日志的管理监督不到位。这就需要在管理的过程中将虚拟机以及云应用严格区分开,严格按照相应的法律要求对密钥以及证书进行有效的管理[3]。同时对日志进行分析管理,并严格按照要求禁止其他用户的访问以及修改,一旦涉及敏感日志,应当做好加密处理工作。

最后,云应用在动态迁移的过程中,性能的稳定性很有可能出现问题。用户在选择退出云服务的过程中,数据销毁不彻底。之所以出现这些问题,主要是因为应用程序的性能没有达到规定的标准,缺乏有效的技术以及管理方法,从而在使用的过程中发生中断,导致数据销毁不彻底。这就需要对云应用程序的性能进行测试,确定其是否能够正常运行,同时,检查数据销毁技术是否达到标准要求,这样就可以有效解决这些问题,从而使云应用能够正常投入使用,保证数据的安全性。

2.3 从系统安全的角度分析风险

在云计算中系统安全非常重要,如果系统不安全,将会给用户带来严重的后果。为了有效地解决云应用系统安全问题,需要具体了解系统有可能存在的问题,才能根据云计算的基本要求提出相应的解决措施。首先,云应用的虚拟机系统加固方法不合理。虚拟机的加固非常重要,如果没有选择合适的加固方案,极有可能导致虚拟机发生恶意侵入,从而使用户信息泄露出去[4]。这主要是涉及访问控制的问题,应当检查该系统的管理与控制方法是否具有良好的监管效果,只有达到了标准的监管效果,才能避免用户信息的泄露。

其次,程序中的HTTP协议存在安全问题。主要是因为HTTP协议没有进行加固,在数据传输的过程中没有启用传输安全进行加密传输[5]。根据这个原因,在实际的操作中应当检查HTTP协议是否采取了加密传输的方法,只要设置了加密传输,才能使系统安全运行。

再次,HOST OS存在安全问题。在云计算中HOST OS控制着全部的虚拟机,如果HOST OS的防护不到位,从而被无关的用户非法访问,将会产生信息安全问题。同时,云计算中的虚拟机缺乏完整性以及合规性,将会导致云服务资源泄露出去。所以,在HOST OS中应当根据实际需求设置安全审计措施,全天24小时监控系统操作过程[6]。另外,对于虚拟机的完整性以及合规性问题,应当全面检查原先的虚拟机系统有没有获得授权与认证,如果属于非法软件,最好不要下载,只有下载正规的软件,才能在最大程度上避免信息泄露[7]。

最后,虚拟机外部接口控制存在问题的情况下,极有可能被非法利用,同时在打开太多程序的情况下,极有可能因为应用压力过大,而耗尽内存资源,从而导致系统崩溃。此时应当检查虚拟机外部接口的管控技术,并检查云计算是否设置了资源状态的监控,在此基础上还需要检查有没有监控服务器状态,这样才能避免信息泄露以及系统崩溃的风险。

3 结语

云计算可以为用户提供众多的服务,具有良好的发展前景,但是它依然存在着诸多的信息安全问题。本文从管理与技术的角度分析云计算有可能存在的威胁,根据实际情况具体分析了信息安全问题,从而根据等级保护的要求提出了相应的防护措施,希望能够为用户提供安全、可靠的云计算服务系统,减少信息安全风险的发生,使用户能够放心使用。

参考文献

[1]徐引进,张彤,陈文佳.基于业务流的安全风险评估方法研究[J].电信工程技术与标准化,2013.

[2]薛姗,陈涛,杜雪涛,高鹏,刘利军.面向云计算的安全风险评估研究[J].电信网技术,2013.

[3]耿显龙.对央行计算机安全风险评估工作的思考[J].金融科技时代,2012.

[4]龚德忠.云计算安全风险评估的模型分析[J].湖北警官学院学报,2011.

思科:云计算时代引发服务器变革 篇8

对于构建数据中心云基础架构, 思科也提出了自己的演进路线。思科大中华区运营商事业部架构师康团社告诉记者:“首先是网络架构整合, 将目前分离网络进行整合, 充分共享资源;其次是统一交换, 将数据网络、存储网络以及高性能计算网络实现融合;第三是统一计算, 将应用资源进一步分离使之提高应用灵活性、提高资源效率;第四是企业内云, 最后则是基于电信运营商建设互联云。

新的产业技术必将带来新的产品形态, 融合成为势不可挡的发展方向, 其中也包括服务器。“回望过去20多年, 服务器一直没有发生质的变化, 未来要跟上数据中心的增长步伐, 服务器只是提升性能或增加数量显然是不行的。”康团社表示, 这些提高利用率和性能的工作反而会增加系统的应用复杂性和资源的不共享, 服务器产业亟需发生质的变化。

面对这一复杂性挑战, 思科大胆提出了全新服务器架构的整合方案——将管理、存储和数据交换统一融合到一台设备, 同时内置管理平台, 并对服务器的交换模块也进行了融合, 新的服务器架构更加简化和便捷, 较之前节省50%的管理模块, 包括网卡、交换机等。