1.云计算介绍
云计算是一种基于互联网的新兴的共享基础架构的超级计算模式,是分布式处理、并行处理和网格计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。云计算将计算资源分布在由大量计算机构成的资源池上,而非本地计算机或远程服务器中,用户根据需求通过网络访问计算机和存储系统。在远程的数据中心里,成千上万台计算机和服务器连接成一片计算机云。利用这些“云”,用户通过终端接人数据中心,按自己的需求进行运算。
目前,云计算有三种服务模式:软件服务(SAAS,sottwareas a service),平台服务(PAAS,platform as a service),基础设施服务(IAAS,infrastructure as a service)。云通过网络把多个计算机整合成一个具有强大计算能力的完美系统,并借助SAAS、PAAS、IAAS等先进的商业模式把强大的计算能力分布到终端用户手中。云计算的核心理念就是通过不断提高“云”的处理能力,进而减少用户终端的处理负担,最终使用户终端简化成一个单纯的输入输出设备,并能按需享受“云”的强大计算处理能力。
2.企业使用云计算服务的潜在安全风险
虽然云计算产业具有巨大的市场增长前景,但对于使用这项服务的企业用户来说,应该意识到,云计算服务存在以下潜在安全风险:
2.1 优先访问权风险
一般来说,企业数据都有其机密性。但这些企业把数据交给云计算服务商后,具有数据优先访问权的并不是相应企业,而是云计算服务商。如此一来,就不能排除企业数据被泄露出去的可能性。针对企业用户,在选择使用云计算服务之前,应要求服务商提供其IT管理员及其他员工的相关信息,从而把数据泄露的风险降至最低。
2.2 管理权限风险
虽然企业用户把数据交给云计算服务商托管,但数据安全及整合等事宜,最终仍将由企业自身负责。传统服务提供商一般会由外部机构来进行审计或进行安全认证。但如果云计算服务商拒绝这样做,则意味着企业客户无法对被托管数据加以有效利用。
2.3 数据处所风险
当企业客户使用云计算服务时,他们并不清楚自己数据被放置在哪台服务器上,甚至根本不了解这台服务器放置在哪个国家。出于数据安全考虑,企业用户在选择使用云计算服务之前,应事先向云计算服务商了解,这些服务商是否从属于服务器放置地所在国的司法管辖;在这些国家展开调查时,云计算服务商是否有权拒绝提交所托管的数据。
2.4 数据隔离风险
在云计算服务平台中,大量企业用户的数据处于共享环境下,即使采用数据加密方式,也不能保证做到万无一失。专家认为,解决该问题的最佳方案是:将自己数据与其他企业用户的数据隔离开来。数据加密在很多情况下并不有效,而且数据加密后,又将降低数据使用的效率。
2.5 数据恢复风险
即使企业用户了解自己的数据被放置到哪台服务器上,也得要求服务商作出承诺,必须对所托管数据进行备份,以防止出现重大事故时,企业用户的数据无法得到恢复。专家建议,企业用户不但需了解服务商是否具有数据恢复的能力,而且还必须知道服务商能在多长时间内完成数据恢复。
2.6 调查支持风险
通常情况下,如果企业用户试图展开违法活动调查,云计算服务商肯定不会配合,这当然合情合理。但如果企业用户只是想通过合法方式收集一些数据,云计算服务商也未必愿意提供,原因是云计算平台涉及到多家用户的数据,在一些数据查询过程中,可能会牵涉到云计算服务商的数据中心。如此一来,如果企业用户本身也是服务企业,当自己需要向其他用户提供数据收集服务时,则无法求助于云计算服务商。
2.7 长期发展风险
如果企业用户选定了某家云计算服务商,最理想的状态是:这家服务商能够一直平稳发展,而不会出现破产或被大型公司收购现象。其理由很简单:如果云计算服务商破产或被他人收购,企业客户既有服务将被中断或变得不稳定。专家建议,在选择云计算服务商之前,应把长期发展风险因素考虑在内。
3.云计算中确保信息安全的具体方法
虽然云计算的优点在不断彰显——包括可以增加企业效率和控制IT成本的按需服务,但是云安全却时常被认为是使得云方案无法被广泛接受的第一大障碍。
据业内专家透露,许多企业还踌躇于云环境中的数据完整性、恢复与隐私、规则服从性。为确保云计算中的信息安全,具体方法有:
3.1 对保存文件进行加密
加密技术可以对文件进行加密,那样只有密码才能解密。加密让你可以保护数据,哪怕是数据上传到别人在远处的数据中心时。PGP或者对应的开源产品TrueCrypt等程序都提供了足够强大的加密功能:只要你使用无法破解的密码,那么除了你,没人能访问你的敏感信息。
3.2 对电子邮件进行加密
PGP和TrueCrypt都能对文件在离开你的控制范围之前对它们进行加密,从而起到保护作用。但这样一来,电子邮件就岌岌可危了,因为它是以一种仍能够被偷窥者访问的格式到达你的收件箱。为了确保邮件安全,不妨使用Hushmail或者Mutemail之类的程序,两者都能在网上使用,可以自动对你收发的所有邮件进行加密。
3.3 使用信誉良好的服务
就算你对文件进行了加密,有些在线活动(尤其是涉及在网上处理文件、而不是仅仅保存文件的活动)仍很难保护。这意味着用户仍需要认真考虑自己使用哪些服务。专家们建议使用名气大的服务,它们不大可能拿自己的名牌来冒险,不会任由数据泄密事件发生,也不会与营销商共享数据。
3.4 考虑商业模式
在设法确定哪些互联网应用值得信任时,应当考虑它们打算如何盈利。收取费用的互联网应用服务可能比得到广告资助的那些服务来得安全。广告给互联网应用提供商带来了经济上的刺激,从而收集详细的用户资料用于针对性的网上广告,因而用户资料有可能落人不法分子的手里。
3.5 阅读隐私声明
几乎有关互联网应用的每项隐私政策里面都有漏洞,以便在某些情况下可以共享数据。大多数互联网应用提供商在自己政策条款中承认:如果执法官员提出要求,自己会交出相关数据。但了解到底哪些信息可能会披露,可以帮你确定把哪些数据保存在云计算环境、哪些数据保存在桌上。
3.6 使用过滤器
Vontu、Websense和Vericept等公司提供一种系统,目的在于监视哪些数据离开了你的网络,从而自动阻止敏感数据。比方说,社会保障号码具有独特的数位排列方式。还可以对这类系统进行配置,以便一家公司里面的不同用户在导出数据方面享有不同程度的自由。
4.总结和展望
在云安全时代,信息安全领域进入了以立体防御、深度防御为核心思想的信息安全保障的时代,形成了以预警、攻击防御、响应、回复为主要特征的全生命周期安全管理,出现了大规模网络攻击与防护、互联网安全监督等各项新的研究内容。云计算及其安全问题充满了很多的未知,亟待我们去解决,因此,分析问题,找出问题的症结,实施解决方法见识我们努力的方向。
来源:CIO时代网