《云安全的现状、问题及对策分析.》由会员分享,可在线阅读,更多相关《云安全的现状、问题及对策分析.(23页珍藏版)》请在金锄头文库上搜索。
1、云安全的现状、问题及对策分析 摘 要随着新技术的不断发展,云安全走进了人们的生活,它利用互联网的传输及计算功能,将原来放在客户端的分析计算能力转移到了服务器端。“云安全”技术的应用越来越广泛,这项技术将在传统的病毒防御技术的基础之上,建立起更加完备的立体型的安全防御体系。随着云技术的不断发展,将会有更多的使用群体加入进来,那时云安全技术的发展以及安全的“云”将会具有更大的影响力,将会有越来越多的用户受益于“安全云”。此次研究探讨了国内外云安全研究现状,指出云安全当前面临的主要问题,再以主流云安全厂商为例,为未来日子里的“云安全”建设提供防护建议,对云安全检测软件也具有一定的借鉴参考作用。关键词
2、:互联网;云安全;应对策略绪论1.1 选题背景和意义云计算引起的安全事件和风险相对于传统应用要高出非常多,其原因是用户及信息资源的高度化集中。自2009年起,Microsoft、Amazon、Google等IT企业云计算服务器发生重大安全事故使众多客户的信息服务遭受影响,这都让业界对于云计算应用安全的忧虑与日俱增。 图1-1 云安全信任危机数据来源:杨光华伴随着信息技术的更新换代,云安全进入了人们的视线,它运用了互联网的传输和计算功能,把分析计算能力从原来的客户端挪到了服务器端。云安全技术的应用层面越来越广,在未来,它会在传统的病毒防御技术的基础上构建起更完善的立体型安全防御体系。在不久的将来
3、,会有更多的使用群体受益于“安全云”,届时云安全技术的发展和安全的“云”会造成更大的影响。此次研究旨在为未来日子里的“云安全”建设提供防护建议,对云安全检测软件也具有一定的借鉴参考作用。1.2 文献综述 从2009年开始,“云技术”、“云计算”和“云安全”等相关“云”词汇便开始进入我们生活,面对互联网新的一股技术浪潮,各界都有着自己的看法,对“云”的探讨从未停止。SpringBoard分析师副经理刘经纬在2011年表示,使用公有云的企业可以通过租用公有云服务的方式来达到减少硬件投资的目的,然而若企业对于可用性要求会高一点的话,则需要投入大量资金购买私有的基础设施等方式来构建私有云。范伟,云计算
4、及其安全问题探讨田J,保密科学技术,2011(10)天云科技韦轶群在2011年表示,要实现较好的运算云计算中心仅仅用小型服务就可以做到,若是运算量大又要求效率高的话,大型服务器则是必须的,例如天气信息的计算等等。胡晓荷,云安全网页挂马的克星J,信息安全与通信保密,2009(2):31-32.曙光天演信息技术有限公司副总裁聂华在2011年表示,尽管云计算技术的确不够成熟,但是传统运作模式也因之被注入了更多的活力。就好像大家用的谷歌搜索引擎那样,我们可以通过购买服务等模式让生活更加简便,这也是我们看到的云计算的发展希望。吉义,沈千里,章剑林,沈忠华,平玲娣,云计算:从云安全到可信云.计算机研究与发
5、展J.中国信息界,2010(11) 应用程序安全公司Veracode的共同创办人及首席技术官Chris Wysopal在2011年表示,由于应用程序已经转移到云提供商的原因,现在对于应用程序在公司内部范围内能够接受的风险问题要重新慎重考虑。潘剑锋,主机恶意代码检测系统的设计与实现D,安徽:中国科学技术大学计算机科学与技术学院出版社,2009.CSA的创办会员Dennis Hurst在2011年指出,之所以大多数应用程序的存储方式、数据传输的方式的安全性被认可,是因为它们都是在企业数据中心的基础上建立起来的。肖珑,张翠,鹿凯宁,基于趋势和瑞星云安全方法的改进设计J中国教育网络,2011,2:86
6、-87Zscaler的Sutton在2012年指出,身处云环境中时,企业使用的安全工具及服务不可以和公司内部的一样,例如网络应用防火墙等等。举个例子说明,企业使用网络应用防火墙来提高传统应用程序的安全级别,那么在云里则不能再次使用这种工具了。游项锋,打造安全的网络环境之“云安全”,电脑编程技巧与维护J, 商务现代化,2009年(7)惠普的Hurst在2012年表示,改善云安全状况的一个机会是将传统的应用程序挪往云环境里。余娟娟 ,浅析“云安全”技术J,计算机安全,2011(09)中国联通研究院研发部副经理张云勇2012年在接受采访时表示,云计算由传统分布式计算发展过来的,可不能说只是新瓶装旧酒
7、。张茜,云安全环境下的恶意代码前端检测技术研究D,安徽:合肥工业大学计算机与信息学院出版社,2011.鲍尔墨在2012年表示计算机领域的下一个阶段是云技术,这也是互联网赐予人类的礼物。朱芳芳,云安全实现措施的研究J,商品与质量.2010年(6)德国信息技术、通信及新媒体协会主席迪特尔肯普2013年在汉诺威信息及通信技术博览会上接受新华社记者专访,说到:“单单从技术层面观看,云计算的发展是符合逻辑的;若是从调整自身基础架构和企业的应用来说,这是革命”。 Jon Oberheide,Evan Cooke,Farnam Jahanian.Rethinking anivirus:Executable
8、analysis in the network cloudC.USENIX Association,Boston,MA:2nd USENIX Workshop on Hot Topics in Security,2007-08.趋势科技大中华区执行副总裁张伟钦2013年表示:“我们公司为了中国的云计算用户给在极早期便作出了大量投资和北京的云基地谋求共同发展,给他们提供最先进的、全生命周期的混合云管理安全解决方案”。 Yan W,Ansari N.Why anti-virus products slow downn your machine?C.San Francisco,California,
9、USA:Proceedings of 18th International Conference on Computer Communications and Network,2012. 图1-2 业界探索云计算安全体系架构数据来源:杨光华1.3概念界定云技术:即云计算(cloud computing),是一种分布式计算技术,通过网络自动把海量的计算处理程序拆分成无数个子程序,然后让众多服务器形成的庞大系统经过搜寻、计算、分析过后把处理的结果回传到用户手里。有了这门技术,网络服务供应商能享受到像“超级计算机”一样的超高效网络服务,在仅仅几秒内就可以处理上千万甚至上亿的信息。 表1-1 云计算与
10、传统方式的对比传统方式云计算实现模式采购设备,开发系统购买外部服务商业模式支付设备和劳动力费用所用即所付,按需服务技术模式用户单一多用户,有弹性计算能力特定规模超大规模可扩展性不可扩展可扩展,可以动态伸缩运行成本高极其廉价数据来源:郭春梅云安全:“云安全(Cloud Security)”,融合了未知病毒行为判断、网格计算、并行处理等技术,透过网状的海量客户端监测异常软件行为,把最新获得的木马及恶意程序交由Server端作分析处理并将木马病毒的解决方案发放到每一个客户端。 图1-3 云安全概述数据来源:杨光华按需的自服务:云计算服务区别于传统网络服务或者普通的IT服务的特点是它不需要人工干预即可
11、自助服务,比如缴费、开通服务、变更配置等等。快速弹性架构:云计算服务的用户不必再为系统规模的扩大缩小而烦恼,这些只要点下鼠标就能轻松解决。软件即服务(SaaS):用户可以在服务提供商端获取完备的应用程序,只要网络连接便可以使用,但只可以对其做小幅度的改变,不能作调整。无论是前台的办公应用,还是后台的客户关系管理、数据分析,亦或业务流程管理及人力资源管理等,全能在云端取得支持。平台即服务(PaaS):一种能为使用者提供特定的平台、工具,将其所开发的应用程序部署到云上运行的服务。服务提供商让用户自行编写新的程序,且提供给他们一个构建、部署和管理的平台(架构与软件系统),从而迅速将程序部署在互联网。
12、这种服务能让开发者省去大量软硬件成本,支持特定形式的程序语言及环境。架构即服务(IaaS):出租基本运算和储存能力的服务,一般来说指服务器,包括网络、CPU、储存资源、操作系统和其他的资源。云服务提供商接受企业的委托为其提供企业内部所需的架构,这样,IT基础架构也成为了服务。用户无需对云端底层基础架构进行管理,然而还是可以对操作系统、网络、储存和所部署的应用程序有所掌握。服务提供商会为用户提供虚拟机,计价方式是以实际使用量来计算。 图1-4 SaaS、PaaS、IaaS概述数据来源:百度图片 图1-5 安全控制与SaaS、PaaS、IaaS数据来源:赵粮1.4研究框架1.4.1 研究内容此次研
13、究的思路大概如下:所要研究问题的背景问题的现状探讨解决问题的建议策略结合案例分析总结1.4.2 研究方法1.文献法:研读国内外安全信息技术领域专家作品文献等资料,整理其关于云安全的观点内容,同时结合自己的见解作出分析。2.实证分析法:搜集云计算服务厂商所公开的数据并进行分析,提取有价值信息。3.案例研究法:引用实际案例对云安全发展进程进行探讨,为云安全建设提供借鉴2云安全现状分析“云”的世界风起云涌,云安全公司、云服务提供商、企业、消费者都在努力寻找自身的角色定位,以适应这互联网的又一巨大变革! 图2-1 云,让你生活更简单数据来源:百度图片2.1全球企业和消费者对云计算安全的关注云计算能够充
14、分利用互联网的高速传输能力,可以让数据的处理过程在大型计算中心和个人计算机之间互相转移,又能提供计算能力、储存能力的服务,是新型的商业计算模式。业界对云计算模式普遍认可,将其纳为信息技术领域新的发展方向。云计算的广泛使用也使得云的安全性受到更多质疑,我们在享受云计算便利的同时也不能无视它的风险所在,若安全问题无法得到妥善解决,云计算也终将是“云烟”,无法触碰。对于云计算,有众多讨论中,调查特别有代表性的是Safenet。“关于云计算的问题,有88.6%的企业表示最担忧其安全性。从一个方面来说,要想实现云计算的大规模运用,安全防护是最大的拦路虎;另外,它也能为在云模式的大环境下寻求有效的数据保护
15、方式推波助澜,企业能够依靠云模式激发最大的商业潜力不断创新,不断成长。”从消费者的角度来看,传统的安全产业受到了弹性计算及海量数据计算的强大冲击,消费化趋势越来越明显,安全因为云计算从开始的“奢侈品”变成了“消费品”。社会调查结果显示,企业及消费者最为关心的是怎样确保云环境的安全,怎样处理好云计算的安全和管理问题也是云计算产业迫在眉睫要解决的重要问题。2.2云计算安全理论研究及规范、标准现状分析云计算是一种新型WEB服务模式,计算和存储能力从桌面端转移到云端、及网络资源的动态伸缩是其内在本质,目的是提高企业运作效率和减少IT成本,涵括了软件即服务(SaaS)、平台即服务(PaaS)、和架构即服务(IaaS)等方面。不难预见的未来,云计算对当下的工作方式和商业应用造成了翻天覆地的变化,担负着在IT、电信、互联网、政府和金融企事业单位众多范围内的构建信息化的重任。云计算应用安全的研究在不断成熟当中
