《计算机新技术专题论文正稿》由会员分享,可在线阅读,更多相关《计算机新技术专题论文正稿(13页珍藏版)》请在金锄头文库上搜索。
1、word格式目录1 研究背景22 云计算的相关概念33云计算的网络问题43.1 拒绝服务攻击53.2 中间人攻击53.3网络嗅探53.4 端口扫描63.5 SQL注入攻击63.6 跨站脚本攻击64云计算的安全问题74.1 XML签名包装74.2 浏览器安全性74.3 云恶意软件注入攻击84.4 洪流攻击84.5 数据保护84.6 数据删除不彻底94.7 技术锁定95网络安全对策分析95.1 完善立法及相关的法律制度105.2运用隐私增强技术105.3设立监管机构116总结12基于云计算及其应用的网络安全问题摘要:云计算是当前计算机领域的一个热点。它的出现宣告了低成本提供超级计算时代的到来。云计
2、算将改变人们获取信息、分享内容和互相沟通的方式。此文阐述了云计算的研究背景、相关概念、网络问题、安全问题、解决方法对策,并对云计算的网络安全问题的解决方法做了评价及缺陷的分析。关键词: 云计算, 云计算网络问题, 云计算的安全AbstractCloud computing is a hot area of the current computer. The emergence of a declaration of its low-cost supercomputing era provided. Cloud computing will change the way people acces
3、s information, share content and communicate with each others way.This article describes cloud computing research background, concepts, network problems, security, the solution countermeasure, and security issues of cloud computing solution to do the evaluation and defect analysis.Keywords: Cloud co
4、mputing, cloud computing network problems,cloud computing security1 研究背景 2007年10月,Google和IBM在美国大学校园开始尝试推广云计算计划,学生可以透过网络开发各项以大规模计算为基础的研究计划;随后,更多的IT巨头也开始往这方面发展。从此,云计算技术开始取代其他计算机技术成为IT业界的流行术语。国务院出台国务院关于加快培育和发展战略性新兴产业的决定,决定指出,战略性新兴产业是引导未来经济社会发展的重要力量,相关产业应快速发展,占国民生产总值比将从2015年的8%上升到2020年15%。战略性新兴产业主要包括:节能
5、环保、新一代信息技术、生物、高端装备制造、新能源、新材料和新能源汽车七大产业,其中新一代信息技术的表述和位置靠前。新一代信息技术涉及3G、地球空间信息产业(3S)、三网融合、物联网和信息安全、云计算等,这几大领域未来在中国将都是千亿级别的市场,行业带动效应达到万亿。战略信息产业通过数字化、信息化、智能化加速其他战略新型产业成长进程。其中云计算公司值的投资者密切关注。云计算产业被认为是继大型计算机、个人计算机、互联网之后的第四次IT产业革命。云计算对于通信信息技术产业的意义重大,各个国家都不愿错失发展机会。美国国际数据公司(IDG)预测称,到2012年,全球“云计算”服务市场规模将达到约420亿
6、美元。我国政府极其重视云计算所带来的机会。温总理在2009年的政府工作报告里提出发展战略性新兴产业后,北京、上海、无锡等地提出了物联网、云计算发展规划和实施计划。上海市发布3年规划31亿推进13个项目;北京市启动祥云计划,力争世界级的云计算基地。 通过互联网,云计算能提供动态的虚拟化资源、带宽资源和定制软件给用户,并承诺在应用中为用户产生可观的经济效益。云计算可以帮助用户减少对硬件资源、软件许可及系统维护的投入成本:通过互联网,用户可以方便地使用云平台上的各类应用服务。此外,通过云计算用户可以节约投资成本并可灵活地实现按需定制服务,云平台的按需定制服务可以快速地响应用户需求,并方便地将用户资源
7、接人宽带网络。可是在目前的网络状态下,云计算的引入,将会带来新的网络安全问题。 在此针对云计算及其应用和网络安全威胁问题进行了细致探讨。在网络安全方面,云计算主要面临着以下的威胁攻击:拒绝服务攻击、中间人攻击、网络嗅探、端口扫描、SQL注入和跨站脚本攻击;在安全风险方面,云计算面临的威胁主要是:XML签名包装、浏览器安全性、云恶意软件注入、洪流攻击、数据保护、数据删除不彻底和技术锁定。2 云计算的相关概念许多公司,机构经常需要对海量数据进行存储和检索,而云计算可以有效地以最小的成本、最短的时间和最大的灵活性来实施完成该项任务。利用云计算获取便利的同时,用户也要面临云计算中各种不同的安全风险问题
8、,如必须要将云平台上不同用户的数据相隔离,要保证不同云用户数据的私密性、可靠性和完整性。此外,云服务提供商对云上的基础服务设施必须制定一套完善的风险管理控制方案,像服务提供商操纵或窃取程序代码的安全风险是时有出现的。经常使用的互联网,通常也可以被看作一朵巨大的云。通过互联网,云计算被看作一个应用和服务呈现给用户。它的出现迅速将旧的计算机技术整合。然后转变为一项新技术。目前互联网提供了不同的服务给不同的用户群体,提供这些服务并不需要什么特殊的设备或软件。因此,云计算最起码包含几个特性:“云是一个大型资源池,可以轻松地获取虚拟化资源(如硬件、开发平台或服务)。这些资源可以动态地重新配置和灵活整合,
9、达到一个最佳的资源利用率。云服务提供商通过定制服务水平协议,提供基础设施服务并按付费的模式来管理维护这种资源池。”云计算不是一个单一产品。它提供了不同的服务模式,主要包括以下3种:软件即服务、平台即服务(PaaS)和基础设施即服务(IaaS)。SaaS是一种通过互联网来提供软件的服务模式,用户无需购买软件。而是向云服务提供商租用基于Web的软件来管理企业经营活动。Paas是把计算环境、开发环境等平台作为一种服务提供的商业模式。云计算服务提供商可以将操作系统、应用开发环境等平台级产品通Web以服务的方式提供给用户。通过PaaS,软件开发人员可以在不购买服务器的情况下开发新的应用程序。IaaS是把
10、数据中心、基础设施硬件资源(如存储、硬件、服务器、网络)通过Web分配给用户使用的商业模式。这些资源由云服务提供商进行操作、维护和管理。根据美国国家标准技术研究院(NIST)的定义,云计算有4种部署模式,分别是:公共云、私有云、混合云和社区云。公共云:它面向大众提供资源、Web应用和其他服务等,任何用户都可以通过互联网从云服务商处获取这些服务。公共云上的基础设施由公用的企业机构进行建设及管理。私有云:这种云基础设施专门为一个企业服务,该企业内的任何用户都可以从云设施处获取数据、服务和Web应用,但企业外部的用户则不能访问云。私有云上的基础设施完全由企业自身管理,并维护公共数据。混合云:混合云是
11、两种或两种以上的云计算模式的混合体,如公有云和私有云混合。它们相互独立,但在云的内部又相互结合,可以发挥出所混合的多种云计算模型各自的优势。社区云:这种模式是建立在一个特定的小组里多个目标相似的公司之间的,其共享一套基础设施,所产生的成本共同承担。因此,其所能实现的成本节约效果也并不很明显。社区云的成员都可以登人云中获取信息和使用应用程序。3云计算的网络问题云计算环境中存着在多种网络安全威胁问题,现将其中一些主要的网络问题进行探讨分析。3.1 拒绝服务攻击拒绝服务攻击指攻击者想办法让目标服务器停止提供服务甚至主机死机。如攻击者频繁地向服务器发起访问请求,造成网络带宽的消耗或者应用服务器的缓冲区
12、满溢:该攻击使得服务器无法接收新的服务请求,其中包括了合法客户端的访问请求。例如。一个黑客劫持了Web服务器,使其应用服务停止运行,导致服务器不能提供Web服务。在云计算中,黑客对服务器开展拒绝服务攻击时,会发起成千上万次的访问请求到服务器,导致服务器无法正常工作。无法响应客户端的合法访问请求。针对这种攻击,可以采用的应对策略是减少连接到服务器的用户的权限,这将有助于降低拒绝服务攻击的影响。3.2 中间人攻击中间人攻击是另一种网络攻击手段。攻击者通过拦截正常的网络通信数据。并进行数据篡改和嗅探,而通信的双方却毫不知情。在网络通信中,如果安全套接字层(SSL)没有正确配置,那么这个风险问题就有可
13、能发生。例如,如果通信双方正在进行信息交互,而SSL没有正确地安装,那么所有双方之间的数据通信,都有可能被黑客侵入获取。针对这种攻击手段,可以采用的应对措施是正确地安装配置SSL。而且使用通信前应由第三方权威机构对SSL的安装配置进行检查确认。3.3网络嗅探网络嗅探原先是网络管理员用来查找网络漏洞和检测网络性能的一种工具,但是到了黑客手中,它变成了一种网络攻击手段,造成了一个更为严峻的网络安全问题。例如,在通信过程中,由于数据密码设置过于简单或未设置,导致被黑客破解,那么未加密的数据便被黑客通过网络攻击获取。如果通信双方没有使用加密技术来保护数据安全性。那么攻击者作为第三方便可以在通信双方的数
14、据传输过程中窃取到数据信息。针对这种攻击手段,可以采用的应对策略是通信各方使用加密技术及方法,确保数据在传输过程中安全。3.4 端口扫描端口扫描也是一种常见的网络攻击方法,攻击者通过向目标服务器发送一组端口扫描消息。并从返回的消息结果中探寻攻击的弱点。应用服务器总是开放着各类端口应用,例如80端口(HTTP)是为了给用户提供Web应用服务,再如21端口(FTP)是为了给用户提供n甲应用服务的。这些端口总是一直处于打开状态,应该在需要的时候打开。并且应该对端口进行加密。针对此类攻击,可以启用防火墙来保护数据信息免遭端口攻击。3.5 SQL注入攻击SQL注入是一种安全漏洞,利用这个安全漏洞,攻击者
15、可以向网络表格输入框中添加SQL代码以获得访问权。在这种攻击中。攻击者可以操纵基于Web界面的网站,迫使数据库执行不良SQL代码,获取用户数据信息。针对这种攻击。应定期使用安全扫描工具对服务器的Web应用进行渗透扫描,这样可以提前发现服务器上的SQL注入漏洞,并进行加固处理;另外,针对数据库SQL注入攻击,应尽量避免使用单引号标识,同时限制那些执行Web应用程序代码的账户权限,减少或消除调试信息。3.6 跨站脚本攻击跨站脚本攻击指攻击者利用网站漏洞恶意盗取用户信息。用户在浏览网站内容时,一般会点击网站中的链接,攻击者在链接中植入恶意代码,用户点击该链接就会执行该恶意代码,将用户重定向到一个攻击者定制好的页面中,并盗取用户cookie等敏感数据。跨站点脚本攻击可以提供缓冲溢出、DoS攻击和恶意软件植入Web浏览器等方式来盗取用户信息。对付此类攻击,最主要的应对策略是编写安全的代码,避免恶意数据被浏览器解析;另外,可以在客户端进行防御,如把安全级别设高,只允许信任的站点运行脚本、Java、flash等小程序。4云计算的安全问题根据调查统计,云计算主要面临以下7种安全问题,下面逐一进行探讨分析。4.1 XML签名包装XML签名包装
