分析云計算環(huán)境下信息資源的安全策略

【摘 要】作為一種新興的計算機技術(shù)，云計算迅速在全世界迅速發(fā)展起來，在給社會發(fā)展帶來了巨大變革的同時也帶來了各種信息安全問題。本文對云計算環(huán)境下隱藏的信息安全問題進行了分析和研究。并從提供商和用戶的角提出了相應(yīng)的技術(shù)對策，可以為云計算用戶的信息安全問題的預(yù)防提供可行的建議。

【關(guān)鍵詞】云計算 信息安全 安全策略

作為一種新興的計算機技術(shù)，云計算滿足了個人、企業(yè)和政府對信息處理能力不斷加強、信息存儲容量不斷擴大的需求而在全世界迅速發(fā)展起來。它是一種以數(shù)據(jù)信息為核心的計算服務(wù)模式，具有成本低、功能強大、效率高和操作便捷等優(yōu)勢。但是云計算技術(shù)卻存在不容忽視的信息安全問題。云計算技術(shù)的信息安全問題能否得到有效控制和解決決定了該技術(shù)未來發(fā)展的方向和成敗。

一、云計算環(huán)境和信息安全概述

（一）云計算概念

云計算是一種以互聯(lián)網(wǎng)技術(shù)和計算機技術(shù)為基礎(chǔ)的計算服務(wù)模式，該模式下用戶可以方便地訪問任意可配置的如網(wǎng)絡(luò)服務(wù)器應(yīng)用程序或服務(wù)等計算資源。這些資源都是可以被提供商迅速提供的，同時還使得管理成本最小。當前，較為常用的云計算應(yīng)用有亞馬遜網(wǎng)絡(luò)服務(wù)、中國移動的“大云”、Google App Engine、IBM的“藍云”等。

（二）信息安全概述

信息資源的安全性實質(zhì)是保證系統(tǒng)正常連續(xù)的運行狀態(tài)，保證計算機硬件、軟件和數(shù)據(jù)等信息系統(tǒng)不受外界環(huán)境或外來事物任意威脅、干擾或者破壞，保證用戶所需要的信息服務(wù)不發(fā)生中斷，從而保證最終實現(xiàn)業(yè)務(wù)的連續(xù)性和可靠性。云計算環(huán)境下的信息資源安全指的是用戶儲存在云端的數(shù)據(jù)信息的安全及隱私或保密性信息的安全。簡單的來說就是要保證用戶儲存在云端的數(shù)據(jù)信息免于非法下載或篡改的威脅。

二、云計算所帶來的信息安全問題

云計算所帶來的安全問題一般表現(xiàn)在信息泄露、丟失和破壞、非法入侵、中斷或拒絕服務(wù)、內(nèi)部攻擊、信息竊聽等方面上。云計算服務(wù)環(huán)境的安全問題直接影響到個人、行業(yè)和政府的利益。近年來不少云計算服務(wù)爆出了嚴重的安全事故，引發(fā)了人們的擔憂。例如，2009年英國政府就丟失了數(shù)萬人的包括社會保障號碼等信息在內(nèi)的個人資料；Google Gmail 郵箱在2010年爆發(fā)全球性故障，導(dǎo)致提供服務(wù)中斷長達4個小時，2011年又發(fā)生了用戶數(shù)據(jù)泄露事件，被泄露數(shù)據(jù)的用戶人數(shù)達到15 萬；2011年，亞馬遜云數(shù)據(jù)服務(wù)中心大面積停機，導(dǎo)致多項云計算服務(wù)受到影響。索尼的服務(wù)器在同一年遭到黑客入侵，7700多萬用戶的個人基本信息被竊取，涉及五十多個國家和地區(qū)。可見，云計算服務(wù)帶來方便和更高經(jīng)濟效益的同時也帶來了嚴重的信息資源安全隱患。

三、云計算環(huán)境下信息資源安全的策略

如今尋求高效的云計算環(huán)境下信息資源安全策略已成為業(yè)界共識。云計算涉及多方面的的資源安全性策略，包括技術(shù)、立法、管理、商業(yè)和監(jiān)管等層面。本文將從提供商和用戶角度出發(fā)，對技術(shù)策略展開討論。

（一）提供商角度

（1）確保安全的外部硬件環(huán)境

對未經(jīng)授權(quán)的訪問、破壞和干擾系統(tǒng)和設(shè)備的行為進行阻止。服務(wù)提供商應(yīng)當建立相應(yīng)的數(shù)據(jù)容災(zāi)體系，例如對數(shù)據(jù)進行冗余保存、備份保存和異地保存等策略防止由于物理層破壞而帶來的數(shù)據(jù)丟失、破壞和泄露問題，做好隨時對系統(tǒng)進行監(jiān)視和切換準備。如果某處系統(tǒng)意外停止工作，另一系統(tǒng)可以及時取代停機系統(tǒng)而進入工作狀態(tài)，從而可以維持云計算不間斷服務(wù)。

（2）確保云計算應(yīng)用程序的安全

云計算服務(wù)應(yīng)用程序主要包括三種模式 SaaS、PaaS和IaaS。SaaS服務(wù)模式下，安全問題集中在服務(wù)提供商，用戶直接從服務(wù)提供商那里接收服務(wù)應(yīng)用程序，用戶只具有簡單的訪問和操作權(quán)限，所以應(yīng)用程序和組件的安全性要在開發(fā)階段得到保證。而PaaS服務(wù)模式下，安全問題集中在客戶端，針對該模式服務(wù)需要通過瀏覽器訪問的特點，要保證訪問平臺和網(wǎng)絡(luò)程序的安全。為此，使用用戶授權(quán)和單點登錄就是最好的方法。另外PaaS允許開發(fā)者在平臺上開發(fā)應(yīng)用，所以必須解決提供商的開發(fā)接口的運行安全，采取用戶授權(quán)和單點登錄后，接口可以免于外部攻擊。企業(yè)用戶一般采用IaaS，且提供資源池內(nèi)的公共服務(wù)組件，但在處理數(shù)據(jù)時不會隔離不同的用戶信息，因而一個用戶受到攻擊后所有的服務(wù)器都跟著受到攻擊。為此，可以采取對數(shù)據(jù)分區(qū)進行隔離的對策。

（二）用戶角度

（1）采取數(shù)據(jù)加密與解密的存儲和傳輸對策

數(shù)據(jù)加密和解密是對數(shù)據(jù)信息進行保護的一種最可靠有效的方法。在傳輸或儲存的時候?qū)π畔⑦M行加密，只有知道秘鑰才能打開對應(yīng)的信息，所以有效的防止了信息泄露和破壞。

（2）采取數(shù)據(jù)備份和分地保存

用戶要有規(guī)避風險的意識，對于重要的信息和資料要備份保存和分地保存。云計算服務(wù)下如果數(shù)據(jù)發(fā)生損壞或丟失，可利用備份信息恢復(fù)數(shù)據(jù)。

云計算的信息資源安全對其發(fā)展和使用至關(guān)重要。云計算的信息資源安全可靠的保障需要云計算服務(wù)提供商、用戶以及政府的共同努力。服務(wù)商需要在技術(shù)上進行不斷更新和完善，這是解決安全隱患最基本和最重要的環(huán)節(jié)。用戶自身也要有安全防患的意識，主動采取風險規(guī)避的措施。

參考文獻：

[1]陳獻輝.試論云計算環(huán)境下信息資源的安全策略研究[J].電腦知識與技術(shù).2013：9（27）.

[2]佟得天，劉旭東等.云計算信息安全分析與實踐[J]. 運營創(chuàng)新論壇，2013：（2）.

[3]婁偉.云計算環(huán)境下用戶信息安全策略研究[D].東北師范大學(xué).2013.5.

[4] 張 慧，邢培振.云計算環(huán)境下信息安全分析[J]. 計算機技術(shù)與發(fā)展.2011.12（11）.