畢業(yè)設計淺論云計算的網(wǎng)絡安全問題

./.XX科技職業(yè)學院畢業(yè)設計作者：學號：學系：電子信息工程與技術系專業(yè)：計算機網(wǎng)絡技術題目：淺談云計算的網(wǎng)絡安全問題指導者：2011年02月XX.畢業(yè)設計評語題目：專業(yè)：班級：姓名：學號：畢業(yè)設計得分：答辯得分：綜合評定：指導老師評語：畢業(yè)設計得分：答辯得分：綜合評定：指導老師評語：指導教師〔簽字：年月日答辯委員會〔小組評語： 答辯委員會〔小組負責人〔簽字： 年月日目錄摘要51緒論61.1云計算的概念6云計算的特點7云計算分類81.2云計算發(fā)展現(xiàn)狀91.3云計算實現(xiàn)機制112云計算網(wǎng)絡安全132.1云計算安全問題究竟是什么問題132.2廣義的云計算安全問題152.3云安全的七大技術核心162.3.1Web信譽服務162.3.2電子郵件信譽服務16文件信譽服務16行為關聯(lián)分析技術17自動反饋機制17威脅信息匯總17白名單技術172.4云計算的七大潛在安全風險182.4.1優(yōu)先訪問權風險182.4.2管理權限風險182.4.3數(shù)據(jù)處所風險182.4.4數(shù)據(jù)隔離風險182.4.5數(shù)據(jù)恢復風險192.4.6調查支持風險192.4.7長期發(fā)展風險193云計算安全問題的解決辦法193.1云計算中確保信息安全的具體方法193.1.1對保存文件進行加密203.1.2對電子郵件進行加密203.1.3使用信譽良好的服務203.1.4考慮商業(yè)模式203.1.5閱讀隱私聲明203.1.6使用過濾器203.2確保云安全的八個小技巧213.2.1評估你的目標213.2.2執(zhí)行利弊分析213.2.3給予應有的關注213.2.4明智地抉擇213.2.5保護數(shù)據(jù)213.2.6評估供應商213.2.7考慮一種混合安全模式213.2.8注意服從性214展望云計算的未來224.1未來：一個時代的到來234.2私有云才是標志234.320XX是"云元年"24結論25致謝26參考文獻26淺析云計算的網(wǎng)絡安全問題摘要云計算是一種基于Internet的新興應用計算機技術。其愿景是以互聯(lián)網(wǎng)為中心,提供可靠安全的數(shù)據(jù)存儲、方便快捷的互聯(lián)網(wǎng)服務和強大的計算能力。在這個特殊的云計算環(huán)境下,如何保證存儲在云上數(shù)據(jù)的安全,將是云計算面臨的一個大問題。本文將從云計算的特征及目前存在的問題出發(fā),淺析云計算的網(wǎng)絡安全問題。關鍵詞:云計算；網(wǎng)絡安全；問題AbstractCloudcomputingisanemergingInternet—basedapplicationofcomputertechnology．It’svisioncenteredontheInternet,providingreliableandsecuredatastorage,convenientInteractservicesandcomputingpower．Inthisparticularcloudcomputingenvironment,howtoensurethesafetyofthedatastoredinthecloud,willbeamajorproblemthatcloudcomputingfacing．Thispaperwillstartwiththecharacteristicsofcloudcomputingandtheexistingproblems,analysistheCloudComputingfacingtheissueofnetworksecurity.Keywords:CloudComputing;Networksecurity;Issue1緒論輕靈婉約,隨意縹緲,漫步云端的感覺,總能讓人在空靈的寥落中感受真實的平靜。然而,在信息安全行業(yè),漫步云端卻并不像想象中那么浪漫。今年"云計算"在IT行業(yè)的強勁勢頭引得商家頻頻側目,而在信息安全行業(yè),一個新詞"云安全"也在業(yè)界掀起不小風浪,各大廠商紛紛跟風,一時間,"云安全"熱潮高漲。然而,在信息安全這方戰(zhàn)場上,想在刀光劍影中制勝,沒有扎扎實實的技術支持,唯有成寇。云計算作為一個新名詞,人們甚至還沒有弄清楚它的確切定義,云計算安全問題就隨之而來,關于云計算安全的討論也屢見媒體和學術報章。但是,根據(jù)筆者的觀察,很多人對云計算安全問題的理解多有模糊之處,對云計算安全問題的本質缺乏足夠的理解。1.1云計算的概念云計算〔CloudComputing是在20XX第3季度才誕生的新名詞,但僅僅過了半年多,其受到關注的程度就超過了網(wǎng)格計算〔GridComputing,如圖1-1所示。圖1-1云計算和網(wǎng)格計算在Google中的搜索趨勢然而,對于到底什么是云計算,至少可以找到100種解釋,目前還沒有公認的定義。云計算是一種商業(yè)計算模型,它將計算任務分布在大量計算機構成的資源池上,使用戶能夠按需獲取計算力、存儲空間和信息服務。這種資源池稱為"云"。"云"是一些可以自我維護和管理的虛擬計算資源,通常是一些大型服務器集群,包括計算服務器、存儲服務器和寬帶資源等。云計算將計算資源集中起來,并通過專門軟件實現(xiàn)自動管理,無需人為參與。用戶可以動態(tài)申請部分資源,支持各種應用程序的運轉,無需為煩瑣的細節(jié)而煩惱,能夠更加專注于自己的業(yè)務,有利于提高效率、降低成本和技術創(chuàng)新。云計算的核心理念是資源池,這與早在20XX就提出的網(wǎng)格計算池〔ComputingPool的概念非常相似。網(wǎng)格計算池將計算和存儲資源虛擬成為一個可以任意組合分配的集合,池的規(guī)?？梢詣討B(tài)擴展,分配給用戶的處理能力可以動態(tài)回收重用。這種模式能夠大大提高資源的利用率,提升平臺的服務質量。之所以稱為"云",是因為它在某些方面具有現(xiàn)實中云的特征：云一般都較大；云的規(guī)?？梢詣討B(tài)伸縮,它的邊界是模糊的；云在空中飄忽不定,無法也無需確定它的具體位置,但它確實存在于某處。之所以稱為"云",還因為云計算的鼻祖之一亞馬遜公司將大家曾經(jīng)稱為網(wǎng)格計算的東西,取了一個新名稱"彈性計算云"〔ElasticComputingCloud,并取得了商業(yè)上的成功。有人將這種模式比喻為從單臺發(fā)電機供電模式轉向了電廠集中供電的模式。它意味著計算能力也可以作為一種商品進行流通,就像煤氣、水和電一樣,取用方便,費用低廉。最大的不同在于,它是通過互聯(lián)網(wǎng)進行傳輸?shù)摹Ｔ朴嬎闶遣⑿杏嬎恪睵arallelComputing、分布式計算〔DistributedComputing和網(wǎng)格計算〔GridComputing的發(fā)展,或者說是這些計算科學概念的商業(yè)實現(xiàn)。云計算是虛擬化〔Virtualization、效用計算〔UtilityComputing、將基礎設施作為服務IaaS〔InfrastructureasaService、將平臺作為服務PaaS〔PlatformasaService和將軟件作為服務SaaS〔SoftwareasaService等概念混合演進并躍升的結果。1.1.1云計算的特點從研究現(xiàn)狀上看,云計算具有以下特點。A．超大規(guī)模。"云"具有相當?shù)囊?guī)模,Google云計算已經(jīng)擁有100多萬臺服務器,亞馬遜、IBM、微軟和Yahoo等公司的"云"均擁有幾十萬臺服務器。"云"能賦予用戶前所未有的計算能力。B．虛擬化。云計算支持用戶在任意位置、使用各種終端獲取服務。所請求的資源來自"云",而不是固定的有形的實體。應用在"云"中某處運行,但實際上用戶無需了解應用運行的具體位置,只需要一臺筆記本或一個PDA,就可以通過網(wǎng)絡服務來獲取各種能力超強的服務。C．高可靠性。"云"使用了數(shù)據(jù)多副本容錯、計算節(jié)點同構可互換等措施來保障服務的高可靠性,使用云計算比使用本地計算機更加可靠。D．通用性。云計算不針對特定的應用,在"云"的支撐下可以構造出千變萬化的應用,同一片"云"可以同時支撐不同的應用運行。E．高可擴展性。"云"的規(guī)?？梢詣討B(tài)伸縮,滿足應用和用戶規(guī)模增長的需要。F．按需服務。"云"是一個龐大的資源池,用戶按需購買,像自來水、電和煤氣那樣計費。G．極其廉價。"云"的特殊容錯措施使得可以采用極其廉價的節(jié)點來構成云；"云"的自動化管理使數(shù)據(jù)中心管理成本大幅降低；"云"的公用性和通用性使資源的利用率大幅提升；"云"設施可以建在電力資源豐富的地區(qū),從而大幅降低能源成本。因此"云"具有前所未有的性能價格比。Google中國區(qū)前總裁李開復稱,Google每年投入約16億美元構建云計算數(shù)據(jù)中心,所獲得的能力相當于使用傳統(tǒng)技術投入640億美元,節(jié)省了40倍的成本。因此,用戶可以充分享受"云"的低成本優(yōu)勢,需要時,花費幾百美元、一天時間就能完成以前需要數(shù)萬美元、數(shù)月時間才能完成的數(shù)據(jù)處理任務。1.1.2云計算分類云計算按照服務類型大致可以分為三類：將基礎設施作為服務IaaS、將平臺作為服務PaaS和將軟件作為服務SaaS,如圖1-2所示。圖1-2云計算的服務類型IaaS將硬件設備等基礎資源封裝成服務供用戶使用,如亞馬遜云計算AWS〔AmazonWebServices的彈性計算云EC2和簡單存儲服務S3。在IaaS環(huán)境中,用戶相當于在使用裸機和磁盤,既可以讓它運行Windows,也可以讓它運行Linux,因而幾乎可以做任何想做的事情,但用戶必須考慮如何才能讓多臺機器協(xié)同工作起來。AWS提供了在節(jié)點之間互通消息的接口簡單隊列服務SQS〔SimpleQueueService。IaaS最大的優(yōu)勢在于它允許用戶動態(tài)申請或釋放節(jié)點,按使用量計費。運行IaaS的服務器規(guī)模達到幾十萬臺之多,用戶因而可以認為能夠申請的資源幾乎是無限的。同時,IaaS是由公眾共享的,因而具有更高的資源使用效率。PaaS對資源的抽象層次更進一步,它提供用戶應用程序的運行環(huán)境,典型的如GoogleAppEngine。微軟的云計算操作系統(tǒng)MicrosoftWindowsAzure也可大致歸入這一類。PaaS自身負責資源的動態(tài)擴展和容錯管理,用戶應用程序不必過多考慮節(jié)點間的配合問題。但與此同時,用戶的自主權降低,必須使用特定的編程環(huán)境并遵照特定的編程模型。這有點像在高性能集群計算機里進行MPI編程,只適用于解決某些特定的計算問題。例如,GoogleAppEngine只允許使用Python和Java語言、基于稱為Django的Web應用框架、調用GoogleAppEngineSDK來開發(fā)在線應用服務。SaaS的針對性更強,它將某些特定應用軟件功能封裝成服務,如Salesforce公司提供的在線客戶關系管理CRM〔ClientRelationshipManagement服務。SaaS既不像PaaS一樣提供計算或存儲資源類型的服務,也不像IaaS一樣提供運行用戶自定義應用程序的環(huán)境,它只提供某些專門用途的服務供應用調用。需要指出的是,隨著云計算的深化發(fā)展,不同云計算解決方案之間相互滲透融合,同一種產(chǎn)品往往橫跨兩種以上類型。例如,AmazonWebServices是以IaaS發(fā)展的,但新提供的彈性MapReduce服務模仿了Google的MapReduce,簡單數(shù)據(jù)庫服務SimpleDB模仿了Google的Bigtable,這兩者屬于PaaS的范疇,而它新提供的電子商務服務FPS和DevPay以及網(wǎng)站訪問統(tǒng)計服務AlexaWeb服務,則屬于SaaS的范疇。1.2云計算發(fā)展現(xiàn)狀由于云計算是多種技術混合演進的結果,其成熟度較高,又有大公司推動,發(fā)展極為迅速。Google、亞馬遜、IBM、微軟和Yahoo等大公司是云計算的先行者。云計算領域的眾多成功公司還包括VMware、Salesforce、Facebook、YouTube、MySpace等。亞馬遜研發(fā)了彈性計算云EC2〔ElasticComputingCloud和簡單存儲服務S3〔SimpleStorageService為企業(yè)提供計算和存儲服務。收費的服務項目包括存儲空間、帶寬、CPU資源以及月租費。月租費與電話月租費類似,存儲空間、帶寬按容量收費,CPU根據(jù)運算量時長收費。在誕生不到兩年的時間內,亞馬遜的注冊用戶就多達44萬人,其中包括為數(shù)眾多的企業(yè)級用戶。Google是最大的云計算技術的使用者。Google搜索引擎就建立在分布在200多個站點、超過100萬臺的服務器的支撐之上,而且這些設施的數(shù)量正在迅猛增長。Google的一系列成功應用平臺,包括Google地球、地圖、Gmail、Docs等也同樣使用了這些基礎設施。采用GoogleDocs之類的應用,用戶數(shù)據(jù)會保存在互聯(lián)網(wǎng)上的某個位置,可以通過任何一個與互聯(lián)網(wǎng)相連的終端十分便利地訪問和共享這些數(shù)據(jù)。目前,Google已經(jīng)允許第三方在Google的云計算中通過GoogleAppEngine運行大型并行應用程序。Google值得稱頌的是它不保守,它早已以發(fā)表學術論文的形式公開其云計算三大法寶：GFS、MapReduce和Bigtable,并在美國、中國等高校開設如何進行云計算編程的課程。相應的,模仿者應運而生,Hadoop是其中最受關注的開源項目。IBM在20XX11月推出了"改變游戲規(guī)則"的"藍云"計算平臺,為客戶帶來即買即用的云計算平臺。它包括一系列自我管理和自我修復的虛擬化云計算軟件,使來自全球的應用可以訪問分布式的大型服務器池,使得數(shù)據(jù)中心在類似于互聯(lián)網(wǎng)的環(huán)境下運行計算。IBM正在與17個歐洲組織合作開展名為RESERVOIR的云計算項目,以"無障礙的資源和服務虛擬化"為口號,歐盟提供了1.7億歐元作為部分資金。20XX8月,IBM宣布將投資約4億美元用于其設在北卡羅來納州和日本東京的云計算數(shù)據(jù)中心改造,并計劃20XX在10個國家投資3億美元建設13個云計算中心。微軟緊跟云計算步伐,于20XX10月推出了WindowsAzure操作系統(tǒng)。Azure〔譯為"藍天"是繼Windows取代DOS之后,微軟的又一次顛覆性轉型—通過在互聯(lián)網(wǎng)架構上打造新云計算平臺,讓Windows真正由PC延伸到"藍天"上。Azure的底層是微軟全球基礎服務系統(tǒng),由遍布全球的第四代數(shù)據(jù)中心構成。目前,微軟已經(jīng)配置了220個集裝箱式數(shù)據(jù)中心,包括44萬臺服務器。在我國,云計算發(fā)展也非常迅猛。20XX,IBM先后在XX和北京建立了兩個云計算中心；世紀互聯(lián)推出了CloudEx產(chǎn)品線,提供互聯(lián)網(wǎng)主機服務、在線存儲虛擬化服務等；中國移動研究院已經(jīng)建立起1024個CPU的云計算試驗中心；解放軍理工大學研制了云存儲系統(tǒng)MassCloud,并以它支撐基于3G的大規(guī)模視頻監(jiān)控應用和數(shù)字地球系統(tǒng)。作為云計算技術的一個分支,云安全技術通過大量客戶端的參與和大量服務器端的統(tǒng)計分析來識別病毒和木馬,取得了巨大成功。瑞星、趨勢、卡巴斯基、McAfee、Symantec、江民、Panda、金山、360安全衛(wèi)士等均推出了云安全解決方案。值得一提的是,云安全的核心思想,與早在20XX就提出的反垃圾郵件網(wǎng)格非常接近]。20XX11月25日,中國電子學會專門成立了云計算專家委員會。20XX5月22日,中國電子學會隆重舉辦首屆中國云計算大會,1200多人與會,盛況空前。20XX11月2日,中國互聯(lián)網(wǎng)大會專門召開了"2009云計算產(chǎn)業(yè)峰會"。20XX12月,中國電子學會舉辦了中國首屆云計算學術會議。20XX5月,中國電子學會將舉辦第二屆中國云計算大會。1.3云計算實現(xiàn)機制圖1-3云計算技術體系結構云計算技術體系結構分為四層如圖1-3：物理資源層、資源池層、管理中間件層和SOA〔Service-OrientedArchitecture,面向服務的體系結構構建層。物理資源層包括計算機、存儲器、網(wǎng)絡設施、數(shù)據(jù)庫和軟件等。資源池層是將大量相同類型的資源構成同構或接近同構的資源池,如計算資源池、數(shù)據(jù)資源池等。構建資源池更多的是物理資源的集成和管理工作,例如研究在一個標準集裝箱的空間如何裝下2000個服務器、解決散熱和故障節(jié)點替換的問題并降低能耗。管理中間件層負責對云計算的資源進行管理,并對眾多應用任務進行調度,使資源能夠高效、安全地為應用提供服務。SOA構建層將云計算能力封裝成標準的WebServices服務,并納入到SOA體系進行管理和使用,包括服務接口、服務注冊、服務查找、服務訪問和服務工作流等。管理中間件層和資源池層是云計算技術的最關鍵部分,SOA構建層的功能更多依靠外部設施提供。云計算的管理中間件層負責資源管理、任務管理、用戶管理和安全管理等工作。資源管理負責均衡地使用云資源節(jié)點,檢測節(jié)點的故障并試圖恢復或屏蔽之,并對資源的使用情況進行監(jiān)視統(tǒng)計；任務管理負責執(zhí)行用戶或應用提交的任務,包括完成用戶任務映象〔Image的部署和管理、任務調度、任務執(zhí)行、任務生命期管理等；用戶管理是實現(xiàn)云計算商業(yè)模式的一個必不可少的環(huán)節(jié),包括提供用戶交互接口、管理和識別用戶身份、創(chuàng)建用戶程序的執(zhí)行環(huán)境、對用戶的使用進行計費等；安全管理保障云計算設施的整體安全,包括身份認證、訪問授權、綜合防護和安全審計等?；谏鲜鲶w系結構,以IaaS云計算為例,簡述云計算的實現(xiàn)機制,如圖1-4所示。圖1-4簡化的IaaS實現(xiàn)機制圖用戶交互接口向應用以WebServices方式提供訪問接口,獲取用戶需求。服務目錄是用戶可以訪問的服務清單。系統(tǒng)管理模塊負責管理和分配所有可用的資源,其核心是負載均衡。配置工具負責在分配的節(jié)點上準備任務運行環(huán)境。監(jiān)視統(tǒng)計模塊負責監(jiān)視節(jié)點的運行狀態(tài),并完成用戶使用節(jié)點情況的統(tǒng)計。執(zhí)行過程并不復雜,用戶交互接口允許用戶從目錄中選取并調用一個服務,該請求傳遞給系統(tǒng)管理模塊后,它將為用戶分配恰當?shù)馁Y源,然后調用配置工具為用戶準備運行環(huán)境。2云計算網(wǎng)絡安全2.1云計算安全問題究竟是什么問題人們常把云計算服務比喻成電網(wǎng)的供電服務?！豆鹕虡I(yè)評論》前執(zhí)行主編NickCarr在新書"TheBigSwitch"中比較了云計算和電力網(wǎng)絡的發(fā)展,他認為"云計算對技術產(chǎn)生的作用就像電力網(wǎng)絡對電力應用產(chǎn)生的作用"一樣,電力網(wǎng)絡改進了公司的運行,每個家庭從此可以享受便宜的能源,而不必自己家里發(fā)電。他認為云計算也會在下一個十年促成和電力網(wǎng)絡發(fā)展類似的循環(huán)。也有人把云計算服務比喻成自來水公司的供水服務。原來每個家庭和單位自己挖水井、修水塔,自己負責水的安全問題,例如避免受到污染,防止別人偷水等等。從這些比喻當中,我們窺見了云計算的本質：云計算只不過是服務方式的改變！自己開發(fā)程序服務于本單位和個人,是一種服務方式；委托專業(yè)的軟件公司開發(fā)軟件滿足其自身的需求也是一種方式；隨時隨地享受云中提供的服務,而不關心云的位臵和實現(xiàn)途徑,是一種到目前為止最高級的服務方式。從這些比喻當中,我們還看出云計算的安全問題：就像我們天天使用的自來水一樣,我們究竟要關心什么安全問題呢？第一,我們關心自來水公司提供的水是否安全,自來水公司必然會承諾水的質量,并采取相應的措施來保證水的安全。第二,用戶本身也要提高水的使用安全,自來水有多種,有僅供洗浴的熱水,有供打掃衛(wèi)生的中水,有供飲用的水等等,例如,不能飲用中水,要將水燒開再用,不能直接飲用,這些安全問題都是靠用戶自己來解決。還有嗎？如果要算的話,還有第三個安全問題,那就是用戶擔心別人會把水費記到自己的賬單上來,擔心自來水公司多收錢。和自來水供應一樣,云計算的安全問題也大致分為三個方面。第一方面,云計算的服務提供商他們的網(wǎng)絡是安全的嗎,有沒有別人闖進去盜用我們的賬號？他們提供的存儲是安全的嗎？會不會造成數(shù)據(jù)泄密？這些都需要云計算服務提供商們要解決、要向客戶承諾的問題。就像自來水公司要按照國家有關部門法規(guī)生產(chǎn)水一樣,約束云計算的服務提供商的行為和技術,也一定需要國家出臺相應的法規(guī)。第二方面,客戶在使用云計算提供的服務時也要注意：在云計算服務提供商的安全性和自己數(shù)據(jù)的安全性上做個平衡,太重要的數(shù)據(jù)不要放到云里,而是藏在自己的保險柜中；或將其加密后再放到云中,只有自己才能解密數(shù)據(jù),將安全性的主動權牢牢掌握在自己手中,而不依賴于服務提供商的承諾和他們的措施。第三方面,客戶要保管好自己的賬戶,防止他人盜取你的賬號使用云中的服務,而讓你埋單。不難看出,云計算所采用的技術和服務同樣可以被黑客利用來發(fā)送垃圾郵件,或者發(fā)起針對下載、數(shù)據(jù)上傳統(tǒng)計、惡意代碼監(jiān)測等更為高級的惡意程序攻擊。所以,云計算的安全技術和傳統(tǒng)的安全技術一樣：云計算服務提供商需要采用防火墻保證不被非法訪問；使用殺病毒軟件保證其內部的機器不被感染；用入侵檢測和防御設備防止黑客的入侵；用戶采用數(shù)據(jù)加密、文件內容過濾等防止敏感數(shù)據(jù)存放在相對不安全的云里。不一樣的地方是隨著服務方式的改變,在云計算時代,安全設備和安全措施的部署位臵有所不同；安全責任的主體發(fā)生了變化。在自家掘井自己飲用的年代,水的安全性由自己負責,在自來水時代,水的安全性由自來水公司作出承諾,客戶只須在使用水的過程中注意安全問題即可。原來,用戶自己要保證服務的安全性,現(xiàn)在由云計算服務提供商來保證服務提供的安全性。2.2廣義的云計算安全問題關于云計算的安全性的討論,見諸于很多場合。人們往往將服務的可靠性<Reliability>、可用性<Availability>和安全性<Security>一起談論。但嚴格講來,可用性和可靠消息是有很多差別的?？煽啃灾傅氖?對于一個產(chǎn)品或一個過程,如果它像您期望的那樣正確工作,你就可以說它是可靠的。更具體地,在工程領域,可靠性是系統(tǒng)在規(guī)定時間內、在規(guī)定的環(huán)境里,按照預定的目的和方式正確運行的可能性大小<概率>?？捎眯灾傅氖?在遇到問題<例如一個零件失效>的時候,系統(tǒng)保持提供服務的能力。如,一個磁盤驅動器失效之后,系統(tǒng)在不中斷任何應用的前提下,仍能提供數(shù)據(jù)訪問能力。對互聯(lián)網(wǎng)環(huán)境,可用性至關重要,例如當用戶訪問一個網(wǎng)站的時候,即使服務器繁忙,也要給用戶一個合理的反饋,如"系統(tǒng)繁忙,請稍等",不能沒有任何反應。安全指的是沒有危險和風險,免受打探和攻擊；安全性也是一種信心的體現(xiàn),沒有懷疑和擔心。在計算機領域,安全性是保證存儲在計算機上的數(shù)據(jù)不被沒有權限的人盜取和訪問,絕大多數(shù)安全措施涉及到數(shù)據(jù)加密和口令。不難看出,用戶在關鍵時刻無法訪問云計算服務器的問題屬于可用性或可靠性問題。例如,微軟云計算平臺WindowsAzure運作的中斷,亞馬遜的"簡單存儲服務"<SimpleStorageService,S3>兩次中斷,導致依賴于網(wǎng)絡單一存儲服務的網(wǎng)站被迫癱瘓,S3問題阻止了新虛擬機在計算云上的注冊,以至于有些虛擬機無法啟動,凡此種種,都屬于可用性和可靠性問題。當然這類問題的背后,有可能是微軟、亞馬遜的安全措施沒有到位,遭受了黑客的攻擊所致；也可能是系統(tǒng)自身的可靠性沒有得到充分保證所致。但其表現(xiàn)出來的問題不是我們傳統(tǒng)意義上的安全問題,而是可靠性和可用性問題。這里我們姑且將之納入到廣義的云安全里。Linkup與博客平臺JournalSpace發(fā)生的云端失聯(lián)或云端消失的事故,還可能為你保管資料的公司突然關門大吉,導致你不能繼續(xù)使用云端服務,都屬于廣義的云計算安全問題?？煽啃浴⒖捎眯院桶踩砸粯又匾?可靠性、可用性和安全性成為當前云計算的主要威脅,其重要性足以引起我們的高度關注。2.3云安全的七大技術核心2.3.1Web信譽服務借助全信譽數(shù)據(jù)庫,云安全可以按照惡意軟件行為分析所發(fā)現(xiàn)的網(wǎng)站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數(shù),從而追蹤網(wǎng)頁的可信度。然后將通過該技術繼續(xù)掃描網(wǎng)站并防止用戶訪問被感染的網(wǎng)站。為了提高準確性、降低誤報率,安全廠商還為網(wǎng)站的特定網(wǎng)頁或鏈接指定了信譽分值,而不是對整個網(wǎng)站進行分類或攔截,因為通常合法網(wǎng)站只有一部分受到攻擊,而信譽可以隨時間而不斷變化。通過信譽分值的比對,就可以知道某個網(wǎng)站潛在的風險級別。當用戶訪問具有潛在風險的網(wǎng)站時,就可以及時獲得系統(tǒng)提醒或阻止,從而幫助用戶快速地確認目標網(wǎng)站的安全性。通過Web信譽服務,可以防范惡意程序源頭。由于對零日攻擊的防范是基于網(wǎng)站的可信程度而不是真正的內容,因此能有效預防惡意軟件的初始下載,用戶進入網(wǎng)絡前就能夠獲得防護能力。2.3.2電子郵件信譽服務電子郵件信譽服務按照已知垃圾郵件來源的信譽數(shù)據(jù)庫檢查IP地址,同時利用可以實時評估電子郵件發(fā)送者信譽的動態(tài)服務對IP地址進行驗證。信譽評分通過對IP地址的"行為"、"活動范圍"以及以前的歷史進行不斷的分析而加以細化。按照發(fā)送者的IP地址,惡意電子郵件在云中即被攔截,從而防止僵尸或僵尸網(wǎng)絡等Web威脅到達網(wǎng)絡或用戶的計算機。2.3.3文件信譽服務文件信譽服務技術,它可以檢查位于端點、服務器或網(wǎng)關處的每個文件的信譽。檢查的依據(jù)包括已知的良性文件清單和已知的惡性文件清單,即現(xiàn)在所謂的防病毒特征碼。高性能的內容分發(fā)網(wǎng)絡和本地緩沖服務器將確保在檢查過程中使延遲時間降到最低。由于惡意信息被保存在云中,因此可以立即到達網(wǎng)絡中的所有用戶。而且,和占用端點空間的傳統(tǒng)防病毒特征碼文件下載相比,這種方法降低了端點內存和系統(tǒng)消耗。2.3.4行為關聯(lián)分析技術通過行為分析的"相關性技術"可以把威脅活動綜合聯(lián)系起來,確定其是否屬于惡意行為。Web威脅的單一活動似乎沒有什么害處,但是如果同時進行多項活動,那么就可能會導致惡意結果。因此需要按照啟發(fā)式觀點來判斷是否實際存在威脅,可以檢查潛在威脅不同組件之間的相互關系。通過把威脅的不同部分關聯(lián)起來并不斷更新其威脅數(shù)據(jù)庫,即能夠實時做出響應,針對電子郵件和Web威脅提供及時、自動的保護。2.3.5自動反饋機制云安全的另一個重要組件就是自動反饋機制,以雙向更新流方式在威脅研究中心和技術人員之間實現(xiàn)不間斷通信。通過檢查單個客戶的路由信譽來確定各種新型威脅。例如：趨勢科技的全球自動反饋機制的功能很像現(xiàn)在很多社區(qū)采用的"鄰里監(jiān)督"方式,實現(xiàn)實時探測和及時的"共同智能"保護,將有助于確立全面的最新威脅指數(shù)。單個客戶常規(guī)信譽檢查發(fā)現(xiàn)的每種新威脅都會自動更新趨勢科技位于全球各地的所有威脅數(shù)據(jù)庫,防止以后的客戶遇到已經(jīng)發(fā)現(xiàn)的威脅。由于威脅資料將按照通信源的信譽而非具體的通信內容收集,因此不存在延遲的問題,而客戶的個人或商業(yè)信息的私密性也得到了保護。2.3.6威脅信息匯總安全公司綜合應用各種技術和數(shù)據(jù)收集方式——包括"蜜罐"、網(wǎng)絡爬行器、客戶和合作伙伴內容提交、反饋回路。通過趨勢云安全中的惡意軟件數(shù)據(jù)庫、服務和支持中心對威脅數(shù)據(jù)進行分析。過7×24小時的全天候威脅監(jiān)控和攻擊防御,以探測、預防并清除攻擊。2.3.7白名單技術作為一種核心技術,白名單與黑名單〔病毒特征碼技術實際上采用的是黑名單技術思路并無多大區(qū)別,區(qū)別僅在于規(guī)模不同。AVT的近期惡意樣本〔BadFiles,壞文件包括了約1200萬種不同的樣本。即使近期該數(shù)量顯著增加,但壞文件的數(shù)量也仍然少于好文件〔GoodFiles。商業(yè)白名單的樣本超過1億,有些人預計這一數(shù)字高達5億。因此要逐一追蹤現(xiàn)在全球存在的所有好文件無疑是一項巨大的工作,可能無法由一個公司獨立完成。作為一種核心技術,現(xiàn)在的白名單主要被用于降低誤報率。例如,黑名單中也許存在著實際上并無惡意的特征碼。因此防病毒特征數(shù)據(jù)庫將會按照內部或商用白名單進行定期檢查,趨勢科技和熊貓目前也是定期執(zhí)行這項工作。因此,作為避免誤報率的一種措施,白名單實際上已經(jīng)被包括在了SmartProtectionNetwork中。2.4云計算的七大潛在安全風險美國高德納咨詢公司Gartner日前發(fā)布的一份《云計算安全風險評估》稱,雖然云計算產(chǎn)業(yè)具有巨大市場增長前景,但對于使用這項服務的企業(yè)用戶來說,應該意識到,云計算服務存在著七大潛在安全風險。2.4.1優(yōu)先訪問權風險一般來說,企業(yè)數(shù)據(jù)都有其機密性。但這些企業(yè)把數(shù)據(jù)交給云計算服務商后,具有數(shù)據(jù)優(yōu)先訪問權的并不是相應企業(yè),而是云計算服務商。如此一來,就不能排除企業(yè)數(shù)據(jù)被泄露出去的可能性。Gartner為此向企業(yè)用戶提出建議,在選擇使用云計算服務之前,應要求服務商提供其IT管理員及其他員工的相關信息,從而把數(shù)據(jù)泄露的風險降至最低。2.4.2管理權限風險雖然企業(yè)用戶把數(shù)據(jù)交給云計算服務商托管,但數(shù)據(jù)安全及整合等事宜,最終仍將由企業(yè)自身負責。傳統(tǒng)服務提供商一般會由外部機構來進行審計或進行安全認證。但如果云計算服務商拒絕這樣做,則意味著企業(yè)客戶無法對被托管數(shù)據(jù)加以有效利用。2.4.3數(shù)據(jù)處所風險當企業(yè)客戶使用云計算服務時,他們并不清楚自己數(shù)據(jù)被放置在哪臺服務器上,甚至根本不了解這臺服務器放置在哪個國家。出于數(shù)據(jù)安全考慮,企業(yè)用戶在選擇使用云計算服務之前,應事先向云計算服務商了解,這些服務商是否從屬于服務器放置地所在國的司法管轄；在這些國家展開調查時,云計算服務商是否有權拒絕提交所所托管數(shù)據(jù)。2.4.4數(shù)據(jù)隔離風險在云計算服務平臺中,大量企業(yè)用戶的數(shù)據(jù)處于共享環(huán)境下,即使采用數(shù)據(jù)加密方式,也不能保證做到萬無一失。Gartner認為,解決該問題的最佳方案是：將自己數(shù)據(jù)與其他企業(yè)用戶的數(shù)據(jù)隔離開來。Gartner報告稱："數(shù)據(jù)加密在很多情況下并不有效,而且數(shù)據(jù)加密后,又將降低數(shù)據(jù)使用的效率。"2.4.5數(shù)據(jù)恢復風險即使企業(yè)用戶了解自己數(shù)據(jù)被放置到哪臺服務器上,也得要求服務商作出承諾,必須對所托管數(shù)據(jù)進行備份,以防止出現(xiàn)重大事故時,企業(yè)用戶的數(shù)據(jù)無法得到恢復。Gartner建議,企業(yè)用戶不但需了解服務商是否具有數(shù)據(jù)恢復的能力,而且還必須知道服務商能在多長時間內完成數(shù)據(jù)恢復。2.4.6調查支持風險通常情況下,如果企業(yè)用戶試圖展開違法活動調查,云計算服務商肯定不會配合,這當然合情合理。但如果企業(yè)用戶只是想通過合法方式收集一些數(shù)據(jù),云計算服務商也未必愿意提供,原因是云計算平臺涉及到多家用戶的數(shù)據(jù),在一些數(shù)據(jù)查詢過程中,可能會牽涉到云計算服務商的數(shù)據(jù)中心。如此一來,如果企業(yè)用戶本身也是服務企業(yè),當自己需要向其他用戶提供數(shù)據(jù)收集服務時,則無法求助于云計算服務商。2.4.7長期發(fā)展風險如果企業(yè)用戶選定了某家云計算服務商,最理想的狀態(tài)是：這家服務商能夠一直平穩(wěn)發(fā)展,而不會出現(xiàn)破產(chǎn)或被大型公司收購現(xiàn)象。其理由很簡單：如果云計算服務商破產(chǎn)或被他人收購,企業(yè)客戶既有服務將被中斷或變得不穩(wěn)定。Gartner建議,在選擇云計算服務商之前,應把長期發(fā)展風險因素考慮在內。3云計算安全問題的解決辦法3.1云計算中確保信息安全的具體方法雖然云計算的優(yōu)點在不斷彰顯——包括可以增加企業(yè)效率和控制IT成本的按需服務,但是云安全卻時常被認為是使得云方案無法被廣泛接受的第一大障礙。據(jù)業(yè)內專家透露,許多企業(yè)還躊躇于云環(huán)境中的數(shù)據(jù)完整性、恢復與隱私、規(guī)則服從性。3.1.1對保存文件進行加密加密技術可以對文件進行加密,那樣只有密碼才能解密。加密讓你可以保護數(shù)據(jù),哪怕是數(shù)據(jù)上傳到別人在遠處的數(shù)據(jù)中心時。PGP或者對應的開源產(chǎn)品TrueCrypt等程序都提供了足夠強大的加密功能：只要你使用無法破解的密碼,那么除了你,沒人能訪問你的敏感信息。3.1.2對電子郵件進行加密PGP和TrueCrypt都能對文件在離開你的控制范圍之前對它們進行加密,從而起到保護作用。但這樣一來,電子郵件就岌岌可危了,國為它是以一種仍能夠被偷窺者訪問的格式到達你的收件箱。為了確保郵件安全,不妨使用Hushmail或者Mutemail之類的程序,兩者都能在網(wǎng)上使用,可以自動對你收發(fā)的所有郵件進行加密。3.1.3使用信譽良好的服務就算你對文件進行了加密,有些在線活動〔尤其是涉及在網(wǎng)上處理文件、而不是僅僅保存文件的活動仍很難保護。這意味著用戶仍需要認真考慮自己使用哪些服務。專家們建議使用名氣大的服務,它們不大可能拿自己的名牌來冒險,不會任由數(shù)據(jù)泄密事件發(fā)生,也不會與營銷商共享數(shù)據(jù)。3.1.4考慮商業(yè)模式在設法確定哪些互聯(lián)網(wǎng)應用值得信任時,應當考慮它們打算如何盈利。收取費用的互聯(lián)網(wǎng)應用服務可能比得到廣告資助的那些服務來得安全。廣告給互聯(lián)網(wǎng)應用提供商帶來了經(jīng)濟上的刺激,從而收集詳細的用戶資料用于針對性的網(wǎng)上廣告,因而用戶資料有可能落入不法分子的手里。3.1.5閱讀隱私聲明幾乎有關互聯(lián)網(wǎng)應用的每項隱私政策里面都有漏洞,以便在某些情況下可以共享數(shù)據(jù)。大多數(shù)互聯(lián)網(wǎng)應用提供商在自己的政策條款中承認：如果執(zhí)法官員提出要求,自己會交出相關數(shù)據(jù)。但了解到底哪些信息可能會披露,可以幫你確定把哪些數(shù)據(jù)保存在云計算環(huán)境、哪些數(shù)據(jù)保存在桌上。3.1.6使用過濾器Vontu、Websense和Vericept等公司提供一種系統(tǒng),目的在于監(jiān)視哪些數(shù)據(jù)離開了你的網(wǎng)絡,從而自動阻止敏感數(shù)據(jù)。比方說,社會保障號碼具有獨特的數(shù)位排列方式。還可以對這類系統(tǒng)進行配置,以便一家公司里面的不同用戶在導出數(shù)據(jù)方面享有不同程度的自由。3.2確保云安全的八個小技巧在20XXGartner安全與風險管理峰會上,VerizonBusiness提供了下列幾點技巧以保障數(shù)據(jù)和網(wǎng)絡安全。3.2.1評估你的目標在決定要將IT服務遷移到云時,要了解你希望達到的商業(yè)目標是什么。比較典型的目標包括：減少發(fā)布新應用的時間和精力；提高企業(yè)應對業(yè)務需要的能力；減少資金投入。3.2.2執(zhí)行利弊分析在確定好商業(yè)目標后,還要確定向云轉移的決定是否適合于企業(yè)目標。不妨考慮下列兩個問題：數(shù)據(jù)可能在哪些情況下受損？如果云服務失敗,哪一部分流程會遭受損失？3.2.3給予應有的關注一旦企業(yè)選擇云模式,就要選定所要部署的模式——公共云、私有云亦或是混合云——具體情況具體分析,最重要的是適合企業(yè)自身需求。3.2.4明智地抉擇要選擇在IT和安全服務領域都有實力的合作伙伴來通過云提供服務。驗證其降低風險的能力是對供應商安全考核的一部分。要選擇一個可以將IT安全網(wǎng)絡服務以及強大的性能保障結合于一體的服務供應商。中立的第三方機構可以為選擇此類供應商提供指導。云服務聯(lián)盟不僅為云服務的使用提供了很好的安全例證,還提供了許多合作對象的清單。3.2.5保護數(shù)據(jù)仔細考量供應商。據(jù)云安全聯(lián)盟透露,對云安全最具威脅的就是數(shù)據(jù)流失和泄漏。因此,供應商是否能有效保護敏感數(shù)據(jù)是非常關鍵的。3.2.6評估供應商要分析該公司傳播的那些與物理安全、邏輯安全、加密、更改管理和業(yè)務持續(xù)性以及災難恢復等屬于同類型控件的能力。同樣,還要驗證涉及有證明備份和災難程序等處理的供應商。3.2.7考慮一種混合安全模式將云中提供的服務與預置的服務混合起來。這樣有助于減輕數(shù)據(jù)保護、隱私保護的壓力。3.2.8注意服從性如果無法實現(xiàn)服從性,那么對云和對安全的投資都不能達到我們的要求。另外,許多規(guī)則,如PCI數(shù)據(jù)安全標準,包括促進公司的安全姿態(tài),與云供應商的溝通規(guī)則以及與供應商攜手實現(xiàn)服從性。云計算為企業(yè)帶來了許多有形利益,如果僅因為對安全的顧慮就拒絕使用云,顯然是不可取的行為。雖然安全方面的顧慮確實存在,但是我們也可以對癥下藥,積極部署風險管理,也就不用談云色變了。<全球IP通信聯(lián)盟>4展望云計算的未來目前,網(wǎng)絡上有一種流行的說法：未來全世界只有五臺計算機,Google公司一臺,IBM公司一臺,Yahoo公司一臺,Amazon公司一臺,微軟公司一臺。但這不妨礙你遨游"云端",因為云計算將會把一切變成現(xiàn)實。自Google公司提出云計算概念以來,就備受人們關注。為爭奪潛在的市場份額,一些千億級企業(yè)都相繼推出自己的特色產(chǎn)品。IBM公司推出了"藍云"計劃,著手在全球數(shù)個城市建立云計算中心；Amazon公司在原有的EC2〔ElasticComputeCloud,彈性計算云業(yè)務基礎上提出了AmazonWebServices〔亞馬遜網(wǎng)絡服務,全面進軍云計算；SUN公司宣布了"黑盒子"計劃,蘋果公司推出了名為"MobileMe"的云計算業(yè)務；惠普、英特爾、雅虎、戴爾等公司巨頭也紛紛進入云計算市場。當云計算發(fā)展至20XX,從原來莫衷一是的概念,到現(xiàn)在相關企業(yè)提出的落地方案,這一年,在云計算的發(fā)展歷程中具有重要意義。而就中國市場來說,云計算市場的發(fā)展?jié)摿Ω屓岁P注,正如微軟全球資深副總裁張亞勤在"2009首屆中國云計算大會"上所言："在將來五年十年,隨著手機、上網(wǎng)本等新的多元智能設備,全球60億人都可以受益。過去IT中心是在美國,在歐洲,現(xiàn)在重心轉移到中國在內的亞洲。"20XX,隨著各大企業(yè)在加大投入,以及推出新的云計算發(fā)展計劃,將會上演一場群雄逐鹿、問鼎中原的爭奪戰(zhàn)。這場戰(zhàn)爭不僅是在谷歌、IBM和微軟等公司巨頭之間,還有已加入戰(zhàn)爭的思科、惠普等國內外公司?？梢灶A見,20XX將迎來云計算時代。4.1未來：一個時代的到來云計算將在未來幾年進入蓬勃發(fā)展期。根據(jù)IDC最新數(shù)據(jù)顯示,云計算服務將在20XX達到整體IT消費的10%,年收益高達442億美元。在5年內,云計算服務的增長態(tài)勢將十分強勁,平均年增幅達26%,是傳統(tǒng)IT行業(yè)增長速度的6倍。同時,IDC預測未來四年中國云計算將產(chǎn)生1.1萬億元的市場。云計算將在未來15到20年內成為影響整個IT行業(yè)的關鍵性技術。從20XX到20XX云計算在技術領域的凈增長率將達到25%,從20XX到20XX實現(xiàn)凈增長30%。目前增長緩慢的原因是由于云計算還處在早期的推廣階段,一旦超越了這個階段,云計算將實現(xiàn)飛速增長。因此,沒有人能夠準確預期云計算將給我們的生活帶來哪些巨大變化,但隨著這一運動的不斷推進,不管是作為消費者,還是商業(yè)人士,都可以感受到云計算帶來的巨大變化。首先,對中小企業(yè)和創(chuàng)業(yè)者來說,云計算意味著巨大的商業(yè)機遇,他們可以借助云計算在更高的層面上和大企業(yè)競爭。其次,從某種意義上說,云計算意味著硬件之死。至少,那些對計算需求量越來越大的中小企業(yè),不再試圖去買價格高昂的硬件,而是從云計算供應商那里租用計算能力,節(jié)省下來的時間和經(jīng)濟進行更多的業(yè)務創(chuàng)新。4.2私有云才是標志與許多類似的產(chǎn)業(yè)技術革命一樣,云計算正在推動不同產(chǎn)業(yè)改變原有的模式。正如惠普公司首席戰(zhàn)略技術官謝恩羅賓遜<ShaneRobISon>所說的那樣,IT技術行業(yè)正處于一個重要的轉折階段,雖然這一轉折仍處于早期,但它將最終改變我們獲取信息、分享內容和互相溝通的方式。這一全新的浪潮將由一種全新的計算模式所驅動：企業(yè)或個人將不再需要在電腦中安裝大量套裝軟件,而是通過Web瀏覽器接入到一種大范圍的、按需定制的服務也就是我們所說的"云服務"。當這種轉變日趨加速時,IT行業(yè)將會在引領用戶體驗方面發(fā)生根本性的飛躍。實際上,云計算一直在不斷地發(fā)展,而且企業(yè)級公有云也早就有,例如SaaS。但是,經(jīng)歷了多年的發(fā)展,SaaS依然處在一種"叫好不叫座"的尷尬境地,當然其中的原因很多,包括價格問題、部署問題、安全問題等。從這里可以總結出一點,企業(yè)對基于純粹互聯(lián)網(wǎng)的服務心存疑慮,如可靠性、安全性等方面。如何要讓企業(yè)對公有云有所依賴,僅僅依靠郵箱、在線文檔等是遠遠不夠的,必