浅谈云计算安全威胁与对策.doc

______________________________________________________________________________________________________________ 硕 士 研 究 生 读 书 报 告 题目 浅谈云计算安全威胁与对策 作者姓名 郑晟 作者学号 21151039 指导教师 尹可挺 学科专业 金融信息技术1102 所在学院 软件学院 提交日期 二○ 一一年 十二 月 The Security Threats and Countermeasure of Cloud Computing A Dissertation Submitted to Zhejiang University in partial fulfillment of the requirements for the degree of Master of Engineering Major Subject: Software Engineering Advisor: Yin Keting By Zheng Sheng Zhejiang University, P.R. China 2011 摘要 随着云计算在全球大热，云计算安全的重要性也越发明显。云计算由于其开放性及其复杂性，其潜在的漏洞各式各样，安全问题不得不令人担忧；此外，云中关键数据的高密度聚合，很可能会引来潜在的攻击，极有可能引发一系列问题。 本文通过对Google文档外泄事件这一典型案例的描述，阐述了云计算安全的重要性和必要性，并对目前安全方面存在的主要威胁进行了罗列和说明。通过对其来源和可能造成的后果分析，在目前研究的基础上提出了针对的应对措施，以此来提高云计算的安全性。 关键词：云计算，云计算安全，安全威胁，对策 Abstract With cloud computing being popular in the global, the importance of cloud computing security is more obvious. Because of openness and complexity of cloud computing, there may be a wide range of potential vulnerabilities, the security issues should be concerned. In addition, key data in the cloud polymerizing highly probably will cause potential attack, leading to a series of problems. Through the event that documents were leaked of Google, this paper stresses on the importance and necessity of cloud computing security. Besides this paper lists and describes the main threats to security at present. Through analyzing its source and consequences may caused, put forward solutions on the base of present study to improve the safety of cloud computing. Keywords：software requirement, requirement analysis, system design . 1引言 随着1983年Sun公司提出“The Network is the Computer（网络即是计算机）”的口号，云概念初步雏形化；直至2006年亚马逊公司推出的“Elastic Compute Cloud;EC2（弹性计算云）”服务，云计算得以正式问世。 不久，Google公司的Gmail、Picasa，IBM公司的“蓝云”计算平台等项目也接踵而至，云计算的热潮如燎原之火，迅速遍及全球。如今，云计算在计算机领域可谓炙手可热，商业化、产业化已成为必然趋势，并衍生出诸如云存储、云安全、云监控等分支发展，持续在各不同领域大放异彩。 那么，什么是云？什么又是云计算？ 2 云计算 2.1 概念 云，其实是对网络、互联网的一种拟物修辞说法。将大量的计算机资源用网络连接，对其进行统一管理和调度，从而构成一个计算机资源网，这个网络就是我们所说的云。因此，云可以指互联网，也可以指分布在互联网中的各种计算中心，其中包含成千上万甚至更多台的计算机和服务器[1]。 云计算是网格计算（Grid Computing）、分布式计算（Distributed Computing）、并行计算（Parallel Computing）、效用计算（Utility Computing）、网络存储（Network Storage Technologies）、虚拟化（Virtualization）、负载均衡（Load Balance）等传统计算机技术和网络技术发展融合的产物，是一种新型的计算模式[6]。 可以说，云计算是一种基于互联网的计算。通过这种方式，软硬件资源和信息可以按需共享给各个计算机及其余设备，而计算任务则可以在互联网中由大量计算机构成的资源池中分布式运行，而不必拘泥于本地计算机或单一的远程服务器；相应的，用户可以根据自身需求，轻松获取所提供的计算能力、存储空间以及其余各种信息服务。 2.2 分类 根据服务对象的不同，云计算一般可以分为共有云、私有云这两大类。 共有云是面向广域范围内服务对象的云计算服务，一般具有社会性、普遍性和公益性等特点；私有云是指社会单位为自身需要所建设的自有云计算服务模式，一般具有行业性特点[2]。 2.3 服务层次 云计算服务可以分为以下3个层次的服务[6]： 1) 基础设施即服务（Infrastructure as a Service; IaaS） 用户通过Internet，就可以从完善的计算机基础设施中获取服务，如亚马逊公司的弹性计算云、IBM公司的蓝云以及Sun公司的云基础设施平台等。 2) 软件即服务（Software as a Service; SaaS） 这是一种通过Internet提供软件的模式，用户不必购买软件，只需向云计算提供商租用基于Web的软件，用户只需通过浏览器就可以进行各项应用。 3) 平台即服务（Platform as a Service; PaaS） 将软件研发的平台作为一种服务，以SaaS的模式提交给用户，PaaS是SaaS模式的一种应用，如Google App Engine和微软的Azure平台。 3 云计算安全 3.1 概念 在云计算风靡全球的今天，由此衍生的“云安全”一词对众人来说，想必也是耳熟能详。 云安全有两个方面的含义：第一是云上的安全，即云计算安全，就是云计算自身存在的安全隐患，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等，可以说云计算安全是云计算技术健康可持续发展的基础；第二是云计算技术在安全领域的具体应用，也称为安全云计算，通过采用云计算技术来提升安全系统的服务效能的安全解决方案，如基于云计算的防病毒技术、木马检测技术等[3]。 本文所关注的是第一方面，即云计算安全。 3.2 必要性 关于云计算安全方面，一直存在两种不同的声音：一种认为，由云计算服务提供商组织安全专家和专业化服务团队，从而对整个系统实现安全管理，显然要比不专业的个人维护安全的多，因此采用云计算，其安全性能够增强不少；另一种说法则认为，由于云计算的开放性及其复杂性，其潜在的漏洞各式各样，安全问题反而更值得担忧，毕竟集中管理的云计算中心很可能成为黑客攻击的重点。 事实上，后者的担忧并非空穴来风，云计算的应用确实存在不少安全隐患，因此引发的事故确有先例。 2009年3月7日，众多Google Docs用户打开自己的账户后，发现多了不少陌生文件，而这些陌生文件的主人甚至不知道自己的文件已经被共享。Google公司当天就发现了问题，并进行迅速处理，当用户再次打开账户时一切已经恢复正常，只是多了一封Google公司的道歉信。这就是著名的Google文档外泄事件。 尽管Google公司对该事件的后续处理堪称迅速得宜，但公众对云计算的信任度一落千丈。美国电子隐私信息中心还曾向监管机构提出申诉，要求美国联邦贸易委员会禁止Google提供云计算服务，直到其安全措施落实到位。 4 安全威胁 由于云计算本身的流动性、无边界、虚拟化等特性，使其面临许多新的安全威胁，给传统的防护体系带来了极大冲击，主要威胁包括： 1) 云计算的滥用、恶用、拒绝服务攻击 云计算以宽带网络和Web方式提供服务，针对它的拒绝服务攻击，使其可用性受到不小的挑战。 其次，云计算快速弹性的特征需要强大的网络和服务器资源支撑，而其按需服务的特征又对业务开通和服务变更等环节提出了灵活性的要求。这两者结合，云计算不被滥用、恶用的前景堪忧，利用云计算服务破解密码、搭建僵尸网络的案例屡见不鲜。 2) 不安全的接口和API 云计算服务商需要提供大量的网络接口和API来整合业务、发展伙伴甚至直接提供业务。但目前业界的安全实践，针对网络接口和API的安全测试仍不够成熟，带来了额外的安全入侵入口。 3) 恶意的内部员工 在业界的传统认知中，超过一半的安全事件源于内部人员。云计算服务，某种程度上可以算是外包业务，工作上有权限、有能力接触并处理用户数据的范围被进一步扩大，增加了恶意的内部员工滥用数据和服务，甚至犯罪的可能性。 4) 共享技术产生的问题 资源的虚拟池化和共享是云计算的根本，所付出的最典型的代价，就是安全上的不足。 5) 数据泄露 数据泄露是云计算，尤其是公共云最担忧的问题之一。云中关键数据的高密度聚合，可能会引来潜在的攻击者；而很多威胁都会导致云中数据的丢失和泄露。 6) 账号和服务劫持 在云环境中，一旦攻击者获取用户的账号信息，他们可以窃取用户的活动交易信息，操纵数据、捏造信息，还可能用劫持来的账号对其他用户发动新的攻击，造成用户的网络信誉受损。 7) 未知的风险场景 用户没有必要也没有足够的资源去洞悉云中所有的细节，而云计算服务商出于商业机密等考虑，也并不情愿分享关键信息。如此一来，双方存在很大程度上的信息不对称，可能会滋生大量的未知安全风险。 5 可行的对策 根据之前所提出的，云计算安全中面临的主要威胁，目前可着手针对的方向如下： 1) 在云计算服务设计阶段加强安全考量，加强抗拒绝服务性攻击的能力；严格设计首次注册和验证过程，对来自网络的投诉和监管机构的问询能够做到快速响应，监控公共黑名单。 2) 加强接口和API在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践，广泛采用加密、认证、访问控制、审计等安全措施，以及更加全面的安全测试用例。 3) 从管理、合同、技术等方面同时入手，加强对内部员工的管制和应对措施。 4) 在设计阶段，就根据客户的不同业务需求，设计可以支持不同安全等级、不同硬件分享策略的硬件分区和防御策略，并在运行阶段能有监控未经授权操作的技术支持。 5) 从设计到运行，加强对数据传输、处理、存储等环节的加密和核查能力。 6) 交互式的用户账号和后台服务使用的账号区分管理，使用双因子认证技术，主动检查是否有未经授权的活动。 7) 用户向云计算提供商要求最大程度的信息透明，比如如何配置系统等，认清自身的安全现况。 5 小结 云计算的高性能、低成本为用户带来便利的同时，其虚拟化、资源共享、分布式等核心技术特点，也决定了它在安全性上存在着不可忽视的隐患。如何保障其服务安全、数据安全、隐私安全对用户来说，一直是用户的关注焦点。如今云计算安全已经成为云计算应用发展的研究重点之一，如何从容面对现有的安全威胁，将是一个不断完善的领域。 参考文献 [1]云计算及其安全性研究[J].李战宝 张文贵.信息网络安全，2011. [2]云计算安全体系架构研究[J].薄明霞 陈军 王渭清.技术研究，2011. [3]云计算安全防护策略反洗与研究[J].党卫红.读与写杂志，2010. [4]云计算七大安全威胁及对策[J].赵梁.信息化研究，2011. [5]云计算安全问题探讨[J].高巍 李洁.通信管理与技术，2011. [6]百度百科 [7]Balachandra Reddy Kandukuri, Ramacrishna PaturiV, Atanu Rakshi,”Cloud Security Issues”,2009 IEEE International Conference on Services Computing, pages(s):517-520. Welcome To Download !!! 欢迎您的下载，资料仅供参考！ 精品资料