1、云计算时代的信息安全摘要存放在公共的数据中心的重要数据如果被他人恶意窃取,后果将不堪设想,本文将简要探讨由云计算带来的信息安全问题及解决这些问题的方法。关键词:云计算 信息安全 第一章 绪论信息安全虽是老问题,但其内涵随着信息技术的发展、经济社会信息化程度的加深而不断丰富,面临的新挑战和新问题也不断出现。近年来, “云计算” (Cloud Computing)成为全球信息技术领域的热点。这一技术目前作为商务模式出现,在展现提高效率、节约成本前景的同时,也引发了人们对信息安全的进一步担心。1.1 相关概念云计算(Cloud Computing)是分布式处理(Distributed Computi
2、ng)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的商业实现。 云计算的基本原理是,通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。 这是一种革命性的举措,打个比方,这就像是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通,就像煤气、水电一样,取用方便,费用低廉。最大的不同在于,它是通过互联网进行传输的。 目前,PC 依然是我们日常工作生活中的核心
3、工具我们用 PC 处理文档、存储资料,通过电子邮件或 U 盘与他人分享信息。如果 PC 硬盘坏了,我们会因为资料丢失而束手无策。 而在“云计算”时代,“云”会替我们做存储和计算的工作。 “云”就是计算机群,每一群包括了几十万台、甚至上百万台计算机。 “云”的好处还在于,其中的计算机可以随时更新,保证“云”长生不老。作为全球 IT 业的领导者 IBM、微软、Google 等 IT 巨头已经为云计算的应用做出了榜样,虽然部分应用仅仅是刚刚起步,但已经可以预想未来便捷快速的 web 应用。 云计算四个方面的重要特点:1.云上的海量数据存储; 2.无数的软件和服务置于云中; 3.它们均构筑于各种标准和
4、协议之上; 4.可以通过各种设备来获得。1.2 推动云计算发展的六个方面的因素: 1.以用户为中心:数据存在于云海之中 ,并且伴随着你和你的设备,你可以在任何时间、任何地点以某种便捷的方式安全地获得它或与他人分享。 2.以任务为中心:人们可以方便地与合作者共同规划并执行各项任务,并随时随地进行有效的交流和沟通。 3.强大的功能:置于云海中由成千上万的计算机群提供的强大计算能力、存储能力等将能够为你完成传统上单台计算机根本无法完成的事情。 4.智能化:基于海量数据的数据挖掘技术来获得大量的新知识。作为一个典型的示例,基于这种新技术的语言翻译将更加强大。我们在互联网络上,可以看到这样一种模式: 海
5、量的数据+海量的分析=知识 5.基础设施的可行性:如今 ,上千台的 PC 级服务器可以获得极高的性能。Google 正在建设更强大的“计算机群农场”(就像高产的奶牛场一样) 。 6.并行软件的可编程性:怎样编写可以在上千台计算机上并行执行的程序?Google 如今已经开发了一系列新的开发方法和技术。 第二章 形成云计算信息安全的背景和成因2.1 云计算安全的背景“云计算”模式目前被大力推广,反映出在金融危机背景下,全球信息产业希望通过一系列技术变革提升竞争力的愿望,反映出全球信息化程度加深的趋势,更反映出全球信息流在 IT 巨头整合下走向集中的趋势。 “云计算”模式今后一旦在全球推广,在为企业
6、带来大幅降低运营成本等好处的同时,也会使能够提供“云计算”服务的大公司成为信息的垄断者。在信息时代,掌控了全球信息流,无疑将具备不可撼动的信息霸权。目前,全球真正有实力研发和提供“云计算”服务的公司只有谷歌、雅虎、微软、IBM 和亚马逊等少数 IT 巨头。IBM 公司计划在日、法、英、南非及中国等 10 个国家投资设立 13 个“云计算连续执行中心” ;继谷歌公司斥巨资在美国建立全球最大数据中心后,微软公司也计划在未来几年内投资 120 亿美元建立大型数据中心,不仅如此,微软公司用于“云计算”技术研发的费用每年高达 80 亿美元。此次国际金融危机将会在全球信息产业中掀起重组并购热潮,最终将导致
7、未来全球的信息资源、服务和应用不可避免地向信息产业巨头集中,全球绝大多数的信息存储和数据处理业务也将被他们所实际掌握。从节约成本的角度看, “云技术”对信息技术发展水平相对落后、资金缺乏的发展中国家确实极具吸引力。但从长远看, “云计算”将加剧他们对 IT 巨头的技术依赖,这其实也是全球信息化进程中为各界所关注并担忧的现象。2.2 云计算安全的成因经过多年购并和发展,信息技术领域逐渐被以微软、IBM、英特尔、谷歌、苹果等为代表的 IT 巨头垄断。在资本、品牌、客户资源、软硬件、服务及应用领域,在引领 IT 领域理念、规则和标准上,这些巨头都占据了有利位置,也就拥有了渗入现实政治,影响网民生活,
8、并引发诸多安全问题甚至国际争端的能力。如谷歌公司从搜索引擎业务起家,目前已经向 IT 综合服务公司转变,业务涉及博客、视频、网上图书馆、卫星图像、新闻、手机操作系统等方面。微软、英特尔、思科等少数几家 IT 大鳄掌握着操作系统、浏览器、CPU、路由器等信息核心技术,也就掌握了全球互联网的命脉。而“云计算”将导致全球信息在收集、传输、储存、处理等各个环节上走向进一步集中。面对这一前景,广大发展中国家由于在技术上没有主导权,所以战略选择非常有限。美国政府对“云计算”态度积极。首先,这将使美国的信息霸权更加巩固。对互联网的实际控制被认为是美国信息霸权的标志之一。而目前在互联网管理问题上,美国政府虽然
9、拒绝交出互联网管理权,并加大了对互联网的监控力度,但是也逐渐感觉到了力不从心。10 年前,美国传输了全球 70%的互联网流量,目前这一比例据称已下降到 25%左右。英文资源虽然仍占据互联网内容的主流,但是其他语种的内容也在显著增加。越来越多的专家把互联网看作是一种“全球公共产品” ,认为应该将互联网置于国际组织而不是美国的管理之下。近来,欧盟官员又提出要求,希望美国将互联网管理权在今年秋天移交给国际组织。“云计算”的提出,为美国提供了新的机会。为避免受到他国质疑,美国政府策动企业出面推广“云计算” ,而自己则躲在幕后,在手法上,更注重用技术、规则、标准和知识产权来要求、约束其他国家。美国的如意
10、算盘很清楚,一旦全球信息的流动、存储和运算都通过互联网在美 IT 公司提供的“云”上进行,作为全球信息中心的美国就掌握了全球信息的绝对控制权。其次,美国政府也希望以此带动新一轮信息技术变革,以助其早日摆脱金融危机困扰。美 IT 巨头在向奥巴马建言时,打着“重振美国信息技术产业,摆脱金融危机”的旗号,称“云计算是美国实现提高信息实力战略目标的关键” , “是未来 10 年联邦政府实现最重要变革的途径之一” 。奥巴马对此予以积极回应,称“这毫无疑问就是美国在 21 世纪夺取和保持竞争优势的方式” 。同时,为了趋利避害,美国国防部、商务部等部门也已尝试应用“云计算”技术,在应用中评估“云计算”的安全
11、性,并寻找问题解决方案。第三章 云计算的信息安全3.1 由云计算带来风险的由来作为一项有望大幅降低成本的新兴技术,云计算日益受到众多企业的追捧。然而,云计算所带来的安全问题也应该引起业界足够的重视。 云计算使公司可以把计算处理工作的一部分(甚至是全部) 外包出去。信息主管不用为内部服务器的维护配置专业 IT 人员,公司可以通过互联网来访问计算基础设施。一家大型云计算提供商能迅速满足网上客户对更多计算功能的需求,那些没有大型数据中心的中小型公司能够利用云计算服务提供商的强大处理功能,有效地节约 IT 成本。 各大厂商看到了云计算带来的巨大商机,于是纷纷设立部门推出云计算服务。数据却是一个公司最重
12、要的财富,云计算的安全问题应引起企业足够的重视。信息主管需要很大的勇气把公司的机密文件交给云计算服务提供商管理。随着基于云计算的服务日益发展,云计算服务将由多家服务商共同承担。一家公司与某家外包商签订了云计算合同,这家外包商又与一连串外包商签订合同,而那些外包商又与别的商家签订了合同。这样一来,公司的机密文件将经过层层传递,安全风险巨大。 Gartner 公司的两名分析师海舍尔和马克共同撰写了评估云计算的安全风险,这份报告列出了云计算存在的许多安全风险。该报告并不是劝说企业不要采用云计算,而是呼吁企业要增强安全意识,清楚地认识到风险,并且采取必要的防范措施来确保安全。海舍尔认为,大多数潜在用户
13、没有真正认识到云计算存在的风险,他们只是直觉上觉得这是一种新技术,要谨慎对待。 比方说,一家投资银行的员工使用 Google Spreadsheets 来组织管理员工社会保障号码清单。那么,保护这些信息远离黑客及内部数据泄密事件的责任就落在了谷歌的肩上,而不是银行的肩上。命令交出信息的政府调查人员可能会要求谷歌交出那些社会保障号码,而不通知数据的所有者。而有些在线软件公司甚至乐意与营销公司共享用户的敏感数据。 谷歌的隐私政策规定:如果该公司 “善意地理由”必须提供相关数据,以满足“任何可适用的法律、法规、法律程序或者强制执行的政府要求”,那么它将与政府共享数据。 3.2 由云计算带来的信息安全
14、问题有以下几个方面: 1.特权用户的接入 在公司外的场所处理敏感信息可能会带来风险,因为这将绕过企业 IT 部门对这些信息“物理、逻辑和人工的控制” 。企业需要对处理这些信息的管理员进行充分了解,并要求服务提供商提供详尽的管理员信息。 2.可审查性 用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商,用户只能用他们的服务做一些琐碎的工作。 3.数据位置 在使用云计算服务时,用户并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。用户应当询问服务提供商数据是否存储在专门管辖的位置,以及他们是
15、否遵循当地的隐私协议。 4.数据隔离 在云计算的体系下,所有用户的数据都位于共享环境之中。加密能够起一定作用,但是仍然不够。用户应当了解云计算提供商是否将一些数据与另一些隔离开,以及加密服务是否是由专家设计并测试的。如果加密系统出现问题,那么所有数据都将不能再使用。 5.数据恢复 就算用户不知道数据存储的位置,云计算提供商也应当告诉用户在发生灾难时,用户数据和服务将会面临什么样的情况。任何没有经过备份的数据和应用程序都将出现问题。用户需要询问服务提供商是否有能力恢复数据,以及需要多长时间。 6.调查支持 在云计算环境下,调查不恰当的或是非法的活动将难以实现,因为来自多个用户的数据可能会存放在一
16、起,并且有可能会在多台主机或数据中心之间转移。如果服务提供商没有这方面的措施,那么在有违法行为发生时,用户将难以调查。 7.长期生存性 理想情况下,云计算提供商将不会破产或是被大公司收购。但是用户仍需要确认,在发生这类问题的情况下,自己的数据会不会受到影响。用户需要询问服务提供商如何拿回自己的数据,以及拿回的数据是否能够被导入到替代的应用程序中。 尽管存在这样那样的疑虑,但云计算确实极具发展潜力,云计算可以帮助企业大幅降低IT 成本,显著提高工作效率和灵活性。一旦业界找到一些完善的安全保障解决方案,云计算就能得到大规模推广。 第四章 云计算中确保信息安全的具体方法4.1 对于云计算的安全性,也
17、有许多解决的办法。1.对保存文件进行加密 加密技术可以对文件进行加密,那样只有密码才能解密。加密让你可以保护数据,哪怕是数据上传到别人在远处的数据中心时。PGP 或者对应的开源产品 TrueCrypt 等程序都提供了足够强大的加密功能;只要你使用无法破解的密码 ,那么除了你,没人能访问你的敏感信息。2.对电子邮件进行加密 PGP 和 TrueCrypt 都能对文件在离开你的控制范围之前对它们进行加密,从而起到保护作用。但这样一来,电子邮件就岌岌可危了,因为它是以一种仍能够被偷窥者访问的格式到达你的收件箱。为了确保邮件安全,不妨使用 Hushmail 或者 Mutemail 之类的程序,两者都能
18、在网上使用,可以自动对你收发的所有邮件进行加密。 3.使用信誉良好的服务 就算你对文件进行了加密,有些在线活动(尤其是涉及在网上处理文件、而不是仅仅保存文件的活动)仍很难保护。这意味着用户仍需要认真考虑自己使用哪些服务。专家们建议使用名气大的服务,它们不大可能拿自己的名牌来冒险,不会任由数据泄密事件发生,也不会与营销商共享数据。 4.考虑商业模式 在设法确定哪些互联网应用值得信任时,应当考虑它们打算如何盈利。收取费用的互联网应用服务可能比得到广告资助的那些服务来得安全。广告给互联网应用提供商带来了经济上的刺激,从而收集详细的用户资料用于针对性的网上广告,因而用户资料有可能落入不法分子的手里。
19、5.阅读隐私声明 几乎有关互联网应用的每项隐私政策里面都有漏洞,以便在某些情况下可以共享数据。大多数互联网应用提供商在自己的政策条款中承认:如果执法官员提出要求,自己会交出相关数据。但了解到底哪些信息可能会披露,可以帮你确定把哪些数据保存在云计算环境、哪些数据保存在桌面上。 6.使用过滤器 Vontu、Websense 和 Vericept 等公司提供一种系统,目的在于监视哪些数据离开了你的网络 ,从而自动阻止敏感数据。比方说,社会保障号码具有独特的数位排列方式。还可以对这类系统进行配置,以便一家公司里面的不同用户在导出数据方面享有不同程度的自由。第五章 结论信息安全需要全社会的共同参与和支持
20、,云时代的信息安全并不可怕,只要我们在全社会不遗余力地倡导网络安全问题,大力推动信息产业及网络信息安全领域的发展,开展相关研究,云计算必将成为人类文明向前推进的新动力。参考文献1尹国定、卫红云,计算:实现概念计算的方法.东南大学学报(自然科学版),2003(04). 2Assessing the Security Risks of Cloud Computing Jay Heiser and Mark Nicolett 3 June 2008. 3马永仁、周津慧、刘东苏,谈网格计算及知识型信息服务 ,情报杂志,2005(01). 4徐志伟、冯百明、李伟,网格计算技术M. 北京: 电子工业出版社,2004. 5IFoster,C Kesselman,G Tsudik,S Tuecke.A security architecture for computational gridsA.Proc.5th ACM Conference on Computer and Communications Security ConferenceC.1998.83-92. 6苟先太、金炜东,分布式计算在下一代网络中的应用研究 ,计算机应用,2003(08). 7庞丽萍、唐晓辉、羌卫中、章勤,分布式计算模式及其软件开发包 ,华中科技大学学报(自然科学版),2005(04).
