搜索
计算机与通讯工程学院面向行业的云计算信息安全问题及解决方案调研报告云计算(cloudcomputing)是一种因特网的超级计算模式,是当前全球IT界共同关注的热点。云计算是基于虚拟化技术快速部署云端的资源以获取服务,通过互联网让云端的用户方便的参与海量的信息处理。云计算给终端用户提供超强的计算能力和海量的虚拟化资源,终端用户体验到云计算优越性的同时,也开始成为各种恶意组织或黑客为某种利益攻击的目标。组成云的各种软硬件系统等资源依然面对传统网络环境中所而对的各种病毒、木马、和恶意的攻击,云计算的信息安全值得我们高度关注。一、云计算云计算是一个完全由第三方提供计算资源的新的计算理念,它由大量计算机群组成,动态的分配资源,实时监控资源的部署和分配情况,提供可托管的应用程序环境。广义的云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。狭义的云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。云计算中的服务根据提供的服务层次可以分为软件即服务(softwareasaservic,SaaS)、平台即服务(platformasaservice,LaaS)和基础设施即服务(infrastructureasaserviceIaaS)3个层次。提供软件资源的网络被称为“云”。存在于互联网的服务器、存储器、CPU等硬件资源和应用软件、集成开发环境等资源可以按使用者的需求随时获取,随时扩展,并按使用情况付费。二、云计算的优势云计算将计算任务分布在大量的计算机构成的资源池上,通过网络按需提供可动态伸缩的廉价计算服务。云中的资源对使用者来说可以随时获取,随时扩展,按需使用,按使用付费。1.终端用户投入低,效益高云计算模式中,互联网的计算架构由“服务器十客户端”向“云服务平台十客户端”模式演变。用户不用投入大量的资金用于配置大型机和购买昂贵的高性能设备,也不需要花费资金来更换陈旧的设备,只需一台PC机作为终端就可以登录到云系统中直接使用其高性能的资源。通过虚拟化、自动化等云计算关键技术,智能、动态地调配各种资源,如计算、存储、带宽、硬件、软件等。2.用户使用方便用户可以在任何地方通过浏览器在“云”的另一端运行程序和数据,可以和相关人员随时分享信息,不用担心机器上是否安装了应用软件,或担心是不是最新的版木。云计算可以轻松实现不同设备间的数据与应用共享,实现云计算中“一切皆服务”的理念。3.数据存储安全云计算提供最安全最可靠的数据存储中心,不仅能够确保数据的隐私性,而且确保数据不会受到破坏。因为在“云”里有最专业的团队来帮忙管理信息;有先进的数据中心来保存数据;有专业的计算机维护人员来管理维护硬件,升级软件;有专门的杀毒软件帮忙防范病毒的攻击和网络攻击用户不用担心自己的数据丢失或病毒入侵等。4.充分利用资源共享云计算提供不同服务器间数据共享环境,有效扩大信息资源的共享范围。云计算将分散在不同服务器上的数据库统一起来,为用户提供一站式服务。云计算模式可以在技术和管理上将分布式存储的数据库和一站式的检索界而结合起来,帮助用户高质量的完成任务。三、云计算信息安全的发展趋势云计算时代的安全设备和安全措施的部署位置不同,安全的主体也由用户自己保证安全变为由云计算服务提供商来保证安全,云计算虽然改变了服务方式,但并没有颠覆传统的安全模式,因此用户使用云计算仍将而临信息安全风险。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠止常地运行,保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性,信息服务不中断。1.云计算信息安全的正向效应信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,保证信息的机密性,完整性、可用性等安全属性。云计算技术的出现对信息安全带来的机遇与挑战并存。其中,云计算对信安全正向作用的效应和机理表现为:(1)云计算可以提供低成本安全保障对于个人或中小企业来说,信息安全的水平往往受制于信息安全的投入成本。云计算服务提供商采用专业化的安全策略和产品保障海量用户的信息资源,可以充分发挥规模化优势,大幅度降低用户的安全成本,节约全社会信息安全保障成本。(2)云计算推动客户端安全管理的标准化云计算提供商可以根据不同的业务需求和信息资产重要性制定各类信息安全标准化服务,其中也包括了安全管理的标准化。客户端功能的弱化,可以更有针对性的制定实施客户端的安全管理标准,提升客户端安全控制效果。(3)云计算信息集中存储提升安全监测水平通过存储在一个或者若干个数据中心,数据中心的管理者可以对数据进行统一管理,深入挖掘信息内容的变异过程、精准定义信息内容倾向性。例如可以极大的提升安全公司对新病毒的响应速度,同时第一时间将补丁或安全策略分发到各个分支节点。2.云计算信息安全的负面效应任何事物都有正反两个方面,在认识到云计算为信息安全带来正向效应的同时,更应该关注其对信息安全造成的威肋、,尤其是由于信息资源的高度集中所带来安全双刃剑效应,具体表现为:(1)信息安全的风险效应空前放大。由于信息资源、基础设施、服务软件等计算资源整体向云计算服务商集聚,信息安全呈现威肋、目标少但风险集聚的趋势,系统性故障将带来信息安全的极化效应,对云计算服务商的安全保障提出更高要求。(2)信息安全的威胁呈现日趋隐性。云计算使得信息所有权和控制权出现分离,云计算使得人们逐步丧失了对自身信息的控制权和知情权,用户信息机密性等面临云计算的“黑箱效应”,对将法律应用到广泛的信息管理场景中提出了新的挑战。(3)信息安全的国家控制力被削弱。信息源的普遍化和多样化,弱化了国家对信息和公民个人行为的控制力。此外,跨境的云计算服务商支持信息的跨境流动,支持用户在任意位置使用多元化终端获取应用服务,加大了国家整体的信息安全风险。(4)行政法律管辖边界受到挑战。云计算中的信息流动是全球性的,而每个国家都拥有自己的法律以及管理要求,云计算服务提供者显然无法做到与所涉及的所有国家的规制相符,由此带来信息安全的价值导向和目标定位的冲突将进一步衍生出新的安全风险3.云计算信息安全与国家安全信息是维持社会活动、经济活动和生产活动的重要资源和安全要素,信息时代国家安全的内涵已发生重大变化。正因如此,在十六届四中全会的《关于加强党的执政能力的决议》中,信息安全已经与政治、经济、文化安全并列为四大主题之一,在此层面看,云计算信息安全不仅涉及个人与企业,更将全面拓展到国家安全层面。(1)云计算信息安全对国家政治安全的影响。网络时代,国家主权行使范围由陆地、海洋、太空扩展到了网络空间,“信息主权”成为国家主权概念中的一项重要内容,其行使能力是一个国家主权独立完整的重要体现“信息主权”也是国家主权斗争的重要领域,特别是云计算技术和组织模式的兴起,给“信息主权”的全球博弈和平衡管理方面带来了巨大的机遇和挑战。目前以美国为首的发达国家对云计算平台建设力度不断加大,在云计算人才、技术、标准和信息资源等方面的控制力越来越强“技术位势差”以及由此产生的“信息位势差”可能进一步加剧。这发展趋势可能导致新型国际公共政治关系,居于信息低位势国家的政治安全将面临来自云计算信息强国的现实威胁。(2)云计算信息安全对国家经济安全的影响。在经济的全球化的背景下,信息流己不再是简单的传播,它引导着资本,左右着市场,决定着交易。云计算环境下,随着海量、离散的信息进入云计算资源共享池中,信息因为聚合而产生巨大的商业价值,当达到一定规模势必成为国家经济安全的重要保障对象。重要的经济信息若出现泄露或失控,将极大地威胁企业和国家经济的正常运作。云计算的发展将带来全球新一轮产业竞争和整合,对我国信息技术及相关产业的安全产生严峻挑战。(3)云计算信息安全对国家文化安全的影响。网络信息传播对民众的心理和意志影响正日益重大。正如胡锦涛总书记指出的,“互联网己成为思想文化信息的集散地和社会舆论的放大器,我们要充分认识以互联网为代表的新兴媒体的社会影响力”。随着云计算的发展,进一步模糊了国家、组织、领域及虚拟社区的边界,传统封闭和限制的措施在云环境下难以进行有效的信息流动控制,放大了全球思想的跨界渗透力和影响力,加速了国家间文化的传播和融合。信息强国制定信息的管理规则,操纵信息的流向和分布,可能使思想文化交流失去对等性和交互性,从而形成单向的文化产品的灌输和文化意识渗透,将从深层次影响和改变多元化的思想文化和价值导向格局,处于技术和传播弱势的国家文化安全阵线面临冲击。四、国外云计算产业布局与信息安全规划1.美国云计算产业布局和信息安全规划美国是“云计算”技术和应用的主要推动者,其云计算环境下的信息安全是通过产业控制和安全保障等得以实现,并具有显著的扩张性特征。具体来说,首先,在政府、企业和科研组织的共同推动下,美国全力引导和推进云计算产业布局。早在2003年,美国国家科学基金就投资830万美元,支持由七所顶尖院校提出的“网格虚拟化和云计算”项目,其后又陆续将云计算技术运用到美国航空航天局等国家重要机构和尖端行业。2006年,美国亚马逊公司推出了简单存储服务(S3)和弹性计算云(EC2),云计算服务的产业化开始走向成熟。2008年,IBM公司又正式提出“蓝云”计划,推出公有云和私有云的概念,随后发布了基于云端的协作平台。与此同时,IBM等企业开始大举进军海外市场,仅在中国市场就己投资建立了无锡云计算中心、黄河三角洲云计算中心、铁路创新中心等云计算平台。另一方面,在加强云计算全球布局的同时,美国也在不断提升网络信息资源保障的战略层级。2010年5月29日,奥巴马公布了名为《网络空间政策评估—保障可信和强健的信息和通信基础设施》的报告,强调美国21世纪经济繁荣将依赖于网络空间安全。2011年5月16日,美国司法部、国土安全部等六大部门在白宫发布《网络空间国际战略》。确保云计算信息资源的控制和保障是上述信息安全战略的核心利益,其中甚至指出如果网络空间遭到严重威肋、,美国将动用包括军事手段予以反击。2.欧盟国家的云计算产业布局和信息安全规划在认识到云计算对全球产业发展和信息安全的重大影响,欧盟国家对云计算产业和安全的布局正在加快。保持独立发展和强化安全规范是欧盟国家的主要特征。例如,德国投入巨资保持在4G/LTE和云计算研究的前沿地位,并于2011年1月在德国马格德堡建立了目前欧洲最大的云计算中心,启动了经由卫星实施云计算的技术方案。同时,欧洲网络及信息安全局(ENISA)积极制定了“云计算风险评估”规范,该机构发布的《云计算:好处、风险以及信息安全建议》报告中明确指出在公共云的数据安全会面临巨大的挑战,提出并不建议用户将最敏感或者核心的数据置于云端。此外,由于欧盟国家对用户隐私保护的严格标准,欧盟提出了云计算环境下保护信息安全的《数字议程计划》,对进入云资源池中的经济信息规定了删除时间。德国更严格规定:所有入云数据,必须保存在德国境内。为了制约云计算公司的不道德行为和窃取企业商业秘密的做法,欧盟成员国通过立法程序确保企业的经济信息安全。此外,针对美国扩张性的云计算战略,欧盟开始研究封杀欧洲市场上由美国公司提供的云服务,原因是欧盟发现美国可能将其《爱国法案》应用到所有在欧洲的云计算服务。根据《爱国法案》法案,提供云计算服务的美国公司在特定情况下需要将欧洲用户的数据提交给美国相关部门。欧盟己经在讨论禁止美国公司在欧洲提供云计算服务事宜,旨在迫使美国调整其相关法规。3.日、韩、印等国的云计算产业布局日本的云计算产业发展强调经济效果与社会效果的共赢。2010年8月16日,日本经济产业省发布了《云计算与日本竞争力研究》报告,提出将从完善基础设施建设、改善制度和鼓励创新等三个方面推进云计算发展,积极鼓励在医疗、教育、电力等各个领域全面利用云计算技术,同时强调须在充分考虑个人信息匿名化与信息安全的基础上,完善信息使用与传播的规章制度。韩国于2009年12月制定了《云计算全面振兴计划》,提出在2014年前成