云计算对信息安全的影响与对策

孙序铭

摘要：随着云计算技术的不断成熟与发展，云计算应用在我国逐渐得到普及，云计算在当代社会经济中的地位已经开始变得越来越重要。由此云计算的安全问题就显得尤为重要。该文从云计算的概念出发，介绍了云计算几个应用方面，阐述了如今云计算所面临的安全问题，并对诸多安全问题提出了相应的解决方案。

关键词：云计算；信息安全；安全对策

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（201 6）29-0062-02

1云计算的基本概念与应用

1.1云计算的基本概念

业界对云计算的各种定义有许多，以下对从美国国家标准和技术研究所提取的定义比较受业界认可，云计算的付费方式按使用多少计算，此类方式为用户供应可用的，便利的，按需网络访问，加入到可配置的筹划资源共享池，这些资源可以被快速供给，人员只要参与较少的管理工作，或更少的与服务提供单位从事交互。（其中包括网络，存储，服务器，应用与服务）对云计算应用的形式有很多种，比如当你应用一个资源的时候，客户端不需要过高的配置，只需要基本处理能力，大部分的文件与数据处理都通过服务器来运行，并将处理后的内容通过压缩经过互联网传递给用户。用户则可以省去购买高配置硬件的资金，而运营商也无需花大量的精力财力来研发新的硬件设备，只需要对服务器进行升级。这样运营商与客户就可以在一定程度上达到双赢的局面。

1.2云计算技术在企业层面应用

在云计算技术方面走在世界前列的甲骨文公司与海天轻纺集团合作海天轻纺集团的主要业务是进行高科技纺织产品的研发生产，集团是一家高科技公司，早已形成规模化的产业链。公司在产品的研发不断成熟的过程中，其对ERP的需求也愈加强烈。甲骨文凭借一个全面的，全球和集成的企业资源计划，以帮助财政部门，使用，项目组合管理和供应链管理。帮助进行财务、采用、项目组合管理和供应链管理。甲骨文云服务上使用最新的移动互联网技术，关注客户的用户习惯和用户体验信息，对其进行分析和处理，用户的采用程度可以提高。甲骨文的ERP套件支持金融财务、风险和控制管理、采购、库存和项目组合管理。通过支持多个通用会计准则、多货币、多语言、多分支的全球企业，通过使用“甲骨文”，以确保客户可以保持所有分支的客户端从一个到另一个保持相同的过程。

1.3云计算技术在国家层面应用

在刚结束不久的G20峰会上，阿里云计算有限公司就为保障G20峰会的安全领域做出贡献，在峰会准备过程中，阿里云对中国200多家政府网站进行了全面检测，查找并处理漏洞，并在峰会期间拦截超1亿次针对网站的攻击，为峰会期间的重要网站安全做出贡献。依照对未来的判断，2018年全世界云計算的市场容量有望突破790多亿美元。由此可见云计算对国家安全与经济发展有这举足轻重的地位。

2云计算的安全事故

随着移动互联技术的不断普及，云计算安全对国家安全与经济发展的影响愈加重要。因此用户在享受云计算带来的利益的同时云计算的安全问题同样的给予重视。微软在2010年发生了云服务中断的事故，事故造成美国多地用户受到影响，随后微软声称故障得到解决，并说明是由于网络基础设施的问题造成的本次事故。可随后的一个月内有发生了两次同样的事故。2011年同样作为提供云计算服务的IT大亨也爆发安全事故，此次谷歌邮箱爆发了大规模的用户信息泄流事件，15以上的用户聊天记录甚至帐号消失，谷歌极力发展云计算，但云计算中的存储却一再发生事故。亚马逊，Facebook，Twitter等云计算的企业都曾因为云计算安全事故受到影响。

3云计算安全问题

3.1内部安全

现如今大部分安全系统都可以阻止来自外部网络的攻击，其实内部的安全问题往往更容易导致信息的泄漏。而对内部的安全问题也最容易被人们所忽视，内部工作人员如安全专家，工程师与系统管理员这些内部工作人员有较大的权限，并且更容易接触到企业的核心信息，一旦企业工作人员通过合法的身份泄漏或损害信息完整性，就会对组织造成严重影响。

3.2云存储与访问安全

随着信息技术的发展数据管理不仅仅是存储和管理数据。而转化为客户所需的各种数据管理方式，云存储的数据安全也存在各方面的威胁，如何建立安全可靠的云存储机制与如何通过访问控制来保护云数据安全成为服务提供商的重大课题。当用户将数据传输到“云”时服务商同时拥有了对数据进行访问的权限，云计算服务商自身权限管理存在疏忽就很容易通过非法的渠道得到用户数据，导致用户信息被泄露。同样在用户向“云端”传输数据时不严格加密也会导致用户所传输的数据可能泄漏或影响数据的完整性。

3.3安全事故处理

为保证云计算核心资源的完整也就是数据的完整性。一旦放生灾难，保护数据的完整性就变得尤为重要，不少企业就应为核心数据的丢失导致经济利益受到巨大损害，安全事故处理不当极有可能造成数据的二次损坏，甚至威胁的运营商的存亡，因此如何在遇到安全事故的情况下保护云计算数据安全是摆在每个企业面前的课题。

4云计算安全对策

4.1云计算内部员工安全策略

云计算技术在引进在企业内部以前，企业的管理者和信息技术部门人员应当根据所在单位本身的详细需要，以需求为根据对现实情况引进到公司内部的云计算战略对风险性开始评估，根据计划来评价云计算，并且到底会给所在单位带来什么，是利润还是威胁，利润是多少，威胁在何处。企业IT管理部门需要认识到，云服务提供商可以作为企业内部IT部门的一个扩展。危机可能存在于企业内部与此同时云服务商也面临这危机。关键的区别是，在企业内部可以更容易地验证，执行和管理控制这些风险。

如今不少云计算服务商的方案内中都包括了例如SSAE审计和数据访问以及数据中心等安全掌控和数据加密等类型标准，这些准则的达成不但能够提升云计算安全方案的可靠性与安全性，在一般情况下的管理同样提供了保障。

不管是私有云还是公有云，企业采纳一种与本单位要求相适应的云计算部署方案而且以最快效率转移到另一种新的信息技术服务形式当中，这中间必定有巨大的数据量，必定要用强大的加密技术来保证其安全。

4.2用户身份安全加密认证

基于身份的安全技术意味着你可以跟踪用户的身份、机器用户、数据、服务等，以便您可以仔细管理安全问题，确定谁可以访问特定的服务，以及他们能够通过这些服务做什么。例如，我们知道机器的特定身份可以调用服务，因为机器在允许呼叫服务之前已经被授权了。身份管理安全软件系统通常需要一个资源库来跟踪身份，需要能够对所有的参与者进行授权和认证。

加密是另一个标准的云服务安全机制。客户和服务提供商应该能够提供加密措施，在有需求的时候，以确保服务提供商和客户的谈话是保密的。当加密数据从一个系统中传输到另一个系统中，我们称之为动态加密。

4.3确认云存储数据的完整性

如今云存储是云计算公司的重要业务之一，例如谷歌公司，亚马逊公司，都推出了自己的云存储业务，用户可以将信息通过互联网传递到网云当中，但在传输过程中有一些潜在的威胁篡改用户数据，因此保护数据传输的完整性成为了一大问题，Hash算法可以保证输入数据的完整性，当数据是散列算法时，会对数据进行处理，并输出相应的代码，称之为信息摘要。在用户发送的过程中会加人摘要来保护数据的完整性。

4.4访问控制与权限设置

设立可靠的访问控制策略从而有效的保护云资源的安全。根据设立的权限来控制用户对资源的访问，对不被授权的用户无法访问资源。保证了资源的完整性与保密性。在建立访问控制策略时，主要遵循以下三个原则：最小特权原则、职责分离原则和多级安全原则。最小特权原则指用户只能使用完成任务所要用到合理资源进行操作，不得进行其他不必要的操作也不得訪问其他无关任务的资源。例如在企业当中员工可以访问企业的一些保密资源，而不可随意对企业的保密资源进行修改。职责分离原则指把管理权限进行分割处理，不同的权限交由不同的管理员。防止权力过大的同时，防止对权限的不合理运用。多级安全原则对不同的资源设立各级管理等级。根据访问者的等级来设立相应的资源访问，从而对云计算资源进行合理的保护与分配。

4.5解决安全事故标准方式

云计算企业在投入使用的过程中应建立一套标准的安全事故处理规范，一旦放生云计算安全事故，企业员工应按照科学的规章制度进行标准化的处理，保证事故影响降到最低。首先，员工应对安全事故进行评估，评估安全事故所造成的影响范围。并联系相关的安全处置部门寻求帮助，有必要的情况下需即使联系警方协同处理。处置事故的成员在进行相应工作的同时需记录人员名单及工作中的各种信息。响应安全事故的小组成员按标准化规章来处理，使处理过程变得高效。

4.6制定灾难恢复体制

灾难备份系统可以有效减少灾难所造成的损失，此系统可以在数据受到不可预知损坏的情况下，通过其他的备份数据中心继续为用户提供服务。现如今无论是政府机关，交通，金融等行业都逐渐应用云计算服务，建立灾害备份中心可提高了服务的可依靠度。

4.7建立系统的法律法规

由于云计算技术目前还只是处于起步阶段，并且发展速度迅猛，云计算相关领域还没有形成统一的完整的法律法规，在国内的相关法律还没有完善。因此完善云计算安全方面的法规显得尤为急迫。有体系的法规建立可谓是云计算构建安全服务的重要衡量标准。应有国家层面统一协调，完善云计算安全法规，使云计算服务有法可依。

5结论

在云计算技术不断普及的时代下，如何为用户提供更为安全可靠的服务成为关键。截至当前社会各界关于如何解决云计算安全方案各有不同，基本根据本单位对云计算信息安全的解读，结合其单位所专注的某一安全方向，运用到解决方案。但是运用对云计算平台的整体安全解决策略是当代云计算信息安全的大趋势，也是必由之路。保证云计算平台的技术体系建立，也必将会使云计算平台更加便利可信，使云计算领域得到长足的进步与发展。