张东坡,王礼云
(郑州工业应用技术学院,河南 新郑 451150)
云计算的应用,目前已经非常的广泛,为用户使用存储资源、计算资源、软件资源等提供了方便,也为用户节约了使用成本,但是目前却存在着一定的安全问题,急切需要改进,另外在云计算应用方面也存在需要改善的地方.如果不加以改进,对云计算的广泛应用以及发展进步以及用户的数据安全将会造成很大的影响.
2006年,Google在搜索引擎大会上提出一种新型的网络应用模式就是云计算,它是传统计算机技术和网络技术发展融合的产物. 目前,Amazon、Google、Microsoft、阿里、腾讯、华为等都建立了自己的云计算服务平台,进而针对全世界提供云计算服务.
简言之,云计算就是一种资源的整合,它通过互联网以服务的方式提供动态可伸缩的虚拟化资源的计算模式.云计算主要是把信息资源都集合到云存储中心,而用户只需要联网就可以以很低的成本共享云存储中心的任何资源.换句话说,云计算属于商业实现,用户通过支付费用,选择云计算服务运营商,然后就可以享受云计算服务,而运营商在收取费用后就提供数据存储以及传输等服务,并且负责数据存储的安全[1].
云计算向终端用户提供的数据存储服务具有一定的可靠性,保存的数据可以实现同步传递和资源共享,而用户只需要通过联网就可以使用云服务,不必担心被病毒入侵,也可以防止本地数据丢失,保证数据的存储的可靠性.
云计算的计算规模也是非常的庞大,例如Google等的云计算系统可以达到几十万甚至上百万台的服务器,来满足用户对云计算以及运行快速的服务需求.用户可以使用终端设备通过联网在云端进行各种各样的复杂的计算,完成普通的机器设备无法完成的计算[2].
终端用户可以在任何时间购买任意数量的资源,只需要可以联网的设备就能享受云服务,使用浏览器就可以立刻开始云计算,十分方便快捷.
终端用户不需要额外租赁场地或购买设备,就可以租用看起来接近无限的资源,可以把各种资源随时储存到云端,而不用担心空间不够,也不用担心某时段大规模并发访问无法承载的问题,并且云计算的各个节点可以互换,这样也就具有了扩展性强的特点.
云计算的应用非常广泛,但是目前暴露出的问题越来越多,安全问题是最突出的,也是最受关注的.云计算的安全问题包含传统IT系统中的安全问题,以及云计算本身的安全漏洞.云计算的服务模式包含基础设施即服务(IaaS),平台即服务(PaaS)以及软件即服务(SaaS).用户通过这些服务和接口,享受云计算带来的方便和便捷,同时也承担着不同服务层的各种安全问题.
目前用户只知道如何应用云计算技术,但是对于云计算的构造知道的相对较少,不明白其中的安全问题关键点.所有用户的数据都保存在数据库中,一旦数据库发生不可逆的故障,用户将不知如何处理数据.而且数据中心是针对所有的用户的,一旦有人借用非法的手段或者特殊的手段盗取他人的信息,那么用户的隐私,以及敏感数据将会被泄露.另外一些人非法侵入云系统进行数据的删除、篡改等操作也影响着数据的使用和安全[3].
在云计算系统中,有很多虚假地址和标识,这些也严重威胁着云计算的安全性.云计算一般不会检查任何源地址,所以互联网安全事件频繁发生.这是因为互联网缺乏信任技术,缺乏有效保护云计算的安全的措施.而且信任度降低也在一定程度上影响着云计算的应用的发展.
云数据库中的存储的数据具有一定的透明度,与位置无关,可以存放在世界的任何一个角落,只需联网就可以使用云计算,所以数据位置的不确定性也使得国家与国家之间发生分歧和纠纷.另外,在操作数据时,缺乏一定的记忆备份功能,很容易使得数据丢失并且找不回来.
当用户使用公有云服务的时候,如果加密处理正在传输的数据,那么很有可能会导致数据丢失;而在传输过程中,一旦应用不合规或不合法的传输协议,那么数据即使传输已经完成也会存在数据部分丢失或损坏的可能性.
有的用户拥有一定的安全意识后,会把已经储存在云端的私人数据进行删除处理,极有可能删除不干净导致残留,那么极易泄露用户的重要而敏感的数据.如何保证在用户的数据清除干净、完全释放的情况下再给到其他终端用户使用,保证无残留、无泄露不会影响用户,这个是必须要重视起来的,并且亟待解决的问题[4].
云计算平台服务因为自身运营出现问题,引起云计算提供的资源成为网络上不良黑客的攻击对象,进而导致大量数据泄露、垃圾邮件到处传播.而在此情况下,云计算服务商依然缺乏相关法律的约束,没有被明确针对性的监督管理.
一般用户在使用云计算服务的时候,一定要针对私有数据或者在传输数据之前进行加密处理,并且使用强有力的加密技术.用户将加密处理后的数据再传输到云端.因为加密数据可以保证数据的安全性,而且就算数据被其他人非法盗用,也不必担心数据被泄露.TrueCrypt程序提供的加密处理是目前最强大的最可靠的.另外对于单点登录可以采取一定的认证性保护,防止黑客登录.
随着信息技术的发展,目前可以提供云计算的服务商非常多,这些云计算服务商层次不一、服务不一,可信任度也存在很大的差异.用户在选择的时候一定要选择信誉好,或者名气稍微大一些的云计算服务商,一般情况下大品牌的云计算服务商,相对来说提供的服务更加让人信赖.他们一般都会设置良好的安全防范措施,也不会允许数据泄露损害他们好不容易建立起来的信誉度.如果还是无法确定哪些云计算服务商可以提供更好的服务时,首先要考虑付费的云计算服务商,这些比免费的更加安全.
在互联网上很多应用都有隐私政策,如果不认真阅读,就直接进行云计算的话,那么数据安全是无法做到位的.
过滤器可以起到监督作用,如果用户的数据离开了用户的网络,那么过滤器就会在第一时间出现并进行阻止,可以有效地避免数据泄露或者被盗.
当用户在进行数据传输的时候,一定要选择安全性高的传输协议,增加数据传输的安全性和完整性,例如SSL、VPN等.
虽然云计算已经广泛普及使用,但是并没有形成统一的技术标准和约束力,云计算的安全问题一直频繁出现,所以需要相关部门对其进行监督管理和约束,让其标准化,并且规范化的进行进步发展,这样也提高了云计算的安全性.在技术和制度的双重保障下,来增强云安全的防御级别.
根据以上的分析,云计算安全存在很多漏洞和潜在威胁.所以在云计算的改进上要以安全为主,建立以安全服务管理为主的平台,进行云计算网络资源的安全评估以及服务检测,并管理好云计算的数据资源和数据传输,保证实现网络安全.
安全评估和服务检测指的是,把计算机的服务数据中心作为基础设施,建立一个云计算数据资源和应用软件的平台,进行网络的安全评估.其中可以包括网络安全的防护,包括主机的安全防护或者终端设备的安全防护,安全防护一定要有防火墙和漏洞检测的相关检测设备.
云计算的数据传输是目前最需要安全防护技术的.针对此,云计算应用可以针对性改进应用,针对性设置安全防护技术,或者数据加密,例如数据存储的设备防护,设置密钥等级,设置加密算法技术,以及通信信息进行隐私保护技术等.首先,在虚拟的环境下,数据信息访问的控制,要设置数据信息的安全访问控制机制.其次,数据传输时,可设置是否进行加密传输,以及更改加密等级,保证数据隐私性得到保护.
要设置云计算服务的身份认证以及质量检测评估,包含是否使用云计算平台提供的账号密码,访问时的权限控制设置,以及各项计算的授权等功能,建立起一套系统的安全审核服务.如果发现违规违法操作后台的管理机制可进行干预.另外,使用云计算系统时,要进行身份认证,包括姓名,电话,身份认证等信息,保证具体到个人.
云计算是互联网新兴的技术领域,它的安全问题,和应用方面的改进已经成为社会关注的重中之重.通过对数据进行加密,以及选择更好的、可靠的云计算服务商,可以在一定程度上增加数据的安全性.随着信息技术的发展,云计算安全技术和制度还需要不断地改进,以免出现更多的安全问题,所以云计算服务提供商一定要不断规范地改进措施,保证云服务云数据的安全性和可靠性,为用户提供更好的服务.