云計算是一種共享IT基礎(chǔ)設(shè)施的架構(gòu)方法��,它允許任何有權(quán)限的用戶通過網(wǎng)絡(luò)訪問共享的計算資源��,但由于行業(yè)標(biāo)準(zhǔn)的缺失���,市場上不同廠商所提供的云服務(wù)并不相同�,甚至互不兼容�。隨著時間的推移,云計算概念不斷擴(kuò)展�,涵蓋的服務(wù)范圍也越來越廣:我國各行各業(yè)的云計算時代正在到來,據(jù)中圍電子信息產(chǎn)業(yè)發(fā)展研究院不久前發(fā)布的《2011-2015年云計算行業(yè)市場全景調(diào)研及投資評估深度研究報告》調(diào)研分析和預(yù)測數(shù)據(jù)顯示���,2010年中國云計算市場規(guī)模達(dá)到167.31億元���,相比2009年的92.23億元,同比增長81.4%�,預(yù)計到2012年將突破600億元。當(dāng)前���,中國云計算產(chǎn)業(yè)處在產(chǎn)業(yè)突破的前夜��。未來三到五年內(nèi)��,云計算市場平均年復(fù)合增長率將達(dá)到27.4%�。預(yù)計�,2014年全球云服務(wù)市場會達(dá)到550億美元。成本低廉���、靈活擴(kuò)展����、上線及時是驅(qū)動企業(yè)選擇云計算方案的主要動力����。相比綜合實力較強(qiáng)的大型企業(yè),中小企業(yè)對云計算服務(wù)的需求更大��。2011年����,中小企業(yè)云計算市場空間將超過大型企業(yè)市場��。截止到2010年��,僅有7%的中小企業(yè)使用了云計算服務(wù)��。
云存儲是云計算的存儲部分�,即虛擬化的�、易于擴(kuò)展的存儲資源池。云存儲意味著存儲可以作為一種服務(wù)����,通過網(wǎng)絡(luò)提供給用戶。用戶可以通過若干種方式來使用存儲����,并按使用付費。據(jù)來自SpringboardResearch的一份研究報告顯示����,國內(nèi)云存儲市場在近幾年內(nèi)會得到迅猛的發(fā)展。國內(nèi)的云存儲服務(wù)市場將由2009年的605萬美元快速增長至2014年的2.0854億美元����。各類中型企業(yè)或其它組織機(jī)構(gòu)將成為中圍第一輪大規(guī)模采用云存儲服務(wù)的單位,其中就包括各類制造企業(yè)��。Springboard公司認(rèn)為,降低總體擁有成本和簡單而快速的實施是驅(qū)動整個云存儲市場的主要因素����。有限的IT預(yù)算和集中于核心業(yè)務(wù)的投資����,將使得中型企業(yè)成為驅(qū)動市場首次廣泛采用云存儲服務(wù)的動力之源。采用云存儲服務(wù)將幫助這些企業(yè)主有效地降低固定資產(chǎn)投入(CAPEX)���,并保護(hù)企業(yè)的資本流動性��。云存儲服務(wù)提供商中���,傳統(tǒng)的主機(jī)托管服務(wù)提供商將成為市場的倡導(dǎo)者,他們將傾向于更多的云存儲服務(wù)投資���,并重新包裝其現(xiàn)有的托管服務(wù)����。交通運輸業(yè)��、制造業(yè)和公共事業(yè)部門等領(lǐng)域都醞釀著對云存儲的高潛在需求���。
根據(jù)Springboard的報告顯示:“在中國的交通運輸業(yè)����、制造業(yè)、公共事業(yè)以及能源業(yè)����,云存儲服務(wù)將有高潛在需求。云存儲服務(wù)將吸引客戶��,以便于處理多區(qū)域多行業(yè)客戶�。公共事業(yè)以及能源業(yè)客戶將會在政府政策鼓勵下逐漸采用云存儲服務(wù)。云存儲服務(wù)將為其提供充足的存儲技術(shù)支持����,并為其降低現(xiàn)場部署設(shè)備和維護(hù)成本。對于制造業(yè)���,云存儲服務(wù)將為客戶提供最新存儲技術(shù)和與現(xiàn)有應(yīng)用程序無縫連接的存儲能力���。制造行業(yè)客戶,尤其是那些尚不具有成熟數(shù)據(jù)中心并已花費高昂IT成本用于維護(hù)生產(chǎn)系統(tǒng)信息化管理的客戶�,將對云存儲服務(wù)具有高潛在的需求?��!眹鴥?nèi)的云存儲市場需求很大��,企業(yè)需要的不僅是云存儲服務(wù)����,更需要系統(tǒng)云存儲的解決方案,目前國內(nèi)的廠商在這方面做得并不好���,而國外的一些廠商已經(jīng)提出了自己的解決方案,這一點值得我們學(xué)習(xí)����。
云存儲已經(jīng)成為未來存儲發(fā)展的一種趨勢,目前云存儲廠商正在將各類搜索技術(shù)�、應(yīng)用技術(shù)和云存儲相結(jié)合,以便能夠向企業(yè)提供一系列的數(shù)據(jù)服務(wù)����,但是未來中國云存儲市場的發(fā)展趨勢,主要還是要從安全性��、便攜性及數(shù)據(jù)訪問等方向進(jìn)行發(fā)展�。
但是,我們也必須看到��。盡管云計算和云存儲有著諸多優(yōu)勢,政府部門����、企業(yè)和各類組織機(jī)構(gòu)在選擇云計算服務(wù)時仍有顧慮。多項調(diào)查表明����,云計算的潛在安全風(fēng)險是應(yīng)用部署云平臺的主要阻力,云存儲的安全性也是阻礙典陜速普及的主要原因之一�。從目前來看,云計算產(chǎn)業(yè)仍處于發(fā)展初期�,企業(yè)還不能將完全信任地交付給服務(wù)提供商。隨著時間的推移�,云計算技術(shù)會逐漸成熟,企業(yè)的接受程度會不斷提高����。預(yù)計今后幾年云計算的市場認(rèn)可度將提高30%以上。當(dāng)前最值得注意的是云存儲的安全性�。從云計算誕生之日起,安全性一直是企業(yè)實施云計算首要考慮的問題之一��,同樣在云存儲方面安全也是只需要考慮的問題�,對于想要進(jìn)行云存儲的客戶來說,安全性通常是首要的商業(yè)考慮和技術(shù)考慮。但是����,許多用戶對云存儲的安全要求高于自己的架構(gòu)所能提供的安全水平。既便如此�,面對如此不現(xiàn)實高的安全要求,許多大型云存儲廠商正在努力構(gòu)建更加安全的數(shù)據(jù)中心��,建立起可與NSA(美國國家安全局)媲美的加密層和保護(hù)層來保護(hù)存儲中的數(shù)據(jù)���。
云計算商業(yè)模式的迅速發(fā)展將對中國IT業(yè)產(chǎn)生重要的影響���,特別是涉及包括海跫數(shù)據(jù)云存儲架構(gòu)及其安全性在內(nèi)的諸多領(lǐng)域��,從而開創(chuàng)一種全新的云存儲安全保障前景����。未來5年,云計算和相關(guān)云存儲安全服務(wù)市場將保持高速增長態(tài)勢��。
通過云存儲可以更加安全����、便捷地存儲和管理各個系統(tǒng)存儲的海量數(shù)據(jù),特別是便于及時全面、深入分析系統(tǒng)中的數(shù)據(jù)����,為政府、組織機(jī)構(gòu)和企業(yè)應(yīng)用在激烈的市場競爭中洞察先機(jī)��,根據(jù)市場需求及時調(diào)整發(fā)展策略�,為戰(zhàn)略投資者選擇恰當(dāng)?shù)膽?zhàn)略規(guī)劃提供了準(zhǔn)確的情報信息及科學(xué)的決策依據(jù),因此�,云存儲意義極大。
因此�,針對上述需求研發(fā)云存儲的安全防護(hù)系統(tǒng)意義重大,時不我待���。以云制造平臺的安全解決方案為起點���,解決其中的數(shù)據(jù)存儲安全問題,再推廣到通用的云存儲服務(wù)上����,以此為起點,為更多領(lǐng)域的云存儲服務(wù)提供安全保障是當(dāng)前亟待解決的問題�。
1、發(fā)展云計算已經(jīng)成為新的熱點
云計算技術(shù)創(chuàng)新是新的信息產(chǎn)業(yè)技術(shù)革命���,已成為信息行業(yè)的未來發(fā)展方向����,世界許多國家都在制定云計算的研究和發(fā)展戰(zhàn)略。2009年9月����,奧巴馬政府宣布將執(zhí)行一項長期性的云計算政策,希望借助虛擬化來壓縮美國政府支出�。日本計劃建立名為Kasumigaseki Cloud的云計算基礎(chǔ)設(shè)施。在我國“十二五”規(guī)劃的新一代信息技術(shù)產(chǎn)業(yè)重點發(fā)展方向中�,包括了云計算等十項產(chǎn)業(yè);“加強(qiáng)云計算服務(wù)平臺建設(shè)”是構(gòu)建下一代信息基礎(chǔ)設(shè)施的重要措施��。2009年12月����,IDC發(fā)布的2010年IT和電信行業(yè)十大預(yù)測中指出��,云計算將擴(kuò)張并走向成熟�,會誕生許多新的公共云熱點、私有云服務(wù)���、云應(yīng)用以及將公共云與私有云聯(lián)系起來的服務(wù)。埃森哲2010年云計算研究報告指出:“在2年內(nèi),會有更多的中國大企業(yè)使用云計算��,將從43%提高到88%。在近幾年內(nèi)��,中國的云計算產(chǎn)業(yè)將會快速發(fā)展�。”據(jù)IDC預(yù)測�,從2009年底到2013年底的四年間,云計算會為全球帶來8000億美元的新業(yè)務(wù)收入�,為中國帶來超過11050億元人民幣的新業(yè)務(wù)收入。
云計算由于其成本底��、資源利用率高���、回報快�、管理開銷低等特點��,得到了用戶的青睞和認(rèn)可��。在國際上���,云計算技術(shù)的產(chǎn)業(yè)發(fā)展十分活躍��。自2007年開始����,產(chǎn)業(yè)界對于云計算的研發(fā)、討論以及相關(guān)產(chǎn)品的關(guān)注持續(xù)升溫����。眾多的國際型IT公司都推出了各自的云計算產(chǎn)品,如IBM公司的WebSphere CloudBurst Appliance(WCA)��、Amazon公司的Amazon Simple Storage Service(S3)��、Google公司的Google App Engine(AGE)���、Salesforce.corn公司的“軟件即服務(wù)”理念及Force.corn平臺���、微軟公司的Windows Azure平臺等。相比國外云計算技術(shù)的快速發(fā)展���,我國在這方面的技術(shù)和產(chǎn)品明顯滯后�?�!矫?,我國需要投入技術(shù)力量進(jìn)行自主化云計算的研究���;另—方面����,更加重要的是我國需要快速掌握云計算中的核心安全問題,為云計算在我國的應(yīng)用提供切實的技術(shù)保證���。
云存儲是云計算的重要內(nèi)容���,云存儲服務(wù)是指云存儲服務(wù)供應(yīng)商提供的存儲和存儲相關(guān)的服務(wù),存儲服務(wù)需要通過網(wǎng)絡(luò)將本地數(shù)據(jù)存放在存儲服務(wù)提供商(Storage Service Provider����,SSP)提供的在線存儲卒間。需要存儲服務(wù)的用戶不再需要建立自己的數(shù)據(jù)中心�,只需向SSP申請存儲服務(wù),從而避免了存儲平臺的重復(fù)建設(shè)�,節(jié)約了昂貴的軟硬件基礎(chǔ)設(shè)施投資。云存儲服務(wù)是目前最為成熟的云計算服務(wù)��,許多國際大公司都推出了云存儲產(chǎn)品���,包括Amazon的Cloud Drive��、GoagleStorage��、蘋果的iCloud��、微軟的SkyDrive等�。IDC調(diào)查數(shù)據(jù)顯示,2013年��,云存儲服務(wù)的增長率預(yù)計將超過所有其他云服務(wù)����。在未來四年內(nèi),云存儲的市場比例將從目前的9%增長到14%�,也就是說云存儲的市場規(guī)模將接近62億美元。IT市場咨詢公司思林博德Springboard Research于2010年發(fā)布了《中國云存儲服務(wù)報告(China Cloud Storage Services Report)》該報告顯示����,在未來的5年,中國云存儲服務(wù)市場的年復(fù)合增長率將達(dá)到103%��。Springboard認(rèn)為���,中國云存儲服務(wù)市場將由2009年的605萬美元快速增長至2014年的2.1億美元���。2009年12月。因特網(wǎng)數(shù)據(jù)中心IDC發(fā)布的2010年IT和電信行業(yè)十大預(yù)測中指出:“云計算將擴(kuò)張并走向成熟��,會誕生許多新的公共云熱點�、私有云服務(wù)、云應(yīng)用以及將公共云與私有云結(jié)合的服務(wù)����。”
云存儲是未來存儲發(fā)展的一種趨勢���,云存儲已經(jīng)成為各大國際IT公司的戰(zhàn)略發(fā)展重點�。目前���,云存儲廠商正在將各類搜索���、應(yīng)用技術(shù)和云存儲相結(jié)合,以便能夠向企業(yè)提供一系列的數(shù)據(jù)服務(wù)����。云存儲目前已經(jīng)得到了眾多廠商的支持和關(guān)注。Amazon公司推出彈性塊存儲(EBS)技術(shù)支持?jǐn)?shù)據(jù)持久性存儲���,Google推出在線存儲服務(wù)GDrive��,內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)提供商CDNetworks和云存儲平臺服務(wù)商Nirvanix結(jié)成戰(zhàn)略伙伴關(guān)系����,提供云存儲和內(nèi)容傳送服務(wù)集成平臺,EMC公司收購Berkeley Data Systems�,取得該公司的Mozy在線服務(wù)軟件,開展SaaS業(yè)務(wù)��,Microsoft公司推出Windows Azure���,并在美國各地建立龐大的數(shù)據(jù)中心��,IBM也將云計算標(biāo)準(zhǔn)作為全球備份中心擴(kuò)展方案的一部分��。
同時����,云存儲在中國也開始逐步發(fā)展�,不但國際IT公司在中國開展云存儲業(yè)務(wù),很多中國公司也逐步推出云存儲產(chǎn)品���。例如�,云存儲服務(wù)商酷盤剛剛獲得2000萬美元融資��,華為也為自己的平臺電腦附送了16GB的云存儲服務(wù)空間。中國電信也計劃于2012年正式運營云存儲服務(wù)���,����?���?傮w而言����,中圍的云存儲服務(wù)市場正逐漸起步,市場前景非常巨大����。
2、高度重視云計算特別是云存儲中的安全問題
安全問題是云計算應(yīng)用推廣中面臨的重大障礙�,引起了產(chǎn)業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。ACM專門組織了WorkShop討論云安全研究��,著名的信息安全國際期刊IEEE Security&Privacy在2010年第6期號門組織了?���?瑢iT云計算環(huán)境的安全和隱私保護(hù)問題,在2009年的RSA大會上��,云計算安全聯(lián)盟CSA(Cloud Security Alliance)宣布成立�,并迅速得到了業(yè)界的廣泛認(rèn)可,許多重要的廠商均成為其會員����。CSA成立后,著手對云計算環(huán)境中的安全防護(hù)進(jìn)行系統(tǒng)的研究����,并于2009年12月發(fā)布了云計算關(guān)鍵領(lǐng)域安全指南,對云計算的安全研究進(jìn)行了系統(tǒng)的描述���。2010年3月�,CSA又發(fā)布了云計算的主要威脅分析��,根據(jù)云計算環(huán)境的特點對其面臨的安全威脅進(jìn)行了分析�。為其安全防護(hù)研究提供了指導(dǎo)。
云計算環(huán)境是一個多個用戶共享云設(shè)施的環(huán)境�,它所面臨的安全威脅不容忽視,目前公認(rèn)的安全威脅主要包括有數(shù)據(jù)的丟失和泄露問題�、云計算資源的濫用和非法使用、不安全的服務(wù)接口和API����、惡意的內(nèi)部用戶�、共享云設(shè)施帶來的安全隔離問題����、賬戶和服務(wù)的劫持問題、不能被用戶感知的風(fēng)險態(tài)勢等����。其中�,數(shù)據(jù)安全問題是大家公認(rèn)的重要問題,尤其對于云存儲服務(wù)而占����。在CSA的云技術(shù)安全文檔中,數(shù)據(jù)泄露導(dǎo)致的隱私問題被列為重要的安全問題�。而加密和訪問控制保護(hù)則被認(rèn)為是霞要的安全防護(hù)措施。
云計算和云存儲平臺中的安全問題已經(jīng)成為制約其順利發(fā)展的主要瓶頸問題����。是用戶質(zhì)疑和擔(dān)憂的主要原因。如果不能解決安全和隱私問題����,用戶就不可能將重要業(yè)務(wù)和數(shù)據(jù)轉(zhuǎn)移到云計算和云存儲平臺上面���。因此,解決當(dāng)前云計算環(huán)境中面臨的安傘問題已成為其發(fā)展的重中之重��。只有突破制約其發(fā)展的安全問題���,才能夠推動相關(guān)云計算產(chǎn)業(yè)的健康持續(xù)發(fā)展�。在云存儲服務(wù)中���,需要的安全防護(hù)技術(shù)主要包括認(rèn)證����、數(shù)據(jù)加密存儲���、安全管理����、安全日志和審計��。其中數(shù)據(jù)加密存儲是對指定的目錄和文件進(jìn)行加密后保存��,實現(xiàn)敏感數(shù)據(jù)存儲和傳送過程中的機(jī)密性保護(hù)����,加密存儲是保障用戶私有數(shù)據(jù)在共享存儲平臺的機(jī)密性的核心技術(shù)���,而且存儲系統(tǒng)在保證敏感數(shù)據(jù)機(jī)密性的同時,還必須提供相應(yīng)的加密數(shù)據(jù)共享技術(shù)����。從用戶的角度考慮,保護(hù)用戶隱私必須保證數(shù)據(jù)在各種情況下(包括云存儲系統(tǒng)的操作員出錯或者背叛)都不會泄露��。云存儲系統(tǒng)的加密存儲技術(shù)是當(dāng)前國際上的研究熱點���,也是產(chǎn)業(yè)發(fā)展的重要方向���。云存儲加密存儲技術(shù)不但要提供數(shù)據(jù)加密功能����。還需要提供密鑰長期存儲和共享機(jī)制、加密策略����,以確保用戶數(shù)據(jù)的機(jī)密性和隱私性。
3����、認(rèn)真評估云存儲系統(tǒng)的安全風(fēng)險
在云計算和云存儲平臺中����,面臨的安全威脅和大致的安全防護(hù)措施包括有:
3.1云計算資源的濫用和非法使用
云計算服務(wù)可以為其客戶提供實時的幾乎無限制的計算��、網(wǎng)絡(luò)和存儲容量���。這些資源在給正常業(yè)務(wù)提供強(qiáng)有力的支持時����,也會成為一些非法用戶的有效工具��。如果沒有完善的認(rèn)證和檢查機(jī)制���,一些惡意用戶完全可以利用云計算服務(wù)的這些特性����。更加方便地實施各種破壞活動���。垃圾郵件發(fā)送者����、惡意代碼制作者、Botnet攻擊者以及其它惡意攻擊者都可以使用云計算環(huán)境提供的豐富資源開展攻擊���,提升攻擊效果�。相應(yīng)的安全防護(hù)措施包括強(qiáng)認(rèn)證機(jī)制����、訪問控制系統(tǒng)和審計日志等。通過認(rèn)證的訪問控制防止非法用戶使用云計算資源����;對于合法用戶的惡意使用,則可以通過審計日志來實現(xiàn)事后的追查�。
3.2惡意的內(nèi)部用戶和操作員
惡意的內(nèi)部用戶和操作員在傳統(tǒng)的計算環(huán)境中已經(jīng)比較常見,也是霞要的安全威脅����。云環(huán)境下,因為大量的IT服務(wù)和客戶都被集中在一個管理域中��,使得云環(huán)境下��,惡意內(nèi)部用戶和操作員的威脅變得更為嚴(yán)重��。如果缺乏必要的內(nèi)部雇員行為監(jiān)管��,將為敵手攻擊云服務(wù)提供一個有效快速的攻擊途徑���。這種攻擊可能是目的性很強(qiáng)的���、有組織的入侵,會造成大范圍的破壞����。惡意內(nèi)部人員攻擊可以在極小的風(fēng)險下,盜竊機(jī)密數(shù)據(jù)和獲得系統(tǒng)控制權(quán)��。
對于不同類型的云計算服務(wù)��,惡意內(nèi)部用戶和操作員發(fā)起攻擊的形式完全不一樣���。最常見的攻擊可能包括竊取用戶隱私數(shù)據(jù)和篡改用戶重要數(shù)據(jù)����,對于數(shù)據(jù)的攻擊幾乎在任何類型的云計算服務(wù)中都會存在���,包括云存儲����。相應(yīng)的防護(hù)措施包括數(shù)據(jù)加密、密鑰管理和數(shù)據(jù)完整性校驗等����。此安傘威脅會存在于所有類型的云計算服務(wù)(包括云存儲),而且在云存儲中表現(xiàn)得更為強(qiáng)烈���。如果沒有完善的數(shù)據(jù)保護(hù)方案�。用戶的業(yè)務(wù)數(shù)據(jù)和隱私數(shù)據(jù)在云存儲平臺操作員的完全控制之下���,惡意的操作員可以直接威脅到用戶的隱私和數(shù)據(jù)機(jī)密性��。
3.3數(shù)據(jù)的丟失和泄露問題
數(shù)據(jù)的丟失和泄露將會直接影響人們使用云服務(wù)的信心�。一些關(guān)鍵數(shù)據(jù)的丟失往往會造成連帶的更大的損失���,例如加密密鑰的丟失會造成重要數(shù)據(jù)的泄露和破壞����。一些敏感數(shù)據(jù)的丟失和泄露往往會造成嚴(yán)重的糾紛和無法估計的嚴(yán)重后果��,如財務(wù)數(shù)據(jù)的丟失可能會造成很大的直接經(jīng)濟(jì)損失�。云環(huán)境由于承載的業(yè)務(wù)更多���、用戶量更大���。因此造成的破壞將會更嚴(yán)重����。云計算環(huán)境中���,由于基礎(chǔ)設(shè)施的多租戶共享和多種服務(wù)的集中管理使得數(shù)據(jù)丟失和泄露的威脅變得更為嚴(yán)重����。需要根據(jù)不同類型云計算服務(wù)的特點�,應(yīng)對信息生命周期管理、加密和密鑰管理�、身份和訪問控制管理和提高存儲可靠性等方面進(jìn)行綜合考慮,實現(xiàn)完整的數(shù)據(jù)保護(hù)方案���。
3.4共享云設(shè)施帶來的安全隔離問題
云環(huán)境是一個多租戶環(huán)境����,不同的用戶共享云設(shè)施�。云服務(wù)提供者提供存儲、計算、帶寬等各種計算基礎(chǔ)設(shè)施資源給多個不同的租戶共享��。為了保證所有的租戶的安全和隱私���,在租戶使用這些共享的計算基礎(chǔ)設(shè)施時����,需要提供強(qiáng)大的隔離措施�,以保證一個租戶的操作不會對共享計算基礎(chǔ)設(shè)施的其它租戶的操作產(chǎn)生影響。隔離措施要能夠保證一個租戶不能訪問在同一基礎(chǔ)設(shè)施上的其它租戶的數(shù)據(jù)和流量等����。云計算環(huán)境中已經(jīng)開始采用虛擬技術(shù)實現(xiàn)這種隔離要求,但是�,目前的虛擬技術(shù)在云計算環(huán)境中的應(yīng)用還存在一些不足。該類威脅主要集中在laaS模式����,在云存儲中不突出。目前��。相應(yīng)的防護(hù)措施主要是基于虛擬機(jī)的隔離機(jī)制和訪問控制策略����。在云存儲中��,如果通過加密和訪問控制解決了數(shù)據(jù)泄露問題����,也就同時能夠處理云存儲數(shù)據(jù)的隔離問題�。
3.5賬戶和服務(wù)的劫持問題
賬戶和服務(wù)劫持是傳統(tǒng)計算環(huán)境下一個常見的攻擊形式��。大多數(shù)病毒都采用劫持系統(tǒng)中斷和API的方式實施攻擊活動���。釣魚攻擊可以看作是劫持正常網(wǎng)絡(luò)服務(wù)的一種形式��。假冒攻擊是劫持賬戶的一個實例��。云計算服務(wù)體系結(jié)構(gòu)的復(fù)雜性使得該類威脅進(jìn)一步加大����。云環(huán)境為了實現(xiàn)計算資源共享和服務(wù)的高彈性和快速性��,需要復(fù)雜的云系統(tǒng)管理體系��,如果管理體系設(shè)計存在缺陷將會導(dǎo)致賬戶和服務(wù)的劫持����。賬戶和服務(wù)劫持攻擊的主要可能形式是租戶合法身份標(biāo)示的丟失����。使用租戶合法的身份標(biāo)示����,攻擊者可以偵聽租戶的業(yè)務(wù)活動、訪問重要的云系統(tǒng)區(qū)域���,給租戶返回錯誤信息�。引導(dǎo)租戶到錯誤站點���,甚至可以將假冒得到的服務(wù)作為跳板實施更為嚴(yán)重的攻擊�。對于此類攻擊��,首先是要加強(qiáng)認(rèn)證機(jī)制���,使用安全的算法和協(xié)議���,從而增加賬戶和服務(wù)劫持的難度。其次是實施云計算環(huán)境的入侵檢測系統(tǒng)和入侵響應(yīng)系統(tǒng)��,及時阻斷攻擊�。此類安全威脅存在于幾乎所有的云計算服務(wù)����,包括云存儲(除非是面向公眾的匿名公開服務(wù))���。
4��、云存儲應(yīng)用亟待解決數(shù)據(jù)安全防護(hù)問題
隨著云計算應(yīng)用的開展,例如借鑒云計算的理念�,盤活大型企業(yè)和中小企業(yè)集群內(nèi)部與社會制造資源存量,提供面向制造企業(yè)的主動���、敏捷���、聚合、全方位的制造資源和制造
能力服務(wù)����。這就是所謂的“云制造”先進(jìn)理念,—方面給發(fā)展云計算和云存儲帶來了巨大的發(fā)展機(jī)遇����,促進(jìn)在制造業(yè)全球化背景下,從傳統(tǒng)“制造+銷售”的生產(chǎn)型制造簡單業(yè)態(tài)向“技術(shù)+管理+服務(wù)”的服務(wù)型制造復(fù)合業(yè)態(tài)轉(zhuǎn)型����,邁向價值鏈高端�,是我國制造業(yè)發(fā)展的大趨勢���。云制造將通過云計算�、物聯(lián)網(wǎng)等新型信息網(wǎng)絡(luò)技術(shù)的集成創(chuàng)新應(yīng)用����,實現(xiàn)制造企業(yè)信息和制造資源廣域互聯(lián)和按需共享,為制造企業(yè)提供敏捷動態(tài)��、統(tǒng)一有效的制造知識���、資源和能力服務(wù)��,促進(jìn)制造企業(yè)專業(yè)化�、制造服務(wù)社會化轉(zhuǎn)變����,增強(qiáng)產(chǎn)業(yè)的競爭力。
另一方面����,發(fā)展云制造將不可避免地帶來各類信息資源的安全保護(hù)問題���。我國各類制造企業(yè)及其管理、科研設(shè)計與生產(chǎn)銷售部門資源分布不均��,信息安全保護(hù)措施不到位現(xiàn)象比較嚴(yán)重����,享有安全系統(tǒng)存量規(guī)模沒有發(fā)揮應(yīng)有效能。而且�,由于安全保護(hù)措施不完全到位,也不敢通過云平臺共享資源��,最終導(dǎo)致云制造難以發(fā)揮已有效益���。從而失去抓住市場和發(fā)展的良機(jī)。
因此����,改變加快集中建設(shè)和盤活企業(yè)內(nèi)部信息資源安全保護(hù)的強(qiáng)度和實效極為必要,必須具備必要的技術(shù)和管理能力��,實現(xiàn)云平臺和云存儲的有效安全防護(hù)����。
5�、認(rèn)真分析云存儲安全防護(hù)的需求
在云存儲平臺中���,主要可能存在著資源非法使用�、惡意的內(nèi)部用戶和操作員���、數(shù)據(jù)丟失和泄露���、賬戶和服務(wù)劫持等安全威脅。用戶對于云存儲安全產(chǎn)品有如下的安全功能要求��。
5.1數(shù)據(jù)加密
對存儲的數(shù)據(jù)進(jìn)行加密��,保護(hù)用戶數(shù)據(jù)的隱私性���,使得云存儲平臺的操作員或者攻擊者不能從云存儲平臺中獲得用戶數(shù)據(jù)����。
5.2強(qiáng)認(rèn)證機(jī)制
強(qiáng)認(rèn)證機(jī)制是用戶數(shù)據(jù)隱私的重要保證��。云存儲平臺必須保證訪問者需要經(jīng)過嚴(yán)格認(rèn)證過程�,才能夠訪問用戶數(shù)據(jù)和數(shù)據(jù)加密密鑰。如果沒有強(qiáng)認(rèn)證機(jī)制,則攻擊者就有可能猜測合法用戶的口令而能夠解密用戶數(shù)據(jù)��。嚴(yán)格的用戶認(rèn)證機(jī)制���,保證了攻擊者和內(nèi)部操作員都不可能隨意地使用云存儲加密機(jī)中的密鑰來解密用戶數(shù)據(jù)����。
5.3訪問控制
應(yīng)該支持靈活的訪問控制策略���,使得用戶可以方便地配置��。支持針對用戶��、用戶組����、特定操作�、特定數(shù)據(jù)資源����、時間、IP地址等各種屬性的權(quán)限設(shè)置���。在允許訪問的同時��,進(jìn)行嚴(yán)格的檢查����,防止攻擊者利用訪問控制缺陷讀取或者篡改非授權(quán)的數(shù)據(jù)內(nèi)容。
5.4數(shù)據(jù)可用性和容錯
云存儲平臺和安全防護(hù)產(chǎn)品還需要保證各種情況下(如存儲設(shè)備故障)的數(shù)據(jù)可用性���,具有容錯能力���。在實施數(shù)據(jù)加密的情況下‘密鑰的可用性必須得到保證;如果密鑰丟失���,就會導(dǎo)致所有的加密數(shù)據(jù)不可用��,給用戶帶來巨大損失�。
6�、依據(jù)需求設(shè)定云存儲安全防護(hù)系統(tǒng)的建設(shè)目標(biāo)和實施要求
云存儲安全防護(hù)系統(tǒng)的最基本功能是保障云存儲系統(tǒng)的數(shù)據(jù)安全,保護(hù)用戶的敏感數(shù)據(jù)不泄露�。具體而苦必須設(shè)定以下建設(shè)目標(biāo)。
1)數(shù)據(jù)機(jī)密性����。通過密碼算法保證用戶存儲的數(shù)據(jù)不會以明文狀態(tài)存儲;即使是惡意的云存儲系統(tǒng)操作員,也不能從密文中獲取任何信息��,防止數(shù)據(jù)泄露����。
2)強(qiáng)認(rèn)證機(jī)制。結(jié)合用戶名/口令和USB Key的雙因素認(rèn)證��。有效杜絕外部攻擊和越權(quán)訪問限制�。
3)靈活的用戶管理和權(quán)限管理。針對每一份存儲區(qū)可以為不同用戶分配不同權(quán)限(如��,禁止���、只讀��、讀寫�、管理��、審計等權(quán)限)�。支持用戶組權(quán)限設(shè)置��。
4)靈活的實施方案���。支持服務(wù)端實施方案或者客戶端實施方案����。
5)支持集群部署和配置數(shù)據(jù)共享。為了滿足云存儲平臺的大規(guī)模存儲集群的數(shù)據(jù)加密需求����,支持以集群方式部署各類云存儲安全設(shè)備,共享相同配置的密鑰��、訪問控制策略和認(rèn)證數(shù)據(jù)��。從而能夠搭建滿足云存儲平臺性能要求的防護(hù)能力和容錯能力�。
上述功能是作為云存儲數(shù)據(jù)安全防護(hù)產(chǎn)品的基本功能。
7�、巨大的市場機(jī)遇
IDC研究結(jié)果顯示,近幾年的中國云存儲市場以年復(fù)合增長率為103%的高速率增長���,從2009年的4200萬元增至2014年的16億元����。預(yù)計2014年�,中國云存儲市場份額約為16億元。
隨著云存儲技術(shù)的發(fā)展和云存儲服務(wù)的迅速普及���,云存儲的安全隱患日益突出��。如何杜絕云存儲的非法訪問�、數(shù)據(jù)的惡意竊取和解決云存儲加密機(jī)的集群,已經(jīng)成為云制造行業(yè)�、IDC服務(wù)運營商、金融行業(yè)��、政府�、軍工企業(yè)等行業(yè)日益關(guān)注的焦點。
據(jù)調(diào)查�,大約有70%的企業(yè)不愿意將企業(yè)自由數(shù)據(jù)放在云平臺上,主要是從安全性的角度考慮���,因此云存儲的安全性亟待加強(qiáng)��。
8���、加快研發(fā)和部署云存儲安全保障系統(tǒng)意義重大
云計算是計算機(jī)科學(xué)和互聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,也是引領(lǐng)未來信息產(chǎn)業(yè)創(chuàng)新的關(guān)鍵戰(zhàn)略性技術(shù)和手段�。它將帶來工作方式和商業(yè)模式的根本性改變,對我國沖出國外企業(yè)的技術(shù)壁壘���、發(fā)展高新技術(shù)產(chǎn)業(yè)具有重要的戰(zhàn)略意義��。云計算是一種全新的模式��,它將改變傳統(tǒng)軟件的使用方式���。它將使發(fā)展中國家可以使用以往只有發(fā)達(dá)國家才能使用的軟件。小型企業(yè)也可以使用原來只有大企業(yè)才能用得起的軟件��。云計算被視為信息技術(shù)的第二三次浪潮����,將帶來工作方式和商業(yè)模式的根本性改變。據(jù)IDC預(yù)測�,未來4年全球云計算服務(wù)市場平均每年將增長26%。著名計算機(jī)工程等家李德毅院士認(rèn)為�,云計算產(chǎn)業(yè)未來的發(fā)展速度將是目前IT產(chǎn)業(yè)的6倍。云計算指云計算服務(wù)���、支撐云計算服務(wù)的云計算平臺和相關(guān)云計算構(gòu)架技術(shù)���,是計算機(jī)科學(xué)和丐=聯(lián)網(wǎng)技術(shù)發(fā)展的產(chǎn)物,也是引領(lǐng)未來信息產(chǎn)業(yè)創(chuàng)新的關(guān)鍵戰(zhàn)略性技術(shù)和手段�。云計算開創(chuàng)了軟件即服務(wù)、平臺即服務(wù)���、基礎(chǔ)設(shè)施即服務(wù)等全新IT服務(wù)模式�,其中軟件即服務(wù)模式提供低廉的在線軟件租用服務(wù),平臺即服務(wù)模式提供快速的從技術(shù)開發(fā)到服務(wù)運營的能力����,基礎(chǔ)設(shè)施即服務(wù)模式提供低成本和可靠性高的基礎(chǔ)設(shè)施托管服務(wù),云計算服務(wù)模式不僅給全球信息產(chǎn)業(yè)創(chuàng)造了深遠(yuǎn)的變革機(jī)會�,同時也給T業(yè)等傳統(tǒng)產(chǎn)業(yè)帶來了新的發(fā)展機(jī)遇。發(fā)展云計算和云存儲更能夠節(jié)省企業(yè)成本��,改進(jìn)日常運營��。因為許多機(jī)構(gòu)不僅表現(xiàn)出了對使用云計算縮減IT成本的興趣��,還希望能夠更靈活��、更高效地運營業(yè)務(wù)����。相比國外的高管,中國經(jīng)理人極少將云計算視為一種開發(fā)創(chuàng)新產(chǎn)品或流程的手段���。節(jié)約資金是企業(yè)關(guān)注云的主要動力����。業(yè)內(nèi)人士認(rèn)為,“縮減前期lT成本”是考察或應(yīng)用云計算的最大動因�。“降低或避免IT基礎(chǔ)設(shè)施維護(hù)成本”也是重要因素��。還有專家認(rèn)為��,未來五年內(nèi)云能夠為企業(yè)帶來巨大好處���,而“永久地大幅度縮減運營成本”是其中之一。以降低成本為重心工作的企業(yè)正在使用“云”來縮減網(wǎng)站運營成本�。中國眾多的網(wǎng)民為網(wǎng)站帶來了數(shù)以百萬計的點擊,而云服務(wù)和云架構(gòu)也讓企業(yè)得以用較低的成本進(jìn)行擴(kuò)展�,從而滿足用戶的需求。
但是�,云計算關(guān)乎國家信息安全,目前���,信息技術(shù)領(lǐng)域逐漸被發(fā)達(dá)國家特別是美國所壟斷��,全球真正有實力研發(fā)和提供“云計算”服務(wù)的公司只有谷歌����、雅虎��、微軟、IBM和亞馬遜等少數(shù)IT巨頭���?�!霸朴嬎恪钡陌l(fā)展將導(dǎo)致全球信息在收集����、傳輸�、儲存、處理等各個環(huán)節(jié)上進(jìn)一步集中���,國家信息將在“去國家化”的趨勢中受到嚴(yán)峻考驗��。
因此����,建立自有云計算平臺��,充分利用云計算這一先進(jìn)生產(chǎn)力提升我國創(chuàng)新能力�,并確保國家信息安全意義重大。云計算將助推產(chǎn)業(yè)大發(fā)展�,云計算安全是云計算發(fā)展面臨的重要問題。如果不能解決安全問題,必將阻礙云計算產(chǎn)業(yè)的進(jìn)一步發(fā)展���。Gartner 2009年的調(diào)查結(jié)果顯示:70%以上受訪企業(yè)認(rèn)為近期不采用云計算的首要原因在于存在數(shù)據(jù)安全性與隱私性的憂慮����。
當(dāng)前在推進(jìn)云計算應(yīng)用中���,要針對我國經(jīng)濟(jì)社會發(fā)展面臨的重大問題。以切實增加經(jīng)濟(jì)社會效益為目標(biāo)���,充分發(fā)揮信息化對我國經(jīng)濟(jì)社會發(fā)展的支撐作用����,探索云服務(wù)新模式��,整合信息資源��,提供高水平�、專業(yè)化的服務(wù),提升自主創(chuàng)新能力��,調(diào)整優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)��,促進(jìn)可持續(xù)性發(fā)展,邁向全球產(chǎn)業(yè)價值鏈高端��。
9��、云時代重要信息系統(tǒng)必須進(jìn)一步增強(qiáng)安全防護(hù)
重要信息系統(tǒng)一般都是部門����、單位甚至國家正常運轉(zhuǎn)不可缺少的部分,是執(zhí)行其任務(wù)的重要手段�。當(dāng)前,國家��、部門����、企事業(yè)單位甚至個人生活對信息系統(tǒng)的依賴性越來越大,已成為涉及單位發(fā)展甚至國家穩(wěn)定的重要問題���。從另—方面看����,由于重要信息系統(tǒng)規(guī)模大���,技術(shù)復(fù)雜����,涉及人員多,也使其安全保障更困難����,而要達(dá)到—定安全標(biāo)準(zhǔn),所需的投入也相當(dāng)大�。因此,需要對安全問題給以關(guān)注�。
重要信息系統(tǒng)不僅是完成一般數(shù)據(jù)處理任務(wù),而要擴(kuò)大到對整個計劃���、預(yù)測、決策管理的支持�,是系統(tǒng)管理、經(jīng)營的一環(huán)�。社會重要部門的主要管理業(yè)務(wù)的信息化,使得系統(tǒng)的安全一旦出現(xiàn)問題則意味著許多管理工作無法正常進(jìn)行��。重要信息系統(tǒng)不能正常下作���,將打亂某些經(jīng)濟(jì)運行工作���。無法解決出現(xiàn)的問題,引起管理的混亂。甚至打亂生產(chǎn)秩序�。重要信息系統(tǒng)的中止服務(wù),將會產(chǎn)生社會問題(如股票�、民航等),并使社會產(chǎn)生動蕩����,將危及國家的安全。
從信息資源保護(hù)的角度看��,重要信息系統(tǒng)的重要特征之一是信息量大����,并且對單位是重要的、涉及內(nèi)部重要信息甚至機(jī)密��。因此��,信息本身的泄漏���、被修改或丟失等都將帶來巨大的損失����。國家重要部門的信息系統(tǒng)中��,必定有許多國家機(jī)密信息,任何形式的破壞都會給國家?guī)頁p害����。企業(yè)的信息必然涉及經(jīng)營及商業(yè)秘密,在市場競爭環(huán)境中���。將對企業(yè)有關(guān)鍵性的影響����,銀行儲蓄信息的改變往往意味著資金的轉(zhuǎn)移和被竊取���。
10����、建設(shè)高安全強(qiáng)度的云平臺是解決我國重要信息
系統(tǒng)安全保障問題的有效途徑目前各部門信息系統(tǒng)過高的自建比例�,一方面極大地增加了國家用于安全保障建設(shè)的整體投資規(guī)模���,另—方面����,由于建設(shè)單位不具備相應(yīng)的爭業(yè)能力��,難以保證系統(tǒng)的有效性,不僅浪費了投資���,更嚴(yán)重的是在災(zāi)難發(fā)生時��,信息系統(tǒng)及其業(yè)務(wù)的連續(xù)運行無法得到切實保障���。特別是缺少可操作性的行政管理辦法和標(biāo)準(zhǔn)規(guī)范,運維管理和預(yù)案演練存在明顯不足����,用戶單位在建設(shè)過程中較為注重安全系統(tǒng)建設(shè),缺乏對安全保障建設(shè)工作的整體認(rèn)識��,建設(shè)過程缺乏專業(yè)化指導(dǎo)���,很容易忽視業(yè)務(wù)連續(xù)性計劃的建立與維護(hù)�、運行維護(hù)管理制度的建立與維護(hù)�、應(yīng)急演練等重要環(huán)節(jié)。
目前����,由于我國大多數(shù)用戶采用自建形式實現(xiàn)本單位信息系統(tǒng)安全保障建設(shè),系統(tǒng)的維護(hù)和管理一般也由本單位信息化部門人員承擔(dān)����,缺乏專業(yè)化���、系統(tǒng)化的運行維護(hù)管理制度和程序,各類程序文件和操作手冊的建立����、管理與使用不夠規(guī)范,安全保障系統(tǒng)的運行維護(hù)水平����、效率、可用性均無法得到有效保證�。
因此,應(yīng)對措施是利用云計算加強(qiáng)保護(hù)云中的數(shù)據(jù)安全與隱私����,確保云計算提供商能夠保證數(shù)據(jù)的安全,用戶數(shù)據(jù)必須被安全地存儲和轉(zhuǎn)移�,隔離不同用戶間的數(shù)據(jù)和嚴(yán)格控制訪問權(quán)限,保證避免數(shù)據(jù)泄漏給第三方和服務(wù)的連續(xù)性��。通過安全云存儲支撐云制造等一批重點領(lǐng)域業(yè)務(wù)應(yīng)用影響深遠(yuǎn)�,一是有利于促進(jìn)信息資源共享的問題����,探索政府��、企業(yè)����、中介等參與應(yīng)用模式��、商業(yè)模式以及推動的丁程機(jī)制�;二是借助信息技術(shù)來支撐、構(gòu)建和實現(xiàn)信息共享模式促進(jìn)業(yè)務(wù)協(xié)同和互動�。
云計算對我國重要信息系統(tǒng)安全保障建設(shè)提出了更高的要求,要進(jìn)一步加快翩定相關(guān)管理辦法和標(biāo)準(zhǔn)規(guī)范�,盡快出臺云計算安全服務(wù)相關(guān)管理辦法,對云計算安全服務(wù)的建設(shè)和運維管理����、服務(wù)外包、服務(wù)機(jī)構(gòu)資質(zhì)要求���、安全服務(wù)的測評等進(jìn)行規(guī)范管理�。對重要信息系統(tǒng)云安全服務(wù)的能力等級���、建設(shè)模式�、建設(shè)時間等提出具體要求,明確各方面的責(zé)任和義務(wù)����,從項目審批、資金投入���、項目驗收����、日常管理���、審計等環(huán)節(jié)��,加強(qiáng)云服務(wù)有關(guān)專項工作監(jiān)管���,采用分類分級的管理辦法加強(qiáng)對云服務(wù)行業(yè)的監(jiān)管。根據(jù)服務(wù)能力��、人員組成�、安全保障、服務(wù)經(jīng)驗和服務(wù)品質(zhì)保障等對云服務(wù)商進(jìn)行分級管理���。
開展對重要信息系統(tǒng)云服務(wù)的技術(shù)安全檢查��,增強(qiáng)各種云計算數(shù)據(jù)中心的安全保障���,切實降低技術(shù)不可控的安全風(fēng)險,實現(xiàn)對重要信息系統(tǒng)整體安全薄弱環(huán)節(jié)的有效控制�,解除云服務(wù)的后顧之憂。
對我國重要信息系統(tǒng)利用云服務(wù)加強(qiáng)安全保障建設(shè)的另一個對策建議是大力鼓勵發(fā)展自主創(chuàng)新的云安全產(chǎn)品和服務(wù)�,積極推動具有自主知識產(chǎn)權(quán)的產(chǎn)品和服務(wù)進(jìn)入政府采購目錄,通過政府采購擴(kuò)大市場空間��,以市場需求促進(jìn)具有自主知識產(chǎn)權(quán)的云安全產(chǎn)品和服務(wù)的產(chǎn)業(yè)化發(fā)展��。
將云安全核心技術(shù)研究納入國家重點科技計劃�,加大對核心技術(shù)和關(guān)鍵產(chǎn)品研發(fā)的支持力度,建設(shè)云安全國家工程實驗室和工程研究中心��,加快核心技術(shù)和關(guān)鍵產(chǎn)品的開發(fā)和技術(shù)轉(zhuǎn)化�。將云安全產(chǎn)品和服務(wù)的產(chǎn)業(yè)化工作納入國家高技術(shù)產(chǎn)業(yè)化專項、信息產(chǎn)品產(chǎn)業(yè)化專項和中小企業(yè)創(chuàng)新基金的扶持范圍�,加快產(chǎn)品和服務(wù)的產(chǎn)業(yè)化進(jìn)程。
來源:萬方數(shù)據(jù) 寧家駿
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀點和立場��。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
