云计算信息安全盘点

    云计算安全性的范围很广，包括技术、管理、立法、商业、企业持续服务等层面，而本文讨论的云计算信息安全问题是云计算安全性其中的一个问题。在这里不讨论云计算的可用性、持久性问题，也不涉及系统或者件基础本身的安全性，因为这些安全性问题已有很多成熟的解决方案。本文主要讨论云计算所带来的新技术而产生的新的信息安全风险问题。

    云计算的信息安全问题，主要是指部署在云端的数据的安全问题。作为用户，第一感觉是以前系统的所有数据都是自己掌控的，但是实施云之后，数据有很大一部分层面是对用户屏蔽了，用户自己掌控不了其中的安全性。云计算系统俨然成为一个黑盒子，那把数据放在这个黑盒子是否安全呢？

    排除本文讨论范围以外的，如可用性、内部管理、运营等问题，总结出云计算信息安全存在如下风险。

    （1）应用部署安全风险

    任何一个持有有效信用的人都可以注册并立即使用云平台，网络犯罪分子可以基于云平台部署各种攻击服务或各种恶意软件，攻击互联网上的任何用户，更严重的是，在云计算平台内部部署的恶意软件能直接从内部对云计算平台进行服务攻击、信息窃取等安全攻击。

    （2）API安全风险

    云平台的安全性很大程度上取决于API的安全性。用户使用这些API管理和交互相关服务，这些API的设计必须能够防御意外和有恶意企图的行为，避免产生安全漏洞以被网络犯罪分子所利用进行攻击。

    （3）虚拟化环境安全风险

    在IaaS层均需要充分利用虚拟化和共享技术实现动态可扩展功能，用户数据在云平台中是被动态分配的，利用这些技术并不能很安全地在多用户架构中提供强有力的隔离能力，这样就给攻击者带来了很多便利，利用不完善的访问控制、过度使用的共享技术，能把恶意程序传播到云平台的其他服务中。

    （4）数据访问权限风险

    从云计算的整体技术架构来看，除了中央数据服务器外，用户数据存储在哪片“云”上无人知晓，精准盗取数据的难度很大，但云计算的数据访问权限存在漏洞，就很容易产生风险。当用户把数据交给云计算服务商后，服务商则拥有了该数据的访问权限，云计算平台供应商由于自身管理原因，会导致偷窥、泄漏用户的数据和程序的风险。而由于云计算提供的服务面向所有公众，允许各种各类用户进行操作，若因为某些权限漏洞，致使非法用户得到数据，也将会使数据的安全性受到致命威胁。

    [page]（5）数据存储与传输安全风险

    由于云服务面向所有公众，其中不乏涉密信息，如果数据存储与传输得不到严格加密，一旦丢失，将会造成更严重的损失。另外在云计算中也无法像以前传统系统部署中通过安全域定义来实施安全边界和数据保护。

    4 云计算的信息安全方案

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!