【关键词】云计算可信平台设计
云计算技术的基础是虚拟化技术,其计算不处于本地计算机以及远程服务器中,而是分布在众多的分布式计算机上,用户能够通过自身需要,选择适当的计算机或者存储系统。使用云计算模式能大大节约计算成本,仅需向云计算服务商支付一定的费用就可以避免购买复杂的软、硬件,通过互联网能够实现存储以及计算。但是,在此过程中出现了一系列问题,例如用户资料外泄等安全事故,同时窃听、干扰、篡改等安全隐患普遍存在,由此可以看出云计算的发展首先就要解决这些安全风险问题。为了解决以上安全问题,可信计算TCG技术被提出,利用密码机制建立信任链,从而从根本上解决安全问题。
1可信平台模块的概念
可信平台主要是由CPU、I/O、非易失性储存器等部分组成,计算机对于嵌入式可信终端开展度量,而后记录度量信息,除了可信平台对于平整性度量的度量和报告外,还具备加密以及用户身份的认证。密码生成器是可信平台模块中的重要组成部分,同时密码生成器是由加密算法引擎、HMAC引擎、随机数生成器等部分组成。首先由HMAC引擎生成随机密码,然后由HMAC引擎根绝实现数据以及命令流出现错误时的传输情况来确认数据的准确性。
2建立可信平台的必要性
当前计算模式已经从大型计算机处理转变为网络分布式处理,并在此基础上发展为以需求分配的云计算模式,对于用户来说,云计算就是一种满足自身需求的服务,能够让用户在使用虚拟资源的时候不受时间、空间的限制,同时能够快速的处理计算问题。但是云计算技术毕竟刚被提及,目前还处在发展阶段,所以不可避免的出现了众多安全问题。云计算中的数据是处在云端当中,因此对数据难以实现完全的控制,所以服务商必须采取强有力的安全措施来保障系统安全,云计算安全问题基本能够概括为以下方面:访问控制、攻击检测、完整性、物理技术防范、多个子因素、恢复、实施、隐私机密性、不可否认性、安全审计。由此可见云计算安全工作具有全面性和复杂性,必须尽快解决。
3云计算环境下存在的安全挑战
首先是使用云计算技术的企业,应该注意自身业务的安全性,强化风险管理意识。其次是身份与认证管理,云计算的目的是为了使各个服务商之间保持良好的合作关系,所以应该根据服务商之间的差异做好身份与认证管理,特别是与外国企业开展合作的时候。然后是服务与终端的完整性,安全性是云计算的生命线,因此对于云计算服务的拓展应该从安全性、兼容性、完整性出发,将终端的完整性作为重点的工作目标。最后是信息保护方面,信息保护应该建立事前、事中、事后全面的信息反馈机制。然后通过不同时间段的信息采取相应的措施进行保护。
4可信接入安全技术分析
虽然在云计算环境当中用户能够将数据资料存放在服务商的平台上,便于访问,但是这种网络形式具有开放性以及复杂性,对于云计算的安全保障提出了更高的要求。从长远来看只有解决了云计算的安全问题,才能保障云计算技术健康发展。对于云计算的可信接入也是计算机技术主要的研究目标。纵观当前对于云计算环境的安全防护措施主要从两方面入手:第一,在传统软件当中设置防火墙;第二,更换硬件设备以达到安全防护的目的,但是最为有效的依然是可信计算技术,其核心理念就是将改变传统被动的防御模式,而采用积极主动的防护模式。可信计算技术的定义为:将可信作为系统运转的原则,将数据信息的通信控制在安全范围内。其计算模型的原始架构是在私人平台上增加隐身和信任功能,同时可信计算模型满足分布式环境下云计算的安全需求,因此具备可行性。以往的安全接入方式包括微软的网络接入保护NAP、TCG的可信网络连接技术TNC以及思科网络准入技术NAC。NAP平台的特点是能够以校验的方式分析接入网络的安全性,对不符合标准的用户设置权限;TNC基于可信计算技术将TPM的可信度量以及可信报告融入到网络连接系统的建设当中,从而能够控制网络访问;NAC能够在系统接入网络之前,就对系统的安全级别给予评价,隔离安全性不稳定的网络系统并且设置访问权限。由于云计算本身的技术难度较高,所以其风险也存在复杂性,仅依靠软件难以实现有效控制。因此有必要利用硬件芯片以及可信计算的技术支撑,然后建立TCB保护用户以及基础设施等,不仅要进行完整性度量,还要以云计算对身份以及软件进行可行性证明。
5云计算的数据安全研究
数据安全是云计算系统安全保障的核心内容,不管是何种云计算服务,都要首先保护数据,避免数据出现流失和被窃。对于数据安全保障的方法主要有以下几点:第一,数据的传输要采取加密的方式,尤其是公共云的情况下,虽然非安全的传输协议难以保障数据的完整,但是能够使数据具有保密性,当数据不处于加密状态时,就容易发生流失和泄露;第二,由于云计算应用数据与用户数据存储在一起,用户没有专用的数据平台,因此就容易当混合数据被访问时,用户的数据就会被窃,尤其是PaaS以及SaaS,把关键的数据信息存储在公共云之外,能够有效避免数据泄露,如果存储到公共云中,则要提前做好加密措施,以区分关键信息与其他用户信息;第三,云计算的储存具有恢复的功能,当用户删除数据后,如果被他人恢复,同样会造成数据泄露,因此服务商要保证用户擦除数据之后不会有残留数据。同时还有服务商向用户提供的系统文件、数据库记录等,都要保证不会被他人恢复盗取信息。
6结语
综上所述,本文首先研究了当下云计算环境下的安全隐患,然后引申出建立可信平台的必要性,即将可信计算技术与云计算有机结合。另外安全协议是网络安全的基本保障,总的得来说将可信计算技术融入云计算当中,能够较大程度提高云计算下的系统安全和稳定。
参考文献
[1]耿姝,刘鑫,刘荣军,方连众,陈刚.基于全同态加密的云计算安全方案的研究[J].中国新通信,2014(1).
[2]朱宪超.浅析云计算中的信息安全[J].科技风,2013(23).
[3]李建礼,夏红.云计算环境下个人信息管理的思考[J].农业图书情报学刊,2013(12).
关键词:云计算技术;云安全;访问控制;发展趋势
中图分类号:TG333.17文献标识码:A文章编号:1006-8937(2014)5-0055-02
1云计算概述
1.1云计算发展背景
最初的计算机网络应用过程中经历了一个很艰难的过程,任何一个网络应用提供商往往为了获得少量的网络服务而必须从网络模型的最底层开始做起,例如,网络应用商需要搭建一个网站,那么他就必须建立一个从硬件维护人员到服务设计人员的大团队,所有的软硬件问题都要由公司自己完全负责,这样使得网络应用的成本过于庞大,不利于网络技术的进一步推广和应用以及未来的发展。传统的网络模型给那些提供网络服务的组织机构带来了诸多的困难,例如搭建大型网络服务设施需要庞大的资金支持,这就限制了网络服务组织的规模,而且从底层开发的成本也相当高,即使是大型的组织机构也无法投入过多的人员和时间成本,而当好不容易开发成功的服务模型投入使用以后,还要花费大量的人力物力负责对服务系统的维护,一旦客户需求发生变化,传统的计算模型往往难以做出很大改变。这些限制因素严重阻碍了网络服务的发展与应用。
正是在这种背景下,云计算平台出现了,它为客户提供了一个灵活高效可靠的服务平台,使客户可以依靠云计算平台迅速的搭建系统,由专业的云提供商负责对平台基础设施的维护,而客户则可以专心致力于新业务的开发,云计算平台的出现,极大的降低了计算机网络服务的成本,多方面满足了客户的多样需求,促进了当前IT世界的革命性变革。
1.2云计算的定义
云计算可以被定义为通过因特网的为满足客户需求而提供的各种应用服务以及为实现这些服务所涉及到的各种软硬件资源。云概念特指的是各种庞大的软硬件资源,而服务则指的是云计算的目标是以服务用户为主,并以此赚取商业利益。
1.3云计算的特点
云计算平台目前提供的服务大致可以分为三类:一类是基于虚拟化技术提供底层基础资源服务,一类是统合云计算平台内部的资源,提供功能特化的上层服务资源,第三类则是统合平台内部的基础资源,提供基于网络服务的计算平台。这三类服务的目标虽然有所不同但是都属于云计算的范畴,因此,都具备云计算平台的特征:①用户在使用平台的过程中,不需进行基础性工作,也不需要了解平台的细节,而只需要调用平台提供的接口就可以完成自己的工作;②云平台的灵活性和庞大的规模性大大降低了其运行的成本,其完全可以满足用户的各种需求,云平台提供商也可以实现按需提供服务;③大规模的数据中心或网格是的云平台可以提高更高性能的云计算服务。
2云计算安全问题简介
2.1云计算安全问题现状
云计算应用技术尚未成熟,在其应用过程中出现了诸多的安全问题,因此,对于云计算应用的安全研究目前成为IT界、安全厂商以及云用户都非常关心的问题。目前,云计算安全问题研究的主要组织有CSA、CAM等相关论坛,也有越来越多的组织加入到CSA中。该类组织旨在为云计算应用推广安全的实践经验,为云计算用户提供安全指引。CSA的《云计算安全指南》,CSA和欧洲网络信息安全局共同发起的CAM项目,均是针对于云计算安全问题而提出的。
此外,IBM、Amazon、Microsoft等云服务的提供商也已经开始部署与云计算有关的安全解决方案,例如通过采用安全认证、数据加密等技术和管理方法来提高云计算服务的连续性和用户数据的安全性等。
云计算安全问题也引起了IT杀毒企业的关注和重视,针对云计算安全的杀毒产业发展迅速,如瑞星、卡巴斯基、江民科技、360安全卫士、金山等都相继推出了云安全问题的解决方案,各种杀毒软件每天都要拦截大量的木马攻击和阻断病毒的感染。
由此可见,云安全问题已经关系到整个计算机网络应用当中,不论是IBM等云服务的提供商还是瑞星、江民等专业的IT杀毒软件商都已经涉足云计算的安全研究问题,而目前只有专业的IT杀毒软件商才有相应的云安全产品,而且其产品也仅仅集中在应用的安全领域,要解决云计算关键领域的安全保障,必须要云平台提供商、系统集成商、云服务提供商和杀毒软件厂商等的共同努力才有可能完成。
2.2云计算安全的关键技术介绍
2.2.1可问控制技术
云计算模式下的访问控制策略与传统访问控制类手段是有所不同的,目前研究最多的是基于密码学方法实现的访问控制,具体包括:利用基于属性的加密算法,基于重加密的方法;基于层次密钥生成与分配策略实施访问控制的方法;以及在用户密钥或密文中嵌入访问控制树的方法等。而权限撤销问题则是基于密码类方案所必须要解决的问题,虽然目前已经有一些尝试进行权限撤销的技术,但是从目前来看,该类技术还有待完善。
2.2.2密文检索与处理技术
密文检索有两种典型的方法,一种是基于安全索引的方法,即通过为密文关键词建立安全索引,检索索引查询关键词是否存在;另一种则是基于密文扫描的方法,即对密文中每个单词进行比对,确认关键词是否存在,以及统计其出现的次数。而密文处理研究主要集中在秘密同态加密算法设计上。由IBM研究员Gentry提出的全同态加密方法在理论方面已经取得了很大的突破,使得加密状态的数据可以被人们充分的操作,但是该技术离实用化还有待进一步研究。
2.2.3虚拟安全技术
虚拟安全技术要求使用虚拟技术的云计算平台上的云架构提供者必须向其客户提供安全性和隔离保证。有人提出了基于虚拟机技术实现的grid环境下的隔离执行机和通过缓存层次可感知的核心分配,以及给予缓存划分的页染色的两种资源管理方法实现性能与安全隔离。他们关注了虚拟机映像文件的安全问题,所提出的映像文件管理系统实现了映像文件的访问控制、来源追踪、过滤和扫描等,可以检测和修复安全性违背问题。
2.2.4云资源访问控制技术
在云计算模式下,不同的管理域分别管理着各自的资源和用户,倘若要进行跨域访问资源,就要设置域边界认证服务,对共享资源的所有用户都进行统一的身份认证管理。每个管理域均有各自不同的访问控制策略,要想实现跨域的资源共享,就必须建立一个公共的、所有域都认同的访问控制策略,即合成策略。合成策略不仅要遵守原来域的访问控制策略,还要能保证新的合成策略的安全性。
3结语
云计算技术是非常先进的计算机网络技术,具有非常广阔的发展空间和不可估量的商业前景,但是云计算的安全问题是必须要解决的首要问题,只有涉及到的所有领域和行业都参与进来,共同研究解决之道,才可能共同解决云计算的安全问题。
参考文献:
[1]王鹏.云计算的关键技术与应用实例[M].北京:人民邮电出版社,2010.
[2]陈全,邓倩妮.云计算及其关键技术[J].计算机应用,2009,(9).
[3]IBM虚拟化与云计算小组.虚拟化与云计算[M].北京:电子工业出版社,2009.
[4]张为民,唐剑峰,罗治国,等.云计算深刻改变未来[M].北京:科学出版社,2009.
关键词:云环境;等级保护;安全部署
中图分类号:TP309
1背景
云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点。它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规模的共享虚拟IT资源池,为远程计算机用户提供“召之即来,挥之即去”且似乎“能力无限”的IT服务。同时,云计算发展面临许多关键性问题,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。
2003年,中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003327号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。在信息系统等级保护的建设工作中,主要包括一下几方面的内容:(1)进行自我定级和上级审批。(2)安全等级的评审。(3)备案。(4)信息系统的安全建设。(5)等级评测。(6)监督检查。
2云计算环境下的等级保护要求
在国家等级保护技术要求中,对物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复提出要求。在传统安全方案针对各项安全要求已经有较成熟解决方案。在云环境下安全等级保防护方案,还属于比较前延新兴技术,其核心至少应覆盖以下几方面内容:
2.1云服务安全目标的定义、度量及其测评方法规范。帮助云用户清晰地表达其安全需求,并量化其所属资产各安全属性指标。清晰而无二义的安全目标是解决服务安全质量争议的基础。
2.2云安全服务功能及其符合性测试方法规范。该规范定义基础性的云安全服务,如云身份管理、云访问控制、云审计以及云密码服务等的主要功能与性能指标,便于使用者在选择时对比分析。
2.3云服务安全等级划分及测评规范。该规范通过云服务的安全等级划分与评定,帮助用户全面了解服务的可信程度,更加准确地选择自己所需的服务。尤其是底层的云基础设施服务以及云基础软件服务,其安全等级评定的意义尤为突出。
3云计算安全关键技术研究
解决云计算安全问题的当务之急是,针对威胁,建立综合性的云计算安全框架,并积极开展其中各个云安全的关键技术研究,涉及内容如下:(1)可问控制;(2)密文检索与处理;(3)数据存在与可使用性证明;(4)数据隐私保护;(5)虚拟安全技术;(6)云资源访问控制;(7)可信云计算
4云计算面临的主要安全问题
4.1虚拟化安全问题。由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次,可以使客户在一台计算机上安全地同时运行多个操作系统,所以严格限制任何未经授权的用户访问面临着安全的问题。
4.2数据集中后的安全问题。用户的数据存储、处理、网络传输等都与云计算系统有关。如果发生关键或隐私信息丢失、窃取,对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求;如何实施有效的安全审计,对数据操作进行安全监控;如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境所面临的安全挑战。
4.3云平台可用性问题。用户的数据和业务应用处于云计算系统中,其业务流程将依赖于云计算服务提供商所提供的服务,这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外,当发生系统故障时,如何保证用户数据的快速恢复也成为一个重要问题。
4.4云平台遭受攻击的问题。云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
4.5法律风险。云计算应用地域性弱、信息流动性大,信息服务或用户数据可能分布在不同地区甚至不同国家,在政府信息安全监管等方面可能存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。
5虚拟服务器的安全防护
5.1云系统防火墙。在云系统数据中心环境中需要部署很多应用系统,各个云及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战:传统硬件安全设备只能部署于物理边界,无法对同一物理计算机上的虚拟机之间的通信进行细粒度访问控制。
因此,云系统防火墙应增强虚拟环境内部虚拟机流量的可视性和可控性,可以随时随地为用户提供虚拟环境内部的全方位网络安全防护。云系统防火墙应采用统一安全云控制引擎、基于应用的内容识别控制及主动云防御技术,实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。可用于针对主机及应用的安全访问控制。跟传统物理防火墙相比具有不受环境空间的限制,各云端节点采用同构可互换等架构措施,源服务器隐藏在云防火墙后面,云防火墙应支持用户服务器在任意位置。同时云防火墙具有带宽聚合优化能力。云防火墙网络拓扑示意图如下:
5.2云系统威胁与智能分析系统。传统入侵检测系统(IDS)是利用交换机端口镜像技术,在需要被监测服务器所在交换部署引擎入侵检测引擎,对攻击服务器数据包进行分析和提供告警事件。云系统威胁检测与智能分析系统(简称TDS),除具备原有IDS全部软件功能和技术特点外,TDS由在云环境下,应增加检测能力,特征检测、精确检测算法以及基于基线的异常检测为一体,使其可以检测到云系统环境更为复杂的攻击;TDS还应具备以前产品所不具备的智能分析能力,通过对事件的智能分析,帮助使用者找到真正具有威胁能力的事件,大大降低用户的运维工作量,使威胁处理成为可能。同时,提供了对网络和重要信息系统的威胁态势分析,帮助决策者实现针对当前威胁态势的安全建设决策。
5.3云系统漏洞扫描。传统漏洞扫描系统发现是操作系统、网络设备、安全设备、中间件、数据库存在安全漏洞,对云系统平台和云设备常规漏洞的自动发现还处于空白。云系统漏洞扫描需要支持云安全配置或虚拟机漏洞检测,同时云系统漏洞扫描产品继承现有传统环境下的漏洞库,可实现虚机上承载操作系统、应用漏洞扫描。云系统漏洞扫描的体系架构如下图所示:
5.4云系统审计。云系统审计系统主要由数据中心和审计引擎两部分组成。数据中心对外提供管理接口,主要负责对审计系统进行管理,配置审计策略,存储审计日志供用户查询和分析。云审计引擎的工作基础为审计策略,设备内置捕包、解析、响应模块,捕包模块负责对网络数据包进行捕获和重组,并根据预置的审计范围进行初步过滤,为后续解析做好准备;解析模块利用状态审计、协议解析等技术,对网络数据包进行分类过滤和解析,然后依据审计规则对重要事件和会话进行审计,同时也会审计数据包是否携带关键攻击特征。审计事件、会话和攻击均会提交至响应模块,响应模块负责根据审计策略对此进行响应,包括将审计日志上传至数据中心进行存储、发送事件到实时告警界面进行告警、对关键威胁操作进行阻断,也能通过邮件、Syslog、SNMP信息的方式将审计日志发送给其他外部系统。
5.5云系统防病毒系统。云系统防病毒系统应支持在云系统环境下对各种主流操作系统内的病毒以及木马等进行查杀,从而保障云系统环境下的各虚拟应用主机的安全性和稳定性。云系统防病毒系统支持以虚拟机的形式部署,可工作于云系统平台内部,实现云系统平台下的防病毒功能,通过云管控系统实现自动部署。使用全网智能管理功能,网络管理员可以快速制定每台云系统主机的主动防御规则,部署针对性的防挂马网站、防木马策略,从而在最大程度上阻止木马病毒、挂马网站的侵袭。
6结束语
尽管基于云计算环境的安全建设模型和思路还需要继续实践和探索,但是将安全内嵌到云计算中心的虚拟基础网络架构中,并通过安全服务的方式进行交互,不仅可以增强云计算中心的安全防护能力和安全服务的可视交付,还可以根据风险预警进行实时的策略控制。这将使得云计算的服务交付更加安全可靠,从而实现对传统IT应用模式的转变。
云计算环境等保安全整体解决方案,是依托自身对于传统安全防护的优势,结合云环境的安全特点,有针对性执行相应的防护,其整体解决方案的重点是以安全管控为核心,以虚拟环境状态监控以及云计算环境下维护管理的合规控制为主要的管理目标,实现集中监控和管理;对于具体安全防护手段,提供云系统漏洞扫描,提高云环境的整体安全健壮性,实现自身安全性的提升;同时支持在虚机环境上部署审计产品,加强虚拟流量的协议分析,明晰虚拟环境流量传输状况和具体的操作协议内容,对虚拟环境内部的流量进行可视化呈现。通过上述解决方案提高云计算环境安全性,确保业务的正常运行。
参考文献:
[1]《信息系统安全等级保护基本要求GB/T22239―2008》.
[2]《公共基础设施PKI系统安全等级保护技术要求GB/T21053―2007》.
[3]《云计算安全关键技术分析》.张云勇等主编.
[1]朱源.云计算安全浅析[J].电信科学,2011,26.
【关键词】私有云;虚拟化;热点问题
0概述
云计算是网格计算、分布式计算、并行计算、效用计算、网络存储、、虚拟化、负等传统计算机技术和网络技术相互发展、相互促进的产物,其主要的目的就是通过这些技术将多个成本相对较低的计算实体构建成为一个具有强大计算能力的系统。云计算的一个显著的优点就是使企业和个人可以更加方便、快捷的处理更加复杂的计算任务。
1国内云计算发展趋势
私有云会获得大发展,埃森哲公司对100多位IT高级管理人员所做的问卷调查结果表明,在将来,私有云不仅不会消失,而是会获得更大的发展。据调查中国企事业已开始探索使用云计算,但在态度方面依然谨慎。目前,他们更倾向于创建私有云,而不是使用公有云和大公共云的使用在计算领域掀起了一场革命,对于难以预测的面向消费者的应用程序来说尤其如此。但对于需要处理各种规章制度、标准和其他非技术问题的组织来说,私有云不可或缺。这取决于企业的实际需要。因此。混合云服务――即综合有公共云和私有云的服务仍将是大多数组织的务实选择。
2关键技术
2.1私有云数据安全
数据安全一直是私有云中需要重点考虑的一个关键技术,能否保护用户的个人隐私不受到威胁是整个体系的最为核心的部分。在数据安全方面,通常采用如下的措施:
(1)隔离技术,保证用户数据的易访问性和安全性沙箱技术,构建一个安全的虚拟环境。用户通过网络对系统所做的所有操作,都直接将重新定向到一个指定的临时文件夹中,这个过程可以通过程序来完成,然后定向到指定的文件夹中。当数据发生变化的时候,如系统中的一些非常关键的数据,则使用加载自身的驱动来保护底层数据,她属于一种驱动级别的保护过程[1]。
(2)网络隔离,在信息确保不会被泄露的前提下,自动完成网间数据的交换。当前,常见的网络技术主要是通过访问控制原理,使用物理隔离技术,同时也使用相关的定义约束来保障整个网络的安全可靠性。如使用专业的硬件以及相关的网络安全协议来进行数据传输,同时还可是使用访问控制、身份认证、数字签名等手段,来确保在数据交换过程中,数据的安全性、可靠性和完整性。
(3)虚拟专用网络,该项技术属于一种访问控制技术,其主要的功能就是在公用网络上建立专用网络,通过这样的方式来进行加密通讯,其实际过程是利用对数据包进行加密和和对目标地址进行远程访问。该技术能够提供非常好的安全水平,避免数据被窃和其他非授权用户访问,虚拟专用网使可以使得用户能够自主掌握自己网络的控制权[2]。
(4)云监测和能耗管理,随着云计算的推广和云设施不断增加为了更好地体现云计算的强大计算处理能力而设置的一种监测,云监测它是对虚拟机监控的能力而能耗管理则是如何节省云设施中计算设施所需要的能源有效地整合资源和降低成本。
3私有云优点
相比与公有云和大规模私有云,私有云具有以下独特的优势:
(1)数据安全。对企事业单位而言,和业务有关的数据是其的生命线,不能受到任何形式的威胁,所以短期而言,企事业单位是不会很快将其关键业务的应用放到公有云和大规模私有云上运行的。而私有云在这方面是非常有优势的,因为它可以构筑在防火墙后或企事业单位的内网上。
(2)服务质量。因为私有云一般部署在内网或专网上,而不是在某一个遥远的数据中心中,所以当公司员工访问基于私有云的应用时,它的SLA应该会非常稳定,不会受到网络不稳定的影响。
(3)充分利用现有硬件资源和软件资源。公有云和大规模私有云需要庞大的资金、技术、设备的支持,很多企事业单位无法达到。目前许多单位已经形成了一定规模的数据中心,如学校已经有一定数量的服务器,按云的构想可以在一个区域、一个局部利用企事业单位现有的硬件资源来构建云,这样将极大降低企业单位的成本,有极强的适用性,既符合现有的管理形态又充分发挥云计算的优势。
(4)不影响现有IT管理的流程。假如使用公有云和大规模私有云的话,将会对IT管理部门流程有很多的冲击,比如在数据管理方面和安全规定等方面。而在私有云,因为它一般在防火墙内的,所以对IT管理部门流程冲击不大。
4云计算在实际应用中面临的问题
尽管云计算模式具有许多优点,但是在实际应用中面临诸多问题,如数据隐私问题、安全问题、用户使用习惯问题、网络传输问题等。我国现行的条块分割的管理体系及信息保密和安全的要求,制约了政府部门及企事业单位对公有云和大规模私有云的使用。
就现有国内外云计算平台产品而言,主要集中在公有云或者大规模的私有云,原因是云计算的规模越大优势越突出、效益越高。这类云计算平台管理的规模都在数万台服务器和存储设备以上,有的达到几十万台。我国尤其是我区现有数据中心规模都比较小,超过百台的都不是太多。因此,用大规模云计算平台管理我们现有的设备,不仅费用极高,而且关注的关键点也不同。
5结束语
云计算产业是工信部《电子信息制造业“十二五”发展规划》中重点支持的领域,《规划》指出要“以云计算应用需求为牵引,重点突破虚拟化、负载均衡、云存储以及绿色节能等云计算核心技术,支持适于云计算的服务器产品、网络设备、存储系统、云服务终端等关键产品的研发及产业化”。
本文作者参与了新疆维吾尔自治区科技计划项目―基于Linux的简捷私有云计算平台关键技术研发。通过对私用云的关键技术、云计算过程中所面临的问题、私用云的特点、关键技术等方面进行了阐述,希望能够为研究云计算的同行提供一些可以借鉴和参考的地方。
【参考文献】
【关键词】云计算;云计算安全;虚拟化;安全架构
【中图分类号】TP309【文献标志码】A
1引言
按照美国国家标准和技术学会(NIST)的定义,云计算是一种利用互联网实现随时随地、按需、便捷地访问共享资源池(如计算设施、存储设备、应用程序等)的计算模式。云计算以其便利、经济、高可扩展性等优势引起了产业界、学术界、政府等各界广泛的关注,国际、国内很多成功的云计算案例纷纷涌现。国际上,Amazon的EC2/S3、Google的MapReduce/AppEngine、Yahoo!的HDFS、微软的Azure、IBM的蓝云等都是著名的案例;而国内,无锡的云平台、山东东营的政务云、中化集团的中化云等也逐渐呈现,同时,云计算的部级策略也在不断酝酿。
但当前,云计算发展面临许多关键性问题,安全问题首当其冲,并且随着云计算的普及,安全问题的重要性呈现逐步上升趋势,成为制约其发展的重要因素。在云计算环境下,虽然数据集中存储,数据中心的管理者对信息资源进行统一管理、统一分配、均衡负载、部署软件、控制安全,并进行可靠的安全实时监测,从而使用户的数据安全得到最大限度的保证。然而,集中管理的云计算中心也必将成为黑客攻击的重点目标。由于云计算环境的巨大规模以及前所未有的开放性与复杂性,其安全性面临着比以往更为严峻的考验。对于普通用户来说,其安全风险不是减少而是增大了。Gartner的2009年调查结果显示,70%以上受访企业的CTO认为近期不采用云计算的首要原因是存在数据安全性与隐私性的忧虑。EMC信息安全部RSA和欧洲网络和信息安全研究所ENISA也提出:数据的私密性和安全性以及服务的稳定性已成为用户考虑是否使用云服务和如何选择云提供商的关键衡量指标。而近来Amazon、Google等云计算发起者不断爆出的各种安全事故更加剧了人们的担忧。因此,要让企业和组织大规模应用云计算技术与平台,就必须全面地分析并着手解决云计算所面临的各种安全问题。
2云计算的基本特征及安全问题
参照NIST的定义,云计算具有五个基本特征:一是按需自助服务,用户可对计算资源进行单边部署以自动化地满足需求,并且无须服务提供商的人工配合;二是泛在网络连接,云计算资源可以通过网络获取和通过标准机制访问,这些访问机制能够方便用户通过异构的客户平台来使用云计算;三是与地理位置无关的资源池,云计算服务商采用多用户模式,根据用户需求动态地分配和再分配物理资源和虚拟资源,用户通常不必知道这些资源具体所在的位置,资源包括存储器、处理器、内存、网络及虚拟机等;四是快速灵活地部署资源,云计算供应商可快速灵活地部署云计算资源,快速地放大和缩小,对于用户,云计算资源通常可以被认为是无限的,即可以在任何时间购买任何数量的资源;五是服务计费,通过对不同类型的服务进行计费,云计算系统能自动控制和优化资源利用情况。可以监测、控制资源利用情况,为云计算提供商和用户就所使用的服务提供透明性。
其中,资源虚拟化和服务化是云计算最重要的外部特征。在云计算的模式下,用户基本上不再拥有使用信息技术所需的基础设施,而仅仅是租用并访问云服务供应商所提供的服务。云计算把各层次功能封装为抽象实体,对用户提供各层次的云服务,这些服务通过虚拟化技术实现。虚拟化技术将底层的硬件,包括服务器、存储与网络设备全面虚拟化,在虚拟化技术之上,通过建立一个随需而选的资源共享、分配、管控平台,可根据上层的数据和业务形态的不同需求,搭配出各种互相隔离的应用,形成一个以服务为导向的可伸缩的IT基础架构,从而为用户提供以出租IT基础设施资源为形式的云计算服务。用户在任意位置、使用各种终端从云中获取应用服务,而无需了解它的具体实现和具置。
云计算的以上特征带来了诸多新的安全问题,其中核心安全问题是用户不再对数据和环境拥有完全的控制权。云计算的出现彻底打破了地域的概念,数据不再存放在某个确定的物理节点,而是由服务商动态提供存储空间,这些空间有可能是现实的,也可能是虚拟的,还可能分布在不同国家及区域。用户对存放在云中的数据不能像从前那样具有完全的管理权,相比传统的数据存储和处理方式,云计算时代的数据存储和处理,对于用户而言,变得非常不可控。
传统模式下,用户可以对其数据通过物理和逻辑划分安全域实现有效的隔离和保护;而在云计算环境下,各类云应用没有固定不变的基础设施和安全边界,数据安全由云计算提供商负责,不再依靠机器或网络的物理边界得以保障,因此云环境中用户数据安全与隐私保护难以实现。
同时,云中大量采用虚拟技术,虚拟平台的安全无疑关系到云体系架构的安全。随着功能与性能上的不断提升,虚拟化平台变得越来越复杂和庞大,管理难度也随之增大。目前,虚拟平台的安全漏洞不断涌现,如果黑客利用漏洞获得虚拟平台管理软件的控制权,将会直接威胁到云安全的根基。
此外,云计算中多层服务模式也将引发安全问题。云计算发展的趋势之一是IT服务专业化,即云服务商在对外提供服务的同时,自身也需要购买其他云服务商所提供的服务。因而用户所享用的云服务间接涉及到多个服务提供商,多层转包无疑极大地提高了问题的复杂性,进一步增加了安全风险。
从目前云计算的发展来看,用户数据的安全、用户隐私信息的保护问题、数据的异地存储以及云计算自身的稳定性等诸多安全和云计算监管方面的问题,直接关系到用户对云计算业务的接受程度,已成为影响云计算业务发展的最重要因素。
传统的安全域划分、网络边界防护等安全机制已难以保障云计算的安全防护需求。作为面向服务的架构体系,云计算体系各层作为服务提供者将共同面临着非法用户的访问、合法用户的非法操作、合法用户的恶意破坏等威胁。因此,研究云计算安全防护体系以及用户认证、访问控制等问题,将是云计算安全领域的重点。
3云计算安全技术研究进展
云计算源于网络运营商的商业运作,是网格计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。由于是一种融合技术,从实践走向实践,所以云计算缺乏严谨的理论基础,在其发展过程中,几乎所有的大型云计算推广厂商都出现了各种各样的故障,引发业界对云计算安全的讨论和研究。
目前,对云计算安全技术的理论研究滞后于实践应用,尚处于初级阶段,但已得到越来越多学术界的关注。信息安全国际会议RSA2010将云计算安全列为焦点问题,许多企业组织、研究团体及标准化组织都启动了相关研究,安全厂商也在关注各类安全云计算产品。但只有CSA和ENISA以及微软等几个为数不多的组织和公司能够比较清晰地提出各自对云计算安全问题的基本认识以及关于云计算安全问题的初步解决方案。
3.1云安全联盟CSA
目前,对云安全研究最为活跃的组织是云安全联盟CSA(CloudSecurityAlliance),CSA是于2009年成立的一个非盈利性组织,企业成员涵盖国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。CSA于2009年12月了《云计算关键领域安全指南V2.1》,总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系。根据CSA提出的云安全控制模型,“云”上的安全首先取决于云服务的分类,其次是“云”上部署的安全架构以及业务、监管和其它合规要求。CSA还确定了云计算安全的15个焦点领域,分别为信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响(商业连续性、灾难恢复、物理安全)、体系结构。2010年3月CSA了云计算安全面临的七个最大的安全威胁,即对云的不良使用、不安全的接口和API、恶意的内部人员、共享技术的问题、数据丢失或泄漏、账户或服务劫持、未知的风险等,获得了广泛的引用和认可。
3.2欧洲网络和信息安全研究所ENISA
欧洲网络和信息安全研究所ENISA(EuropeanNetworkandInformationSecurityAgency)是负责欧盟内部各个国家网络与信息安全的一个研究机构,其在云计算安全方面的主要研究成果是从企业的角度出发分析云计算可能带来的好处以及安全方面的风险。ENISA认为,企业使用云计算的好处是内容和服务随时都可存取,并可不必管理超过需求的数据中心容量,而是使用云计算提供商提供的云计算服务,依照实际用量付费,不必维护某些硬件或软件,不仅可以降低企业成本,而且可以“解放”企业内部的IT资源。但是目前由于安全性问题,企业仍对云计算望而却步。企业质疑,是否能够放心把企业的数据、甚至整个商业架构,交给云计算服务供货商。因此,ENISA建议,企业必须做风险评估,比较数据存在云中和存储在自己内部数据中心的潜在风险,比较各家云服务供应商,取得优选者的服务水平保证。应该清楚指定哪些服务和任务由公司内部的IT人员负责、哪些服务和任务交由云服务供应商负责。ENISA的报告指出,如果选对云计算供应商,数据存在云中是非常安全的,甚至比内部的安全维护更固若金汤、更有弹性、更能快速执行,也可以更有效率地部署新的安全更新,并维持更广泛的安全诊断。
3.3典型的云安全技术解决方案
除了学术界,产业界对云计算的安全问题非常重视,并为云计算服务和平台开发了若干安全机制,各类云计算安全产品与方案不断涌现。其中Sun公司开源的云计算安全工具可为Amazon的EC2,S3以及虚拟私有云平台提供安全保护。微软推出了云计算平台WindowsAzure。在Azure上,微软通过采用强化底层安全技术性能、使用所提出的Sydney安全机制,以及在硬件层面上提升访问权限安全等系列技术措施为用户提供一个可信任的云,从私密性、数据删除、完整性、可用性和可靠性五个方面保证云安全。Yahoo!的开源云计算平台Hadoop也推出安全版本,引入kerberos安全认证技术,对共享敏感数据的用户加以认证与访问控制,阻止非法用户对Hadoopclusters的非授权访问。EMC,Intel,Vmware等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统。该项目采用Intel的可信执行技术(TrustedExecutionTechnology)、Vmware的虚拟隔离技术、RSA的enVision安全信息与事件管理平台等技术相结合,构建从下至上值得信赖的多租户服务器集群。2010年为使其安全措施、政策及涉及到谷歌应用程序套件的技术更透明,谷歌了一份白皮书,向当前和潜在的云计算客户保证强大而广泛的安全基础。此外,谷歌在云计算平台上还创建了一个特殊门户,供使用应用程序的用户了解其隐私政策和安全问题。
4云计算服务安全模型
云计算以服务的方式满足用户的需求,根据服务的类型,云计算服务可以分为三个层次:基础设施即服务(IaaS)、云平台即服务(PaaS)、云软件即服务(SaaS),构成云计算服务模型。IaaS位于最底层,提供所有云服务必需的处理、存储的能力;PaaS建立在IaaS之上,为用户提供平台级的服务;SaaS又以PaaS为基础,提供应用级的服务。用户可以根据自身业务特点和需求,选择合适的云服务模式,不同的云计算服务模式意味着不同的安全内容和责任划分。目前比较获得认可的云计算安全模型就是基于云计算服务模型构建的,如图1所示。此模型中,云服务提供商所在的层次越低,云用户自己所要承担的安全管理职责就越多。不同云服务模式的安全关注点是不一样的,当然也有一些是这三种模式共有的,如数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。
4.1IaaS层安全
IaaS提供硬件基础设施部署服务,为用户按需提供实体或虚拟的计算、存储和网络等资源。在使用IaaS层服务的过程中,用户需要向IaaS层服务提供商提供基础设施的配置信息,运行于基础设施的程序代码以及相关的用户数据。数据中心的管理和优化技术以及虚拟化技术是IaaS层的关键技术。IaaS层安全主要包括物理安全、主机安全、网络安全、虚拟化安全、接口安全,以及数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。
4.2PaaS层安全
PaaS位于IaaS之上,是云计算应用程序运行环境,提供应用程序部署与管理服务。通过PaaS层的软件工具和开发语言,应用程序开发者只需上传程序代码和数据即可使用服务,而不必关注底层的网络、存储、操作系统的管理问题。PaaS层的安全主要包括接口安全、运行安全以及数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等,其中PaaS层的海量数据的安全问题是重点。Roy等人提出了一种基于MapReduce平台的隐私保护系统Airavat,集成强访问控制和区分隐私,为处理关键数据提供安全和隐私保护。
4.3SaaS层安全
SaaS位于IaaS和PaaS之上,它能够提供独立的运行环境,用以交付完整的用户体验,包括内容、展现、应用和管理能力。企业可以通过租用SaaS层服务解决企业信息化问题,如企业通过Gmail建立属于该企业的电子邮件服务。该服务托管于Google的数据中心,企业不必考虑服务器的管理、维护问题。对于普通用户来讲,SaaS层服务将桌面应用程序迁移到互联网,可实现应用程序的泛在访问。SaaS层的安全主要是应用安全,当然也包括数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。如,由于云服务器由许多用户共享,且云服务器和用户不在同一个信任域里,所以需要对敏感数据建立访问控制机制。由于传统的加密控制方式需要花费很大的计算开销,而且密钥和细粒度的访问控制都不适合大规模的数据管理,Yu等人讨论了基于文件属性的访问控制策略,在不泄露数据内容的前提下将与访问控制相关的复杂计算工作交给不可信的云服务器完成,从而达到访问控制的目的。
5结束语
随着云计算技术的快速发展和更广泛应用,云计算将会面临更多的安全风险。目前业界对云计算安全的研究尚处于初步阶段,对云计算安全的解决也没有统一的标准和解决方法,并且对云计算安全的研究集中于企业。未来需要学术界、产业界、政府共同参与解决云计算的安全问题,推动云计算的发展。
参考文献
[1]MELLP,GRANCET.TheNISTDefinitionofCloudComputing[R].NationalInstituteofStandardsandTechnology,2011.
[2]CloudComputing[EB/OL].[2009-05-23].http:///wiki/Cloud_computing.
[3]王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012(08):75-78.
[4]冯登国,张敏,张妍等.云计算安全研究[J].软件学报,2011(1):71-83.
[5]张健.全球云计算安全研究综述[J].电信网技术,2010(9):15-18.
[6]CloudSecurityAlliance.SecurityGuidanceforCriticalAreasofFocusinCloudComputing[EB/OL].http:///csaguide.pdf.
[7]CloudSecurityAlliance.TopThreatstoCloudComputingV1.0[EB/OL].http:///topthreats/csathreats.v1.0.pdf.
[8]ENISA.CloudComputingInformationAssuranceFramework.http://enisa.europaeu/act/rm/files/deliverables/cloudcomputing-information-assurance-framework.
[9]ENISA.Benefits,risksandrecommendationsforinformationsecurity.http://enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport.
[10]SecuringMicrosoft’sCloudInfrastructure.http:///security/documents/SecuringtheMSCloudMay09.pdf.
[11]陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展趋势[J].现代电信科技,2011(6):50-54.
[12]余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012(08):71-74.
作者简介:
【关键词】云计算智能监控安全防护技术研究
智能安防监控系统是保证人民生命财产安全的重要跟踪系统。安全防护问题随着我国经济的发展应该越来越被重视。文章将从智能监控的研究背景出发,深入探讨智能安防监控视频跟踪系统如何在云计算的平台中得以发挥重要作用。
1智能监控发展现状
在信息化技术不断提高的背景下,智能监控技术也有了巨大的发展;目前,该技术已经广泛应用于各大领域,其中包括工业生产、生活社区、交通要道等地方,为防止生产安全问题造成员工伤亡、居民社区发生刑事案件、道路出现拥堵和交通事故起到了关键性作用。在监控过程当中,对监控目标的实时跟踪成为了视频监控中较为重要的环节,因为只有这样,才能最快最准时的发现犯罪目标或者是受害人,从而把受害方的损失降低到最小。准确的追踪位置是需要摄像机进行焦距放大的,如果焦距不能进一步扩大,对于监控目标的身体特征就没有办法观察仔细,之后的行动也会造成阻碍。
然而,就目前来说,智能视频监控系统对目标的即时跟踪和焦距放大方面都是远远不够的,需要技术人员努力跟进,利用云计算来不断更新智能监控系统技术,从而使得智能监控能够扩大监控时间,在焦距上能够成功识别目标主要特征,进而能够保证以后的工作顺利进行。
2云计算l展现状
云计算是一种新型的信息化技术,于2007年被首次提出。简单来说它是三种计算模式的结合,并行化、网格式和分布式三种运算方式结合在一起形成了云计算这种新的运算方法。云计算可以为监控提供全方位的、透明的、随时可以利用的计算数据和资源。另外,目前,云计算主要针对的对象主要就在于智能监控系统方面。云计算不同的编程模式、云共享和数据平台为智能视频监控提供了强大的技术支撑,并且这些领域衍生出了更多的开源技术构架和更多数据平台,这就使得,云计算这种运算方法能够在当前的现代科技领域(尤其在智能监控环节)占据相当大的比重。
因为云计算逐渐发展成熟,被应用的领域较多,云计算发展较快的公司,比如谷歌,将这门技术运用到了仓库数据管理、日志的有关分析和机器学习等方面,为该公司实现新技术的更快发展奠定了一定的基础。云计算对多媒体领域的作用主要体现在视频影像和图片处理的方面。例如对视频进行转码处理,视频通过处理之后,呈现的影响就会更加清晰,并且在目标移动中也能够实现准确追踪和提取视频中的重要信息;而对于视频中截下的图片,通过云计算的作用,可以更好的实现清晰化,进而能够保证相关部门在确认目标的过程中,更加快速识别目标的主要特征。
3云计算对监控技术的作用
3.1在图片处理中的作用
在视频监控的过程中,有关部门有时候会在目标出现时按下暂停键,比起视频的转瞬即逝,图片的证据似乎更加有力,但是视频截下的图片是模糊的,无法清晰辨认出目标的主要特征,这个时候,就需要通过云计算的简单解码,从而实现图片处理。对图片进行转码是提升系统准确性的重要方式。云计算提供有关的函数计算方法,进而使图片经过数字化处理之后,将自身关键的内容提取出来,目标中的人像特征相比处理之前更加明显,图片处理就算是基本完成了。
3.2在视频处理中的作用
在视频监控的系统中,对运动目标的观察和锁定是监控的重要环节。而在这个过程中,技术人员应当适时进行处理,处理的内容主要是周围环境中的干扰内容,比如在交通监控中,视频中十分吵闹的汽笛声;相似于目标的其他运动物品;光线变幻对视频监控的干扰等。
云计算中的视频处理系统,将视频数据的重新归类,并且将数据进行解析为适合的键值,这样,把视频内容转化为理想数据,更好的避免外界干扰和视频目标的清晰化。
云计算提出的目标核心算法,是对传统算法的发展和进步,但是,由于对目标的追踪技术只是视频监控的最基础环节,所以在视频处理过程中,还应该在云计算的基础之上,研究其他的运算方法并逐渐优化。
3.3云计算的意义
云计算模式也改变了近几年以来国内信息技术领域的低谷状态,开拓了新型的云计算模式和云服务系统,也进一步提升了国家的先进生产力。不同于传统的运算模式,云计算是基于目标跟踪算法来实现云计算和视频解析处理的。在监控信息繁复较多的情况下,云平台的解码方式,将视频分为关键的几个节点,从而帮助监控系统顺利观察运动目标的情况。另外,针对监控视频存在的情况,云技术的普及运用能够为安全防护监控提供更加直观清晰的数据。
4结束语
当前智能安全防护已成为全体国民都关心的问题,在这样的背景下,有关部门应当及时跟进系统技术,实现监控的优化,而技术人员也应当积极引用云计算这一新兴科技成果,使得安全监控视频的质量得以提高,监控力度变大,使安全隐患无所遁形,减少安全事故的发生次数,进而更好的维护大众利益。
参考文献
[1]高俊祥.智能视频监控中目标的检测与跟踪[D].北京:北京邮电大学,2011.
[2]赵春阵,潘泉,粱彦.视频图像运动目标分析[M].北京:国防工业出版社,2013.