探秘安全云计算的发展网络.docx

doc 探秘安全云计算的发展网络随着云计算概念的热炒,一夜之 间无数厂商跟风般推出自己的所谓云 ,目前云计算处于一 计算概念.当然个起步阶段,还面临着很多严峻的挑 战.其中,对数据安全的考虑而产生 的信任问题几乎是云计算面临的最大 问题.渐渐地发现,安全领域也多了 一 个新的名词”安全云计算”.安全云 计算到底是什么?云计算能为信息安全 提供哪些保障? 初识”云计算” 笔者理解的云计算是通过一个巨 大的数据中心来协同调度全球各种数 据运算,随时随地地满足用户应用的 各种需求.业内对云计算(Cloud Computing)的定义为,分布处理 (DistributedComputing),并行处理 (ParallelComputimg)和网格计算 (GridComputing)的发展,或者说是 这些计算机科学概念的商业实现.云 计算是虚拟化(Virtualization),效 用计算(uti1ityComputing),IaaS (基础设施即服务),PaaS(平台即服 务),SaaS(软件即服务)等概念混合演 进并跃升的结果. 它的基本原理是,通过使计算分 布在大量的分布式计算机上,而非本 地计算机或远程服务器中,企业数据 中心的运行将更与互联网相似.这使 得企业能够将资源切换到需要的应用 上,根据需求访问计算机和存储系统. 全球互联的今天,我们不需要怀疑云 计算是否能给用户带来便捷的应用. 作为全球IT业的领导者IBM,微软, Google等IT巨头已经为云计算的应用 做出了榜样,虽然部分应用仅仅是刚 刚起步,但已经可以预想未来便捷快 速的WEB应用. 云计算的特点 1.超大规模.”云”具有相当的规 模,Google云计算已经拥有IO0多万 台服务器,Amazon,IBM,微软,Yahoo 等的”云”均拥有几十万台服务器. 2.虚拟化.云计算支持用户在任 意位置,使用各种终端获取应用服务. 所请求的资源来自”云”,而不是固定 的有形的实体.应用在”云”中某处运 行,但实际上用户无需了解,也不用 担心应用运行的具体位置.只需要一 台笔记本或者一个手机,就可以通过 网络服务来实现我们需要的一切,甚 至包括超级计算这样的任务. 3.高可靠性.”云”使用了数据多 副本容错,计算节点同构可互换等措 施来保障服务的高可靠性,使用云计 算比使用本地计算机可靠. 4.通用性.云计算不针对特定的 应用,在”云”的支撑下可以构造出千 变万化的应用,同一个”云”可以同时 支撑不同的应用运行. 5.高可扩展性.”云”的规模可以 动态伸缩,满足应用和用户规模增长 的需要. 6.按需服务.”云”是一个庞大的 资源池,你按需购买;云可以象自来 水,电,煤气那样计费. 7.极其廉价.由于”云”的特殊容 错措施可以采用极其廉价的节点来构 成云,”云”的自动化集中式管理使大 量企业无需负担日益高昂的数据中心 管理成本,”云”的通用性使资源的利 用率较之传统系统大幅提升,因此用 户可以充分享受”云”的低成本优势. 云计算的几大形式 1.SAAS(软件即服务).这种类型 的云计算通过浏览器把程序传给成千 上万的用户.在用户眼中看来,这样 会省去在服务器和软件授权上的开支; 从供应商角度来看,这样只需要维持 一 个程序就够了,这样能够减少成本. SAAS在人力资源管理程序和ERP中比 较常用. 2.实用计算(UtilityComputing). 这种云计算是为IT行业创造虚拟的数 据中心使得其能够把内存,I/o设备, 存储和计算能力集中起来成为一个虚 拟的资源池来为整个网络提供服务. 3.网络服务.同SAAS关系密切,网 络服务提供者们能够提供API让开发 者能够开发更多基于互联网的应用, 而不是提供单机程序. 4.PaaS(平台即服务).另一种 SAAS,这种形式的云计算把开发环境 作为一种服务来提供.你可以使用中 间商的设备来开发自己的程序并通过 互联网和其服务器传到用户手中. 5.MSP(管理服务提供商).最古老 的云计算运用之一.这种应用更多的 是面向IT行业而不是终端用户,常用 于邮件病毒扫描,程序监控等等. 6.商业服务平台.SAAS和MSP的 混合应用,该类云计算为用户和提供 商之间的互动提供了一个平台.比如 用户个人开支管理系统,能够根据用 户的设置来管理其开支并协调其订购 的各种服务. 7.互联网整合.将互联网上提供 类似服务的公司整合起来,以便用户 能够更方便的比较和选择自己的服务 供应商. 云计算离用户有多远? 假如您使用过GoogleDoc以及 GoogleApps,那您已经体验了云计算 带给您的便利;又或者微软的Windows 43信息化建设 信息化博览 Live,致力于改善互联网应用;还有作 为首批进军云计算新兴市场的厂商之 一 亚马逊,现在提供的是可以通过网 络访问的存储,计算机处理,信息排 队和数据库管理系统接入式服务. 当然云计算最典型的应用还是体 现在搜索引擎方面,Google已经为此 在组建超过100万台服务器的超级平 台.新的基于云的应用也正在不断推 出,例如微软的LiveMesh,SUN的 Blackbox带来的全新移动数据中心技 术,都为云的快速发展提供了保证.既 然云计算可以为用户带来如此大的便 利,那么云计算又将在安全领域带来 哪些革新? 云计算的成功应用 高端市场:企业级用户构建自己 的云计算基础设施 以IBM为代表的传统的产品厂商 所推出的云计算技术主要用于解决下 一 代企业级数据中心的管理问题,主 要面向企业提供云计算管理平台并提 供相关服务,帮助企业构建自己的云 计算基础设施.因此他们的重点服务 对象是高端企业级用户.例如,IBM在 无锡太湖新城科教产业园建设的”中 国云计算中心”,该中心是重点面向产 业园区企业客户所搭建的,个虚拟计 算环境,事实上是IBM为产业园搭建, 再由产业园把云计算平台作为一种内 部资源和服务向园区企业提供. 通过这样的例子我们可以发现, 企业级用户事实上是建立自己的云计 算平台,但是企业内部自己的IT基础 设施的改善,关键业务与核心数据仍 是运行在企业内部的计算平台上.因 此对于这部分高端企业用户来说接受 云计算实际上就是要接受,种新的技 术和解决方案. 低端市场:消费级个人用户 较易于接受云计算服务 以谷歌和Amazon为代表的云计算 是将自己的基础设施打造成一个云计 算平台,并基于这个平台为所有互联 网用户提供云计算服务.例如,诸多 网站正在推出价格合理的数据在线存 储服务,甚至是免费的无容量限制存 储服务,微软宣布windows?ve skydrive向用户开放;谷歌正式推出了 升级版的付费储存服务. 当然,用户的数据安全和隐私保 护问题对于个人用户并非不存在,但 相对于企业核心业务数据来说,消费 者的一些普通个人文档和照片视频等 非机密文件对该问题的敏感性要低了 很多.目前已有了大量的个人用户正 在享用云存储服务.在线存储服务的 兴起,表明云计算确确实实来到了我 们身边.相对于对云计算服务商利润 的贡献来说,个人用户目前对云计算 服务的贡献更大的是有助于社会对云 计算模式的接受. 安全云计算 从某种意义上说,云计算是网格 计算模型自然而然的进一步发展.从 理论上讲,云计算的强大数据运算与 同步调度能力,可以极大的提升安全 公司对新威胁的响应速度,同时可以 第一时间的将补丁或安全策略分发到 各个分支节点. 对于传统反病毒厂商而言,云计 算的引入可以极大的提升其对病毒样 本的收集能力,减少威胁的相应时间. 国际知名的安全厂商趋势科技以及国 内的瑞星已经打出了安全云计算口号, 这对用户而言无疑是个巨大的利好. 当然不仅仅是反病毒厂商,国际知名 的Web安全厂商WebSense,在恶意代 码收集及应急响应方面也充分利用了 云计算的特征,其在全球范围部署的 蜜罐和网格计算的紧密结合,可以及 时应对网络中不断出现的新型攻击行 为,为其规则库的及时更新提供了有 力的支持. 再者,云计算在安全领域的应用 科技极大的促进传统安全行业的变革, 也许不久的将来安全厂商也会顺应潮 20o9年第1O期 流,真正实现软件+服务的营销模式 安全云计算的挑战 我们不难发现,实施安全云计算 的前提是快速高效的收集用户的安全 威胁.通过云计算的实施数据分析,来 响应用户的安全需求.那么如何快速 准确的收集用户的异常信息,成为安 全云计算实施的第一个难题. 各个厂商在处理威胁数据收集方 面,表现也各不相同.国内安全厂商 瑞星,通过发布面向终端的卡卡6.0来 为其”云安全”计划全面实施提供先 决条件.然而这并不会是瑞星的专利, 包括微软在内,几乎所有的安全厂商 都会对用户的终端设备使用情况进行 实时的跟踪. 同时,为了便于更加准确快速的 获取信息,许多知名厂商都会设立专 门的蜜罐系统,来广泛收集网络中存 在的攻击行为.websense的蜜罐+网 格计算的架构模式,我们或许可以认 为是云计算的一种简单实现.解决了 需求收集,如何解决分布与并行的数 据处理,成为能否真正实现云计算的 又一个挑战. 首先,安全公司不是Google,所 以不可能有数以万计的计算机来同时 处理用户的数据;其次,相对普通的应 用,安全公司对新型的病毒及攻击行 为的分析,更多的是依据人工分析,如 何缩短响应时间成为关键.最后,如 何加强自动分析的准确性,也是安全 公司亟待解决的问题. 我们不能忘记去年轰动全国的诺 顿误杀事件,正是由于自动分析系统 的误报,从而造成了无法补的损失. 业内专家指出,病毒样本自动搜集和 处理系统必然会大大提高杀毒软件的 病毒库样本搜集数量和升级速度,但 每天从终端用户搜集上来的可疑文件 多数可能并非病毒;如果自动搜集系 统自动提交特征并加入病毒库的话可 能会引起误报误杀的问题. 笔者认为安全公司除了加大对基 44信息化建设 信息化博览 2009年第10期 础硬件的改进同时,必定会加大与第 三方云计算服务提供商加强合作.这 样第三个需要关注的问题又产生了, 安全厂商如何保证,如何解决云计算 的稳定性和安全性.ForresterRe search的分析师指出,云计算是一个 具备高度扩展性和管理性并能够胜任 终端用户应用软件计算基础架构的系 统池.但如果每个云的基础架构都是 与众不同的,假如基础架构要应用虚 拟化技术,如何解决许可证授权成为 实施云计算需要思考的问题.同时如 何解决云计算特权用户的访问权限, 数据存储以及数据隔离,都将成为安 全云计算不得不考虑的问题. 云计算给企业带来的影响 一 方面,云计算可以给企业提供 像日用品一样方便,低廉的服务,而 无需企业购买更多的存储和服务器设 备.另一方面,云计算也提供了快速 业务战略主动的唯一机会.首先,云 计算提供了一个平台来支持业务发展, 而无需进行IT基础投资.企业可以在 有限的IT支出下开展新的业务a其次, 通过云计算提供的平台可以迅速判断 新业务机会是否会获得广泛的成功. 云计算作为一个平台,适合那些 需要以最少IT投入获得最大商业价值 的场合.这并不意味着不久的将来, 企业大量的基础应用将就此消失.我 们需要做的是通过应用将云计算和主 机服务提供商结合起来,创造出更灵 活的IT环境,为动态业务需求提供更 好的支持. 随着互联网的快速发展,新的威 胁总是在层出不求.不论网格计算, 广域计算,还是如今热炒得云计算, 一 切都是刚刚起步,孰优孰劣只有时 间可以证明.我们不希望看到在安全 领域成为一种跟风的时尚,因为安全 永远都是一门严谨的科学. (1ovewil1)团 nformatizationShow IT项目收尾, ClO如何把好验收关? 吴勇毅许金水 C10时常听到这句业界常言 “上ERP找死,不上ERP等死”.其实何 止ERP如此. 中小型的IT项目如OA,CRM等,其 成功率也不足55%,客户满意率不到 3O%,成了”食之无味,弃之可惜”的 鸡肋工程. 造成这种IT项目成了”鸡肋工程” 甚至变成”烂尾工程”的一个重要原 因,就是对项目的最后一个关一”验 收”时的疏忽大意,没有把好关,致使 前功尽弃,败走麦城.对此,作为企业 信息官的c10,负有重要责任. 众所周知,IT项目的实施,一般 包括6个阶段,即项目的选型,培训, 业务流程重组,基础数据整理,会议 室试点,系统切换等.在系统切换后, 参与项目实施的人员和C10常都会松 下