基于云计算的安全技术发展与监管方面的研究

基于云计算的安全技术发展与监管方面的研究 【摘要】 云计算成为现代网络科技中的一大突破，被社会广泛关注，但是对于云计算的安全问题仍然困扰着大家，因此，本文研究了云计算的安全技术体系以及与之相关的关键技术，也提出了一些关于我国云计算安全技术的发展建议。 【关键词】 云计算 安全 发展 一、关于云计算的安全技术 1.1 保障云计算的安全技术体系 云计算安全按照等级划分，可以划分为七大方面，包括物理、网络、主机、系统、应用、数据和内容方面的安全。这几个方面都有各自的领域安全防护，也都有各自的特性。在安全保护对象划分的话，也有用户和服务商、国家这三方。最为关键的方面就是服务商方面，由于只有保证云服务商的安全规范才能够促进该行业的发展。国家方面就是对基础设施的防护保障网络不会大范围的瘫痪。个人方面就是用户需要被保护，而不是保护其他设备。 1.2 保障云计算安全关键技术 1、虚拟机的安全保护。在虚拟机的安全里，最为危险的就是虚拟机逃逸。在现有的系统中，存有还无法得到修补的漏洞，就是Hypervisor存有漏洞，对于服务商而言，极难辨别在虚拟机中的申请者是否是真实的身份，而对于攻击者来说，Hypervisor很容易被攻破，从中获得不属于它的系统管理操作权限，由此控制宿主电脑其他正在运行中的虚拟机。 2、数据的安全保护。存储数据若是存在安全风险，首当其冲的就是云服务商内部人员对于用户的数据保护不够严密，通过非法的途径授权给他人访问内部信息，导致信息泄露，又或者是黑客攻击，防护系统短暂崩溃导致的数据丢失和泄露。数据流动时，若是短距离内的数据交换其安全性就较高，若是长距离甚至是跨境数据流动，就极有可能将一些企业或者是用户的私密等敏感信息泄露。 3、网络的安全保护。云服务就是以储存量大、流动性强而闻名，因此，对于入侵检测和防御都要极高的要求，但是现有的检测技术难以支持这么大的人流量侵入，所以，就成为十分棘手的问题。对于DDoS攻击以及流量清洗这两方面，整个云服务就有一个平台，称之为云平台，DDoS攻击就是从云平台内部通过虚拟机发起的攻击，只要出现多个虚拟机攻击，就可能导致IDC瘫痪，因此，要学会判别进入流量是否是攻击流，对于非正常访问的数据进行清洗。 4、应用的安全保护。服务商在这个环节内，要严格的审查用户的应用程序，保证该应用是非恶意性的程序。并且，应用程序本身就是由各种代码组成的，世界上并没有任何一种代码是没有缺陷的，都存有各种bug，可能被人所利用，被人远程控制等.更严重的会导致云平台崩溃，波及的范围极广，引发的损失巨大。 二、云计算的安全监管现状 美国政府根据联邦信息安全管理法案采取了相关的安全措施，进行了安全评估，并且在2011年启用了与云计算有关的联邦风险及授权管理计划，FedRAMP采取的是第三方评估机构来进行与云计算服务有关的安全认证与授权。日本也启动了相关的项目，对云计算的实际应用开展了安全性测试，确保日本在使用云计算时能够保障用户的安全。在我国，对于云计算安全方面，只是处于安全评估和认证T.作阶段。至2014年为止，只有33家的云服务商参加了云服务的认证，只有35项云服务通过了“可信云服务认证”。 三、对于云计算安全技术发展的建议 1、制定云计算和服务安全监管政策。对于现阶段云计算和服务安全监管政策方面，我国正处于缺失状态，云计算平台还没有相应的政策来支持它发展，没有明确的建设和规划。因此，就无法为用户带来安全保障，也无法提高相对应的服务质量。我国要注重政策方面的制定，对云计算服务提供商的责任和义务划定出一个合理的范围，明白在保证用户隐私和数据上是十分重要的。 2、突破云计算安全关键技术。我国目前对于云计算的安全核心技术方面的开发十分薄弱，制约着我国云计算产业的发展，使得我国的信息安全无法得到有效的保障。因此，我国对于安全隔离和云存储、可信云计算等几个方面的关键技术，要做到技术突破，创造出富含我国特点的云计算安全模式，自主研究，使知识产权自由化，不受他国制约，从而推动我国的云计算安全产业健康发展。 3、加大开展云计算安全评估与认证工作的力度。不照搬他国对云计算安全评估与认证工作的案例，我国要在汲取他国举措的精华的同时，加入本国的特点进行优化创新，我国政府也可以委托第三方权威机构对于电信运营商和传统的IDC服务商等云服务企业进行安全评估与认证工作，来提高云计算安全服务的功能，加强保障用户数据隐私安全监管的力度，也要让相关企业能够自觉承担相应的信息安全责任。 云计算