摘要:基于云计算的信息系统与传统的信息系统相比,业务数据存储在云中,软件运行在云中,数据流动已成为常态,数据频繁跨系统流动,引发新的安全风险。随着计算机技术的发展,尤其是大数据、云计算应用的发展,各类信息使用深度和广度不断提高,在各行各业的信息系统大量存储、处理关乎国计民生的重要信息以及个人隐私信息,信息安全可靠、安全、完整使用,关系到国家安全和经济发展。基于此,本文主要对基于云计算环境的信息系统信息安全进行分析探讨。
关键词:基于云计算环境;信息系统;信息安全
1、前言
云计算是在互联网架构的基础上,提供相关服务的使用和交付功能, 通常涉及通过互联网来提供动态扩展并且虚拟化的资源。云计算有强大的计算能力,可以计算出天气预报和市场趋势,在日常生活中我们也可以用云计算按我们的需求工作。现阶段的云计算服务还有很多漏洞,所以云的数据安全已经不单单是当前急需解决的互联网问题,而且深深地影响着互联网应用的前途。
2、信息安全问题
2.1在云计算环境下通常有以下信息安全策略
(1)云计算环境下的安全区域有级别划分,每个区域都有相应的总体和部分映射体现出来,并且每一个区域和每一个部分之间都相互联系相互监督。
(2)提供完整可靠的登录认证,以及协同认证,远程认证,不同区域的联合认证等灵活认证方法,既有安全性也能满足用户在不同地点不同终端的登陆需求。
(3)通信路径要安全,目前采用 ssl,VPN,pptp 等方式,确保用户连接在云端的路径安全。云服务的开发者,代理商和用户之间要有多种授权方式,以防出现授权失败。
(4)数据安全,要根据用户的存放数据类型和用户需求,来为数据存放的私密性提供安全保护,防止提取文件时出现缺失情况。
(5)现在云服务规模越来越大,国家要制定相关的法律法规,设立单独的部门对云服务进行监督,保证云的正常稳定运行。
2.2虽然已经在云计算上实行了许多安全应对措施,但是云计算服务涉及范围广,凭借现在的措施仍然解决不了一些问题。
(1)传统的安全区域划分在云端不适用。
(2)云计算的用户群体庞大,而且用户分类多,时时刻刻在变化,云端不易把控和管理。
(3)服务安全问题。因为用户在云端的数据,服务内容甚至云的通信连接都由云服务供应商一手管理,只要云服务商崩溃,所以都毁于一旦。
(4)信息安全保护。对于存放的数据要分类整理,并且用户之间要分开,要保证数据的完整,还要对已经删除的数据提供恢复方案。
(5)由于云计算的特点,要有权威性的第三方监管机构,建议设立云平台,也能相互制约,形成安全的互联网市场。
3、云环境下信息安全技术实现
3.1 云环境安全系统总体架构
云环境安全系统总体架构,应采用面向网络化、服务化设计方法,构建前端防控探测、后台动态赋能的安全防御体系,后台统一托管网络信任服务、主机安全服务、网络安全服务、安全运维服务、密码保障服务等功能,前端根据实际情况,利用后台各类安全服务构建安防能力,在纵深防御方面具备通信网络安全保密、计算设施安全保密、应用服务安全保密与数据资源安全保密能力,其总体框架如图 1 所示,可分为基础服务层、安全功能层、安全应用层。
.png)
图 1 安全保密系统总体框架
基础服务层:是安全保密功能的实现载体。以资源管理服务系统的安全保密服务为支撑,通过安全保密功能部件,提供安全保密能力。基于服务化的基础设施向前端的被保护对象提供用户注册管理、设备注册管理、身份认证、资源授权、主机管控、准入控制、恶意代码检测、漏洞补丁、主机行为审计、网络攻击分析、网络安全审计、安全管理、安全升级、密码资源和密码管理等服务功能。
功能层:是由物理层综合形成的安全保密功能虚拟逻辑形态,是形成安全应用服务的通用支撑。包括信源加密、信道加密、存储加密、数字签名、身份认证、行为审计追踪、软件签名验证、访问控制、准入控制、恶 意代码防范、入侵侦测、监测预警、虚拟机防护和攻防验证等功能的总和。
应用层:是安全保密功能的应用形态,是针对特定场景环境的功能选择组合形式,根据通信网络和业务应用系统的特点,构建共用基础设施、共享服务环境安全保密系统等具体应用。
3.2 技术途径
针对云计算环境后台统一托管计算、存储和软件服务的特点,安全系统设计也同样采用云+端面向服务的技术架构,后台统一托管安全保密服务,根据前端应用不同场景,赋予相应的安全服务功能。
面对云计算环境统一托管服务资源、信息流传频繁等特点,围绕通信传输、网络接入控制与边界保护、端对端加密、访问控制以及实体安全等环节,利用安全审计和面向服务化等技术,构建前端防控探测、后台动态赋能、多应用系统联动的安全防御体系,参见图 2。
.png)
图 2 信息系统安全防护体系
安全策略,实现虚拟双重防火墙。在前端应用系统与外网连接处设置防火墙,采用网络接入控制手段,以防止外部未授权节点访问内部和内部非法向外传递消息。
不同的网系应通过网际交换设备进行对接,依据具体情况采用不同安全策略。
(3)端对端加密
综合考虑信息使用效率、安全、经济等因素,对流转的信息采用分类控制,对重要信息可采用端对端的加解密技术,确保信息安全。
(4)访问控制
根据使用对象、信息特征和系统运行环境,建立安全访问控制机制, 采取分类分级分区的安全控制策略,确保将正确的信息提供给合适的使用者,防止非法获取信息。根据系统的应用情况,云平台形成若干个虚拟业务专用服务器,面向不同的用户服务,前端应用系统为不同的用户划分不同的虚拟局域网,各专业用户仅能访问对应的虚拟业务专用服务器;依据信息来源、使用范围、属性等特征区分重要等级,核心重要信息可考虑加密存储,使用人员按权限受控获取、处理与使用信息;各作业终端、服务器以及数据库应具有身份鉴别、授权访问、病毒防治等措施。
(5)实体安全
实体安全主要指系统设备和运行环境、场地安全,主要包括场地、设备、通信线路、电力安全以及防火、防雷、防辐射、防电磁泄漏等一系列措施。
(6)备份与恢复
系统应考虑冗余备份及恢复手段。合理使用虚拟化技术与资源备份, 加强实时检测,运用虚拟机实时迁移能力和快速部署能力,确保系统稳定可靠运行。
(7)审计与运维管理
系统应建立统一的审计和运维管理系统。实时收集与处理防火墙、网络设备、服务器、作业终端计算机设备的运行状态、网络流量信息、系统登录等信息;分析和发现网络的安全漏洞及系统的薄弱环节,及时采取相应的修补措施或安全建议;统一管理安全防护设备,为各应用系统安全设
(1)信道加密
针对非法搭线、利用电磁辐射从传输信道窃取信息情况,利用信道加密技术手段,保证信息传输安全,控制信息流向。
(2)网络接入控制
利用防火墙与安全监控和网间交换设备等手段,确保网络接入安全。系统云计算后台采用双重防火墙及安全监控手段,在与外网连接处设
置外部防火墙,实现内外网隔离,一是防止未授权节点访问云计算后台服务器,同时阻止非法和恶意的网络行为;二是阻止内部信息非法向外传递。利用虚拟网络技术将云后台服务器划分成传输服务和系统服务两个虚拟网,在两个虚拟网间设置内部防火墙,阻止任何外部连接请求通过,隐藏系统服务器身份,与传输服务器利用专用传输协议实现安全传输。保护信息网络边界。在建设实施中,也可利用一个防火墙对不同端口设置不同的
备提供服务支撑,及时更新软件、调整安全策略;统一管理杀毒系统,通过制定各种安全策略实现自动病毒查杀、系统自动修复等功能。
4、结语
在云计算环境下,不论是用户还是服务商,安全始终是首要问题,本文对目前信息安全问题进行了分析,提出了一些看法,互联网的道路还很长,只有做好安全保障,才能使“云”更好更快地发展下去。
参考文献:
[1]高原,吴长安.云计算下的信息安全问题研究[J].情报科学,2015,32
(11):48-52.
[2]周志勇.云计算环境下网络信息安全技术发展研究[J].中国高新技术 企业,2014(25):40-41.