云计算的网络安全威胁与应对策略.pdf

浅谈云计算的网络安全威胁和应对策略 1. 引言 2007 年 10月， Google 和 IBM在美国大学校园开始尝试推广 云计 算计划，学生可以透过 网络开发各项以大规模计算为基础的研究计 划；随后，更多的 IT 巨头也开始往这方面发展。从此， 云计算 技术 开始取代其他计算机技术成为 IT 业界的流行术语。所谓 云计算 ，指 的是一种模式， 一个利用互联网和远程服务器来维护数据和使用程序 的新概念。通过互联网， 云计算 能提供动态的虚拟化资源、带宽资源 和定制软件给用户， 并承诺在使用中为用户产生可观的经济效益。 云 计算 可以帮助用户减少对硬件资源、软件许可及系统维护的投入成 本：通过互联网， 用户可以方便地使用云平台上的各类使用服务。此 外，通过 云计算 用户可以节约投资成本并可灵活地实现按需定制服 务，云平台的按需定制服务可以快速地响使用户需求， 并方便地将用 户资源接人宽带 网络 。 本文针对 云计算 的类型和 网络安全 威胁问题进行了细致探讨。 在 网络风险方面， 云计算 主要面临着以下的威胁攻击：拒绝服务攻击、 中间人攻击、 网络 嗅探、端口扫描、 SQL注入和跨站脚本攻击；在 安 全风险方面， 云计算 面 I 临的威胁主要是： XML签名包装、浏览器 安 全性、云恶意软件注入、洪流攻击、数据保护、数据删除不彻底和技 术锁定。 2. 云计算的相关概念 许多公司， 机构经常需要对海量数据进行存储和检索， 而 云计算 可以有效地以最小的成本、 最短的时间和最大的灵活性来实施完成该 项任务。利用 云计算 获取便利的同时， 用户也要面临 云计算 中各种不 同的安全 风险问题， 如必须要将云平台上不同用户的数据相隔离， 要 保证不同云用户数据的私密性、可靠性和完整性。此外，云服务提供 商对云上的基础服务设施必须制定一套完善的风险管理控制方案， 像 服务提供商操纵或窃取程序代码的 安全 风险是时有出现的。 经常使用的互联网， 通常也可以被看作一朵巨大的云。 通过互联 网，云计算 被看作一个使用和服务呈现给用户。 它的出现迅速将旧的 计算机技术整合。 然后转变为一项新技术。 目前互联网提供了不同的 服务给不同的用户群体， 提供这些服务并不需要什么特殊的设备或软 件。因此， 云计算 最起码包含几个特性：“云是一个大型资源池，可 以轻松地获取虚拟化资源（如硬件、开发平台或服务） 。这些资源可 以动态地重新配置和灵活整合， 达到一个最佳的资源利用率。 云服务 提供商通过定制服务水平协议， 提供基础设施服务并按付费的模式来 管理维护这种资源池。 ”云计算 不是一个单一产品。 它提供了不同的 服务模式，主要包括以下 3种：软件即服务、平台即服务（ PaaS）和 基础设施即服务（ IaaS ）。 SaaS 是一种通过互联网来提供软件的服务模式，用户无需购买 软件。而是向云服务提供商租用基于 Web的软件来管理企业经营活 动。 Paas 是把计算环境、开发环境等平台作为一种服务提供的商业 模式。云计