- 快捷搜索
- 全站搜索
云计算的安全问题
根据调查统计,云计算主要面临以下7种安全问题,下面逐一进行探讨分析。
1.XML签名包装
XML签名包装是常见的Web服务攻击漏洞,XML签名元素包装原本是用于防止组件名、属性和值的非法访问,但它无法隐蔽自己在公文中的位置。攻击者通过SOAP(simple obiect access protocol,简单对象访问协议)消息携带内容攻击组件。对付此类攻击的策略是使用类似证书颁发机构这样的第三方授权的数字证书(如X.509)和WS。SecurITy的XML签名组件。具备组件列表的XML就可以拒绝有恶意文件的消息以及客户端的非法消息。
2.浏览器安全性
当用户通过Web浏览器向服务器发送请求时。浏览器必须使用SSL来加密授权以认证用户,SSL支持点对点通信,这就意味着如果有第三方,中介主机就可以对数据解密。如果黑客在中介主机上安装窥探包,就可能获取用户的认证信息并且使用这些认证信息在云系统中成为一个合法的用户。应对这类攻击的策略是卖方在Web浏览器上使用WS-securITy策略。因为WS-securITy工作在消息层,可使用XML的加密策略对SOAP消息进行连续加密,而且并不需要在中间传递的主机上进行解密。
3.云恶意软件注入攻击
云恶意软件注入攻击试图破坏一个恶意的服务、应用程序或虚拟机。闯入者恶意地强行生成个人对应用程序、服务或虚拟机的请求,并把它放到云架构中。一旦这样的恶意软件进入了云架构里,攻击者对这些恶意软件的关注就成为合法的需求。如果用户成功地向恶意服务发出申请,那么恶意软件就可以执行。攻击者向云架构上传病毒程序,一旦云架构将这些程序视为合法的服务。病毒就得以执行,进而破坏云架构安全。在这种情况下,硬件的破坏和攻击的主要目标是用户。一旦用户对恶意程序发送请求,云平台将通过互联网向客户传送病毒。客户端的机器将会感染病毒。攻击者一般使用散列函数存储请求文件的原始图像。并将其与所有即将到来的服务请求进行散列值比较。以此来建立一个合法的散列值与云平台进行对话或进入云平台。因此对付这种攻击的主要策略是检查收到消息的真实有效性。
4.洪流攻击
攻击者公开攻击云系统。云系统最显着的特征是能够提供强大的、可扩展的资源。当有更多的客户请求时,云系统就会持续增加其规模,云系统会初始化新的服务以满足客户的需求。洪流攻击主要是向中央服务器发送数量巨大的无意义的服务请求。一旦攻击者发送大量的请求,云系统将会认为有过多的资源请求而暂时拒绝一些资源请求,最终系统将资源耗尽而不能对正常的请求提供服务。DoS攻击导致客户使用资源产生额外的费用,在这种情况下,服务的所有者还必须对此赔付额外的费用。应对这种攻击的策略不是简单地阻止DoS攻击,而是要停止服务的攻击。可以通过部署入侵检测系统来过滤恶意请求,并通过防火墙进行拦截。但是,有时入侵检测系统会提供假警报。可能会对管理员产生误导。
5.数据保护
云计算中的数据保护是一个非常重要的安全问题。由于用户数据保存在云端,云服务商管理人员有可能不小心泄露数据或者“监守自盗”,给用户造成较大损失。因此,需要有效地管控云服务提供商的操作行为。针对此类安全风险,需使用加密技术对用户数据进行加密处理。这样可以解决云端的数据隔离问题,即使用户数据外泄。也能保证其内容信息无法被查看。另外。可以考虑引入第三方的云安全审计系统,它可以详细记录各种数据操作行为记录。对云服务提供商也起到监督管理作用。
6.数据删除不彻底
数据删除不彻底问题在云计算中是有极大风险的。数据删除不彻底的主要原因是数据副本已经被放置在其他服务器上。例如,当云用户申请删除一个云资源时,由于该资源的存放位置可能涉及多个虚拟机系统,而部分虚拟机可能在当时不可用,所以用户数据无法彻底删除。针对该类安全问题,应该采用虚拟化的私有网络来应用于保护数据,并通过查询工具来确保用户数据已从主机和备机上完全删除。
7.技术锁定
技术锁定是云计算中一个令人担心的问题。在云计算领域,被技术锁定是有较大风险的,万一云服务提供商倒闭了,那么用户的基础设施也会跟着消失。为应对此风险,用户可以选择以应用程序为主(或至少要VM-centric)的管理工具或服务,万一出现意外状况,可以把数据或应用程序带走,以备不时之需。
(文章来源:CIO时代网)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信