信息資源云服務中安全探討范文

本站小編為你精心準備了信息資源云服務中安全探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《機電兵船檔案雜志》2014年第三期

一、信息資源云服務體系及信息資源安全風險

信息資源云服務是通過云計算將分布式的信息資源進行資源整合、信息分析、數據挖掘等一系列操作后，為用戶提供滿足其信息需求的一種云端服務模式。信息資源云服務的客體是信息資源，主體則為云用戶，在信息資源云服務體系中，大部分信息資源都存儲在云端，因此，信息安全成為一個不得不考慮的問題，而這一問題牽涉信息資源云服務體系的各個方面，要想解決信息資源云服務的安全就必須結合通過云計算構建信息資源的流程及方法。信息資源云服務體系主要涉及資源層、用戶層、服務層三個核心層次。

1.資源層與安全風險資源層是信息資源云服務體系的基礎，旨在為用戶提供滿足需求的豐富的信息資源，主要通過終端輸入和網絡爬蟲的方式采集信息資源后進行存儲，建立資源池并生成信息索引。終端輸入是信息資源供給方將本地的信息資源數字化后上傳到云端服務器，而在數據傳輸過程中或許會面臨遭遇網絡攻擊與重要信息資源被截取的可能，即信息資源傳輸風險，從而造成巨大的損失。資源層采集信息資源的另一種方式是網絡爬蟲，即網絡爬蟲是一種按照一定的規則自動抓取萬維網資源的程序或者腳本，能在抓取一個或若干個初始網頁的URL和網頁內容的同時通過數據庫比對、自然語言理解、交叉語言檢索、數據挖掘等技術進行提取并建立自身的數據庫。信息資源云服務的目的之一在于共享，但為保持各個信息資源供給方自身的優勢，又有必要保留其特色信息資源，并且只能通過接口的方式訪問，而網絡爬蟲的肆意抓取將會導致諸多信息資源供給方面臨信息資源訪問權的風險。另外，云存儲風險是存在于資源層中的較大問題，云端數據的丟失將使整個信息資源云服務體系失去作用，例如，微軟提供SIDEKICK服務曾中斷了一個星期，導致用戶不能訪問自己的郵箱、日歷還有其他個人數據，并且微軟最后也承認這些數據無法恢復。因此，信息資源云服務中數據的完整性、可用性、保密性是開展云服務的基礎。

2.用戶層與安全風險信息資源云服務體系中資源池的構建不僅取決于云端信息資源的儲備，也涵蓋用戶這一層面。在整個信息資源云服務體系中，云用戶的信息需求直接影響信息資源的構建方向，云用戶的個性化特征將指引服務模式的創新，因此，用戶與信息資源云系統的交互在服務體系中擔當著不可估量的角色。兩者之間的交互具體體現在用戶根據自身的信息需求向信息資源云系統請求服務和信息資源云系統分析用戶信息行為兩個方面。第一個方面，用戶在請求服務前必須登入自己的云端賬戶以獲取自己所需的信息資源。信息資源云服務的構建中用戶分為普通用戶和管理員用戶，不同的用戶擁有的權限必須有所區別。在信息資源云系統針對不同用戶提供服務時，許多信息資源都要經過二次加工后才能滿足用戶的需求，而這類加工操作則必須由信息資源云系統的管理員才能完成，因此，權限的設定在服務中尤為重要，否則將引發管理權限風險。第二個方面，為了提供更好的個性化服務，信息資源云系統需要對用戶的信息行為蹤跡進行收集和分析，通過數據挖掘等技術發現用戶的隱性需求，這也是云計算中普遍使用的一種方法。用戶的個人信息行為屬于用戶隱私的范疇，因此云計算提供的服務與用戶隱私間存在著持久的矛盾，對用戶個人信息行為的分析是云計算提供更好服務的前提，但此舉實際上又侵犯用戶個人隱私。對于普通用戶而言，用戶隱私保護也是信息資源云服務的構建中迫切需要解決的問題。

3.服務層與安全風險信息資源云服務層為用戶提供信息資源的檢索、個性化定制、推送、云管理等信息資源云服務。信息資源云服務體系中使用的是公共云、私有云和混合云三種模式。信息資源公共云是第三方提供商為信息資源用戶提供的能夠使用的云；信息資源私有云是為一個信息資源用戶單獨使用而構建的，提供對數據、安全性和服務質量的最有效控制(這里的用戶通常是信息資源方)；而信息資源混合云則是兩種云的混合，具備兩者的基礎特征。在信息資源云服務中，三種云之間的訪問應是無縫連接的，能夠同步完成信息資源的檢索、個性化定制、推送等操作，要實現這些功能，必須擁有信息資源云管理的統一標準。輕量目錄訪問協議(LightweightDire-ctoryAccessProtocol，LDAP)是一個用來目錄信息到許多不同資源的協議，能夠構建一個這樣的通用平臺。LDAP通過TLS(安全傳輸層協議)和SASL(簡單認證和安全層)來保證信息傳輸的安全性，但最近在拉斯維加斯舉辦的黑帽大會上，安全研究人員AngeloPrado、NealHarris與YoelGluck披露了一種名為BREACH(超文本自適應壓縮瀏覽器勘測與滲透)的新技術，該技術能夠獲取來自SSL/TLS加密網絡流量的敏感信息，并且三位研究人員聲稱，BREACH技術能給采用加密機制、算法的大部分TLS/SSL帶來巨大威脅。由此可見，數據的安全傳輸在信息資源云服務層中是一個很大的問題。所以，信息安全問題在信息資源云服務體系中主要體現為：信息資源傳輸風險、資源訪問權的風險、云存儲風險、管理權限風險、用戶隱私保護問題、數據的安全傳輸等幾方面，歸類后，安全問題可劃分為信息資源過程管理和用戶管理兩大模塊。

二、信息資源云服務中信息安全技術的應用

1.信息資源過程管理與信息安全技術信息資源過程管理包括信息采集、信息組織加工、信息存儲與檢索、信息服務四大子過程。在對信息資源進行云管理之前，可根據重要性對本地數字化的信息資源和網絡爬蟲抓取的信息資源劃分為一般信息資源、重要信息資源和涉密信息資源。一般信息資源的目的在于分享，其重要性往往較低，在信息資源安全問題的管理上，可采用HTTP(超文本傳輸協議)或HTTPS(安全超文本傳輸協議，采用完全套接字層SSL作為HTTP應用層的子層)的方式直接進行傳輸，以保證其使用效率，改善用戶體驗。重要信息資源旨在為擁有更高信息需求的用戶提供服務，包括許多經過數據挖掘、信息分析和多次加工后的信息資源，這些資源也是增強用戶對信息資源云服務粘合度的重要原因之一，因此有必要對這類信息資源進行進一步的加密，實現技術為可在信息資源云服務器上部署云端加解密模塊。本地的重要信息資源數字化后，經過數字水印技術和AES(AdvancedEncryptionStandard，高級加密標準)算法加密后，通過VPN技術在公網上封裝出一個數據通訊隧道，上傳到云服務器，而網絡爬蟲抓取的信息資源則直接通過云端加密模塊進行加密后保存。由于通過VPN技術訪問信息資源的速度會降低不少，并且許多VPN技術受網絡環境及使用平臺影響的復雜程度也不盡相同，因此會導致用戶的使用效率受到影響。在保證信息資源安全性的前提下，為了盡可能地提高使用效率，可采用SSLVPN協議。SSLVPN結合了SSL和VPN兩者的優點，SSL處于網絡結構體系的傳輸層和應用層之間，因此SSLVPN幾乎支持所有的WEB瀏覽器，這也意味著用戶不需要為了獲取SSLVPN的支持而安裝第三方軟件，符合云計算開發的初衷。用戶通過SSLVPN協議訪問重要的信息資源不僅不受平臺的限制，而且能極大地提高使用效率。涉密信息資源理論上并不適合保存在云服務器上，其資源池的建立是為了解決部分用戶因地域限制等因素而無法及時獲取自己所需的那些保密性較高的信息資源。為保證這類信息資源的安全，可使用多重技術，即用戶將訪問保密信息資源的請求經數據通訊隧道發送給信息資源的另一服務器，由該服務器將請求轉發給原始服務器，并最后得到所需的信息資源，這樣做的目的是為了隱藏用戶的目的及信息資源請求的來源，最大限度地保證這些保密信息不被竊取。信息資源能夠保證使用的前提是其完整性，為了避免由于物理因素、網絡安全風險、人為因素等引起的數據丟失、信息更改的現象，應適時采用云備份與磁盤備份相結合的方式對信息資源進行數據備份。

2.用戶管理與信息安全技術用戶的管理主要涉及用戶權限管理和用戶隱私保護。根據用戶層對用戶的分類，不同權限的用戶擁有不同的訪問權，在用戶權限管理上應用的信息安全技術為信息確認技術和網絡控制技術。信息確認技術的核心為涵蓋消息確認、身份確認和數字簽名的信息確認系統，對于需要一般信息資源的用戶通?？刹捎渺o態密碼的方式來確認身份，訪問重要信息資源的用戶則必須開通動態密碼服務來獲取身份的確認，而針對那些與涉密信息資源有關的用戶可根據實際情況采用生物識別技術。同時對普通用戶和管理員而言，兩者也不能出現超越限制權限的行為，否則會引起信息資源云服務的隱性風險，因此云服務器有必要通過網絡控制技術來規范其行為，最典型的即為防火墻技術，通過該技術既能夠允許獲得授權的外部人員訪問云服務器，又能夠識別和抵制非授權者的訪問。實際上，現有的防火墻技術并不能完全保證信息資源的安全，也存在被黑客突破的可能性，一旦突破，信息資源將完全呈現出來，同時外部用戶的身份認證技術也無法解決這一問題，為此需要對信息資源本身的文件操作制定相應的規則，而這一技術就是主動防御系統(Host-basedIntrusionPreven-tionSystem，HIPS)。HIPS不僅能夠限制用戶的行為，也能保護用戶隱私。HIPS包括應用程序防御體系、注冊表防御體系和文件防御體系，通過定制合適的規則可實現對運行程序、注冊表和文件讀寫操作的控制，在一定程度上可防止用戶訪問權限外的信息資源，同時也能保證用戶的行為不被云服務器肆意跟蹤。以上幾種信息安全技術的綜合應用將使用戶管理更趨科學化、合理化。

三、結束語

基于云計算的信息資源服務能夠提高用戶的使用效率，并且正逐漸改變著用戶的習慣，但云計算的安全是一個必須高度重視的問題，筆者在此只是從信息資源云服務的模型所涉及相關技術的角度對其作簡要分析和探討實現的可能性，希望能對該類云服務的開展提供一些幫助，具體技術平臺的構建仍需作進一步的研究。

作者：張燕超單位：蘇州大學社會學院