小超市管理系统文献中文翻译.docx
《小超市管理系统文献中文翻译.docx》由会员分享,可在线阅读,更多相关《小超市管理系统文献中文翻译.docx(14页珍藏版)》请在冰豆网上搜索。
小超市管理系统文献中文翻译
本科毕业论文(设计)
中文文献翻译
文献英文题目Cloudcomputingsecurity
issuesandchallenges
学生姓名XXXXXXX
学号XXXXXXXX
所在学院计算机学院
专业计算机科学与技术
班级计算机(应用)XX级X班
指导教师XXXXXX(副教授)
2014年12月
计算机学院
云计算安全问题和挑战
KrešimirPopović,ŽeljkoHocenski
(电气工程学院karanac,克罗地亚)
摘要:
在过去的几年里,云计算也在增长,从一个有前途的业务概念到最快的国家IT增长行业之一。
现在,被经济衰退打击的企业正逐渐意识到,简单的通过云,他们可以获得最佳的快速访问业务应用程序或大幅提高基础设施资源,成本可以忽略不计。
但随着越来越多的个人和公司信息放置在云中,关于他环境安全的担忧也开始增多。
这篇文章主要论述了云服务提供商(CSP)在面对云工程方面的安全问题、要求和挑战。
他们建议推荐的安全标准和管理模式针对于技术和商业界。
关键词:
云计算;云安全问题;挑战
1介绍
云服务提供商(CSP)(例如微软,谷歌,亚马逊,S,GoGrid)是利用虚拟化技术结合自助服务通过互联网来计算资源。
在这些服务提供者环境中,虚拟机多个组织必须共存于同一物理服务器以此来达到虚拟效率的最大化。
如果云服务提供商希望保持他们的客户基础和竞争力,必须学习管理并确保服务提供者(MSP)模型客户应用程序和数据的安全。
今天,企业正在向云计算扩大视野和本地基础设施,但最不能妥协的安全风险是他们的应用程序和数据。
国际数据公司(IDC)进行了一次调查[1](见图1-1),263位高管及其同行业同事来评估他们的意见和了解他们公司的使用云服务。
云计算最大的问题或挑战,安全排名第一。
公司和个人都关心如何能在新环境中保持安全性和遵从性完整性。
不过,更令人担心的是公司正跳向云计算,然而云中的应用程序和数据至关重要的影响被忽略了。
移动关键是公开和共享应用程序和敏感数据超越他们的数据中心的网络周边防御,而云环境是一个主要关心公司。
为了缓解这些担忧,云方案解决者在控制他们这些应用程序和服务,必须确保客户可以继续相同的安全和隐私,提供证据客户说,他们的组织和客户是安全的,他们可以满足其服务水平协议,显示他们怎么能证明合规审计。
图1-1Fig.1.ResultsofIDCrankingsecuritychallenges(3Q2009,
n=263)
云无论如何发展,它需要某种形式标准化(如信息技术基础设施库itil,ISO/IEC27001/27002,开放虚拟化格式(OVF)[2][3][4]),以便市场发展和繁荣。
不管供应商提供哪种云服务标,准应该允许云互操作和相互沟通。
本专业论文讨论安全和隐私,作为技术和商业社区的挑战问题和建议控制目标。
它还高要求建议OVF标准厂商和平台对于可扩展格式的包装和分布软件运行在虚拟机(软件栈包含目标应用程序、库、服务配置、相关数据和操作系统)可以是独立、开放、安全、轻便、高效。
2安全云
2.1安全问题和挑战
为了在这种新的计算模式中充分受益,加强安全威胁必须克服。
一些安全问题和讨论列出如下:
1)安全问题:
在云模型控制中,因为共享计算与其他公司的资源,失去了物理安全。
没有知识或控制运行的资源。
2)安全问题:
公司已违反了法律(数据由(外国)政府没收的风险)。
3)安全问题:
如果客户决定从一个云存储服务到另一个云存储服务,可能提供的云存储服务与另一个供应商的云存储服务不兼容(例如微软与谷歌云是不兼容的云)。
4)安全问题:
谁控制了加密/解密钥匙?
逻辑上它应该是用户。
5)安全问题:
确保数据的完整性(传输、存储和检索)真的意味着它的改变只是授权交易。
一个确保数据完整性存的通用标准还没存在。
6)安全问题:
对于支付卡行业,数据安全标准(PCIDSS)数据日志必须提供给安全管理者和监管者。
7)安全问题:
用户必须保持应用程序的改进和更新,以确保他们的数据受到保护。
8)安全问题:
一些政府法规严格地限制其公民可以有些什么数据存储和存储多久,一些银行监管机构要求客户的财务数据留在自己的国家。
9)安全问题:
虚拟机将很难维持动态和流体的性质审核性的安全和确保一致性记录。
10)安全问题:
客户可以起诉云服务提供商如果侵犯了他们的隐私权,在任何情况下,云服务提供商可能面临损害他们的名誉。
出现的问题是他不是太清楚为什么他们的个人信息被请求或者他将怎样被使用或者传给其他机构。
隐私敏感信息:
---个人身份信息(PII[10]):
任何信息可以用来识别或找到一个人(如国家、名称、地址),也可以与其他的信息鉴定一个人(如信用信息卡号,互联网协议(IP)地址)。
——关于宗教、种族、健康联盟会员、性取向、工作表现,财务信息,任何生物识别信息或其他信息可能被考虑敏感信息。
——从计算机设备(如:
笔记本电脑、智能手机、iPad)收集数据。
——独特的信息唯一地追踪到一个用户设备(例如IP地址,射频身份(RFID)MAC地址)。
需要注意的其他事项:
——访问:
在某些情况下,数据对象有权利知道个人信息,可以请求停止对其进行处理。
如果一个数据主题练习的权利,要求组织删除他的数据,是否可以确保在云存储中他的所有信息已被删除?
——合规:
适用的法律、法规、标准和承诺管理这些信息合同是什么,和谁负责维护合规?
云可以跨越多个行政辖区在多个国家地区。
——存储:
数据在云中存储在哪里?
在另一个国家,是否转移到另一个数据中心?
不同的国家,隐私法被赋予有限制性权利转移一些特殊类型人的信息到其他国家。
---保留:
个人信息(有多长转移到云中)被保留?
在云中谁执行保留政策,和这个政策有哪些例外(比如诉讼)是管理吗?
——破坏:
我们如何知道云服务提供程序(CSP)不保留额外的副本呢?
CSP真的破坏数据,或者只是使它无法组织?
是否CSP保存信息更长是有必要的,这样就可以自己挖掘数据使用?
——审计和监测:
在云中,组织如何监控他们的CSP和为利益相关方的私需求提供保证满足他们的PII?
——隐私漏洞:
当一个违约发生的时候,我们怎样才能确保云服务提供商(CSP)通知我们,和谁负责管理违反通知(流程与过程成本)?
如果合同包括由于CSP的疏忽违反所产生的责任,合同如何实施和如何确定是谁的错?
2.2安全管理标准
关于安全管理的标准实践在云中基础设施库(ITIL),ISO/IEC和27001/27002OpenVirtualizationFormat(OVF)。
1)信息技术基础设施库(ITIL):
他被设置是最佳实践和指导方针,被定义是综合的,集成的、基于流程的管理方法信息技术服务。
ITIL可以被应用在所有类型的IT环境包括云操作环境。
ITIL试图确保在战略、战术和操作水平方面有效的信息安全措施。
信息安全被认为是一个迭代过程必须是能被控制、计划、实施、评估和维护的。
ITIL提供了一个系统的和专业的方式接近于IT提供服管理。
采用其指南为用户提供了大量的福利,包括:
——降低成本
——使用证明是提高IT服务最佳实践过程
——通过一个更加专业服务提供的方法来改善客户满意度
——标准和指导
——提高生产率
——改进使用的技能和经验
——把ITIL或ISO20000作为服务交付的服务采购的规范标准,以此才提高第三方交付
——ITIL帮助你分开行政的任务和技术的任务,这样你能分配最合适的资源
——更好地衡量性能的技术支持
ITIL-process安全管理描述了结构化的合适的信息安全的管理组织。
它是基于实践的代码,现在信息安全管理以ISO/IEC27002为著名。
ITIL将信息安全分为:
——政策:
试图实现一个组织总体目标
——过程:
实现目标要发生什么
——程序:
谁做什么以及何时实现目标
——工作指令:
采取具体行动步骤
安全管理的基本目标是确保足够的信息安全。
反过来,信息安全的主要目标是保护信息,对于资产风险,从而保持他们的价值的组织。
这通常的表示方式确保他们的机密性、完整性和可用性,随着等相关属性或目标的真实性,问责制、不可抵赖性和可靠性。
注:
组织和管理系统不能认证为“ITIL-compliant”只有从业认证。
2)国际标准化组织(ISO)
27001/27002:
ISO/IEC27001正式定义了信息安全强制性要求管理系统(主义)。
这也是一个认证标准和使用ISO/IEC27002来表示合适主义内部的信息安全控制。
从本质上讲,ITIL,ISO/IEC20000和ISO/IEC27001/27002框架帮助IT内化组织和应对的基本问题如:
——“我如何确保当前的安全水平适合你的需要?
”
——“我如何应用安全基线贯穿你的操作?
”
简单地说,他们帮助应对这个问题:
“我怎么保证我的服务是安全的?
”
3)OpenVirtualizationFormat:
OVF能够使企业软件的分布是高效,灵活、安全的,促进虚拟机的迁移和给予供应商和客户平台独立性。
根据他们自己的选择,客户可以部署一个OVF格式的虚拟机在虚拟化平台。
对于OVF,客户对于虚拟化的经验极大的增强,有更多的可移植性,平台独立、确认、签字、版本和许可条款。
OVF让你:
——简化安装提高班用户体验
——提供客户有独立性和灵活性虚拟化平台
——创建多层复杂的预配置,使得服务更容易
——通过便携式虚拟机,提供有效地企业软件
——凭借可扩展性,采用先进的虚拟化使特定的平台增强和容易
虚拟设备的投资上升(IBM,微软、惠普、戴尔、VMware和XenSource)不仅简化了应用程序的部署,而且个人用户还能支持下一代云计算架构。
而不是花费大量时间需要建立一个专门的分销应用程序,大多数云计算基础设施都提供便于部署的虚拟设备以满足需要。
由于虚拟设备只是一个文件包装器(XML描述),设备安全和隐私配置很容易被复制和分发。
在未来,云启用的虚拟化层将提供新的市场推广机会,和软件设备(软件产品使操作系统和分层成为一个整体融入一个容易管理烦人组合包,这个包可以直接在行业标准客户机或服务器上部署硬件,在一个虚拟机或直接在硬件部署)将帮助简化这种转变。
云计算结合软件设备还创建新的商业模式,根据需求,将允许公司在屋内或在一个混合部署模型出售单一产品。
虽然这两种技术仍相对不成熟,是很有必要的开始了解新动态,将开始将软件和硬件卖给最终用户。
注:
软件电器市场应该超过营收为3.609亿美元到2010年底,到2012年底1184美元。
2.3安全管理模式
本节描述二十推荐的安全云管理模式和他们的要求云计算服务提供商应该肯定认同他们开发或完善合规项目。
1)软件即服务(SaaS)安全:
在可预见的未来SaaS是主导云服务模型和将驻留在需要安全实践和监督最重要的地方。
就像管理一个服务提供者,公司或终端用户在使用供应商政策前需要研究供应商的数据安全,避免丢失或无法访问他们的数据。
技术分析师和咨询公司Gartner列表[12]7安全风险应该哪一个与云计算供应商讨论:
——特权用户访问:
得到可能多的信息关于管理你数据的人。
要求供应商提供特定的信息关于招聘和管理员监督的特权和控制他们的访问。
——法规遵从性:
确保供应商愿意接受外部审核和/或安全认证。
——数据位置:
当您使用云计算,你可能不会确切知道你的数据在哪里。
事实上,你甚至可能不知道它将存储在哪个国家。
问供应商是否将提交存储和处理数据在特定的地区,他们是否拟一份合同承诺代表他们的客户遵守当地的隐私。
——数据隔离:
确保加密可以在所有阶段,这些加密方案设计和测试经验是专业人士。
——复苏:
即使你不知道你的数据在哪,云提供商应该告诉你,您的数据将有什么变化和服务以防灾难。
任何提供不能复制数据和跨多个基础设施应用程序是容易失败。
问你的供应商,是否有“他是否有能力完整恢复和需要多长时间。
”
——调查支持:
不合适的调查或非法活动不可能在云计算中。
对于云服务调查尤其困难,因为多个客户的日志和数据可以共存和也可能是分布在不断变化的主机和数据中心。
如果你不能得到一个合同承诺来支特定的形式的调查,还有证据表明供应商已经成功地支持类似活动,然后唯一安全的假设是调查和发现请求不可能的。
——长期生存能力:
理想情况下,您的云计算供应商不会破产除非收购或被一家大公司吞并了。
但是你必须确定你的数据将依然存在即使发生这样的事件。
问可能的供应商,如何让你的数据返回,他是否在一个平台,你可以导入到一个应用替换程序中。
为了解决上述安全问题,SaaS供应商需要整合和提高安全实践使用性的通过托管服务提供商和开发新的云计算环境的发展。
2)安全管理(人):
对于安全团队最重要的行动之一是为安全组织和计划开发一个正式的执照。
这个执照应该和组织的战略计划或公司安全小组工作一致。
缺乏明确定义的角色和职责,预期协议,可能导致损失的感觉和混乱,安全团队期盼什么,如何利用他们的技能和经验能满足他们的性能目标。
3)安全管理:
安全指导委员会应制定的目标是关注对安全计划提供指导与业务和IT策略保持一致。
这个委员会必须清晰地定义安全角色和职责团队,其他组织参与执行信息安全功能。
4)风险管理:
风险管理需要识别技术资产[13];识别数据和它链接到业务流程、应用程序和数据存储;转让所有权和保管的的责任。
还应该包括存储库的信息资产的维护操作。
对于信息资产老板有权力和责任,也包括保护需求,实现管理者机密性、完整性、可用性和隐私控制。
5)风险评估:
安全风险评估对帮助信息安全组织对平衡业务效用和保护资产的优先级时能做一个明智的决定是至关重要的。
一个正式的信息安全风险管理过程应该主动评估信息安全风险以及定期计划或根据需要管理它们。
更多的详细的形式和技术安全风险评估以应该应用于应用程序和基础设施威胁建模。
6)安全意识:
安全是人们最薄弱的一环。
知识和文化是管理相关风险的人的有效的工具。
不提供适当的意识和培训给那些可能需要他们揭露公司不是系统或应用程序漏洞能成为威胁和入点各种安全风险的人。
社会工程攻击,低级报告和慢反应潜在的安全事故,疏忽和客户数据无意识都是可能的,可能风险是可能会导致缺乏一个有效的安全意识程序。
7)教育和培训:
项目应该是成熟的能为提基本安全的提供一个基线和风险管理技能和知识及其内部合作伙伴。
这需要一正式的评估过程和技能需求一致安全团队,并提供足够的培训和mentorship-providing广泛的根本基础安全、包容的数据隐私和风管理知识。
8)策略和标准:
许多资源和模板可用于援助发展的信息安全政策和标准。
云计算安全团队应该首先确定信息安全和云计算所独有的业务需求,SaaS和协作软件应用程序安全性。
应制定政策,记录,和实现,以及支持文档标准和指导方针。
为了保持相关性,这些政策、标准和指导方针应定期审查或业务或者IT环境发生重大变化时。
9)第三方风险管理:
缺乏第三方的风险管理项目可能导致损坏供应商的声誉、收入损失和法律行动,由于关注的程度,提供者应该没有发现第三方供应商。
10)漏洞评估:
分类网络资产更有效地优先vulnerability-mitigation项目,如打补丁和系统升级。
11)安全图像测试:
Virtualization-based云计算能够创建测试图像安全构建的虚拟机和克隆多个副本。
黄金形象vm还提供安全更新和维护能力以减少接触的修补离线。
离线的虚拟机可以修补off-network,提供一个更容易,更有效和减少production-threatening测试的方法安全更改的影响。
12)数据治理:
这个框架应该描述谁能采取什么行动在有哪些信息和使用什么方法的情况下。
13)数据安全:
安全需要转移到数据水平以便企业可以确定他们无论去哪,他们的数据是被保护。
例如,数据级安全,企业可以指定该数据是不允许去欧盟以外的。
它还可以加密某些类型的数据,只允许指定的用户访问数据。
它可以提供符合支付卡行业数据的安全标准(PCIDSS)。
14)应用程序安全性:
这是安全的地方,功能和需求定义和应用程序安全测试结果进行了综述。
应用程序安全性流程、安全编码指导、培训和测试脚本和工具通常是在安全性和开发团队之间有代表性的的合作。
虽然产品工程可能会关注应用程序层,应用程序本身的安全设计,和应用程序基础设施层的交互,安全团队应该提出产品安全要求让开发工程师的实现。
15)虚拟机安全:
在云环境中,物理服务器整合多个虚拟机器在虚拟化服务器上实例。
数据中心安全团队不仅可以复制典型数据安全中心安全控制来保护虚拟计算机,当有必要的时候,他们也可以建议客户如何准备迁移到云环境中当。
16)身份访问管理(IAM):
身份和访问管理是每一个功能组织的关键,SaaS的客户基本期望是以“最小特权原则”授予他们访问和管理数据数据的权利。
最小特权原则是只有最低必要的访问执行操被授予,只有必要的最低的时间允许访问数据。
17)变更管理:
安全团队可以创建安全指南标准和微小的改变,这些变化能提供自助服务功能可以优先考虑安全团队的时间和资源对于更多生产复杂和重要的变化。
18)物理安全:
由于客户失去控制实物资产,安全模型可能需要重新评估。
云的概念可能会误导人,人们忘记一些事物的实际与物理位置的关联。
数据中心公司不构建他们自己的数据中心的主要原因是,巨大的投资需要构建物理所需的安全级别,也是他们搬到云服务放在第一位的原因之一。
一些样本的控制机制:
——24/7/365现场安全。
——生物手几何学的读者。
——通过安全摄像头这个设施是应该监视活动。
——热、温度、气流和湿为计算机设备保持在最佳范围。
——政策、流程和程序是成功的物理安全至关重要的元素,是保护设备和数据的托管中心。
19)灾难恢复:
在SaaS环境中,客户严重依赖24/7/365访问他们的服务和任何中断在访问可能是灾难性的。
用虚拟化软件虚拟服务器是可以复制,换句话,就像移动了一个文件(动态迁移)。
好处是:
——迅速重新分配计算资源不需要任何停机时间
——能够传递服务水平协议和提供高质量的服务
20)数据隐私:
隐私指导委员会还被创建来帮助相关的数据隐私做出决策。
甚至安全合规团队,即使一个人存在,也没有正式的训练关于数据隐私。
答案是在这一领域雇佣顾问,雇一个隐私专家,或者你的一个现有团队成员培训应该是常规。
这将确保您的组织准备满足客户的数据隐私要求和监管机构。
3结论
我们认为,当设计和使用云服务,考虑安全和隐私是非常重要的。
在本文中,以覆盖安全问题,挑战,安全标准和安全管理模型的方式阐述云计算。
——安全问题是指出潜在的可能问题。
——安全标准提供某种形式的安全模板,这些模板云服务提供商(CSP)能服从。
未来最有前途的标准是承诺创建新的商业模式的OVF格式,在允许公司销售单一产品的前提下或部署在一个混合模型。
——安全管理模型基于安全标准的建议和最佳实践。
在即将到来的云计算年将这些都是非常重要的必须讨论的话题。
根据IDC调查[17]的安全性和漏洞市场到2013年底应该超过44亿美元的收入,随着年增长率攀升导致的复合年增长率(CAGR)为10.8%。
这个调查显示,属于的产品安全性和脆弱性管理市场将继续高需求。
参考文献
[1]国际数据公:
[2]信息技术基础设施库,http:
//www.itil-
[3]国际标准化组织,http:
//www.iso.org/iso/home.htm
[4]分布式管理任务,http:
//www.dmtf.org/standards/published_documents/DSP2017_1.0.0。
pdf,22.02.2009
[5]M.Casassa-Mont皮尔森和布拉姆霍尔P的这座堡屋”负责管理身份和隐私:
粘性的政策和可执行的跟踪服务”,Proc。
她们2003年IEEE计算机协会,2003年,第377-382页
[6]https:
//www.pcisecuritystandards.org/index.shtml
[7]http:
//en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard,2010年1月24日
[8]J.Salmon“笼罩在不确定性的法律缺陷的云计算”,计算,2008年9月24日,
puting.co.uk/computing/features/2226701/clouded_uncertainty-4229153
[9]S·Pearson,“设计时考虑到隐私云计算服务”,2009年5月23日,加拿大温哥华
[10]维基百科,2010年1月20日,
http:
//en.wikipedia.org/wiki/Personally_identifiable_information
[11]离子国际数据公司,
B.Waldman,A.Gillen28.4081031793/IDC-%20市场软件%20appliances_en.pdf%20%20,2009年7月
[12]七云计算安全风险,2008年7月2日,
853?
page=0,0
[13]维基百科,2010年2月6日,http:
//en.wikipedia.org/wiki/Risk_management
[14]维基百科,2010年1月27日,http:
//en.wikipedia.org/wiki/Risk_assessment
[15]D.Catteddu贾尔斯Hogben:
欧洲网络和信息安全机构,2009年11月,
http:
//www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
[16]云安全联盟,安全指导至关重要云计算V2.1中的重点领域,
http:
//www.cloudsecurityalliance.org/,2009年12月
[17]国际数据公司,全球安全脆弱性管理预测2009-2013年和2008年供应商的股票,