云計(jì)算安全性問(wèn)題研究

摘 要：云計(jì)算一方面能夠極大地提高計(jì)算機(jī)運(yùn)算效率，一方面可能在安全性能上泄露用戶安全信息，對(duì)信息安全與保護(hù)造成極大的挑戰(zhàn)。針對(duì)云計(jì)算存在的諸多安全問(wèn)題，文中對(duì)云計(jì)算存在的安全問(wèn)題進(jìn)行分類分析，并給出云計(jì)算安全性問(wèn)題的防范措施。

關(guān)鍵詞：云計(jì)算；云計(jì)算安全；安全問(wèn)題

中圖分類號(hào)：TP309

當(dāng)今社會(huì)，網(wǎng)絡(luò)信息無(wú)處不在，人們對(duì)互聯(lián)網(wǎng)的依賴程度日益加大。云計(jì)算作為一種基于互聯(lián)網(wǎng)的新型服務(wù)模式和計(jì)算模式，成功地將計(jì)算資源、存儲(chǔ)資源與軟件資源結(jié)合在一起，可以實(shí)現(xiàn)資源的按需分配、按量計(jì)費(fèi)，遠(yuǎn)程用戶可以以低廉的價(jià)格獲得強(qiáng)大的各種計(jì)算機(jī)服務(wù)，而不用去考慮自己電腦的配置問(wèn)題。但是，云計(jì)算安全問(wèn)題是不容忽視的，已經(jīng)得到越來(lái)越多人的關(guān)注。關(guān)于用戶的隱私、信息被泄露等問(wèn)題，成為云計(jì)算安全問(wèn)題中的重點(diǎn)。本文重點(diǎn)對(duì)云計(jì)算安全問(wèn)題進(jìn)行分析并提出相應(yīng)的安全防范措施。

1 云計(jì)算概述

云計(jì)算以虛擬化技術(shù)為基礎(chǔ)，以網(wǎng)絡(luò)為主要載體而提供的平臺(tái)、軟件等等服務(wù)為形式，整合大規(guī)模擴(kuò)展的計(jì)算、數(shù)據(jù)、儲(chǔ)存、應(yīng)用分布式計(jì)算資源進(jìn)行協(xié)同工作，具有用戶計(jì)算分布性、服務(wù)面向廣泛性、設(shè)備成本低廉性等特點(diǎn)。云計(jì)算通過(guò)數(shù)據(jù)的分布，使本地計(jì)算機(jī)和遠(yuǎn)程服務(wù)器不受限制，數(shù)據(jù)運(yùn)行中心變成了靈活的資源訪問(wèn)處理平臺(tái)。

2 云計(jì)算安全性問(wèn)題分析

2.1 網(wǎng)絡(luò)違法行為調(diào)查取證困難。由于云計(jì)算具有很強(qiáng)的擴(kuò)展性，在全球范圍內(nèi)都可以享受計(jì)算、存儲(chǔ)和其他服務(wù)，同時(shí)注冊(cè)準(zhǔn)入低，會(huì)造成網(wǎng)絡(luò)違法行為調(diào)查困難，犯罪分子利用盜竊的信用卡使追責(zé)問(wèn)題變得極為困難。

2.2 管理風(fēng)險(xiǎn)。企業(yè)通過(guò)云計(jì)算服務(wù)商進(jìn)行數(shù)據(jù)的傳輸和存儲(chǔ)等工作，關(guān)于數(shù)據(jù)整體的安全性和完整性完全由企業(yè)自身負(fù)責(zé)。在管理權(quán)限方面，企業(yè)很容易受到云計(jì)算服務(wù)商的支配，企業(yè)用戶不了解云計(jì)算數(shù)據(jù)存儲(chǔ)地點(diǎn)，很難進(jìn)行安全評(píng)估和認(rèn)證。同時(shí)，第三方安全認(rèn)證的模式不能適應(yīng)云計(jì)算服務(wù)的管理要求，第三方安全審核自身的權(quán)威性和客觀性也值得考慮。

2.3 計(jì)算和存儲(chǔ)共享風(fēng)險(xiǎn)。云計(jì)算服務(wù)采用的是虛擬化的網(wǎng)絡(luò)技術(shù)，提供共享的處理器，內(nèi)存和網(wǎng)絡(luò)等。這種虛擬的技術(shù)如果加密，會(huì)降低計(jì)算處理能力和速度，延長(zhǎng)處理數(shù)據(jù)的時(shí)間。如果黑客和網(wǎng)絡(luò)違法分子利用了云計(jì)算共享這一特點(diǎn)，那么很可能會(huì)產(chǎn)生連鎖反應(yīng)，一臺(tái)服務(wù)器會(huì)影響其他多臺(tái)服務(wù)器上的虛擬機(jī)。

2.4 數(shù)據(jù)恢復(fù)風(fēng)險(xiǎn)。如果企業(yè)用戶不對(duì)數(shù)據(jù)進(jìn)行備份，那么在出現(xiàn)重大安全事故的時(shí)候，云計(jì)算服務(wù)商可能會(huì)拒絕幫助企業(yè)恢復(fù)數(shù)據(jù)。在存儲(chǔ)數(shù)據(jù)的過(guò)程中，企業(yè)應(yīng)當(dāng)對(duì)云計(jì)算服務(wù)商做大致的了解，尤其應(yīng)當(dāng)關(guān)注其對(duì)數(shù)據(jù)恢復(fù)方面的能力和承諾，督促服務(wù)商按照承諾要求做好數(shù)據(jù)恢復(fù)工作。

2.5 長(zhǎng)期發(fā)展問(wèn)題。云計(jì)算服務(wù)自2006年推出以來(lái)，其發(fā)展還不夠完善，目前的三個(gè)服務(wù)層次缺乏有效的監(jiān)管和標(biāo)準(zhǔn)化流程。云計(jì)算服務(wù)商和企業(yè)之間理應(yīng)建立共贏的發(fā)展方向，但是由于不完善的發(fā)展，如果出現(xiàn)服務(wù)商破產(chǎn)等問(wèn)題，將會(huì)嚴(yán)重影響與企業(yè)之間原有的合作模式，給云計(jì)算服務(wù)的長(zhǎng)期發(fā)展帶來(lái)阻礙。

3 云計(jì)算安全性問(wèn)題防范措施

針對(duì)上述云計(jì)算存在的諸多安全問(wèn)題，下面分別從數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全三個(gè)方面分析云計(jì)算的安全防范措施。

3.1 數(shù)據(jù)安全。數(shù)據(jù)安全是指通過(guò)一些技術(shù)或者非技術(shù)的方式來(lái)保證云服務(wù)系統(tǒng)上數(shù)據(jù)的訪問(wèn)受到合理控制，并保證數(shù)據(jù)不被人為或者意外的損壞而泄露或更改。從非技術(shù)角度上來(lái)看，可以通過(guò)法律或者一些規(guī)章制度來(lái)保證數(shù)據(jù)的安全性；從技術(shù)的角度上來(lái)看，可以通過(guò)防火墻、入侵檢測(cè)、安全配置、數(shù)據(jù)隔離、數(shù)據(jù)加密、訪問(wèn)認(rèn)證、權(quán)限控制、數(shù)據(jù)備份等手段來(lái)保證數(shù)據(jù)的安全性。

在云計(jì)算內(nèi)部，為了加強(qiáng)云計(jì)算的安全性，需在數(shù)據(jù)存儲(chǔ)上增加數(shù)據(jù)的私密性，既能保證文件的隱私性，又能實(shí)現(xiàn)數(shù)據(jù)的隔離和安全存儲(chǔ)，免除使用外部工具生成校驗(yàn)的繁冗，有效保證數(shù)據(jù)的完整性。但是，云計(jì)算中并非所有數(shù)據(jù)都適合進(jìn)行數(shù)據(jù)加密，因?yàn)榧用軘?shù)據(jù)會(huì)影響數(shù)據(jù)服務(wù)的效率。對(duì)于PaaS和SaaS應(yīng)用而言，為了提高運(yùn)行效率，容易發(fā)生非法訪問(wèn)，因此需要通過(guò)實(shí)施數(shù)據(jù)隔離來(lái)解決。在云計(jì)算中，系統(tǒng)的物理安全邊界將會(huì)逐步被邏輯安全邊界所取代，因此應(yīng)該采用VLAN或者分布式虛擬交換機(jī)等技術(shù)來(lái)實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)的安全隔離。由于所有客戶數(shù)據(jù)將被共同保存在云內(nèi)，因此需要開(kāi)發(fā)額外的數(shù)據(jù)隔離機(jī)制來(lái)保證各個(gè)客戶之間的數(shù)據(jù)不可見(jiàn)性并提供相應(yīng)的災(zāi)備方案。另外，通過(guò)統(tǒng)一單點(diǎn)登錄認(rèn)證、資源認(rèn)證、協(xié)同認(rèn)證以及不同安全域之間的認(rèn)證或者多種認(rèn)證方式相結(jié)合的形式，對(duì)用戶身份進(jìn)行嚴(yán)格審查可以解決數(shù)據(jù)訪問(wèn)權(quán)限控制。用戶在對(duì)數(shù)據(jù)進(jìn)行操作前，系統(tǒng)一定要對(duì)操作者身份進(jìn)行嚴(yán)格核查。此外在權(quán)限的合理分配方面也要做好規(guī)劃和管理。最后，對(duì)數(shù)據(jù)訪問(wèn)的監(jiān)視和日志審計(jì)也必不可少，尤其是對(duì)敏感信息的操作，一定要做到可溯源。

3.2 應(yīng)用安全。隨著企業(yè)采用基于云的技術(shù)，建立適用于云計(jì)算環(huán)境的信息安全技術(shù)體系勢(shì)在必行。針對(duì)威脅和安全需求，云服務(wù)商積極展開(kāi)數(shù)據(jù)安全、可信計(jì)算、隱私保護(hù)技術(shù)等關(guān)鍵技術(shù)的研究，發(fā)展關(guān)鍵技術(shù)，并形成突破。云計(jì)算是復(fù)雜的，遷移云技術(shù)之前，企業(yè)應(yīng)首先評(píng)估應(yīng)用程序和基礎(chǔ)設(shè)施的安全漏洞，并確保所有的安全控制都到位且運(yùn)行正常，并檢查云應(yīng)用程序的常見(jiàn)漏洞及其彈性需求。云計(jì)算安全法規(guī)和標(biāo)準(zhǔn)是度量云用戶安全目標(biāo)與云服務(wù)商安全服務(wù)能力的標(biāo)尺，也是服務(wù)商構(gòu)建安全服務(wù)的重要參考。因此，要加強(qiáng)國(guó)家對(duì)信息安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)，加快信息安全、數(shù)據(jù)安全標(biāo)準(zhǔn)制定方面的IT合作，健全法規(guī)標(biāo)準(zhǔn)。云計(jì)算是以虛擬化為中心建立的計(jì)算環(huán)境，其安全問(wèn)題的核心是建立信任機(jī)制，建立服務(wù)商之間、服務(wù)商與用戶之間的信任關(guān)系，并建立起可信云，將是解決云計(jì)算安全問(wèn)題的根本之道。

3.3 虛擬化安全。虛擬化、分布式和動(dòng)態(tài)可擴(kuò)展是云計(jì)算的特征，其中虛擬化是云計(jì)算一個(gè)最重要的技術(shù)特征。虛擬化是多樣的，包括用戶端的桌面虛擬化、數(shù)據(jù)中心的服務(wù)器虛擬化、存儲(chǔ)空間的虛擬化，還有應(yīng)用的虛擬化。所謂虛擬化安全就是采用虛擬化原理，在虛擬化數(shù)據(jù)中心內(nèi)創(chuàng)建一個(gè)彈性的邏輯安全層的安全技術(shù)。網(wǎng)絡(luò)虛擬化的一個(gè)核心功能是隔離，虛擬網(wǎng)絡(luò)與其他的虛擬網(wǎng)絡(luò)從底層物理網(wǎng)絡(luò)隔離，提供最低權(quán)限的安全原則，可以在數(shù)據(jù)庫(kù)和應(yīng)用層間設(shè)置防火墻，通過(guò)隔離虛擬機(jī)實(shí)現(xiàn)從網(wǎng)絡(luò)上脫機(jī)保存虛擬化環(huán)境，在安裝虛擬服務(wù)器時(shí)，為了進(jìn)行邏輯隔離，要為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤(pán)分區(qū)，并通過(guò)VLAN和不同的IP地址網(wǎng)段的方式進(jìn)行邏輯隔離，其中，需要通信的虛擬服務(wù)器間通過(guò)VPN進(jìn)行網(wǎng)絡(luò)連接；最后，要進(jìn)行有計(jì)劃的備份，包括完整、增量或差量備份方式，進(jìn)行虛擬化的災(zāi)難恢復(fù)。

4 結(jié)束語(yǔ)

云計(jì)算作為一個(gè)能夠共享大量資源、存儲(chǔ)資源的虛擬資源池，將在工業(yè)、交通、能源、醫(yī)療、市政等經(jīng)濟(jì)社會(huì)各個(gè)領(lǐng)域支撐城市的智慧發(fā)展。云計(jì)算的安全問(wèn)題則是制約云計(jì)算應(yīng)用和發(fā)展的主要問(wèn)題之一。從技術(shù)和管理兩個(gè)方面入手，提高云計(jì)算用戶的使用效率和服務(wù)商的服務(wù)，是解決安全問(wèn)題的有效措施。

參考文獻(xiàn)：

[1]馮登國(guó).開(kāi)啟云計(jì)算時(shí)代安全[J].信息網(wǎng)絡(luò)安全，2011（02）.

[2]聶元銘，安靖，文暉.云計(jì)算信息安全風(fēng)險(xiǎn)探究[J].信息網(wǎng)絡(luò)安全，2011（10）.

[3]蒯留軍.云計(jì)算安全研究[J].大科技，2013（05）.

[4]佟得天，劉旭東，郭濤峰，梁杰文.云計(jì)算信息安全分析與實(shí)踐[J].電信科學(xué)，2013（02）.

[5]房晶，吳昊，白松林.云計(jì)算的虛擬化安全問(wèn)題[J].電信科學(xué)，2012（04）.

作者簡(jiǎn)介：韓海曉（1981-），女，河南洛陽(yáng)人，教師，助教，碩士，研究方向：軟件工程、計(jì)算機(jī)應(yīng)用；曾東海（1968-），女，江西永新人，教師，副教授，碩士，研究方向：軟件工程、計(jì)算機(jī)應(yīng)用。

作者單位：廣東科學(xué)技術(shù)職業(yè)學(xué)院廣州學(xué)院，廣州 510640