江蘇省郵電規(guī)劃設(shè)計(jì)院 | 張?jiān)品?/p>

伴隨著云計(jì)算的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，已成為制約其發(fā)展的主要障礙。若要讓企業(yè)和組織大規(guī)模應(yīng)用云計(jì)算技術(shù)和平臺(tái)，放心地將自己的數(shù)據(jù)交付給云服務(wù)提供商管理，就必須解決云計(jì)算所面臨的各種安全問題。當(dāng)前，云計(jì)算安全問題已得到廣泛關(guān)注和重視。

由于云計(jì)算是架構(gòu)在傳統(tǒng)服務(wù)器設(shè)施上的一種服務(wù)的交互和使用模式，所以傳統(tǒng)互聯(lián)網(wǎng)中存在的諸多安全問題同樣可能會(huì)在云計(jì)算環(huán)境下出現(xiàn)。此外，考慮到云計(jì)算的自身特點(diǎn)，可能會(huì)在網(wǎng)絡(luò)上引入新的安全隱患或改變原有的安全問題影響程度和范圍。目前，針對(duì)云計(jì)算自身特點(diǎn)，云計(jì)算面臨的安全隱患主要有以下六方面。

隱患一 云平臺(tái)成為重點(diǎn)攻擊目標(biāo)的危險(xiǎn)

云計(jì)算所要求的計(jì)算資源（包括物理資源、開發(fā)測試環(huán)境、數(shù)據(jù)與應(yīng)用等）存在于“云”中，相比于傳統(tǒng)互聯(lián)網(wǎng)服務(wù)，云計(jì)算模式使原有用戶側(cè)和網(wǎng)絡(luò)側(cè)的安全風(fēng)險(xiǎn)都集中到云平臺(tái)上，而云暴露在公開的網(wǎng)絡(luò)中，更容易成為黑客攻擊的目標(biāo)，并且影響范圍和造成的損失將遠(yuǎn)大于傳統(tǒng)互聯(lián)網(wǎng)。另外，云中可能存在不安全的接口和API，也容易受到黑客的攻擊和病毒感染。當(dāng)遇到重大事故時(shí)，云系統(tǒng)將可能面臨崩潰的危險(xiǎn)，從而威脅到云上承載的所有業(yè)務(wù)。

隱患二 云平臺(tái)資源和能力存在被濫用的危險(xiǎn)

“云”擁有非常龐大的資源，并且經(jīng)過云平臺(tái)的統(tǒng)一調(diào)度和組織，具有超級(jí)計(jì)算能力。IaaS服務(wù)提供商為方便用戶租用資源，通常其登記注冊管理并不嚴(yán)格，極有可能被網(wǎng)絡(luò)犯罪分子注冊成功并對(duì)云服務(wù)實(shí)施攻擊。此外，由于云計(jì)算資源租用服務(wù)價(jià)格極其低廉，網(wǎng)絡(luò)犯罪分子同樣可以很容易地租用到海量的計(jì)算和帶寬資源來實(shí)施分布式拒絕服務(wù)攻擊（DDos）。一旦云中的某個(gè)或者某些節(jié)點(diǎn)被攻陷，則網(wǎng)絡(luò)犯罪分子就可能會(huì)通過這些節(jié)點(diǎn)繼續(xù)去攻擊并控制云計(jì)算平臺(tái)，最終控制云計(jì)算平臺(tái)所組織起來的超級(jí)計(jì)算能力去實(shí)施更大的網(wǎng)絡(luò)破壞和攻擊，從而造成云平臺(tái)的資源和計(jì)算能力被濫用、惡用的情況。

隱患三 網(wǎng)絡(luò)違法行為難以溯源和展開調(diào)查的危險(xiǎn)

在云計(jì)算廣泛應(yīng)用的情況下，計(jì)算、存儲(chǔ)、帶寬服務(wù)可在全球跨國獲取。云計(jì)算應(yīng)用地域性弱、信息流動(dòng)大，信息服務(wù)或用戶數(shù)據(jù)可能分布在不同的地區(qū)甚至國家。一方面，不利于政府信息安全監(jiān)管，存在法律差異與糾紛；另一方面，在云計(jì)算的使用過程中，客戶并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上，甚至不了解這臺(tái)服務(wù)器放置在哪個(gè)國家，不利于對(duì)網(wǎng)絡(luò)違法行為進(jìn)行溯源和調(diào)查。

隱患四 數(shù)據(jù)訪問優(yōu)先權(quán)被云計(jì)算服務(wù)提供商惡意員工利用的危險(xiǎn)

租用云計(jì)算存儲(chǔ)、虛擬機(jī)、平臺(tái)等資源的用戶希望能保障數(shù)據(jù)的機(jī)密性，所以用戶數(shù)據(jù)的存儲(chǔ)應(yīng)當(dāng)具有高保密性、可控制性和完整性。然而，當(dāng)客戶把數(shù)據(jù)交給云計(jì)算服務(wù)提供商后，具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是數(shù)據(jù)的真正擁有者，而是云計(jì)算服務(wù)提供商。這樣的話，如果云計(jì)算服務(wù)提供商內(nèi)部有惡意員工（這種可能通常是存在的），用戶的企業(yè)機(jī)密就很可能被泄露出去。

隱患五 采用虛擬化技術(shù)后，物理安全邊界模糊的危險(xiǎn)

利用虛擬化技術(shù)有利于加強(qiáng)在基礎(chǔ)設(shè)施、平臺(tái)、軟件層面提供多租戶云服務(wù)的能力，實(shí)現(xiàn)數(shù)據(jù)的池化和共享。然而利用虛擬化技術(shù)后，資源池中的數(shù)據(jù)具有無邊界性、流動(dòng)性，存在物理安全邊界模糊、安全漏洞等隱患，會(huì)產(chǎn)生一系列安全問題。例如，當(dāng)虛擬網(wǎng)絡(luò)受到破壞，那么客戶端也會(huì)受到損害。當(dāng)主機(jī)出現(xiàn)問題，那么主機(jī)上的所有虛擬機(jī)都會(huì)產(chǎn)生問題。當(dāng)惡意用戶非法取得虛擬機(jī)權(quán)限，就有可能威脅到同一臺(tái)物理服務(wù)器上的其他虛擬機(jī)?？蛻舳斯蚕砗椭鳈C(jī)共享存在安全漏洞，可能會(huì)被不法之徒利用。

隱患六 企業(yè)用戶的長期生存發(fā)展無法得到保障的危險(xiǎn)

在當(dāng)前云計(jì)算環(huán)境下，無論是IaaS、PaaS還是SaaS，都還缺乏服務(wù)整體遷移方面的標(biāo)準(zhǔn)和手段。如果用戶選用的某一家云計(jì)算服務(wù)提供商破產(chǎn)或被并購而不能繼續(xù)有效提供服務(wù)，用戶的業(yè)務(wù)和服務(wù)有可能會(huì)出現(xiàn)中斷或不穩(wěn)定等危險(xiǎn)。

四維度保障云安全

根據(jù)上面的分析，由于云計(jì)算自身的海量資源、物理設(shè)施集中部署、虛擬化、用戶共享等技術(shù)特性，以及其尚未成熟的監(jiān)管和運(yùn)營體系，使之有可能存在大量的安全隱患，運(yùn)營商和企業(yè)應(yīng)積極采取相應(yīng)措施來最大限度地保障云計(jì)算環(huán)境下的網(wǎng)絡(luò)和信息安全。

（1）針對(duì)云計(jì)算技術(shù)發(fā)展和業(yè)務(wù)模式，制定和完善相應(yīng)的法律法規(guī)和技術(shù)規(guī)范。例如，明確云計(jì)算服務(wù)提供商信息安全管理責(zé)任、規(guī)范跨境云計(jì)算經(jīng)營模式。明確個(gè)人隱私、商業(yè)秘密、數(shù)據(jù)保護(hù)、信息隔離方面的界定和要求等。

（2）進(jìn)一步提升自主創(chuàng)新能力，大力培育由國內(nèi)企業(yè)占主導(dǎo)的云服務(wù)產(chǎn)業(yè)和市場，加大對(duì)云計(jì)算核心軟硬件的國內(nèi)自主研發(fā)力度，減少關(guān)鍵應(yīng)用領(lǐng)域的技術(shù)產(chǎn)品對(duì)國外的依賴性。只有大力支持云計(jì)算關(guān)鍵技術(shù)的研發(fā)，加快推進(jìn)云計(jì)算軟件、硬件、中間件及網(wǎng)絡(luò)設(shè)施等資源的創(chuàng)新，才能在未來云計(jì)算環(huán)境下從根本上保障國家信息的安全。

（3）加強(qiáng)國際合作，積極參與云計(jì)算國際標(biāo)準(zhǔn)的制定。當(dāng)前，國際上云計(jì)算標(biāo)準(zhǔn)尚未推出，很多標(biāo)準(zhǔn)化組織正在推動(dòng)相關(guān)標(biāo)準(zhǔn)的制定。我國應(yīng)抓住機(jī)會(huì)，積極參與相關(guān)標(biāo)準(zhǔn)化組織的標(biāo)準(zhǔn)制定工作，推動(dòng)國內(nèi)標(biāo)準(zhǔn)國際化，努力掌握國際話語權(quán)。

（4）強(qiáng)化教育，建設(shè)云計(jì)算人才隊(duì)伍。完善云計(jì)算人才培養(yǎng)模式，積極推進(jìn)教育培訓(xùn)，建立云計(jì)算認(rèn)證、評(píng)測及安全體系，推動(dòng)院校開設(shè)專業(yè)課程培養(yǎng)云計(jì)算人才隊(duì)伍。