孟慶偉 張 玉 劉 婷

（鄭州師范學院，河南 鄭州 450044）

云計算（cloud computing）是一種因特網(wǎng)的超級計算模式，是當前全球IT界共同關注的熱點。云計算是基于虛擬化技術快速部署云端的資源以獲取服務，通過互聯(lián)網(wǎng)讓云端的用戶方便的參與海量的信息處理。云計算給終端用戶提供超強的計算能力和海量的虛擬化資源，終端用戶體驗到云計算優(yōu)越性的同時，也開始成為各種惡意組織或黑客為某種利益攻擊的目標。組成云的各種軟硬件系統(tǒng)等資源依然面對傳統(tǒng)網(wǎng)絡環(huán)境中所面對的各種病毒、木馬、和惡意的攻擊，云計算的信息安全值得我們高度關注。

1 云計算

云計算是一個完全由第三方提供計算資源的新的計算理念，它由大量計算機群組成，動態(tài)的分配資源，實時監(jiān)控資源的部署和分配情況，提供可托管的應用程序環(huán)境。廣義的云計算是指服務的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需的服務。狹義的云計算是指IT基礎設施的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需的資源(硬件、平臺、軟件)。云計算中的服務根據(jù)提供的服務層次可以分為軟件即服務(software as a service SaaS)、平臺即服務(platform as a service PaaS)和基礎設施即服務(infrastructure a service IaaS)3個層次。提供軟件資源的網(wǎng)絡被稱為"云"。存在于互聯(lián)網(wǎng)的服務器、存儲器、CPU等硬件資源和應用軟件、集成開發(fā)環(huán)境等資源可以按使用者的需求隨時獲取，隨時擴展，并按使用情況付費。

2 云計算的優(yōu)勢

云計算將計算任務分布在大量的計算機構成的資源池上，通過網(wǎng)絡按需提供可動態(tài)伸縮的廉價計算服務。云中的資源對使用者來說可以隨時獲取，隨時擴展，按需使用，按使用付費。

2.1 終端用戶投入低，效益高。

云計算模式中，互聯(lián)網(wǎng)的計算架構由“服務器+客戶端”向“云服務平臺+客戶端”模式演變。用戶不用投入大量的資金用于配置大型機和購買昂貴的高性能設備，也不需要花費資金來更換陳舊的設備，只需一臺PC機作為終端就可以登錄到云系統(tǒng)中直接使用其高性能的資源。通過虛擬化、自動化等云計算關鍵技術，智能、動態(tài)地調配各種資源，如計算、存儲、帶寬、硬件、軟件等。

2.2 用戶使用方便

用戶可以在任何地方通過瀏覽器在“云”的另一端運行程序和數(shù)據(jù)，可以和相關人員隨時分享信息，不用擔心機器上是否安裝了應用軟件，或擔心是不是最新的版本。云計算可以輕松實現(xiàn)不同設備間的數(shù)據(jù)與應用共享，實現(xiàn)云計算中"一切皆服務"的理念。

2.3 數(shù)據(jù)存儲安全

云計算提供最安全最可靠的數(shù)據(jù)存儲中心，不僅能夠確保數(shù)據(jù)的隱私性，而且確保數(shù)據(jù)不會受到破壞。因為在“云”里有最專業(yè)的團隊來幫忙管理信息；有先進的數(shù)據(jù)中心來保存數(shù)據(jù)；有專業(yè)的計算機維護人員來管理維護硬件，升級軟件；有專門的殺毒軟件幫忙防范病毒的攻擊和網(wǎng)絡攻擊。用戶不用擔心自己的數(shù)據(jù)丟失或病毒入侵等。

2.4 充分利用資源共享

云計算提供不同服務器間數(shù)據(jù)共享環(huán)境，有效擴大信息資源的共享范圍。云計算將分散在不同服務器上的數(shù)據(jù)庫統(tǒng)一起來，為用戶提供一站式服務。云計算模式可以在技術和管理上將分布式存儲的數(shù)據(jù)庫和一站式的檢索界面結合起來，幫助用戶高質量的完成任務。

3 云計算帶來的安全挑戰(zhàn)

云計算時代的安全設備和安全措施的部署位置不同，安全的主體也由用戶自己保證安全變?yōu)橛稍朴嬎惴仗峁┥虂肀ＷC安全，云計算雖然改變了服務方式，但并沒有顛覆傳統(tǒng)的安全模式，因此用戶使用云計算仍將面臨信息安全風險。

信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性，信息服務不中斷。

3.1 云計算服務提供商的風險

(1)服務質量問題

云服務提供商的硬件設施遭到損壞或故障，或云計算服務提供商維持不了經(jīng)營時，能否提供相應的措施來保障正常的服務。如：亞馬遜云計算中心宕機，包括回答服務Quora、新聞服務Reddit、Hootsuite和位置跟蹤服務FourSquare在內的一些網(wǎng)站都受到了影響。但相關的法律制度不建全，各云服務提供商都有自己的標準，云服務提供商的服務協(xié)議中盡可能地規(guī)避大部分風險，亞馬遜連續(xù)4天宕機事故競不違反和用戶簽訂的"霸王"服務水平協(xié)議。

(2)用戶的隱私問題

云服務提供商是否會以越權的方式訪問或使用用戶的數(shù)據(jù)，掌握企業(yè)信息、客戶信息等敏感的商業(yè)數(shù)據(jù)。多主租用架構下用戶分享基礎設施，如何防止用戶間有意或無意的"窺視"行為？當用戶的隱私被侵犯時，云服務提供商是否支持用戶調查。云計算應用在設計之初已采用諸如"數(shù)據(jù)標記"等技術以防非法訪問混合數(shù)據(jù)，但是通過應用程序的漏洞，非法訪問還是會發(fā)生。另外，云服務提供商必須能向用戶確保：在信息所占存儲空間被釋放或再分配給其他云用戶之前，相關信息能得到完全清除（無論其信息存放在硬盤還是在內存中），避免數(shù)據(jù)殘留泄露敏感信息。

(3)網(wǎng)絡安全問題

網(wǎng)絡是云存儲和云服務的基礎和媒介，云計算所采用的技術和服務同樣面臨著網(wǎng)絡安全問題，如：網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，利用大規(guī)模僵尸網(wǎng)絡進行的拒絕服務攻擊（DDOS）、漏洞攻擊、木馬惡意程序入侵等。識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡服務，實時進行采集、分析以及處理。云計算服務提供商要采用防火墻保證不被非法訪問，使用殺毒軟件保證機器不被染毒，要防止入侵，保證數(shù)據(jù)信息不被竊取。

3.2 云計算用戶的風險

(1)選取可靠的云計算服務提供商

用戶在使用以前，要了解云計算的風險，選取可靠的、商業(yè)信譽好的云計算服務提供商。慎重將企業(yè)信息、客戶信息等數(shù)據(jù)放在云端，增強安全防范意識，數(shù)據(jù)加密后再放入云端，保證存儲在云端的數(shù)據(jù)只能以密文的形式存在。注意密碼的保密性。

(2)做好備份，防止數(shù)據(jù)丟失

放在云端的數(shù)據(jù)要經(jīng)常備份，以免在云計算服務受到攻擊或云計算資源受到破壞時數(shù)據(jù)丟失的情況下數(shù)據(jù)得不到恢復。

(3)建立自己“私有云”

用戶絕不要將具有競爭優(yōu)勢或包含用戶敏感信息的應用軟件放在公共“云”上。重要數(shù)據(jù)放在自己建立的私有云中，擁有私有云的控制權，自主控制數(shù)據(jù)的安全性。

(4)注意數(shù)據(jù)殘留的問題。

數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲介質被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建，在云計算環(huán)境中，數(shù)據(jù)殘留更有可能會無意泄露敏感信息，用戶要密切關注殘留數(shù)據(jù)是否能得到完全清除。

結束語

云計算作為一種新型服務模式，具備了眾多的優(yōu)勢和商機，并將對IT產業(yè)的諸多方面產生積極影響。但同時必須意識到云計算上存在著信息安全問題，只有正視并有效解決云計算面臨的這些挑戰(zhàn)，云計算才能更好地被用戶接受。趨勢、瑞星、卡巴斯基、賽門鐵克、金山、360安全衛(wèi)士等都推出了“云安全”的解決方案來保證信息安全，我們也要增強安全意識，及早發(fā)現(xiàn)并采取必要的防范措施來確保信息安全。

[1]余娟娟.淺析“云安全”技術[J].計算機安全，2011(09)：39-44.

[2]汪兆成.基于云計算模式的信息安全風險評估研究[A].第26次全國計算機安全學術交流會論文集[C].2011(9).

[3]蔡盈芳.基于云計算的信息系統(tǒng)安全風險評估研究[J].中國管理信息化，2010(06)：75-77.

[4]葉加龍，張公讓.云計算和信息安全[J].價值工程，2011（02）：184-185.