摘要：互聯(lián)網(wǎng)的迅猛發(fā)展，各種應(yīng)用不斷涌現(xiàn)，云計(jì)算的出現(xiàn)產(chǎn)生了巨大的商業(yè)潛力，成為新的戰(zhàn)略產(chǎn)業(yè)。與此同時(shí)也產(chǎn)生了網(wǎng)絡(luò)安全的新問題，本文基于云計(jì)算的內(nèi)涵及特點(diǎn)，簡要分析了云計(jì)算環(huán)境下可能的網(wǎng)絡(luò)安全問題。

關(guān)鍵詞：云計(jì)算；網(wǎng)絡(luò)安全；安全風(fēng)險(xiǎn)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 10-0000-02

隨著互聯(lián)網(wǎng)迅猛發(fā)展，以云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)為代表的新信息技術(shù)成為新的戰(zhàn)略產(chǎn)業(yè)。云計(jì)算是繼大型計(jì)算機(jī)到客戶端-服務(wù)器的大轉(zhuǎn)變之后的又一巨變，云計(jì)算環(huán)境引發(fā)了網(wǎng)絡(luò)安全的新問題，這是任何IT系統(tǒng)都難以回避的問題，也是信息化社會(huì)的焦點(diǎn)問題。各種私有云或是公有云的數(shù)據(jù)中心建設(shè)，安全、高效的業(yè)務(wù)交付是云計(jì)算環(huán)境下網(wǎng)絡(luò)安全必備的基礎(chǔ)和要求。

一、云計(jì)算的內(nèi)涵和特點(diǎn)

（一）云計(jì)算的內(nèi)涵

云計(jì)算（cloud computing）是基于互聯(lián)網(wǎng)相關(guān)服務(wù)的增加、使用和交付模式，涉及通過互聯(lián)網(wǎng)提供動(dòng)態(tài)易擴(kuò)展、經(jīng)常是虛擬化的資源；是并行計(jì)算、分布式計(jì)算和網(wǎng)格計(jì)算的發(fā)展實(shí)現(xiàn)。云計(jì)算通過集群應(yīng)用、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能的系統(tǒng)。有狹義和廣義之分。狹義的云計(jì)算指的是IT基礎(chǔ)設(shè)施的交付和使用模式，即通過網(wǎng)絡(luò)按需、易擴(kuò)展的方式獲取所需資源；廣義的云計(jì)算指的是服務(wù)的交付和使用模式，即通過網(wǎng)絡(luò)按需、易擴(kuò)展的方式獲取所需資源。

二、云計(jì)算的特點(diǎn)

云計(jì)算的特點(diǎn)包括有以下幾點(diǎn)：超大規(guī)模、虛擬化、高可靠性、通用性、高可擴(kuò)展性、按需服務(wù)、極為廉價(jià)。

云計(jì)算的規(guī)模超大，擁有相當(dāng)龐大的規(guī)模，引用一句話就是“能賦予用戶前所未有的計(jì)算能力”。云計(jì)算對(duì)用戶端的設(shè)備要求相對(duì)更低，支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。所請(qǐng)求的資源來自“云”，而不是固定的有形實(shí)體，恰恰體現(xiàn)了“云”的虛擬化特點(diǎn)?！霸啤笔褂昧藬?shù)據(jù)多副本容錯(cuò)、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來保障服務(wù)的高可靠性，使用云計(jì)算比使用本地PC更為可靠、安全。云計(jì)算不針對(duì)特定的應(yīng)用，同一個(gè)“云”可以同時(shí)支撐不同的應(yīng)用運(yùn)行。“云”的規(guī)?？梢詣?dòng)態(tài)伸縮，滿足應(yīng)用和用戶規(guī)模增長的需要，比如通過管理工具和中間件實(shí)現(xiàn)彈性擴(kuò)展的MySQL集群?？梢赃@樣講，云計(jì)算為我們使用網(wǎng)絡(luò)提供了幾乎無限多的可能。云計(jì)算是一種優(yōu)先考慮可伸縮性的系統(tǒng)設(shè)計(jì)理念。同時(shí)“云”是一個(gè)龐大的資源池，用戶可以按需購買，云可以像自來水、電、煤氣一樣來計(jì)費(fèi)。由于“云”可以采用極其廉價(jià)的節(jié)點(diǎn)來構(gòu)成云，云的自動(dòng)化集中式管理，使用戶可以充分享受云的低成本。

二、云計(jì)算安全的含義

云計(jì)算安全的含義，主要包含兩個(gè)方面的含義。一是“云”資深的安全，也成為云計(jì)算安全，包括云計(jì)算應(yīng)用系統(tǒng)安全，云計(jì)算應(yīng)用服務(wù)安全，云計(jì)算用戶信息安全；二是，云計(jì)算提供和交付安全，指的是云計(jì)算技術(shù)在安全領(lǐng)域的具體應(yīng)用，也成為安全云計(jì)算，即基于云計(jì)算的技術(shù)來提升安全系統(tǒng)服務(wù)效能的安全解決方案。

三、云環(huán)境下可能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

從云計(jì)算誕生開始，安全性始終是實(shí)施云計(jì)算首要考慮的問題之一。云計(jì)算作為一種新興的商業(yè)模式，至今已有為數(shù)不少的成功案例。具有根據(jù)用戶需求聽個(gè)快速彈性部署、廉價(jià)服務(wù)能來，使用戶節(jié)約投入、免去維護(hù)與運(yùn)行成本。不僅成為IT行業(yè)，也成為各國政府、各國行業(yè)所廣泛關(guān)注的熱點(diǎn)。由于云計(jì)算集中了大量數(shù)據(jù)，各國政府以及研究機(jī)構(gòu)都高度關(guān)注云計(jì)算的安全問題。如何建設(shè)安全的云計(jì)算環(huán)境，如何給客戶提供高安全性的SLA保證，如何保證自身業(yè)務(wù)系統(tǒng)保存、使用核心數(shù)據(jù)安全，以免發(fā)生數(shù)據(jù)泄漏或者丟失，損害企業(yè)核心競爭力等問題的解決迫在眉睫，而任何一種應(yīng)用都是流程和邏輯的體現(xiàn)，大部分應(yīng)用包括“云”在內(nèi)是不能夠準(zhǔn)確無誤地再現(xiàn)流程和邏輯，必然會(huì)存在缺陷和漏洞，本文僅對(duì)云計(jì)算環(huán)境下可能的安全風(fēng)險(xiǎn)進(jìn)行簡要的分析。

（一）虛擬化產(chǎn)生的安全風(fēng)險(xiǎn)

服務(wù)器虛擬化是目前云計(jì)算最為廣泛的技術(shù)，它可以將單臺(tái)物理服務(wù)器虛擬出多臺(tái)虛擬機(jī)且獨(dú)立安裝各自的操作系統(tǒng)和應(yīng)用程序，有效提升服務(wù)器利用率，同時(shí)也存在兩種安全風(fēng)險(xiǎn)。一是虛擬機(jī)應(yīng)用程序的安全漏洞，另一個(gè)是虛擬軟件各種底層應(yīng)用程序的安全漏洞。

虛擬化技術(shù)引入了Hypervisor和其他管理模塊，虛擬化對(duì)網(wǎng)絡(luò)安全帶來的嚴(yán)重威脅是虛擬機(jī)間通過硬件的背板，而不是網(wǎng)絡(luò)進(jìn)行通信，也就是說通信流量對(duì)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全控制是不可見的，檢測、在線封堵都是無效的。虛擬機(jī)的應(yīng)用程序是云服務(wù)交付的核心構(gòu)成，因?yàn)榫幊碳夹g(shù)的缺陷會(huì)存在多個(gè)安全漏洞，為適應(yīng)和使用虛擬化的API接口，也會(huì)產(chǎn)生安全漏洞。

另外，虛擬化軟件各種底層應(yīng)用程序的安全漏洞、虛擬機(jī)應(yīng)用程序的安全漏洞也會(huì)引發(fā)安全風(fēng)險(xiǎn)。

（二）數(shù)據(jù)泄漏風(fēng)險(xiǎn)

用戶數(shù)據(jù)在“云”中傳輸和存儲(chǔ)，但用戶本事對(duì)于自身數(shù)據(jù)在“云”中的安全風(fēng)險(xiǎn)并沒有實(shí)際的控制能力，數(shù)據(jù)安全完全依賴于云計(jì)算服務(wù)商，如果云計(jì)算服務(wù)商本事對(duì)數(shù)據(jù)安全控制存在疏漏，很可能導(dǎo)致數(shù)據(jù)泄漏或丟失。如下幾種情況都有可能導(dǎo)致數(shù)據(jù)泄漏：服務(wù)器的安全漏洞、虛擬化軟件的安全漏洞導(dǎo)致黑客入侵；數(shù)據(jù)在傳輸中沒有加密，加密數(shù)據(jù)密鑰管理存在紕漏；不同用戶數(shù)據(jù)傳輸之間沒有進(jìn)行有效隔離，在沒有任何補(bǔ)償控制情況下與其他客戶數(shù)據(jù)混合；云計(jì)算用戶數(shù)據(jù)沒有進(jìn)行數(shù)據(jù)備份；另外，數(shù)據(jù)在云端時(shí)，新增的數(shù)據(jù)匯總和推理，可能會(huì)導(dǎo)致違反敏感和機(jī)密資料的保密性。

（三）身份和訪問管理安全風(fēng)險(xiǎn)

傳統(tǒng)的安全模型中，已經(jīng)有成熟的解決方案針對(duì)網(wǎng)絡(luò)終端用戶安全接入和訪問控制。云計(jì)算環(huán)境下，在Iaas服務(wù)模型出現(xiàn)后，服務(wù)商需要針對(duì)各個(gè)企業(yè)、各個(gè)類型用戶提供差異化身份認(rèn)證管理授權(quán)策略，確保合法用戶訪問所要求的服務(wù)器。單因素用戶驗(yàn)證碼能夠產(chǎn)生極大的安全隱患，同時(shí)云自助服務(wù)門戶的潛在安全漏洞給黑客提供了各種未經(jīng)授權(quán)的非法訪問的機(jī)會(huì)。就是所謂的賬號(hào)和服務(wù)劫持。另外，在企業(yè)之外處理敏感數(shù)據(jù)會(huì)帶來內(nèi)在的風(fēng)險(xiǎn)，外包服務(wù)一般都會(huì)繞過企業(yè)IT部門對(duì)內(nèi)部所施加的“物理的、邏輯的和人員控制”，即所謂的特權(quán)用戶的訪問權(quán)限。還有就是惡意的內(nèi)部員工也是造成數(shù)據(jù)泄漏的不可忽略因素。

（四）Web安全風(fēng)險(xiǎn)

許多云服務(wù)是通過REST Web服務(wù)界面訪問的，即API。API密鑰空間是觸及“云”重要內(nèi)容的工具，但是這些密鑰經(jīng)常是通過郵件發(fā)送，或保存在文件服務(wù)器中供多人使用。

云計(jì)算環(huán)境中，Web是用戶最直觀的體驗(yàn)窗口，近幾年涌現(xiàn)的各種Web攻擊，大都是通過不安全的接口和API直接對(duì)云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全造成破壞性的影響。

（五）服務(wù)可用性威脅

用戶數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計(jì)算當(dāng)中，其業(yè)務(wù)流程將依賴于云計(jì)算服務(wù)提供商所提供的服務(wù)，這對(duì)服務(wù)商的云平臺(tái)服務(wù)連續(xù)性、SLA和IT流程、安全策略、事件處理及分析提出挑戰(zhàn)。當(dāng)發(fā)生系統(tǒng)故障時(shí)，數(shù)據(jù)恢復(fù)也是一個(gè)非常重要的安全問題。

總之，云計(jì)算環(huán)境下，系統(tǒng)流量模型相對(duì)集中，對(duì)安全設(shè)備的性能和擴(kuò)展性等方面有新的要求，系統(tǒng)需要支持更高性能的安全防護(hù)，安全資源池在高性能可擴(kuò)展方面需要提供相應(yīng)的安全保障。從技術(shù)角度來看，云計(jì)算目前仍缺乏相應(yīng)的技術(shù)標(biāo)準(zhǔn)，需要不斷完善技術(shù)架構(gòu)。在云計(jì)算環(huán)境下，用戶數(shù)據(jù)安全很大程度依賴于云計(jì)算服務(wù)商的技術(shù)與管理策略。用戶都期待歲技術(shù)完善能夠“可信云”，最大程度規(guī)避安全風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1] Greenberg A，Hamilton J R，et al.VL2:A Scalable and Flexible Data Center Network[C]//ACM SIGCOMM Computer Communication Review，2009，39(4):51-62

[2] Biggest-cloud-challenge-security.html.

[3] CSA，Top Threats to Cloud Computing V1.0.http://www.cloudsccurityal-liance.org/topthreats/csathreats.v1.0pdf

[作者簡介]

盧憲雨，男，36歲，吉林省減災(zāi)中心，工程師。