摘 要： 云計算是當(dāng)前信息產(chǎn)業(yè)中研究與應(yīng)用的熱點。云計算在快速發(fā)展的同時，也存在著很多的安全隱患，安全是云計算領(lǐng)域亟待解決的主要問題之一。當(dāng)今各種云計算安全技術(shù)尚未十分成熟，對于普通用戶來說，還不能完全依賴服務(wù)商和利用既有的安全技術(shù)來保障自己的數(shù)據(jù)安全。文章介紹了云計算安全的現(xiàn)狀，根據(jù)云計算的特點分析了其主要的安全風(fēng)險，并提出了降低安全風(fēng)險的主要思路，使云計算用戶能積極部署風(fēng)險管理措施，在享受云計算的諸多好處的同時，把安全風(fēng)險盡量降低。

關(guān)鍵詞： 云計算； 云計算機安全； 安全風(fēng)險； 數(shù)據(jù)安全

中圖分類號：TP309 文獻標(biāo)志碼：A 文章編號：1006-8228(2012)08-05-02

0 引言

云計算是當(dāng)前信息產(chǎn)業(yè)中研究與應(yīng)用的熱點。采用云計算技術(shù)，通過網(wǎng)絡(luò)把分散的資源聚集起來進行統(tǒng)一管理和調(diào)度，構(gòu)成一個計算資源池向用戶提供按需服務(wù)，終端設(shè)備成本低、使用方便，并且可以輕松實現(xiàn)不同設(shè)備間的數(shù)據(jù)與應(yīng)用共享。目前從亞馬遜的簡單存儲服務(wù)和彈性計算云，到IBM的藍(lán)云，再到谷歌的Google App Engine[1]、Gmail、Docs和微軟的Windows Azure等等，眾多的IT巨頭紛紛投身于“云”的建設(shè)。美國、歐盟、德國、日本、韓國等國家和組織也在其國內(nèi)或地區(qū)內(nèi)啟動了“云計算”的有關(guān)項目。在我國，云計算發(fā)展也非常迅猛，在十二五規(guī)劃綱要中，云計算成為重點扶持的對象；許多地區(qū)也已經(jīng)進行云計算試驗基地的或云計算相關(guān)平臺的建設(shè)。但云計算在快速發(fā)展的同時，也存在著很多的安全隱患，安全成為云計算領(lǐng)域亟待解決的主要問題之一。

1 云計算安全現(xiàn)狀

在云計算快速發(fā)展的過程中，安全問題也隨之而來。亞馬遜的云計算平臺由于系統(tǒng)DOWN機、服務(wù)器訪問故障、僵尸網(wǎng)絡(luò)、電源故障等問題多次出現(xiàn)服務(wù)中斷；谷歌的Gmail、Google News和Google App Engine也曾經(jīng)出現(xiàn)多次安全事故，其Docs上更是因為安全漏洞導(dǎo)致用戶個人隱私泄漏；微軟云計算的服務(wù)器故障導(dǎo)致用戶數(shù)據(jù)丟失，甚至連備份服務(wù)器上的用戶個人數(shù)據(jù)也丟失了；美國繳獲了環(huán)球銀行金融電信協(xié)會托管的歐洲銀行數(shù)據(jù)，此舉使該公司關(guān)閉了它在美國的數(shù)據(jù)中心。這些安全事件的發(fā)生，加深了人們對云計算安全的擔(dān)憂。據(jù)賽迪網(wǎng)的統(tǒng)計，企業(yè)用戶對云計算的核心關(guān)注度中，數(shù)據(jù)安全以96%的比例高居榜首；在IDC的一次關(guān)于“您認(rèn)為云計算模式的挑戰(zhàn)和問題是什么”的調(diào)查中，安全也以74.6%的比率位居榜首。可見安全問題是人們對云計算最大的擔(dān)心。目前關(guān)于云計算安全性的研究大多集中在云計算安全標(biāo)準(zhǔn)的建立[2]、可信訪問控制[3-5]、數(shù)據(jù)隱私保護[6]、虛擬安全技術(shù)等方面；也有學(xué)者提出了云計算機安全參考框架及該框架下的主要研究內(nèi)容[7]。但目前這些技術(shù)都未十分成熟，對于普通用戶來說，還不能完全依賴服務(wù)商和安全技術(shù)來保障自己的數(shù)據(jù)安全。

2 云計算的主要安全風(fēng)險

仔細(xì)分析云計算的主要特點，就會發(fā)現(xiàn)其主要的安全風(fēng)險包括以下幾方面：

2.1 來自云計算服務(wù)提供商的安全風(fēng)險

云是一個龐大的資源池，客戶可按需購買。一個常用的比喻是云可以象自來水、電力那樣按客戶的需要隨時使用，使用云計算的客戶也需要一家云計算服務(wù)提供商為其提供服務(wù)。那么，客戶選擇的云計算的服務(wù)提供商的網(wǎng)絡(luò)是安全的嗎？他們提供的存儲是安全的嗎？會不會造成數(shù)據(jù)泄密？客戶存放在云中的數(shù)據(jù)，不能像存放在本地的數(shù)據(jù)那樣通過物理控制、邏輯控制、人員控制等來控制數(shù)據(jù)訪問，云計算服務(wù)提供商的超級用戶有可能對客戶的企業(yè)的數(shù)據(jù)進行查看與修改，那么，云計算提供商是否可能竊取客戶的隱私和企業(yè)的商業(yè)秘密并泄露或出賣？在發(fā)生災(zāi)難時，云計算提供商是否可以保證客戶的數(shù)據(jù)和服務(wù)安全？是否有能力恢復(fù)數(shù)據(jù)？需要多長時間？一旦云計算提供商破產(chǎn)或是被大公司收購，客戶的數(shù)據(jù)會不會受到影響？是否可以拿回數(shù)據(jù)并把拿回的數(shù)據(jù)導(dǎo)入到替代的應(yīng)用程序中？以上這些問題都對客戶的數(shù)據(jù)安全與隱私保護帶來巨大的挑戰(zhàn)。

2.2 來自網(wǎng)絡(luò)的安全風(fēng)險

云計算的根本理念在于通過網(wǎng)絡(luò)提供用戶所需的計算力、存儲空間、軟件功能和信息服務(wù)等。但是，如何保證客戶的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不被竊取？萬一網(wǎng)絡(luò)堵塞了怎么辦？網(wǎng)絡(luò)通訊中間被挾持怎么辦？假如云計算服務(wù)提供商的網(wǎng)絡(luò)有問題導(dǎo)致客戶長時間無法取得需要關(guān)鍵數(shù)據(jù)時怎么辦？假如黑客利用“云”中的分布式計算能力，通過控制“僵尸網(wǎng)絡(luò)”對客戶或?qū)υ朴嬎惴?wù)提供商實行惡意攻擊怎么辦？近年來幾次大規(guī)模的斷網(wǎng)事件，以及高達十幾倍的分布式拒絕服務(wù)攻擊流量的增長，都證明了網(wǎng)絡(luò)的風(fēng)險是云計算的主要風(fēng)險之一。

2.3 虛擬化的安全風(fēng)險

虛擬化是云計算的主要特點之一，云計算支持用戶在任意位置、使用各種終端獲取應(yīng)用服務(wù)。用戶所請求的資源來自“云”，但實際上用戶并不知道應(yīng)用運行的具體位置。虛擬化是在多個物理設(shè)備之間創(chuàng)建邏輯服務(wù)器或邏輯存儲，實際上是把硬件資源充分利用了，再形成一個相對隔離的虛擬環(huán)境。在這個虛擬化的過程中就會存在風(fēng)險。首先，云中數(shù)據(jù)的存放位置及轉(zhuǎn)移變成不可控的，用戶甚至不知道數(shù)據(jù)存放在哪個國家，不知道那個國家是否會存在信息安全問題，不知道那個國家的警察是否會繳獲在他們國家托管的云計算數(shù)據(jù)中心存儲的數(shù)據(jù)，就象美國繳獲環(huán)球銀行金融電信協(xié)會托管的歐洲銀行數(shù)據(jù)一樣。其次，在數(shù)據(jù)存儲資源共享的環(huán)境下，云計算服務(wù)商是否能夠保證數(shù)據(jù)之間的有效隔離？客戶有可能跟客戶的競爭對手共用一臺服務(wù)器，如果用戶之間的隔離措施失效的話，客戶的競爭對手或者專門從事黑客活動的其他客戶完全有可能侵入客戶的數(shù)據(jù)，獲取客戶的商業(yè)機秘，或者干擾客戶的應(yīng)用的運行，而客戶卻可能無法知道哪些人非法獲取或竄改了客戶的企業(yè)的數(shù)據(jù)。第三個風(fēng)險是虛擬機的風(fēng)險。虛擬機本身是一個操作系統(tǒng)，只要是操作系統(tǒng)就會有漏洞，而在虛擬服務(wù)器安全及加固標(biāo)準(zhǔn)不同的情況下，一臺標(biāo)準(zhǔn)較低的虛擬機將變成所有分享虛擬服務(wù)器的安全漏洞。黑客攻入這樣一臺低防護的虛擬機，就可能會影響到整個“云”的安全。

2.4 邊界安全模型失效帶來的安全風(fēng)險

在傳統(tǒng)安全防護中，許多企業(yè)使用邊界安全模型來保證企業(yè)網(wǎng)絡(luò)的安全。實行基于邊界的安全隔離和訪問控制，并且強調(diào)針對不同的安全區(qū)域設(shè)置有差異化的安全防護策略，而在云計算環(huán)境下，云是存在于邊界之外不受企業(yè)控制的。如何保證數(shù)據(jù)不被沒有權(quán)限的內(nèi)部人員訪問和盜?。?/p>

3 降低云計算的安全風(fēng)險

根據(jù)上述云計算安全風(fēng)險的形成原因分析，我們可以得到降低安全風(fēng)險的主要思路。

3.1 選擇相對可靠的云計算服務(wù)提供商

一般地，最好使用那些規(guī)模大、商業(yè)信譽良好、在IT和安全服務(wù)領(lǐng)域都有實力的、可以將IT，安全，網(wǎng)絡(luò)服務(wù)以及強大的性能保障結(jié)合于一體的云計算服務(wù)提供商。該供應(yīng)商應(yīng)該通過外部審計和安全認(rèn)證。確定服務(wù)提供商前應(yīng)了解其硬件設(shè)施的完備性、云服務(wù)管理員及其他客戶的身份以及服務(wù)提供商采用的具體的網(wǎng)絡(luò)安全保護措施是什么。在合同中要詳細(xì)列明云計算服務(wù)供應(yīng)商在數(shù)據(jù)的物理安全、邏輯安全和加密，更改管理和業(yè)務(wù)持續(xù)性以及災(zāi)難恢復(fù)等方面的承諾與責(zé)任，例如要求云計算服務(wù)提供商對其和本企業(yè)之間的數(shù)據(jù)傳統(tǒng)通道進行加密傳輸、要求云計算服務(wù)提供商承諾數(shù)據(jù)存儲位置的安全性以及和其他企業(yè)數(shù)據(jù)之間的加密隔離，明確服務(wù)商要具備數(shù)據(jù)恢復(fù)的能力并定義清楚數(shù)據(jù)恢復(fù)的時間限制等等。同時和服務(wù)商簽訂服務(wù)質(zhì)量保證協(xié)議，明確出現(xiàn)服務(wù)故障時的陪償方案。

3.2 經(jīng)常備份數(shù)據(jù)

存儲在云里的數(shù)據(jù)，要經(jīng)常備份，以免在云計算服務(wù)遭受攻擊、數(shù)據(jù)丟失的情況下，數(shù)據(jù)得不到恢復(fù)。而且當(dāng)因為網(wǎng)絡(luò)故障或云服務(wù)故障，無法通過云取得需要關(guān)鍵數(shù)據(jù)時，備份的數(shù)據(jù)也會非常有用。

3.3 增強安全防范意識，不將敏感或核心數(shù)據(jù)放在云端

太重要的數(shù)據(jù)，尤其是商業(yè)機密不要放到云里，或者建立企業(yè)的“私有云”。私有云也叫企業(yè)云，它是居于企業(yè)防火墻以內(nèi)的一種更加安全穩(wěn)定的云計算環(huán)境，企業(yè)擁有云計算環(huán)境的自主權(quán)。

對于確實需要放到公共云上的數(shù)據(jù)，要將其加密后再放到云端保存。現(xiàn)在的數(shù)據(jù)安全，核心技術(shù)還是密碼技術(shù)。透明加密技術(shù)可以幫助企業(yè)強制執(zhí)行安全策略。加密機制可以保證存儲在云里的數(shù)據(jù)只能是以密文的形式存在，防止云計算服務(wù)提供商的管理員或互聯(lián)網(wǎng)提供商的管理員或其他人員例如黑客、競爭對手等看到在網(wǎng)絡(luò)中傳送或在云中保存、使用的企業(yè)數(shù)據(jù)；企業(yè)可自主控制數(shù)據(jù)安全性，不再被動依賴服務(wù)提供商的安全保障措施。

3.4 增強訪問控制，明確誰可以訪問企業(yè)的數(shù)據(jù)

向云計算服務(wù)提供商要求提供粒度足夠細(xì)的訪問控制。云計算服務(wù)提供商可以使用虛擬局域網(wǎng)、虛擬防火墻等來實現(xiàn)訪問控制。

企業(yè)自身也需要對數(shù)據(jù)進行監(jiān)控?？蛻艨梢砸笤朴嬎惴?wù)提供商提供客戶的數(shù)據(jù)和應(yīng)用程序的監(jiān)控日志，以便知道客戶的系統(tǒng)目前的運行狀態(tài)和是否被非法訪問。還可以使用過濾器監(jiān)視哪些數(shù)據(jù)離開了客戶的網(wǎng)絡(luò)，并自動阻止敏感數(shù)據(jù)的外泄。同時，客戶也應(yīng)該意識到威脅不只是來自于數(shù)據(jù)中心外部，在把敏感和機密的數(shù)據(jù)放在私有云中的同時，對私有云內(nèi)部人員也要進行必要的監(jiān)控，詳細(xì)記錄何人、何時、何地對什么數(shù)據(jù)進行了何種處理，以便日后查考。

4 結(jié)束語

在目前的技術(shù)水平下，在行業(yè)標(biāo)準(zhǔn)和政策法律法規(guī)都不明確的情況下，絕對的云安全是談不上的，需要技術(shù)和管理來控制風(fēng)險。本文根據(jù)云計算的特點，分析了云計算的主要安全風(fēng)險，包括來自云計算服務(wù)提供商的安全風(fēng)險、來自網(wǎng)絡(luò)的安全風(fēng)險、虛擬化的安全風(fēng)險和邊界安全模型失效帶來的安全風(fēng)險，并探討了降低這些風(fēng)險的主要思路，使云計算用戶能積極部署風(fēng)險管理，在享受云計算諸多好處的同時，盡量把安全風(fēng)險降到最低。

參考文獻：

[1] Barroso LA， Dean J， Holzle U. Web search for a planet:The Google cluster architecture[J].IEEE Micro，2003，23(2):22-28

[2] Cloud Security Alliance (in Chinese). Certificate of Cloud Security Knowledge[EB/OL].http://www.cloudsecurityalliance.org，2012.

[2] Vipul Goyal， Omkant Pandey， Amit Sahai， Brent Waters.

Attribute-Based encryption for fine-grained access control of encrypted data[A]. Proceedings of the 13th ACM conference on Computer and communications security， CCS 2006[C].New York:ACM Press，2006:89-98

[3] Malek B， Miri A. Combining attribute-based and access systems [A].Computational Science and Engineering， 2009.CSE ''09. International Conference[C].Vancouver:IEEE Computer Society，2009:305-312

[4] 洪澄，張敏，馮登國.AB-ACCS:一種云存儲密文訪問控制方法[J].計算機研究與發(fā)展，2010.47(增刊I):259-265

[5] Roy I， Ramadan HE， Setty STV， Kilzer A， Shmatikov V， Witchel E.

Airavat:Security and privacy for MapReduce[A]. NSDI''10 Proceedings of the 7th USENIX conference on Networked systems design and implementation[C]. Berkeley:USENIX Association，2010:297-312

[6] 馮登國，張敏，張妍，徐震.云安全研究[J].軟件學(xué)報，2011.22(1):71-83