石菲

曾經(jīng)遠(yuǎn)在天邊的云計(jì)算現(xiàn)在已觸手可及。但現(xiàn)在企業(yè)最關(guān)心的是，當(dāng)他們將數(shù)據(jù)從自己的“保險(xiǎn)箱”里取出來(lái)放置到千里之外的云端后，由誰(shuí)來(lái)為這些數(shù)據(jù)保駕護(hù)航。如何消除企業(yè)的這些顧慮，成為云計(jì)算運(yùn)營(yíng)服務(wù)商的當(dāng)務(wù)之急。

同時(shí)，隨著員工對(duì)移動(dòng)應(yīng)用需求的加強(qiáng)，很多企業(yè)也不得不面對(duì)移動(dòng)云計(jì)算帶來(lái)的安全問(wèn)題。

為此，《中國(guó)信息化》采訪了IEEE（美國(guó)電氣和電子工程師協(xié)會(huì)）會(huì)員，中國(guó)科學(xué)院信息工程研究所總工程師，數(shù)據(jù)與通信保護(hù)研究教育中心主任荊繼武，就云計(jì)算的安全技術(shù)話題進(jìn)行了探討。

四方面嚴(yán)守云安全

荊繼武表示，云計(jì)算中的安全問(wèn)題散布在云計(jì)算的各個(gè)層次、各個(gè)環(huán)節(jié)。從單一的視角很難對(duì)云計(jì)算中的安全問(wèn)題有全面的認(rèn)識(shí)。他認(rèn)為從技術(shù)角度考慮，云計(jì)算中的安全問(wèn)題主要集中在以下四個(gè)方面。

首先是資源獨(dú)立性與數(shù)據(jù)隔離問(wèn)題。資源租用是云計(jì)算資源共享的重要手段，大量的用戶可以共享共同的資源池。資源的共享可能會(huì)帶來(lái)信息的泄露，如何保障用戶的獨(dú)立性，保證云環(huán)境被合法租戶合理控制和合法使用也就成為云計(jì)算中的一個(gè)重要安全問(wèn)題。虛擬化技術(shù)推動(dòng)了不同系統(tǒng)之間的邏輯隔離，確保了正常的租戶系統(tǒng)之間不存在嚴(yán)重干擾，但黑客的攻擊常常能夠沖破這種隔離。由于黑客也可以成為云計(jì)算的租戶，如何確保運(yùn)行在同一個(gè)物理設(shè)備上的不同租戶應(yīng)用不會(huì)相互干擾，是云計(jì)算安全中的一個(gè)重要問(wèn)題。同時(shí)，云計(jì)算模式下用戶的大量數(shù)據(jù)也存儲(chǔ)到云端，離開(kāi)了用戶能夠控制的物理區(qū)域，相應(yīng)的也會(huì)產(chǎn)生用戶數(shù)據(jù)之間的隔離問(wèn)題。

其次是終端安全問(wèn)題。云計(jì)算模式下，BYOD（Bring Your Own Device）發(fā)展迅速。用戶使用自己的設(shè)備，例如手機(jī)、平板電腦等遠(yuǎn)程接入云網(wǎng)絡(luò)，處理企業(yè)或個(gè)人的業(yè)務(wù)和數(shù)據(jù)，將成為未來(lái)云計(jì)算的重要方式。由于用戶業(yè)務(wù)的處理主要依靠用戶操作，用戶持有的設(shè)備安全就成為影響云計(jì)算安全的重要因素。用戶終端的不安全可能帶來(lái)用戶假冒，信息偷竊等安全問(wèn)題，嚴(yán)重影響云計(jì)算的發(fā)展。

第三是用戶隱私保護(hù)問(wèn)題。由于大量的租戶使用集中的云資源，大量的用戶信息將保存在云服務(wù)器上。另外，租戶的業(yè)務(wù)數(shù)據(jù)以及客戶數(shù)據(jù)也將保存在云端。如何在技術(shù)上保證這些私人數(shù)據(jù)不被云提供商或其他機(jī)構(gòu)濫用，確保用戶的隱私也是云計(jì)算中亟待解決的一個(gè)安全問(wèn)題。

最后是多租戶安全鑒別問(wèn)題。租戶身份鑒別是云計(jì)算安全的基礎(chǔ)。多租戶安全鑒別不僅要關(guān)注大規(guī)模和跨云租戶身份鑒別的問(wèn)題，也需要關(guān)注租戶內(nèi)部用戶之間的關(guān)系管理問(wèn)題。隨著云服務(wù)價(jià)值的不斷提升，租戶鑒別的安全要求也會(huì)不斷提高。隨著云規(guī)模的增長(zhǎng)，租戶的規(guī)模也在不斷增長(zhǎng)。大規(guī)模用戶安全管理和云間的身份協(xié)同將成為云服務(wù)面臨的一個(gè)重要安全問(wèn)題。

從應(yīng)用角度來(lái)說(shuō)，雖然公有云和企業(yè)私有云面臨的安全問(wèn)題基本相同，但側(cè)重點(diǎn)有所不同。比如，在公有云中，用戶可能就是黑客，云服務(wù)器中運(yùn)行的程序可能就是黑客程序。相比而言，私有云中，云端運(yùn)行的應(yīng)用基本是確定的，一般不會(huì)出現(xiàn)黑客程序。從建立目標(biāo)來(lái)說(shuō)也有不同，公有云一般服務(wù)于安全要求不高的開(kāi)放性應(yīng)用，而私有云則主要為企業(yè)敏感型應(yīng)用提供更加安全的運(yùn)行環(huán)境。

荊繼武認(rèn)為未來(lái)在公有云的安全問(wèn)題中大規(guī)模不同類型的用戶身份管理會(huì)更加復(fù)雜；人們不信任云服務(wù)的安全，第三方安全檢測(cè)技術(shù)的需求會(huì)更加旺盛。針對(duì)其他用戶的攻擊，虛擬機(jī)間的強(qiáng)隔離技術(shù)要求也會(huì)更加迫切，用戶隱私保護(hù)問(wèn)題可能會(huì)更加突出。

而在私有云面臨的安全問(wèn)題中，由于云端應(yīng)用基本受企業(yè)控制， BYOD客戶端安全變得更加重要；私有云的主要目標(biāo)就是保護(hù)企業(yè)私有信息，企業(yè)信息資產(chǎn)保護(hù)需求是安全重點(diǎn)，云端存儲(chǔ)加密成為防止管理員誤用企業(yè)信息必備的技術(shù)手段。通過(guò)安全加密進(jìn)行連接的虛擬桌面技術(shù)可能成為企業(yè)私有云技術(shù)的一個(gè)典型代表。

移動(dòng)云的安全關(guān)

隨著員工的移動(dòng)性越來(lái)越強(qiáng)，使用智能手機(jī)、平板電腦等移動(dòng)設(shè)備在辦公室、家中以及出差期間辦公的員工數(shù)越來(lái)越多，越來(lái)越多企業(yè)開(kāi)始重視對(duì)移動(dòng)辦公的支持。

移動(dòng)應(yīng)用程序和服務(wù)公司正在拓展他們的解決方案，以解決員工的需求，尤其是擔(dān)負(fù)銷售、市場(chǎng)營(yíng)銷、客戶服務(wù)和支持這類職責(zé)的員工。據(jù)研究表明，員工在智能手機(jī)和平板電腦上進(jìn)行的主要活動(dòng)都包括：訪問(wèn)內(nèi)部網(wǎng)絡(luò)或門(mén)戶網(wǎng)站，以及使用電子郵件和日歷應(yīng)用程序。這些應(yīng)用的不同主要取決于使用的設(shè)備類型。例如，智能手機(jī)主要被用于閱讀或查看文檔，而平板電腦更適合用于編輯文檔，訪問(wèn)Web會(huì)議，或執(zhí)行耗費(fèi)處理器資源的活動(dòng)。

由于支持員工自有設(shè)備的做法日益盛行，因此公司必須考慮允許將個(gè)人移動(dòng)設(shè)備帶到辦公室的安全影響。

隨著移動(dòng)應(yīng)用的快速增長(zhǎng)，對(duì)手機(jī)等移動(dòng)終端的攻擊變得有利可圖，移動(dòng)終端安全逐步被用戶所關(guān)注。然而，主流手機(jī)OS中的安全機(jī)制面臨諸多挑戰(zhàn)。雖然蘋(píng)果公司在iOS上采取了多種技術(shù)手段確保手機(jī)上的數(shù)據(jù)安全，包括遠(yuǎn)程擦除功能、加密和數(shù)據(jù)保護(hù)等措施。但是近期也出現(xiàn)了惡意代碼的攻擊。

荊繼武認(rèn)為移動(dòng)終端的安全將是制約關(guān)鍵應(yīng)用推廣的一個(gè)重要因素，依賴于現(xiàn)有終端操作系統(tǒng)的安全機(jī)制已經(jīng)不能滿足安全需求，手機(jī)硬件安全將成為未來(lái)發(fā)展方向。ARM公司發(fā)布了TrustZone硬件安全架構(gòu)技術(shù)，MTM技術(shù)在手機(jī)上的應(yīng)用（移動(dòng)可信模塊Mobile Trusted Modules，簡(jiǎn)稱MTM）也已經(jīng)開(kāi)始進(jìn)入探索階段。

他表示，移動(dòng)應(yīng)用中，通信信道的信息保護(hù)會(huì)成為移動(dòng)應(yīng)用推廣中的一個(gè)障礙。由于終端的移動(dòng)，數(shù)據(jù)會(huì)通過(guò)多種不同的路徑連接到服務(wù)器，而應(yīng)用服務(wù)商對(duì)數(shù)據(jù)傳輸路徑的控制和管理是困難的。通信加密保護(hù)可能是解決移動(dòng)應(yīng)用中通信安全的有效技術(shù)手段。

“隨著云計(jì)算技術(shù)的推進(jìn)，特別是美國(guó)、德國(guó)、歐洲、日本等都已宣布了相應(yīng)的國(guó)家或者政府推進(jìn)云計(jì)算計(jì)劃，云安全備受關(guān)注。但實(shí)現(xiàn)高水平云計(jì)算安全仍然需要經(jīng)歷長(zhǎng)期而艱難的努力?！?荊繼武說(shuō)。