摘 要：隨著全球云計算產(chǎn)業(yè)的興起，云安全領(lǐng)域也取得了突破式發(fā)展。云計算正在轉(zhuǎn)化傳統(tǒng)的數(shù)據(jù)中心，包括公有云和私有云。企業(yè)將數(shù)據(jù)中心虛擬化，并將工作負(fù)荷和數(shù)據(jù)擴展到公有云，數(shù)據(jù)中心外圍逐漸縮小。隨著數(shù)據(jù)中心從物理轉(zhuǎn)換為虛擬，并最終遷移到云端，企業(yè)業(yè)務(wù)將面臨新的安全和管理的挑戰(zhàn)。

關(guān)鍵詞：云計算；云安全；云服務(wù)

1 什么是云計算

據(jù)統(tǒng)計，目前云計算的定義超過50種。不同的專家、企業(yè)都從自己的角度對云計算的概念進(jìn)行了定義。其中得到認(rèn)可的、比較權(quán)威的是美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的定義。

NIST對云計算的定義：云計算是一個模型，這個模型可以方便地按需訪問一個可配置的計算資源（如網(wǎng)絡(luò)、服務(wù)器、存儲設(shè)備、應(yīng)用程序以及服務(wù)）的公共集。這些資源可以被迅速提供并發(fā)布，同時最小化管理成本或服務(wù)提供商的干涉。云計算模型由五個基本特征、三種服務(wù)模型和四種發(fā)布形態(tài)組成。

云計算的五個基本特征：按需自助服務(wù)、廣泛的網(wǎng)絡(luò)訪問、資源共享、快速的可伸縮性、可度量的服務(wù)。

云計算的三種服務(wù)模型：軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）、架構(gòu)即服務(wù)（IaaS）。

云計算的四種發(fā)布形態(tài)：私有云、社區(qū)云、公有云、混合云。

2 云計算的安全挑戰(zhàn)

近段時間以來，國內(nèi)外先后發(fā)生數(shù)據(jù)中心或云主機宕機事件，對企業(yè)和用戶造成了一定的損失。云安全這個問題又一次被擺上了臺面，吸引了人們的目光。

2.1 易混淆的云計算安全

云安全的產(chǎn)業(yè)鏈條，包括了云安全環(huán)境、云安全設(shè)計、云安全部署、云安全交付、云安全管理、再到云安全咨詢，是一個閉環(huán)。IDC 報告指出，云的安全性至少包含兩個層次，一是制約用戶接受云計算的信用環(huán)境問題，這是云計算得以應(yīng)用的基礎(chǔ)，也是廣泛推廣的門檻，然后才是云計算的應(yīng)用安全。而其中，良好的信用環(huán)境是云計算安全之基礎(chǔ)，也就是說，只有用戶認(rèn)可并采用了云服務(wù)，接下來才談得上云安全的技術(shù)問題。對于云安全的推動和實現(xiàn)，市場上的云安全提供商也發(fā)出不同的聲音。

同時不容忽視的是云計算安全，它與云安全的區(qū)別是Security for the cloud和Security form the cloud。云計算安全指的是如何保護(hù)云計算環(huán)境本身的安全性，云安全指的是如何利用云計算技術(shù)給用戶提供安全服務(wù)。

2.2 云計算安全七宗罪

安全專家表示，選擇云計算的企業(yè)可能熟悉多重租賃（多個公司將其數(shù)據(jù)和業(yè)務(wù)流程托管存放在SaaS服務(wù)商的同一服務(wù)器組上）和虛擬化等概念，但這并不表示他們完全了解云計算的安全情況。

安全專家Reavis認(rèn)為，選擇云計算時企業(yè)應(yīng)該采取更加務(wù)實的做法，如采用風(fēng)險評估來了解真正的風(fēng)險以及如何降低風(fēng)險，然后再決定是否應(yīng)該采用云計算技術(shù)。

云安全聯(lián)盟與惠普公司共同列出了云計算的七宗罪，主要是基于對29家企業(yè)、技術(shù)供應(yīng)商和咨詢公司的調(diào)查結(jié)果而得出的結(jié)論。

⑴數(shù)據(jù)丟失/泄漏：云計算中對數(shù)據(jù)的安全控制力度并不十分理想，API訪問權(quán)限控制以及密鑰生成、存儲和管理方面的不足都可能造成數(shù)據(jù)泄漏，并且還可能缺乏必要的數(shù)據(jù)銷毀策略。

⑵共享技術(shù)漏洞：在云計算中，錯誤的配置可能會造成嚴(yán)重影響，因為云計算環(huán)境中的很多虛擬服務(wù)器共享著相同的配置。因此必須為網(wǎng)絡(luò)和服務(wù)器執(zhí)行服務(wù)水平協(xié)議（SLA），以確保及時安裝修復(fù)程序。

⑶內(nèi)奸：云計算服務(wù)供應(yīng)商對工作人員背景的調(diào)查力度可能與企業(yè)數(shù)據(jù)訪問權(quán)限的控制力度有所不同，很多供應(yīng)商在這方面做得不錯，但還不夠，企業(yè)需要對供應(yīng)商進(jìn)行評估并提出如何篩選員工的方案。

⑷帳戶、服務(wù)和通信劫持：很多數(shù)據(jù)、應(yīng)用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機。因此建議主動監(jiān)控這種威脅，并采用多重身份驗證機制。

⑸不安全的應(yīng)用程序接口：在開發(fā)應(yīng)用程序方面，企業(yè)必須將云計算看作是新的平臺，而不是外包。在應(yīng)用程序的生命周期中，必須部署嚴(yán)格的審核過程，開發(fā)者可以運用某些準(zhǔn)則來處理身份驗證、訪問權(quán)限控制和加密。

⑹沒有正確運用云計算：在運用技術(shù)方面，黑客可能比技術(shù)人員進(jìn)步更快，黑客通常能夠迅速采取新的攻擊技術(shù)在云計算中自由穿行。

⑺未知的風(fēng)險：透明度問題一直困擾著云服務(wù)供應(yīng)商，用戶僅使用前端界面，他們無法確切知道供應(yīng)商使用的是哪種平臺以及將面臨何種風(fēng)險。

另外，云計算也有有網(wǎng)絡(luò)方面的隱憂。由于病毒破壞，網(wǎng)絡(luò)環(huán)境等因素，一旦網(wǎng)絡(luò)出現(xiàn)問題，云計算反而成了桎梏。

3 云計算的發(fā)展與未來

云計算的發(fā)展大致分為三個階段：首先是準(zhǔn)備階段，主要進(jìn)行技術(shù)儲備和概念推廣，解決方案和商業(yè)模式尚在嘗試中，用戶對云計算認(rèn)知度仍然較低，成功案例較少；其次是起飛階段，這一時期成功案例逐漸豐富，用戶對云計算的了解和認(rèn)可程序也不斷提高，越來越多的廠商開始介入，市場上出現(xiàn)大量的應(yīng)用解決方案；第三是成熟階段，云計算產(chǎn)業(yè)鏈、行業(yè)生態(tài)環(huán)境基本穩(wěn)定，各廠商解決方案更加成熟穩(wěn)定，用戶云計算應(yīng)用取得良好的效果，并成為IT系統(tǒng)不可或缺的組成部分。

在云計算產(chǎn)業(yè)實際推進(jìn)的過程中，2011年無疑是云計算應(yīng)用的元年，各地云計算數(shù)據(jù)中心相繼興建和完善，很多軟硬件廠商也推出了云計算發(fā)展規(guī)劃和相應(yīng)的云計算產(chǎn)品及解決方案，云計算產(chǎn)業(yè)呈現(xiàn)出強勁的發(fā)展勁頭。

毫無疑問，云計算確實給企業(yè)帶來了新的契機?！?012年中國云計算安全調(diào)查報告》顯示：

⑴2012年，79.6的企業(yè)在進(jìn)行或考慮用云計算來做事（PaaS、IaaS、SaaS、云存儲/備份、私有云、混合云）。

⑵超過22.8%的企業(yè)正在使用私有云，50%的企業(yè)正在考慮建設(shè)私有云。

⑶企業(yè)當(dāng)前使用最多的云服務(wù)依次為電子郵件業(yè)務(wù)管理應(yīng)用（如谷歌APP、微軟Office）、遠(yuǎn)程存儲/備份、網(wǎng)絡(luò)監(jiān)控/管理。

……

然而，過去一年里爆發(fā)的云計算安全事件，如亞馬遜云計算中心宕機、微軟云計算交換在線服務(wù)故障、谷歌郵箱用戶數(shù)據(jù)泄露等，使云計算產(chǎn)業(yè)的發(fā)展不可避免地遭遇了瓶頸。

另外，從調(diào)查報告中我們也看到：

⑴企業(yè)表示對信用卡數(shù)據(jù)、商業(yè)或合作伙伴的財務(wù)數(shù)據(jù)和客戶身份信息等特殊類型的數(shù)據(jù)永遠(yuǎn)不會遷移到云端。

⑵在云計算模型中，企業(yè)認(rèn)為私有云是最安全的，其次為基礎(chǔ)設(shè)施即服務(wù)（IaaS），平臺即服務(wù)（PaaS）位居第三。

⑶在云計算模型中，企業(yè)認(rèn)為軟件即服務(wù)（SaaS）是最不安全的。

……

不難看出，安全問題仍是橫亙在云計算與企業(yè)之間的一扇門。能否破解這道難題，是擺在云服務(wù)提供商、信息安全廠商面前的又一道坎，也是云計算未來能否實現(xiàn)跨越式發(fā)展?jié)饽夭实囊还P。

4 總結(jié)

有業(yè)內(nèi)人士認(rèn)為云安全是一個偽命題，這種說法過于激進(jìn)，但也是有一定道理的。安全永遠(yuǎn)是相對的，沒有絕對的安全存在。就好像飛機是目前最安全的交通方式，卻還是會出現(xiàn)事故一樣。現(xiàn)在云計算的概念非?；馃幔絹碓蕉嗟钠髽I(yè)也已經(jīng)意識到云計算的重要性，開始投資部署云計算。

可以預(yù)見，隨著新的安全解決方案和技術(shù)的不斷出現(xiàn)，企業(yè)的業(yè)務(wù)、數(shù)據(jù)管理模式必將發(fā)生革命性的變化，但無論如何發(fā)展，統(tǒng)一、簡單、自動化、現(xiàn)代化的數(shù)據(jù)管理模式必將成為主流，也將為企業(yè)帶來更多收益。

[參考文獻(xiàn)]

[1]《2012年中國云計算安全調(diào)查報告》.