李慶吉

【摘 要】云計算作為一項全新的互聯(lián)網(wǎng)應(yīng)用商業(yè)模式，各類應(yīng)用發(fā)展迅速，而安全性是用戶選 擇云計算應(yīng)用時的首要考慮因素，也是云計算實現(xiàn)健康可持續(xù)發(fā)展的基礎(chǔ)。本文在總結(jié)分析 云計算應(yīng)用面臨的技術(shù)層面安全威脅的基礎(chǔ)上，對云計算應(yīng)用安全進行了系統(tǒng)分析與研究，并分別從云計算服務(wù)提供商和用戶角度提出云計算應(yīng)用安全策略與建議。

【關(guān)鍵詞】云計算；云安全；網(wǎng)絡(luò)安全技術(shù)

【中圖分類號】TP393【文獻標(biāo)識碼】A【文章編號】1672-5158（2013）02-0032-01

1.云計算應(yīng)用存在的安全風(fēng)險

云計算應(yīng)用為廣大用戶提供了極大方便，但是由于其將大量的用戶、信息資源集中化，一旦出現(xiàn)安全事件，其后果和風(fēng)險不堪設(shè)想。09年，谷歌、微軟、亞馬遜等公司的云安全系統(tǒng)都出現(xiàn)了不同程度的故障，對客戶的信息服務(wù)產(chǎn)生了重大影響，也使得業(yè)界人士更加重視云計算應(yīng)用的安全問題。

1.1 云主機服務(wù)安全問題

（1）云計算用戶實名認證機制尚未建立。在用戶注冊時，系統(tǒng)要求用戶必須填寫真實姓名、有效證件號碼和聯(lián)系方式等，但這些信息的真實性值得商榷。如果個別不法分子用偽造的身份證，成功獲得云主機資源的使用權(quán)后，肆意發(fā)布不良信息，或者從事黑客活動，很難追根溯源，落實當(dāng)事人身份成為一大難題。

（2）云計算資源分配缺乏有效控制。用戶只要向賬戶中充值，或者滿足一定條件成為VIP用戶，即可申請使用云主機功能，用戶藉此可運作任何互聯(lián)網(wǎng)業(yè)務(wù)。雖然安全備案選項中規(guī)定用戶想要開辦網(wǎng)站必須提供備案號，但實際中，系統(tǒng)一般不會對用戶的主機實行端口限制，也即允許用戶可使用云主機開展任何網(wǎng)絡(luò)業(yè)務(wù)。

（3）云計算主機存在安全漏洞，面臨黑客攻擊風(fēng)險。一般的云主機都提供了木馬掃描和殺毒服務(wù)。但是，是否安裝只取決于用戶，而且此類防護級別較低，只針對Windows終端，云主機面臨攻擊的風(fēng)險較大。

1.2 PaaS服務(wù)安全問題

開發(fā)者通過PaaS平臺提供的受限托管環(huán)境，能夠進行應(yīng)用開發(fā)，并使用諸如內(nèi)存緩存、下載存儲、任務(wù)隊列一類的服務(wù)。其潛在的安全問題包括以下幾方面：

（1）信息發(fā)布服務(wù)的審核環(huán)節(jié)較為寬松，缺乏備案。PaaS服務(wù)具有信息發(fā)布和托管功能，并且有良好接口，可以方便的與微博、微信等第三方應(yīng)用平臺配合使用，借助API方式供他人使用。不過現(xiàn)階段的大部分PaaS應(yīng)用都沒有獨立備案。

（2）平臺漏洞可能導(dǎo)致越權(quán)訪問。PaaS平臺的應(yīng)用開發(fā)環(huán)境有限制，但其編程環(huán)境的技術(shù)漏洞被利用后，用戶便可以訪問底層資源，盜用其他用戶信息。公共服務(wù)層的漏洞會導(dǎo)致非法訪問劇增，并造成網(wǎng)絡(luò)資源浪費。

1.3 云存儲安全問題

微盤默認給用戶1GB的存儲空間，部分微盤為方便用戶同步文件，還提供桌面或網(wǎng)頁客戶端，微盤發(fā)布信息的自由度較大，這是最主要的安全問題。當(dāng)前，微盤用戶身份無需驗證。分享發(fā)布信息愈發(fā)方便快捷，這使得微盤信息的覆蓋面廣、傳播速度快，這為惡意程序、不良信息的散布提供了溫床。

1.4 SaaS服務(wù)安全問題

SaaS服務(wù)是面向企業(yè)單位，主要有以下兩個問題：

（1）數(shù)據(jù)丟包和服務(wù)宕機。企業(yè)啟用SaaS服務(wù)后，會將關(guān)鍵數(shù)據(jù)和日常事務(wù)信息同平臺關(guān)聯(lián)，服務(wù)可靠性、數(shù)據(jù)保密性是關(guān)鍵點。

（2）商業(yè)機密遭竊風(fēng)險。SaaS的應(yīng)用環(huán)境較為寬松，公共服務(wù)平臺、應(yīng)用軟件本身、底層設(shè)施對SaaS用戶均是完全透明，SaaS平臺企業(yè)的品牌度、信賴度需要接受第三方部門的監(jiān)管。

2.應(yīng)對策略和建議

根據(jù)服務(wù)對象和服務(wù)范圍的不同，云計算分為私有云、公共云和混合云三種。私有云安全實現(xiàn)較容易，傳統(tǒng)IT保護措施可直接應(yīng)用到私有云上。后二者安全性要求較為復(fù)雜，需要云計算運營商和客戶配合實施。

2.1 云計算服務(wù)提供商

數(shù)據(jù)安全性、計算環(huán)境隔離、服務(wù)質(zhì)量保證都是運營商要重點考慮的內(nèi)容。結(jié)合現(xiàn)階段云計算應(yīng)用面臨的各種安全問題，建議采取以下應(yīng)對策略：

（1）提高云計算系統(tǒng)的穩(wěn)定性、連續(xù)性，建立完善的系統(tǒng)安全防御機制。

A.嚴格限制惡意程序、病毒木馬在云計算平臺中的傳播，一經(jīng)發(fā)現(xiàn)，及時查殺；

B.建立實時監(jiān)控系統(tǒng)，對云計算系統(tǒng)的數(shù)據(jù)包進行篩選，同時關(guān)注系統(tǒng)運行狀態(tài)，及時修復(fù)網(wǎng)絡(luò)故障，并有相應(yīng)的應(yīng)急預(yù)案；

C.部署防火墻或與大型軟件公司合作，防范黑客攻擊造成的服務(wù)器癱瘓；

D.完善云計算平臺的容錯能力，重要系統(tǒng)、數(shù)據(jù)要進行異地備份；

（2）加強對用戶信息的保護。

A.對用戶信息進行隔離保護，確保用戶信息能夠安全存儲，并建立明確的用戶邊界邏輯關(guān)系；

B.在用戶傳輸數(shù)據(jù)時，藉由數(shù)據(jù)加密、VPN等技術(shù)保證傳輸?shù)膯蜗蛐院桶踩裕?/p>

C.完善數(shù)據(jù)加密和密鑰管理機制，定期進行用戶信息的管理維護；

D.在發(fā)生突發(fā)狀況時，要能夠在最短時間內(nèi)為用戶恢復(fù)數(shù)據(jù)。

（3）身份認證控制

要有嚴格的身份管理制度、安全認證機制和分明的訪問權(quán)限設(shè)置，并保存用戶訪問記錄，方便日后查詢。

（4）云計算數(shù)據(jù)中心的安全審查機制亟待完善，要成立專門的班組成員進行日志審查管理，及時了解云計算服務(wù)器的操作、維護、檢修情況，一旦出現(xiàn)違規(guī)現(xiàn)象，要及時糾察。

2.2 云計算用戶

廣大用戶首先要對云計算有一個清晰的認識，明確云計算服務(wù)與自身業(yè)務(wù)的結(jié)合點，節(jié)本增效、事半功倍；同時也要采取必要的手段，盡量降低云計算服務(wù)遷移可能帶來的安全風(fēng)險。

（1）私有云業(yè)務(wù)

私有云應(yīng)用范圍較小，一般在企業(yè)內(nèi)部，安全風(fēng)險較低，常見的問題有軟件許可等級、應(yīng)用穩(wěn)定性、SLA等。用戶需要采取成熟的技術(shù)實現(xiàn)手段，做好運行管理工作，具體的方法可以參照上文。另外，系統(tǒng)容錯、數(shù)據(jù)還原機制也要逐步完善，提高企業(yè)應(yīng)對各類突發(fā)事件的能力。

（2）公共云業(yè)務(wù)

A.選擇信譽好的云服務(wù)運行商，降低連帶業(yè)務(wù)風(fēng)險；

B.有選擇性的進行業(yè)務(wù)遷移。對于核心知識產(chǎn)權(quán)、關(guān)鍵技術(shù)一類的敏感信息，在做好萬全的測試驗證前，最好不要盲目遷移；

C.對協(xié)議內(nèi)容有一個清晰的把握，諸如SLA協(xié)議、隱私協(xié)議等敏感之處，要倍加小心，企業(yè)應(yīng)要求服務(wù)商及時更新數(shù)據(jù)系統(tǒng)，實現(xiàn)與自身業(yè)務(wù)的良好匹配；

D.了解服務(wù)商的數(shù)據(jù)存儲地點，在必要時，要抓住數(shù)據(jù)存放點的主動權(quán)，避免因不同地區(qū)、國家的法律差異而引起的業(yè)務(wù)糾紛。

再者，云計算服務(wù)的涉及范圍多是一些敏感重要的信息，政府和監(jiān)管部門要制定相關(guān)的法律法規(guī)，保證云計算應(yīng)用服務(wù)的安全性和法律適用性。

結(jié)束語

安全是云計算實現(xiàn)長久發(fā)展的基石。只有為用戶提供可靠穩(wěn)定、方便快捷、性價比高的云計算服務(wù)，企業(yè)才能獲得可持續(xù)發(fā)展。相信隨著云計算市場的完善，以及政府部門針對這一塊的法律條文的健全，云計算服務(wù)將會煥發(fā)出勃勃生機！

參考文獻

[1] 《虛擬化與云計算》小組.虛擬化與云計算[M].北京：電子工業(yè)出版社，2009.

[2] 李德毅.云計算熱點分析[G]//北京：第二屆中國云計算大會， 2010.