蔣輝芹

(泰州學(xué)院計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 泰州 225300)

云計算數(shù)據(jù)保密與安全問題研究

蔣輝芹

(泰州學(xué)院計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 泰州 225300)

云計算數(shù)據(jù)保密與安全問題是云計算技術(shù)發(fā)展面臨的最大挑戰(zhàn)之一.首先對云計算服務(wù)進(jìn)行概述，深入分析云計算服務(wù)中存在的安全問題，然后從硬件設(shè)備層、基礎(chǔ)管理層和應(yīng)用訪問層等三個方面提出了應(yīng)對云計算數(shù)據(jù)保密和安全問題的方案.

云計算；數(shù)據(jù)；保密；安全

云計算技術(shù)是一種新的數(shù)據(jù)存儲、訪問、處理和計算技術(shù)，具有計算效率高、成本低廉的特點，能夠高效實現(xiàn)對資源的整合和共享，以服務(wù)形式為客戶提供大規(guī)模數(shù)據(jù)存儲、處理和傳輸?shù)姆?wù).然而，云計算技術(shù)作為一種新興事物，諸如虛擬化和虛擬機(jī)使用、數(shù)據(jù)和用戶高度集中、數(shù)據(jù)位置不確定、云平臺可用性到達(dá)率不高、云平臺易遭受攻擊等帶來的安全問題，已經(jīng)阻礙了云計算技術(shù)的發(fā)展[1，2].基于云計算技術(shù)特殊的開放信息系統(tǒng)架構(gòu)，需要從硬件設(shè)備、管理層和訪問接口等方面進(jìn)行全面考慮，確保其每一個流程和步驟，都在安全的環(huán)境下，從而實現(xiàn)云計算服務(wù)的高效、便捷、安全、可擴(kuò)展，促進(jìn)云計算技術(shù)的發(fā)展和推廣.

1 云計算服務(wù)概念的界定

隨著互聯(lián)網(wǎng)技術(shù)和數(shù)字技術(shù)的快速發(fā)展，世界數(shù)據(jù)量呈現(xiàn)出前所未有的增長速度.近年來興起的云計算模式具備強(qiáng)大處理技術(shù)系統(tǒng)，適應(yīng)大規(guī)模的數(shù)據(jù)處理需求，能夠最大程度地節(jié)約成本，提高數(shù)據(jù)處理效率.

云計算的定義最早由谷歌公司在2006年提出，是分布式計算、并行計算、網(wǎng)格計算和效用計算的進(jìn)一步發(fā)展，是根據(jù)這些計算機(jī)科學(xué)概念所整合發(fā)展的新技術(shù)，主要通過服務(wù)模式對網(wǎng)絡(luò)計算資源進(jìn)行調(diào)整和使用[3].云計算系統(tǒng)中主要的組成部分“云”，是一種具有強(qiáng)大控制和監(jiān)管功能的由大量計算機(jī)所構(gòu)成的虛擬化資源池，通過網(wǎng)絡(luò)處理程序?qū)嫶蟮馁Y源(包括存儲器、服務(wù)器、網(wǎng)絡(luò)、應(yīng)用軟件和服務(wù)等)重新切割和分配[4]，從而實現(xiàn)資源的快速使用和共享，滿足用戶的需求.用戶在使用過程中，僅需要對其進(jìn)行委托，投入較少的管理工作，便可以獲得自己所需的服務(wù)，簡單而便捷.

云計算服務(wù)的主要特點是能夠根據(jù)用戶對數(shù)據(jù)管理和使用的動態(tài)需求，實現(xiàn)相應(yīng)的數(shù)據(jù)處理和計算.當(dāng)用戶缺乏所需要的數(shù)據(jù)或者資源支持時，向云端發(fā)送應(yīng)用服務(wù)請求，云計算系統(tǒng)通過對海量的數(shù)據(jù)進(jìn)行計算和處理，將結(jié)果返回給用戶，用戶根據(jù)自己所獲取的服務(wù)或資源繳付一定的費用，經(jīng)濟(jì)高效，大幅度地降低各行業(yè)數(shù)據(jù)系統(tǒng)構(gòu)建的成本.

2 云計算數(shù)據(jù)保密和安全問題研究的必要性

云計算作為一種新生事物，毫無疑問推動了計算機(jī)數(shù)據(jù)處理技術(shù)的發(fā)展.然而，新生事物往往是利弊相依的.云計算服務(wù)快速發(fā)展的同時，數(shù)據(jù)保密和安全問題成為影響云計算技術(shù)發(fā)展和推廣的重要因素.數(shù)據(jù)保密和安全主要包括在一定的網(wǎng)絡(luò)環(huán)境或者大型系統(tǒng)中，對云端的數(shù)據(jù)信息進(jìn)行保護(hù)，以免遭受惡意破壞、篡改、泄露、盜取等，維護(hù)系統(tǒng)的安全性，消除用戶的安全隱患.云計算系統(tǒng)具有透明性和開放性的特點，即系統(tǒng)的內(nèi)部組件和服務(wù)以完全透明開放的形式提供給數(shù)據(jù)用戶，而數(shù)據(jù)使用者只需要獲得合法身份和授權(quán)，便可以與云計算服務(wù)商達(dá)成互相信任的協(xié)議.在這種相互信任的關(guān)系下，云計算服務(wù)商需要確保數(shù)據(jù)的完整性、機(jī)密性和真實性.

盡管目前一些主流云計算提供商，爭相保證對用戶數(shù)據(jù)的安全性，但用戶依然時刻面臨諸如系統(tǒng)故障、服務(wù)延時、數(shù)據(jù)泄露、數(shù)據(jù)丟失、審計缺失等一系列安全問題.比如，數(shù)據(jù)用戶將數(shù)據(jù)存儲于其自身的硬盤設(shè)備中時，具備相當(dāng)高的安全性和操作權(quán)限，能極大保證數(shù)據(jù)的機(jī)密性和安全性.然而云計算由第三方服務(wù)商所提供，通常是獨立的實體，各自擁有自己的數(shù)據(jù)處理服務(wù)方案和安全保護(hù)方案.當(dāng)用戶將數(shù)據(jù)存儲到云端時，必然會失去對數(shù)據(jù)的控制，而數(shù)據(jù)的完整性和機(jī)密性完全交由云計算服務(wù)商來進(jìn)行操作實現(xiàn).當(dāng)前是數(shù)據(jù)爆炸的時代，云計算為解決龐大的數(shù)據(jù)處理和計算提供了可能，但這種不同于傳統(tǒng)計算的訪問和控制模式使得數(shù)據(jù)安全和保密問題成為云計算技術(shù)發(fā)展面臨的最大挑戰(zhàn)，很大程度上限制了云計算的優(yōu)勢發(fā)揮.

3 保證云計算數(shù)據(jù)機(jī)密和安全的方案

3.1 硬件設(shè)備層的安全保護(hù)

硬件設(shè)備層是云計算服務(wù)系統(tǒng)當(dāng)中最基礎(chǔ)的部分，為云計算提供較為全面的資源服務(wù)，實現(xiàn)對數(shù)據(jù)的存儲、處理和傳輸?shù)?作為云計算的基礎(chǔ)層，它的安全性直接影響著云計算服務(wù)及數(shù)據(jù)的安全，是整個云計算服務(wù)系統(tǒng)的安全基礎(chǔ).針對這方面的安全問題，可以從加固技術(shù)和虛擬化技術(shù)兩方面切入.

加固服務(wù)主要是指通過對基礎(chǔ)硬件設(shè)備進(jìn)行主動管理和監(jiān)控，確保安全可靠.主要包括管理和監(jiān)控云計算基礎(chǔ)設(shè)備所在地的供電狀況，及應(yīng)對自然災(zāi)害的安全能力是否符合相關(guān)參數(shù)要求；存儲設(shè)備的所在地的災(zāi)害恢復(fù)機(jī)制是否合理；存儲設(shè)備的維護(hù)和升級是否及時；存儲設(shè)備所在地的操作人員和管理人員的人工分配是否符合標(biāo)準(zhǔn)等.除了對一些日常行為的監(jiān)控外，還包括對存儲服務(wù)器和虛擬主機(jī)進(jìn)行補(bǔ)丁等主動防護(hù)措施，確保不會受到侵害.

另外，虛擬化和虛擬機(jī)技術(shù)是云計算技術(shù)的基礎(chǔ)，具有保證用戶數(shù)據(jù)安全和機(jī)密的功能.在使用主機(jī)虛擬化技術(shù)時，尤其要加強(qiáng)對鏡像文件數(shù)據(jù)安全進(jìn)行防護(hù)，保證數(shù)據(jù)用戶在訪問鏡像文件時，具備完整性和安全性；注意主機(jī)的安全防范工作，規(guī)避數(shù)據(jù)泄露和非法訪問等安全風(fēng)險，防止間諜軟件、木馬、病毒和黑客的攻擊；嚴(yán)密監(jiān)控虛擬服務(wù)器的運行狀態(tài)，實時監(jiān)控各虛擬機(jī)系統(tǒng)日志和防火墻日志；有效隔離部署在同一物理機(jī)器上的虛擬機(jī)對物理資源的使用；及時關(guān)閉不需要運行的虛擬機(jī).

3.2 基礎(chǔ)管理層的安全保護(hù)

基礎(chǔ)管理層同樣是云計算服務(wù)中的重要組成部分，對數(shù)據(jù)的機(jī)密性和安全性具有重要的意義.基礎(chǔ)管理層的基本運行原理是通過將云計算環(huán)境中不同硬件設(shè)備組合起來，統(tǒng)一向外提供Web服務(wù)，而這種運行機(jī)制必然導(dǎo)致Web服務(wù)在云環(huán)境中會受到外來侵害或者篡改，從而導(dǎo)致安全性受到威脅.針對基礎(chǔ)管理層的安全保護(hù)問題，可以從外部防御和內(nèi)部防范兩方面進(jìn)行考慮.

外部防御主要針對非法入侵和拒絕服務(wù)攻擊等來自系統(tǒng)外部的安全威脅.針對這類安全威脅，防御措施主要包括進(jìn)一步完善云計算系統(tǒng)的日志管理機(jī)制，實現(xiàn)對系統(tǒng)的有效監(jiān)控，防止外來非法侵害；強(qiáng)化對底層基礎(chǔ)存儲設(shè)備的數(shù)據(jù)加密工作，防止數(shù)據(jù)信息泄露；設(shè)置安全預(yù)警機(jī)制，當(dāng)基礎(chǔ)設(shè)備遭受非法侵害時，能夠?qū)⒐收显O(shè)備的存儲數(shù)據(jù)進(jìn)行備份，并且將讀寫請求轉(zhuǎn)移.這樣既保證了數(shù)據(jù)的私密性和完整性，又實現(xiàn)了服務(wù)的連續(xù)性.

內(nèi)部防范主要是指云計算服務(wù)商保留用戶修改云端服務(wù)器中原始數(shù)據(jù)的權(quán)限，并將修改后的數(shù)據(jù)安全返回給用戶.因為用戶的安全需求不同，內(nèi)部防范可以通過制定服務(wù)條款，來滿足用戶對數(shù)據(jù)安全的需求.

3.3 應(yīng)用訪問層的安全保護(hù)

應(yīng)用訪問層是連接服務(wù)系統(tǒng)與外界的紐帶，根據(jù)用戶的不同需求提供訪問接口，而用戶通過這些不同的接口對云端進(jìn)行訪問、計算、存儲和開發(fā)應(yīng)用程序.針對應(yīng)用訪問層的安全保護(hù)，可以通過控制接口及對應(yīng)資源、保證云計算服務(wù)器與用戶之間的認(rèn)證及授權(quán)不受侵害兩方面進(jìn)行考慮.

云計算的安全環(huán)境是由不同的安全區(qū)域所構(gòu)成的，這些可使用區(qū)域?qū)τ跀?shù)據(jù)的安全性和保密性具有十分重要的意義.簡單來說，云計算服務(wù)系統(tǒng)實際是服務(wù)器和存儲器的聯(lián)合體，它能夠?qū)崿F(xiàn)本地的資源共享，并受本地訪問控制列表的控制和監(jiān)督.通過對虛擬機(jī)的操作，遵守一定的訪問規(guī)則來管理本地的數(shù)據(jù)、資源和用戶，以保證局域網(wǎng)資源的安全.各個安全區(qū)域都有各自的安全機(jī)制，不同局域網(wǎng)之間應(yīng)在不違背原有的安全訪問規(guī)則的前提下，提供二者都能適應(yīng)的公共訪問接口.

另外，云計算服務(wù)還應(yīng)當(dāng)充分考慮不同的安全域數(shù)據(jù)用戶的創(chuàng)建、認(rèn)證和撤銷.在不同的安全域范圍內(nèi)采取用戶信息共享的方法，通過對用戶有效監(jiān)管，對其訪問服務(wù)和操作權(quán)限進(jìn)行控制，從而保證云計算數(shù)據(jù)的安全性和可靠性.

4 結(jié)語

顯然，機(jī)密、可靠、安全的云計算服務(wù)，給數(shù)據(jù)用戶帶來更好的資源和數(shù)據(jù)處理、存儲服務(wù)體驗.而云計算服務(wù)數(shù)據(jù)保密與安全問題是影響云計算技術(shù)推廣和發(fā)展的重要因素，解決云計算服務(wù)的數(shù)據(jù)安全和保密問題對云服務(wù)技術(shù)發(fā)展具有十分重要的意義.本文主要從硬件設(shè)備層、基礎(chǔ)管理層、應(yīng)用訪問層的安全保護(hù)這三個方面來實現(xiàn)，通過提高基礎(chǔ)設(shè)備的物理所在地安全、防侵害能力、Web服務(wù)內(nèi)外部防護(hù)能力以及對于不同的安全域之間的共享和訪問控制的防護(hù)能力，對云計算的數(shù)據(jù)保密性和安全性進(jìn)行控制和操作，確保用戶信息和服務(wù)器數(shù)據(jù)安全，更好的為用戶服務(wù).

[1]陳清金,陳存香,李曉宇.云計算安全框架分析. 中興通訊技術(shù),2015，(2):35-38.

[2]施珺,李慧,周立東.基于云計算的安全數(shù)據(jù)存儲研究.南京師大學(xué)報(自然科學(xué)版)，2012，(9):138-142.

[3]劉鵬.云計算[M]. 北京:電子工業(yè)出版社，2010.

[4]李志勇,易燦,劉彥姝.云計算數(shù)據(jù)保密與安全問題研究綜述[J].硅谷,2014，(1):52，66.

(責(zé)任編校：晴川)

Research of Data Confidentiality and Security of Cloud Computing

JIANG Huiqin

(College of Computer Science and Technology，Taizhou University, Taizhou Jiangsu 225300,China)

This paper first introduces the service of cloud computing, and then it analyzes exsiting security problems. The paper proposes solutions for the problem of data confidentiality and security of cloud computer from three aspects, including hardware device layer, basic management layer and application access layer.

cloud computing; data; confidentiality; security

2015-06-15

蔣輝芹(1976— )，女，江蘇泰興人，泰州學(xué)院計算機(jī)科學(xué)與技術(shù)學(xué)院講師，碩士.研究方向：計算機(jī)技術(shù).

TP309

A

1008-4681(2015)05-0047-03