劉東升， 樊沛， 張亮

(61716部隊(duì)，福建 福州350001)

云計(jì)算環(huán)境下數(shù)據(jù)安全防護(hù)探討

劉東升， 樊沛， 張亮

(61716部隊(duì)，福建 福州350001)

近年來(lái),隨著云計(jì)算技術(shù)的發(fā)展,越來(lái)越多的企業(yè)和個(gè)人用戶(hù)開(kāi)始使用云計(jì)算。但是隨著云計(jì)算中企業(yè)和用戶(hù)的信息增多,人們開(kāi)始擔(dān)心他們的數(shù)據(jù)在云計(jì)算環(huán)境中是否安全。為了提升云計(jì)算環(huán)境中數(shù)據(jù)的安全性,保護(hù)用戶(hù)的隱私,本文從云計(jì)算環(huán)境中的數(shù)據(jù)創(chuàng)建、存儲(chǔ)、使用、共享、歸檔、銷(xiāo)毀六個(gè)階段生命周期的角度探討了云計(jì)算環(huán)境中數(shù)據(jù)面臨的安全威脅,并給出了提升數(shù)據(jù)安全的幾點(diǎn)建議。

云計(jì)算;數(shù)據(jù)安全;隱私;挑戰(zhàn)

0 引言

近年來(lái),隨著Internet技術(shù)的蓬勃發(fā)展和廣泛應(yīng)用,云計(jì)算(Cloud Computing)的相關(guān)方法和技術(shù)在國(guó)家越來(lái)越多的核心部門(mén)得到了采納和應(yīng)用。根據(jù)IDC咨詢(xún)公司的預(yù)測(cè),未來(lái)5年內(nèi),IT云服務(wù)上的支出將增長(zhǎng)3倍,到2012年將達(dá)到420億美元,占IT支出增長(zhǎng)總量中的25%。由于云計(jì)算代表未來(lái)信息技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展方向,各國(guó)政府都出臺(tái)了相應(yīng)的政策力推云計(jì)算在本國(guó)的發(fā)展。例如,2009年9月,美國(guó)總統(tǒng)奧巴馬宣布將執(zhí)行云計(jì)算政策,希望借助應(yīng)用虛擬化來(lái)壓縮美國(guó)政府的經(jīng)濟(jì)支出;2012年美軍公布了價(jià)值2.5億美元的軍隊(duì)私有云項(xiàng)目(Army Private Cloud Contract,APC2)用于將現(xiàn)有的應(yīng)用程序和數(shù)據(jù)遷移到該私有云上;中央情報(bào)局(CIA)和Amazon簽署了價(jià)值6億美元的私有云合同;在我國(guó),多個(gè)城市都公布了云計(jì)算發(fā)展計(jì)劃,并成立了相應(yīng)的云計(jì)算數(shù)據(jù)中心。

1 云計(jì)算安全現(xiàn)狀

云計(jì)算發(fā)展面臨許多關(guān)鍵性問(wèn)題,而安全問(wèn)題首當(dāng)其沖[1],并且隨著云計(jì)算的不斷普及,安全問(wèn)題的重要性呈現(xiàn)逐步上升趨勢(shì),已成為制約其發(fā)展的重要因素。2009年,著名的IT研究機(jī)構(gòu)IDC發(fā)布的一項(xiàng)調(diào)查報(bào)告表明了云計(jì)算服務(wù)面臨三大挑戰(zhàn):安全性、穩(wěn)定性和性能問(wèn)題,其中安全問(wèn)題是最受關(guān)注的問(wèn)題[2]。美國(guó)知名IT市場(chǎng)研究公司Gartner發(fā)布的《云計(jì)算安全風(fēng)險(xiǎn)評(píng)估》研究報(bào)告系統(tǒng)總結(jié)了云計(jì)算面臨的7個(gè)安全威脅[3],如表一所示:

表1 云計(jì)算面臨的風(fēng)險(xiǎn)

雖然云計(jì)算產(chǎn)業(yè)是未來(lái)IT產(chǎn)業(yè)界的一個(gè)亮點(diǎn),具有廣泛的市場(chǎng)應(yīng)用前景,但是云計(jì)算面臨的七大潛在安全風(fēng)險(xiǎn)也讓用戶(hù)意識(shí)到了云計(jì)算系統(tǒng)并不是牢不可破,毫無(wú)漏洞的,也存在著數(shù)據(jù)和隱私泄露的風(fēng)險(xiǎn)。近年來(lái),云計(jì)算領(lǐng)域已經(jīng)發(fā)生過(guò)多起數(shù)據(jù)泄漏、隱私保護(hù)等安全問(wèn)題,數(shù)據(jù)隔離風(fēng)險(xiǎn)與長(zhǎng)期生存性風(fēng)險(xiǎn)問(wèn)題較為突出在數(shù)據(jù)隔離風(fēng)險(xiǎn)方面,2009年3月,Google發(fā)生大批用戶(hù)文件外泄事件。除了企業(yè)之外另一方面,一些國(guó)家層面的行為也會(huì)導(dǎo)致用戶(hù)數(shù)據(jù)和隱私泄露問(wèn)題的出現(xiàn)。例如,2014年1月14號(hào)出版的紐約時(shí)報(bào)報(bào)道稱(chēng),根據(jù)斯諾登的爆料,美國(guó)情報(bào)部門(mén)在中國(guó)設(shè)立了兩個(gè)數(shù)據(jù)中心,通過(guò)收集分析中國(guó)用戶(hù)存儲(chǔ)在數(shù)據(jù)中心的資料來(lái)獲取有價(jià)值的情報(bào)[4]。在長(zhǎng)期生存性風(fēng)險(xiǎn)方面,2009年2月和7月,亞馬遜的“簡(jiǎn)單存儲(chǔ)服務(wù)(Simple Storage Service,S3)”兩次中斷導(dǎo)致依賴(lài)于網(wǎng)絡(luò)單一存儲(chǔ)服務(wù)的網(wǎng)站被迫癱瘓等等[5]。這些安全事故和負(fù)面消息使得用戶(hù)對(duì)云計(jì)算的安全性產(chǎn)生了懷疑,進(jìn)而影響到云計(jì)算的發(fā)展和推廣。

為了應(yīng)對(duì)云計(jì)算面臨的安全威脅,保護(hù)用戶(hù)的數(shù)據(jù)安全,多國(guó)政府出臺(tái)了一系列的規(guī)定。例如2011年美國(guó)正式啟動(dòng)了云計(jì)算的《聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃》(FedRAMP),該計(jì)劃建立了完善的云計(jì)算服務(wù)安全審查機(jī)制,明確了云計(jì)算安全管理的政府角色及職責(zé);2010年召開(kāi)的第二屆中國(guó)云計(jì)算大會(huì)上,工信部副部長(zhǎng)就明確表示我國(guó)應(yīng)該加強(qiáng)云計(jì)算信息安全研究,保證云計(jì)算產(chǎn)業(yè)健康、可持續(xù)地發(fā)展。

越來(lái)越多的國(guó)際標(biāo)準(zhǔn)組織也著手制定云計(jì)算及安全標(biāo)準(zhǔn),其中最知名,影響最大的組織是國(guó)際云計(jì)算安全聯(lián)盟CSA(Cloud Security Alliance)。該組織是2009年成立的一個(gè)非盈利組織,自成立后迅速獲得了業(yè)界的認(rèn)可,出臺(tái)了多份云計(jì)算安全標(biāo)準(zhǔn),其發(fā)布的《云安全指南》每一個(gè)版本對(duì)云計(jì)算安全的建設(shè)都起到了指導(dǎo)性的作用。

在學(xué)術(shù)研究方面,EMC公司提出了面向服務(wù)的云計(jì)算架構(gòu),它是從云計(jì)算前端(客戶(hù)端、用戶(hù)端)到后端服務(wù)器端數(shù)據(jù)中心逐層進(jìn)行分解展開(kāi)的。Santos等人[6]設(shè)計(jì)提出了可信云計(jì)算平臺(tái),包括一系列信任結(jié)點(diǎn)、信任協(xié)調(diào)者、非信任云管理者和外部信任實(shí)體等。其中信任協(xié)調(diào)者由一個(gè)特定的外部信任實(shí)體維護(hù)?？尚旁朴?jì)算平臺(tái)通過(guò)提供黑盒運(yùn)行環(huán)境來(lái)保證客戶(hù)虛擬機(jī)的安全,同時(shí)還允許用戶(hù)對(duì)安全性進(jìn)行測(cè)試與驗(yàn)證。國(guó)內(nèi),馮登國(guó)等人[7]對(duì)云計(jì)算安全研究進(jìn)行了全面的綜述。

雖然各國(guó)政府、企業(yè)組織和學(xué)術(shù)界都高度重視云計(jì)算的安全,但是還要清醒地看到目前云計(jì)算的安全建設(shè)還處在起步階段,至今都沒(méi)有一個(gè)統(tǒng)一的、完善的安全標(biāo)準(zhǔn),用戶(hù)隱私和數(shù)據(jù)泄露還時(shí)有發(fā)生。這些問(wèn)題導(dǎo)致一些用戶(hù)無(wú)法放心地將現(xiàn)有的應(yīng)用和數(shù)據(jù)遷移到云計(jì)算環(huán)境中,成為云計(jì)算發(fā)展和推廣的絆腳石。下面將重點(diǎn)分析目前云計(jì)算面臨的數(shù)據(jù)安全問(wèn)題,并提出一些提升數(shù)據(jù)安全的建議。

2 云計(jì)算中的數(shù)據(jù)安全問(wèn)題

在云計(jì)算模式下,所有的應(yīng)用和數(shù)據(jù)都存儲(chǔ)在遠(yuǎn)程服務(wù)器中。云計(jì)算中的數(shù)據(jù)生命周期也遵從通用數(shù)據(jù)生命周期模型,如圖1所示,其生命周期從創(chuàng)建到銷(xiāo)毀共有六個(gè)階段,從目前來(lái)看,在完整的數(shù)據(jù)生命周期[8]中,主要面臨以下幾個(gè)安全問(wèn)題:

圖1.數(shù)據(jù)的完整生命周期

2.1 數(shù)據(jù)訪(fǎng)問(wèn)控制問(wèn)題

數(shù)據(jù)訪(fǎng)問(wèn)控制是阻止沒(méi)有權(quán)限的用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)。從數(shù)據(jù)生命周期角度來(lái)看,數(shù)據(jù)訪(fǎng)問(wèn)控制問(wèn)題集中出現(xiàn)在數(shù)據(jù)使用階段和數(shù)據(jù)共享階段。云計(jì)算系統(tǒng)中的數(shù)據(jù)和資源的安全問(wèn)題從本質(zhì)上來(lái)說(shuō)更多的是數(shù)據(jù)訪(fǎng)問(wèn)控制的問(wèn)題,主要表現(xiàn)在用戶(hù)的非法訪(fǎng)問(wèn)導(dǎo)致的數(shù)據(jù)泄露威脅,這種威脅包括外部威脅和內(nèi)部威脅兩類(lèi)。外部威脅是指不能通過(guò)安全認(rèn)證的用戶(hù)非法進(jìn)入系統(tǒng),造成用戶(hù)私有數(shù)據(jù)被破壞或者被泄露;內(nèi)部威脅是指具有一定身份的授權(quán)用戶(hù)(如網(wǎng)絡(luò)管理人員),非法訪(fǎng)問(wèn)其未授權(quán)資源。

在云計(jì)算環(huán)境中,內(nèi)部威脅帶來(lái)的破壞性遠(yuǎn)大于外部威脅。當(dāng)用戶(hù)將應(yīng)用程序托管給云平臺(tái),或者將數(shù)據(jù)存儲(chǔ)在遠(yuǎn)程服務(wù)器中時(shí),云計(jì)算服務(wù)商就獲得了該數(shù)據(jù)或應(yīng)用的優(yōu)先訪(fǎng)問(wèn)權(quán)。如果內(nèi)部人員失職,沒(méi)有構(gòu)建安全的防護(hù)體系,則會(huì)出現(xiàn)系統(tǒng)受到黑客攻擊或者崩潰等情況,從而造成用戶(hù)數(shù)據(jù)丟失。在某些極端的情況下,內(nèi)部人員有意違反隱私保護(hù)等安全規(guī)定,會(huì)出現(xiàn)記錄并分析用戶(hù)的隱私、售賣(mài)用戶(hù)的數(shù)據(jù)等事件。如何限制授權(quán)管理人員對(duì)用戶(hù)數(shù)據(jù)的訪(fǎng)問(wèn),是提升用戶(hù)使用云計(jì)算的信心,加快云計(jì)算發(fā)展的一個(gè)關(guān)鍵安全問(wèn)題。

2.2 數(shù)據(jù)隔離安全問(wèn)題

從數(shù)據(jù)生命周期角度來(lái)看,數(shù)據(jù)隔離安全問(wèn)題集中出現(xiàn)在數(shù)據(jù)共享階段。傳統(tǒng)的軟件系統(tǒng)一般都是采用多實(shí)例(Multi－Instance)架構(gòu),對(duì)于每一客戶(hù)或者組織都有一個(gè)軟件系統(tǒng)實(shí)例為其服務(wù),而云計(jì)算廣泛采用了Multi－Tenancy架構(gòu),即多租戶(hù)架構(gòu)。在多租戶(hù)架構(gòu)模式下,一個(gè)云計(jì)算系統(tǒng)為多個(gè)用戶(hù)提供服務(wù),典型的例子如一個(gè)云存儲(chǔ)系統(tǒng)為多個(gè)用戶(hù)提供存儲(chǔ)服務(wù)。在多實(shí)例架構(gòu)下,由于每一個(gè)用戶(hù)都對(duì)應(yīng)一個(gè)軟件系統(tǒng)實(shí)例,因此不存在數(shù)據(jù)隔離的問(wèn)題,而在多租戶(hù)模式下,用戶(hù)的數(shù)據(jù)都存儲(chǔ)在一個(gè)共享環(huán)境中,這就需要一個(gè)完善的數(shù)據(jù)隔離機(jī)制來(lái)確保數(shù)據(jù)的安全。

目前各地政府正在大力推進(jìn)云計(jì)算項(xiàng)目,有些政府機(jī)構(gòu)在內(nèi)部建立了云計(jì)算數(shù)據(jù)中心用于日常辦公。但是政府機(jī)關(guān)一般都是集體辦公,而且部分電子文件存在涉密等內(nèi)容,因此在數(shù)據(jù)上傳和存儲(chǔ)的過(guò)程中,數(shù)據(jù)隔離都是一個(gè)必須要考慮的問(wèn)題。例如,在多個(gè)用戶(hù)上傳數(shù)據(jù)時(shí)要確保用戶(hù)的數(shù)據(jù)尤其是隱私數(shù)據(jù)不能和其他用戶(hù)混合,在存儲(chǔ)數(shù)據(jù)時(shí),要實(shí)現(xiàn)不同用戶(hù)之間的數(shù)據(jù)相互隔離,防止一個(gè)用戶(hù)的數(shù)據(jù)被另一個(gè)用戶(hù)訪(fǎng)問(wèn)。

2.3 數(shù)據(jù)銷(xiāo)毀和容災(zāi)問(wèn)題

數(shù)據(jù)的銷(xiāo)毀(刪除)是防止數(shù)據(jù)泄露,確保數(shù)據(jù)安全的一個(gè)重要操作。從數(shù)據(jù)生命周期角度來(lái)看,數(shù)據(jù)銷(xiāo)毀和恢復(fù)問(wèn)題集中出現(xiàn)在數(shù)據(jù)銷(xiāo)毀階段。在云計(jì)算環(huán)境中,用戶(hù)數(shù)據(jù)存儲(chǔ)在一個(gè)共享環(huán)境中,當(dāng)用戶(hù)發(fā)出數(shù)據(jù)銷(xiāo)毀請(qǐng)求后,云計(jì)算管理系統(tǒng)如果不能徹底刪除用戶(hù)的個(gè)人數(shù)據(jù),就有可能造成其他用戶(hù)通過(guò)殘留的數(shù)據(jù)獲取用戶(hù)的個(gè)人隱私,導(dǎo)致數(shù)據(jù)泄露的發(fā)生。因此,云計(jì)算環(huán)境中的數(shù)據(jù)銷(xiāo)毀必須做到將用戶(hù)的個(gè)人隱私數(shù)據(jù)徹底刪除并且無(wú)法恢復(fù)。

數(shù)據(jù)容災(zāi)是確保數(shù)據(jù)安全的一個(gè)重要手段,云計(jì)算系統(tǒng)必須保障數(shù)據(jù)的可用性和完整性,充分考慮用戶(hù)有可能出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)丟失的風(fēng)險(xiǎn),用戶(hù)上傳至云服務(wù)器中的數(shù)據(jù)要做好備份等措施,在用戶(hù)數(shù)據(jù)意外修改、刪除或者是遭到蓄意破壞后能夠及時(shí)地找回用戶(hù)的數(shù)據(jù),減少用戶(hù)的損失。

2.4 虛擬載體安全問(wèn)題

數(shù)據(jù)以虛擬載體承載是云計(jì)算的突出特點(diǎn)之一。從數(shù)據(jù)生命周期角度來(lái)看,虛擬載體安全問(wèn)題存在于數(shù)據(jù)全生命周期各個(gè)階段中,需要特別注意。虛擬化技術(shù)是云計(jì)算技術(shù)的核心技術(shù),在云計(jì)算環(huán)境中,資源一般以虛擬機(jī)實(shí)例的方式交付給用戶(hù)使用,用戶(hù)的個(gè)人數(shù)據(jù)也存儲(chǔ)在虛擬機(jī)等虛擬載體上。由于云計(jì)算是多租戶(hù)的共享環(huán)境,一個(gè)物理資源上可能托管多個(gè)虛擬資源,如果云計(jì)算服務(wù)提供過(guò)程中涉及的虛擬化部件出現(xiàn)安全問(wèn)題,則必將對(duì)數(shù)據(jù)用戶(hù)存儲(chǔ)的數(shù)據(jù)帶來(lái)危害。例如,2009年5月,網(wǎng)絡(luò)上曾經(jīng)曝光VMware虛擬化軟件的Mac版本中存在一個(gè)嚴(yán)重的安全漏洞。別有用心的人可以利用該漏洞通過(guò)Windows虛擬機(jī)在Mac主機(jī)上執(zhí)行惡意代碼[7]。要保護(hù)存儲(chǔ)數(shù)據(jù)的安全,還需要對(duì)云計(jì)算環(huán)境中虛擬存儲(chǔ)設(shè)備整體進(jìn)行安全保護(hù),同時(shí)在虛擬存儲(chǔ)設(shè)備的承載體(虛擬機(jī))出現(xiàn)問(wèn)題時(shí)還應(yīng)及時(shí)將虛擬存儲(chǔ)設(shè)備進(jìn)行轉(zhuǎn)移。

3 云計(jì)算數(shù)據(jù)安全防護(hù)的幾點(diǎn)建議

針對(duì)云計(jì)算目前存在的數(shù)據(jù)安全問(wèn)題,本文給出提升云計(jì)算數(shù)據(jù)安全防護(hù)的幾點(diǎn)建議:

3.1 采用合理的云計(jì)算架構(gòu)

云計(jì)算的類(lèi)型包括公共云、私有云、混合云幾種。每種架構(gòu)類(lèi)型的云計(jì)算都有相應(yīng)的使用場(chǎng)景。從安全性來(lái)說(shuō),私有云是要求最嚴(yán),安全性最高的一種,一般用在對(duì)安全要求比較高的場(chǎng)合。例如,美國(guó)中央情報(bào)局和美軍就是采用了私有云架構(gòu)搭建他們的云計(jì)算平臺(tái)。目前,國(guó)內(nèi)一些地方政府和企業(yè)正在將大量的業(yè)務(wù)和數(shù)據(jù)遷移到云計(jì)算平臺(tái)上,這些數(shù)據(jù)的擁有者對(duì)安全的要求要遠(yuǎn)遠(yuǎn)高于其他的云計(jì)算用戶(hù),因此,建議在政府等組織內(nèi)部采用私有云架構(gòu)搭建云計(jì)算平臺(tái)。

3.2 完善制度，提升安全防護(hù)意識(shí)

目前國(guó)內(nèi)很多地方政府、企業(yè)及組織都在大力推進(jìn)云計(jì)算項(xiàng)目的建設(shè),但是從發(fā)展?fàn)顩r來(lái)看,大部分的項(xiàng)目都存在重建設(shè)、輕安全的現(xiàn)象,主要表現(xiàn)在安全管理上存在漏洞、云計(jì)算管理人員培訓(xùn)不夠、技術(shù)人員水平參差不齊等,導(dǎo)致在服務(wù)可靠性、服務(wù)易用性、數(shù)據(jù)遷移能力、資源調(diào)配能力上存在較大不足。

要解決這些問(wèn)題,首先要在意識(shí)上重視云計(jì)算的安全防護(hù),改變重建設(shè)、輕安全的現(xiàn)狀,把云計(jì)算的安全防護(hù)提到首位。完善現(xiàn)有的安全管理制度,并針對(duì)云計(jì)算的特點(diǎn),制定針對(duì)性的安全管理規(guī)定;其次,加強(qiáng)相關(guān)人員的培訓(xùn),尤其是增加安全防護(hù)方面的培訓(xùn),減少因?yàn)槿藛T技術(shù)水平不足帶來(lái)的安全問(wèn)題。

3.3 加強(qiáng)審計(jì)

云計(jì)算環(huán)境中的審計(jì)包括身份審計(jì)和數(shù)據(jù)審計(jì)。

身份審計(jì)是指對(duì)云管理人員和用戶(hù)進(jìn)行身份認(rèn)證并授予相應(yīng)的權(quán)限。由于云計(jì)算內(nèi)部的非安全因素主要來(lái)自?xún)?nèi)部部分人員的惡意行為,因此要加強(qiáng)對(duì)內(nèi)部人員的身份審計(jì),實(shí)施嚴(yán)格的身份管理、安全認(rèn)證與訪(fǎng)問(wèn)權(quán)限控制。同時(shí)還要完善操作日志功能,詳細(xì)記錄管理人員的操作記錄,對(duì)可疑的記錄進(jìn)行溯源分析,確定是否有違規(guī)行為,嚴(yán)格防止內(nèi)部人員泄露用戶(hù)的個(gè)人數(shù)據(jù)。

對(duì)于普通用戶(hù)的身份審計(jì)主要是在新用戶(hù)加入(創(chuàng)建、更改用戶(hù)個(gè)人信息)和退出(注銷(xiāo)用戶(hù)身份信息)時(shí),審核用戶(hù)的申請(qǐng),給用戶(hù)分配合適的權(quán)限,保護(hù)用戶(hù)數(shù)據(jù),防止用戶(hù)的隱私信息被泄漏。

3.4 建立長(zhǎng)效安全防御機(jī)制

云計(jì)算的安全防御是一個(gè)長(zhǎng)期過(guò)程,需要定時(shí)對(duì)云計(jì)算環(huán)境的各項(xiàng)安全防御措施進(jìn)行更新維護(hù),具體來(lái)看主要有以下幾點(diǎn):

1.定期查殺云計(jì)算環(huán)境中的蠕蟲(chóng)、病毒、木馬,阻止其在網(wǎng)絡(luò)中傳播;

2.完善云計(jì)算平臺(tái)的容災(zāi)備份機(jī)制,包括重要系統(tǒng)、數(shù)據(jù)的異地容災(zāi)備份;

3.及時(shí)更新系統(tǒng)安全補(bǔ)丁,主要包括云操作系統(tǒng)、虛擬化內(nèi)核的安全補(bǔ)丁,修補(bǔ)系統(tǒng)漏洞,增加系統(tǒng)的安全性。

4.實(shí)時(shí)監(jiān)控云計(jì)算環(huán)境中的數(shù)據(jù)和網(wǎng)絡(luò)的狀態(tài),及時(shí)發(fā)現(xiàn)異常并修復(fù)。

3.5 部署云計(jì)算專(zhuān)用安全防護(hù)手段

云計(jì)算環(huán)境不同于普通計(jì)算環(huán)境,需要根據(jù)云計(jì)算環(huán)境的特點(diǎn)部署專(zhuān)用的安全防護(hù)手段。

1)對(duì)云平臺(tái)的保護(hù),可以根據(jù)需要部署虛擬私有云平臺(tái)安全保護(hù)工具,其中包括的網(wǎng)關(guān)軟件能夠幫助客戶(hù)迅速和容易地創(chuàng)建通向虛擬私有云的多條安全的通信通道;

2)對(duì)虛擬機(jī)的保護(hù),可以根據(jù)需要部署安全增強(qiáng)的虛擬機(jī)監(jiān)控器,包括非可執(zhí)行堆棧、加密交換和默認(rèn)情況下啟用審核機(jī)制等;

3)對(duì)敏感內(nèi)容的保護(hù),可以根據(jù)需要部署內(nèi)容加密保護(hù)工具,自動(dòng)地對(duì)內(nèi)容進(jìn)行壓縮、加密和拆分,簡(jiǎn)化云計(jì)算中加密內(nèi)容的管理等;

4)對(duì)云計(jì)算服務(wù)集群的保護(hù),可以根據(jù)需要部署安全信息與事件管理平臺(tái)等,構(gòu)建值得信賴(lài)的多租戶(hù)服務(wù)器集群;

5)對(duì)用戶(hù)數(shù)據(jù)訪(fǎng)問(wèn)的保護(hù),可以根據(jù)需要部署安全認(rèn)證技術(shù),對(duì)共享敏感數(shù)據(jù)的用戶(hù)加以認(rèn)證與訪(fǎng)問(wèn)控制,阻止非法用戶(hù)的非授權(quán)訪(fǎng)問(wèn)。

4 結(jié)語(yǔ)

云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的重點(diǎn)發(fā)展方向,在提高資源利用率,節(jié)約成本的同時(shí),云計(jì)算也存在著不少數(shù)據(jù)安全問(wèn)題,只有綜合采用設(shè)計(jì)支持內(nèi)嵌安全的合理的云計(jì)算體系架構(gòu),完善制度制定,提高云計(jì)算環(huán)境設(shè)計(jì)與建設(shè)時(shí)的安全防護(hù)意識(shí),加強(qiáng)云計(jì)算環(huán)境中的身份審計(jì)與數(shù)據(jù)審計(jì),建立長(zhǎng)效安全防御機(jī)制以及部署云計(jì)算專(zhuān)用的安全防御手段等方法,才能夠切實(shí)提升數(shù)據(jù)安全防護(hù)能力,保護(hù)用戶(hù)的個(gè)人數(shù)據(jù),才能吸引更多的用戶(hù)將應(yīng)用和數(shù)據(jù)遷移到云計(jì)算中來(lái)。

[1] 陳康,鄭緯民.云計(jì)算:系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào),2009,20(5):1337－1348.

[2] K.POPOVIC,Z.HOCENSKI.Cloud Computing Security Issues and Challenges[C]//Proceedings of the 33rd International Convention.LA:Prentice Hall,2010:344－349.

[3] B.GARTNER.Seven Cloud－computing Security Risks.NY:Networkworld,2013[20141105].http://www.networkworld.com/article/2281535/data－center/gartner－－seven－cloudcomputing－security－risks.html.

[4] E.SANGER,T.SHANKER.N.S.A.Devises Radio Pathway Into Computers.NY:Nvtimes,2014[20141105].http://www.nytimes.com/2014/01/15/us/nsa－effort－pries－open－computers－not－connected－to－internet.html.

[5] AmazonSecurity White Paper.LA:Amazon,2012[20141105].http://awsmedia.s3.amazonaws.com/pdf/AWS security Whitepaper.pdf.

[6] S.NKRISHNA,P.GUMMADI,R.RODRIUES.Towards Trusted Cloud Computing.GM:MPI,2010[20141105].http://www.mpi－sws.org? ～gummadi?papers?trusted＿cloud.pdf.

[7] 馮登國(guó),張敏,張妍等.云計(jì)算安全研究[J].軟件學(xué)報(bào),2011,22(1):71－83.

[8] CSA 3.0.Security Guidance for Critical Areas of Focus in Cloud Computing.NY:CSA,2013[20141105].https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf

Exploration on Data Security under Cloud Computing

LIU Dong－sheng,FAN Pei,ZHANG Liang
(PLA Unit 61716,Fuzhou Fujian 350001,China)

Cloud computing nowadays attracts considerable attention from both industry and individuals.However,as more and more information of individuals and companies is involved in the cloud computing,concerns for their data security in cloud computing becomes even stronger.In order to improve data security and privacy in cloud computing,this paper discusses the threats and challenges against data security in cloud computing from six aspets of data life－cycle in cloud computing environment including data setup,storage,use,share,backup and destruction,and thus provides some suggestions in improving data security,including security standards and management rules.

cloud computing;data security;privacy;challenges

TP37

A

1009－8054(2015)01－0087－03

2014－10－17

劉東升(1974—),男,碩士,工程師,主要研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)與信息安全;

樊 沛(1984—),男,博士,高工,主要研究方向?yàn)樵朴?jì)算,服務(wù)計(jì)算和分布式計(jì)算;

張 亮(1982—),男,本科,工程師,主要研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)與信息安全?！?/p>