牛延莉+周坤+張化+孔令梅+曾超

摘要：云計算技術是當前產(chǎn)業(yè)界和學術界的研究熱點，被認為是改變世界的十大科技之一。云計算技術的廣泛應用，不僅推動了國民經(jīng)濟的飛速發(fā)展，也日益影響著人類的生活方式。在享受云計算技術帶來好處的同時，切實做好云安全（cloudSecurity）技術保障，充分發(fā)揮云計算技術的長處，意義重大。

關鍵詞：云計算技術；云安全

美國國家標準與技術研究院認為，云計算技術是一種資源利用模式，它能以簡便的途徑和以按需的方式通過網(wǎng)絡訪問可配置的計算資源（網(wǎng)絡、服務器、存儲、應用、服務等），這些資源可快速部署，并能以最小的管理代價或只需服務提供商開展少量的工作就可實現(xiàn)資源發(fā)布?？v觀云計算技術的概念和實際應用，可以看出云計算技術有兩個特點。一是互聯(lián)網(wǎng)的基礎服務資源如服務器的硬件，軟件，數(shù)據(jù)和應用服務開始于集中和統(tǒng)一；二是互聯(lián)網(wǎng)用戶不需再重復消耗大量資源，建立獨立的軟硬件設施和維護人員隊伍，只需通過互聯(lián)網(wǎng)接受云計算技術提供商的服務，就可以實現(xiàn)自己需要的功能。云計算技術的研究應用，不僅推動了經(jīng)濟的飛速發(fā)展，而且也影響著人類的生活方式。思科預測，到2020年，三分之一的數(shù)據(jù)都將存儲在云上或通過云進行存儲。目前，推動移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等與現(xiàn)代制造業(yè)結合，被寫入了政府工作報告。因此，加強云計算技術的研究和應用，特別是與現(xiàn)代制造業(yè)相結合，對我國經(jīng)濟的發(fā)展和人民生活水平的提高A2.重大。在加強云計算技術應用推廣的同時，做好云安全（Cloud Security）防護則顯得尤為重要。

1 云安全概念

最早提出“云安全”這一概念的是趨勢科技，2008年5月，趨勢科技在美國正式推出了“云安全”技術。云安全技術是網(wǎng)絡時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。云安全技術是P2P技術、網(wǎng)格技術、云計算技術等分布式計算技術混合發(fā)展、自然演化的結果。云安全是繼云計算技術、云存儲之后出現(xiàn)的“云”技術的重要應用，是傳統(tǒng)IT領域安全概念在云計算時代的延伸，已經(jīng)在反病毒軟件中取得了廣泛地應用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術競爭當中為反病毒軟件奪得了先機。云安全是我國企業(yè)創(chuàng)造的概念，在國際云計算技術領域獨樹一幟?！霸瓢踩钡母拍钤谠缙谠?jīng)引起過不小爭議，已經(jīng)被普遍接受。值得一提的是，中國網(wǎng)絡安全企業(yè)在“云安全”的技術應用上走到了世界前列，金山毒霸、瑞星等公司都相繼推出了云安全產(chǎn)品。

2 云計算技術存在的安全問題

隨著云計算技術的不斷發(fā)展，安全性問題將成為企業(yè)高端、金融機構和政府IT部門的核心和關鍵性問題，也直接關系到云計算技術產(chǎn)業(yè)能否持續(xù)健康發(fā)展。云計算技術涉及三個層面的安全問題。

2.1 云計算用戶的數(shù)據(jù)和應用安全。

在用戶數(shù)據(jù)方面，云用戶和提供商需要避免數(shù)據(jù)丟失和被竊。如今，個人和企業(yè)數(shù)據(jù)加密都是強烈推薦的，甚至有些情況下是世界范圍法律法規(guī)強制要求的。云用戶希望他們的提供商為其加密數(shù)據(jù)，以確保無論數(shù)據(jù)物理上存儲在哪里都受到保護。同樣的，云提供商也需要保護其用戶的敏感數(shù)據(jù)。云計算技術中對數(shù)據(jù)的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數(shù)據(jù)泄漏，并且還可能缺乏必要的數(shù)據(jù)銷毀政策。同時，數(shù)據(jù)的完整性、可用性以及數(shù)據(jù)的可恢復性，都需要云計算技術去考慮。在應用安全方面，由于云環(huán)境的靈活性、開放性、以及公眾可用性這些特性，在SaaS、PaaS、IaaS的所有層面，運行的應用程序安全設計也至關重要。同時，應用層的安全認證、審計以及數(shù)據(jù)的訪問權限控制也需要考慮。

2.2 云計算服務平臺自身的安全。

包括了云計算平臺的硬件基礎設施安全、共享技術安全和web安全等問題。在硬件基礎設施方面，如網(wǎng)絡、主機/存儲等核心IT設備，網(wǎng)絡層面的設備需要考慮包括網(wǎng)絡訪問控制（如防火墻），傳輸數(shù)據(jù)加密（如SSL、IPSec），安全事件日志，基于網(wǎng)絡的入侵檢測系統(tǒng)/入侵防御系統(tǒng)（IDS/IPS）等安全問題，主機層面的設備需要考慮包括主機防火墻、訪問控制、安裝補丁、系統(tǒng)鞏固、強認證、安全事件日志、基于主機的入侵檢測系統(tǒng)/入侵防御系統(tǒng)等安全問題。在共享技術方面，如在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環(huán)境中的很多虛擬服務器共享著相同的配置，因此必須為網(wǎng)絡和服務器配置執(zhí)行服務水平協(xié)議（SLA）以確保及時安裝修復程序以及實施最佳做法。在web安全方面，云計算模式中，Web應用是用戶最直觀的體驗窗口，也是唯一的應用接口。而近幾年風起云涌的各種Web攻擊手段，則直接影響到云計算的順利發(fā)展。

2.3 云計算資源的濫用。

主要包括2個方面，一是使用外掛搶占免費試用主機，甚至惡意欠費，因為云計算的許多業(yè)務屬于后付費業(yè)務，惡意用戶可能使用虛假信息注冊，不停的更換信息使用資源，導致云服務提供商產(chǎn)生資損。另一方面，許多攻擊者也會租用云服務器，進行垃圾郵件發(fā)送、攻擊掃描、欺詐釣魚之類的活動。

這些安全問題實際上在傳統(tǒng)的信息系統(tǒng)和互聯(lián)網(wǎng)服務中也存在，只不過云計算技術業(yè)務高彈性、大規(guī)模、分布化的特性使這些安全問題變得更加突出。同時云計算技術的資源訪問透明和加密傳輸通道等特性給信息監(jiān)管帶來了挑戰(zhàn)，使得對信息發(fā)布和傳輸途徑的定位跟蹤變得異常困難。安全是云計算技術面臨的首要問題。Google等云計算服務提供商造成的數(shù)據(jù)丟失和泄漏事件時有發(fā)生，這表明云計算的安全性和可靠性仍有待提高。根據(jù)IDC的調(diào)查結果，將近75%的受訪企業(yè)認為安全是云計算發(fā)展路途上的最大挑戰(zhàn)。相當數(shù)量的個人用戶對云計算服務尚未建立充分的信任感，不敢把個人資料上傳到“云”中，而觀念上的轉(zhuǎn)變和行為習慣的改變則非一日之功。安全已經(jīng)成為云計算業(yè)務拓展的主要困擾。

3 云安全防護措施

針對云計算技術中暴露出的一些安全問題，必須強化云安全防護措施，這樣才能讓用戶滿意。云安全防護措施主要有以下幾項。

3.1 強化數(shù)據(jù)安全和應用安全。

數(shù)據(jù)安全技術包括諸如數(shù)據(jù)隔離、數(shù)據(jù)加密解密、身份認證和權限管理，保障用戶信息的可用性、保密性和完整性。密碼學界正在努力研究謂詞加密等新方法，避免在云計算中處理數(shù)據(jù)時對數(shù)據(jù)進行解密，近期公布的完全同態(tài)加密方法所實現(xiàn)的加密數(shù)據(jù)處理功能，都大大地推進了云計算的數(shù)據(jù)安全。基于云計算的應用軟件，需要經(jīng)過類似于DMZ區(qū)部署的應用程序那樣的嚴格設計。這包括深入的前期分析，涵蓋傳統(tǒng)的如何管理信息的機密性、完整性、以及可用性等方面。在安全認證方面，可通過單點登錄認證、強制用戶認證、代理、協(xié)同認證、資源認證、不同安全域之間的認證或者不同認證方式相結合的方式，有效防止云資源濫用問題。在權限控制方面，服務提供商和用戶提供不同的權限，對數(shù)據(jù)的安全提供保證。用戶應該擁有完全的控制權限，對服務提供商限制權限。

3.2 強化基礎平臺的軟硬件安全。

對于云計算平臺的網(wǎng)絡和主機設備，加強安全防護，可以通過網(wǎng)絡訪問控制（如防火墻），傳輸數(shù)據(jù)加密（如SSL、IPSec），安全事件日志，基于網(wǎng)絡的入侵檢測系統(tǒng)/入侵防御系統(tǒng)（IDS/IPS）等強化網(wǎng)絡安全，通過主機防火墻、訪問控制、安裝補丁、系統(tǒng)鞏固、強認證、安全事件日志、基于主機的入侵檢測系統(tǒng)/入侵防御系統(tǒng)等強化主機安全，控制防止非法用戶使用云計算資源；對于合法用戶的惡意使用，則可以通過審計日志來實現(xiàn)事后的追查。為了達到云計算終端到終端的安全，用戶保持瀏覽器的良好安全狀態(tài)是很必要的，這就需要對瀏覽器安裝補丁和升級以降低瀏覽器漏洞的威脅。此外，針對目前幾種典型的云計算模式，部分廠商采取了細化應用安全防護的手段，針對不同的應用，提供專業(yè)級的網(wǎng)關安全產(chǎn)品。在數(shù)據(jù)共享方面，可以根據(jù)用戶的需求，建立所需的云服務，即SaaS（軟件即服務）、PaaS（平臺即服務）和IaaS（基礎設施即服務）三種形式。

3.3 強化法律管理措施。

云計算的穩(wěn)定運行和健康發(fā)展，需要一定的法律法規(guī)和規(guī)章制度進行完善。SAS70標準是由美國公共會計審計師協(xié)會制定的一套審計標準，主要用于衡量處理關鍵數(shù)據(jù)的基準，SAS70作為第三方驗證來確保安全、政策執(zhí)行和驗證等問題，能夠確保云供應商提供對客戶數(shù)據(jù)的保護。薩班斯法案的頒布，也為數(shù)據(jù)的保護提供法律的依據(jù)，屬于SarbanesOxley法案的企業(yè)在使用云計算服務的時候就必須確保他們的供應商符合SOX（薩班斯法案）。這些法案和制度的建立為云服務提供商更好地服務及避免數(shù)據(jù)丟失對客戶的損害提供了法律保障，將更有利于云計算提供商開發(fā)更優(yōu)秀的構架。

4 結語

云計算對我國重要信息系統(tǒng)安全保障建設提出了更高的要求。利用云安全加強保護云中的數(shù)據(jù)安全與隱私，確保云計算提供商能夠保證數(shù)據(jù)的安全，進一步加快云安全相關管理辦法和標準規(guī)范，盡快出臺云計算安全服務相關管理辦法，推動云計算更好地為國民經(jīng)濟發(fā)展服務。