袁艷峰+倪麗娜

摘要：隨著云計(jì)算的發(fā)展，云計(jì)算在應(yīng)用的過(guò)程中安全問(wèn)題也暴露出來(lái)，現(xiàn)在安全問(wèn)題已經(jīng)成為制約云計(jì)算發(fā)展的關(guān)鍵因素之一。當(dāng)前全球各國(guó)際組織也分別針對(duì)安全問(wèn)題出臺(tái)相應(yīng)政策、制定相關(guān)標(biāo)準(zhǔn)。該文介紹了云計(jì)算當(dāng)前的安全現(xiàn)狀，在分析了我國(guó)云計(jì)算存在的安全問(wèn)題的同時(shí)，給出了相應(yīng)的發(fā)展對(duì)策，包括加強(qiáng)法律法規(guī)建設(shè)、加強(qiáng)安全體系建設(shè)、技術(shù)創(chuàng)新、人才培養(yǎng)等。

關(guān)鍵詞：云計(jì)算；安全問(wèn)題；安全分析；發(fā)展現(xiàn)狀；發(fā)展對(duì)策

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2016）15-0065-03

Abstract： With the development of cloud computing， security issues are leak out in the process of application of cloud computing.Now， safety problems have become one of the key factors restricting the development of cloud computing.The global international organizations are also respectively introducing corresponding policies， formulating relevant standards for safety problem. The paper introduces the current cloud computing security situation， analyzed cloud computing problem of our country and presented the corresponding development countermeasures at the same time that including strengthening the construction of laws and regulations， strengthen the construction of safety system， technology innovation， personnel training， etc.

Key words： cloud computing； security issue； security analysis； current situation； development countermeasure

1 背景

隨著信息技術(shù)的發(fā)展，電子商務(wù)、社交網(wǎng)絡(luò)、在線視頻等互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，隨之也產(chǎn)生了大規(guī)模的數(shù)據(jù)，并且數(shù)據(jù)量還在快速增長(zhǎng)。2014年，中國(guó)網(wǎng)絡(luò)購(gòu)物市場(chǎng)交易規(guī)模達(dá)到2.8萬(wàn)億，增長(zhǎng)48.7%，仍然維持在較高的增長(zhǎng)水平。數(shù)據(jù)存儲(chǔ)介質(zhì)的制約成了限制信息技術(shù)發(fā)展的瓶頸，而部署新的系統(tǒng)需要花費(fèi)高昂的代價(jià)，云計(jì)算應(yīng)運(yùn)而生。根據(jù)美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)委員會(huì)的定義，云計(jì)算是一種對(duì)IT資源的使用模式，歲共享的可配置資源（如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)等）提供的普適的、方便的、按需的網(wǎng)絡(luò)訪問(wèn)。資源使用和釋放可以快速進(jìn)行，不需要花費(fèi)很大的管理代價(jià)。云計(jì)算的構(gòu)思一經(jīng)提出就等到了各界的廣泛認(rèn)可，成為當(dāng)前學(xué)術(shù)界、工業(yè)界各界關(guān)注的熱門(mén)話題之一，具有廣闊的市場(chǎng)發(fā)展前景。

但當(dāng)前云計(jì)算的發(fā)展面臨著許多問(wèn)題，其中最關(guān)鍵的問(wèn)題之一就是云計(jì)算的安全，只有安全性提高了才能被人們接受，只有解決了云計(jì)算面臨的各種安全問(wèn)題才能使組織或個(gè)人將自己的數(shù)據(jù)交由云服務(wù)商管理。云計(jì)算應(yīng)用以來(lái)，各種云服務(wù)事故的發(fā)生使很多人對(duì)數(shù)據(jù)的安全和隱私的維護(hù)產(chǎn)生懷疑，從而限制了云服務(wù)的廣泛應(yīng)用。而眾多云服務(wù)商更注重提升性能、改善架構(gòu)等方面的技術(shù)創(chuàng)新，但沒(méi)有安全的技術(shù)保障，其他一切都是空，云環(huán)境的安全已經(jīng)成為整個(gè)行業(yè)發(fā)展的瓶頸。

2015年在北京召開(kāi)的中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC2015）中“云計(jì)算及虛擬化安全”得到了出席此次會(huì)議的國(guó)內(nèi)外專(zhuān)家的廣泛關(guān)注。社會(huì)各界也時(shí)時(shí)關(guān)注著云計(jì)算產(chǎn)品以及產(chǎn)品的安全性、可用性。本文通過(guò)分析當(dāng)前云計(jì)算所面臨的安全問(wèn)題以及云計(jì)算對(duì)信息安全領(lǐng)域帶來(lái)的影響，提出對(duì)云計(jì)算安全的科研方向，希望能夠?yàn)槲覈?guó)未來(lái)云計(jì)算安全的科研、產(chǎn)業(yè)發(fā)展做出有益的探索。

2 安全現(xiàn)狀

2.1國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)及組織

1）美國(guó)政府使用云服務(wù)時(shí)必須對(duì)所要采購(gòu)的云服務(wù)進(jìn)行審查，其主要采用的安全審查方法為FedRAMP，即聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目（FederalRiskand Authorization Management Program）。歐盟也為云服務(wù)的安全出臺(tái)了監(jiān)管政策來(lái)規(guī)范服務(wù)商的行為。另外，為了不同國(guó)家和地區(qū)之間能夠共享數(shù)據(jù)和對(duì)云服務(wù)數(shù)據(jù)的跨境流動(dòng)進(jìn)行限制，歐盟通過(guò)《安全港協(xié)議》來(lái)確保云服務(wù)的安全。

2）云安全聯(lián)盟（Cloud Security Alliance， CSA）是一個(gè)非盈利性組織，成立于2009年，目前已得到社會(huì)各界的認(rèn)可，其旨在對(duì)如何提高云環(huán)境下的云應(yīng)用安全進(jìn)行溝通，以提供最佳解決方案。目前，云安全聯(lián)盟的成果主要包括《云計(jì)算關(guān)鍵領(lǐng)域的安全指南》、《云控制矩陣》、《云計(jì)算的主要風(fēng)險(xiǎn)》、《身份管理和訪問(wèn)控制指南》等。這些研究報(bào)告對(duì)云計(jì)算安全領(lǐng)域的發(fā)展和成果有重要的指導(dǎo)作用。

3）ISO/IEC JTC1 SC27（信息安全分技術(shù)委員會(huì)）是國(guó)際上最大最具代表性的信息安全標(biāo)準(zhǔn)化組織。目前，SC27已經(jīng)基本確定了云計(jì)算安全和隱私的概念體系架構(gòu)，并明確了信息安全管理、安全技術(shù)、身份管理和隱私技術(shù)3個(gè)領(lǐng)域的標(biāo)準(zhǔn)研制。

4）國(guó)際電信聯(lián)盟ITU研究組會(huì)議于2010年5月在瑞士的日內(nèi)瓦召開(kāi)，決定成立ITU-T云計(jì)算專(zhuān)項(xiàng)工作組，旨在研究云計(jì)算在電信領(lǐng)域的應(yīng)用。云計(jì)算安全是其中重要的研究課題，輸出有《電信領(lǐng)域云計(jì)算安全指南》。

2.2 云計(jì)算安全問(wèn)題分析

2010年初，云安全聯(lián)盟和惠普經(jīng)過(guò)調(diào)查列出了云計(jì)算的“七宗罪”。

1）數(shù)據(jù)泄露。數(shù)據(jù)訪問(wèn)權(quán)限、存儲(chǔ)、管理等任意方面的不足都可能導(dǎo)致數(shù)據(jù)泄露，用戶(hù)隱私暴露。

2）共享技術(shù)漏洞。由于云計(jì)算環(huán)境中虛擬服務(wù)器可能共享著相同的配置，配置錯(cuò)誤將可能影響多個(gè)服務(wù)器，導(dǎo)致嚴(yán)重后果。不同的用戶(hù)可能共享相同的服務(wù)器、數(shù)據(jù)或應(yīng)用，導(dǎo)致訪問(wèn)控制變得困難。

3）惡意內(nèi)部人員。云服務(wù)管理缺陷導(dǎo)致云服務(wù)內(nèi)部工作人員的身份背景不清楚，可能有內(nèi)部人員惡意破壞或竊取數(shù)據(jù)等行為。

4）賬戶(hù)和通信等的劫持。云服務(wù)用戶(hù)的賬戶(hù)密碼安全級(jí)別不高，身份驗(yàn)證機(jī)制薄弱，通信就比較容易被入侵者獲取從而造成數(shù)據(jù)泄露。

5）應(yīng)用程序接口不安全。接口質(zhì)量不高，安全性低，第三方插件不安全。

6）沒(méi)有正確應(yīng)用云計(jì)算。黑客運(yùn)用云計(jì)算做出新的攻擊技術(shù)，未將云計(jì)算運(yùn)用在正確的方向。

7）未知風(fēng)險(xiǎn)。未能預(yù)測(cè)到的風(fēng)險(xiǎn)，例如版本問(wèn)題。

3 我國(guó)云計(jì)算安全分析及發(fā)展對(duì)策

3.1 我國(guó)云計(jì)算安全分析

我國(guó)云計(jì)算安全的問(wèn)題主要有以下幾方面：

1）信息安全法律法規(guī)和監(jiān)管體系不夠健全。我國(guó)在數(shù)據(jù)及隱私安全、信息保護(hù)等方面的法律法規(guī)還不夠完善，云計(jì)算管理還不夠規(guī)范，數(shù)據(jù)跨境流動(dòng)也使管理難度增加。同時(shí)，由于對(duì)安全的擔(dān)心和其他顧慮，云計(jì)算服務(wù)在中國(guó)的接受程度也比美國(guó)等發(fā)達(dá)國(guó)家要低。

2）我國(guó)在云計(jì)算安全領(lǐng)域的關(guān)鍵技術(shù)仍與國(guó)外先進(jìn)水平差距較大。我國(guó)目前掌握的云計(jì)算技術(shù)大多來(lái)自于開(kāi)源系統(tǒng)，而擁有核心技術(shù)的公司可以通過(guò)開(kāi)源系統(tǒng)影響云計(jì)算的發(fā)展方向，因此，我國(guó)云計(jì)算容易受到影響，存在較大風(fēng)險(xiǎn)。

3）我國(guó)在云服務(wù)管理方面效率低。我國(guó)云服務(wù)發(fā)展還處于初級(jí)階段，在管理方面仍處于摸索前進(jìn)的階段，存在較多漏洞，管理效率低下，缺少管理規(guī)范和制度，同時(shí)也缺少專(zhuān)門(mén)的機(jī)構(gòu)來(lái)管理。

4）我國(guó)云計(jì)算安全領(lǐng)域人才缺口。云計(jì)算管理需要云計(jì)算方面的專(zhuān)業(yè)人才，而現(xiàn)在我國(guó)在云計(jì)算信息安全管理領(lǐng)域的人才嚴(yán)重不足，人才匱乏也是我國(guó)云計(jì)算安全方面的重要問(wèn)題之一。

3.2 我國(guó)云計(jì)算安全發(fā)展對(duì)策

云計(jì)算的安全問(wèn)題是云計(jì)算發(fā)展過(guò)程中最重要的問(wèn)題之一。只有充分認(rèn)識(shí)到云計(jì)算安全發(fā)展需要應(yīng)對(duì)的問(wèn)題，并根據(jù)云計(jì)算的服務(wù)特點(diǎn)和模式，制定合理安全的管理模式，推進(jìn)相應(yīng)的法律法規(guī)建設(shè)，培養(yǎng)專(zhuān)門(mén)的人才，從而在技術(shù)創(chuàng)新和變革方面帶來(lái)質(zhì)的飛躍。

1）加強(qiáng)云計(jì)算安全法律法規(guī)建設(shè)

加強(qiáng)云計(jì)算安全方面的法律法規(guī)建設(shè)，為云計(jì)算的發(fā)展做有力后盾，政府部門(mén)出臺(tái)政策對(duì)用戶(hù)與服務(wù)提供商之間制訂協(xié)議，為云計(jì)算模式下的技術(shù)創(chuàng)新、知識(shí)產(chǎn)權(quán)、用戶(hù)隱私、商業(yè)機(jī)密等一系列安全問(wèn)題研究制定相應(yīng)的管理規(guī)范，為云服務(wù)提供一個(gè)平等、統(tǒng)一、全面的法律保護(hù)機(jī)制，對(duì)云服務(wù)的安全控制予以法律法規(guī)指導(dǎo)，以確保云服務(wù)的安全性。

2）加強(qiáng)云計(jì)算安全體系建設(shè)

加強(qiáng)云計(jì)算發(fā)展過(guò)程中所涉及的各行業(yè)各組織機(jī)構(gòu)之間的協(xié)調(diào)發(fā)展，例如云計(jì)算相關(guān)軟硬件、政府、專(zhuān)家學(xué)者、云服務(wù)提供商和最終用戶(hù)等各方面的標(biāo)準(zhǔn)化，建立一個(gè)云計(jì)算標(biāo)準(zhǔn)化產(chǎn)業(yè)鏈。

對(duì)新技術(shù)投入使用和服務(wù)的運(yùn)營(yíng)建立審核機(jī)制、驗(yàn)收規(guī)范、準(zhǔn)入制度或資格許可證制度，對(duì)涉及安全的產(chǎn)品和技術(shù)嚴(yán)格把關(guān)。

加強(qiáng)與國(guó)外標(biāo)準(zhǔn)的交流，吸收國(guó)外云計(jì)算安全體系的精華，去其糟粕，同時(shí)針對(duì)國(guó)內(nèi)現(xiàn)狀不斷改善的國(guó)家和行業(yè)標(biāo)準(zhǔn)，積極參加國(guó)際標(biāo)準(zhǔn)組織的會(huì)議和研究工作，如ISO、ITU等。

3）云計(jì)算技術(shù)創(chuàng)新

我國(guó)政府大力支持云計(jì)算的發(fā)展，出臺(tái)政策推進(jìn)云計(jì)算技術(shù)創(chuàng)新，加強(qiáng)云計(jì)算相關(guān)技術(shù)研發(fā)中心、企業(yè)技術(shù)中心的建設(shè)，加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)，建立產(chǎn)業(yè)創(chuàng)新聯(lián)盟，促進(jìn)云計(jì)算協(xié)同創(chuàng)新。

4）云計(jì)算人才培養(yǎng)

積極推進(jìn)云計(jì)算專(zhuān)業(yè)人才培養(yǎng)，加強(qiáng)學(xué)校教育與產(chǎn)業(yè)發(fā)展的有效銜接，支持企業(yè)和教育機(jī)構(gòu)開(kāi)展云計(jì)算應(yīng)用人才培訓(xùn)。并制定激勵(lì)機(jī)制，對(duì)做出貢獻(xiàn)的云計(jì)算人才給予相應(yīng)的獎(jiǎng)勵(lì)。

對(duì)云安全管理人員的身份背景進(jìn)行嚴(yán)格審核，嚴(yán)格管理云安全管理人員，防止惡意隱私泄露事件的發(fā)生。

4 結(jié)束語(yǔ)

云計(jì)算的發(fā)展具有廣闊的前景，受到各界人士的廣泛關(guān)注，但是其發(fā)展過(guò)程中也面臨了極大的挑戰(zhàn)，而安全問(wèn)題首當(dāng)其沖。云計(jì)算安全問(wèn)題不僅是技術(shù)問(wèn)題，同時(shí)也涉及云計(jì)算安全方面的法律法規(guī)建設(shè)、安全體系的規(guī)范化、管理方面標(biāo)準(zhǔn)化等諸多方面。因此，在解決云計(jì)算安全問(wèn)題時(shí)，不僅要進(jìn)行技術(shù)創(chuàng)新和研究，同時(shí)要注意社會(huì)各界包括學(xué)術(shù)界、產(chǎn)業(yè)界和政府相關(guān)部門(mén)的配合，才能使云計(jì)算這個(gè)新興產(chǎn)業(yè)更加快速穩(wěn)定的發(fā)展。

參考文獻(xiàn)：

[1] 馮登國(guó)，張敏，張妍，等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào)，2011（1）：71-83.

[2] 段翼真，王曉程，劉忠. 云計(jì)算安全：概念、現(xiàn)狀與關(guān)鍵技術(shù)[J]. 信息網(wǎng)絡(luò)安全，2012（8）：86-89.

[3] 閆曉麗. 云計(jì)算安全問(wèn)題[J]. 信息安全與技術(shù)，2014（3）：3-5，13.

[4] 馬飛，馬可，郭晨. 云計(jì)算安全現(xiàn)狀及我國(guó)政策思考[J]. 電信網(wǎng)技術(shù)，2015（2）：1-4.

[5] 胡章榮，王朝斌. 基于云計(jì)算的安全分析[J]. 軟件導(dǎo)刊，2015（2）：157-159.

[6] 李連，朱愛(ài)紅. 云計(jì)算安全技術(shù)研究綜述[J]. 信息安全與技術(shù)，2013（5）：42-45，52.

[7] 丁一軍，于桂榮. 云計(jì)算：安全技術(shù)問(wèn)題探討[J]. 科技創(chuàng)新導(dǎo)報(bào)，2015（7）：58-59.

[8] 盧娟. 淺析云計(jì)算技術(shù)與安全[J]. 電子世界，2014（17）：1-2.

[9] 童舜海，吳登峰. 云計(jì)算環(huán)境下網(wǎng)絡(luò)安全面臨的威脅及防范[J]. 電子技術(shù)與軟件工程，2015（24）：206.

[10] 常學(xué)洲，朱之紅. 云計(jì)算安全問(wèn)題探討和研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3）：106，108.