顧瑋(徐州高等師范學(xué)校　徐州　221116)

云計(jì)算的安全研究

顧瑋
(徐州高等師范學(xué)校徐州221116)

摘要當(dāng)前社會(huì)網(wǎng)絡(luò)飛速發(fā)展，安全已經(jīng)成為云計(jì)算領(lǐng)域亟待突破的重要問題，其重要性與緊迫性已不容忽視。本文分析了云計(jì)算對(duì)信息安全領(lǐng)域中技術(shù)、標(biāo)準(zhǔn)、監(jiān)管等各方面帶來的挑戰(zhàn)，提出云計(jì)算安全參考框架及該框架下的主要研究?jī)?nèi)容，指出云計(jì)算的普及與應(yīng)用是近年來信息安全領(lǐng)域的重大挑戰(zhàn)與發(fā)展契機(jī)，將引發(fā)信息安全領(lǐng)域又一次重要的技術(shù)變革。

關(guān)鍵詞云計(jì)算互聯(lián)網(wǎng)信息技術(shù)安全資源

一、什么是云計(jì)算

云計(jì)算（Cloud computing）是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動(dòng)態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。云是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種比喻說法。過去在圖中往往用云來表示電信網(wǎng)，后來也用來表示互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象。狹義云計(jì)算指IT基礎(chǔ)設(shè)施的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需資源；廣義云計(jì)算指服務(wù)的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需服務(wù)。這種服務(wù)可以是IT和軟件、互聯(lián)網(wǎng)相關(guān)，也可是其他服務(wù)。它意味著計(jì)算能力也可作為一種商品通過互聯(lián)網(wǎng)進(jìn)行流通。

云計(jì)算的資源和計(jì)算能力由專門的第三方提供商提供（如IBM、Amazon和谷歌等），用戶無須顧慮軟硬件的升級(jí)和維護(hù)，對(duì)用戶而言。云計(jì)算系統(tǒng)中復(fù)雜的“云”已經(jīng)通過多層虛擬化技術(shù)被完全屏蔽掉了。云計(jì)算的出現(xiàn)避免了用戶在本地建設(shè)、運(yùn)行和維護(hù)價(jià)格昂貴的計(jì)算系統(tǒng)的費(fèi)用，通過支付低廉的服務(wù)費(fèi)用，就可以完成在本地需耗費(fèi)巨大的計(jì)算或處理任務(wù)。低成本是云計(jì)算的一個(gè)顯著特點(diǎn)。云計(jì)算其他的主要特點(diǎn)如下：

1、云計(jì)算可以輕松實(shí)現(xiàn)不同設(shè)備間的數(shù)據(jù)與應(yīng)用共享。

2、云計(jì)算描述了一種可以通過互聯(lián)網(wǎng)進(jìn)行訪問的可擴(kuò)展和動(dòng)態(tài)重構(gòu)的模式。

3、云計(jì)算的應(yīng)用使用大規(guī)模的數(shù)據(jù)中心以及功能強(qiáng)勁的服務(wù)器來運(yùn)行網(wǎng)絡(luò)應(yīng)用程序與網(wǎng)絡(luò)服務(wù)，提供近乎實(shí)時(shí)的部署和使用。

4、任何一個(gè)用戶通過合適的互聯(lián)網(wǎng)接入設(shè)備以及一個(gè)標(biāo)準(zhǔn)的瀏覽器就可訪問一個(gè)云計(jì)算應(yīng)用程序。云計(jì)算對(duì)用戶端的設(shè)備要求低，用戶很少需要或不需要專門的IT技術(shù)。

5、提供月租、訂閱或當(dāng)次付費(fèi)的收費(fèi)模式。

二、云計(jì)算的原理

云計(jì)算（Cloud Computing）是分布式處理（Distributed Computing）、并行處理（Parallel Computing）和網(wǎng)格計(jì)算（Grid Computing）的發(fā)展，或者說是這些計(jì)算機(jī)科學(xué)概念的商業(yè)實(shí)現(xiàn)。

云計(jì)算的基本原理是，通過使計(jì)算分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中，企業(yè)數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。這可是一種革命性的舉措，打個(gè)比方，這就好比是從古老的單臺(tái)發(fā)電機(jī)模式轉(zhuǎn)向了電廠集中供電的模式。它意味著計(jì)算能力也可以作為一種商品進(jìn)行流通，就像煤氣、水電一樣，取用方便，費(fèi)用低廉。最大的不同在于，它是通過互聯(lián)網(wǎng)進(jìn)行傳輸?shù)摹Ｔ朴?jì)算的藍(lán)圖已經(jīng)呼之欲出：在未來，只需要一臺(tái)筆記本或者一個(gè)手機(jī)，就可以通過網(wǎng)絡(luò)服務(wù)來實(shí)現(xiàn)我們需要的一切，甚至包括超級(jí)計(jì)算這樣的任務(wù)。從這個(gè)角度而言，最終用戶才是云計(jì)算的真正擁有者。

云計(jì)算的應(yīng)用包含這樣的一種思想，把力量聯(lián)合起來，給其中的每一個(gè)成員使用。

三、云計(jì)算安全現(xiàn)狀

1、各國(guó)政府對(duì)云計(jì)算安全的關(guān)注

云計(jì)算在美國(guó)和歐洲等國(guó)得到政府的大力支持和推廣，云計(jì)算安全和風(fēng)險(xiǎn)問題也得到各國(guó)政府的廣泛重視。2010年11月，美國(guó)政府CIO委員會(huì)發(fā)布關(guān)于政府機(jī)構(gòu)采用云計(jì)算的政府文件，闡述了云計(jì)算帶來的挑戰(zhàn)以及針對(duì)云計(jì)算的安全防護(hù)，要求政府及各機(jī)構(gòu)評(píng)估云計(jì)算相關(guān)的安全風(fēng)險(xiǎn)并與自己的安全需求進(jìn)行比對(duì)分析。同時(shí)指出，由政府授權(quán)機(jī)構(gòu)對(duì)云計(jì)算服務(wù)商進(jìn)行統(tǒng)一的風(fēng)險(xiǎn)評(píng)估和授權(quán)認(rèn)定，可加速云計(jì)算的評(píng)估和采用，并能降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用。

2010年3月，參加歐洲議會(huì)討論的歐洲各國(guó)網(wǎng)絡(luò)法律專家和領(lǐng)導(dǎo)人呼吁制定一個(gè)關(guān)于數(shù)據(jù)保護(hù)的全球協(xié)議，以解決云計(jì)算的數(shù)據(jù)安全弱點(diǎn)。歐洲網(wǎng)絡(luò)和信息安全局（ENISA）表示，將推動(dòng)管理部門要求云計(jì)算提供商通知客戶有關(guān)安全攻擊狀況。

日本政府也啟動(dòng)了官民合作項(xiàng)目，組織信息技術(shù)企業(yè)與有關(guān)部門對(duì)于云計(jì)算的實(shí)際應(yīng)用開展計(jì)算安全性測(cè)試，以提高日本使用云計(jì)算的安全水平，向中小企業(yè)普及云計(jì)算，并確保企業(yè)和個(gè)人數(shù)據(jù)的安全性。在我國(guó)，2010年5月，工信部副部長(zhǎng)婁勤儉在第2屆中國(guó)云計(jì)算大會(huì)上表示，我國(guó)應(yīng)加強(qiáng)云計(jì)算信息安全研究，解決共性技術(shù)問題，保證云計(jì)算產(chǎn)業(yè)健康、可持續(xù)地發(fā)展。

2、國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)組織及其進(jìn)展

國(guó)外已經(jīng)有越來越多的標(biāo)準(zhǔn)組織開始著手制定云計(jì)算及安全標(biāo)準(zhǔn)，以求增強(qiáng)互操作性和安全性，減少重復(fù)投資或重新發(fā)明，如ITU-TSG17研究組、結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織與分布式管理任務(wù)組等都啟動(dòng)了云計(jì)算標(biāo)準(zhǔn)工作。此外，專門成立的組織，如云計(jì)算安全聯(lián)盟也在云計(jì)算安全標(biāo)準(zhǔn)化方面取得了一定進(jìn)展。下面我們對(duì)這些標(biāo)準(zhǔn)組織及其目前的研究進(jìn)展展開加以介紹。

3、云安全聯(lián)盟

云安全聯(lián)盟CSA（Cloud Security Alliance）是在2009年的RSA大會(huì)上宣布成立的一個(gè)非盈利性組織，宗旨是“促進(jìn)云計(jì)算安全技術(shù)的最佳實(shí)踐應(yīng)用，并提供云計(jì)算的使用培訓(xùn)，幫助保護(hù)其他形式的計(jì)算”。自成立后，CSA迅速獲得了業(yè)界的廣泛認(rèn)可，其企業(yè)成員涵蓋了國(guó)際領(lǐng)先的電信運(yùn)營(yíng)商、IT和網(wǎng)絡(luò)設(shè)備廠商、網(wǎng)絡(luò)安全廠商、云計(jì)算提供商等。

云計(jì)算安全聯(lián)盟確定了云計(jì)算安全的15個(gè)焦點(diǎn)領(lǐng)域，對(duì)每個(gè)領(lǐng)域給出了具體建議，并從中選取較為重要的若干領(lǐng)域著手標(biāo)準(zhǔn)的制定，在制定過程中，廣泛咨詢IT人員的反饋意見，獲取關(guān)于需求方案說明書的建議。云計(jì)算安全聯(lián)盟確定的15個(gè)云計(jì)算安全焦點(diǎn)領(lǐng)域分別是：信息生命周期管理、政府和企業(yè)風(fēng)險(xiǎn)管理、法規(guī)和審計(jì)、普通立法、eDiscovery、加密和密鑰管理、認(rèn)證和訪問管理、虛擬化、應(yīng)用安全、便攜性和互用性、數(shù)據(jù)中心、操作管理事故響應(yīng)、通知和修復(fù)、傳統(tǒng)安全影響（商業(yè)連續(xù)性、災(zāi)難恢復(fù)、物理安全）、體系結(jié)構(gòu)。

目前，云計(jì)算安全聯(lián)盟已完成《云計(jì)算面臨的嚴(yán)重威脅》、《云控制矩陣》、《關(guān)鍵領(lǐng)域的云算安全指南》等研究報(bào)告，并發(fā)布了云計(jì)算安全定義。這些報(bào)告從技術(shù)、操作、數(shù)據(jù)等多方面強(qiáng)調(diào)了云計(jì)算安全的重要性、保證安全性應(yīng)當(dāng)考慮的問題以及相應(yīng)的解決方案，對(duì)形成云計(jì)算安全行業(yè)規(guī)范具有重要影響。

4、國(guó)內(nèi)外云計(jì)算安全技術(shù)現(xiàn)狀

在IT產(chǎn)業(yè)界，各類云計(jì)算安全產(chǎn)品與方案不斷涌現(xiàn).例如，Sun公司發(fā)布開源的云計(jì)算安全工具可為Amazon的EC2，S3以及虛擬私有云平臺(tái)提供安全保護(hù)。工具包括OpenSolaris VPC網(wǎng)關(guān)軟件，能夠幫助客戶迅速和容易地創(chuàng)建一個(gè)通向Amazon虛擬私有云的多條安全的通信通道；為Amazon EC2設(shè)計(jì)的安全增強(qiáng)的VMIs，包括非可執(zhí)行堆棧，加密交換和默認(rèn)情況下啟用審核等；云安全盒（Cloud safety box），使用類Amazon S3接口，自動(dòng)地對(duì)內(nèi)容進(jìn)行壓縮、加密和拆分，簡(jiǎn)化云中加密內(nèi)容的管理等。微軟為云計(jì)算平臺(tái)Azure籌備代號(hào)為Sydney的安全計(jì)劃，幫助企業(yè)用戶在服務(wù)器和Azure云之間交換數(shù)據(jù)，以解決虛擬化、多租戶環(huán)境中的安全性。EMC，Intel，Vmware等公司聯(lián)合宣布了一個(gè)“可信云體系架構(gòu)”的合作項(xiàng)目，并提出了一個(gè)概念證明系統(tǒng)。該項(xiàng)目采用Intel的可信執(zhí)行技術(shù)（Trusted execution technology）、Vmware的虛擬隔離技術(shù)、RSA的enVision安全信息與事件管理平臺(tái)等技術(shù)相結(jié)合，構(gòu)建從下至上值得信賴的多租戶服務(wù)器集群。開源云計(jì)算平臺(tái)Hadoop也推出安全版本，引入Kerberos安全認(rèn)證技術(shù)，對(duì)共享商業(yè)敏感數(shù)據(jù)的用戶加以認(rèn)證與訪問控制，阻止非法用戶對(duì)Hadoop clusters的非授權(quán)訪問。

四、結(jié)束語(yǔ)

云計(jì)算是當(dāng)前發(fā)展十分迅速的新興產(chǎn)業(yè)，具有廣闊的發(fā)展前景，但同時(shí)其所面臨的安全技術(shù)挑戰(zhàn)也是前所未有的，需要IT領(lǐng)域與信息安全領(lǐng)域的研究者共同探索解決之道。同時(shí)，云計(jì)算安全并不僅僅是技術(shù)問題，它還涉及標(biāo)準(zhǔn)化、監(jiān)管模式、法律法規(guī)等諸多方面。因此，僅從技術(shù)角度出發(fā)探索解決云計(jì)算安全問題是不夠的，需要信息安全學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門的共同努力才能實(shí)現(xiàn)。

參考文獻(xiàn)

［1］金海.計(jì)算系統(tǒng)虛擬化-原理與應(yīng)用［M］.清華大學(xué)出版社，2008.

［2］朱近之.智慧的云計(jì)算-物聯(lián)網(wǎng)發(fā)展的基石［M］.電子工業(yè)出版社，2012.

［3］吳朱華.云計(jì)算的未來，超市還是電廠［J］.程序員，2010年5月刊.

［4］吳朱華.虛擬器件-虛擬化技術(shù)的新利刃［J］.程序員，2010年4月刊.

The Security of Cloud Computing

Gu Wei
(Xuzhou Higher Normal SchoolXuzhou221116)

AbstractThe current rapid development of the social network，security has become an important problem to solve in cloud computing field，its importance and urgency has been ignored. This paper gives an analysis of the cloud computing challenges brought about in the field of information security technology，standards，regulatory and other aspects，the cloud computing security reference framework and the framework of the main research contents，points out that the popularization and application of cloud computing is in recent years in the field of information security major challenge and development opportunity，it will lead to the field of information security and a important technological change.

KeywordsCloud computingInternetITSecurityResources

中圖分類號(hào)TP393.08

文獻(xiàn)標(biāo)識(shí)碼B

文章編號(hào)160223-7206

作者簡(jiǎn)介

顧瑋，女，1981年生，漢族，徐州高等師范學(xué)校教師，碩士研究生，研究數(shù)據(jù)庫(kù)，數(shù)據(jù)挖掘，系統(tǒng)開發(fā)。