文/趙瀟 楊建飛，中國電子科技集團(tuán)公司電子科學(xué)研究院

關(guān)鍵字：云計算；安全問題；研究及其對策

1 云計算安全問題

1.1 人為失誤導(dǎo)致信息安全問題愈發(fā)嚴(yán)重

對于網(wǎng)絡(luò)信息安全來說人的漏洞是其中最薄弱的環(huán)節(jié)，網(wǎng)絡(luò)信息安全的決定因素就是人為因素。人會受到心理、生理、情緒和環(huán)境等很多方面的影響，因此具有不確定性，據(jù)調(diào)查統(tǒng)計分析，在很多的網(wǎng)絡(luò)安全問題中，人為的因素占比高達(dá)百分之五十二，所以相關(guān)部門應(yīng)該以人為中心，設(shè)計出更加適合人類特性的云計算模式，減少人為失誤，讓云計算的安全向和可靠性得到提升。

1.2 云技術(shù)引發(fā)的數(shù)據(jù)安全新隱患

云計算的核心支撐技術(shù)是虛擬化技術(shù)和多租戶技術(shù)，在進(jìn)行云計算的時候使用虛擬化技術(shù)將計算機的存儲、主機或者系統(tǒng)等資源虛擬化，讓這些資源得到靈活高效的利用；利用多租戶技術(shù)可以讓基礎(chǔ)的設(shè)施應(yīng)用被不同的用戶共享，不僅可以讓設(shè)施和應(yīng)用得到拓展還可以有效地降低運營成本。隨著新技術(shù)被不斷的應(yīng)用到云計算中，新的安全風(fēng)險和挑戰(zhàn)也隨之而來。在傳統(tǒng)的計算模式中，可以采用物理或者邏輯隔離的方法保護(hù)信息安全，可是云計算中信息都是通過虛擬化的方式提供給用戶，而且是很多租戶共同使用資源，有的虛擬資源被綁定到相同的物理資源中，導(dǎo)致信息資源的邊界模糊。因此，在虛擬軟件中存在安全問題就會造成數(shù)據(jù)被非法訪問，從而造成信息泄露等問題。

1.3 云傳播弱化了國家對信息管理和控制能力

習(xí)近平總書記曾經(jīng)說過互聯(lián)網(wǎng)技術(shù)在發(fā)展的過程中不能侵犯他國的信息主權(quán)，每個國家都應(yīng)該對信息進(jìn)行保護(hù)、管理和控制。云傳播具有移動傳播、實時傳播等多種傳播特征，國家對于信息的控制和管理能力明顯降低，信息的傳播渠道更加廣泛。

2 云計算安全問題策略

2.1 云計算安全的管理策略

1）加強組織領(lǐng)導(dǎo)，制定科學(xué)合理的管理制度

2014年的時候我國成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，對于信息安全管理建設(shè)了統(tǒng)一的領(lǐng)導(dǎo)機制。對我國的信息安全進(jìn)行了全面系統(tǒng)的評估，制定符合我國實際情況的網(wǎng)絡(luò)安全和信息發(fā)展戰(zhàn)略，政府加強對網(wǎng)絡(luò)空間的領(lǐng)導(dǎo)。另外對于信息設(shè)施的整合應(yīng)該加大力度，通過調(diào)整信息安全管理部門等方式建設(shè)更加有效的信息管理制度，強化監(jiān)督問責(zé)體系制度，讓有關(guān)部門對于信息安全保護(hù)負(fù)起責(zé)任，采取有效措施實現(xiàn)信息安全。

2）實施安全審查，推動服務(wù)運營準(zhǔn)入制度化

對于云計算安全等相關(guān)技術(shù)進(jìn)行立法的周期比較長，所以應(yīng)該從云計算的發(fā)展和供應(yīng)商管理等方面進(jìn)行安全審核，要求在進(jìn)行云計算產(chǎn)品的采購和使用是必須遵循國家的相關(guān)規(guī)定，對于沒有國家認(rèn)證的供應(yīng)商產(chǎn)品和服務(wù)不予使用，而且應(yīng)該設(shè)立懲罰制度，如果發(fā)現(xiàn)信息安全問題應(yīng)該進(jìn)行處理，并且禁止采購。

3）引入第三方監(jiān)管，推動信息安全管理常態(tài)化

在對云計算進(jìn)行監(jiān)管的時候，不僅要依靠政府部門還應(yīng)該設(shè)置第三方的監(jiān)管機構(gòu)，獨立的對于云計算進(jìn)行安全評估和風(fēng)險監(jiān)測，確保云計算的安全穩(wěn)定。第三方監(jiān)管的主要內(nèi)容應(yīng)該符合國家標(biāo)準(zhǔn)，在對云服務(wù)進(jìn)行安全評估和風(fēng)險監(jiān)測的同時是還應(yīng)該對云計算運營商的履職情況進(jìn)行評估，并且要求其建立網(wǎng)絡(luò)安全事件管理機制。

2.2 云計算安全的立法策略

1）建立科學(xué)合理的法律體系

在云計算安全方面進(jìn)行立法時要兼顧安全和發(fā)展，對于云計算的安全的保護(hù)要有科學(xué)的法律理念，致力于為云計算的安全發(fā)展鋪平道路，另外要加快信息安全法的制定，并且根據(jù)信息安全法制定出相關(guān)的法律規(guī)范和制度，通過建設(shè)個人信息保護(hù)法、電子證據(jù)法等形成一套職責(zé)明確的法律保障體系。

2）建立雙向性的跨境信息流動法律規(guī)范

數(shù)據(jù)的安全和自由流動是良性云環(huán)境的重要標(biāo)志?，F(xiàn)在我國對于信息的輸出都管理的比較嚴(yán)格，有明確的法律限制，但是對于信息的輸入?yún)s沒有很多的限制。信息的輸入和輸出是一樣重要的，從云計算安全的角度考慮不僅僅要加強信息輸出的管理，對于信息輸入也應(yīng)該建立明確的法律規(guī)范，這樣才能夠保證信息的安全，推進(jìn)云計算的健康安全發(fā)展。

3）主動接軌國際信息安全準(zhǔn)則

目前云計算技術(shù)的標(biāo)準(zhǔn)還不是非常成熟和完善，我國對于云計算應(yīng)該高度重視，利用多種方式支持云計算的發(fā)展和相關(guān)產(chǎn)品的研發(fā)。要積極參與云計算的國際準(zhǔn)則制定，尤其是在基礎(chǔ)標(biāo)準(zhǔn)、關(guān)鍵技術(shù)和產(chǎn)品標(biāo)準(zhǔn)、服務(wù)運營標(biāo)準(zhǔn)和安全標(biāo)準(zhǔn)這四個方面要重點參與，這樣我國的云計算發(fā)展才能和國際相互兼容，在國際上才能有話語權(quán)。

2.3 云計算安全的技術(shù)策略

1）深化安全技術(shù)研究，加強基礎(chǔ)設(shè)施保護(hù)能力

云計算的安全就是要保護(hù)數(shù)據(jù)的安全，首先要努力發(fā)展虛擬技術(shù)隔離方法，云計算的背景下，信息資源的邊界不夠清晰，因此應(yīng)該給虛擬的服務(wù)器分配獨立的分區(qū)，采取多種方式進(jìn)行信息分離，并且要安裝殺毒軟件、防火墻等方式構(gòu)建防范體系。

2）強化云技術(shù)防風(fēng)險能力，優(yōu)化云計算系統(tǒng)運行環(huán)境

首先應(yīng)該對數(shù)據(jù)進(jìn)行加密，不僅僅要對數(shù)據(jù)進(jìn)行加密對于數(shù)據(jù)的訪問權(quán)限也要加密，并且將二者結(jié)合起來，這樣可以保障加密的效果；另外要強化數(shù)據(jù)刪除技術(shù)，很多的數(shù)據(jù)泄露都是因為用戶在刪除數(shù)據(jù)的時候因為一些原因刪除失敗而出現(xiàn)的，通過使用數(shù)據(jù)屏蔽技術(shù)，可以有效降低數(shù)據(jù)泄露的風(fēng)險；最后要進(jìn)行身份認(rèn)證，通過數(shù)字證書、生物特征識別等多種方式對用戶的身份進(jìn)行驗證，用戶得到信息的級別也應(yīng)該根據(jù)服務(wù)和網(wǎng)域等進(jìn)行劃分，對于身份的認(rèn)證也要更加的嚴(yán)格，可以采取賬號異常在線監(jiān)測等多種方式進(jìn)行身份認(rèn)證。

3）普及國產(chǎn)化技術(shù)和設(shè)備，實現(xiàn)自主可控

習(xí)近平主席曾說過，要想建設(shè)網(wǎng)絡(luò)強國，就必須要有自己的技術(shù)并且要有過硬的技術(shù)。云計算的發(fā)展越來越迅速，對于發(fā)展的要求也越來越高。我國的互聯(lián)網(wǎng)企業(yè)應(yīng)該意識到云計算發(fā)展的重要性，結(jié)合我國互聯(lián)網(wǎng)的發(fā)展實際，主動把握機會，將國產(chǎn)的CPU、操作系統(tǒng)、辦公軟件等不斷推廣使用，逐漸實現(xiàn)軟硬件自主化。另外，用戶應(yīng)該從國家大局層面進(jìn)行考慮，優(yōu)先使用國產(chǎn)軟硬件，讓我國的企業(yè)不斷完善產(chǎn)品，將新的技術(shù)更好地進(jìn)行應(yīng)用，才能夠不斷地進(jìn)行自主創(chuàng)新，增強國家的云計算安全競爭力。