田靜

摘 要：云計(jì)算是一種數(shù)據(jù)密集型的運(yùn)算方式，它在數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)計(jì)算及數(shù)據(jù)傳輸?shù)确矫娑季哂泻艽蟮膬?yōu)勢。但是云計(jì)算在實(shí)際應(yīng)用中所產(chǎn)生的數(shù)據(jù)安全問題令人擔(dān)憂，數(shù)據(jù)的集中存儲(chǔ)及網(wǎng)絡(luò)上的安全傳輸問題目前沒有得到充分的研究和解決，這也是云計(jì)算服務(wù)面臨的挑戰(zhàn)。該文對于云計(jì)算服務(wù)的數(shù)據(jù)安全現(xiàn)狀進(jìn)行詳細(xì)的研究與分析，并且提出云計(jì)算服務(wù)數(shù)據(jù)安全保障的基本策略來提高云計(jì)算數(shù)據(jù)的安全性。

關(guān)鍵詞：云計(jì)算；數(shù)據(jù)安全；數(shù)據(jù)加密

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言(Introduction)

目前，云計(jì)算作為一種新的服務(wù)模式，具備眾多的優(yōu)勢和便利之處，使虛擬信息的存儲(chǔ)和查詢擺脫了傳統(tǒng)模式的桎梏。關(guān)鍵特征是借助網(wǎng)絡(luò)環(huán)境將所有網(wǎng)絡(luò)用戶的信息都放在云端，再通過計(jì)算將結(jié)果通過網(wǎng)絡(luò)傳回給網(wǎng)絡(luò)的客戶端。云計(jì)算是分布式的，網(wǎng)絡(luò)資源利用率較高，數(shù)據(jù)在存儲(chǔ)及網(wǎng)絡(luò)傳輸過程中將會(huì)面臨很大的安全威脅。云計(jì)算一方面為人們的生活帶來了方便，另一方面也確實(shí)帶來了很多安全隱患。

2 云計(jì)算服務(wù)的數(shù)據(jù)安全現(xiàn)狀(Data security

situation of cloud computing services)

2.1 數(shù)據(jù)的存儲(chǔ)地域不明確

因?yàn)樵贫谁h(huán)境不受地域限制，所以數(shù)據(jù)很可能存放在世界任何地方的數(shù)據(jù)存儲(chǔ)中心里，法律層面的管轄權(quán)尚不明確，存放在其他國家的數(shù)據(jù)有可能被別國家所占有[1]。當(dāng)一些企業(yè)用戶的重要數(shù)據(jù)無緣無故丟失或挪用時(shí)，企業(yè)用戶無法通過現(xiàn)有的國家法律獲得賠償。設(shè)想被挪用的是商業(yè)機(jī)密，如產(chǎn)品資料、運(yùn)營數(shù)據(jù)等數(shù)據(jù)時(shí)，就會(huì)使企業(yè)失去了競爭力，造成的損失是不可磨滅的。

2.2 互聯(lián)網(wǎng)存在諸多安全隱患

云計(jì)算的應(yīng)用特性無處不在,用戶可以在任何時(shí)間通過網(wǎng)絡(luò)獲取數(shù)據(jù)。但是當(dāng)前互聯(lián)網(wǎng)存在很多的安全隱患，例如黑客入侵、病毒植入、木馬程序惡意破壞、程序漏洞、賬戶劫持及不安全的 API等?；ヂ?lián)網(wǎng)的安全隱患也大大降低了借助網(wǎng)絡(luò)環(huán)境的云計(jì)算數(shù)據(jù)的安全性。

2.3 云存儲(chǔ)服務(wù)提供商故意泄露

云計(jì)算服務(wù)中數(shù)據(jù)的處理和存放都是在云端進(jìn)行，應(yīng)用云計(jì)算服務(wù)就意味著將用戶的數(shù)據(jù)（包括敏感數(shù)據(jù)）完全展現(xiàn)在云存儲(chǔ)服務(wù)提供商面前，因此用戶對數(shù)據(jù)隱私性的擔(dān)憂是不可避免的。在云計(jì)算的環(huán)境中并不能保證所有的云存儲(chǔ)服務(wù)提供商都是合法的，用戶數(shù)據(jù)（包括涉及隱私的內(nèi)容）有可能被故意泄露。有些不合法的云基礎(chǔ)設(shè)施和服務(wù)提供商還能通過對用戶行為的分析獲得用戶的其他隱私信息[2]。

3 云計(jì)算服務(wù)的數(shù)據(jù)安全策略(Data security

strategy of cloud computing service)

3.1 加密靜態(tài)數(shù)據(jù)

云計(jì)算環(huán)境是開放的環(huán)境，遵循資源共享原則，云計(jì)算不能保證所有的云存儲(chǔ)服務(wù)提供商合法。為了規(guī)避云計(jì)算服務(wù)提供商泄露數(shù)據(jù)的風(fēng)險(xiǎn)，用戶應(yīng)該加密靜態(tài)數(shù)據(jù)及數(shù)據(jù)庫中的文件。在IaaS環(huán)境中，用戶可使用云計(jì)算服務(wù)提供商提供的加密系統(tǒng)或第三方密碼系統(tǒng)來加密。在PaaS環(huán)境中，用戶須借助云計(jì)算服務(wù)提供商提供的工具來實(shí)現(xiàn)加密[3]。對用戶數(shù)據(jù)的加密傳輸，可以采用IPSec VPN、SSL等技術(shù)提高網(wǎng)絡(luò)傳輸?shù)陌踩?；對管理信息的加密傳輸，可以采用SSL、SSH等方式為云計(jì)算內(nèi)部管理提供數(shù)據(jù)加密通道，保障管理信息安全。

對于云存儲(chǔ)類服務(wù)，云計(jì)算應(yīng)該提供加密服務(wù)實(shí)現(xiàn)對數(shù)據(jù)的加密存儲(chǔ)，防止數(shù)據(jù)被惡意泄露；對于虛擬機(jī)服務(wù)，在上傳、存儲(chǔ)前用戶應(yīng)對重要數(shù)據(jù)自行進(jìn)行加密。選擇加密算法時(shí)，用戶應(yīng)該選擇安全性能較高的對稱密鑰加密算法，如目前著名的AES、3DES等國際通用算法。管理加密密鑰時(shí)，用戶應(yīng)該采用標(biāo)準(zhǔn)化的用戶密鑰管理與分發(fā)機(jī)制以實(shí)現(xiàn)對用戶數(shù)據(jù)存儲(chǔ)的安全管理。

3.2 加密網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)

加密網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)可以在鏈路層、網(wǎng)絡(luò)層、傳輸層等實(shí)現(xiàn)，采用網(wǎng)絡(luò)傳輸加密技術(shù)不定期保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的完整性及機(jī)密性。

3.3 加密備份的數(shù)據(jù)

云計(jì)算服務(wù)提供商通常情況下會(huì)對所有數(shù)據(jù)進(jìn)行備份，以便在任何突發(fā)狀況下快速有效的恢復(fù)數(shù)據(jù)，那么作為備份數(shù)據(jù)的媒介也是云計(jì)算中的一個(gè)安全性能關(guān)鍵點(diǎn)[3]。加密備份媒介中的數(shù)據(jù)可防止備份數(shù)據(jù)丟失或媒介的惡意攻擊。一般情況下，云計(jì)算服務(wù)提供商會(huì)將云計(jì)算的數(shù)據(jù)備份及加密過程透明化，所以用戶在租用云計(jì)算服務(wù)提供商的服務(wù)時(shí)，有必要去驗(yàn)證這些提供商是否提供媒介的備份加密。

4 云計(jì)算服務(wù)數(shù)據(jù)的安全建議(Suggestions of

cloud computing service data for safety)

4.1 加強(qiáng)對云計(jì)算服務(wù)提供商的審核

在租用云計(jì)算服務(wù)之前，用戶應(yīng)該加強(qiáng)對云計(jì)算服務(wù)提供商的審核：

(1)在云計(jì)算基礎(chǔ)設(shè)施方面，確保云計(jì)算服務(wù)提供商提供分角色管理和職責(zé)分離管理。

(2)確保承擔(dān)密鑰管理的提供商明確密鑰生命周期管理的全過程。密鑰管理的整個(gè)周期包括密鑰的產(chǎn)生、傳輸、使用、存儲(chǔ)、備份、恢復(fù)、更新及刪除[3]。

(3)要弄清楚云計(jì)算服務(wù)提供商的密鑰分配體系,是每個(gè)用戶使用相同的密鑰還是每個(gè)用戶擁有自己獨(dú)立的密鑰體系。

4.2 確保數(shù)據(jù)在傳輸過程中的安全

加密靜態(tài)數(shù)據(jù)不難實(shí)現(xiàn)，但要確保用戶隱私及加密的密鑰等重要數(shù)據(jù)在云計(jì)算網(wǎng)絡(luò)特別是云計(jì)算服務(wù)提供商的內(nèi)部網(wǎng)絡(luò)中傳輸過程中也被加密，沒有丟失或被篡改。

4.3 密鑰及數(shù)據(jù)的使用與保存分離

云服務(wù)提供商進(jìn)行數(shù)據(jù)存儲(chǔ)，不參與密鑰管理，建立系統(tǒng)的隔離方案；利用數(shù)據(jù)的加密系統(tǒng)把數(shù)據(jù)使用與數(shù)據(jù)保存分離。這樣既保護(hù)了用戶的重要數(shù)據(jù)隱私及密鑰，降低了重要數(shù)據(jù)故意泄露的風(fēng)險(xiǎn)，也保護(hù)了云計(jì)算服務(wù)提供商的利益，規(guī)避了提供商的責(zé)任。

4.4 確保PaaS、SaaS及IaaS環(huán)境的數(shù)據(jù)安全

在IaaS環(huán)境中由用戶來選擇敏感數(shù)據(jù)上傳到哪些云計(jì)算服務(wù)提供商的內(nèi)部網(wǎng)絡(luò)中，但是提供商的內(nèi)部網(wǎng)絡(luò)安全用戶是不能進(jìn)行確保的，所以在IaaS環(huán)境中具體的實(shí)施加密方案也由用戶來進(jìn)行選擇，可使用云計(jì)算服務(wù)提供商提供的加密系統(tǒng)或第三方密碼系統(tǒng)來加密；在PaaS環(huán)境中，數(shù)據(jù)安全由用戶和提供商共同來分擔(dān)，用戶須借助提供商提供的工具來實(shí)現(xiàn)數(shù)據(jù)安全加密；在SaaS環(huán)境中，數(shù)據(jù)安全是由提供商來負(fù)責(zé)的，但是提供商保護(hù)的重要信息和密鑰在使用過程隨時(shí)可能會(huì)被泄露。

5 結(jié)論(Conclusion)

近年來，云計(jì)算這一名詞廣受追捧，計(jì)算機(jī)行業(yè)各商業(yè)巨頭紛紛推出云計(jì)算產(chǎn)品，越來越多的用戶也開始應(yīng)用云計(jì)算服務(wù)。但當(dāng)前的云計(jì)算服務(wù)所帶來的數(shù)據(jù)安全隱患不容忽視。云計(jì)算技術(shù)面臨龐大的應(yīng)用人群，所以提高云計(jì)算服務(wù)的數(shù)據(jù)安全問題將是我們長久研究的課題之一。本文從技術(shù)角度，提出了解決云計(jì)算服務(wù)的數(shù)據(jù)安全策略，前提是云計(jì)算服務(wù)的提供商是可信合法的。但是在用戶實(shí)際的應(yīng)用過程中，數(shù)據(jù)安全的一些加密技術(shù)并不能完全解決用戶的數(shù)據(jù)安全問題，云計(jì)算服務(wù)商提供的監(jiān)管也需要加強(qiáng)，這樣才有可能提高數(shù)據(jù)安全的機(jī)密性?？傊?，技術(shù)和監(jiān)管必須雙管齊下才能造就一個(gè)可信安全的云計(jì)算服務(wù)的數(shù)據(jù)安全環(huán)境，從根本上解決數(shù)據(jù)安全的隱患。

參考文獻(xiàn)(References)

[1] 張啟云.云計(jì)算中數(shù)據(jù)安全問題的研究[J].計(jì)算機(jī)光盤軟件與

應(yīng)用,2012(6):25-26.

[2] 林軍.基于云計(jì)算的數(shù)據(jù)安全研究[J].科技廣場,2013(06):6-9.

[3] 李陽.云計(jì)算數(shù)據(jù)訪問控制方法的研究[D].南京郵電大學(xué),

2013(03):21-22.

作者簡介：

田 靜(1982-),女,碩士,講師.研究領(lǐng)域：軟件系統(tǒng)開發(fā)、數(shù)

據(jù)安全技術(shù).