劉曉星

摘要：對于云計算數(shù)據(jù)集中的安全問題，用戶的數(shù)據(jù)存儲、處理和網(wǎng)絡(luò)傳輸?shù)榷寂c云計算密切關(guān)，如何有效存儲數(shù)據(jù)以避免數(shù)據(jù)丟失或損壞，如何避免數(shù)據(jù)被非法訪問和篡改，如何對多租戶應(yīng)用進(jìn)行數(shù)據(jù)隔離，如何避免數(shù)據(jù)服務(wù)被阻塞，如何確保云端退役數(shù)據(jù)的妥善保管或銷毀等問題都是云計算解決問題時需要重點考慮的。

關(guān)鍵詞：云計算 數(shù)據(jù) 網(wǎng)絡(luò)傳輸

云計算是一種新的服務(wù)模式，它將影響傳統(tǒng)的信息安全領(lǐng)域。特別是對傳統(tǒng)的反病毒、入侵檢測和防御廠商而言，利用云計算平臺，將大大提升他們的服務(wù)能力和水平。

一、云計算對于傳統(tǒng)信息安全領(lǐng)域的影響

（1）約束云計算的服務(wù)提供商的行為和技術(shù)，需要國家出臺相應(yīng)的法規(guī)，比如云計算服務(wù)提供商的網(wǎng)絡(luò)安全嗎？有沒有別人闖進(jìn)去盜取賬號？他們提供的存儲安全嗎？會不會造成數(shù)據(jù)泄密？這些疑問都是云計算服務(wù)提供商們要解決、要向客戶承諾的問題。

（2）客戶在使用云計算服務(wù)的同時也要考慮：在云計算服務(wù)提供商的安全性和自己數(shù)據(jù)的安全性上做個平衡，特別重要的數(shù)據(jù)不要放到云里，可以將其加密后再放到云中，只有自己才能解密，將安全性的主動權(quán)牢牢掌握在自己手中，而不是依賴于服務(wù)提供商的承諾和他們的解決方案。

（3）客戶要保管好自己的賬戶，防止他人盜取你的賬號使用云中的服務(wù)，而讓你承擔(dān)后果。

二、云計算關(guān)鍵特征

（1）按需自助服務(wù)（on-demandself-service）。用戶能夠自動獲取所需計算資源或服務(wù)，而不必和服務(wù)供應(yīng)商交互。

（2）寬帶網(wǎng)絡(luò)接入（broad network access）。服務(wù)能力通過網(wǎng)絡(luò)提供，帶寬足夠且成本低廉，支持各種標(biāo)準(zhǔn)接入手段，包括各種類型的客戶端平臺（如智能手機(jī)、筆記本電腦或PDA），也包括其它傳統(tǒng)的基于云的服務(wù)。

（3）虛擬化的資源“池”（resource pooling）。提供商的計算資源匯集到資源池中，使用多租戶模型，按照用戶需要，將不同的物理和虛擬資源動態(tài)地分配或再分配給多個消費者使用。

（4）快速彈性架構(gòu)（rapid elasticity）。資源或服務(wù)能力可以快速、彈性地供應(yīng)。對于用戶來說，可供應(yīng)的資源或服務(wù)能力近乎無限，可以隨時按需購買。用戶既不用擔(dān)心資源不夠用，也不用擔(dān)心資源浪費。

（5）可測量的服務(wù)（measured service）。云計算利用經(jīng)過某種程度抽象的測量能力（例如存儲、處理、帶寬或者活動用戶賬號等）實現(xiàn)自動控制，優(yōu)化某種服務(wù)的資源使用，有明確的價格與收費政策。

三、云計算安全參考模型

1.云服務(wù)模型

（1）軟件作為服務(wù)（software as a service，SaaS）。提供給用戶的能力是使用服務(wù)商運行在云基礎(chǔ)設(shè)施之上的應(yīng)用。

（2）平臺作為服務(wù)（platform as a service，PaaS）。提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語言或工具開發(fā)。

（3）基礎(chǔ)設(shè)施作為服務(wù)（infrastructure as a service，IaaS）。提供給用戶的能力是云供應(yīng)了處理、存儲、網(wǎng)絡(luò)以及其它基礎(chǔ)性的計算資源，以供用戶部署或運行自己任意的軟件，包括操作系統(tǒng)或應(yīng)用。

云服務(wù)的規(guī)?；?、專業(yè)化改變了信息資源的分散格局，還可以融合信息安全專家資源，安全本身也可以作為服務(wù)提供。

2.云部署模型

（1）公共云（public cloud）。由某個組織擁有，其云基礎(chǔ)設(shè)施對公眾或某個很大的業(yè)界群組提供云服務(wù)。

（2）私有云（private cloud）。云基礎(chǔ)設(shè)施特定為某個組織運行服務(wù)。

（3）社區(qū)云（community cloud）。云基礎(chǔ)設(shè)施由若干個組織分享，以支持某個特定的社區(qū)。

（4）混合云（hybrid cloud）。云基礎(chǔ)設(shè)施由2個或多個云（私有的、社區(qū)的或公共的）組成，獨立存在，但是通過標(biāo)準(zhǔn)的或私有的技術(shù)綁定在一起，這些技術(shù)促成數(shù)據(jù)和應(yīng)用的可移植性。

3.云計算的安全挑戰(zhàn)

云計算作為多種傳統(tǒng)技術(shù)并行計算、分布式計算、網(wǎng)格計算、虛擬化、效用計算等綜合應(yīng)用、發(fā)展與商業(yè)實現(xiàn)的結(jié)果，信息安全的基本屬性與安全需求不變，涉及信息資產(chǎn)、安全威脅、保護(hù)措施等的信息保障安全觀不變。

從供應(yīng)商的安全能力角度分析云計算面臨的安全風(fēng)險來講，云計算技術(shù)主要存在7大安全風(fēng)險，特權(quán)用戶接入，可審查性，數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持、長期生存性。

4.云計算安全應(yīng)對策略

（1）CSA的安全指南

云計算中的安全控制機(jī)制與傳統(tǒng)IT環(huán)境中的安全控制機(jī)制沒有本質(zhì)的不同。不過，云計算環(huán)境下有凸顯的安全風(fēng)險，因此具有特別的安全關(guān)注領(lǐng)域。CSA對云服務(wù)的主要安全關(guān)注點分為治理和運行2個領(lǐng)域，共涉及12個具體的關(guān)鍵域，如治理和企業(yè)風(fēng)險管理、法律和電子證據(jù)發(fā)現(xiàn)、合規(guī)與設(shè)計、信息生命周期管理和可移植性和互操作性等。

對于每一個關(guān)鍵域給出相應(yīng)的安全控制實施建議，為用戶安全地使用云服務(wù)提供指南。不是已有的安全技術(shù)簡單拿過來就成為云計算環(huán)境的安全解決方案，需要針對這些安全領(lǐng)域研究安全技術(shù)面臨的需求、規(guī)模、性能等方面的新問題，如虛擬機(jī)安全、取證與安全審計等。

（2）云計算安全管理

NIST、Sun公司、國際信息系統(tǒng)審計協(xié)會（information systems audit and control association，ISACA）都提倡應(yīng)用管理的手段來控制和減小云計算安全風(fēng)險，服務(wù)水平協(xié)議（service level agreement，SLA）和相關(guān)的安全管理標(biāo)準(zhǔn)的應(yīng)用是主要方式。

SLA是服務(wù)提供者和用戶之間的唯一的法律協(xié)議，是為委托給供應(yīng)商的信息提供充分保護(hù)的最有效的工具之一。服務(wù)提供者利用SLA獲取用戶的信任。典型的云服務(wù)水平協(xié)議內(nèi)容包括：交割的服務(wù)定義；性能管理（對服務(wù)水平的監(jiān)控和測量）；問題管理（最小化事故和問題的負(fù)面影響）；用戶職責(zé)和責(zé)任；擔(dān)保和補償；安全；災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性等。

沒有人能夠準(zhǔn)確預(yù)期云計算將給我們的生活帶來哪些巨大變化，但隨著這一運動的不斷推進(jìn)，不管是作為消費者，還是商業(yè)人士，都可以感受到云計算帶來的巨大變化。云計算正處于發(fā)展之初，云計算安全還面臨很多需要解決的問題，除了前面歸納的云計算安全風(fēng)險難題之外，還包括相關(guān)標(biāo)準(zhǔn)的建立、合規(guī)性問題、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)、服務(wù)質(zhì)量保證、法律法規(guī)保障等，這些都將是很大的挑戰(zhàn)。

云計算將首先通過管理、法律的手段逐步解決信任問題，并在云計算的發(fā)展過程中將各種信息安全保障手段融入體系，完善安全服務(wù)。

參考文獻(xiàn)：

[1]林立宇，陳云海，張敏.云計算技術(shù)及運營可行性分析[J].通信熱點，2008.

[2]姜國華，李曉林，季英珍.基于SOA的框架模型研究[J].電腦與信息技術(shù)，2007.

[3]宋坤，周智海.面向服務(wù)的軟件體系結(jié)構(gòu)[J].海洋技術(shù)，2007.

[4]曹會敏，林碧英.SOA服務(wù)設(shè)計原則的研究[J].中國電力教育，2007.