王學(xué)芹

摘 要：隨著云計(jì)算的廣泛應(yīng)用，越來越多的企業(yè)和個(gè)人使用云計(jì)算存儲(chǔ)和計(jì)算。然而，云計(jì)算的安全問題不容忽視，其已成為阻礙云計(jì)算應(yīng)用的主要因素。應(yīng)用云計(jì)算的安全性日益受到社會(huì)的關(guān)注，因此，對云計(jì)算的安全問題進(jìn)行了分析和探究。

關(guān)鍵詞：云計(jì)算；計(jì)算資源池；防火墻；安全架構(gòu)

中圖分類號：TP309 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2015.17.041

1 云計(jì)算

云計(jì)算是一種通過網(wǎng)絡(luò)，以便捷、按需的形式從共享的可配置的計(jì)算資源池（網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)）中獲取服務(wù)的業(yè)務(wù)模式。云計(jì)算業(yè)務(wù)資源應(yīng)支持通過簡潔的管理或交互過程快速地部署和釋放。上述對云計(jì)算的定義是在2011年由美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）提出的，其得到了業(yè)界最廣泛的認(rèn)可。

目前，云計(jì)算的普及程度逐步提高，安全問題也逐漸成為制約其發(fā)展的重要因素。云計(jì)算安全是云計(jì)算健康、可持續(xù)發(fā)展的重要前提。各國均高度重視云計(jì)算的安全問題，云計(jì)算服務(wù)商也都制定了云平臺(tái)安全策略和機(jī)制，美國政府甚至出臺(tái)了聯(lián)邦云計(jì)算安全戰(zhàn)略。由此可見，確保云計(jì)算的安全越來越重要，提高我國云計(jì)算的安全性也越來越重要，因此，要加強(qiáng)對云服務(wù)提供商的管理，并建立云計(jì)算安全標(biāo)準(zhǔn)體系。

2 云計(jì)算安全及其安全問題分析

2.1 云計(jì)算安全的含義

與云計(jì)算相關(guān)的安全問題統(tǒng)稱為“云安全”，一般包括云計(jì)算使用安全和云計(jì)算數(shù)據(jù)安全兩部分。云計(jì)算使用安全是指云計(jì)算技術(shù)在信息安全領(lǐng)域的具體應(yīng)用中，主要采用云服務(wù)模式，利用云計(jì)算架構(gòu)對云計(jì)算安全進(jìn)行統(tǒng)一的安全監(jiān)控和管理；云計(jì)算數(shù)據(jù)安全是指對云計(jì)算本身的安全保護(hù)，主要研究相應(yīng)的安全防護(hù)方案和措施，以消除云計(jì)算自身存在的安全隱患，比如云計(jì)算環(huán)境的數(shù)據(jù)保護(hù)、云計(jì)算安全體系架構(gòu)和云計(jì)算應(yīng)用服務(wù)安全等。

2.2 云計(jì)算安全的主要特征

2.2.1 動(dòng)態(tài)性和移動(dòng)性強(qiáng)

在云計(jì)算環(huán)境中，用戶數(shù)據(jù)會(huì)實(shí)時(shí)與服務(wù)器同步，變化頻率高、動(dòng)態(tài)性和移動(dòng)性強(qiáng)的特點(diǎn)使其安全防護(hù)必須滿足動(dòng)態(tài)調(diào)整的需要。在云計(jì)算中，用戶遠(yuǎn)程操作和遠(yuǎn)程使用服務(wù)系統(tǒng)的次數(shù)、系統(tǒng)更新數(shù)量不斷增加，這是對原有安全策略的全新挑戰(zhàn)。

2.2.2 數(shù)據(jù)地域性限制消失

在傳統(tǒng)數(shù)據(jù)安全中，數(shù)據(jù)基本儲(chǔ)存在本地，一般通過郵件服務(wù)器、網(wǎng)頁服務(wù)器等接口暴露，可在物理和邏輯方面定義安全域邊界，并通過設(shè)置防火墻和訪問控制等安全措施保護(hù)系統(tǒng)。但在云環(huán)境下，云計(jì)算采用了虛擬化技術(shù)和多租戶模式，云計(jì)算數(shù)據(jù)不儲(chǔ)存在本地，導(dǎo)致物理邊界被打破，數(shù)據(jù)暴露在公開的網(wǎng)絡(luò)中，數(shù)據(jù)節(jié)點(diǎn)可能會(huì)受到攻擊，因此，傳統(tǒng)的邊界性安全防護(hù)機(jī)制在云計(jì)算中難以發(fā)揮效用。

2.2.3 技術(shù)標(biāo)準(zhǔn)不統(tǒng)一

目前，眾多企業(yè)使用了云計(jì)算技術(shù)，雖然云計(jì)算的技術(shù)標(biāo)準(zhǔn)較多，但缺乏安全標(biāo)準(zhǔn)，數(shù)據(jù)可存儲(chǔ)在任何地方，且數(shù)據(jù)儲(chǔ)存格式各不相同，這都為數(shù)據(jù)交互安全帶來了挑戰(zhàn)。

2.2.4 服務(wù)安全保障和數(shù)據(jù)安全保護(hù)

在云計(jì)算的數(shù)據(jù)存儲(chǔ)模式中，數(shù)據(jù)常與管理分離，因此，安全保護(hù)手段對數(shù)據(jù)的私密性和安全性非常重要。云計(jì)算采用服務(wù)交互模式，要求保護(hù)數(shù)據(jù)的完整性、數(shù)據(jù)加密過程、數(shù)據(jù)恢復(fù)等。云計(jì)算服務(wù)提供商的權(quán)利巨大，需要第三方的監(jiān)管和審計(jì)才能確保用戶的權(quán)利得以保障。

2.3 云計(jì)算安全分析

因云計(jì)算具有的特征，導(dǎo)致數(shù)據(jù)安全中存在眾多問題，比如數(shù)據(jù)不再存放在某個(gè)確定的物理節(jié)點(diǎn)，改變了傳統(tǒng)的地域安全性；用戶不再對數(shù)據(jù)和環(huán)境安全具有完全的控制權(quán)；由于服務(wù)商提供了動(dòng)態(tài)、虛擬的存儲(chǔ)空間，所以，數(shù)據(jù)定位的難度不斷加大；傳統(tǒng)的數(shù)據(jù)存儲(chǔ)和處理安全方法無法應(yīng)用于云計(jì)算時(shí)代的數(shù)據(jù)存儲(chǔ)和處理；數(shù)據(jù)的動(dòng)態(tài)性導(dǎo)致數(shù)據(jù)管理、保密和安全工作的難度加大。

3 云計(jì)算安全技術(shù)研究

3.1 云計(jì)算安全框架

3.1.1 可信云架構(gòu)

可信云架構(gòu)是Intel公司與其他公司共同提出的一種云架構(gòu)。其綜合使用可多個(gè)公司的安全技術(shù)，功能十分強(qiáng)大。該架構(gòu)利用Intel的可信技術(shù)保障基礎(chǔ)設(shè)施的安全，并運(yùn)用VMWare公司的虛擬隔離技術(shù)保障云架構(gòu)成功啟動(dòng)后虛擬機(jī)的安全。VMWare公司在防止病毒和木馬入侵方面的優(yōu)勢明顯，該架構(gòu)會(huì)不斷收集硬件層和虛擬層的安全數(shù)據(jù)，并實(shí)時(shí)監(jiān)控。

3.1.2 CSA的云計(jì)算安全架構(gòu)

CSA的云計(jì)算安全架構(gòu)是一種被廣泛使用的安全框架，主要應(yīng)用于等級較低的服務(wù)供應(yīng)商，其云服務(wù)用戶會(huì)承擔(dān)更多的安全管理職責(zé)。CSA云計(jì)算安全架構(gòu)是針對云計(jì)算缺少可視化控制能力、基礎(chǔ)設(shè)施的抽象化、集成各種通用安全控制能力缺失等問題提出的云服務(wù)模型，且是根據(jù)3種基本云服務(wù)的層次性和依賴關(guān)系設(shè)計(jì)的。因此，將安全控制和合規(guī)模型完美地映射到云服務(wù)模型中可實(shí)現(xiàn)云計(jì)算的安全管理。

3.2 云計(jì)算安全技術(shù)

云計(jì)算的安全核心就是數(shù)據(jù)安全，數(shù)據(jù)的安全性也是用戶最關(guān)心的問題。在云計(jì)算系統(tǒng)中，不同用戶的數(shù)據(jù)放在同一個(gè)物理存儲(chǔ)器中。因此，要做好數(shù)據(jù)隔離，一般通過存儲(chǔ)映射確保數(shù)據(jù)的隔離性，還可設(shè)置獨(dú)立的存儲(chǔ)空間，從物理層面隔離保護(hù)客戶的重要數(shù)據(jù)；可對數(shù)據(jù)加密，防止他人竊取原始文件，用戶可使用密鑰對數(shù)據(jù)加密后上傳至云計(jì)算環(huán)境中，避免物理介質(zhì)儲(chǔ)存非加密數(shù)據(jù)，數(shù)據(jù)加密包括對稱加密、公鑰加密和iscsi加密等。

云計(jì)算平臺(tái)的數(shù)據(jù)保護(hù)安全措施能為數(shù)據(jù)和信息提供全面的保護(hù)，保護(hù)企業(yè)中具有知識(shí)產(chǎn)權(quán)和敏感的信息，一般使用快照、備份和容災(zāi)等手段保護(hù)客戶的重要數(shù)據(jù)。一般由數(shù)據(jù)庫自動(dòng)備份和恢復(fù)在線、離線數(shù)據(jù)。此外，還應(yīng)有效處理數(shù)據(jù)殘留。數(shù)據(jù)殘留是指數(shù)據(jù)在被移除后所殘留的物理表現(xiàn)。數(shù)據(jù)殘留在云計(jì)算環(huán)境中更容易泄露信息，因此，要在存儲(chǔ)空間被釋放前完全清除數(shù)據(jù)殘留。一般使用多次擦除法、加密的密鑰擦除法等清除數(shù)據(jù)殘留。

參考文獻(xiàn)

[1]羅軍舟.云計(jì)算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報(bào)，2011（07）.

[2]王操.云計(jì)算安全的發(fā)展現(xiàn)狀和趨勢述評[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（01）.

〔編輯：張思楠〕