袁艷峰+倪麗娜

摘要：隨著云計算的發(fā)展，云計算在應(yīng)用的過程中安全問題也暴露出來，現(xiàn)在安全問題已經(jīng)成為制約云計算發(fā)展的關(guān)鍵因素之一。當(dāng)前全球各國際組織也分別針對安全問題出臺相應(yīng)政策、制定相關(guān)標(biāo)準(zhǔn)。該文介紹了云計算當(dāng)前的安全現(xiàn)狀，在分析了我國云計算存在的安全問題的同時，給出了相應(yīng)的發(fā)展對策，包括加強(qiáng)法律法規(guī)建設(shè)、加強(qiáng)安全體系建設(shè)、技術(shù)創(chuàng)新、人才培養(yǎng)等。

關(guān)鍵詞：云計算；安全問題；安全分析；發(fā)展現(xiàn)狀；發(fā)展對策

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044（2016）15-0065-03

Abstract： With the development of cloud computing， security issues are leak out in the process of application of cloud computing.Now， safety problems have become one of the key factors restricting the development of cloud computing.The global international organizations are also respectively introducing corresponding policies， formulating relevant standards for safety problem. The paper introduces the current cloud computing security situation， analyzed cloud computing problem of our country and presented the corresponding development countermeasures at the same time that including strengthening the construction of laws and regulations， strengthen the construction of safety system， technology innovation， personnel training， etc.

Key words： cloud computing； security issue； security analysis； current situation； development countermeasure

1 背景

隨著信息技術(shù)的發(fā)展，電子商務(wù)、社交網(wǎng)絡(luò)、在線視頻等互聯(lián)網(wǎng)應(yīng)用的迅猛發(fā)展，隨之也產(chǎn)生了大規(guī)模的數(shù)據(jù)，并且數(shù)據(jù)量還在快速增長。2014年，中國網(wǎng)絡(luò)購物市場交易規(guī)模達(dá)到2.8萬億，增長48.7%，仍然維持在較高的增長水平。數(shù)據(jù)存儲介質(zhì)的制約成了限制信息技術(shù)發(fā)展的瓶頸，而部署新的系統(tǒng)需要花費(fèi)高昂的代價，云計算應(yīng)運(yùn)而生。根據(jù)美國國家技術(shù)標(biāo)準(zhǔn)委員會的定義，云計算是一種對IT資源的使用模式，歲共享的可配置資源（如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù)等）提供的普適的、方便的、按需的網(wǎng)絡(luò)訪問。資源使用和釋放可以快速進(jìn)行，不需要花費(fèi)很大的管理代價。云計算的構(gòu)思一經(jīng)提出就等到了各界的廣泛認(rèn)可，成為當(dāng)前學(xué)術(shù)界、工業(yè)界各界關(guān)注的熱門話題之一，具有廣闊的市場發(fā)展前景。

但當(dāng)前云計算的發(fā)展面臨著許多問題，其中最關(guān)鍵的問題之一就是云計算的安全，只有安全性提高了才能被人們接受，只有解決了云計算面臨的各種安全問題才能使組織或個人將自己的數(shù)據(jù)交由云服務(wù)商管理。云計算應(yīng)用以來，各種云服務(wù)事故的發(fā)生使很多人對數(shù)據(jù)的安全和隱私的維護(hù)產(chǎn)生懷疑，從而限制了云服務(wù)的廣泛應(yīng)用。而眾多云服務(wù)商更注重提升性能、改善架構(gòu)等方面的技術(shù)創(chuàng)新，但沒有安全的技術(shù)保障，其他一切都是空，云環(huán)境的安全已經(jīng)成為整個行業(yè)發(fā)展的瓶頸。

2015年在北京召開的中國互聯(lián)網(wǎng)安全大會（ISC2015）中“云計算及虛擬化安全”得到了出席此次會議的國內(nèi)外專家的廣泛關(guān)注。社會各界也時時關(guān)注著云計算產(chǎn)品以及產(chǎn)品的安全性、可用性。本文通過分析當(dāng)前云計算所面臨的安全問題以及云計算對信息安全領(lǐng)域帶來的影響，提出對云計算安全的科研方向，希望能夠為我國未來云計算安全的科研、產(chǎn)業(yè)發(fā)展做出有益的探索。

2 安全現(xiàn)狀

2.1國內(nèi)外云計算安全標(biāo)準(zhǔn)及組織

1）美國政府使用云服務(wù)時必須對所要采購的云服務(wù)進(jìn)行審查，其主要采用的安全審查方法為FedRAMP，即聯(lián)邦風(fēng)險和授權(quán)管理項目（FederalRiskand Authorization Management Program）。歐盟也為云服務(wù)的安全出臺了監(jiān)管政策來規(guī)范服務(wù)商的行為。另外，為了不同國家和地區(qū)之間能夠共享數(shù)據(jù)和對云服務(wù)數(shù)據(jù)的跨境流動進(jìn)行限制，歐盟通過《安全港協(xié)議》來確保云服務(wù)的安全。

2）云安全聯(lián)盟（Cloud Security Alliance， CSA）是一個非盈利性組織，成立于2009年，目前已得到社會各界的認(rèn)可，其旨在對如何提高云環(huán)境下的云應(yīng)用安全進(jìn)行溝通，以提供最佳解決方案。目前，云安全聯(lián)盟的成果主要包括《云計算關(guān)鍵領(lǐng)域的安全指南》、《云控制矩陣》、《云計算的主要風(fēng)險》、《身份管理和訪問控制指南》等。這些研究報告對云計算安全領(lǐng)域的發(fā)展和成果有重要的指導(dǎo)作用。

3）ISO/IEC JTC1 SC27（信息安全分技術(shù)委員會）是國際上最大最具代表性的信息安全標(biāo)準(zhǔn)化組織。目前，SC27已經(jīng)基本確定了云計算安全和隱私的概念體系架構(gòu)，并明確了信息安全管理、安全技術(shù)、身份管理和隱私技術(shù)3個領(lǐng)域的標(biāo)準(zhǔn)研制。

4）國際電信聯(lián)盟ITU研究組會議于2010年5月在瑞士的日內(nèi)瓦召開，決定成立ITU-T云計算專項工作組，旨在研究云計算在電信領(lǐng)域的應(yīng)用。云計算安全是其中重要的研究課題，輸出有《電信領(lǐng)域云計算安全指南》。

2.2 云計算安全問題分析

2010年初，云安全聯(lián)盟和惠普經(jīng)過調(diào)查列出了云計算的“七宗罪”。

1）數(shù)據(jù)泄露。數(shù)據(jù)訪問權(quán)限、存儲、管理等任意方面的不足都可能導(dǎo)致數(shù)據(jù)泄露，用戶隱私暴露。

2）共享技術(shù)漏洞。由于云計算環(huán)境中虛擬服務(wù)器可能共享著相同的配置，配置錯誤將可能影響多個服務(wù)器，導(dǎo)致嚴(yán)重后果。不同的用戶可能共享相同的服務(wù)器、數(shù)據(jù)或應(yīng)用，導(dǎo)致訪問控制變得困難。

3）惡意內(nèi)部人員。云服務(wù)管理缺陷導(dǎo)致云服務(wù)內(nèi)部工作人員的身份背景不清楚，可能有內(nèi)部人員惡意破壞或竊取數(shù)據(jù)等行為。

4）賬戶和通信等的劫持。云服務(wù)用戶的賬戶密碼安全級別不高，身份驗證機(jī)制薄弱，通信就比較容易被入侵者獲取從而造成數(shù)據(jù)泄露。

5）應(yīng)用程序接口不安全。接口質(zhì)量不高，安全性低，第三方插件不安全。

6）沒有正確應(yīng)用云計算。黑客運(yùn)用云計算做出新的攻擊技術(shù)，未將云計算運(yùn)用在正確的方向。

7）未知風(fēng)險。未能預(yù)測到的風(fēng)險，例如版本問題。

3 我國云計算安全分析及發(fā)展對策

3.1 我國云計算安全分析

我國云計算安全的問題主要有以下幾方面：

1）信息安全法律法規(guī)和監(jiān)管體系不夠健全。我國在數(shù)據(jù)及隱私安全、信息保護(hù)等方面的法律法規(guī)還不夠完善，云計算管理還不夠規(guī)范，數(shù)據(jù)跨境流動也使管理難度增加。同時，由于對安全的擔(dān)心和其他顧慮，云計算服務(wù)在中國的接受程度也比美國等發(fā)達(dá)國家要低。

2）我國在云計算安全領(lǐng)域的關(guān)鍵技術(shù)仍與國外先進(jìn)水平差距較大。我國目前掌握的云計算技術(shù)大多來自于開源系統(tǒng)，而擁有核心技術(shù)的公司可以通過開源系統(tǒng)影響云計算的發(fā)展方向，因此，我國云計算容易受到影響，存在較大風(fēng)險。

3）我國在云服務(wù)管理方面效率低。我國云服務(wù)發(fā)展還處于初級階段，在管理方面仍處于摸索前進(jìn)的階段，存在較多漏洞，管理效率低下，缺少管理規(guī)范和制度，同時也缺少專門的機(jī)構(gòu)來管理。

4）我國云計算安全領(lǐng)域人才缺口。云計算管理需要云計算方面的專業(yè)人才，而現(xiàn)在我國在云計算信息安全管理領(lǐng)域的人才嚴(yán)重不足，人才匱乏也是我國云計算安全方面的重要問題之一。

3.2 我國云計算安全發(fā)展對策

云計算的安全問題是云計算發(fā)展過程中最重要的問題之一。只有充分認(rèn)識到云計算安全發(fā)展需要應(yīng)對的問題，并根據(jù)云計算的服務(wù)特點(diǎn)和模式，制定合理安全的管理模式，推進(jìn)相應(yīng)的法律法規(guī)建設(shè)，培養(yǎng)專門的人才，從而在技術(shù)創(chuàng)新和變革方面帶來質(zhì)的飛躍。

1）加強(qiáng)云計算安全法律法規(guī)建設(shè)

加強(qiáng)云計算安全方面的法律法規(guī)建設(shè)，為云計算的發(fā)展做有力后盾，政府部門出臺政策對用戶與服務(wù)提供商之間制訂協(xié)議，為云計算模式下的技術(shù)創(chuàng)新、知識產(chǎn)權(quán)、用戶隱私、商業(yè)機(jī)密等一系列安全問題研究制定相應(yīng)的管理規(guī)范，為云服務(wù)提供一個平等、統(tǒng)一、全面的法律保護(hù)機(jī)制，對云服務(wù)的安全控制予以法律法規(guī)指導(dǎo)，以確保云服務(wù)的安全性。

2）加強(qiáng)云計算安全體系建設(shè)

加強(qiáng)云計算發(fā)展過程中所涉及的各行業(yè)各組織機(jī)構(gòu)之間的協(xié)調(diào)發(fā)展，例如云計算相關(guān)軟硬件、政府、專家學(xué)者、云服務(wù)提供商和最終用戶等各方面的標(biāo)準(zhǔn)化，建立一個云計算標(biāo)準(zhǔn)化產(chǎn)業(yè)鏈。

對新技術(shù)投入使用和服務(wù)的運(yùn)營建立審核機(jī)制、驗收規(guī)范、準(zhǔn)入制度或資格許可證制度，對涉及安全的產(chǎn)品和技術(shù)嚴(yán)格把關(guān)。

加強(qiáng)與國外標(biāo)準(zhǔn)的交流，吸收國外云計算安全體系的精華，去其糟粕，同時針對國內(nèi)現(xiàn)狀不斷改善的國家和行業(yè)標(biāo)準(zhǔn)，積極參加國際標(biāo)準(zhǔn)組織的會議和研究工作，如ISO、ITU等。

3）云計算技術(shù)創(chuàng)新

我國政府大力支持云計算的發(fā)展，出臺政策推進(jìn)云計算技術(shù)創(chuàng)新，加強(qiáng)云計算相關(guān)技術(shù)研發(fā)中心、企業(yè)技術(shù)中心的建設(shè)，加強(qiáng)知識產(chǎn)權(quán)保護(hù)，建立產(chǎn)業(yè)創(chuàng)新聯(lián)盟，促進(jìn)云計算協(xié)同創(chuàng)新。

4）云計算人才培養(yǎng)

積極推進(jìn)云計算專業(yè)人才培養(yǎng)，加強(qiáng)學(xué)校教育與產(chǎn)業(yè)發(fā)展的有效銜接，支持企業(yè)和教育機(jī)構(gòu)開展云計算應(yīng)用人才培訓(xùn)。并制定激勵機(jī)制，對做出貢獻(xiàn)的云計算人才給予相應(yīng)的獎勵。

對云安全管理人員的身份背景進(jìn)行嚴(yán)格審核，嚴(yán)格管理云安全管理人員，防止惡意隱私泄露事件的發(fā)生。

4 結(jié)束語

云計算的發(fā)展具有廣闊的前景，受到各界人士的廣泛關(guān)注，但是其發(fā)展過程中也面臨了極大的挑戰(zhàn)，而安全問題首當(dāng)其沖。云計算安全問題不僅是技術(shù)問題，同時也涉及云計算安全方面的法律法規(guī)建設(shè)、安全體系的規(guī)范化、管理方面標(biāo)準(zhǔn)化等諸多方面。因此，在解決云計算安全問題時，不僅要進(jìn)行技術(shù)創(chuàng)新和研究，同時要注意社會各界包括學(xué)術(shù)界、產(chǎn)業(yè)界和政府相關(guān)部門的配合，才能使云計算這個新興產(chǎn)業(yè)更加快速穩(wěn)定的發(fā)展。

參考文獻(xiàn)：

[1] 馮登國，張敏，張妍，等. 云計算安全研究[J]. 軟件學(xué)報，2011（1）：71-83.

[2] 段翼真，王曉程，劉忠. 云計算安全：概念、現(xiàn)狀與關(guān)鍵技術(shù)[J]. 信息網(wǎng)絡(luò)安全，2012（8）：86-89.

[3] 閆曉麗. 云計算安全問題[J]. 信息安全與技術(shù)，2014（3）：3-5，13.

[4] 馬飛，馬可，郭晨. 云計算安全現(xiàn)狀及我國政策思考[J]. 電信網(wǎng)技術(shù)，2015（2）：1-4.

[5] 胡章榮，王朝斌. 基于云計算的安全分析[J]. 軟件導(dǎo)刊，2015（2）：157-159.

[6] 李連，朱愛紅. 云計算安全技術(shù)研究綜述[J]. 信息安全與技術(shù)，2013（5）：42-45，52.

[7] 丁一軍，于桂榮. 云計算：安全技術(shù)問題探討[J]. 科技創(chuàng)新導(dǎo)報，2015（7）：58-59.

[8] 盧娟. 淺析云計算技術(shù)與安全[J]. 電子世界，2014（17）：1-2.

[9] 童舜海，吳登峰. 云計算環(huán)境下網(wǎng)絡(luò)安全面臨的威脅及防范[J]. 電子技術(shù)與軟件工程，2015（24）：206.

[10] 常學(xué)洲，朱之紅. 云計算安全問題探討和研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3）：106，108.