周元德

本文從“一帶一路”背景下的集團(tuán)企業(yè)云計(jì)算面臨的安全入手，詳細(xì)介紹與分析了云計(jì)算應(yīng)用中的安全風(fēng)險(xiǎn)、云計(jì)算安全研究現(xiàn)狀、企業(yè)云計(jì)算安全關(guān)鍵機(jī)制。在文章最后指出，我們只有逐步建立完善的“一帶一路”背景下的集團(tuán)企業(yè)云計(jì)算安全綜合防御體系，才能保證企業(yè)云計(jì)算應(yīng)用的安全。

關(guān)鍵詞>>集團(tuán)企業(yè) 云計(jì)算應(yīng)用 風(fēng)險(xiǎn)安全

一、“一帶—路”背景下的集團(tuán)企業(yè)云計(jì)算安全概述

“一帶一路”背景下的集團(tuán)企業(yè)網(wǎng)絡(luò)覆蓋全球，需要一種新興的共享基礎(chǔ)框架的方法，提供數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)服務(wù)。云計(jì)算不同于現(xiàn)有的以桌面為核心的數(shù)據(jù)處理方式和應(yīng)用服務(wù)都在本地計(jì)算機(jī)中完成的使用習(xí)慣，而是把這些都轉(zhuǎn)移到“云”中，它將改變我們獲取信息，分享內(nèi)容和相互溝通的方式，從而形成“一帶一路”背景下的集團(tuán)企業(yè)云計(jì)算應(yīng)用。由于“一帶一路”背景下與傳統(tǒng)的云計(jì)算在平臺(tái)環(huán)境、服務(wù)提供商、政策環(huán)境等方面存在差異，隨之產(chǎn)生的是“一帶一路”背景下的集團(tuán)企業(yè)的重要數(shù)據(jù)和應(yīng)用服務(wù)在“云”中的安全問(wèn)題。

站在集團(tuán)企業(yè)的角度，是否要部署一個(gè)新技術(shù)或者新產(chǎn)品，最重要的一項(xiàng)指標(biāo)是安全性，安全性不僅要考慮技術(shù)本身的安全因素，同時(shí)也要考慮連帶影響，如承載平臺(tái)上的信息安全性。尤其是那些涉及較多敏感信息，如大量用戶數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等保密級(jí)別較高的數(shù)據(jù)。對(duì)于云計(jì)算技術(shù)，安全性問(wèn)題同樣無(wú)法回避，實(shí)際上這也是目前云計(jì)算在集團(tuán)企業(yè)推廣應(yīng)用過(guò)程中所遇到的最大難題。雖然目前云計(jì)算服務(wù)提供商都在竭力淡化或避免此方面的問(wèn)題，但對(duì)于“一帶一路”背景下的集團(tuán)企業(yè)，這是其決定是否使用此技術(shù)或服務(wù)的關(guān)鍵因素。因此，云計(jì)算安全性已經(jīng)成為云計(jì)算邁向集團(tuán)企業(yè)部署應(yīng)用必須要解決的問(wèn)題。

二、“一帶—路”背景下集團(tuán)企業(yè)云計(jì)算應(yīng)用中的安全風(fēng)臉

從現(xiàn)有的技術(shù)資料和已經(jīng)發(fā)現(xiàn)的安全事件來(lái)看，互聯(lián)網(wǎng)時(shí)代中傳統(tǒng)的安全威脅在云計(jì)算服務(wù)中同樣存在，并且伴隨云計(jì)算特有的大規(guī)模、開(kāi)放性與復(fù)雜性，還會(huì)出現(xiàn)一些新的安全挑戰(zhàn)。因此，對(duì)于“一帶一路”背景下的集團(tuán)企業(yè)云計(jì)算應(yīng)用，安全問(wèn)題仍然是信息化進(jìn)程中的首要問(wèn)題。

“云”的安全和傳統(tǒng)的安全到底有多大的差異？需要在哪些方面給予特別的注意？云安全聯(lián)盟CSA在其發(fā)布的“SecuritvGI～idance for Critical Areas of FoctIs inCloud Computing'中所言：在安全控制方面，“云”與其它IT環(huán)境相比并沒(méi)有很大的不同，但在服務(wù)模型、運(yùn)營(yíng)模型以及用于提供服務(wù)的相關(guān)技術(shù)等方面，“云”可能會(huì)導(dǎo)致與以往不同的安全風(fēng)險(xiǎn)。

云計(jì)算安全的范圍很廣，包括技術(shù)、管理、立法、商業(yè)、企業(yè)持續(xù)服務(wù)等層面。在這里不討論云計(jì)算的可用性、持久性問(wèn)題，也不涉及系統(tǒng)或者硬件基礎(chǔ)本身的安全性，因?yàn)檫@些安全性問(wèn)題已有很多成熟的解決方案。云計(jì)算的數(shù)據(jù)安全問(wèn)題，主要是指部署在云端的數(shù)據(jù)的安全問(wèn)題。作為用戶，第一感覺(jué)是以前系統(tǒng)的所有數(shù)據(jù)都是自己掌控的，但是實(shí)施“云”之后，數(shù)據(jù)有很大一部分層面對(duì)用戶屏蔽了，用戶自己學(xué)控不了其中的安全性。云計(jì)算系統(tǒng)儼然成為一個(gè)黑盒子，那把數(shù)據(jù)放在這個(gè)黑盒子是否安全呢？

筆者認(rèn)為除了云計(jì)算的可用性、內(nèi)部管理、運(yùn)營(yíng)等問(wèn)題外，“一帶一路”背景下的集團(tuán)企業(yè)在云計(jì)算實(shí)踐中還存在應(yīng)用部署安全風(fēng)險(xiǎn)、應(yīng)用程序安全風(fēng)險(xiǎn)、虛擬化環(huán)境安全風(fēng)險(xiǎn)、數(shù)據(jù)訪問(wèn)權(quán)限風(fēng)險(xiǎn)、數(shù)據(jù)存儲(chǔ)安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)等風(fēng)險(xiǎn)。

（一）應(yīng)用部署安全風(fēng)險(xiǎn)

任何一個(gè)持有有效信用的人都可以注冊(cè)并立即使用云平臺(tái)，網(wǎng)絡(luò)犯罪分子可以基于云平臺(tái)部署各種攻擊服務(wù)或各種惡意軟件，攻擊互聯(lián)網(wǎng)上的任何用戶，更嚴(yán)重的是，在云計(jì)算平臺(tái)內(nèi)部部署的惡意軟件能直接從內(nèi)部對(duì)云計(jì)算平臺(tái)進(jìn)行服務(wù)攻擊、信息竊取等安全攻擊。

（二）應(yīng)用程序安全風(fēng)險(xiǎn)

應(yīng)用程序是云服務(wù)交付的核心組成，包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫(kù)程序等，即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下，他們?nèi)匀粫?huì)因?yàn)榫幊碳夹g(shù)的缺陷而存在多個(gè)安全漏洞，在云計(jì)算環(huán)境下，這些安全漏洞會(huì)繼續(xù)存在。典型如各種Web會(huì)話控制漏洞、會(huì)話劫持漏洞及各種注入攻擊漏洞。同時(shí)為了適應(yīng)或使用虛擬化環(huán)境下的各種API管理接口，也可能產(chǎn)生一些新的安全漏洞。

（三）虛擬化環(huán)境安全風(fēng)險(xiǎn)

服務(wù)器虛擬化是現(xiàn)階段“一帶一路”背景下的集團(tuán)企業(yè)云計(jì)算數(shù)據(jù)中心實(shí)施最為廣泛的技術(shù)。以VMware、Citrix和微軟的虛擬化應(yīng)用程序ESX/XEN/Hyper-V為代表的虛擬化應(yīng)用程序本身可能存在的安全漏洞將影響到整個(gè)物理主機(jī)的安全。

（四）數(shù)據(jù)訪問(wèn)權(quán)限風(fēng)險(xiǎn)

從云計(jì)算的整體技術(shù)架構(gòu)來(lái)看，除了中央數(shù)據(jù)服務(wù)器外，用戶數(shù)據(jù)存儲(chǔ)在哪片“云”上無(wú)人知曉，精準(zhǔn)盜取數(shù)據(jù)的難度很大，但云計(jì)算的數(shù)據(jù)訪問(wèn)權(quán)限存在漏洞，就很容易產(chǎn)生風(fēng)險(xiǎn)。

（五）數(shù)據(jù)存儲(chǔ)安全風(fēng)險(xiǎn)

“一帶一路”背景下的集團(tuán)企業(yè)的數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云計(jì)算模式下，云計(jì)算服務(wù)商在高度整合的大容量存儲(chǔ)空間上，開(kāi)辟出一部分存儲(chǔ)空間提供給“一帶一路”背景下的集團(tuán)企業(yè)使用。

（六）數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)

在云計(jì)算模式下，企業(yè)將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳遞到云計(jì)算服務(wù)商進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問(wèn)題：一是如何確保企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中嚴(yán)格加密不被竊??；二是如何保證云計(jì)算服務(wù)商在得到數(shù)據(jù)時(shí)不將企業(yè)絕密數(shù)據(jù)泄露出去。

三、云計(jì)算安全研究觀狀

面對(duì)如此之多的云計(jì)算安全風(fēng)險(xiǎn)，云計(jì)算安全的研究成為了推廣和應(yīng)用云計(jì)算的動(dòng)力。到目前為止，全球范圍內(nèi)還沒(méi)有一個(gè)公認(rèn)的云計(jì)算標(biāo)準(zhǔn)。國(guó)內(nèi)外不少企業(yè)和組織正在積極探索和研究云計(jì)算安全標(biāo)準(zhǔn)工作。

（一）各國(guó)政府對(duì)云計(jì)算安全問(wèn)題的關(guān)注

信息安全國(guó)際會(huì)議RSA2010將云計(jì)算安全作為焦點(diǎn)問(wèn)題進(jìn)行研究；CCS（云計(jì)算峰會(huì)）從2009年開(kāi)始專(zhuān)門(mén)設(shè)置了關(guān)于云計(jì)算安全的研討會(huì)；2010年11月，美國(guó)政府CIO（首席信息官）委員會(huì)闡述了針對(duì)云計(jì)算的安全防護(hù)；日本政府官民合作項(xiàng)目開(kāi)展計(jì)算安全性測(cè)試；2010年5月，時(shí)任我國(guó)工信部的副部長(zhǎng)婁勤儉在第二屆中國(guó)云計(jì)算大會(huì)上表示，我國(guó)應(yīng)加強(qiáng)云計(jì)算安全的研究。

（二）云計(jì)算安全標(biāo)準(zhǔn)組織

云安全聯(lián)盟CSA（Cbud，Seaurity Alliance）于2009年在RSA信息安全大會(huì)上成立，其目的就是為云計(jì)算找到解決安全問(wèn)題的最佳方法。目前，CSA制定了《云計(jì)算面臨的嚴(yán)重威脅》《云控制矩陣》《關(guān)鍵領(lǐng)域的云計(jì)算安全指南》等研究報(bào)告，這些報(bào)告提出了安全性應(yīng)考慮的問(wèn)題并給出了相應(yīng)的解決方案。

分布式管理任務(wù)組DMTF（DistributedManagement Task Force）于2010年7月起草了開(kāi)放云標(biāo)準(zhǔn)孵化器OCSI、開(kāi)放云資源管理協(xié)議、封包格式和安全管理協(xié)議，發(fā)布了云互操作性和管理云架構(gòu)白皮書(shū)。

由歐洲網(wǎng)絡(luò)信息安全局和CSA聯(lián)合的CAM項(xiàng)目開(kāi)發(fā)一個(gè)以客觀、可量化的測(cè)量標(biāo)準(zhǔn)，為用戶提供一個(gè)評(píng)價(jià)云計(jì)算服務(wù)提供商安全運(yùn)行的標(biāo)準(zhǔn)。

（三）國(guó)內(nèi)企業(yè)積極參與云計(jì)算安全標(biāo)準(zhǔn)制定

華為公司是互聯(lián)網(wǎng)工程任務(wù)組IETF云計(jì)算標(biāo)準(zhǔn)化工作的發(fā)起者之一，也是DMDF的董事會(huì)成員，同時(shí)參與了CSA等組織的工作。

中國(guó)聯(lián)通、中國(guó)電信、中興通訊是國(guó)際電信聯(lián)盟ITU云計(jì)算領(lǐng)域工作的主導(dǎo)力量之一。中國(guó)移動(dòng)是綠色網(wǎng)格組織TGG的重要成員。

聯(lián)想、金蝶、瑞星等國(guó)內(nèi)企業(yè)也在TGG、CSA等國(guó)際云計(jì)算標(biāo)準(zhǔn)組織中發(fā)揮了重要作用。

四、企業(yè)云計(jì)算安全關(guān)鍵機(jī)制

存儲(chǔ)和進(jìn)出云計(jì)算數(shù)據(jù)中心的數(shù)據(jù)保護(hù)是“一帶一路”背景下的集團(tuán)企業(yè)最擔(dān)心的安全問(wèn)題。因此，進(jìn)出“云”中的數(shù)據(jù)都要求加密且經(jīng)由安全的傳輸鏈路。

如圖1所示，不管“一帶一路”背景下的集團(tuán)企業(yè)采用哪種云服務(wù)模式，云服務(wù)提供商必須提供良好的云計(jì)算安全機(jī)制：數(shù)據(jù)加密、訪問(wèn)控制、日志審計(jì)、身份認(rèn)證、授權(quán)驗(yàn)證。

（一）數(shù)據(jù)加密

云計(jì)算的加密技術(shù)幫助企業(yè)解除使用SaaS（軟件即服務(wù)）或者其他云服務(wù)來(lái)處理敏感數(shù)據(jù)的限制和顧慮。數(shù)據(jù)從企業(yè)傳輸?shù)皆品?wù)提供商之前進(jìn)行加密，離開(kāi)企業(yè)內(nèi)部安全邊界，存儲(chǔ)在外部云服務(wù)提供商的基礎(chǔ)設(shè)施里面。

（二）訪問(wèn)控制

訪問(wèn)控制是云服務(wù)模型和云部署模型中關(guān)鍵的安全管理手段。云計(jì)算環(huán)境的訪問(wèn)控制，把用戶的身份和云中的資源緊密地結(jié)合在一起，更有助于精細(xì)化的訪問(wèn)控制、用戶記錄和數(shù)據(jù)保護(hù)?；谧钚?quán)限和職責(zé)隔離等安全原理，云服務(wù)提供商提供更精細(xì)化的基于角色的訪問(wèn)控制模型。

（三）日志審計(jì)

審計(jì)是通過(guò)監(jiān)控日志記錄的事件來(lái)理解系統(tǒng)的性能。用戶訪問(wèn)云服務(wù)一般都是多站點(diǎn)或者多主機(jī)的操作，用戶的日志文件可能不僅記錄在本地的唯一主機(jī)上，還可能是在不同主機(jī)或不同站點(diǎn)之間動(dòng)態(tài)變化的。

（四）身份認(rèn)證和授權(quán)驗(yàn)證

一些“一帶一路”背景下的集團(tuán)企業(yè)通常要求他們的云計(jì)算用戶的驗(yàn)證授權(quán)基于工作給你分配合適的權(quán)限。在一些情況下，業(yè)務(wù)應(yīng)用可能要求基于角色的訪問(wèn)控制。因此，授權(quán)驗(yàn)證需要綜合地適應(yīng)企業(yè)給你的角色需要。

五、結(jié)束語(yǔ)

云計(jì)算應(yīng)用愈加普及，安全性就愈應(yīng)該得到重視。對(duì)云計(jì)算服務(wù)提供商來(lái)說(shuō)，如何保證“一帶一路”背景下的集團(tuán)企業(yè)存儲(chǔ)在云中的數(shù)據(jù)的安全？對(duì)集團(tuán)企業(yè)來(lái)說(shuō)，如何才能相信云服務(wù)提供商能保證云中數(shù)據(jù)的安全？這都將是云計(jì)算應(yīng)用真正落地急需解決的問(wèn)題。要保證集團(tuán)企業(yè)云計(jì)算應(yīng)用的安全，不僅要考慮數(shù)據(jù)加密、訪問(wèn)控制，日志審計(jì)、身份認(rèn)證、授權(quán)驗(yàn)證，還要考慮法律、法規(guī)合規(guī)性等要求。

此外，我們只有綜合考慮、統(tǒng)一規(guī)劃，通過(guò)逐步建立完善的“一帶一路”背景下的集團(tuán)企業(yè)云計(jì)算安全綜合防御體系，才能在最大程度上降低集團(tuán)企業(yè)云計(jì)算系統(tǒng)的安全威脅，提高云服務(wù)的連續(xù)性，保障集團(tuán)企業(yè)云計(jì)算應(yīng)用的健康、可持續(xù)發(fā)展。o

責(zé)編：白雪

參考文獻(xiàn)：

【1】史愛(ài)武.贏在云時(shí)代企業(yè)計(jì)算戰(zhàn)略、方法和路線圖，清華大學(xué)出版社，：3013年6月

【2】AssessingtheSecurityRisksofCloudComputing，2008，http：//www.gantner.com/DisoDocument？id=685308.

【3】孫鋒.企業(yè)云計(jì)算應(yīng)用中的安全風(fēng)險(xiǎn)防范.數(shù)學(xué)的實(shí)踐與認(rèn)識(shí)，2013，43（5）.

【4】Barman Bikram.Safe 0n the Cloud（A Perspective into the Security Concerns of CloudComputing）[A].Siliconindia2009-3，12（4）：34-35.

【5】Edwards John.Cutting through the Fog ar Cloud Security[J]，Computer world；2009；43（8）：26-29.

【6】Barman Bikram.Safe 0n the Cloud（A Derspective into the Security Concerns 0f CloudC0mpucirq）[A].silic。nindia.2009-3，12（4）：34-35.

【7】Edwards John.Cuttingthroughthe Fog 0fCloud Security[J]，Computerworld；2009；43（8）：26-29.

【8】馮登國(guó)，張敏，張妍，徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22（1）.

【9】陳龍，肖敏.云計(jì)算安全：挑戰(zhàn)與策略[J]數(shù)字通信，2010，（6）.

【10】http：//www.cac.gov.cn/2017-04/12/c_ll20792636.thm