于東民

（沈陽職業(yè)技術(shù)學(xué)院，遼寧 沈陽 110033）

0 引 言

云計(jì)算是分布式計(jì)算的一種，指通過網(wǎng)絡(luò)云將巨大的數(shù)據(jù)計(jì)算處理程序分解成無數(shù)個小程序，然后通過多部服務(wù)器組成的系統(tǒng)處理和分析這些小程序得到結(jié)果并返回給用戶。云計(jì)算早期就是簡單的分布式計(jì)算，解決任務(wù)分發(fā)，并進(jìn)行計(jì)算結(jié)果的合并。通過這項(xiàng)技術(shù)可以在很短的時間內(nèi)（幾秒鐘）完成對數(shù)以萬計(jì)的數(shù)據(jù)的處理，從而達(dá)到強(qiáng)大的網(wǎng)絡(luò)服務(wù)。

在云計(jì)算模式下，用戶可以訪問經(jīng)由遠(yuǎn)程提供商在線提供的虛擬計(jì)算、網(wǎng)絡(luò)和存儲資源，無須購買大量的計(jì)算、存儲設(shè)備及其他IT基礎(chǔ)設(shè)施，也無須掌握管理設(shè)備所需的內(nèi)部經(jīng)驗(yàn)，一切均可交由云服務(wù)提供商處理。云計(jì)算依賴于資源共享來實(shí)現(xiàn)一致性和規(guī)模經(jīng)濟(jì)，融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

隨著云計(jì)算服務(wù)的應(yīng)用和推廣，海量數(shù)據(jù)的存儲與處理都被放在了云計(jì)算服務(wù)中，這就給云計(jì)算的發(fā)展帶來了機(jī)遇，但是同時存儲在云計(jì)算環(huán)境中的信息安全問題也日益突出。云計(jì)算服務(wù)由第三方提供商完全承載和管理，為用戶提供價格合理的計(jì)算資源訪問服務(wù)，用戶無須購買硬件、軟件或支持基礎(chǔ)架構(gòu)，只需為其使用的資源付費(fèi)。由于云中的數(shù)據(jù)管理和基礎(chǔ)設(shè)施管理由第三方提供，因此將敏感信息移交給云服務(wù)提供商總是存在風(fēng)險(xiǎn)。盡管云計(jì)算供應(yīng)商確保高度安全的密碼保護(hù)帳戶，但任何安全漏洞的跡象都可能導(dǎo)致客戶和企業(yè)的損失[1-6]。

1 云計(jì)算的分類和特點(diǎn)

云計(jì)算是一種模型，用于實(shí)現(xiàn)對共享可配置計(jì)算資源池的便捷按需網(wǎng)絡(luò)訪問，可以通過最少的管理工作或服務(wù)提供商的交互來快速進(jìn)行配置和發(fā)布。近些年來，云計(jì)算和大數(shù)據(jù)技術(shù)的應(yīng)用極大地促進(jìn)了通信行業(yè)的發(fā)展，使我國的通信技術(shù)更進(jìn)一步[7]。云計(jì)算按部署類型可以分為3類，具體如圖1所示[8]。

圖1 云計(jì)算分類

（1）公有云。云計(jì)算服務(wù)由第三方提供商完全承載和管理，為用戶提供價格合理的計(jì)算資源訪問服務(wù)，用戶無須購買硬件、軟件或支持基礎(chǔ)架構(gòu)，只需為其使用的資源付費(fèi)。公有云用戶無須支付硬件帶寬費(fèi)用，投入成本低，但數(shù)據(jù)安全性低于私有云。（2）私有云。企業(yè)自己采購基礎(chǔ)設(shè)施，搭建云平臺，在此基礎(chǔ)上開發(fā)應(yīng)用的云服務(wù)。私有云可充分保障虛擬化私有網(wǎng)絡(luò)的安全，但投入成本相對公有云更高。（3）混合云。一般由用戶創(chuàng)建，而管理和運(yùn)維職責(zé)由用戶和云計(jì)算提供商共同分擔(dān)，其在使用私有云作為基礎(chǔ)的同時結(jié)合了公共云的服務(wù)策略，用戶可根據(jù)業(yè)務(wù)私密性程度的不同自主在公有云和私有云間進(jìn)行切換。此外，從所提供服務(wù)類型的角度出發(fā)，云計(jì)算可分為基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）、平臺即服務(wù)（Platform as a Service，PaaS）以及軟件即服務(wù)（Software as a Service，SaaS）3類[9]。

基礎(chǔ)設(shè)施即服務(wù)向云計(jì)算提供商的個人或組織提供虛擬化計(jì)算資源，平臺即服務(wù)為開發(fā)人員提供通過全球互聯(lián)網(wǎng)構(gòu)建應(yīng)用程序和服務(wù)的平臺，軟件即服務(wù)通過互聯(lián)網(wǎng)提供按需軟件付費(fèi)應(yīng)用程序[10-15]。

2 云安全問題

云計(jì)算正在日益集成，對于其安全性需求也在不斷增加。云安全是基于控制的技術(shù)集合，旨在維護(hù)云平臺的安全性并保護(hù)信息、數(shù)據(jù)安全性以及與之相關(guān)的所有應(yīng)用程序。獲取安全流程還包括數(shù)據(jù)備份和業(yè)務(wù)連續(xù)性，以便即使發(fā)生災(zāi)難也可以檢索數(shù)據(jù)。云計(jì)算過程處理由云計(jì)算提供商提供的安全控制以維護(hù)數(shù)據(jù)及其隱私。云計(jì)算面臨的安全問題如圖2所示。

圖2 云計(jì)算面臨的安全問題

2.1 云安全存在的問題

目前，企業(yè)云安全存在的主要問題為數(shù)據(jù)安全問題，表現(xiàn)在以下4個方面：（1）數(shù)據(jù)傳輸安全問題，即數(shù)據(jù)加密、云計(jì)算服務(wù)商泄露數(shù)據(jù)等問題；（2）數(shù)據(jù)存儲安全問題，具體包括數(shù)據(jù)的存儲位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等問題；（3）數(shù)據(jù)審計(jì)安全問題，企業(yè)協(xié)助第三方對數(shù)據(jù)進(jìn)行安全性和準(zhǔn)確性的審計(jì)或認(rèn)證時出現(xiàn)的問題；（4）數(shù)據(jù)恢復(fù)安全問題，資源池和彈性擴(kuò)展的云特性可能會將前面用戶寫入的數(shù)據(jù)恢復(fù)出來。

2.2 云安全存在問題的原因

通過對企業(yè)云安全存在的問題進(jìn)行分析，可以歸納出企業(yè)云安全存在問題的主要原因包括以下2點(diǎn)。（1）企業(yè)缺乏對云服務(wù)的有效監(jiān)控。大部分企業(yè)在企業(yè)業(yè)務(wù)遷移到云模式后，忘記對服務(wù)和數(shù)據(jù)安全措施進(jìn)行定期和持續(xù)的監(jiān)控，這導(dǎo)致企業(yè)在數(shù)據(jù)安全方面面臨威脅。（2）認(rèn)為云計(jì)算很安全，缺乏風(fēng)險(xiǎn)意識。虛擬私有云的運(yùn)算方式會使該企業(yè)與其他企業(yè)共用硬件資源與交換網(wǎng)絡(luò)，彼此間僅由虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）隔離。由于組態(tài)設(shè)定錯誤的情況時有發(fā)生，因而企業(yè)信息安全問題不可避免。

3 企業(yè)云安全問題解決方案

云計(jì)算環(huán)境下，針對當(dāng)前企業(yè)云安全存在的問題，從技術(shù)和非技術(shù)2方面提出解決方案，以期對企業(yè)提高云安全有所幫助。

3.1 云計(jì)算安全的技術(shù)方案

云計(jì)算安全的技術(shù)方案主要包括：（1）動態(tài)數(shù)據(jù)保護(hù)，加密發(fā)送到云的敏感數(shù)據(jù)可以為云服務(wù)提供受保護(hù)的訪問，如果使用或存儲的數(shù)據(jù)未被加密，那么企業(yè)就要面臨信息泄露的危險(xiǎn)；（2）訪問控制，企業(yè)應(yīng)要求加密服務(wù)提供商提供用戶訪問、管理控件、強(qiáng)效驗(yàn)證替代方式，如多要素驗(yàn)證；（3）保護(hù)云中的應(yīng)用程序編程接口（Application Programming Interface，API）密鑰，API密鑰的有效管理可以改善企業(yè)云環(huán)境，避免敏感信息的泄露；（4）經(jīng)常備份。企業(yè)應(yīng)該增強(qiáng)安全意識，對存儲在云中的數(shù)據(jù)經(jīng)常備份，做到有備無患，以免在云計(jì)算服務(wù)遭受攻擊、數(shù)據(jù)丟失的情況下，數(shù)據(jù)得不到恢復(fù)。

3.2 云計(jì)算安全的非技術(shù)方案

目前的技術(shù)手段可以避免來自其他用戶的安全威脅，但對于服務(wù)提供商，要想從技術(shù)上完全杜絕安全威脅還比較困難，在這方面企業(yè)需要非技術(shù)手段作為補(bǔ)充。云計(jì)算安全的非技術(shù)方案包括以下2部分。

3.2.1 企業(yè)的安全辦法

企業(yè)可采用的安全辦法有3種：（1）第三方認(rèn)證，即采用1個中立機(jī)構(gòu)對信任雙方進(jìn)行約束，這個機(jī)構(gòu)不僅需要具備良好的公信力和定力，而且在安全領(lǐng)域具有豐富的經(jīng)驗(yàn)和技術(shù)能力；（2）角色轉(zhuǎn)換，企業(yè)作為價值鏈的組成部分，需要向客戶和合作伙伴提供服務(wù)，因此為實(shí)現(xiàn)云服務(wù)的最大化利益，企業(yè)需轉(zhuǎn)換思想，適應(yīng)自己的云服務(wù)提供商的角色；（3）法律和協(xié)議，法案和制度的建立不僅能讓云服務(wù)提供商開發(fā)更優(yōu)秀的構(gòu)架，提供更好的服務(wù)，而且還為企業(yè)提供了法律保障。

3.2.2 云安全廠商的安全辦法

云安全廠商可采用分級控制的管理方法提高云計(jì)算公司的安全可信度。分級控制是指將云計(jì)算的管理體系分成2級：一級是無特殊權(quán)限的普通人員，他們負(fù)責(zé)日常的運(yùn)維工作，但是不能進(jìn)入受控的機(jī)房和登錄物理主機(jī)，所以接觸不到用戶的數(shù)據(jù)；二級是具備核心權(quán)限的特殊人員，雖然有權(quán)限進(jìn)入機(jī)房并登錄主機(jī)，能夠接觸到用戶的數(shù)據(jù)，但操作行為受到流程的嚴(yán)格控制。云計(jì)算廠商通過使用分級控制的管理方法，在一定程度上可避免云計(jì)算平臺提供商竊取用戶的數(shù)據(jù)。

4 結(jié) 論

云技術(shù)固然能給企業(yè)帶來利益，但其安全問題也不容小覷。企業(yè)要想保證云安全，還要對其進(jìn)行持續(xù)且深入的研究與探索。相信未來在各方面力量的共同努力下，企業(yè)云安全能有更好的保障。