關(guān)于云計(jì)算應(yīng)用安全問(wèn)題的探討

李慶吉

【摘 要】云計(jì)算作為一項(xiàng)全新的互聯(lián)網(wǎng)應(yīng)用商業(yè)模式，各類(lèi)應(yīng)用發(fā)展迅速，而安全性是用戶選 擇云計(jì)算應(yīng)用時(shí)的首要考慮因素，也是云計(jì)算實(shí)現(xiàn)健康可持續(xù)發(fā)展的基礎(chǔ)。本文在總結(jié)分析 云計(jì)算應(yīng)用面臨的技術(shù)層面安全威脅的基礎(chǔ)上，對(duì)云計(jì)算應(yīng)用安全進(jìn)行了系統(tǒng)分析與研究，并分別從云計(jì)算服務(wù)提供商和用戶角度提出云計(jì)算應(yīng)用安全策略與建議。

【關(guān)鍵詞】云計(jì)算；云安全；網(wǎng)絡(luò)安全技術(shù)

【中圖分類(lèi)號(hào)】TP393【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）02-0032-01

1.云計(jì)算應(yīng)用存在的安全風(fēng)險(xiǎn)

云計(jì)算應(yīng)用為廣大用戶提供了極大方便，但是由于其將大量的用戶、信息資源集中化，一旦出現(xiàn)安全事件，其后果和風(fēng)險(xiǎn)不堪設(shè)想。09年，谷歌、微軟、亞馬遜等公司的云安全系統(tǒng)都出現(xiàn)了不同程度的故障，對(duì)客戶的信息服務(wù)產(chǎn)生了重大影響，也使得業(yè)界人士更加重視云計(jì)算應(yīng)用的安全問(wèn)題。

1.1 云主機(jī)服務(wù)安全問(wèn)題

（1）云計(jì)算用戶實(shí)名認(rèn)證機(jī)制尚未建立。在用戶注冊(cè)時(shí)，系統(tǒng)要求用戶必須填寫(xiě)真實(shí)姓名、有效證件號(hào)碼和聯(lián)系方式等，但這些信息的真實(shí)性值得商榷。如果個(gè)別不法分子用偽造的身份證，成功獲得云主機(jī)資源的使用權(quán)后，肆意發(fā)布不良信息，或者從事黑客活動(dòng)，很難追根溯源，落實(shí)當(dāng)事人身份成為一大難題。

（2）云計(jì)算資源分配缺乏有效控制。用戶只要向賬戶中充值，或者滿足一定條件成為VIP用戶，即可申請(qǐng)使用云主機(jī)功能，用戶藉此可運(yùn)作任何互聯(lián)網(wǎng)業(yè)務(wù)。雖然安全備案選項(xiàng)中規(guī)定用戶想要開(kāi)辦網(wǎng)站必須提供備案號(hào)，但實(shí)際中，系統(tǒng)一般不會(huì)對(duì)用戶的主機(jī)實(shí)行端口限制，也即允許用戶可使用云主機(jī)開(kāi)展任何網(wǎng)絡(luò)業(yè)務(wù)。

（3）云計(jì)算主機(jī)存在安全漏洞，面臨黑客攻擊風(fēng)險(xiǎn)。一般的云主機(jī)都提供了木馬掃描和殺毒服務(wù)。但是，是否安裝只取決于用戶，而且此類(lèi)防護(hù)級(jí)別較低，只針對(duì)Windows終端，云主機(jī)面臨攻擊的風(fēng)險(xiǎn)較大。

1.2 PaaS服務(wù)安全問(wèn)題

開(kāi)發(fā)者通過(guò)PaaS平臺(tái)提供的受限托管環(huán)境，能夠進(jìn)行應(yīng)用開(kāi)發(fā)，并使用諸如內(nèi)存緩存、下載存儲(chǔ)、任務(wù)隊(duì)列一類(lèi)的服務(wù)。其潛在的安全問(wèn)題包括以下幾方面：

（1）信息發(fā)布服務(wù)的審核環(huán)節(jié)較為寬松，缺乏備案。PaaS服務(wù)具有信息發(fā)布和托管功能，并且有良好接口，可以方便的與微博、微信等第三方應(yīng)用平臺(tái)配合使用，借助API方式供他人使用。不過(guò)現(xiàn)階段的大部分PaaS應(yīng)用都沒(méi)有獨(dú)立備案。

（2）平臺(tái)漏洞可能導(dǎo)致越權(quán)訪問(wèn)。PaaS平臺(tái)的應(yīng)用開(kāi)發(fā)環(huán)境有限制，但其編程環(huán)境的技術(shù)漏洞被利用后，用戶便可以訪問(wèn)底層資源，盜用其他用戶信息。公共服務(wù)層的漏洞會(huì)導(dǎo)致非法訪問(wèn)劇增，并造成網(wǎng)絡(luò)資源浪費(fèi)。

1.3 云存儲(chǔ)安全問(wèn)題

微盤(pán)默認(rèn)給用戶1GB的存儲(chǔ)空間，部分微盤(pán)為方便用戶同步文件，還提供桌面或網(wǎng)頁(yè)客戶端，微盤(pán)發(fā)布信息的自由度較大，這是最主要的安全問(wèn)題。當(dāng)前，微盤(pán)用戶身份無(wú)需驗(yàn)證。分享發(fā)布信息愈發(fā)方便快捷，這使得微盤(pán)信息的覆蓋面廣、傳播速度快，這為惡意程序、不良信息的散布提供了溫床。

1.4 SaaS服務(wù)安全問(wèn)題

SaaS服務(wù)是面向企業(yè)單位，主要有以下兩個(gè)問(wèn)題：

（1）數(shù)據(jù)丟包和服務(wù)宕機(jī)。企業(yè)啟用SaaS服務(wù)后，會(huì)將關(guān)鍵數(shù)據(jù)和日常事務(wù)信息同平臺(tái)關(guān)聯(lián)，服務(wù)可靠性、數(shù)據(jù)保密性是關(guān)鍵點(diǎn)。

（2）商業(yè)機(jī)密遭竊風(fēng)險(xiǎn)。SaaS的應(yīng)用環(huán)境較為寬松，公共服務(wù)平臺(tái)、應(yīng)用軟件本身、底層設(shè)施對(duì)SaaS用戶均是完全透明，SaaS平臺(tái)企業(yè)的品牌度、信賴度需要接受第三方部門(mén)的監(jiān)管。

2.應(yīng)對(duì)策略和建議

根據(jù)服務(wù)對(duì)象和服務(wù)范圍的不同，云計(jì)算分為私有云、公共云和混合云三種。私有云安全實(shí)現(xiàn)較容易，傳統(tǒng)IT保護(hù)措施可直接應(yīng)用到私有云上。后二者安全性要求較為復(fù)雜，需要云計(jì)算運(yùn)營(yíng)商和客戶配合實(shí)施。

2.1 云計(jì)算服務(wù)提供商

數(shù)據(jù)安全性、計(jì)算環(huán)境隔離、服務(wù)質(zhì)量保證都是運(yùn)營(yíng)商要重點(diǎn)考慮的內(nèi)容。結(jié)合現(xiàn)階段云計(jì)算應(yīng)用面臨的各種安全問(wèn)題，建議采取以下應(yīng)對(duì)策略：

（1）提高云計(jì)算系統(tǒng)的穩(wěn)定性、連續(xù)性，建立完善的系統(tǒng)安全防御機(jī)制。

A.嚴(yán)格限制惡意程序、病毒木馬在云計(jì)算平臺(tái)中的傳播，一經(jīng)發(fā)現(xiàn)，及時(shí)查殺；

B.建立實(shí)時(shí)監(jiān)控系統(tǒng)，對(duì)云計(jì)算系統(tǒng)的數(shù)據(jù)包進(jìn)行篩選，同時(shí)關(guān)注系統(tǒng)運(yùn)行狀態(tài)，及時(shí)修復(fù)網(wǎng)絡(luò)故障，并有相應(yīng)的應(yīng)急預(yù)案；

C.部署防火墻或與大型軟件公司合作，防范黑客攻擊造成的服務(wù)器癱瘓；

D.完善云計(jì)算平臺(tái)的容錯(cuò)能力，重要系統(tǒng)、數(shù)據(jù)要進(jìn)行異地備份；

（2）加強(qiáng)對(duì)用戶信息的保護(hù)。

A.對(duì)用戶信息進(jìn)行隔離保護(hù)，確保用戶信息能夠安全存儲(chǔ)，并建立明確的用戶邊界邏輯關(guān)系；

B.在用戶傳輸數(shù)據(jù)時(shí)，藉由數(shù)據(jù)加密、VPN等技術(shù)保證傳輸?shù)膯蜗蛐院桶踩裕?/p>

C.完善數(shù)據(jù)加密和密鑰管理機(jī)制，定期進(jìn)行用戶信息的管理維護(hù)；

D.在發(fā)生突發(fā)狀況時(shí)，要能夠在最短時(shí)間內(nèi)為用戶恢復(fù)數(shù)據(jù)。

（3）身份認(rèn)證控制

要有嚴(yán)格的身份管理制度、安全認(rèn)證機(jī)制和分明的訪問(wèn)權(quán)限設(shè)置，并保存用戶訪問(wèn)記錄，方便日后查詢。

（4）云計(jì)算數(shù)據(jù)中心的安全審查機(jī)制亟待完善，要成立專門(mén)的班組成員進(jìn)行日志審查管理，及時(shí)了解云計(jì)算服務(wù)器的操作、維護(hù)、檢修情況，一旦出現(xiàn)違規(guī)現(xiàn)象，要及時(shí)糾察。

2.2 云計(jì)算用戶

廣大用戶首先要對(duì)云計(jì)算有一個(gè)清晰的認(rèn)識(shí)，明確云計(jì)算服務(wù)與自身業(yè)務(wù)的結(jié)合點(diǎn)，節(jié)本增效、事半功倍；同時(shí)也要采取必要的手段，盡量降低云計(jì)算服務(wù)遷移可能帶來(lái)的安全風(fēng)險(xiǎn)。

（1）私有云業(yè)務(wù)

私有云應(yīng)用范圍較小，一般在企業(yè)內(nèi)部，安全風(fēng)險(xiǎn)較低，常見(jiàn)的問(wèn)題有軟件許可等級(jí)、應(yīng)用穩(wěn)定性、SLA等。用戶需要采取成熟的技術(shù)實(shí)現(xiàn)手段，做好運(yùn)行管理工作，具體的方法可以參照上文。另外，系統(tǒng)容錯(cuò)、數(shù)據(jù)還原機(jī)制也要逐步完善，提高企業(yè)應(yīng)對(duì)各類(lèi)突發(fā)事件的能力。

（2）公共云業(yè)務(wù)

A.選擇信譽(yù)好的云服務(wù)運(yùn)行商，降低連帶業(yè)務(wù)風(fēng)險(xiǎn)；

B.有選擇性的進(jìn)行業(yè)務(wù)遷移。對(duì)于核心知識(shí)產(chǎn)權(quán)、關(guān)鍵技術(shù)一類(lèi)的敏感信息，在做好萬(wàn)全的測(cè)試驗(yàn)證前，最好不要盲目遷移；

C.對(duì)協(xié)議內(nèi)容有一個(gè)清晰的把握，諸如SLA協(xié)議、隱私協(xié)議等敏感之處，要倍加小心，企業(yè)應(yīng)要求服務(wù)商及時(shí)更新數(shù)據(jù)系統(tǒng)，實(shí)現(xiàn)與自身業(yè)務(wù)的良好匹配；

D.了解服務(wù)商的數(shù)據(jù)存儲(chǔ)地點(diǎn)，在必要時(shí)，要抓住數(shù)據(jù)存放點(diǎn)的主動(dòng)權(quán)，避免因不同地區(qū)、國(guó)家的法律差異而引起的業(yè)務(wù)糾紛。

再者，云計(jì)算服務(wù)的涉及范圍多是一些敏感重要的信息，政府和監(jiān)管部門(mén)要制定相關(guān)的法律法規(guī)，保證云計(jì)算應(yīng)用服務(wù)的安全性和法律適用性。

結(jié)束語(yǔ)

安全是云計(jì)算實(shí)現(xiàn)長(zhǎng)久發(fā)展的基石。只有為用戶提供可靠穩(wěn)定、方便快捷、性價(jià)比高的云計(jì)算服務(wù)，企業(yè)才能獲得可持續(xù)發(fā)展。相信隨著云計(jì)算市場(chǎng)的完善，以及政府部門(mén)針對(duì)這一塊的法律條文的健全，云計(jì)算服務(wù)將會(huì)煥發(fā)出勃勃生機(jī)！

參考文獻(xiàn)

[1] 《虛擬化與云計(jì)算》小組.虛擬化與云計(jì)算[M].北京：電子工業(yè)出版社，2009.

[2] 李德毅.云計(jì)算熱點(diǎn)分析[G]//北京：第二屆中國(guó)云計(jì)算大會(huì)， 2010.