云計算安全問題研究與探討

王學(xué)芹

摘 要：隨著云計算的廣泛應(yīng)用，越來越多的企業(yè)和個人使用云計算存儲和計算。然而，云計算的安全問題不容忽視，其已成為阻礙云計算應(yīng)用的主要因素。應(yīng)用云計算的安全性日益受到社會的關(guān)注，因此，對云計算的安全問題進(jìn)行了分析和探究。

關(guān)鍵詞：云計算；計算資源池；防火墻；安全架構(gòu)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.17.041

1 云計算

云計算是一種通過網(wǎng)絡(luò)，以便捷、按需的形式從共享的可配置的計算資源池（網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù)）中獲取服務(wù)的業(yè)務(wù)模式。云計算業(yè)務(wù)資源應(yīng)支持通過簡潔的管理或交互過程快速地部署和釋放。上述對云計算的定義是在2011年由美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）提出的，其得到了業(yè)界最廣泛的認(rèn)可。

目前，云計算的普及程度逐步提高，安全問題也逐漸成為制約其發(fā)展的重要因素。云計算安全是云計算健康、可持續(xù)發(fā)展的重要前提。各國均高度重視云計算的安全問題，云計算服務(wù)商也都制定了云平臺安全策略和機制，美國政府甚至出臺了聯(lián)邦云計算安全戰(zhàn)略。由此可見，確保云計算的安全越來越重要，提高我國云計算的安全性也越來越重要，因此，要加強對云服務(wù)提供商的管理，并建立云計算安全標(biāo)準(zhǔn)體系。

2 云計算安全及其安全問題分析

2.1 云計算安全的含義

與云計算相關(guān)的安全問題統(tǒng)稱為“云安全”，一般包括云計算使用安全和云計算數(shù)據(jù)安全兩部分。云計算使用安全是指云計算技術(shù)在信息安全領(lǐng)域的具體應(yīng)用中，主要采用云服務(wù)模式，利用云計算架構(gòu)對云計算安全進(jìn)行統(tǒng)一的安全監(jiān)控和管理；云計算數(shù)據(jù)安全是指對云計算本身的安全保護，主要研究相應(yīng)的安全防護方案和措施，以消除云計算自身存在的安全隱患，比如云計算環(huán)境的數(shù)據(jù)保護、云計算安全體系架構(gòu)和云計算應(yīng)用服務(wù)安全等。

2.2 云計算安全的主要特征

2.2.1 動態(tài)性和移動性強

在云計算環(huán)境中，用戶數(shù)據(jù)會實時與服務(wù)器同步，變化頻率高、動態(tài)性和移動性強的特點使其安全防護必須滿足動態(tài)調(diào)整的需要。在云計算中，用戶遠(yuǎn)程操作和遠(yuǎn)程使用服務(wù)系統(tǒng)的次數(shù)、系統(tǒng)更新數(shù)量不斷增加，這是對原有安全策略的全新挑戰(zhàn)。

2.2.2 數(shù)據(jù)地域性限制消失

在傳統(tǒng)數(shù)據(jù)安全中，數(shù)據(jù)基本儲存在本地，一般通過郵件服務(wù)器、網(wǎng)頁服務(wù)器等接口暴露，可在物理和邏輯方面定義安全域邊界，并通過設(shè)置防火墻和訪問控制等安全措施保護系統(tǒng)。但在云環(huán)境下，云計算采用了虛擬化技術(shù)和多租戶模式，云計算數(shù)據(jù)不儲存在本地，導(dǎo)致物理邊界被打破，數(shù)據(jù)暴露在公開的網(wǎng)絡(luò)中，數(shù)據(jù)節(jié)點可能會受到攻擊，因此，傳統(tǒng)的邊界性安全防護機制在云計算中難以發(fā)揮效用。

2.2.3 技術(shù)標(biāo)準(zhǔn)不統(tǒng)一

目前，眾多企業(yè)使用了云計算技術(shù)，雖然云計算的技術(shù)標(biāo)準(zhǔn)較多，但缺乏安全標(biāo)準(zhǔn)，數(shù)據(jù)可存儲在任何地方，且數(shù)據(jù)儲存格式各不相同，這都為數(shù)據(jù)交互安全帶來了挑戰(zhàn)。

2.2.4 服務(wù)安全保障和數(shù)據(jù)安全保護

在云計算的數(shù)據(jù)存儲模式中，數(shù)據(jù)常與管理分離，因此，安全保護手段對數(shù)據(jù)的私密性和安全性非常重要。云計算采用服務(wù)交互模式，要求保護數(shù)據(jù)的完整性、數(shù)據(jù)加密過程、數(shù)據(jù)恢復(fù)等。云計算服務(wù)提供商的權(quán)利巨大，需要第三方的監(jiān)管和審計才能確保用戶的權(quán)利得以保障。

2.3 云計算安全分析

因云計算具有的特征，導(dǎo)致數(shù)據(jù)安全中存在眾多問題，比如數(shù)據(jù)不再存放在某個確定的物理節(jié)點，改變了傳統(tǒng)的地域安全性；用戶不再對數(shù)據(jù)和環(huán)境安全具有完全的控制權(quán)；由于服務(wù)商提供了動態(tài)、虛擬的存儲空間，所以，數(shù)據(jù)定位的難度不斷加大；傳統(tǒng)的數(shù)據(jù)存儲和處理安全方法無法應(yīng)用于云計算時代的數(shù)據(jù)存儲和處理；數(shù)據(jù)的動態(tài)性導(dǎo)致數(shù)據(jù)管理、保密和安全工作的難度加大。

3 云計算安全技術(shù)研究

3.1 云計算安全框架

3.1.1 可信云架構(gòu)

可信云架構(gòu)是Intel公司與其他公司共同提出的一種云架構(gòu)。其綜合使用可多個公司的安全技術(shù)，功能十分強大。該架構(gòu)利用Intel的可信技術(shù)保障基礎(chǔ)設(shè)施的安全，并運用VMWare公司的虛擬隔離技術(shù)保障云架構(gòu)成功啟動后虛擬機的安全。VMWare公司在防止病毒和木馬入侵方面的優(yōu)勢明顯，該架構(gòu)會不斷收集硬件層和虛擬層的安全數(shù)據(jù)，并實時監(jiān)控。

3.1.2 CSA的云計算安全架構(gòu)

CSA的云計算安全架構(gòu)是一種被廣泛使用的安全框架，主要應(yīng)用于等級較低的服務(wù)供應(yīng)商，其云服務(wù)用戶會承擔(dān)更多的安全管理職責(zé)。CSA云計算安全架構(gòu)是針對云計算缺少可視化控制能力、基礎(chǔ)設(shè)施的抽象化、集成各種通用安全控制能力缺失等問題提出的云服務(wù)模型，且是根據(jù)3種基本云服務(wù)的層次性和依賴關(guān)系設(shè)計的。因此，將安全控制和合規(guī)模型完美地映射到云服務(wù)模型中可實現(xiàn)云計算的安全管理。

3.2 云計算安全技術(shù)

云計算的安全核心就是數(shù)據(jù)安全，數(shù)據(jù)的安全性也是用戶最關(guān)心的問題。在云計算系統(tǒng)中，不同用戶的數(shù)據(jù)放在同一個物理存儲器中。因此，要做好數(shù)據(jù)隔離，一般通過存儲映射確保數(shù)據(jù)的隔離性，還可設(shè)置獨立的存儲空間，從物理層面隔離保護客戶的重要數(shù)據(jù)；可對數(shù)據(jù)加密，防止他人竊取原始文件，用戶可使用密鑰對數(shù)據(jù)加密后上傳至云計算環(huán)境中，避免物理介質(zhì)儲存非加密數(shù)據(jù)，數(shù)據(jù)加密包括對稱加密、公鑰加密和iscsi加密等。

云計算平臺的數(shù)據(jù)保護安全措施能為數(shù)據(jù)和信息提供全面的保護，保護企業(yè)中具有知識產(chǎn)權(quán)和敏感的信息，一般使用快照、備份和容災(zāi)等手段保護客戶的重要數(shù)據(jù)。一般由數(shù)據(jù)庫自動備份和恢復(fù)在線、離線數(shù)據(jù)。此外，還應(yīng)有效處理數(shù)據(jù)殘留。數(shù)據(jù)殘留是指數(shù)據(jù)在被移除后所殘留的物理表現(xiàn)。數(shù)據(jù)殘留在云計算環(huán)境中更容易泄露信息，因此，要在存儲空間被釋放前完全清除數(shù)據(jù)殘留。一般使用多次擦除法、加密的密鑰擦除法等清除數(shù)據(jù)殘留。

參考文獻(xiàn)

[1]羅軍舟.云計算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報，2011（07）.

[2]王操.云計算安全的發(fā)展現(xiàn)狀和趨勢述評[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（01）.

〔編輯：張思楠〕