云計算安全問題分析

摘 要： 云計算作為一種新型的分布式計算模式，已迅速發(fā)展并成為學(xué)術(shù)界和產(chǎn)業(yè)界的焦點，然而其存在的安全隱患成為制約其發(fā)展的一個瓶頸。分析了現(xiàn)有的云計算特征及其面臨的安全問題，然后提出相應(yīng)的解決方案，為云計算發(fā)展提供一些安全方面的理論支撐。

關(guān)鍵詞： 云計算； 云安全； 分布式計算； 公共云

中圖分類號： TN915.08?34； TP309 文獻標識碼： A 文章編號： 1004?373X（2013）19?0091?04

0 引 言

由于互聯(lián)網(wǎng)的不斷發(fā)展，基于互聯(lián)網(wǎng)的溝通和交互形式極大改變了人們的工作和生活方式，各種網(wǎng)絡(luò)業(yè)務(wù)需求激增，應(yīng)用程序?qū)映霾桓F、信息規(guī)模迅猛增長、處理任務(wù)復(fù)雜多變、存儲設(shè)備日趨緊張、使用成本隨之升高等問題接踵而至，原始的互聯(lián)網(wǎng)系統(tǒng)與服務(wù)設(shè)計已經(jīng)不能滿足上述需求，急需新的解決方案，云計算（Cloud computing）正是在這樣的背景下應(yīng)運而生。

1 云計算概述

1.1 什么是云計算

在整個IT 界可以提供資源的網(wǎng)絡(luò)被稱為“云”，它是一些可以自我維護和管理的虛擬計算資源，通常為一些大型服務(wù)器集群，包括計算服務(wù)器、存儲服務(wù)器、寬帶資源等。云計算是在分布式計算（Distributed computing）、網(wǎng)格計算（Grid computing）、并行計算（Parallel computing）等發(fā)展的基礎(chǔ)上提出的一種新型計算模型，是一種新興的共享基礎(chǔ)框架的方法，它面對的是超大規(guī)模的分布式環(huán)境，核心是提供數(shù)據(jù)存儲和網(wǎng)絡(luò)服務(wù)。狹義的云計算是指IT基礎(chǔ)設(shè)施的交付和使用模式，通過網(wǎng)絡(luò)以按需、易擴展的方式獲得所需的資源（硬件、平臺、軟件）。廣義的云計算是指服務(wù)的交付和使用模式，通過網(wǎng)絡(luò)以按需、易擴展的方式獲得所需的服務(wù)，這種服務(wù)可以是IT和軟件、互聯(lián)網(wǎng)相關(guān)的，也可是任意其他的服務(wù)。云計算通過將計算任務(wù)分布在由大量計算機構(gòu)成的資源池（“云”）上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和各種軟件服務(wù)。這種全新的互聯(lián)網(wǎng)應(yīng)用模式，成為解決高速數(shù)據(jù)處理、海量信息存儲、資源動態(tài)擴展、數(shù)據(jù)安全與實時共享等問題的有效途徑。

云計算可分為公共云、私有云和混合云三種模式。公共云是由多家企業(yè)共享使用云中各種基礎(chǔ)設(shè)施的服務(wù)平臺，并由第三方進行管理。私有云是由企業(yè)自己部署的或由云服務(wù)商運用虛擬化技術(shù)為企業(yè)建立的專有網(wǎng)絡(luò)或數(shù)據(jù)中心，可提供對數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制，但開銷較公有云大。混合云是公共云和私有云的結(jié)合。由于公共云是共享資源的服務(wù)平臺，相比使用私有云，開銷較小，但比私有云面臨更多、更大的安全風險，本文討論的云安全問題主要是針對公共云提出的。

1.2 云計算服務(wù)體系架構(gòu)

根據(jù)NIST的定義，云計算服務(wù)體系架構(gòu)通常分為3個層次，如圖1所示，分別是：

（1）基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a service，IaaS）為用戶提供處理、存儲、網(wǎng)絡(luò)以及其他基礎(chǔ)計算資源的服務(wù)，用戶可以在其上部署和運行包括操作系統(tǒng)和應(yīng)用在內(nèi)的任何軟件。用戶不需要管理或控制底層的云架構(gòu)，但是他們需要控制操作系統(tǒng)、存儲資源以及被部署的應(yīng)用，還有可能要對某些網(wǎng)絡(luò)部件（例如主機防火墻）進行有限的控制，如Amazon（亞馬遜）的彈性計算云（Elastic compute coud，EC2）、IBM的藍云（Blue cloud）以及Sun的云基礎(chǔ)設(shè)施平臺（IaaS）等。

（2）平臺即服務(wù)（Platform as a service，PaaS）為用戶提供將其應(yīng)用（可能是用戶自己創(chuàng)建也可能是從別處獲取）部署在云架構(gòu)上的服務(wù)，而創(chuàng)建這些應(yīng)用的編程語言和工具必須得到服務(wù)提供商的支持。用戶不需要管理或控制底層的云架構(gòu)（包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲），但是他們需要對被部署的應(yīng)用進行控制，還有可能要對應(yīng)用環(huán)境進行配置，如Google的Google app engine與微軟的Azure平臺等。

（3）軟件即服務(wù)（Software as a service，SaaS）是一種由云計算服務(wù)商集中部署的應(yīng)用系統(tǒng)，客戶通過互聯(lián)網(wǎng)訪問的一種服務(wù)方式。為用戶提供在云架構(gòu)上運行的應(yīng)用的服務(wù)。用戶可以從多種多樣的客戶設(shè)備經(jīng)由客戶接口（例如Web瀏覽器）對應(yīng)用進行訪問。用戶不需要管理或控制底層的云架構(gòu)（包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲，甚至包括個別的應(yīng)用能力），而只需要關(guān)心一些需要特別設(shè)定的應(yīng)用配置，如Salesforce公司的客戶關(guān)系管理服務(wù)等。

處于底層的云基礎(chǔ)設(shè)施將是未來信息世界的靈魂，其數(shù)量雖然有限但規(guī)模龐大，具有互聯(lián)網(wǎng)級的強大分析處理能力，例如應(yīng)用虛擬化技術(shù)、自動化技術(shù)、網(wǎng)格計算、服務(wù)器集群、IT服務(wù)管理等；云平臺服務(wù)層提供基礎(chǔ)性、通用性服務(wù)，例如云操作系統(tǒng)、云數(shù)據(jù)管理、云搜索、云開發(fā)平臺等，相當于中間件部分；云應(yīng)用服務(wù)層則包括與人們?nèi)粘９ぷ骱蜕钕嚓P(guān)的大量各類應(yīng)用，例如電子郵件服務(wù)、云地圖服務(wù)、云電子商務(wù)服務(wù)、云文檔服務(wù)等，這些豐富的應(yīng)用給人們帶來實實在在的便捷。各個層次的服務(wù)之間既彼此獨立又相互依存，形成一個動態(tài)穩(wěn)定結(jié)構(gòu)。

1.3 云計算特點

云計算作為一種新興的應(yīng)用計算機技術(shù)，代表著IT領(lǐng)域向集約化、規(guī)模化與專業(yè)化道路發(fā)展的趨勢，體現(xiàn)了“網(wǎng)絡(luò)就是計算機”的思想，是發(fā)生在IT領(lǐng)域的深刻變革，其主要特點如下：

（1）規(guī)模大。Google云計算已擁有100 多萬臺服務(wù)器，Amazon、IBM、微軟、Yahoo 的“云”均擁有幾十萬臺服務(wù)器，企業(yè)私有云一般也擁有數(shù)百上千臺服務(wù)器，“云”能為用戶提供巨大的計算能力。

（2）虛擬化。用戶所請求資源在“云”中，不限于固定的某個實體，應(yīng)用在“云”中某處運行，用戶無需了解也不必擔心應(yīng)用運行的具體位置，只需要一臺計算機或者一部手機，即可通過網(wǎng)絡(luò)實現(xiàn)所需要的應(yīng)用服務(wù)。

（3）可靠性。“云”使用了數(shù)據(jù)多副本容錯、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性，因此云計算比本地計算更加可靠。

（4）通用性。云計算不針對特定的應(yīng)用，在“云”的支撐下可以構(gòu)造出千變?nèi)f化的應(yīng)用，同一個“云”可以同時支撐不同的應(yīng)用運行。

（5）可擴展性。“云”的規(guī)模可以動態(tài)伸縮，滿足應(yīng)用和用戶規(guī)模增長的需要。

（6）自治性。通過自動化配置管理服務(wù)，用戶可以按需自動調(diào)配任務(wù)，以及根據(jù)應(yīng)用環(huán)境的變化自動增加或減少服務(wù)的數(shù)量。

（7）廉價性。由于“云”可以采用廉價的節(jié)點來構(gòu)成云，“云”的自動化集中式管理使大量企業(yè)無需負擔高昂的數(shù)據(jù)管理成本，“云”的通用性使資源的利用率較之傳統(tǒng)系統(tǒng)大幅提升，用戶可以充分享受“云”的低成本優(yōu)勢。

雖然云計算具有上述諸多優(yōu)勢，但目前還并未得到用戶的廣泛接受，主要原因在于其大規(guī)模共享資源所產(chǎn)生的安全問題。

2 云計算安全

由于云計算大規(guī)模和開放性，導(dǎo)致云計算面臨著比以前系統(tǒng)更為嚴峻的安全威脅，安全問題已成為制約云計算發(fā)展的重要因素。2010年5月在第二屆中國云計算大會上，我國提出了應(yīng)加強云計算信息安全研究，解決共性技術(shù)問題，保證云計算產(chǎn)業(yè)健康、可持續(xù)發(fā)展。許多對云計算感興趣的研究團體也開始著手研究云計算的安全問題，安全廠商也在關(guān)注各類安全云計算產(chǎn)品。

2.1 云計算存在的安全隱患

（1）內(nèi)部人員非法訪問或惡意破壞。用戶的信息特別是敏感信息，是在用戶無法控制的“云”中進行加工處理的，將會繞過用戶對這些信息物理、邏輯和人工的控制，因此有可能被服務(wù)商內(nèi)部管理人員及信息處理人員非法訪問及惡意破壞，從某種程度上說，完全依賴于云服務(wù)提供商的安全系統(tǒng)是云計算存在的最大的風險。

（2）審計功能不完備。傳統(tǒng)服務(wù)提供商需要接受外部審計，但一些云計算提供商卻拒絕接受外部審計。用戶只需要提交原始數(shù)據(jù)，最終結(jié)果由云計算服務(wù)器提供，數(shù)據(jù)的運算過程不接受用戶的任何安全審計與安全評估，用戶對自己數(shù)據(jù)的安全和完整承擔全部責任。

（3）數(shù)據(jù)保護難度大。用戶數(shù)據(jù)的儲存位置可能分散于世界各地，由于不同國家和地區(qū)的地理、氣候、人文環(huán)境不同，地震、水災(zāi)、火災(zāi)、暴力破壞等各種災(zāi)害難以預(yù)料和有效控制，給存儲數(shù)據(jù)的硬件設(shè)施帶來了極大的安全威脅。同時，由于數(shù)據(jù)存儲位置的不確定性，一旦云計算過程發(fā)生意外出錯或者中止，用戶數(shù)據(jù)恢復(fù)難度增大。另外，各國隱私保護政策不同，信息泄密和隱私暴露的風險也大大增加。

（4）數(shù)據(jù)隔離不清晰。在云計算的體系下，軟件平臺廣泛采用了Multi?tenancy（多租戶）架構(gòu)，即單個軟件系統(tǒng)實例服務(wù)于多個客戶組織，所有用戶的數(shù)據(jù)將被共同保存在惟一一個軟件系統(tǒng)實例內(nèi)，數(shù)據(jù)具有無邊界性，無法像傳統(tǒng)網(wǎng)絡(luò)一樣清楚地定義安全邊界和保護措施，如果惡意用戶通過不正當手段取得合法虛擬機權(quán)限，就有可能威脅到同一臺物理服務(wù)器上其他虛擬機。雖然數(shù)據(jù)都處于加密狀態(tài)，但是云計算服務(wù)商無法確保加密服務(wù)絕對安全，一旦加密系統(tǒng)出現(xiàn)問題，則極有可能發(fā)生泄密問題，因此，進行數(shù)據(jù)隔離是防止此類事件的必要手段。

（5）運算時效性難以控制。由于數(shù)據(jù)都是經(jīng)過網(wǎng)絡(luò)傳輸，難免因為網(wǎng)絡(luò)堵塞、網(wǎng)絡(luò)硬件出錯、遭受DOS攻擊或者數(shù)據(jù)恢復(fù)而耽誤時間，而時效性對于很多業(yè)務(wù)而言是至關(guān)重要的，甚至關(guān)系到企業(yè)的前途命運，一旦發(fā)生服務(wù)延遲，有可能會給企業(yè)帶來巨大損失，而云計算服務(wù)商不會承擔這種責任。

（6）網(wǎng)絡(luò)攻擊變得更加容易。黑客通過網(wǎng)絡(luò)釣魚或軟件漏洞來劫持用戶信息，通常根據(jù)一個密碼就可以竊取用戶多個服務(wù)中的資料，如果被盜的密碼可以登陸云端平臺，那么用戶的所有數(shù)據(jù)將被竊聽、篡改，甚至重定向用戶的服務(wù)到其他惡意網(wǎng)站，并且被“劫持”的服務(wù)和賬號可能會被利用來發(fā)起新的攻擊。資源和能力開放是云計算時代的一個重要業(yè)務(wù)變革方向，作為技術(shù)層面的實現(xiàn)，云計算服務(wù)商需要提供大量的網(wǎng)絡(luò)接口和API來整合上下游、發(fā)展業(yè)務(wù)伙伴、甚至直接提供業(yè)務(wù)，但從實踐來看，開發(fā)過程的安全測試、運行過程中的滲透測試等，不管從測試工具還是測試方法等，針對網(wǎng)絡(luò)接口和API都還不夠成熟，這些通常工作于后臺相對安全環(huán)境的功能被開放出來后帶來了額外的安全入侵入口。由于云計算可以為任何人提供計算資源，并不考慮使用者的目的，而這些便利的具有巨大計算能力的資源極有可能被黑客用來進行破解用戶帳戶信息、竊取服務(wù)器數(shù)據(jù)、發(fā)動DOS攻擊等惡意行為。

（7）調(diào)查支持難以實現(xiàn)。在云計算環(huán)境下，計算、存儲、帶寬服務(wù)可在全球跨國獲取，數(shù)據(jù)和運算結(jié)果會在不同地區(qū)的多臺主機或數(shù)據(jù)中心之間傳遞、交換，如果在某一臺主機運算的數(shù)據(jù)被黑客攻擊，則經(jīng)過多次的數(shù)據(jù)傳遞交換后，將無法確定數(shù)據(jù)究竟何時何地在哪臺主機被攻擊過，相關(guān)安全部門若進行調(diào)查，將無從下手。

（8）服務(wù)持久性難以保證。在云計算系統(tǒng)中，終端用戶對提供商的依賴性更高，當云計算技術(shù)供應(yīng)商因出現(xiàn)破產(chǎn)等情況而導(dǎo)致服務(wù)中斷或不穩(wěn)定時，用戶的數(shù)據(jù)存儲和使用云計算服務(wù)將會遇到很大的麻煩。

（9）兼容性較弱。如果企業(yè)決定將服務(wù)從一個云服務(wù)商遷移到另一個服務(wù)商，就會出現(xiàn)兼容性的問題，如Amazon的S3和IBM的藍云就互不兼容。

2.2 云計算安全問題的解決方案

針對以上云計算面臨的安全問題，從終端用戶和云計算服務(wù)商以及國家層面三個方面提出相應(yīng)的解決方案。

（1）終端用戶

①選擇信譽較高的服務(wù)商。用戶應(yīng)選擇經(jīng)營規(guī)模大、信譽度高的服務(wù)商，并對服務(wù)商能夠提供服務(wù)的安全等級和能夠持久服務(wù)的能力進行評估。簽訂云計算服務(wù)合同時要注意合同中關(guān)于涉及安全破壞、數(shù)據(jù)轉(zhuǎn)移、控制轉(zhuǎn)變以及數(shù)據(jù)訪問時自身在法律層面的權(quán)利及義務(wù)的準確描述和界定，防止誤入合同文字陷阱中。

②數(shù)據(jù)加密技術(shù)。目前除了軟件服務(wù)（SaaS）服務(wù)商之外，云計算服務(wù)商一般不具備隱私數(shù)據(jù)的保護能力，因此在使用云計算過程中，終端用戶如果將數(shù)據(jù)以明文的形式存儲于分散的云端服務(wù)器，則無法保證數(shù)據(jù)的機密性和完整性，因此用戶可以采用相關(guān)加密對術(shù)對敏感數(shù)據(jù)進行加密，并做好密鑰管理工作。但同時加密會降低數(shù)據(jù)的利用率，二者的關(guān)系需要進行權(quán)衡。

③進行權(quán)限控制。企業(yè)用戶將數(shù)據(jù)傳輸?shù)皆贫朔?wù)器之后，要對數(shù)據(jù)的訪問權(quán)限加以控制，限制云計算服務(wù)商的訪問權(quán)限，數(shù)據(jù)的完全控制權(quán)應(yīng)屬于終端用戶。

④加強用戶安全教育。用戶在使用云計算服務(wù)時，最常使用的客戶端工具是WEB瀏覽器等，必須要避免在使用自己的服務(wù)時將密碼泄露給第三方、以免被他人利用合法身份進行信息竊取，而這需要對使用人員進行相應(yīng)的安全知識培訓(xùn)。

（2）云服務(wù)提供商

①加強安全認證，整合運用多種認證技術(shù)手段，確保只有合法的用戶才能訪問和使用云資源。

②加強接口和API在功能設(shè)計、開發(fā)、測試、上線等覆蓋生命周期過程的安全實踐，廣泛采用更加全面的安全測試用例。

③采用數(shù)據(jù)隔離技術(shù)。采用額外的數(shù)據(jù)隔離機制來保證各個用戶之間的數(shù)據(jù)不可見性，目前主要通過對虛擬機隔離從邏輯上實現(xiàn)如傳統(tǒng)網(wǎng)絡(luò)模式下的物理隔離和邊界防護，防止系統(tǒng)越界訪問。

④部署嚴密的安全防御體系，保證用戶數(shù)據(jù)不被輕易攻擊，同時還應(yīng)采用屏蔽、抗干擾等技術(shù)為防止電磁泄漏。

⑤完備的數(shù)據(jù)容災(zāi)系統(tǒng)支持，其應(yīng)具備相應(yīng)的預(yù)報、告警、自動排除危害機制，保證因一些自然災(zāi)害導(dǎo)致斷電、硬件損壞而引起數(shù)據(jù)丟失后，能夠迅速恢復(fù)數(shù)據(jù)。

⑥對出網(wǎng)數(shù)據(jù)進行監(jiān)控。制定監(jiān)控策略，使用過濾器對離開網(wǎng)絡(luò)的數(shù)據(jù)進行監(jiān)控，確保用戶隱私信息和核心數(shù)據(jù)沒有非法外流。

⑦確保用戶正常刪除的敏感數(shù)據(jù)徹底消失，不能再被從云端恢復(fù)。

⑧提供審計服務(wù)。審計用于跟蹤記錄用戶的各種行為以及數(shù)據(jù)的訪問使用情況，審計日志保存時間要盡可能的長久，以便發(fā)生法律糾紛時能夠提供調(diào)查依據(jù)。

⑨提供不同安全等級的服務(wù)。云計算服務(wù)提供商需要對服務(wù)區(qū)分安全等級，然后以此為依據(jù)協(xié)助用戶對自己的數(shù)據(jù)和應(yīng)用進行風險評估，并根據(jù)評估結(jié)果向用戶推薦提供相應(yīng)安全等級的服務(wù)。

⑩正規(guī)內(nèi)部管理。運營商必須規(guī)范內(nèi)部工作機制，健全各項管理規(guī)定，加強員工職業(yè)道德教育，特別對于那些擁有特權(quán)帳戶的人員，與員工簽定承諾書和相關(guān)責任書、合同或協(xié)議，確保內(nèi)部不發(fā)生不道德行為和違法行為。可以采取分級控制的方法同，對內(nèi)部工作人員進行分級，分配相應(yīng)的訪問和使用權(quán)限；

（3）國家層面

國家應(yīng)加強法律法規(guī)建設(shè)，加強云計算產(chǎn)業(yè)規(guī)范和監(jiān)管。當前，制約云計算發(fā)展的主要障礙之一就是各種標準和法規(guī)的缺失。沒有法律法規(guī)的規(guī)范和約束，就很難保證云計算服務(wù)商服務(wù)的安全性和正規(guī)化，云計算的信任和信譽機制就很難建立，而這極易導(dǎo)致產(chǎn)生違法行為，如某服務(wù)商可能被重金收買后將某個時期內(nèi)某個行業(yè)的發(fā)展趨勢信息、創(chuàng)新型無形資產(chǎn)和競爭性商務(wù)信息秘密出售他人，而這將會給某些企業(yè)致命打擊。外國公司企業(yè)在擁有傳統(tǒng)技術(shù)標準和制訂新技術(shù)標準方面都有較大優(yōu)勢，我國企業(yè)還不容易取得標準方面的主動權(quán)，因此一方面要努力學(xué)習(xí)借鑒，加大這方面的研發(fā)投入，另一方面要充分發(fā)揮我國應(yīng)用市場廣大的優(yōu)勢，推進實踐應(yīng)用，不斷積累經(jīng)驗，在此基礎(chǔ)之上提煉相應(yīng)的標準和規(guī)范，積極爭取話語權(quán)。

3 結(jié) 語

云計算作為一種新型的分布式計算模式，有著非常廣闊的發(fā)展前景，但其在很多環(huán)節(jié)還存在諸多安全隱患，安全問題已經(jīng)成為困擾云計算更大發(fā)展的最重要的因素。云計算的發(fā)展必須有健全的法律法規(guī)作為規(guī)范和約束，必須使用先進的技術(shù)手段消除各種安全風險，必須運用先進的運營理念和管理策略保證正規(guī)有序服務(wù)，只有做到這些，云計算才能真正被廣大用戶所接受和使用，云計算才能得到真正的發(fā)展。

參考文獻

[1] 郝文江.云計算與信息安全[J].城市與減災(zāi)，2010（4）：12?15.

[2] 楊斌，邵曉，肖二永.云計算安全問題探析[J].計算機安全，2012（3）：63?66.

[3] 馮登國，張敏，張妍，等.云計算安全研究[J].軟件學(xué)報，2010（11）：73?81.

[4] 陳尚義.云安全的本質(zhì)和面臨的挑戰(zhàn)[J].信息安全與通信保密，2009（10）：44?46.

[5] 姚小兵，高媛.淺談網(wǎng)絡(luò)時代的云安全技術(shù)[J].信息科學(xué)，2010（3）：35?38.

[6] 王麗麗.云計算安全問題研究綜述[J].小型微型計算機系統(tǒng)，2012（3）：472?477.

[7] 《虛擬化與云計算》小組.虛擬化與云計算[M].北京：電子工業(yè)出版社，2009.