基于云計算的安全分析

蘇培華

(西安外事學院，陜西 西安 710077)

基于云計算的安全分析

蘇培華

(西安外事學院，陜西 西安 710077)

伴隨著云計算的出現及深入應用，云計算的安全問題自然而然成為了關注它的人們最關心的話題。在對云計算及云安全進行簡單介紹的基礎上，闡述并分析了什么是云計算，什么是云安全，云計算的出現會對傳統安全領域帶來什么影響，人們應該如何面對云安全問題，應該采取什么措施預防和解決云安全問題等。

云計算；安全；云安全

隨著云計算的不斷深入，云安全的問題已經隨之而來[1]。對于云計算這樣一個模糊概念帶來的安全問題，很多人的理解更加模糊，本文將對云計算的安全問題進行分析。

1 云計算的誕生

2008年，IT行業最熱門的名詞非云計算莫屬，尤其是全球IT巨頭IBM、微軟和谷歌等廠家紛紛向云計算邁出第一步，人們對云計算從觀望和質疑，逐步發展到了關注和認同。與此同時，很多廠商也都紛紛跟風推出自己所謂的云計算，云計算成為IT行業新的發展趨勢，不少人預測云時代即將到來。

云計算是一個概念，而非一個具體技術，簡言之，云計算就是讓用戶把所有數據處理任務交由網絡來進行， 由性能超級強大的企業級數據中心負責處理用戶電腦上的任務， 這樣就可以通過1個中心向多種用戶提供數據服務，從而起到節省用戶個人硬件資源的目的。而要實現上述目的，必須用到分布式處理、并行處理和網絡計算技術，所以，云計算的基本原理就是通過網絡使數據處理分布在大量的分布式計算機上(其數量和功能遠遠強大于本地計算機或者遠程服務器)，企業可以通過類似于互聯網運行方式的數據中心，將資源切換到自己所需的應用上，并根據自己的需求訪問不同的計算機和計算機存儲系統[2]。從云計算的概念不難看出，云計算具有數據存儲量龐大、軟件和服務種類繁多、基于各種標準和協議、對客戶端要求不高、用戶使用方便和可擴展性強等特點。

云計算只是一種服務方式的改變。以往人們是自己開發程序為本單位或個人服務，抑或委托專業公司開發軟件為自己服務。云計算是迄今為止最高級的一種服務方式，用戶可以不用關心云的位置和實際用途即可享受云提供的各項服務。也有人形象的把云計算比喻成自來水或者電網供電，認為云計算在未來會像電力網絡一樣發展下去。

現階段云計算一般包括3個層次的服務(見圖1)：基礎設施即服務(IaaS)、平臺即服務(PaaS)和軟件即服務(SaaS)。其中，SaaS是一種通過Internet提供軟件的模式，用戶無需購買軟件，而是向提供商租用基于Web的軟件，來管理企業經營活動，這也是大家比較熟悉的一種云的服務；但也正是由于它基于Internet，云的安全性也開始被大家關注。

圖1 云計算服務層次

2 云安全的提出

云計算的安全問題包括如下3方面：1)云計算服務商能否為用戶提供安全的網絡，保證用戶賬號的安全，能否提供安全的存儲，用戶的數據會不會泄密，是否有相關法律法規對服務商的行為和技術進行約束；2)用戶自身應對云計算服務商的安全性及自身數據安全性進行權衡，至關重要的數據不建議用戶上傳至云中，或者可提前進行加密，這樣才能確保數據安全性主動權始終掌握在用戶自己手中，而不僅僅依賴于服務商的承諾；3)用戶應對自己的賬號妥善保管，防止賬號被他人盜用后為他人埋單帶來的經濟損失[3]。

從技術角度出發，云計算在方便用戶使用的同時，也同樣方便被黑客利用來進行郵件收發，或者上傳、下載數據統計，甚至利用惡意代碼對用戶進行不法監測等更為高級的惡意程序攻擊[4]。所以，與傳統安全技術一樣，云計算服務商應采取如下手段以保證云安全：采用防火墻技術來保證用戶不會被非法訪問；安裝切實有效的殺毒軟件，保證機器不會感染病毒；必須進行入侵檢測并添加合適的防御設備，防止黑客攻擊；用戶自身也需要為自己的數據安全負責，盡可能在數據上傳之前進行加密，對文件內容進行過濾，防止將重要數據存放在相對不太安全的云里。一種數據融合式入侵檢測模型如圖2所示。

圖2 數據融合式入侵檢測模型

云安全與傳統安全不同的地方是在云計算時代，安全設備和措施在部署位置上存在不同，而且安全責任的主體也發生了變化。傳統安全問題是由用戶自己來保障的，而云計算中，安全問題是由云計算服務提供商來保障的。

在云計算領域，對其安全性的討論主要圍繞服務的可靠性、可用性和安全性3方面的共同作用[5]。可靠性是指系統在規定時間、規定環境里，按照預定方式達成預定目的的可能性大小，即如果一個產品或者系統能夠像希望的那樣正確工作，達到預定目標，這樣的產品或系統就具有良好的可靠性；可用性是指遇到突發情況時系統可以繼續提供正常的服務，對于基于網絡的云計算而言，可用性至關重要；安全性是指存儲數據在未授權的情況下不會被訪問甚至被盜取，解決安全性目前大都采用數據加密口令。

對于云計算服務提供商而言，在關鍵時刻無法訪問云計算服務器，主要是存在可靠性或可用性的問題，而對于用戶而言，這其實就是安全性的問題，所以可靠性、可用性和安全性是云安全的3個層面，共同成為當前云計算的主要威脅。

3 云安全的誤區

據調查，現階段人們對云安全普遍存在一些認識不清甚至誤解，這種誤解是2種極端：部分人對云的安全不屑一顧，另一部分則過分相信云的安全。

1)誤區1：認為所謂“云”沒有現有的數據中心安全可靠。對于安全專業人員而言，控制的越多就越安全。出于對公司數據和知識產權的保護，他們希望得到控制權限的最大化。云計算在控制權方面截然不同的做法使得很多人一提起云就覺得沒有自己的運維安全。實際上，很多成熟的云服務提供商都可以給用戶提供相當專業和規范的安全保障。像Google公司的SaaS服務，用戶在任何時間和地點都可以訪問到，但這些信息保存在云上，而非那些容易丟失的移動存儲設備里，客戶做好自身防護的前提下，數據泄露的可能性微乎其微。這是源于Google的安全補丁，由于大多數攻擊都是來自于管理缺失或者服務器配置失當，而Google的服務器架構是同一的，如有打補丁的必要，公司可以以同樣的方式跨整個平臺進行。除此之外，SaaS服務和其他云服務提供商一樣具有更高的全球化視野。作為一個普通企業用戶，一般只能看到一個側面，而專業云服務商具有規模經濟的整體優勢，他們可以在更高、更復雜的層次上處理安全問題，比起企業級的IT團隊更加專業，所以說云安全一定不行或云安全一定存在很多問題是一個誤解。

2)誤區2：不需要對云服務提供商進行驗證、測試或審計。除了部分不相信云安全的用戶，還有另一種極端的誤解，那就是相信云服務商的服務是絕對值得信賴的，也就是想當然的相信現有的云服務，在沒有進行驗證或測試服務商安全性的情況下，盲目的把IT業務放于云上，這樣是非常危險的。在選擇服務商之前，用戶一定要對其進行驗證和審計，如果自身沒有審計的能力，可以委托第三方來進行，這樣才能保障自身的利益。

3)誤區3：不測評云服務提供商的商業生存能力。有一部分用戶在沒有充分診斷服務商的商業生存能力的前提下就與云計算服務提供商簽訂合作計劃，這樣的行為也是極其危險的。如果有一天你所選擇的服務提供商突然人間蒸發了，這該怎么辦？這并不是聳人聽聞，美國Texas州就上演過類似事件。由于宿主提供商的1臺計算機被用于非法計算，遭到FBI的調查，最終該數據中心的所有計算機都被沒收查封，可想而知，1臺計算機給使用該云的用戶帶來的災難有多么巨大，所以在簽訂合作之前，一定要對服務商的商業生存能力進行評估，看其是否能夠提供災難恢復計劃，在出現意外時保證自身損失的最小化。

4)誤區4：業務交付于云后，用戶無需對數據的安全性負責。現實生活中，還有更多的人認為簽訂合作后就把自己的數據原封不動的搬到云里，而不去甄別其安全性，認為萬事大吉，剩下的都有云計算服務商來保障，這種想法普遍存在于中小企業。其實，用戶將數據保護轉移至云服務提供商并不意味著數據遭到破壞時就沒有責任，作為數據擁有者，就不可以放棄責任。

5)誤區5：將不安全的數據及應用放至云里由云來使其變得安全。將一些有缺陷、未打補丁的應用放到云里，不會有人對其進行修復，也就是說它不會自動變得安全。合適的云服務提供商只能對安全的數據提供更好的安全和管理。其實，將一個不安全的應用放到云里，可能會得到稍微多一點的安全保護，但從本質上還是不安全的，隨之而來被它訪問的任何數據都是不安全的，都有可能被盜取。所以，基于安全的考慮，完全依賴于云計算是危險的，但認為云不安全就完全放棄云計算也是不明智、不可取的。

4 云安全遭遇的挑戰

從上述描述不難看出，人們普遍擔心云里的應用安全，擔心云計算的安全性是否符合相關規定，這些都給云服務提供商帶來了巨大的壓力：一方面，他們要在云里開發應用程序；另一方面，他們還要保證這些應用的安全性。服務商單方面宣稱數據的安全性并不能打消用戶的疑慮，這也就成為了云安全面臨的最大挑戰。

事實上，很多云服務商確實沒有合理的手段來保證其安全性合乎政府的相關規定，有的服務商甚至公開宣稱不打算滿足合規性要求，這樣，云計算應用于必須滿足政府法令來保護數據的領域的機會必然減少。不僅如此，云服務提供商在涉及到敏感數據時對客戶都有相關規定，而這些規定都具有地域不同性。例如，美國和中國在對數據安全性方面的要求就存在差異，這也就意味著數據從存儲到傳輸經過的地方都有可能有不同的規定來對數據進行保護。所以，一個云服務提供商是無法對數據存儲及傳輸過程全程跟蹤保護的。

云采用的是虛擬技術，最多的云的宣傳語就是無論何時何地都可以享受到云服務，但是看不見、摸不著的感覺讓人完全沒有安全感。現實意義中對于安全性的考慮大都是基于系統之間的物理聯系的，但對于共享的云而言，應用系統之間是沒有物理劃分的。

5 云安全問題的解決方案

5.1 云計算用戶的安全措施

在享受云計算服務之前，客戶必須清楚地了解使用云服務的風險，主動聽取專家的建議，盡可能地選擇相對可靠的云計算服務商。一般地，專家大都推薦使用規模相對大、商業信譽良好的云計算服務商。因為客戶使用云服務，實際上是通過減少對數據的控制來節約經濟成本，這也就意味著可能需要把企業的信息和客戶的信息等敏感商業數據交到了云服務商的手中，這就要求作為信息管理者必須對這種交易是否值得作出判斷。

如果采用了云服務，那么一定要增強防范意識。掌握計算機正確操作常識可以降低安全性失誤，避免將機密資料放在云端，避免在公用電腦上進行數據操作，要慎重填寫真實聯系資料時，避免設置統一密碼。在云計算中要隨時增強安全意識，清楚地認識云的風險，采取必要的防范措施。數據加密是安全防范的第1步，通過透明加密技術可以幫助企業強制執行安全策略，加密后的數據是以密文的形式存在的；此外，為了避免云計算服務受到攻擊造成數據丟失或無法恢復，定期備份是一個很好地解決辦法。

針對一些至關重要的數據，可以建立企業的私有云。私有云也稱為企業云，它是企業防火墻內的一種更加穩定可靠的云計算環境，其自主權歸企業所有。與私有云相對應的是公有云，它是云計算服務商通過基礎架構直接給用戶提供服務，用戶通過互聯網可以訪問云，但不擁有云資源。

5.2 云計算服務商的安全措施

解決云安全問題的根本辦法不是依賴于云服務提供商的自覺性，而是通過國家政府的強制要求來保證的。自云計算誕生，各國都已經開始對服務商進行規范和監督，也許不久的將來，各種相關政策法規就會出臺，對云服務提供商進行合規性檢查，包括承諾的不合理性、信守承諾的程度、對客戶數據的審計和監管力度等。在強制監管的基礎上，服務商也應自覺采取必要的安全措施，包括訪問控制、入侵檢測、入侵防御、反病毒部署和防止內部數據泄露等。為了防止云服務提供商竊取用戶數據，云服務商可以采用分權分級管理，流程化管理模式。

6 結語

目前，云計算還存在諸多的安全問題，尚未取得人們的完全信任。本質上云計算只是改變了傳統的服務方式，而非顛覆了傳統的安全模式。云計算時代的安全主體發生了變化，安全設備發生了變化，安全措施部署位置發生了變化；但云安全同樣重要，同樣需要得到重視。為了更好地解決云安全問題，策略、技術和人是3個不可或缺的因素，三者共同作用才能最大程度保證云的安全。如果在安全性和高效性上作出折衷，云計算其實不失為一種可取之法。

[1] 陳尚義. 淺談云計算的安全問題[J]. 網絡安全技術與應用，2009(10)：20-22.

[2] 沈淑濤. 云計算數據安全風險及防范策略[J]. 軟件導刊,2015(3):125-127.

[3] 王麗麗. 云計算中虛擬化技術的安全問題及對策研究[J]. 首都師范大學學報：自然科學版，2015(4):16-19.

[4] 胡道元, 閔京華. 網絡安全[M] . 北京：清華大學出版社，2004.

[5] Andress M. 計算機安全原理[M] . 北京：機械工業出版社，2002.

責任編輯鄭練

SecurityAnalysisbasedonCloudComputing

SU Peihua

(Xi′an International University, Xi′an 710077, China)

Along with the appearing and application of cloud computing, the security of cloud computing becomes the topic which people are most concerned about. The question of what is cloud computing, cloud security, and cloud computing bring great influence on traditional security areas, and people how to face the cloud security, what measures should be taken to prevent and resolve cloud security problem and so on. Based on introducting cloud computing and cloud security, this paper tries to answer the above questions.

cloud computing, security, cloud Security

TP 393

：A

蘇培華(1981-)，女，碩士，講師，主要從事計算機應用技術等方面的研究。

2014-12-28