“一帶一路”背景下的集團企業(yè)云計算應用安全研究

周元德

本文從“一帶一路”背景下的集團企業(yè)云計算面臨的安全入手，詳細介紹與分析了云計算應用中的安全風險、云計算安全研究現(xiàn)狀、企業(yè)云計算安全關鍵機制。在文章最后指出，我們只有逐步建立完善的“一帶一路”背景下的集團企業(yè)云計算安全綜合防御體系，才能保證企業(yè)云計算應用的安全。

關鍵詞>>集團企業(yè) 云計算應用 風險安全

一、“一帶—路”背景下的集團企業(yè)云計算安全概述

“一帶一路”背景下的集團企業(yè)網絡覆蓋全球，需要一種新興的共享基礎框架的方法，提供數(shù)據(jù)存儲和網絡服務。云計算不同于現(xiàn)有的以桌面為核心的數(shù)據(jù)處理方式和應用服務都在本地計算機中完成的使用習慣，而是把這些都轉移到“云”中，它將改變我們獲取信息，分享內容和相互溝通的方式，從而形成“一帶一路”背景下的集團企業(yè)云計算應用。由于“一帶一路”背景下與傳統(tǒng)的云計算在平臺環(huán)境、服務提供商、政策環(huán)境等方面存在差異，隨之產生的是“一帶一路”背景下的集團企業(yè)的重要數(shù)據(jù)和應用服務在“云”中的安全問題。

站在集團企業(yè)的角度，是否要部署一個新技術或者新產品，最重要的一項指標是安全性，安全性不僅要考慮技術本身的安全因素，同時也要考慮連帶影響，如承載平臺上的信息安全性。尤其是那些涉及較多敏感信息，如大量用戶數(shù)據(jù)、財務數(shù)據(jù)等保密級別較高的數(shù)據(jù)。對于云計算技術，安全性問題同樣無法回避，實際上這也是目前云計算在集團企業(yè)推廣應用過程中所遇到的最大難題。雖然目前云計算服務提供商都在竭力淡化或避免此方面的問題，但對于“一帶一路”背景下的集團企業(yè)，這是其決定是否使用此技術或服務的關鍵因素。因此，云計算安全性已經成為云計算邁向集團企業(yè)部署應用必須要解決的問題。

二、“一帶—路”背景下集團企業(yè)云計算應用中的安全風臉

從現(xiàn)有的技術資料和已經發(fā)現(xiàn)的安全事件來看，互聯(lián)網時代中傳統(tǒng)的安全威脅在云計算服務中同樣存在，并且伴隨云計算特有的大規(guī)模、開放性與復雜性，還會出現(xiàn)一些新的安全挑戰(zhàn)。因此，對于“一帶一路”背景下的集團企業(yè)云計算應用，安全問題仍然是信息化進程中的首要問題。

“云”的安全和傳統(tǒng)的安全到底有多大的差異？需要在哪些方面給予特別的注意？云安全聯(lián)盟CSA在其發(fā)布的“SecuritvGI～idance for Critical Areas of FoctIs inCloud Computing'中所言：在安全控制方面，“云”與其它IT環(huán)境相比并沒有很大的不同，但在服務模型、運營模型以及用于提供服務的相關技術等方面，“云”可能會導致與以往不同的安全風險。

云計算安全的范圍很廣，包括技術、管理、立法、商業(yè)、企業(yè)持續(xù)服務等層面。在這里不討論云計算的可用性、持久性問題，也不涉及系統(tǒng)或者硬件基礎本身的安全性，因為這些安全性問題已有很多成熟的解決方案。云計算的數(shù)據(jù)安全問題，主要是指部署在云端的數(shù)據(jù)的安全問題。作為用戶，第一感覺是以前系統(tǒng)的所有數(shù)據(jù)都是自己掌控的，但是實施“云”之后，數(shù)據(jù)有很大一部分層面對用戶屏蔽了，用戶自己學控不了其中的安全性。云計算系統(tǒng)儼然成為一個黑盒子，那把數(shù)據(jù)放在這個黑盒子是否安全呢？

筆者認為除了云計算的可用性、內部管理、運營等問題外，“一帶一路”背景下的集團企業(yè)在云計算實踐中還存在應用部署安全風險、應用程序安全風險、虛擬化環(huán)境安全風險、數(shù)據(jù)訪問權限風險、數(shù)據(jù)存儲安全風險、數(shù)據(jù)傳輸安全風險等風險。

（一）應用部署安全風險

任何一個持有有效信用的人都可以注冊并立即使用云平臺，網絡犯罪分子可以基于云平臺部署各種攻擊服務或各種惡意軟件，攻擊互聯(lián)網上的任何用戶，更嚴重的是，在云計算平臺內部部署的惡意軟件能直接從內部對云計算平臺進行服務攻擊、信息竊取等安全攻擊。

（二）應用程序安全風險

應用程序是云服務交付的核心組成，包括Web前端的應用程序、各種中間件應用程序及數(shù)據(jù)庫程序等，即使在傳統(tǒng)網絡安全環(huán)境下，他們仍然會因為編程技術的缺陷而存在多個安全漏洞，在云計算環(huán)境下，這些安全漏洞會繼續(xù)存在。典型如各種Web會話控制漏洞、會話劫持漏洞及各種注入攻擊漏洞。同時為了適應或使用虛擬化環(huán)境下的各種API管理接口，也可能產生一些新的安全漏洞。

（三）虛擬化環(huán)境安全風險

服務器虛擬化是現(xiàn)階段“一帶一路”背景下的集團企業(yè)云計算數(shù)據(jù)中心實施最為廣泛的技術。以VMware、Citrix和微軟的虛擬化應用程序ESX/XEN/Hyper-V為代表的虛擬化應用程序本身可能存在的安全漏洞將影響到整個物理主機的安全。

（四）數(shù)據(jù)訪問權限風險

從云計算的整體技術架構來看，除了中央數(shù)據(jù)服務器外，用戶數(shù)據(jù)存儲在哪片“云”上無人知曉，精準盜取數(shù)據(jù)的難度很大，但云計算的數(shù)據(jù)訪問權限存在漏洞，就很容易產生風險。

（五）數(shù)據(jù)存儲安全風險

“一帶一路”背景下的集團企業(yè)的數(shù)據(jù)存儲是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災難恢復等。在云計算模式下，云計算服務商在高度整合的大容量存儲空間上，開辟出一部分存儲空間提供給“一帶一路”背景下的集團企業(yè)使用。

（六）數(shù)據(jù)傳輸安全風險

在云計算模式下，企業(yè)將數(shù)據(jù)通過網絡傳遞到云計算服務商進行處理時，面臨著幾個方面的問題：一是如何確保企業(yè)的數(shù)據(jù)在網絡傳輸過程中嚴格加密不被竊取；二是如何保證云計算服務商在得到數(shù)據(jù)時不將企業(yè)絕密數(shù)據(jù)泄露出去。

三、云計算安全研究觀狀

面對如此之多的云計算安全風險，云計算安全的研究成為了推廣和應用云計算的動力。到目前為止，全球范圍內還沒有一個公認的云計算標準。國內外不少企業(yè)和組織正在積極探索和研究云計算安全標準工作。

（一）各國政府對云計算安全問題的關注

信息安全國際會議RSA2010將云計算安全作為焦點問題進行研究；CCS（云計算峰會）從2009年開始專門設置了關于云計算安全的研討會；2010年11月，美國政府CIO（首席信息官）委員會闡述了針對云計算的安全防護；日本政府官民合作項目開展計算安全性測試；2010年5月，時任我國工信部的副部長婁勤儉在第二屆中國云計算大會上表示，我國應加強云計算安全的研究。

（二）云計算安全標準組織

云安全聯(lián)盟CSA（Cbud，Seaurity Alliance）于2009年在RSA信息安全大會上成立，其目的就是為云計算找到解決安全問題的最佳方法。目前，CSA制定了《云計算面臨的嚴重威脅》《云控制矩陣》《關鍵領域的云計算安全指南》等研究報告，這些報告提出了安全性應考慮的問題并給出了相應的解決方案。

分布式管理任務組DMTF（DistributedManagement Task Force）于2010年7月起草了開放云標準孵化器OCSI、開放云資源管理協(xié)議、封包格式和安全管理協(xié)議，發(fā)布了云互操作性和管理云架構白皮書。

由歐洲網絡信息安全局和CSA聯(lián)合的CAM項目開發(fā)一個以客觀、可量化的測量標準，為用戶提供一個評價云計算服務提供商安全運行的標準。

（三）國內企業(yè)積極參與云計算安全標準制定

華為公司是互聯(lián)網工程任務組IETF云計算標準化工作的發(fā)起者之一，也是DMDF的董事會成員，同時參與了CSA等組織的工作。

中國聯(lián)通、中國電信、中興通訊是國際電信聯(lián)盟ITU云計算領域工作的主導力量之一。中國移動是綠色網格組織TGG的重要成員。

聯(lián)想、金蝶、瑞星等國內企業(yè)也在TGG、CSA等國際云計算標準組織中發(fā)揮了重要作用。

四、企業(yè)云計算安全關鍵機制

存儲和進出云計算數(shù)據(jù)中心的數(shù)據(jù)保護是“一帶一路”背景下的集團企業(yè)最擔心的安全問題。因此，進出“云”中的數(shù)據(jù)都要求加密且經由安全的傳輸鏈路。

如圖1所示，不管“一帶一路”背景下的集團企業(yè)采用哪種云服務模式，云服務提供商必須提供良好的云計算安全機制：數(shù)據(jù)加密、訪問控制、日志審計、身份認證、授權驗證。

（一）數(shù)據(jù)加密

云計算的加密技術幫助企業(yè)解除使用SaaS（軟件即服務）或者其他云服務來處理敏感數(shù)據(jù)的限制和顧慮。數(shù)據(jù)從企業(yè)傳輸?shù)皆品仗峁┥讨斑M行加密，離開企業(yè)內部安全邊界，存儲在外部云服務提供商的基礎設施里面。

（二）訪問控制

訪問控制是云服務模型和云部署模型中關鍵的安全管理手段。云計算環(huán)境的訪問控制，把用戶的身份和云中的資源緊密地結合在一起，更有助于精細化的訪問控制、用戶記錄和數(shù)據(jù)保護。基于最小權限和職責隔離等安全原理，云服務提供商提供更精細化的基于角色的訪問控制模型。

（三）日志審計

審計是通過監(jiān)控日志記錄的事件來理解系統(tǒng)的性能。用戶訪問云服務一般都是多站點或者多主機的操作，用戶的日志文件可能不僅記錄在本地的唯一主機上，還可能是在不同主機或不同站點之間動態(tài)變化的。

（四）身份認證和授權驗證

一些“一帶一路”背景下的集團企業(yè)通常要求他們的云計算用戶的驗證授權基于工作給你分配合適的權限。在一些情況下，業(yè)務應用可能要求基于角色的訪問控制。因此，授權驗證需要綜合地適應企業(yè)給你的角色需要。

五、結束語

云計算應用愈加普及，安全性就愈應該得到重視。對云計算服務提供商來說，如何保證“一帶一路”背景下的集團企業(yè)存儲在云中的數(shù)據(jù)的安全？對集團企業(yè)來說，如何才能相信云服務提供商能保證云中數(shù)據(jù)的安全？這都將是云計算應用真正落地急需解決的問題。要保證集團企業(yè)云計算應用的安全，不僅要考慮數(shù)據(jù)加密、訪問控制，日志審計、身份認證、授權驗證，還要考慮法律、法規(guī)合規(guī)性等要求。

此外，我們只有綜合考慮、統(tǒng)一規(guī)劃，通過逐步建立完善的“一帶一路”背景下的集團企業(yè)云計算安全綜合防御體系，才能在最大程度上降低集團企業(yè)云計算系統(tǒng)的安全威脅，提高云服務的連續(xù)性，保障集團企業(yè)云計算應用的健康、可持續(xù)發(fā)展。o

責編：白雪

參考文獻：

【1】史愛武.贏在云時代企業(yè)計算戰(zhàn)略、方法和路線圖，清華大學出版社，：3013年6月

【2】AssessingtheSecurityRisksofCloudComputing，2008，http：//www.gantner.com/DisoDocument？id=685308.

【3】孫鋒.企業(yè)云計算應用中的安全風險防范.數(shù)學的實踐與認識，2013，43（5）.

【4】Barman Bikram.Safe 0n the Cloud（A Perspective into the Security Concerns of CloudComputing）[A].Siliconindia2009-3，12（4）：34-35.

【5】Edwards John.Cutting through the Fog ar Cloud Security[J]，Computer world；2009；43（8）：26-29.

【6】Barman Bikram.Safe 0n the Cloud（A Derspective into the Security Concerns 0f CloudC0mpucirq）[A].silic。nindia.2009-3，12（4）：34-35.

【7】Edwards John.Cuttingthroughthe Fog 0fCloud Security[J]，Computerworld；2009；43（8）：26-29.

【8】馮登國，張敏，張妍，徐震.云計算安全研究[J].軟件學報，2011，22（1）.

【9】陳龍，肖敏.云計算安全：挑戰(zhàn)與策略[J]數(shù)字通信，2010，（6）.

【10】http：//www.cac.gov.cn/2017-04/12/c_ll20792636.thm