云計算安全研究

鄒震

（大慶油田信息技術公司運行維護中心，黑龍江 大慶 163453）

云計算是當前信息行業最為關鍵的問題，很多行業都對期給予了很高的關注，該技術體現出網絡就是計算機的理念，把許多資源有效地鏈接到一起，組建起規模很大的資源庫，可以根據需要為遠程用戶提供服務。由于其具備很高的便利性、擴展性和經濟性等受到了人們的歡迎，可以把信息基礎設備維護和管理從繁重內容中解放出來，更好地發展核心業務。云計算是信息產業新的增長點，滿足低碳經濟和綠色計算的要求，得到了世界各國政府的支持，是信息行業的工業化革命。但云計算發展會面對安全問題，是制約云計算行業發展的關鍵因素，很多企業對數據信息安全性產生了擔憂，需要解決好云計算所面對的安全問題。

1 云計算面臨的安全挑戰

1.1 組建起數據安全和穩私保護的技術架構

目前，云計算平臺多個層次都會受到安全威脅，常見的安全問題在信息領域內已經開展了研究，形成了很多比較成熟的產品，安全問題主要關注如何解決云計算模式、動態虛擬管理和信息共享方式等。計算模式導致的安全問題表現在用戶把數據信息委托給云計算機構，或者在云系統中運行應用數據時，云計算機構就獲取到應用數據和利用優先權，如果機構內部人員責任心不強、非法入違和云計算系統故障等會產生數據安全風險，如果云計算機構沒有充足的理由讓用戶得到信任，則無法獲取到更多的服務業務。所以，必須要用戶相信數據信息不會非法交給競爭對手，客戶的應用習慣和隱私沒有被保存或分析，使用數據可以準確地保存到指定區域的服務器中，不需要的數據及時進行粉碎處理等。

動態虛擬化管理在于進行云服務過程中，需要把虛擬數據資源實現與物理資源的綁定。云計算的最大特點就是多個客戶共享資源，很多數據資源會綁定在共同的物理資源上，當虛擬化軟件存在設計缺陷，很多數據就會被其他用戶查看到。多用戶共享方式導致的安全問題，在于云計算服務機構需要購置別的服務機構提供的計算服務，客戶的數據會被別的云計算服務機構間接得到，提高了數據信息漏露的風險。

1.2 組建安全目標驗證、安全服務

建立起安全服務標準和測評體系，是保證云計算安全的重要保證。安全服務標準是用于檢測云用安全要求和服務機構能力，為設計出安全服務框架提供參考。采用科學合理的測評方式給出評估報告，如果出現安全事故可以清楚地完成責任認定。就需要云計算安全標準可以兼容更為廣泛的安全目標，滿足企業用戶信息安全的要求，數據信息的搜索會關系到云計算機構數據處理中心和其他用戶的數據，從而產生較大的安全隱患，應該制定相應的標準進行確定，規定好數據信息搜索的辦法和范圍等，避免對客戶利益造成損失。同時，還需要對云服務過程進行系統地安全評估，因為云計算機構需要購置或租用別的服務企業提供的軟件和硬件服務，根據用戶使用情況實現動態地選擇。所以，需要從云計算動態特性和多個服務方共同參與的特性，對云計算能力進行科學地評估，對云計算機構的安全能力進行等級劃分，從而便于用戶選擇。同時，還需要制定出云計算服務安全驗證辦法，可以對計算服務商提供的證據的可信度進行審計。

1.3 建立起云計算安全監督管理體系

云計算在給人們帶來便利的同時，也具備較大的破壞力，網絡空間對于任何國家都是重要的資源，所以，必須在發展云計算產業的同時不斷完善監控體系，爭取獲得更多的主動權，避免被競爭對手制約，必須要解決如下幾種問題：（1）為了防止非法分子進攻云計算主服務器，需要實現對攻擊的快速識別、預警和防護，避免形成重大的信息安全事故。（2）做好云計算內容的監測和控制，因為云計算存在著很高的動態性，實現有效的監管存在著較大的難度，很多不良信息會在網絡上快帶的遷移，無法實現有效地追蹤。但如果進行全面地檢查，可能會影響到用戶的穩私問題。很多云計算機構具有很強的國際性特征，數據存儲平臺經常會存在跨國界的情況，本地政府部門無法實現有效地監管，可能會出現多力共同管轄的問題，產生安全問題時需要給出正公的裁決。（3）判斷和分析采用云計算技術實施的密碼類犯罪問題，在云計算環境下，很多密碼更容易被破解，會對密碼類產品形成很大的威脅，避免不法分子獲取到足夠計算性能的密碼破解算法，是開展云計算監管必須解決的問題。

2 云計算安全關鍵技術

2.1 可信訪問控制技術

因為不能完全相信云計算機構為客戶定義的訪問策略，在云計算情況下，很多科研人員都對如何采用有效地控制技術來實現數據信息安全訪問進行了研究，開展最多是把密碼學作為基礎實現數據訪問，主要有不同層級的密鑰形成和分配技術來實現數據訪問的控制，采用屬性數據加密處理算法、密文方式的數據處理方案、密文嵌入訪問控制法等，密碼數據信息類解決方案主要面對的問題在到如何實現權限撤銷，最為基礎的解決方案可以為密鑰來設置出失效的時間，根據時間的不同從身份認證處理中心形成新的密鑰。

2.2 密文檢索和處理

當數據信息轉變為密文地會失去很多的特性，引起很多數據分析辦法都失去效用。密文檢索多采用兩種常用的辦法。把安全索引作為基礎的數據索引法，是利用密文中的關鍵詞來形成安全索引，查看關鍵詞能否存在。再一種是利用密文掃描的方式對密文內容的每個數據進行比較，從而檢查是否存在關鍵詞，從而可以統計出關鍵詞產生的次數。密文處理技術主要對秘密同態加密算法設計方式開展了很多的研究，國外學者提出的全同態加密技術，可以更好地使用和操作加密情況下的數據信息，但還沒有開展實用方面的試驗。

2.3 數據存在和可用性證明

大量數據信息應用需要通信系統付出很大的代價，無法把所有的數據進行下載來檢驗是否正確。所以，云計算的用戶應該提取少量數據信息的前提下，對云端的數據完整性和正確性進行識別和判斷，可以采用面對客戶驗證數據信息可檢索性法、數據信息持有證明法。

2.4 數據信息隱私保護

云計算數據信息穩私保護與數據壽命每個時期有著很大的聯系，可以采用數據隱私保護技術，避免在云計算過程中形成的沒有授權數據信息被泄露出去，并對數據計算結果實現自動除密操作。而在數據信息存儲以及應用階段，可以應用客戶端的隱私管理技術，組建起客戶為中心的數學信任模型，從而管控好敏感數據信息在云端存儲和應用。國外學者還提出了采用匿名數據搜索的數據信息引擎，使得數據交互時可以實現對數據搜索和獲取，保證搜索內容無法被對方得知，與搜索信息無關的內容不能被得到。

2.5 虛擬安全技術

虛擬安全技術是保證云計算安全的關鍵，采用該技術可以在云計算平臺中形成云計算架構，從而為用戶更好地安全隔離保證。采用虛擬機技術可在grid 條件下完成數據隔離，或者應用緩存層次來對核心分配進行識別，可以通過緩存區域區劃成的頁染色保證資源管理辦法達到設計性能，從而完成數據安全隔離，該技術隔離緩存接口十分有效，可以把其整合到云架構方式的資源管理架構中。還有的學者對虛擬機映像文件安全性進行分析，因為每個映像文件都相對應客戶應用，要保證其擁用很高的完整性，并建立起數據安全共享的管理機制，從映像文件管理系統完成文件數據的訪問、追蹤、濾除和掃描等，從而可以實現對云計算安全性能的檢測和修復。

2.6 云資源訪問控制

采取云計算方式對數據信息進行存儲和控制，需要每個云計算應用都歸結于不同安全管理域中，從而更好地管理本地數據資源的客戶。如果客戶跨過不同安全管理域來進行數據訪問時，應該在域界限內實現認證服務，從而對進行數據訪問的用戶實現身份認證。如果跨過多個安全管理域進行訪問時，每個域需要制定出各自的數據訪問控制策略，所以，要對策略的結合創造更多的條件。國外學者在數據強制訪問架構下，提出了數據強制訪問控制策略架構，把兩個安全格組建成新的架構，合成過程中需要保證策略的安全性，不可以違反每個域數據控制策略。

3 結語

云計算是信息技術進步的產物，有著很好的應用前景，但是面臨著較大的安全挑戰，需要信息行業和安全領域的學者共同努力，建立安全監管標準，還需要政府部門出臺相關的法律進行約束，可以更好地解決好云計算的安全問題。