云計算安全問題的研究及其對策分析

文/趙瀟 楊建飛，中國電子科技集團公司電子科學研究院

關鍵字：云計算；安全問題；研究及其對策

1 云計算安全問題

1.1 人為失誤導致信息安全問題愈發嚴重

對于網絡信息安全來說人的漏洞是其中最薄弱的環節，網絡信息安全的決定因素就是人為因素。人會受到心理、生理、情緒和環境等很多方面的影響，因此具有不確定性，據調查統計分析，在很多的網絡安全問題中，人為的因素占比高達百分之五十二，所以相關部門應該以人為中心，設計出更加適合人類特性的云計算模式，減少人為失誤，讓云計算的安全向和可靠性得到提升。

1.2 云技術引發的數據安全新隱患

云計算的核心支撐技術是虛擬化技術和多租戶技術，在進行云計算的時候使用虛擬化技術將計算機的存儲、主機或者系統等資源虛擬化，讓這些資源得到靈活高效的利用；利用多租戶技術可以讓基礎的設施應用被不同的用戶共享，不僅可以讓設施和應用得到拓展還可以有效地降低運營成本。隨著新技術被不斷的應用到云計算中，新的安全風險和挑戰也隨之而來。在傳統的計算模式中，可以采用物理或者邏輯隔離的方法保護信息安全，可是云計算中信息都是通過虛擬化的方式提供給用戶，而且是很多租戶共同使用資源，有的虛擬資源被綁定到相同的物理資源中，導致信息資源的邊界模糊。因此，在虛擬軟件中存在安全問題就會造成數據被非法訪問，從而造成信息泄露等問題。

1.3 云傳播弱化了國家對信息管理和控制能力

習近平總書記曾經說過互聯網技術在發展的過程中不能侵犯他國的信息主權，每個國家都應該對信息進行保護、管理和控制。云傳播具有移動傳播、實時傳播等多種傳播特征，國家對于信息的控制和管理能力明顯降低，信息的傳播渠道更加廣泛。

2 云計算安全問題策略

2.1 云計算安全的管理策略

1）加強組織領導，制定科學合理的管理制度

2014年的時候我國成立了網絡安全與信息化領導小組，對于信息安全管理建設了統一的領導機制。對我國的信息安全進行了全面系統的評估，制定符合我國實際情況的網絡安全和信息發展戰略，政府加強對網絡空間的領導。另外對于信息設施的整合應該加大力度，通過調整信息安全管理部門等方式建設更加有效的信息管理制度，強化監督問責體系制度，讓有關部門對于信息安全保護負起責任，采取有效措施實現信息安全。

2）實施安全審查，推動服務運營準入制度化

對于云計算安全等相關技術進行立法的周期比較長，所以應該從云計算的發展和供應商管理等方面進行安全審核，要求在進行云計算產品的采購和使用是必須遵循國家的相關規定，對于沒有國家認證的供應商產品和服務不予使用，而且應該設立懲罰制度，如果發現信息安全問題應該進行處理，并且禁止采購。

3）引入第三方監管，推動信息安全管理常態化

在對云計算進行監管的時候，不僅要依靠政府部門還應該設置第三方的監管機構，獨立的對于云計算進行安全評估和風險監測，確保云計算的安全穩定。第三方監管的主要內容應該符合國家標準，在對云服務進行安全評估和風險監測的同時是還應該對云計算運營商的履職情況進行評估，并且要求其建立網絡安全事件管理機制。

2.2 云計算安全的立法策略

1）建立科學合理的法律體系

在云計算安全方面進行立法時要兼顧安全和發展，對于云計算的安全的保護要有科學的法律理念，致力于為云計算的安全發展鋪平道路，另外要加快信息安全法的制定，并且根據信息安全法制定出相關的法律規范和制度，通過建設個人信息保護法、電子證據法等形成一套職責明確的法律保障體系。

2）建立雙向性的跨境信息流動法律規范

數據的安全和自由流動是良性云環境的重要標志?，F在我國對于信息的輸出都管理的比較嚴格，有明確的法律限制，但是對于信息的輸入卻沒有很多的限制。信息的輸入和輸出是一樣重要的，從云計算安全的角度考慮不僅僅要加強信息輸出的管理，對于信息輸入也應該建立明確的法律規范，這樣才能夠保證信息的安全，推進云計算的健康安全發展。

3）主動接軌國際信息安全準則

目前云計算技術的標準還不是非常成熟和完善，我國對于云計算應該高度重視，利用多種方式支持云計算的發展和相關產品的研發。要積極參與云計算的國際準則制定，尤其是在基礎標準、關鍵技術和產品標準、服務運營標準和安全標準這四個方面要重點參與，這樣我國的云計算發展才能和國際相互兼容，在國際上才能有話語權。

2.3 云計算安全的技術策略

1）深化安全技術研究，加強基礎設施保護能力

云計算的安全就是要保護數據的安全，首先要努力發展虛擬技術隔離方法，云計算的背景下，信息資源的邊界不夠清晰，因此應該給虛擬的服務器分配獨立的分區，采取多種方式進行信息分離，并且要安裝殺毒軟件、防火墻等方式構建防范體系。

2）強化云技術防風險能力，優化云計算系統運行環境

首先應該對數據進行加密，不僅僅要對數據進行加密對于數據的訪問權限也要加密，并且將二者結合起來，這樣可以保障加密的效果；另外要強化數據刪除技術，很多的數據泄露都是因為用戶在刪除數據的時候因為一些原因刪除失敗而出現的，通過使用數據屏蔽技術，可以有效降低數據泄露的風險；最后要進行身份認證，通過數字證書、生物特征識別等多種方式對用戶的身份進行驗證，用戶得到信息的級別也應該根據服務和網域等進行劃分，對于身份的認證也要更加的嚴格，可以采取賬號異常在線監測等多種方式進行身份認證。

3）普及國產化技術和設備，實現自主可控

習近平主席曾說過，要想建設網絡強國，就必須要有自己的技術并且要有過硬的技術。云計算的發展越來越迅速，對于發展的要求也越來越高。我國的互聯網企業應該意識到云計算發展的重要性，結合我國互聯網的發展實際，主動把握機會，將國產的CPU、操作系統、辦公軟件等不斷推廣使用，逐漸實現軟硬件自主化。另外，用戶應該從國家大局層面進行考慮，優先使用國產軟硬件，讓我國的企業不斷完善產品，將新的技術更好地進行應用，才能夠不斷地進行自主創新，增強國家的云計算安全競爭力。