安全的云數據通信方法

于東民

（沈陽職業技術學院，遼寧 沈陽 110033）

0 引 言

云計算是分布式計算的一種，指通過網絡云將巨大的數據計算處理程序分解成無數個小程序，然后通過多部服務器組成的系統處理和分析這些小程序得到結果并返回給用戶。云計算早期就是簡單的分布式計算，解決任務分發，并進行計算結果的合并。通過這項技術可以在很短的時間內（幾秒鐘）完成對數以萬計的數據的處理，從而達到強大的網絡服務。

在云計算模式下，用戶可以訪問經由遠程提供商在線提供的虛擬計算、網絡和存儲資源，無須購買大量的計算、存儲設備及其他IT基礎設施，也無須掌握管理設備所需的內部經驗，一切均可交由云服務提供商處理。云計算依賴于資源共享來實現一致性和規模經濟，融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。

隨著云計算服務的應用和推廣，海量數據的存儲與處理都被放在了云計算服務中，這就給云計算的發展帶來了機遇，但是同時存儲在云計算環境中的信息安全問題也日益突出。云計算服務由第三方提供商完全承載和管理，為用戶提供價格合理的計算資源訪問服務，用戶無須購買硬件、軟件或支持基礎架構，只需為其使用的資源付費。由于云中的數據管理和基礎設施管理由第三方提供，因此將敏感信息移交給云服務提供商總是存在風險。盡管云計算供應商確保高度安全的密碼保護帳戶，但任何安全漏洞的跡象都可能導致客戶和企業的損失[1-6]。

1 云計算的分類和特點

云計算是一種模型，用于實現對共享可配置計算資源池的便捷按需網絡訪問，可以通過最少的管理工作或服務提供商的交互來快速進行配置和發布。近些年來，云計算和大數據技術的應用極大地促進了通信行業的發展，使我國的通信技術更進一步[7]。云計算按部署類型可以分為3類，具體如圖1所示[8]。

圖1 云計算分類

（1）公有云。云計算服務由第三方提供商完全承載和管理，為用戶提供價格合理的計算資源訪問服務，用戶無須購買硬件、軟件或支持基礎架構，只需為其使用的資源付費。公有云用戶無須支付硬件帶寬費用，投入成本低，但數據安全性低于私有云。（2）私有云。企業自己采購基礎設施，搭建云平臺，在此基礎上開發應用的云服務。私有云可充分保障虛擬化私有網絡的安全，但投入成本相對公有云更高。（3）混合云。一般由用戶創建，而管理和運維職責由用戶和云計算提供商共同分擔，其在使用私有云作為基礎的同時結合了公共云的服務策略，用戶可根據業務私密性程度的不同自主在公有云和私有云間進行切換。此外，從所提供服務類型的角度出發，云計算可分為基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service，PaaS）以及軟件即服務（Software as a Service，SaaS）3類[9]。

基礎設施即服務向云計算提供商的個人或組織提供虛擬化計算資源，平臺即服務為開發人員提供通過全球互聯網構建應用程序和服務的平臺，軟件即服務通過互聯網提供按需軟件付費應用程序[10-15]。

2 云安全問題

云計算正在日益集成，對于其安全性需求也在不斷增加。云安全是基于控制的技術集合，旨在維護云平臺的安全性并保護信息、數據安全性以及與之相關的所有應用程序。獲取安全流程還包括數據備份和業務連續性，以便即使發生災難也可以檢索數據。云計算過程處理由云計算提供商提供的安全控制以維護數據及其隱私。云計算面臨的安全問題如圖2所示。

圖2 云計算面臨的安全問題

2.1 云安全存在的問題

目前，企業云安全存在的主要問題為數據安全問題，表現在以下4個方面：（1）數據傳輸安全問題，即數據加密、云計算服務商泄露數據等問題；（2）數據存儲安全問題，具體包括數據的存儲位置、數據的相互隔離、數據的災難恢復等問題；（3）數據審計安全問題，企業協助第三方對數據進行安全性和準確性的審計或認證時出現的問題；（4）數據恢復安全問題，資源池和彈性擴展的云特性可能會將前面用戶寫入的數據恢復出來。

2.2 云安全存在問題的原因

通過對企業云安全存在的問題進行分析，可以歸納出企業云安全存在問題的主要原因包括以下2點。（1）企業缺乏對云服務的有效監控。大部分企業在企業業務遷移到云模式后，忘記對服務和數據安全措施進行定期和持續的監控，這導致企業在數據安全方面面臨威脅。（2）認為云計算很安全，缺乏風險意識。虛擬私有云的運算方式會使該企業與其他企業共用硬件資源與交換網絡，彼此間僅由虛擬局域網（Virtual Local Area Network，VLAN）隔離。由于組態設定錯誤的情況時有發生，因而企業信息安全問題不可避免。

3 企業云安全問題解決方案

云計算環境下，針對當前企業云安全存在的問題，從技術和非技術2方面提出解決方案，以期對企業提高云安全有所幫助。

3.1 云計算安全的技術方案

云計算安全的技術方案主要包括：（1）動態數據保護，加密發送到云的敏感數據可以為云服務提供受保護的訪問，如果使用或存儲的數據未被加密，那么企業就要面臨信息泄露的危險；（2）訪問控制，企業應要求加密服務提供商提供用戶訪問、管理控件、強效驗證替代方式，如多要素驗證；（3）保護云中的應用程序編程接口（Application Programming Interface，API）密鑰，API密鑰的有效管理可以改善企業云環境，避免敏感信息的泄露；（4）經常備份。企業應該增強安全意識，對存儲在云中的數據經常備份，做到有備無患，以免在云計算服務遭受攻擊、數據丟失的情況下，數據得不到恢復。

3.2 云計算安全的非技術方案

目前的技術手段可以避免來自其他用戶的安全威脅，但對于服務提供商，要想從技術上完全杜絕安全威脅還比較困難，在這方面企業需要非技術手段作為補充。云計算安全的非技術方案包括以下2部分。

3.2.1 企業的安全辦法

企業可采用的安全辦法有3種：（1）第三方認證，即采用1個中立機構對信任雙方進行約束，這個機構不僅需要具備良好的公信力和定力，而且在安全領域具有豐富的經驗和技術能力；（2）角色轉換，企業作為價值鏈的組成部分，需要向客戶和合作伙伴提供服務，因此為實現云服務的最大化利益，企業需轉換思想，適應自己的云服務提供商的角色；（3）法律和協議，法案和制度的建立不僅能讓云服務提供商開發更優秀的構架，提供更好的服務，而且還為企業提供了法律保障。

3.2.2 云安全廠商的安全辦法

云安全廠商可采用分級控制的管理方法提高云計算公司的安全可信度。分級控制是指將云計算的管理體系分成2級：一級是無特殊權限的普通人員，他們負責日常的運維工作，但是不能進入受控的機房和登錄物理主機，所以接觸不到用戶的數據；二級是具備核心權限的特殊人員，雖然有權限進入機房并登錄主機，能夠接觸到用戶的數據，但操作行為受到流程的嚴格控制。云計算廠商通過使用分級控制的管理方法，在一定程度上可避免云計算平臺提供商竊取用戶的數據。

4 結 論

云技術固然能給企業帶來利益，但其安全問題也不容小覷。企業要想保證云安全，還要對其進行持續且深入的研究與探索。相信未來在各方面力量的共同努力下，企業云安全能有更好的保障。