基于云计算的安全分析

苏培华

(西安外事学院，陕西 西安 710077)

基于云计算的安全分析

苏培华

(西安外事学院，陕西 西安 710077)

伴随着云计算的出现及深入应用，云计算的安全问题自然而然成为了关注它的人们最关心的话题。在对云计算及云安全进行简单介绍的基础上，阐述并分析了什么是云计算，什么是云安全，云计算的出现会对传统安全领域带来什么影响，人们应该如何面对云安全问题，应该采取什么措施预防和解决云安全问题等。

云计算；安全；云安全

随着云计算的不断深入，云安全的问题已经随之而来[1]。对于云计算这样一个模糊概念带来的安全问题，很多人的理解更加模糊，本文将对云计算的安全问题进行分析。

1 云计算的诞生

2008年，IT行业最热门的名词非云计算莫属，尤其是全球IT巨头IBM、微软和谷歌等厂家纷纷向云计算迈出第一步，人们对云计算从观望和质疑，逐步发展到了关注和认同。与此同时，很多厂商也都纷纷跟风推出自己所谓的云计算，云计算成为IT行业新的发展趋势，不少人预测云时代即将到来。

云计算是一个概念，而非一个具体技术，简言之，云计算就是让用户把所有数据处理任务交由网络来进行， 由性能超级强大的企业级数据中心负责处理用户电脑上的任务， 这样就可以通过1个中心向多种用户提供数据服务，从而起到节省用户个人硬件资源的目的。而要实现上述目的，必须用到分布式处理、并行处理和网络计算技术，所以，云计算的基本原理就是通过网络使数据处理分布在大量的分布式计算机上(其数量和功能远远强大于本地计算机或者远程服务器)，企业可以通过类似于互联网运行方式的数据中心，将资源切换到自己所需的应用上，并根据自己的需求访问不同的计算机和计算机存储系统[2]。从云计算的概念不难看出，云计算具有数据存储量庞大、软件和服务种类繁多、基于各种标准和协议、对客户端要求不高、用户使用方便和可扩展性强等特点。

云计算只是一种服务方式的改变。以往人们是自己开发程序为本单位或个人服务，抑或委托专业公司开发软件为自己服务。云计算是迄今为止最高级的一种服务方式，用户可以不用关心云的位置和实际用途即可享受云提供的各项服务。也有人形象的把云计算比喻成自来水或者电网供电，认为云计算在未来会像电力网络一样发展下去。

现阶段云计算一般包括3个层次的服务(见图1)：基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。其中，SaaS是一种通过Internet提供软件的模式，用户无需购买软件，而是向提供商租用基于Web的软件，来管理企业经营活动，这也是大家比较熟悉的一种云的服务；但也正是由于它基于Internet，云的安全性也开始被大家关注。

图1 云计算服务层次

2 云安全的提出

云计算的安全问题包括如下3方面：1)云计算服务商能否为用户提供安全的网络，保证用户账号的安全，能否提供安全的存储，用户的数据会不会泄密，是否有相关法律法规对服务商的行为和技术进行约束；2)用户自身应对云计算服务商的安全性及自身数据安全性进行权衡，至关重要的数据不建议用户上传至云中，或者可提前进行加密，这样才能确保数据安全性主动权始终掌握在用户自己手中，而不仅仅依赖于服务商的承诺；3)用户应对自己的账号妥善保管，防止账号被他人盗用后为他人埋单带来的经济损失[3]。

从技术角度出发，云计算在方便用户使用的同时，也同样方便被黑客利用来进行邮件收发，或者上传、下载数据统计，甚至利用恶意代码对用户进行不法监测等更为高级的恶意程序攻击[4]。所以，与传统安全技术一样，云计算服务商应采取如下手段以保证云安全：采用防火墙技术来保证用户不会被非法访问；安装切实有效的杀毒软件，保证机器不会感染病毒；必须进行入侵检测并添加合适的防御设备，防止黑客攻击；用户自身也需要为自己的数据安全负责，尽可能在数据上传之前进行加密，对文件内容进行过滤，防止将重要数据存放在相对不太安全的云里。一种数据融合式入侵检测模型如图2所示。

图2 数据融合式入侵检测模型

云安全与传统安全不同的地方是在云计算时代，安全设备和措施在部署位置上存在不同，而且安全责任的主体也发生了变化。传统安全问题是由用户自己来保障的，而云计算中，安全问题是由云计算服务提供商来保障的。

在云计算领域，对其安全性的讨论主要围绕服务的可靠性、可用性和安全性3方面的共同作用[5]。可靠性是指系统在规定时间、规定环境里，按照预定方式达成预定目的的可能性大小，即如果一个产品或者系统能够像希望的那样正确工作，达到预定目标，这样的产品或系统就具有良好的可靠性；可用性是指遇到突发情况时系统可以继续提供正常的服务，对于基于网络的云计算而言，可用性至关重要；安全性是指存储数据在未授权的情况下不会被访问甚至被盗取，解决安全性目前大都采用数据加密口令。

对于云计算服务提供商而言，在关键时刻无法访问云计算服务器，主要是存在可靠性或可用性的问题，而对于用户而言，这其实就是安全性的问题，所以可靠性、可用性和安全性是云安全的3个层面，共同成为当前云计算的主要威胁。

3 云安全的误区

据调查，现阶段人们对云安全普遍存在一些认识不清甚至误解，这种误解是2种极端：部分人对云的安全不屑一顾，另一部分则过分相信云的安全。

1)误区1：认为所谓“云”没有现有的数据中心安全可靠。对于安全专业人员而言，控制的越多就越安全。出于对公司数据和知识产权的保护，他们希望得到控制权限的最大化。云计算在控制权方面截然不同的做法使得很多人一提起云就觉得没有自己的运维安全。实际上，很多成熟的云服务提供商都可以给用户提供相当专业和规范的安全保障。像Google公司的SaaS服务，用户在任何时间和地点都可以访问到，但这些信息保存在云上，而非那些容易丢失的移动存储设备里，客户做好自身防护的前提下，数据泄露的可能性微乎其微。这是源于Google的安全补丁，由于大多数攻击都是来自于管理缺失或者服务器配置失当，而Google的服务器架构是同一的，如有打补丁的必要，公司可以以同样的方式跨整个平台进行。除此之外，SaaS服务和其他云服务提供商一样具有更高的全球化视野。作为一个普通企业用户，一般只能看到一个侧面，而专业云服务商具有规模经济的整体优势，他们可以在更高、更复杂的层次上处理安全问题，比起企业级的IT团队更加专业，所以说云安全一定不行或云安全一定存在很多问题是一个误解。

2)误区2：不需要对云服务提供商进行验证、测试或审计。除了部分不相信云安全的用户，还有另一种极端的误解，那就是相信云服务商的服务是绝对值得信赖的，也就是想当然的相信现有的云服务，在没有进行验证或测试服务商安全性的情况下，盲目的把IT业务放于云上，这样是非常危险的。在选择服务商之前，用户一定要对其进行验证和审计，如果自身没有审计的能力，可以委托第三方来进行，这样才能保障自身的利益。

3)误区3：不测评云服务提供商的商业生存能力。有一部分用户在没有充分诊断服务商的商业生存能力的前提下就与云计算服务提供商签订合作计划，这样的行为也是极其危险的。如果有一天你所选择的服务提供商突然人间蒸发了，这该怎么办？这并不是耸人听闻，美国Texas州就上演过类似事件。由于宿主提供商的1台计算机被用于非法计算，遭到FBI的调查，最终该数据中心的所有计算机都被没收查封，可想而知，1台计算机给使用该云的用户带来的灾难有多么巨大，所以在签订合作之前，一定要对服务商的商业生存能力进行评估，看其是否能够提供灾难恢复计划，在出现意外时保证自身损失的最小化。

4)误区4：业务交付于云后，用户无需对数据的安全性负责。现实生活中，还有更多的人认为签订合作后就把自己的数据原封不动的搬到云里，而不去甄别其安全性，认为万事大吉，剩下的都有云计算服务商来保障，这种想法普遍存在于中小企业。其实，用户将数据保护转移至云服务提供商并不意味着数据遭到破坏时就没有责任，作为数据拥有者，就不可以放弃责任。

5)误区5：将不安全的数据及应用放至云里由云来使其变得安全。将一些有缺陷、未打补丁的应用放到云里，不会有人对其进行修复，也就是说它不会自动变得安全。合适的云服务提供商只能对安全的数据提供更好的安全和管理。其实，将一个不安全的应用放到云里，可能会得到稍微多一点的安全保护，但从本质上还是不安全的，随之而来被它访问的任何数据都是不安全的，都有可能被盗取。所以，基于安全的考虑，完全依赖于云计算是危险的，但认为云不安全就完全放弃云计算也是不明智、不可取的。

4 云安全遭遇的挑战

从上述描述不难看出，人们普遍担心云里的应用安全，担心云计算的安全性是否符合相关规定，这些都给云服务提供商带来了巨大的压力：一方面，他们要在云里开发应用程序；另一方面，他们还要保证这些应用的安全性。服务商单方面宣称数据的安全性并不能打消用户的疑虑，这也就成为了云安全面临的最大挑战。

事实上，很多云服务商确实没有合理的手段来保证其安全性合乎政府的相关规定，有的服务商甚至公开宣称不打算满足合规性要求，这样，云计算应用于必须满足政府法令来保护数据的领域的机会必然减少。不仅如此，云服务提供商在涉及到敏感数据时对客户都有相关规定，而这些规定都具有地域不同性。例如，美国和中国在对数据安全性方面的要求就存在差异，这也就意味着数据从存储到传输经过的地方都有可能有不同的规定来对数据进行保护。所以，一个云服务提供商是无法对数据存储及传输过程全程跟踪保护的。

云采用的是虚拟技术，最多的云的宣传语就是无论何时何地都可以享受到云服务，但是看不见、摸不着的感觉让人完全没有安全感。现实意义中对于安全性的考虑大都是基于系统之间的物理联系的，但对于共享的云而言，应用系统之间是没有物理划分的。

5 云安全问题的解决方案

5.1 云计算用户的安全措施

在享受云计算服务之前，客户必须清楚地了解使用云服务的风险，主动听取专家的建议，尽可能地选择相对可靠的云计算服务商。一般地，专家大都推荐使用规模相对大、商业信誉良好的云计算服务商。因为客户使用云服务，实际上是通过减少对数据的控制来节约经济成本，这也就意味着可能需要把企业的信息和客户的信息等敏感商业数据交到了云服务商的手中，这就要求作为信息管理者必须对这种交易是否值得作出判断。

如果采用了云服务，那么一定要增强防范意识。掌握计算机正确操作常识可以降低安全性失误，避免将机密资料放在云端，避免在公用电脑上进行数据操作，要慎重填写真实联系资料时，避免设置统一密码。在云计算中要随时增强安全意识，清楚地认识云的风险，采取必要的防范措施。数据加密是安全防范的第1步，通过透明加密技术可以帮助企业强制执行安全策略，加密后的数据是以密文的形式存在的；此外，为了避免云计算服务受到攻击造成数据丢失或无法恢复，定期备份是一个很好地解决办法。

针对一些至关重要的数据，可以建立企业的私有云。私有云也称为企业云，它是企业防火墙内的一种更加稳定可靠的云计算环境，其自主权归企业所有。与私有云相对应的是公有云，它是云计算服务商通过基础架构直接给用户提供服务，用户通过互联网可以访问云，但不拥有云资源。

5.2 云计算服务商的安全措施

解决云安全问题的根本办法不是依赖于云服务提供商的自觉性，而是通过国家政府的强制要求来保证的。自云计算诞生，各国都已经开始对服务商进行规范和监督，也许不久的将来，各种相关政策法规就会出台，对云服务提供商进行合规性检查，包括承诺的不合理性、信守承诺的程度、对客户数据的审计和监管力度等。在强制监管的基础上，服务商也应自觉采取必要的安全措施，包括访问控制、入侵检测、入侵防御、反病毒部署和防止内部数据泄露等。为了防止云服务提供商窃取用户数据，云服务商可以采用分权分级管理，流程化管理模式。

6 结语

目前，云计算还存在诸多的安全问题，尚未取得人们的完全信任。本质上云计算只是改变了传统的服务方式，而非颠覆了传统的安全模式。云计算时代的安全主体发生了变化，安全设备发生了变化，安全措施部署位置发生了变化；但云安全同样重要，同样需要得到重视。为了更好地解决云安全问题，策略、技术和人是3个不可或缺的因素，三者共同作用才能最大程度保证云的安全。如果在安全性和高效性上作出折衷，云计算其实不失为一种可取之法。

[1] 陈尚义. 浅谈云计算的安全问题[J]. 网络安全技术与应用，2009(10)：20-22.

[2] 沈淑涛. 云计算数据安全风险及防范策略[J]. 软件导刊,2015(3):125-127.

[3] 王丽丽. 云计算中虚拟化技术的安全问题及对策研究[J]. 首都师范大学学报：自然科学版，2015(4):16-19.

[4] 胡道元, 闵京华. 网络安全[M] . 北京：清华大学出版社，2004.

[5] Andress M. 计算机安全原理[M] . 北京：机械工业出版社，2002.

责任编辑郑练

SecurityAnalysisbasedonCloudComputing

SU Peihua

(Xi′an International University, Xi′an 710077, China)

Along with the appearing and application of cloud computing, the security of cloud computing becomes the topic which people are most concerned about. The question of what is cloud computing, cloud security, and cloud computing bring great influence on traditional security areas, and people how to face the cloud security, what measures should be taken to prevent and resolve cloud security problem and so on. Based on introducting cloud computing and cloud security, this paper tries to answer the above questions.

cloud computing, security, cloud Security

TP 393

：A

苏培华(1981-)，女，硕士，讲师，主要从事计算机应用技术等方面的研究。

2014-12-28