云计算的安全研究

顾玮(徐州高等师范学校　徐州　221116)

云计算的安全研究

顾玮
(徐州高等师范学校徐州221116)

摘要当前社会网络飞速发展，安全已经成为云计算领域亟待突破的重要问题，其重要性与紧迫性已不容忽视。本文分析了云计算对信息安全领域中技术、标准、监管等各方面带来的挑战，提出云计算安全参考框架及该框架下的主要研究内容，指出云计算的普及与应用是近年来信息安全领域的重大挑战与发展契机，将引发信息安全领域又一次重要的技术变革。

关键词云计算互联网信息技术安全资源

一、什么是云计算

云计算（Cloud computing）是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网，后来也用来表示互联网和底层基础设施的抽象。狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。

云计算的资源和计算能力由专门的第三方提供商提供（如IBM、Amazon和谷歌等），用户无须顾虑软硬件的升级和维护，对用户而言。云计算系统中复杂的“云”已经通过多层虚拟化技术被完全屏蔽掉了。云计算的出现避免了用户在本地建设、运行和维护价格昂贵的计算系统的费用，通过支付低廉的服务费用，就可以完成在本地需耗费巨大的计算或处理任务。低成本是云计算的一个显著特点。云计算其他的主要特点如下：

1、云计算可以轻松实现不同设备间的数据与应用共享。

2、云计算描述了一种可以通过互联网进行访问的可扩展和动态重构的模式。

3、云计算的应用使用大规模的数据中心以及功能强劲的服务器来运行网络应用程序与网络服务，提供近乎实时的部署和使用。

4、任何一个用户通过合适的互联网接入设备以及一个标准的浏览器就可访问一个云计算应用程序。云计算对用户端的设备要求低，用户很少需要或不需要专门的IT技术。

5、提供月租、订阅或当次付费的收费模式。

二、云计算的原理

云计算（Cloud Computing）是分布式处理（Distributed Computing）、并行处理（Parallel Computing）和网格计算（Grid Computing）的发展，或者说是这些计算机科学概念的商业实现。

云计算的基本原理是，通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。这可是一种革命性的举措，打个比方，这就好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，取用方便，费用低廉。最大的不同在于，它是通过互联网进行传输的。云计算的蓝图已经呼之欲出：在未来，只需要一台笔记本或者一个手机，就可以通过网络服务来实现我们需要的一切，甚至包括超级计算这样的任务。从这个角度而言，最终用户才是云计算的真正拥有者。

云计算的应用包含这样的一种思想，把力量联合起来，给其中的每一个成员使用。

三、云计算安全现状

1、各国政府对云计算安全的关注

云计算在美国和欧洲等国得到政府的大力支持和推广，云计算安全和风险问题也得到各国政府的广泛重视。2010年11月，美国政府CIO委员会发布关于政府机构采用云计算的政府文件，阐述了云计算带来的挑战以及针对云计算的安全防护，要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析。同时指出，由政府授权机构对云计算服务商进行统一的风险评估和授权认定，可加速云计算的评估和采用，并能降低风险评估的费用。

2010年3月，参加欧洲议会讨论的欧洲各国网络法律专家和领导人呼吁制定一个关于数据保护的全球协议，以解决云计算的数据安全弱点。欧洲网络和信息安全局（ENISA）表示，将推动管理部门要求云计算提供商通知客户有关安全攻击状况。

日本政府也启动了官民合作项目，组织信息技术企业与有关部门对于云计算的实际应用开展计算安全性测试，以提高日本使用云计算的安全水平，向中小企业普及云计算，并确保企业和个人数据的安全性。在我国，2010年5月，工信部副部长娄勤俭在第2届中国云计算大会上表示，我国应加强云计算信息安全研究，解决共性技术问题，保证云计算产业健康、可持续地发展。

2、国内外云计算安全标准组织及其进展

国外已经有越来越多的标准组织开始着手制定云计算及安全标准，以求增强互操作性和安全性，减少重复投资或重新发明，如ITU-TSG17研究组、结构化信息标准促进组织与分布式管理任务组等都启动了云计算标准工作。此外，专门成立的组织，如云计算安全联盟也在云计算安全标准化方面取得了一定进展。下面我们对这些标准组织及其目前的研究进展展开加以介绍。

3、云安全联盟

云安全联盟CSA（Cloud Security Alliance）是在2009年的RSA大会上宣布成立的一个非盈利性组织，宗旨是“促进云计算安全技术的最佳实践应用，并提供云计算的使用培训，帮助保护其他形式的计算”。自成立后，CSA迅速获得了业界的广泛认可，其企业成员涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。

云计算安全联盟确定了云计算安全的15个焦点领域，对每个领域给出了具体建议，并从中选取较为重要的若干领域着手标准的制定，在制定过程中，广泛咨询IT人员的反馈意见，获取关于需求方案说明书的建议。云计算安全联盟确定的15个云计算安全焦点领域分别是：信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响（商业连续性、灾难恢复、物理安全）、体系结构。

目前，云计算安全联盟已完成《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云算安全指南》等研究报告，并发布了云计算安全定义。这些报告从技术、操作、数据等多方面强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案，对形成云计算安全行业规范具有重要影响。

4、国内外云计算安全技术现状

在IT产业界，各类云计算安全产品与方案不断涌现.例如，Sun公司发布开源的云计算安全工具可为Amazon的EC2，S3以及虚拟私有云平台提供安全保护。工具包括OpenSolaris VPC网关软件，能够帮助客户迅速和容易地创建一个通向Amazon虚拟私有云的多条安全的通信通道；为Amazon EC2设计的安全增强的VMIs，包括非可执行堆栈，加密交换和默认情况下启用审核等；云安全盒（Cloud safety box），使用类Amazon S3接口，自动地对内容进行压缩、加密和拆分，简化云中加密内容的管理等。微软为云计算平台Azure筹备代号为Sydney的安全计划，帮助企业用户在服务器和Azure云之间交换数据，以解决虚拟化、多租户环境中的安全性。EMC，Intel，Vmware等公司联合宣布了一个“可信云体系架构”的合作项目，并提出了一个概念证明系统。该项目采用Intel的可信执行技术（Trusted execution technology）、Vmware的虚拟隔离技术、RSA的enVision安全信息与事件管理平台等技术相结合，构建从下至上值得信赖的多租户服务器集群。开源云计算平台Hadoop也推出安全版本，引入Kerberos安全认证技术，对共享商业敏感数据的用户加以认证与访问控制，阻止非法用户对Hadoop clusters的非授权访问。

四、结束语

云计算是当前发展十分迅速的新兴产业，具有广阔的发展前景，但同时其所面临的安全技术挑战也是前所未有的，需要IT领域与信息安全领域的研究者共同探索解决之道。同时，云计算安全并不仅仅是技术问题，它还涉及标准化、监管模式、法律法规等诸多方面。因此，仅从技术角度出发探索解决云计算安全问题是不够的，需要信息安全学术界、产业界以及政府相关部门的共同努力才能实现。

参考文献

［1］金海.计算系统虚拟化-原理与应用［M］.清华大学出版社，2008.

［2］朱近之.智慧的云计算-物联网发展的基石［M］.电子工业出版社，2012.

［3］吴朱华.云计算的未来，超市还是电厂［J］.程序员，2010年5月刊.

［4］吴朱华.虚拟器件-虚拟化技术的新利刃［J］.程序员，2010年4月刊.

The Security of Cloud Computing

Gu Wei
(Xuzhou Higher Normal SchoolXuzhou221116)

AbstractThe current rapid development of the social network，security has become an important problem to solve in cloud computing field，its importance and urgency has been ignored. This paper gives an analysis of the cloud computing challenges brought about in the field of information security technology，standards，regulatory and other aspects，the cloud computing security reference framework and the framework of the main research contents，points out that the popularization and application of cloud computing is in recent years in the field of information security major challenge and development opportunity，it will lead to the field of information security and a important technological change.

KeywordsCloud computingInternetITSecurityResources

中图分类号TP393.08

文献标识码B

文章编号160223-7206

作者简介

顾玮，女，1981年生，汉族，徐州高等师范学校教师，硕士研究生，研究数据库，数据挖掘，系统开发。