云计算安全问题的研究及其对策分析

文/赵潇 杨建飞，中国电子科技集团公司电子科学研究院

关键字：云计算；安全问题；研究及其对策

1 云计算安全问题

1.1 人为失误导致信息安全问题愈发严重

对于网络信息安全来说人的漏洞是其中最薄弱的环节，网络信息安全的决定因素就是人为因素。人会受到心理、生理、情绪和环境等很多方面的影响，因此具有不确定性，据调查统计分析，在很多的网络安全问题中，人为的因素占比高达百分之五十二，所以相关部门应该以人为中心，设计出更加适合人类特性的云计算模式，减少人为失误，让云计算的安全向和可靠性得到提升。

1.2 云技术引发的数据安全新隐患

云计算的核心支撑技术是虚拟化技术和多租户技术，在进行云计算的时候使用虚拟化技术将计算机的存储、主机或者系统等资源虚拟化，让这些资源得到灵活高效的利用；利用多租户技术可以让基础的设施应用被不同的用户共享，不仅可以让设施和应用得到拓展还可以有效地降低运营成本。随着新技术被不断的应用到云计算中，新的安全风险和挑战也随之而来。在传统的计算模式中，可以采用物理或者逻辑隔离的方法保护信息安全，可是云计算中信息都是通过虚拟化的方式提供给用户，而且是很多租户共同使用资源，有的虚拟资源被绑定到相同的物理资源中，导致信息资源的边界模糊。因此，在虚拟软件中存在安全问题就会造成数据被非法访问，从而造成信息泄露等问题。

1.3 云传播弱化了国家对信息管理和控制能力

习近平总书记曾经说过互联网技术在发展的过程中不能侵犯他国的信息主权，每个国家都应该对信息进行保护、管理和控制。云传播具有移动传播、实时传播等多种传播特征，国家对于信息的控制和管理能力明显降低，信息的传播渠道更加广泛。

2 云计算安全问题策略

2.1 云计算安全的管理策略

1）加强组织领导，制定科学合理的管理制度

2014年的时候我国成立了网络安全与信息化领导小组，对于信息安全管理建设了统一的领导机制。对我国的信息安全进行了全面系统的评估，制定符合我国实际情况的网络安全和信息发展战略，政府加强对网络空间的领导。另外对于信息设施的整合应该加大力度，通过调整信息安全管理部门等方式建设更加有效的信息管理制度，强化监督问责体系制度，让有关部门对于信息安全保护负起责任，采取有效措施实现信息安全。

2）实施安全审查，推动服务运营准入制度化

对于云计算安全等相关技术进行立法的周期比较长，所以应该从云计算的发展和供应商管理等方面进行安全审核，要求在进行云计算产品的采购和使用是必须遵循国家的相关规定，对于没有国家认证的供应商产品和服务不予使用，而且应该设立惩罚制度，如果发现信息安全问题应该进行处理，并且禁止采购。

3）引入第三方监管，推动信息安全管理常态化

在对云计算进行监管的时候，不仅要依靠政府部门还应该设置第三方的监管机构，独立的对于云计算进行安全评估和风险监测，确保云计算的安全稳定。第三方监管的主要内容应该符合国家标准，在对云服务进行安全评估和风险监测的同时是还应该对云计算运营商的履职情况进行评估，并且要求其建立网络安全事件管理机制。

2.2 云计算安全的立法策略

1）建立科学合理的法律体系

在云计算安全方面进行立法时要兼顾安全和发展，对于云计算的安全的保护要有科学的法律理念，致力于为云计算的安全发展铺平道路，另外要加快信息安全法的制定，并且根据信息安全法制定出相关的法律规范和制度，通过建设个人信息保护法、电子证据法等形成一套职责明确的法律保障体系。

2）建立双向性的跨境信息流动法律规范

数据的安全和自由流动是良性云环境的重要标志。现在我国对于信息的输出都管理的比较严格，有明确的法律限制，但是对于信息的输入却没有很多的限制。信息的输入和输出是一样重要的，从云计算安全的角度考虑不仅仅要加强信息输出的管理，对于信息输入也应该建立明确的法律规范，这样才能够保证信息的安全，推进云计算的健康安全发展。

3）主动接轨国际信息安全准则

目前云计算技术的标准还不是非常成熟和完善，我国对于云计算应该高度重视，利用多种方式支持云计算的发展和相关产品的研发。要积极参与云计算的国际准则制定，尤其是在基础标准、关键技术和产品标准、服务运营标准和安全标准这四个方面要重点参与，这样我国的云计算发展才能和国际相互兼容，在国际上才能有话语权。

2.3 云计算安全的技术策略

1）深化安全技术研究，加强基础设施保护能力

云计算的安全就是要保护数据的安全，首先要努力发展虚拟技术隔离方法，云计算的背景下，信息资源的边界不够清晰，因此应该给虚拟的服务器分配独立的分区，采取多种方式进行信息分离，并且要安装杀毒软件、防火墙等方式构建防范体系。

2）强化云技术防风险能力，优化云计算系统运行环境

首先应该对数据进行加密，不仅仅要对数据进行加密对于数据的访问权限也要加密，并且将二者结合起来，这样可以保障加密的效果；另外要强化数据删除技术，很多的数据泄露都是因为用户在删除数据的时候因为一些原因删除失败而出现的，通过使用数据屏蔽技术，可以有效降低数据泄露的风险；最后要进行身份认证，通过数字证书、生物特征识别等多种方式对用户的身份进行验证，用户得到信息的级别也应该根据服务和网域等进行划分，对于身份的认证也要更加的严格，可以采取账号异常在线监测等多种方式进行身份认证。

3）普及国产化技术和设备，实现自主可控

习近平主席曾说过，要想建设网络强国，就必须要有自己的技术并且要有过硬的技术。云计算的发展越来越迅速，对于发展的要求也越来越高。我国的互联网企业应该意识到云计算发展的重要性，结合我国互联网的发展实际，主动把握机会，将国产的CPU、操作系统、办公软件等不断推广使用，逐渐实现软硬件自主化。另外，用户应该从国家大局层面进行考虑，优先使用国产软硬件，让我国的企业不断完善产品，将新的技术更好地进行应用，才能够不断地进行自主创新，增强国家的云计算安全竞争力。