云計算的信息安全

葛　慧

[摘要]云計算是一個網格計算中新的標志，它包含有用的計算并能使用共享的計算資源。本地服務器或者個人設備可以選擇云計算來處理用戶的應用程序。最近，由云計算帶來的信息安全引起了眾人的注意。風險也較高，如果非常重要的數據在公共的數據中心被他人惡意竊取，后果將不堪設想。簡要探討由云計算帶來的信息安全問題及解決這些問題的方法。

[關鍵詞]云計算 信息安全

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0120042－02

云計算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網格計算(Grid Computing)的發展，或者說是這些計算機科學概念的商業實現。

云計算的基本原理是，通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中，企業數據中心的運行將更與互聯網相似。這使得企業能夠將資源切換到需要的應用上，根據需求訪問計算機和存儲系統。

這是一種革命性的舉措，打個比方，這就像是從古老的單臺發電機模式轉向了電廠集中供電的模式。它意味著計算能力也可以作為一種商品進行流通，就像煤氣、水電一樣，取用方便，費用低廉。最大的不同在于，它是通過互聯網進行傳輸的。

目前，PC依然是我們日常工作生活中的核心工具我們用PC處理文檔、存儲資料，通過電子郵件或U盤與他人分享信息。如果PC硬盤壞了，我們會因為資料丟失而束手無策。

而在“云計算”時代，“云”會替我們做存儲和計算的工作。“云”就是計算機群，每一群包括了幾十萬臺、甚至上百萬臺計算機。“云”的好處還在于，其中的計算機可以隨時更新，保證“云”長生不老。作為全球IT業的領導者IBM、微軟、Google等IT巨頭已經為云計算的應用做出了榜樣，雖然部分應用僅僅是剛剛起步，但已經可以預想未來便捷快速的web應用。

一、云計算四個方面的重要特點

1．云上的海量數據存儲；

2．無數的軟件和服務置于云中；

3．它們均構筑于各種標準和協議之上；

4．可以通過各種設備來獲得。

二、推動云計算發展的六個方面的因素

1．以用戶為中心：數據存在于云海之中，并且伴隨著你和你的設備，你可以在任何時間、任何地點以某種便捷的方式安全地獲得它或與他人分享。

2．以任務為中心：人們可以方便地與合作者共同規劃并執行各項任務，并隨時隨地進行有效的交流和溝通。

3．強大的功能：置于云海中由成千上萬的計算機群提供的強大計算能力、存儲能力等將能夠為你完成傳統上單臺計算機根本無法完成的事情。

4．智能化：基于海量數據的數據挖掘技術來獲得大量的新知識。作為一個典型的示例，基于這種新技術的語言翻譯將更加強大。我們在互聯網絡上，可以看到這樣一種模式：

海量的數據+海量的分析==〉知識

5．基礎設施的可行性：如今，上千臺的PC級服務器可以獲得極高的性能。Google正在建設更強大的“計算機群農場”（就像高產的奶牛場一樣）。

6．并行軟件的可編程性：怎樣編寫可以在上千臺計算機上并行執行的程序？Google如今已經開發了一系列新的開發方法和技術。

三、云計算的信息安全

作為一項有望大幅降低成本的新興技術，云計算日益受到眾多企業的追捧。然而，云計算所帶來的安全問題也應該引起業界足夠的重視。

云計算使公司可以把計算處理工作的一部分（甚至是全部）外包出去。信息主管不用為內部服務器的維護配置專業IT人員，公司可以通過互聯網來訪問計算基礎設施。一家大型云計算提供商能迅速滿足網上客戶對更多計算功能的需求，那些沒有大型數據中心的中小型公司能夠利用云計算服務提供商的強大處理功能，有效地節約IT成本。

各大廠商看到了云計算帶來的巨大商機，于是紛紛設立部門推出云計算服務。數據卻是一個公司最重要的財富，云計算的安全問題應引起企業足夠的重視。信息主管需要很大的勇氣把公司的機密文件交給云計算服務提供商管理。隨著基于云計算的服務日益發展，云計算服務將由多家服務商共同承擔。一家公司與某家外包商簽訂了云計算合同，這家外包商又與一連串外包商簽訂合同，而那些外包商又與別的商家簽訂了合同。這樣一來，公司的機密文件將經過層層傳遞，安全風險巨大。

Gartner公司的兩名分析師海舍爾和馬克共同撰寫了《評估云計算的安全風險》，這份報告列出了云計算存在的許多安全風險。該報告并不是勸說企業不要采用云計算，而是呼吁企業要增強安全意識，清楚地認識到風險，并且采取必要的防范措施來確保安全。海舍爾認為，大多數潛在用戶沒有真正認識到云計算存在的風險，他們只是直覺上覺得這是一種新技術，要謹慎對待。

比方說，一家投資銀行的員工使用Google Spreadsheets來組織管理員工社會保障號碼清單。那么，保護這些信息遠離黑客及內部數據泄密事件的責任就落在了谷歌的肩上，而不是銀行的肩上。命令交出信息的政府調查人員可能會要求谷歌交出那些社會保障號碼，而不通知數據的所有者。而有些在線軟件公司甚至樂意與營銷公司共享用戶的敏感數據。

谷歌的隱私政策規定：如果該公司“善意地理由”必須提供相關數據，以滿足“任何可適用的法律、法規、法律程序或者強制執行的政府要求”，那么它將與政府共享數據。

總的說來，由云計算帶來的信息安全問題有以下幾個方面：

1．特權用戶的接入

在公司外的場所處理敏感信息可能會帶來風險，因為這將繞過企業IT部門對這些信息“物理、邏輯和人工的控制”。企業需要對處理這些信息的管理員進行充分了解，并要求服務提供商提供詳盡的管理員信息。

2．可審查性

用戶對自己數據的完整性和安全性負有最終的責任。傳統服務提供商需要通過外部審計和安全認證，但一些云計算提供商卻拒絕接受這樣的審查。面對這樣的提供商，用戶只能用他們的服務做一些瑣碎的工作。

3．數據位置

在使用云計算服務時，用戶并不清楚自己的數據儲存在哪里，用戶甚至都不知道數據位于哪個國家。用戶應當詢問服務提供商數據是否存儲在專門管轄的位置，以及他們是否遵循當地的隱私協議。

4．數據隔離

在云計算的體系下，所有用戶的數據都位于共享環境之中。加密能夠起一定作用，但是仍然不夠。用戶應當了解云計算提供商是否將一些數據與另一些隔離開，以及加密服務是否是由專家設計并測試的。如果加密系統出現問題，那么所有數據都將不能再使用。

5．數據恢復

就算用戶不知道數據存儲的位置，云計算提供商也應當告訴用戶在發生災難時，用戶數據和服務將會面臨什么樣的情況。任何沒有經過備份的數據和應用程序都將出現問題。用戶需要詢問服務提供商是否有能力恢復數據，以及需要多長時間。

6．調查支持

在云計算環境下，調查不恰當的或是非法的活動將難以實現，因為來自多個用戶的數據可能會存放在一起，并且有可能會在多臺主機或數據中心之間轉移。如果服務提供商沒有這方面的措施，那么在有違法行為發生時，用戶將難以調查。

7．長期生存性

理想情況下，云計算提供商將不會破產或是被大公司收購。但是用戶仍需要確認，在發生這類問題的情況下，自己的數據會不會受到影響。用戶需要詢問服務提供商如何拿回自己的數據，以及拿回的數據是否能夠被導入到替代的應用程序中。

盡管存在這樣那樣的疑慮，但云計算確實極具發展潛力，云計算可以幫助企業大幅降低IT成本，顯著提高工作效率和靈活性。一旦業界找到一些完善的安全保障解決方案，云計算就能得到大規模推廣。

對于其安全性，也有許多解決的辦法。

四、云計算中確保信息安全的具體方法

（一）對保存文件進行加密

加密技術可以對文件進行加密，那樣只有密碼才能解密。加密讓你可以保護數據，哪怕是數據上傳到別人在遠處的數據中心時。PGP或者對應的開源產品TrueCrypt等程序都提供了足夠強大的加密功能；只要你使用無法破解的密碼，那么除了你，沒人能訪問你的敏感信息。

（二）對電子郵件進行加密

PGP和TrueCrypt都能對文件在離開你的控制范圍之前對它們進行加密，從而起到保護作用。但這樣一來，電子郵件就岌岌可危了，因為它是以一種仍能夠被偷窺者訪問的格式到達你的收件箱。為了確保郵件安全，不妨使用Hushmail或者Mutemail之類的程序，兩者都能在網上使用，可以自動對你收發的所有郵件進行加密。

（三）使用信譽良好的服務

就算你對文件進行了加密，有些在線活動（尤其是涉及在網上處理文件、而不是僅僅保存文件的活動）仍很難保護。這意味著用戶仍需要認真考慮自己使用哪些服務。專家們建議使用名氣大的服務，它們不大可能拿自己的名牌來冒險，不會任由數據泄密事件發生，也不會與營銷商共享數據。

（四）考慮商業模式

在設法確定哪些互聯網應用值得信任時，應當考慮它們打算如何盈利。收取費用的互聯網應用服務可能比得到廣告資助的那些服務來得安全。廣告給互聯網應用提供商帶來了經濟上的刺激，從而收集詳細的用戶資料用于針對性的網上廣告，因而用戶資料有可能落入不法分子的手里。

（五）閱讀隱私聲明

幾乎有關互聯網應用的每項隱私政策里面都有漏洞，以便在某些情況下可以共享數據。大多數互聯網應用提供商在自己的政策條款中承認：如果執法官員提出要求，自己會交出相關數據。但了解到底哪些信息可能會披露，可以幫你確定把哪些數據保存在云計算環境、哪些數據保存在桌面上。

（六）使用過濾器

Vontu、Websense和Vericept等公司提供一種系統，目的在于監視哪些數據離開了你的網絡，從而自動阻止敏感數據。比方說，社會保障號碼具有獨特的數位排列方式。還可以對這類系統進行配置，以便一家公司里面的不同用戶在導出數據方面享有不同程度的自由。

參考文獻：

[1]尹國定、衛紅云，計算：實現概念計算的方法.東南大學學報（自然科學版），2003(04).

[2]Assessing the Security Risks of Cloud Computing Jay Heiser and Mark Nicolett 3 June 2008.

[3]馬永仁、周津慧、劉東蘇，談網格計算及知識型信息服務，情報雜志，2005(01).

[4]徐志偉、馮百明、李偉，網格計算技術[M].北京：電子工業出版社，2004.

[5]IFoster,C Kesselman,G Tsudik,S Tuecke.A security architecture for computational grids[A].Proc.5th ACM Conference on Computer and Communications Security Conference[C].1998.83-92.

[6]茍先太、金煒東，分布式計算在下一代網絡中的應用研究，計算機應用，2003(08).

[7]龐麗萍、唐曉輝、羌衛中、章勤，分布式計算模式及其軟件開發包，華中科技大學學報（自然科學版），2005(04).

作者簡介：

葛慧，男，湖北咸寧人，湖北教育學院2005級計算機科學與技術專業本科生。