云計算安全研究

王 倩，譚永杰

（周口師范學(xué)院 計算機科學(xué)與技術(shù)學(xué)院，河南 周口 466001）

目前，云計算成為信息技術(shù)領(lǐng)域所討論的熱點[1-2].云計算是在高可靠性和后端規(guī)模巨大的支持下，用戶入網(wǎng)就能方便的訪問基于云的信息，不用去考慮硬件升級、軟件的安裝和后期的維護這樣的問題.企業(yè)也同樣可以以低廉的價格來使用云所提供的服務(wù).

云計算的好處最實在的體現(xiàn)在客戶體驗和成本這兩個方面.客戶體驗方面，客戶不需要硬件購買和軟件的安裝，用戶入網(wǎng)就能輕松的訪問瀏覽器.成本方面，用戶不需要升級硬件配置，只要有智能終端，比如，手機[3].

雖然云計算帶給用戶許多好處，提高使用的效率，但是用戶信息的安全也帶來了沖擊和挑戰(zhàn).目前，云計算領(lǐng)域需要突破的一個重要問題就是云安全問題.云計算安全問題是不容忽視的，已經(jīng)得到越來越多人的關(guān)注.本文首先給出云計算體系結(jié)構(gòu)，接著分析云計算安全與傳統(tǒng)安全的區(qū)別以及云計算對信息安全的影響，最后提出未來的科研方向.

1 云計算體系結(jié)構(gòu)

云計算體系結(jié)構(gòu)主要分服務(wù)和管理這兩部分[3]，如圖1所示.

圖1 云計算體系結(jié)構(gòu)

1.1 云服務(wù)

服務(wù)這部分主要是基于云的服務(wù)，有3層.第一就是Software as a Service（軟件即服務(wù)）是最早出現(xiàn)的云服務(wù).這一層模式，只要客戶入網(wǎng)，就可以瀏覽到運行在云上的應(yīng)用.最具有代表性的產(chǎn)品是Google Apps、Salesforce CRM、Office Web Apps、Zoho等.Software as a Service層用到的主要技術(shù)有 HTML、JavaScript、CSS、Flash、Silverlight.第二是 Platform as a Service(平臺即服務(wù))面向的主要客戶是開發(fā)人員.最具有代表性的產(chǎn)品是Force.com、Google App Engine、Windows Azure Platform、Heroku.與 Software as a Service層技術(shù)上相比，Platform as a Service技術(shù)多種多樣.常見的有REST、多租戶、并行處理、應(yīng)用服務(wù)器、分布式緩存.其三是Infrastructure as a Service(基礎(chǔ)設(shè)施即服務(wù))是在2006年低發(fā)布的這個服務(wù).這個服務(wù)在性能和技術(shù)等多方面占居優(yōu)勢，所以被業(yè)界人士認(rèn)可并接受.最具有代表性的產(chǎn)品是Amazon EC2、IBM Blue Cloud、Cisco UCS、Joyent.Infrastructure as a Service采用常見的技術(shù)有虛擬化、分布式存儲、關(guān)系型數(shù)據(jù)庫、NoSQL.

1.2 云管理

云管理雖被很少人熟悉，但確實是核心又基礎(chǔ)的一個部分.云管理層分用戶層、機制層和檢測層這3層，共有9個模塊，如圖2所示.

圖2 云管理層架構(gòu)

2 傳統(tǒng)安全與云計算安全比較

圖1可以得知，與傳統(tǒng)的計算機網(wǎng)絡(luò)相比，云計算的運營是不同的.主要是起初云計算沒有過多的考慮安全的問題，因為云計算當(dāng)時是不對外開放，僅僅內(nèi)部運行，導(dǎo)致現(xiàn)在出現(xiàn)一系列的云安全的問題[4].

第一，傳統(tǒng)的系統(tǒng)運行于內(nèi)部企業(yè)，外網(wǎng)只通過少數(shù)的接口能訪問到，比如：網(wǎng)頁服務(wù)器、郵件服務(wù)器等等，所以，只要在出口設(shè)置訪問控制、防火墻這樣的安全措施即可.而云計算就不同了，它是完全在公開的網(wǎng)絡(luò)上的，這樣要是僅僅在出口設(shè)置訪問控制、防火墻這樣的安全措施就不可以了，需要改變安全模式.

第二，傳統(tǒng)計算模式是可控的，而云計算環(huán)境中，信息不在本地存儲中，數(shù)據(jù)和管理是分開的，不可控的，那么，如何解決數(shù)據(jù)的數(shù)據(jù)隔離、數(shù)據(jù)保護是一個非常重要的問題.

第三，在云計算的環(huán)境中，客戶大多數(shù)服務(wù)系統(tǒng)都不需要在本地更換硬件配置、軟件升級的方式，這樣每一個硬件配置的更換、軟件升級都可能帶來潛在安全問題，是一個挑戰(zhàn).

另外，出現(xiàn)云計算環(huán)境之前，所采用的技術(shù)大多是運用虛擬化.所謂虛擬化是計算機資源的抽象方法，通過它，可以計算機資源的表示、訪問和管理.那么，怎么解決虛擬化安全問題是傳統(tǒng)安全和云計算安全的一大區(qū)別.

除此之外，還有標(biāo)準(zhǔn)、法律、法規(guī)方面，傳統(tǒng)安全相對成熟，而云計算安全缺少標(biāo)準(zhǔn)，政策不健全等等.客戶的數(shù)據(jù)可以存儲在世界的任何一個地方，當(dāng)出現(xiàn)問題時，國家政策的不同也是云計算安全的一個重大挑戰(zhàn).

3 云計算安全研究

現(xiàn)今，在信息安全上云服務(wù)商做的工作很有限，還處于起步階段，業(yè)界還沒有統(tǒng)一的標(biāo)準(zhǔn).越來越多的客戶數(shù)據(jù)存儲在云這樣的平臺上，那么對安全的要求也就越來越多[5].云計算安全問題和技術(shù)如表1所示.對于云計算的客戶，最關(guān)心的云安全問題就是自己數(shù)據(jù)的完整性、可用性等安全性問題，以下針對數(shù)據(jù)隔離、數(shù)據(jù)保護和數(shù)據(jù)殘留等數(shù)據(jù)的安全問題進行展開研究.

表1 云計算的安全問題和技術(shù)

3.1 數(shù)據(jù)隔離

對于靜態(tài)的數(shù)據(jù)而言，云服務(wù)提供商的惡意和一些類型應(yīng)用的濫用可以得到防止.但是要做到加密工作還不是一件簡單的事情，尤其是Platform as a Service(平臺即服務(wù))和Software as a Service（軟件即服務(wù)）的應(yīng)用，加密的方法是行不通的.

Platform as a Service(平臺即服務(wù))和Software as a Service（軟件即服務(wù)）要提高效益，大多都是基于多租戶模式.單租戶模式基于考慮到經(jīng)濟性方面是沒辦法得到實現(xiàn)，所以，可行之舉就是不要把重要數(shù)據(jù)放到公用云上，從存儲設(shè)備上隔離用戶的重要數(shù)據(jù)，但是存儲沒辦法得到有效利用.

3.2 數(shù)據(jù)保護

云平臺的安全保護數(shù)據(jù)措施能夠?qū)Y(jié)構(gòu)化的數(shù)據(jù)、半結(jié)構(gòu)化的數(shù)據(jù)和非結(jié)構(gòu)化的數(shù)據(jù)進行保護.

對于數(shù)據(jù)在云平臺的可以備份、容災(zāi)等保護措施，保護數(shù)據(jù)的安全.某些數(shù)據(jù)受到黑客、病毒、地震等的攻擊，也能夠得到有效保護.

關(guān)于數(shù)據(jù)備份，相關(guān)文件和數(shù)據(jù)庫的數(shù)據(jù)可以根據(jù)客戶備份的設(shè)置實施在線備份和離線備份的自動備份和恢復(fù).

3.3 數(shù)據(jù)殘留

所謂數(shù)據(jù)殘留是以某種形式數(shù)據(jù)被擦除后所留下的并能被重建的特性.在云平臺下，數(shù)據(jù)的殘留容易造成重要信息的泄露，因此，不管數(shù)據(jù)是在硬盤還是內(nèi)存上，數(shù)據(jù)的完全清除是很重要的.比如，有些學(xué)者提出數(shù)據(jù)有殘留也不能恢復(fù)的方法（即加密擦除），還有學(xué)者提出多次擦除等等.

4 結(jié)束語

隨著云計算技術(shù)的快速發(fā)展，云計算面臨著更多的安全風(fēng)險.目前，還沒有統(tǒng)一的解決云計算安全的標(biāo)準(zhǔn).云計算安全問題最多的現(xiàn)象出現(xiàn)在企業(yè).未來需要云服務(wù)提供商、系統(tǒng)集成商、企業(yè)、殺毒軟件的廠商和學(xué)術(shù)界等一起來共同解決云安全問題，推動云的發(fā)展.

〔1〕FOSTER I,YONG ZHAO,RAICU I,et al.Cloud computing and grid computing 360-degree compared[C]//Proceedings of the 2008 Grid Computing Environments Workshop.Washington, DC:IEEE Computer Society,2008:1-10.

〔2〕ARMBRUST M,Fox A,GRIFFITH R,et al.Above the clouds:A Berkeley view of cloud computing[EB/OL].[2010-01-25].http://www.eecs.berleley.edu/Pubs/Techrpts/2009/EECS-2009-28.pdf.

〔3〕吳朱華.云計算核心技術(shù)剖析[M].人民郵電出版社,2012.2-3.

〔4〕朱近之.智慧的云計算.北京：電子工業(yè)出版社,2010.

〔5〕馬國耀.云計算與 SOA[M].北京:人民郵電出版社,2012.49-48.