云計算對信息安全的影響及對策分析

【摘要】隨著云計算應用的不斷興起和普及，不可避免的出現了一些制約和影響云計算發展的安全問題。本文從云計算的基本概念和特征出發，介紹了云計算的部署方式及其特點，分析了云計算信息安全面臨的主要問題，并針對這些安全問題提出了相應的對策。

【關鍵詞】云計算;安全問題;安全對策

一、云計算的概念

作為正在發展中的云計算，對其存在多樣化的解釋，概括的說，云計算是一種基于互聯網的計算機方式，通過互聯網將大量規模化的虛擬化資源以服務的形式提供給外部用戶。用戶享受服務的同時不需要知道支持該項服務的軟硬件基礎設施是如何運作和管理的，由云服務商負責軟硬件資源的管理、維護、安全保護等。一般來講云計算具有如下特征：

1、軟硬件資源均通過互聯網提供給用戶，對網絡帶寬具有一定的要求;

2、云中資源具有動態擴展性，根據用戶的需求資源能夠進行擴展和動態配置;

3、資源以整體的形式呈現給用戶，但是在物理上資源是以分布式共享方式存在的，用戶并不了解服務基于的軟硬件資源位置以及服務的實現方式;

4、用戶按照需求使用資源，并根據實際使用量付費，不必為其它空閑計算資源負擔費用。

二、云計算部署方式

云計算的部署方式根據服務對象范圍的不同，分為：私有云、混合云、社區云、公共云，這四種云按順序其數據安全性和隱私性依次降低，但是其節約的成本逐漸增多。

1、私有云主要運行在企業或者組織的內部，在企業或者組織內部實現計算機資源的統一管理和動態分配，此種云模式需要企業自己購買軟硬件設備，安排專門人員進行整個云計算系統的運行管理和維護，一般存在于Google、Amazon、微軟等大型公司，私有云開放性不高因而所面臨的安全威脅相對較少。

2、社區云一般由多個私有云通過VPN鏈接在一起構成，其規模要大于私有云。

3、公共云是云計算的初衷，其基礎設施由大型運營企業建立和維護，如Amazon、Google、微軟、百度等IT巨頭企業，企業將服務以按需購買的形式銷售給外部用戶，對于用戶而言只需要對自己使用的資源和服務進行付費，不需要建立自己的實體數據中心。因為公共云具有較高的開放性，并且用戶失去了對計算和數據的直接控制權，因此公共云面臨的安全威脅最為突出，以致于目前多數企業仍不愿意將核心數據上傳到公共云中，只是將邊緣數據上傳，對于云計算安全的要求也主要集中在公共云方面。

4、混合云是私有云和公共云的混合，一般用戶將敏感數據存放在私有云中，而將非敏感數據存放在一個或者多個公共云中，這種模式是目前多數公司開始使用云計算服務的初期策略。

三、云計算面臨的主要信息安全風險

云計算技術作為近年來IT熱點研究技術，其應用不斷普及，隨之帶來的是安全問題的不斷出現。2011年4月，亞馬遜云計算數據中心服務器大面積崩潰，造成其云服務連續中斷四天，受影響服務涉及應答服務、新聞服務和位置跟蹤等。2012年2月，微軟Azure云基礎設施和開發服務出現了嚴重的中斷故障，其系統的服務管理組件在世界范圍內斷網。2013年2月微軟Azure云存儲服務中斷達12小時以上，用戶無法訪問云計算連接的數據或者利用任何捆綁到這些服務的多媒體內容。2013年10月，知名企業級云存儲服務商Nirvanix公司宣布破產，要求用戶在2個月內取回自己的數據，致使很多企業客戶的需要面對巨量數據遷移的困境，其中不乏IBM和惠普的很多合作伙伴和客戶。不斷出現的云計算相關安全問題使得云計算的可靠性得到質疑并成為制約其發展的主要因素。

云計算的核心特征之一是數據的計算、存儲完全在云端進行，數據的安全由供應商完全負責，用戶減輕了負擔的同時，也失去了物理隔離以及訪問權限控制等最為有效的傳統數據保護措施，對于用戶而言唯一的保障就是與服務商簽訂的一紙協議。

云安全聯盟CSA與惠普公司共同列出了云計算安全問題的七個方面：

1、數據丟失和泄露。云計算中對數據的安全控制力度并不高，管理方面的不足以及安全機制的缺失都可能造成數據泄露，無論是私人數據還是企業乃至國家的重要數據，一旦出現泄露甚至丟失都會造成嚴重的后果。

2、共享技術漏洞。云計算本身也是一個超大的數據共享平臺，共享程度越大漏洞就會越多，攻擊點也會隨之增多。

3、供應商可靠性不易評估。數據對于服務商而言是透明的，要避免敏感數據的泄露，需要一個可信的服務提供商，如何對服務商進行可信度評估仍需要進一步研究。

4、身份認證機制薄弱。由于大量數據和資源都集中在云中，有效的身份驗證機制能夠防止入侵者獲取賬號的幾率，減少未經授權的非法操作。

5、不安全的應用程序接口和API接口。云計算的應用程序系統十分復雜，保障其安全性更為困難，有的應用程序接口可能會成為攻擊的渠道，對系統安全產生威脅。

6、惡意使用云計算。在技術的更新和運用過程中，黑客的進步速度往往不亞于技術人員，黑客可以利用合法身份作掩護，非法運行云計算。

7、未知的風險。用戶使用瀏覽器便可使用相關服務，但是用戶并不知道該服務使用哪種平臺以及提供哪些安全機制，以及該服務上應履行的義務條款情況。

四、云計算信息安全對策

1、數據加密

數據加密是最好的數據隱私的保護方式，數據的存放以及傳輸應該以密文的形式進行，但是加密無疑會增大計算上的開銷，因此要在計算開銷和可靠的數據加密型之間取得平衡;如果云服務器能夠確保用戶匿名訪問云資源并且能夠安全的記錄數據起源信息，用戶的隱私將進一步得到保證，此外運算的結果需要返回給用戶的時候，也應該使用密文的形式。減少明文的出現，使服務器能夠直接在密文上進行操作將是隱私保護的重要方向。

在最理想的情況下，服務器上所有的明文操作都有對應的密文操作，這種完全同態加密方式能夠在不降低效率的情況下很好地保護用戶隱私。另外，信息檢索作為云計算的常用操作，支持搜索的加密無疑成為云計算安全的另一個重要需求，如何在現有的單關鍵字加密搜索之上，實現多關鍵字搜索、模糊搜索以及搜索結果排序等將成為加密搜索的主要研究方向。如果不能進行密文搜索，那么用戶操作所涉及到的數據都要發回用戶方進行解密，無疑會嚴重降低效率。

2、數據完整性驗證

很多云計算公司推出了基于云計算的云存儲服務，例如Google Drive、Dropbox、亞馬遜的簡單儲存服務（S3）、微軟公司的SkyDrive等，都需要確保數據存儲的完整性。數據存儲在云端，用戶完全失去了對數據的控制權，對于用戶而言，不可能完全信任服務商對數據進行了可靠的完整性保護，所以用戶對數據的完整性驗證就顯得十分必要。遠程數據完整性驗證能夠很好地滿足這一需求，驗證無需進行數據的下載操作，而是根據數據的標識以及服務器對挑戰碼的響應對數據進行完整性驗證。完整性驗證的需求主要源自于用戶對云存儲服務商的不信任，Nirvanix云存儲的關閉無疑擴大了用戶對服務商的不信任。

3、訪問控制機制

完善的訪問控制機制能夠有效阻止非法用戶以及未經授權用戶訪問資源和數據，并實現對合法用戶的訪問權限控制。要實現有效的訪問控制，云計算服務器需要驗證用戶的訪問行為是否合法。訪問控制主要體現在兩個方面：網絡訪問控制和數據訪問控制，網絡訪問控制主要是對基礎設施環境中主機相互訪問的控制;數據訪問控制主要是對云端存儲數據的訪問控制，數據的訪問控制機制要能保證對用戶數據的各種操作的支持。

4、身份認證

目前身份認證主要有三種：基于用戶隱私信息的認證;基于用戶持有的IC卡、U盾等硬件設備的認證;基于指紋等生物特征的認證。目前主流的應用較為廣泛的認證方式依然是口令認證和X.509證書認證。多因子身份認證和多層次身份認證能夠進一步提高身份認證的安全性和實現層次化身份管理。

5、可信云計算

隨著云計算的發展和應用范圍的擴大，單純依靠技術手段難以解決全部的安全問題，迫切需要構建可信的云計算。構建可信的云計算、云存儲等服務，可以從以下兩個方面出發：一是建立云計算問責機制，云服務提供商如果可以確保可視化、有效的控制措施以及嚴格的法律遵從，用戶無疑會信任服務商提供的云環境;二是構建可信的云計算平臺，通過云端網關技術、可信計算以及安全啟動等技術手段確保云計算平臺的可信性。

6、安全管理

云計算環境的復雜性、高度虛擬化和動態化以及海量的數據給安全管理帶來了新的挑戰，云計算服務提供商應該從系統安全管理、安全審計、安全運維等方面出發加強安全管理。

系統安全管理主要涉及以下幾個方面：

（1）可用性管理，對系統組件進行冗余配置管理，保證系統高可用性的同時確保大負載情況下的負載均衡;

（2）漏洞補丁及配置管理;

（3）高效的入侵檢測和響應機制;

（4）人員安全管理，采用訪問權限控制和細粒度訪問控制策略。

安全審計主要是由服務商為多租戶用戶提供審計管理支持，能夠進行大數據量、模糊邊界以及復用資源環境下的取證。

安全運維方面，需要云計算平臺的基礎設施、各種應用以及業務的安全監控、入侵檢測和進行災難恢復、提供有效的安全事件處理機制和應急響應機制。

7、法律法規和監管

云計算作為一種新的技術和服務模式，對應的法律法規以及監管相對滯后。云計算的可持續發展除了技術的不斷更新之外，完善的法律法規和管理體系同樣十分關鍵。在法律法規方面，目前我國在云計算方面急需建立一套完善的法律法規，諸如：有關云計算各組成部分的責任法規、個人隱私保護法規、電子簽名和電子合同法規、取證法規等。

在安全監管方面，應加強異常監管和內容監管以及合規性監管。

五、總結

當前，云計算出現至今，其應用越來越廣泛，隨之而來的是不斷出現的各種安全問題，構建可信的安全的云計算機環境成為迫切需求。本文介紹了云計算的相關概念、云計算的部署方式和特征，分析了云計算面臨的主要信息安全風險，并提出了數據加密、數據完整性驗證、訪問控制機制、身份認證、可信云計算、安全管理、法律法規和監管等云計算信息安全對策。

參考文獻

[1]俞能海，郝卓，徐甲.云安全研究進展綜述[J].電子學報，2013，41（2）

[2]江雪，何曉霞.云計算安全對策研究.微型電腦應用[J]，2014，30（2）

[3]林闖，蘇文博，孟坤.云計算安全：架構、機制與模型評價[J].計算機學報，2013，36（9）

作者簡介：蘭潔（1979—），女，江蘇徐州人，碩士，講師，研究方向：計算機技術、網站建設。