云計算安全問題研究與探討

王學芹

摘 要：隨著云計算的廣泛應用，越來越多的企業和個人使用云計算存儲和計算。然而，云計算的安全問題不容忽視，其已成為阻礙云計算應用的主要因素。應用云計算的安全性日益受到社會的關注，因此，對云計算的安全問題進行了分析和探究。

關鍵詞：云計算；計算資源池；防火墻；安全架構

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.17.041

1 云計算

云計算是一種通過網絡，以便捷、按需的形式從共享的可配置的計算資源池（網絡、服務器、存儲、應用和服務）中獲取服務的業務模式。云計算業務資源應支持通過簡潔的管理或交互過程快速地部署和釋放。上述對云計算的定義是在2011年由美國國家標準和技術研究院（NIST）提出的，其得到了業界最廣泛的認可。

目前，云計算的普及程度逐步提高，安全問題也逐漸成為制約其發展的重要因素。云計算安全是云計算健康、可持續發展的重要前提。各國均高度重視云計算的安全問題，云計算服務商也都制定了云平臺安全策略和機制，美國政府甚至出臺了聯邦云計算安全戰略。由此可見，確保云計算的安全越來越重要，提高我國云計算的安全性也越來越重要，因此，要加強對云服務提供商的管理，并建立云計算安全標準體系。

2 云計算安全及其安全問題分析

2.1 云計算安全的含義

與云計算相關的安全問題統稱為“云安全”，一般包括云計算使用安全和云計算數據安全兩部分。云計算使用安全是指云計算技術在信息安全領域的具體應用中，主要采用云服務模式，利用云計算架構對云計算安全進行統一的安全監控和管理；云計算數據安全是指對云計算本身的安全保護，主要研究相應的安全防護方案和措施，以消除云計算自身存在的安全隱患，比如云計算環境的數據保護、云計算安全體系架構和云計算應用服務安全等。

2.2 云計算安全的主要特征

2.2.1 動態性和移動性強

在云計算環境中，用戶數據會實時與服務器同步，變化頻率高、動態性和移動性強的特點使其安全防護必須滿足動態調整的需要。在云計算中，用戶遠程操作和遠程使用服務系統的次數、系統更新數量不斷增加，這是對原有安全策略的全新挑戰。

2.2.2 數據地域性限制消失

在傳統數據安全中，數據基本儲存在本地，一般通過郵件服務器、網頁服務器等接口暴露，可在物理和邏輯方面定義安全域邊界，并通過設置防火墻和訪問控制等安全措施保護系統。但在云環境下，云計算采用了虛擬化技術和多租戶模式，云計算數據不儲存在本地，導致物理邊界被打破，數據暴露在公開的網絡中，數據節點可能會受到攻擊，因此，傳統的邊界性安全防護機制在云計算中難以發揮效用。

2.2.3 技術標準不統一

目前，眾多企業使用了云計算技術，雖然云計算的技術標準較多，但缺乏安全標準，數據可存儲在任何地方，且數據儲存格式各不相同，這都為數據交互安全帶來了挑戰。

2.2.4 服務安全保障和數據安全保護

在云計算的數據存儲模式中，數據常與管理分離，因此，安全保護手段對數據的私密性和安全性非常重要。云計算采用服務交互模式，要求保護數據的完整性、數據加密過程、數據恢復等。云計算服務提供商的權利巨大，需要第三方的監管和審計才能確保用戶的權利得以保障。

2.3 云計算安全分析

因云計算具有的特征，導致數據安全中存在眾多問題，比如數據不再存放在某個確定的物理節點，改變了傳統的地域安全性；用戶不再對數據和環境安全具有完全的控制權；由于服務商提供了動態、虛擬的存儲空間，所以，數據定位的難度不斷加大；傳統的數據存儲和處理安全方法無法應用于云計算時代的數據存儲和處理；數據的動態性導致數據管理、保密和安全工作的難度加大。

3 云計算安全技術研究

3.1 云計算安全框架

3.1.1 可信云架構

可信云架構是Intel公司與其他公司共同提出的一種云架構。其綜合使用可多個公司的安全技術，功能十分強大。該架構利用Intel的可信技術保障基礎設施的安全，并運用VMWare公司的虛擬隔離技術保障云架構成功啟動后虛擬機的安全。VMWare公司在防止病毒和木馬入侵方面的優勢明顯，該架構會不斷收集硬件層和虛擬層的安全數據，并實時監控。

3.1.2 CSA的云計算安全架構

CSA的云計算安全架構是一種被廣泛使用的安全框架，主要應用于等級較低的服務供應商，其云服務用戶會承擔更多的安全管理職責。CSA云計算安全架構是針對云計算缺少可視化控制能力、基礎設施的抽象化、集成各種通用安全控制能力缺失等問題提出的云服務模型，且是根據3種基本云服務的層次性和依賴關系設計的。因此，將安全控制和合規模型完美地映射到云服務模型中可實現云計算的安全管理。

3.2 云計算安全技術

云計算的安全核心就是數據安全，數據的安全性也是用戶最關心的問題。在云計算系統中，不同用戶的數據放在同一個物理存儲器中。因此，要做好數據隔離，一般通過存儲映射確保數據的隔離性，還可設置獨立的存儲空間，從物理層面隔離保護客戶的重要數據；可對數據加密，防止他人竊取原始文件，用戶可使用密鑰對數據加密后上傳至云計算環境中，避免物理介質儲存非加密數據，數據加密包括對稱加密、公鑰加密和iscsi加密等。

云計算平臺的數據保護安全措施能為數據和信息提供全面的保護，保護企業中具有知識產權和敏感的信息，一般使用快照、備份和容災等手段保護客戶的重要數據。一般由數據庫自動備份和恢復在線、離線數據。此外，還應有效處理數據殘留。數據殘留是指數據在被移除后所殘留的物理表現。數據殘留在云計算環境中更容易泄露信息，因此，要在存儲空間被釋放前完全清除數據殘留。一般使用多次擦除法、加密的密鑰擦除法等清除數據殘留。

參考文獻

[1]羅軍舟.云計算：體系架構與關鍵技術[J].通信學報，2011（07）.

[2]王操.云計算安全的發展現狀和趨勢述評[J].網絡安全技術與應用，2015（01）.

〔編輯：張思楠〕