云計算安全問題淺析

袁艷峰+倪麗娜

摘要：隨著云計算的發展，云計算在應用的過程中安全問題也暴露出來，現在安全問題已經成為制約云計算發展的關鍵因素之一。當前全球各國際組織也分別針對安全問題出臺相應政策、制定相關標準。該文介紹了云計算當前的安全現狀，在分析了我國云計算存在的安全問題的同時，給出了相應的發展對策，包括加強法律法規建設、加強安全體系建設、技術創新、人才培養等。

關鍵詞：云計算；安全問題；安全分析；發展現狀；發展對策

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044（2016）15-0065-03

Abstract： With the development of cloud computing， security issues are leak out in the process of application of cloud computing.Now， safety problems have become one of the key factors restricting the development of cloud computing.The global international organizations are also respectively introducing corresponding policies， formulating relevant standards for safety problem. The paper introduces the current cloud computing security situation， analyzed cloud computing problem of our country and presented the corresponding development countermeasures at the same time that including strengthening the construction of laws and regulations， strengthen the construction of safety system， technology innovation， personnel training， etc.

Key words： cloud computing； security issue； security analysis； current situation； development countermeasure

1 背景

隨著信息技術的發展，電子商務、社交網絡、在線視頻等互聯網應用的迅猛發展，隨之也產生了大規模的數據，并且數據量還在快速增長。2014年，中國網絡購物市場交易規模達到2.8萬億，增長48.7%，仍然維持在較高的增長水平。數據存儲介質的制約成了限制信息技術發展的瓶頸，而部署新的系統需要花費高昂的代價，云計算應運而生。根據美國國家技術標準委員會的定義，云計算是一種對IT資源的使用模式，歲共享的可配置資源（如網絡、服務器、存儲、應用和服務等）提供的普適的、方便的、按需的網絡訪問。資源使用和釋放可以快速進行，不需要花費很大的管理代價。云計算的構思一經提出就等到了各界的廣泛認可，成為當前學術界、工業界各界關注的熱門話題之一，具有廣闊的市場發展前景。

但當前云計算的發展面臨著許多問題，其中最關鍵的問題之一就是云計算的安全，只有安全性提高了才能被人們接受，只有解決了云計算面臨的各種安全問題才能使組織或個人將自己的數據交由云服務商管理。云計算應用以來，各種云服務事故的發生使很多人對數據的安全和隱私的維護產生懷疑，從而限制了云服務的廣泛應用。而眾多云服務商更注重提升性能、改善架構等方面的技術創新，但沒有安全的技術保障，其他一切都是空，云環境的安全已經成為整個行業發展的瓶頸。

2015年在北京召開的中國互聯網安全大會（ISC2015）中“云計算及虛擬化安全”得到了出席此次會議的國內外專家的廣泛關注。社會各界也時時關注著云計算產品以及產品的安全性、可用性。本文通過分析當前云計算所面臨的安全問題以及云計算對信息安全領域帶來的影響，提出對云計算安全的科研方向，希望能夠為我國未來云計算安全的科研、產業發展做出有益的探索。

2 安全現狀

2.1國內外云計算安全標準及組織

1）美國政府使用云服務時必須對所要采購的云服務進行審查，其主要采用的安全審查方法為FedRAMP，即聯邦風險和授權管理項目（FederalRiskand Authorization Management Program）。歐盟也為云服務的安全出臺了監管政策來規范服務商的行為。另外，為了不同國家和地區之間能夠共享數據和對云服務數據的跨境流動進行限制，歐盟通過《安全港協議》來確保云服務的安全。

2）云安全聯盟（Cloud Security Alliance， CSA）是一個非盈利性組織，成立于2009年，目前已得到社會各界的認可，其旨在對如何提高云環境下的云應用安全進行溝通，以提供最佳解決方案。目前，云安全聯盟的成果主要包括《云計算關鍵領域的安全指南》、《云控制矩陣》、《云計算的主要風險》、《身份管理和訪問控制指南》等。這些研究報告對云計算安全領域的發展和成果有重要的指導作用。

3）ISO/IEC JTC1 SC27（信息安全分技術委員會）是國際上最大最具代表性的信息安全標準化組織。目前，SC27已經基本確定了云計算安全和隱私的概念體系架構，并明確了信息安全管理、安全技術、身份管理和隱私技術3個領域的標準研制。

4）國際電信聯盟ITU研究組會議于2010年5月在瑞士的日內瓦召開，決定成立ITU-T云計算專項工作組，旨在研究云計算在電信領域的應用。云計算安全是其中重要的研究課題，輸出有《電信領域云計算安全指南》。

2.2 云計算安全問題分析

2010年初，云安全聯盟和惠普經過調查列出了云計算的“七宗罪”。

1）數據泄露。數據訪問權限、存儲、管理等任意方面的不足都可能導致數據泄露，用戶隱私暴露。

2）共享技術漏洞。由于云計算環境中虛擬服務器可能共享著相同的配置，配置錯誤將可能影響多個服務器，導致嚴重后果。不同的用戶可能共享相同的服務器、數據或應用，導致訪問控制變得困難。

3）惡意內部人員。云服務管理缺陷導致云服務內部工作人員的身份背景不清楚，可能有內部人員惡意破壞或竊取數據等行為。

4）賬戶和通信等的劫持。云服務用戶的賬戶密碼安全級別不高，身份驗證機制薄弱，通信就比較容易被入侵者獲取從而造成數據泄露。

5）應用程序接口不安全。接口質量不高，安全性低，第三方插件不安全。

6）沒有正確應用云計算。黑客運用云計算做出新的攻擊技術，未將云計算運用在正確的方向。

7）未知風險。未能預測到的風險，例如版本問題。

3 我國云計算安全分析及發展對策

3.1 我國云計算安全分析

我國云計算安全的問題主要有以下幾方面：

1）信息安全法律法規和監管體系不夠健全。我國在數據及隱私安全、信息保護等方面的法律法規還不夠完善，云計算管理還不夠規范，數據跨境流動也使管理難度增加。同時，由于對安全的擔心和其他顧慮，云計算服務在中國的接受程度也比美國等發達國家要低。

2）我國在云計算安全領域的關鍵技術仍與國外先進水平差距較大。我國目前掌握的云計算技術大多來自于開源系統，而擁有核心技術的公司可以通過開源系統影響云計算的發展方向，因此，我國云計算容易受到影響，存在較大風險。

3）我國在云服務管理方面效率低。我國云服務發展還處于初級階段，在管理方面仍處于摸索前進的階段，存在較多漏洞，管理效率低下，缺少管理規范和制度，同時也缺少專門的機構來管理。

4）我國云計算安全領域人才缺口。云計算管理需要云計算方面的專業人才，而現在我國在云計算信息安全管理領域的人才嚴重不足，人才匱乏也是我國云計算安全方面的重要問題之一。

3.2 我國云計算安全發展對策

云計算的安全問題是云計算發展過程中最重要的問題之一。只有充分認識到云計算安全發展需要應對的問題，并根據云計算的服務特點和模式，制定合理安全的管理模式，推進相應的法律法規建設，培養專門的人才，從而在技術創新和變革方面帶來質的飛躍。

1）加強云計算安全法律法規建設

加強云計算安全方面的法律法規建設，為云計算的發展做有力后盾，政府部門出臺政策對用戶與服務提供商之間制訂協議，為云計算模式下的技術創新、知識產權、用戶隱私、商業機密等一系列安全問題研究制定相應的管理規范，為云服務提供一個平等、統一、全面的法律保護機制，對云服務的安全控制予以法律法規指導，以確保云服務的安全性。

2）加強云計算安全體系建設

加強云計算發展過程中所涉及的各行業各組織機構之間的協調發展，例如云計算相關軟硬件、政府、專家學者、云服務提供商和最終用戶等各方面的標準化，建立一個云計算標準化產業鏈。

對新技術投入使用和服務的運營建立審核機制、驗收規范、準入制度或資格許可證制度，對涉及安全的產品和技術嚴格把關。

加強與國外標準的交流，吸收國外云計算安全體系的精華，去其糟粕，同時針對國內現狀不斷改善的國家和行業標準，積極參加國際標準組織的會議和研究工作，如ISO、ITU等。

3）云計算技術創新

我國政府大力支持云計算的發展，出臺政策推進云計算技術創新，加強云計算相關技術研發中心、企業技術中心的建設，加強知識產權保護，建立產業創新聯盟，促進云計算協同創新。

4）云計算人才培養

積極推進云計算專業人才培養，加強學校教育與產業發展的有效銜接，支持企業和教育機構開展云計算應用人才培訓。并制定激勵機制，對做出貢獻的云計算人才給予相應的獎勵。

對云安全管理人員的身份背景進行嚴格審核，嚴格管理云安全管理人員，防止惡意隱私泄露事件的發生。

4 結束語

云計算的發展具有廣闊的前景，受到各界人士的廣泛關注，但是其發展過程中也面臨了極大的挑戰，而安全問題首當其沖。云計算安全問題不僅是技術問題，同時也涉及云計算安全方面的法律法規建設、安全體系的規范化、管理方面標準化等諸多方面。因此，在解決云計算安全問題時，不僅要進行技術創新和研究，同時要注意社會各界包括學術界、產業界和政府相關部門的配合，才能使云計算這個新興產業更加快速穩定的發展。

參考文獻：

[1] 馮登國，張敏，張妍，等. 云計算安全研究[J]. 軟件學報，2011（1）：71-83.

[2] 段翼真，王曉程，劉忠. 云計算安全：概念、現狀與關鍵技術[J]. 信息網絡安全，2012（8）：86-89.

[3] 閆曉麗. 云計算安全問題[J]. 信息安全與技術，2014（3）：3-5，13.

[4] 馬飛，馬可，郭晨. 云計算安全現狀及我國政策思考[J]. 電信網技術，2015（2）：1-4.

[5] 胡章榮，王朝斌. 基于云計算的安全分析[J]. 軟件導刊，2015（2）：157-159.

[6] 李連，朱愛紅. 云計算安全技術研究綜述[J]. 信息安全與技術，2013（5）：42-45，52.

[7] 丁一軍，于桂榮. 云計算：安全技術問題探討[J]. 科技創新導報，2015（7）：58-59.

[8] 盧娟. 淺析云計算技術與安全[J]. 電子世界，2014（17）：1-2.

[9] 童舜海，吳登峰. 云計算環境下網絡安全面臨的威脅及防范[J]. 電子技術與軟件工程，2015（24）：206.

[10] 常學洲，朱之紅. 云計算安全問題探討和研究[J]. 網絡安全技術與應用，2014（3）：106，108.