“一帶一路”背景下的集團企業云計算應用安全研究

周元德

本文從“一帶一路”背景下的集團企業云計算面臨的安全入手，詳細介紹與分析了云計算應用中的安全風險、云計算安全研究現狀、企業云計算安全關鍵機制。在文章最后指出，我們只有逐步建立完善的“一帶一路”背景下的集團企業云計算安全綜合防御體系，才能保證企業云計算應用的安全。

關鍵詞>>集團企業 云計算應用 風險安全

一、“一帶—路”背景下的集團企業云計算安全概述

“一帶一路”背景下的集團企業網絡覆蓋全球，需要一種新興的共享基礎框架的方法，提供數據存儲和網絡服務。云計算不同于現有的以桌面為核心的數據處理方式和應用服務都在本地計算機中完成的使用習慣，而是把這些都轉移到“云”中，它將改變我們獲取信息，分享內容和相互溝通的方式，從而形成“一帶一路”背景下的集團企業云計算應用。由于“一帶一路”背景下與傳統的云計算在平臺環境、服務提供商、政策環境等方面存在差異，隨之產生的是“一帶一路”背景下的集團企業的重要數據和應用服務在“云”中的安全問題。

站在集團企業的角度，是否要部署一個新技術或者新產品，最重要的一項指標是安全性，安全性不僅要考慮技術本身的安全因素，同時也要考慮連帶影響，如承載平臺上的信息安全性。尤其是那些涉及較多敏感信息，如大量用戶數據、財務數據等保密級別較高的數據。對于云計算技術，安全性問題同樣無法回避，實際上這也是目前云計算在集團企業推廣應用過程中所遇到的最大難題。雖然目前云計算服務提供商都在竭力淡化或避免此方面的問題，但對于“一帶一路”背景下的集團企業，這是其決定是否使用此技術或服務的關鍵因素。因此，云計算安全性已經成為云計算邁向集團企業部署應用必須要解決的問題。

二、“一帶—路”背景下集團企業云計算應用中的安全風臉

從現有的技術資料和已經發現的安全事件來看，互聯網時代中傳統的安全威脅在云計算服務中同樣存在，并且伴隨云計算特有的大規模、開放性與復雜性，還會出現一些新的安全挑戰。因此，對于“一帶一路”背景下的集團企業云計算應用，安全問題仍然是信息化進程中的首要問題。

“云”的安全和傳統的安全到底有多大的差異？需要在哪些方面給予特別的注意？云安全聯盟CSA在其發布的“SecuritvGI～idance for Critical Areas of FoctIs inCloud Computing'中所言：在安全控制方面，“云”與其它IT環境相比并沒有很大的不同，但在服務模型、運營模型以及用于提供服務的相關技術等方面，“云”可能會導致與以往不同的安全風險。

云計算安全的范圍很廣，包括技術、管理、立法、商業、企業持續服務等層面。在這里不討論云計算的可用性、持久性問題，也不涉及系統或者硬件基礎本身的安全性，因為這些安全性問題已有很多成熟的解決方案。云計算的數據安全問題，主要是指部署在云端的數據的安全問題。作為用戶，第一感覺是以前系統的所有數據都是自己掌控的，但是實施“云”之后，數據有很大一部分層面對用戶屏蔽了，用戶自己學控不了其中的安全性。云計算系統儼然成為一個黑盒子，那把數據放在這個黑盒子是否安全呢？

筆者認為除了云計算的可用性、內部管理、運營等問題外，“一帶一路”背景下的集團企業在云計算實踐中還存在應用部署安全風險、應用程序安全風險、虛擬化環境安全風險、數據訪問權限風險、數據存儲安全風險、數據傳輸安全風險等風險。

（一）應用部署安全風險

任何一個持有有效信用的人都可以注冊并立即使用云平臺，網絡犯罪分子可以基于云平臺部署各種攻擊服務或各種惡意軟件，攻擊互聯網上的任何用戶，更嚴重的是，在云計算平臺內部部署的惡意軟件能直接從內部對云計算平臺進行服務攻擊、信息竊取等安全攻擊。

（二）應用程序安全風險

應用程序是云服務交付的核心組成，包括Web前端的應用程序、各種中間件應用程序及數據庫程序等，即使在傳統網絡安全環境下，他們仍然會因為編程技術的缺陷而存在多個安全漏洞，在云計算環境下，這些安全漏洞會繼續存在。典型如各種Web會話控制漏洞、會話劫持漏洞及各種注入攻擊漏洞。同時為了適應或使用虛擬化環境下的各種API管理接口，也可能產生一些新的安全漏洞。

（三）虛擬化環境安全風險

服務器虛擬化是現階段“一帶一路”背景下的集團企業云計算數據中心實施最為廣泛的技術。以VMware、Citrix和微軟的虛擬化應用程序ESX/XEN/Hyper-V為代表的虛擬化應用程序本身可能存在的安全漏洞將影響到整個物理主機的安全。

（四）數據訪問權限風險

從云計算的整體技術架構來看，除了中央數據服務器外，用戶數據存儲在哪片“云”上無人知曉，精準盜取數據的難度很大，但云計算的數據訪問權限存在漏洞，就很容易產生風險。

（五）數據存儲安全風險

“一帶一路”背景下的集團企業的數據存儲是非常重要的環節，其中包括數據的存儲位置、數據的相互隔離、數據的災難恢復等。在云計算模式下，云計算服務商在高度整合的大容量存儲空間上，開辟出一部分存儲空間提供給“一帶一路”背景下的集團企業使用。

（六）數據傳輸安全風險

在云計算模式下，企業將數據通過網絡傳遞到云計算服務商進行處理時，面臨著幾個方面的問題：一是如何確保企業的數據在網絡傳輸過程中嚴格加密不被竊取；二是如何保證云計算服務商在得到數據時不將企業絕密數據泄露出去。

三、云計算安全研究觀狀

面對如此之多的云計算安全風險，云計算安全的研究成為了推廣和應用云計算的動力。到目前為止，全球范圍內還沒有一個公認的云計算標準。國內外不少企業和組織正在積極探索和研究云計算安全標準工作。

（一）各國政府對云計算安全問題的關注

信息安全國際會議RSA2010將云計算安全作為焦點問題進行研究；CCS（云計算峰會）從2009年開始專門設置了關于云計算安全的研討會；2010年11月，美國政府CIO（首席信息官）委員會闡述了針對云計算的安全防護；日本政府官民合作項目開展計算安全性測試；2010年5月，時任我國工信部的副部長婁勤儉在第二屆中國云計算大會上表示，我國應加強云計算安全的研究。

（二）云計算安全標準組織

云安全聯盟CSA（Cbud，Seaurity Alliance）于2009年在RSA信息安全大會上成立，其目的就是為云計算找到解決安全問題的最佳方法。目前，CSA制定了《云計算面臨的嚴重威脅》《云控制矩陣》《關鍵領域的云計算安全指南》等研究報告，這些報告提出了安全性應考慮的問題并給出了相應的解決方案。

分布式管理任務組DMTF（DistributedManagement Task Force）于2010年7月起草了開放云標準孵化器OCSI、開放云資源管理協議、封包格式和安全管理協議，發布了云互操作性和管理云架構白皮書。

由歐洲網絡信息安全局和CSA聯合的CAM項目開發一個以客觀、可量化的測量標準，為用戶提供一個評價云計算服務提供商安全運行的標準。

（三）國內企業積極參與云計算安全標準制定

華為公司是互聯網工程任務組IETF云計算標準化工作的發起者之一，也是DMDF的董事會成員，同時參與了CSA等組織的工作。

中國聯通、中國電信、中興通訊是國際電信聯盟ITU云計算領域工作的主導力量之一。中國移動是綠色網格組織TGG的重要成員。

聯想、金蝶、瑞星等國內企業也在TGG、CSA等國際云計算標準組織中發揮了重要作用。

四、企業云計算安全關鍵機制

存儲和進出云計算數據中心的數據保護是“一帶一路”背景下的集團企業最擔心的安全問題。因此，進出“云”中的數據都要求加密且經由安全的傳輸鏈路。

如圖1所示，不管“一帶一路”背景下的集團企業采用哪種云服務模式，云服務提供商必須提供良好的云計算安全機制：數據加密、訪問控制、日志審計、身份認證、授權驗證。

（一）數據加密

云計算的加密技術幫助企業解除使用SaaS（軟件即服務）或者其他云服務來處理敏感數據的限制和顧慮。數據從企業傳輸到云服務提供商之前進行加密，離開企業內部安全邊界，存儲在外部云服務提供商的基礎設施里面。

（二）訪問控制

訪問控制是云服務模型和云部署模型中關鍵的安全管理手段。云計算環境的訪問控制，把用戶的身份和云中的資源緊密地結合在一起，更有助于精細化的訪問控制、用戶記錄和數據保護。基于最小權限和職責隔離等安全原理，云服務提供商提供更精細化的基于角色的訪問控制模型。

（三）日志審計

審計是通過監控日志記錄的事件來理解系統的性能。用戶訪問云服務一般都是多站點或者多主機的操作，用戶的日志文件可能不僅記錄在本地的唯一主機上，還可能是在不同主機或不同站點之間動態變化的。

（四）身份認證和授權驗證

一些“一帶一路”背景下的集團企業通常要求他們的云計算用戶的驗證授權基于工作給你分配合適的權限。在一些情況下，業務應用可能要求基于角色的訪問控制。因此，授權驗證需要綜合地適應企業給你的角色需要。

五、結束語

云計算應用愈加普及，安全性就愈應該得到重視。對云計算服務提供商來說，如何保證“一帶一路”背景下的集團企業存儲在云中的數據的安全？對集團企業來說，如何才能相信云服務提供商能保證云中數據的安全？這都將是云計算應用真正落地急需解決的問題。要保證集團企業云計算應用的安全，不僅要考慮數據加密、訪問控制，日志審計、身份認證、授權驗證，還要考慮法律、法規合規性等要求。

此外，我們只有綜合考慮、統一規劃，通過逐步建立完善的“一帶一路”背景下的集團企業云計算安全綜合防御體系，才能在最大程度上降低集團企業云計算系統的安全威脅，提高云服務的連續性，保障集團企業云計算應用的健康、可持續發展。o

責編：白雪

參考文獻：

【1】史愛武.贏在云時代企業計算戰略、方法和路線圖，清華大學出版社，：3013年6月

【2】AssessingtheSecurityRisksofCloudComputing，2008，http：//www.gantner.com/DisoDocument？id=685308.

【3】孫鋒.企業云計算應用中的安全風險防范.數學的實踐與認識，2013，43（5）.

【4】Barman Bikram.Safe 0n the Cloud（A Perspective into the Security Concerns of CloudComputing）[A].Siliconindia2009-3，12（4）：34-35.

【5】Edwards John.Cutting through the Fog ar Cloud Security[J]，Computer world；2009；43（8）：26-29.

【6】Barman Bikram.Safe 0n the Cloud（A Derspective into the Security Concerns 0f CloudC0mpucirq）[A].silic。nindia.2009-3，12（4）：34-35.

【7】Edwards John.Cuttingthroughthe Fog 0fCloud Security[J]，Computerworld；2009；43（8）：26-29.

【8】馮登國，張敏，張妍，徐震.云計算安全研究[J].軟件學報，2011，22（1）.

【9】陳龍，肖敏.云計算安全：挑戰與策略[J]數字通信，2010，（6）.

【10】http：//www.cac.gov.cn/2017-04/12/c_ll20792636.thm