云計算發展中需注意的云安全問題

尚華 中國民用航空飛行學院 現代教育技術中心

“互聯網+政府服務”提案最早出現在全國政協十二屆四次會議于十二屆全國人大四次會議中，由此在各個行業引發了云計算的熱議。但是，盡管云計算擁有一定上街且市場發展前景巨大，但是潛伏的安全隱患較大，如內部威脅、隔離失敗、管理界面損害、不能徹底刪除數據等，這些使用、運營風險通常不是主要風險。企業經濟信息失控與國家安全風險才是作為核心、最為重要的風險。

1 云計算概念

云計算是立足于公開服務與標準基礎上，圍繞互聯網所提供的一系列數據存儲與網絡計算服務，具有安全性、快速性、快捷性，在一定程度上是分布式處理、并行處理與網絡計算的發展。若將一個小水廠用PC 機代表，水龍頭為顯示屏、鍵盤、鼠標等，在操作電腦時需購買上述所提到的設備。但是在云計算時代，可通過網絡來提供主機功能，只要購買簡單終端設備即可，由此有助于硬件購置與更新成本的顯著降低，且有助于數據安全等級的顯著提高。

云計算核心作用主要體現在采用互聯網無限放大計算機本體的有效計算功能，確保所制作的系統具有強大的計算能力與存儲功能。隨著云計算的高速發展與應用范圍的不斷擴大，信息獲取渠道與傳播知識方式能夠從源頭上獲得有效改變，有助于實現信息產業服務的轉型與更好的運營基礎設施。云計算能夠統一調度與管理網絡連接的各種資源，促進計算資源池的形成，為用戶提供有效的服務。這種方式能夠有效凝聚分散的資源，更深度的開發信息資源，也能夠集中零散資源，創造一定條件來整合應用。

2 云安全問題

2.1 云計算安全體系缺乏統一標準

為確保傳統IT 信息系統安全，會應用許多標準，而這些標準也被用于大多數業務交互關系的管理。當下，隨著云計算發展進程的不斷深入，交互關系會向云計算環境上轉移，但是因云計算技術比較新穎，與往常采用的理念完全不同，而尚未出現基于云計算結構的標準與安全模型。就如何規避風險，在出現危險時如何致力于降低損失程度，當下尚未制定一個明確的參考標準，且多是前輩的經驗之談，再加上每個云計算供應商對于云計算實現方案的應用存在各種區別，缺少一定的軟件來連接各個云計算供應商，從而不利于正常的運行云計算，缺乏一定技術標準。如果使用者想要從一家云計算供應商轉移應用數據到另一個供應商，則這就會成為一個非常棘手的問題。

2.2 不能充分保證用戶的信息數據安全

2.2.1 數據位置

在享受云計算服務過程中企業或個人用戶對于自己的個人信息數據被傳遞到哪個服務器中都比較模糊，很難肯定，該問題的存在會導致消費用戶過度擔心，與存儲國家有關數據的法律法規十分不符。

2.2.2 數據隔離

在云計算服務平臺，與用戶有關的數據比較多，這些數據在一定程度上能夠進行有效的共享，由此也說明云服務提供商能夠有效控制全部用戶的全部數據，也包括許多商業敏感數據。基于此，即便云平臺采用必要的加密措施與措施，使用者也沒有辦法完全放心。

2.2.3 數據恢復

用戶在“云端”完成數據的放置后，也就說明全部安全都只能借助用戶所選擇的平臺，若所選擇的平臺一旦發生事故或其他漏洞，則極易給用戶造成難以估量的信息與數據損失，且這種損失是無法挽回的。

2.3 不能有效保護用戶隱私

當下，很多不法分子會采用多種方式來竊取用戶信息，如計算機病毒或木馬等，云計算平臺一樣面臨著這樣的問題。如果不法分子入侵到云平臺利用所竊取到的數據開展非法行為或用在不正常渠道上，由此會導致用戶出現信息與財產損失。

2.4 虛擬化技術下的云安全問題

在云安全中應用虛擬化技術，在一定程度上有助于“云安全”企業硬件與管理成本的顯著降低，促進“云安全”技術安全性的顯著提高。然而，隨著新技術的發展與應用，數據在顯示過程中多多少少的會存在一定問題，如信息安全措施不能再虛擬化項目初期引入；虛擬化風險的存在會誘發全部上層系統的風險；泄露虛擬化層的風向會泄露全部托管應用的數據；不能有效控制管理程序/VMM 和管理工具的管理性訪問；在分享網絡與安全控制職責過程中極易誘發潛在損失。廣大用戶在云計算使用過程中需要對各種問題進行充分考量，如遠端數據的安全性與保密性、訪問權限所具有的風險、隱私以及可靠性等，為此用戶需要制定一整套較為完整的安全方案，持續的保護虛擬與物理環境，確保能夠符合合規性檢查需要。

2.5 虛擬機之間的云安全防護

虛擬機與虛擬機之間的攻擊，在云數據中心不同用戶可能租用不同的虛擬機，如果用戶不能做好相關的安全防護工作或者惡意繞過云數據中心邊界的防火墻，而直接攻擊其他虛擬機。針對虛擬區隔，因在同一個物理虛擬化平臺中同時應用多個虛擬機，若虛擬化憑他不能妥善的隔離網路，能夠為惡意攻擊者竊取臨近虛擬機的網路流量創造一定條件。將相同的安全防護機制在每一虛擬化服務器中安裝，誘發資源沖突的可能性較大；針對非法虛擬機，傳統數據中心在進出全部設備時必要進行嚴格的審批，并安排不同人員做好相關管控工作。在虛擬化環境中，可以較為輕松的建立或啟動一臺虛擬機或非法虛擬機。

2.6 Ddos 攻擊

所謂Dos 攻擊主要指通過故意攻擊網絡協議所實現的缺陷，或者采用野蠻方式對被攻擊對象的資源進行殘忍的耗盡，旨在讓目標計算機或網絡不能提供正常的訪問資源或提供正常服務，導致目標系統服務系統停止響應甚至崩潰，然而不會對侵入目標服務器或目標網絡設備造成攻擊。這種攻擊造成資源匱乏的可能性較大，不管計算機擁有多快的處理速度、多大的內存容量和多快的網絡寬帶速度，這種攻擊所造成的后果也在所難免。

3 結束語

現如今，我們需要側重于云服務創新與戰略研究。當下，城市所具備的集成計算機能力，被閑置的大約有三分之二，再加上對許多多云的盲目發展，極大的浪費了資源與資金。同時，在強化研發應用的過程中需要強化理論研發，并充分保證刪除云數據、進入或無法恢復的性質，從源頭上徹底有效的完全銷毀進入“云”的數據，且確保不能恢復與不被轉移。除此之外，對于一些用戶濫用云服務的風險需要云服務供應者進行有效的規避甚至消除，為有效規避風險供應者有必要全面加固云系統安全，站在系統層面對相關權限管理與密鑰管理進行建立與健全，站在多個維度建立一定安全防護機制，從根本上確保云服務運行的安全性與平穩性。