李云亞，何欣峰

（江蘇國(guó)瑞信安科技有限公司，江蘇南京 210024）

0 引言

云計(jì)算是在分布式計(jì)算（Distributed Computing）、網(wǎng)格計(jì)算（Grid Computing）、并行計(jì)算（Parallel Computing）等發(fā)展基礎(chǔ)上提出來(lái)的新型計(jì)算模型，是一種新興的共享基礎(chǔ)框架的方法，它對(duì)應(yīng)的是一種大規(guī)模的分布式環(huán)境，其體現(xiàn)的核心是提供數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)服務(wù)。

由于云計(jì)算不同于現(xiàn)有的以桌面為核心的數(shù)據(jù)處理和應(yīng)用服務(wù)都在本地計(jì)算機(jī)中完成的使用習(xí)慣，而是把這些都轉(zhuǎn)移到“云”中。它改變了我們獲取信息、分享內(nèi)容和相互溝通的方式。于是，隨之產(chǎn)生的是客戶的重要數(shù)據(jù)和應(yīng)用服務(wù)在“云”中的安全問(wèn)題。

根據(jù)IDC在2013年發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示，云計(jì)算服務(wù)面臨的前3大市場(chǎng)挑戰(zhàn)分別為安全性、穩(wěn)定性和性能表現(xiàn)。公司的調(diào)查結(jié)果顯示，大部分的中小型企業(yè)認(rèn)為安全性和隱私問(wèn)題是他們尚未使用云服務(wù)的最主要原因，從云計(jì)算市場(chǎng)需求的角度來(lái)看，大多數(shù)客戶很難把自己的信息完全托付給一家公司，且沒有有效的監(jiān)控手段，根本沒有辦法預(yù)測(cè)將來(lái)可能遇到的風(fēng)險(xiǎn)?，F(xiàn)在的云計(jì)算概念及產(chǎn)品基本上都是由一些國(guó)際大公司推出的，大量的用戶信息都由他們管理。用戶難免會(huì)懷疑存儲(chǔ)的數(shù)據(jù)會(huì)不會(huì)被監(jiān)控，會(huì)不會(huì)被收集用作商業(yè)用途，會(huì)不會(huì)因?yàn)槿狈芾矶孤丁Ｓ纱丝梢姲踩允强蛻暨x擇云計(jì)算時(shí)首要考慮的因素，而云計(jì)算安全的最核心的問(wèn)題是數(shù)據(jù)安全問(wèn)題。

1 云計(jì)算概述

1.1 云計(jì)算概念

云計(jì)算的核心理念是將大量用網(wǎng)絡(luò)連接的計(jì)算資源統(tǒng)一管理和調(diào)度，構(gòu)成一個(gè)計(jì)算資源池向用戶按需提供服務(wù)。提供資源的網(wǎng)絡(luò)被稱為“云”?！霸啤本哂幸韵聨讉€(gè)顯著特點(diǎn)：

（1）數(shù)據(jù)在云端：不怕丟失，不必備份，可以任意點(diǎn)的恢復(fù)；（2）軟件在云端：不必下載自動(dòng)升級(jí)；

（3）無(wú)所不在的計(jì)算：在任何時(shí)間，任意地點(diǎn)，任何設(shè)備登錄后就可以進(jìn)行計(jì)算服務(wù)；

（4）無(wú)限強(qiáng)大的計(jì)算：具有無(wú)限空間，無(wú)限速度。

1.2 云的服務(wù)模型

云的服務(wù)模型對(duì)于當(dāng)前已經(jīng)為人們熟知的有3種模型：IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service）。

基礎(chǔ)設(shè)施即服務(wù)（IaaS）：通過(guò)互聯(lián)網(wǎng)提供了數(shù)據(jù)中心、基礎(chǔ)架構(gòu)硬件和軟件資源。IaaS可以提供服務(wù)器、操作系統(tǒng)、磁盤存儲(chǔ)、數(shù)據(jù)庫(kù)和/或信息資源。IaaS的核心技術(shù)是虛擬化，如Amazon 的 EC2(Amazon Elastic Compute Cloud)。

開發(fā)平臺(tái)即服務(wù)（PaaS）：將一個(gè)開發(fā)平臺(tái)作為服務(wù)提供給用戶，通過(guò)PaaS這種模式，用戶能夠在一個(gè)包括SDK，文檔及測(cè)試環(huán)境等在內(nèi)的開發(fā)平臺(tái)上極為方便地編寫應(yīng)用和程序，且無(wú)論是在部署或運(yùn)行時(shí)，用戶都不需要為服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)和存儲(chǔ)等資源的管理操心。PaaS主要的用戶是開發(fā)人員，如Google提供的GFS,BigTable,MapReduce,Chubby,BORG等云服務(wù)均屬于PaaS模式。

軟件即服務(wù)（SaaS）：提供給客戶的服務(wù)是運(yùn)營(yíng)商運(yùn)行在云計(jì)算基礎(chǔ)設(shè)施上的應(yīng)用程序，消費(fèi)者不需要管理或控制任何云計(jì)算基礎(chǔ)設(shè)施，且消費(fèi)者也不需要管理或控制底層的云架構(gòu)，而客戶所需要做的就是關(guān)心一些有限的特別設(shè)定的應(yīng)用配置。

2 云計(jì)算中的數(shù)據(jù)安全分析

云計(jì)算中數(shù)據(jù)的安全分析首先要區(qū)分出傳統(tǒng)數(shù)據(jù)安全和云計(jì)算環(huán)境數(shù)據(jù)安全的差異。傳統(tǒng)數(shù)據(jù)安全需要從數(shù)據(jù)采集、傳輸、使用和存儲(chǔ)過(guò)程中采用技術(shù)手段來(lái)保障數(shù)據(jù)的完整性、保密性及可用性。由于云計(jì)算是分布式的，且為提高資源使用的效率，用戶之間可能共用計(jì)算或存儲(chǔ)資源，如果用戶之間安全隔離不夠或有惡意用戶利用技術(shù)進(jìn)行攻擊，將導(dǎo)致數(shù)據(jù)安全受到威脅，如被竊取、被篡改或被刪除。因此，保證云端數(shù)據(jù)的安全和傳統(tǒng)方式有著不同的特點(diǎn)，只利用傳統(tǒng)的保護(hù)方式很難保證用戶數(shù)據(jù)的安全。

從云計(jì)算定義來(lái)看，云計(jì)算的一個(gè)關(guān)鍵特征就是其服務(wù)是通過(guò)網(wǎng)絡(luò)來(lái)提供的。所有用戶的數(shù)據(jù)都存放在云端，并將計(jì)算結(jié)果通過(guò)網(wǎng)絡(luò)回傳給客戶端。如CSA在其發(fā)布的“Security Guidance for Critical Areas of Focus in Cloud Computing”中所言：“在安全控制方面，云與其它IT環(huán)境相比并沒有很大的不同；但是，在服務(wù)模型、運(yùn)營(yíng)模型以及用于提供服務(wù)的相關(guān)技術(shù)等方面，云可能會(huì)導(dǎo)致與以往不同的風(fēng)險(xiǎn)?！睆倪@3種云服務(wù)模型的定義中，不難看出盡管用戶已經(jīng)將他們的計(jì)算和存儲(chǔ)都托付給了云，但是在享受服務(wù)的過(guò)程中也帶來(lái)相應(yīng)的安全問(wèn)題，特別是在安全策略方面，更是不能寄希望于云提供商去解決所有的問(wèn)題。3種云服務(wù)模型的安全防護(hù)在方法和責(zé)任上都有所不同：SaaS為云提供商提出了最高的安全要求，使得他們需要建立從頂層應(yīng)用到底層硬件的整體防護(hù)體系以確保服務(wù)的安全，從而承擔(dān)了絕大部分安全責(zé)任，但是這也限制了用戶的自由發(fā)揮；相反的，IaaS給予了用戶足夠的自由度構(gòu)建自己所需的計(jì)算環(huán)境進(jìn)而開發(fā)或部署所需的應(yīng)用，但是它也要求用戶必須自行管理計(jì)算系統(tǒng)層次架構(gòu)中除底層硬件以外的所有層次，而提供商只考慮硬件層的安全問(wèn)題；PaaS位于其它兩種服務(wù)模型之間，既需要服務(wù)提供商提供基本的安全防護(hù)，又需要用戶針對(duì)實(shí)際需求進(jìn)行有差異的安全配置，才能構(gòu)成完備的防護(hù)體系，但這也使得提供商和用戶之間的責(zé)任邊界變得模糊。

那么云計(jì)算中數(shù)據(jù)到底存在著哪些安全問(wèn)題呢？

從可用性方面來(lái)講，按照Google的理念，如果云計(jì)算得以實(shí)現(xiàn)的話，那么未來(lái)人們?cè)诒镜赜脖P上幾乎不保存數(shù)據(jù)，所有的數(shù)據(jù)都在云里，一旦因技術(shù)方面的因素導(dǎo)致的服務(wù)中斷，那么用戶只能束手無(wú)策。

從數(shù)據(jù)的訪問(wèn)控制來(lái)講，云對(duì)外部其實(shí)是不透明的。當(dāng)計(jì)算服務(wù)是由一系列的服務(wù)商來(lái)提供（即計(jì)算服務(wù)可能被依次外包）時(shí)，每一家接受外包的服務(wù)商基本上是以不可見的方式為上一家服務(wù)商提供計(jì)算處理或數(shù)據(jù)存儲(chǔ)的服務(wù)，這樣,每家服務(wù)商使用的技術(shù)其實(shí)是不可控的,甚至有可能某家服務(wù)商會(huì)以用戶未知的方式越權(quán)訪問(wèn)用戶數(shù)據(jù)。

從傳輸數(shù)據(jù)來(lái)看,云服務(wù)提供商都強(qiáng)調(diào)使用加密技術(shù)（如SSL）來(lái)保護(hù)用戶數(shù)據(jù)，但即使數(shù)據(jù)采用SSL技術(shù)進(jìn)行加密，也僅僅是指數(shù)據(jù)在網(wǎng)絡(luò)上是加密傳輸?shù)?，?shù)據(jù)在處理和存儲(chǔ)時(shí)的保護(hù)仍然沒有解決。尤其是在數(shù)據(jù)處理的時(shí)候，由于這時(shí)數(shù)據(jù)肯定已解密，很難解決數(shù)據(jù)保護(hù)的問(wèn)題。即使采用進(jìn)程隔離類的技術(shù)一定程度解決了，也很難贏得用戶的信任。

從存儲(chǔ)數(shù)據(jù)角度來(lái)看，依照以往的思維，我們會(huì)認(rèn)為對(duì)于存儲(chǔ)數(shù)據(jù)進(jìn)行加密是很必要的，但是其實(shí)在云中，事實(shí)并非如此。如果你使用IaaS云服務(wù)做一些簡(jiǎn)單存儲(chǔ)的服務(wù)，那么無(wú)論使用的是公共云還是私有云都可以進(jìn)行加密；但是如果使用PaaS或者SaaS，使用其基于云的應(yīng)用，那么加密就不一定可行了，因?yàn)榧用軙?huì)導(dǎo)致索引和檢索的不便，導(dǎo)致上層部署機(jī)制的不可行，影響可用性。一般來(lái)說(shuō)，使用基于云的應(yīng)用存儲(chǔ)數(shù)據(jù)時(shí)會(huì)將數(shù)據(jù)與其他數(shù)據(jù)進(jìn)行混合，比如Google BigTable，而且應(yīng)用也會(huì)設(shè)計(jì)一些安全特征，比如數(shù)據(jù)標(biāo)簽等來(lái)防止未授權(quán)的訪問(wèn)，但是通過(guò)攻擊應(yīng)用的弱點(diǎn)等方法仍然可以進(jìn)行未授權(quán)訪問(wèn)。另外，在云中進(jìn)行的數(shù)據(jù)處理過(guò)程，數(shù)據(jù)也是同樣不能加密的。

從數(shù)據(jù)的完整性來(lái)看，傳統(tǒng)模式下的加密和完整性驗(yàn)證技術(shù)無(wú)法針對(duì)密文信息進(jìn)行處理，不能滿足上述需求。微軟的實(shí)驗(yàn)報(bào)告中提到對(duì)一個(gè)單獨(dú)的詞的密文搜索會(huì)花費(fèi)幾十秒。因此，需要在云計(jì)算環(huán)境下建立密文存儲(chǔ)數(shù)據(jù)完整性證明及審計(jì)機(jī)制，能夠在不下載數(shù)據(jù)的情況下對(duì)數(shù)據(jù)是否已被篡改或刪除進(jìn)行檢驗(yàn)，并可對(duì)遭破壞的數(shù)據(jù)進(jìn)行一定程度的恢復(fù)。在云計(jì)算環(huán)境下，云計(jì)算服務(wù)商必須確保在不對(duì)其他企業(yè)的數(shù)據(jù)計(jì)算帶來(lái)風(fēng)險(xiǎn)的同時(shí)，又提供必要的信息支持，以便協(xié)助第3方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì)，實(shí)現(xiàn)企業(yè)的合規(guī)性要求；另外，企業(yè)對(duì)云計(jì)算服務(wù)商的可持續(xù)性發(fā)展進(jìn)行認(rèn)證的過(guò)程中，如何確保云計(jì)算服務(wù)商既能提供有效的數(shù)據(jù)，又不損害其他已有客戶的利益,也是云數(shù)據(jù)安全亟待解決的問(wèn)題。

從云數(shù)據(jù)安全技術(shù)來(lái)看，目前基于密碼技術(shù)保護(hù)數(shù)據(jù)安全的各項(xiàng)研究工作均處于起步階段，IBM的研究者提出同態(tài)加密解密數(shù)據(jù)處理機(jī)制雖然對(duì)云計(jì)算環(huán)境下的數(shù)據(jù)安全提供了新的思路，但相關(guān)實(shí)驗(yàn)結(jié)果表明，即使是一個(gè)簡(jiǎn)單的明文搜索，在使用同態(tài)加密后的運(yùn)算量將增加上萬(wàn)億倍。對(duì)海量機(jī)密數(shù)據(jù)文件的查詢同時(shí)不泄漏用戶的查詢內(nèi)容、查詢習(xí)慣等隱私信息是云計(jì)算的一個(gè)重要能力，同時(shí)信息檢索過(guò)程中的隱私保護(hù)關(guān)鍵在于支持對(duì)密文數(shù)據(jù)的處理能力、密文存儲(chǔ)數(shù)據(jù)完整性證明及審計(jì)機(jī)制、對(duì)數(shù)據(jù)是否已被篡改或刪除進(jìn)行檢驗(yàn)、對(duì)遭破壞數(shù)據(jù)進(jìn)行一定程度的恢復(fù)等方面的問(wèn)題都需要依賴于云計(jì)算數(shù)據(jù)的分析、計(jì)算、查詢與審計(jì)技術(shù)等關(guān)鍵技術(shù)的進(jìn)展才能確定。

3 云計(jì)算數(shù)據(jù)安全風(fēng)險(xiǎn)的應(yīng)對(duì)措施

3.1 傳統(tǒng)安全技術(shù)集成創(chuàng)新

通過(guò)對(duì)傳統(tǒng)安全技術(shù)，如加密機(jī)制、安全認(rèn)證機(jī)制、訪問(wèn)控制策略等技術(shù)的集成創(chuàng)新，為云計(jì)算安全提供一定支撐。如通過(guò)對(duì)重要數(shù)據(jù)或敏感數(shù)據(jù)的加密、雙因子身份認(rèn)證、細(xì)化的訪問(wèn)控制策略、網(wǎng)絡(luò)安全、管理安全等方面的優(yōu)化增強(qiáng)云計(jì)算安全性，同時(shí)也可以解決部分云計(jì)算的數(shù)據(jù)安全問(wèn)題。

3.2 公用云與私有云結(jié)合

云計(jì)算服務(wù)可考慮公用云和私有云混合使用模式來(lái)解決數(shù)據(jù)安全，因?yàn)樗接性疲≒rivate Clouds）是為某個(gè)用戶單獨(dú)使用而構(gòu)建的，該用戶可以控制在此基礎(chǔ)設(shè)施上部署應(yīng)用程序的方式。一般私有云部署在防火墻之后，而不是在某一個(gè)遙遠(yuǎn)或未知的數(shù)據(jù)中心中，因而最能有效控制數(shù)據(jù)、安全性和服務(wù)質(zhì)量。具體實(shí)現(xiàn)可將關(guān)鍵應(yīng)用和重要數(shù)據(jù)部署在私有云中，而其它非關(guān)鍵應(yīng)用和重要數(shù)據(jù)部署在公用云中，這樣既解決了關(guān)鍵應(yīng)用的服務(wù)質(zhì)量和重要數(shù)據(jù)的安全問(wèn)題，也滿足了充分利用云計(jì)算硬件資源和軟件資源，且不影響現(xiàn)有IT管理的流程。

3.3 安全技術(shù)研究

云計(jì)算的部分安全問(wèn)題是需要相關(guān)的安全技術(shù)發(fā)展才能解決的，需要進(jìn)一步對(duì)多層次的信息安全體系（模型）、全同態(tài)加密算法、動(dòng)態(tài)服務(wù)授權(quán)協(xié)議、云數(shù)據(jù)安全保護(hù)增強(qiáng)模型、虛擬機(jī)安全隔離及運(yùn)行安全、云計(jì)算存儲(chǔ)機(jī)制與病毒防護(hù)策略等方面進(jìn)行研究，為云計(jì)算信息保護(hù)提供全方位的技術(shù)支持。

3.4 遵循開放標(biāo)準(zhǔn)

云計(jì)算服務(wù)提供商應(yīng)該遵循相應(yīng)應(yīng)用的開放標(biāo)準(zhǔn)，盡量不采用私有標(biāo)準(zhǔn)。如果沒有標(biāo)準(zhǔn)可以遵循，至少要提供數(shù)據(jù)導(dǎo)入導(dǎo)出框架以及數(shù)據(jù)轉(zhuǎn)換機(jī)制，為數(shù)據(jù)遷移提供必要的保障和方便。

3.5 加強(qiáng)安全管理

不同的云計(jì)算服務(wù)提供模式創(chuàng)建了不同的安全管理邊界，云計(jì)算平臺(tái)運(yùn)維人員面臨安全管理邊界。安全邊界如何界定、原有的安全管理標(biāo)準(zhǔn)是否依然適用、運(yùn)營(yíng)商和用戶如何聯(lián)動(dòng)，如何實(shí)現(xiàn)云服務(wù)的可用性管理、漏洞管理、補(bǔ)丁管理、配置管理以及事件應(yīng)急響應(yīng)等等問(wèn)題都需建立新的安全管理模型才能規(guī)范相關(guān)各方的安全管理責(zé)任。

4 結(jié)語(yǔ)

云計(jì)算是未來(lái)IT技術(shù)發(fā)展的趨勢(shì)，由于云安全技術(shù)推出的時(shí)間還比較短，很多關(guān)鍵技術(shù)尚需完善。對(duì)于云計(jì)算的數(shù)據(jù)安全問(wèn)題，通過(guò)單一的手段是遠(yuǎn)遠(yuǎn)不夠的，需要有一個(gè)完備的體系，從法律、技術(shù)、監(jiān)管多層面同時(shí)進(jìn)行才能保障云計(jì)算安全防護(hù)。

［1］Barman Bikram.Safe on the Cloud（A Perspective into the Security Concerns of Cloud Computing）［A］.Siliconindia.2009-3，12（4）.

［2］吳朱華.云計(jì)算核心技術(shù)剖析［M］.北京：人民郵電出版社，2001.

［3］張為民.云計(jì)算深刻改變未來(lái)［M］.北京：科學(xué)出版社，2009.

［4］王佳雋，呂智慧，吳杰，等.云計(jì)算技術(shù)發(fā)展分析及其應(yīng)用探討［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010（31）.