孫卓雅（河南大學(xué)，河南開封，475000）

?

淺談云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略

孫卓雅
（河南大學(xué)，河南開封，475000）

云計(jì)算是一種新型的服務(wù)模式，比常規(guī)的網(wǎng)絡(luò)信息安全面臨著的更多的安全風(fēng)險(xiǎn)，并且成為影響云計(jì)算進(jìn)一步發(fā)展的核心因素。本文簡要介紹云計(jì)算面臨的安全風(fēng)險(xiǎn)因素，并在此基礎(chǔ)上探討應(yīng)對(duì)的策略。

云計(jì)算；安全；風(fēng)險(xiǎn)因素；應(yīng)對(duì)策略；管理

云計(jì)算背景下，人們能夠避免存儲(chǔ)空間取法帶來的問題，無需擔(dān)心硬盤損壞而導(dǎo)致丟失數(shù)據(jù)，能夠像使用水利以及電力等資源那樣應(yīng)用云資源。不過隨著云計(jì)算應(yīng)用的逐漸深入，安全風(fēng)險(xiǎn)問題也不斷暴露出來，需要引起人們的重視。

1　云計(jì)算概述

云計(jì)算是通過網(wǎng)絡(luò)的形式共享計(jì)算資源，這些資源包括服務(wù)器、網(wǎng)絡(luò)、應(yīng)用、存儲(chǔ)以及服務(wù)等。云計(jì)算的業(yè)務(wù)資源需要借助于簡便的交互以及管理過程來完成迅速的部署以及釋放。云計(jì)算的特點(diǎn)體現(xiàn)在以下幾個(gè)方面。第一，隨著需求而改變的自助服務(wù)。第二，遍布各地的網(wǎng)絡(luò)訪問。第三，同位置無關(guān)的資源服務(wù)。第四，靈活快速。第五，根據(jù)使用狀況付費(fèi)。根據(jù)云計(jì)算資源利用的對(duì)象能夠進(jìn)一步劃分成私有云、公共云以及混合云。云計(jì)算的服務(wù)主要包括三個(gè)不同的層次，也就是IaaS設(shè)施服務(wù)、PAAS平臺(tái)服務(wù)以及SAAS軟件服務(wù)。同常規(guī)IT基施環(huán)境比較而言，云計(jì)算條件下用戶不要采購專門的設(shè)備并且開發(fā)系統(tǒng)，可以選擇借助于購買云計(jì)算服務(wù)來獲得需要的資源。云計(jì)算有著規(guī)模巨大計(jì)算能力，同時(shí)擴(kuò)展性良好，運(yùn)行成本也比較低廉。同常規(guī)IT設(shè)施類似的是，云計(jì)算條件下也需要確保數(shù)據(jù)信息的完整與安全，要求保網(wǎng)絡(luò)、計(jì)算以及存儲(chǔ)資源可靠安全，應(yīng)當(dāng)綜合采用各方面的安全措施，例如授權(quán)、認(rèn)證以及加密等。

2　云計(jì)算安全風(fēng)險(xiǎn)因素

第一，法律法規(guī)方面的問題。云計(jì)算往往是規(guī)模驚人的服務(wù)器集群，這些服務(wù)器在很多時(shí)候處于不同的國家或者是地區(qū)。用戶把自己的信息數(shù)據(jù)上傳到云服務(wù)器當(dāng)中，為了確保用戶數(shù)據(jù)的完整與安全，這部分?jǐn)?shù)據(jù)往往被存儲(chǔ)在數(shù)個(gè)不同的服務(wù)器當(dāng)中。用戶并不了解自己的數(shù)據(jù)具體存儲(chǔ)在什么位置，因?yàn)楫?dāng)前的云計(jì)算還缺乏統(tǒng)一的法規(guī)，不同國家的法律往往有著很大的區(qū)別，這就使得不同國家在判斷數(shù)據(jù)是否合法方面有一定的出入。部分?jǐn)?shù)據(jù)在某個(gè)國家能夠得到保護(hù)，但是在其他的國家可能無法得到法律保護(hù)。萬一發(fā)生用戶數(shù)據(jù)的丟失、泄露以及服務(wù)不可用等方面的問題，用戶難以借助于法律途徑捍衛(wèi)自身的合法利益。沒有法律法規(guī)約束運(yùn)營商以及用戶的行為，同樣會(huì)加大安全風(fēng)險(xiǎn)。

第二，物理設(shè)備管理方面的問題。物理設(shè)備正常使用以及安全管理，可以有效確保云計(jì)算服務(wù)順利開展，也是云計(jì)算平臺(tái)可靠安全最為關(guān)鍵的基礎(chǔ)以及保障。服務(wù)器、電源、網(wǎng)絡(luò)、電線以及網(wǎng)線等都是物理設(shè)備。如果云服務(wù)的供應(yīng)商缺乏完善的物理設(shè)備管理規(guī)范或者是說明手冊(cè)，沒有定期檢查從而排除物理設(shè)備存在的安全隱患，其中任何設(shè)備出現(xiàn)故障，都會(huì)導(dǎo)致云服務(wù)出現(xiàn)中斷，從而釀成難以估量的嚴(yán)重?fù)p失。

第三，用戶管理方面的問題。云計(jì)算服務(wù)通常是免費(fèi)或者是按需收費(fèi)的，同時(shí)這些服務(wù)有著非常明顯的彈性，幾乎可以無限制進(jìn)行擴(kuò)展。云計(jì)算的提供商對(duì)注冊(cè)用戶的背景以及具體身份缺乏足夠的監(jiān)管以及審查，任何企業(yè)以及個(gè)人都能夠隨便選擇使用云服務(wù)，從而導(dǎo)致惡意份子利用云計(jì)算的特點(diǎn)來開展非法的活動(dòng)。比如云計(jì)算有著比較理想的計(jì)算性能以及能力，能夠通過云計(jì)算平臺(tái)來攻擊別的平臺(tái)，甚至實(shí)現(xiàn)密碼的暴力破解，這會(huì)使得云計(jì)算平臺(tái)面臨著嚴(yán)重的安全隱患。

第四，內(nèi)部工作人員管理方面的問題。用戶在把數(shù)據(jù)傳輸?shù)皆朴?jì)算平臺(tái)之后，就意味著云服務(wù)的供應(yīng)商在管理用戶數(shù)據(jù)方面擁有掌控權(quán)，同時(shí)這些企業(yè)數(shù)據(jù)往往有著比較高的商業(yè)價(jià)值。在巨大的經(jīng)濟(jì)利益面前，要是云服務(wù)供應(yīng)商在工作人員的管理方面不夠嚴(yán)格，工作人員身份的審核不夠完善，容易導(dǎo)致工作人員惡意破壞或者是竊取用戶的數(shù)據(jù)。除此之外，要是云計(jì)算供應(yīng)商的工作流程以及工作人員的權(quán)限分配不夠合理，導(dǎo)致工作人員的職責(zé)比較混亂，同時(shí)安全意識(shí)比較差，容易因?yàn)楣ぷ魅藛T的誤操作而出現(xiàn)云計(jì)算服務(wù)的中。例如Vefizon公司在年度數(shù)據(jù)泄露方面的調(diào)查結(jié)果顯示，一半以上的安全事故都是內(nèi)部工作人員的操作失誤，同時(shí)一半的數(shù)據(jù)泄露問題也是內(nèi)部的工作人員導(dǎo)致的。

第五，軟件管理方面的問題。用戶在應(yīng)用云計(jì)算服務(wù)的過程當(dāng)中，往往會(huì)根據(jù)自身需要選擇針對(duì)性的軟件服務(wù)，第三方服務(wù)商也可以在云平臺(tái)提供針對(duì)性的軟件服務(wù)供用戶選擇。用戶在很多時(shí)候難以準(zhǔn)確判斷軟件的合法性以及安全性，同時(shí)第三方服務(wù)商在軟件發(fā)布的過程當(dāng)中，云服務(wù)的供應(yīng)商往往不會(huì)審核第三方服務(wù)商的身份，也不會(huì)檢測軟件安全性，缺乏完善的管理監(jiān)督，導(dǎo)致云平臺(tái)當(dāng)中的軟件非?；靵y。這些不夠安全的軟件被用戶應(yīng)用之后，容易導(dǎo)致用戶的數(shù)據(jù)出現(xiàn)泄露或者是遭到攻擊。

3　云計(jì)算安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略

第一，建立健全云計(jì)算安全管理機(jī)制。云計(jì)算是從傳統(tǒng)技術(shù)逐漸發(fā)展得到的，因此云計(jì)算自身并不缺乏技術(shù)支持，身份認(rèn)證及時(shí)、備份技術(shù)、訪問管理技術(shù)、虛擬技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)以及攻擊防范技術(shù)等，都得到人們的重視。這些技術(shù)在常規(guī)應(yīng)用當(dāng)中已經(jīng)可以保障應(yīng)用安全。不過云計(jì)算有著獨(dú)有的復(fù)雜性以及開放性，如何把這些技術(shù)應(yīng)用到云計(jì)算當(dāng)中，確保其高效安全提供服務(wù)，是一項(xiàng)嚴(yán)峻挑戰(zhàn)。這就需要云計(jì)算供應(yīng)商提供能夠支撐云計(jì)算安全的技術(shù)標(biāo)準(zhǔn)，從而在技術(shù)層面控制風(fēng)險(xiǎn)。

第二，完善云計(jì)算相關(guān)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)化包括服務(wù)以及資源在不同云計(jì)算供應(yīng)商之間操作、遷移或者是協(xié)作時(shí)涉及的接口協(xié)議、標(biāo)準(zhǔn)以及格式等。權(quán)威機(jī)構(gòu)或者是政府需要及時(shí)完善這方面的標(biāo)準(zhǔn)，確保應(yīng)用程序以及數(shù)據(jù)可以在不同的云計(jì)算供應(yīng)商之間移植，組冬奧協(xié)同工作，從而為用戶提供優(yōu)質(zhì)的服務(wù)。

第三，重視第三方機(jī)構(gòu)的管理評(píng)估。當(dāng)前情況下，企業(yè)在選擇云計(jì)算供應(yīng)商的時(shí)候，云計(jì)算供應(yīng)商往往不會(huì)提供細(xì)節(jié)方面的說明，比如服務(wù)器的位置、使用的技術(shù)以及運(yùn)營方式等等，這就導(dǎo)致用戶不得不盲目選擇。云服務(wù)供應(yīng)商缺乏一個(gè)特定的標(biāo)準(zhǔn)讓用戶進(jìn)行參考，只是依靠用戶以及運(yùn)營商之間的磋商，導(dǎo)致用戶比較被動(dòng)。一旦發(fā)生問題，用戶也是受害者。通過第三方機(jī)構(gòu)的評(píng)估，可以有效確保云計(jì)算正常推廣。因此政府需要鼓勵(lì)構(gòu)建第三方云計(jì)算機(jī)構(gòu)，實(shí)時(shí)評(píng)估云計(jì)算供應(yīng)商的服務(wù)風(fēng)險(xiǎn)，給用戶提供作為參考，控制供應(yīng)商方面的風(fēng)險(xiǎn)。

第四，完善相關(guān)法律法規(guī)。云計(jì)算一方面刺激全球經(jīng)濟(jì)的發(fā)展，不過不完善的法規(guī)影響到云計(jì)算的進(jìn)一步發(fā)展。所以需要?dú)w納云計(jì)算的相關(guān)法律法規(guī)，深入分析其中存在的問題，從而在此基礎(chǔ)上制定數(shù)據(jù)保護(hù)、隱私保護(hù)、網(wǎng)絡(luò)犯罪、信息安全以及知識(shí)產(chǎn)權(quán)保護(hù)等環(huán)節(jié)的法律法規(guī)，確定個(gè)人行為以及數(shù)據(jù)安全方面都在準(zhǔn)確。從法律意義上規(guī)范用戶的行為，確保違法犯罪可以得到相應(yīng)的懲罰，最大限度確保用戶、政府以及運(yùn)營商的權(quán)益。因此政府需要不斷完善云計(jì)算相關(guān)法律法規(guī)，推動(dòng)云計(jì)算的順利發(fā)展。

第五，加強(qiáng)管理監(jiān)督工作。針對(duì)云計(jì)算當(dāng)中的設(shè)備管理以及工作人員管理問題，云服務(wù)供應(yīng)商需要制定監(jiān)督管理制度以及身份審核機(jī)制，定期對(duì)工作人員進(jìn)行教育，提高他們的安全意識(shí)。同時(shí)需要制定工作業(yè)務(wù)流程，在不同的業(yè)務(wù)環(huán)節(jié)執(zhí)行安全控制，確定各個(gè)工作人員的責(zé)任。除此之外，還應(yīng)當(dāng)出臺(tái)網(wǎng)絡(luò)安全方面的條款以及懲罰措施，安排工作人員對(duì)物理設(shè)備實(shí)施安全檢查，從而及時(shí)排除潛在的安全風(fēng)險(xiǎn)。

綜上所述，云計(jì)算在飛速發(fā)展的過程當(dāng)中，安全問題也不斷增多，這就需要云服務(wù)商以及用戶聯(lián)合努力，分析當(dāng)前云計(jì)算環(huán)境存在的安全風(fēng)險(xiǎn)，并從法律、政策、技術(shù)以及管理等不同的角度采取應(yīng)對(duì)策略，提高云計(jì)算的安全水平。

［1］ 姜茸，馬自飛，李彤，張秋瑾. 云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略［J］. 現(xiàn)代情報(bào)，2015，01：85-90.

［2］ 何海燕. 云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)策略［J］. 電子技術(shù)與軟件工程，2016，11：235.

On the cloud computing security risk factors and coping strategies

Sun Zhuoya
（Henan University Henan，475000）

Cloud computing is a new type of service model，which is facing more security risks than conventional network information security，and become the core factor that affect the further development of cloud computing.This paper briefly introduces the security risk factors faced by cloud computing，and on this basis to explore the strategy to deal with.

cloud computing； security；risk factors；coping strategies；management