鄒震

（大慶油田信息技術(shù)公司運行維護中心，黑龍江 大慶 163453）

云計算是當前信息行業(yè)最為關(guān)鍵的問題，很多行業(yè)都對期給予了很高的關(guān)注，該技術(shù)體現(xiàn)出網(wǎng)絡(luò)就是計算機的理念，把許多資源有效地鏈接到一起，組建起規(guī)模很大的資源庫，可以根據(jù)需要為遠程用戶提供服務。由于其具備很高的便利性、擴展性和經(jīng)濟性等受到了人們的歡迎，可以把信息基礎(chǔ)設(shè)備維護和管理從繁重內(nèi)容中解放出來，更好地發(fā)展核心業(yè)務。云計算是信息產(chǎn)業(yè)新的增長點，滿足低碳經(jīng)濟和綠色計算的要求，得到了世界各國政府的支持，是信息行業(yè)的工業(yè)化革命。但云計算發(fā)展會面對安全問題，是制約云計算行業(yè)發(fā)展的關(guān)鍵因素，很多企業(yè)對數(shù)據(jù)信息安全性產(chǎn)生了擔憂，需要解決好云計算所面對的安全問題。

1 云計算面臨的安全挑戰(zhàn)

1.1 組建起數(shù)據(jù)安全和穩(wěn)私保護的技術(shù)架構(gòu)

目前，云計算平臺多個層次都會受到安全威脅，常見的安全問題在信息領(lǐng)域內(nèi)已經(jīng)開展了研究，形成了很多比較成熟的產(chǎn)品，安全問題主要關(guān)注如何解決云計算模式、動態(tài)虛擬管理和信息共享方式等。計算模式導致的安全問題表現(xiàn)在用戶把數(shù)據(jù)信息委托給云計算機構(gòu)，或者在云系統(tǒng)中運行應用數(shù)據(jù)時，云計算機構(gòu)就獲取到應用數(shù)據(jù)和利用優(yōu)先權(quán)，如果機構(gòu)內(nèi)部人員責任心不強、非法入違和云計算系統(tǒng)故障等會產(chǎn)生數(shù)據(jù)安全風險，如果云計算機構(gòu)沒有充足的理由讓用戶得到信任，則無法獲取到更多的服務業(yè)務。所以，必須要用戶相信數(shù)據(jù)信息不會非法交給競爭對手，客戶的應用習慣和隱私?jīng)]有被保存或分析，使用數(shù)據(jù)可以準確地保存到指定區(qū)域的服務器中，不需要的數(shù)據(jù)及時進行粉碎處理等。

動態(tài)虛擬化管理在于進行云服務過程中，需要把虛擬數(shù)據(jù)資源實現(xiàn)與物理資源的綁定。云計算的最大特點就是多個客戶共享資源，很多數(shù)據(jù)資源會綁定在共同的物理資源上，當虛擬化軟件存在設(shè)計缺陷，很多數(shù)據(jù)就會被其他用戶查看到。多用戶共享方式導致的安全問題，在于云計算服務機構(gòu)需要購置別的服務機構(gòu)提供的計算服務，客戶的數(shù)據(jù)會被別的云計算服務機構(gòu)間接得到，提高了數(shù)據(jù)信息漏露的風險。

1.2 組建安全目標驗證、安全服務

建立起安全服務標準和測評體系，是保證云計算安全的重要保證。安全服務標準是用于檢測云用安全要求和服務機構(gòu)能力，為設(shè)計出安全服務框架提供參考。采用科學合理的測評方式給出評估報告，如果出現(xiàn)安全事故可以清楚地完成責任認定。就需要云計算安全標準可以兼容更為廣泛的安全目標，滿足企業(yè)用戶信息安全的要求，數(shù)據(jù)信息的搜索會關(guān)系到云計算機構(gòu)數(shù)據(jù)處理中心和其他用戶的數(shù)據(jù)，從而產(chǎn)生較大的安全隱患，應該制定相應的標準進行確定，規(guī)定好數(shù)據(jù)信息搜索的辦法和范圍等，避免對客戶利益造成損失。同時，還需要對云服務過程進行系統(tǒng)地安全評估，因為云計算機構(gòu)需要購置或租用別的服務企業(yè)提供的軟件和硬件服務，根據(jù)用戶使用情況實現(xiàn)動態(tài)地選擇。所以，需要從云計算動態(tài)特性和多個服務方共同參與的特性，對云計算能力進行科學地評估，對云計算機構(gòu)的安全能力進行等級劃分，從而便于用戶選擇。同時，還需要制定出云計算服務安全驗證辦法，可以對計算服務商提供的證據(jù)的可信度進行審計。

1.3 建立起云計算安全監(jiān)督管理體系

云計算在給人們帶來便利的同時，也具備較大的破壞力，網(wǎng)絡(luò)空間對于任何國家都是重要的資源，所以，必須在發(fā)展云計算產(chǎn)業(yè)的同時不斷完善監(jiān)控體系，爭取獲得更多的主動權(quán)，避免被競爭對手制約，必須要解決如下幾種問題：（1）為了防止非法分子進攻云計算主服務器，需要實現(xiàn)對攻擊的快速識別、預警和防護，避免形成重大的信息安全事故。（2）做好云計算內(nèi)容的監(jiān)測和控制，因為云計算存在著很高的動態(tài)性，實現(xiàn)有效的監(jiān)管存在著較大的難度，很多不良信息會在網(wǎng)絡(luò)上快帶的遷移，無法實現(xiàn)有效地追蹤。但如果進行全面地檢查，可能會影響到用戶的穩(wěn)私問題。很多云計算機構(gòu)具有很強的國際性特征，數(shù)據(jù)存儲平臺經(jīng)常會存在跨國界的情況，本地政府部門無法實現(xiàn)有效地監(jiān)管，可能會出現(xiàn)多力共同管轄的問題，產(chǎn)生安全問題時需要給出正公的裁決。（3）判斷和分析采用云計算技術(shù)實施的密碼類犯罪問題，在云計算環(huán)境下，很多密碼更容易被破解，會對密碼類產(chǎn)品形成很大的威脅，避免不法分子獲取到足夠計算性能的密碼破解算法，是開展云計算監(jiān)管必須解決的問題。

2 云計算安全關(guān)鍵技術(shù)

2.1 可信訪問控制技術(shù)

因為不能完全相信云計算機構(gòu)為客戶定義的訪問策略，在云計算情況下，很多科研人員都對如何采用有效地控制技術(shù)來實現(xiàn)數(shù)據(jù)信息安全訪問進行了研究，開展最多是把密碼學作為基礎(chǔ)實現(xiàn)數(shù)據(jù)訪問，主要有不同層級的密鑰形成和分配技術(shù)來實現(xiàn)數(shù)據(jù)訪問的控制，采用屬性數(shù)據(jù)加密處理算法、密文方式的數(shù)據(jù)處理方案、密文嵌入訪問控制法等，密碼數(shù)據(jù)信息類解決方案主要面對的問題在到如何實現(xiàn)權(quán)限撤銷，最為基礎(chǔ)的解決方案可以為密鑰來設(shè)置出失效的時間，根據(jù)時間的不同從身份認證處理中心形成新的密鑰。

2.2 密文檢索和處理

當數(shù)據(jù)信息轉(zhuǎn)變?yōu)槊芪牡貢ズ芏嗟奶匦?，引起很多?shù)據(jù)分析辦法都失去效用。密文檢索多采用兩種常用的辦法。把安全索引作為基礎(chǔ)的數(shù)據(jù)索引法，是利用密文中的關(guān)鍵詞來形成安全索引，查看關(guān)鍵詞能否存在。再一種是利用密文掃描的方式對密文內(nèi)容的每個數(shù)據(jù)進行比較，從而檢查是否存在關(guān)鍵詞，從而可以統(tǒng)計出關(guān)鍵詞產(chǎn)生的次數(shù)。密文處理技術(shù)主要對秘密同態(tài)加密算法設(shè)計方式開展了很多的研究，國外學者提出的全同態(tài)加密技術(shù)，可以更好地使用和操作加密情況下的數(shù)據(jù)信息，但還沒有開展實用方面的試驗。

2.3 數(shù)據(jù)存在和可用性證明

大量數(shù)據(jù)信息應用需要通信系統(tǒng)付出很大的代價，無法把所有的數(shù)據(jù)進行下載來檢驗是否正確。所以，云計算的用戶應該提取少量數(shù)據(jù)信息的前提下，對云端的數(shù)據(jù)完整性和正確性進行識別和判斷，可以采用面對客戶驗證數(shù)據(jù)信息可檢索性法、數(shù)據(jù)信息持有證明法。

2.4 數(shù)據(jù)信息隱私保護

云計算數(shù)據(jù)信息穩(wěn)私保護與數(shù)據(jù)壽命每個時期有著很大的聯(lián)系，可以采用數(shù)據(jù)隱私保護技術(shù)，避免在云計算過程中形成的沒有授權(quán)數(shù)據(jù)信息被泄露出去，并對數(shù)據(jù)計算結(jié)果實現(xiàn)自動除密操作。而在數(shù)據(jù)信息存儲以及應用階段，可以應用客戶端的隱私管理技術(shù)，組建起客戶為中心的數(shù)學信任模型，從而管控好敏感數(shù)據(jù)信息在云端存儲和應用。國外學者還提出了采用匿名數(shù)據(jù)搜索的數(shù)據(jù)信息引擎，使得數(shù)據(jù)交互時可以實現(xiàn)對數(shù)據(jù)搜索和獲取，保證搜索內(nèi)容無法被對方得知，與搜索信息無關(guān)的內(nèi)容不能被得到。

2.5 虛擬安全技術(shù)

虛擬安全技術(shù)是保證云計算安全的關(guān)鍵，采用該技術(shù)可以在云計算平臺中形成云計算架構(gòu)，從而為用戶更好地安全隔離保證。采用虛擬機技術(shù)可在grid 條件下完成數(shù)據(jù)隔離，或者應用緩存層次來對核心分配進行識別，可以通過緩存區(qū)域區(qū)劃成的頁染色保證資源管理辦法達到設(shè)計性能，從而完成數(shù)據(jù)安全隔離，該技術(shù)隔離緩存接口十分有效，可以把其整合到云架構(gòu)方式的資源管理架構(gòu)中。還有的學者對虛擬機映像文件安全性進行分析，因為每個映像文件都相對應客戶應用，要保證其擁用很高的完整性，并建立起數(shù)據(jù)安全共享的管理機制，從映像文件管理系統(tǒng)完成文件數(shù)據(jù)的訪問、追蹤、濾除和掃描等，從而可以實現(xiàn)對云計算安全性能的檢測和修復。

2.6 云資源訪問控制

采取云計算方式對數(shù)據(jù)信息進行存儲和控制，需要每個云計算應用都歸結(jié)于不同安全管理域中，從而更好地管理本地數(shù)據(jù)資源的客戶。如果客戶跨過不同安全管理域來進行數(shù)據(jù)訪問時，應該在域界限內(nèi)實現(xiàn)認證服務，從而對進行數(shù)據(jù)訪問的用戶實現(xiàn)身份認證。如果跨過多個安全管理域進行訪問時，每個域需要制定出各自的數(shù)據(jù)訪問控制策略，所以，要對策略的結(jié)合創(chuàng)造更多的條件。國外學者在數(shù)據(jù)強制訪問架構(gòu)下，提出了數(shù)據(jù)強制訪問控制策略架構(gòu)，把兩個安全格組建成新的架構(gòu)，合成過程中需要保證策略的安全性，不可以違反每個域數(shù)據(jù)控制策略。

3 結(jié)語

云計算是信息技術(shù)進步的產(chǎn)物，有著很好的應用前景，但是面臨著較大的安全挑戰(zhàn)，需要信息行業(yè)和安全領(lǐng)域的學者共同努力，建立安全監(jiān)管標準，還需要政府部門出臺相關(guān)的法律進行約束，可以更好地解決好云計算的安全問題。