云计算的安全风险及对策研究

摘要：云计算是在分布式计算、网络计算、并行计算等模式发展的基础上出现的一种新型的计算模型。文中介绍了云计算的发展现状，分析了云计算在其发展中存在的安全问题及其相应的相关对策和建议，分多种情况对云计算服务的安全问题进行了研究。
关键词：云计算；安全；风险；对策

0 引言
云计算是一种崭新的服务模式。其实质是在分布式计算、网络计算、并行计算等模式发展的基础上，出现的一种新型的计算模型，是一种新型的共享基础框架的方法。它面对的是超大规模的分布式环境，核心是提供数据存储和网络服务，主要是解决近十年来互联网急速发展所出现的存储困难、计算机资源大量消耗、工厂产业人员和硬件成本不断提高、数据中心空间日益匮乏等问题。
由于云计算系统规模巨大，承载了诸多用户隐私数据，以及前所未有的开放性和复杂性，其安全性面临比传统信息系统更为严峻的挑战，原始的互联网系统与服务设计已经不能解决上述种种问题，而急需新的解决方案。

1 云计算概述
云计算是一个虚拟化的计算机资源池，借用了量子物理中的“电子云”(Electron Cloud)思想，强调说明计算的弥漫性、无所不在的分布性和社会特性。“云”是指计算机群，每一群包括了几十万台、甚至上百万台计算机，是数据存储和应用服务的中心，用来完成存储和计算工作。云计算(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展，或者说是这些计算机科学概念的商业实现。
云计算可以划分为3个层次：IaaS(Infrastructure as a Service)、PaaS(Platform as a Seivice)、SaaS(Software as a Service)。其中，IaaS是基础设施层，通过网格计算、集群和虚拟化等技术实现；PaaS是作为一种服务提供给用户可以访问的完整或部分应用程序的开发平台；SaaS是软件作为一种服务来提供完整可直接使用的应用程序，在平台层以SOA方法为主，使用不用的体系应用构架，具体是用不同的技术实现，表示在软件应用层使用SaaS模式。图1所示是云计算技术的体系结构。

2 云计算的安全与对策
云计算在具有巨大商机的同时，也存在者潜在的巨大安全风险，如数据丢失和泄露、隔离失败、管理界面损害、数据删除不彻底、内部威胁、账户服务或通信的劫持、不安全的应用程序接口、服务的恶意使用等众多运营和使用风险。这些风险可能会导致数据保密性、完整性和可用性遭到严重破坏。最重要的是这些风险可能导致经济信息失控的严重后果，因而可能直接危及国家安全。围绕云安全问题，可以采取如下应对措施来予以防范。
2. 1 用户认证与授权
云计算的动态性使得用户的数据和服务分布越来越零碎，同时也增长了访问控制的需要。部署在云上的数据和服务，可能超出了用户主机／域的授权与访问控制体系的控制范围，从而无法对其提供保护。为了防止云计算平台供应商“偷窥”客户的数据和程序，云中的数据访问需要采用分权分级管理等方式。
可以对服务提供商和企业提供不同的权限，以对数据的安全提供保证。企业应该拥有完全的控制权限，并对服务提供商限制权限，同时要限制对云中应用的可见性，即无法判断一个具体用户的数据是存储在哪个存储设备上。
2．2 数据加密
在云计算环境中，数据的隔离机制可以防止其他用户对数据的访问，但还要防止在服务提供者内部的数据泄露。在云计算中，数据加密的具体应用形式为：数据在用户端使用用户密钥进行加密，然后上传至云计算环境中，之后在使用时再实时解密，避免将数据解密后存放在物理介质上。
数据加密可通过对称加密、公钥加密等成熟的技术手段，使数据在用户侧加密后再上传至云计算环境中，使用时再实时解密，从而避免将解密后的数据存放在任何物理介质上。在云中常与数据加密配合使用的还有数据切分，即将经过加密后的数据先在客户端打散，然后分散在几个不同的云服务上，这样，对于任何一个云服务商而言，都无法获得完整的数据。比如Amazon的S3会在客户存储数据的时候自动生成一个MD5散列(hash)，这样就不需要使用外部工具为数据生成MD5校验了，从而有效地保证数据的完整性。IBM的研究员Craig Gentry设计了“理想格(ideal lattice)”的数学对象，使人们可以充分地操作加密状态的数据，服务提供商也可以受用户的委托来充分分析数据。对于用户PGP和TrueCrypt，都可以对文件离开你的控制范围进行加密处理，以保证数据的安全。用户也可以根据不同的情况，动态地选择加密方式来满足不同的加密需要。
2．3 数据隔离机制
通过私密性和完整性保护可以防御来自外部的攻击，保护外部存储器中的数据不被窃取，程序不被非法篡改。如果攻击程序和受害程序运行在同一平台上，且共用同一个密码加密程序，并产生数据摘要，则无法区分访问来自进程内还是其他进程。显然，仅仅能够防御来自平台之外的攻击还不足以作为安全的终端被广泛使用。
事实上，通过三个层次可以实现进程隔离。在外部存储器中，对于不同的进程，采用不同的密钥加密数据，来产生加密摘要。当进程访问属于其他进程的数据时，由于密码不同，一方面，通过解密只能拿到错误的数据，从而保护了数据的私密性；另一方面，不能通过完整性验证，系统会及时制止非法访问。对于缓存和寄存器中的数据，通过添加进程标号，可以防止进程之间数据的非法访问。最后，也可以增加软件可配置的硬件，并允许软件对密钥、保护模式进行配置。
2．4 数据在云存储中的完整性
数据完整性就是云计算平台的数据保持不变，不会随着时间的变化而发生损坏。对存储在云中的数据，可采用传统的快照、备份和容灾等保护手段来确保数据的安全。数据备份可通过存储自身的备份功能或现有的企业级备份软件来实现，可按照用户设定的备份策略对数据进行自动在线或离线备份及恢复。多点备份，双机热备，一台服务器宕机，另外一台服务器在短时间内可以启动并拉起相关应用进程，这样就不会影响用户的服务。
2．5 虚拟化安全
虚拟技术的使用改变了云的安全环境，虽然使用虚拟机导致的安全问题并不是不可解决的，但需要应用与物理主机不同的安全工具和方法，而且保护机制要复杂得多。虚拟机引入的主要安全威胁包括接入和管理主机的密钥被盗、攻击未打补丁、在脆弱的服务标准端口侦听、劫持未采取合适安全措施的账户等。
解决这类问题可选择具有TPM(可信计算平台)安全模块的虚拟服务器。安装时为每台虚拟服务器分配一个独立的硬盘分区，以便进行逻辑隔离。每台虚拟服务器应通过VLAN和不同IP网段的方式进行逻辑隔离，对需要通信的虚拟眼务器间可通过VPN进行网络连接，以进行有计划的备份，包括完整、增量或差量备份方式。
2．6 加强IaaS层和PaaS层的安全解决方案研究
SSL是大多数云安全应用的基础，但这也可能成为一个主要的病毒传播媒介，需要进行更多的监控。IaaS云提供商应该保证其物理架构的安全性。一般来说，只有授权的员工才可以访问运营企业的硬件设备；做好电源冗余、网络冗佘、防火防盗和安全警报等工作。IaaS提供商应该对客户的应用数据进行安全检查，避免一些风险发生，如执行病毒程序等。SaaS提供商应最大限度地确保提供给客户的应用程序和相关组件的安全，客户通常只需负责操作层的安全功能，包括用户的访问管理、身份验证等。
2．7 法律法规风险
云计算的应用地域性弱、信息流动性大，信息服务或用户数据可能分布在不同地区甚至国家，在政府信息安全监管等方面可能存在法律差异与纠纷；同时由于虚拟化等技术引起的用户间的物理界限模糊而可能导致的司法取证问题也不容忽视。
因此，要针对云计算技术发展和业务模式尽快制定相应的法律法规和技术规范。如出台数据保护法，建立云计算平台网络安全防护制度与应急处置预案，明确云计算服务提供商信息安全管理责任，规范跨境云计算经营模式，制定用户使用日志留存规范等。

3 结语
云计算是继大型计算机到客户端-服务器的大转变之后的又一种巨变云，云安全是为了发展云计算而采取的必要手段，同时，由于安全性和隐私性受到质疑，云安全也成了制约云计算发展的重要因素。云服务提供商只有在云服务架构和技术上不断完善，降低云计算系统的安全威胁，提高服务的连续性，云计算模式才会真正地发挥其本身的价值。