云安全技术探究

摘要：云计算技术是当前产业界和学术界的研究热点，被认为是改变世界的十大科技之一。云计算技术的广泛应用，不仅推动了国民经济的飞速发展，也日益影响着人类的生活方式。在享受云计算技术带来好处的同时，切实做好云安全（cloudSecurity）技术保障，充分发挥云计算技术的长处，意义重大。

关键词：云计算技术；云安全

美国国家标准与技术研究院认为，云计算技术是一种资源利用模式，它能以简便的途径和以按需的方式通过网络访问可配置的计算资源（网络、服务器、存储、应用、服务等），这些资源可快速部署，并能以最小的管理代价或只需服务提供商开展少量的工作就可实现资源。纵观云计算技术的概念和实际应用，可以看出云计算技术有两个特点。一是互联网的基础服务资源如服务器的硬件，软件，数据和应用服务开始于集中和统一；二是互联网用户不需再重复消耗大量资源，建立独立的软硬件设施和维护人员队伍，只需通过互联网接受云计算技术提供商的服务，就可以实现自己需要的功能。云计算技术的研究应用，不仅推动了经济的飞速发展，而且也影响着人类的生活方式。思科预测，到2020年，三分之一的数据都将存储在云上或通过云进行存储。目前，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，被写入了政府工作报告。因此，加强云计算技术的研究和应用，特别是与现代制造业相结合，对我国经济的发展和人民生活水平的提高A2.重大。在加强云计算技术应用推广的同时，做好云安全（Cloud Security）防护则显得尤为重要。

1 云安全概念

最早提出“云安全”这一概念的是趋势科技，2008年5月，趋势科技在美国正式推出了“云安全”技术。云安全技术是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是继云计算技术、云存储之后出现的“云”技术的重要应用，是传统IT领域安全概念在云计算时代的延伸，已经在反病毒软件中取得了广泛地应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全是我国企业创造的概念，在国际云计算技术领域独树一帜。“云安全”的概念在早期曾经引起过不小争议，已经被普遍接受。值得一提的是，中国网络安全企业在“云安全”的技术应用上走到了世界前列，金山毒霸、瑞星等公司都相继推出了云安全产品。

2 云计算技术存在的安全问题

随着云计算技术的不断发展，安全性问题将成为企业高端、金融机构和政府IT部门的核心和关键性问题，也直接关系到云计算技术产业能否持续健康发展。云计算技术涉及三个层面的安全问题。

2.1 云计算用户的数据和应用安全。

在用户数据方面，云用户和提供商需要避免数据丢失和被窃。如今，个人和企业数据加密都是强烈推荐的，甚至有些情况下是世界范围法律法规强制要求的。云用户希望他们的提供商为其加密数据，以确保无论数据物理上存储在哪里都受到保护。同样的，云提供商也需要保护其用户的敏感数据。云计算技术中对数据的安全控制力度并不是十分理想，API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏，并且还可能缺乏必要的数据销毁政策。同时，数据的完整性、可用性以及数据的可恢复性，都需要云计算技术去考虑。在应用安全方面，由于云环境的灵活性、开放性、以及公众可用性这些特性，在SaaS、PaaS、IaaS的所有层面，运行的应用程序安全设计也至关重要。同时，应用层的安全认证、审计以及数据的访问权限控制也需要考虑。

2.2 云计算服务平台自身的安全。

包括了云计算平台的硬件基础设施安全、共享技术安全和web安全等问题。在硬件基础设施方面，如网络、主机/存储等核心IT设备，网络层面的设备需要考虑包括网络访问控制（如防火墙），传输数据加密（如SSL、IPSec），安全事件日志，基于网络的入侵检测系统/入侵防御系统（IDS/IPS）等安全问题，主机层面的设备需要考虑包括主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等安全问题。在共享技术方面，如在云计算中，简单的错误配置都可能造成严重影响，因为云计算环境中的很多虚拟服务器共享着相同的配置，因此必须为网络和服务器配置执行服务水平协议（SLA）以确保及时安装修复程序以及实施最佳做法。在web安全方面，云计算模式中，Web应用是用户最直观的体验窗口，也是唯一的应用接口。而近几年风起云涌的各种Web攻击手段，则直接影响到云计算的顺利发展。

2.3 云计算资源的滥用。

主要包括2个方面，一是使用外挂抢占免费试用主机，甚至恶意欠费，因为云计算的许多业务属于后付费业务，恶意用户可能使用虚假信息注册，不停的更换信息使用资源，导致云服务提供商产生资损。另一方面，许多攻击者也会租用云服务器，进行垃圾邮件发送、攻击扫描、欺诈钓鱼之类的活动。

这些安全问题实际上在传统的信息系统和互联网服务中也存在，只不过云计算技术业务高弹性、大规模、分布化的特性使这些安全问题变得更加突出。同时云计算技术的资源访问透明和加密传输通道等特性给信息监管带来了挑战，使得对信息和传输途径的定位跟踪变得异常困难。安全是云计算技术面临的首要问题。Google等云计算服务提供商造成的数据丢失和泄漏事件时有发生，这表明云计算的安全性和可靠性仍有待提高。根据IDC的调查结果，将近75%的受访企业认为安全是云计算发展路途上的最大挑战。相当数量的个人用户对云计算服务尚未建立充分的信任感，不敢把个人资料上传到“云”中，而观念上的转变和行为习惯的改变则非一日之功。安全已经成为云计算业务拓展的主要困扰。

3 云安全防护措施

针对云计算技术中暴露出的一些安全问题，必须强化云安全防护措施，这样才能让用户满意。云安全防护措施主要有以下几项。

3.1 强化数据安全和应用安全。

数据安全技术包括诸如数据隔离、数据加密解密、身份认证和权限管理，保障用户信息的可用性、保密性和完整性。密码学界正在努力研究谓词加密等新方法，避免在云计算中处理数据时对数据进行解密，近期公布的完全同态加密方法所实现的加密数据处理功能，都大大地推进了云计算的数据安全。基于云计算的应用软件，需要经过类似于DMZ区部署的应用程序那样的严格设计。这包括深入的前期分析，涵盖传统的如何管理信息的机密性、完整性、以及可用性等方面。在安全认证方面，可通过单点登录认证、强制用户认证、、协同认证、资源认证、不同安全域之间的认证或者不同认证方式相结合的方式，有效防止云资源滥用问题。在权限控制方面，服务提供商和用户提供不同的权限，对数据的安全提供保证。用户应该拥有完全的控制权限，对服务提供商限制权限。

3.2 强化基础平台的软硬件安全。

对于云计算平台的网络和主机设备，加强安全防护，可以通过网络访问控制（如防火墙），传输数据加密（如SSL、IPSec），安全事件日志，基于网络的入侵检测系统/入侵防御系统（IDS/IPS）等强化网络安全，通过主机防火墙、访问控制、安装补丁、系统巩固、强认证、安全事件日志、基于主机的入侵检测系统/入侵防御系统等强化主机安全，控制防止非法用户使用云计算资源；对于合法用户的恶意使用，则可以通过审计日志来实现事后的追查。为了达到云计算终端到终端的安全，用户保持浏览器的良好安全状态是很必要的，这就需要对浏览器安装补丁和升级以降低浏览器漏洞的威胁。此外，针对目前几种典型的云计算模式，部分厂商采取了细化应用安全防护的手段，针对不同的应用，提供专业级的网关安全产品。在数据共享方面，可以根据用户的需求，建立所需的云服务，即SaaS（软件即服务）、PaaS（平台即服务）和IaaS（基础设施即服务）三种形式。

3.3 强化法律管理措施。

云计算的稳定运行和健康发展，需要一定的法律法规和规章制度进行完善。SAS70标准是由美国公共会计审计师协会制定的一套审计标准，主要用于衡量处理关键数据的基准，SAS70作为第三方验证来确保安全、政策执行和验证等问题，能够确保云供应商提供对客户数据的保护。萨班斯法案的颁布，也为数据的保护提供法律的依据，属于SarbanesOxley法案的企业在使用云计算服务的时候就必须确保他们的供应商符合SOX（萨班斯法案）。这些法案和制度的建立为云服务提供商更好地服务及避免数据丢失对客户的损害提供了法律保障，将更有利于云计算提供商开发更优秀的构架。

4 结语

云计算对我国重要信息系统安全保障建设提出了更高的要求。利用云安全加强保护云中的数据安全与隐私，确保云计算提供商能够保证数据的安全，进一步加快云安全相关管理办法和标准规范，尽快出台云计算安全服务相关管理办法，推动云计算更好地为国民经济发展服务。