云计算对信息安全的影响及对策分析

【摘要】随着云计算应用的不断兴起和普及，不可避免的出现了一些制约和影响云计算发展的安全问题。本文从云计算的基本概念和特征出发，介绍了云计算的部署方式及其特点，分析了云计算信息安全面临的主要问题，并针对这些安全问题提出了相应的对策。

【关键词】云计算;安全问题;安全对策

一、云计算的概念

作为正在发展中的云计算，对其存在多样化的解释，概括的说，云计算是一种基于互联网的计算机方式，通过互联网将大量规模化的虚拟化资源以服务的形式提供给外部用户。用户享受服务的同时不需要知道支持该项服务的软硬件基础设施是如何运作和管理的，由云服务商负责软硬件资源的管理、维护、安全保护等。一般来讲云计算具有如下特征：

1、软硬件资源均通过互联网提供给用户，对网络带宽具有一定的要求;

2、云中资源具有动态扩展性，根据用户的需求资源能够进行扩展和动态配置;

3、资源以整体的形式呈现给用户，但是在物理上资源是以分布式共享方式存在的，用户并不了解服务基于的软硬件资源位置以及服务的实现方式;

4、用户按照需求使用资源，并根据实际使用量付费，不必为其它空闲计算资源负担费用。

二、云计算部署方式

云计算的部署方式根据服务对象范围的不同，分为：私有云、混合云、社区云、公共云，这四种云按顺序其数据安全性和隐私性依次降低，但是其节约的成本逐渐增多。

1、私有云主要运行在企业或者组织的内部，在企业或者组织内部实现计算机资源的统一管理和动态分配，此种云模式需要企业自己购买软硬件设备，安排专门人员进行整个云计算系统的运行管理和维护，一般存在于Google、Amazon、微软等大型公司，私有云开放性不高因而所面临的安全威胁相对较少。

2、社区云一般由多个私有云通过VPN链接在一起构成，其规模要大于私有云。

3、公共云是云计算的初衷，其基础设施由大型运营企业建立和维护，如Amazon、Google、微软、百度等IT巨头企业，企业将服务以按需购买的形式销售给外部用户，对于用户而言只需要对自己使用的资源和服务进行付费，不需要建立自己的实体数据中心。因为公共云具有较高的开放性，并且用户失去了对计算和数据的直接控制权，因此公共云面临的安全威胁最为突出，以致于目前多数企业仍不愿意将核心数据上传到公共云中，只是将边缘数据上传，对于云计算安全的要求也主要集中在公共云方面。

4、混合云是私有云和公共云的混合，一般用户将敏感数据存放在私有云中，而将非敏感数据存放在一个或者多个公共云中，这种模式是目前多数公司开始使用云计算服务的初期策略。

三、云计算面临的主要信息安全风险

云计算技术作为近年来IT热点研究技术，其应用不断普及，随之带来的是安全问题的不断出现。2011年4月，亚马逊云计算数据中心服务器大面积崩溃，造成其云服务连续中断四天，受影响服务涉及应答服务、新闻服务和位置跟踪等。2012年2月，微软Azure云基础设施和开发服务出现了严重的中断故障，其系统的服务管理组件在世界范围内断网。2013年2月微软Azure云存储服务中断达12小时以上，用户无法访问云计算连接的数据或者利用任何捆绑到这些服务的多媒体内容。2013年10月，知名企业级云存储服务商Nirvanix公司宣布破产，要求用户在2个月内取回自己的数据，致使很多企业客户的需要面对巨量数据迁移的困境，其中不乏IBM和惠普的很多合作伙伴和客户。不断出现的云计算相关安全问题使得云计算的可靠性得到质疑并成为制约其发展的主要因素。

云计算的核心特征之一是数据的计算、存储完全在云端进行，数据的安全由供应商完全负责，用户减轻了负担的同时，也失去了物理隔离以及访问权限控制等最为有效的传统数据保护措施，对于用户而言唯一的保障就是与服务商签订的一纸协议。

云安全联盟CSA与惠普公司共同列出了云计算安全问题的七个方面：

1、数据丢失和泄露。云计算中对数据的安全控制力度并不高，管理方面的不足以及安全机制的缺失都可能造成数据泄露，无论是私人数据还是企业乃至国家的重要数据，一旦出现泄露甚至丢失都会造成严重的后果。

2、共享技术漏洞。云计算本身也是一个超大的数据共享平台，共享程度越大漏洞就会越多，攻击点也会随之增多。

3、供应商可靠性不易评估。数据对于服务商而言是透明的，要避免敏感数据的泄露，需要一个可信的服务提供商，如何对服务商进行可信度评估仍需要进一步研究。

4、身份认证机制薄弱。由于大量数据和资源都集中在云中，有效的身份验证机制能够防止入侵者获取账号的几率，减少未经授权的非法操作。

5、不安全的应用程序接口和API接口。云计算的应用程序系统十分复杂，保障其安全性更为困难，有的应用程序接口可能会成为攻击的渠道，对系统安全产生威胁。

6、恶意使用云计算。在技术的更新和运用过程中，黑客的进步速度往往不亚于技术人员，黑客可以利用合法身份作掩护，非法运行云计算。

7、未知的风险。用户使用浏览器便可使用相关服务，但是用户并不知道该服务使用哪种平台以及提供哪些安全机制，以及该服务上应履行的义务条款情况。

四、云计算信息安全对策

1、数据加密

数据加密是最好的数据隐私的保护方式，数据的存放以及传输应该以密文的形式进行，但是加密无疑会增大计算上的开销，因此要在计算开销和可靠的数据加密型之间取得平衡;如果云服务器能够确保用户匿名访问云资源并且能够安全的记录数据起源信息，用户的隐私将进一步得到保证，此外运算的结果需要返回给用户的时候，也应该使用密文的形式。减少明文的出现，使服务器能够直接在密文上进行操作将是隐私保护的重要方向。

在最理想的情况下，服务器上所有的明文操作都有对应的密文操作，这种完全同态加密方式能够在不降低效率的情况下很好地保护用户隐私。另外，信息检索作为云计算的常用操作，支持搜索的加密无疑成为云计算安全的另一个重要需求，如何在现有的单关键字加密搜索之上，实现多关键字搜索、模糊搜索以及搜索结果排序等将成为加密搜索的主要研究方向。如果不能进行密文搜索，那么用户操作所涉及到的数据都要发回用户方进行解密，无疑会严重降低效率。

2、数据完整性验证

很多云计算公司推出了基于云计算的云存储服务，例如Google Drive、Dropbox、亚马逊的简单储存服务（S3）、微软公司的SkyDrive等，都需要确保数据存储的完整性。数据存储在云端，用户完全失去了对数据的控制权，对于用户而言，不可能完全信任服务商对数据进行了可靠的完整性保护，所以用户对数据的完整性验证就显得十分必要。远程数据完整性验证能够很好地满足这一需求，验证无需进行数据的下载操作，而是根据数据的标识以及服务器对挑战码的响应对数据进行完整性验证。完整性验证的需求主要源自于用户对云存储服务商的不信任，Nirvanix云存储的关闭无疑扩大了用户对服务商的不信任。

3、访问控制机制

完善的访问控制机制能够有效阻止非法用户以及未经授权用户访问资源和数据，并实现对合法用户的访问权限控制。要实现有效的访问控制，云计算服务器需要验证用户的访问行为是否合法。访问控制主要体现在两个方面：网络访问控制和数据访问控制，网络访问控制主要是对基础设施环境中主机相互访问的控制;数据访问控制主要是对云端存储数据的访问控制，数据的访问控制机制要能保证对用户数据的各种操作的支持。

4、身份认证

目前身份认证主要有三种：基于用户隐私信息的认证;基于用户持有的IC卡、U盾等硬件设备的认证;基于指纹等生物特征的认证。目前主流的应用较为广泛的认证方式依然是口令认证和X.509证书认证。多因子身份认证和多层次身份认证能够进一步提高身份认证的安全性和实现层次化身份管理。

5、可信云计算

随着云计算的发展和应用范围的扩大，单纯依靠技术手段难以解决全部的安全问题，迫切需要构建可信的云计算。构建可信的云计算、云存储等服务，可以从以下两个方面出发：一是建立云计算问责机制，云服务提供商如果可以确保可视化、有效的控制措施以及严格的法律遵从，用户无疑会信任服务商提供的云环境;二是构建可信的云计算平台，通过云端网关技术、可信计算以及安全启动等技术手段确保云计算平台的可信性。

6、安全管理

云计算环境的复杂性、高度虚拟化和动态化以及海量的数据给安全管理带来了新的挑战，云计算服务提供商应该从系统安全管理、安全审计、安全运维等方面出发加强安全管理。

系统安全管理主要涉及以下几个方面：

（1）可用性管理，对系统组件进行冗余配置管理，保证系统高可用性的同时确保大负载情况下的负载均衡;

（2）漏洞补丁及配置管理;

（3）高效的入侵检测和响应机制;

（4）人员安全管理，采用访问权限控制和细粒度访问控制策略。

安全审计主要是由服务商为多租户用户提供审计管理支持，能够进行大数据量、模糊边界以及复用资源环境下的取证。

安全运维方面，需要云计算平台的基础设施、各种应用以及业务的安全监控、入侵检测和进行灾难恢复、提供有效的安全事件处理机制和应急响应机制。

7、法律法规和监管

云计算作为一种新的技术和服务模式，对应的法律法规以及监管相对滞后。云计算的可持续发展除了技术的不断更新之外，完善的法律法规和管理体系同样十分关键。在法律法规方面，目前我国在云计算方面急需建立一套完善的法律法规，诸如：有关云计算各组成部分的责任法规、个人隐私保护法规、电子签名和电子合同法规、取证法规等。

在安全监管方面，应加强异常监管和内容监管以及合规性监管。

五、总结

当前，云计算出现至今，其应用越来越广泛，随之而来的是不断出现的各种安全问题，构建可信的安全的云计算机环境成为迫切需求。本文介绍了云计算的相关概念、云计算的部署方式和特征，分析了云计算面临的主要信息安全风险，并提出了数据加密、数据完整性验证、访问控制机制、身份认证、可信云计算、安全管理、法律法规和监管等云计算信息安全对策。

参考文献

[1]俞能海，郝卓，徐甲.云安全研究进展综述[J].电子学报，2013，41（2）

[2]江雪，何晓霞.云计算安全对策研究.微型电脑应用[J]，2014，30（2）

[3]林闯，苏文博，孟坤.云计算安全：架构、机制与模型评价[J].计算机学报，2013，36（9）

作者简介：兰洁（1979―），女，江苏徐州人，硕士，讲师，研究方向：计算机技术、网站建设。