云计算及其安全防范策略

摘 要：云计算高效且廉价新型服务模式给人们工作、生活带来极大便利，随着其应用不断深入，人们对云计算安全性更加关注。本文从云计算服务提供商、政府和组织和用户三个方面分析了云计算安全的成因，云计算服务提供商应从技术和管理上采取有效的安全措施，确保用户数据信息安全；政府和相关组织及时制定云计算法规和标准，强制要求云计算服务提供商采用必要的措施，保证服务的安全性；用户要从自身的角度做好安全防护，选用相对可靠的云计算服务提供商，采取数据加密和严格的账户管理等措施，将安全性的主动权牢牢掌握在自己手中。只有上述三者共同联动，才能建立真正有效的云计算安全防御体系。

关键词：云计算；安全防御

0 引言

云计算概念一经推出，就迅速被接受和应用。它以提供高性能的计算资源服务和大规模廉价的共享资源服务，使得计算机信息获取技术和服务模式发生了革命性的变革，给整个计算机行业发展带来了巨大的推动效应。全球最具权威的从事信息技术研究和咨询高德纳（Gartner）公司认为“云计算是一项颠覆性力量，对大多数的行业都具有广泛的长远影响”“很快将会看到大型企业供应商提供的全方位的服务范围来构建云环境，和传递云服务。”在其研究的2010年度至2013年度排名前十的战略技术趋势中，云计算评为十大战略技术之首或前列。然而，无疑云计算目前仍处于早期发展阶段，其有许多技术仍不成熟且仍存在许多问题，特别是安全问题。高德纳（Gamter）公司曾经做过一个关于云计算风险的评估调查，调查结果显示：大多数人认为云计算服务提供商拥有的权利太大，导致大多数用户对数据的安全存储和传输方面存在很大的担忧。据报道，欧洲推迟接受云计算的主要因素是担心存在美国服务器资料是否安全。云计算安全保障是建立在对方信任的基础上，用户放在云计算数据中心的数据信息对云计算服务提供商毫无秘密可言。因此，云计算存在失、泄密的潜在风险，必须采取相应对策。

1 云计算概述

中国电子学会云计算专家委员会在2010年的《云计算白皮书（概要）》中指出，云计算是一种基于互联网的、大众参与的计算模式，其计算资源（包括计算能力、存储能力、交互能力等）是动态、可伸缩的、被虚拟化的，且以服务的方式提供。所谓“云”是源自计算机流程图中常以云状图案表示互联网的形象类比。

最简单的云计算技术在网络服务中已经随处可见，例如搜寻引擎、网络信箱等，使用者只要输入简单指令即能得到大量信息。未来如手机、GPS等行动装置都可以透过云计算技术，发展出更多的应用服务。未来的云计算不仅仅只做资料搜寻、分析的功能，如分析DNA结构、基因图谱定序、解析癌症细胞等，都可以通过这项技术轻易达成。云计算应用最具典型案例是《纽约时报》应用亚马逊提供的弹性计算云EC2服务，仅花不到300美元，在24小时之内，就将《纽约时报》1851年至1920年之间发表的1100万篇文章和图像转换为PDF文档。有人认为，未来30年将是云计算时代。越来越多的信息系统和信息终端将依托云计算平台而存在，越来越多的软件研发和运行将依托云计算来支撑。在远程的数据中心，成千上万台电脑和服务器连接成一片电脑云，向各种不同类型的客户提供在线软件服务、硬件租借、数据存储、计算分析等不同类型的服务。到时用户只需使用电脑、笔记本、手机等终端设备，通过网络接入数据中心，按自己的需求即可享受云计算强大的计算和存储服务。

2 云计算安全问题

尽管云计算有着多种多样的好处，但事实上许多人还是抱着观望和谨慎的态度看待云计算，主要原因还是对云计算安全性的质疑。云计算是以互联网技术为基础，它也不可能避免网络安全的威胁；云计算服务模式使用户数据由自行严格控制转变为云提供商管理与控制，用户失去了对云数据的物理控制，加重了用户对云计算数据信息的私密性和安全性的担心；云计算数据中心呈多租户（multi-tenancy）特点，数据、服务和计算高度聚集，云计算的数据中心自然成为黑客攻击、入侵和窃取数据信息的主要对象。近年来，基于云计算模型建设的数据中心重大安全事件时有发生，包括：Sidekick服务中断，Amazon EC2遭到阻断服务攻击，以及Google电子邮件服务中断等令人瞩目的云计算灾难事件，小规模的安全事件更是频频出现。虽然，云计算的使用日趋深入，但人们对云计算安全风险的质疑和担忧并未随之解除。究其原因，主要有以下三方面因素：一是云计算服务提供商对用户数据信息安全保障的信度有待于提高。开放的互联网使得云计算数据中心面临着无穷的隐患，它需要云计算服务提供商不断地、积极地改善其安全策略，从技术和管理层面形成综合的、有效的用户数据信息保证系统；二是云计算相关法律、法规和标准制定滞后于云计算发展的需要。一系列能够强制云计算服务各方采取安全措施的法规文件急需制定颁布，政府及相关组织对云计算的监管有待于落实到位；三是用户对云计算安全认识存有误区。云计算安全并非是随着数据的转移，完全交由计算服务商负责，事实上云计算安全防范离不开用户参与，用户发挥自身能力以补偿潜在云计算风险管理是云计算安全保障的重要环节。

3 云计算安全防范策略

3.1 云计算的特点决定云计算服务商必须为用户提供可靠的、可信的数据信息安全策略

用户最关心的是其存储在云计算中心的数据及隐私安全性问题，比如在云计算的环境下有可能存在数据信息资源在存储和传输过程中被非法下载或恶意篡改的情况，针对用户对云计算数据安全质疑，需要云计算服务提供商制定解决方案并向客户作出安全承诺。云计算服务提供商达到上述目标，既要从技术层面上加强研发，建立健全云计算数据中心信息安全防御体系。云计算提供商应推进虚拟化技术运用，利用逻辑隔离手段来保证数据安全；充分利用云计算强大的资源共享能力和运算能力，对安全风险进行快速反应和处置，快速定位解析安全威胁，形成智能化安全风险快速反应机制。也要从管理角度采用分权分级控制和流程化管理的方法，防止用户放在云计算中心的数据信息被“偷窥”。要制定有效的访问控制策略，在普通用户、管理用户和云计算服务商进行合理的权限划分与管理。

3.2 云计算的安全离不开国家相应的法规制定和监督

政府相关部门要及时推出相应的法规和标准，形成云计算安全领域的规范与标准。以约束云计算的服务提供商的行为和技术，强制要求他们采取必要的服务措施，保证服务的安全性。建立健全对云计算企业监督检查制度，检查包括厂商对客户承诺的不合理性、厂商信守承诺的程度、厂商在对待客户的数据的审计和监管力度。

3.3 云计算用户要从自身的角度制定云计算安全防范策略

首先在选择和使用云计算服务时要注意在云计算服务提供商的安全性和自己数据的安全性上做个平衡，太重要的数据不要放到云计算中心，或放到相对安全的“私有云”，或数据加密后放到云端保存，加强用户自主控制数据安全性，不完全被动依赖服务提供商的安全保障措施；其次要增强安全防范意识，存储在云里的数据，要经常备份，以免在云计算服务遭受攻击、数据丢失的情况下，数据得不到恢复；再是要保管好自己的账户和保证自己计算机的安全，制定严格的用户终端使用安全规定，采取必要措施保护端到端的安全，防止账户或服务的劫持。

4 结语

云计算改变了服务方式，但并没有颠覆传统的安全模式。在云计算时代，安全设备和安全措施的部署位置有所不同，安全防御的策略也要相应调整，解决云计算安全问题，需要诸多云计算服务提供商、用户和政府相关组织联合起来，共同构筑一个完整的云计算防御体系，保证云计算健康有序的发展。

参考文献：

[1] 吴德本，姚健，邓志武.云计算综述[J].计算机应用，2012，（3）：29-31.

[2] 刘鹏.云计算（第2版）[M].北京：电子工业出版社，2011.

[3] 冯登国，张敏，张妍，徐震.云计算安全研究[J].软件学报，2011，（1）：71-82.