云计算的安全风险及对策分析

摘 要：云计算是新一代信息技术产业中研究、应用与变革的热点和核心，云计算在快速发展的同时还面临着一系列的问题。针对此，本文说明了云计算主要面临的安全风险、分析了云计算安全风险的来源，重点提出了提高云计算安全管理的措施。

关键词：云计算；安全风险；解决对策

中图分类号：TP393.08

在计算机技术和互联网技术的发展的基础上，云计算得以形成和发展，并且逐渐成为未来计算机发展的重要方向。云计算有着超大规模、虚拟化、高可靠性、通用性、高可扩展性、廉价等特点，云计算也因其具备的这些特点受到了追捧，越来越多的行业都投入到了云计算的应用中来，云计算的应用和影响范围也越来越大。然而，随着云计算的飞速发展，云计算的安全风险问题也凸显出来了，一系列的云计算安全问题引起了广泛地关注和重视。如何提高云计算的安全性是当前学术界的专家、学者们共同面临的重要的、云计算进一步发展亟待解决的问题。

1 云计算面临的安全风险及风险来源分析

云计算的安全防护面临着巨大的挑战，通过分析研究，总结得出了云计算主要面临的安全风险及安全风险的来源。

1.1 云计算面临的安全风险

用户数据泄露或丢失的风险。用户数据的安全只能依赖云于计算数据中心，用户本身并没有对自身数据信息在云计算中安全风险的实际控制能力。若云计算数据中心对数据安全的控制管理中存在疏漏，就很可能导致用户数据的泄露或丢失。

计算和存储共享的风险。在云计算服务平台上，用户通过虚拟化技术可实现计算和存储共享。在此过程中，如若不采用加密技术，用户则面临着较大的安全风险；若采用加密技术则会降低效率，而且也不能保证万无一失。

虚拟化的安全风险。云计算的一个主要特点是虚拟化，在资源虚拟化的过程中存在着风险，如数据间是否有效隔离、虚拟机操作系统是否有漏洞等问题都会引发云计算安全问题。

数据优先访问权的风险。用户数据实际的最高权限是属于云计算服务提供商的，并不是用户。若云计算服务提供商内部存在恶意员工，会出现内部人员私自窃取用户数据、损害用户利益的情况。虽然针对此项安全风险采取了一定的措施，但这种现象还是时有发生，用户还是应该关注此类风险。

企业用户长期发展方面的风险。当前云计算在服务整体迁移的方面还是缺乏全面标准和手段，如果用户选择的云计算服务提供商由于出现破产或被并购的情况而不能有效提供服务，那么用户的业务和服务则可能面临中断或是不稳定等风险。

云计算资源被滥用的风险。由于云计算用户租用资源的登记程序管理的不严格以及资源租用服务的价格低廉，使得犯罪分子可以很容易地租用到大量的资源从事不法活动。

网络违法行为调查和溯源的风险。对于网络违法行为的调查和溯源存在两方面的难题：首先是由于云计算的应用范围非常广泛，云计算服务可跨国领取、不法分子也可以进行身份假冒等，这使得网络犯罪行为很难进行追查；其次由于不同国家、地域有关云计算服务等方面的法律法规的不同和各种违法行为调查和溯源的取证需求的不同，使得网络违法行为的调查、溯源工作存在困难。

另外，云计算还面临着安全管理、高可靠性、非技术领先国家以及其他未知等方面的风险。

1.2 云计算安全风险来源

云计算安全风险的来源来自云计算的合法用户、恶意的攻击者、云计算的运营者、云计算运营商的内部人员、云计算服务基础设施提供者、来自网络的安全风险、网络战中的敌对方、云计算业务“开放”的变革等诸多方面。这些方面的因素都会带来一定的安全风险，在提高云计算安全性的过程中，要正确认识这些因素的影响，尽最大可能消除这些安全影响因素。

2 提高云计算安全性的措施

云计算有着较好的发展优势及发展前景，但是它暴露出的安全风险问题，给云计算自身的应用推广带来了不小的难题。用户对云计算应用的安全问题还存在不少的疑虑，云计算的安全风险问题成为阻碍其发展的重要因素。因此，要采取有效措施有效提高云计算的安全性、满足我国战略发展需要。

2.1 加强云计算安全风险管理理论与技术研究

针对如何提高云计算的安全性，首先要提高理论、技术支持水平，这就需要加强云计算安全风险管理的理论与技术的研究。要鼓励科研、加大对信息技术科研的支持，快速提高我国自主知识产权核心技术的创新能力，加快技术的发展。只有加强对云计算安全风险管理的研究，才能逐步降低甚至是消除云计算安全风险，缩小我国与技术领先国家之间的差距，才能创造出云计算大规模应用的平台，发展更多的用户。大力支持、推进云计算关键技术的研发，加快云计算硬件、软件、中间件以及网络设施等资源的发展脚步，从根本上保障在未来的云计算环境下可能发生的网络战中国家信息的安全。

2.2 完善云计算安全防护体系的构建工作

注重云计算网络与系统的安全、完善云计算安全防护体系的构建工作。注重云计算的网络与系统安全，可以加大对安全区域划分、基础网络安全、系统安全防护、系统安全加固、集中用户认证这五个方面的关注度。安全区域划分，即以云计算的具体应用为向导对云计算服务平台进行安全区域划分，按照相关的建设标准进行分级保护系统建设；基础网络的业务处理能力要满足业务高峰的需求、保障关键业务的带宽，因此要注重保证基础网络的安全；对系统进行安全防护和加固，保证系统可用性和安全性之间的平衡，搭建安全构架，检测、扫描出系统漏洞，消除安全隐患；集中用户认证，即对云计算服务平台提供的系统资源进行用户、用户组、用户级别方式的集中授权访问权限设置，构建安全审计系统，提高对云计算安全事件事后的审查能力。

完善云计算安全防护体系的构建工作，要注重开发、应用可信计算技术和访问控制技术。可信计算技术，是指通过可信的系统保护支撑组件的安全运行，建立从硬件到网络到应用服务的完整的信任链，实现系统行为的可预期性和可验证性，从而提高云计算应用的安全防护系数。而访问控制技术，则是指通过对用户限制使用数据资源的能力，以达到保障数据资源的有效、合法的使用和管理，防止网络非法操作。

2.3 建立云计算安全评估和监管体系

为了提高云计算的规范化、规模化应用的安全性，一项重要的工作就是要建立起云计算安全评估、监管体系。可以由政府相关部门牵头成立第三方安全风险测评监管机构，专门负责监督和评价云计算服务提供商所提供的服务的安全风险情况，并相关风险测评报告结果，提高云计算服务提供商信息的透明度，保证用户享受到高安全保障的云服务。另外，一些用户企业自身也需要对云计算服务数据进行监控，实现动态实时的监控，避免重要、敏感数据的外泄。

2.4 强化教育培养、建设高素质水平的云计算人才队伍

强化教育培养，完善人才培养模式，积极推进云计算人才队伍的建设。加大对高素质、高水平云计算人才队伍建设的投入力度，可以通过加强国际间技术合作、学习先进国家先进技术、发展我国核心计术、总结经验等的方式，为提高云计算安全性、满足我国战略发展需要储备后续力量。

3 结束语

只有解决云计算的安全风险问题，才能切实取得促进计算机信息技术发展的巨大动力。因此，要综合考虑云计算安全风险问题的成因，从技术、业务监管测评、人才培养等方面，多管齐下，寻求有效解决策略。

参考文献：

[1]杨健，汪海航，王剑.云计算安全问题研究综述[J].小型微型计算机系统，2012（03）.

[2]邓谦.基于Hadoop的云计算安全机制研究[D].南京邮电大学，2013.

作者单位：河南油田信息中心，河南南阳 473132