云计算的安全性问题和对策研究

摘要： 云计算作为一种新兴的共享基础架构方法，它将互联网上大量的计算资源进行统一的调度与管理，提供了众多满足用户个性化需求的IT服务。文章在介绍了云计算的概念、技术体系结构和服务模式的基础上，对云计算所面临的信息安全问题进行了研究，同时提出了几点应对措施。

Abstract: Cloud computing, as a new shared infrastructure method, dispatches and managers a lot of computing resources on Internet, supplies many IT services that meet users'' personalized demands. This paper introduces the concept, the technology system structure and the service mode of Cloud computing, on this basis, it studies the information security problem that Cloud computing faces, at the same time, it puts forward several countermeasures.

关键词：云计算；服务模式；信息安全

Key words: Cloud computing；service mode；information security

中图分类号：TS736+.4 文献标识码：A 文章编号：1006-4311（2012）03-0138-01

1 云计算简介

1.1 基本概念 云计算[1-2]作为一种新的计算模式，尚无标准的定义。比较通俗的是维基百科给云计算下的定义：云计算将IT相关的能力以服务的方式提供给用户，允许用户在不了解提供服务的技术、没有相关知识以及设备操作能力的情况下，通过Internet获到需要的服务。也就是说，用户可以将自己的工作直接上传到云服务器上，由云服务器提供统一的调配和安排，大大提高了工作效率。

1.2 体系架构 云计算的体系架构一般分为三层，从下到上依次是基础管理层、应用接口层和访问层，其体系架构模型如图1所示。其中，基础管理层主要是解决计算资源的共享问题，应用接口层主要是解决提供服务的方式，访问层主要是实现云计算的具体应用。

1.3 服务模式 目前云计算的服务模式主要有以下七类：

1.3.1 SaaS（软件即服务） 它是通过Internet提供软件的模式．把传统上软件由客户内部运营的模式转变为在线租用的模式。目前SaaS在人力资源管理程序和ERP中比较常用。

1.3.2 PaaS（平台即服务） PaaS以服务的形式提供了一个软件层，它可以构建更高层次的服务。比如使用中间商的设备来开发自己的程序并通过互联网和其服务器传到用户手中。PaaS的典型商业示例是Google的GAE。

1.3.3 Utility Computing（实用计算） 这种云计算是为IT行业创造虚拟的数据中心使得其能够把内存、I/O设备、存储和计算能力集中起来成为一个虚拟的资源池来为整个网络提供服务。

1.3.4 网络服务 网络服务提供者们能够提供API让开发者能够开发更多基于互联网的应用，而不是提供单机程序。

1.3.5 MSP（管理服务提供商） 这种应用更多的是面向IT行业而不是终端用户，常用于邮件病毒扫描、程序监控等等。

1.3.6 商业服务平台 该类云计算为用户和提供商之间的互动提供了一个平台。比如用户个人开支管理系统，能够根据用户的设置来管理其开支并协调其订购的各种服务。

1.3.7 互联网整合 它将互联网上提供类似服务的公司整合起来，以便用户能够更方便的比较和选择自己的服务供应商。

2 云计算的安全问题

云计算在给用户带来便利的同时，也随之带来了诸多的信息安全问题，主要包括以下的几个方面：①云计算缺乏安全标准：目前还没有出现针对云计算架构的安全模型和标准，使用云计算的用户对自己数据的完整性和安全性负有最终的责任，而云计算服务商却没有承担更多的义务。②云计算数据安全难以保障：“云”是一个虚拟的概念，它在物理上分布广泛，所以用户的数据会随机的出现在世界各地，就无法确保数据按用户的需求存放在指定的位置上[3]。③ 云计算数据恢复难度大：如果当用户的数据正在运算的过程中，突然出现一些不可预测事件比如断电等情况时，因为用户不知道数据的位置，而且云计算提供商也没有对数据进行备份，所以数据的恢复难度可想而知。④非法用户侵入：在用户无法控制的场所里处理一些未知的信息可以会带来很大的风险，因为这就绕过了IT部门对这些信息的控制。⑤云服务端易受攻击：云计算的出现，使得一般的用户通过PC机就可以访问自己所需要的信息。现在随着更多的系统在云计算中运行，“云”的安全漏洞也会显现出来，安全专家认为，未来网络攻击将会以云计算为中心。

3 云计算的安全保障对策

借鉴国内一些资料，笔者提出了以下几方面的云计算安全保障对策。

3.1 加密技术应用 加密既针对存储在云服务提供商的服务器上的数据，还包括传递给最终用户的数据。用户在使用云的过程中，可以采用加密技术对文件进行加密，只有密码才能够解密。另外还要考虑保护API密钥，因为非法的用户能通过云API访问所需要的数据。

3.2 安全策略应用 安全策略主要是认证需求、通信安全以及授权方式的应用。认证需求主要是提供完整的单点登陆认证，资源认证等等。通信安全是通过SSL、VPN、PPTP等安全方式确保用户的连续安全。授权方式主要是根据不同的级别安全域进行权限的划分。

3.3 云服务提供商的选择 即使云计算用户对文件进行了加密操作，但是一些在线的活动，它在涉及网上处理文件和保存文件方面还是很难进行保护的，所以用户要考虑采用哪些服务。笔者认为应该选择名气大的云公司服务，因为它们不会拿自己的声誉来冒险，不会任由泄密事件的发生，更不会与他人共享数据。

3.4 第三方监管 由于云计算的特殊性，使得服务提供商拥有很大的权利，因此如何有效地让客户与服务提供商之间保持平衡，是一个需要考虑的问题。笔者认为政府应该建立第三方监管机构，确保云计算环境安全，运行稳定[4]。

4 总结

云计算有着广阔的应用前景，但是随着它的发展所面临的安全问题也会日益突出。如何保障云的安全问题，是各方都急需考虑的问题。本文探讨了云计算的相关知识，存在的安全性问题，并给出了一些应对措施。

参考文献：

[1]扈志峰.浅析云计算的安全性问题[J].科技经济市场，2010，（10）.

[2]夏良，冯元.云计算中的信息安全[J].电脑知识与技术，2009，（26）.

[3]初颖.云计算与其安全问题[J].企业导报，2009:（10）.

[4]姜涛.云计算安全性探讨.金融信息化论坛，2009，（12）.