浅析云计算对网络信息安全的威胁

王 卿(湖南科技职业学院 湖南 长沙 410004)

1 云计算综述

虽然最早的云计算思想可以追溯至20世纪60年代的麦卡锡，他曾提出“计算迟早有一天会变成一种公用基础设施”，即“将计算能力作为一种象水和电一样的公用事业提供给用户”。然而云计算作为一种全新的商业和应用计算方式被提出并得到公众的关注，成为产业界、学术界研究的热点是在2007年IBM和Google宣布在云计算领域的合作。到目前为止，学术界和理论界对云计算没有一个统一的定义，美国国家标准与技术研究院将云计算定义为这样一种计算模式：一种可利用的、便利的付费使用模式。在这一模式下，通过网络按需访问结构化的计算资源共享池（如网络、服务器、存储库、应用软件、服务等），快捷地获取所需要资源，并只需要做少量的管理工作。Hewitt认为云计算系统是将数据以及程序永久地存储在云计算平台中的服务器机群上，客户可以使用台式机、笔记本、手持终端等设备通过网络获得云计算系统提供的强大计算能力和存储能力。虽然对于云计算的定义众说纷坛，但是普遍认为云计算的基本原理是通过使计算分布在大量的分布式计算机上，企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。

云计算系统可以简单地看成由网络浏览器和“云”两部分组成，所谓云，Buyya等认为是由内部互连的众多虚拟机组成的并行分布式计算系统，能够根据服务提供商和客户之间协商好的服务等级协议动态提供计算资源。在云计算的模式下，用户基本上不再拥有使用信息技术所需的基础设施，而仅仅是租用并访问云服务供应商所提供的服务，这就是云计算的重要特征之一，一切即服务（Xasa Service，XaaS），包括基础设施即服务（Infrastructure as a Service）、平台即服务（Platform as a Service）和软件即服务（Software as a Service）。 由于云计算采用分布式计算技术将计算扩展到更多的计算资源，具有超强的计算能力和以用户为中心的突出优势，目前微软、IBM、亚马逊、Google等国际技术巨头积极部署和推出云计算服务。

2 云计算对信息安全的威胁

云计算是信息技术领域的一次重大变革，“云”的出现使PC硬盘损坏，资料丢失的状况即使发生，也不会造成太大的影响，因为有“云”替我们做存储和计算的工作，但云计算带来的最大风险就是信息安全的风险。

2.1 云计算对国家信息安全的威胁。“云”中包含了几十万台、甚至上百万台计算机，其中的计算机可以随时更新，这既保证“云”长生不老，又可以为用户提供方便、可靠的信息服务，规模化、集中式的云服务催生了“信息工业化”。信息工业化意味着巨大的规模化资源池的建设，这是一个大型的存储中心、数据中心、用户中心…… 可以预见，随着美国对云计算平台建设力度的加大，在标准、技术、人才和信息资源等方面的控制力越来越强，美国政府可以通过对云计算平台的控制，进而控制全球的信息资源。如果未来国家的数据都高度集中在“云计算”的平台上，国家信息面临着“去国家化”的风险，而更进一步，我国的信息一旦被整合、分析并被加以不良地利用，势必对我国的国家安全构成严重威胁。

2.2 云计算对企业和产业信息安全的威胁。从“以信息化带动工业化、以工业化促进信息化”到“发展现代产业体系、大力推进信息化与工业化融合”，我国工业加速了信息化的进程。工业产品在研发、设计、生产过程控制到市场营销这一价值链上，充分运用了计算机技术、软件技术、集成电路技术、通信技术与网络技术等现代信息技术手段，工业化和信息化的结合比以往任何时候都要紧密。云计算时代，管理信息系统将统一架构在虚拟资源池上，形成一个大型服务器集群，以便满足用户对信息访问、服务使用的需求，即“企业级云计算”。在这一个大平台上，企业的关键机密信息有被暴露的可能，这极大地威胁了企业的正常运营，进而影响了我国的产业安全。

2.3 云计算对个人信息安全的威胁。用户最关心的是其存储在云端的用户数据及隐私的安全性问题，这也意味着云端安全的核心是用户数据安全。数据安全的核心技术是密码技术和密钥管理技术，为了能够支持超大规模的用户量和数据量，密码和密钥管理技术必须具备高效、易于管理、易于使用的特性，而且必须具有可扩展性。私有云、公共云、混合云在安全问题上是否存在差异性呢？答案是肯定的。私有云主要指组织在企业防火墙内的云，其安全重点应在内网安全、审计上。公共云是建立在开放的网络环境中，安全重点应在访问控制、操作权限管理上。混合云包含了公共云与私有云的特征，是由多个云协同工作的方式，其安全重点应包括用户的身份认证、资源访问权限管理及互操作行的管理等。

3 云计算时代安全问题的几点应对策略

（1）重新定义以虚拟主机为基础的安全政策；

（2）使用在虚拟基础设施中运行的虚拟安全网关；

（3）加强对非法及恶意的虚拟机流量监视。

云计算所面临的安全问题，主要体现在计算模式、存储模式和运营模式三个方面。具体来说，在计算模式上有访问权、管理权和使用权等问题；在存储模式上有数据隔离、数据清除、数据备份和时限恢复等问题；在运营模式上有法规遵从、持续运营、国家风险等问题。其应对措施可以从安全接入、认证授权、协同防护、数据加密、集中运维五个角度思考。

云存储的实质是共享存储和虚拟存储。在共享存储中面临最大的风险是数据丢失/泄漏，在虚拟存储环境中面临最大的风险是存取权限、数据备份和销毁。云存储还面临着服务供应商的“没有责任”。因此需要我们从数据隔离、数据加密、第三方实名认证、灵活转移、安全清除、完整备份、时限恢复、行为审计、外围防护等方面综合考虑解决云存储安全问题。

像普通应用一样，云应用本质上也是由各种应用程序和协议组成的应用系统。只是在服务模式和运营模式上存在差异性，云应用的主要安全隐患在不安全的应用程序接口和没有正确运用上。

那么如何才能获得安全的云服务？第一，由于许多云计算部署中缺少对基础设施的物理控制，因此与传统的企业拥有基础设施相比，服务水平协议(SLA)、合同需求及提供商文档化在风险管理中会扮演更重要的角色。第二，如果提供商不能演示证明其云服务的全面有效的风险管理流程，用户应详细评估该供应商，以及是否可以使用用户自身的能力来补偿潜在的风险管理差距。

4 结论

云计算是继计算机、网络出现之后的又一次信息领域的革新，在给我们带来方便、低成本、规模化服务的同时，也对我国的信息安全提出了严峻的挑战。为了在新一轮的竞争中占领制高点，我国应积极参与云计算标准、技术和平台的建设，获取云计算产业链各个环节的控制权，培育国内规模化、专业化的信息服务提供商，加强信息安全的立法和协调工作。

［1］张亚明，刘海鸥.云计算研究综述：基于技术与商业价值双重视角[J].中国科技论坛，2010（8）：126-133.

［2］Buyya R,Yeo C S,Venugopal S.Market-or-iented cloud computing vision,hype,and reality for delivering IT services as computing utilities Proceedings of the 10th IEEE International Conference on High Performance Computing and Communications,2008.

［3］马天义，楼文高，等.基于云计算的连锁企业信息化建设模式探讨[J].电信科学，2010（8A）：48-52.

［4］陈全,邓倩妮.云计算及其关键技术[J].计算机应用，2009（8）:2563.

［5］史佩昌，王怀民，等.面向云计算的网络化平台研究与实现[J].计算机工程与科学，2009，31（A1）：249-252.

［6］邓倩妮,陈全.云计算及其关键技术[J].高性能计算发展与应用,2009（1）:2-6.

［7］褚军亮，宋立荣.云计算用于网络科技信息资源整合服务初探[J].中国科技资源导刊，2010（6）：42-47.

［8］李莉，廖剑伟，等.云计算初探[J].计算机应用研究，2010，27（12）：4419-4422，4426.