“一带一路”背景下的集团企业云计算应用安全研究

周元德

本文从“一带一路”背景下的集团企业云计算面临的安全入手，详细介绍与分析了云计算应用中的安全风险、云计算安全研究现状、企业云计算安全关键机制。在文章最后指出，我们只有逐步建立完善的“一带一路”背景下的集团企业云计算安全综合防御体系，才能保证企业云计算应用的安全。

关键词>>集团企业 云计算应用 风险安全

一、“一带—路”背景下的集团企业云计算安全概述

“一带一路”背景下的集团企业网络覆盖全球，需要一种新兴的共享基础框架的方法，提供数据存储和网络服务。云计算不同于现有的以桌面为核心的数据处理方式和应用服务都在本地计算机中完成的使用习惯，而是把这些都转移到“云”中，它将改变我们获取信息，分享内容和相互沟通的方式，从而形成“一带一路”背景下的集团企业云计算应用。由于“一带一路”背景下与传统的云计算在平台环境、服务提供商、政策环境等方面存在差异，随之产生的是“一带一路”背景下的集团企业的重要数据和应用服务在“云”中的安全问题。

站在集团企业的角度，是否要部署一个新技术或者新产品，最重要的一项指标是安全性，安全性不仅要考虑技术本身的安全因素，同时也要考虑连带影响，如承载平台上的信息安全性。尤其是那些涉及较多敏感信息，如大量用户数据、财务数据等保密级别较高的数据。对于云計算技术，安全性问题同样无法回避，实际上这也是目前云计算在集团企业推广应用过程中所遇到的最大难题。虽然目前云计算服务提供商都在竭力淡化或避免此方面的问题，但对于“一带一路”背景下的集团企业，这是其决定是否使用此技术或服务的关键因素。因此，云计算安全性已经成为云计算迈向集团企业部署应用必须要解决的问题。

二、“一带—路”背景下集团企业云计算应用中的安全风脸

从现有的技术资料和已经发现的安全事件来看，互联网时代中传统的安全威胁在云计算服务中同样存在，并且伴随云计算特有的大规模、开放性与复杂性，还会出现一些新的安全挑战。因此，对于“一带一路”背景下的集团企业云计算应用，安全问题仍然是信息化进程中的首要问题。

“云”的安全和传统的安全到底有多大的差异？需要在哪些方面给予特别的注意？云安全联盟CSA在其发布的“SecuritvGI～idance for Critical Areas of FoctIs inCloud Computing'中所言：在安全控制方面，“云”与其它IT环境相比并没有很大的不同，但在服务模型、运营模型以及用于提供服务的相关技术等方面，“云”可能会导致与以往不同的安全风险。

云计算安全的范围很广，包括技术、管理、立法、商业、企业持续服务等层面。在这里不讨论云计算的可用性、持久性问题，也不涉及系统或者硬件基础本身的安全性，因为这些安全性问题已有很多成熟的解决方案。云计算的数据安全问题，主要是指部署在云端的数据的安全问题。作为用户，第一感觉是以前系统的所有数据都是自己掌控的，但是实施“云”之后，数据有很大一部分层面对用户屏蔽了，用户自己学控不了其中的安全性。云计算系统俨然成为一个黑盒子，那把数据放在这个黑盒子是否安全呢？

笔者认为除了云计算的可用性、内部管理、运营等问题外，“一带一路”背景下的集团企业在云计算实践中还存在应用部署安全风险、应用程序安全风险、虚拟化环境安全风险、数据访问权限风险、数据存储安全风险、数据传输安全风险等风险。

（一）应用部署安全风险

任何一个持有有效信用的人都可以注册并立即使用云平台，网络犯罪分子可以基于云平台部署各种攻击服务或各种恶意软件，攻击互联网上的任何用户，更严重的是，在云计算平台内部部署的恶意软件能直接从内部对云计算平台进行服务攻击、信息窃取等安全攻击。

（二）应用程序安全风险

应用程序是云服务交付的核心组成，包括Web前端的应用程序、各种中间件应用程序及数据库程序等，即使在传统网络安全环境下，他们仍然会因为编程技术的缺陷而存在多个安全漏洞，在云计算环境下，这些安全漏洞会继续存在。典型如各种Web会话控制漏洞、会话劫持漏洞及各种注入攻击漏洞。同时为了适应或使用虚拟化环境下的各种API管理接口，也可能产生一些新的安全漏洞。

（三）虚拟化环境安全风险

服务器虚拟化是现阶段“一带一路”背景下的集团企业云计算数据中心实施最为广泛的技术。以VMware、Citrix和微软的虚拟化应用程序ESX/XEN/Hyper-V为代表的虚拟化应用程序本身可能存在的安全漏洞将影响到整个物理主机的安全。

（四）数据访问权限风险

从云计算的整体技术架构来看，除了中央数据服务器外，用户数据存储在哪片“云”上无人知晓，精准盗取数据的难度很大，但云计算的数据访问权限存在漏洞，就很容易产生风险。

（五）数据存储安全风险

“一带一路”背景下的集团企业的数据存储是非常重要的环节，其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云计算模式下，云计算服务商在高度整合的大容量存储空间上，开辟出一部分存储空间提供给“一带一路”背景下的集团企业使用。

（六）数据传输安全风险

在云计算模式下，企业将数据通过网络传递到云计算服务商进行处理时，面临着几个方面的问题：一是如何确保企业的数据在网络传输过程中严格加密不被窃取；二是如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去。

三、云计算安全研究观状

面对如此之多的云计算安全风险，云计算安全的研究成为了推广和应用云计算的动力。到目前为止，全球范围内还没有一个公认的云计算标准。国内外不少企业和组织正在积极探索和研究云计算安全标准工作。

（一）各国政府对云计算安全问题的关注

信息安全国际会议RSA2010将云计算安全作为焦点问题进行研究；CCS（云计算峰会）从2009年开始专门设置了关于云计算安全的研讨会；2010年11月，美国政府CIO（首席信息官）委员会阐述了针对云计算的安全防护；日本政府官民合作项目开展计算安全性测试；2010年5月，时任我国工信部的副部长娄勤俭在第二届中国云计算大会上表示，我国应加强云计算安全的研究。

（二）云计算安全标准组织

云安全联盟CSA（Cbud，Seaurity Alliance）于2009年在RSA信息安全大会上成立，其目的就是为云计算找到解决安全问题的最佳方法。目前，CSA制定了《云计算面临的严重威胁》《云控制矩阵》《关键领域的云计算安全指南》等研究报告，这些报告提出了安全性应考虑的问题并给出了相应的解决方案。

分布式管理任务组DMTF（DistributedManagement Task Force）于2010年7月起草了开放云标准孵化器OCSI、开放云资源管理协议、封包格式和安全管理协议，发布了云互操作性和管理云架构白皮书。

由欧洲网络信息安全局和CSA联合的CAM项目开发一个以客观、可量化的测量标准，为用户提供一个评价云计算服务提供商安全运行的标准。

（三）国内企业积极参与云计算安全标准制定

华为公司是互联网工程任务组IETF云计算标准化工作的发起者之一，也是DMDF的董事会成员，同时参与了CSA等组织的工作。

中国联通、中国电信、中兴通讯是国际电信联盟ITU云计算领域工作的主导力量之一。中国移动是绿色网格组织TGG的重要成員。

联想、金蝶、瑞星等国内企业也在TGG、CSA等国际云计算标准组织中发挥了重要作用。

四、企业云计算安全关键机制

存储和进出云计算数据中心的数据保护是“一带一路”背景下的集团企业最担心的安全问题。因此，进出“云”中的数据都要求加密且经由安全的传输链路。

如图1所示，不管“一带一路”背景下的集团企业采用哪种云服务模式，云服务提供商必须提供良好的云计算安全机制：数据加密、访问控制、日志审计、身份认证、授权验证。

（一）数据加密

云计算的加密技术帮助企业解除使用SaaS（软件即服务）或者其他云服务来处理敏感数据的限制和顾虑。数据从企业传输到云服务提供商之前进行加密，离开企业内部安全边界，存储在外部云服务提供商的基础设施里面。

（二）访问控制

访问控制是云服务模型和云部署模型中关键的安全管理手段。云计算环境的访问控制，把用户的身份和云中的资源紧密地结合在一起，更有助于精细化的访问控制、用户记录和数据保护。基于最小权限和职责隔离等安全原理，云服务提供商提供更精细化的基于角色的访问控制模型。

（三）日志审计

审计是通过监控日志记录的事件来理解系统的性能。用户访问云服务一般都是多站点或者多主机的操作，用户的日志文件可能不仅记录在本地的唯一主机上，还可能是在不同主机或不同站点之间动态变化的。

（四）身份认证和授权验证

一些“一带一路”背景下的集团企业通常要求他们的云计算用户的验证授权基于工作给你分配合适的权限。在一些情况下，业务应用可能要求基于角色的访问控制。因此，授权验证需要综合地适应企业给你的角色需要。

五、结束语

云计算应用愈加普及，安全性就愈应该得到重视。对云计算服务提供商来说，如何保证“一带一路”背景下的集团企业存储在云中的数据的安全？对集团企业来说，如何才能相信云服务提供商能保证云中数据的安全？这都将是云计算应用真正落地急需解决的问题。要保证集团企业云计算应用的安全，不仅要考虑数据加密、访问控制，日志审计、身份认证、授权验证，还要考虑法律、法规合规性等要求。

此外，我们只有综合考虑、统一规划，通过逐步建立完善的“一带一路”背景下的集团企业云计算安全综合防御体系，才能在最大程度上降低集团企业云计算系统的安全威胁，提高云服务的连续性，保障集团企业云计算应用的健康、可持续发展。o

责编：白雪

参考文献：

【1】史爱武.赢在云时代企业计算战略、方法和路线图，清华大学出版社，：3013年6月

【2】AssessingtheSecurityRisksofCloudComputing，2008，http：//www.gantner.com/DisoDocument？id=685308.

【3】孙锋.企业云计算应用中的安全风险防范.数学的实践与认识，2013，43（5）.

【4】Barman Bikram.Safe 0n the Cloud（A Perspective into the Security Concerns of CloudComputing）[A].Siliconindia2009-3，12（4）：34-35.

【5】Edwards John.Cutting through the Fog ar Cloud Security[J]，Computer world；2009；43（8）：26-29.

【6】Barman Bikram.Safe 0n the Cloud（A Derspective into the Security Concerns 0f CloudC0mpucirq）[A].silic。nindia.2009-3，12（4）：34-35.

【7】Edwards John.Cuttingthroughthe Fog 0fCloud Security[J]，Computerworld；2009；43（8）：26-29.

【8】冯登国，张敏，张妍，徐震.云计算安全研究[J].软件学报，2011，22（1）.

【9】陈龙，肖敏.云计算安全：挑战与策略[J]数字通信，2010，（6）.

【10】http：//www.cac.gov.cn/2017-04/12/c_ll20792636.thm