云計(jì)算是當(dāng)前發(fā)展十分迅猛的新型產(chǎn)業(yè)，是產(chǎn)業(yè)界、學(xué)術(shù)界、政府等各界均十分關(guān)注的焦點(diǎn)。云計(jì)算將計(jì)算任務(wù)分布到由大量計(jì)算機(jī)構(gòu)成的資源池，從而使用戶能夠根據(jù)需要獲取計(jì)算能力、存儲(chǔ)空間和應(yīng)用，這樣不僅使用戶能夠更加專(zhuān)注于自己的業(yè)務(wù)，也有利于提高資源利用效率、降低成本。正如Internet的革新使大眾可以訪問(wèn)信息，云計(jì)算也在對(duì)信息科技做著同樣的變革。它不僅是互聯(lián)網(wǎng)技術(shù)發(fā)展、優(yōu)化和組合的結(jié)果，也為整個(gè)社會(huì)信息化帶來(lái)了全新的服務(wù)模式，將對(duì)人類(lèi)社會(huì)生活帶來(lái)重大變革。

    雖然云計(jì)算產(chǎn)業(yè)具有巨大的市場(chǎng)增長(zhǎng)前景，但它在提高使用效率的同時(shí)，為實(shí)現(xiàn)用戶信息資產(chǎn)安全與隱私保護(hù)帶來(lái)極大的沖擊與挑戰(zhàn)。安全問(wèn)題已成為云計(jì)算領(lǐng)域亟待突破的問(wèn)題，其重要性與緊迫性不容忽視。

一、理解云計(jì)算

    云計(jì)算是傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)如網(wǎng)格計(jì)算、分布式計(jì)算、并行計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等技術(shù)發(fā)展融合的產(chǎn)物，是一種新興的網(wǎng)絡(luò)商業(yè)模式。在云計(jì)算模式下，軟件、硬件、數(shù)據(jù)等資源均可以根據(jù)客戶端的動(dòng)態(tài)需求按需提供。

    云計(jì)算不僅是一種技術(shù)，更是一種服務(wù)模式。普遍認(rèn)為云計(jì)算的服務(wù)模式可以分為三類(lèi):軟件即服務(wù)，平臺(tái)及服務(wù)以及基礎(chǔ)設(shè)施及服務(wù)。這三類(lèi)服務(wù)模式被認(rèn)為是云計(jì)算體系架構(gòu)的三個(gè)層次，但他們?cè)诩夹g(shù)實(shí)現(xiàn)上并沒(méi)有必然的聯(lián)系，SaaS 可以在IaaS 的基礎(chǔ)上實(shí)現(xiàn)，也可以在PaaS 的基礎(chǔ)上實(shí)現(xiàn)，也可以獨(dú)立實(shí)現(xiàn)；類(lèi)似的，PaaS 可以在IaaS 的基礎(chǔ)上實(shí)現(xiàn)，也可以獨(dú)立實(shí)現(xiàn)。從SaaS 到PaaS到IaaS 的服務(wù)模式變遷中，客戶或租戶可以對(duì)更多的資源有著更多的安全控制。

    云計(jì)算作為一種全新的商業(yè)模式，它改變了計(jì)算分布或分配的模式。根據(jù)計(jì)算分配模式的不同，云部署模式分為四種：公共云，私有云，社區(qū)云和混合云。這四種模式解決了諸如池化云資源這類(lèi)廣泛存在的問(wèn)題。從公共云遷移到社區(qū)云以及從社區(qū)云遷移到私有云，客戶或租戶可以對(duì)更多地資源有著更多的安全控制。云模型如圖1所示：

圖1 云模型

三、云計(jì)算面臨的安全問(wèn)題

    云計(jì)算服務(wù)基于寬帶網(wǎng)絡(luò)特別是互聯(lián)網(wǎng)提供，面臨各類(lèi)傳統(tǒng)安全威脅，且安全問(wèn)題隨系統(tǒng)規(guī)�；�而被放大。另一方面，云計(jì)算與傳統(tǒng)的計(jì)算模式相比具有開(kāi)放性、分布式計(jì)算與存儲(chǔ)、無(wú)邊界、虛擬性、多租戶、數(shù)據(jù)的所有權(quán)和管理權(quán)分離等特點(diǎn)，同時(shí)，云中包含大量軟件和服務(wù)，以各種標(biāo)準(zhǔn)為基礎(chǔ)，數(shù)據(jù)量龐大，系統(tǒng)非常復(fù)雜，因而在技術(shù)、管理和法律等方面面臨新的安全挑戰(zhàn)。此外，云計(jì)算系統(tǒng)中存放著海量的重要用戶數(shù)據(jù)，對(duì)攻擊者來(lái)說(shuō)具有更大的誘惑力，如果攻擊者通過(guò)某種方式成功攻擊云系統(tǒng)，將會(huì)給云計(jì)算服務(wù)提供商和用戶帶來(lái)重大損失，因此，云計(jì)算的安全性面臨著比以往更為嚴(yán)峻的考驗(yàn)。與傳統(tǒng)IT安全比較，云計(jì)算特有的安全問(wèn)題主要有以下三個(gè)方面：

    （1 ）云計(jì)算平臺(tái)導(dǎo)致的安全問(wèn)題。云計(jì)算平臺(tái)聚集了大量用戶和數(shù)據(jù)資源，更容易吸引黑客攻擊，而故障一旦發(fā)生，其影響范圍多，后果更加嚴(yán)重。此外，其開(kāi)放性對(duì)接口的安全也提出了更高的要求。另外，云計(jì)算平臺(tái)上集成了多個(gè)租戶，多租戶之間的信息資源如何安全隔離也成為云計(jì)算安全的突出問(wèn)題。

    （2）虛擬化環(huán)境下的技術(shù)及管理問(wèn)題。傳統(tǒng)的基于物理安全邊的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。另外，云計(jì)算的系統(tǒng)如此之大，而且主要是通過(guò)虛擬機(jī)進(jìn)算，一旦出現(xiàn)故障，如何快速定位問(wèn)題所在也是一個(gè)重大挑戰(zhàn)。

    （3）云計(jì)算這種全新的服務(wù)模式將資源的所有權(quán)、管理權(quán)及使權(quán)進(jìn)行了分離，因此用戶失去了對(duì)物理資源的直接控制，會(huì)面臨與服務(wù)商協(xié)作的一些安全問(wèn)題，如用戶是否會(huì)面臨服務(wù)退出障礙，不完整和不安全的數(shù)據(jù)刪除會(huì)對(duì)用戶造成損害，因此如何界定用戶與服務(wù)提供商的不同責(zé)任也是一個(gè)重要問(wèn)題。

四、云計(jì)算安全防護(hù)

    4.1 基礎(chǔ)設(shè)施安全

    基礎(chǔ)設(shè)施安全包括服務(wù)器系統(tǒng)安全、網(wǎng)絡(luò)管理系統(tǒng)安全、域名系統(tǒng)安全、網(wǎng)絡(luò)路由系統(tǒng)安全、局域網(wǎng)和VLAN配置等。主要的安全措施包括安全冗余設(shè)計(jì)、漏洞掃描與加固，IPS/IDS、DNSSec等�？紤]到云計(jì)算環(huán)境的業(yè)務(wù)持續(xù)性，設(shè)備的部署還須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步，鏈路捆綁聚合及硬件Bypass 等特性，實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。

    4.2 數(shù)據(jù)安全

    云數(shù)據(jù)安全包含的內(nèi)容遠(yuǎn)遠(yuǎn)不只是簡(jiǎn)單的數(shù)據(jù)加密。數(shù)據(jù)安全的需求隨著三種服務(wù)模式，四種部署模式（公共云、私有云、社區(qū)云、混合云）以及對(duì)風(fēng)險(xiǎn)的承受能力而變化。滿足云數(shù)據(jù)安全的要求，需要應(yīng)用現(xiàn)有的安全技術(shù)，并遵循健全的安全實(shí)踐，必須對(duì)各種防范措施進(jìn)行全盤(pán)考慮，使其構(gòu)成一道彈性的屏障。主要安全措施包括對(duì)不同用戶數(shù)據(jù)進(jìn)行虛擬化的邏輯隔離、使用身份認(rèn)證及訪問(wèn)管理技術(shù)措施等，從而保障靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的保密性、完整性、可用性、真實(shí)性、授權(quán)、認(rèn)證和不可抵賴(lài)性。

    4.3 虛擬化安全

    虛擬化的安全包括兩方面的問(wèn)題：一是虛擬技術(shù)本身的安全，二是虛擬化引入的新的安全問(wèn)題。虛擬技術(shù)有許多種，最常用的是虛擬機(jī)（VM）技術(shù)，需考慮VM內(nèi)的進(jìn)程保護(hù)，此外還有Hypervisor 和其他管理模塊這些新的攻擊層面。可以采用的安全措施有：虛擬鏡像文件的加密存儲(chǔ)和完整性檢查、VM 的隔離和加固、VM 訪問(wèn)控制、虛擬化脆弱性檢查、VM 進(jìn)程監(jiān)控、VM的安全遷移等。

    4.4 身份認(rèn)證與訪問(wèn)管理（IAM，Identity and AccessManagement）

    IAM是用來(lái)管理數(shù)字身份并控制數(shù)字身份如何訪問(wèn)資源的方法、技術(shù)和策略，用于確保資源被安全訪問(wèn)的業(yè)務(wù)流程和管理手段，從而實(shí)現(xiàn)對(duì)企業(yè)信息資產(chǎn)進(jìn)行統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中化的管理與審計(jì)。IAM是保證云計(jì)算安全運(yùn)行的關(guān)鍵所在。傳統(tǒng)的IAM 管理范疇，例如自動(dòng)化管理用戶賬號(hào)、用戶自助式服務(wù)、認(rèn)證、訪問(wèn)控制、單點(diǎn)登錄、職權(quán)分離、數(shù)據(jù)保護(hù)、特權(quán)用戶管理、數(shù)據(jù)防丟失保護(hù)措施與合規(guī)報(bào)告等，都與云計(jì)算的各種應(yīng)用模式息息相關(guān)。

    IAM并不是一個(gè)可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個(gè)由各種技術(shù)組件、過(guò)程和標(biāo)準(zhǔn)實(shí)踐組成的體系架構(gòu)。標(biāo)準(zhǔn)的企業(yè)級(jí)IAM 體系架構(gòu)包含技術(shù)、服務(wù)和過(guò)程等幾個(gè)層面，其部署體系架構(gòu)的核心是目錄服務(wù)，目錄服務(wù)是機(jī)構(gòu)用戶群的身份、證書(shū)和用戶屬性的信息庫(kù)。

    4.5 應(yīng)用安全

    由于云環(huán)境的靈活性、開(kāi)放性以及公眾可用性等特性，給應(yīng)用安全帶來(lái)了很多挑戰(zhàn)。云計(jì)算的應(yīng)用主要通過(guò)Web 瀏覽器實(shí)現(xiàn)。因此，在云計(jì)算中，對(duì)于應(yīng)用安全，尤其需要注意的是Web 應(yīng)用的安全。要保證SaaS 的應(yīng)用安全，就要在應(yīng)用的設(shè)計(jì)開(kāi)發(fā)之初，制定并遵循適合SaaS 模式的安全開(kāi)發(fā)生命周期規(guī)范和流程，從整體生命周期上去考慮應(yīng)用安全�？梢圆捎玫姆雷o(hù)措施有訪問(wèn)控制、配置加固、部署應(yīng)用層防火墻等。

五、結(jié)束語(yǔ)

    本文針對(duì)云計(jì)算安全風(fēng)險(xiǎn)進(jìn)行了深入的分析和探索，提出了一些較為合理的安全防范措施。但是，云計(jì)算安全并不僅僅是技術(shù)問(wèn)題,它還涉及標(biāo)準(zhǔn)化、監(jiān)管模式、法律法規(guī)等諸多方面,遵循已有的最佳安全實(shí)踐可以加強(qiáng)云計(jì)算的安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：云計(jì)算安全問(wèn)題的研究

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083979350.html