整合和服務(wù)化，云計(jì)算的遠(yuǎn)景是使IT成為普遍廉價(jià)的公共資源，如電力公司提供電力，自來(lái)水公司提供自來(lái)水，讓IT資源和服務(wù)成為任何人能輕而易舉享受到的公共資源。

3 云計(jì)算的信息安全問(wèn)題

2009年CSA(cloud security alliance，云安全聯(lián)盟)在云計(jì)算安全方面列舉并分析了所面臨的7個(gè)最大的安全威脅:對(duì)云的不良使用;不安全的API;惡意的內(nèi)部人員;共享技術(shù)的問(wèn)題;數(shù)據(jù)丟失或泄漏;賬戶或服務(wù)劫持;未知的風(fēng)險(xiǎn)。

2008年咨詢公司Gartner從供應(yīng)商的安全能力角度出發(fā)，分析云計(jì)算面臨的安全風(fēng)險(xiǎn)，發(fā)布了一份名為《云計(jì)算安全風(fēng)險(xiǎn)評(píng)估》的報(bào)告，報(bào)告中列出了云計(jì)算技術(shù)存在的7大風(fēng)險(xiǎn):特權(quán)用戶的接人、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持、持久服務(wù)。

云計(jì)算安全性的范圍很廣，包括技術(shù)、管理、立法、商業(yè)、企業(yè)持續(xù)服務(wù)等層面，而本文討論的云計(jì)算信息安全問(wèn)題是云計(jì)算安全性其中的一個(gè)問(wèn)題。在這里不討論云計(jì)算的可用性、持久性問(wèn)題，也不涉及系統(tǒng)或者件基礎(chǔ)本身的安全性，因?yàn)檫@些安全性問(wèn)題已有很多成熟的解決方案。本文主要討論云計(jì)算所帶來(lái)的新技術(shù)而產(chǎn)生的新的信息安全風(fēng)險(xiǎn)問(wèn)題。

云計(jì)算的信息安全問(wèn)題，主要是指部署在云端的數(shù)據(jù)的安全問(wèn)題。作為用戶，第一感覺(jué)是以前系統(tǒng)的所有數(shù)據(jù)都是自己掌控的，但是實(shí)施云之后，數(shù)據(jù)有很大一部分層面是對(duì)用戶屏蔽了，用戶自己掌控不了其中的安全性。云計(jì)算系統(tǒng)儼然成為一個(gè)黑盒子，那把數(shù)據(jù)放在這個(gè)黑盒子是否安全呢?

排除本文討論范圍以外的，如可用性、內(nèi)部管理、運(yùn)營(yíng)等問(wèn)題，總結(jié)出云計(jì)算信息安全存在如下風(fēng)險(xiǎn)。

(1)應(yīng)用部署安全風(fēng)險(xiǎn)

任何一個(gè)持有有效信用的人都可以注冊(cè)并立即使用云平臺(tái)，網(wǎng)絡(luò)犯罪分子可以基于云平臺(tái)部署各種攻擊服務(wù)或各種惡意軟件，攻擊互聯(lián)網(wǎng)上的任何用戶，更嚴(yán)重的是，在云計(jì)算平臺(tái)內(nèi)部部署的惡意軟件能直接從內(nèi)部對(duì)云計(jì)算平臺(tái)進(jìn)行服務(wù)攻擊、信息竊取等安全攻擊。

(2)API安全風(fēng)險(xiǎn)

云平臺(tái)的安全性很大程度上取決于API的安全性。用戶使用這些API管理和交互相關(guān)服務(wù)，這些API的設(shè)計(jì)必須能夠防御意外和有惡意企圖的行為，避免產(chǎn)生安全漏洞以被網(wǎng)絡(luò)犯罪分子所利用進(jìn)行攻擊。

(3)虛擬化環(huán)境安全風(fēng)險(xiǎn)

在IaaS層均需要充分利用虛擬化和共享技術(shù)實(shí)現(xiàn)動(dòng)態(tài)可擴(kuò)展功能，用戶數(shù)據(jù)在云平臺(tái)中是被動(dòng)態(tài)分配的，利用這些技術(shù)并不能很安全地在多用戶架構(gòu)中提供強(qiáng)有力的隔離能力，這樣就給攻擊者帶來(lái)了很多便利，利用不完善的訪問(wèn)控制、過(guò)度使用的共享技術(shù)，能把惡意程序傳播到云平臺(tái)的其他服務(wù)中。

(4)數(shù)據(jù)訪問(wèn)權(quán)限風(fēng)險(xiǎn)

從云計(jì)算的整體技術(shù)架構(gòu)來(lái)看，除了中央數(shù)據(jù)服務(wù)器外，用戶數(shù)據(jù)存儲(chǔ)在哪片“云”上無(wú)人知曉，精準(zhǔn)盜取數(shù)據(jù)的難度很大，但云計(jì)算的數(shù)據(jù)訪問(wèn)權(quán)限存在漏洞，就很容易產(chǎn)生風(fēng)險(xiǎn)。當(dāng)用戶把數(shù)據(jù)交給云計(jì)算服務(wù)商后，服務(wù)商則擁有了該數(shù)據(jù)的訪問(wèn)權(quán)限，云計(jì)算平臺(tái)供應(yīng)商由于自身管理原因，會(huì)導(dǎo)致偷窺、泄漏用戶的數(shù)據(jù)和程序的風(fēng)險(xiǎn)。而由于云計(jì)算提供的服務(wù)面向所有公眾，允許各種各類用戶進(jìn)行操作，若因?yàn)槟承?quán)限漏洞，致使非法用戶得到數(shù)據(jù)，也將會(huì)使數(shù)據(jù)的安全性受到致命威脅。

(5)數(shù)據(jù)存儲(chǔ)與傳輸安全風(fēng)險(xiǎn)

由于云服務(wù)面向所有公眾，其中不乏涉密信息，如果數(shù)據(jù)存儲(chǔ)與傳輸?shù)貌坏絿?yán)格加密，一旦丟失，將會(huì)造成更嚴(yán)重的損失。另外在云計(jì)算中也無(wú)法像以前傳統(tǒng)系統(tǒng)部署中通過(guò)安全域定義來(lái)實(shí)施安全邊界和數(shù)據(jù)保護(hù)。

4 云計(jì)算的信息安全方案

上述分析的云計(jì)算信息安全風(fēng)險(xiǎn)，是自上而下，從應(yīng)用到存儲(chǔ)來(lái)分析的，需要對(duì)這些風(fēng)險(xiǎn)進(jìn)行安全加固和規(guī)避，以提高云計(jì)算信息安全的保障。下面將從3個(gè)層面對(duì)云計(jì)算的信息安全風(fēng)險(xiǎn)進(jìn)行安全方案的描述，分別是數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全網(wǎng)，然后再給出當(dāng)前國(guó)內(nèi)外關(guān)于云計(jì)算信息安全相關(guān)解決方案的成果。

4.1數(shù)據(jù)安全

數(shù)據(jù)安全是指保存在云服務(wù)系統(tǒng)上的原始數(shù)據(jù)信息的相關(guān)安全方案，包括數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)隔離、數(shù)據(jù)加密和數(shù)據(jù)訪問(wèn)。

(1)數(shù)據(jù)傳輸

在云計(jì)算內(nèi)部，除了服務(wù)本身需要的數(shù)據(jù)傳輸外，還有更多因動(dòng)態(tài)調(diào)整而引起的數(shù)據(jù)傳輸。這部分?jǐn)?shù)據(jù)面臨的最大威脅是直接通過(guò)明文傳輸，而沒(méi)有采用任何加密措施。在云計(jì)算內(nèi)部的傳輸協(xié)議也應(yīng)該能滿足數(shù)據(jù)的完整性，因此應(yīng)采取安全傳輸協(xié)議，但其當(dāng)前的相關(guān)