研究并不因云計算而有所改動，在這里就不再描述。

(2)數據加密

為了更好地加強云計算的安全性，需在數據存儲上增加數據的私密性，既能保證文件的隱私性，又能實現數據的隔離和安全存儲。如亞馬遜的S3系統(tǒng)會在存儲數據時自動生成一個MDS散列，免除了使用外部工具生成校驗的繁冗，有效保證數據的完整性;如IBM設計出一個“理想格(ideal lattic)”的數學對象，可以對加密狀態(tài)的數據進行操作。基于這些技術，企業(yè)可以根據不同的情況，選擇不同的加密方式來滿足不同的加密需要。

(3)數據隔離

云計算中并不是所有數據都適合進行數據加密，加密數據會影響數據服務的效率。對于PaaS和SaaS應用來說，為了強調運行效率等方面的“經濟性”，非法訪問還是會發(fā)生的，因此需要通過實施數據隔離來解決。在云計算環(huán)境下，系統(tǒng)的物理安全邊界將會逐步消失，轉而替代的是邏輯安全邊界，因此應該采用VLAN或者分布式虛擬交換機等技術來實現系統(tǒng)數據的安全隔離。

(4)數據訪問

數據訪問tee的策略，也就是數據訪問權限控制，可以通過安全認證的技術來解決。通過統(tǒng)一單點登錄認證、資源認證、協同認證、不同安全域之間的認證或者多種認證方式相結合的形式，對用戶身份進行嚴格審查，對數據進行操作前，一定要對操作者身份進行嚴格核查。另外在權限的合理分配方面也要做好規(guī)劃和管理。而數據訪問的監(jiān)視和日志審計也必不可少，特別是對敏感信息的操作，要做到可溯源。

4.2應用安全

從云計算提供商的角度出發(fā)，描述從應用層面應當如何充分考慮來自外部的風險。

(1)IaaS應用—虛擬化安全

IaaS云計算提供商將用戶在虛擬機上部署的所有應用都看成一個黑盒子，他們完全不會干涉所部署應用的管理工作和運維工作，僅負責提供基礎資源。在IaaS應用中，用戶應負責其應用程序的部署和管理，程序的安全性也應由用戶考慮。IaaS應用提供商利用虛擬化等技術，根據用戶的需求提供基礎資源，虛擬化的安全性是云服務商負責的，在4.3節(jié)將討論到。

(2)PaaS應用—API安全、應用部署安全

PaaS云計算提供商給用戶提供在IaaS之上，依照平臺的接口規(guī)范，部署由用戶開發(fā)的平臺化應用或采購現成的中間件產品。PaaS云計算提供商關注的安全問題包括兩個方面:PaaS平臺自身的安全風險和用戶部署在PaaS平臺上的應用的安全風險。

PaaS平臺自身的安全風險，主要包括對外提供API的安全和PaaS應用管理的安全。對于PaaS的API安全問題，目前國際上并沒有統(tǒng)一的標準，這對云計算API的安全管理帶來了不確定性;而PaaS應用管理方面，核心的安全原則就是確保用戶的數據只有用戶自身才能訪問和授權，實行多用戶應用隔離，不能被非法訪問和竊取。在這種環(huán)境下，PaaS平臺應提供平臺的保密性和完整性，云服務提供商應負責監(jiān)控PaaS平臺的缺陷和漏洞，及時發(fā)布補丁更新，解決安全漏洞。

用戶部署在PaaS平臺上的應用安全風險，對于云提供商來說主要是對客戶部署程序的安全審查，排除有意或無意的惡意程序甚至病毒的部署。因為用戶申請要部署的程序，無論是自行開發(fā)的還是采購的，均有安全的不確定性，因此云服務提供商需要對申請部署的程序進行嚴格的安全審計，包括非法代碼、不安全代碼、存在漏洞的代碼的檢測，并需與用戶一起對審計的結果進行分析和修正。當前這方面沒有標準，因此需要各云服務商提供此安全審計要求。

(3)SaaS應用—服務安全

SaaS云計算提供商給用戶提供的是靈活方便地使用在云計算服務端中的各種應用。SaaS云計算提供商應必須確保提供給用戶的應用程序的安全性，而用戶只需對訪問云端應用的終端的安全負責，如終端自身安全、客戶端的訪問管理等。在SaaS平臺層，云服務提供商應重點關注所提供服務的安全性，可參考當前對軟件安全性的相關考慮方案進行評估和審查。

4.3虛擬化安全

虛擬化安全是云計算最基礎部分IaaS的重要技術手段，對虛擬化技術的安全性進行分析，對整個云計算的安全性來說是堅實的一步。基于虛擬化技術的云計算信息安全風險主要有兩個方面:虛擬化軟件產品的安全和虛擬主機系統(tǒng)自身的安全。

(1)虛擬化軟件產品安全

虛擬化軟件產品是直接部署在裸機之上，提供創(chuàng)建、啟動和銷毀虛擬主機的能力，對虛擬主機進行管理的一種軟件。實現虛擬化的技術不止一種，可以通過不