云计算的安全问题(6篇)

云计算的安全问题篇1

关键词：云计算；计算机网络；安全问题

中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）14-3253-03

云计算是继计算机、互联网出现后信息领域又一次改革，云计算的应用使各个企业能够对先进信息技术进行更好更快的利用，能够降低企业前期的运营成本，将企业的可获利润最大化。但是云计算在给各行各业带来福利时，云计算安全事件也时有发生，由云计算问题引发的计算机网络安全信任危机也愈演愈烈。如2011年3月大约有15万GoolgeGmail用户的邮件和聊天记录被删除和恶意使用，部分用户账户信息被重置；2011年8月Microsoft和Amazon在欧洲的云计算网络大规模停机，多家网站被同时关闭，数小时后才恢复正常，这些云计算安全事故严重地影响了用户使用云服务的信心，据MorganStanley在2011年关于云计算的调查结果表明，将近80%的用户对云服务的安全性表示担忧。因此，在研究云计算的技术架构和面向社会服务模式的同时，也要从企业商业机密安全和网络用户私人信息安全角度，对云计算时代所面临的计算机网络安全威胁和相应的应对措施进行深刻的探讨和研究。

1云计算的基本概念和发展现状

1.1云计算的基本概念

云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物，云是网络、互联网的一种比喻的说法，能提供资源的网络即可称为“云”，过去在图形中往往用云来作为互联网的一种抽象表示。云计算就是把所有的数据处理任务都交给计算机网络来处理，有功能超级强大的数据处理中心负责处理客户电脑上的一切数据任务，这样就可以通过一个数据中心同时向多个用户提供服务，从而节省了企业的硬件资源，与传统的互联网应用模式相比，云计算能够从各个方面确保服务的灵活性、高效性和精确性，能够为用户带来更完美的网络体验，能够为企业创造更多的利润。

1.2云计算的发展现状

随着全球信息化的步伐逐渐加快，计算机所需存储的数据和所需处理的数据也急剧增加，传统的互联网应用模式和计算机网络系统已不能满足社会飞快发展的需求。于是，在2007年，Goolge首次提出了云计算这个概念，这种新的网络应用模式使企业能够充分对数据资源进行研究，使得数据收集和数据处理能够在同一平台上进行，云计算的出现彻底打破了地域的概念，使得资源可以跨地域存储。但是，目前各个公司所开发和运营的云计算业务还不够成熟稳定，云计算的数据存储和处理对于用户而言，就像一个黑匣子，用户不知道自己的私人信息到底存储在哪里以及将以何种方式进行处理，而且，云计算的数据处理方式和效率相当不稳定，非常不可控，这对于数据私密性不强的用户而言算不上问题，但对那些数据私密性要求较高的用户来说，云计算频繁出现的安全问题，会给他们带来很多安全隐患和威胁。从目前云计算的发展情况来看，用户数据的安全、用户隐私的保护、数据的跨区域存储以及云计算本身的稳定性和高效性等诸多问题是影响云计算发展的重要阻碍，而且能不能保证用户的数据和隐私的安全，是用户是否选择云计算的重要前提条件。

2云计算的服务系统架构

云计算及其发展而来的云安全就是云计算服务方式的改变，目前，国际大型IT公司已经陆续建立起自己的云计算服务终端以及向外提供各种云计算服务业务，如2011年7月，“盛大云”平台正式开放公测；2011年10月，在阿里巴巴开发者大会上，阿里云计算正式旗下的云计算产品与服务；2012年初，华为cloud+个人云、HWcloud公有云服务开始测试等等，根据美国国家标准与计算机研究院的定义，当前的云计算服务体系架构可以分为3个层次：1）基础管理层，基础管理层主要是解决计算机资源的共享问题，主要可以分为集群系统、分布式文件系统、网络计算、并行计算等几个方面，它们可以将IT基础设施以服务的形式供用户自由使用，主要包含服务器、数据存储和网络等资源，如Amazon的弹性计算云、IBM的蓝云等。2）应用接口层，应用接口层主要是解决以何种方式对外提供服务，包含网络接入、用户验证、权限管理等几个方面，是一种由云计算服务商集中部署的应用系统，客户进行互联网访问的一种服务接口，如公用API接口、应用软件、Webservice等。3）访问层，访问层是指云计算所提供的一些具体的应用，它将满足某种应用需求的平台以服务的形式提供给用户，如：个人空间服务、运营商空间租赁企事业单位或SMB实现数据备份、网络大容量在线存储等。

3云计算的安全问题

云计算的吸引力主要在于其拥有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等显著性的优点。然而任何以互联网为基础的应用都存在着一定的危险性，云计算也不例外，云计算的安全问题可以从传统安全问题和新出现的安全问题两大方面入手。

3.1传统安全问题未能有效的解决

3.1.1不安全的API

API（应用程序编程接口）的安全性是云计算保证用户数据安全的基本保障，通常云服务的安全性和处理数据的能力与API的安全息相关，云计算服务商需要提供大量的网络接口和API来整合上下游、寻找业务伙伴，甚至直接提供业务，所以这些API接口的设计必须能够防御意外和恶意企图的信息泄露行为，以确保用户认证、加密和访问控制的有效性。然而传统API的性能并不理想，在针对网络接口和API上都还不够成熟，在一些通常运行于后台相对安全环境的功能被开放出来之后，就会给云计算服务带来新的安全威胁。

3.1.2审计功能不完备

传统服务提供商需要对用户信息进行外部审计和安全认证，但一些云计算提供商却拒绝接受这样的审计服务，而且，用户只需要提交自身原始数据，数据的运算过程全部由云计算服务器处理，最终结果也直接通过云计算服务器提供，用户无法参与数据运算过程也无法审计运算结果，使得原始数据提供者承担了更多的责任和义务，除此之外，使用云计算的用户对自己数据的完整性和安全性负有最终的责任。这种审计功能的不完备性，使得用户要蒙受更多的损失，严重影响了用户对使用云计算服务的信心。

3.1.3非法用户的侵入

云计算在给用户带来快捷运算的同时，也给用户的信息安全带来威胁。黑客攻击、病毒传播、用户信息被盗等这些不法行为也同样可以发生在云平台上，而且云平台相比传统互联网服务具有更大的开放性和动态性，所以其影响范围也将远远高于传统互联网，当云计算平台受到黑客攻击时将对所有的云服务产生影响，并且黑客还可以利用云计算工具将攻击范围大大扩张。

3.2云计算新出现的安全问题

3.2.1业务定位模糊

云计算服务集成了互联网内容服务、数据存储、内容分发等业务，并扩大了经营范围。由于其庞大的服务范围和业务模式，所以根本无法简单的将云计算进行电信业务分类，就更谈不上与之相对应的业务服务体系和执行标准了。同时，当前云计算服务发展参差不齐，大到政府投资建设的、规模达数十亿的云计算中心，小到某一智能终端厂商开发的云计算软件商店，都没制定出相应的服务条例和管理规则，导致云计算服务行业没有一个统一的标准去执行，这也大大增加了云计算服务出现安全事件的可能性。

3.2.2数据恢复难度大

云计算环境下，用户数据在众多“云”粒子终端运算，用户不知道数据存储的位置，在发生安全事故时，云服务商不能及时的告知用户他们所存储的数据遇到了怎样的情况，用户也就无法对所需运输的数据进行及时的处理。如：当用户的数据正在运算过程中，突然遭遇断电等突发事件，用户的数据将无法保证。由于数据存放地点不清楚，数据恢复更是无从谈起。而且也有可能被不法份子趁机盗取，给用户造成巨大损失。

3.2.3复杂的合法规则性需求

云计算服务是面向全世界的一种计算机网络服务，每个国家都有权利制定相应的法律对云计算业务进行监督管理，而不同国家所制订和执行的法律之间，总会存在些许差异，这就对跨国运营的云计算提供商提出了比较大的挑战，使得云计算的跨国合作更加困难。

4云计算安全问题的解决措施

4.1完善相应的法律法规和技术规范

理论是实践的基础，是实践的指导军师，所以必须基于云计算的技术发展和业务模式，尽快制定完善的法律法规和技术规范，使得云计算行业有统一的执行标准和服务条例。如出台数据保护法、建立云计算平台网络安全防护制度与应急处置预案、明确云计算服务提供商信息安全管理责任等。

4.2建设更有针对性的监控手段

云计算服务进一步降低了互联网业务的开发和应用门槛，并为信息创造了更快捷、更廉价的传播渠道，这不仅为用户带来了便利，同时也为企业带来了福利。但是就是因为其有利可图，所以需配套建设有力的技术管控手段，来确保云计算服务行业的和谐与干净，如开发数据审计系统、违法信息和有害信息的发现和过滤系统、用户信息验证系统等等

4.3建立云计算服务分级分类管理制度。

由于云计算服务范围空前的广泛，使得对其的管理难度也空前的巨大，但是我们可以采用“模块化”思想，将云计算服务按照使用对象、使用范围、业务模式划分为不同的安全等级要求，如根据使用对象划分分为面向政府、企业和普通用户的云服务，根据使用范围划分为私有云、公有云、混合云等，根据业务模式划分为提供信息、软件和基础设施资源的云服务，并根据每个等级的特点和需求制定安全防护标准和等级保护制度。除此之外，还可以建立诚实可信的第三方公共云服务平台，如由中小企业提供的云服务平台、由政府独自开发的公共云服务平台等等。

4.4积极自主研发新技术

我国对云计算的研究与应用要晚于欧美发达国家，在云计算核心技术方面的研究也严重不足，拥有自主知识产权的技术也较少，所以我国应该建立相应的云计算研究部门，自主开发研究云计算新技术，在一些重要的信息技术和网络设施要尽量使用我国自主研发的，这样才能促进我国云计算技术的发展，才能缩短与先进国家的差距，使我国的云计算服务安全性能更高，使国内用户能够放心地、乐意地使用云计算服务。

5结束语

在信息化时代的今天，云计算将会越来越普及，云计算的安全也会越来越受重视，云计算的发展在给人们带来便利灵活、高效处理数据能力的同时，也给人们带来了许多未知的安全威胁，对于服务商来说，如何保证用户的重要数据和私人信息的安全？对用户来说，如何相信云计算服务能够保证自身数据的安全？这两方面问题将是云计算发展道路上必须解决的问题。所以，我们需要对云计算不断的深入研究，尽快完善云计算各个方面，让云计算为我们提供高质量且稳定可靠的服务。

参考文献：

[1]钱煜明，陆平，赵培.云计算的开放架构设计[J].中兴通讯技术，2011（2）.

[2]冯登国，张敏，张妍，徐震.云计算安全研究[J].软件学报，2011（1）.

[3]韩勇刚.云安全与SaaS[J].网络安全技术与应用，2009（7）.

[4]陈尚义.云安全的本质和面临的挑战[J].信息安全与通信保密，2009（11）.

云计算的安全问题篇2

中标软件有限公司总经理，中国软件高级副总裁，研究员级高级工程师，"核高基"国家科技重大专项总体专家组成员，任中国软件行业协会常务理事，开源及基础软件技术创新联盟理事长。

2013蛇年伊始，科技部副部长曹健林公开解读了中国云计算发展及其将给国人生产生活带来的变化。他指出：云安全仍然是影响云计算发展的最关键问题。我们要发展信息安全特别是云安全技术，同时，相关法律法规的健全也迫在眉睫。

云计算带来新安全风险

作为第四次IT革命的云计算是当今主流技术（虚拟化、分布式存储、分布式计算、SOA、应用调度等）的优化整合提升，给传统IT服务带来新的商业模式。

云计算除了资源整合共享导致成本降低之外，最核心优势就是能够快速地满足商业市场变化的需求。

但是，正如老子道德经所云“祸兮，福之所倚；福兮，祸之所伏”，云计算也带来了新型网络威胁、数据安全和隐私泄露的风险，甚至在全球范围内已经发生诸多云计算安全事件。

美国《NetworkWorld》杂志2011年曾专门列出了全球发生过的十个最严重的云服务中断事故，包括亚马逊、谷歌、Salesforce和微软在内的多家云服务提供商都曾因为云安全事故而遭受到不同程度的打击，业务损失严重，微软公司甚至因此全面停止提供Sidekick智能手机的云数据服务。

因此，如何更好地建立企业云计算的安全技术和安全策略管理标准体系，从而有效避免云计算所带来的安全隐患，已成为行业日益关注的焦点。

在采用云计算之前，企业通过安装阻止非法访问内部网络的硬件防火墙来定义安全边界，也通过密码认证等方式来限制和阻止非法用户的访问。在移动用户很少和所有数据都在企业内部的时代，这些安全策略是完全可行的。

进入云时代之后，情况出现了极大的变化：访问连接无处不在、信息交换多种多样、之前信任的安全边界被云计算不断破坏与重组。因此，传统静态的安全控制已经无法满足云时代的动态特性。云计算的安全技术、安全策略、目标和防范措施都要求企业具有创新思维，要求企业重新定义企业网络安全边界。

解决云计算特有安全问题

不管采用什么云服务模型（IaaS、PaaS和SaaS）或云部署方式（公有云、私有云、混合云和社区云），要满足云端时代的安全需求，传统信息安全的五大方面（加密、访问控制、审计、认证、授权验证）都需要解决云计算特有的问题，如资源虚拟化、多租户、动态分配、特权用户以及服务模式等云计算特性，造成信任关系的建立、管理和维护更加困难，服务授权和访问控制变得更加复杂，网络安全边界变得模糊等，这些问题要求在现有安全技术基础上提供更多的云安全技术和方案来解决。

正是在这样的云时展大趋势下，中国电子信息产业集团于2012年先后成立了两家专注于信息安全的企业：中电信息技术研究院和中电长城网际。

秉承中央企业保障国家基础信息网络和重要信息系统的安全为使命，以面向国家重要信息系统的高端咨询和安全服务业务为主线，着眼于信息化发展的大趋势和信息安全对抗的严峻局面，立足产业、突出国家信息安全顶层设计，提高国家信息安全咨询与服务能力，带动产品技术的不断创新和产业化发展，为国家信息安全保障体系提业支撑。

云计算的安全问题篇3

云计算技术是在近些年比较流行的网络技术，对网络的整体发展起到了重要推动作用，云计算技术的应用对人们的多样化网络需求得到了很大程度的满足。而云计算环境下的网络安全问题在当前的技术应用中也比较突出，需要从多方面加强对网络安全问题的解决，在这一发展需求下加强对网络安全理论研究就有着实质性意义。

1云计算的特征体现以及服务系统架构分析

1.1云计算的特征体现

云计算主要是在扩展方式下进行对网络资源搜索以及获取，在支付以及使用方面是建立在TT设施上的，从云计算自身的特征体现方面也较为明显。云计算这一系统的运行规模较大，要比本地管理系统运行规模强大，通常通过管理成千上万台服务器。云计算在虚拟性的特征上也比较明显，网络用户能够在这一系统下对所需的资源以及服务得以获取，对云计算的准确位置也不需进行确定，只要能够有终端即可。除此之外，在云计算的通用性特征以及可靠性特征方面也比较显著，在计算节点同构和多数据副本容错下对资源分配失误率得到了降低，所以在可靠性方面较强，并且还能对不同应用能够兼容，通用性特性也比较强。

1.2云计算的服务系统架构分析

云计算的不断发展过程中，已经有比较大型的公司对属于自己的计算机服务终端和向外提供云计算的服务业务进行了建立，从而对自身的发展以及市场竞争力的提升就有了保障。云计算服务系统的架构主要分为三个层次，也就是应用接口层、访问层、基础管理层。其中在应用接口层方面是对对外服务进行提供的，有用户的验证以及网络接入和权限管理等，这也是云计算服务上比较集中部署的应用系统。而在基础管理层的架构方面主要是对资源共享进行解决的，例如在数据的存储以及服务器等资源方面。最后就是访问层的架构，这一层是提供具体化的应用来满足网络用户的，例如在运营商空间租赁事业单位的数据备份以及个人空间服务等等应用。通过云计算服务系统架构就能够在网络用户的需求满足程度上有效提升。

2云计算下网络安全问题及优化策略探究

2.1云计算下网络安全问题分析

云计算下网络安全的问题是多方面的，其中在数据的存储以及通信安全方面体现的比较明显。数据存储的安全性对网络健康和稳定发展有着直接影响，实际应用中用户在广域网作用下能实现数据共享，而存储的方式也是在单机存储方式下进行实施的，并且存储安全性也是在系统防护以及数据通信过程安全所决定。云计算环境下存储安全是和云服务提供商有着直接关系，所以一旦在提供商的信用度下降以及技术水平的滞后下，就必然会影响数据存储的安全性。并且在数据的通信安全问题也是比较突出，主要是系统入侵以及篡改数据等问题造成的终端通信不能顺利完成。再者，云计算下网络安全问题还体现在使用环境的安全性层面，使用环境对网络安全的影响时比较突出的，也是最为基础的。在计算机网络的使用中主要是依靠着软硬件共同结合下进行建立的完整应用系统，在自然环境的影响下一些电磁波和潮湿等都会对网络安全产生影响，由于在云计算下网络数据存储的管理模式有了很大的变化，所以在使用环境上也就要求更高。除此之外，云计算下的网络安全还体现在虚拟环境的安全以及身份认证的安全性等层面，要及时的对这些问题加以解决，进而保障网络安全。另外，云计算技术的应用对传统的信息安全领域所产生的影响也比较大，云计算的服务提供上在网络安全方面有保证吗，会不会在数据管理方面存在着漏洞等等，这些方面的问题都需要得到及时的解决。而在客户运用云计算提供的服务过程中也要能够充分重视，云计算服务提供商在安全性以及数据的安全方面要能进行衡量，当前的云计算服务提供商的诸多层面还有着相应问题需要解决，只有一些基础性的问题得到了解决才能真正的促进网络安全的健康发展。

2.2云计算下网络安全优化策略探究

（1）对云计算下网络安全的优化策略实施要从多方面进行实施，可通过建立虚拟化技术安全防护体系加强对网络安全的防护。从目前的发展来看，虚拟化作为云计算服务上所提供的按需服务技术手段，其中的网络架构以及计算机资源等在对虚拟化的技术支持上有着很大的发展，在个性化的存储计算以及资源分配上都有着较为科学化的发展。通过虚拟化技术支持的安全防护体系，就能有效的保障网络的安全。（2）通过对云端数据防护也能对网络安全从一定程度上得到保障，在云端数据库的引入下能够为用户带来很大方便，云计算服务提供商要能在云端数据库的维护力度层面得到进一步加强，可通过建立相应规章制度对自身高信用水平得以保障。然后就是加强创新力度，来消除用户对个人信息泄露的担忧，在用户自身的安全防范意识也要加强，可利用数据加密方式对自己比较重要的信息实施加密处理，这样在数据安全的保障上才能良好维持。（3）从技术层面加强对云计算下网络安全的防护，可从对云计算网络框架进行构建，从而强化云计算的使用环境，有需要还要对云计算运行网络实施监测，从具体的措施实施层面来看，主要就是要能够对云计算的软件及时更新，对漏洞所造成的数据丢失问题加强防护。还要能够对用户数据隔离机制加强构建，从而来保障虚拟环境的安全性，用户也要对云计算网络的一些理论能及时的掌握了解，通过对云加密技术的灵活运用能从很大程度上保障网络安全。（4）对电子邮件以及保存的文件都要采取加密防护的措施，使用信用比较好的服务，要对隐私声明详细的阅读。只有从多方面对云计算网络安全的防护充分考虑，才能够真正的保障云计算网络的安全。除此之外，还要能够对云安全模式加以利用，在云端以及客户端的关联耦合方面要充分重视，要对云端超强计算能力加以充分利用，从而来保障云模式的安全检测和防护，这也是后续工作比较重要的发展方向。在对云端检测计算能力快速定位解析安全威胁中，要能够将安全威胁协议特征推送到安全网关，这样就能将云端和客户端的耦合得到有效加强。（5）将运营管理的安全策略实施要进一步深化，云服务商不只是要在合同基础上进行自我约束，从而来实现数据信息的安全性，另外也要能够将第三方认证进行引入，从而来对企业信誉以及合约约束手段进行完善。然后要能够对服务质量以及技术层面的支持进行规范化，只有将自身的信誉得到了提升，才能够真正获得更多客户的支持。在第三方的认证上能够有效将双方信任关系得到提升，而在中立机构层面也能够对双方起到有效约束作用，信息的安全领域单从技术上是很难实现绝对安全的，所以这就需要在信誉以及合同等手段来进行保障网络的安全。（6）加强云计算下网络服务端的优化，通过多种技术对用电环境进行保护，同时也能通过虚拟化技术将多台物理服务器虚拟为大型逻辑服务器。然后将存储设备和服务器进行统一化的管理，在操作系统层面，针对系统的漏洞要能及时的下载补丁进行防护，通过对入侵检测系统的有效应用等对网络安全风险进行降低。从客户端方面的优化来看，就要能够在病毒防范以及入侵防护和数据加密等方面进行有效保障，这样才能够真正的使网络的安全得到有效保障。

3结语

总而言之，在当前的网络迅速发展下，在云计算环境下的网络安全防护也要能得到重视，面对实际的网络问题要及时的进行分析，采取针对性的措施进行防护。只有从技术上以及理念上对网络安全的问题得到充分重视，才能够有效的防范网络安全中的一些具体问题，这样才能进一步的促进我国网络的健康发展。此次主要对云计算特征和体系架构进行了阐述，然后对网络安全问题以及防护措施进行了相应分析，由于受到篇幅限制不能进一步深化探究，希望对我国的网络安全防护提供一些有益发展思路。

作者:邱敏单位:南京高等职业技术学

引用：

[1]曾志峰，杨义先.网络安全的发展与研究[J].计算机工程与应用，2014.

[2]邱燕燕.网络安全与伦理建设[J].情报杂志，2013.

[3]马婷婷.浅谈计算机网络安全[J].人民长江，2013.

[4]郭翠英，刘元明.漫谈网络安全[J].科技情报开发与经济，2014.

云计算的安全问题篇4

【关键词】计算机云安全应用对策分析

计算机的发展使人们充分利用云安全技术进行杀毒和管理，科技越是发达，其中面临的漏洞几率就越大。云安全作为计算机的核心部分，计算机中的全问题及病毒的查杀问题都依靠云安全进行的；文章经过对云安全进行分析，总结了云安全目前存在的种种问题，并探讨了云安全技术的缺陷导致其面临的风险，以及给人类社会发展和计算机发展带来的巨大影响。文章简述了云安全的意义及作用，并且探讨了云安全存在的风险；以及云安全在社会中的应用，将云安全技术及其实现的对策进行探讨；云安全虽然能够给人类社会带来巨大的经济效益及网络安全问题，但其存在的风险也给人类社会带来严重的威胁；因此，必须严格对待云安全问题。

1云安全简述

1.1自云安全产生

从云安全技术产生，就得到了社会的认可，它是计算机网络技术中安全问题的解决的代表，也是计算机网络中至关重要的一项技术；首先，云安全能够将计算机网络中出现的病毒及木马进行查杀；能够将计算机进行安全检测并找出其中存在的未知的病毒；能够及时反映病毒的状态及其相关信息；并且将其处理以防止由于病毒的出现给计算机网络带来的巨大风险及损失。

1.2云安全应用

云安全的使用，降低了计算机网络被病毒恶意破坏的情况；杀毒软件只能针对目前的状态进行杀毒，而在以后，计算机网络的发展，杀毒软件不能适应其发展，完成不了对其进行杀毒保护的作用。所以，这就依靠云安全的技术的应用，云安全不仅仅只是针对计算机网络进行杀毒；它是通过计算机独有的网络化的特点进行网络化的保护，利用网络化的科技将病毒进行网络化查杀，并及时记录、整理查杀病毒的数据。

1.3云安全通过网络科技化对计算机进行保护

将病毒进行网络化的查杀，不仅给计算机带来了保障，同时也是计算机中的起到关键性作用的一项技术；通过对网络进行系统化的检查和检测，将互联网中出现的病毒、木马、对计算机有害的恶意程序进行查杀处理；将问题进行分析、处理。使整个互联网中都具有云安全保护措施，形成一个庞大的保护系统；使计算机网络具有强大的安全保障。

2云安全技术应用

2.1资源池的建立

在传统的云安全技术中，资源池采用的是“烟囱是IT”的形式；而对于云安全技术而言，在改变原有模式的基础上进行创新，通过云计算的方法进行虚拟资源池的搭建；这种虚拟化资源池的搭建需要物理资源的应用，应用云计算将物理资源进行虚拟化改造从而形成资源池。这种利用云计算技术进行虚拟资源池的搭建的方法，能够实现不同平台、不同区域的工作兼容；目前，大多数企业具有多元化的平台形式，需要的资源类型也逐渐多样化。因此，资源池的建立中，云技术的使用尤为重要。

2.2现阶段云安全解决方案

作为现代计算机网络技术的保护者――金山毒霸云安全，其产生与应用是受到计算机网络中存在的木马等危险形式的逼迫下而产生的。它是目前计算机网络中一种保护及杀毒的软件系统，能够抵抗不安全因素的侵入，避免了出现的病毒给计算机网络造成的严重的后果。金山毒霸云安全中分为三个层次，一是客户端，二是集群服务客户端，三是所开放的平台。

2.3云安全技术中存在的问题

根据大量资料及实践案例，分析了云安全中存在的问题。（1）管理不到位。云安全面对的是一个庞大的网络系统，其信息量特别大，对于云安全来说，信息及数据的储存及管理尤为重要；由于云安全不能将储存的数据进行良好的管理，可能锤出现数据丢失从而造成严重的损失；（2）共享功能不完善。云安全对于计算机网络体系至关重要，因此其出现一点点的漏洞都会给计算机网络带来严重的后果。计算机具有共享的技术，能够将数据进行共享，提高效率；云安全在共享这项技术还存在的一定的缺陷；（3）内部保护工作不完善。云安全的保护作用非常重要，因此，对于企业来说需要将内部工作做好，对于每个员工进行严格的检查，进行云安全的保护工作，使其不会因为人员的泄露而给云安全带来威胁，尤其是企业的供应商，选择员工要严格检查。（4）身份验证不完善。在云安全中，其中很多资料储存在云计算当中，云计算没有进行身份验证或者登陆安全验证时，会造成云计算受到病毒侵入，严重影响云安全。（5）其它程序干扰。在云安全中，企业在开发程序的同时没有进行严格的处理，没有将保密文件进行保护，而是完全依赖云安全；在开发室并没有应用云计算进行严格的检测，导致其他程序接入时可能造成病毒。（6）云安全措施没有完全应用。计算机的科技化，使人们依赖计算机工作，大量隐私及保密文件都储存在计算机中，部分不法分子可以通过黑客进行计算机侵略，将隐私文件盗走并泄露，严重破坏计算机的安全隐私；但是，云安全中的云计算完全可以做到对隐私的保护，对黑客的防御，而云计算并没有得到良好的运用。

3结语

云安全是据算计网络安全的保障，是人类计算机网络及科技生产中的重要保障；它不仅能够防治计算机被恶意程序侵入，还能够对病毒进行查杀；云安全虽然可靠，其中也存在一定的风险；面对其风险，不仅要严格管理云安全中的每个程序，还要将云安全使用情况进行分析、检查。避免云安全漏洞的产生，为社会及计算机网络安全做保障。

参考文献：

[1]李振汕.云安全面临的挑战及其解决策略[J].网络安全技术与应用，2012（2）.

[2]吴涛.浅谈云计算及云安全[J].信息安全与通信保密，2012（2）.

云计算的安全问题篇5

关键词：云计算；安全；用户；供应商；互审

中图分类号：TP393文献标识码：A文章编号：1009-3044（2012）30-7196-03

云计算服务供应商以专业的数据资源组织与分配，低成本建立大型数据中心，使得云计算在商务活动中获得广泛认同。规模经济的发展增加了云计算服务供应商的收益，也降低了用户的成本。云计算的即时服务模式使得服务供应商通过统计复用实现优化资源利用，更让用户通过动态标度避免了资源预留空间的费用支出。然而，安全问题也迎面而来，许多学者、公司决策者以及政府工作人员认为安全问题成为提速与推广云计算的明显阻碍[1]。对于许多关键业务级运算，云计算会由于种种问题而显得不可取，例如：服务可用性、数据保密以及荣誉命运共享问题等等。另有一些人批评“云计算”一词含义太广[2]。事实上，云计算包含了如“软件即服务”的既成模式，而这种随需而变的计算工具的基本概念则可以追溯到早分时系统[3]。与此同时，缺乏统一的定义也一定程度上阻碍了对云计算安全问题的讨论。本文鉴于云计算出现的安全问题，首先梳理了术语定义问题，其次对安全问题进行了分类，最后这些问题进行多对视角的讨论。

1云计算的定义

缺乏明确的、被广泛接受的定义成为云计算研究的一大问题。“云计算”一词是个不断演化的术语，其定义更大程度上来源于应用领域，而不是学术领域。“云计算”定义面过宽招致批评，有人批评其“包括了一些所做之事”[1]。而在定义的准确性上斤斤计较又转移了人们对于其核心技术问题的注意力。本节将简单给与云计算一个定义，该定义将贯穿全文。早期系统框架云计算研究，《AbovetheClouds：ABerkeleyViewofCloudComputing》将其定义为包括作为服务在互联网上的应用软件以及促进这些服务运作的数据中心硬件与系统软件[1]。云计算的关键特征包括虚拟无限硬件资源、消除预先承诺以及按需支付资源使用的能力。该项白皮书一经发表，大量的对云计算的定义以及研究报告接踵而来。其中由美国国家标准与技术研究院（NIST）的一条最为显眼。该定义范围较广，几乎涵盖了所有云计算研究中采用的通行术语，为NIST指导云计算安全问题打下了基础。其他一些定义大都采用相近的框架。欧洲网络信息与安全机构也承载了这一理念，对云计算的定义如出一辙，大同小异[3]。根据NIST给出的定义，云计算的关键特征包括按需自助服务、宽带接入、资源池化、快速弹性以及与工具相当的计量服务。云计算有三种服务模式：软件服务模式（SaaS）——允许用户控制应用程序配置；平台服务模式（PaaS）——允许用户可以主机环境；基础构架服务模式——允许用户控制除数据中心基础构架之外的其他构架。另外，云计算还具有四种调度模式：公有云模式——对大众或大型企业集团开放；社区云——服务若干组织机构；私有云——仅限于单个组织机构；混合云——混合以上几种模式。鉴于NIST的广义定义综合了诸多人们关心的问题，以及该定义演化的连续性，本文将在余下的讨论中沿用这一定义的内涵。

2新安全问题评判

本节评判云计算中出现的所谓“新”与“旧”的安全问题，从而确认何种问题对云计算的安全威胁模型构成最大挑战。

2.1“旧”安全问题

云计算的广泛应用带来了经常性安全事故。事实上，许多归为“云安全”问题的事故属于传统网络应用与数据联机问题，如网络钓鱼、故障停机、数据丢失、密码失窃与主机易感染僵尸网络等问题。推特网络钓鱼属于传统网络安全隐患，现已摇身一变成为云计算安全隐患。近来，知名的亚马逊云服务中发现僵尸网络事件尤为显眼，反映出云计算服务器的运行安全与与传统企业数据存在同样的隐患。学术界举办的ACM云计算安全研讨会和ACM计算机与安全通信会议（CCS）对云计算安全颇有研究。当前，有关云计算安全问题发表的论文，如针对网络安全[4：13]、数据外包[5：18]、虚拟机[6：34]问题进行讨论的论文，也反映出学术界一贯的研究路线。这些论文除少部分外大都表现出研究课题的综合交叉性，而不是仅仅着眼于云安全。2009年在美国举办国际黑帽技术大会致力于云计算安全漏洞利用问题的讨论，认为安全漏洞利用成为延伸的安全隐患。例如，用户名暴力破解软件、DebianOpenSSL利用工具在云计算中和在僵尸网络中会同样运行[7]。社交工程攻击利用漏洞，给恶意虚拟机镜像一个类似官方的命名，如f“edora_core”[7]，引诱亚马逊弹性计算云（EC2）用户运行恶意虚拟机镜像。虚拟主机漏洞问题依然存在[8]，如同随机数生成机制缺乏足够的熵从而薄弱一样。

2.2“新”安全问题

最近有研究发现，尽虽然使用云计算较僵尸网络更为昂贵，但是云计算比僵尸网络更易获得黑客们的“青睐”。僵尸网络市场易面临“柠檬市场”的信息不对城问题，即由于缺乏信任、无法确认货物质量导致货物成交量最小[8]。如此一来，黑客们就会溢价在云计算网络中寻找更为可靠的服务。在云计算网中，络僵尸网络比在传统网络中更容易关闭。因为云计算引入共享数据环境，所以会引发意外旁通道被动侦测信息与隐蔽信道主动发送数据[9]。暴露出来的弱点有：将攻击虚拟机当作目标虚拟机置于相同的物理机上，而后在两个虚拟机之间构建旁通道，编入SSH击键计时攻击[10]。另一个新问题来自于荣誉命运共享，会产生不同影响。正面的影响是：只要保证网络生态系统的安全最佳实践，云用户有可能从大云服务供应商对安全性的专注中获益；负面的影响是：单个破坏者就能中断许多用户。例如，垃圾邮件群发曾破坏EC2，导致国际反垃圾邮件组织（Spamhaus）将很大比例的EC2IP地址列入黑名单，引发主要服务中断。此外，黑客运用云计算网络的价格低廉，例如，将在PC机上原本耗时1.3天暴力破解作业放到云计算网络中，耗时仅仅一分钟，需添加200加大实例，每次利用只需两美元（参考2010年的价格）。自垃圾邮件群发事件后，如果有人想从EC2上发送电子邮件，则必须填写申请表格（.

[2]FowlerG，WorthenB.Theinternetindustryisonacloud-whateverthatmaymean[N].WallStreetJournal，2009.3.26.

[3]CorbatóFJ，VyssotskyVA.Introductionandoverviewofthemulticssystem[J].IEEEAnn.Hist.Comput.，1992，14（2）：12–13.

[4]VikramK，PrateekA，LivshitsB.Ripley：automaticallysecuringweb2.0applicationsthroughreplicatedexecution[C]//CCS’09：Proceedingsofthe16thACMconferenceonComputerandcommunicationssecurity.

[5]BowersKD，JuelsA，OpreaA.Hail：ahigh-availabilityandintegritylayerforcloudstorage[C]//CCS’09：Proceedingsofthe16thACMconferenceonComputerandcommunicationssecurity.

[6]WeiJinpeng，ZhangXiaolan，AmmonsG，etal.Managingsecurityofvirtualmachineimagesinacloudenvironment[C]//CCSW’09：ProceedingsoftheACMworkshoponCloudcomputingsecurity.

[7]MeerH，ArvanitisN，SlavieroM.Clobberingthecloud[C]//BlackHatUSA2009.

[8]KortchinskyK.Cloudburst-aVMwareguesttohostescapestory[C]//BlackHatUSA2009.

[9]DawnXiaodongSong，DavidWagner，andXuqingTian.TiminganalysisofkeystrokesandtimingattacksonSSH[C]//SSYM’01：Proceedingsofthe10thconferenceonUSENIXSecuritySymposium.

云计算的安全问题篇6

关键词：银行业经验云计算云服务安全问题解决

云计算目前是被广泛讨论的热点，IT巨头们纷纷宣布将拿出自己的云计算产品，专家们也纷纷表示，未来的互联网属于云计算。但2011年8月11日报道，谷歌公司承认把公司在欧洲数据中心的信息交给了美国情报机构。在此之前，微软已承认将欧洲的云端资料交给美国情报机构。不论是谷歌、微软、亚马逊、苹果或其他任何美国的云端服务供应商，虽然在他国营运或建数据中心，但都无法保护他们的资料不受到美国的检查。这给高速发展的云计算服务业务蒙上一层阴影，云计算的安全问题再次被提到更重要的位置，这关系到云计算未来的发展。

1.云计算面临的安全问题

要想发展好云计算服务，首先需要解决数据安全问题。因为加入云服务后，用户资料的数据存储、数据计算、网络传输等全部与云数据中心有关，不在自己监管范围之内，风险必然增大。

将其存在的风险总结为7大项。

1.1云服务商的诚信度（内因）。用户数据有着一定的机密性，但当把数据交给云计算服务商后，服务商则拥有了该数据的访问权限。那么如何阻止服务商为了某些利益泄露用户数据？

1.2黑客的窃取信息或非法操作数据（外因）。由于数据中心提供的服务面向互联网上所有网民，允许各种用户进行操作。若有某些漏洞，致使非法用户得到数据，将会使“云用户”的个人隐私、商业机密等敏感数据有可能泄漏。

1.3云数据的存储地问题。由于“云计算”的特点就决定了当客户使用云计算服务时，他们并不一定清楚自己数据在哪些地方有存储和备份。云数据存储是没有国界的，但是数据存储的设备却放在了具体的所在地，那么如何保证存储的数据不会因为设备所在地及国家的不同而导致数据丢失，如何避免在发生事故时不知晓当地的法律法规而导致法律纠纷？

1.4云数据存储的安全性。在云计算服务平台中，大量云用户数据处于共享环境中，即使采取数据加密，也不能保证万无一失。在出现问题时，如何保存操作记录以便审查？云服务商如何在发生重大事故时为云用户进行及时的数据恢复？

1.5连续服务的风险。云计算服务对网络的依赖程度非常强，如果网络发生故障，用户则无法使用云服务商提供的服务，对其业务的连续性产生较大的影响。

1.6终身服务的风险。如果用户选定了某家云计算服务商，就会很多重要数据交给云计算服务商，自己不会及时备份。如果云计算服务商破产或被他人收购，用户的相关服务很可能被中断，对用户将产生重要影响。

1.7行政法规地干预。如美国情报机构根据“爱国者法案”多次要求谷歌和微软提供欧洲资料中心的信息（也有可能提供其他地区数据中心的资料），而没有通知被调查用户。在这种情况下，如何能够保证数据安全？如何避免数据受损或被非法使用？

2.解决安全问题的几点建议

云计算遇到的许多问题，在银行业都遇到类似的问题。我们用银行业思维方式来考虑解决的方法。

2.1云服务商的诚信度问题。在银行业也存在类似问题，银行会不会将储户的存款金额告知别人，将储户的密码告知别人，将储户的往来客户信息告知别人，将储户账户上的钱取走？经验告诉我们不可能。在银行系统内部有一系列流程和规章制度防止出现“内鬼”，外部有银监会等机构检查制度落实情况，在银行从业人员中有句顺口溜“三天一小查，五天一大查”，可见检查是制度落实的关键。所以，云计算蓬勃发展的当前，急需建立类似银监局这样的民间或官方国际组织机构（以下我将该机构暂称为“云监会”），负责规范云计算企业业务：出台云计算行业安全标准、云计算行业安全操作规则、云计算内部控制和检查制度，检查云计算安全制度的落实情况；协同相关国家出台相关法律制度保证云计算行业的健康发展。

2.2黑客的窃取信息或非法操作数据。在银行业中银监会下设反洗钱中心专门追查可疑资金的动向，如果没有该中心，仅凭一两个银行营业网点的信息量根本没法确定哪些账户有问题。在目前为什么黑客如此猖獗，其中很重要的原因是追查不力，很多网民专业技术水平不够，仅凭公安部的网监部门很难获取到足够的信息来处理黑客事件。

2.2.1云计算发展后，可以通过提高云用户的入门门槛，做到云服务实名制，便于追查有关线索。

2.2.2“云监会”成立后，强制要求云企业将所有入侵记录和危险操作记录必须上报给“云监会”，然后由“云监会”汇总各云企业信息来确认哪些行为是黑客所为，又可能出现什么样的新病毒，将相关信息通知云企业做好防范。协同相关法律机构和网络提供商追查黑客和病毒的制作和传播者。

2.2.3“云监会”从技术层面指导云企业防范黑客入侵。分别从硬件――基础设施即服务IaaS（它提供基本的计算和储存能力）、系统软件――平台即服务PaaS（即云操作系统为用户提供开发环境）、应用软件――软件即服务SaaS（具备某些功能的应用软件功能作为服务，通过互联网传递给用户使用）三个层面分别制定出云计算安全防范措施，强制执行，达不到安全要求的停业整顿甚至吊销营业执照。

a）在IaaS层必须提供硬件防火墙服务抵挡来自外部的黑客攻击，存储用户数据必须以加密形式保存，云用户代码必须运行在受保护和隔离的内存中，计算结束后内存能够彻底数据清洁，保证不被泄露。

b）在PaaS层中由于云计算采用了虚拟化技术，在安装虚拟服务器时，必须为每台虚拟服务器分配一个独立的硬盘分区，以便将各虚拟服务器从逻辑上隔离。虚拟服务器必须安装防火墙、杀毒软件、IPS（IDS），以及日志记录和恢复软件，以便将它们相互隔离，并与其他安全防范措施一起构成多层次防范体系。

c）SaaS层与用户的需求紧密结合，可提供的云计算防范措施较多，要求云企业有选择的提供几项捆绑服务。典型的云安全服务有：DDOS攻击防护的云服务、Botnet检测与监控的云服务、安全事件监控与预警的云服务、内容安全的云服务、垃圾邮件过滤及防治的云服务、网页过滤与杀毒应用的云服务，等等。

2.3数据存储的存储地问题。这类似存钱时有委托存款，可以将钱投向指定企业，承担相应风险一样。云企业在哪些地方有数据存储中心，各地对哪些数据存储有特殊法律规定，让用户自主选择数据的存储地和备份地；在需要变更或新增加数据存储中心时告诉用户，并做好相应记录，在发生纠纷时可查找问题出处追究相应责任。

2.4确保数据存储的安全性。

2.4.1在银行业每个用户有一本存折，记录每次存取记录或刷卡记录，在存钱时可不用密码，取钱时要密码，三次错误输入密码后冻结账户，用户必须凭个人身份证到银行解冻。云企业必须为每个用户每项服务建立一个独立的审记日志，详细记载每次读写的时间、人员身份和查看修改内容等信息，用户登录后都能查看审记日志。

2.4.2使用多重身份认证的办法来确保数据存储安全。对云用户进行多级精细化的身份认证，普通用户身份只有数据访问权，数据用户身份可以有数据处理权，系统用户身份在数据用户身份被冻结后进行解冻与审计日志查询等。分别可采用欧洲隐私和身份管理、IE7Windows的CardSpace、OpenID三种身份和访问安全解决方案或与传统认证技术中的安全口令S/K、令牌口令、数字签名、单点登录认证、资源认证等相结合。

2.5连续服务的风险。这类似存钱时有一两个银行网点中断服务，需到其他网点办理业务一样。云企业成立时，应在多地建立数据中心，避免停电、火灾或地震等外在因素引起某一数据中心数据暂时性或永久性不好用。云企业接收用户数据时至少有一处数据备份。在灾害来临时能正常“营业”。

2.6终身服务的风险。这类似银行破产或被收购时，必须由银监会出面处理债权和债务关系后才好破产或收购。云企业在破产或被他人收购前必须向云监会提出申请，由云监会协调和处理好云用户的数据后方可进入破产或收购程序。

2.7行政法规地干预。这类似银行经常会收到协助查询书或协助冻结、划款书等法院文书。由云监会协同相关国家出台相关法律制度，规范强制数据调查，明确协查程序。政府或公安机关的强制数据调查时，必须开具相应法律文书，由云企业归档备查，在取证程序结束后通知用户，并提供相应法律文书给用户查看。

3.结语

云计算是当前发展迅速的新兴产业，具有广阔的发展前景，但同时其所面临前所未有的安全挑战，需要各方面的研究者共同探索解决之道。同时，云计算安全并不仅仅是技术问题，它还涉及标准化、监管模式、法律法规等诸多方面。因此，我在此用银行业的观点来提供解决云计算安全的一些方法，希望能起到抛砖引玉的作用。

参考文献：

［1］高云.浅析云计算的安全策略.科技创新导报，2009：28.

［2］沈昌祥.云计算安全.信息安全与通信保密，2010.12.

［3］陈龙，肖敏.云计算安全――挑战与策略.数字通信，2010.6.