浅析云计算及云计算安全(2)

3. 云计算面临的安全问题

云计算在极大地方便用户和企业廉价使用存储资源、软件资源、计算资源的同时，面临的最大挑战或者说存在的问题来自安全方面。云计算的十大问题与机会，如表1 所示。

概括来讲，云计算主要存在以下安全问题。

3.1 安全边界难以定义

在传统网络中通过物理上和逻辑上的安全域定义，可以清楚地定义边界和保护设备用户，但云计算由于其用户数量庞大，数据存放分散，很难充分为用户提供安全保障。

3.2 数据安全

使用云计算服务，用户并不是清楚自己的数据具体的托管服务器的位置以及具体是哪个服务器管理。基于此云用户和云服务商为避免数据丢失和窃取都非常重要，以下从数据隐私和数据隔离两个方面对云计算的安全进行阐述。

（1）数据隐私。数据在云服务中的存储是共享的，即没有为用户开辟独立存储区。由此数据具有潜在危险。和传统软件相比，云计算在数据方面的最大不同是所有的数据由第三方来负责维护，并且由于云计算架构的特点，这些数据可能存储在分散的地方，并且都以明文的形式存储。防火墙虽然能够对恶意的外来攻击提供一定程度的保护，但这种架构使得一些关键性的数据可能被泄露。

（2）数据隔离。目前在网络中用户基本采用数据加密方式共享数据，但在云计算环境下，如果能够将自己的数据与其他用户的数据隔离开可以更加有效地保证数据安全。因为所有客户数据将被共同保存在唯一一个软件系统实例内，所以需要开发额外的数据隔离机制来保证各个客户之间的数据的保密性并提供相应的灾备方案。

3.3 应用安全

（1）终端安全：用户终端的安全始终是网络环境下信息安全的关键点，用户终端合理部署安全软件是保障云计算环境下信息安全的第一道屏障。

（2）SaaS 应用安全：SaaS 模式使用户使用服务商提供的在云基础设施之上的应用，对于底层的云基础设施如：网络、操作系统、存储等。因此在此模式下，服务商将提供整套服务包括基础设施的维护。服务商最大限度地为用户提供应用程序和组件安全，而用户只需关注操作层的安全。由此可SaaS 服务提供商的选择在云计算信息安全问题中非常重要。

（3）PaaS 应用安全：PaaS 云使用户能够在云基础设施之上创建用户和购买行为，用户同样并不管理和控制底层的基础设施，但可以控制基于基础设施之上的应用。PaaS 提供商通常会保障平台软件包安全，因此用户需要对服务提供商有一个清楚的认识，比如对服务提供商做风险评估。同时，PaaS 还面临配置不当的问题，默认配置下的安全系数几乎为零，因此，用户需要改变默认安装配置，对安全配置流程有一定的熟悉度。

（4）IaaS应用安全：用户对于 IaaS 云提供商来讲是完全不透明的，云提供商并不关注用户在云内的任何操作，因此，用户需要对自己在云内的所有安全负全责，IaaS 并不为用户提供任何安全帮助。

4. 云安全的解决思路

4.1 云计算安全的研究现状

云计算在美国和欧洲等国得到政府的大力支持和推广，云计算安全和风险问题也得到各国政府的广泛重视。2010 年11 月，美国政府CIO 委员会发布关于政府机构采用云计算的政府文件，阐述了云计算带来的挑战以及针对云计算的安全防护，要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析。同时指出，由政府授权机构对云计算服务商进行统一的风险评估和授权认定，可加速云计算的评估和采用，并能降低风险评估的费用。

2010年3月，参加欧洲议会讨论的欧洲各国网络法律专家和领导人呼吁制定一个关于数据保护的全球协议，以解决云计算的数据安全弱点。欧洲网络和信息安全局（ENISA）表示，将推动管理部门要求云计算提供商通知客户有关安全攻击状况。

日本政府也启动了官民合作项目，组织信息技术企业与有关部门对于云计算的实际应用开展计算安全性测试，以提高日本使用云计算的安全水平，向中小企业普及云计算，并确保企业和个人数据的安全性。

在我国，2010 年5 月，工信部副部长娄勤俭在第2 届中国云计算大会上表示，我国应加强云计算信息安全研究，解决共性技术问题，保证云计算产业健康、可持续地发展。(责任编辑：admin)