云計(jì)算整合了大量的計(jì)算、存儲(chǔ)和軟件資源，實(shí)現(xiàn)了資源的按需分配，具有廣闊的市場(chǎng)應(yīng)用前景，被認(rèn)為是IT業(yè)未來(lái)的發(fā)展方向。然而云計(jì)算存在的安全問(wèn)題卻成了阻礙云計(jì)算進(jìn)一步發(fā)展的重要因素，云安全問(wèn)題已經(jīng)成為當(dāng)下研究的重點(diǎn)。本文對(duì)云計(jì)算以及云計(jì)算安全的相關(guān)概念和問(wèn)題進(jìn)行了介紹，并對(duì)云計(jì)算安全框架和關(guān)鍵技術(shù)進(jìn)行了研究。

    1.云計(jì)算安全的概念

　　1.1 云計(jì)算的概念

　　云計(jì)算是分布式計(jì)算、并行計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化等傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物，是近年來(lái)最具有代表性的網(wǎng)絡(luò)計(jì)算技術(shù)，也是目前研究和應(yīng)用的熱點(diǎn)。云計(jì)算從2006年首次提出到現(xiàn)在，依然是一個(gè)發(fā)展中的概念，業(yè)界還沒(méi)有公認(rèn)的定義。云計(jì)算專家劉鵬給出的定義是：云計(jì)算是通過(guò)網(wǎng)絡(luò)提供可伸縮的廉價(jià)的分布式計(jì)算能力。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的定義是：云計(jì)算是基于服務(wù)提供者和消費(fèi)者間的服務(wù)契約動(dòng)態(tài)提供統(tǒng)一的計(jì)算資源，由互聯(lián)的虛擬化計(jì)算機(jī)組成的并行分布式系統(tǒng)。根據(jù)NIST的定義，云計(jì)算具有自助按需服務(wù)、虛擬資源池、可度量服務(wù)、高速?gòu)椥约軜?gòu)和高寬帶網(wǎng)絡(luò)等五個(gè)關(guān)鍵特征。

　　在傳統(tǒng)計(jì)算模式基礎(chǔ)上發(fā)展起來(lái)的云計(jì)算，具有資源共享、管理統(tǒng)一、價(jià)格低廉等諸多方面的優(yōu)勢(shì)，又克服了傳統(tǒng)計(jì)算模式在規(guī)模和擴(kuò)展性方面的缺陷，成為業(yè)界近年來(lái)的熱門(mén)課題。

　　1.2 云計(jì)算所面臨的安全挑戰(zhàn)

　　開(kāi)放、復(fù)雜的云計(jì)算系統(tǒng)存儲(chǔ)了海量的用戶數(shù)據(jù)信息，隨著云計(jì)算的廣泛應(yīng)用，其存在的安全性問(wèn)題也備受關(guān)注�？偨Y(jié)起來(lái)，云計(jì)算的安全風(fēng)險(xiǎn)主要涉及三個(gè)方面：一、涉及到人的方面。首先，云計(jì)算服務(wù)提供商是否能夠自覺(jué)遵從所在國(guó)家的法律法規(guī)，并開(kāi)放一定的權(quán)力給用戶，使用戶具有調(diào)查取證的能力。然后，云計(jì)算的維護(hù)管理(包括外包服務(wù)人員)等相關(guān)人員擁有接入特權(quán)，增加了敏感數(shù)據(jù)處理的風(fēng)險(xiǎn)。此外，云計(jì)算的身份認(rèn)證機(jī)制薄弱，用戶賬號(hào)可以被他人輕松獲取登錄，并進(jìn)行各種非法操作。二、涉及到數(shù)據(jù)的方面。數(shù)據(jù)的安全是云計(jì)算安全的關(guān)鍵，而用戶的數(shù)據(jù)在云計(jì)算系統(tǒng)中具有數(shù)據(jù)存儲(chǔ)位置未知、不可控性等諸多安全隱患。因此，一旦云服務(wù)提供商在數(shù)據(jù)的隔離防護(hù)等方面措施不當(dāng)，或者數(shù)據(jù)高度密集的云服務(wù)平臺(tái)遭到黑客的攻擊，那么在數(shù)據(jù)傳輸、存儲(chǔ)、處理等各個(gè)環(huán)節(jié)，均有可能發(fā)生數(shù)據(jù)的泄露、篡改、丟失。三、涉及到技術(shù)的方面。資源共享是云計(jì)算的優(yōu)勢(shì)和特點(diǎn)，但是同時(shí)，共享程度越高，漏洞也就越多。另外，開(kāi)放的云計(jì)算要求大量的網(wǎng)絡(luò)接口和API來(lái)整合資源，也增加了安全風(fēng)險(xiǎn)。

　　云計(jì)算作為一個(gè)新興的技術(shù)，在所難免的會(huì)存在一些安全隱患，并對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響。但是云計(jì)算技術(shù)是未來(lái)發(fā)展的方向，因此需要廣大科技工作者在云計(jì)算安全領(lǐng)域投入更多精力，致力于打造更加安全、可信的云計(jì)算系統(tǒng)。

　　1.3 云計(jì)算安全的優(yōu)勢(shì)與策略

　　盡管云計(jì)算存在一定的安全隱患，但相較于傳統(tǒng)的計(jì)算模型，云計(jì)算在安全性上還是存在諸多的優(yōu)勢(shì)。首先，高度集中的管理方式，使云計(jì)算相對(duì)于傳統(tǒng)計(jì)算方式更加便于進(jìn)行監(jiān)控管理;其次，云計(jì)算提供的是由專業(yè)技術(shù)人員負(fù)責(zé)維護(hù)的數(shù)據(jù)文件存儲(chǔ)服務(wù)，數(shù)據(jù)文件存儲(chǔ)的保護(hù)措施更好，備份恢復(fù)能力更強(qiáng);最后，用戶只需要在PC端或者移動(dòng)終端通過(guò)瀏覽器就可以向云端提出操作請(qǐng)求，更加安全、靈活。

　　2.云計(jì)算安全體系架構(gòu)

　　云計(jì)算安全的問(wèn)題形勢(shì)嚴(yán)峻，CSA(云安全聯(lián)盟)、Gartner公司分別對(duì)云計(jì)算安全問(wèn)題進(jìn)行了總結(jié)分析，認(rèn)為安全問(wèn)題是阻礙云計(jì)算進(jìn)一步發(fā)展的關(guān)鍵所在。

　　CSA基于云計(jì)算的三種服務(wù)模式，提出了一種云計(jì)算安全架構(gòu)。IaaS層位于云服務(wù)的最底層，是云計(jì)算體系安全的基礎(chǔ)，為上層云應(yīng)用提供數(shù)據(jù)計(jì)算存儲(chǔ)等IT資源服務(wù)。IaaS采用大量的虛擬化技術(shù)，因此，虛擬化軟件安全、虛擬化服務(wù)器安全是其面臨的主要風(fēng)險(xiǎn)。在IaaS中，服務(wù)提供商負(fù)責(zé)提供基礎(chǔ)設(shè)施和抽象層的安全保護(hù)，而其它安全職責(zé)則主要由客戶承擔(dān)。PaaS位于云服務(wù)的中間，自然起到的是承上啟下的作用，既依靠IaaS平臺(tái)提供的資源，同時(shí)又為上層SaaS提供應(yīng)用平臺(tái)。PaaS面臨的主要安全風(fēng)險(xiǎn)是分布式文件和數(shù)據(jù)庫(kù)安全，用戶接口和應(yīng)用安全。在PaaS中，服務(wù)提供商負(fù)責(zé)平臺(tái)自身的安全保護(hù)， 而平臺(tái)應(yīng)用和應(yīng)用開(kāi)發(fā)的安全性則由用戶負(fù)責(zé)。SaaS位于云服務(wù)的最頂層，大量的用戶共用一個(gè)軟件平臺(tái)必然帶來(lái)數(shù)據(jù)、應(yīng)用的安全問(wèn)題。多租戶技術(shù)是解決這一問(wèn)題的關(guān)鍵，但是也存在著數(shù)據(jù)隔離、客戶化配制方面的問(wèn)題。服務(wù)提供商對(duì)SaaS層的安全承擔(dān)主要責(zé)任。

　　3.云計(jì)算安全關(guān)鍵技術(shù)

　　3.1 身份管理和認(rèn)證

　　為確保用戶間數(shù)據(jù)隔離和安全訪問(wèn)，需要在多用戶共享的云計(jì)算系統(tǒng)中建立用戶的身份管理和訪問(wèn)控制，這也是云計(jì)算安全的關(guān)鍵技術(shù)之一。目前提出的解決方案包括結(jié)合聯(lián)邦身份管理和個(gè)人身份分層加密的身份認(rèn)證方法等。

　　云計(jì)算應(yīng)用中，用戶可能會(huì)使用不同的云服務(wù)，標(biāo)識(shí)符過(guò)多會(huì)造成混淆和遺忘。為了解決這一問(wèn)題，為用戶提供良好的體驗(yàn)，云計(jì)算的認(rèn)證還應(yīng)用了單點(diǎn)登錄和聯(lián)合身份認(rèn)證等技術(shù)。單點(diǎn)登錄技術(shù)，簡(jiǎn)單的說(shuō)就是利用單點(diǎn)登錄協(xié)議(如OpenID協(xié)議、SAML方案)，使用戶在使用云服務(wù)時(shí)只需要注冊(cè)和登錄一次，從而減輕用戶負(fù)擔(dān)。聯(lián)合身份認(rèn)證指的是用戶可以使用一個(gè)賬號(hào)登錄相互信任的不同云服務(wù)平臺(tái)，是基于單點(diǎn)登錄技術(shù)建立的。

　　3.2 數(shù)據(jù)安全

　　數(shù)據(jù)安全是云計(jì)算安全的核心，主要包括靜態(tài)存儲(chǔ)數(shù)據(jù)保護(hù)和動(dòng)態(tài)數(shù)據(jù)隔離保護(hù)。數(shù)據(jù)存儲(chǔ)是云計(jì)算的一個(gè)重要功能，數(shù)據(jù)在云存儲(chǔ)中是靜態(tài)數(shù)據(jù)，確保用戶數(shù)據(jù)的隱保密性、完整性、可恢復(fù)性是云計(jì)算安全的關(guān)鍵。關(guān)于數(shù)據(jù)保密性問(wèn)題，主要采用的方式是數(shù)據(jù)加密和訪問(wèn)控制機(jī)制。采用更加有效的完整性驗(yàn)證算法是保證數(shù)據(jù)完整性的研究重點(diǎn)。而副本技術(shù)則是解決數(shù)據(jù)可恢復(fù)性的常用手段。在動(dòng)態(tài)數(shù)據(jù)隔離保護(hù)的研究中，目前提出來(lái)的主要有隔離機(jī)制、訪問(wèn)控制模型和機(jī)制、基于信息流模型的數(shù)據(jù)安全保護(hù)機(jī)制等。

　　3.3 可信云計(jì)算

　　可信云計(jì)算的核心思想是“可信傳遞”，將可信云計(jì)算技術(shù)融入云計(jì)算體系是目前云安全領(lǐng)域研究的熱門(mén)。沈昌祥提出的可信云計(jì)算框架引入了可信根和信任傳遞概念，從而實(shí)現(xiàn)對(duì)云計(jì)算應(yīng)用服務(wù)的完整性度量和驗(yàn)證。Intel TXT安全架構(gòu)是將動(dòng)態(tài)可信度量根技術(shù)同虛擬化技術(shù)相結(jié)合，提供包括可信輸入和顯示等可信功能。

　　3.4 虛擬化安全

　　虛擬化技術(shù)是開(kāi)展SaaS云服務(wù)的基礎(chǔ)，因此，服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化的安全問(wèn)題對(duì)云計(jì)算系統(tǒng)安全來(lái)說(shuō)至關(guān)重要。要實(shí)現(xiàn)服務(wù)器虛擬化的安全，就要建立包括虛擬機(jī)安全隔離、訪問(wèn)控制、惡意虛擬機(jī)防護(hù)、虛擬機(jī)資源限制等在內(nèi)的安全保護(hù)體系，并不斷完善。保障存儲(chǔ)虛擬化安全，需要提供設(shè)備冗余功能和數(shù)據(jù)存儲(chǔ)的冗余保護(hù)。虛擬化網(wǎng)絡(luò)是實(shí)現(xiàn)云計(jì)算的重要途徑，因此，采用合理按需劃分虛擬組、控制數(shù)據(jù)的雙向流量、設(shè)置安全訪問(wèn)控制策略等手段構(gòu)建虛擬化網(wǎng)絡(luò)安全防護(hù)體系十分重要。

　　4.結(jié)語(yǔ)

　　云計(jì)算在資源共享、服務(wù)成本低廉等方面具有絕對(duì)優(yōu)勢(shì)，但是同時(shí)又存在安全隱患。要想實(shí)現(xiàn)云計(jì)算的快速、健康發(fā)展，首先就要解決好云計(jì)算安全問(wèn)題。本文在對(duì)云計(jì)算安全的概念和安全問(wèn)題分析的基礎(chǔ)上，對(duì)云計(jì)算安全體系架構(gòu)和云計(jì)算安全的關(guān)鍵技術(shù)進(jìn)行了探討。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：云計(jì)算安全框架的分析

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839515626.html