云计算六大安全隐患凸现四方向应对

江苏省邮电规划设计院 | 张云帆

伴随着云计算的飞速发展，网络安全问题日益突出，已成为制约其发展的主要障碍。若要让企业和组织大规模应用云计算技术和平台，放心地将自己的数据交付给云服务提供商管理，就必须解决云计算所面临的各种安全问题。当前，云计算安全问题已得到广泛关注和重视。

由于云计算是架构在传统服务器设施上的一种服务的交互和使用模式，所以传统互联网中存在的诸多安全问题同样可能会在云计算环境下出现。此外，考虑到云计算的自身特点，可能会在网络上引入新的安全隐患或改变原有的安全问题影响程度和范围。目前，针对云计算自身特点，云计算面临的安全隐患主要有以下六方面。

隐患一 云平台成为重点攻击目标的危险

云计算所要求的计算资源（包括物理资源、开发测试环境、数据与应用等）存在于“云”中，相比于传统互联网服务，云计算模式使原有用户侧和网络侧的安全风险都集中到云平台上，而云暴露在公开的网络中，更容易成为黑客攻击的目标，并且影响范围和造成的损失将远大于传统互联网。另外，云中可能存在不安全的接口和API，也容易受到黑客的攻击和病毒感染。当遇到重大事故时，云系统将可能面临崩溃的危险，从而威胁到云上承载的所有业务。

隐患二 云平台资源和能力存在被滥用的危险

“云”拥有非常庞大的资源，并且经过云平台的统一调度和组织，具有超级计算能力。IaaS服务提供商为方便用户租用资源，通常其登记注册管理并不严格，极有可能被网络犯罪分子注册成功并对云服务实施攻击。此外，由于云计算资源租用服务价格极其低廉，网络犯罪分子同样可以很容易地租用到海量的计算和带宽资源来实施分布式拒绝服务攻击（DDos）。一旦云中的某个或者某些节点被攻陷，则网络犯罪分子就可能会通过这些节点继续去攻击并控制云计算平台，最终控制云计算平台所组织起来的超级计算能力去实施更大的网络破坏和攻击，从而造成云平台的资源和计算能力被滥用、恶用的情况。

隐患三 网络违法行为难以溯源和展开调查的危险

在云计算广泛应用的情况下，计算、存储、带宽服务可在全球跨国获取。云计算应用地域性弱、信息流动大，信息服务或用户数据可能分布在不同的地区甚至国家。一方面，不利于政府信息安全监管，存在法律差异与纠纷；另一方面，在云计算的使用过程中，客户并不清楚自己的数据被放置在哪台服务器上，甚至不了解这台服务器放置在哪个国家，不利于对网络违法行为进行溯源和调查。

隐患四 数据访问优先权被云计算服务提供商恶意员工利用的危险

租用云计算存储、虚拟机、平台等资源的用户希望能保障数据的机密性，所以用户数据的存储应当具有高保密性、可控制性和完整性。然而，当客户把数据交给云计算服务提供商后，具有数据优先访问权的并不是数据的真正拥有者，而是云计算服务提供商。这样的话，如果云计算服务提供商内部有恶意员工（这种可能通常是存在的），用户的企业机密就很可能被泄露出去。

隐患五 采用虚拟化技术后，物理安全边界模糊的危险

利用虚拟化技术有利于加强在基础设施、平台、软件层面提供多租户云服务的能力，实现数据的池化和共享。然而利用虚拟化技术后，资源池中的数据具有无边界性、流动性，存在物理安全边界模糊、安全漏洞等隐患，会产生一系列安全问题。例如，当虚拟网络受到破坏，那么客户端也会受到损害。当主机出现问题，那么主机上的所有虚拟机都会产生问题。当恶意用户非法取得虚拟机权限，就有可能威胁到同一台物理服务器上的其他虚拟机。客户端共享和主机共享存在安全漏洞，可能会被不法之徒利用。

隐患六 企业用户的长期生存发展无法得到保障的危险

在当前云计算环境下，无论是IaaS、PaaS还是SaaS，都还缺乏服务整体迁移方面的标准和手段。如果用户选用的某一家云计算服务提供商破产或被并购而不能继续有效提供服务，用户的业务和服务有可能会出现中断或不稳定等危险。

四维度保障云安全

根据上面的分析，由于云计算自身的海量资源、物理设施集中部署、虚拟化、用户共享等技术特性，以及其尚未成熟的监管和运营体系，使之有可能存在大量的安全隐患，运营商和企业应积极采取相应措施来最大限度地保障云计算环境下的网络和信息安全。

（1）针对云计算技术发展和业务模式，制定和完善相应的法律法规和技术规范。例如，明确云计算服务提供商信息安全管理责任、规范跨境云计算经营模式。明确个人隐私、商业秘密、数据保护、信息隔离方面的界定和要求等。

（2）进一步提升自主创新能力，大力培育由国内企业占主导的云服务产业和市场，加大对云计算核心软硬件的国内自主研发力度，减少关键应用领域的技术产品对国外的依赖性。只有大力支持云计算关键技术的研发，加快推进云计算软件、硬件、中间件及网络设施等资源的创新，才能在未来云计算环境下从根本上保障国家信息的安全。

（3）加强国际合作，积极参与云计算国际标准的制定。当前，国际上云计算标准尚未推出，很多标准化组织正在推动相关标准的制定。我国应抓住机会，积极参与相关标准化组织的标准制定工作，推动国内标准国际化，努力掌握国际话语权。

（4）强化教育，建设云计算人才队伍。完善云计算人才培养模式，积极推进教育培训，建立云计算认证、评测及安全体系，推动院校开设专业课程培养云计算人才队伍。