郭 鵬

（安徽電子信息職業(yè)技術(shù)學(xué)院 安徽 蚌埠 233030）

0.引言

信息技術(shù)的飛速發(fā)展，傳統(tǒng)計算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的融合也變得越來越深入，這也使云計算成為其重要的融合產(chǎn)物。 云計算是近年來一種新興的計算模型，目前國際上對于云計算還尚未進(jìn)行統(tǒng)一的定義， 雖然各個機(jī)構(gòu)及專家學(xué)者都對云計算的定義進(jìn)行了相關(guān)闡釋，但其核心思想?yún)s是將若干個計算實體進(jìn)行整合，從而使其成為具有強(qiáng)大計算能力的計算機(jī)系統(tǒng)。 云計算平臺具有多種服務(wù)模式，如Saas、laaS等，通過這些服務(wù)模式的切換，能夠充分發(fā)揮其強(qiáng)大的存儲與計算能力，進(jìn)而為用戶提供靈活、便捷的服務(wù)內(nèi)容。 不過，由于計算機(jī)網(wǎng)絡(luò)具有開放性特點，這也使越來越多的人們開始關(guān)注云計算的安全服務(wù)問題。因此，如何構(gòu)建一個合理的云計算安全服務(wù)模式，也已成為諸多專家與學(xué)者致力研究的熱門課題。

1.云計算安全服務(wù)中面臨的安全威脅

當(dāng)前，云計算安全服務(wù)過程中面臨著許多安全威脅，這些安全威脅主要體現(xiàn)在以下方面：其一是數(shù)據(jù)泄漏，由于云計算安全服務(wù)為分布式結(jié)構(gòu)，其所具有的開放性特點增加了數(shù)據(jù)泄漏的安全風(fēng)險，當(dāng)多個用戶利用云計算進(jìn)行資源共享時，用戶是不能對數(shù)據(jù)在計算和存儲時存在的風(fēng)險進(jìn)行有效控制的，而云平臺也很難為用戶提供相應(yīng)的資源安全保障，因此，做好云服務(wù)商的內(nèi)部安全管理工作，加強(qiáng)安全審計， 以此防止多用戶在云計算環(huán)境下進(jìn)行資源共享時潛在風(fēng)險的發(fā)生，也已成為云計算使用用戶迫切需要解決的問題；其二，數(shù)據(jù)丟失也是一大安全威脅，造成數(shù)據(jù)丟失的原因有很多，如黑客攻擊、服務(wù)器發(fā)生損壞等，都可能會造成數(shù)據(jù)丟失，從而給用戶造成不可估量的損失；其三是數(shù)據(jù)劫持，數(shù)據(jù)劫持是近年來新出現(xiàn)的一種安全威脅，黑客會通過劫持賬號或服務(wù)流量來進(jìn)行竊聽、詐騙等不法活動，為了避免數(shù)據(jù)劫持的發(fā)生，用戶就必須要重視賬號登陸信息的保護(hù)，并由云計算服務(wù)商采取安全性更高的技術(shù)手段；其四是不安全接口，黑客可通過接口來攻擊云計算網(wǎng)絡(luò)；其五是拒絕服務(wù)攻擊，這種安全威脅能夠剝奪用戶對云計算中資源的訪問權(quán)限， 增加延遲， 或利用網(wǎng)絡(luò)漏洞對Web 服務(wù)器及云資源發(fā)起攻擊；其六是云服務(wù)濫用，部分非法人士會通過某些特殊手段對云計算中的資源進(jìn)行非法獲取及攻擊，面對這種安全威脅， 云服務(wù)提供商必須要做好云計算服務(wù)的規(guī)范管理工作；其七是審查缺失，由于云服務(wù)提供商疏于管理，會造成審查缺失，而審查缺失又會引發(fā)一系列的安全風(fēng)險。

2.云計算安全服務(wù)的構(gòu)建模式分析

對于云計算安全服務(wù)來說，必須要采用多種有效的安全防護(hù)技術(shù)來防范上述安全威脅， 以此構(gòu)建一個高效的云計算安全服務(wù)模式，這樣才能滿足云計算用戶、服務(wù)商及運營商等的安全需求，有效抵御各種安全風(fēng)險的發(fā)生。

2.1 Eucalyptus 云計算安全服務(wù)模式

Eucalyptus 云計算安全服務(wù)模式是由美國加州大學(xué)進(jìn)行研發(fā)的，該安全服務(wù)模式作為一種開源云平臺， 在模式構(gòu)建上是以業(yè)務(wù)維、環(huán)境維、數(shù)據(jù)維以及用戶維四個維度作為出發(fā)點的，環(huán)境維主要包括網(wǎng)絡(luò)安全、設(shè)備安全以及運行安全三個方面，該維度是從整個云計算的環(huán)境出發(fā)，通過上述三個方面來確保云計算的所處環(huán)境安全。 而在環(huán)境維中又包括用戶維、數(shù)據(jù)維與業(yè)務(wù)維，用戶維包括訪問控制、信任管理以及單點登陸，用戶維是將用戶的使用安全作為目標(biāo)來實現(xiàn)安全管理的。而數(shù)據(jù)維則包括數(shù)據(jù)備份、數(shù)據(jù)加密以及數(shù)據(jù)遷移，在云計算平臺中，會產(chǎn)生各種各樣的數(shù)據(jù)，只有確保數(shù)據(jù)安全，才能有效防范各種安全風(fēng)險的發(fā)生。而業(yè)務(wù)維則包括負(fù)載均衡、日志管理、任務(wù)控制以及資源監(jiān)控，業(yè)務(wù)維是將云計算平臺所提供的業(yè)務(wù)服務(wù)作為安全保障目標(biāo)的。

2.2 SOA 云計算安全服務(wù)通用模式

SOA 云計算安全服務(wù)模式是一種面向服務(wù)的通用型模式，該服務(wù)模式將若干個具有不同功能的應(yīng)用程序，利用相應(yīng)的接口與協(xié)議來建立聯(lián)系，從而使云計算平臺能夠通過調(diào)用這些應(yīng)用程序向用戶提供不同的服務(wù)功能。用戶也可通過對所需服務(wù)進(jìn)行定制來實現(xiàn)云計算安全功能模塊的有效整合， 進(jìn)而更好的滿足云計算用戶的安全使用要求。在SOA 云計算安全服務(wù)模式中， 共包括三種子模式， 分別是SaaS、Paas 以及l(fā)aaS，其中，SaaS 是將應(yīng)用軟件作為服務(wù)，根據(jù)用戶需要來頒發(fā)許可證， 該模式采取基礎(chǔ)設(shè)施即服務(wù)的方式來構(gòu)建安全組件。 而PaaS 則是對中間件服務(wù)-應(yīng)用服務(wù)器、Web 服務(wù)器以及數(shù)據(jù)庫服務(wù)器進(jìn)行優(yōu)化，該模式采取平臺即服務(wù)的方式來構(gòu)建安全組件。 IaaS 則是指虛擬化服務(wù)器、存儲與網(wǎng)絡(luò)，其采取軟件即服務(wù)的方式來構(gòu)建安全組件。SOA 云計算安全服務(wù)模式是根據(jù)這三種子服務(wù)模式來對安全組件進(jìn)行構(gòu)建的，用戶可根據(jù)自身所需來對相應(yīng)的安全服務(wù)組件進(jìn)行選擇，從而構(gòu)建獨立的安全服務(wù)模式。

2.3 云計算安全服務(wù)

云計算安全服務(wù)是由我國教授馮國登所提出的一種參考模式，該安全服務(wù)模式主要包括技術(shù)、服務(wù)與支撐服務(wù)三個方面，這三個方面彼此之間存在著相互影響、相互關(guān)聯(lián)的關(guān)系。其中，技術(shù)方面是將隱私保護(hù)服務(wù)以及數(shù)據(jù)安全服務(wù)作為目的的，以此分析上文中三種子服務(wù)模式的技術(shù)層次需求。 對于云計算安全服務(wù)體系來說，其包括大量的云安全服務(wù)，依據(jù)這些云安全服務(wù)的所屬層次進(jìn)行劃分，可將其分為云計算安全應(yīng)用服務(wù)、云計算基礎(chǔ)設(shè)施服務(wù)以及云計算安全基礎(chǔ)服務(wù)三類。云計算安全支撐服務(wù)則包括云服務(wù)安全質(zhì)量、目標(biāo)及評測、云安全服務(wù)功能評測以及云安全服務(wù)等級劃分與評測三個方面的內(nèi)容，其能夠為云計算安全服務(wù)提供可靠的支撐技術(shù)。

3.云計算通用安全服務(wù)模式的構(gòu)建

現(xiàn)階段，國際尚未統(tǒng)一云計算的安全服務(wù)模式框架，這也使不同機(jī)構(gòu)在對云計算安全服務(wù)模式進(jìn)行構(gòu)建時，都是從不同角度來進(jìn)行開展的。 本文結(jié)合上文中所提到的安全服務(wù)模式，構(gòu)建了一種新型的輕量級、強(qiáng)通用的云計算安全服務(wù)模式。 該云計算安全服務(wù)模式構(gòu)建兩個層面的域，分別是云服務(wù)域與云用戶域，這兩個域分別針對云計算安全服務(wù)提供商與云計算用戶。在云服務(wù)域中，需要從業(yè)務(wù)層級、適用層級兩個角度來深入剖析所有應(yīng)用到的關(guān)鍵安全技術(shù)，對于能夠在不同層次中進(jìn)行通用的安全策略，可將其稱之為通用安全，如果不能在各層次中進(jìn)行通用的安全策略，則將其稱之為個性化安全。 對于個性化安全來說，在細(xì)化個性化安全的層次上，需要按照上文中所提及的三種子模式來進(jìn)行， 即SaaS 應(yīng)用安全、PaaS 平臺安全以及InnS 基礎(chǔ)設(shè)施安全，SaaS 應(yīng)用安全是為了確保多租戶安全與應(yīng)用程序安全。 在應(yīng)用程序安全中，還包括身份鑒別、訪問控制、剩余信息保護(hù)以及安全審計等，多租戶安全則包括物理隔離與數(shù)據(jù)隔離等。而PaaS 平臺安全則是為了確保分布式數(shù)據(jù)的利用安全、接口的使用安全以及數(shù)據(jù)庫的使用安全。 其中，分布式數(shù)據(jù)的利用安全主要涉及到分布式數(shù)據(jù)是否經(jīng)過備份、數(shù)據(jù)是否完整性、數(shù)據(jù)是否具有數(shù)字簽名以及是否經(jīng)過安全認(rèn)證等。 InnS 基礎(chǔ)設(shè)施安全是針對網(wǎng)絡(luò)的使用安全、主機(jī)的使用安全、接口的使用安全、物理層面安全以及虛擬化層面的安全。物理安全涉及到云計算安全服務(wù)的物理位置、 云計算硬件設(shè)備的溫濕度控制、物理硬件設(shè)備的電磁防護(hù)措施、設(shè)備電力供應(yīng)是否穩(wěn)定等。 網(wǎng)絡(luò)的使用安全涉及到網(wǎng)絡(luò)結(jié)構(gòu)是否安全，是否對網(wǎng)絡(luò)的訪問進(jìn)行控制，網(wǎng)絡(luò)邊界是否完整、網(wǎng)絡(luò)入侵檢測功能、用戶身份鑒別、惡意代碼攻擊防范等。 主機(jī)的使用安全則涉及到主機(jī)在受到入侵時是否具備防護(hù)功能、主機(jī)是否進(jìn)行安全審計、主機(jī)資源是否進(jìn)行合理控制等。 虛擬化層面安全則涉及到服務(wù)器虛擬化是否安全、軟件的虛擬化是否安全以及服務(wù)器的虛擬化是否安全。 此外，SaaS 應(yīng)用安全、PaaS 平臺安全以及InnS 基礎(chǔ)設(shè)施安全都需要進(jìn)行加密與密鑰管理、 身份識別與訪問控制、災(zāi)備與業(yè)務(wù)連續(xù)性、數(shù)據(jù)隔離、安全審查以及政策法規(guī)等。 而云用戶域則是為了確保終端設(shè)備與用戶身份的安全性進(jìn)行劃分的，用戶可自行制定關(guān)于該層面的安全策略。

4.結(jié)語

總而言之，隨著云計算在各個領(lǐng)域中的普及與應(yīng)用，云計算在服務(wù)過程中的安全問題也日益受到人們的關(guān)注，通過構(gòu)建一個合理的云計算通用安全服務(wù)模式，能夠有效防范各種安全風(fēng)險的發(fā)生，從而確保云計算平臺各項服務(wù)功能的順利開展。