云计算安全问题浅析 .pdfVIP

龙源期刊网

云计算安全问题浅析

作者：孔汇环

来源：《电脑知识与技术》2012年第30期

摘要：商务活动促进云计算的发展，对其安全性也提出十分严峻的挑战。该文展现了云计

算安全问题的基本面貌，详细讨论了工业、学界、政府乃至黑客的当代以及历史视角，以图将

对此问题的合理担忧与过激反应区别开来，并指出云计算出现的真正意义上的新的、棘手的安

全问题寥寥无几——某些表面上问题的―新‖只是与过去几年中出现的―传统‖问题相对而言。其

中很多问题在采用分时系统的时代就早已得到关注。云计算出现的新的、关键的问题表现在两

个方面：多方信任的复杂性与随后的互审需要。

关键词：云计算；安全；用户；供应商；互审

中图分类号：TP393文献标识码：A文章编号：1009-3044（2012）30-7196-03

云计算服务供应商以专业的数据资源组织与分配，低成本建立大型数据中心，使得云计算

在商务活动中获得广泛认同。规模经济的发展增加了云计算服务供应商的收益，也降低了用户

的成本。云计算的即时服务模式使得服务供应商通过统计复用实现优化资源利用，更让用户通

过动态标度避免了资源预留空间的费用支出。然而，安全问题也迎面而来，许多学者、公司决

策者以及政府工作人员认为安全问题成为提速与推广云计算的明显阻碍[1]。对于许多关键业

务级运算，云计算会由于种种问题而显得不可取，例如：服务可用性、数据必威体育官网网址以及荣誉命运

共享问题等等。另有一些人批评―云计算‖一词含义太广[2]。事实上，云计算包含了如―软件即

服务‖的既成模式，而这种随需而变的计算工具的基本概念则可以追溯到早分时系统[3]。与此

同时，缺乏统一的定义也一定程度上阻碍了对云计算安全问题的讨论。本文鉴于云计算出现的

安全问题，首先梳理了术语定义问题，其次对安全问题进行了分类，最后这些问题进行多对视

角的讨论。

云计算的1定义

缺乏明确的、被广泛接受的定义成为云计算研究的一大问题。―云计算‖一词是个不断演化

的术语，其定义更大程度上来源于应用领域，而不是学术领域。―云计算‖定义面过宽招致批

评，有人批评其―包括了一些所做之事‖[1]。而在定义的准确性上斤斤计较又转移了人们对于其

核心技术问题的注意力。本节将简单给与云计算一个定义，该定义将贯穿全文。早期系统框架

云计算研究，《AbovetheClouds：ABerkeleyViewofCloudComputing》将其定义为包括作为

服务发布在互联网上的应用软件以及促进这些服务运作的数据中心硬件与系统软件[1]。云计

算的关键特征包括虚拟无限硬件资源、消除预先承诺以及按需支付资源使用的能力。该项白皮

书一经发表，大量的对云计算的定义以及研究报告接踵而来。其中由美国国家标准与技术研究

院（NIST）发布的一条最为显眼。该定义范围较广，几乎涵盖了所有云计算研究中采用的通

行术语，为NIST指导云计算安全问题打下了基础。其他一些定义大都采用相近的框架。欧洲

龙源期刊网

网络信息与安全机构也承载了这一理念，对云计算的定义如出一辙，大同小异[3]。根据NIST

给出的定义，云计算的关键特征包括按需自助服务、宽带接入、资源池化、快速弹性以及与工

具相当的计量服务。云计算有三种服务模式：软件服务模式（SaaS）——允许用户控制应用程

序配置；平台服务模式（PaaS）——允许用户可以主机环境；基础构架服务模式——允许用户

控制除数据中心基础构架之外的其他构架。另外，云计算还具有四种调度模式：公有云模式—

—对大众或大型企业集团开放；社区云——服务若干组织机构；私有云——仅限于单个组织机

构；混合云——混合以上几种模式。鉴于NIST的广义定义综合了诸多人们关心的问题，以及

该定义演化的连续性，本文将在余下的讨论中沿用这一定义的内涵。

新安全2问题评判

本节评判云计算中出现的所谓―新‖与―旧‖的安全问题，从而确认何种问题对云计算的安全

威胁模型构成最大挑战。

2.1旧―‖安全问题

云计算的广泛应用带来了经常性安全事故。事实上，许多归为―云安全‖问题的事故属于传

统网络应用与数据联机问题，如网络钓鱼、故障停机、数据丢失、密码失窃与主机易感染僵尸

网络等问题。推特网络钓鱼属于传统网络安全隐患，现已摇身一变成为云计算安全隐患。近

来，知名的亚马逊云服务中发现