陈 军，薄明霞，王渭清

（中国电信股份有限公司北京研究院 北京100035）

1 前言

云计算服务模式的日渐清晰及云计算技术提供手段的日益成熟，正在打消人们对“云”概念及应用的顾虑，云计算的应用案例越来越多。

从使用云计算的客户角度看，“云”提供商在“云”上能提供哪些业务以及这些业务是否能保证放在上面的信息的安全，是客户选择“云”最为看重的考量因素。也就是说，在使用云计算时，客户除了关注云是否能提供所需的业务外，还会特别关注云计算提供商是否能保证客户放在“云”上面的信息的安全可靠。

“客户就是上帝”，这句话在“云”中同样适用。对于云计算提供商来说，做出客户真正需要的云业务、满足客户的实际需求是必要的，但同时，做好云安全的各项措施，保障客户安心地去使用“云”及“云”上的各项业务也是必须的。为此，本文重点从客户角度出发，对“云”自身应满足的安全需求进行分析，对云安全应重点关注的方面进行探讨；并依据需求分析结果，对云计算提供商应提供的解决方案进行初步探索。

2 云安全需求分析

从客户的角度看，使用“云”的客户对“云”自身的安全要求，其实与传统网络及系统是类似的。客户最为看重的仍然是放在“云”上的基础数据是否安全、可靠。只不过在云计算环境下，由于基础设施特别是网络层和系统层的抽象化，缺少可视化、集成多种熟悉的安全控制手段的能力[1]，因此客户在使用云计算提供商提供的云环境时，为保证数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性[2，3]，会在安全方面特别关注以下问题。

（1）数据的完整与机密

云计算提供商应能有效维护数据的完整性和机密性，周期检测其运行状况并提交报告给客户。

在传统网络服务中，客户数据基本上都是存储在客户自身私有设备上，他们通过租用网络提供商的物理专线组成专网来传输、交换私有数据。客户数据的完整性与机密性更多地掌控在客户自己手里，他们通过限定访问控制列表ACL、加密等技术手段保证数据的完整与机密。传统网络提供商的职责主要是保障客户租用的电路可用率达标。然而，在云计算下，由于客户端已演变成显示终端，客户的私有数据放在“云”上，存储在“云”上，数据的传输、交换都发生在云计算提供商的“云”里。因此，如何保证放在“云”内但是却属于客户的数据完整、机密就成为客户最为关注的安全问题之一。

（2）数据的存放位置

必须保证所有的数据包括所有副本和备份存储在合同、SLA中规定的地理位置。

相对固定的存放位置意味着随时查看数据是否完整、可用、真实等是可行的，同时也意味着客户私有数据是相对稳定的。

（3）数据删除持久性

数据必须彻底有效地去除才能被视为销毁。这意味着云计算的提供商必须能提供一种可用的技术，保证全面且有效地定位云计算数据、擦除/销毁数据，并保证数据已被完全消除或其无法恢复。

云计算中，提供商为了保证资源的利用效率，一定会发生将众多客户的私有数据共存在同一物理存储实体的情况。一旦一个客户的部分或全部数据提出删除需求，该数据占用的存储空间就会被释放并分配给其他客户使用。这时，如果存在数据删除不彻底、可被恢复的可能，就会造成客户数据泄漏、引发系列严重问题的后果。这种事情一旦发生，客户对云计算提供商的能力认识就会大打折扣。

（4）不同客户数据混合状态下如何保证数据间的有效隔离

数据尤其是保密/敏感数据不能在使用、存储或传输过程中，在没有任何补偿控制的情况下与其他客户的数据混合；“云”提供者应能根据服务和数据的类型而使用不同的隔离技术，来实现客户间以及客户不同类型数据间的彼此隔离。此外，“云”中存储的机密数据必须通过访问控制组合和加密措施等进行保护。

（5）数据备份和恢复重建

必须保证数据可用，云数据备份和云恢复计划必须到位和有效，以防止数据丢失、意外的数据覆盖和破坏；运营商应能演示并证明其云计算具有全面有效的风险管理流程。

（6）数据发现

由于法律持续关注电子证据发现，因此云计算提供商会被要求在有需求时能发现特定的数据并确保法律和监管当局要求的所有数据可被找回。

3 云安全解决方案初探

从客户的角度，对“云”自身的安全需求进行了分析。对“云”提供商来说，这些安全需求必须满足，并通过一系列解决措施一一映射到“云”中，这样才能让使用“云”的客户既感觉方便，又用着安心，从而真正愿意使用“云”上的各项业务，保证云的健康稳定发展。

为此，提出如下云计算安全解决方案：云计算提供商应在“云”上同时做好传统安全及由网络、系统及应用虚拟化带来的新增安全两方面的工作。

所谓传统安全，主要包括物理安全、环境安全、网络安全、系统安全、应用安全和管理安全等。

物理、环境安全是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。主要措施包括物理位置的正确选择、物理访问控制（门禁、防尾随等）、防盗窃、防雷、防火、防静电、防尘、防电磁干扰等。

在网络安全方面，主要是要做好如下几方面的安全防护，包括网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。可以采取的主要安全措施和技术包括防火墙、IPS/IDS、网络安全审计系统、防病毒、防病毒网关、强身份认证等。

系统安全主要包括服务器、终端/工作站以及安全设备/系统在内的所有计算机设备上的操作系统和数据库的安全。系统安全问题主要包括操作系统本身缺陷带来的不安全因素（包括身份认证、访问控制、系统漏洞等）、操作系统及数据库的安全配置问题、病毒对操作系统及数据库的威胁等。要保证系统安全，云计算提供商应该做好身份鉴别、访问控制、安全审计、入侵防范、恶意代码控制、资源控制等，主要采取的措施和技术手段包括身份认证、安全审计、入侵保护、防病毒系统等。

“云”中的应用安全主要是Web应用安全，它主要包括两方面：一是Web应用漏洞，即Web应用层的各种漏洞，包括Web应用主流的安全漏洞、网页挂马、恶意代码利用的漏洞等；二是Web代码漏洞，即Web应用系统在开发阶段遗留下来的代码漏洞，包括SQL注入漏洞、跨站脚本漏洞、CGI漏洞和无效链接等。对于“云”中的Web应用而言，其防护主要包括应对网页篡改、DDoS攻击、导致系统可用性问题的其他类型黑客攻击等各种措施。采取的措施和技术手段有访问控制、配置加固、部署应用层防火墙等。

在管理方面，应该做好对“云”中安全信息和安全事件的集中管理，建立组织架构，建成专业队伍，并制定系列安全防护制度、规定以及流程（如安全规划与建设流程、安全设备运维流程、安全考核工作流程、安全事件处理流程等）。

对于由网络、系统及应用虚拟化带来的“云”新增安全，云计算提供商应采取的措施如下。

第一，应能在通过合同等方式保证无权访问任何客户数据作为基本原则的基础上，进一步做到引导客户决定谁应该获得权限和特权访问数据以及在何种条件下可以访问数据，并建议客户保持一个策略：默认状态下，所有组织中的雇员和云计算提供商没有任何访问权限。

第二，在系统、数据、网络、管理、部署和人员等方面全面部署隔离手段。如在系统、网络层，给出整个IT架构和抽象层的信任边界，确保给客户提供云计算服务的云中各子系统只有在需要时才能跨越安全边界，并配合适当的保障措施，以防止授权；加固虚拟操作系统，在虚拟机内部采用系列安全控制措施（如内置管理程序），在虚拟机外部部署安全控制手段 （如对开放给用户的管理接口的保护控制）；使用嵌入管理程序（API）的虚拟机定制安全机制对虚拟机背板上的流量进行细粒度的监测；根据使用类别、服务器、存储等不同物理硬件上的数据敏感度生成不同的安全域；在隔离破坏时产生报警等。

第三，增强安全管理管理，特别是用户、访问认证、安全审计等方面的管理，实现强劲和良好维护的安全信息和事件管理流程。

这样，当云计算提供商向客户提供云环境时，才可以将客户数据上“云”后面临的安全挑战降低，使客户信任“云”，使用“云”。

4 结束语

随着云计算部署和实施规模的日益扩大，对云安全解决方案进行深入研究，并建立完整的、行之有效的云安全防护体系是“云”发展的重要议题，这个议题的输出成果将在最大程度上降低云计算系统的安全威胁，提高云服务的连续性，在保障云计算应用的健康、可持续发展方面发挥重要作用。

1 CSA.Security guidance for critical areas of focus in cloud computing v2.1.http://www.cloudsecurityalliance.org/csaguide.pdf

2 CSA.Top threats to cloud computing v1.0. http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

3 Biggest cloud challenge:secuity.http://cloudsecurity.org/blog/2008/10/14/biggest-cloud-challenge-security.html