尚政宇+邱菊

摘要：在过去的几年中，云计算已经从一个有前途的经营理念成长为IT行业快速成长的部分之一。现在，受经济衰退打击的公司已经很快地意识到进入云计算行业他们可以得到快速地发展并且能快速地增长他们的基础设施资源，而这一切的成本基本可以忽略不计。但是随着个人和公司放置在云里的信息越来越多，对云环境安全与否的担忧正在增长。该文讨论云服务提供商在云工程期间所面对的安全问题，需求及挑战。针对在技术和业务领域中的问题提出一些安全标准和管理模式。

关键词： 云；云安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）04-0052-04

云服务提供商（比如微软、谷歌、亚马逊、Salesforce.com、GoGrid）正在利用与自助服务相结合的虚拟化技术通过网络获取计算资源。在这些服务提供商的环境中，多个组织中的虚拟机器要被共同定位在相同的物理服务器上，目的是为了最大化虚拟化的效率。如果云服务提供商希望保留自己的客户基础以及竞争力，云服务提供商必须从管理服务提供商中学到模型并且确保他们的客户应用以及数据是对的。今天，企业正朝着云计算领域发展，但是有很多承担不起在应用和数据方面的安全风险。

国际数据公司组织了一次调查，263个IT公司的总经理以及他们的同行讨论他们的观点并且了解他们公司在云服务中的使用。作为云计算最大的挑战或问题，安全排名第一。

在新环境当中，公司和个人都关心安全和合规性如何才能保持。甚至更多的关注来自加入到云计算中的企业。把关键应用和敏感数据移动到一个公共并且共享的云环境中，是企业的一个主要关注点（这些企业正在超越它们数据中心的网络周边防守）。为了缓解这些担忧，一个云解决方案供应商必须确保在他们的应用和服务上面，客户可以持续拥有相同的安全和隐私控制。还得给这些客户提供证据证明他们的组织和客户是安全的，他们可以满足他们的服务水平协议，并且展示如何能证明符合他们的审核。

不管云如何演变，它需要某种标准化的形式，这样市场可以茁壮成长。不管哪个供应商提供云服务，标准应该允许云交互操作并且互相彼此连通。

本论文讨论安全和隐私论题的挑战，并且对技术和商业界推荐控制目标。也为供应商和独立平台高度建议OVF标准，开放的，安全的，便携的，高效的并且可扩展格式的封装和分发在虚拟机中运行的软件（结合目标应用程序、库、服务、配置、相关数据和操作系统的软件协议栈）。

1 云安全

1.1 安全问题和挑战

提高安全威胁问题必须被克服，进而充分受益于这种新的计算模式。下面将列出一些安全问题并讨论：

1）安全问题：与云模型控制相关的物理安全性丢失，原因是因为与其它公司共享计算资源。资源运行的地方没有知识和控制。

2）安全问题：有些公司可能会违反法律（因为它们可能会有数据被外国政府窃取的风险）。

3）安全问题：如果用户决定从一个云供应商移动到另外一个云供应商，由一个云供应商提供的存储服务可能与另一个供应商提供的服务不匹配（比如：微软云与谷歌云就是不匹配的）。

4）安全问题：谁控制了加密/解密密钥？从逻辑上来讲，应该是顾客控制它们。

5）安全问题：确保数据的完整性（传输、存储和检索）意味着它仅在响应于授权交易时做改变。一个常见的确保数据完整性的标准尚未存在。

6）安全问题：以支付卡产业数据安全标准为例，数据日志必须向安全管理者和监管机构提供。

7）安全问题：用户必须跟上应用改进以确保它们被保护。

8）安全问题：一些政府法规在其公民可以存储什么样的数据以及存储期限方面有很严格的限制，一些银行的监管机构要求客户的财务数据保留在它们的本土国家。

9）安全问题：动态的以及流体性质的虚拟机将使得保持安全性和确保可审计性记录的一致性难以维持。

10）安全问题：如果客户的隐私权被侵犯，他们可以起诉云服务供应商，并且在任何情况下云服务供应商都有可能面对他们名誉的损害。对于客户而言，当为什么他们的个人信息被要求，或者个人信息被传递给其他群体时他们自己并不太清楚时，问题就会出现。

敏感隐私信息：

可识别个人的信息：任何可以被用来识别或定位一个个体的信息（比如国家、姓名、地址），或者与其他识别个体信息相关的信息（如信用卡号，IP地址）。

关于宗教、种族、健康、联盟会员、性取向、工作绩效、财务信息、生物识别信息或任何其他可以考虑的敏感信息。

从计算机设备收集到的数据（如笔记本电脑、智能手机，iPad）。

独特的可以追溯到用户设备的信息（如IP地址，MAC地址等）。

其他方面的思考：

访问：数据对象有权知道个人的什么信息被持有，并且在某种情况下，可以发出请求去停止处理它。如果数据对象重复要求云机构删除他的数据，那么确保他在云中所有的数据都被删除是可能的。

遵守：可应用的法律、法规、标准和管理这些信息的合同是什么？谁负责维护合规？云可以跨越多个国家的司法管辖区。

存储：在云中存储的数据在哪里？是不是被传送到另外一个国家的另外一个数据中心了？各个国家的隐私法根据机构的能力制定限制条件，以此来限制传输某种类型的个人信息到其他国家。

保留：被传送到云中的个人信息保留多长时间？谁执行在云中的保留政策？这项政策的例外情况该如何处置（比如诉讼保留）？

数据销毁：我们怎么能知道云服务提供商（CSP）不会保留额外的复印件？是云服务提供商确实销毁了数据，还是仅仅只把数据设置为不可查询？云服务提供商可能会长期保留那些信息，以备自己进行数据挖掘。

审核和监视：机构如何才能监视他们的云服务提供商并且给相关的利益相关者提供保证？

隐私泄露：我们如何才能确保云服务提供商能在发生隐私泄露时及时通知我们，泄露通知事件由谁来管理？如果合约包括因为云服务提供商疏忽而导致泄露的责任，那么合约是如何执行的，如何决定谁是错的？

1.2 安全管理标准

云中与安全管理相关的标准是信息技术基础架构库（ITIL），ISO/IEC 27001/27002以及开放虚拟化格式（OVF）。

1） 信息技术基础架构库（ITIL）：它是一个最好的练习和指导的集合，这个集合为管理信息技术服务， 定义了一个完整的，以进程为基础的路径。ITIL可以被应用在几乎所有类型的IT环境，包括云操作环境。ITIL尝试在战略、战术和操作水平上确保采取有效的信息安全措施。信息安全被认为是一个迭代的过程，这个过程必须被控制，计划，实施，评估以及保持。

ITIL为IT服务供应的管理提供了一个系统的、专业化的方法。采用其作为引导可以给用户提供一系列的好处。包括：降低成本；通过对最佳实践过程的使用，提高IT服务；

通过更专业化的方法，提高客户满意度；标准和指导；提高生产率；提高技能和经验的使用；

通过规范化ITIL或者ISO 20000为服务采购中服务的标准，进而提高第三方服务的交付ITIL帮助你分离开行政任务和技术任务，这样可以分配更多合适的资源；

更好的测量技术支持性能：ITIL流程安全管理介绍在管理组织中信息安全的结构拟合。它是基于信息安全管理实践的代码，现在被称为ISO/IEC 27002。

ITIL把信息安全划分成：

政策：一个组织尝试去实现的所有目标；过程：为了实现目标都发生了什么；程序：谁做什么以及何时实现目标；工作指令：具体行动的指令。

安全管理的基本目标是确保充分的信息安全。信息安全的首要目标，是保护信息资产远离风险，进而保持他们在组织中的价值。这通常表现在确保他们的保密性、完整性和可用性。相关的属性和目标还有，真实性、可说明性、不可否认性和可靠性。

备注：组织和管理系统不能进行ITIL认证，只有实践者才可以认证。

2）国际标准化组织（ISO）27001/27002：ISO/IEC 27001为信息安全管理系统（ISMS）正式定义了强制性要求。其中还有一个认证标准，使用了ISO/IEC 27002 来指示在ISMS中合适的信息安全控制。

从本质上来讲，ITIL， ISO/IEC 20000，ISO/IEC 27001/27002的框架帮助IT组织内化并回答基本问题。比如：

“我如何能确保当前的安全级别是否适合您的需要？”

“在你的操作过程中，我如何能应用安全基线？”

简单来说，他们有助于回答这些问题：

“我如何确保我的服务是安全的？”

3）开放虚拟化格式（OVF）：OVF能够有效地、灵活地、安全地进行企业软件的分配。促进虚拟机的流动性，给予客户供应商和平台独立性。客户可以在他们选择的虚拟化平台上有效利用OVF格式化的虚拟机。

用OVF，客户在虚拟化方面的经验逐渐增强，具有更多的可移植性，平台独立性、验证、签约、版本控制和授权条款。OVF可以：提高用户经验并简化装置；为用户提供独立性和灵活性的虚拟化平台；创建复杂的预配置的多层次的服务更容易；通过便携式虚拟机有效地提供企业软件；提供特定平台的增强功能和通过可扩展性使得虚拟化的进展更容易。

在虚拟设备上不断上升的投资（IBM，微软，戴尔，VMware），不仅简化了个体用户应用程序的部署，也增强了下一代云计算体系结构。与其花相当长的时间去构建一个专门的应用分布，不如为大多数云计算基础设施提供虚拟设备，以满足任何需要。因为虚拟设备只是一个包装好的简单文件，很容易复制和分发所有安全和隐私配置的这些设备。

在未来，启用了虚拟化层的云，将提供新的走向市场的机会，软件产品（将操作系统和分层软件整合成一个易于管理的复合包的软件产品，它可以部署国外的工业标准的客户端或者服务器硬件，无论是在虚拟机上还是直接在硬件上），都将有助于简化这一转变。与软件设备一起的云计算，将也能创造新的商业模式，该商业模式将允许公司在处所根据需求出售单一商品。这两种技术相对仍然不成熟，开始了解新的动力是必须的，将开始出现给终端用户销售软件和硬件。

1.3 安全管理模型

本节介绍20种推荐的安全性管理模型以及他们在云计算方面的需求，即云服务提供商应该明确考虑制定或完善他们的合规性程序。

1） 软件即服务（SaaS）安全：在可预见的将来，SaaS是占主导地位的云服务模式，并且将在最需要安全和监督的区域驻留。正如管理服务提供商、公司或终端用户在使用供应策略之前，将需要研究在数据安全方面的供应策略，以避免丢失或无法访问数据。技术分析和咨询公司Gartner列出了七种安全风险，而这些应该有人与云计算供应商讨论：

特权用户访问：对于管理你信息的人来说，你要获得尽可能多的关于他的数据。要求用户在关于雇佣与监管特权管理员方面提供特定信息，以及对其访问的控制。

监管合规性：确保供应商愿意接受外部审计和安全认证。

数据定位：当你使用云时，你可能并不能准确地知道你的数据被储存在哪儿。事实上，你可能甚至不知道你的数据被存放在哪个国家。询问供应商，是否他们将把存储的和处理的数据提交给特定的司法管辖区，以及他们是否会为了他们的客户，做出遵守当地隐私的合同承诺。

数据分离：确保全程加密，并且这些加密策略是由有经验的专业人士设计及测试。

恢复：即使你不知道你的数据在哪儿，也应该有云服务提供商告诉你，如果有不测，对你的数据和服务将会发生什么。跨多个网站的不复制数据和基础设施的任何提供都容易受到攻击。询问你的供应商，它是否有能力做一个完整的恢复，并且需要多长时间。

调查支持：不适当的调查或者非法活动在云计算中是不可能的。云服务特别难调查，因为多个客户的日志和数据可能被共同定位，并且可能在一个不断变化的主机集合和数据中心广泛传播。如果你不能得到一个合同承诺来支持特定形式的调查，以及供应商已经成功地支持这样的活动的证据，那么只有一个安全的假设，即：调查和发现需求是不需要的。

长期生存能力：理想情况下，你的云服务供应商永远不会破产或者被一个大公司收购或破产。但是你必须确保你的数据在这样的事件之后仍然保留。问你的潜在供应商你如何能要回你的数据，并且如果是在一种形式，你可以导入到一个替换应用程序。

为了解决上述安全问题，SaaS供应商将需要纳入和加强安全性练习，这些是由管理服务提供商使用和开发演变。

2）安全管理（人群）：一个安全团队的最重要的作用之一是发展一个正式的安全组织和计划章程。这个章程应该与战略计划相一致（该策略计划指安全公司为组织或公司工作的策略计划）。缺乏明确规定的角色和责任，以及期待中的协议，能导致总体上的损失和在安全团队中间的混乱，他们的技能和经验被利用，就能满足他们的性能目标。

3）安全管理：应该发展安全指导委员会，目标是把重点放在为安全倡导提供引导，并且为业务和IT策略提供指导。该委员会必须明确地定义安全团队的角色和责任，和参与执行信息安全功能的其他团队。

4）风险管理：风险管理需要技术资产的识别，数据及其与业务流程、应用程序、数据存储关系的鉴定，及分配所有权和保管责任。行动还应该包括保持信息资产库。对包括保护需求的信息资产，业主有权利也有责任。托管人实施和管理保密性，完整性，可用性和隐私控制。

5）风险评估：当平衡决定商业实用与资产保护的优先权，安全风险评估对帮助信息安全组织作出明智决定是至关重要的。正式信息安全风险管理过程应该积极评估信息安全风险以及计划，并按周期的或按需要的基础上管理他们。在威胁模型中更多细节和技术安全风险评估应该被适用于应用程序和基础设施。

6）安全意识：人是最薄弱的安全环节。知识与文化是与人相关的风险管理的少数有效工具之一。对于可能暴露公司给各种各样安全风险的人群，而不是系统或应用程序漏洞，是威胁和点进入，不向他们提供正确的意识和培训。社会工程攻击，较低的报告和对潜在安全事故的缓慢反应，并且无意的客户数据泄露都是可能的风险，而这些风险可能是由于缺乏有效的安全意识程序导致的。

7）教育和培训：在安全团队里及其内部合作伙伴中，为提供基本安全的基线和风险管理技能及知识的程序应该制定。为了满足安全团队的需要，为了提供充分的培训和提供一个广泛的基础安全性，这需要一个正式的评估和调整技能的过程，包括数据隐私和风险管理知识。

8）政策和标准：许多资源和模板可帮助信息安全政策和标准的发展。云计算安全小组应该首先确定信息安全和独特的云计算的商业需求，SaaS，协同软件应用安全。政策以及支持的文档标准和指南，应该制定、记录和实施。为了保持相关性，当商业环境或IT环境中发生重大变化时，这些政策、标准和准则应该定期审查。

9）第三方风险管理：缺乏第三方风险管理程序可能导致对供应商名誉的损害，收入损失。

10）脆弱性评估：将网络资产分类成更有效地优先考虑脆弱性缓解方案，如修补和系统升级。

11）安全映像测试：基于虚拟化的云计算提供了创建“测试图像”的能力，构建虚拟机和复制多个副本。金图像VMs还提供保持安全的日期和通过离线修补减少曝光的能力。离线虚拟机可以修补断网，提供一个更简单、更具有成本效益、更少生产威胁的方式来测试安全变化的影响。

12）数据管理：这个框架应该描述谁可以采取什么样的行动，和什么时候，在什么情况下，用什么样的方法。

13）数据安全：安全需要移动到数据层次，这样企业就可以确保无论走到哪里他们的数据都是被保护的。也可以强制加密某些类型的数据，并只允许特定用户访问数据。也可以提供符合支付卡行业数据安全标准。

14）应用安全：在这里安全特征和需求被定义，对应用安全测试结果进行审查。在安全和开发团队之间，安全进程应用、安全编码指南、培训、测试脚本和工具通常是一种协作的努力。虽然产品工程很可能将重点放在应用层，应用本身的安全设计，以及与应用互动的基础设施层，安全团队应该提供产品开发工程师的安全需求。

15）虚拟机安全：在云环境中，物理服务器被合并成在虚拟机服务器基础上的多个虚拟机实例。在大的安全虚拟机中，不仅数据中心安全小组可以为数据中心重复典型的安全控制，他们也可以建议他们的客户在合适的时机把机器迁移到云环境中。

16）身份访问管理：对于每个组织来说，身份和访问管理是一个重要的功能，SaaS客户的基本期望是“最小特权原则”，这个被授权给他们的数据。最小特权原则规定：只需要执行最小访问需求，并只需要在最低限度的时间获得应有的访问权限。

17）改变管理：为标准和较小的变化，安全团队可以创建安全准则，为这些变化提供自助服务能力，在生产更复杂更重要的变化方面，优先考虑安全团队的时间和资源。

18）物理安全性：因为客户失去对物理资产的控制，安全模型可能需要重新评估。云的概念可能被成倍误导，人们忽略了一切都得绑定到一个物理地址上。建立物理数据中心的安全需求层需要大规模投资，这是企业不建立自己的数据中心的主要原因，这也是他们在第一时间移动到云服务的原因之一。

19）数据隐私：应该创建隐私指导委员会，以帮助决策相关的数据隐私。安全合规团队，如果存在一个，那么不会对数据隐私进行正式的培训。答案是聘请一个这方面的顾问，聘请一位隐私方面的专家，或有一个正式受过培训的团队成员之一。这将确保你的组织能满足其客户和监管机构的数据隐私需求。

2 结论

经过讨论，我们知道，当设计和使用云设备时，考虑到安全和隐私是非常重要的。在本文中通过涵盖安全的问题和挑战，安全标准和安全管理模型的方式，详尽阐明了云计算中的安全。

安全问题表明可能出现的潜在问题。

安全标准提供某种安全模板，云服务供应商能遵守它。未来最有前途的标准将会是OVF格式，它能创造新的商业模式，并能允许企业在处所根据需求出售单个产品。

安全管理模型提供基于安全标准和最佳实践的建议。

在即将到来的几年里，这些都将是云计算方面非常重要的课题。截止到2014年底，安全漏洞市场的收入已经超过44亿美元的收入。每年的增长率导致的复合年均增长率为10.8%。这项调查显示，市场对安全和漏洞管理方面的产品将继续保持高需求。

参考文献：

[1] 郭乐深，张乃靖，尚晋刚.云计算环境安全框架[J].信息网络安全，2009（7）.

[2] 严明.云计算中的云安全研究[J].现代商贸工业，2009（20）.

[3] 吴海峰.云计算中云安全防御策略的设计思路架构[J].无线互联科技，2014（12）.

[4] 吴涛.浅析云计算及云安全[J].信息安全与通信保密，2012（2）.

[5] 高伟.云计算：从云安全到可信云[J].中国电子商务，2013（4）.

[6] 郑宇帆.云计算与云安全框架研究[J].科技资讯，2013（11）.