赖 新，董倢礽

(中国人民解放军91917部队，北京 100841)

0 引言

近年来，云计算技术与应用发展非常迅速，逐渐成为IT行业主流技术之一。云计算为社会计算资源利用率的提高和计算资源获得的便利性提供了一种技术手段和实现模式，使得计算资源成为向大众提供服务的社会基础设施。云计算技术的发展对传统计算模式带来了巨大冲击和挑战，信息安全技术也发生了革命性的变化，云计算给人们带来了巨大方便的同时，也带来了前所未有的安全隐患。2019年，云安全联盟与惠普公司共同列出了云计算的七大威胁，基于对29家企业、技术供应商和咨询公司的调查得出的结论显示，数据丢失/泄漏成为目前云计算安全面临的首要威胁。

随着云计算的广泛应用，云计算的数据安全问题越来越受到关注。张玉清等[1]对云计算环境安全问题进行了综述，介绍了云数据安全的研究进展，并分析对比了相关典型方案，指出未来发展趋势和研究方向。施珺等[2]针对云计算数据安全性问题，提出了一种基于云计算的安全数据存储架构，提高了数据存储的安全性。陈洁等[3]运用演化博弈理论对云存储进行建模分析，并提出了保障云存储数据安全的有效途径。张晓义等[4]基于云计算信息安全的现状，分析了云计算信息常见的安全隐患，并提出了加强基础设施安全管理、不断优化云计算服务系统运行环境等措施。王希忠等[5]分析了云计算数据安全所面临的挑战及关键技术，提出了身份认证、数据安全存储、数据隔离防护等安全防护方案。以上研究成果从一个或多个方面提出了解决云计算的数据安全问题措施，但是并未就云计算的数据安全问题，从宏观上提出数据安全防护体系。因此，本文尝试全面分析云计算面临的各种安全问题，构建完备的云计算数据安全防护体系，以保障云计算数据安全。

1 云计算模式

1.1 云计算定义

关于云计算的定义目前比较有代表性的有[6-7]：

维基百科认为：“云计算是一种将规模可动态扩展的虚拟化资源通过Internet提供对外按需使用服务的计算模式，用户无需了解提供这种服务的底层基础设施，也无需去拥有和控制，云形象地代表了Internet网络，即提供服务的基础设施”。

美国国家标准技术研究所定义为：“云计算模型能以按需方式，通过网络方便地访问云系统中可配置的计算资源共享池”。

中国云计算专家委员会认为：“云计算是一种新兴的商业计算模型，它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务”。

从以上定义可以看出，云计算的核心理念是将各种计算机资源服务化，用户不需要关心资源的具体情况，只需按需获取服务，这种以服务为特征的计算模式，最大的优势在于能够合理配置计算资源，提高计算资源的利用率。

1.2 云计算服务体系

云计算服务体系由云和云用户构成，云中包含大量的资源和服务，所有的云用户可以通过网络使用云提供的各种资源和服务[8-9]。云计算的核心服务类型通常分为3层：基础设施即服务(Infrastructrue as a Service，IaaS)，平台即服务(Platform as a Service，PaaS)和软件即服务(Software as a Service，SaaS)，如图1所示。不同的服务类型所拥有的资源不同，提供给用户的服务也不同。

图1 云计算服务模式Fig.1 Service modes of cloud computing

① IaaS层位于云计算3层服务的最底端，涵盖了从机房设备到其中的硬件平台等所有的基础设施资源层面，把IT基础设施整合成一个虚拟化的资源池，运行基础设施的程序代码以及相关的用户数据，并以按需提供服务的形式提供给用户，如基本的计算能力和存储能力，包含CPU、内存、存储、操作系统及一些基础软件。

② PaaS层提供开发平台、API组件和分布式软件平台运行环境，包括应用编程接口和运行平台，比如数据库、文件系统和应用开发环境等。一般面向的是应用软件开发商和独立开发者，用户可以进行软件开发、测试和运行。能提供大规模数据的存储处理能力，运用有效的资源管理与调度策略提高处理效率。

③ SaaS层位于云计算服务体系的最上层，通过Web浏览器为用户提供各种应用软件，可以将桌面应用程序迁移到网络中，实现应用程序的多点访问。

3层服务中的每层都有相应的技术来支持该层的服务，每层服务可以独立成云，也可以基于下层的云平台提供服务，每种云可以直接提供给最终用户使用，也可以只用来支撑上层服务。

2 云计算模式下数据安全风险分析

数据安全主要指数据的保密性、完整性和可用性得到一定的保障。云计算需要保证信息的安全，保护数据和信息系统避免遭受非授权的访问、使用、泄露、修改和破坏。云计算是架构在传统服务器设施上的一种服务的交互和使用模式，除了软件漏洞、网络病毒、黑客攻击等传统安全问题，作为一种新型的计算模式，云计算提供计算资源服务的同时，也带来了新的安全威胁。与传统的计算模式相比，云计算模式具有开放性、动态边界、多用户等特点，不同用户之间没有明确的物理边界。因此，传统以防火墙、IDS等手段为重点的基于物理边界的安全防护机制在云环境下难以奏效，很难为用户提供充分的安全保障。概括来说，云计算模式下数据的安全风险主要包括技术和人员因素两大类。

2.1 技术风险

云计算提供IaaS的虚拟化技术、PaaS的分布式处理技术以及SaaS的应用虚拟化技术，是云计算核心架构的关键技术，也是云计算平台所面临的技术风险的主要来源[10]。

2.1.1 IaaS层风险分析

虚拟化技术是IaaS层的核心技术，由于系统虚拟化、网络虚拟化、存储虚拟化等虚拟技术的使用，该层主要面临主机安全、虚拟网络安全和数据存储等安全风险。

(1)来自主机安全的风险

IaaS服务使用虚拟机监视器(Hypervisor)将物理机虚拟化为一台或多台虚拟机，因此主机安全风险主要来自于Hypervisor和虚拟机。风险一是虚拟机逃逸问题，如果向Hypervisor提供的API植入恶意代码，或者非法获取Hypervisor的访问权限，虚拟机和宿主机的安全就直接受到威胁；另一个是虚拟机嗅探问题。使用虚拟化技术以后，不同的虚拟机之间没有了明确的物理边界，攻击者可以利用简单的数据分组探测器，轻松读取虚拟机网络上所有明文传输的信息。

(2)来自虚拟网络的风险

IaaS平台中，用户直接使用虚拟化资源，采用网络虚拟化技术构建了虚拟网络系统，各虚拟机之间通过虚拟交换机可以直接进行通信，这部分流量不会出现在物理交换机上，因而无法做到对同一台物理服务器的虚拟机之间进行流量监控，存在安全风险。

(3)来自数据存储的风险

IaaS服务中，用户数据由云服务提供商进行管理，用户不确定自己的数据在云中的存储位置，以及数据由哪些服务器进行管理，因而无法确保数据的存储位置和管理它的服务器的安全性。不同用户的各类数据都存储在云端，可能造成用户的敏感数据被非授权人员恶意获取。云数据中心存储介质在硬件维修过程或者未经脱密处理便报废后，其中保存的数据也有可能被泄露。

2.1.2 PaaS层风险分析

分布式处理技术是PaaS层的核心技术，为用户提供分布式软件的开发、测试和部署环境，能够调配云数据中心的大量服务器协同工作，解决分布式存储和分布式计算问题，分布式处理技术能够对云计算中心的物理资源进行充分扩展，保证服务器集群网络高效运行。

(1)数据处理风险

如果存储服务器或者计算服务器失效，分区容错性低，会导致分布式文件系统和分布式数据库无法进行正常的数据存储和数据处理，可能导致数据丢失或者同一数据的多副本间数据不一致现象的发生。另外，当多用户并发访问时，如果对并发操作不能进行有效控制，则可能导致数据处理错误。

(2)开发环境风险

PaaS提供的开发环境包括编程接口、操作系统、数据库和第三方应用等，如果环境中的任何一项存在安全漏洞，攻击者就可以利用这个安全漏洞，对用户基于该环境所开发出的数据应用进行攻击。

2.1.3 SaaS层风险分析

(1)来自SaaS提供商的安全风险

传统的IT架构下，每个用户通常都拥有自己私有的、专用的服务器来运行特定的应用。而SaaS是在一个共享的基础设施上，采用“多租户”架构，将应用作为一种服务交付用户，提供对集中化应用资源的多用户远程访问，用户无需在终端安装软件，通过虚拟桌面、虚拟操作系统等即可访问应用。在这种多租户架构下，所有应用共享同样的存储、计算等基础设施，不同用户之间如果不能进行很好的系统隔离，恶意用户就可以直接访问他人的虚拟桌面，窃取其中的隐私数据。

(2)来自用户的安全风险

终端用户大都使用微软公司的操作系统，如果不能及时进行正确配置和补丁升级，存在大量的安全漏洞，容易受到病毒攻击。如果SaaS提供商允许用户在虚拟桌面上自行安装未授权软件，软件中的后门和安全漏洞为入侵者提供了访问内部数据的可能。

(3)来自数据传输的安全风险

云计算架构下，云用户通过网络远程登录云端后台服务器进行身份认证和数据交互，若传输信道安全性不高或者信息传输过程中没有保护，数据可能会被非法拦截，网络遭受攻击而发生故障，导致信息外泄。传输时，安全措施不当也可能导致数据在传输中丧失完整性和可用性。

2.2 人员管理风险

(1)云服务商内部维护人员的管理

云计算模式下，云服务商存放着海量的用户数据，如果内部维护人员进行恶意攻击、非授权访问，或是由于信息安全意识薄弱而进行一些不安全操作，将会严重威胁用户的数据安全，给用户和云服务商带来巨大损失。因此，为了使用户能够信任云服务商，必须高度重视内部维护人员的管理。

(2)终端用户的管理

云计算模式下，终端用户群体广、基数大，大多数终端用户对上网浏览操作熟练，但网络安全意识不强，对网络安防知识掌握甚少，常出现在未知系统安全性能的前提下将终端接入网络的问题。如对系统的安全漏洞不能及时升级或修补，终端使用弱口令或者不使用口令，随意共享、传递保密文档，对重要数据不及时备份，因误操作原因造成数据的破坏或丢失等。这些问题都增加了云计算模式下数据安全的风险。

3 云计算数据安全防护体系构建

云计算的数据安全需求主要包括2个方面：一是用户的数据不会被泄露，避免造成不必要的损失；二是在需要时能够保证准确无误地获取这些数据。因此，在云计算模式下，用户数据的安全防护面临着几个问题：一是如何确保用户的数据在网络传输过程中不被窃取；二是如何保证云计算服务商在得到数据时不将用户涉密数据泄露出去；三是云计算服务商存储时，如何保证访问用户在认证权限范围内获得合法的数据访问，并保证用户在任何时候都可以安全访问到自己的数据。

基于上述要求和云计算模式下数据的安全风险分析，本文构建了云计算环境下的数据安全防护体系，如图2所示。整个体系架构包括3层：云计算用户层、数据传输层和云计算服务层。安全防护体系覆盖了能够引起数据安全风险的各个角度，从而实现从云服务提供端到用户端全方位、全要素、全流程的安全管控，尽可能地确保数据的安全[11-12]。

图2 云计算环境下的数据安全防护体系Fig.2 Data security protection system in cloud computing environment

3.1 云计算用户层

用户层的安全主要体现在用户操作和网络安全措施规则上。加强用户安全使用终端的制度化管理，同时通过对不同用户的权限级别区分，在安全技术方面实行身份控制、权限控制、用户审计，防止用户越权操作，确保对用户读取数据情况及网上行为进行有效监管和追溯，防止数据失泄密的发生。物理防护是针对用户终端系统的硬件实体、终端使用环境、设备电源和通信链路等免受自然灾害及人为破坏，同时终端用户需要配备可靠的防病毒系统，防止计算机病毒入侵。

3.2 数据传输层

数据传输层突出网络安全、流量监控、路由控制和数据加密4个方面。网络安全包括网络管理系统安全、网络路由系统安全、局域网安全等；流量监控包括基于主机内嵌软件监测、基于流量镜像协议监测、基于硬件探针监测、基于SNMP协议监测和基于Netflow的流量监测等；路由控制为确保数据安全需要，提供基于IP网络的不同流量平面的安全技术，对路由信息进行过滤，可根据数据密级的区分，自定义匹配规则；数据加密技术是信息安全技术中的核心技术，数据传输中的加密技术通过对称加密、非对称加密、单选散列等加密技术混合使用，确保数据传输保密、完整和可用。

3.3 云计算服务层

云计算服务层分为基础设施安全、平台安全和应用安全的防护。

(1)基础设施安全管控

主要包括介质安全、环境安全、设备安全和虚拟化安全。提供虚拟机安全监控、虚拟机安全隔离和虚拟机安全迁移等服务保障。

① 介质安全包括存储介质本身的安全和存储数据的安全，对存储数据，对删除和销毁的介质数据，应采取有效措施，防止非法拷贝；对超过数据保存期的介质，必须经过特殊的数据清除处理。

② 环境安全是云计算服务系统所处环境的保护，包括机房内UPS电源系统、空调新风系统、配电系统、安防系统等预警监测保护。

③ 设备安全包括防火墙、漏洞扫描、防毒墙、入侵检测和防护系统等。

④ 虚拟化安全在Hypervisor中部署虚拟防火墙，使用虚拟机隔离技术和虚拟机迁移技术、虚拟机补丁等技术。

(2)平台安全管控

主要包括系统隔离安全、数据存储安全和运行环境安全。

① 系统隔离安全实现用户关键网络及服务系统与外界的安全隔断，或系统与系统之间的安全隔离，智能化攻击识别与过滤等。包括硬件隔离设备和系统隔离配置等。

② 数据存储安全包括数据可靠性技术、数据恢复技术、数据库安全防护和用户数据安全隔离、数据容灾备份等。

③ 运行环境安全包括服务器操作系统运行状态、操作系统运行机制、中断异常机制、系统调用机制等。

(3)应用安全管控

主要包括访问控制、内容安全、数据安全和软件安全。

① 访问控制是基础于标准的身份基础架构，通过账号管理、认证管理、授权管理和安全审计对用户和应用系统进行集中管理、统一认证、综合审计，以保证云用户访问和管理更加安全。

② 内容安全针对数据内容的行业标准，审计敏感数据、违规数据和涉密数据等内容。

③ 数据安全包括数据组织、数据集成、数据管理、数据分布式并行处理、数据储存和数据分析等方面。

④ 软件安全指应用软件自身的安全防护能力，在防护体系中突出应用软件在逻辑设计中提高安全策略，防止设计缺陷，增加应用软件生存周期

同时，云计算安全管理规章制度应作为数据安全防护的重要辅助手段，通过制定管理措施和完善相应的管理制度、法律法规来进行数据后台维护人员风险防控和终端用户行为约束，为云计算的持续发展提供良好的外部环境。

另外，云数据安全所面临的安全问题不仅仅是技术的问题，云服务提供商和用户之间信任的建立、维持和管理机制的保障都是很重要的因素，数据安全依赖“三分技术、七分管理”，技术只是手段，管理才是核心，数据安全管理机制应该覆盖数据整个的生命周期。

4 结束语

云计算是前景巨大的商业计算模式，同时云计算所带来的资源共享和应用模式，使用户数据面对来自多方的安全威胁，云计算环境下的数据安全涉及到数据的生产、存储、传输和应用等各个方面，需要全局考虑，综合运用多种技术手段，辅之以严格规范的制度管理，才能保证数据的安全。实现云计算高效的安全防护必将是技术与管理高度融合、人的网络行为和云安全标准齐抓共管的结果。