云计算的安全问题

来源:用户上传      作者: 黄 苇

　　 [摘要]随着云计算的应用,云计算的安全问题成为人们关注的焦点。本文介绍了云计算的数据安全风险及相应对策。
　　[关键词]云计算云安全 问题
　　
　　云计算是当前IT业界的热点,但目前云计算在中国却是叫好不叫座,其原因是多方面的,其中很重要的一个因素是云计算的安全问题。
　　云计算是分布式处理、并行处理和网格计算的发展,或者说是这些计算机科学概念的商业实现。其基本原理是,通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。云计算的应用包含这样的一种思想:把力量联合起来,给其中的每一个成员使用。
　　云计算平台拥有超大规模的服务器集群,为用户提供非常可靠的数据存储服务,其虚拟化和通用性使得它的部署和配置非常容易,用户终端只需要简单的设备就可以享受到数据中心提供的各种服务,相关的管理和维护都由专业提供商进行,它的可扩展性使其具有较强的容错性能,保证了它的高可靠性,它可以为用户提供按需服务,极大地降低了用户的使用成本。
　　人们对云计算安全的担心主要在于云计算的数据安全。首先,现在云计算没有一个统一的标准,把数据放在哪个“云”?用户没有备份,数据丢失如何处理?用户的数据能否根据用户的需要安全、完整地转移到别的“云”?其次,把数据存储在云中,数据的保管员是谁?还有谁可以得到用户的数据?理论上讲,只要数据在主人之外的第二人那里,就一定有丢失的风险,已经有了一些类似的案例,例如通信公司员工泄露用户的电话号码、通话记录等个人隐私谋取非法利益,甚至网上还有人叫卖各种个人信息、企业信息等。
　　当人们置疑云计算的数据安全时,云计算的支持者通常会用“钱庄”的故事来解释云计算是安全可以信任的。故事的大概意思是,过去我们没有钱,等有了钱以后,就发现存钱是一个非常棘手的问题。钱少的时候不怕,可以放在口袋里,可以随身携带。但是钱多了的时候,过去的方式可能很多人都了解,地主老财是把很多的钱找一个瓦罐,把钱放进去,埋在自己家院子里。那种方式在过去应该是比较有效的。随着金融服务业的发展,大家现在越来越感觉到,把钱放在银行里是最安全的。
　　这个故事似乎有道理,但是实际上存钱和存数据有本质的区别,存钱存的是数量,存数据不仅存的是数量,其本质在于数据的含义。我在银行存1万块钱,银行到时候只要给我1万块就可以了,至于是不是我原来的那1万块,我是不关心的。但是我存的数据呢?我存了1万条数据,3个月后,你还给我1万条同样的数据,但是在这3个月里,可能某些黑客拷贝了这些数据,可能云计算服务提供商因为某种原因浏览了这些数据,而这些事情发生的时候客户竟然不知道,而且即便是知道,也无能为力。
　　实际上这个比喻和人们对云计算数据安全的担忧是完全不同的两回事。在这个比喻中,人们的担心是“显性”的,客户可以通过某种方式参与监控,比如了解“钱庄”的动态等。而云计算数据的安全是“隐性”的,即别人是否看了我的信息,客户看到的不是真实的,比如服务商归还的1万条信息,只能说明数量上没有改变,而客户本身无法采取措施来监控自己的信息是否被他人利用。
　　对此客户可以根据不同的保密等级,做分级处理,将重要的机密文件存放在企业自己的机房里,其它不需要保密的文件,托管到云计算平台。未来的云计算服务模式可能是这样的,客户从云端获得功能服务软件系统,而输入输出的数据存储设备由客户自己指定,云计算提供商提供的仅仅是处理能力。当网速足够快的时候,客户为什么要把数据存放到“云”端?也许放在身边更加安全,实际上客户真正需要的是来自云端的功能系统。
　　云计算的特点决定了云计算所保障的安全性是建立在对方信任基础上的,即云计算的服务商不管是技术上还是道德上都是安全可靠的。然而,在现实世界中,不同国家根据其国家利益,会对某些网络行为进行管理和监控,我们在使用云计算服务时,很可能处于一个被监视的环境中,从而产生一定的失泄密风险。
　　一是可能造成泄密隐患。云计算服务商提供的“云”实际存在于不同地点,“云”的构成可能包括专业服务器集群,也可能包括私人电脑,如果在这样的“云”上申请的云计算涉及国家秘密,很容易使得计算的目的、数据在不知不觉中被泄露出去,造成泄密风险。
　　二是可能带来窃密风险。使用云计算可以提高工作效率,然而将某些涉密的计算问题交由境外“云计算”服务商进行解决,就可能被外国获取我们的科研方向、科研进度、科研成果等敏感信息。另外,个人电脑纳入“云”中,并不是简单的网线连接,而是要允许云计算服务商提供的管理软件在个人电脑中运行,这相当于给服务商提供了系统“后门”,如果服务商出于种种目的,将间谍软件合成到正常的管理软件中,那么个人电脑中的所有信息将会被服务商全部窃取。
　　无论是现在的互联网时代还是接下来的云计算时代,我们很难把自己的信息安全完全托付给一个公司而没有监控手段。现在的云计算概念及产品基本上都是由一些国际大公司推出的,大量的用户信息都是由他们管理。用户总在怀疑存储的数据会不会被监控,会不会被收集用作商业用途,会不会因为缺乏管理而泄露数据。
　　对于国家而言,必须在更高层面上考虑数据安全问题。如果采用云存储方式,基本成了一个战略情报收集的平台。经济活动的规模、经济实力、商业习惯很多具有重大价值的经济情报有可能会被泄露出去。而一些特殊部门的流程、规模也可能会泄露出去,成为别人的情报,甚至会成为竞争对手、敌人的有价值的情报。相对于一个国家而言,在重要的技术领域被国外的厂商所把握,这就意味着国家的信息安全也是由他们来保证。对于像中国这样的国家而言,这绝对不会是长远的,也不会被国内的民族企业所接受的。建立中国自己的云计算技术是中国IT从业者的责任。
　　
　　参考文献:
　　[1]汪来富,沈军,金华敏.云计算应用安全研究.电信科学, 2010,(06).
　　[2]陈丹伟,黄秀丽,任勋益.云计算及安全分析.计算机技术与发展,2010,(02).
　　[3]陈涛.云计算理论与技术研究.重庆交通大学学报,2009,(08).

转载注明来源:https://www.xzbu.com/2/view-463403.htm