、～
兰太簟 ■
可见 ，云计 算是 一个复杂 的体系，既是一系列 Ｉ Ｔ技术的
融合，又包含多种服务模 式。
一
圃
巨
兰曩一
鼻擞式
嚣大 崎痛
２云计算 安全 总体框架
作 为一项新生事 物，云计 算 的推广遇到诸大挑战是用户对安全 问题 的担忧 。Ｇ ａ ｒ ｔ ｎ ｅ ｒ 、Ｉ Ｄ Ｃ等
企业的经营活动。
４ ） 从部 署模 式看，云计算可以分为以下 ３ 种模式 ：
（ １ ）公有云。是由独立 的第三方建设并运行，由若干企业 和用户共 享使 用的云环境 。
方面，Ｉ ａ ａ Ｓ平台沿袭传统计算 中心面临的安全 问题 ，要
（ ２ ）私有云。为某一客户单独构建和使用的云环境 ，该客
完善 的计算 机基础设 施获得服 务。Ｉ ａ ａ Ｓ 通 过网络向用户提供
计 算机 （ 物理机和虚拟机 ） 、存储 空间 、网络 连接、负载均衡 和防火墙 等基 本计算资源 ； 用户在 此基 础上部署和 运行 各种 软件 ，包括操作系统和应用程序。 （ ２ ） 平台即服务 （ Ｐ ａ ａ Ｓ ） 。将软件的开发、测试和部署 平台 作 为一种服务提 供给客户。Ｐ ａ ａ Ｓ平 台通常包括 操作系统 、编 程语 言的运行 环境，数 据库和 Ｗｅ ｂ服务器，用户在此平台上 部署 和运行 自己的应用 。 （ ３ ）软件即服务 （ Ｓ ａ ａ Ｓ ） 。即通过 Ｉ ｎ ｔ ｅ ｒ ｎ ｅ ｔ 提供软件 ，用户
总体框 架 ：
１ ）从基础技 术角度 看，云计算是一 系列技 术 的总和 ，这
＿ 从公 式 （ １ ）可 看 出 。
２ ） 从ｌ 生 能上看，云计算有 以下 ５大特 ： （ １ ）按需 自助服务。消费者可按需方便地获得计 算资源。
（ ２ ）泛在的网络访 问。可通过各种 网络渠道 ，以标准统一 的机制获取服务。
户拥 有基础设 施 ，并 可以控制 在此基 础设施 上部署应用 程序 的方 式。
采取全面、严 密的安全措施 。例如 ，在物理层考虑厂房安全 ；
在存储 层考虑数 据加 密、备份 、归档 、灾难 恢复等 ； 在 网络 层考虑 ＤＤ ｏ Ｓ攻击、数 据传输 机密性 等 ； 在 数据层考虑 数据
也可以针对不 同服务需求计量和定价。
２ ． １云计算 安全政 策、法规 、标准
传统 的安全技 术 已经 出现 多年，相 应的标准 、法律 、法
３ ） 从 服务模 式看，云计算包含如下 ３种模式 ：
（ １ ）基础设施 即服务 （ Ｉ ａ ａ Ｓ ） 。消费者通过 Ｉ ｎ ｔ ｅ ｒ ｎ ｅ ｔ 可以从
规也都 相对成熟 ，但现在 的云计算安 全缺 少标 准，政 策、法 规也不健 全。再加上云计算 自 身 的特点 ，数据可以存储在世界 上任何一 个 国家 ，当出现 问题 时，国家 政策 的不 同也 是云计
算安 全的一个重大 挑战。 标准化是 云计算安 全发 展的重要 措施 之一，但 目前云计 算安全研究 还处于起 步阶段。 国际上研 究主力包括 云安全联
Ｉ ＿ — —
２ ０ １ ３ 年第Ｏ ７ 期
库安全 、数 据 的隐私 ｌ 生 与访 问控 制等 ； 在 应用层考虑程 序完
整性 检验 、访问控制与漏洞管理等。 另一方面 ，Ｉ ａ ａ Ｓ平 台大 量采用虚拟化技 术，包 括虚拟服
采取冗余存储 的方式来解决 ，每份文件或数据在 系统中保存 多个备份。冗余存储 解决了数据的可靠性问题 ，但也带来了一 致性问题 ，因为文件或数据存储在多个不同的 中，对文件 或数据 进行修改 时必须 确保对所有副本都进行 了修改，这就 需要分布式 同步机制对并发操 作进行控制。这些 技术 的复杂 性都给数据的可靠和安全 带来了巨大 挑战。
Ｉ ａ ａ Ｓ层处于 云计算平台的最底层 ，为上 层云应 用提供安 全数据存储 、计算等 Ｉ Ｔ资源服务，是整个 云计 算体系安全 的 基 石。Ｉ ａ ａ Ｓ平台既有传统数 据 中心的安全 特性 ，更 面临 自身
特有的安全风险。
一
无 需购买软件 ，而是 向服务商 租用基 于 Ｗｅ ｂ的软件，以管理
２ ）用户 接 口和 应 用 安 全 对于 Ｐ ａ ａ Ｓ 服 务 来 说 ，来 自客户 端 的 代 码 可 能 是 恶 意 的 。
２ ０ １ ３ 年第０ ７ 期
１ ． ２云计 算总体框架
云计算 的总体 框架如图 １ 所示。
，
（ ３ ）混合云。把公用云模式与私有云模式结合在一起的云
环境 。混合云有助于提供按需 的、外部供 应的扩展服务。
… 、
’
，
、
私有云
一
１
， 一
公有云
～ ～
潞 台 云
（ ３ ）动态资源池 。资源可以被 整合 为一个 动态资源池 ，以
多租 户模 式服务所有客户并动态分配 。
（ ４ ）快速伸缩性。可以迅速 、弹性 地提高服务，既能快速
扩展 ，也 能快 速释放 资源。 下面概要介绍该框架中每部分 的含义。
（ ５ ） 可计量 的服务。服务收费可 以是 基于计量 的一次一付 ，
盟（ Ｃ Ｓ Ａ） 、国际电联 （ Ｉ Ｔ Ｕ） 、Ｉ Ｅ Ｅ Ｅ等组织 ，国内有 中国通信
标准化协会 （ Ｃ Ｃ Ｓ Ａ） 、中国云计算技术与产业联 盟 （ Ｃ Ｃ Ｃ Ｔ Ｉ Ａ）
等组织 ，但 这些组织 的研 究也都 处于进行 中，尚未形成获得
一
致认可的安 全技 术和标准 。
２ ． ２ ｌ ａ ａ Ｓ 层 的安 全 风 险与 措 施
专业 机构的调研 也表 明，安全 问题 已成 为阻碍云计算 推广的
最 大 障 碍 。 鉴 于 云 计 算 的 复 杂 性 ，它 的 安 全 问题 也 应 该 是 一
图 １ 云 计 算 总 体 框 架 图
从图 １ 可看出，云计算是一个复 杂的体系 ，可 以从以下几
个 层 面来 论 述 。
个涵 盖技 术、管理 ，甚至法律 、法规的综 合体。 根据云计算平 台的特点 ，构建了如 图 ２所示 的云计算安全