・24・2011.2-3・Technology and Study·技术探讨云计算与云安全徐刚（华中科技大学软件学院 武汉 430074）【摘要】云计算无疑是眼下的一个热点问题。

有无数的论坛与专家在关注云计算与云安全问题。

本文在分析了云计算的关键技术及其优势后，探讨了目前云计算所带来的云安全问题。

【关键字】云计算；云安全Cloud Computing and Cloud SecurityXu Gang(School of Software Engineering of Hust Wuhan 430074)【Abstract】Cloud computing is undoubtedly a hot topic right now. There are numerous forums and experts concerned about the security of cloud computing and cloud. This paper analyzes the key technology of cloud computing and its advantages, the study of the current cloud cloud computing security issues arising.【Keyword】cloud computing; cloud securit 1. 引言目前，云计算正在如火如荼地进行，那么到底什么是云计算？打个简单的比方，我们日常工作生活中使用计算机存储文档、影像资料等，通过网络与他人共享信息。

如果计算机的存储器坏了，我们存储的资料就会丢失，而我们却束手无策。

但在云计算出现以后，“云”会替我们做好存储和计算工作。

“云”就是计算机群，每一群包括了几十万台、甚至上百万台计算机，云计算是使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器上，这使得企业或用户能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。

而我们只需要一台能上网的电脑，不需要关心存储或计算发生在哪朵“云”上，一旦有需要，我们可以在任何地点用任何设备，如电脑、手机等，快速地计算和找到这些资料，我们再也不用担心资料丢失了。

“云”的好处还在于，其中的计算机可以随时更新，保证“云”的长生不老。

2. 云计算的优点云计算可谓是革命性的举措，它包含这样一种思想：把力量联合起来，给其中的每一个成员使用。

对于云计算，这里借用Google 全球副总裁李开复的话来说，云计算就仿佛银行的自动取款机（ATM），我们出门再也不用随身携带大量现金，可以根据需要随时取用。

那么，“云”时代已经到来，面对各种“云”，我们有些应接不暇。

笔者在这里分析云计算的优点体现在四个方面。

（1）云计算使得用户存储信息可靠。

云计算提供了最可靠、最安全的数据存储中心，用户不用再担心数据丢失、病毒入侵等麻烦。

很多用户觉得数据只有保存在自己看得见、摸得着的电脑里才最安全，其实不然。

你的电脑随时都有可能会因为自己的误操作而被损坏，或者被病毒攻击，导致硬盘上的数据无法恢复，而有机会接触你的电脑的不法之徒则可能利用各种机会窃取你的数据。

反之，当用户把文档保存在类似 Google Docs 的网络服务上，把照片上传到类似 Google Picasa Web 的网络相册里，就再也不用担心数据的丢失或损坏。

因为在“云”的另一端，有全世界最专业的团队来帮助用户管理信息，有全世界最先进的数据中心来帮助用户保存数据。

同时，严格的权限管理策略可以帮助用户放心地与用户指定的人共享数据。

这样，不用花钱就可以享受到最好、最安全的服务，甚至比在银行里存钱还方便。

（2）云计算对用户端的设备要求最低。

经常使用计算机的用户应该都有过在计算机上安装各种信息安全与技术・2011.2-3・25・技术探讨·Technology and Study繁杂的应用软件的经历。

用户经常为了使用某个最新的操作系统，或使用某个软件的最新版本而不断升级自己的电脑硬件；经常为了打开朋友发来的某种格式的文档，而不得不疯狂寻找并下载某个应用软件；甚至为了防止在下载时引入病毒，而不得不反复安装杀毒和防火墙软件。

所有这些麻烦，对于一个刚刚接触计算机、刚刚接触网络的新手来说，不亚于一场噩梦。

那么云计算的出现帮用户解决了这个烦恼的问题。

用户只要有一台可以上网的计算机，只需要做的是在浏览器中键入URL，然后就可以尽情的享受云计算带来的无限乐趣。

用户可以在浏览器中直接编辑存储在“云”的另一端的文档，可以随时与朋友分享信息，再也不用担心现有的软件是否是最新版本，再也不用为软件或文档染上病毒而愁眉苦脸。

因为在“云”的另一端，有专业的 IT 人员帮助用户维护硬件、安装和升级软件、防范病毒和各类网络攻击等。

（3）云计算可实现不同设备间的数据与应用共享。

举个简单的例子，用户的手机里存储了几百个联系人的电话号码，而买了新手机后，用户不得不在旧手机和新手机之间同步电话号码。

还有用户在办公室里所使用的计算机和在家里所使用的计算机不同，但是却经常需要进行数据同步，其所用方法繁琐复杂。

结果是用户要想在这许多不同的设备之间保存和维护一份最新的信息，则必须为此付出难以计数的时间和精力。

这时，用户需要云计算来让一切都变得更简单。

在云计算的网络应用模式中，数据只有一份，保存在“云”的另一端，用户的所有电子终端设备只需要连接到互联网，就可以使用到同一份数据，而且当数据发生变化之后，随时可以上传到服务器端以保持数据的最新状态。

（4）云计算为各类信息服务提供了几乎无限强大的计算能力。

例如当用户驾车出游的时候，只要用手机连入网络，就可以直接看到自己所在地区的卫星地图和实时的交通状况，可以快速查询自己预设的行车路线，可以请网络上的好友推荐附近最好的景区和餐馆，可以快速预订目的地的宾馆，还可以把自己刚刚拍摄的照片或视频剪辑分享给远方的亲朋好友等等。

离开了云计算，单单使用单个计算机或手机等终端设备，是无法享受这些便捷服务的。

因为单台设备不可能提供无限量的存储空间和计算能力，但在“云”的另一端，由数千台、数万台甚至更多服务器组成的庞大的集群却可以轻易地做到这一点。

单台设备的能力是有限的，但云计算的潜力却几乎是无限的。

3.云计算所面临的威胁咋一看，云计算的前景一片光明，它为用户提供了各种免费的应用程序和网络存储功能，并把这些应用程序和用户存储的资料放在“云”中，使用户通过互联网以一种便于数据共享的方式来访问及使用这些程序和资料。

那么，既然用户把自己的数据连同这些应用程序放在“云”端的硬件上，就会对常常很敏感的信息失去一度的控制。

此前有轰动一时的“艳照门”事件就是由于个人计算机数据外泄而造成的。

所以说一提到云计算的安全性和隐私性，云计算的前景就显得不那么光明了。

目前，云安全所面临的威胁主要有三个方面。

（1）网络盗窃。

网络犯罪者正从恶意程序、破解入侵以及其他恶意活动当中获取庞大利润。

网络犯罪者的攻击技巧非常高明，经常改变策略，善于掌握最新的技术而掌控到“云”端，网络犯罪者只要对操作系统动一点手脚，稍微修改一下DNS 记录，就能让用户在连上网页应用程序时，先转往恶意网站，然后才到达自己的网页应用程序页面。

只要是无法完全封锁通讯管道，使用者的资料就可能完全曝光。

（2）攻击云本身。

如果云式应用程序以及云式操作系统成为主流，攻击者有可能利用标准的网络/傀儡网络 Botnet (未来十年之内应该还会看到采用多用途标准操作系统的网络/傀儡网络 Botnet 感染电脑) 来让云基础架构上的主机超载而瘫痪。

或者，黑客也可能”要求”厂商必须给予小额”乐捐”才能让已经瘫痪的云主机恢复营运。

这些对网络犯罪者来说都是利润丰厚的生意。

（3）云服务厂商资料外泄。

例如一家投资银行的员工使用Google Spreadsheets 来组织管理员工社会保障号码清单。

那么，保护这些信息远离黑客及内部数据泄密事件的责任就落在了谷歌的肩上，而不是银行的肩上。

命令交出信息的政府调查人员可能会要求谷歌交出那些社会保障号码，而不通知数据的所有者。

而有些在线软件公司，甚至乐意与营销公司共享用户的敏感数据。

直接从“云”取得有价值的资料 (因为资料已经移到云)。

例如信用卡、身分证号码、登入账号密码等等，将是每一个企业与家庭使用者最大的担忧与考量。

问题在于云服务厂商能否有效够确保资料不会遭到非法存取，不会轻易让黑客复制数百万笔使用者资料、登入账号密码、网络银行资料、账务资料、交易记录等等。

・26・2011.2-3・Technology and Study·技术探讨4. 展望那么，既然云计算面临着三大威胁就是否意味着用户为了安全、就非得放弃互联网应用呢？显然，答案是否定的。

确保数据在网上的安全性，一个肯定管用的办法就是使用加密技术。

不过即便采取了这些加密保护措施，有些在线数据仍有可能不在用户的控制范围之内。

比方说，在网上编辑而不是仅仅保存在网上的文字处理文档和电子表格就无法始终进行加密。

所以说，云计算给云安全带来了新的挑战，涉及安全这方面的待解问题还有好多，笔者希望除了讨论安全的“云”，也能够同时利用云计算的方式，来促进安全的发展，将安全也作为一种云计算服务。

参考文献[1] 刘鹏. 云计算[M]. 电子工业出版社,2010.3.[2]（美）里特豪斯等著,田思源,赵学锋译. 云计算：实现、管理与安全[M]. 机械工业出版社,2010.5.[3] 李虹,李昊. 可信云安全的关键技术与实现[M].人民邮电出版社,2010.6.[4]（美）巴布科克著,丁丹译. 云革命[M]. 东方出版社,2011.1.[5] 吕茜,张树军. 云计算技术探讨[J].计算机安全,2011.2.作者简介：徐刚（1985-），男，华中科技大学软件学院2009级硕士研究生，研究方向：软件工程。

《信息安全与技术》杂志文稿要求1.文稿应具备学术性、专业性、创新性、科学性，务求主题突出、论据充分、文字精炼、数据可靠，有较高的学术水平、专业水平和实用价值。

2.文稿的篇幅(含摘要、图、表、参号文献等)不超过7000字。

3.文稿结构一般为题名、作者姓名、单位(邮编)、摘要、关键词、中图分类号、引言、正文、参考文献以及上述各项的英文译文。

4.中文题名不得超过20字，英文题名实词不得超过10个。

中文摘要应在150-250字，关健词3-8个。

摘要必须拥有与论文同等量的主要信息，包括目的、方法、结果、结论等四要素。

以提供梗概为目的，不对文稿内容做评论，同时尽量避免特殊字符或数学表达式。

5.请在首页页脚注明基金项目和作者简介。

凡属国家、省部级以上科学基金资助项目和重点攻关课题项目文稿，请提供基金的标准名称和编号。