多条款是不合理的。比如第7.2条款中规定:对于任何
未经授权的访问或使用、破坏、删除、销毁或弄丢任何你
的内容或应用的程序不负有责任。在该合同中,服务提供
商并不承诺对任何数据泄密事件以及被破坏行为承担法律
责任或义务。可见,由于目前缺乏云计算架构的安全模型
和标准,云计算服务提供商有可能规避大部分安全风险,
而将风险转嫁给用户。 (3)如何得到用户的信任
信任问题是云计算发展过程中的大障碍。云计算运营
厂商数据中心的数据安全却没有任何有公信力的第三方在
制度上的保证,因此,用户不敢把数据放进运营商的数据
中心里。
1.2云计算的数据安全性 云计算将不可避免地面临各种原因引起的安全威胁,
而数据安全性是服务质量的重要组成部分。 (1)由于云计算中用户不直接控制数据,传统的通过
加密来保护数据安全性的措施无法直接应用。云中存储数
据的安全性核查需要在不能掌握全局数据的情况下进行。
考虑到用户存储于云中的数据的多样性以及需要长久的安
全存储,核查云中数据安全性面临着更大的挑战。
(2)云计算不仅仅是一个第三方数据仓库,其中存储
的数据更新频率很快,包括插入、删除、修改、添加以及 重排序等等。在动态更新的情况下保证数据的准确性是至
关重要的,然而动态性使得传统技术失效,我们必须寻找
新的方法。 (3)云计算的调度由同时、协作、分布式的用户掌握。
单个用户数据冗余的存储在多个物理空间,以此减低数据 完整性的威胁,因此,数据准确性核查的分布式协议是实
际中云数据存储安全和健全的至关重要的因素。所以,在
享受云计算便捷服务的同时,对于数据库的信息资源的安
全管理又提出了新的需求。
2云计算安全性研究现状
研究者们就云计算的安全问题进行了相关研究,虽然
在一定程度上保证了数据的准确性,由于这些方法仅着眼
于单个服务,大部分没有考虑数据的动态操作,并没有从
根本上解决云数据存储面临的安全威胁。例如:J uels等
提出一种正式的“可恢复证明”(POR)模型来保证远
程数据的完整性,该方案采用点验证和纠错码保证服务系
统中文件的权属和可恢复性。Shachain等 实现了上述
模型并构建了基于随机线性函数的同型认证,可以不限制
提问次数并仅需要很少交互信息。Bowers等 在前两者 基础上提出改进的P0R框架。然而所有这些研究都只涉
及静态数据,其效率主要依赖用户远程存储前的预处理过
程,对文件的任何改变都会传导到纠错码,因此必将引入
复杂的计算和大量的信息交互。Ateniese等 “可证明数
据权属”(PDP)模型来保障不可信存储中文件的所有权,
模型利用基于公钥的同型标签审计数据文件,然而预处理 过程耗费太大。在其后的研究中 又提出了仅使用对称
钥加密法的PDP,减少了预处理的耗费并可以支持存储
文件更新、删除和添加。但该改进方法仅研究了单个服务
器的情况,没有解决小规模数据损坏问题,并且分布式情
况和错误数据恢复也没有研究。Schwarz等 提出跨多
分布式服务器保持文件完整的方案,该方案利用了纠错码
和块级文件完整性检验,然而方案仅考虑了静态数据文件,
也没有解决数据错误定位问题。
3安全性评估
用户数据存储在服务器端,而应用程序在服务器端运
行,计算由服务器端来处理。所有的服务分布在不同的服
务器上,如果什么地方(节点)出问题就终止它,另外再
启动一个程序或节点,即自动处理失败节点,保证了应用 和计算的正常进行,而用户端不必备份,可以在任意点恢
复。在云计算服务器端提供了最可靠、最安全的数据存储
中心,有全世界最专业的团队管理信息,有全世界最先进
的数据中心保存数据,严格的权限管理策略可以帮助用户
放心地与指定的人共享数据。另一方面,数据被复制到多
个服务器节点上有多个副本(备份),存储在云里的数据
即使意外删除或硬件发生故障都不会受到影响。
云计算安全评估的方法是基于对云计算服务划分的基
础上,如图1所示。
| i —
薯爱西汁葵纯藻鳓设施聪锄渤as)
嚣l纂 雾露 醇 簿唧
图1云计算服务划分 3.1体系结构和设计评估
(1)网络拓扑(Network Topology)
(2)关键资产(Key Assets)
(3)数据存储和操作(Data Storage and Operation)
(4)系统中输入和输出终点(Input and Output End
Points in System)
(5)信任边界(Trust Boundaries) (6)访问控制(Access Controls)
(7)系统和网络隔离(System and Network
Isolation)
(8)云供应者的管理控制(Administrative Controls
for Cloud Vendor)
(9)商业业主的管理控制(Administrative Controls
for Business Owner)
3.2云基础设施安全评估 在云基础设施安全评估中,Foundstone顾问评估通
过云宿主的逻辑网络、应用和服务。
评估的关键服务包括以下几点: (1)内部和外部的渗透评估(Internal and External
Penetration Assessment)
(2)应用或产品渗透评估(Application or Product
Penetration Assessment)
(3)主机安全配置评估(Host Security C0nfiguration
Assessment)
(4)防火墙安全评估(Firewall Security Assessment)
(5)VPN/远端访问安全评估(VPN/Remote Assess
Security Assessment) (6)物理安全评估(Physical Security Assessment)
(7)攻击和渗透(Attack and Penetration)
(8)信息检索(Information Retrieva1)
(9)掠夺和清除(Pillage and Cleanup)
4云计算技术在安全领域的应用
事物是两方面的,合理运用云计算技术也能够加强产
品的安全性。这里仅介绍国内外两种典型案例。 (1)CelloLabs采用云计算技术,将海量的邮件变化做
分布式监控与解析,并提交最新防御手法,透过CGA C一
全球反垃圾邮件中心提供客户“在线联防”与“反垃圾邮
件特征数据库更新”服务。Cello Cloud将反垃圾邮件技
术包括黑名单、分类数据库、贝氏算法、单一用户启发式 一
分析,搜集并监控全球邮件发送趋势、行为、特征,缩短
邮件攻击爆发的响应时间,让客户获得最实时的更新与
保护,以降低威胁入侵的机会。当邮件威胁突然出现时,
CelloCloud可在短短几分钟内立即侦测并发布“反垃圾 邮件特征数据库更新”,有效解决垃圾邮件防御的时效性 问题。客户不需负担高额的成本,便可获得最完善的安全
防护。 (2)瑞星推出“云计算”安全计划。将用户与瑞星技
术平台通过互联网相联,组成一个木马/恶意软件监测、
查杀网络,每个“瑞星卡卡6.0”用户都为“云安全”计
划贡献一份力量,同时分享其他所有用户的安全成果。其 中“自动在线诊断”模块,是“云安全”计划的核心之
一,每当用户启动电脑,该模块都会自动检测并提取电
脑中的可疑木马样本,并上传到瑞星“木马/恶意软件
自动分析系统”(Rs Automated Malware Analyzer,简 称RSAMA),据瑞星称,整个过程只需要几秒钟。随后
RsAMA将把分析结果反馈给用户,查杀木马病毒,并
通过“瑞星安全资料库”(Rising Security Database, RsSD),分享给其他所有“瑞星卡卡6.0”用户。
}5展望 云计算技术发展所面临的安全问题包括:(1)用户对 云计算过程里的数据安全问题的担心。(2)云计算虽然给
公司和网民提供了创造更好的应用和服务的机会,但同时 也给了黑客机会。云计算宣告了低成本提供超级计算服务
的可能,使黑客投入极少的成本,就能获得极大的网络计
算能力,一旦这些“云”被用来破译各类密码、进行各种
攻击,将会对用户的数据安全造成极大的危险。所以,在
这些安全问题和危险因素被有效控制之前,云计算很难得
到彻底的应用和接受。
云计算技术的使用也可以改变风险前景,例如:机
密性、秘密性、完整性、有效性、e一发现等范围。因此,
确保适当的安全保证是重要的。云计算中的数据存储安全
性研究极其重要且充满挑战,现在仅仅是开始阶段,还有
很多问题需要解决。我们设想了一些未来研究方向,最有 希望的是强制公开检验模型。公开检验,允许TPA审计
云数据存储而不占用用户资源和时间。在模型中能否找到
一个既能公开检验又能保证动态数据存储准确性的方法很
值得研究。另外,除了研究动态云数据存储外,我们还计
划解决更细致的数据错误定位问题。固
作者简介:雷蕾(1 982一),女,硕士研究生,主要研究方
向:军事情报自动化;何明(1 978一),副教授,博士后,
主要研究方向:信息安全;姚建文(1 978一),硕士研究生,
主要研究方向:信息与通信工程。
收稿日期:2009—12—1j 蝴 哪一一一 一一~一~ 一一一~~一一一一~ 一一 一~ 一一~ 一一~ 一 一~¨ ~
~