中心議題：

• 雲計算安全所麵臨的問題
• 雲計算安全參考模型

解決方案：

• 虛擬化安全問題
• 數據集中後的安全問題
• 雲平台可用性問題
• 雲平台遭受攻擊的問題

1雲計算安全問題
　　
根據IDC在2009年年底發布的一項調查報告顯示
，雲計算服務麵臨的前三大市場挑戰分別為服務安全性、穩定性和性能表現。該三大挑戰排名同IDC於2008年進行的雲計算服務調查結論完全一致。2009年11月，ForresterResearch公司的調查結果顯示，有51%的中小型企業認為安全性和隱私問題是他們尚未使用雲服務的最主要原因。由此可見，安全性是客戶選擇雲計算時的首要考慮因素。
　　
雲計算由於其用戶、信息資源的高度集中，帶來的安全事件後果與風險也較傳統應用高出很多。在2009年
，Google

、Microsoft、Amazon等公司的雲計算服務均出現了重大故障
，導致成千上萬客戶的信息服務受到影響，進一步加劇了業界對雲計算應用安全的擔憂。
　　
總體來說
，雲計算技術主要麵臨以下安全問題。
　　
（1）虛擬化安全問題
　　
利用虛擬化帶來的可擴展有利於加強在基礎設施、平台、軟件層麵提供多租戶雲服務的能力，然而虛擬化技術也會帶來以下安全問題：
　　•如果主機受到破壞，那麼主要的主機所管理的客戶端服務器有可能被攻克；
　　•如果虛擬網絡受到破壞，那麼客戶端也會受到損害
；
　　•需要保障客戶端共享和主機共享的安全，因為這些共享有可能被不法之徒利用其漏洞

；
　　•如果主機有問題
，那麼所有的虛擬機都會產生問題。
　　
（2）數據集中後的安全問題
　　
用戶的數據存儲、處理
、網絡傳輸等都與雲計算係統有關。如果發生關鍵或隱私信息丟失
、竊取，對用戶來說無疑是致命的。如何保證雲服務提供商內部的安全管理和訪問控製機製符合客戶的安全需求；如何實施有效的安全審計，對數據操作進行安全監控；如何避免雲計算環境中多用戶共存帶來的潛在風險都成為雲計算環境所麵臨的安全挑戰。
　　
（3）雲平台可用性問題
　　
用戶的數據和業務應用處於雲計算係統中
，其業務流程將依賴於雲計算服務提供商所提供的服務，這對服務商的雲平台服務連續性、SLA和IT流程
、安全策略、事件處理和分析等提出了挑戰。另外，當發生係統故障時，如何保證用戶數據的快速恢複也成為一個重要問題。
　　
（4）雲平台遭受攻擊的問題
　　
雲計算平台由於其用戶

、信息資源的高度集中，容易成為黑客攻擊的目標
，由於拒絕服務攻擊造成的後果和破壞性將會明顯超過傳統的企業網應用環境。
　　
（5）法律風險
　　
雲計算應用地域性弱、信息流動性大
，信息服務或用戶數據可能分布在不同地區甚至不同國家，在政府信息安全監管等方麵可能存在法律差異與糾紛
；同時由於虛擬化等技術引起的用戶間物理界限模糊而可能導致的司法取證問題也不容忽視。
　　
2雲計算安全參考模型
　　
從IT網絡和安全專業人士的視角出發，可以用統一分類的一組公用的、簡潔的詞彙來描述雲計算對安全架構的影響，在這個統一分類的方法中
，雲服務和架構可以被解構，也可以被映射到某個包括安全、可操作控製
、風險評估和管理框架等諸多要素的補償模型中去
，進而符合合規性標準。
　　
雲計算模型之間的關係和依賴性對於理解雲計算的安全非常關鍵，IaaS（基礎設施即服務）是所有雲服務的基礎，PaaS（平台即服務）一般建立在IaaS之上，而SaaS（軟件即服務）一般又建立在PaaS之上
，它們之間的關係如圖1所示。


IaaS涵蓋了從機房設備到硬件平台等所有的基礎設施資源層麵。PaaS位於IaaS之上，增加了一個層麵用以與應用開發、中間件能力以及數據庫、消息和隊列等功能集成。PaaS允許開發者在平台之上開發應用，開發的編程語言和工具由PaaS支持提供。SaaS位於底層的IaaS和PaaS之上，能夠提供獨立的運行環境，用以交付完整的用戶體驗，包括內容、展現
、應用和管理能力。
　　
雲(yun)安(an)全(quan)架(jia)構(gou)的(de)一(yi)個(ge)關(guan)鍵(jian)特(te)點(dian)是(shi)雲(yun)服(fu)務(wu)提(ti)供(gong)商(shang)所(suo)在(zai)的(de)等(deng)級(ji)越(yue)低(di)
，雲(yun)服(fu)務(wu)用(yong)戶(hu)自(zi)己(ji)所(suo)要(yao)承(cheng)擔(dan)的(de)安(an)全(quan)能(neng)力(li)和(he)管(guan)理(li)職(zhi)責(ze)就(jiu)越(yue)多(duo)。下(xia)麵(mian)對(dui)雲(yun)計(ji)算(suan)安(an)全(quan)領(ling)域(yu)中(zhong)的(de)數(shu)據(ju)安(an)全(quan)
、應用安全和虛擬化安全等問題（見表1）的應對策略和技術進行重點闡述。