云计算信息安全分析与实践

云计算(cloud computing)最早是2006年由Google工程师克里斯托夫˙比希利亚提出的，2008年开始成为IT界最热门的技术和关键词之一，2009年各大IT厂商如IBM、微软、Google , Oracle等纷纷推出其云计算产品和服务，而各大院校、研究院、企事业单位也都参与到云计算的研究与实践中。

云计算因其资源整合高效和服务接口封闭等特性，被各行各业广泛应用于内部系统重整和外部服务应用。当前比较出名的云计算应用有Google App Engine,Amazon网络服务、IBM的“蓝云”、中国移动的“大云”等。国内的银行、电信、电力、政府行业也正在规划部署云计算服务。

站在企业的角度，是否要部署一个新技术或者新产品，最重要的一项指标是安全性，安全性不仅要考虑技术本身的安全因素，同时也要考虑连带影响，如承载在此技术平台之上的信息的安全性。尤其是那些涉及较多敏感信息，如用户数据、财务数据等保密级别较高的数据。对于云计算技术，安全性问题同样无法回避，实际上这也是目前云计算推广应用过程中所遇到的最大难题。虽然目前云计算服务提供商都在竭力淡化或避免此方面的问题，但对于消费者，这是其决定是否使用此技术或服务的关键因素。Gartner 2009年的调查结果显示，70%以上受访企业的CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的优虑。而近来云计算服务不断爆出各种安全事故更加剧了人们的担优。例如，2009年3月Google发生大批用户文件外泄事件，美国零售商TJX约有4 500万份用户信用卡号被黑客盗取，英国政府丢失2 500万人的社会保障号码等资料，在线软件公司salesforcecom也丢失了100万份用户的E-mail和电话号码，国内CSDN泄露用户账户数据同样引起了人们对公共信息服务安全方面的担优。

因此，云计算安全性已经成为云计算迈向部署应用必须要解决的问题，而信息安全是云计算安全性中仍未能很好解决的问题之一。无论是在公有云计算环境还是在私有云环境中，安全性问题都是需要攻克和解决的难题。

2 云计算技术概述

云计算是一套解决方案的名称，它并不是一个新兴技术，只是几种技术整合应用而推出来的概念，相关单一技术已经在多年前被提出，但由于现实环境各种各样的限制，缺乏大规模商用的契机。云计算可以看作融合了分布式计算(distributed computing)、虚拟化(virtualization)、网格计算(grid computing)、负载均衡(load balance)和并行计算(parallel computing)的产品。

云计算经过了几年的演变，从架构上可以分为如下3层。

˙IaaS(infrastructure as a service，基础设施即服务)，在基础平台设施上部署虚拟化等技术使得基础设施整合，提高利用率。

˙PaaS (platform as a service，平台即服务)，实现平台级的统一服务，在云计算平台级上提供企业开发/运行接口与环境，供企业实现自我服务。

˙SaaS ( software as a service，软件即服务)，对用户提供统一的服务接口，如通过多用户架构，采用浏览器或其他客户端把服务提供出去。

这3层结构是自下而上构建的，IaaS是最底层的，SaaS是最高层的。云计算服务可以只部署IaaS，也可以部署IaaS+PaaS，也可以是IaaS+PaaS+SaaS模式。

云计算从应用角度上可以分为私有云、公共云和混合云。私有云是指部署在企业内部的云计算平台，旨在整合其公司内部IT资源的云计算系统;公共云泛指部署在公共计算平台中，对公众开放的云计算平台，通过收取服务费用运营云计算系统;混合云是指云计算平台既有私有云部分，也有公共云部分，是两者的融合。

云计算具有以下几个特点。

˙动态可扩展性。云计算系统能通过实时监控，把每个服务按不同的策略动态分配到合适的设备上，而只需要把基础设备在云计算系统上做登记，就可以立即纳人云计算的服务分配资源上，方便实现可扩展。

˙高可靠性和容错能力。云计算系统内部就是一个高度集群的系统，能轻松实现容灾备份功能，高可靠性和容错能力是必备的。

˙高性价比。云计算系统的一个重要功能就是能极大地提高基础平台的利用率，全部设备都能被所有服务利用。

˙服务封装。云计算系统所提供的服务，无论是使用服务还是部署服务，系统都是对外封装屏蔽的，用户不了解也不需要了解该服务具体部署在哪个设备上，由云计算系统统一动态自动予以分配。

云计算的目标是资源