一、 目前云服务应用现状

云计算是近几年来逐渐兴起的新理念，旨在使计算能力和存储资源简化，变得像公共自来水或者电一样易用，最终实现用户只要连接上网路即可方便地使用并按量付费的目标。 云计算不仅提供了灵活高速的计算能力，而且还提供了庞大的存储资源，采用云计算的企业不需要像传统企业一样构建自己专用的数据中心便可以在云平台上运行各种各样的业务系统。 云计算所采用的创新计算模式，可以使用户通过互联网随时获得近乎无限的计算能力和丰富多样的信息服务，便于用户对计算能力和存储等服务取用自由、按量付费。 所以，众多IT巨头纷纷投入到云计算的建设之中 。

1. 知名云计算服务

测评中心对目前国内外云服务应用现状进行了调研，发现包括亚马逊、IBM、Google、微软等IT巨头都陆续推出了云计算服务，以求在这个影响未来IT应用模型的市场中找到自己的位置。比较知名的云计算服务有：

第一，亚马逊的在线存储服务(S3)。S3服务对新型企业和用户的强大吸引力在于这项服务能够与亚马逊的其它在线服务联系在一起，如弹性的云计算和亚马逊的SimpleDB服务。使用这三项服务，新型企业能够节省大量的存储开支，并且可能节省客户的时间和金钱；

第二，google和IBM在大学开设云计算课程，IBM发布云计算商业解决方案，推出“蓝云”计划；

第三，继Windows Azure操作系统和云计算数据库SQL Azure开始收费后，微软近期宣布，Windows Azure平台AppFabric也将投入商用。从2010年4月9日开始，全球用户都可以购买AppFabric用以实现云计算和云计算应用程序的轻松通信。

此外，还有Vmware公司的云操作系统vmware vsphere等等 。

2. 云计算发展和安全事故

下面列举一些云计算服务发展过程中出现的安全事故，包括亚马逊、Google、微软等都没能幸免，让人们对云计算安全不无担忧，若不能为云计算架构加入更强大的安全措施来确保其安全性，将会对用户数据以及与数据相关的人带来安全和隐私风险。 在这种背景下，进行云计算服务下的潜在安全风险分析就变得非常必要了。

二、 云服务下信息系统面临的风险与安全需求分析

1. 数据安全

在传统的企业数据中心中，服务提供商只提供机架和网络，而包括服务器、防火墙、软件和存储设备等都由企业自行负责。用户对所有的物理设备和软件系统有完全的控制权，企业不论是不顾成本自建数据中心还是租用机房，通过物理隔离的方式都可以避免未授权用户接触到自己的服务器和数据。 而云计算环境下，企业自身的数据都在云中，而云本身的构架又是不透明的，从而会产生一种不信任的心理。这不仅仅是一个商业问题，其中涉及到诚信、法律法规等多方面的因素，解决云计算的安全性问题也要从技术和非技术着手。 我们作为一个技术机构，更多关注的是云计算安全性问题的技术方面 ，从“云计算”的概念提出以来，关于其数据安全性的质疑就一直不曾平息，这里的安全性主要包括两个方面：一是自己的信息不会被泄露避免造成不必要的损失，二是在需要时能够保证准确无误地获取这些信息。总结起来，用户在选择云计算服务时主要关注的安全风险有以下几方面：

A.数据传输安全

企业数据中心保存有大量的企业私密数据，这些数据往往代表了企业的核心竞争力，如企业的客户信息、财务信息、关键业务流程等等。

企业将数据通过网络传递到云计算服务商进行处理时，面临着几个方面的问题：第一，如何确保企业的数据在网络传输过程中严格加密不被窃取 ；第二，如何保证云计算服务商在得到数据时不将企业绝密数据泄露出去 ；第三，在云计算服务商处存储时，如何保证访问用户经过严格的权限认证并且是合法的数据访问，并保证企业在任何时候都可以安全访问到自身的数据 。

B.数据存储安全

企业的数据存储是非常重要的环节，其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。

数据存储安全 在云计算模式下，云计算服务商在高度整合的大容量存储空间上，开辟出一部分存储空间提供给企业使用。在这样的环境下，相比传统数据存储模式而言，客户可能面临一些新的风险：第一，客户并不清楚自己的数据被放置在哪台服务器上，甚至根本不了解这台服务器放置在哪个国家，得到的只是云服务提供商的保证 ；第二，云计算服务商在存储资源所在国是否会存在信息安全等问题，能否确保企业数据不被泄露；第三，云计算服务商是否能够保证数据之间的有限隔离；第四，即使企业用户了解数据存放的服务器的准确位置，也必须要求服务商作出承诺，对所托管数据进行备份，以防止出现重大事故时，企业用户的数据无法得到恢复。

C.数据审计安全

企业进行内部数据管理时，为了保证数据的准确性往往会引入第三方的认证机构进行审计或是认证。在云计算环境下，云计算服务商如何在确保不对其他企业的数据计算带来风险的同时，又提供必要的信息支持，以便协助第三方机构对数据的产生进行安全性和准确性的审计，实现企业的合规性要求

D.云计算环境下的黑客攻击

用户将大量的敏感数据放在全球可以访问的云中，因而攻击者不再需要到现场窃取数据，甚至其从地球的任一个角落就能发起攻击，在云中采取虚拟化技术使多个企业的虚拟机共存于同一物理服务器上，而传统数据中心采用的物理隔离和基于硬件的安全防护无法防止云中虚拟机之间的相互攻击 。

2. 需求和风险的转变

计算中心的安全建设模型和传统的企业安全防护思路，在安全需求方面存在非常明显的差异。主要原因是因为云计算服务商在建设资源高度整合的云计算中心时，安全更多的是作为一种服务提供给云计算客户。差异归结起来主要有以下几个方面：

A. 流量模型的转变

从分散走向高度集中，设备性能面临压力 传统的企业流量模型相对比较简单，各种应用基准流量及突发流量有规律可循，即使对较大型的数据中心，仍然可以根据web应用服务器的重要程度进行有针对性的防护，对安全设备的处理能力没有太高的要求，但是从分散走向高度集中，设备性能面临压力，在云计算环境下，服务商建设的云计算中心，同类型存储服务器的规模以万为单位进行扩展，并且基于统一基础架构的网络进行承载，无法实现分而治之，因此对安全设备提出了很高的性能要求。

B. 虚拟化要求

在云计算环境下，存储资源和服务器资源高度整合，云计算服务商在向客户提供各项服务的时候，存储计算资源的按需分配、数据之间的安全隔离成为基础要求，虚拟化成为云计算中心的关键技术，安全设备如何适应云计算中心基础网络架构和应用服务的虚拟化，实现基础架构和安全的统一虚拟交付。

C. 安全边界消失

云计算环境下的安全部署边界在哪里？

在传统安全防护中，很重要的一个原则就是基于边界的安全隔离和访问控制，并且强调针对不同的安全区域设置有差异化的安全防护策略，在很大程度上依赖各区域之间明显清晰的区域边界。但是在云计算环境下，存储和计算资源高度整合，基础网络架构统一化，安全设备的部署边界已经消失，这也意味着安全设备的部署方式将不再类似于传统的安全建设模型，云计算环境下的安全部署需要寻找新的模式 。

D. 未知威胁检测引擎的变更

客户端将从主体检测引擎转变为辅助检测的传感器。传统的安全威胁检测模式中，客户端安全软件或硬件安全网关充当了威胁检测的主体，所有的流量都将在客户端或网关上完成全部的威胁检测。

这种模式的优点是全部检测基于本地处理延时较小，但是由于客户端相互独立，系统之间的隔离阻止了威胁检测结果的共享。这也意味着在企业A已经检测到的新型威胁在企业B依然可能造成破坏，没有形成整体的安全防护。而客户端将从主体检测引擎转变为辅助检测的传感器，云计算环境下，客户端更多的将充当未知威胁的传感器，将本地不能识别的可疑流量送到云端，充分利用云端的超强计算能力进行未知威胁的检测，从而实现云模式的安全检测。

通过对云服务环境下信息系统面临的风险分析，以及云安全模型与传统安全模型的差异比较工作，针对如何加强云服务安全风险管理，我们将给出对策措施和下一步测评中心的工作方向。

三、 云计算下的安全风险管理

云计算的安全风险主要体现在用户担忧自己数据的私密性、完整性和可用性上。相应的，我们也分情况提供一些安全风险管理措施。

1. 云中的数据访问需要权限控制

需求：能够控制谁访问到自己的哪些数据，并进行分级管理。每次对数据访问时需要用户认证和授权，并对用户的访问情况做日志记录

管理措施：采用集中化的身份和访问管理，对于云服务商采取权限控制，从而避免产生用户数据通过云服务商中某人就能获取的现象。云维护和管理人员不能越权，同时要限制对云中应用的可见性

可见性：无法判断一个具体用户的数据是存储在哪个存储设备上

2. 用户数据在云存储中的私密性

需求：存储在云中的数据不能被其他人查看或更改

解决方案：采用数据隔离、数据加密、数据切分的方式。由于云存储对用户数据可以采用统一的共享设备或提供单独的存储设备这两种方式，所以数据隔离的方式也有所不同。

如果是共享存储设备，采用存储映射功能，加上存储设备自身的安全措施可以确保数据的隔离。如果是单独存储设备，在物理层面上就隔离开来，从而保护了企业的重要数据

数据隔离机制可以防止非授权用户对数据的访问，数据加密则可以避免云服务商对数据的访问。通过对称加密、公钥加密等成熟的技术手段，使数据在用户侧加密后再上传至云计算环境中，使用时再实时解密，从而避免将解密后的数据存放在任何物理介质上。

3. 用户数据在运行时的私密性

需求：存储在云中的数据在加载到运行时的系统内存后，不会被其他人查看或更改。

措施：在做好数据隔离的基础上，做好虚拟机隔离和操作系统隔离即可避免这方面的风险。

4. 用户数据在网络传输时的私密性

需求：数据在云内部网络以及互联网上传输时不会被其他人查看或更改。

措施：可采用在网银、电子支付等金融领域已经得到广泛应用的传输层加密技术。

5. 用户数据在云存储中的完整性

需求：存储在云中的数据保持不变，不会随着时间的变化而发生损坏。

措施：针对用户存储在云中的数据，可采用传统的快照、备份和容灾等保护手段来确保数据的安全。

6. 用户数据在云存储中的持久可用性

需求：即使发生黑客攻击、病毒等突发事件或地震、火灾等灾难，用户也可以随时获得自己的数据。

措施：用户应该选择不同地点的云服务商进行冗余备份，这样即使遭到灾难也可以迅速恢复业务。

7. 用户数据在云存储中的访问速度

需求：对于较大的数据量，也能够较快地进行访问

措施：最直观有效的措施是使用高速网络来提高访问速度，另外也可以采用本地数据缓存等方式来加速。

8. 传统技术手段的采用

一些传统的非技术手段仍然可以被采用，以约束云服务商。第三方认证是提高信任关系的一种非常有效的手段。第三方认证是采用一个中立机构来对双方进行约束，中立机构必须具备很好的公信力，机构的作用是对云服务商进行安全认证，找出安全漏洞并对云服务商进行评价。微软已经在2009年请verisign公司为其windows azure平台提供基于云计算的安全和认证服务。

合同约束：需要和云计算服务商建立规范的合同条款来规避风险，包括选择较高信誉度的服务商、要求企业和云计算服务商之间的数据传统通道进行加密传输、要求云计算服务商承诺数据存储位置的安全性以及和其他企业数据之间的加密隔离，同时和服务商签订SLA服务质量保证协议，明确服务商要具备数据恢复的能力并定义清楚数据恢复的时间限制等。

四、 云计算下的安全防护思路

通过综合的整合分析，为我们在云计算环境下规避风险，建立安全防护措施提供了思路

1. 建设高性能高可靠的网络安全一体化防护体系

为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整，为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整，同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性，真正实现大流量汇聚情况下的基础安全防护。

2. 建设以虚拟化为技术支撑的安全防护体系

目前，虚拟化已经成为云计算服务商提供“按需服务”的关键技术手段，包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步 ，只有基于这种虚拟化技术，才可能根据不同用户的需求，提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。

从网络基础架构的角度(如状态防火墙的安全隔离和访问控制)，需要考虑支持虚拟化的防火墙，不同用户可以基于VLAN等映射到不同的虚拟化实例中，每个虚拟化实例具备独立的安全控制策略，以及独立的管理职能。从安全即服务的角度，云计算服务商联合内容安全提供商提供类似防病毒和反垃圾邮件等服务，也必须考虑配合VMware等中间件实现操作系统层面的虚拟化实例，同一服务器运行多个相互独立的操作系统及应用软件，每个用户的保密数据在进行防病毒和反垃圾邮件检查的时候，数据不能被其他虚拟化系统引擎所访问，只有这样才能保证用户数据的安全。

3. 以集中的安全服务中心应对无边界的安全防护

和传统的安全建设模型强调边界防护不同，存储计算等资源的高度整合，使得不同的企业用户在申请云计算服务时，只能实现基于逻辑的划分隔离，不存在物理上的安全边界。

在这种情况下，已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。因此安全服务部署应该从原来的基于各子系统的安全防护，转移到基于整个云计算网络的安全防护，建设集中的安全服务中心，以适应这种逻辑隔离的物理模型。

云计算服务商或企业私有云管理员可以将需要进行安全服务的用户流量，通过合理的技术手段引入到集中的安全服务中心，完成安全服务后再返回到原有的转发路径。这种集中的安全服务中心，既可以实现用户安全服务的单独配置提供，又能有效的节约建设投资，考虑在一定收敛比的基础上提供安全服务能力。

4. 充分利用云安全模式加强云端和客户端的关联耦合

在云安全建设中，充分利用云端的超强计算能力实现云模式的安全检测和防护，是后续的一个重要方向。

与传统的安全防护模型相比，新的云安全模型除了要求挂在云端的海量本地客户端具备基础的威胁检测和防护功能外，更强调其对未知安全威胁或是可疑安全威胁的传感检测能力。

任何一个客户端对于本地不能识别的可疑流量都要第一时间送到后台的云检测中心，利用云端的检测计算能力快速定位解析安全威胁，并将安全威胁的协议特征推送到全部客户端或安全网关，从而使得整个云中的客户端和安全网关都具备对这种未知威胁的检测能力，客户端和云端的耦合得到进一步加强。基于该模式建立的安全防护体系将真正实现PDRR(Protection、Detection、Reaction、Restore)的安全闭环)，这也是云检测模式的精髓所在。

最后，为实现在享用云计算带来的强大计算能力和方便性的同时，避免信息安全事件的发生，就必须尽早发现信息安全风险，这就要求我们要对信息系统进行定期、不定期高效的信息安全风险评估，因此，建立一套针对云计算环境的信息安全风险评估办法是十分必要的。

同时，作为基于网络的计算模式,云计算中数据的处理、传输和存储都依赖于互联网和相应的云计算平台,数据流程对于用户来说是不可知的。对于传统的信息安全风险评估方法已在很大程度上不再适用,因此,有必要针对云计算建立一套相应的度量指标和评估方法。

因此，结合陕西省网络与信息安全测评中心开展的业务方向，拟将本次云服务安全风险分析研究工作的开展方向定为“云计算下的风险评估模型完善工作”。

在充分分析现有云计算平台结构的基础上，结合传统的信息安全风险评估方法，完善云计算下的风险评估模型，建立一套针对云计算的信息系统的风险评估方法，测评中心将来可以开展针对采用云服务的政府部门、涉及国家安全和国计民生的重点领域的风险评估业务。

五、 云计算下的风险评估

1. 完善云计算下的风险评估模型

为实现在享用云计算带来的强大计算能力和方便性的同时，避免信息安全事件的发生，就必须尽早发现信息安全风险，这就要求我们要对信息系统进行定期、不定期高效的信息安全风险评估，因此，建立一套针对云计算环境的信息安全风险评估办法是十分必要的。

同时，作为基于网络的计算模式,云计算中数据的处理、传输和存储都依赖于互联网和相应的云计算平台,数据流程对于用户来说是不可知的。对于传统的信息安全风险评估方法已在很大程度上不再适用,因此,有必要针对云计算建立一套相应的度量指标和评估方法。

因此，结合陕西省网络与信息安全测评中心开展的业务方向，拟将本次云服务安全风险分析研究工作的开展方向定为“云计算下的风险评估模型完善工作”。

在充分分析现有云计算平台结构的基础上，结合传统的信息安全风险评估方法，完善云计算下的风险评估模型，建立一套针对云计算的信息系统的风险评估方法，测评中心将来可以开展针对采用云服务的政府部门、涉及国家安全和国计民生的重点领域的风险评估业务。

2. 完善云计算环境下的资产识别与赋值的方法

风险评估工作的首要步骤是进行资产识别，我们的研究方向之一是完善云计算环境下的资产识别与赋值的方法：

具体内容有如何对使用云计算平台的资产（包括使用云计算的文档信息、软件信息、应用的云计算平台、云安全设施、云存储设施等存储）进行统计如何评估这些资产的机密性、完整性和可用性在云计算环境下会受到的影响。

3. 完善云计算环境下资产的脆弱性识别方法

风险评估工作的另外一个重要环节是针对资产进行的脆弱性识别，我们的研究方向之二是完善云计算环境下资产的脆弱性识别方法：

在云计算环境下，资产由于云环境的特殊性存在着一些同传统环境下有所不同的、新的脆弱性，面临着新的威胁，我们打算在本次的研究工作中完善这些脆弱性库和威胁库，并依此为基础，完善云计算环境下的风险评估与分析方法。