信息安全国家重点实验室信息安全丛书

云计算安全体系

陈 驰 于 晶 等 编著

北 京

科

学出版社

职教技术出版中心

www.abook.cn

内 容 简 介

本书是 《信息安全国家重点实验室信息安全丛书》之一。全书主要内

容涵盖了云计算安全各个方面的问题,如云计算概念、云计算技术的发展

历程、云计算面临的各种安全风险、云计算安全架构、云计算安全部署、云计算物理安全、云计算虚拟化安全、云计算数据安全、云计算应用安

全、云计算安全管理、云计算安全标准和安全评估及业界云计算安全发展

动态等。本书可作为广大计算机用户、系统管理员、计算机安全技术人员,以

及对云计算安全感兴趣的企业管理人员的技术参考书;也可用作高等院校

信息安全、计算机及其他信息学科的高年级本科生或研究生的教材,以及

用作信息安全职业培训的教材。

图书在版编目 (CIP)数据

云计算安全体系/陈驰等编著.—北京:科学出版社,2014.6 (信息安全国家重点实验室信息安全丛书)

ISBN978-7-03-040735-1

Ⅰ.①云… Ⅱ.①陈… Ⅲ.①计算机网络-安全技术 Ⅳ.①TP393.08

中国版本图书馆CIP数据核字 (2014)第109141号

责任编辑:鞠丽娜 童安齐 袁莉莉/责任校对:王万红

责任印制:吕春珉/封面设计:耕者设计工作室

出版北京东黄城根北街16号

邮政编码:100717

http://www.sciencep.com

印刷

科学出版社发行 各地新华书店经销

*

2014年6月第 一 版

2014年6月第一次印刷

开本:889×1194 1/16印张:201/4

字数:400000定价:88.00元

(如有印装质量问题,我社负责调换 < >)销售部电话010-62134988 编辑部电话010-62137026 (HA08)

版权所有,侵权必究

举报电话:010-64030229;010-64034315;13501151303

前 言

在2007年的存储中国年度峰会上,有位演讲嘉宾提到一个新概念:在

将来的某一天,我们会像使用自来水和电能那样便捷的获取存储,通过一

条最普通的网线即可链接到海量的存储空间而不需要亲自采购和维护复杂

的存储设备。虽然在当时,大家谈得更多的还是网格计算、NAS和SAN等热门技术,但我依然有种隐约的预感,这个新潮的概念一定会变成现实,而且不会像电力的普及那样让我们经历一个世纪的漫长等待。2013年,当

我拿起手机从百度云盘中取回自己的文件时,甚至连网线都不需要! 构想

中的一切,在不到6年的时间全部实现了。

2010年,李德毅院士在第二届中国云计算大会上讲了一个生动的故

事:一个老太太把钱装进盒子藏在床底下,每天因为担心被人偷走而惴惴

不安;另一个则把钱都存进银行,花钱只要刷卡,存款还有利息,十分的

潇洒。在现今的时代,信息已成为企业的核心资产,为什么企业不把数据

存进 “云”银行呢? 听完这个故事,相信很多人都会产生把数据存进 “云银行”里挣点利息的冲动。然而,在开始行动之前,企业的决策者却需要

考虑很多现实的问题,而这些问题往往与安全相关:(1)云服务提供商的物理设施可靠吗?(2)虚拟化的环境安全吗?(3)数据的安全有保证吗?(4)“云”提供的应用可信吗?(5)云计算系统有安全性评价标准吗?(6)我们应该使用何种安全强度的云?(7)云服务提供商会不会滥用我的数据?如果不解答这些问题,企业的决策者在尝试转向云计算模式时都会产

生犹豫,毕竟,云服务提供商并不需要为决策的损失负责。近2年来,云

计算的安全问题已经成为产业界和科研领域的讨论焦点。云服务提供商努

力营造一个安全的云环境,为用户企业转向云计算模式消解安全顾虑。科

研人员也就具体的云安全问题展开研究,提供安全解决方案。然而,国内外与云计算安全相关的书籍却并不多,现有的书籍或多或

少具有这样的特点:要么专注于云计算环境下某项技术的发展,要么仅仅

侧重于管理体系的介绍,并没有从安全体系的层次对云计算安全问题进行

全面、系统的分析。本书从不同云计算模式的风险分析开始,将技术、管

理和标准并重,使读者全面了解云计算所面临的安全风险,以及应对这些

安全风险的有效手段,并尝试给出建立安全云计算环境的解决方案。本书

科

学出版社

职教技术出版中心

www.abook.cn

ii 云计算安全体系

创新性的将云计算安全体系划分为云计算安全技术体系、云计算安全管理

体系和云计算安全标准及技术规范体系,即保障云计算安全所需的安全技

术、维护云环境安全运行的管理措施以及云计算安全性的评价标准和评估

方法。本书共分十章,各章节的具体安排如下:第一章是云计算概论,描述云计算的发展历程,定义什么是云计算及

云计算的特征,介绍云计算的交付模式和部署方式,分析云计算所具有的

优势;此外还阐述云计算在中国的发展,使读者对云计算有一个初步的

认识。第二章分析云计算所面临的安全风险,从技术、管理、法律法规、行

业应用四个维度对云计算所面临的风险进行全面剖析;使读者能够清晰地

认识到云计算在安全性上所面临的各种挑战。第三章从宏观的角度阐述了云计算安全架构,包括云计算安全的内涵

与特征,云计算安全参考模型,云计算安全应对策略;并从云计算安全技

术体系,云计算安全管理体系与法律法规,云计算安全标准及评估三个方

面构建了云计算安全的核心架构;最后,阐述了云计算中心安全建设的核

心思想。第四章主要内容为云计算的物理安全。物理安全是云计算安全的第一

道防线,本章将从物理设备安全、物理介质安全、物理环境安全及物理安

全综合保障四个方面来阐述保障云计算物理安全的有效措施。第五章对虚拟资源安全进行全面描述。虚拟化技术是云计算的核心,

如何保障虚拟资源安全成为保障云计算安全的关键,本章首先介绍了虚拟

化技术,分析了虚拟资源安全隐患及对虚拟资源的安全攻击,并从宿主机

安全机制、Hypervisor安全机制、虚拟机隔离机制、虚拟机安全监控、虚

拟机安全防护与检测五个维度分析了保障虚拟化安全的有效方法。第六章描述云计算环境中的数据安全问题,用户将数据托管到云计算

环境中,用户对数据失去了控制权,用户的数据面临着机密性、完整性和

可用性的威胁,如何保障云中数据的安全性将在本章做详细描述。第七章描述云中各种应用面临的威胁以及预防攻击的有效措施。云应

用是驱动云计算发展的关键因素,而云应用安全建设是云应用真正 “落地”的重要保障,本章从传统信息系统应用层防护技术开始探索,提出云计算

环境下保障云应用安全的解决方法。第八章主要阐述如何安全高效地管理云计算中心。云计算安全管理是

云计算安全技术得以实施和运维的重要保障,本章首先介绍了信息系统安

全管理的国际标准,然后结合现有信息系统安全管理的方法制定云计算安

全管理流程,并就云计算安全管理的重点领域进行细致分析,为云计算安

全管理建设提供参考意见。第九章主要讨论云安全标准和云安全评估策略。本章将从私有云的构

前　言 iii

建和如何选择云服务提供商两个方面来讨论云计算安全相关标准,然后从

云计算安全测评研究现状、面临的挑战、测评方法、测评指标体系四个方

面来讨论云计算安全测评及策略。第十章描述了目前国内外云计算安全领域的新进展。本章首先介绍了

国内外云计算安全发展动态,并描述了中国在云计算安全领域的国家战略;然后从安全即服务的角度分析了云计算给安全服务带来的优势和挑战;最

后,讨论了云计算安全对移动互联网、物联网、大数据技术的发展带来的

影响,使读者能够对当前的研究热点、技术发展动态有较为全面的了解。本书的知识体系清晰,通俗易懂,注重知识与技术的系统性,可作为

广大计算机用户、系统管理员、计算机安全技术人员,以及对云计算安全

感兴趣的企业管理人员的参考书;可用作信息安全、计算机及其他信息学

科高年级本科生或硕士研究生的教材;同时也可用作信息安全职业培训的

教材。全书的选题和大纲由陈驰提出,第一、五、七章由陈驰和马红霞编写,

第二、六、八章由于晶和翟梅洁编写,第三、四、十章由陈驰和于晶编写,第九章由陈雪秀编写。全书由于晶和董滨负责统稿、校对和审定。

本书凝结了作者的辛勤汗水,从构思、写作、修改到出版,作者得到

业界和科研领域许多同仁的无私帮助,在此要对他们致以最衷心的感谢。感谢公安部第三研究所信息安全等级保护评估中心的陈雪秀警官,她在等

级保护评测方面具有多年的经验,为本书提供很多有益的建议,并亲自完

成第九章的写作。感谢中国科学院新疆理化技术研究所的李晓所长和蒋同

海书记,作为新疆维吾尔自治区天山云计划的咨询专家,他们为本书的写

作提供了很好的建议。感谢西北星公司的张岩总经理和曾文潇副总经理,作为新疆云计算中心的承建和运维方,他们从云平台建设者和管理者的角

度为本书的撰写提供了建议和帮助。本书的出版还得到科学出版社的大力支持,并得到中国科学院先导专

项课题 (XDA06010701)、新疆维吾尔自治区科技计划项目 (201230121)、国家自然科学基金项目 (61003228)、中国科学院信息工程研究所 “青年之

星”专项项目的支持和资助,在此一并表示感谢。本书代表作者及其研究团队对于云计算安全的观点,由于水平有限,

书中难免存在不足之处,恳请读者批评指正,得以改进和完善。

科

学出版社

职教技术出版中心

www.abook.cn

目 录

前言

第一章 云计算概论 001………………………………………………………

1.1 云计算发展历程 002…………………………………………………

1.1.1 云计算产生背景 003……………………………………………

1.1.2 云计算演进历程 005……………………………………………

1.2 云计算的概念 007……………………………………………………

1.2.1 什么是云计算 007………………………………………………

1.2.2 云计算的特征 009………………………………………………

1.3 云计算的交付模式 010………………………………………………

1.3.1 基础设施即服务 (IaaS) 011……………………………………

1.3.2 平台即服务 (PaaS) 011…………………………………………

1.3.3 软件即服务 (SaaS) 012…………………………………………

1.3.4 三种云服务的对比 013……………………………………………

1.4 云计算的部署方式 014………………………………………………

1.4.1 部署方式 014……………………………………………………

1.4.2 部署方式的过渡 015……………………………………………

1.5 云计算的优势 017……………………………………………………

1.6 云计算在中国 018……………………………………………………

1.6.1 中国云计算产业发展现状 019……………………………………

1.6.2 中国云计算发展趋势 022…………………………………………

1.7 小结 024………………………………………………………………

主要参考文献 024…………………………………………………………

第二章 云计算风险分析 026…………………………………………………

2.1 云计算面临的技术风险 027…………………………………………

2.1.1 IaaS层风险分析 028……………………………………………

2.1.2 PaaS层风险分析 032……………………………………………

2.1.3 SaaS层风险分析 035……………………………………………

2.2 云计算面临的管理风险 038…………………………………………

2.2.1 云服务无法满足SLA 038………………………………………

2.2.2 云服务不可持续风险 039…………………………………………

2.2.3 身份管理 040……………………………………………………

2.3 法律法规风险 041……………………………………………………

2.3.1 数据跨境 042……………………………………………………

科

学出版社

职教技术出版中心

www.abook.cn

vi 云计算安全体系

2.3.2 隐私保护 043……………………………………………………

2.3.3 犯罪取证 043……………………………………………………

2.3.4 安全性评价与责任认定 044………………………………………

2.4 行业应用风险 045……………………………………………………

2.4.1 电子政务云 045…………………………………………………

2.4.2 电子商务云 047…………………………………………………

2.4.3 教育云 049………………………………………………………

2.5 小结 050………………………………………………………………

主要参考文献 051…………………………………………………………

第三章 云安全架构 053………………………………………………………

3.1 云计算与云安全 055…………………………………………………

3.1.1 云安全内涵 055…………………………………………………

3.1.2 云安全特征 056…………………………………………………

3.1.3 云安全定位 056…………………………………………………

3.2 云安全参考模型 057…………………………………………………

3.2.1 CSA模型 057……………………………………………………

3.2.2 云立方体模型 059………………………………………………

3.3 云安全应对策略 061…………………………………………………

3.3.1 CSA安全指南 061………………………………………………

3.3.2 美国联邦政府云安全策略 062……………………………………

3.4 云安全技术、管理及标准 063………………………………………

3.4.1 云安全技术体系 065……………………………………………

3.4.2 云安全管理体系与法规 068………………………………………

3.4.3 云安全标准及评估 073……………………………………………

3.5 云计算中心安全建设 075……………………………………………

3.5.1 安全建设原则 076………………………………………………

3.5.2 安全建设核心思想 076……………………………………………

3.5.3 最佳实践 078……………………………………………………

3.6 小结 080………………………………………………………………

主要参考文献 081…………………………………………………………

第四章 云计算安全:物理安全 082……………………………………………

4.1 物理安全概述 082……………………………………………………

4.1.1 物理安全概念 082………………………………………………

4.1.2 物理安全威胁 083………………………………………………

4.1.3 物理安全体系 084………………………………………………

4.2 云物理设备安全 085…………………………………………………

4.2.1 防盗防毁 086……………………………………………………

目　录 vii

4.2.2 防电磁泄漏 086…………………………………………………

4.2.3 电源保护 088……………………………………………………

4.2.4 设备保护 089……………………………………………………

4.3 介质安全 089…………………………………………………………

4.3.1 介质的安全管理 090……………………………………………

4.3.2 移动介质安全 090………………………………………………

4.3.3 介质信息的消除与备份 092………………………………………

4.4 云物理环境的安全 092………………………………………………

4.4.1 机房选址 092……………………………………………………

4.4.2 电能供给 093……………………………………………………

4.4.3 火灾防护 095……………………………………………………

4.4.4 “四防”与 “三度” 096…………………………………………

4.5 物理安全综合保障 098………………………………………………

4.5.1 安全区域划分 098………………………………………………

4.5.2 人员保障 101……………………………………………………

4.5.3 综合部署 102……………………………………………………

4.6 小结 104………………………………………………………………

主要参考文献 104…………………………………………………………

第五章 云计算安全:虚拟化安全 105…………………………………………

5.1 虚拟化技术概述 105…………………………………………………

5.1.1 虚拟化技术的发展 106……………………………………………

5.1.2 虚拟化概念 107…………………………………………………

5.1.3 虚拟化类型 109…………………………………………………

5.2 虚拟化安全隐患 112…………………………………………………

5.2.1 虚拟机蔓延 112…………………………………………………

5.2.2 特殊配置隐患 115………………………………………………

5.2.3 状态恢复隐患 116………………………………………………

5.2.4 虚拟机暂态隐患 116……………………………………………

5.3 虚拟化安全攻击 117…………………………………………………

5.3.1 虚拟机窃取和篡改 117……………………………………………

5.3.2 虚拟机跳跃 117…………………………………………………

5.3.3 虚拟机逃逸 118…………………………………………………

5.3.4 VMBR攻击 119…………………………………………………

5.3.5 拒绝服务攻击 120………………………………………………

5.4 虚拟化安全解决方法 120……………………………………………

5.4.1 宿主机安全机制 121……………………………………………

5.4.2 Hypervisor安全机制 122…………………………………………

科

学出版社

职教技术出版中心

www.abook.cn

viii 云计算安全体系

5.4.3 虚拟机隔离机制 127……………………………………………

5.4.4 虚拟机安全监控 130……………………………………………

5.4.5 虚拟机安全防护与检测 133………………………………………

5.5 小结 138………………………………………………………………

主要参考文献 138…………………………………………………………

第六章 云计算安全:数据安全 141……………………………………………

6.1 云计算带来新的数据安全问题 142…………………………………

6.1.1 云数据安全问题分析 142…………………………………………

6.1.2 责任与权力 144…………………………………………………

6.2 云数据隔离 146………………………………………………………

6.2.1 数据分级 146……………………………………………………

6.2.2 访问控制 147……………………………………………………

6.3 密文云存储 151………………………………………………………

6.3.1 数据加密 151……………………………………………………

6.3.2 密文检索 152……………………………………………………

6.3.3 密钥管理 163……………………………………………………

6.4 云端数据完整性验证 167……………………………………………

6.4.1 云用户主导 168…………………………………………………

6.4.2 可信第三方 169…………………………………………………

6.5 数据可用性保护 171…………………………………………………

6.5.1 多副本技术 171…………………………………………………

6.5.2 数据复制技术 174………………………………………………

6.5.3 容灾备份 175……………………………………………………

6.6 数据删除 180…………………………………………………………

6.6.1 数据销毁技术 180………………………………………………

6.6.2 安全删除技术 181………………………………………………

6.7 小结 182………………………………………………………………

主要参考文献 183…………………………………………………………

第七章 云计算安全:应用安全 188……………………………………………

7.1 云应用概述 188………………………………………………………

7.1.1 云应用 189………………………………………………………

7.1.2 云应用的发展现状 190……………………………………………

7.2 云应用面临的安全问题 192…………………………………………

7.2.1 用户管控 193……………………………………………………

7.2.2 Web安全问题 196………………………………………………

7.2.3 内容安全问题 197………………………………………………

7.2.4 应用迁移风险 198………………………………………………

目　录 ix

7.3 4A体系建设 198……………………………………………………

7.3.1 账号管理 201……………………………………………………

7.3.2 身份认证 202……………………………………………………

7.3.3 统一授权 209……………………………………………………

7.3.4 安全审计 211……………………………………………………

7.4 安全防护与检测 215…………………………………………………

7.4.1 Web应用防火墙技术 215…………………………………………

7.4.2 入侵检测技术 216………………………………………………

7.4.3 UTM技术 217…………………………………………………

7.5 安全迁移 218…………………………………………………………

7.5.1 迁移前评估 218…………………………………………………

7.5.2 迁移过程 219……………………………………………………

7.5.3 迁移后安全管理 222……………………………………………

7.6 小结 222………………………………………………………………

主要参考文献 223…………………………………………………………

第八章 云计算安全管理 224…………………………………………………

8.1 信息系统安全管理标准 225…………………………………………

8.1.1 信息系统安全管理标准分类 225…………………………………

8.1.2 信息系统安全管理的相关国内外标准 226…………………………

8.1.3 云安全管理标准框架 227…………………………………………

8.2 云安全管理流程 229…………………………………………………

8.2.1 规划 230…………………………………………………………

8.2.2 实施 231…………………………………………………………

8.2.3 检查 237…………………………………………………………

8.2.4 处理 238…………………………………………………………

8.3 云安全管理重点领域分析 238………………………………………

8.3.1 全局安全策略管理 238……………………………………………

8.3.2 网络安全管理 241………………………………………………

8.3.3 安全监控与告警 242……………………………………………

8.3.4 事故响应 244……………………………………………………

8.3.5 人员管理 245……………………………………………………

8.4 小结 248………………………………………………………………

主要参考文献 248…………………………………………………………

第九章 安全标准及安全评估 250……………………………………………

9.1 安全标准研究现状 251………………………………………………

9.1.1 国外云安全标准研究现状 251……………………………………

9.1.2 国内云安全标准研究现状 256……………………………………

科

学出版社

职教技术出版中心

www.abook.cn

x 云计算安全体系

9.2 云平台构建的安全标准 259…………………………………………

9.2.1 传统信息系统安全相关标准 259…………………………………

9.2.2 云平台构建安全标准 262…………………………………………

9.3 选择云服务提供商的安全标准 265…………………………………

9.3.1 云服务提供商选择 265……………………………………………

9.3.2 云服务提供商安全要约 267………………………………………

9.4 云计算安全测评 269…………………………………………………

9.4.1 云安全测评研究现状 269…………………………………………

9.4.2 云安全测评面临的挑战 274………………………………………

9.4.3 云安全测评的方法 276……………………………………………

9.4.4 云安全测评指标体系 279…………………………………………

9.5 小结 281………………………………………………………………

主要参考文献 282…………………………………………………………

第十章 云安全的新进展 284…………………………………………………

10.1 云平台的安全实践 284……………………………………………

10.1.1 国外发展概况 285………………………………………………

10.1.2 国内发展概况 287………………………………………………

10.1.3 国家战略 290……………………………………………………

10.2 安全即服务 291……………………………………………………

10.2.1 简介 292………………………………………………………

10.2.2 发展现状 294……………………………………………………

10.2.3 选择安全云服务的建议 297……………………………………

10.3 云安全问题外延 298………………………………………………

10.3.1 移动互联网 299…………………………………………………

10.3.2 物联网 303……………………………………………………

10.3.3 大数据 306……………………………………………………

10.4 小结 309……………………………………………………………

主要参考文献 310…………………………………………………………

第一章　云计算概论

云计算,一项促使各国政府纷纷发布战略计划、不惜巨资投入发展的

IT技术,一块吸引各大IT巨头争先恐后规划建设、凝智聚力抢占先机的

市场沃土,一个引发各级研究机构争相讨论、孜孜探索的研究热点,一科

吸引众多IT人士、高校学生争相了解、主动学习的专业知识,一种惠及普

通大众、应用潮流势不可挡的信息服务,在短短数年之内以一种席卷全球

的姿态迅速、高调地进入了人们的视野,毫不犹豫地站在了IT技术与产业

的浪潮之巅。初识云计算,人们不禁都会问上一句: “什么是云计算?”确实,上面

种种描述都没有给出一个确切的云计算概念。即使我们现在将云计算的定

义背出来,大多数人还是会一脸茫然、不知所云。因此,我们不妨先来看

看一些云计算实例。

Amazon的S3为 Web应用程序开发者提供了租用存储资源的服务,

EC2为 Web程序开发者提供了租用计算能力的服务,利用这些服务,Web程序开发者可以不必购买自己的硬件和软件,直接通过简单的 Web服务界

面轻松地从Amazon那里获取并配置计算、存储等资源,来开发和运行自

己的应用。Rackspace陆陆续续发布了云主机、云站点、云存储、云备份等

一系列云产品,来为企业或个人用户提供物理托管、云托管、虚拟化、存

储备份等云服务。Google的GoogleAppEngine为 Web应用程序开发者提

供了一个开发简单、部署方便、伸缩快捷的 Web应用运行和管理平台,开

发者可以在GoogleAppEngine上免费发布和运行自己的应用程序,免费

使用多达500MB的存储空间以及能够支持每月约500万页面浏览量的足够

CPU和带宽,并且可以根据需求购买更多的计算资源。Salesforce基于网

络向企业用户提供在线CRM销售云和服务云,使企业用户可以避免购买硬

件、开发软件等前期投资以及后期复杂的运营管理问题。

2013年11月11日全天,淘宝和天猫商城承载了几亿网民、350.19亿

元交易额的巨大流量,该项成功的背后功臣其实是阿里巴巴致力研发的云

计算及大数据处理技术。腾讯微信自2011年1月推出后仅14个月内,注

册用户就达到了2亿,每天调用3.5亿次以上; “腾讯 Q+”上线一年以

科

学出版社

职教技术出版中心

www.abook.cn

002 云计算安全体系

来,注册开发者超过30万,日活跃用户超过百万的应用近50款,第三方

月活跃用户突破2亿,开放平台的收入分成已经超过10亿元以上。2012年

8月,百度建立了首个自建云计算中心,使用了百度自助研发的高性能

ARM存储服务器,CPU总量高达70万颗、280万核,云计算中心的计算

能力遥遥领先于亚洲其他已经落成及正在建设的云计算中心,有效地保证

了百度数据处理、服务提供的稳定性和可靠性。以上这些案例涵盖了目前国内外较为领先的云服务提供商,不仅直观

地描述了云计算的服务方式,也体现出云计算的典型特征以及优势,如资

源共享、按需分配、弹性调度、服务可扩展。同时,这些案例也足以充分

说明,云计算已经不再止步于一个单薄的技术概念,各IT企业已经纷纷致

力于开发、推出云计算服务,努力在云计算商业模式和服务方式方面不断

创新;政府部门、大中小型企业以及公众用户也在有意或无意地使用云计

算服务,不知不觉地推动着云计算的发展。中国乃至全球的IT服务市场正

在加速步入云时代。

1.1　云计算发展历程

云计算是信息和通信技术产业的一项重大变革,如同当初的电力变革

一样。云计算的理念同电力产业非常相似,不同之处在于云计算概念从提

出到落地仅仅只用了几年时间。一百多年前,在那个没有公共电力设施的时代,每个企业都需要使用

自己的发电机单独发电来维持生产,运营维护的成本远远高于现在;当公

用电网建成以后,企业逐渐转为从大型的电力系统按需购买价格低廉、可

靠性高的电力,不仅大大减少了自身的生产成本,还节省了以前维护发电

设备的人力、物力资源,更提高了企业发展的灵活性和可靠性。这种看似

简单的模式转变却被誉为人类工程科学史上最重要的成就之一。那么,在

信息技术领域里,是否也将会有与之相类似的演变呢? 正如图1.1描绘的

那样,企业可以像用电一样来使用信息系统的资源。云计算,这样一个众所周知的IT名词,正是信息技术历经半个多世纪

的发展和演变而催生出的全新技术理念。

第一章　云计算概论 003

1.1.1　云计算产生背景

从20世纪40年代世界上第一台电子计算机诞生至今,计算模式经历

了集中计算 (大型机、小型机)、个人计算机、互联网等几个重要时代,如

图1.2所示。在过去的二十年里,互联网的发展和普及使整个社会发生了

翻天覆地的变化,不仅全世界的企业和个人被连接起来,企业的业务运作

和人们的生活方式也被深刻地影响着、改变着。随着技术的不断提高,越

来越多的应用软件都转变为以服务的形式被互联网发布和访问,互联网的

作用也越来越广泛和丰富,它不再局限于最初的浏览网页和收发电子邮件,还能够为政府部门提供诸如电子政务、信息系统管理等服务;为企业提供

诸如电子商务、客户关系管理等服务;为科研机构提供诸如强大的计算处

理能力等服务;为普通用户提供诸如博客、视频、网上购物等服务。

与此同时,随着网络带宽的显著提高,无线接入方式也更加丰富,个

人PC、智能手机、平板电脑甚至家用电器等越来越多的终端设备已经具备

了接入互联网的能力,用户通过社交网站、游戏网站、视频网站、购物网

站等形式对互联网内容的贡献也在以前所未有的速度增加。不仅如此,在

图1.1像用电一样使用信息系统

图1.2云计算技术演进过程

科

学出版社

职教技术出版中心

www.abook.cn

004 云计算安全体系

这个信息爆炸的时代,借助互联网技术的快速发展,新闻、娱乐、广告等

各种信息的数量也在以超乎人们想象的速度增长着。这种日益增长的服务需求和海量数据的巨大冲击必然给现有的计算模

式带来诸多挑战。如何存储海量的数据资源? 如何保证网络服务的效率?如何满足高要求的计算能力? 如何提高资源的利用效率? 如何最大程序地

降低能耗、实现绿色环保? 如图1.3所示,云计算是需求、技术、经济和

环境保护等因素共同驱动产生的结果。

1)需求驱动

随着经济和社会信息化的大发展,尤其是移动互联网和物联网的兴起

和广泛应用,海量信息的存储、计算等处理需求也在迅猛增加;互联网服

务需要更加便捷、灵活地提供;各类现代应用需要满足普适化、智能化等

一系列要求;用户希望不再需要购买、安置和维护各种软硬件设备,希望

能够高效率、低成本、随时按需地获取IT服务来加快部署、研发和收益的

速度。诸如实时的信息获取、全面的信息分析、按需即用的计算资源、随

需应变的业务流程等服务对效率和成本的需求在日益增长,催化着云计算

快速向前发展。

2)技术驱动

芯片和硬件技术的飞速发展,虚拟化技术的渐渐成熟和不断运用,面

向服务架构SOA思想的提出和广泛应用,软件即服务理念的出现,互联网

技术的快速发展,Web2.0技术的产生和流行,都为云计算的发展奠定了

技术基础,如表1.1所示。

技术基础 作用于云计算

芯片和硬件技术的

飞速发展

使得硬件能力激增、成本大幅下降,建造大型数据中心成为可能,为云

服务提供商构建公有云、企业机构用户构建私有云创造了条件

虚拟化技术的成熟

和运用

使得云计算中的计算、存储、应用和服务等能够变成资源,并可以被动

态扩展和配置,最终使云计算能够在逻辑上以单一整体的形式呈现

面向服务架构SOA的广泛应用

为云中资源与服务的组织方式提供了可行的解决方案,使得云计算可以

通过标准化、流程化和自动化的松耦合组件为用户提供服务,构成一个有

层次的完整的应用运行平台

图1.3云计算的产生驱动力

表1.1 云计算发展的技

术基础

第一章　云计算概论 005

续表

技术基础 作用于云计算

软 件 即 服 务 的

出现

使得云计算可以为那些曾经无法拥有专业计算中心和 Web应用的客户

提供只有实力雄厚的大公司才能够负担得起的ΙΤ基础设施和应用

互 联 网 技 术 的

发展

使得云计算中跨地域的资源共享与服务提供成为可能,使得用户通过互

联网使用远程云端的服务成为可能,从而在用户和云间搭起了宽阔的桥梁

Web2.0技 术 的

产生和流行

Web应用的开发周期越来越短,因而能提供给用户更加快捷、更具吸引

力的服务,为云计算的产生提供了有利条件

3)经济和环境保护驱动

2008年爆发并持续恶化的金融危机使得IT厂商们不得不寻求新的降

低成本、提高资源利用率的商业模式,进而推动着全球产业结构的调整和

升级;2009年的哥本哈根世界气候大会使得世界各国无法再忽视环境保护

的重要性,从而加速了节能减排时代的到来。此时,具备合理配置计算资

源、提升计算资源利用率、减少初期投资、降低运营成本、促进节能减排、实现绿色计算等优势的云计算快速受到IT企业和各国政府的青睐,一跃成

为重点扶植和发展的关键技术。

1.1.2　云计算演进历程

顺应时代潮流而出现的云计算自2006年被提出后迅速崛起,在科学技

术领域掀起了一股风起云涌的热潮,短短几年内就被人们所熟知。然而,云计算的思想起源可以追溯到20世纪60年代。表1.2为云计算发展历程

中的一些重大事件。

时间 事 件

1961年 人工智能之父约翰·麦卡锡提出了把计算能力作为一种像水和电一样的公

用事业提供给用户的理念,这被认为是云计算思想的起源

1983年 Sun公司提出 “网络就是计算机”的口号,用于描述分布式计算技术带来

的新世界,恰好描绘了今天云计算的工作方式

2003年 美国国家科学基金投资830万美元支持由七所顶尖院校提出的 “网格虚拟

化和云计算VGrADS”项目,正式启动了云计算的研发序幕

2006年3月 Amazon相继推出在线存储服务S3和弹性计算云EC2等服务

2006年8月9日 Google首席执行官埃里克·施密特在搜索引擎大会 (SESSanJose,2006)

首次提出 “云计算”的概念

2007年10月 Google与IBM开始在美国大学推广云计算的计划,希望能降低分散式计

算技术在学术研究方面的成本,并为大学提供相关的软硬件设备及技术支持

表1.2 云计算发展历程

科

学出版社

职教技术出版中心

www.abook.cn

006 云计算安全体系

续表

时间 事 件

2007年11月 IBM发布 “蓝云”计划,提出共有云和私有云的概念

2008年1月 Salesforce.com推出了随需应变平台Force.com,成为世界上第一个平台

即服务的应用

2008年2月 IBM宣布将在中国无锡太湖新城科教产业园为中国的软件公司建立全球第

一个云计算中心

2008年4月 GoogleAppEngine发布

2008年6月 IBM宣布成立IBM大中华区云计算中心

2008年7月 雅虎、惠普和Intel宣布一项涵盖美国、德国和新加坡的联合研究计划,

创建云计算试验台OpenCirrus

2008年8月 美国专利商标局网站信息显示,戴尔正在申请 “云计算”商标,此举旨在

加强对这一未来可能重塑技术架构的术语的控制权

2008年9月 思杰公布云计算战略,并发布新的思杰云中心 (CitrixCloudCenter,C3)

产品系列

2008年10月 微软发布其公共云计算平台———WindowsAzurePlatform,由此拉开了微

软的云计算大幕

2009年1月 阿里巴巴在江苏南京建立首个 “电子商务云计算中心”

2009年11月 中国移动云计算平台 “大云”计划启动

2010年3月 Novell与云安全联盟 (CSA)共同宣布一项供应商中立计划,名为 “可信

任云计算计划 (trustedcloudinitiative)”

2010年7月 美国国家航空航天局和包括Rackspace、AMD、Intel、戴尔等在内的支持

厂商共同宣布 “OpenStack”开放源代码计划

2011年2月 思科系统正式加入OpenStack,重点研制OpenStack的网络服务

2011年8月 中国电信正式对外发布天翼云计算战略、品牌及解决方案

2012年1月 中国联通完成 “悦云”产品的自主研发,并于同年7月开始面向全国试

商用

2012年8月 百度建立了首个自建云计算中心,云计算中心的计算能力遥遥领先于亚洲

其他落成及在建的云计算中心

通过回顾云计算的发展历程,我们看到云计算以令人诧异的速度逐步

走向了成熟,成为信息与通信技术产业的一个重要方向。从产业角度来说,云计算可以分为储备期、发展期和成熟期三个阶段,如表1.3所示。

第一章　云计算概论 007

时期 特 点

储备期

(2007~2010年)

这是云计算产业的技术储备和概念推广阶段,支撑技术相对完善,产业概

念逐步清晰,解决方案和商业模式仍然处于尝试和探索阶段,云计算产业的

广度和深度不足

发展期

(2011~2015年) 在这个阶段,云计算的产业链基本形成,用户逐步接受云计算产业,产业

的规模也在进一步扩大,开始注重商业模式和生态环境的构建

成熟期

(2016年~ ) 到成熟期,云计算产业链、商业模式和生态环境建设趋于稳定,云计算成

为规模化的公用基础设施

正如电力革命给人类生产、生活带来的根本性变革一样,当云计算产

业日益成熟,云服务所承诺的通用访问、7×24可靠、高安全可信性、

99.999%的服务等级协议 (servicelevelagreement,SLA)和无处不在的

协议真正兑现时,今日主流的这种以企业或个人私有IT资源为中心的计算

方式注定走向没落,云计算服务必将在后电信时代的IT产业大行其道。

1.2　云计算的概念

有观点认为,云计算是并行计算、网格计算和效用计算等既有理论的

延续和发展,或者说是这些计算机科学概念的商业实现。并行计算是将一

个科学问题分解成多个计算任务,并将这些任务在并行的计算机中同时执

行,最后将处理后的结果整合返回的一种计算模式,一般适用于计算性能

要求较高的领域。网格计算是一种分布式计算模式,通过将分散在网络中

的空闲服务器、存储、网络资源链接在一起,形成一个整合系统,从而为

用户提供强大的计算能力和强大的存储能力来处理特定的任务。效用计算

强调的是要求IT资源如计算和存储等资源能够按照用户的需要来提供,用

户只需要按照实际的使用情况付费。那么,云计算又有着怎样的定义呢?

1.2.1　什么是云计算

由于云计算涉及技术的多个方面和产业发展的多个环节,不同的组织

和企业从各自的角度对云计算做出了自己的定义。美国国家标准技术研究所 (NationalInstituteofStandardsandTech-

nology,NIST)对云计算是这样定义的:“云计算是一种模型,能支持用户

便捷地按需通过网络访问一个可配置的共享计算资源池 (包括网络、服务

器、存储、应用程序、服务),共享池中的资源能够以最少的用户管理投入

或最少的服务提供商介入实现快速供给和回收。”Amazon认为 “云计算就

是在一个大规模的系统环境中,不同的系统之间相互提供服务,软件都是

以服务的方式运行的,当所有这些系统相互协作并在互联网上提供服务时,

表1.3 云计算产业的三

个阶段

科

学出版社

职教技术出版中心

www.abook.cn

008 云计算安全体系

这些系统的总体就成为云。”我国工信部电信研究院认为 “云计算是一种通

过网络统一组织和灵活调用各种ICT (informationcommunicationtechnol-ogy)信息资源,实现大规模计算的信息处理方式”。

从百度百科中我们也可以了解到,狭义的云计算是指IT基础设施的交

付和使用模式,即通过网络以按需、易扩展的方式获得所需的资源 (硬件、平台、软件)。提供资源的网络被称为 “云”。“云”中的资源在使用者看来

是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付

费。这种特性经常被称为像水电一样使用IT基础设施。广义的云计算则是

指服务的交付和使用模式,即通过网络以按需、易扩展的方式获得所需的

服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服

务。它意味着计算能力也可作为一种商品通过互联网进行流通。总结以上各种云计算定义形式的共同点,我们可以这样认为:云计算

是一种以服务为特征的计算模式,它通过对所有的资源进行抽象后来以新

的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务,支撑各类信息化应用。这种新型服务最大的优势在于能够合理配置计算资

源,提高计算资源的利用率,降低成本,促进节能减排,实现真正的理想

的绿色计算。图1.4为云计算的服务种类和方式。

另外,我们还可以从产业、用户、提供商三个不同的角度来解读云

计算。(1)从产业角度看:云计算产业是包括硬件、软件、信息服务三个部

分的信息产业的一个子集,是网络计算系统与应用的一个新的发展阶段,被认为是一种战略性新兴产业。

(2)从用户角度看:云计算是一种新的使用模式,主要特征是变买产

品为租服务,即用户无需购买硬件和软件产品,而是按需租用提供商的信

息技术设施与应用服务。(3)从提供商角度看:云计算是信息系统架构和运行模式,主要特征

是通过互联网为多个用户提供第三方集中式信息技术设施与应用服务。

图1.4云计算的服务种类和方式

第一章　云计算概论 009

1.2.2　云计算的特征

根据NIST给出的云计算定义,云计算模型包含如下五个基本特征。(1)按需自助服务:云计算的按需自助服务特点使得用户能够在无需

与云服务提供商进行人工交互的情况下根据自己的需求直接使用云计算资

源。用户可以根据自己的实际需要来规划对云计算的使用情况,比如说需

要多少计算和存储资源,以及如何部署和管理这些资源等。如果服务提供

商的自助服务界面方便友好、易于使用,并且能够对所提供的服务进行有

效管理,则会使服务方式更加有效,更容易让用户接受并使用。(2)宽带网络连接:云计算通过互联网提供服务,这就要求云计算必

须具备高宽带通信链路,使得用户能够通过各种各样的瘦和胖客户端平台

(如笔记本、手机、PDA等)快速地连接到云服务,进而使云计算成为企

业内部数据中心的有力竞争者。很多组织使用由接入层交换机、汇聚层交

换机、核心层路由器与交换机组成的三层架构将各种计算平台连接到局域

网中,其中接入层交换机用于将桌面设备连接到汇聚层交换机;汇聚层交

换机用于控制数据流;核心层路由器与交换机用于连接广域网和管理流量。这种三层架构方式将产生50μs或更长的等待时间,进而导致使用云计算时

的延时问题。将交换机环境的等待时间控制在10μs以内才能获得好的性

能。如果将汇聚层交换机去掉,使用10G以太网交换机或即将面世的100G以太网交换机组成的两层架构就能满足这种需求。

(3)位置无关资源池:云计算需要具有一个大规模、灵活动态的共享

资源池来满足用户需求,最优性能地为用户执行的应用程序有效分配它所

需要的资源。NIST指出:“云计算的资源与位置无关,用户通常无法控制

或了解所提供资源的具体位置,但他们可以在一个较高抽象层次上指定资

源的位置,例如某个国家、某个州或者某个数据中心。”也就是说,云计算

中的资源在物理上可以分布于多个位置,通过虚拟化技术被抽象为虚拟的

资源,当被需要时作为虚拟组件进行分配。(4)快速伸缩能力:伸缩性是指根据需要向上或向下扩展资源的能力。

对用户来说,云计算的资源数量是没有界限的,他们可按照需求购买任何

数量的资源。为了满足按需自助服务特征的需求,云计算对所分配的资源

必须具备能够快速有效地增加或缩减的能力。这样的快速伸缩性可以使用

户的应用在需要更多的资源时能够立即获得,保证了关键应用的高响应速

度;也可以使用户在应用结束后不需要这么多的资源时尽快将资源释放,从而减少费用、降低成本。云计算提供商需要考虑实现松耦合服务,使各

种服务的伸缩性彼此之间保持相对独立,即不依赖于其他服务的伸缩能力,从而来提供快速伸缩能力。

(5)可被测量的服务:NIST对可测量服务的观点是:“通过利用在某

科

学出版社

职教技术出版中心

www.abook.cn

010 云计算安全体系

种抽象层次上适用于服务类型 (例如,存储、处理、带宽以及激活用户数

量)的计量能力,云系统可以实现资源使用的自动控制和优化。云可以对

资源的使用情况进行监控、控制和报告,让服务的提供者和使用者都了解

服务使用的相关情况。”也就是说,由于云计算面向服务的特性,用户所使

用的云计算资源的数量能够得到动态、自动地分配和监控,进而使得用户

可以按照某种计量方式为自己使用的云计算资源支付使用费用,比如按照

所消耗资源的成本进行付费。

1.3　云计算的交付模式

目前,从云计算的服务类型方面来说,普遍被认可的是将云计算提供

的服务分为IPS-3层:基础设施即服务 (infrastructureasaservice,IaaS)、平台即服务 (platformasaservice,PaaS)和软件即服务 (softwareasaservice,SaaS)。各个层次的服务提供商示例如图1.5所示。

三种不同的云计算服务模型所拥有的资源不同,提供给用户的云服务

也不相同,如图1.6所示。

在云计算产业链中,基础设施提供商向平台运营商与平台开发商提供

硬件设备的虚拟化服务;平台提供商为平台运营商提供网络化平台;平台

运营商通过网络化平台支撑软件服务提供商的业务;软件服务开发商开发、

图1.5云计算不同服务类型示例

图1.6云计算按服务类型分类

第一章　云计算概述 011

组合多种服务满足软件服务提供商的业务需求;软件服务提供商则向广大

用户提供个性化与专业化的软件服务。

1.3.1　基础设施即服务（IaaS）

IaaS位于云计算3层服务的最底端。同时它也是云计算狭义定义所覆

盖的范围,就是把IT基础设施以服务的形式提供给用户,通常按照所消耗

资源的成本进行收费。该层提供的是基于服务器和存储等硬件资源的可高

度扩展和按需变化的IT能力,如基本的计算和存储能力。以计算能力的提

供为例,其提供的基本单元就是服务器,包含CPU、内存、存储、操作系

统及一些软件。为了让用户能够定制自己的服务器,需要借助服务器模板

技术,即将一定的服务器配置与操作系统和软件进行绑定,并提供定制的

功能。在IaaS中,服务的供应是一个关键,它的好坏直接影响到用户的使用

效率以及IaaS系统运行和维护的成本。自动化是IaaS的一个核心技术,它

使得用户对资源使用的请求可以以自助服务的方式完成,而无须服务提供

商的介入。一个稳定而强大的自动化管理方案可以将服务的边际成本降低

为0,从而保证云计算的规模化效应得以体现。在自动化的基础上,资源的

动态调度得以成为现实。资源动态调度的目的是满足服务水平的要求,比

如根据服务器的CPU利用率,IaaS平台自动决定为用户增加新的服务器或

存储空间,从而满足事先跟用户制订的服务水平条款。在这里,资源动态

调度技术的智能性和可靠性十分关键。此外,虚拟化技术是IaaS另外一个

重要的技术,它通过物理资源共享来极大地提高资源利用率,降低IaaS平

台成本与用户使用成本;虚拟化技术的动态迁移功能能够带来服务可用性

的大幅度提高,这一点对许多用户来说极具吸引力。IaaS层服务最具影响

力的平台为亚马逊的EC2和S3;此外IBM 在IaaS服务方面也做了很多工

作,并为无锡软件园建立了提供IaaS层服务的云计算中心。

1.3.2　平台即服务（PaaS）

PaaS具有 “云计算操作系统”的美称。在PaaS层面,服务提供商提

供的是经过封装的IT能力,或者说是一些逻辑的资源,比如数据库、文件

系统和应用开发环境等,通常按照用户登录情况计费。以基于互联网的应

用开发环境为例,PaaS提供的服务包括应用编程接口和运行平台等,并且

支持应用从创建到运行整个生命周期所需的各种软硬件资源和工具。通常情况下,PaaS又可以细分为开发组件即服务和软件平台即服务。

前者指的是提供一个开发平台和API组件,给开发人员更大的弹性,依据

不同需求进行定制化。一般面向的是应用软件开发商或独立开发者,这些

应用软件开发商或独立开发者们在PaaS厂商提供的在线开发平台上进行开

科

学出版社

职教技术出版中心

www.abook.cn

012 云计算安全体系

发,从而推出自己的SaaS产品或应用。后者指的是提供一个基于云计算模

式的软件平台运行环境。让应用软件开发商或独立开发者们能够根据负载

情况动态获取运行资源,并获取一些支撑应用程序运行的中间件支持。

PaaS层面涉及两个核心技术。第一个核心技术是基于云的软件开发、测试及运行技术。PaaS主要面向软件开发者,以前,如何让开发者通过网

络在云计算环境中编写并运行程序是一个难题。如今,在网络带宽逐步提

高的前提下,两种技术的出现解决了这个难题。其一是在线开发工具,开

发者可通过浏览器、远程控制台 (控制台中运行开发工具)等技术直接在

远程开发应用,无须在本地安装开发工具。其二是本地开发工具和云计算

的集成技术,即通过本地开发工具将开发好的应用直接部署到云计算环境

中,同时能够进行远程调试。PaaS的第二个核心技术是大规模分布式应用

运行环境。它指的是利用大量服务器构建的可扩展的应用中间件、数据库

及文件系统。这种应用运行环境可以使应用充分利用云计算中心的海量计

算和存储资源,进行充分扩展,突破单一物理硬件的资源瓶颈,满足互联

网上百万级用户量的访问要求。目前,IBM 的 Rational开发者云,Sale-force公司的 Force.com 和 Google的 GoogleAppEngine等都具有提供

PaaS服务的能力。

1.3.3　软件即服务（SaaS）

SaaS是最常见的云计算服务,用户可以通过标准的 Web浏览器来使用

Internet上的软件,服务供应商负责维护和管理软硬件设施,并以免费 (提供商可以从网络广告之类的项目中生成收入)或按需租用的方式向最终用

户提供服务。在SaaS 层 面 主 要 涉 及 如 下 技 术:Web2.0、多 租 户 和 虚 拟 化。

Web2.0中的AJAX等技术的发展使得 Web应用的易用性越来越高,它把

一些桌面应用中的用户体验带给了 Web用户,从而让人们容易接受从桌面

应用到 Web应用的转变。多租户是指一种软件架构,在这种架构下,软件

的单个实例可以服务于多个客户组织 (租户),客户之间共享一套硬件和软

件架构。它可以大大降低每个客户的资源消耗,降低客户成本。虚拟化也

是SaaS层的一项重要技术,与多租户技术不同,它可以支持多个客户共享

硬件基础架构,但不共享软件架构,这与IaaS中的虚拟化是相同的。

SaaS层的服务既有面向普通用户的,诸如GoogleCalendar和Gmail;也有直接面向企业团体的,用以帮助处理工资单流程、人力资源管理、客

户关系管理和业务合作伙伴关系管理等,诸如IBM LotusLive、Sales-force.com和SugarCRM。这些SaaS提供的应用程序减少了客户安装和维

护软件的时间和技能等成本,并且可以通过按使用付费的方式来减少软件

许可证费用的支出。

第一章　云计算概述 013

1.3.4　三种云服务的对比

IaaS、PaaS、SaaS三层云服务,每层都有相应的技术来支持该层的服

务,具有云计算的特征,比如弹性伸缩和自动部署等。每层云服务可以独

立成云,也可以基于下层的云平台提供服务;每种云可以直接提供给最终

用户使用,也可以只用来支撑上层的服务。三层云服务的对比如表1.4所示。

分类 服务类型 运用的灵活性 运用的难易程度

SaaS 特定功能的应用 低 易

PaaS 应用的托管环境 中 中

IaaS 接近原始的计算存储能力 高 难

SaaS会在产品中提供最为集成化的功能、最小的用户可扩展性及相对

来说较高的集成化的安全性。PaaS提供的是开发者在平台之上开发个人应

用的能力,它倾向于提供比应用云更多的可扩展性,其代价是丧失应用云

为用户提供的特色功能,让用户拥有更多的灵活性。IaaS几乎不提供那些

和应用类似的特色功能,但却有极大的可扩展性,安全保护能力和功能较

少,要求云用户自己管理操作系统、应用和内容。正如我们所熟悉的软件架构范式,自底向上依次为计算机硬件→操作

系统→中间件→应用一样,这种以服务类型为指标的云计算分类也暗含了

相似的层次关系。图1.7为云计算架构的参考模型。

由图1.7可以看到,IaaS涵盖了从机房设备到其中的硬件平台等所有

的基础设施资源层面,包括将资源抽象化 (或相反)的能力、交付资源的

表1.4 三层云服务的

对比

图1.7云计算架构的参考模型

科

学出版社

职教技术出版中心

www.abook.cn

014 云计算安全体系

物理或逻辑网络连接,终极状态是IaaS提供商提供一组API,允许用户与

基础设施进行管理或其他形式的交互。PaaS位于IaaS之上,增加了一个层

面用以与应用开发框架、中间件以及数据库、消息和队列等功能进行集成,允许开发者在平台之上开发应用,开发的编程语言和工具由PaaS提供。

SaaS又位于底层的IaaS和PaaS之上,能够提供独立的运行环境,用以交

付完整的用户体验,SaaS服务提供商为企业搭建信息化所需要的所有网络

基础设施及软件、硬件运作平台,并负责所有前期的实施、后期的维护等

一系列服务,用户只需要支出一定的租赁服务费用,通过互联网便可以享

受到相应的硬件、软件和维护服务,享有软件使用权和不断升级的权利。

1.4　云计算的部署方式

1.4.1　部署方式

为了满足不同用户对安全性和可靠性的要求,根据云计算的部署方式

和服务对象范围又可以将云计算分为以下4类。

1)公有云

公有云是由若干企业和用户共享使用的云计算环境。在公有云中,用

户所需的服务由一个独立的第三方云提供商提供,该云提供商也同时为其

他用户服务,这些用户共享这个云提供商所拥有的资源。

2)私有云

私有云是指为某个企业或组织所专有的云计算环境。在私有云中,用

户是这个企业或组织的内部成员,这些成员共享该云计算环境所提供的所

有资源,公司或组织以外的用户无法访问这个云计算环境提供的服务。

3)社区云

社区云是指由有着共同利益 (如任务、安全需求、政策、合规考虑等)和共同计划的几个组织共享使用的云计算环境。它可以由组织自己管理,也可以由某个第三方管理,既可以部署在组织内部,也可以部署在组织

外部。

4)混合云

混合云是两种或两种以上云 (公有云、私有云和社区云)的结合。用

户根据自身因素和业务需求选择合适的结合方式,制订其使用混合云的规

则和策略。在这里,自身因素是指用户本身所面临的限制与约束,如信息

安全的要求、任务的关键程度和现有基础设施的情况等;业务需求是指用

户期望从云环境中所获得的服务类型,如网络会议、咨询与培训系统这样

的服务适合从公有云中获得,数据仓库、分析与决策系统这样的服务适合

第一章　云计算概述 015

从私有云中获得。通常来说,用户会根据自身需求,选择适合自己的云计算模式,诸如

金融机构、政府机关、大型企业等对安全性、可靠性及IT可监控性要求高

的企业或组织会选择建立自己的私有云。他们自身原有的IT基础设施已经

具备足够的规模,只需要通过少量的成本投入,将自己的IT系统进行调整

和升级,他们就可以享有云计算所带来的灵活性与高效性,同时也无须考

虑使用公有云可能会给自身带来负面影响。此外,他们也可以选择使用混

合云,将一些对安全性和可靠性需求相对较低的应用,如人力资源管理等,部署在公有云上,以此来减轻对自身IT基础设施的负担。而一般中小型企

业和创业公司出于降低成本和快速部署的考虑将会优先选择公有云。

1.4.2　部署方式的过渡

实际上,在现实的生产环境中,企业需要从建设成本、运维成本等多

方面来综合衡量使用云计算的方式,云的私有性和公有性也并非是泾渭分

明的,主要有六种可能的过渡方式,如图1.8所示。

方式一是一种典型的私有云模式。由企业建立自己的云计算中心,基

础资源在企业数据中心的内部,仅供企业自身使用,运行维护也由企业自

己承担。这种严格的私有云模式虽然能够为企业保障较高安全性,但是建

立与运维一个私有云需要较高的资金投入与持续的技术支持。方式二也是一种私有云模式。与方式一不同的是,企业只进行投资建

设,云计算架构的运行维护则外包给服务提供商,基础资源依然在企业的

数据中心内,这样做能够减少运营维护给企业带来的成本开销。方式三是一种被托管的私有云,相比方式二更进一步。还是由企业投

资建设云中心,但是云计算架构位于服务提供商的数据中心内,企业通过

网络访问云资源,这是一种物理形体的托管型。这种做法在方式二的基础

上进一步减少了企业在购买软硬件设备上的成本和人力、物力等投入。

图1.8私有云至公有云的逐级

过渡

科

学出版社

职教技术出版中心

www.abook.cn

016 云计算安全体系

方式四也可以算作一种被托管的私有云。与方案三不同的是,云计算

基础资源由服务提供商来构建,企业只是租用基础资源形成自身业务的虚

拟云计算,但是相关物理资源完全由企业独占使用,这是一种虚拟的托管

型服务 (数据托管)。在这种模式下,企业通过与服务提供商订立合同来保

证其在该数据中心内对资源在物理上或逻辑上的独占性,这种独占性是该

模式与公有云的本质区别。方式五是一种共享的私有云模式。相比于方式四,云计算基础资源还

是由服务提供商来构建,不同的是,有多个企业同时租赁该提供商的云计

算资源,资源的隔离与调度由服务提供商管理,企业只关注自身业务,不

同企业在云计算架构内通过虚拟化技术隔离。社区云或者说排他的公有云

采用的就是这种方式。方式六则是典型的公有云模式。由服务提供商为企业或个人提供面向

互联网的公共服务 (如邮箱、即时通信、共享容灾等),云架构与公共网络

连接,由服务提供商来保证不同企业与用户的数据安全。从更长远的周期来看,云的形态会继续演化,从孤立的云逐步发展到

互联的云,如图1.9所示。

在云计算建设初期,企业的数据中心依然是传统的IT架构,但是面向

互联网应用的公共云服务快速发展。不同的ISP (互联网服务提供商)会构

建各自的云,这些云之间相互孤立,为不同用户提供服务 (如搜索、邮件

等)。企业也可能采用公共云服务,所以企业数据中心与公共云之间存在公

网来相互联系。在第二阶段,企业开始构建自己的私有云,或者租赁服务

提供商提供的私有云服务。这一阶段中企业数据中心的架构发生变化,同

时,企业为降低成本,采用公共云服务的业务会逐渐增加。在第三阶段,企业为进一步降低IT成本,逐步过渡到采用服务提供商提供的虚拟私有云

服务 (也可能直接跨过第二阶段到第三阶段),企业内部云与外部云存在互

通,形成混合云模式。最后在第四阶段,由于成本差异和服务差异,企业

会采用不同服务提供商提供的云计算服务,从而形成一种不同云之间的互

联形态,即互联云。

图1.9云的形态演变

第一章　云计算概述 017

1.5　云计算的优势

“物竞天择、适者生存”的自然规律在信息技术领域里同样适用。作为

一种新型的计算模式,云计算之所以能够在纷繁复杂的信息技术浪潮中脱

颖而出,迅速成长为全球IT业界的一大主流需要归功于它得天独厚的几大

优势。

1)灵活性

云计算所拥有的一个重要优势是灵活性。在云计算环境下,用户可以

根据自己的需要或喜好订制相应的服务、应用及资源,云计算平台可以按

照用户的需求来部署相应的资源、计算能力、服务及应用。用户不必关心

资源在哪里、如何部署,只需要把自己的需求告诉云,由云来完成剩余的

工作并返回用户订制的结果,并且用户也可以对订制的服务进行管理,如

退订或删除一些服务等。

2)可靠性

云计算通过完善的容灾备份方案将数据进行多次冗余存储以实现高可

靠性,存储在云中的数据即使被意外删除或发生硬件崩溃都不会受到影响,保证了用户能从灾难中快速恢复以保持业务的连续性。目前自主计算变得

更加成熟,自主管理和自修复机制也可以确保提高云计算资源的可靠性和

健壮性。

3)可扩展性

对互联网应用来说,其用户数量和资源需求量的变化都非常大,很难

事先有个准确的系统容量估算。对于传统应用来说,不同时间段中用户使

用应用的模式也有很大的差异。云计算平台的高可扩展性可以很好地满足

应用负载和需求变化的要求。云计算平台的资源池相对于单个用户的需求

而言是比较大的,考虑到会有大量不同用户共用一个资源池,他们之间的

资源使用模式一般存在一定的互补性,所以对于某个用户的需求而言,云

计算具有很高的扩展性,其资源几乎是无限的。另外,云计算平台在做架

构设计的时候,都会考虑到如何让用户可以平滑扩展他们的资源需求,比

如计算资源、存储资源的增加或削减等。

4)数据集中存储

云环境均具有相当大的规模,能够提供比企业本地计算平台更大规模

的数据存储资源。企业所使用的云资源可以根据运行成本的调整进行减缩

或扩容。这种集中化的存储基础设施使得企业在设备管理、厂房置备和专

业人才需求等方面的成本变得更低。同时,相比于大量分布于不同地域、不同部门的计算平台,在集中式的系统上实现数据防护和监控将会更加容

科

学出版社

职教技术出版中心

www.abook.cn

018 云计算安全体系

易。然而,将大量敏感数据存储在一个集中式的环境中也会有安全风险。这种存储可能会吸引黑客和犯罪组织的关注,进而遭受攻击和窃取。这就

需要云提供商采用足够可靠的安全机制和监控方法来保障存储数据的安

全性。

5)部署周期短

云计算提供商普遍采用大规模数据中心,拥有数量庞大、可靠性强的

硬件资源和种类齐全、功能强大的软件资源,以及具有丰富知识和经验的

管理团队。一个新兴的企业无须在硬件、软件和人员方面投入大量初始成

本,而是通过付出相对较低的成本从云提供商那里快速获得和使用强大的

计算资源、大量的存储资源以及先进的技术。通过这样的方式,新兴企业

可以缩短自身的部署周期,快速地集中精力进行应用和服务的研发,从而

缩短上市时间,快速获取收益,最终在竞争中获胜。

6)成本低

云计算为用户降低成本体现在减少初期投资和降低运营开销两个方面。在减少初期投资方面,从硬件来看,云计算取代了传统企业的专有数据中

心,用户无须进行一次性投入,包括数据中心的营建、硬件设备的购置和

定期更换等,而是直接使用云中的计算资源。从软件来看,企业如果需要

一套高质量的行业解决方案,首先要购买构建该解决方案所必需的中间软

件的许可证,进而在此基础上购买或者开发自己所需要的特定解决方案。然而,系统负载不均衡导致这些软件被购入以后的利用率并不太高,云计

算提供的 “按使用付费”的计价模型恰好能降低企业的这种IT成本,并提

供有效的服务。在降低运营开销方面,云计算不仅可以省去用户对硬件资

源的长期运营成本,还可以帮助用户实现对应用的动态管理和自动化管理,减少用户的运营开销,从而获得更高的效率和灵活性。它保证用户在创建

一个服务的时候,能够用最少的操作和极短的时间完成资源分配、服务配

置、服务上线和服务激活等一系列操作。同样,当用户需要停用一个服务

的时候,云计算能够自动完成服务停止、服务下线、删除服务配置和资源

回收等操作。除了服务的部署与删除,在应用的整个生命周期中,需要时

刻按照其当前状态进行动态管理,比如根据业务需求增删功能模块、增减

资源配置等。在云计算中,这些工作也将在不同程度上由云平台自动完成,为用户提供了灵活的业务管理和便捷的服务。

1.6　云计算在中国

目前,全球云计算发展日趋成熟,云计算产业链基本形成,总体市场

规模逐步扩大。根据Gartner预测,到2016年全球云计算市场规模可达到

第一章　云计算概述 019

2066亿美元。全球云计算市场整体规模呈现良好发展态势,中国的云计算

市场同样如此。自2007年云计算概念进入中国市场开始,至今经历了七年多的发展和

积累,中国云计算产业链日渐清晰,一个以需求为导向、以国家政策为支

撑、以上下游商品为脉络的核心产业生态环境日趋成型。硬件提供商、平

台提供商、应用开发商、方案提供商、系统集成商、终端提供商、系统运

维提供商以及云计算产业链中的各层角色纷纷在云计算大潮中各显其能;政府部门、教育部门、大中小型企业、普通公众等各类云用户的需求迅速

增长并呈现多样化。中国云计算产业已经走过最初的储备期,目前正处于

蓬勃向上的发展阶段。

1.6.1　中国云计算产业发展现状

近年来,中国政府陆续出台了若干扶持和鼓励云计算发展的相关规定,各部委在重大专项、“973”项目、“863”项目中对云计算都给予了大力支

持,各地积极开展云计算试点工作。国内的高科技企业和互联网企业也以

自主创新或是强强联合的方式开始重点部署云计算项目的应用实践。在政

府和企业的联合推动下,我国云计算产业不仅发展迅速,同时也进一步扩

大了我国云计算市场规模。研究机构报告显示,预计在2014年我国云计算

市场规模将突破1153亿元。其中,我国的IaaS市场增长潜力巨大。下面我

们就来介绍我国云计算目前发展的形势。

1.6.1.1 支撑海量用户云平台

在我国,有一支队伍专门打造云计算平台,为公司内部业务提供平台

支撑服务并为海量用户提供特色各异的云服务,他们是 “阿里云”云计算

团队。2009年9月,阿里巴巴集团成立子公司 “阿里云”,并将其定位为打

造云基础服务提供平台,成为以数据为中心的云计算服务公司。阿里巴巴

的阿里云致力于打造公共、开放的云计算服务平台,对内打通阿里系,为

淘宝提供统一的基础设施服务,同时提炼和挖掘阿里集团各平台的数据信

息,开发商业应用;对外推出阿里云产品体系和基于阿里云OS的阿里云手

机,为中小互联网社区创业者提供云一站式方案服务、为开发者提供云开

发环境和运行平台。在第五届云计算大会上,阿里巴巴首席架构师王坚在

大会上放映了中国第一部按照好莱坞标准制作的原创3D动画电影 《昆塔:盒子总动员》预告片,确实令人耳目一新,这也是在阿里云计算平台上完

成渲染的首部电影,也是中国动画史上的里程碑。由于云计算的产生,各

行创业者在低成本投入情况下创办自己的企业已不再是一个梦想。同时,腾讯也积极启动云平台项目,2010年12月,腾讯开始研发第一

版本的云平台,并在随后的两年时间内,将海量数据处理技术和运营能力

开放整合到该平台中,于2012年7月推出第二版本,提供海量计算、海量

科

学出版社

职教技术出版中心

www.abook.cn

020 云计算安全体系

存储、海量数据分析、云监控、云安全、云支付、云营销、客服、云服务

器、云存储、CDN以及增值服务等。因此可以看到,我国在基础云平台建

设和基于海量用户的云应用开发方面,先期准备充足,未来前景广阔,是

中国云计算产业的重要构成。

1.6.1.2 云存储服务

云计算技术的成熟、移动互联网的发展、智能手机的普及带来了个人

云存储业务的繁荣。在我国,包括新浪、金山、网易、百度、腾讯等在内

的多家知名互联网公司纷纷进入云存储市场掘金。目前,个人云存储市场

群雄逐鹿,各种云存储产品争奇斗艳,用户的使用习惯也在逐步形成。北

京大学市场与媒介研究中心发布的2013年度 《个人云服务市场现状报告》显示,在个人云服务市场的用户熟悉度、使用频率、市场渗透率三项排名

中,我国的个人云服务提供商百度云强势领先。该报告统计数据显示,在

用户熟悉度排行中,百度以37.3%的比重遥遥领先其他个人云服务品牌,认知度 优 势 十 分 明 显;360以23%的 占 比 占 据 排 行 榜 第 二 位;苹 果、

Google等国际品牌凭借母品牌的高知名度,分别以9.6%和8.5%的用户熟

知比率位列第三梯队;腾讯、新浪等国内一线门户紧随其后;金山、Drop-box等早期个人云服务品牌,虽然专业性较强,但用户熟悉度相对偏低。

最初,百度对云计算持着谨慎的态度,因而百度的云计算最初主要以

“专有云”的方式服务于内部产品。随着云计算产业链逐渐走向成熟,百度

的云计算也走向了开放,于2012年9月推出百度云存储服务,覆盖主流

PC和手机操作系统,用户可以轻松将自己的文件上传到网盘上,并可跨终

端随时随地查看和分享。2013年9日,百度云用户破亿,宣布提供2T永

久免费容量和无限制离线下载服务。百度云对新功能的探索在一定程度上

引导着用户使用和市场需求。在云存储服务率先试水成功之后,百度云不

仅将云空间服务跨越式地推向了 “T时代”,更凭借通讯录、相册、记事

本、手机找回、游戏、云健康等各种创新功能和独家服务,以及云端视频

在线播放、文件云端解压、在线编辑、多端同步、离线下载等多项云端先

进的技术,完全突破了云存储的局限,引领云端服务走向更广阔的领域,给用户带来更丰富极致的体验。

相比于个人云存储市场的火热,企业用户对于云存储的态度则稍显保

守,他们对于数据向云上的迁移的意愿并不强烈。一是由于对云存储产品

可用性的疑虑,更多的则是对云存储产品安全性的担忧。但是,云存储作

为企业数据异地容灾和备份的功能则得到更多企业的认可。另外,基于私

有云相较于公有云安全性更高,企业在数据迁移时的选择更多地偏向于私

有云。如上所述,中国的云存储服务在个人云存储方面生机勃勃,方兴未艾,

在企业存储方面仍需深入探索,潜力巨大。

第一章　云计算概述 021

1.6.1.3 IDC建设

云计算的出现,推动数据中心进入一个新的时代———云计算数据中心,用户可以在任何时间通过多种接入方式获取数据中心的服务,包括计算服

务、存储服务、平台服务和应用服务。在我国,云计算数据中心建设的进

程越来越快,以北京、上海、广州、深圳为首的各地云中心建设遍地开花。截至2012年3月,全国已有13个省份规划了约30个10万台服务器以上规

模的大型云数据中心建设项目,项目总投资达2700亿元。建成后可容纳服

务器数量超过1000万台,是当前的数据中心总容量的5倍。在IDC企业方面,他们依托自己的机房和数据中心,将IaaS作为云服

务切入点。早在2006年,国内领先的ISP/IDC服务提供商世纪互联就开始

关注虚拟化等技术和传统互联网数据中心的结合及应用,把研发下一代数

据中心列入了企业发展战略。世纪互联拥有12个大型数据中心,在建设和

改建过程中积累了丰富的虚拟化、自动化技术的实践经验,并基于SLA建

立起良好的服务口碑,熟悉用户对服务的要求。为了获取更多的客户,世

纪互联公司借助云计算成功地利用了价格弹性,将其IDC资源出售给中小

型企业,并于2009年初推出CloudEx弹性计算平台,成为中国云计算商用

的开拓者。CloudEx云计算平台可以为客户实现价值托管,目前CloudEx已演进到2.0版本,提供公有IaaS、私有云托管、混合托管、云主机、云

备份、弹性主机、弹性存储、虚拟云数据中心、云方案等云服务。相比于传统的数据中心,云计算数据中心拥有更多的优势,随着全国

各地云中心的兴建,基于云中心的应用市场将更加繁荣。

1.6.1.4 中国运营商

对运营商而言,面对日益滞涨的传统电信市场,发展云计算和ICT服

务是实现未来持续增长的大好机会。中国电信运营商在云计算产业方面起

步较晚,现阶段还偏重于云中心的建设,并开始初步提供云服务。2011年

8月31日,中国电信对外发布天翼云计算战略、品牌及解决方案,并于

2012年推出云主机、云存储等系列天翼云产品。天翼云体系框架分为资源

云、能力云和应用云三个层面。资源云包括云主机、云存储等;能力云把

通信能力和互联网应用能力相结合,通过标准化接口开放短彩信、定位、视频监控、统一通信等能力;应用云则基于中国电信云计算资源和智能云

网络,将能力开放与行业应用相结合,面向公众及政企推出云存储、云邮

箱、云桌面、销售管家、物流E通等应用。2012年,中国电信率先在国内

运营商中成立专业的云计算公司,统辖全国各省公司的云业务,并于6月

份首次亮相,重点拓展TV游戏市场,推出多屏融合游戏产品,进军云游

戏。中国电信还依托北京、上海、广州三大研究院,组建中国电信云计算

研究中心,“十二五”期间,其研究重点将聚焦在云平台、网络云承载、移

动云应用、行业云应用等领域。

科

学出版社

职教技术出版中心

www.abook.cn

022 云计算安全体系

同时,中国移动自2007年起开始搭建大云 (bigcloud)平台,并基于

大云构建中国移动IT支撑云、业务云、公众服务云三大云计算平台。中国

联通则自2010年开始在全国范围内规划、建设云计算数据中心,积极开展

联通私有云UCloud和公有云 WoCloud的研制工作。截至2012年12月,中国联通自主研发的 “云计算综合管理平台”系统已经承载悦云、新乐媒

(超信)、宽带视频、安徽农业云平台、沃商店、Wo+、云产业联盟大学生

创意大赛等业务。

1.6.2　中国云计算发展趋势

云计算作为多种信息技术综合应用的载体,其最重要的创新性是解决

信息化应用中面临的难题,在某些领域创新性的使用云计算技术带动业务

发展。对于我国目前的云计算市场而言,应用是刺激市场迅速发展中最为

关键的一环。未来电子政务云、电子商务云、教育云、金融云、电力云、桌面云等市场应用需求将扩大,云计算示范项目的建设将切实解决业务发

展和信息化建设中的应用问题。

1.6.2.1 电子政务云

在政府职能从管理型向服务型转型的过程中,“协同政务”的需求越来

越突出。通过将各政务数据中心关联结合,形成 “政务云”,实现跨系统的

信息共享与政务协同,并进一步向社会开放,是未来电子政务的发展方向。政务云的建设带来的好处,不仅体现在自身政务处理效率上,更体现在公

众服务与改善民生上。一方面,借助数据中心的 “云合”,形成政务信息的

横向拉通,有助于实现重要信息系统的跨部门协同互动与资源共享;另一

方面,在一些社会民生密切相关的政务应用中,云计算技术的应用将十分

有助于加快系统建设步伐、提升应用效果。2013年9月,我国工业与信息

化部经研究确定北京市等18个省级地方作为首批基于云计算的电子政务公

共平台建设和应用试点示范地区,鼓励地方在现有基础上建设集中统一的

区域性电子政务云平台,支撑各部门业务应用发展,防止重复建设和投资

浪费,促进互联互通和信息共享,增强电子政务安全保障能力,推动电子

政务朝集约、高效、安全和服务方向发展。因此,云计算技术应用在电子

政务中将成为我国云计算发展的重要趋势。

1.6.2.2 电子商务云

随着电子商务网站流量的不断增加,服务器所面临的压力也越来越大,而借力云计算,电子商务企业可根据需求变化对IT资源进行弹性调整,避

免了冗余和浪费,这也为众多中小型B2C电子商务企业带来了福音。此外,云计算还能够改善电子商务应用的安全性,改善电子商务应用的灵活性和

专业性,实现普通计算环境下难以达到的数据处理能力,为电子商务应用

提供更好的经济效益。目前,阿里、京东、苏宁等电子商务巨头已经纷纷

第一章　云计算概述 023

发力云计算,打造了自身的电子商务云,并在市场上初步获取了较大优势。不仅如此,这些电子商务企业还纷纷制定了未来计划,将进一步加大电子

商务云的建设,构建完整的电子商务云平台,使其成为自身业务发展的后

台支撑力量。由此可见,基于云计算发展电子商务已经成为电子商务企业

的重要战略方向。

1.6.2.3 教育云

教育行业存在资源相对分散的特性,各学校之间的优质教育资源不能

得到很好的共享和利用成为阻碍教育水平提升的问题之一。云计算对资源

的集约、共享式利用能够很好地解决这一问题。建立教育信息技术公共服

务平台,推动数字化校园建设,把学校、家庭、社区结合起来,逐步建立

覆盖学校、家庭、社区的信息化学习型城市的基础设施,建设人人贡献、人人享有的数字化优质教育资源,为一个地区所有的教育行政部门、学校、师生、家长、社区用户群体提供服务,将能有效促进整个地区教育资源的

集约利用,为教育创造更为广阔的空间,为学习者提供更便捷、更自由、更有效的学习方式,有助于实现教育信息化的全面发展。因而,在教育行

业中应用云计算技术也是我国云计算未来发展的一个重要方向。

1.6.2.4 金融云

海量数据的存储和处理是现阶段金融业遇到的一大难题,建立在传统

IT基础架构的应用很难处理这些数据,探索以大数据为基础的解决方案,是金融机构IT升级、效率提高的重要方向。云计算特别适合解决海量异构

信息处理和多样化复杂应用的整合问题,具有这两个特征的应用也是未来

增长最快的客户需求。“金融云”就是云计算在金融行业的一次创新突破,是专门为金融行业量身定制的数据中心 “云服务”,打破了传统金融企业数

据中心各自建设、各自运营的模式,中小型金融企业将按照 “按需使用、即付即得”的交付模式获得云计算服务,节省大量的建设与运营管理成本。未来,金融机构会把越来越多的业务迁移到云计算平台上,借助云计算的

创新产品提高市场竞争力和盈利能力。可见,“金融云”已经是大势所趋。

1.6.2.5 电力云

近几年电力系统网络发展迅速,智能变电站大量建成,数据采集装置

采集频率不断升高,采集范围也不断增大,这些都给电力系统带来海量的

实时数据,对电网的计算机存储能力是一种考验。在线监测技术的发展也

对计算机的计算速度提出了更高的要求。所以,将云计算引入电力系统,利用中国现有的独立的电力网建立起属于电力系统自身的电力云,在最大

程度上整合系统现有的数据资源和处理器硬件资源,能够为系统提供超级

计算能力,为电力系统积累下来的大量数据提供海量的存储空间,并且能

够极大地提高电网数据处理和交互能力,同时软件的升级可以实现按需服

务、集中管理、统一升级,减少了软件的初始投资和维护费用,为将来实

科

学出版社

职教技术出版中心

www.abook.cn

024 云计算安全体系

现在线计算,提高系统的互联性,搭建电力系统各软件系统的数据共享统

一计算平台打下坚实的基础,是电力系统发展的一个必然趋势。总而言之,随着市场需求的快速增加,云应用解决方案不断丰富,云

应用领域也将越来越广泛。在政府的有效监管和引导下,未来我国云计算

的发展必将更上一层楼。

1.7　小结

云计算是一场改变IT格局的划时代变革,颠覆性地改变着当今信息与

通信产业的发展方式,更为众多的企业和国家带来突破式创新、跨越式发

展的战略机遇。云计算技术是充满生机的创新之地,云计算服务是充满诱

惑的IT盛宴,云计算产业是充满机遇的广阔蓝海。弹性快速伸缩、降低成

本、提升资源利用率、按需自助服务、促进业务创新、增加业务收益等诸

多优势使得云计算成为IT领域里一颗引领潮流的闪耀新星。然而,作为一种与传统互联网模式不同的新型计算模式,云计算带来

诸多便利和优势的同时也给信息安全带来多个层面的冲击与挑战。云计算

的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的数

据安全问题;云服务合约所具有的动态性及多方参与的特点,对责任认定

及现有的信息安全标准体系带来了新的冲击;云计算的强大计算与存储能

力被非法利用时,将对现有的安全管理体系产生巨大影响;等等。云计算

应用所引发的新的安全问题带来了新的信息安全保障需求,面向数据安全

与隐私保护等安全目标,急需从关键技术、标准规范、测评监管等不同层

面构建适应云安全保障目标的技术与服务体系。只有解决了云安全问题,云计算才能实现真正的腾飞。

主要参考文献

冯登国,张敏,张妍,等.2011.云计算安全研究[J].软件学报,22 (1):71 83.工业和信息化部电信研究院.2012.云计算白皮书 (2012年)[EB/OL].[2013 02

28].www.miit.gov.cn/n11293472/n11293832/n15214847/n15218338/15224998.html.李德毅.2013.云计算技术发展报告[M].3版.北京:科学出版社.赛迪顾问股份有限公司.2012.中国云计算产业发展白皮书[EB/OL].[2013 05 30].

www.techweb.com.cn/special/download/cloudbook.pdf.张为民,唐剑峰,罗治国,等.2009.云计算深刻改变未来[M].北京:科学出版社.中国云产业联盟战略委员会.2012.云计算技术与产业白皮书 (版本号1.0)[R/OL].

www.clocin.com/p-667036540.html.

第一章　云计算概述 025

朱近之,方兴.2010.智慧的云计算[M].北京:电子工业出版社.BarrosoLA,DeanJ,HolzleU.2003.Websearchforaplanet:TheGoogleclusterar-chitecture[J].IEEEMicro,23 (2):22 28.

IBM虚拟化与云计算小组.2011.云计算宝典[M].北京:电子工业出版社.MellP,GranceT.2009.Effectivelyandsecurelyusingthecloudcomputingparadigm[J/

OL].NIST,Information Technology Lab.http://bobduncan.dyndns-blog.com/

bobd/downloads/Research/Clowolcomputing/Mell2009.pdf.RonaldLKrutz,RussellDeanVines,GlennBrunette.2010.CloudSecurity:ACompre-hensiveGuidetoSecureCloudComputing[M].NewYork:JohnWiley&Sons.

SimsK.IBMintroducesready-to-usecloudcomputingcollaborationservicesgetclientsstartedwithcloudcomputing[EB/OL].2007.http://www-03.ibm.com/press/us/

en/pressrelease/22613.wss.Wikipedia,thefreeencyclopedias.Cloudcomputing[EB/OL].http://en.wikipedia.org/wiki/Cloud_computing?

Wikipedia,thefreeencyclopedias.JohnMcCarthy (computerscientist)[EB/OL].ht-tp://en.wikipedia.org/wiki/John_McCarthy_(computer_scientist).

科

学出版社

职教技术出版中心

www.abook.cn

第二章　云计算风险分析

作为电子银行服务的一个用户,你可以使用电子银行及时方便地进行

账户信息查询、银企转账、银行账号挂失等,但如果攻击者在你使用电子

银行时可以轻松获取你的账号信息,进而将你的财产转移在自己名下,你

还会因为电子银行的便捷性而去选择使用它吗? 作为聊天软件的使用者,你可以使用该软件和天南海北的好友进行即时通信,分享彼此的喜怒哀乐,但如果聊天软件提供商可以无所顾忌地查看、分析甚至公开你和好友之间

的私密信息,你还会继续使用该软件吗? 作为一个网盘用户,你可以将大

量数据存储到网盘上,之后不论你在何处,都可以使用联网的终端来查看、管理网盘中的各类信息,但如果你需要很长的时间才能将存储在网盘中的

一个文件下载下来,或者网盘服务常常中断,你还会向周围的人们推荐使

用网盘服务吗? 答案当然都是否定的。对于IT领域内的任何一种服务模式而言,不论它本身具有多么强大的

功能,能给用户带来多么大的便捷性,如果服务提供商不能全力保障服务

提供过程中的安全,那么用户的切身利益就有可能受到损害,用户对该服

务的认可度也会大大降低。因此,信息安全是IT领域内的所有服务模式必

须全面分析和全力保障的关键内容,云计算作为IT领域内的一种新的服务

模式,自然也不例外。自云计算提出后,社会各界都在关注着云计算的发展状况,其中风险

投资机构NorthBridge于2012年10月公布了一份关于云计算发展的调查

报告。该报告是微软、红帽、VMware等39家知名科技企业的785人对云

计算发展的相关问题进行投票和讨论之后得出的。图2.1为在云计算发展

过程中阻碍企业采用云计算的因素。

NorthBridge的调查显示,超过一半的调查者认为安全问题是阻碍企

业采用云计算的最主要因素。国际数据公司 (InternetDataCenter,IDC)于2008年和2009年进行的两次云计算调查都显示,安全性、稳定性和性

能表现是云计算面临的前三大挑战。IT168网于2010年对中国IT专业技

术应用人群所做的线上调查显示,对技术安全性方面的担忧是影响企业迁

移到云存储的最大障碍。根据这些调查结果可以看出,云计算提出后,云

第二章　云计算风险分析 027

计算安全已成为阻碍云计算发展的首要因素。因此,为了促进云计算的可

持续发展,必须首先明确云计算面临哪些安全风险。

云计算平台是信息系统的特例,与传统信息系统遵从相同的安全原则,面临相同的安全风险,然而由于引入了新的技术和服务模式必然产生新的

安全风险。根据云安全联盟发布的统计数据,2013年云计算面临的九大安

全威胁,分别为数据破坏、数据丢失、账户或业务流量被劫持、不安全的

接口和API、拒绝服务、恶意的内部人员、云服务的滥用、部署云服务前

没有对云计算进行足够的审查、共享技术漏洞。 “千里之堤毁于蚁穴”,除

了了解云计算面临最为突出的安全威胁外,我们还应从技术、管理、法律

法规和行业应用等各个角度全方位地深入分析云计算面临的风险。

2.1　云计算面临的技术风险

云计算平台灵活性、可靠性、可扩展性等优势的保持必然要依赖于一

些新技术,但这些新技术的使用在给云计算带来保障的同时也带来了一些

新的安全风险。云计算的服务类型不同,其技术支撑也不相同,每种服务类型面临的

技术风险也有所差异。云计算提供的服务可分为IaaS、PaaS和SaaS三个

层面。IaaS的虚拟化技术、PaaS的分布式处理技术以及SaaS的应用虚拟

化技术是构建云计算核心架构的关键技术,也是云计算平台所面临的技术

风险的主要来源。正如云服务能力是继承,信息安全风险和问题也具有继

承的特性,所以上层云服务除了面下层云服务中已有的技术风险之外,还

会有新增的技术风险,我们可以将这三类云服务的技术风险继承关系表示

在图2.2中。

图2.1阻碍企业采用云计算的

因素

科

学出版社

职教技术出版中心

www.abook.cn

028 云计算安全体系

2.1.1　IaaS层风险分析

IaaS将计算、存储、网络等IT基础设施通过虚拟化技术整合和复用

后,通过网络将这些IT资源以服务的方式提供给用户,使用户可以在这些

资源上部署和运行软件,包括操作系统和应用程序。用户不必对底层云基

础设施进行管理和控制,但是对操作系统、存储、部署的应用程序具有控

制能力,可能对某些网络组件 (如防火墙等)具备有限的控制能力。虚拟

化技术是IaaS层的核心技术,它使基础设施具有可扩展性,即可以根据应

用的需求动态增加/减少资源;虚拟化技术也实现了多租户,即相同的基础

设施资源可以同时提供给多个用户。但由于系统虚拟化、网络虚拟化、存

储虚拟化等虚拟化技术的使用,IaaS层面临主机安全、网络安全、数据存

储及迁移等多方面的安全风险。

2.1.1.1 IaaS中的主机风险

如今几乎所有的IaaS服务都是通过在主机层使用虚拟化技术实现的。其核心思想是使用虚拟机监视器 (Hypervisor)将一台物理机虚拟化为一

台或多台虚拟机,每台虚拟机都有独立的运行环境,所有虚拟机可以互不

影响地在同一台物理机上同时运行,复用物理机的CPU、网络、内存、硬

盘等资源。在这种实现方式下,IaaS的主机安全风险与系统虚拟化技术密

切相关,风险主要来源于Hypervisor和虚拟机,如表2.1所示。

IaaS的主机安全风险来源 风 险 种 类

Hypervisor

恶意代码通过应用程序接口 (API)进行攻击

Hypervisor的访问权限被非法用户获取

Hypervisor自身存在安全漏洞

虚拟机

安全风险扩散

虚拟机之间的相互攻击

基于主机的安全策略难以部署

资源冲突

(1)Hypervisor主要面临以下三种安全风险。

图2.2三类云服务的技术风险继

承关系

表2.1 IaaS的主机安全

风险

第二章　云计算风险分析 029

● 恶意代码通过应用程序接口 (API)进行攻击:虚拟机向 Hypervisor发送请求的方式有多种,每种方式都需要调用 Hypervisor提供的API,而

API往往是恶意代码的首要攻击对象。如果API中被植入对虚拟机、宿主

机进行攻击的恶意代码,则虚拟机调用该API之后,虚拟机和宿主机的安

全就直接受到威胁。● Hypervisor的访问权限被非法用户获取:Rootkit是一些收集工具,

能够获得管理员级别的计算机或网络访问权,如果Rootkit控制了 Hyper-visor,则它可以得到对宿主机的控制权,进行基于Rootkit的攻击。VMEscape(虚拟机逃逸)攻击可通过获得对 Hypervisor的访问权限来对其他

虚拟机甚至宿主机进行攻击。● Hypervisor自身存在安全漏洞:Hypervisor本身可能有一些安全漏

洞,攻击者可以利用这些漏洞发起对虚拟机和宿主机的攻击,如跨站脚本

攻击、SQL入侵等。(2)虚拟机:虚拟机位于 Hypervisor上层,它主要有以下四种安全

风险。● 安全风险扩散:如果不采用虚拟化技术,用户就可以使用防火墙设

备创建多个隔离区,对不同的服务器采用不同的规则进行管理,由于隔离

区的存在,对一个服务器的攻击不会扩散到其他服务器。在虚拟化环境中,所有的虚拟机会集中连接到同一台虚拟交换机上与外部进行通信,因此外

部对某台虚拟机的攻击行为会在虚拟机群中扩散开来,影响到所有虚拟机

甚至是宿主机的安全。● 虚拟机之间的相互攻击:位于同一台宿主机上的不同虚拟机之间的

通信不再经过网络交换机,从而使传统的入侵检测设备失效。如果内部或

外部人员获取了对某一台虚拟机的控制权,则它可以通过该虚拟机监控并

攻击这台宿主机上的其他虚拟机甚至是宿主机本身,从而获得对整个服务

器机群的控制权。● 基于主机的安全策略难以部署:虚拟机的初衷是绿色环保、低碳节

能,因此没有业务运行的时候可以关闭虚拟机,等到业务恢复时再开启。但是在虚拟机关闭期间,病毒代码无法更新,一旦开机,多个防病毒软件

同时更新一个病毒代码,这会对网络带宽有较大影响。网络黑客和内部攻

击者可以利用这个时期大规模攻击虚拟机,并借助单台虚拟机攻击虚拟机

群,业务系统面临随时崩溃的危险。● 资源冲突:常规防病毒扫描和病毒代码更新等会占用大量资源,并

且会在很短的时间内导致系统负载过重。如果防病毒扫描或病毒代码更新

在所有虚拟机上同时启动,将会引起 “防病毒风暴”,进而将影响上层软件

如操作系统和应用程序等的正常运行。在传统的体系结构中,每个操作系

统上都必须安装防病毒软件,将此体系结构应用于虚拟系统意味着每个虚

科

学出版社

职教技术出版中心

www.abook.cn

030 云计算安全体系

拟机都需要额外占用大量内存,导致内存分配随着虚拟机数量的增加而呈

现线性增长,并对服务器的整合工作产生不必要的消耗。

2.1.1.2 IaaS中的网络风险

IaaS架构采用网络虚拟化技术,即将物理网络虚拟成多个逻辑独立的

网络,以提高网络资源的利用率,并满足多租户应用环境的需求。虚拟交

换机技术是实现网络虚拟化的主要技术之一,虚拟交换机是虚拟化平台与

物理网卡之间创建的一个中间层,一台物理服务器上的各台虚拟服务器通

过虚拟交换机可直接进行通信,这部分流量并不会出现在物理交换机上,而是在物理服务器内部就被消化掉了。因此,通过虚拟交换机提供的交换

能力,将虚拟服务器与物理网络无缝连接起来,满足业务部署的需要,可

解决系统虚拟化之后的虚拟交换的基本需求。一方面,IaaS和用户需要通过外部网络进行服务的交互和使用;另一

方面,IaaS架构采用网络虚拟化技术构建了虚拟网络系统,各虚拟机之间

可以相互通信。因此IaaS中的网络安全风险主要来自两个部分:虚拟机与

外部系统之间的通信安全风险,以及虚拟机之间的通信安全风险,如表2.2所示。

IaaS的网络安全风险来源 风险种类

虚拟机与外部系统之间进行通信网络攻击,如DoS攻击、网络监听等

传统网络安全防护边界消失

虚拟机之间进行通信恶意虚拟机进行网络攻击

虚拟机共享物理网卡引起安全风险

(1)虚拟机与外部系统之间的通信安全风险:虚拟机与外部系统之间

进行通信时,不仅面临传统IT架构下已有的网络安全风险,也会由于虚拟

化技术的使用而面临新的安全风险。● 网络攻击:在虚拟机与外部系统之间的通信中,任何通过网络进行

的攻击如DoS (拒绝服务攻击)、DDoS、网络监听、木马等都会威胁到

IaaS平台的安全。以DoS攻击为例,在虚拟化环境下计算、存储、网络等

资源由虚拟机和宿主机共享,因此攻击者可能会将DoS攻击加诸于虚拟机

之上,进而获取宿主机上的所有资源,造成宿主机因为没有可用资源而拒

绝来自用户的所有请求。● 传统网络安全防护边界消失:在IaaS平台中,用户直接使用虚拟化

资源,而不和物理资源进行交互,因此传统的服务器、网络等设备的安全

边界已逐渐模糊,边界防火墙、入侵检测等传统的网络安全防护技术的效

果大大减弱,且增大了网络犯罪者的活动范围。(2)虚拟机之间的通信安全风险:IaaS使用虚拟化技术实现了对物理

硬件资源的动态调度,使IaaS物理资源形成了一个动态资源池,每个物理

表2.2 IaaS的网络安全

风险

第二章　云计算风险分析 031

节点上运行一个或多个虚拟机,虚拟机之间可以相互通信,因此IaaS架构

中的网络结构和传统IT架构下的网络结构有所不同,网络虚拟化技术带来

了一些新的安全风险。● 恶意虚拟机进行网络攻击:有一些用来进行测试的虚拟机可能会与

重要的虚拟机存在于同一虚拟局域网中,这会给网络渗透攻击带来机会,导致恶意用户可以一步步地攻击入侵整个网络主机服务器群组。

● 虚拟机共享物理网卡引起安全风险:在IaaS架构下,多个虚拟机共

享同一个物理网卡与外界进行通信,这种共享物理网卡的形式使得虚拟机

之间的网络流量在数据链路层上相互可见,导致恶意用户可以通过网络嗅

探、ARP攻击等方式窃取其他用户的信息或者破坏其他用户的网络通信,甚至对平台本身的网络通信进行破坏,对云平台的服务造成影响。

2.1.1.3 IaaS中的数据存储及迁移风险

在IaaS服务中,为满足存储需求云服务提供商会部署多种类型的存储

设备和存储系统,但是云服务提供商往往会面临存储资源利用率低、管理

复杂度高等问题,存储虚拟化技术应运而生。然而,存储虚拟化技术为云

用户提供了极大便利的同时,也为IaaS平台的数据安全带来了一些风险,如表2.3所示。

IaaS的数据安全风险来源 风 险 种 类

数据存储

存储位置不确定

数据难以有效隔离

数据丢失

数据残留

数据迁移数据传输过程中的安全性难以保障

数据安全迁移面临着很多技术难题

(1)数据存储安全风险:在IaaS服务中,用户数据由云服务提供商管

理。在这种数据外包存储的服务模式中,数据存储安全面临着多种风险。● 存储位置不确定:在IaaS服务中,用户对自己的数据失去了保管权。

用户不确定自己的数据在云中的存储位置,以及这些数据由哪些服务器进

行管理,因而用户无法确保数据的存储位置和管理它的服务器的安全性。● 数据难以有效隔离:搭建IaaS架构的软件系统广泛采用多租户架构,

即单个软件系统实例服务于多个用户,多个用户的数据共享同样的物理存

储。如果不能对不同用户的数据进行有效隔离,恶意用户就可以访问其他

用户的数据并进行修改、删除等操作。云端存储的数据是海量的,且用户

的身份、用户数据的类型和安全级别等有巨大的差异,在复杂的IaaS架构

中保证云数据间的有效隔离是一项十分艰巨的工作。● 数据丢失:IaaS平台可能受到木马、病毒等人为攻击或地震、火灾

表2.3 IaaS的数据安全

风险

科

学出版社

职教技术出版中心

www.abook.cn

032 云计算安全体系

等不可控的物理灾害,这些都可能导致用户的原数据丢失。如果用户的原

数据丢失且原数据没有备份,或者由于备份延迟等原因导致备份数据和原

数据不一致,或者备份出错,那么用户的数据就无法完全正确恢复。● 数据残留:在IaaS服务中,由云服务提供商根据用户的命令来删除

用户的某些云数据。一方面,云服务提供商可能无法完全销毁用户的数据,导致攻击者在敏感数据被删除之后还可以通过有效技术手段恢复出这些数

据;另一方面,云服务提供商可能只删除了用户的原数据,而没有删除备

份数据。这些行为都会导致数据残留,使用户数据的机密性无法得到保障。(2)数据迁移安全风险:将数据从现有的IT系统迁移到云计算平台

上,或者将数据在不同的云计算平台之间进行迁移,面临着很大的安全风

险和技术难题。● 数据传输过程中的安全性难以保障:对数据迁移既可以使用物理迁

移的方法,即直接通过存储设备将数据从旧平台复制到新平台,也可以通

过网络传输的方法。由于物理迁移方法具有地域上的局限性,且可能不适

用于某些敏感数据,因而网络传输的方法比较实用。但由于数据在传输过

程中可能受到各种网络攻击,因而安全性无法得到保障。● 数据安全迁移面临着很多技术难题:将数据从传统的存储环境迁移

到虚拟化的、高度动态的存储环境面临着很多技术难题,如数据的类别、安全级别等属性不同,迁移措施也有所不同;数据可能需要进行一些转换

才能存储到IaaS环境中等等。另外,随着需要迁移数据量的增大,为了保

证数据不泄露、不丢失而需要采取的安全措施和迁移所需的其他措施的严

格性及复杂度也逐渐增大。

2.1.2　PaaS层风险分析

从服务层级上看,PaaS以IaaS为基础,它为用户提供了包括中间件、数据库、操作系统、开发环境等在内的软件栈。PaaS的服务内容是分布式

软件的开发、测试和部署环境,它使用户有能力使用供应商支持的编程语

言和工具,在云基础设施上部署用户所创建或购买的应用程序。用户无须

管理和控制底层的云基础设施,包括网络、服务器、操作系统和存储,不

过需要对已部署的应用程序进行控制,并且对应用程序所在的环境进行配

置。分布式处理技术是PaaS中的核心技术,它能够使云数据中心的大量服

务器群协同工作,解决分布式存储和分布式计算问题,并屏蔽底层复杂的

分布式处理操作,把简单易用的编程接口和编程模型提供给用户。分布式

处理技术主要包括四个部分,如图2.3所示。

图2.3分布式处理技术

第二章　云计算风险分析 033

文件系统管理的物理存储资源不一定直接连接在本地节点上,而是通

过网络与节点相连,这给用户直接对文件进行操作带来了不便。针对该问

题,分布式文件系统把分散在网络中的文件资源以统一的视点呈现给用户,并可使用户无须考虑文件资源的存储位置,直接进行文件或目录的创建、移动、删除,以及对文件的读写等操作。当前比较流行的分布式文件系统

包括Lustre、Hadoop、GoogleFS、FreeNAS、FastDFS、NFS等。分布式数据库通常建立在分布式文件系统之上,指逻辑上属于同一个

系统的一组结构化的数据集,在物理上分散在用网络连接的多个位置,并

统一由一个分布式数据库管理系统进行管理。分布式数据库的典型代表包

括GoogleBigTable和HadoopHbase。分布式计算是在分布式系统上执行的计算,指让多个物理上独立的组

件 (如多个CPU,或网络中的多台计算机)作为一个单独的系统协同工

作,以此提高计算能力和计算效率。分布式计算的典范是Google提出的分

布式编程模型 MapReduce。分布式同步技术是为了解决分布式系统中对共享资源的并行操作可能

引起的数据不一致问题,保证数据的一致性和安全性。分布式同步机制的

典型代表是GoogleChubby和HadoopZooKeeper。分布式处理技术能够对云计算中心的物理资源进行充分扩展,满足

PaaS用户的需求。然而,由于分布式处理技术所针对的数据是海量的,需

要满足大量PaaS用户的服务需求,而且需要基于云计算中心的基础设施来

实现,所以在云计算中,分布式处理技术往往不可能完全有效地实施,这

就使PaaS面临数据安全风险和应用安全风险。

2.1.2.1 PaaS中的数据处理安全风险

在云计算中,分布式文件系统及分布式数据库都基于云数据中心的大

规模廉价服务器群,因而对PaaS来说,数据除面临IaaS中存在的数据存

储和迁移安全风险之外,还面临着数据处理安全风险,如表2.4所示。

PaaS的数据安全风险来源 风 险 种 类

数据存储及迁移 和IaaS相同

数据处理

组件失效

处理速度过慢

多用户并发访问

服务器频繁增减

数据处理安全风险集中体现在数据与计算可用性无法保障,具体包括

以下四个方面。(1)组件失效:为满足对海量数据进行存储和处理的需要,云计算中

心部署的是大规模的廉价服务器群,所以组件失效的情况会经常出现。存

表2.4 PaaS的数据安全

风险 科

学出版社

职教技术出版中心

www.abook.cn

034 云计算安全体系

储服务器或者计算服务器的失效都会导致分布式文件系统和分布式数据库

无法进行正常的数据存储和数据处理,从而可能导致数据丢失或者同一数

据的多副本间数据不一致现象的发生。(2)处理速度过慢:逻辑上属于同一个系统的文件资源和结构化数据

集,在物理上分散在用网络连接的多个位置,多个位置间的距离可能十分

遥远,因此数据处理的速度受到网络性能的直接影响;另外,每个位置的

数据都和其他大量数据存储在一起,如何快速准确地从海量数据中检索到

需要的数据,是PaaS面临的技术难题。(3)多用户并发访问:由于PaaS服务面向大量用户,因此用户访问文

件系统或数据库的效率可能受到当前访问PaaS服务的用户数量的直接影

响;另外,在多用户并发访问时,需要对并发操作进行控制,否则可能导

致数据处理错误。(4)服务器频繁增减:为满足服务的需求,PaaS提供商可能需要随时

增加或者减少用于存储、计算等的服务器,如何解决动态扩展问题,使分

布式文件系统和分布式数据库能自动感知服务器的变化情况,并对相应的

存储和处理操作进行一定的调整,使数据处理的性能不因服务器的增减而

受到影响,也是PaaS面临的技术难题。

2.1.2.2 PaaS中的应用安全

对基于IaaS的PaaS服务模式来说,面临的主机安全风险和网络安全

风险和IaaS并无本质区别,但在应用安全风险方面有很大的不同。IaaS提

供的是基础设施服务,并不直接涉及任何和应用相关的内容,因此在搭建

IaaS安全服务平台时无须考虑应用安全防护措施;而PaaS向用户提供的是

开发、测试和部署应用所必需的编程接口、编程模型及软件栈等相关服务,这些服务的安全性和应用的安全性直接相关,因此在搭建PaaS安全服务平

台时必须考虑应用安全防护措施,否则PaaS的应用安全就无法保障。所

以,从应用安全的责任承担者的角度而言,IaaS的应用安全由用户来保障,

PaaS的应用安全则需用户和服务提供商共同保障。根据应用安全风险来源

的不同,可将PaaS的应用安全风险分为两个方面,如表2.5所示。

PaaS的应用安全风险来源 风 险 种 类

应用的开发

PaaS提供的开发环境不安全

用户不明确PaaS提供的编程模型

PaaS提供的编程接口过于复杂

应用的部署

用户对应用及其运行环境的配置不当

多租户应用无法安全隔离

资源的分配和供给策略不当

表2.5 PaaS的应用安全

风险

第二章　云计算风险分析 035

(1)开发应用面临的风险:在应用的开发阶段,用户利用PaaS提供商

提供的开发环境进行应用开发,开发环境的安全性及用户对该开发环境的

了解和掌握程度都会对应用安全产生直接影响。●PaaS提供的开发环境不安全:PaaS提供的开发环境包括编程接口、

操作系统、数据库、第三方应用等,如果环境中的任何一项内容存在安全

漏洞,那么攻击者就可以利用这个安全漏洞,对用户基于该内容所开发出

的所有应用进行攻击。● 用户不明确PaaS提供的编程模型:提供编程模型可以让用户了解到

基于该云平台用户可以解决什么类型的问题,以及如何利用云平台解决这

些问题。如果PaaS没有提供关于编程模型的详细内容,用户就可能在耗费

了许多时间和金钱之后仍然开发不出能满足安全性需求的应用。●PaaS提供的编程接口过于复杂:PaaS平台本身具有一些特定的安全

性保障策略,这些策略会被封装成安全对象供用户调用。因此如果编程接

口过于复杂,不仅会加大用户基于云平台进行应用开发的难度,也会使用

户难以编写用于进行安全防护的程序。(2)部署应用面临的安全风险:在应用的部署阶段,用户将自己的应

用部署在PaaS中,由PaaS的运营管理系统负责解决所有应用运营过程中

所需的存储、计算、网络等基础设施资源的供给和管理问题,用户的部署

措施不当及PaaS提供商的运营管理措施不当都会直接影响到应用的安

全性。● 用户对应用及其运行环境的配置不当:一般情况下PaaS提供商为应

用提供的默认安装配置中只包含基本的安全保障措施,如果用户在部署自

己的应用时直接使用默认安装配置,那么应用在使用过程中可能无法抵挡

大多数的安全攻击。● 多租户应用无法安全隔离:为保证应用程序的可靠运行,PaaS提供

商会引入沙盒隔离技术,让每个应用程序都在安全的 “沙盒”环境中运行。但如果PaaS提供商无法实时监控到应用程序中出现的新的安全漏洞,那么

攻击者就可能利用这些安全漏洞攻击PaaS平台,打破 “沙盒”架构,使多

租户应用无法安全隔离。● 资源的分配和供给策略不当:如果PaaS的运营管理系统不能针对不

同应用的特点制定合理的资源分配策略,不能根据应用的实际运行情况动

态增加或减少资源供给,就有可能造成应用程序之间互相争夺资源、资源

供给不足、资源浪费等问题的发生,严重影响应用的可用性。

2.1.3　SaaS层风险分析

从服务层级上看,SaaS以PaaS为基础,它使用户能够使用运行在云

基础设施上的、由服务提供商所提供的应用程序,这些应用 (如 Web电子

科

学出版社

职教技术出版中心

www.abook.cn

036 云计算安全体系

邮件)可以在各种客户端设备上通过一个瘦客户端接口 (如 Web浏览器)被访问。用户无需管理和控制底层的网络、服务器、操作系统、存储等云

基础设施,也无需保障应用的性能,只需对某些应用程序的特殊配置项进

行相关处理即可。对基于PaaS的SaaS服务模式来说,面临的主机安全风险和网络安全

风险和PaaS基本相同。对于应用安全风险:一方面,两种服务模式中的应

用安全责任承担不同,PaaS中用户和服务提供商要共同保障应用安全;而

在SaaS中,服务提供商基本上要全部负责应用程序和提供给用户的相关组

件的安全性,用户只需确保自己进行安全操作即可。另一方面,两种服务

模式中应用安全所面临的风险内容也有所不同,例如,PaaS提供的是编程

环境,用户要通过使用编程接口,调用服务提供商提供的各种API来完成

应用开发,所以服务提供商需要用技术手段保障编程接口中没有恶意代码

和安全漏洞;而SaaS提供的是完整的应用程序,用户通过应用接口完成身

份和访问权限的认证之后来使用各种应用,所以服务提供商需要采用技术

和管理相结合的手段来保障能够对多用户进行全面合理的身份管理和访问

控制。应用虚拟化技术是SaaS中的核心技术,它用于提供对集中化应用资源

的多用户远程访问,从而将应用作为一种服务交付给用户,其基本原理如

图2.4所示。应用虚拟化技术分离应用程序的计算逻辑和显示逻辑,即界

面抽象化,用户无须在终端安装应用软件,通过该抽象化的界面即可访问

应用;当用户访问应用时,用户终端只需把用户输入的数据传给服务器,服务器会为用户开设独立的会话来运行应用程序的计算逻辑,并把处理后

的显示逻辑传回用户终端,从而使得用户获得如同在本地运行应用程序一

样的体验感受。

使用应用虚拟化技术可以创建虚拟应用,虚拟应用相异于传统应用而

出现。传统应用需要用户预先安装在本地,并且只能在本地运行;而虚拟

应用是一种无须安装,即需即用,并且有与本地应用相近的用户体验的应

用,和传统应用相比,虚拟应用更能满足用户对应用便捷性、可移植性的

需求,且由于虚拟应用无须对系统配置进行修改,软件冲突问题要小很多。在传统IT架构下也可以创建虚拟应用,但传统IT架构下的虚拟应用是通

图2.4应用虚拟化的原理

第二章　云计算风险分析 037

过一个专用基础设施来运行服务的,每一个组织机构通常都拥有自己私有

的、专用的服务器来运行特定的应用,应用模式是 “单租户”架构;而

SaaS是在一个共享的基础设施上提供应用,采用的是 “多租户”架构,使

虚拟应用具有更强的可扩展性和实用性,因而SaaS有力地推动了虚拟桌

面、虚拟操作系统等虚拟应用的发展和普及。以虚拟桌面为例,它支持企

业级实现桌面系统的远程动态访问与数据中心统一托管,从理论上说,虚

拟桌面用户可以使用各种终端访问远端的桌面系统,而远端的桌面永远会

保持用户设置的工作界面。但是,由于SaaS采用了应用虚拟化技术和多租

户架构,虚拟桌面面临着一些由这些技术引发的安全风险,若将这些安全

风险根据风险来源来划分,可分为三个方面,如表2.6所示。

基于SaaS架构的虚拟桌面的安全风险来源 具 体 风 险

SaaS提供商多租户架构下的应用隔离

补丁管理复杂

用户用户在虚拟桌面上自行安装软件

客户端的外设端口引起数据泄露

传输链路 数据传输安全风险

(1)来自SaaS提供商的安全风险。● 多租户架构下的应用隔离:在多租户架构下,所有虚拟桌面共享同

样的存储、计算等基础设施,如果SaaS提供商不能对各个用户的虚拟桌面

系统进行隔离,则恶意用户就可以直接访问他人的虚拟桌面,并且可以改

变虚拟桌面原有的设置、窃取其中的隐私数据等。● 补丁管理复杂:虚拟桌面的补丁管理较为复杂,由于采用了虚拟化

技术,版本不同的虚拟机需要安装不同的补丁,版本不同的数据库也需要

安装不同的数据库补丁,因此SaaS提供商对虚拟桌面系统安装补丁前,需

要先确认应该使用什么版本的补丁,并进行安全性测试;另外,如果补丁

和应用程序不兼容,那么安装补丁后会影响应用程序的运行。(2)来自用户的安全风险。● 用户在虚拟桌面上自行安装软件:如果SaaS提供商允许用户在虚拟

桌面上自行安装未授权的软件,则未授权软件可能会威胁到虚拟桌面的安

全性,比如若该软件包含流氓插件或后门程序,就为入侵者提供了隐蔽的

访问虚拟桌面系统内部数据的通道;另外,如果用户安装的授权软件没有

正确地进行配置或补丁升级,就可能存在可以被攻击者利用的安全漏洞。● 客户端的外设端口引起数据泄露:对于配置有USB接口、可刻录光

驱等外设端口的客户端,若SaaS提供商允许客户端在使用虚拟桌面时启用

这些外设端口,则虚拟桌面中的数据可能通过外设端口非法流出系统。

表2.6 基于SaaS架构的

虚拟桌面的安全风险

科

学出版社

职教技术出版中心

www.abook.cn

038 云计算安全体系

(3)来自传输链路的安全风险。● 数据传输安全风险:用户通过网络来使用虚拟桌面服务,进行个人

信息和应用数据的传输,攻击者通过各种网络攻击不仅可以窃取、修改用

户的应用数据,也可能获取用户的身份信息,进而非法访问用户的虚拟桌

面;另外,DoS、DDoS等攻击还可能导致虚拟桌面服务不可用。

2.2　云计算面临的管理风险

要想保障一栋高楼大厦能够长期稳固可用,必须在建造前进行精心设

计和合理规划,选取最优的建设方案,然后采用高质量的原材料将这栋大

厦建成。然而,如果建成之后就不再对大厦进行监管、检查和维护,不再

对各种材料进行维修和更新,那么这栋大厦终将会因为原材料的老化和环

境的侵蚀而倾覆。云计算服务也是如此,要想保障云服务的安全性,仅仅

通过技术手段来抵御云计算实施面临的风险是远远不够的,云服务的各参

与方还需要制定合理完整的管理策略,真正保障云计算的运营安全。与传统IT架构不同的是,云计算中数据的所有权和管理权是分离的。

用户将自己拥有的数据存储到云服务提供商处,由云服务提供商进行全面

管理,用户并不能直接控制云计算系统;云服务提供商没有对云数据的所

有权,无法直接对数据本身进行查看和处理,管理方法受到了极大的限制;另外,云服务提供商无法得知用户使用的终端及进行的相关操作是否安全,由此可能引发许多不可控的、意料之外的风险。因此,与传统的IT架构相

比,云计算面临着许多新的管理挑战。

2.2.1　云服务无法满足SLA服务等级协议 (servicelevelagreement,SLA)是服务提供商和用户

双方经协商而确定的关于服务质量等级的协议或合同,而制定该协议或合

同是为了使服务提供商和用户对服务、优先权和责任等达成共识,达到和

维持特定的QoS (服务质量)。对于云计算SLA,从云用户的角度来看,它

可以消除用户在使用云服务时关于服务安全和服务质量的后顾之忧;从云

服务提供商的角度看,它可以方便明确地向用户说明自己所能提供的云服

务的质量等级、成本、收费等具体情况。一份标准的SLA最少应该包含服

务等级目标、违约处理方案以及规则例外这三方面的内容,如表2.7所示。虽然在SLA中,云服务提供商会针对可用性、响应时间、安全保障等

对服务等级做出一定的承诺,但在实际服务过程中,云服务提供商难以完

全履行SLA中所做出的承诺,已经出现的种种事故就证明了这一点:

第二章　云计算风险分析 039

SLA中最少需包含的内容 具 体 规 定

服务等级目标

可用性 规定用户能够享受何种服务,服务的收费情况,

以及该服务的保证使用时间等

响应时间 指定给定时间周期内数据包的平均来回延迟时间

和数据包丢失数量的限度

安全保障 保证用户对数据存取的权限和一定范围的独享性

退出条款

当因为服务提供商不能圆满解决经常发生的可用

性、可靠性和安全性问题而使服务中断的频率达到

某个程度,或者有其他不可接受的因素时,用户拥

有即时终止协议的权利

违约处理方案 如果经过指定的一段时期后云服务提供商无法达到已协商好

的服务等级目标,用户就可以要求获得相应的赔偿

规则例外 在规则例外中列出一些特殊情况,当服务提供商在这些情况

下无法达到服务等级目标时,不用对用户进行相关赔偿

(1)2012年7月,云存储服务商Dropbox确认其Dropbox账户被入

侵,部分用户的用户名和密码泄露。(2)2011年4月,亚马逊公司位于北弗吉尼亚州的云计算中心宕机,

这导致使用亚马逊服务的回答服务Quora、新闻服务Reddit、Hootsuite和

位置跟踪服务FourSquare在内的一些网站受到影响,此次中断持续将近

4天。(3)2009年3月17日,微软的云计算平台Azure停止运行约22小时。可见,虽然有SLA的限制和约定,但云服务提供商一般不能完全达到

和维持特定的QoS,其中的原因是多方面的:由于云计算面临着传统IT架

构中所没有的新的安全风险,云服务提供商很难针对各种风险一一找出对

应的防御策略;所有云用户传输给云的数据是海量的,如何对这些数据进

行安全存储和安全管理,对云服务提供商来说是一个巨大的挑战;云服务

的可用性在很大程度上依赖于网络的性能,然而当前 “宽带不宽”已成为

云计算发展的瓶颈,且网络攻击事件层出不穷、防不胜防,因此由于网络

而造成云服务不可用的情况是云服务提供商无法控制的;在海量终端接入

云服务的情况下,终端风险会严重威胁到云服务的质量;另外,若用户在

使用云服务时对云服务中某些参数的设置不当,会对云服务的性能造成一

定的影响。

2.2.2　云服务不可持续风险

2011年4月,亚马逊云数据中心服务器出现大面积宕机,这一事件被

认为是亚马逊史上最严重的云计算安全事件,而在2009年2月和7月,亚

表2.7 SLA 中最少需包

含的内容

科

学出版社

职教技术出版中心

www.abook.cn

040 云计算安全体系

马逊的S3服务就曾两次中断;2010年1月,Salesforce.com的包括备份在

内的全部服务发生了短暂瘫痪,导致约6.8万用户经历了至少1h的宕机;

2009年微软拥有的Sidekick遭受了将近一周的服务中断,使用户不能访问

电子邮件、日历信息和其他个人数据,之后微软承认它完全失去了云数据

并且也许再也不能恢复这些数据。已经发生的种种云服务中断事故充分说

明云服务无时无刻不在面临着服务不可持续的风险,可能导致服务不可持

续的原因是多方面的。在云计算中心内部,任何一个小小的代码错误、设备故障或是操作失

误都可能导致服务故障,如Gmail在2009年2月爆发的全球性故障就是因

为位于欧洲的数据中心进行例行性维护时,一些新的程序代码出现问题导

致欧洲另一个数据中心过载,连锁效应扩及其他数据中心接口而最终造成

全球性的服务中断;Intuit的在线服务于2010年6月和7月都因停电而导

致服务中断;微软的Hotmail于2010年年底出现了数据库错误而导致数万

个收件箱在转换到新的一年的时候都被清空。另外,针对云中心的攻击及

网络攻击层出不穷,也极大地影响了云服务的可用性,在云安全联盟发布

的 《2013年云计算面临的九大威胁》中 “拒绝服务”是第5大威胁,而在

2010年时 “拒绝服务”还尚未进入九大威胁之列,从中可以看出网络攻击

对云计算安全的威胁越来越大。除了设施故障和人为原因,地震、台风等

自然灾害都可能导致服务的中断。在技术发展日新月异、企业竞争日趋激烈的今天,一些云服务提供商

面临着破产或是被大公司收购的风险。如果云服务提供商破产,则云服务

就存在被终止的风险;如果云服务提供商被收购,则存在原有云服务因技

术升级导致一段时间内服务中断的风险,甚至最终也难逃被终止的厄运。云服务提供商从硬件提供商和基础软件提供商那里采购硬件和软件,

在软硬件等基础设施之上采用相关技术构建云平台,然后再向用户提供云

服务。基础设施提供商、技术提供方等都是云服务供应链中不可缺少的参

与者,如果任何一方突然无法继续供应,而云服务提供商又不能立即找到

新的供应者,就会导致供应链中断,进而可能使相关的云服务故障或终止。

2.2.3　身份管理

在现实生活中,身份证是人们进行日常活动所必需的物品之一,身份

证上记录着公民的一些身份属性信息,包括身份证号、姓名、性别、出生

日期、住址等,这些属性信息能够将任意两个不同的人区分开来,具有十

分重要的价值和意义。服务机构在用户申请某项服务时会记录下用户的身

份信息,然后在每次提供服务之前根据用户的身份认证来鉴别用户是否可

以享受到相关服务;司法机关需要根据用户的身份信息来进行调查取证、责任划定、疑犯追捕等;企业组织在职工的信息统计中必然要加上用户独

第二章　云计算风险分析 041

有的身份信息,以此来保证能够顺利地进行工作的分配和工资的发放等。现实生活中身份管理具有十分重要的作用,在云服务中也是如此。完善的

身份管理策略是实现云服务中数据安全隔离的重要前提,一旦用户的身份

信息被窃取,用户数据及云服务将毫无安全性可言。身份管理涉及身份的

鉴别、属性的管理、授权的管理、访问控制、行为审计等多个方面,在云

计算多租户环境下有大量的用户和海量的访问认证要求,因此和传统的IT架构相比,云服务面临着更为严峻的身份管理风险。

云服务提供商是身份管理的主要实施者。对于云服务提供商来说,云

服务面对的是来自不同领域的大量用户,不同用户所具有的身份属性千差

万别,如何从多个身份属性中选择出一个属性集合使得每组属性信息和具

有特定权限的用户一一对应是比较困难的;云数据的所有者可能会将数据

的某些访问和操作权限授予其他用户,因而同一用户可能有多重身份,即

该用户对于自己的数据来说是所有者身份、对某些数据来说可能是访客身

份、对其他数据来说则是非授权身份,如何对同一个用户设定不同的身份

并严格地进行授权是比较困难的;不同领域的数据具有不同的安全等级标

准,同一用户所拥有的数据也有敏感度高低之分,如何制定访问策略使数

据能满足安全性需求也是比较困难的。另外,云服务提供商还必须考虑申

请使用云服务的人员的合法性,如果攻击者可以注册并使用云服务,那么

攻击者就可能向云端发送恶意数据、对云服务进行攻击等,给云服务安全

带来极大的风险。云用户作为云服务的重要参与方,需要对自己的身份信息进行管理。

在使用口令进行身份认证的情况下,如果用户设定的密码可能没有达到一

定的安全强度,那么用户的账户就容易被攻击者攻破;如果用户没有对自

己的身份信息采取合理的保存措施,造成身份信息泄露或丢失,那么用户

身份信息的安全性就无法得到保障。另外,云用户还需要对云服务提供商的身份有清醒的认识,不可信的

云服务提供商可能会非法窃取用户数据、泄露用户隐私,使用户数据的安

全性完全得不到保障。

2.3　法律法规风险

为了切实保障信息安全,相关法律法规对信息安全的基本原则和基本

制度、信息监管和隐私保护、违反信息安全行为的犯罪取证及处罚措施等

都做出了明确的规定。建设良好的法律环境是信息安全保障体系建设中非

常重要的一环,云计算安全体系作为信息安全保障体系中的一部分,也必

须考虑到企业政策和法律法规的相关规定。然而,云计算作为一种新型的

科

学出版社

职教技术出版中心

www.abook.cn

042 云计算安全体系

服务模式,其具有的虚拟性及国际性等特点催生出许多法律和监管层面的

问题,使云服务面临多方面的法律法规风险。

2.3.1　数据跨境

云计算具有地域性弱、信息流动性大的特点,一方面,当用户使用云

服务时,并不能确定自己的数据存储在哪里,即使用户选择的是本国的云

服务提供商,但由于该提供商可能在世界的多个地方都建有云数据中心,用户的数据可能被跨境存储;另一方面,当云服务提供商要对数据进行备

份或对服务器架构进行调整时,用户的数据可能需要转移,因而数据在传

输过程中可能跨越多个国家,产生跨境传输问题。对于是否允许本国的数

据跨境存储和跨境传输,每个国家都有相关的法律要求,如表2.8所示,而云服务中的数据跨境可能会违反云用户所在国家的法律要求。

立法国家 相 关 内 容

美国

1974年通过 《隐私法》。由于美国在世界各地有大量的跨国公司及各种机

构来获取巨大的政治、经济利益,且技术先进、信息处理能力强,因而主张

全球信息的自由流通,对数据跨境流动一般不做专门限制

英国

1984年通过 《数据保护法》,规定在数据跨境流动时,需要向主管数据保

护的机关登记有关情况;当数据送往非欧洲公约缔约国或者认为接收数据的

公约国可能将数据传送至非公约成员国时,主管机关可不同意该数据跨境流

动请求。英国对数据跨境流动的监管主要是为了控制本国数据向境外的传

递,而对外国数据传入本国的情况不做过多限制

德国

20世纪70年代通过 《个人数据保护法》,规定当德国与其他国家有协定

时,按照协定执行数据跨境流动的相关事项;如果没有协定,当申请人能够

证明数据跨境流动为业务上的必要或者数据接收者从跨境流动的数据中获取

的是正当利益时,才允许数据的流动

法国、挪威、丹

麦、奥地利等国 都规定个人数据跨境流动需要得到数据安全主管单位的许可

欧盟拥有世界上最全面的数据保护法,并被很多国家作为立法的参照,欧盟 《关于个人数据处理保护与自由流动指令》和 《有关个人数据处理和

电子通信领域隐私保护的指令》中明确指出对数据跨境流动的相关规定。按照欧盟的规定,欧盟公民的个人数据只能向那些已经达到与欧盟数据保

护水平相当的国家或地区流动,目前加拿大、瑞士、阿根廷等属于这类国

家;而在缺乏特定的承诺机制的情况下,欧盟禁止欧盟居民的个人信息转

移出欧盟到美国和世界上大部分国家。这就意味着,如果某个云服务提供

表2.8 一些国家关于数

据跨境流动的相关规定

第二章　云计算风险分析 043

商想将包含欧盟居民个人信息 (这些个人信息可能是不包含任何隐私的)的数据进行合法的跨境存储和传输,则该云服务提供商需要至少符合以下

条件之一:(1)国际安全港认证:允许数据从欧盟传送到美国,但不包括到其他

国家。(2)格式合同:允许数据从欧盟传送到非美国的其他国家。(3)有约束力的公司规则 (即根据欧盟数据保护法制定的跨国公司、

国际组织跨境传送个人信息的规则)。一般情况下,云服务提供商很难满足以上条件的要求,因此云服务提

供商必须筛选出那些包含欧盟居民个人信息的数据,并将它们严格存储在

欧盟境内的数据中心内部,否则就违反了欧盟法律的相关规定。

2.3.2　隐私保护

在云计算环境中,用户数据存储在云中,加大了用户隐私泄露的风险,保护用户隐私成为国内外热门议题。云服务与各国数据保护法、隐私法的

关系也成为目前备受关注的话题。在云服务中,云服务提供商需要切实保

障用户隐私,不能让非授权用户以任何方法、任何形式获取用户的隐私信

息,然而一些国家的隐私保护法却明确规定允许一些执法部门和政府成员

在没有获得数据所有者允许的情况下查看其隐私信息,以切实保护国家安

全。因此,云服务中的隐私保护策略和某些国家的隐私保护法的相关规定

可能产生矛盾。美国有爱国者法、萨班斯法以及保护各类敏感信息的相关法律,其中

爱国者法案授权美国的执法者为达到反恐的目的,可以经法庭批准后,在

没有经过数据所有者允许的情况下查看任何人的个人记录。这意味着,如

果云用户的数据存储在美国境内,那么美国的执法者可以在经过法庭批准

后,在用户毫不知情的情况下获取用户的所有云数据,查看用户的所有隐

私信息。另外,加拿大的反恐法案和国防法也赋予了国防部长检查保存在

本国境内的任意数据的权力。

2.3.3　犯罪取证

在云服务中,不论是云基础设施还是云用户的账号,都很容易受到黑

客的攻击,使云服务提供商和云用户的利益受到损害;另外,有一些攻击

者可能利用云计算地域性弱、信息流动性大的特点,进行不良信息的传播、网络欺诈等违法行为。因此,在云计算环境中的犯罪行为可能频频发生,为了能够对攻击者进行相应的惩处,需要进行犯罪证据的获取、保存、分

析,然而云计算所具有的多租户、虚拟化的特征增加了在云环境中进行犯

罪取证的难度,在一定程度上阻碍了法律的顺利执行。

科

学出版社

职教技术出版中心

www.abook.cn

044 云计算安全体系

在云环境中进行犯罪取证时,首先要进行数据采集,即在可能存有证

据的数据源中鉴别、标识、记录和获得电子数据。由于云中的数据不再是

保存在一个确定的物理节点上,而是由云服务提供商动态提供存储空间,数据源可能存储在不同的司法管辖范围内,使司法人员难以采集到完整的

犯罪证据。另外,云数据的流动性很强,如果数据的采集顺序不合理,短

时间内很多重要的数据就可能丢失且很难被找回。云环境下的犯罪取证过程至少需要涉及云服务提供商和客户端,由于

多租户环境下有海量的客户端接入云服务中,云服务提供商和客户端之间

的依赖关系是动态变化的;另外,云服务提供商和云计算应用大都依赖其

他的提供商和应用,这样就又形成了一条依赖链。在这种情况下,犯罪取

证需要针对多条依赖链进行,若任何一条依赖链断开,都可能影响取证过

程和取证结果。进行犯罪取证时,既需要获取和保存相关证据,又不能给其他用户的

数据带来安全风险。由于云数据共享存储设备,如何进行数据分离使其他

用户的隐私信息不因实施犯罪取证而泄露,也是云环境下犯罪取证的一大

难题。

2.3.4　安全性评价与责任认定

云服务提供商和用户之间通过合同来规定双方的权利与义务,明确安

全事故发生后的责任认定及赔偿方法,从而确保双方的权益都能得到保障。然而,目前云计算安全标准及测评体系尚未建立,云用户的安全目标和云

服务提供商的安全服务能力无法参照一个统一的标准进行度量,在出现安

全事故时也无法根据一个统一的标准进行责任认定;再加上目前国际社会

对云服务中的跨境数据存储、流动和交付的监管政策尚未达成一致,也没

有专门针对云计算安全的相关法律,因此云服务提供商和用户之间签订的

合同的合规性、合法性是无法得到认定的,一旦发生安全事故,云服务提

供商和用户可能会各持己见,根据不同的标准来进行责任认定,确保自己

的利益最大化,由此会产生许多争议和纠纷。云计算安全标准既需要支持用户描述其数据安全保护目标、指定其所

属资产安全保护的范围和程度,还需要支持用户尤其是企业用户的安全管

理需求,如使用一定的手段、在特定的程度和范围内,在不触犯其他用户

权益的前提下,分析查看日志信息,了解数据使用情况及开展违法操作调

查等;此外,云计算安全标准应支持对灵活、复杂的云服务过程的安全评

估,还应规定云服务安全目标验证的方法和程序。因此,建立以安全目标

验证、安全服务等级测评为核心的云计算安全标准及其测评体系是极具挑

战性的。

第二章　云计算风险分析 045

2.4　行业应用风险

云计算的种种优势使它的发展前景十分可观,也逐渐在更多的领域得

到推广和应用。在政府的强力推动下,我国云计算应用正以政府、电信、教育、医疗、金融、石油石化和电力等行业为重点,推出相应的云计算实

施方案。由于不同行业的核心资产、关注问题、应用场景、监管要求各不

相同,不同的云计算运营模型面临着不同的安全风险。

2.4.1　电子政务云

电子政务是指运用计算机、网络和通信等现代信息技术手段,实现政

府组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,建成一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会

提供优质、规范、透明、符合国际水准的管理与服务。电子政务作为电子

信息技术与管理的有机结合,成为当代信息化最重要的领域之一。在传统的电子政务信息系统模型中,各个部门如政府、地税、司法、

卫生等都需要购买服务器、存储、交换机、软件等资源且进行独立部署,构建出自己的平台,这些平台是相互独立的,资源无法共享,利用率也比

较低,形成一个个的 “政务孤岛”;每个平台都需要有专门的管理人员进行

管理,且没有统一的领导、规划、标准等,不仅造成人员的浪费,也导致

各个平台的服务水平不一致,服务质量得不到保障。电子政务云是基于云计算技术构建的电子政务运营模型,与传统的电

子政务信息系统模型相比,电子政务云优势显著,如图2.5所示。

电子政务云将各种软硬件资源整合在一起,构建出云计算物理基础架

构,然后通过多层虚拟技术,使各个部门能够共同使用这些资源构建出自

己的平台,因此和传统的电子政务信息系统模型相比,电子政务云将资源

使用方式从独占演变为共享,这降低了构建电子政务系统所需的成本,提

高了资源的利用率,也促进了各部门间的信息交流;在电子政务云中,由

图2.5电子政务云的优势

科

学出版社

职教技术出版中心

www.abook.cn

046 云计算安全体系

云平台管理中心统一对各部门共享的云数据中心进行管理,并提供按需服

务,因此和传统的电子政务信息系统模型相比,电子政务云有了统一的组

织领导、统一的规划实施、统一的标准规范、统一的网络平台及安全管理,不仅节省了管理人力,也大大地保障了服务质量。

电子政务云具有的显著优势使其有非常广阔的应用前景,但其安全问

题也不容忽视。赛迪顾问股份有限公司于2011年发布的 《中国云计算产业

发展白皮书》中,针对政府用户对云计算的核心关注度做出了统计,如

图2.6所示。

可以看出,政府部门的数据信息不仅涉及经济利益,更会涉及社会稳

定、国家安全等敏感问题,因此 “数据安全”是政府用户对云计算最关注

的部分,关注率高达95%;另外,由于云计算的可用性是政务部门能够尽

可能快地发布信息的前提,各部门间信息的互联互通是建立起便捷的网上

政务处理服务体系的前提,政府用户同样很关注云计算中的运营标准、技

术标准等问题。结合云计算面临的安全风险,电子政务云的实施面临六大

挑战,如表2.9所示。

挑战 具 体 内 容

数据安全风险 不同的政府部门都存储有敏感信息,若数据泄露,不仅会降低公民对政府

机关的信任度,甚至可能影响社会稳定和国家安全

运营标准不统一 若运营标准不统一,则安全管理政务云比较困难,云计算的可用性得不到

保障

技术标准不统一 若技术标准不统一,则不同的政府部门可能采取不同的云计算解决方案,

不同解决方案之间的 “沟通”就成为难题

资源整合困难

各个部门都拥有大量的数据,不同部门的数据中有一些是重复的,有些数

据可能由于某个部门更新不及时而存在不一致现象。如何将多个部门的资源

进行整合存储在云端,消除数据冗余和不一致现象,并实现公共资源能够共

享、敏感数据相互隔离,是比较困难的

图2.6政府用户对云计算的核心

关注度

表2.9 实施电子政务云

的六大挑战

第二章　云计算风险分析 047

续表

挑战 具 体 内 容

不能满足政府的

安全要求

云服务提供商可能不熟悉政府机构关于数据、应用等特有的安全规定,因

而提供的解决方案可能无法满足政府的安全要求

不具备专业知识

和技能

政府机构可能没有部署和运维电子政务云所需的资源,如专业技术人员和

专业管理人员

2.4.2　电子商务云

电子商务是指在全球各地广泛的商业贸易活动中,在因特网开放的网

络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸

活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及

各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的

商业运营模式。在传统的IT架构下,各个企业要想实现电子商务,必须花费大成本自

己购买存储、计算、软件等基础资源,然后建设自己的数据中心和服务平

台。由于系统的软硬件使用到一定年限后都会出现不同程度的损耗或跟不

上市场的需求,企业还需要耗费人力资源和大量的时间进行系统的维护更

新;随着程序开发精益求精以及用户体验上的需求日益增加,进行电子商

务所需的相关程序和产生的文件的大小也在不断增加,企业和用户的计算

机存储容量难以满足需求;由于电子商务涉及众多复杂的运算,使用电子

商务的用户的数量也在不断增加,企业单纯通过增加硬件来提升运算速度

的行为不仅可能不会从根本上解决运算能力受限的问题,还会使企业的运

营成本大幅上升;另外,受各种有限的基础设施资源的制约,企业难以为

用户提供多样化的服务,这将会降低用户对电子商务的关注度,阻碍企业

的发展。电子商务云是基于云计算构建的电子商务服务平台,使用云计算能够

解决传统电子商务平台的缺点,如图2.7所示。

图2.7电子商务云的优势

科

学出版社

职教技术出版中心

www.abook.cn

048 云计算安全体系

在电子商务云中,企业直接使用云端先进的软硬件设施构建服务平台,服务种类不再受限;企业和用户的数据存储在云端,云端所具有的海量存

储和计算资源解决了传统的电子商务平台中存储和计算能力受限的问题;且设备的维护更新由云端负责,企业免去了系统维护更新所需的成本、人

力和时间投资。使用云计算能够极大地推动电子商务的发展,但各个企业在构建电子

商务云之前,必须清醒地认识到电子商务云所具有的一些安全风险。赛迪

顾问股份有限公司于2011年针对企业用户对云计算的核心关注度做出了统

计,如图2.8所示。

可以看出,在电子商务云安全方面,由于电子商务本质上是一种私密

性较强的商务活动,涉及商务信息机密和大量钱款的转移,企业最关注的

就是 “数据安全”;另外,由于电子商务云平台的数据存储和系统维护等运

营过程由云服务提供商负责,云服务提供商运营经验的丰富程度直接影响

到电子商务云平台是否能顺利运行,企业比较关注 “云计算服务运营经

验”;此外,云计算是否能提供隐私保护,以及系统的稳定性、可移植性、可用性同样也是企业比较关注的部分。结合云计算面临的安全风险和电子

商务的应用场景,电子商务云的实施主要面临四大挑战,如表2.10所示。

挑战 具 体 内 容

数据安全风险

云服务提供商不可信、网络攻击、非授权访问等可能带来数据存储和迁移

风险,若和商业机密相关的信息泄露,则可能给企业带来巨大的损失;若用

户的资产信息被篡改或丢失,则用户的利益就受到严重损害

云平台的可靠性

自然灾害、基础设施故障和人员操作失误都可能引起云服务中止,此时企

业就无法继续开展电子商务,不仅会降低用户对该企业的信任度,也会给企

业造成很大的经济损失

图2.8企业用户对云计算的核心

关注度

表2.10 实施电子商务云

的四大挑战

第二章　云计算风险分析 049

续表

挑战 具 体 内 容

相关法律法规不

完善

由于云计算和电子商务都是新兴事物,有关云计算和电子商务的法律还不

完善,一旦出现安全问题,很容易引起云服务提供商、开展电子商务的企业

以及使用电子商务的用户之间的纠纷

服务终止的风险 一旦云服务提供商终止服务或被其他公司收购,企业的电子商务平台可能

无法继续运行,存储在云中的商业数据也可能无法安全拿回

电子商务中涉及许多和经济利益直接相关的信息,电子政务中涉及许

多政治敏感信息,因此电子商务云和电子政务云最关注的都是数据安全。有关云计算和电子商务的法律还不完善,因此发生安全问题后如何划分责

任和进行相关赔偿是电子商务云中比较关注的问题;而电子政务的相关标

准和法律比较成熟,所以电子政务云中较少考虑法律法规问题。电子商务

云中各企业平台具有其独立性,平台之间一般不需要进行太多的信息交流,因而对运维标准和技术标准是否统一不太关注;而电子商务云中各政府部

门间需要进行广泛的信息交流,所以比较关注运维标准和技术标准是否

统一。

2.4.3　教育云

教育云是云计算在教育领域的应用,是一种新的信息化服务模式。我

国教育信息化五年行动计划将建设国家教育云基础平台、教育资源云和教

育管理云作为主要内容,旨在通过采用云计算,形成资源配置与服务的集

约化、效益化、优质化,构建稳定可靠、低成本的国家教育信息化平台。其中,国家教育云基础平台是各级各类教育信息化应用的基础支撑平台,形成覆盖全国的分布式部署,面向教育提供公共存储、计算、共享带宽、安全认证及各种支撑工具等通用服务;教育资源云为各级各类教育资源共

建共享提供支撑;教育管理云为各级各类教育管理和应用提供服务。与传统的教育信息化服务模式相比,教育云具有很多优势,如图2.9

所示。

图2.9教育云的优势

科

学出版社

职教技术出版中心

www.abook.cn

050 云计算安全体系

传统教育信息化平台建设中,各级各类教育机构需要独立地购买软硬

件资源来搭建自己的信息化平台;而教育云为各级各类教育机构提供共享

的软硬件资源,既减少了各机构购买基础设施的投资,也提高了资源的利

用率。我国的教育机构特别是基础教育机构,普遍缺乏专业的IT技术团

队,传统的教育信息化平台很难得到全面维护;而教育云一般由专业机构

和专业人员建设和维护,具有更好的稳定性和安全性。传统的教育信息化

平台往往相互独立,优质的教育资源无法共享,不同学校之间的教学水平

存在显著差异;而教育云能够实现优质的教育教学资源共建共享,实现教

研跨区域协作,缩减不同区域、不同类型学校的差距,促进基础教育的均

衡发展。使用云计算能够在经济性、便捷性、安全性等方面有效促进教育信息

化的建设和发展,然而云计算所面临的一些安全风险也使教育云的实施面

临挑战,如表2.11所示。

挑战 具 体 内 容

网络建设问题

教育云基本都建在教育网内,由于国内网络带宽有限,且受防火墙、多出

口等因素的影响,用户在教育网外访问教育云的体验会非常差,响应和传输

速度可能会非常低,极大地影响了教育云服务的可用性

建设标准不统一 目前各类教育云的建设都是各自为政,缺乏统一标准和全盘计划,可能影

响各教育云平台之间的互联互通

数据安全风险

数据丢失可能使用户无法获取某些急需的教育资源,影响教育云的可用

性;云端存储的教育管理隐私信息和学生的个人隐私信息如果泄露,可能会

给某些教育机构和某些学生带来损害

和电子政务云、电子商务云不同的是,教育云主要是为了共享教育资

源,大多数云数据不具有隐私性,所以它更关注云服务是否可用,而对数

据隐私的关注度不太高。

2.5　小结

云服务平台基于软硬件等各种基础设施构建而成,并通过网络提供服

务,因此传统IT架构中各个层次存在的安全问题仍然会在云计算中出现,并且由于云计算系统规模巨大,这些安全风险发生的概率和所造成的影响

程度也会成倍增加。另外,虚拟化、分布式处理和应用虚拟化等关键技术

的使用使云计算面临新的技术风险,数据的所有权和控制权分离、多租户、海量终端接入的应用场景也给云计算带来新的管理挑战。此外,云服务作

表2.11 实施教育云的三

大挑战

第二章　云计算风险分析 051

为一种新型的服务模式,其服务形式和安全保障措施还受到法律法规的

制约。不论是个人用户还是企业用户,在选择云服务之前都会考虑到云安全

问题。个人用户一般使用云服务进行数据存储,因此比较关注个人隐私是

否能得到保障;企业用户除了使用云服务存储大量数据之外,一般还要基

于云计算架构建设自己的服务平台,向自己的客户提供服务,因此更加关

注敏感数据安全和云服务的可持续性是否能得到保障。云计算面临的风险虽然遍及技术、管理、法律法规等各个方面,但只

要能够充分地了解云计算面临的风险,“对症下药”,合理地规划出云安全

体系,并且分层次地构建出云安全解决方案,最后一定能够将云安全问题

各个击破,使云计算脱离安全风险的束缚,具有更加广阔更加美好的发展

前景。

主要参考文献

邓仲华,喻越.2009.云环境下的信息服务等级协议研究[J].图书与情报,4:57 60.丁惠强.2011.征信数据跨境流动监管研究[J].征信,29 (2):17 20.丁秋峰,孙国梓.2011.云计算环境下取证技术研究[J].信息网络安全,11:37.房晶,吴昊,白松林.2012.云计算的虚拟化安全问题[J].电信科学,(4):135 140.冯登国,张敏,张妍.2011.云计算安全研究[J].软件学报,22 (1):71 83.胡乐明,冯明,唐宏.2012.云计算安全技术与应用[M].第二版.北京:电子工业出

版社.李德毅.2013.云计算技术发展报告[M].第三版.北京:科学出版社.刘春艳,杜蕊.2012.云计算模式下的电子商务安全研究[J].电子商务,(7):41 42.卢蓓蓉,任友群.2012.中国教育信息化的云中漫步———教育云建设的困境及探析[J].

远程教育杂志,1:62 67.杨娴,陈麟.2012.云计算环境下的应用虚拟化的研究[J].软件,4:74 77.杨宗凯.2011.教育信息化十年发展展望[J].中国教育信息化 (高教职教),(9):

14 15.于雁翎,方文超.2012.基于云计算的电子商务发展趋势研究[J].金融经济:下半月,(7):66 68.

张健.2012.云计算服务等级协议 (SLA)研究[J].电信网技术,(2):7 10.张庆萍.2011.虚拟桌面基础架构 (VDI)安全研究[J].计算机安全,4:21.张志国.2010.服务器虚拟化安全风险及其对策研究[J].晋中学院学报,27 (3):

83 85.BrunetteG,MogullR.2009.Securityguidanceforcriticalareasoffocusincloudcompu-tingv2.1[J].CloudSecurityAlliance,1.76.CloudSecurityAlliance,TopThreatsWorkingGroup.2013.Thenotoriousnine:cloudcomputingtopthreatsin[R].1 21.

科

学出版社

职教技术出版中心

www.abook.cn

052 云计算安全体系

KingST,ChenPM.2006.SubVirt:implementingmalwarewithvirtualmachines[C]//

ProcofIEEESymposiumonSecurityandPrivacy.WashingtonDC:IEEEComputerSo-ciety,314 327.MellP,GranceT.2011.TheNISTdefinitionofcloudcomputing (draft)[J].NISTspe-cialpublication,800 (145):7.PriceM.2008.Theparadoxofsecurityinvirtualenvironments[J].Computer,41 (11):

22 28.WangZhi,JiangXuxian.2010.HyperSafe:alightweightapproachtoprovidelifetimehy-

pervisorcontrolflowintegrity[C]//ProcofIEEESymposiumonSecurityandPriva-cy.WashingtonDC:IEEEComputerSociety,380 395.YanWen,MinhuanHuang,JinjingZhao,etal.2010.Implicitdetectionofstealthsoft-warewithalocal.bootedvirtualmachine[C]//Procofthe3rdInternationalConferenceonInformationSciencesandInteractionSciences.WashingtonDC:IEEEComputerSoci-ety,152 157.

第三章　云安全架构

云计算面临各种安全风险,其发展前景令人担忧。2013年8月,Gart-ner公布了一份关于2013年前沿技术曲线成熟度 (hypecycles)的报告,并绘制了2013年技术成熟度曲线,这份报告涵括的前沿技术种类多达2000种,分布在98个领域,云计算技术也成为该曲线重点关注的对象。Gart-ner总结的技术成熟曲线分为五个阶段,即技术萌芽期 (technologytrig-ger)、期 望 膨 胀 期 (peakofinflatedexpectation)、泡 沫 化 的 谷 底 期

(troughofdisillusionment)、稳步攀升的光明期 (slopeofenlightenment)、实质生产的高峰期 (plateauofproductivity)。对这五个阶段的诠释如下:

(1)技术萌芽期:该阶段体现了某项技术的突破,通过对该项技术进

行公开演示、新闻发布等活动引发公众及行业对该项新兴技术的关注。在

该阶段,通常没有可用的新产品,新技术尚处于研究和实验阶段。(2)期望膨胀期:该阶段体现了新技术发展的热度。在该阶段公众开

始宣传该项技术对企业及社会带来的潜在影响,并且第一代产品诞生,这

些产品通常都是高度专业化的产品或极难使用的产品,并且价格高昂。(3)泡沫化的谷底期:在该阶段新技术负面影响显现。由于种种负面

影响使该项技术没有达到企业及公众预期值,很快失去了期望膨胀期所具

有的热度,但是对该技术的创新和实验仍在进行。(4)稳步爬升的光明期:该阶段体现了技术的发展前景。通过各种重

点实验及试点提高了该技术的适用性,降低了各种潜在的风险,这时产生

该技术的第二代或者是第三代产品,技术研发方法和实践都具有很大的

进步。(5)实质生产的高峰期:该阶段是新技术被广泛接受的高增长阶段。

这时该项技术达到了所有的成熟度并能支持海量用户的应用,并且该项技

术使用简单,使用成本低廉。自1995年起,Gartner就开始关注伴随着每一次的技术创新而带来的

科技浪潮。而云计算技术成为技术成熟曲线关注的对象是在2008年,至今

依然被Gartner关注。在这段期间,云计算的发展进程如图3.1所示。

科

学出版社

职教技术出版中心

www.abook.cn

054 云计算安全体系

如图3.1所示,2008年云计算处在技术萌芽期;2009~2011年云计算

一直处在期望膨胀期,2012~2013年云计算却处在该曲线的泡沫化的谷底

期。通过对2008~2013年Gartner的研究报告的分析可见,云计算技术的

发展受到了阻碍,可能产生负面因素影响了云计算的发展进程。

2012年,Gartner发布了另一份关于2012年云计算前沿技术曲线成熟

度报告。在该报告中总结了云计算领域内业界所关注的研究对象,其中

“云计算安全与风险标准 (CloudSecurityandRiskStandards)”成为该曲

线关注的对象。2013年,Gartner发布了2013年云计算前沿技术曲线成熟

度报告,其中 “云安全框架 (CloudSecurityFrameworks)”成为该曲线关

注的对象。结合上述两份有关云计算领域的调研报告结果可见,云计算的

安全问题成为影响云计算健康发展的主要因素之一。如图3.2所示,云计算安全技术的成熟度处于云计算技术曲线的技术

萌芽期,具有很大的发展空间和很好的发展前景。那么,如何理解云计算

安全的内涵,如何解决云计算带来的安全问题,如何通过有效的手段保障

云计算信息系统的安全,如何针对云计算信息系统开展安全测评及等级保

护工作,这些问题成为云计算安全领域研究的热点,受到国内外业界的广

泛关注。

图3.12008~2013年云计算技术

成熟对比曲线

图3.22012年, 2013年云计算技

术成熟度曲线

第三章　云安全架构 055

3.1　云计算与云安全

在中国第五届云计算大会上,国内外各大云服务提供商和标准化组织

都发表了各自对云计算安全的观点。云安全联盟亚太区董事总经理Aloys-iusCheang指出:云计算是 “三分技术、七分管理”。可见,云安全联盟工

作的重心在于如何通过有效的管理手段来保障云计算平台及服务的安全性。

Intel首席系统软件设计师李彦在大会上讲到: “云计算的安全不是立法就

能解决的,更重要的是算法上的可信度,加、解密犹是如此。”可见,就

Intel公司来说,增强加解密算法的强度是提高云应用安全的首要突破点。我国道里云公司创始人毛文波在大会上就互联网行业对云计算安全问题关

注点也给出自己的见解,他讲到:“互联网公司本身就有隐私问题、有安全

问题,并非云计算提出之后才有,所以云计算安全问题不是新问题,更多

是个人隐私问题,关键在于立法规定哪些是隐私,哪些不是隐私。”可见,对互联网公司来讲,一部权威的隐私立法颁布是其极度关注的问题。各家

对云安全的理解不尽相同,“云安全”到底是什么,需要我们进行深入

探讨。

3.1.1　云安全内涵

较早提出 “云安全”这一概念的是趋势科技,2008年5月趋势科技在

美国正式推出了 “云安全”技术,使 “云安全”成为云计算应用发展中最

为重要的研究课题之一。然而,对 “云安全”这一概念的理解可谓是仁者

见仁,智者见智。现阶段在业界主要存在两种声音:第一种是云自身的安

全保护,也称为云计算安全,包括云计算应用系统安全、云计算应用服务

安全、云计算用户信息安全等;第二种是使用云的形式提供和交付安全,即云计算技术在安全领域的具体应用,也称为安全云计算,即通过采用云

计算技术来提升安全系统的服务性能,如基于云计算的防病毒技术、挂马

检测技术等。这两种声音不仅代表了业界对云安全的需求,同时也促进了

“云安全”这一研究方向的发展。目前,对云安全的研究主要分为三个方向:第一是云计算安全,主要

研究如何保障云自身及其上的各种应用的安全,包括云计算系统安全、用

户数据的安全存贮与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;第二是安全基础设置的云化,主要研究如何采用云计算技术

新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术

构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与

关联分析,提升全网安全事件把控能力及风险控制能力;第三是云安全服

科

学出版社

职教技术出版中心

www.abook.cn

056 云计算安全体系

务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服

务等。

3.1.2　云安全特征

云计算作为一种新的计算模式,其安全建设必然与传统信息安全建设

存在区别。从安全原则上来看,云安全与传统安全并无本质的区别。从安

全目标上来看,两者目标一致,即保护系统免受攻击,保护数据的机密性、完整性和可用性。从保护对象上来看,传统信息安全所保护的对象是特定

的,如企业机密数据、业务运行逻辑等,云计算安全所保护的内容虽有不

同,但是对云计算信息系统进行安全建设所遵循的原则都是传统信息安全

所遵循原则的展开和引申,并使用一些新技术进行落实和保障,充分体现

了云安全对传统信息安全的继承性。因此,传统的行之有效的信息安全策

略与技术将会继续应用在云计算信息系统以及终端设备的安全管理与防

护上。问题是,云计算作为一种新型的计算模式,有没有带来一些以前从未

有过的安全问题? 云安全与传统的信息安全或者网络安全相比,除了继承

性外,还有没有新的特点? 综合最近几年产业界的实践和学术界的研究进

展,我们认为与传统的安全问题相比,云安全有其特殊的一面,具体表现

在以下三个方面:一是由于云计算信息系统与传统信息系统组织架构上的

差异性导致其安全防护理念上存在差异。在传统安全防护中,很重要的一

个原则是基于边界的安全隔离和访问控制,并且强调针对不同的安全区域

设置有差异化的安全防护策略,在很大程度上依赖各区域之间明显清晰的

区域边界;但在云计算环境中,存储和计算资源高度整合,基础网络架构

统一化,安全设备的部署边界消失。二是由物理计算资源共享带来的虚拟

机的安全问题。在同一台物理机内部有多个虚拟机,如何对虚拟机之间的

通信进行监控,如何对流量进行控制,如何做到虚拟机之间的隔离。这些

问题涉及了传统的网络结构如何在虚拟化环境中实现,以及传统的网络安

全设备如何虚拟化的问题。三是由数据的拥有者与数据之间的物理分离带

来的用户隐私保护与云计算可用性之间的矛盾。这些在其他计算模式下未

曾出现的问题都需要新的科学思想和技术途径予以解决。云计算的这三个典型的特征在公有云中尤其突出,因为在公有云中,

一些小的租户往往租用一个或少量虚拟机,这时候就容易出现同一台物理

机内部有多个租户的情况。怎样对这些租户进行网络隔离,进行流量和访

问控制,做到完整的审计链,是云计算环境中亟须解决的安全问题。

3.1.3　云安全定位

然而,在面对云安全和安全云时作为云服务提供商应该先做哪一个呢?

第三章　云安全架构 057

保障云计算自身的安全还是提供安全的服务? 在面对如何选择的时候,可

以参考一下传统行业的类似做法。以银行业为例,如招商银行,它为用户提供保管箱服务。在这里保管

箱服务就属于一种安全服务,类似于提供云安全服务。我们不难看出,银

行为了提供保管箱服务,首先要先建设一个安全的银行网点:需要安装防

盗系统、报警系统;建设完善的身份认证系统,可能需要指纹识别;制定

相应的管理制度,防止内部安全事件的发生,同时不对外泄露用户的个人

信息。这些相关的安全措施做到位,用户才能够把钱存入这个银行。银行

能够长期稳定、安全的运营,用户才会根据自己的需要申请使用更高级的

保管箱业务。同样,我们可以将这个过程引入到云安全的发展过程中,首

先我们要建设一个安全的云计算环境,引入各种安全措施和安全管理制度,创造一个安全的运行环境,提供用户一个可信赖的计算环境。当用户已经

对云计算中心有一定的了解和认识,并且能够信任云计算中心这种模式,才可以购买各种安全服务。所以,云安全的发展也可以参考银行业的模式,先解决云计算信息系统的安全问题,再发展云安全服务。

本书重点对云计算安全进行研究,探讨如何构建一个安全的云计算信

息系统。对于云计算信息系统来说,由于其服务模式的特殊性,不能再采

用互联网企业所采取的 “先建设、后治理”的方式,而是要在建设云计算

信息系统设计阶段就应该充分考虑其安全问题,结合云计算所面临的各种

风险,制定云计算安全体系,指导云计算的安全建设。

3.2　云安全参考模型

3.2.1　CSA模型

对于现阶段云计算的发展,无论在部署模型、服务模型、资源物理位

置与管理还是在云服务提供商属性等方面都呈现出不同的形态和消费模式,从而使云计算具有不同的安全风险特征、不同的安全控制职责与安全控制

范围。因此,需要从安全控制的角度建立云计算的参考模型,描述不同属

性组合的云服务架构,并实现云服务架构到安全架构之间的映射,为风险

识别、安全控制和决策提供依据。而云安全联盟 (CloudSecurityAlliance,

CSA)作为业界比较认可的云安全研究论坛,在2009年12月17日发布了

一份云计算服务的安全实践手册——— 《云计算安全指南》。该指南根据资源

或服务的管理权、所有权和资源物理位置的不同,指出了不同的云部署模

型的可能实现方式及其不同部署模式下共享云服务的用户之间的信任关系,如图3.3所示。

科

学出版社

职教技术出版中心

www.abook.cn

058 云计算安全体系

如图3.3所示,对于私有云和社区云,有多种实现方式,可以和公有

云一样,由第三方拥有和管理,并提供场外服务 (offpremises),所不同的

是共享云服务的消费者群体之间具有信任关系,这样就使保障云计算的安

全性的责任局限于组织内部和可信任的群体之间。对于每一种云部署实现方式,都可以提供3种基本的云服务。云部署

实现的不同方式和基本云服务的组合构成不同的云服务消费模式。图3.4指出了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映

射关系,“云”上的安全首先取决于云服务的分类,其次是 “云”上部署的

安全架构、业务、监管和其他合规要求。对这两部分内容进行差距分析,就可以输出整个 “云”的安全状态,以及如何与资产的保障要求相关联。

结合图3.4云计算安全参考模型,可以确定不同的云服务消费模式下

供应商和用户的安全控制范围和责任,用户可以评估和比较不同云服务消

费模式的风险及现有安全控制与要求的安全控制之间的差距,可以帮助云

服务提供商和用户做出合理的决策。

图3.3云部署模型的实现

图3.4CSA提出的云模型、 安全

控制和合规模型的映射

第三章　云安全架构 059

3.2.2　云立方体模型

从安全协同的角度,JerichoForum从数据的物理位置 (internal和ex-ternal)、云相关技术和服务的所有关系状态 (proprietary和open)、应用资

源和服务时的边界状态 (perimeterised和deperimeterised)、云服务的运行

和管理者 (insourced和outsourced)4个影响安全协同的维度上分成了16种可能的云计算形态,用如图3.5所示的云立方体模型展示,为了清晰地

展示云立方体模型,可将云立方体模型进行分解,分解后的模型如图3.6所示。

如上所述,JerichoForum将云立方体模型划分为4个维度,如表3.1所示。

序号 维度 备注

1 Dimension1:Internal(I)/External(E) 维度:内部/外部

2 Dimension2:Proprietary(P)/Open(O) 维度:私有/开放

3Dimension3:Perimeterised(Per)/De.perimeterised(D.p)

Architectures维度:边界化/去边界化架构

4 Dimension4:Insourced(I)/Outsourced(O) 维度:自供/外包

维度1:内部/外部

第一维度表达的是 “数据物理位置”,衡量依据是云数据是否在公司内

部。如果部署在公司内则是内部维,反之是外部维。例如,虚拟化硬盘位

图3.5云立方体模型

图3.6云立方模型分解

表3.1 云立方体模型维

度表 科

学出版社

职教技术出版中心

www.abook.cn

060 云计算安全体系

于公司的数据中心属于内部维,亚马逊SC3位于 “场外”则属于外部维。这里需要提醒读者,不要做出内部比外部安全的错误假设。有时,结合实

际情况将两个维度进行有效结合能提供较安全的模型。维度2:隐私/开放

第二维度表达的是 “技术路线”,此维度定义云技术、服务、接口等所

有权,表明了云间的互操作性程度,即私有系统和其他云间的 “数据/应用

可移植性”。在私有云环境中,不对私有云进行大的改动,是无法将 “数据

/应用”转移到其他云中的。然而,云计算技术的进步和创新却多发生在私

有领域,私有云服务提供商也以专利和商业技术的形式对新技术加以限制

和保护。开放云则通过使用开放技术,使数据在云之间共享,使云之间相

互协作不再受限,也使开放云成为了提高多个组织之间合作的最有效的云。维度3:边界化/去边界化架构

第三维度表达的是 “体系理念”,即 “云”在企业的传统IT边界以里

还是之外。边界化意味着在以防火墙为标志的传统IT边界内经营云计算,但是这种做法阻碍企业与企业 (私有云与私有云)的合作。边界化的情况

下,可以通过VPN简单地延伸组织边界到外部云域,在公司的IP域内运

营虚拟服务,当计算任务完成后,把边界退回到原来的传统位置。去边界

化是指逐渐移除企业传统的IT边界,使企业能够越过任何网络与第三方企

业 (业务伙伴、客户、供应商、外包方等)进行全球性的安全合作。目前,可以在维度3里运营四种云形态 (I/P,I/O,E/P,E/O),如

图3.5所示。右上方的云形态E/O/D.P称之为 “最优点”,能实现最优的

灵活性和合作。然而,私有云服务提供商出于商业利益的考虑,会限制

“云”从私有域迁移,把云用户留在立方体的左侧。维度4:自供/外包

第四维度阐述的是 “运维管理”,描述运维管理权的归属问题。8个云

形态Per(I/P,I/O,E/P,E/O)和D.P (I/P,I/O,E/P,E/O)里每

个云形态有两种运维管理状态,分别为自供和外包。公司自己控制运维管

理属于自供维,运维管理服务外包给第三方属于外包维。在云立方体模型

图中用两种颜色表示 (颜色1和2)第四维度。8个云形态均可以采用两种

颜色中的任一颜色。从上述对云立方的细致的分析可以看出,云立方体模型可以很好地对

位置、所有权、架构和维护模式进行边界界定。能够区分云从一种形态转

换到另外一种形态的四种准则/维度,以及各种组成的供应配置方式,对理

解云计算所具有的安全问题有很好的帮助。云用户需要根据自身的业务和

安全需求选择最为合适的云计算形态。然而,云立方体定义的云形态维度

主要用于商业决策,对技术的概述相对薄弱,故将对云计算安全的架构和

技术问题的研究置于云立方体模型的下一层次,结合每种云计算形态的安

第三章　云安全架构 061

全特点来分析云计算安全的应对策略和核心技术成为云计算安全研究的

主题。

3.3　云安全应对策略

结合云计算安全特征,参考云安全参考模型,制定符合云计算形态的

安全策略势在必行。安全策略对于云计算的安全建设是十分重要的,也是

云计算安全建设中最重要的工作之一。但是由于制定安全策略只涉及很少

的技术知识,很多专业技能的人似乎对其并不太重视,事实上制定安全策

略非常重要。

3.3.1　CSA安全指南

云计算中的安全控制机制虽说与传统IT环境中的安全控制机制没有本

质的不同。不过,云计算环境下存在其特有的安全风险,因此具有特别的

安全关注领域。CSA对云服务的主要安全关注点分为治理和运行两个领域,共涉及12个具体的关键域 (D2~D13),如表3.2所示。其中治理域范畴

很宽,主要解决云计算环境中的战略和策略,而运行域则更关注于云安全

架构内关键技术的实现。

治 理 域 运 行 域

治理和企业风险管理 传统安全、业务连续性和灾难恢复

法律和电子证据发现 数据中心运行

合规与设计 应急响应通告和补救

信息生命周期管理 应用安全

可移植性和互操作性 加密和密钥管理

身份和访问管理

虚拟化

CSA通过对云计算安全的若干安全问题特别是十二个关注点进行重点

阐述,给出每一个关键域相应的安全控制实施建议,可以使用户对云计算

安全有个更为清晰的认识,更好地了解云计算安全需要解决的问题、最新

的建议措施,避免潜在的威胁。但是,并不是已有的安全技术就能成为云

计算环境的安全解决方案,需要针对这些安全领域研究安全技术面临的需

求、规模、性能等方面的新问题,如虚拟机安全、取证与安全审计等,才

能合理有效地部署安全措施,保障云计算的安全。

表3.2 CSA 的关键关注

安全领域

科

学出版社

职教技术出版中心

www.abook.cn

062 云计算安全体系

3.3.2　美国联邦政府云安全策略

无论云计算还是其他信息技术,都是亚马逊、谷歌、英特尔、微软、惠普、IBM等高技术企业在创新中推动科技的发展,这无疑与美国在信息

领域的技术、管理、法律、安全保障等诸多方面已经建立的雄厚基础密切

相关。在云计算安全领域,美国发展较为迅速,不仅在数据安全和个人隐

私方面,建立了涵盖立法、管理和技术等系统化的保障体系,而且也将云

计算安全作为国家战略制定了应对云计算安全的整体策略。(1)对云服务实施基于风险的管理:美国联邦政府在推动云计算初期

就认识到云计算的安全和隐私、可移植性和互操作性是云计算被接纳的主

要障碍,并给予了高度重视。美国联邦政府认为,对于云服务要实施基于

风险的安全管理,在控制风险的基础上,充分利用云计算高效、快捷、利

于革新等重要优势,并启动了联邦风险和授权管理项目 (FedRAMP)。(2)加强云计算安全管理,明确安全管理相关方及其职责:首先,明

确云计算安全管理的政府部门角色及其职责;其次,明确FedRAMP项目

相关方的角色和职责;最后,明确第三方评估组织的职责。(3)注重云计算安全管理的顶层设计:在政策法规的指导下,以安全

控制基线为基本要求,以评估和授权以及监视为管理抓手,同时提供模板、指南等协助手段,建立了云计算安全管理的立体体系,如图3.7所示。

(4)丰富已有安全措施规范,制定云计算安全基线要求:在 《推荐的

联邦信息系统和组织安全措施》(sp800.53)基础上,根据云计算特点,针

对信息系统的不同等级 (低影响级和中影响级),制定了云计算安全基线要

求——— 《FedRAMP安全控制措施》。与传统安全控制措施相比,云计算环

境下需增强的安全控制措施包括访问控制、审计和可追踪、配置管理、持

续性规划、标识与鉴别、事件响应、维护、介质保护、物理和环境保护、系统和服务获取、系统和通信保护、系统和信息完整性。

(5)主抓评估和授权,加强安全监视:美国联邦政府以第三方评估机

构作为支撑,对云服务进行安全评估,并且通过初始安全授权,加强双层

图3.7美国联邦政府云计算安全

管理立体体系

第三章　云安全架构 063

授权机制,并对云服务提供商提供持续监控,保障云服务运营安全。(6)提供SLA、合同等指导,为云服务安全采购提供指南:有效的

SLA内容将会为云服务采购及其使用过程提供充分的安全保障。2010年9月 MITRE给出的 《政府客户云计算SLA考虑》中,对政府部门与云服务

商之间的SLA设计给出了具体的指南,指出SLA设计要考虑SLA背景、服务描述、测量与关键性能指标、连续性或业务中断、安全管理、角色与

责任、支付与赔偿及奖励、术语与条件、报告指南与需求、服务管理、定

义/术语表11方面的内容,并且每个方面的内容又划分为具体的细项给予

了具体的指导。另外,在合同方面,2012年2月发布的 《联邦政府制定有

效的云计算合同———获取IT即服务的最佳实践》,给出了采购云服务的合

同需求和建议,包括服务协议条款、保密协议、服务级别协议等,并分析

安全、隐私、电子发现、信息自由访问、联邦记录保留等方面的需求,同

时给出了具体建议。

3.4　云安全技术、管理及标准

上述内容详细分析了云安全联盟和美国联邦政府对于云计算安全保障

策略,这些策略对于各大云服务提供商实施基于云服务的信息安全保障提

供了很好的参考,为构建云计算安全体系提供了很好的思路,同时也促进

了云计算安全体系的建设,为云计算的安全发展提供了良好的保障。

2013年,Gartner公布了一份关于云计算安全关键技术曲线成熟度

(hypecycles)的报告。这份报告包括云计算安全技术和云计算安全标准两

方面内容,目的是提高云计算信息系统的安全性和可靠性,并指定由云服

务提供商提供可信的应用和安全的服务。云计算安全技术成熟曲线如

图3.8所示。近些年很多公司如IBM、思科、亚马逊、微睿等公司相继提出了云计

算安全框架。国内各大云服务提供商也提出了自己的云安全体系,如阿里

云、百度、道里云、绿盟等,科研机构也从不同的角度构建了云安全体系。例如,中国科学院软件研究所,从安全云服务的角度构建了云计算安全框

架;中国科学院信息工程研究所从云安全技术、云安全管理、云安全标准、云安全评估四个方面构建了完整的云安全体系,如图3.9所示,目的是构

建一个安全可保护的云计算平台。虽然云计算的安全标准体系还未建立,约束云计算安全的政策和法律

法规还不完善,但是在构建云计算中心初期必须遵循一定的标准和法规。由于云安全具有传统信息系统安全的特征,所以云安全体系构建可以以传

统信息系统安全标准体系及相关的法律法规为依据。

科

学出版社

职教技术出版中心

www.abook.cn

064 云计算安全体系

构建安全的云计算信息系统的前提是云计算数据中心 (云中心)的安

全程度。首先要从物理安全的角度来构建云计算数据中心的第一道防线。将云中心构建在一个相对适宜的环境中,保障物理设施安全,防止被盗被

毁。云中心的核心为基础设施,基础设施包括计算设备、存储设备、网络

设备,不仅要从物理上保障这些基础设备的安全性,还要通过部署一定的

图3.82013云计算安全技术成熟

曲线图

(摘自 Gartner发布的技术

调研报告———CloudSecur-ityHypeCyclefor2013)

图3.9云计算安全体系

第三章　云安全架构 065

安全策略保护其不受攻击和非法访问;当然云计算的技术特征之一就是采

用虚拟化技术,虚拟化技术的承载体为云计算的基础设施,基础设施的安

全性直接关系到虚拟机的安全性,而虚拟机一旦遭受到攻击,那么基础设

施也同样面临攻击的危险,所以保障虚拟机的安全性也是上述云安全体系

中重点关注的问题之一。其次,云运行环境的安全性也是PaaS用户极其关

心的问题,租用PaaS服务的用户所使用的系统是否隔离,用户的数据能否

得到保护也是上述云安全体系需要强调的问题。SaaS服务对云服务提供商

来说往往面临着将传统信息平台应用迁移到云计算平台上,在进行应用迁

移过程中会遇到各种安全挑战;此外,租用SaaS服务的开发者所开发的应

用自身的安全隐患是否会对云平台构成威胁也是云服务提供商特别担心的

问题,必须通过部署有效的技术措施来预防或者检测恶意行为的发生。然

而,不管是IaaS服务、PaaS服务,还是SaaS服务都面临着数据安全的问

题,数据安全无论对用户还是对云服务提供商都是极具挑战性的,数据的

安全性直接影响着云服务的信誉问题,对云服务的可持续性的重要程度不

言而喻。另外,用户管控也是云计算带来的新的技术挑战,由于云计算平

台面临着不仅仅是个人用户,还有企业用户,甚至还要面临着云服务提供

商内部用户,对云资源具有使用和访问权限的用户是否是合法的,他们是

否会按照约束的条约来对云资源进行操作,这些都是云服务提供商所担心

的问题。云计算安全管理与云计算安全技术相辅相成,共同保障着云计算中心

的安全性。通过管理措施,对云资源进行统一管控,用相应的法律法规进

行约束,并设置监控和告警装置,一旦云计算中心出现事故,能够及时报

警,保障云业务的持续性。但在现阶段云安全相关的管理法规还不够完善,云安全测评标准也未形成,云安全评估方法尚处在研究阶段,而上述云安

全体系明确提出了云安全测评和云安全评估两个问题,意图是指出云计算

安全标准的确立方向,明确云安全评估的发展方向,全面保障云计算数据

中心的安全性。

3.4.1　云安全技术体系

云计算独具特色的服务提供方式必将带来新技术的应用,然而新技术

的产生必将带来多种安全挑战。传统的安全技术手段是否适用于云计算环

境? 能否解决云计算中的安全问题? 云计算新技术所带来的安全风险通过

何种方式来应对? 传统安全技术何去何从? 哪些该保留? 哪些该改进? 这

些问题是很多从业人员在构建云计算平台时应该仔细思考的问题。那么针

对云计算技术,又有哪些安全需求呢? 需要我们认真思考,挖掘需求本质

才能有效应对。(1)安全接入:提高云计算系统的安全性、健壮性的前提就是做好安

科

学出版社

职教技术出版中心

www.abook.cn

066 云计算安全体系

全接入工作,对云服务提供商来说首要的任务就是快速、高效地部署云计

算信息系统的边界防护措施。总体来说传统边界防护技术包括防火墙技术、防病毒网关技术、终端防护技术、网闸技术等。然而,传统防火墙技术无

法有效对抗更隐蔽的攻击行为,如欺骗攻击、木马攻击,对云服务提供商

来说有必要采用防护能力更强的边界防护技术;针对云计算这种复杂的应

用环境,传统防病毒软件无法对木马、蠕虫、邮件性病毒进行全网整体的

防护,构建整体病毒防护体系已成为必然;云计算的特征之一就是多租户,必将面临海量终端接入,如何防止不安全的在线非法外联、离线非法外联

或不安全的接入行为也是云计算系统安全急需解决的问题之一;此外,用

户将数据托管到云端,那么在数据传输过程中如何预防数据被非法监听、窃取、篡改等恶意行为的发生也是保证云计算安全接入的关键。

(2)虚拟化:虚拟化技术在云计算中所处的位置不言而喻,将虚拟化

技术应用到云计算系统中,使原有信息系统中存在的边界不复存在,因而

虚拟机安全成为牵一发而动全身的关键环节。然而,现阶段虚拟化技术存

在缺陷,虚拟化软件也存在一些程序的缺陷,极易发生虚拟机逃逸攻击,虚拟机中的恶意程序可以绕过控制层,直接获取对宿主机的控制权限;为

了方便虚拟机的使用,同一台物理机内部的各个虚拟机之间及虚拟机与宿

主机之间通常需要通信,在提供功能上便利的同时也带来了一定的安全隐

患,为恶意程序在虚拟系统之间的传播提供了可乘之机;此外,在一些侧

重系统效率的实现中,虚拟机与宿主机之间的隔离十分薄弱,虚拟机可与

宿主机进行直接通信,一旦某个虚拟机受到感染,将严重威胁同一宿主机

上的所有虚拟系统。同一台物理机上的多个虚拟机可共享宿主机的网络配

置,因此传统的与 MAC或IP地址紧密关联的安全策略,在相关实体是虚

拟机时会效果不佳。在一个采用虚拟化技术搭建的云中,应当能够根据请

求数据的环境而不仅仅是发出请求的 MAC或IP地址来执行安全策略;这

些安全缺陷都给虚拟化技术带来了很大的挑战,也给云计算系统的安全带

来了很大的风险。因此,加强虚拟化技术的安全性也成为云计算安全需求

之一。(3)资源共享:资源共享是云计算的优势之一,它使得大量的租户能

够共享相同软硬件资源,每个租户能够按需使用资源,多个租户可以共用

一个应用程序或运算环境而不影响其他租户的使用。多租户可在数据层面

实现,即多个租户共享同一个应用程序实例;也可在进程层面实现,即多

个租户分属同一个运算环境下的不同进程;也可在系统层面实现,典型的

场景是为不同租户分配不同的虚拟机。多租户技术中最重要的安全问题就

是不同用户之间的数据安全问题,主要体现在用户数据存储安全问题、数

据和应用程序运行环境 (applicationcontext)的隔离问题。用户将自己的

数据托管到云端,如何防止云服务提供商和其他用户的非授权访问、恶意

第三章　云安全架构 067

篡改、破坏;相应地,租户间隔离也可在以下三个层面实现。● 数据层面:多租户架构下不同租户数据的存储有三种模式,对应着

三种隔离的级别和实现的复杂度。专用数据库模式,即每个租户使用该租

户专用的数据库,在该模式下资源共享率最低,但数据隔离复杂度最低。共享数据库模式,即多个租户共享同一个数据库,但是分不同的表或视图

(schema)进行存储。共享数据库表模式,即多租户的资源共享达到了数据

库表的级别,同一个数据库表中可能存放多个租户的数据,在该模式下资

源共享率最高,但数据隔离复杂度也最高。● 进程层面:提供商可以利用应用程序的挂载环境,在进程粒度上切

割不同租户的应用程序运行环境,通过限制跨进程通信,保护各租户的应

用程序运行环境互不干扰,但要求供应商的运算环境要够强。● 系统层面:提供商可以利用虚拟化技术,将实体运算单元切割成不

同的虚拟机,各租户可以使用其中一至数台的虚拟机来作为应用程序与数

据的保存环境。此类情形下租户间隔离通过虚拟机之间的隔离实现。Ama-zon公司的EC2就是在虚拟机层面实现多租户的一个实例。

通过以上分析可知,多租户资源共享无论从哪个层面来实现,提高安

全性的同时就是要牺牲资源的利用率,如何平衡资源共享的安全性和资源

的利用率是我们急需解决的问题。(4)应用服务:云应用软件服务的安全性直接影响云用户对云环境的

信赖性。作为云服务提供商需从用户数据安全保护、云应用软件内容安全

保护、云应用软件自身的安全保护三个层面来部署。云应用的数据安全主

要是指动态数据安全问题,包括用户数据传输安全、用户隐私安全和数据

库安全问题,如数据传输过程或缓存中的泄露、非法篡改、窃取以及病毒、数据库漏洞破坏等。因此,需要确保用户在使用云服务软件过程中的所有

数据在云环境中传输和存储时候的安全。由于云计算环境的开放性和网络

复杂性,内容安全面临主要的威胁包括非授权使用、非法内容传播或篡改。内容安全需求主要是版权保护和对有害信息资源内容实现可测、可控、可

管。云计算应用安全主要是建立在身份认证和实现对资源访问的权限控制

基础上。云应用需要防止以非法手段窃取用户口令或身份信息,采用口令

加密、身份联合管理和权限管理等技术手段,实现单点登录应用和跨信任

域的身份服务。对于提供大量快速应用的SaaS服务商来说,需要建立可信

和可靠的认证管理系统和权限管理系统作为保障云计算安全运营的安全基

础设施。Web应用安全需要重点关注传输信息保护、Web访问控制、抗拒

绝服务等。通过从多个方面对云安全技术进行分析,充分表明了一种安全机制或

几种安全机制来保护信息系统安全是不够充分的,多重加强的安全技术机

制或者控制手段才能够构建更加完善和健壮的系统,所以在对云计算系统

科

学出版社

职教技术出版中心

www.abook.cn

068 云计算安全体系

进行安全部署时依然要遵循计算机与网络安全所遵循的纵深防御的原则,构建完整的云安全技术体系,具体如图3.10所示。

虽然云基础设施与传统IT基础设施在很多层面上存在不同,但是传统

的安全技术在云计算安全技术体系中仍然处于主导地位。云计算环境的开

放性使用户私有数据面对来自多方的安全威胁,数据的安全和隐私保护是

云计算安全中极其重要的问题。解决该问题的关键技术———支持密文存储

的密文查询、数据完整性验证、多租户环境下的隐私保护方法等成为云安

全技术体系中的关键。云计算平台要统一调度、部署计算资源,实施硬件

资源和虚拟资源的安全管理和访问控制,而确保虚拟化运行环境的安全成

为了云计算安全的关键。在此安全体系之下,提供虚拟机安全监控、虚拟

机安全迁移、虚拟机安全隔离以及虚拟机安全镜像等技术成为保障云安全

的必需。各种服务模式的虚拟机都存在隔离问题引起的安全风险,包括内

存的越界访问、不同安全域的虚拟机控制和管理、虚拟机之间的协同工作

的权限控制等。如果云计算平台无法实现不同 (也可能相同)云用户租用

的不同虚拟机之间的有效隔离,那么云服务商就无法说服云用户相信自己

提供的服务是安全的。

3.4.2　云安全管理体系与法规

在信息安全领域,云安全市场的增长已经远远高于整体IT市场的增

长,管理手段从传统的安全管理向云计算安全管理转变已经成为必然趋势。信息系统安全管理大体经历了三个时代,如图3.11所示,即单机时代、网

络时代、云时代。云时代的安全管理已经成为当今信息安全管理研究的主

流,很多产业界和学术界的科研工作者对云安全管理进行了深入的研究,多数云服务提供商也部署了安全管理措施来保障云平台的安全性。例如,

Google在安全上,实现了可信云安全产品管理、可信云安全合作伙伴管理、

图3.10云计算安全技术体系

第三章　云安全架构 069

云计算合作伙伴自管理、可信云安全的接入服务管理、可信云安全企业自

管理;曙光科技从云身份安全管理、网络安全管理、内容安全管理、数据

安全管理、状态事件监控、全局策略管理六个方面对云平台进行安全管理。

然而,云计算的安全管理面临多方面的挑战。例如,在管理权方面,云计算环境下用户的应用系统和数据移至了云服务提供商的平台之上,使

云计算数据的管理权和所有权分离,比如公有云服务方面,是否给供应商

提供一些高权限的管理;在协调和管理方面,如果发生攻击是否会发生攻

击联动;在协商方面,企业和云服务提供商之间在安全方面能否做到需求

一致;在监管方面,由于云计算环境的复杂性、海量数据和高度虚拟化动

态性使云计算的安全监管面临巨大的挑战;此外,对于云服务提供商内部

人员的安全管理也成了云安全管理中需要认真考虑的问题。另外,由于云

计算大用户量、大数据量、模糊边界、复用资源环境下取证等问题使云服

务提供商的安全审计工作也存在很大的挑战,同时也使云计算的安全运维

管理比传统的信息系统所面临的运维管理更具难度和挑战性。上述云安全体系,要从物理、IT架构、应用三个层面部署安全管理措

施。物理安全管理要从云数据中心的规模着手,规模较大的数据中心,由

于设备众多,给安全管理带来了巨大的挑战,我们可以将所有的资产进行

分类,并记录在案;或者是对计算中心进行安全域划分,将秘密级别较高

的设施存放在安全级别较高的区域,并通过日常安全管理,对操作人员进

行行为的约束和监管。但仅仅从物理的角度对云中心进行安全管理是远远

不够的,网络状态是否正常、配置信息是否正确、系统升级是否安全等问

题都是云安全管理需要解决的问题。在IT架构层面,可以通过人工或者软

件对网络安全设备如防火墙、VPN、IDS/IPS进行统一管控,这样一旦网

络安全设备遭受到攻击或者出现故障可以及时发现,保障数据中心管控程

序正常运行;此外,还需对云系统不同组件进行冗余配置,保证系统的高

可用性以及在大负载量下的负载均衡;同时需对系统存在的漏洞、系统更

新补丁及配置 (VPC)资源进行管理,并且使VPC管理成为维护云计算系

统安全的必须手段;当然,对云计算数据中心构成的最大威胁一般都是人

为威胁,所以对云用户的身份管理也是十分必要的,在应用层可采用基于

权限的访问控制和细粒度的分权管理策略。对人员进行安全管理,保障合

法用户的安全访问。

图3.11安全管理发展进程

科

学出版社

职教技术出版中心

www.abook.cn

070 云计算安全体系

上述方法都是对云计算中心的安全防护管理。对于云计算中心,要保

障其安全性还需从安全监控和安全审计两个方面来部署。云服务提供商应

采取云监控手段对云中心的网络资源、主机资源、虚拟环境及网络流通内

容进行安全监控,实时监测恶意行为的发生,防止非法信息的传播,并配

备安全告警装置,对告警进行分级管理,当有安全事故发生时能够及时通

知安全管理人员解决事故问题。为了确保云计算中心的安全性和可持续性,在云计算安全管理方面不

得不提几项安全管理的重要领域,分别为云计算风险管理、云计算安全基

线建设、云计算应急响应管理,这些问题对于保障云计算中心的安全性方

面具有重要意义,下面就对以上三个问题做细致的分析。

1)风险管理

基于云计算的风险管理是围绕云计算的风险而展开的评估、处理和控

制活动,是云计算安全管理的重要内容,在对云计算进行风险管理时要辨

别风险,评估风险出现的概率及产生的影响,然后建立一个规划来管理风

险。风险评估是建立云计算安全管理体系的前提。通过对云计算进行风险

评估,云服务提供商可以对当前的云计算安全状况有一个系统且全面的掌

握,能从中找出潜在的安全风险问题,并对其进行合理分析,判断风险的

严重性和影响程度,以此为基础确定自身在云计算安全建设方面的需求。在云计算中,可以将信息安全的风险评估作为确定用户安全需求最主

要的途径之一,依据风险评估内容与结果,云服务提供商确定最终对信息

资产的保护程度、保护措施、控制方式。云服务提供商可以根据每种资产

所面临的威胁、自身的弱点以及潜在影响和发生的可能性等因素,可分析

并确定具体的安全需求。图3.12描述了企业信息安全中关于风险及相关要素之间的关系,这种

关系将是云服务提供商进行云计算安全风险管理的理论基础与评估出发点。然而,在云计算环境下,进行风险管理的主要目标就是预防风险。云服务

提供商在对云计算进行安全管理时,要根据云计算信息系统的重要性、面

临的风险大小、业务中断所带来的损失等因素综合平衡风险成本,确定云

计算安全体系中各种安全风险等级,选择合适的云安全解决方案,防止

“过保护”和 “欠保护”现象的发生。

图3.12风险管理各要素之间的

关系

第三章　云安全架构 071

2)安全基线建设

云计算信息系统网络结构复杂、服务器种类繁多,运维人员一旦发生

误操作或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,就可能对信息系统造成极大的影响。因此,针对云计算信息系统建立安全

基线规范成为了保障云计算信息系统安全运行的必要步骤。安全基线是信息系统最小的安全保证,即该信息系统满足的最基本的

安全要求。为了保证信息系统的稳定运行,需在云计算业务系统的整个生

命周期的各个环节对现网上的设备以及系统安全配置进行定期检查,而所

遵守的最低安全标准即为安全基线。安全基线模型以业务系统为核心,分

为业务层、功能架构层和业务实现层三个层次。第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义

不同安全防护的要求,是一个比较宏观的要求。第二层是功能架构层,它将业务系统分解为相对应的应用系统、数据

库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块

针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。第三层是系统实现层,它将第二层模块根据业务系统的特性进一步分

解,如将操作系统可分解为 Windows、Linux等系统模块,网络设备分解

为路由器、交换机等系统模块,这些模块中又具体地把第二层的安全防护

要求细化到可执行和实现的要求,称为 Windows安全基线、路由器安全基

线等。那么,安全基线模型如何在云计算中心应用呢? 下面就结合具体实例

对此进行阐述。云计算中心要对互联网用户提供服务,就存在互联网的接

口,那么就会受到互联网中各种蠕虫的攻击威胁,在第一层中就定义了需

要防范蠕虫攻击的要求。蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响,因此在这些不同的

模块中需要定义相对应的防范要求,而针对这些防范要求,如何来实现呢?这就需要定义全面、有效的第三层模块要求了。针对不同类型蠕虫病毒的

威胁,在 Windows、Linux等系统的具体防范要求是不一样的,第三层中

就是针对各种安全威胁针对不同的模块定义不同的防护要求。这些不同模

块的防护要求就统一称为云计算中心业务系统的安全基线。在云计算信息

系统中,安全基线体系涉及范围广泛、性质复杂,整个过程贯穿于信息系

统的全部生命周期,是一个复杂的系统工程,所以需要结合云计算信息系

统风险分析报告对安全基线的建立、落实以及管理的过程进行规划。如何

规划、如何动态地覆盖到云计算环境中业务和操作的各种安全行为,成为

了云计算基线建设亟须解决的问题。

3)应急响应 (P2DR模型)由于云计算信息系统的开放性,面对各种攻击是完全不可避免的,这

科

学出版社

职教技术出版中心

www.abook.cn

072 云计算安全体系

时保障云计算信息系统安全的重点就是如何在安全策略的指导下及时发现

问题,然后迅速响应,P2DR模型就是这样的一个动态安全模型。以安全

策略为中心的P2DR模型是动态自适应网络安全模型的代表性模型,也是

目前国内外在信息系统中应用最广泛的一个安全模型。根据P2DR模型

(policy,protection,detection,response)构筑的网络安全体系,能够在

统一安全策略 (policy)的控制和指导下,在综合运用防护工具 (protec-tion,如防火墙、身份认证、访问控制等)的同时,利用检测工具 (detec-tion,如漏洞评估、入侵检测系统)了解和判断网络系统的安全状态,并通

过适当的响应 (response)措施将网络系统的安全性调整到风险最低的状

态。防护、检测和响应组成了一个完整的动态安全循环,如图3.13所示。

P2DR模型是一个动态性、过程性的抽象安全模型,体现了安全管理、按需安全的思想。将P2DR模型应用于保护云计算信息系统的安全已成为

必然。图3.13不仅描述了P2DR模型,也体现了对于云计算信息系统安全

事件的处理过程。结合P2DR模型,可将云计算安全事件处理过程分为三

个阶段,分别为事前未雨绸缪、事中风雨同舟、事后亡羊补牢。(1)事前:进行安全防护,明确边界,划分安全区域,把要保护的资

源与攻击者分开,修建隔离墙,设立边界检查措施,通过增加 “空间”距

离,减少与外界的通道,提高入侵的门槛与难度。(2)事中:进行动态监控,边界外要观察攻击者的动向,边界内要注

意一些用户的异常行为,一旦发现 “乔装”进入的入侵者,就立即报警、截获。监控的目标是在入侵者造成破坏之前尽快发现对方,及时应对,减

少可能的损失。(3)事后:取证追究责任人,震慑攻击者。处理完事件后,要追查入

侵者进入的途径,看看问题出在哪里,对入侵者的行为记录进行分析,从

而发现防护体系与监控体系的漏洞,防止入侵者再次进入。按照P2DR的观点,一个良好、完整的动态安全体系,不仅需要恰当

的防护,而且需要动态的检测机制,在发现问题时还需要及时做出响应,这样的一个体系需要在统一、一致的安全策略的指导下实施,由此形成一

个完备的、闭环的动态自适应安全体系。然而,在实际应用中P2DR模型

图3.13P2DR模型示意图

第三章　云安全架构 073

并没有完成其应有的功能,模型中的安全策略没有实质的内涵,策略的真

正指导作用存在缺陷。这导致P2DR动态安全模型中的各种安全组件仍然

是相互独立的功能模块,只能依赖人为因素的参与来实现动态的安全循环。此外,P2DR模型忽略了内在的变化因素,如人员的流动、人员的素质和

策略贯彻的不稳定性。实际上,安全问题牵涉面广,除了涉及防护、检测

和响应,系统本身安全的 “免疫力”的增强、系统和整个网络的优化,以

及人员这个在系统中最重要角色的素质的提升,都是该机械模型安全系统

没有考虑到的问题。鉴于P2DR的上述弱点,在云计算安全管理中,运用

P2DR安全模型的同时也要注意P2DR安全模型缺点的改进与补充,这是云

计算安全管理中特别需要注意的问题。以上是对云安全管理三个重要领域的分析,可见在云安全管理方面还

存在很多问题,同时也面临了很大的挑战,需要业界相关领域的专家共同

努力来解决这些问题。但是,从云计算健康发展需求来看,法律法规体系

的建设也是非常重要的,它能够有效地约束云服务提供商和恶意用户的不

法行为,为维护云计算安全提供法律保障。目前,我国针对云计算安全的

法律制度还不够健全,保密规范欠缺,这在某种程度上严重制约了云计算

的健康发展。所以,要尽快出台相关法律,包括责任法规,用于明确安全

责任的鉴定和取证。例如,个人数据保护法,对用户的数据进行法律保护;信息安全法,明确信息安全管理办法;电子签名法及电子合同法;取证法

规;地域法规,明确资源跨地域存储的监管、隐私保护;知识产权保护

法等。

3.4.3　云安全标准及评估

云计算安全标准化是云计算所面临的众多问题中的关键所在,它不仅

是度量云用户安全目标与服务提供商安全服务能力的尺度,也是开展云计

算信息系统等级保护工作的基本条件。有研究机构认为,安全和标准对于

云的起飞至关重要。没有标准,云计算产业的发展就难以得到规范健康的

发展,难以形成规模化和产业化集群发展。目前,各国政府、标准组织等

正在积极着手云计算标准研究与制定工作,但云计算安全研究尚处于起步

阶段,虽然国际上一些著名的标准化组织 (如ITU、NIST等)开展了云安

全标准的研究工作,并发布了一些技术报告,但是云计算安全相关标准尚

未形成,所以云计算安全相关标准的制定已经迫在眉睫。就我国云计算安全发展形式而言,也尚未建成一个符合我国云计算信

息产业特点的云安全标准体系和等级相关的平台考核体系,也没有一个规

范化的标准,而且云安全作为一个新兴发展的领域,目前处在实践探索阶

段,各个企业和组织对云安全也有不同的理解,因此亟须云安全标准化的

研究和制定,以便更好地规范和引导云计算产业。工信部电信研究院规划

科

学出版社

职教技术出版中心

www.abook.cn

074 云计算安全体系

所副所长徐志发认为可以通过在我国产业界成立云安全联盟,并联合我国

政产学研各方建立相应组织机构来推动我国云安全标准化工作。当然,云

计算行业和诸多行业体系的成长成熟一样,云计算安全标准体系的建立和

形成还是需要整个行业来推动和促进的。谈及云计算安全标准就不能不探讨一下基于云计算的等级保护工作。

等级保护是我国对重要信息系统进行安全评估的主要依据,其中 《信息系

统安全等级保护基本要求》是指导信息系统建设、定级、检查和评估的主

要标准。该基本要求将信息系统作为保护对象,按照信息系统的重要程度

划分为5个保护级别,通过分析保护对象面临的4个威胁要素,定义了不

同保护级别的威胁。针对不同级别的威胁,基本要求提出了安全保护能力

的要求 (包括对抗能力和恢复能力)、不同信息系统的保护级别 (要求不同

强度的保护能力来保障信息系统),以抵抗威胁。图3.14表示了等级保护

基本要求的保护模型。

为实现和验证信息系统各级保护能力,等级保护基本要求借鉴国际主

流信息安全标准,并结合国内信息安全管理的实际情况,提出了技术与管

理两方面的具体措施。技术上要求有物理安全、网络安全、主机安全、应

用安全和数据安全五个方面,管理上要求有制度管理、机构管理、人员管

理、建设管理和运维管理五个方面,共十大类的安全措施。每类安全措施

下定义有关键的控制点及子项,作为等级保护基本要求的具体要求,如

图3.15所示。

图3.14等级保护基本要求保护

模型

图3.15信息系统等级保护分级与

措施

第三章　云安全架构 075

当前,信息系统等级保护工作仍然在推广和完善中,等级保护基本要

求项的描述明确且可执行性高,符合国内实践需要,是在借鉴国外先进经

验和结合中国国情的基础上解决中国信息网络安全的必然选择。然而,对于云计算信息系统的等级保护却受到了质疑。有些人认为,

在云计算时代,等级保护制度过时了,原有的系统架构已经改变,等级保

护的整改建设将无法按照标准执行;另一种观点则认为,无论云计算怎样

发展,终究是信息系统,具有信息系统的特点,因此完全可以按照等级保

护的制度要求来进行。就此问题,中国工程院院士沈昌祥提出了自己的观

点。沈昌祥强调,“云计算是计算系统,本质没有变,只不过一些模式发生

了变化,但也需要技术和管理两方面来解决问题。首先通过2010年发布的

《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070—

2010)以保护云计算系统的框架,其次按照 《计算机信息系统安全保护等

级划分准则》(GB/T17859—1999)评估规则对信息流程处理加强控制管

理。通过等级保护建立信息系统运行的安全环境”。可见,在云计算信息系

统发展和普及的过程中,以等级保护评估体系作为安全指导同样符合中国

信息化发展的实际需求。云计算相比于传统计算,由于服务特征的改变,带来了多种安全风险

和安全威胁。按照等级保护基本要求针对威胁提出对应保护能力的思路,必然要对现有信息系统等级保护内容进行扩充。如何扩展等级保护的基本

要求,如何开放和扩展地延伸现有等级保护体系,如何在不同保护级别下

开发云计算等级保护的基本保护能力要求成为云计算信息系统等级保护急

需解决的问题。

3.5　云计算中心安全建设

在全球信息化浪潮的推动下,在云计算技术快速发展下,云计算IDC蓬勃兴起。云计算IDC是一种以电信级机房设备向用户提供专业化和标准

化的数据存放业务和相关服务的数据中心,具有高速率、宽带宽以及高可

靠性的特点,可以说它的出现完全适应了中国互联网发展的需求。对于云计算IDC来说,应该具有足够的安全性是毋庸置疑的。它应能

够有效抵御来自系统内部的恶意破坏及来自系统外部的恶意攻击;应能够

提供有效的容灾与容错等风险保障机制来应对雷击、火灾、盗窃等意外,以及人为误操作等不可预知的问题。上述云计算安全体系对于具有上述需

求的云计算中心的安全建设具有重要的指导意义,它明确地指出了云计算

安全建设存在的问题和未来发展的方向。然而,在进行云中心安全建设时

除了明确各种安全技术及安全管理方法外,遵循现阶段较成熟的数据中心

科

学出版社

职教技术出版中心

www.abook.cn

076 云计算安全体系

安全建设原则是十分必要的,本章将对此问题做出详细的阐述,并结合具

体安全问题提出安全措施部署方案,为云计算中心的安全提供强有力的

保障。

3.5.1　安全建设原则

云计算数据中心较传统数据中心的区别主要体现在虚拟化程度、计算

存储及网络资源的松耦合程度、自动化管理程度、绿色节能程度等几个要

素。可见,云计算数据中心与传统数据中心在安全性建设上并无本质上的

区别,所以云计算数据中心安全建设应将传统数据中心安全建设原则作为

参考,结合用户与云服务提供商的安全需求进行合理的部署。传统数据中

心安全建设原则如下。(1)整体性原则:应遵循 “木桶原理”,单纯一种安全手段不可能解决

全部安全问题。(2)多重保护原则:在部署安全措施时不能把整个系统的安全性保障

寄托在单一安全措施或安全产品上。(3)平衡性原则:在进行数据中心建设前需制定安全规范措施,评估

被保护信息的成本与安全设备成本,使其价值达到平衡。(4)可管理、易操作原则:尽量采用最新的安全技术,实现安全管理

的自动化,以减轻安全管理的负担,同时减小因为管理上的疏漏而对系统

安全造成的威胁。(5)适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的

需求,避免因只满足了系统安全要求,而给业务发展带来障碍的情况发生。(6)高可用原则:安全方案、安全产品也要遵循网络高可用性原则。(7)技术与管理并重原则:安全技术与安全管理同样重要,不能偏重

技术忽略管理,更不能只注重管理疏忽核心技术的部署。(8)投资保护原则:在建设数据中心时要充分发挥现有设备的潜能,

避免投资浪费。以上是传统数据中心进行安全建设的原则,云计算数据中心的建设一

方面可以在原有传统数据中心的基础上进行迁移建设,一方面可以进行全

新的规划与建设,不管采用哪种方式,传统数据中心安全建设的原则是云

计算数据中心建设初期应该考虑的问题。

3.5.2　安全建设核心思想

如何去实现上述信息系统安全建设原则的具体部署,业界各大云计算

服务提供商根据自己的建设方案要求和擅长出发,提出了相应安全解决方

案,以达到相关的安全要求。但是其安全建设的核心思想是什么呢? 我们

将从传统的数据中心安全建设出发,结合云计算安全建设的原则,探讨云

第三章　云安全架构 077

计算数据中心安全建设的核心思想和云中心安全建设的新需求。

3.5.2.1 传统数据中心安全建设核心思想

传统数据中心所面临的安全威胁主要来自三个方面:一是面向基础设

施的攻击;二是面向网络层的攻击;三是面向应用层的攻击。因此,传统

数据中心安全部署的核心思想是 “分区规划、分层部署”。(1)分区规划:在网络系统中存在不同价值和易受攻击程度不同的应

用或业务单元,按照这些应用或业务单元的情况制定不同的安全策略和信

任模型,将网络划分成不同区域以满足业务、数据流、应用的逻辑功能、

IT安全等需求。通常,数据中心根据不同的信任级别可以划分为远程接入

区、Internet服务器区、存储区、测试区、管理区、核心区、容灾备份区

等,以满足对业务、数据、应用的安全要求。采用分区规划的架构设计具

有很好的伸缩性,可以根据未来业务发展的需要,非常容易地增加新的区

域,而不需要对整个架构进行大的修改,具备更好的可扩展性。因为每个

区域的安全功能是根据每个区域的特性进行定义,因此可以在不影响其他

应用或者整个区域的情况下单独进行安全部署,对于一次性建设投资或分

阶段建设的情况下都可以很好地进行网络安全的布局。(2)分层部署:分层部署是指在数据中心分区规划的基础上,按照数

据中心安全防护部署要求,在每个区域的边界处,根据实际情况进行相应

的安全部署。一般的安全部署包括防DDoS攻击、流量分析与控制、异构

多重防火墙、VPN、入侵防御以及负载均衡等措施。

3.5.2.2 云计算中心安全建设

较传统数据中心,云计算数据中心建设并无明显差别,可以借鉴传统

数据中心 “分区规划、分层部署”的思想。考虑到云计算的特点,其最大

需求是实现计算、存储等IT资源灵活调度,让资源得到最充分利用,而实

现这一需求的基础是以数据中心的虚拟机作为主要的计算资源为客户提供

服务。在这种模式下,数据中心建设出现了新的需求。(1)高性能要求:较传统网络云计算网络的流量模型发生了两个变化。

一是从外部到内部的纵向流量加大;二是云业务内部虚拟机之间的横向流

量加大。为保证未来业务开展,云计算数据中心必须具有较高的吞吐能力

和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突

发流量的承载能力。(2)虚拟化:虚拟资源池化是IT资源发展的重要趋势,可以极大程度

地提高资源利用率,降低运营成本。目前服务器、存储器的虚拟资源池化

技术已经日趋成熟,网络设备的虚拟资源池化也已经成为趋势,对应的云

计算数据中心的防火墙、负载均衡等安全控制设备,也必须支持虚拟化能

力,像计算、存储与网络一样能按需提供服务。(3)VM之间安全防护需求:虚拟环境下,同台物理服务器虚拟成多

科

学出版社

职教技术出版中心

www.abook.cn

078 云计算安全体系

台VM以后,VM之间的流量交换是基于服务器内部的虚拟交换,管理员

对于该部分流量既不可控也不可见,但实际上根据需要,不同的VM 之间

可能需要划分到不同的安全域,这样给安全防护带来了极大的挑战。针对以上云计算数据中心的三种新需求,传统安全区域划分和安全边

界防护技术在云计算数据中心安全建设上是必须被采纳的,对于抵御传统

攻击方式是非常有效的,而使传统安全设备具有虚拟化能力目前也不是技

术难点,虚拟防火墙技术在业界也有广泛的使用,所以对于云计算数据中

心的安全性保障无论在安全技术上还是安全管理上都能够进行有效的部署,下面章节就针对云计算安全部署问题进行详细的讨论。

3.5.3　最佳实践

对云计算数据中心来说,不论是公有云还是私有云,不论是只提供

IaaS服务,还是提供IaaS、PaaS或者SaaS服务,其所遵循的安全原则是

一致的,即保护基础设施安全、保护网络安全、保护应用安全。然而,在

面对云计算数据中心新需求时我们更应该注意以下几个问题。(1)注重对虚拟化的支持:虚拟化是云计算数据中心的关键技术,现

代化数据中心的基础网络架构、存储资源、计算资源以及应用资源都已经

在向虚拟化靠拢。无论是为了满足不同用户的需求,提供个性化资源服务,还是为了利用逻辑隔离手段来保证数据安全,虚拟化都是一个非常好的选

择。因此,在建设云计算数据中心的安全防护体系时,对虚拟化的支持是

十分重要的。(2)建设统一安全威胁防护系统:由于云计算数据中心的安全边界已

经变得模糊不清,资源高度整合,管理员即使有能力对整个数据中心进行

分区,也只能是基于逻辑的划分,物理上的安全边界已经不复存在。在这

种情况下,针对用户单独部署独立的安全系统已不现实。安全设备的部署

应该从原来的基于各子系统的安全防护,转移到基于整个云计算数据中心

的安全防护,建设统一安全威胁防护系统。打个形象的比喻,云计算数据

中心的安全威胁防护系统应该像一个罩子,覆盖住整个数据中心。(3)形成安全风险快速反应机制:在云计算数据中心的安全建设中,

充分利用云计算强大的资源共享能力和运算能力,对安全风险进行快速反

应和处置,快速定位解析安全威胁,并将安全威胁的处置方式推送至整个

数据中心,从而使所有的安全设备都具备对这种安全威胁的检测能力。在建设云计算数据中心时要充分考虑以上问题,从多个层次多个角度

对云计算数据中心进行全面防护,建立纵深防御体系。图3.16展示了云计

算中心总体安全部署。(1)环境安全部署:选址问题关系到云计算数据中心的长远发展,要

重点考虑数据中心周围的电力能源、水利能源、通信发展、税率、交通条