云計(jì)算已經(jīng)成為當(dāng)前IT 界關(guān)注的熱點(diǎn)話題，但云計(jì)算的發(fā)展也面臨許多關(guān)鍵性問(wèn)題，而安全問(wèn)題首當(dāng)其沖，并且隨著云計(jì)算的不斷普及，其重要性呈現(xiàn)逐步上升趨勢(shì)，已成為制約云計(jì)算發(fā)展的核心因素。因此，對(duì)云計(jì)算的安全進(jìn)行系統(tǒng)研究顯得迫切而重要。

　　1.云計(jì)算的概念與總體框架

　　1.1 云計(jì)算的概念

　　目前，業(yè)界對(duì)云計(jì)算的理解并不一致。簡(jiǎn)單地講，可以從技術(shù)和運(yùn)營(yíng)服務(wù)兩個(gè)層面來(lái)理解其含義：

　　1）從技術(shù)層面看

　　云計(jì)算并不是一項(xiàng)技術(shù)，而是代表一系列計(jì)算方式發(fā)展趨勢(shì)的綜合概念，是并行計(jì)算（parallel computing） 、分布式計(jì)算（distributed computing） 和網(wǎng)格計(jì)算（grid computing）的發(fā)展。事實(shí)上，云計(jì)算不是指一項(xiàng)獨(dú)立的技術(shù)，而是在從C/S 結(jié)構(gòu)、分布式計(jì)算到網(wǎng)格計(jì)算、效用計(jì)算、SaaS 的計(jì)算方式發(fā)展大趨勢(shì)下，一系列包括虛擬化、按需服務(wù)在內(nèi)的概念總和。

　　2）從運(yùn)營(yíng)層面看

　　云計(jì)算提供了按需租用計(jì)算能力的服務(wù)，對(duì)于外部使用者來(lái)說(shuō)，這種服務(wù)就像天上的云一樣透明，不需要考慮其背后的實(shí)現(xiàn)細(xì)節(jié)，從而可以專(zhuān)注于自身業(yè)務(wù)，有利于創(chuàng)新及節(jié)約成本。對(duì)整個(gè)行業(yè)來(lái)說(shuō)，這是一次革命性的創(chuàng)新。可以說(shuō)，云計(jì)算不僅僅是技術(shù)的進(jìn)一步發(fā)展，更是一種業(yè)務(wù)模式的創(chuàng)新。如果用一個(gè)簡(jiǎn)單的公式來(lái)表達(dá)云計(jì)算，就是：

　　云計(jì)算 =（基礎(chǔ)設(shè)施+ 平臺(tái)+ 軟件+ 數(shù)據(jù)）* 服務(wù)（1）其中，基礎(chǔ)設(shè)施、平臺(tái)、軟件、數(shù)據(jù)可以理解為云計(jì)算的技術(shù)層面。但僅有技術(shù)是不夠的，還要具備良好的服務(wù)，兩者是相乘的關(guān)系。即在同等技術(shù)條件下，服務(wù)越好，云計(jì)算的價(jià)值就越大。

　　1.2 云計(jì)算總體框架

　　云計(jì)算的總體框架如圖1 所示。

圖1 云計(jì)算總體框架圖

　　從圖1 可看出，云計(jì)算是一個(gè)復(fù)雜的體系，可以從以下幾個(gè)層面來(lái)論述。

　　1）從基礎(chǔ)技術(shù)角度看，云計(jì)算是一系列技術(shù)的總和，這一點(diǎn)從公式（1）可看出。

　　2）從性能上看，云計(jì)算有以下5 大特點(diǎn)：

　�。�1）按需自助服務(wù)。消費(fèi)者可按需方便地獲得計(jì)算資源。

　�。�2）泛在的網(wǎng)絡(luò)訪問(wèn)�？赏ㄟ^(guò)各種網(wǎng)絡(luò)渠道，以標(biāo)準(zhǔn)統(tǒng)一的機(jī)制獲取服務(wù)。

　�。�3）動(dòng)態(tài)資源池。資源可以被整合為一個(gè)動(dòng)態(tài)資源池，以多租戶(hù)模式服務(wù)所有客戶(hù)并動(dòng)態(tài)分配。

　　（4）快速伸縮性�？梢匝杆�、彈性地提高服務(wù)，既能快速擴(kuò)展，也能快速釋放資源。

　�。�5）可計(jì)量的服務(wù)。服務(wù)收費(fèi)可以是基于計(jì)量的一次一付，也可以針對(duì)不同服務(wù)需求計(jì)量和定價(jià)。

　　3）從服務(wù)模式看，云計(jì)算包含如下3 種模式：

　�。�1）基礎(chǔ)設(shè)施即服務(wù)（IaaS）。消費(fèi)者通過(guò)Internet 可以從完善的計(jì)算機(jī)基礎(chǔ)設(shè)施獲得服務(wù)。IaaS 通過(guò)網(wǎng)絡(luò)向用戶(hù)提供計(jì)算機(jī)（物理機(jī)和虛擬機(jī)）、存儲(chǔ)空間、網(wǎng)絡(luò)連接、負(fù)載均衡和防火墻等基本計(jì)算資源；用戶(hù)在此基礎(chǔ)上部署和運(yùn)行各種軟件，包括操作系統(tǒng)和應(yīng)用程序。

　　（2）平臺(tái)即服務(wù)（PaaS）。將軟件的開(kāi)發(fā)、測(cè)試和部署平臺(tái)作為一種服務(wù)提供給客戶(hù)。PaaS 平臺(tái)通常包括操作系統(tǒng)、編程語(yǔ)言的運(yùn)行環(huán)境，數(shù)據(jù)庫(kù)和 Web 服務(wù)器，用戶(hù)在此平臺(tái)上部署和運(yùn)行自己的應(yīng)用。

　　（3）軟件即服務(wù)（SaaS）。即通過(guò)Internet 提供軟件，用戶(hù)無(wú)需購(gòu)買(mǎi)軟件，而是向服務(wù)商租用基于Web 的軟件，以管理企業(yè)的經(jīng)營(yíng)活動(dòng)。

　　4）從部署模式看，云計(jì)算可以分為以下3 種模式：

　�。�1）公有云。是由獨(dú)立的第三方建設(shè)并運(yùn)行，由若干企業(yè)和用戶(hù)共享使用的云環(huán)境。

　　（2）私有云。為某一客戶(hù)單獨(dú)構(gòu)建和使用的云環(huán)境，該客戶(hù)擁有基礎(chǔ)設(shè)施，并可以控制在此基礎(chǔ)設(shè)施上部署應(yīng)用程序的方式。

　　（3）混合云。把公用云模式與私有云模式結(jié)合在一起的云環(huán)境。混合云有助于提供按需的、外部供應(yīng)的擴(kuò)展服務(wù)。可見(jiàn)，云計(jì)算是一個(gè)復(fù)雜的體系，既是一系列IT 技術(shù)的融合，又包含多種服務(wù)模式。

　　2.云計(jì)算安全總體框架

　　作為一項(xiàng)新生事物，云計(jì)算的推廣遇到諸多困難，其中遇到的最大挑戰(zhàn)是用戶(hù)對(duì)安全問(wèn)題的擔(dān)憂。Gartner、IDC 等專(zhuān)業(yè)機(jī)構(gòu)的調(diào)研也表明，安全問(wèn)題已成為阻礙云計(jì)算推廣的最大障礙。鑒于云計(jì)算的復(fù)雜性，它的安全問(wèn)題也應(yīng)該是一個(gè)涵蓋技術(shù)、管理，甚至法律、法規(guī)的綜合體。

　　根據(jù)云計(jì)算平臺(tái)的特點(diǎn)，構(gòu)建了如圖2 所示的云計(jì)算安全總體框架：

圖2 云計(jì)算安全總體框架
　

　　下面概要介紹該框架中每部分的含義。

　　2.1 云計(jì)算安全政策、法規(guī)、標(biāo)準(zhǔn)

　　傳統(tǒng)的安全技術(shù)已經(jīng)出現(xiàn)多年，相應(yīng)的標(biāo)準(zhǔn)、法律、法規(guī)也都相對(duì)成熟，但現(xiàn)在的云計(jì)算安全缺少標(biāo)準(zhǔn)，政策、法規(guī)也不健全。再加上云計(jì)算自身的特點(diǎn)，數(shù)據(jù)可以存儲(chǔ)在世界上任何一個(gè)國(guó)家，當(dāng)出現(xiàn)問(wèn)題時(shí)，國(guó)家政策的不同也是云計(jì)算安全的一個(gè)重大挑戰(zhàn)。

　　標(biāo)準(zhǔn)化是云計(jì)算安全發(fā)展的重要措施之一，但目前云計(jì)算安全研究還處于起步階段。國(guó)際上研究主力包括云安全聯(lián)盟（CSA）、國(guó)際電聯(lián)（ITU）、IEEE 等組織，國(guó)內(nèi)有中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）、中國(guó)云計(jì)算技術(shù)與產(chǎn)業(yè)聯(lián)盟（CCCTIA）等組織，但這些組織的研究也都處于進(jìn)行中，尚未形成獲得一致認(rèn)可的安全技術(shù)和標(biāo)準(zhǔn)。

　　2.2 IaaS層的安全風(fēng)險(xiǎn)與措施

　　IaaS 層處于云計(jì)算平臺(tái)的最底層，為上層云應(yīng)用提供安全數(shù)據(jù)存儲(chǔ)、計(jì)算等 IT 資源服務(wù)，是整個(gè)云計(jì)算體系安全的基石。IaaS 平臺(tái)既有傳統(tǒng)數(shù)據(jù)中心的安全特性，更面臨自身特有的安全風(fēng)險(xiǎn)。

　　一方面，IaaS 平臺(tái)沿襲傳統(tǒng)計(jì)算中心面臨的安全問(wèn)題，要采取全面、嚴(yán)密的安全措施。例如，在物理層考慮廠房安全；在存儲(chǔ)層考慮數(shù)據(jù)加密、備份、歸檔、災(zāi)難恢復(fù)等；在網(wǎng)絡(luò)層考慮DDoS 攻擊、數(shù)據(jù)傳輸機(jī)密性等；在數(shù)據(jù)層考慮數(shù)據(jù)庫(kù)安全、數(shù)據(jù)的隱私性與訪問(wèn)控制等；在應(yīng)用層考慮程序完整性檢驗(yàn)、訪問(wèn)控制與漏洞管理等。

　　另一方面，IaaS 平臺(tái)大量采用虛擬化技術(shù)，包括虛擬服務(wù)器、虛擬存儲(chǔ)、虛擬網(wǎng)絡(luò)，甚至虛擬交換機(jī)等，虛擬化安全成為其面臨的最大安全風(fēng)險(xiǎn)。虛擬化安全綜合起來(lái)可以歸結(jié)為以下兩個(gè)方面：

　　1）虛擬化軟件安全

　　該軟件層直接部署于裸機(jī)之上，提供能夠創(chuàng)建、運(yùn)行和銷(xiāo)毀虛擬服務(wù)器的服務(wù)。云服務(wù)提供商應(yīng)建立必要的安全控制措施，限制對(duì)于Hypervisor 和其他形式的虛擬化層次的物理和邏輯訪問(wèn)。在laaS 服務(wù)中，用戶(hù)不能接入虛擬化軟件層，該層由云服務(wù)提供商來(lái)操作、管理。

　　2) 虛擬服務(wù)器安全

　　虛擬服務(wù)器或客戶(hù)端面臨著許多主機(jī)安全威脅，包括接入和管理主機(jī)的密鑰被盜、在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽(tīng)、劫持未采取合適安全措施的賬戶(hù)等。這就需要采取以下措施：

　　（1）選擇具有TPM ( 可信計(jì)算平臺(tái)模塊）的虛擬服務(wù)器。

　　（2）安裝時(shí)為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤(pán)分區(qū)，以便進(jìn)行邏輯隔離。

　�。�3）每臺(tái)虛擬服務(wù)器應(yīng)采用VLAN 和不同IP 網(wǎng)段的方式進(jìn)行邏輯隔離，需要通信的虛擬服務(wù)器間的網(wǎng)絡(luò)連接采用VPN 進(jìn)行。

　�。�4）進(jìn)行有計(jì)劃的備份，包括完整、增量或差量備份方式。

　　2.3 PaaS層的安全風(fēng)險(xiǎn)與措施

　　PaaS 層處于云計(jì)算平臺(tái)的中間，它既依靠IaaS 平臺(tái)提供的基礎(chǔ)資源，又為上層SaaS 提供應(yīng)用平臺(tái)，起到了承上啟下的作用。

　　PaaS 的核心技術(shù)是分布式處理，主要解決云計(jì)算數(shù)據(jù)中心大規(guī)模服務(wù)器群的協(xié)同工作。要提供PaaS 云計(jì)算服務(wù)，首先要在云計(jì)算數(shù)據(jù)中心架設(shè)分布式處理平臺(tái)，包括分布式文件系統(tǒng)、分布式計(jì)算、分布式數(shù)據(jù)庫(kù)等；其次，要對(duì)分布式處理平臺(tái)進(jìn)行封裝，包括提供開(kāi)發(fā)環(huán)境（SDK）、API 接口和代碼庫(kù)等。因此，對(duì)PaaS 層來(lái)說(shuō)，面臨的安全威脅主要包括：

　　1）分布式文件和數(shù)據(jù)庫(kù)安全

　　基于云計(jì)算數(shù)據(jù)中心的分布式文件系統(tǒng)和分布式數(shù)據(jù)庫(kù)系統(tǒng)構(gòu)建在大規(guī)模的廉價(jià)服務(wù)器集群上，從而面臨諸多挑戰(zhàn)。

　�。�1）服務(wù)器的失效現(xiàn)象經(jīng)常出現(xiàn)，需要解決系統(tǒng)的容錯(cuò)問(wèn)題。

　　（2）服務(wù)器增減頻繁，需要解決動(dòng)態(tài)擴(kuò)展問(wèn)題。

　�。�3）需要提供海量數(shù)據(jù)的存儲(chǔ)和快速檢索、讀取能力。

　�。�4）多用戶(hù)同時(shí)訪問(wèn)，需要解決并發(fā)控制和存取效率等問(wèn)題。

　　為了提升分布式文件系統(tǒng)的可靠性，目前的基本做法是采取冗余存儲(chǔ)的方式來(lái)解決，每份文件或數(shù)據(jù)在系統(tǒng)中保存多個(gè)備份。冗余存儲(chǔ)解決了數(shù)據(jù)的可靠性問(wèn)題，但也帶來(lái)了一致性問(wèn)題，因?yàn)槲募�或�?shù)據(jù)存儲(chǔ)在多個(gè)不同的節(jié)點(diǎn)中，對(duì)文件或數(shù)據(jù)進(jìn)行修改時(shí)必須確保對(duì)所有副本都進(jìn)行了修改，這就需要分布式同步機(jī)制對(duì)并發(fā)操作進(jìn)行控制。這些技術(shù)的復(fù)雜性都給數(shù)據(jù)的可靠和安全帶來(lái)了巨大挑戰(zhàn)。

　　2）用戶(hù)接口和應(yīng)用安全

　　對(duì)于PaaS 服務(wù)來(lái)說(shuō)，來(lái)自客戶(hù)端的代碼可能是惡意的。如果PaaS 層暴露過(guò)多接口，可能會(huì)給攻擊者帶來(lái)機(jī)會(huì)，如搶占CPU 時(shí)間、內(nèi)存空間和其他資源，也可能攻擊其他用戶(hù)，甚至?xí)�攻擊底層平臺(tái)等。因此，如何檢驗(yàn)用戶(hù)代碼的可靠性是PaaS 提供商面臨的又一個(gè)巨大挑戰(zhàn)。

　　用戶(hù)基于PaaS 平臺(tái)開(kāi)發(fā)的軟件最終也會(huì)部署在該平臺(tái)上，PaaS 提供商需要保證程序的可靠運(yùn)行，尤其是保證不同應(yīng)用之間的相互隔離。這點(diǎn)與在SaaS 模式下遇到的挑戰(zhàn)是相同的。另外，從技術(shù)上看，目前PaaS 對(duì)底層資源的調(diào)度和分配采用“盡力而為”的機(jī)制，如果一個(gè)平臺(tái)上運(yùn)行多個(gè)應(yīng)用，就會(huì)存在資源分配、優(yōu)先級(jí)配置等問(wèn)題。要解決這些問(wèn)題，需要借助IaaS 層的虛擬化機(jī)制來(lái)實(shí)現(xiàn)多個(gè)應(yīng)用的資源調(diào)配和SLA 等。

　　2.4 SaaS層的安全風(fēng)險(xiǎn)與措施

　　傳統(tǒng)的軟件都部署在客戶(hù)自己或租用的數(shù)據(jù)中心內(nèi)，服務(wù)于特定的用戶(hù)，其安全控制相對(duì)簡(jiǎn)單。但在SaaS 模式下，成千上萬(wàn)的用戶(hù)共享同一軟件平臺(tái)，如何保證這些客戶(hù)之間的數(shù)據(jù)、應(yīng)用安全是一個(gè)巨大挑戰(zhàn)。目前解決這一難題主要是采用多租戶(hù)技術(shù)，多租戶(hù)技術(shù)使得大量用戶(hù)共享統(tǒng)一軟件資源，每個(gè)用戶(hù)按需使用資源。多租戶(hù)技術(shù)能夠?qū)�軟件服�?wù)進(jìn)行客戶(hù)化配置，而不會(huì)影響其他用戶(hù)的使用。多租戶(hù)技術(shù)是解決SaaS 模式安全問(wèn)題的主要措施，但這一技術(shù)也存在數(shù)據(jù)隔離、客戶(hù)化配置、架構(gòu)拓展、性能定制等諸多不足和挑戰(zhàn)。

　　1）數(shù)據(jù)隔離。數(shù)據(jù)隔離是指多個(gè)租戶(hù)在使用同一個(gè)SaaS系統(tǒng)時(shí)，不同租戶(hù)之間的數(shù)據(jù)是隔離存儲(chǔ)的，數(shù)據(jù)處理不會(huì)相互干擾。要實(shí)現(xiàn)多租戶(hù)之間的數(shù)據(jù)隔離，目前有3 種技術(shù)：

　　（1）為每一個(gè)租戶(hù)提供一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)，優(yōu)點(diǎn)是可以保證不同租戶(hù)之間的數(shù)據(jù)充分隔離，缺點(diǎn)是成本和開(kāi)銷(xiāo)都比較大。（2）將多個(gè)租戶(hù)的數(shù)據(jù)保存在統(tǒng)一的數(shù)據(jù)庫(kù)中，但采用不同的模式，這樣做在一定程度上減少了數(shù)據(jù)庫(kù)的成本和操作難度，但也影響了數(shù)據(jù)隔離的效果和安全性。（3）將多個(gè)租戶(hù)的數(shù)據(jù)存儲(chǔ)在同一個(gè)數(shù)據(jù)庫(kù)的同一張數(shù)據(jù)表中，通過(guò)租戶(hù)的標(biāo)識(shí)字段來(lái)區(qū)分，這樣做成本最低，但安全性和隔離性最差。

　　2）客戶(hù)化配置�？蛻�(hù)化配置是指SaaS 應(yīng)用支持不同租戶(hù)對(duì)同一平臺(tái)進(jìn)行個(gè)性化定制。傳統(tǒng)模式下，每一個(gè)用戶(hù)都擁有一個(gè)自主的應(yīng)用實(shí)例，可以自由進(jìn)行定制化開(kāi)發(fā)。但在多租戶(hù)形勢(shì)下，成千上萬(wàn)的租戶(hù)共享一個(gè)應(yīng)用實(shí)例，某一個(gè)租戶(hù)對(duì)應(yīng)用的更改通常會(huì)對(duì)該平臺(tái)中的所有租戶(hù)產(chǎn)生影響。因此，如何支持不同用戶(hù)對(duì)同一實(shí)例的獨(dú)立客戶(hù)化配置是SaaS 模式面對(duì)的一個(gè)安全挑戰(zhàn)。

　　除上述安全風(fēng)險(xiǎn)外，多租戶(hù)技術(shù)還存在架構(gòu)拓展、性能定制等安全挑戰(zhàn)。為了解決這些難題，有人建議采用虛擬化技術(shù)。虛擬化技術(shù)已經(jīng)比較成熟，多租戶(hù)技術(shù)還處于發(fā)展階段，面對(duì)大量用戶(hù)使用統(tǒng)一應(yīng)用時(shí)，如果把每一個(gè)用戶(hù)的應(yīng)用都做成一個(gè)單獨(dú)的虛擬機(jī)，就可能需要成千上萬(wàn)的虛擬機(jī)，其管理難度和復(fù)雜性都會(huì)大大增加，其中還有大量的課題需要研究。

　　2.5 通用安全措施

　　云安全服務(wù)屬于云基礎(chǔ)軟件服務(wù)層，為各類(lèi)云應(yīng)用提供共性信息安全服務(wù)，是確保云應(yīng)用滿足用戶(hù)安全目標(biāo)的重要手段。其中比較典型的幾類(lèi)云安全服務(wù)包括加密與密鑰管理、身份識(shí)別與訪問(wèn)控制、災(zāi)備與業(yè)務(wù)連續(xù)性、數(shù)據(jù)隔離技術(shù)、虛擬化安全技術(shù)、云安全測(cè)評(píng)機(jī)制與審計(jì)機(jī)制等，這些技術(shù)對(duì)云計(jì)算的幾種模式都會(huì)產(chǎn)生影響，我們?cè)诘? 部分將重點(diǎn)分析其中的幾大關(guān)鍵技術(shù)。

　　3.云計(jì)算安全的關(guān)鍵技術(shù)

　　如上所述，雖然云計(jì)算各層的安全風(fēng)險(xiǎn)各異，采取的安全技術(shù)和措施也不盡相同，但有幾大技術(shù)卻是有共性的，它們是云計(jì)算環(huán)境下最重要的幾大關(guān)鍵技術(shù)，值得我們深入研究。

　　3.1 虛擬化安全技術(shù)

　　虛擬化是云計(jì)算的核心技術(shù)之一，虛擬化技術(shù)的采用加快了傳統(tǒng)應(yīng)用部署的速度，提高了應(yīng)用的兼容性和服務(wù)的可用性，同時(shí)降低了能源消耗。與此同時(shí)，虛擬化自身也存在諸多風(fēng)險(xiǎn)和威脅。因此，虛擬化安全成為云計(jì)算不得不考慮的重要安全威脅之一。目前使用的虛擬化安全措施包括虛擬機(jī)可信平臺(tái)、虛擬機(jī)隔離、虛擬機(jī)信息流控制、虛擬機(jī)監(jiān)控、虛擬網(wǎng)絡(luò)接入控制等。虛擬化安全技術(shù)大多已經(jīng)比較成熟，但仍有部分需要進(jìn)一步驗(yàn)證和改進(jìn)。

　　3.2 數(shù)據(jù)安全

　　云計(jì)算環(huán)境下的數(shù)據(jù)安全是客戶(hù)最為關(guān)注的問(wèn)題。云計(jì)算數(shù)據(jù)生命周期不同階段的安全挑戰(zhàn)包括：

　　1）數(shù)據(jù)存放位置。必須保證所有數(shù)據(jù)（包括所有副本和備份）存儲(chǔ)在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。

　　2）不同客戶(hù)數(shù)據(jù)的混合。數(shù)據(jù)尤其是保密、敏感數(shù)據(jù)不能在使用、存儲(chǔ)或傳輸過(guò)程中，在沒(méi)有任何補(bǔ)償控制的情況下與其他客戶(hù)數(shù)據(jù)混合。數(shù)據(jù)的混合將在數(shù)據(jù)安全和地理位置等方面增加安全挑戰(zhàn)。

　　3）數(shù)據(jù)備份和恢復(fù)重建計(jì)劃。必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和云恢復(fù)計(jì)劃必須到位和有效，以防止數(shù)據(jù)丟失、意外數(shù)據(jù)覆蓋和破壞。

　　4）數(shù)據(jù)刪除或持久性。必須具備一種可信技術(shù)保證全面和有效地定位云計(jì)算數(shù)據(jù)、擦除和銷(xiāo)毀數(shù)據(jù)，保證數(shù)據(jù)已被完全消除或無(wú)法恢復(fù)。

　　針對(duì)數(shù)據(jù)安全的解決方案通常是采取數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)切分、數(shù)據(jù)屏蔽、數(shù)據(jù)刪除技術(shù)[5]。但怎樣做好數(shù)據(jù)的隔離和保密仍然是一個(gè)很大的問(wèn)題，這些技術(shù)在云計(jì)算平臺(tái)下如何發(fā)揮作用，是否像在傳統(tǒng)環(huán)境下那樣有效仍然有待進(jìn)一步研究。

　　3.3 云資源訪問(wèn)控制

　　在云計(jì)算環(huán)境中，各個(gè)云應(yīng)用屬于不同的安全管理域，每個(gè)安全域都管理著本地資源和用戶(hù)。當(dāng)用戶(hù)跨域訪問(wèn)資源時(shí)，需在域邊界設(shè)置認(rèn)證服務(wù)，對(duì)訪問(wèn)共享資源的用戶(hù)進(jìn)行統(tǒng)一的身份認(rèn)證管理。

　　傳統(tǒng)模式下的身份認(rèn)證和訪問(wèn)管理技術(shù)已經(jīng)比較成熟，云計(jì)算模式下服務(wù)商（IaaS、PaaS、SaaS）所支持的標(biāo)準(zhǔn)并不健全，難以滿足企業(yè)對(duì)監(jiān)測(cè)管理、隱私性和數(shù)據(jù)保護(hù)的需求。表1 顯示了云計(jì)算幾種運(yùn)營(yíng)模式下訪問(wèn)控制技術(shù)的成熟度。

表1 云計(jì)算模式下訪問(wèn)控制技術(shù)成熟度

　　由此可見(jiàn)，云計(jì)算環(huán)境下的身份認(rèn)證和訪問(wèn)管理從理論和技術(shù)上都還存在很多不足，都需要更深入的研究和探索。

　　4.結(jié)束語(yǔ)

　　云計(jì)算是當(dāng)前發(fā)展十分迅速的新興產(chǎn)業(yè)，具有廣闊的發(fā)展前景，但同時(shí)其所面臨的安全技術(shù)挑戰(zhàn)也是前所未有的，需要IT 領(lǐng)域和信息安全領(lǐng)域的研究者共同尋找解決之道。本文在此方面做了一些初步探索，仍有大量課題有待于我們深入研究。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.kaqidy.com/

本文標(biāo)題：云計(jì)算安全總體框架與關(guān)鍵技術(shù)研究

本文網(wǎng)址：http://m.kaqidy.com/html/consultation/10839713997.html