本期关注：云计算应对云安全挑战，政府监管需先行

云计算正在蓬勃发展。据有关统计数据显示，2012年中国云计算市场规模超过600亿元人民币，同比增长92.3%；2013年中国云计算市场规模将有望超过1100亿元人民币。市场发展的速度令人欣喜，不过也要看到，在云计算的发展中仍有一些问题需要解决。一直以来，云计算的安全都被看做行业发展的隐患，而日前发生的“棱镜门”事件更是引起了对这一话题的热议。云计算的发展之路注定不平坦。

云计算是一种通过网络统一组织和灵活调用各种ICT资源，实现大规模计算的信息处理方式。目前，国内外云计算服务面临较多的安全问题。2012年，三大云计算服务商亚马逊、微软、谷歌均出现至少两次的大规模服务中断事故。同年，苹果的iCloud服务发生大大小小共17次故障。由于用户规模较小，国内的云服务尚未出现大规模安全事故，但也存在一些问题，例如，2012年8月6日，盛大云主机发生磁盘损坏，造成了部分用户数据丢失。

云安全应如何保障？目前主要的应对措施还是技术手段，然而对于提升云安全的整体水平而言，政府监管以及相关法规的制定是必不可少的，且更具成效。因此，面对诸多云安全问题，我国政府应该进一步加大监管力度，加快相关政策和法规的制定，从宏观层面给予云计算更加全面、有力的安全保障。

云计算的7大安全问题

我国云服务到底面临哪些安全问题？通过对国内主要云服务商的调查发现，我国云服务现阶段主要面临七大安全问题。其中，虚拟化安全、共享环境下的数据安全、云平台应用程序安全等属于云服务模式下面临的新问题；海量用户的身份认证与访问控制、云服务运维和管理、内容合规性审查等体现了传统问题的一些新特点；而可用性与兼容性则属于传统的安全问题范围。

1 虚拟化的引入给云服务带来了新风险

虚拟化带来的新风险主要表现为虚拟机被滥用、虚拟机逃逸、多租户间隔离失效、虚拟机的安全策略迁移等。其中，虚拟机逃逸是指虚拟机和宿主机由隔离的状态变成联通状态，这将影响到Hypervisor（虚拟机监管层）上的所有虚拟机。虚拟机的安全策略迁移也是较棘手的问题，为保证虚拟机的安全，需要安全策略随虚拟机的迁移而自动快速建立起来，否则将导致出现安全空窗期，存在较大安全隐患。

2 共享环境下的数据安全是用户最担心的问题

在云服务模式下，用户非常担心托管于服务商处的数据是否会被泄露、篡改或丢失。用户数据面临的人为威胁主要来源于服务商、黑客、相邻恶意租户以及后续租户。服务商天然具有对存储于其设备上的用户数据的优先访问权，如何防范服务商内部人员（如系统管理员）对用户数据的非法访问和泄露是一个重要的问题。传输中的数据容易遭到黑客或恶意相邻租户的截获或篡改。后续租户可能恢复未经彻底删除的退租用户的数据。总体来看，用户数据面临的客观威胁主要是软硬件故障、电力中断、自然灾害等各类客观因素造成的云服务中的数据丢失。数据跨境流动问题是云服务的一个特别的问题。云服务商可在全球范围内动态迁移虚拟机镜像和数据，这不仅涉及跨国司法问题，国家的重要机密信息也可能因此泄露而对国家安全造成威胁。

3 云平台应用程序安全涉及每一类云服务

不管是SaaS、PaaS还是IaaS都存在应用程序安全问题，主要包括三类：一是恶意程序审查。在PaaS服务中，服务商需要审查用户上传的应用程序是否为恶意程序，否则，可能影响云平台的运行或造成其他不良影响。在IaaS服务中，服务商云平台上也容易被放置恶意攻击程序。二是应用程序接口安全。PaaS服务商需要提供各种接口供开发者调用，因此，不可避免会存在不安全的接口，也就容易被恶意用户利用。三是代码安全与测试。在PaaS服务中，应用程序本身的代码存在各种漏洞。SaaS服务商所提供的在线软件类应用程序也必须经过严格的代码安全审查与测试才能上线运营。

4 海量用户的身份认证与访问控制是一大难题

在云服务模式下，用户身份认证与访问控制面临新挑战：海量用户的身份认证与授权、访问权限的合理划分和账号、密码及密钥管理。云计算主要通过互联网对外提供服务，支持的用户数可能少则10万，多则100万、1000万甚至上亿。如何应对海量用户不断变化的业务和用户身份，需要云服务商对用户身份认证和接入管理实现完全自动化。在密钥管理方面，云服务商可能拥有用户用于加解密的密钥，这将导致数据的泄露。(责任编辑：admin)