工程项目的安全风险应对策略【云计算的安全风险及应对策略研究】

　　摘要：云计算作为一种全新的互联网应用模式，近几年发展极其迅速，同时安全也成为云计算领域亟待突破的关键问题。该文介绍了云计算的特点和主要服务形式，结合当前云计算存在的安全风险，分析并提出了安全策略。
　　关键词：云计算；安全；策略
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)17-4145-02
　　从Google首席执行官埃里克·施密特于2006年8月在搜索引擎大会上首次提出“云计算”的概念以来，这一新名词马上成为人们关注的焦点之一。云计算作为网络技术和计算机技术的结合体，也不可避免的存在安全问题。
　　1云计算概述
　　云计算是并行计算、分布式计算和网格计算的发展，或者说是这些计算机科学概念的商业实现。是一种基于互联网的强大的运算模式，可以使分布在各地的海量计算机资源进行分布式计算，用户通过互联网访问数据中心按照自己的需求获取计算及其他服务。
　　2云计算的特点
　　1）强大的计算能力：云计算可以使大量计算机和服务器进行分布式计算，共享计算资源，获得强大的计算能力。
　　2）按需付费：用户可以根据需要订购所需的服务，并按照相应的价格支付费用，在需要有变化时也可以进行更新和调整。
　　3）减少用户投资：用户所需的服务全部由云平台提供，省去了购置和维护设备的费用，节省了用户的投资，提高了资金的使用效率。
　　4）具备一定的可靠性：云计算的服务特性使得用户的数据分布于相互隔离的主机中，木马、病毒和黑客的攻击没有了集中的目标，分散了安全风险，使得系统的安全性和可靠性得到提高。
　　5）接入条件低：用户可以通过电脑、手机等设备随时随地通过互联网访问云计算服务，对硬件和软件的要求很低，使用起来很方便。
　　3云计算的主要服务形式
　　1）SaaS(软件即服务)：用户可以使用手机、电脑、PDA等终端设备通过浏览器访问服务提供商提供的自己所需要的、在云端上运行的应用服务，用户不需要操作任何云计算硬件设施也不需要购买和安装软件。SaaS适用于普通用户。
　　2）PaaS(平台即服务)：是把软件开发的平台，包括用户使用的开发语言和工具等部署到云计算基础设施上，并作为一种服务提供给用户使用。用户不需要购买硬件和软件，就能够建立和部署软件和应用。PaaS主要面向开发人员。
　　3）IaaS(基础设施即服务)：云服务提供商为用户提供所需要的虚拟机或数据存储等资源来装载用户的相关应用，用户只需专心做好自己的事，不必操心基础设施和相关软件的购置和管理。IaaS的主要用户是系统管理员。
　　4云计算的安全风险
　　1）用户数据安全问题：在云计算环境中，用户对自己的数据安全性没有什么控制能力，如果服务提供商在服务器、软件、数据加密、数据备份等方面存在漏洞，则很可能导致用户数据的泄露或丢失。
　　2）敏感数据易被窃取：用户存放在云端的数据中可能包含机密、隐私等敏感数据，如果服务提供商内部管理制度不严格，内部员工将很容易窃取到用户的敏感数据，以致于对用户的利益造成损害。
　　3）账号安全问题：用户在登录云计算服务时的安全主要靠运营商的身份认证机制，如果运营商的身份认证管理存在漏洞，或用户终端遭到木马或黑客入侵，则可能发生用户帐号被冒用并导致用户数据被泄露或删除等严重后果。
　　4）云服务端给平台带来安全隐患：云计算的运算资源包括数以万计的计算机和服务器，其中难免会有部分云服务端受到黑客和病毒袭击，这将会给整个平台带来安全隐患。
　　5云计算的安全策略
　　1）加强对云服务提供商的监管。
　　目前著名的云服务提供商大部分为跨国公司，云服务端可能位于世界各地，机密信息甚至国家敏感信息易被窃取或泄漏。同时随着移动智能终端的大量使用，移动互联网的接入方便、互动性强、安全性差等特点极易被不法分子利用，这些都给国家安全监管工作带来巨大挑战。因此国家应制定相应法律法规，加强对云服务提供商的监管，明确责任和义务；积极参与国际云计算标准研究和制定工作，争取形成具有我国自主知识产权的云计算标准。
　　2）敏感数据不要置于云端。出于对云服务技术特点的考虑，用户尽量不要把敏感数据和机密数据置于云端，一旦发生安全问题，信息的泄漏将会给用户造成不可估量的损失，而且由于相关法律法规尚不完善，用户进行责任追究将会遇到很多阻碍。
　　3）做好数据备份工作。虽然目前云服务商都采用虚拟化存储等先进技术来存储和管理数据资源，而且也配备有数据备份、灾难恢复等数据保护机制，但也不能排除数据丢失的可能。因此，用户应对自己的核心数据进行及时、定期的备份，以避免特殊情况的发生。
　　4）建立私有云。如果用户对于在公有云上运行企业管理软件不放心，或者不想把敏感数据放置在公有云上，那么在条件允许的情况下可以尝试建立私有云。私有云可由企业自身建设或由云服务提供商搭建，这种模式赋予用户极高的控制权限，使用户拥有云计算环境的自主权。
　　5）提高安全意识。云服务提供商必须建立完善的身份验证和权限分配制度，对内部员工加强培训和监督，严格控制数据访问权限，及时修复系统漏洞，最大限度的保证数据安全。用户要增强安全防范意识，注重各类木马、病毒和黑客程序的主动防御，减少安全风险。
　　参考文献：
　　[1]汪来福.云计算应用安全研究[J].电信科学,2010(6).
　　[2]钱煜明,陆平,赵培.云计算的开放架构设计[J].中兴通讯技术,2011(4).
　　[3]冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2010(11).