【正文】 、證書認(rèn)證，以及密鑰生成、存儲(chǔ)、銷毀，進(jìn)一步擴(kuò)充組合形成新的 PKI功能邏輯，進(jìn)而形成系統(tǒng)安全服務(wù)接口、應(yīng)用安全服務(wù)接口、儲(chǔ)存安全服務(wù)接口和通信安全服務(wù)接口。 ? 我國目前有代表性的安全中間件產(chǎn)品主要有：東方通科技的 Tong SEC、清華紫光順風(fēng)信息安全有限公司的 Unis MMW安全中間件以及上海華騰軟件系統(tǒng)有限公司的安全服務(wù)管理中間件 Top Secure。 ? 但云計(jì)算在帶給我們規(guī)模經(jīng)濟(jì)、高應(yīng)用可用性益處的同時(shí)，其核心技術(shù)特點(diǎn)（虛擬化、資源共享、分布式等）也決定了它在安全性上存在著天然隱患。 ? 整個(gè)運(yùn)行方式很像電網(wǎng)，用戶不再需要了解“云”中基礎(chǔ)設(shè)施的細(xì)節(jié)，不必具有相應(yīng)的專業(yè)知識(shí)，也無需直接進(jìn)行控制。 ? 在國內(nèi)，云計(jì)算被定義為：“云計(jì)算將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和各種軟件服務(wù)”。 ? 廣義的云計(jì)算指廠商通過建立網(wǎng)絡(luò)服務(wù)器集群，向各種不同類型客戶提供在線軟件服務(wù)、硬件租借、數(shù)據(jù)存儲(chǔ)、計(jì)算分析等不同類型的服務(wù)。 云計(jì)算安全概述 “云計(jì)算”網(wǎng)絡(luò)拓?fù)鋱D 云計(jì)算安全概述 云計(jì)算（ Cloud Computing）是結(jié)合： ? 網(wǎng)格計(jì)算（ Grid Computing ）、 ? 分布式計(jì)算（ Distributed Computing）、 ? 并行計(jì)算（ Parallel Computing）、 ? 效用計(jì)算（ Utility Computing）、 ? 網(wǎng)絡(luò)存儲(chǔ)（ Network Storage Technologies）、 ? 虛擬化（ Virtualization）、 ? 負(fù)載均衡（ Load Balance）等傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。 云計(jì)算安全概述 ? 事實(shí)上，許多云計(jì)算部署依賴于計(jì)算機(jī)集群，也吸收了自主計(jì)算和效用計(jì)算的特點(diǎn)。 ? 這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。它意味著計(jì)算能力也可以作為一種商品進(jìn)行流通，就像煤氣、水電一樣，取用方便，費(fèi)用低廉。它從硬件結(jié)構(gòu)上是一種多對(duì)一的結(jié)構(gòu)，從服務(wù)的角度或從功能的角度它是一對(duì)多的。 ? 通用的云計(jì)算邏輯結(jié)構(gòu)如下圖所示： 云計(jì)算安全概述 云計(jì)算邏輯結(jié)構(gòu) 云計(jì)算安全概述 (1) 云用戶端： ? 提供云用戶請(qǐng)求服務(wù)的交互界面，也是用戶使用云的入口，用戶通過 Web瀏覽器可以注冊(cè)、登錄及定制服務(wù)、配置和管理用戶。 (2) 服務(wù)目錄： ? 云用戶在取得相應(yīng)權(quán)限（付費(fèi)或其他限制）后可以選擇或定制的服務(wù)列表，也可以對(duì)已有服務(wù)進(jìn)行退訂的操作，在云用戶端界面生成相應(yīng)的圖標(biāo)或列表的形式展示相關(guān)的服務(wù)。 (4) 監(jiān)控： ? 監(jiān)控和計(jì)量云系統(tǒng)資源的使用情況，以便做出迅速反應(yīng)，完成節(jié)點(diǎn)同步配置、負(fù)載均衡配置和資源監(jiān)控，確保資源能順利分配給合適的用戶。 ? 用戶可通過云用戶端從列表中選擇所需的服務(wù)，其請(qǐng)求通過管理系統(tǒng)調(diào)度相應(yīng)的資源，并通過部署工具分發(fā)請(qǐng)求、配置 Web應(yīng)用。這個(gè)體系結(jié)構(gòu)如下圖所示，它概括了不同解決方案的主要特征。 ? 構(gòu)建資源池更多是物理資源的集成和管理工作，例如研究在一個(gè)標(biāo)準(zhǔn)集裝箱的空間如何裝下 2023個(gè)服務(wù)器、解決散熱和故障節(jié)點(diǎn)替換的問題并降低能耗。管理中間件和資源池層是云計(jì)算技術(shù)的最關(guān)鍵部分， SOA構(gòu)建層的功能更多依靠外部設(shè)施提供。 云計(jì)算簡(jiǎn)化實(shí)現(xiàn)機(jī)制 云計(jì)算安全概述 云計(jì)算服務(wù)層次 ? 在云計(jì)算中，根據(jù)其服務(wù)集合所提供的服務(wù)類型，整個(gè)云計(jì)算服務(wù)集合被劃分成 4個(gè)層次：應(yīng)用層、平臺(tái)層、基礎(chǔ)設(shè)施層和虛擬化層。 云計(jì)算安全概述 云計(jì)算服務(wù)層次模型 云計(jì)算安全概述 在云計(jì)算服務(wù)體系結(jié)構(gòu)中各層次與相關(guān)云產(chǎn)品對(duì)應(yīng) ： ① 應(yīng)用層對(duì)應(yīng) SaaS軟件即服務(wù)如： Google APPS、SoftWare+Services； ② 平臺(tái)層對(duì)應(yīng) PaaS平臺(tái)即服務(wù)如： IBM IT Factory、Google APPEngine、 ； ③ 基礎(chǔ)設(shè)施層對(duì)應(yīng) IaaS基礎(chǔ)設(shè)施即服務(wù)如： Amazo Ec IBM Blue Cloud、 Sun Grid； ④ 虛擬化層對(duì)應(yīng)硬件即服務(wù)結(jié)合 Paas提供硬件服務(wù)，包括服務(wù)器集群及硬件檢測(cè)等服務(wù)。 云計(jì)算安全概述 （ 1） 軟件即服務(wù) (SaaS) ? SaaS服務(wù)提供商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上，用戶根據(jù)需求通過互聯(lián)網(wǎng)向廠商訂購應(yīng)用軟件服務(wù)，服務(wù)提供商根據(jù)客戶所定軟件的數(shù)量、時(shí)間的長(zhǎng)短等因素收費(fèi)，并且通過瀏覽器向客戶提供軟件的模式。 云計(jì)算安全概述 ? 這種模式下，客戶不再像傳統(tǒng)模式那樣花費(fèi)大量資金在硬件、軟件、維護(hù)人員，只需要支出一定的租賃服務(wù)費(fèi)用，通過互聯(lián)網(wǎng)就可以享受到相應(yīng)的硬件、軟件和維護(hù)服務(wù)。 ? 目前， 的公司， Google Doc, Google Apps和 Zoho Office也屬于這類服務(wù)。這是一種分布式平臺(tái)服務(wù)，廠商提供開發(fā)環(huán)境、服務(wù)器平臺(tái)、硬件資源等服務(wù)給客戶，用戶在其平臺(tái)基礎(chǔ)上定制開發(fā)自己的應(yīng)用程序并通過其服務(wù)器和互聯(lián)網(wǎng)傳遞給其他客戶。 云計(jì)算安全概述 ? Google App Engine, Salesforce的 ，八百客的 800APP是 PaaS的代表產(chǎn)品。 ? 用戶編寫應(yīng)用程序并在 Google的基礎(chǔ)架構(gòu)上運(yùn)行就可以為互聯(lián)網(wǎng)用戶提供服務(wù)， Google提供應(yīng)用運(yùn)行及維護(hù)所需要的平臺(tái)資源。它將內(nèi)存、 I/O設(shè)備、存儲(chǔ)和計(jì)算能力整合成一個(gè)虛擬的資源池為整個(gè)業(yè)界提供所需要的存儲(chǔ)資源和虛擬化服務(wù)器等服務(wù)。例如 Amazon Web服務(wù)（ AWS）， IBM的 BlueCloud等均是將基礎(chǔ)設(shè)施作為服務(wù)出租。 ? 目前，以 Google云應(yīng)用最具代表性，例如GoogleDocs、 GoogleApps、 Googlesites，云計(jì)算應(yīng)用平臺(tái) GoogleApp Engine。 ① 上層分級(jí)：云軟件 Software as a Service (SaaS) ? 打破以往大廠壟斷的局面，所有人都可以在上面自由揮灑創(chuàng)意，提供各式各樣的軟件服務(wù)。 ? 參與者： Google、微軟、蘋果、 Yahoo!； 云計(jì)算安全概述 ③ 下層分級(jí)： ? 云設(shè)備 Infrastructure as a Service (IaaS) ? 將基礎(chǔ)設(shè)備（如 IT系統(tǒng)、數(shù)據(jù)庫等）集成起來，像旅館一樣，分隔成不同的房間供企業(yè)租用。 云計(jì)算安全概述 云計(jì)算技術(shù)層次 ? 云計(jì)算技術(shù)層次和云計(jì)算服務(wù)層次不是一個(gè)概念，后者從服務(wù)的角度來劃分云的層次，主要突出了云服務(wù)能給用戶帶來什么。 ? 從云計(jì)算技術(shù)角度來分，云計(jì)算大約有 4部分構(gòu)成：物理資源、虛擬化資源、中間件管理部分和服務(wù)接口 。 云計(jì)算安全概述 （ 2）服務(wù)管理中間件： ? 在云計(jì)算技術(shù)中，中間件位于服務(wù)和服務(wù)器集群之間，提供管理和服務(wù)即云計(jì)算體系結(jié)構(gòu)中的管理系統(tǒng)。 云計(jì)算安全概述 （ 3）虛擬化資源： ? 指一些可以實(shí)現(xiàn)一定操作具有一定功能，但其本身是虛擬而不是真實(shí)的資源，如計(jì)算池，存儲(chǔ)池和網(wǎng)絡(luò)池、數(shù)據(jù)庫資源等，通過軟件技術(shù)來實(shí)現(xiàn)相關(guān)的虛擬化功能包括虛擬環(huán)境、虛擬系統(tǒng)、虛擬平臺(tái)。 云計(jì)算安全概述 云計(jì)算與云安全 ? “云安全（ Cloud Security） ”緊隨云計(jì)算之后出現(xiàn)。 云計(jì)算安全概述 ? “云安全”的策略構(gòu)想是：整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”，參與者越多，每個(gè)參與者就越安全，整個(gè)互聯(lián)網(wǎng)就會(huì)更安全。 ? “云安全”的發(fā)展迅速，趨勢(shì)、瑞星、卡巴斯基、MCAFEE、 SYMANTEC、江民科技、 PANDA、金山、 360 安全衛(wèi)士等都推出了“云安全”解決方案。 ? 第一是云自身的安全保護(hù)，也稱為云計(jì)算安全，包括云計(jì)算應(yīng)用系統(tǒng)安全、云計(jì)算應(yīng)用服務(wù)安全、云計(jì)算用戶信息安全等，云計(jì)算安全是云計(jì)算技術(shù)健康可持續(xù)發(fā)展的基礎(chǔ)； ? 第二是使用云的形式提供和交付安全，也即云計(jì)算技術(shù)在安全領(lǐng)域的具體應(yīng)用，就是基于云計(jì)算的、通過采用云計(jì)算技術(shù)來提升安全系統(tǒng)的服務(wù)效能的安全解決方案，如基于云計(jì)算的防病毒技術(shù)、掛馬檢測(cè)技術(shù)等。 ? 值得一提的是，云安全的核心思想，與早在 2023年就提出的反垃圾郵件網(wǎng)格非常接近。 ? 傳統(tǒng)的上報(bào)是人為的手動(dòng)的，而云安全是系統(tǒng)內(nèi)自動(dòng)快捷幾秒鐘內(nèi)就完成的，這一種上報(bào)是最及時(shí)的，人工上報(bào)就做不到這一點(diǎn)。 云計(jì)算安全概述 3. 云安全系統(tǒng)的難點(diǎn) 要想建立“云安全”系統(tǒng)，并使之正常運(yùn)行，需要解決四大問題： ? 第一、 需要海量的客戶端（云安全探針）。 ? 第三、 需要大量的資金和技術(shù)投入。 云計(jì)算安全概述 物聯(lián)網(wǎng)云計(jì)算安全 ? 物聯(lián)網(wǎng)的特征之一是智能處理 , 指利用云計(jì)算 , 模糊識(shí)別等各種智能計(jì)算技術(shù) , 對(duì)海量的數(shù)據(jù)和信息進(jìn)行分析和處理 , 對(duì)物體實(shí)施智能化的控制。 ? 一方面 , 物聯(lián)網(wǎng)的發(fā)展需要云計(jì)算強(qiáng)大的的處理和存儲(chǔ)能力作為支撐。 云計(jì)算安全概述 云計(jì)算安全防范措施 云計(jì)算的核心技術(shù) 1. 編程模型 ? MapReduce是 Google開發(fā)的 java、 Python、C++編程模型，它是一種簡(jiǎn)化的分布式編程模型和高效的任務(wù)調(diào)度模型，用于大規(guī)模數(shù)據(jù)集（大于 1TB）的并行運(yùn)算。 2. 海量數(shù)據(jù)分布存儲(chǔ)技術(shù) ? 云計(jì)算系統(tǒng)由大量服務(wù)器組成，同時(shí)為大量用戶服務(wù)，因此云計(jì)算系統(tǒng)采用分布式存儲(chǔ)的方式存儲(chǔ)數(shù)據(jù)，用冗余存儲(chǔ)的方式保證數(shù)據(jù)的可靠性。 3. 海量數(shù)據(jù)管理技術(shù) ? 云計(jì)算需要對(duì)分布的、海量的數(shù)據(jù)進(jìn)行處理、分析，因此，數(shù)據(jù)管理技術(shù)必需能夠高效的管理大量的數(shù)據(jù)。 4. 虛擬化技術(shù) ? 通過虛擬化技術(shù)可實(shí)現(xiàn)軟件應(yīng)用與底層硬件相隔離，它包括將單個(gè)資源劃分成多個(gè)虛擬資源的裂分模式，也包括將多個(gè)資源整合成一個(gè)虛擬資源的聚合模式。 5. 云計(jì)算平臺(tái)管理技術(shù) ? 云計(jì)算資源規(guī)模龐大，服務(wù)器數(shù)量眾多并分布在不同的地點(diǎn)，同時(shí)運(yùn)行著