1.引言

　　2007年10月，Google和IBM在美國大學(xué)校園開始嘗試推廣云計(jì)算計(jì)劃，學(xué)生可以透過網(wǎng)絡(luò)開發(fā)各項(xiàng)以大規(guī)模計(jì)算為基礎(chǔ)的研究計(jì)劃；隨后，更多的IT巨頭也開始往這方面發(fā)展。從此，云計(jì)算技術(shù)開始取代其他計(jì)算機(jī)技術(shù)成為IT業(yè)界的流行術(shù)語。所謂云計(jì)算，指的是一種模式，一個(gè)利用互聯(lián)網(wǎng)和遠(yuǎn)程服務(wù)器來維護(hù)數(shù)據(jù)和應(yīng)用程序的新概念。通過互聯(lián)網(wǎng)，云計(jì)算能提供動(dòng)態(tài)的虛擬化資源、帶寬資源和定制軟件給用戶，并承諾在應(yīng)用中為用戶產(chǎn)生可觀的經(jīng)濟(jì)效益。云計(jì)算可以幫助用戶減少對(duì)硬件資源、軟件許可及系統(tǒng)維護(hù)的投入成本：通過互聯(lián)網(wǎng)，用戶可以方便地使用云平臺(tái)上的各類應(yīng)用服務(wù)。此外，通過云計(jì)算用戶可以節(jié)約投資成本并可靈活地實(shí)現(xiàn)按需定制服務(wù)，云平臺(tái)的按需定制服務(wù)可以快速地響應(yīng)用戶需求，并方便地將用戶資源接人寬帶網(wǎng)絡(luò)。

　　本文針對(duì)云計(jì)算的類型和網(wǎng)絡(luò)安全威脅問題進(jìn)行了細(xì)致探討。在網(wǎng)絡(luò)風(fēng)險(xiǎn)方面，云計(jì)算主要面臨著以下的威脅攻擊：拒絕服務(wù)攻擊、中間人攻擊、網(wǎng)絡(luò)嗅探、端口掃描、SQL注入和跨站腳本攻擊；在安全風(fēng)險(xiǎn)方面，云計(jì)算面I臨的威脅主要是：XML簽名包裝、瀏覽器安全性、云惡意軟件注入、洪流攻擊、數(shù)據(jù)保護(hù)、數(shù)據(jù)刪除不徹底和技術(shù)鎖定。

　　2.云計(jì)算的相關(guān)概念

　　許多公司，機(jī)構(gòu)經(jīng)常需要對(duì)海量數(shù)據(jù)進(jìn)行存儲(chǔ)和檢索，而云計(jì)算可以有效地以最小的成本、最短的時(shí)間和最大的靈活性來實(shí)施完成該項(xiàng)任務(wù)。利用云計(jì)算獲取便利的同時(shí)，用戶也要面臨云計(jì)算中各種不同的安全風(fēng)險(xiǎn)問題，如必須要將云平臺(tái)上不同用戶的數(shù)據(jù)相隔離，要保證不同云用戶數(shù)據(jù)的私密性、可靠性和完整性。此外，云服務(wù)提供商對(duì)云上的基礎(chǔ)服務(wù)設(shè)施必須制定一套完善的風(fēng)險(xiǎn)管理控制方案，像服務(wù)提供商操縱或竊取程序代碼的安全風(fēng)險(xiǎn)是時(shí)有出現(xiàn)的。

　　經(jīng)常使用的互聯(lián)網(wǎng)，通常也可以被看作一朵巨大的云。通過互聯(lián)網(wǎng)，云計(jì)算被看作一個(gè)應(yīng)用和服務(wù)呈現(xiàn)給用戶。它的出現(xiàn)迅速將舊的計(jì)算機(jī)技術(shù)整合。然后轉(zhuǎn)變?yōu)橐豁?xiàng)新技術(shù)。目前互聯(lián)網(wǎng)提供了不同的服務(wù)給不同的用戶群體，提供這些服務(wù)并不需要什么特殊的設(shè)備或軟件。因此，云計(jì)算最起碼包含幾個(gè)特性：“云是一個(gè)大型資源池，可以輕松地獲取虛擬化資源（如硬件、開發(fā)平臺(tái)或服務(wù)）。這些資源可以動(dòng)態(tài)地重新配置和靈活整合，達(dá)到一個(gè)最佳的資源利用率。云服務(wù)提供商通過定制服務(wù)水平協(xié)議，提供基礎(chǔ)設(shè)施服務(wù)并按付費(fèi)的模式來管理維護(hù)這種資源池。”云計(jì)算不是一個(gè)單一產(chǎn)品。它提供了不同的服務(wù)模式，主要包括以下3種：軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）和基礎(chǔ)設(shè)施即服務(wù)（IaaS）。

　　SaaS是一種通過互聯(lián)網(wǎng)來提供軟件的服務(wù)模式，用戶無需購買軟件。而是向云服務(wù)提供商租用基于Web的軟件來管理企業(yè)經(jīng)營活動(dòng)。

　　Paas是把計(jì)算環(huán)境、開發(fā)環(huán)境等平臺(tái)作為一種服務(wù)提供的商業(yè)模式。云計(jì)算服務(wù)提供商可以將操作系統(tǒng)、應(yīng)用開發(fā)環(huán)境等平臺(tái)級(jí)產(chǎn)品通Web以服務(wù)的方式提供給用戶。通過PaaS，軟件開發(fā)人員可以在不購買服務(wù)器的情況下開發(fā)新的應(yīng)用程序。

　　IaaS是把數(shù)據(jù)中心、基礎(chǔ)設(shè)施硬件資源（如存儲(chǔ)、硬件、服務(wù)器、網(wǎng)絡(luò)）通過Web分配給用戶使用的商業(yè)模式。這些資源由云服務(wù)提供商進(jìn)行操作、維護(hù)和管理。根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的定義，云計(jì)算有4種部署模式，分別是：公共云、私有云、混合云和社區(qū)云，如圖l所示。

　　公共云：它面向大眾提供資源、Web應(yīng)用和其他服務(wù)等，任何用戶都可以通過互聯(lián)網(wǎng)從云服務(wù)商處獲取這些服務(wù)。公共云上的基礎(chǔ)設(shè)施由公用的企業(yè)機(jī)構(gòu)進(jìn)行建設(shè)及管理。

　　私有云：這種云基礎(chǔ)設(shè)施專門為一個(gè)企業(yè)服務(wù)，該企業(yè)內(nèi)的任何用戶都可以從云設(shè)施處獲取數(shù)據(jù)、服務(wù)和Web應(yīng)用，但企業(yè)外部的用戶則不能訪問云。私有云上的基礎(chǔ)設(shè)施完全由企業(yè)自身管理，并維護(hù)公共數(shù)據(jù)。混合云：混合云是兩種或兩種以上的云計(jì)算模式的混合體，如公有云和私有云混合。它們相互獨(dú)立，但在云的內(nèi)部又相互結(jié)合，可以發(fā)揮出所混合的多種云計(jì)算模型各自的優(yōu)勢(shì)。

　　社區(qū)云：這種模式是建立在一個(gè)特定的小組里多個(gè)目標(biāo)相似的公司之間的，其共享一套基礎(chǔ)設(shè)施，所產(chǎn)生的成本共同承擔(dān)。因此，其所能實(shí)現(xiàn)的成本節(jié)約效果也并不很明顯。社區(qū)云的成員都可以登人云中獲取信息和使用應(yīng)用程序。

　　3.云計(jì)算的網(wǎng)絡(luò)問題

　　云計(jì)算環(huán)境中存著在多種網(wǎng)絡(luò)安全威脅問題，現(xiàn)將其中一些主要的網(wǎng)絡(luò)問題進(jìn)行探討分析。

　　圖1 云計(jì)算的類型

　　3.1 拒絕服務(wù)攻擊

　　拒絕服務(wù)攻擊指攻擊者想辦法讓目標(biāo)服務(wù)器停止提供服務(wù)甚至主機(jī)死機(jī)。如攻擊者頻繁地向服務(wù)器發(fā)起訪問請(qǐng)求，造成網(wǎng)絡(luò)帶寬的消耗或者應(yīng)用服務(wù)器的緩沖區(qū)滿溢：該攻擊使得服務(wù)器無法接收新的服務(wù)請(qǐng)求，其中包括了合法客戶端的訪問請(qǐng)求。例如。一個(gè)黑客劫持了Web服務(wù)器，使其應(yīng)用服務(wù)停止運(yùn)行，導(dǎo)致服務(wù)器不能提供Web服務(wù)。在云計(jì)算中，黑客對(duì)服務(wù)器開展拒絕服務(wù)攻擊時(shí)，會(huì)發(fā)起成千上萬次的訪問請(qǐng)求到服務(wù)器，導(dǎo)致服務(wù)器無法正常工作。無法響應(yīng)客戶端的合法訪問請(qǐng)求。針對(duì)這種攻擊，可以采用的應(yīng)對(duì)策略是減少連接到服務(wù)器的用戶的權(quán)限，這將有助于降低拒絕服務(wù)攻擊的影響。