劉巖

（大港油田信息中心云計算中心，天津 300280）

云計算安全風險與保護技術(shù)的框架分析

劉巖

（大港油田信息中心云計算中心，天津 300280）

云計算是利用網(wǎng)絡(luò)的虛擬技術(shù)，為用戶提供海量虛擬資源的一種計算方式，將其與其他軟件相結(jié)合，能夠使數(shù)據(jù)存儲在云端，而不占用計算機的內(nèi)存空間，用戶只需登錄系統(tǒng)，即可實現(xiàn)文件的上傳和下載，靈活性較強。云環(huán)境中保存了大量的用戶資料，所以其安全性面臨著巨大的挑戰(zhàn)。文章主要對云計算存在的風險進行討論，并建立相應的保護技術(shù)框架，以實現(xiàn)用戶隱私的相對安全。

云計算；安全風險；保護技術(shù)框架

1　云環(huán)境面臨的安全挑戰(zhàn)

1.1身份假冒

云計算用戶不需要使用固定的計算機，只要記住賬號和密碼，就可以在任意的時間和地點輕松建立與云端系統(tǒng)的聯(lián)系。也就是說只要知道登陸指令，任何人都可以登陸系統(tǒng)，并且看到用戶的個人信息及上傳到云端的文件資料。這種方式為犯罪分子提供了作案條件，他們可以竊取用戶的個人資料、以客戶本人的身份發(fā)布虛假信息等，所以身份假冒是云環(huán)境面臨的最大威脅。

1.2共享帶來的安全風險

互聯(lián)網(wǎng)的基本功能就是信息的交換和共享，所以云計算的關(guān)鍵技術(shù)就是資源共享。傳統(tǒng)的安全策略無法兼顧云環(huán)境下的所有計算機和網(wǎng)絡(luò)，對于每個虛擬文件也不能進行一一探查，使得客戶的共享資料被惡意的傳播和感染病毒，而且在軟件中也經(jīng)常能夠發(fā)現(xiàn)漏洞。

1.3數(shù)據(jù)泄露

由于虛擬環(huán)境能夠有效保護用戶的個人隱私，所以云計算有相當多的受眾群體。對于攻擊者來說，云環(huán)境下保存了大量的客戶資料，只要成功竊取云端數(shù)據(jù)就能夠看到他所感興趣的信息。所以越來越多的黑客潛入系統(tǒng)，云環(huán)境被攻擊的次數(shù)也愈發(fā)的頻繁，一旦黑客成功控制客戶端，就會引起大量的數(shù)據(jù)泄露和丟失。

1.4DDOS攻擊

DDOS是黑客為了阻止合法用戶對云計算的訪問，而采取的拒絕服務(wù)攻擊手段，使得用戶無法登陸服務(wù)器。云計算服務(wù)提供商必須提供更多的網(wǎng)絡(luò)和服務(wù)器資源，才能抵御黑客的攻擊。使得云計算服務(wù)平臺有可能成為資源與服務(wù)的濫用或惡意使用等行為的溫床。

1.5開放帶來的安全挑戰(zhàn)

云計算服務(wù)提供商需要拓寬業(yè)務(wù)，不斷發(fā)展新的合作伙伴，用新型的網(wǎng)絡(luò)技術(shù)整合資源，才能實現(xiàn)開放的目的。云計算的開放理念也使得技術(shù)人員的工作量加大，需要不斷面臨黑客的各種攻擊，而新的系統(tǒng)運行測試尚在研發(fā)中，很多地方仍需要改進，還不能投入使用，導致了系統(tǒng)安全性收到了嚴重的威脅。

1.6防內(nèi)壓力大增

由于云計算客戶越來越多，服務(wù)商為了增加管理的靈活性，實行了外包策略，使得具備操作權(quán)限的工作人員越來越多。而且這些人來自不同的企業(yè)，不同的部門，個人素質(zhì)和操作技術(shù)都不能得到保證，使得來自內(nèi)部的風險增大。

2　云計算安全防護設(shè)計

2.1云計算核心架構(gòu)安全

（1）服務(wù)器虛擬化安全。首先，要建立并完善服務(wù)器虛擬化的安全防護體系，對虛擬機及其管理器的安全措施進行強化，主要是提高管理器的安全性能。然后，增加用戶的認證信息，確保用戶在登錄時能夠受到系統(tǒng)的保護。最后，建立虛擬機的安全保護體系，包括自動隔離病毒木馬等惡意攻擊，拒絕訪問風險網(wǎng)址等。

（2）虛擬化網(wǎng)絡(luò)安全。為了能夠及時發(fā)現(xiàn)用戶異常的操作行為，需要建立虛擬化網(wǎng)絡(luò)安全體系，運用VLAN技術(shù)將用戶分為不同的虛擬組，通過加強對虛擬組的管理增加對用戶的控。管理人員應經(jīng)常查看網(wǎng)絡(luò)日志，對其中有問題的地方進行跟蹤處理，將網(wǎng)絡(luò)安全風險降到最低。

（3）業(yè)務(wù)管理平臺安全。云計算的業(yè)務(wù)管理平臺應具備強大的功能，在發(fā)生故障時能做到快速自我修復，并對不同權(quán)限的用戶進行分類管理，限制用戶訪問不符合其權(quán)限要求的資源。還要時刻監(jiān)控虛擬機的性能，在虛擬機發(fā)生超負載時能夠及時發(fā)出預警信號。

2.2云服務(wù)平臺核心架構(gòu)安全

在進行云服務(wù)平臺的安全設(shè)計時，需要考慮以下問題：

一是云計算環(huán)境中有海量的用戶，所以API接口的數(shù)量龐大。

二是存在大量的分布式數(shù)據(jù)庫，能夠?qū)?shù)據(jù)進行快速的存儲和檢索，同時支持多用戶的訪問。

所以在進行云服務(wù)平臺的安全設(shè)計時，要結(jié)合以上情況，合理的分配現(xiàn)有資源，并對API接口實施安全保護。

2.3計算網(wǎng)絡(luò)與系統(tǒng)安全

首先，對云計算平臺按照工作性質(zhì)劃分為不同的區(qū)域，通過防火墻進行安全管理。然后，確?；A(chǔ)網(wǎng)絡(luò)的核心設(shè)備達到安全要求，并安裝殺毒軟件，以加強系統(tǒng)的安全，還要定期進行漏洞的檢測和修復。最后，對用戶采取多種認證方式，可以是密保問題、令牌、指紋等，其中指紋是最科學也是最安全的認證方式。

3　基于可信的安全云服務(wù)模式

云安全監(jiān)控與態(tài)勢分析系統(tǒng)：云安全監(jiān)控與態(tài)勢分析系統(tǒng)對公共云、行業(yè)云或私有云中的信息流進行實時收集、安全感知，通過后臺專業(yè)化支撐平臺和先進監(jiān)測工具，可以及時發(fā)現(xiàn)和掌握各種安全狀態(tài)，以便對云終端、云服務(wù)端實現(xiàn)全方位的預警、應急響應。

云輿情檢測與分析系統(tǒng)：云輿情監(jiān)測與分析系統(tǒng)可對互聯(lián)網(wǎng)上的信息數(shù)據(jù)進行監(jiān)測、收集和分析，實現(xiàn)網(wǎng)絡(luò)輿論的實時監(jiān)測、有效引導，可對負面輿論進行監(jiān)測預警與控制，同時也可以第一時間進行取證和分析，為政府提供決策支持。

云Web安全檢測與分析系統(tǒng)：云Web安全檢測與分析系統(tǒng)可對互聯(lián)網(wǎng)上的Web網(wǎng)站進行服務(wù)狀態(tài)監(jiān)測、網(wǎng)站掛馬檢測、網(wǎng)頁篡改監(jiān)測、網(wǎng)站漏洞監(jiān)測、網(wǎng)站安全事件監(jiān)控、敏感信息監(jiān)測和遠程滲透測試等。

4　小結(jié)

云計算技術(shù)的應用在我國剛剛起步，很多性能還未完善，尤其是其安全性始終困擾著廣大用戶。所以本文在原有基礎(chǔ)上提出了云計算的保護技術(shù)框架，從而為供應商提供安全的信息管理環(huán)境，從而優(yōu)化云計算的服務(wù)模式。

主要參考文獻

［1］孔小婧，周漪.基于云計算技術(shù)的信息安全風險研究［J］.計算機光盤軟件與應用，2013（18）.

10.3969/j.issn.1673-0194.2015.21.095

G202

A

1673-0194（2015）21-0183-02

2015-08-20

劉巖（1985-），男，天津人，大港油田信息中心云計算中心工程師，主要研究方向：云計算架構(gòu)設(shè)計和運維工作。