范唐鶴

湖北工程職業(yè)學院，湖北黃石 435000

云計算的網(wǎng)絡安全威脅與應對策略

范唐鶴

湖北工程職業(yè)學院，湖北黃石 435000

隨著計算機技術的不斷發(fā)展進步，云計算進一步為人們的生活提供便利。用戶可以從云平臺獲取各種需要的服務，比如下載資料、獲取應用程序和疑難問題的解答等?？梢娫朴嬎憬o用戶提供的是虛擬化的存儲于云平臺上的資源。通過云計算概念和類型的闡述，分析了當今云計算面臨的安全威脅與應對策略，以期對云計算的安全應用盡綿薄之力。

云計算；網(wǎng)絡安全；策略

對于云計算的概念，中外學者始終莫衷一是，目前國內比較認同的定義是：以互聯(lián)網(wǎng)為載體，為用戶提供可以自由應用且價格低廉的分布式計算能力的網(wǎng)絡應用模式。筆者認為，云計算是一種基于互聯(lián)網(wǎng)和遠程服務器來維護數(shù)據(jù)和應用程序的網(wǎng)絡服務模式。以互聯(lián)網(wǎng)為載體，云計算能夠提供用戶需要的資源，并替用戶創(chuàng)造一定的經(jīng)濟收益。隨著國際商業(yè)機器公司和谷歌對云計算的嘗試推廣，云計算從美國大學校園走入各大網(wǎng)絡巨頭的視野。通過不斷地研究開發(fā)，云計算已經(jīng)成為網(wǎng)絡世界的新寵。云計算減少了用戶對硬件設施以及軟件許可系統(tǒng)的維護成本，實現(xiàn)資源“私人定制”，對用戶需求快速反饋，利用互聯(lián)網(wǎng)對云平臺上的各種服務應用，方便用戶資源接入寬帶互聯(lián)網(wǎng)。目前云計算面臨著各種威脅攻擊和風險。

1 云計算的服務模式與部署模式

云計算的服務模式大體可以分為三類：SaaS(軟件即服務)、PaaS(平臺即服務)以及LaaS（基礎設施即服務）。軟件即服務指的是云服務提供商向用戶提供軟件服務的模式，用戶無需購買相關軟件。平臺即服務，顧名思義，提供的是開發(fā)環(huán)境、計算環(huán)境等平臺。云計算提供商將系統(tǒng)環(huán)境以及開發(fā)環(huán)境提供給使用者，用戶無需購買服務器就可進行應用程序的開發(fā)?；A設施，即服務，指的是把存儲、硬件等基礎硬件設施以及數(shù)據(jù)分配給用戶的服務模式。以上三種服務模式基于Web實現(xiàn)資源分配，由云服務提供商進行管理、實行操作與維護。

NIST將云計算劃分為公有云、私有云、混合云以及社區(qū)云四種部署模式。其中公有云提供簡單基礎的服務給公共用戶，比如網(wǎng)絡應用等，可以通過網(wǎng)絡向提供商直接獲取，由大眾公用的機構建設管理。私有云對制定的某一個企業(yè)提供服務，并且不能被非該企業(yè)的人進入獲取資源，由該企業(yè)自己負責管理維護?；旌显剖嵌喾N云計算模式的混合，并能發(fā)揮各自的特點與優(yōu)勢，比如可以把公有云與私有云進行混合。社區(qū)云類似于社區(qū)管理，由目標相似的公司與相聯(lián)系的小組承擔成本，資源在社區(qū)內共享。

2 云計算面臨的安全問題

2.1 可擴展標記語言簽名包裝與瀏覽器安全性

可擴展語言（XML）簽名包裝屬于Web服務攻擊漏洞。XML最初的作用是保護屬性與值以及組件名，令其不受非法攻擊，但它在公文中的位置無法隱藏，所以很容易遭受SOAP消息攜帶內容攻擊組件攻擊。用戶發(fā)送的請求由Web瀏覽器執(zhí)行，瀏覽器安全性的保護由SSL加密授權實現(xiàn)，但存在第三方將加密數(shù)據(jù)解密的風險。攻擊者安裝的窺探包可以截獲合法用戶的認證資料并在云系統(tǒng)無法查出其非法性。

2.2 云惡意軟件注入攻擊

如果惡意攻擊軟件進入云架構，黑客對惡意軟件關注使之合法化。用戶向惡意軟件發(fā)出請求命令，惡意軟件將被執(zhí)行。黑客進一步向云架構傳輸病毒木馬，如果通過云架構的審查，當作合法化服務請求命令被執(zhí)行，病毒也就能夠進行云架構的傳播，云架構的安全遭到病毒的破壞，用戶成為遭受攻擊的目標，云平臺將病毒通過用戶發(fā)出的請求傳送給用戶，最終導致用戶的終端遭受病毒的感染。攻擊者惡意注入的攻擊可以破壞正常的服務與應用程序以及虛擬機。

2.3 洪流攻擊

洪流攻擊是對云系統(tǒng)公開攻擊的行為。由于云系統(tǒng)使用者的不斷增加，云系統(tǒng)以之前的規(guī)模很難滿足用戶的需求，所以云系統(tǒng)也在擴展規(guī)模。洪流攻擊利用云系統(tǒng)向用戶提供可擴展資源的特點，向中央服務器不間斷發(fā)送無意義的請求，使系統(tǒng)認為資源請求過多而決絕其他用戶的合法請求命令。如此反復不斷進行攻擊，可以將系統(tǒng)資源耗竭，難以為合法用戶提供服務。DoS攻擊可以使使用者花費額外費用，云服務提供商支付相應費用進行賠償。

2.4 數(shù)據(jù)存儲與刪除與丟失

由于云服務的特殊性，用戶數(shù)據(jù)保存在云端而不是用戶自己保存，如果云計算服務提供商管理人員疏忽大意或者主動窺探用戶數(shù)據(jù)，造成云端數(shù)據(jù)的泄露讓用戶遭受損失。數(shù)據(jù)刪除問題、由于云服務自身的特點，數(shù)據(jù)副本可能被放置在不同的服務器上，所以云服務的數(shù)據(jù)刪除徹底不徹底對云服務的安全至關重要。即使用戶已經(jīng)刪除了相關的云端資源，但這個資源或許存放于不同的虛擬機系統(tǒng)，這部分虛擬機在用戶刪除資源時存在不可用情況，因而用戶很難把這一數(shù)據(jù)徹底刪除掉。如果云服務提供商突然倒閉，用戶所有的基礎設施將會不復存在，對用戶造成直接的損失，因而需要采取措施對用現(xiàn)有的技術進行存儲鎖定，或者進行備份處理，以應對突發(fā)狀況。

3 云計算安全問題解決措施

3.1 應對可擴展標記語言簽名包裝與瀏覽器安全性問題的策略

可擴展標記語言簽名包裝問題可以使用第三方授權的數(shù)字證書和WS-Security的XML簽名組件能夠拒絕攜帶惡意信息與客戶端的非法信息，實現(xiàn)云計算的安全；瀏覽器的安全性同樣可以借助WS-security 解決，由于WS-security的工作由信息層實現(xiàn)，XML對SOAP多次加密處理后可以應對瀏覽器安全問題。

3.2 應對云惡意軟件注入與洪流攻擊的策略

應對云惡意軟件注入攻擊目前尚無技術層面的有效對策，因此需要用戶對收到的信息必須認真進行真實性檢查，以防止因疏忽大意給攻擊者可乘之機，使云計算服務的安全遭受威脅；應對洪流攻擊，可以部署入侵檢測系統(tǒng)，將惡意請求過濾掉，啟動防火墻就能對洪流攻擊進行攔截，以達到保護云計算服務的目的。

3.3 應對數(shù)據(jù)存儲、刪除與丟失的策略

對于數(shù)據(jù)存儲的安全問題，僅僅加強管理人員的工作態(tài)度與相關管理是不夠的，需要通過加密技術對用戶云端的數(shù)據(jù)進行加密處理，這樣數(shù)據(jù)外泄的情況可以避免，數(shù)據(jù)不能查看后可以防止工作人員的故意泄露用戶信息；保護數(shù)據(jù)由虛擬化的私有網(wǎng)絡來執(zhí)行，運用專用的查詢工具，查詢到數(shù)據(jù)是否已經(jīng)徹底刪除，進而使云端數(shù)據(jù)刪除不徹底的問題得以消除；應對數(shù)據(jù)設備可能丟失的風險，用戶可以盡量選擇以應用程序為主的管理工具或相關服務，一旦云服務提供商出現(xiàn)意外情況也不會對用戶造成太大損失。

4 云計算存在的網(wǎng)絡問題與對策

云計算的網(wǎng)絡問題同樣值得重視，比如常見的網(wǎng)絡嗅探、中間人攻擊和拒絕服務攻擊等。網(wǎng)絡嗅探是網(wǎng)絡管理人員的一種檢查工具，可以對網(wǎng)絡性能與安全漏洞進行檢測，如果被惡意攻擊者利用，截獲用戶數(shù)據(jù)，可以使用全方位加密技術防止數(shù)據(jù)丟失；中間人攻擊是指在用戶不覺察的情況下黑客攔截用戶信息進行篡改監(jiān)控，需要安裝SSL并利用第三方對其安裝配置進行安全監(jiān)測，以應對中間人攻擊；拒絕服務攻擊是指黑客通過各種手段攻擊服務器使其死機或者不能提供服務，連接到服務器的用戶權限削減，可以減少拒絕服務攻擊的概率。

5 結論

計算機技術的發(fā)展進步使云計算越來越成熟，云計算的出現(xiàn)也大大方便了人們的日常生活，但云計算的安全問題依然令人擔憂。本文由云計算的概念入手，簡要介紹了云計算的幾種服務模式和部署模式，分析了云計算面臨的可擴展語言簽名包裝問題、云惡意軟件攻擊、洪流攻擊、瀏覽器安全性、數(shù)據(jù)存儲與刪除以及設備的丟失等安全，并提出了相應的解決措施，以便對大家更加安心方便的使用云計算服務提供幫助，對云計算的相關研究提供借鑒。

[1]黨衛(wèi)紅.云計算的安全防護策略分析與研究[J].讀與寫雜志，2010（5）.

[2]黃志宏，巫莉莉，張波.基于云計算的網(wǎng)絡安全威脅及防范[J].重慶理工大學學報，2012（8）.

TP3

A

1674-6708（2015）149-0033-02