貴州省信息中心　張　良

云計算安全風(fēng)險因素挖掘及應(yīng)對策略探討

貴州省信息中心張良

云計算是一種新的服務(wù)形式，但其面臨的安全風(fēng)險也要比傳統(tǒng)的網(wǎng)絡(luò)信息要大?；诖?，本文主要分析了云計算安全的重要性，并著重探討了云計算的主要存在的安全風(fēng)險，同時提出了相應(yīng)的應(yīng)對措施，以供相關(guān)人員參考。

云計算；安全風(fēng)險；因素挖掘；應(yīng)對策略

1　引言

云計算是一種新型的計算模式，其主要利用互聯(lián)網(wǎng)以服務(wù)的形式提供動態(tài)可伸縮的虛擬化資源，無需耗費大量的人力和物力來管理這些資源，并且不需要跟供應(yīng)商之間進行交互。進一步挖掘云計算中所存在的風(fēng)險，并提出相應(yīng)的解決措施已成為現(xiàn)階段社會廣泛關(guān)注的問題，因而要加大研究力度。

2　云計算安全的重要性

現(xiàn)階段，信息技術(shù)的主要領(lǐng)域依舊被西方發(fā)達國家所壟斷，而在“云”面前，國家的信息安全以及主流文化會被沖擊，而其發(fā)展會進一步集中全球信息的收集、傳輸、儲存以及處理等，導(dǎo)致國家信息面臨著“去國家化”的挑戰(zhàn)。此外，云計算的應(yīng)用越來越廣泛，用戶能夠利用網(wǎng)絡(luò)來獲取相關(guān)的數(shù)據(jù)，因而數(shù)據(jù)的備份以及其安全性會受到影響，同時云計算的安全與否，對于商業(yè)機密、國家機密以及個人隱私的保護也有著十分重要的影響，一旦未能夠?qū)ζ浒踩M行保護，敏感數(shù)據(jù)很有可能被盜竊，進而影響到用戶的知識產(chǎn)權(quán)、聲譽、人身安全。

3　云計算環(huán)境中存在的安全風(fēng)險因素

3.1技術(shù)安全風(fēng)險因素

3.1.1虛擬化技術(shù)

虛擬化技術(shù)作為云計算中最為關(guān)鍵的一項技術(shù)，也是構(gòu)成數(shù)據(jù)共享中心的核心所在，虛擬技術(shù)能夠為云計算的順利實施提供相應(yīng)的支持，提升了云計算的可擴展性和服務(wù)器的利用率，但若虛擬化軟件不夠安全，則會出現(xiàn)不法分子入侵系統(tǒng)，進行各種非法操作和非法訪問，并對用戶的數(shù)據(jù)進行竊取，威脅到用戶的數(shù)據(jù)安全。

3.1.2數(shù)據(jù)加密技術(shù)

做好數(shù)據(jù)的加密處理目的在于能夠有效確保存儲數(shù)據(jù)、傳輸數(shù)據(jù)以及遷移數(shù)據(jù)過程中數(shù)據(jù)的安全性，一般加密數(shù)據(jù)可以利用的傳統(tǒng)技術(shù)有兩種，分別為對稱加密以及公匙加密，這類技術(shù)的優(yōu)點在于即使數(shù)據(jù)被不法分子竊取但依舊無法使用這些數(shù)據(jù)，從而達到降低數(shù)據(jù)泄露的風(fēng)險，然而有些云服務(wù)所使用的加密算法比較脆弱，易被黑客攻擊，泄露出用戶的數(shù)據(jù)；此外，若云服務(wù)商所使用的加密技術(shù)比較成熟，但密匙丟失會倒是用戶難以解密自己的數(shù)據(jù)，最終會毀壞數(shù)據(jù)，并難以繼續(xù)使用。

3.1.3身份驗證及訪問控制技術(shù)

在云計算中引入身份認證和訪問管理技術(shù)能夠有效確保資源的合法訪問以及使用，若云計算服務(wù)中所使用的身份驗證技術(shù)以及訪問技術(shù)存在缺陷或者出現(xiàn)了安全漏洞，則會導(dǎo)致用戶的登錄賬號和密碼被仿冒，出現(xiàn)用戶越權(quán)訪問的問題，最終泄露用戶的數(shù)據(jù)，因而不可忽視。

3.1.4數(shù)據(jù)移植及接口

資源被整合到云計算的“云中”，利用API接口為用戶提供服務(wù)，而云平臺的安全性很大程度上取決于API接口的安全性，若API接口不夠安全，云平臺遭到惡意攻擊的成功幾率也會增大，對云計算的平臺的安全造成威脅。此外由于不同的運營商，其云平臺所使用的操作方式以及使用的接口技術(shù)也不同，因而用戶也就難以將數(shù)據(jù)從一家云服務(wù)遷移到另一家云服務(wù)中，移植過程中也會損壞或者泄露數(shù)據(jù)。

3.2管理安全風(fēng)險

3.2.1法律法規(guī)問題

云計算所涉及到的服務(wù)器集群較為龐大，并且這些服務(wù)器所在的國家以及地區(qū)都不同，但現(xiàn)階段有關(guān)云計算的法律法規(guī)標(biāo)準還不夠統(tǒng)一，因而不同國家判別數(shù)據(jù)的合法性就存在著不同，也難以利用法律手段維護用戶的利益，同樣會產(chǎn)生各種安全風(fēng)險。

3.2.2用戶管理

云計算所提供的服務(wù)能夠無限制的進行擴展，缺少對注冊用戶身份和背景的審查和監(jiān)管，導(dǎo)致許多不法分子會利用云計算去攻擊其他的平臺，或者使用暴力的方式對密碼進行破解，嚴重威脅云計算平臺的安全。

3.2.3軟件使用管理

由于用戶使用云計算平臺時會按照自身的需求使用相應(yīng)的軟件服務(wù)，并且為用戶提供不同的軟件服務(wù)，但用戶難以對這些軟件的合法性以及安全性進行判斷，而云服務(wù)的提供商也未能夠?qū)徍说谌降纳矸荩瑱z測軟件的安全性，因而云平臺中的軟件多而雜亂，若用戶使用了這些軟件，則會被竊取數(shù)據(jù)或者云平臺會被攻擊。

4　云計算環(huán)境中安全風(fēng)險因素的應(yīng)對策略

4.1構(gòu)建標(biāo)準的云計算安全技術(shù)體系

由于云計算中所包含的備份、身份認證與訪問管理、數(shù)據(jù)加密、數(shù)據(jù)銷毀、虛擬等一系列的成熟技術(shù)一直備受關(guān)注，但云計算具有一定的開放性、規(guī)模性以及復(fù)雜性，有效的在云計算環(huán)境中結(jié)合這些技術(shù)，確保服務(wù)的安全，則需要構(gòu)建一個更為標(biāo)準的技術(shù)體系，以便對云計算的安全進行支撐，降低技術(shù)風(fēng)險。

4.2建立第三方機構(gòu)進行評估和管理

現(xiàn)階段，企業(yè)所選擇的云計算服務(wù)商未能夠明確的說明細節(jié)，導(dǎo)致用戶選擇服務(wù)時存在一定的盲目性，并且云服務(wù)商沒有確立一個標(biāo)準來供用戶參考，更多的是靠運營商以及用戶之間的磋商，服務(wù)商能夠有效的控制用戶，一旦服務(wù)出現(xiàn)問題，用戶則成了最大的受害者，因此若沒有第三方中立結(jié)構(gòu)的監(jiān)管以及評估，則難以順利的推廣和運行云計算，政府要加快建立云計算第三方機構(gòu)，實時評估提供商的服務(wù)以及存在的風(fēng)險，為用戶提供相應(yīng)的參考，減少風(fēng)險。

4.3完善法律法規(guī)

為了減少云計算受到不完善法律法規(guī)的制約，則需要盡快的制定相關(guān)的數(shù)據(jù)保護、隱私保護以及信息安全的相關(guān)法律，以法律手段對人們的行為進行規(guī)范和監(jiān)督，全方位的保護用戶以及運營商的合法權(quán)益，保障云計算的健康發(fā)展。

4.4強化管理和監(jiān)督，選擇正確的供應(yīng)商

為了更好的對云計算中的設(shè)備以及員工進行管理，則需要制定相應(yīng)的管理制度，以及審核好員工的身份，并且規(guī)定好每一項工作的流程，安全控制各個業(yè)務(wù)的流程，安排員工定期檢查設(shè)備安全，及時排除安全隱患，從而為用戶創(chuàng)造一個安全的云計算環(huán)境。此外，用戶選擇服務(wù)商時要多角度去考慮，避免由于服務(wù)商的變動引發(fā)各種安全風(fēng)險。

5　結(jié)語

總而言之，將云計算應(yīng)用到科學(xué)發(fā)展中，能夠有效帶動社會的進步，為了有效保證云計算過程中的安全，則需要對其計算過程中存在的安全隱患進行分析，采取相應(yīng)的措施進行保護，最終實現(xiàn)網(wǎng)絡(luò)的健康和穩(wěn)定的發(fā)展。

［1］劉波.云計算的安全風(fēng)險評估及其應(yīng)對措施探討［J］.移動通信，2011，35（9）：23-23

［2］孫卓雅.淺談云計算安全風(fēng)險因素挖掘及應(yīng)對策略［J］.電子測試，2016（15）：96-96.

［3］姜茸，馬自飛，李彤，等.云計算安全風(fēng)險因素挖掘及應(yīng)對策略［J］.現(xiàn)代情報，2015，35（1）：85-90.