上海市寶山區(qū)廣播電視臺(tái) 蔡 蔚

?

云計(jì)算的安全問(wèn)題

上海市寶山區(qū)廣播電視臺(tái) 蔡 蔚

【摘要】云計(jì)算的便利和強(qiáng)大已眾所周知，但是隨之而來(lái)的安全問(wèn)題也讓人越來(lái)越重視，文章探討了一些云計(jì)算設(shè)計(jì)、使用時(shí)的安全問(wèn)題。

【關(guān)鍵詞】云計(jì)算；應(yīng)用軟件；虛擬機(jī)；安全問(wèn)題

云計(jì)算能夠讓你按照可計(jì)量的方式來(lái)使用計(jì)算資源和存儲(chǔ)資源，能夠降低企業(yè)在計(jì)算基礎(chǔ)設(shè)施方面的投入成本。在物理硬件上運(yùn)行的虛擬機(jī)可以動(dòng)態(tài)地增容和降容，并由虛擬機(jī)監(jiān)控器進(jìn)行控制，成為一種成本效率高，靈活性好的計(jì)算方式。雖然云計(jì)算具有很多優(yōu)勢(shì)，但是云中的安全才是云用戶首先關(guān)注的問(wèn)題，也成為了云計(jì)算開(kāi)發(fā)應(yīng)用的瓶頸。

1　引言：云的隱患

云的規(guī)模、結(jié)構(gòu)以及地域分散性等特點(diǎn)是引發(fā)用戶對(duì)云中數(shù)據(jù)安全和隱私擔(dān)憂的源點(diǎn)。主要涉及以下幾點(diǎn)：云服務(wù)提供商提供的軟件是否可靠，能否對(duì)敏感信息提供正確的處理和防護(hù)；運(yùn)行在同一臺(tái)服務(wù)器上不同虛擬機(jī)之間的數(shù)據(jù)是否會(huì)被泄露和非授權(quán)訪問(wèn)；云服務(wù)提供商設(shè)置的安全防護(hù)措施是否可靠，是否會(huì)泄漏云用戶的數(shù)據(jù)。另外，云用戶在使用云服務(wù)時(shí)是否會(huì)不自覺(jué)地泄露自己的信息。下面我就這些問(wèn)題分別做些探討。

2　云計(jì)算中的應(yīng)用軟件的安全問(wèn)題

使用云計(jì)算提供的SAAS服務(wù)時(shí)，安全軟件是一個(gè)關(guān)鍵問(wèn)題。安全云軟件應(yīng)具備三個(gè)必須的安全需求：（1）軟件在預(yù)期的運(yùn)行條件下必須是可靠的，在惡意的運(yùn)行條件下要保持可靠；（2）軟件自身的行為必須是可信賴的，不能有被黑客利用的漏洞或插入惡意代碼能對(duì)其產(chǎn)生破壞；（3）軟件適應(yīng)性必須足夠強(qiáng)，在意外結(jié)束后能夠迅速恢復(fù)全部運(yùn)行功能，并對(duì)軟件本身、軟件所處理的資源、數(shù)據(jù)以及與軟件進(jìn)行交互的外部組件的破壞程度降低到最小。

為了達(dá)到這個(gè)安全需要在軟件開(kāi)發(fā)的起初階段，在數(shù)據(jù)處理、代碼實(shí)踐等環(huán)節(jié)都要謹(jǐn)慎處理。如當(dāng)用戶在計(jì)算機(jī)屏幕上輸入密碼時(shí)，確保一定不能用明文顯示，即使用星號(hào)等符號(hào)顯示，也要防止黑客在屏幕上通過(guò)復(fù)制粘貼的方法獲得密碼。因此密碼最好用單向散列進(jìn)行加密。對(duì)所有不能確信的用戶的輸入要進(jìn)行驗(yàn)證和確認(rèn)。云服務(wù)器代碼中所包含的信息要精簡(jiǎn)，因?yàn)楹诳蜁?huì)利用運(yùn)行代碼中的注釋?zhuān)ㄈ缯谶\(yùn)行的軟件版本等信息），來(lái)檢測(cè)搜索攻擊范圍。

當(dāng)下隨著針對(duì)信息系統(tǒng)惡意攻擊的頻率越來(lái)越高，攻擊方式越來(lái)越復(fù)雜，安全性也成為云軟件設(shè)計(jì)時(shí)的主要目標(biāo)。因此設(shè)計(jì)系統(tǒng)軟件時(shí)應(yīng)遵循最小特權(quán)、權(quán)限分離、深度防御、故障保護(hù)、完全仲裁、最小公共機(jī)制等原則。最小特權(quán)原則指主體在完成某種任務(wù)操作時(shí)只給予必不可少的特權(quán)、最少的資源、最短的時(shí)間，限制了每個(gè)主體所能進(jìn)行的操作。這樣將能減少由于疏忽或不經(jīng)意所形成的錯(cuò)誤，或是侵入者假裝成合法主體所造成的損壞的發(fā)生，限制了事故、錯(cuò)誤或攻擊帶來(lái)的危害。它還減少了特權(quán)程序之間潛在的相互作用，從而限制了特權(quán)無(wú)意的、沒(méi)必要的或不適當(dāng)?shù)氖褂谩?/p>

權(quán)限分離原則要求對(duì)某個(gè)特定的敏感對(duì)象的訪問(wèn)要依賴于滿足多個(gè)條件。比如就象銀行保險(xiǎn)箱的開(kāi)啟必須要有當(dāng)事人和銀行保險(xiǎn)箱管理員同時(shí)拿出密鑰才能開(kāi)啟一樣，對(duì)于某個(gè)特殊的敏感系統(tǒng)的登陸也需要滿足相關(guān)不同的條件才能訪問(wèn)，如不僅要口令，還要指紋等，這樣才能進(jìn)一步確保阻止無(wú)關(guān)人員的非法登入。

深度防御原則是指采用多層安全防護(hù)，一旦前面的安全防護(hù)層受到攻擊被破壞，還有后續(xù)的安全防護(hù)層能夠繼續(xù)提供防御能力。這樣在攻擊者和用戶信息資源之間建立起多層屏障，攻擊者越想深入系統(tǒng)，他所面臨的困難就越大。這些防御層阻止了攻擊者對(duì)系統(tǒng)重要資源的攻擊和偵察，同時(shí)也為入侵檢測(cè)系統(tǒng)的實(shí)施提供了自然的檢測(cè)區(qū)域。

故障保護(hù)原則顧名思義就是指當(dāng)云計(jì)算系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)應(yīng)受到保護(hù)，不受故障影響而處于安全狀態(tài)，其數(shù)據(jù)也不會(huì)遭到破壞。如當(dāng)系統(tǒng)有故障時(shí)，讓系統(tǒng)默認(rèn)處于一個(gè)拒絕用戶訪問(wèn)的狀態(tài)，直到系統(tǒng)完全恢復(fù)到安全狀態(tài)。

完全仲裁原則是指在系統(tǒng)中，主體對(duì)客體的每一個(gè)訪問(wèn)請(qǐng)求都必須經(jīng)過(guò)一個(gè)正當(dāng)有效的授權(quán)過(guò)程，即使系統(tǒng)處于初始化或者關(guān)閉、重新啟動(dòng)等模式狀態(tài)，這種仲裁都不能被停止或者繞開(kāi)。完全仲裁必須具備的功能包括對(duì)每一個(gè)發(fā)出訪問(wèn)請(qǐng)求的實(shí)體進(jìn)行標(biāo)識(shí)，驗(yàn)證該請(qǐng)求自發(fā)起后未被修改，實(shí)施恰當(dāng)?shù)氖跈?quán)過(guò)程。即使對(duì)同一個(gè)實(shí)體前面已認(rèn)證的請(qǐng)求也要進(jìn)行重新檢查。

最小公共機(jī)制原則認(rèn)為應(yīng)該盡可能少的采用公共防御機(jī)制為大多數(shù)用戶服務(wù)，因?yàn)楣蚕淼脑L問(wèn)路徑很有可能成為非授權(quán)信息交換的源頭。

認(rèn)證、授權(quán)、審計(jì)和可追究性這些也直接影響云計(jì)算軟件的安全。認(rèn)證是指系統(tǒng)對(duì)用戶身份的證據(jù)進(jìn)行驗(yàn)證和達(dá)成一致的過(guò)程。如用戶在登陸頁(yè)面輸入用戶名和密碼，系統(tǒng)通過(guò)驗(yàn)證密碼與用戶名是否與注冊(cè)時(shí)留下的一致來(lái)判定用戶是否有權(quán)登陸。授權(quán)是指為用戶或進(jìn)程授予訪問(wèn)計(jì)算資源和信息資產(chǎn)的權(quán)限，用戶身份決定著授權(quán)級(jí)別。審計(jì)由系統(tǒng)審計(jì)和系統(tǒng)監(jiān)控兩部分組成?？勺肪啃灾冈谠朴?jì)算系統(tǒng)中能夠在事后根據(jù)某個(gè)實(shí)體的動(dòng)作和行為，識(shí)別出該實(shí)體的身份。審計(jì)日志有助于實(shí)現(xiàn)可追究性，且可用來(lái)引導(dǎo)事后研究，以此分析歷史事件和與這些事件相關(guān)的實(shí)體。

3　云計(jì)算中虛擬機(jī)的安全問(wèn)題

云計(jì)算系統(tǒng)中的多個(gè)虛擬機(jī)共享一個(gè)物理硬件，因此當(dāng)某個(gè)虛擬機(jī)因受到攻擊出現(xiàn)系統(tǒng)漏洞時(shí)，很可能會(huì)導(dǎo)致其它虛擬機(jī)甚至宿主機(jī)的操作系統(tǒng)受到威脅。出現(xiàn)虛擬機(jī)進(jìn)入死循環(huán)，管理員無(wú)法進(jìn)行訪問(wèn)；虛擬機(jī)管理器受到干擾，對(duì)監(jiān)測(cè)點(diǎn)和所有分配的資源進(jìn)行破壞；虛擬機(jī)完全失去控制，能直接在其宿主機(jī)上使用更高的權(quán)限執(zhí)行非授權(quán)的命令等情況。 針對(duì)這些安全問(wèn)題，有以下的對(duì)策來(lái)解決。

（1）限制對(duì)虛擬機(jī)的資源消耗，減少虛擬機(jī)的功能。如果每個(gè)虛擬機(jī)只配備一個(gè)主要功能，將虛擬機(jī)配置為進(jìn)程隔離，只采用每個(gè)服務(wù)器或設(shè)備的某個(gè)主要功能，就能在很大程度上阻止黑客破換多個(gè)系統(tǒng)組件。（2）為機(jī)密虛擬機(jī)使用獨(dú)立的網(wǎng)卡。對(duì)那些包含加密數(shù)據(jù)庫(kù)，敏感信息的虛擬機(jī)將其網(wǎng)絡(luò)接口地址綁定到一個(gè)單獨(dú)的物理網(wǎng)卡上，有助于防止外部攻擊。（3）斷開(kāi)不用的設(shè)備。由于虛擬機(jī)可以控制宿主機(jī)上的物理設(shè)備，因此有可能通過(guò)虛擬機(jī)加載時(shí)向設(shè)備輸入插有惡意代碼的介質(zhì)，所以要盡可能地將那些不必要的默認(rèn)虛擬設(shè)備連接斷開(kāi)。（4）保持虛擬機(jī)軟件的更新，確保所有已知漏洞被及時(shí)補(bǔ)丁上。這樣攻擊者如果不在操作系統(tǒng)中提升權(quán)限，攻破系統(tǒng)的可能性就明顯降低。（5）避免客戶的虛擬機(jī)在非保護(hù)模式下運(yùn)行時(shí)使用底層設(shè)施提供的所有安全功能，同時(shí)要避免在客戶虛擬機(jī)使用Root權(quán)限，運(yùn)行不可信的代碼。（6）確保虛擬機(jī)遠(yuǎn)程訪問(wèn)的安全。虛擬機(jī)往往位于遠(yuǎn)離管理區(qū)域的服務(wù)器集群上，因此需要安全的遠(yuǎn)程管理通信技術(shù)來(lái)訪問(wèn)管理虛擬系統(tǒng)。通常使用一個(gè)專(zhuān)用的管理網(wǎng)卡運(yùn)行服務(wù)進(jìn)程，采用加密通信、雙因素認(rèn)證等強(qiáng)認(rèn)證方式。還有些安全對(duì)策如對(duì)虛擬機(jī)端口進(jìn)行防火墻保護(hù)、虛擬化基礎(chǔ)設(shè)施的審計(jì)日志必須保存得足夠詳細(xì)。

4　云計(jì)算中服務(wù)提供商的安全問(wèn)題

一個(gè)可信的云計(jì)算服務(wù)提供商要為用戶提供一個(gè)安全的執(zhí)行環(huán)境，對(duì)用戶的應(yīng)用程序和存儲(chǔ)提供安全保障。因此云服務(wù)提供商是否具有安全管理、安全意識(shí)和安全控制的意識(shí)會(huì)對(duì)云計(jì)算的安全有著至關(guān)重要的影響。

云計(jì)算服務(wù)提供商的安全管理不僅涉及到云計(jì)算系統(tǒng)中的基礎(chǔ)設(shè)施的物理環(huán)境的管理，如充足的電力保障，人員進(jìn)出機(jī)房的安全保障，對(duì)自然災(zāi)害的預(yù)防等，更重要是對(duì)用戶信息的進(jìn)行安全管理。對(duì)于一個(gè)用戶來(lái)說(shuō)，儲(chǔ)存在云中的所有數(shù)據(jù)不是都具有同等地位的的，可分為公開(kāi)數(shù)據(jù)、敏感數(shù)據(jù)、私有數(shù)據(jù)和機(jī)密數(shù)據(jù)，因此云服務(wù)商安全管理的首要任務(wù)就是將信息分級(jí)。信息分級(jí)的主要目的是提高數(shù)據(jù)的機(jī)密性、完整性和可用性，并盡可能地降低數(shù)據(jù)的風(fēng)險(xiǎn)。云服務(wù)商

可根據(jù)信息對(duì)用戶的價(jià)值，信息的壽命也就是使用年限等來(lái)對(duì)信息分級(jí)。信息的價(jià)值是指此信息丟失或泄漏對(duì)企業(yè)產(chǎn)生的影響，可分為高級(jí)（出現(xiàn)重大損失）、中級(jí)（導(dǎo)致明顯的損失）、低級(jí)（只導(dǎo)致一些損失）。信息的壽命就是指信息的價(jià)值會(huì)隨著時(shí)間的發(fā)展不斷地遞減，當(dāng)新的信息出現(xiàn)成功替代一個(gè)舊的信息，那么舊的信息的安全級(jí)別自然就降低。不同安全級(jí)別的信息享有不同等級(jí)的管理措施，使用戶的信息能夠最大程度的得到安全保障。

云中的數(shù)據(jù)對(duì)云服務(wù)提供商的某些雇員來(lái)說(shuō)是透明的，他們可以訪問(wèn)客戶的數(shù)據(jù)，因此對(duì)雇員安全意識(shí)的培訓(xùn)必不可少。通過(guò)提高保護(hù)系統(tǒng)資源的意識(shí)、提高技能、提高法律法規(guī)的宣傳、激發(fā)雇員職業(yè)責(zé)任感來(lái)減少員工的非授權(quán)行為。除了有安全意識(shí)，云服務(wù)提供商的安全控制也很重要。云服務(wù)提供商在當(dāng)客戶需要銷(xiāo)毀某些數(shù)據(jù)時(shí)，應(yīng)禁止私下將數(shù)據(jù)截留在存儲(chǔ)區(qū)域內(nèi)或者備份數(shù)據(jù)；雇員對(duì)一些敏感數(shù)據(jù)的訪問(wèn)應(yīng)通過(guò)權(quán)限分離等防御措施進(jìn)行監(jiān)督與控制；雇員離職時(shí)，應(yīng)做好交接后續(xù)工作，例如刪除訪問(wèn)權(quán)限、清理個(gè)人計(jì)算機(jī)數(shù)據(jù)，返還公司計(jì)算機(jī)設(shè)備等。

5　云計(jì)算使用時(shí)的安全問(wèn)題

虛擬化的資源、跨地域的服務(wù)器、共享的計(jì)算單元和存儲(chǔ)單元，這些為云用戶帶來(lái)了巨大的便利和機(jī)遇的同時(shí)也帶來(lái)了挑戰(zhàn)。云用戶在享受云計(jì)算的便捷的時(shí)候也應(yīng)注意保護(hù)自身數(shù)據(jù)信息的安全。云用戶的身份認(rèn)證通常是通過(guò)登陸時(shí)的密碼來(lái)認(rèn)證，因此密碼的設(shè)置不易過(guò)于簡(jiǎn)單，盡量不要將個(gè)人的敏感信息包含在里面如生日等，對(duì)于一些高級(jí)別用戶為了更安全些，要定期不斷地更新自己的登入密碼。因?yàn)閷?duì)一個(gè)黑客來(lái)說(shuō)，只要給他足夠的時(shí)間和資源，沒(méi)有一個(gè)密碼是破不了的。對(duì)于找回密碼設(shè)置的一些問(wèn)題盡量私秘些，密碼應(yīng)該只有當(dāng)事人才有權(quán)限知道。在云服務(wù)中，實(shí)名認(rèn)證和證書(shū)下載或許更能保護(hù)你信息的安全，因?yàn)樗鼈兪悄茯?yàn)證你在網(wǎng)絡(luò)上的身份，并具有唯一性。另外不要把敏感數(shù)據(jù)作為查詢字符串的內(nèi)容送到云端服務(wù)器中，因?yàn)椴樵兊淖址赡鼙挥涗浀饺罩局?，從而被那些沒(méi)有權(quán)限查看的人得到信息。最后，做好備份工作，以防止服務(wù)器不可預(yù)測(cè)的物理性故障等問(wèn)題。解決了以上的小問(wèn)題后，你就可以更愉快地享受云計(jì)算帶來(lái)的便利了。

參考文獻(xiàn)

［1］田立勤著.網(wǎng)絡(luò)用戶行為的安全可信分析［M］.清華大學(xué)出版社，2011.

［2］虛擬化與云計(jì)算小組.虛擬化與云計(jì)算［M］.電子工業(yè)出版社，2009.

作者簡(jiǎn)介：

蔡蔚（1971—），女，學(xué)士，工程師，現(xiàn)供職于上海市寶山區(qū)廣播電視臺(tái)。