張曉義 馬兆銘

【 摘 要 】 論文基于云計(jì)算信息安全的現(xiàn)狀，對(duì)云計(jì)算信息的常見安全隱患進(jìn)行了系統(tǒng)分析與探究，并提出了相應(yīng)的信息安全防護(hù)策略。

【 關(guān)鍵詞 】 云計(jì)算；信息安全；防護(hù)

【 Abstract 】 Based on the status of cloud computing information security， cloud computing security risks common information system analysis and exploration， and the corresponding information security policy.

【 Keywords 】 cloud computing； information security； protective

1 引言

就目前的實(shí)際情況來看，在全球范圍內(nèi)已經(jīng)有多個(gè)標(biāo)準(zhǔn)組織加入了云計(jì)算標(biāo)準(zhǔn)的制定中。在這其中，部分組織開展了大量有意義的研究，對(duì)進(jìn)一步推進(jìn)計(jì)算機(jī)信息安全的發(fā)展帶來了重要作用。

截止到目前為止，安全業(yè)界的各大公司都推出了各種各樣的云計(jì)算安全解決方案。其中，CSA基于云服務(wù)模型的角度提出了一個(gè)云計(jì)算安全參考模型，此模型準(zhǔn)確描述了對(duì)三種基本云服務(wù)之間的關(guān)系以及各自的層次結(jié)構(gòu)。

IBM公司站在企業(yè)信息安全框架的基礎(chǔ)上提出了一個(gè)科學(xué)的云計(jì)算安全架構(gòu)，并且該公司在2013年8月26日發(fā)布了一款專門針對(duì)云計(jì)算服務(wù)的處理器，即Power 8處理器，此處理器在云計(jì)算的部署以及大數(shù)據(jù)的挖掘與分析等方面具備了極高的性能，并且在安全性上也有了極大提升，真正將云計(jì)算的性能與安全性推向了一個(gè)嶄新的高度[1]。

2 云計(jì)算信息的常見安全隱患

2.1 數(shù)據(jù)傳輸方面的安全隱患

眾所周知，企業(yè)的機(jī)密數(shù)據(jù)將直接關(guān)系到企業(yè)的核心競爭力，機(jī)密數(shù)據(jù)的泄漏、丟失無疑將對(duì)企業(yè)帶來巨大損失。基于機(jī)密數(shù)據(jù)的重要性，信息化時(shí)代下的企業(yè)往往都將其保存于數(shù)據(jù)中心，以此來降低機(jī)密泄漏、丟失現(xiàn)象的發(fā)生率。

但不可否認(rèn)的是，在云計(jì)算環(huán)境下，這些核心數(shù)據(jù)在上傳到云計(jì)算服務(wù)器的傳輸過程中難免會(huì)面臨諸多問題，比如在數(shù)據(jù)傳輸?shù)倪^程中，如果數(shù)據(jù)加密不嚴(yán)，就很有可能被第三方篡改或竊取。

又比如云計(jì)算服務(wù)商在獲取企業(yè)上傳的數(shù)據(jù)之后，在一定程度上存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

再比如數(shù)據(jù)在云端存儲(chǔ)時(shí)，如何合理分配訪問權(quán)限才能保證用戶訪問的合法性等等。顯然，要想確保企業(yè)機(jī)密數(shù)據(jù)的安全，我們有必要對(duì)數(shù)據(jù)傳輸方面的這些常見安全隱患引起足夠重視。

2.2 數(shù)據(jù)存儲(chǔ)方面的安全隱患

2.2.1 數(shù)據(jù)隔離

由于虛擬化技術(shù)是實(shí)現(xiàn)云計(jì)算的核心應(yīng)用技術(shù)，所以倘若惡意用戶利用非法手段來實(shí)現(xiàn)了對(duì)虛擬機(jī)操作權(quán)限的獲取，那么就極有可能對(duì)同一臺(tái)物理服務(wù)器所有虛擬機(jī)中的儲(chǔ)存數(shù)據(jù)的安全帶來威脅。

2.2.2 數(shù)據(jù)隱私風(fēng)險(xiǎn)

由于云計(jì)算下云服務(wù)器是分布于世界各地的，因此企業(yè)所上傳到云端的數(shù)據(jù)也將被隨機(jī)分布存儲(chǔ)到各個(gè)服務(wù)器之中。在這樣的情況下，用戶就并不了解自己所上傳數(shù)據(jù)的具體存儲(chǔ)位置。

與此同時(shí)，用戶數(shù)據(jù)一旦上傳到云端之后，云計(jì)算服務(wù)商即享有優(yōu)先訪問的權(quán)利，而這也就形成了巨大的數(shù)據(jù)隱私泄漏或被篡改的風(fēng)險(xiǎn)。

2.2.3 數(shù)據(jù)審計(jì)

在云計(jì)算環(huán)境下，云計(jì)算服務(wù)商要想在不影響企業(yè)數(shù)據(jù)安全的情況下來為第三方機(jī)構(gòu)提供必要數(shù)據(jù)支持，并且協(xié)助第三方機(jī)構(gòu)完成數(shù)據(jù)審計(jì)工作儼然具有較大的難度。而企業(yè)在評(píng)估云計(jì)算服務(wù)商長期合作可能性的時(shí)候，也需要重點(diǎn)考慮安全問題，將服務(wù)商所提供數(shù)據(jù)的有效性、安全性作為潛在安全方面的因素之一[2]。

2.3 其他方面的安全隱患

2.3.1 安全邊界消失問題

由于云計(jì)算環(huán)境下的網(wǎng)絡(luò)結(jié)構(gòu)與資源計(jì)算存儲(chǔ)呈現(xiàn)出了一種較高程度的集成化、統(tǒng)一化特征，所以這就使得傳統(tǒng)的安全邊界逐漸消失，所采取的安全防護(hù)策略往往都會(huì)缺乏針對(duì)性，這明顯會(huì)直接影響到網(wǎng)絡(luò)信息的安全性。

2.3.2 可靠穩(wěn)定性問題

因?yàn)樵朴?jì)算環(huán)境下的數(shù)據(jù)、業(yè)務(wù)都依賴于虛擬化服務(wù)，所以當(dāng)前的事件處理審計(jì)、信息安全策略以及容災(zāi)恢復(fù)能力等都很難滿足云計(jì)算服務(wù)。

2.3.3 虛擬化技術(shù)的應(yīng)用問題

上述說道，云計(jì)算的實(shí)現(xiàn)始終都離不開一個(gè)核心技術(shù)，即虛擬化技術(shù)。但不可否認(rèn)的是，雖然虛擬化技術(shù)能夠有效改善利用IT資源的效率以及靈活性，但由于虛擬設(shè)備（如虛擬機(jī)、虛擬網(wǎng)絡(luò)等）很難管理，極容易出現(xiàn)安全漏洞、電腦病毒等問題，而這些現(xiàn)象的出現(xiàn)儼然將引發(fā)信息共享風(fēng)險(xiǎn)。

3 云計(jì)算環(huán)境下的信息安全防護(hù)策略

3.1 進(jìn)一步加強(qiáng)云計(jì)算基礎(chǔ)設(shè)施的安全管理

作為云計(jì)算的運(yùn)行平臺(tái)，基礎(chǔ)設(shè)施的配置弱存在一定的安全風(fēng)險(xiǎn)與漏洞，那么相應(yīng)的信息安全儼然就無法得到充分保障，所以說進(jìn)一步加強(qiáng)云計(jì)算基礎(chǔ)設(shè)施的安全管理也是主要的信息安全防護(hù)策略之一。

首先，應(yīng)該對(duì)其基礎(chǔ)網(wǎng)絡(luò)IP進(jìn)行統(tǒng)一的規(guī)劃，并且對(duì)相關(guān)節(jié)點(diǎn)中斷與服務(wù)器的MAC、IP進(jìn)行綁定操作，以此來有效預(yù)防地址欺騙的現(xiàn)象出現(xiàn)。其次，對(duì)于網(wǎng)絡(luò)核心設(shè)備而言，理應(yīng)采取措施來促使其能夠?qū)湘溌啡哂噙M(jìn)行有效備份，并且在異常流量監(jiān)控的基礎(chǔ)上來及時(shí)的發(fā)現(xiàn)并阻斷互聯(lián)網(wǎng)對(duì)DDOS的攻擊。與此同時(shí)，還應(yīng)該將防火墻分別設(shè)置在DMZ內(nèi)網(wǎng)與互聯(lián)網(wǎng)接入點(diǎn)與DMZ之間，以此來讓云計(jì)算服務(wù)的連續(xù)性、穩(wěn)定性、安全性得到充分保障。再次，針對(duì)應(yīng)用系統(tǒng)的主機(jī)設(shè)備而言，不僅要對(duì)其進(jìn)行安全加固處理，同時(shí)也要將那些不使用的服務(wù)端口、組件關(guān)閉，對(duì)數(shù)據(jù)庫、虛擬機(jī)以及操作系統(tǒng)等進(jìn)行補(bǔ)丁控制。當(dāng)然，還應(yīng)該在信息中心部署IDS/IPS設(shè)備中安裝各類軟件產(chǎn)品，如惡意代碼、實(shí)時(shí)監(jiān)測(cè)、病毒查殺等，以此來確保系統(tǒng)的安全[3]。

3.2 不斷優(yōu)化云計(jì)算服務(wù)系統(tǒng)運(yùn)行環(huán)境

對(duì)于信息安全防護(hù)效果來說，云計(jì)算服務(wù)運(yùn)行環(huán)境的優(yōu)劣無疑將起到直接影響?；诖?，我們理應(yīng)在尋求防護(hù)策略的過程中對(duì)其運(yùn)行環(huán)境的優(yōu)化引起高度重視，尤其是應(yīng)對(duì)不良用戶的蓄意攻擊，理應(yīng)在充分利用各種科學(xué)技術(shù)（如身份認(rèn)證、訪問控制以及信任管理等）的基礎(chǔ)上有效解決這些難題。

一是身份認(rèn)證?？稍谏锾卣鳌?shù)字證書以及硬件信息綁定等方式的基礎(chǔ)上來進(jìn)行集中用戶認(rèn)證，并且嚴(yán)格依據(jù)網(wǎng)域與服務(wù)來對(duì)用戶級(jí)別進(jìn)行劃分，從而予以集中授權(quán)，然后再通過與賬號(hào)連續(xù)出錯(cuò)自動(dòng)鎖定、賬號(hào)退出檢測(cè)等功能的有機(jī)結(jié)合來對(duì)身份認(rèn)證進(jìn)行嚴(yán)格管理。

二是訪問控制。較之于角色訪問方式，強(qiáng)制訪問機(jī)制更利于對(duì)數(shù)據(jù)安全的維護(hù)，所以其更適應(yīng)于云環(huán)境。

三是信任管理?？稍诤藢?shí)、授權(quán)信任級(jí)別的基礎(chǔ)上，利用用戶跟蹤與獲取來實(shí)現(xiàn)對(duì)用戶行為的監(jiān)督與規(guī)范，從而有效完成對(duì)用戶行為數(shù)據(jù)等環(huán)節(jié)的評(píng)估與量化，最終完成信任管理，這樣的過程無疑將在很大程度上為信息安全帶來保障[4]。

4 結(jié)束語

總之，在云計(jì)算背景下，我們理應(yīng)建立健全標(biāo)準(zhǔn)化的云服務(wù)體系，從多個(gè)方面來讓云計(jì)算的信息安全得到充分保障。只有這樣，才能夠推動(dòng)云計(jì)算的持續(xù)、健康發(fā)展。

參考文獻(xiàn)

[1] 董寧.云計(jì)算環(huán)境下的信息安全防護(hù)策略探析[J].電子測(cè)試，2014，（05）：141-142.

[2] 韓帥.基于云計(jì)算的數(shù)據(jù)安全關(guān)鍵技術(shù)研究[D].電子科技大學(xué)，2012.

[3] 單麗娟.云數(shù)據(jù)安全管理策略設(shè)計(jì)[D].大連理工大學(xué)，2013.

[4] 周燦.多層次的云平臺(tái)安全防護(hù)體系[D].南京大學(xué)，2014.

作者簡介：

張曉義（1982-），男，漢族，上海人，畢業(yè)于上海交通大學(xué)，本科，學(xué)士，上海郵電設(shè)計(jì)咨詢研究院有限公司，工程師；主要研究方向和關(guān)注領(lǐng)域：互聯(lián)網(wǎng)信息安全咨詢與設(shè)計(jì)。

馬兆銘（1983-），男，滿族，重慶人，畢業(yè)于哈爾濱工程，研究生，碩士，上海郵電設(shè)計(jì)咨詢研究院有限公司，工程師；主要研究方向和關(guān)注領(lǐng)域：云計(jì)算及互聯(lián)網(wǎng)信息安全。