呂啟文 南京其樂(lè)培訓(xùn)中心

云計(jì)算安全風(fēng)險(xiǎn)因素挖掘及應(yīng)對(duì)

呂啟文 南京其樂(lè)培訓(xùn)中心

近些年信息技術(shù)迅速發(fā)展，云計(jì)算就此產(chǎn)生，并在多個(gè)行業(yè)應(yīng)用，強(qiáng)有力地推動(dòng)行業(yè)發(fā)展。云計(jì)算作為全面服務(wù)模式，本身影響下造成應(yīng)用中存在諸多安全風(fēng)險(xiǎn)，嚴(yán)重制約云計(jì)算技術(shù)的發(fā)展。本文中詳細(xì)分析云計(jì)算應(yīng)用中存在的安全風(fēng)險(xiǎn)因素，以此為基礎(chǔ)給出具體的安全風(fēng)險(xiǎn)解決措施。

云計(jì)算 安全風(fēng)險(xiǎn) 應(yīng)對(duì)措施

云計(jì)算的出現(xiàn)與應(yīng)用推動(dòng)計(jì)算機(jī)行業(yè)發(fā)展進(jìn)步，充分滿(mǎn)足用戶(hù)對(duì)計(jì)算機(jī)軟硬件的需求，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的健康發(fā)展。但隨著云計(jì)算技術(shù)廣泛使用，逐漸凸顯出網(wǎng)絡(luò)安全問(wèn)題，如數(shù)據(jù)丟失、信息泄露等，直接影響云計(jì)算技術(shù)的發(fā)展。充分挖掘云計(jì)算應(yīng)用中存在的安全風(fēng)險(xiǎn)因素，提出行之有效的解決措施，已成為行業(yè)重點(diǎn)關(guān)注問(wèn)題。

1 云計(jì)算概述

1.1 體系結(jié)構(gòu)

云計(jì)算將各式各樣的服務(wù)提供給用戶(hù)，依據(jù)服務(wù)類(lèi)型分成三個(gè)層次。其結(jié)構(gòu)體系如1-1所示。

圖1-1 云計(jì)算體系結(jié)構(gòu)示意圖

1．1．1 基礎(chǔ)設(shè)施既服務(wù)

網(wǎng)絡(luò)運(yùn)營(yíng)商給用戶(hù)提供服務(wù)，包括計(jì)算、存儲(chǔ)等資源，用戶(hù)僅需要通過(guò)網(wǎng)絡(luò)便可以獲得所需的服務(wù)資源。

1．1．2 平臺(tái)即服務(wù)

直接給用戶(hù)提供部分應(yīng)用程度軟件研發(fā)平臺(tái)。

1．1．3 軟件即服務(wù)

運(yùn)營(yíng)商在云端將安裝軟件分布，并將其作為服務(wù)提供給用戶(hù)，用戶(hù)同樣可以借助網(wǎng)絡(luò)使用相關(guān)服務(wù)。

1.2 云計(jì)算特征

實(shí)現(xiàn)資源虛擬化與服務(wù)化是云計(jì)算最明顯的特征，具體情況為：

1．2．1 資源虛擬化

作為云計(jì)算的關(guān)鍵技術(shù)內(nèi)容，虛擬技術(shù)直接實(shí)現(xiàn)資源抽象畫(huà)，在統(tǒng)一平臺(tái)上整合服務(wù)器等基礎(chǔ)設(shè)施與網(wǎng)絡(luò)整合，系統(tǒng)依據(jù)用戶(hù)選擇的服務(wù)類(lèi)型分配相對(duì)應(yīng)的資源，給用戶(hù)提供強(qiáng)大計(jì)算能力與存儲(chǔ)空間。

1．2．2 資源服務(wù)化

云計(jì)算以服務(wù)為出發(fā)點(diǎn)，“云端”整合數(shù)據(jù)、軟件及存儲(chǔ)等資源，用戶(hù)通過(guò)網(wǎng)絡(luò)終端設(shè)備既可得到服務(wù)，云服務(wù)商提供必要的維護(hù)與管理支持，保證順利進(jìn)行。

通過(guò)上面兩點(diǎn)可以發(fā)現(xiàn)，云服務(wù)使用過(guò)程中，“云端”保存有一切數(shù)據(jù)、存儲(chǔ)及應(yīng)用，也可以說(shuō)云服務(wù)商掌握除用戶(hù)之外的所有內(nèi)容，服務(wù)商享有優(yōu)先訪問(wèn)數(shù)據(jù)的權(quán)利，產(chǎn)生風(fēng)險(xiǎn)問(wèn)題不足為奇，因此除了傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題外，還要考慮云計(jì)算特點(diǎn)誘發(fā)的風(fēng)險(xiǎn)。

2 云計(jì)算安全風(fēng)險(xiǎn)因素分析

2.1 法律法規(guī)因素

云計(jì)算實(shí)際上是一個(gè)規(guī)模驚人的服務(wù)器集群，而這些服務(wù)器通常分布在許多不同的國(guó)家或地區(qū)內(nèi)。用戶(hù)將自己的數(shù)據(jù)傳輸?shù)皆朴?jì)算平臺(tái)，而云計(jì)算平臺(tái)為確保用戶(hù)數(shù)據(jù)的安全性與完整性，將會(huì)把這些數(shù)據(jù)同時(shí)存儲(chǔ)于數(shù)個(gè)不同服務(wù)器之內(nèi)，而用戶(hù)卻不知道自己的數(shù)據(jù)具體存儲(chǔ)在哪些服務(wù)器中。又因?yàn)楫?dāng)前云計(jì)算缺乏統(tǒng)一的法律法規(guī)進(jìn)行數(shù)據(jù)管理，即不同國(guó)家間的法律法規(guī)存在很大的區(qū)別。例如，有些數(shù)據(jù)在這個(gè)國(guó)家受到保護(hù)，但在其他國(guó)家卻不受保護(hù)，如果出現(xiàn)用戶(hù)數(shù)據(jù)泄露、丟失或者不可用現(xiàn)象，沒(méi)有一套統(tǒng)一、全面的法律法規(guī)來(lái)約束運(yùn)營(yíng)商的行為，用戶(hù)就借助法律武器維護(hù)自己的合法利益，全面保護(hù)自身合法權(quán)益。

2.2 用戶(hù)存在風(fēng)險(xiǎn)

云計(jì)算服務(wù)一般都是免費(fèi)的或者按照使用者需求進(jìn)行收費(fèi)，而且這些服務(wù)內(nèi)容有著非常明顯的可擴(kuò)充性，幾乎可以進(jìn)行無(wú)限制延伸擴(kuò)展。而云計(jì)算的提供商對(duì)其注冊(cè)用戶(hù)的身份和背景缺乏足夠的了解和審查，導(dǎo)致任何企業(yè)和個(gè)人都能隨便使用云服務(wù)，更有一些惡意使用者甚至利用云計(jì)算提供商監(jiān)管漏洞進(jìn)行一些非法活動(dòng)。例如，因?yàn)樵朴?jì)算有著強(qiáng)大的計(jì)算性能和能力，有些使用者直接利用云計(jì)算平臺(tái)惡意攻擊其他平臺(tái)，甚至暴力破解，使得云計(jì)算平臺(tái)使用存在安全隱患。

2.3 服務(wù)商內(nèi)部風(fēng)險(xiǎn)

用戶(hù)將數(shù)據(jù)直接傳輸?shù)皆品?wù)平臺(tái)，就意味著云服務(wù)平臺(tái)的供應(yīng)商在進(jìn)行平臺(tái)運(yùn)行和建設(shè)時(shí)對(duì)這些數(shù)據(jù)擁有足夠掌控權(quán)。而這些數(shù)據(jù)都是企業(yè)經(jīng)過(guò)嚴(yán)密統(tǒng)計(jì)、調(diào)查、審計(jì)出的結(jié)果，具有較高的商業(yè)價(jià)值。而在巨大的利益誘惑面前，如果云服務(wù)商在工作人員管理方面出現(xiàn)漏洞，沒(méi)有進(jìn)行嚴(yán)格審核工作人員的身份，出現(xiàn)工作人員惡意的破壞或盜取用戶(hù)數(shù)據(jù)，泄露企業(yè)機(jī)密。另外，如果云計(jì)算供應(yīng)商對(duì)工作人員的工作流程和工作權(quán)限沒(méi)有明確規(guī)定或合理分配，就會(huì)出現(xiàn)職責(zé)混亂現(xiàn)象，導(dǎo)致工作人員安全意識(shí)薄弱，容易引起錯(cuò)誤操作的情況發(fā)生。例如，Vefizon公司曾做過(guò)一個(gè)年度數(shù)據(jù)泄露調(diào)查報(bào)告，調(diào)查顯示：一半以上的安全事故問(wèn)題都是因?yàn)槠髽I(yè)內(nèi)部工作人員操作失誤而引起的，而另一半則是因?yàn)槠髽I(yè)對(duì)工作人員監(jiān)管不力而引起的。

3 云計(jì)算安全風(fēng)險(xiǎn)因素的應(yīng)對(duì)措施

3.1 構(gòu)建完善的安全管理體制

云計(jì)算是基于傳統(tǒng)技術(shù)發(fā)展而來(lái)，這意味著云計(jì)算技術(shù)并不缺少技術(shù)支持，常見(jiàn)的如身份認(rèn)證、備份技術(shù)、數(shù)據(jù)機(jī)密技術(shù)等，這些技術(shù)得到人們的重視。正常情況下這些技術(shù)足以保障安全。但云計(jì)算本身具有的特點(diǎn)，需要結(jié)合具體情況應(yīng)用這些技術(shù)，保證高效運(yùn)行。這就需要運(yùn)營(yíng)商可以提供保障計(jì)算機(jī)安全的具體標(biāo)準(zhǔn)，從基礎(chǔ)角度出發(fā)達(dá)成控制風(fēng)險(xiǎn)的目的，還要制定標(biāo)準(zhǔn)化。政府與相關(guān)部門(mén)盡快依據(jù)實(shí)際情況制定完善的標(biāo)準(zhǔn)，可以保證不同運(yùn)營(yíng)商之間進(jìn)行程序與數(shù)據(jù)轉(zhuǎn)移，達(dá)成協(xié)同工作的目的。分析云計(jì)算法律法規(guī)現(xiàn)狀，通過(guò)制定法律法規(guī)規(guī)范人們的行為，懲罰違法犯罪行為，保護(hù)各方的合法權(quán)益，實(shí)現(xiàn)云計(jì)算行業(yè)的可持續(xù)發(fā)展。

3.2 做好內(nèi)部管理及第三方評(píng)估

針對(duì)云計(jì)算平臺(tái)人員管理和設(shè)備管理問(wèn)題，云服務(wù)供應(yīng)商應(yīng)制定嚴(yán)格的身份審查制度和監(jiān)督管理機(jī)制，供應(yīng)商管理部門(mén)應(yīng)定期對(duì)工作人員進(jìn)行思想政治教育，提高他們的責(zé)任意識(shí)和安全保密意識(shí)，制定合理的工作流程，對(duì)不同業(yè)務(wù)環(huán)節(jié)進(jìn)行嚴(yán)格的安全監(jiān)控，確定各工作人員職責(zé)范圍。同時(shí)，出臺(tái)一系列相關(guān)的網(wǎng)絡(luò)安全責(zé)任條款和懲罰措施，定期安排工作人員對(duì)設(shè)備進(jìn)行安全檢查，排除潛在隱患。確保設(shè)備安全。

企業(yè)在選擇一個(gè)云計(jì)算服務(wù)商的過(guò)程中，云計(jì)算服務(wù)商并沒(méi)有給出許多細(xì)節(jié)的具體說(shuō)明，如服務(wù)器所在地、所采用的技術(shù)、運(yùn)營(yíng)方式等等，用戶(hù)只能盲目地選擇服務(wù)。云服務(wù)商沒(méi)有一個(gè)標(biāo)準(zhǔn)供用戶(hù)做參考，僅靠運(yùn)營(yíng)商和用戶(hù)之間的磋商，用戶(hù)只能被動(dòng)受控于服務(wù)商，一旦出現(xiàn)問(wèn)題，用戶(hù)往往是受害者。

3.3 提高運(yùn)行商安全防范水平

3．3．1 加強(qiáng)病毒入侵檢測(cè)

入侵檢測(cè)技術(shù)對(duì)于對(duì)抗安全漏洞造成的影響也有重要的作用。盡管計(jì)算機(jī)本身存在一定的防御能力，但這種能力依然存在漏洞，防患于未然更是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的重要思想。入侵檢測(cè)技術(shù)是防火墻技術(shù)后的第二道放線，防火墻的過(guò)濾只能消除部分過(guò)于明顯的問(wèn)題程序，入侵檢測(cè)技術(shù)對(duì)于進(jìn)一步識(shí)別數(shù)據(jù)的攻擊行為，完善系統(tǒng)的防御系統(tǒng)有現(xiàn)實(shí)意義。

3．3．2 選擇合適安全軟件

選擇合適的網(wǎng)絡(luò)安全防護(hù)軟件，利用安全防護(hù)將大部分病毒主動(dòng)過(guò)濾，提高數(shù)據(jù)庫(kù)安全；及時(shí)查修漏洞，不斷更新安全補(bǔ)丁，經(jīng)常查殺關(guān)鍵部位的病毒，達(dá)成及時(shí)過(guò)濾與查殺病毒的目的；很多時(shí)候并不能有效應(yīng)對(duì)所有病毒，為提高安全性可以做好數(shù)據(jù)備份工作，利用移動(dòng)硬盤(pán)保存關(guān)鍵數(shù)據(jù)信息，降低病毒感染可能造成的損失；借助計(jì)算機(jī)加密技術(shù)，避免計(jì)算機(jī)被陌生人使用，有效保護(hù)文件安全。

4 結(jié)語(yǔ)

總而言之，云計(jì)算技術(shù)直接推動(dòng)科技發(fā)展與社會(huì)進(jìn)步，因此受到社會(huì)各界的關(guān)注，安全風(fēng)險(xiǎn)本身就是一個(gè)不容忽視的問(wèn)題。云計(jì)算行業(yè)想要得到健康、快速發(fā)展，就必須重視云計(jì)算風(fēng)險(xiǎn)管理工作。本文中以云計(jì)算概述為基點(diǎn)，詳細(xì)分析云計(jì)算安全風(fēng)險(xiǎn)產(chǎn)生原因，并給出具體解決措施。

[1]盧小賓，王建亞.云計(jì)算采納行為研究現(xiàn)狀[J].中國(guó)圖書(shū)館學(xué)報(bào).2015(01):23.

[2]王操.云計(jì)算安全的發(fā)展現(xiàn)狀和趨勢(shì)述評(píng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2015(01):92.

呂啟文，男（1979..8—），漢族，本科，工程師，研究方向：信息管理，籍貫（江蘇省南京市）。