鄧宇珊

摘 要：云計算是社會發(fā)展、科技進步的產(chǎn)物，是IT領(lǐng)域變革的結(jié)果。云計算從提出開始就是IT領(lǐng)域較為令人關(guān)注的話題，引發(fā)了新的技術(shù)變革和IT服務模式。其大規(guī)模、通用性、用戶無需維護和關(guān)心基礎設施等特點給用戶帶來了極大的便利。與此同時，云計算也因其特點，凸顯出了諸多的安全隱患需要著手解決。論文旨在對云計算存在的安全隱患進行分析，并簡單的探討可實行的安全保障措施。

關(guān)鍵詞：云計算；云安全；云計算安全。

中圖分類號：TP15 文獻標識碼：D

Abstract： Cloud computing is the product of social development and technological progress， and is the result of the change in the field of IT. Cloud computing has been a hot topic in the field of IT since it was put forward， which has triggered new technological changes and IT service patterns. Its large-scale， versatility， users do not need to maintain and care about infrastructure and other features to the user has brought great convenience. At the same time， because of its characteristics， cloud computing has highlighted many security risks that need to be solved. The purpose of this paper is to analyze the security risks of cloud computing， and simply explore the security measures that can be implemented.

Key words： cloud computing； cloud security； cloud computing security

1 引言

云計算是分布式計算、并行計算、效用計算、網(wǎng)絡存儲、虛擬化、負載均衡、熱備份冗余等傳統(tǒng)計算機和網(wǎng)絡技術(shù)發(fā)展融合的產(chǎn)物。同時，云計算也是一項技術(shù)、一系列技術(shù)、一種運營模式、一種商業(yè)模式。其主要特點有超大規(guī)模、虛擬化、高可靠性、通用性、高擴展性、按需分配、極其廉價等。

因此，云計算帶來的優(yōu)點也顯而易見。云計算提供了可靠、安全的數(shù)據(jù)存儲中心，用戶不用再擔心數(shù)據(jù)丟失、病毒入侵等麻煩；云計算對用戶端設備的兼容性高，使用起來也最方便；增強的計算能力，接入到云計算的系統(tǒng)，可獲取和支配整個云中共享的CPU、內(nèi)存、計算能力等，并不再局限于單臺計算機所能做的事情，利用成千上萬臺計算機和服務器的能力，能執(zhí)行更多的任務；擁有“無限”的存儲容量，用戶可不用考慮存儲的上限。

云計算目前有三個層次的服務模式，即IaaS基礎設施即服務、PaaS平臺及服務、SaaS軟件及服務，用戶可根據(jù)不同的需求選擇不同的服務模式。

2 云計算面臨的威脅

云計算具有流動性、無邊界、虛擬化等特性，這就使得其傳統(tǒng)的防護體系受到了極大的沖擊，其面臨的安全威脅越來越多。

2.1 濫用、惡用、拒絕服務攻擊

云計算提供服務依托于寬帶網(wǎng)絡和Web方式，所以其拒絕服務攻擊會嚴重影響其可用性。網(wǎng)絡和服務器資源為云計算提供了支撐，而且云計算的特性要求其具備靈活性，這樣才能滿足業(yè)務開通和服務變更等需求。這也增加了云計算被濫用惡用的風險，通過云計算服務破解密碼、搭建僵尸網(wǎng)絡等風險就比較普遍。此時云計算就面臨著新的風險——數(shù)據(jù)泄露，這是公共云最擔憂的一個問題，因為云計算中高密度聚合了關(guān)鍵數(shù)據(jù)，這就容易引發(fā)潛在的攻擊，使得云中數(shù)據(jù)丟失泄露的風險增加。

在云計算環(huán)境中，如果攻擊者直接獲取了用戶的賬號信息，用戶的活動交易信就會被竊取，攻擊者就會通過操縱數(shù)據(jù)、捏造信息、劫持賬號來發(fā)動新的攻擊等方式來損害用戶的網(wǎng)絡信譽。

2.2 不安全的接口和API

目前，云計算業(yè)界的安全實踐中網(wǎng)絡接口和API的安全測試不成熟，出現(xiàn)了額外的安全入侵入口。因為客戶進行業(yè)務整合、發(fā)展伙伴和提供業(yè)務，都需要通過云計算服務商來獲取大量的網(wǎng)絡接口和API，額外的安全入侵使得其業(yè)務風險增加。

2.3 資源共享引發(fā)的風險

云計算的一個重要特征就是可以進行資源共享，在多用戶間共享云計算中的計算能力、存儲與網(wǎng)絡資源，其隔離性就被打破，一個租戶的惡意行為就會對同一環(huán)境下其它租戶的聲譽產(chǎn)生影響。云計算的虛擬化技術(shù)為黑客入侵到宿主機或同一宿主機上的其它虛擬機提供了便利，這都是因為虛擬機管理系統(tǒng)自身的漏洞。目前，云計算環(huán)境中集中存儲了重要的私密數(shù)據(jù)，其相互傳輸過程中也會出現(xiàn)信息泄露的情形，包括客戶資源、財務數(shù)據(jù)、關(guān)鍵業(yè)務記錄等。

因此，在不可靠的介質(zhì)上存儲數(shù)據(jù)，并沒有進行備份，就對數(shù)據(jù)進行刪除修改，一旦丟失了密鑰數(shù)據(jù)就難以解密，容易帶來嚴重的數(shù)據(jù)丟失事故。與傳統(tǒng)的基礎設施相比，云計算的分布式架構(gòu)的數(shù)據(jù)傳輸更多，在不同機器上同步的鏡像為其提供了云間的信息交換。如果其加密強度不夠，嗅探、中間人攻擊、重放攻擊等都可以被攻擊者用來竊取和篡改數(shù)據(jù)。

2.4 虛擬化安全問題

云計算還存在虛擬化安全問題，一旦其物理主機被破壞，因為與物理主機之間存在交流，其管理的虛擬服務器也有被攻克的可能，但是如果使得物理主機和虛擬機不交流，又會出現(xiàn)虛擬機逃逸的現(xiàn)象。在破壞了物理主機的虛擬網(wǎng)絡后，其虛擬機也會受到損害。

2.5 其他未知的風險場景

云計算具有應用地域弱、信息流動性大的特點，所以不同地區(qū)、不同國家都有其信息服務或用戶數(shù)據(jù)的分布，這也就增加了其法律風險。因為不同國家地區(qū)的政府信息安全監(jiān)管等存在法律差異，如果用戶間物理界限模糊其因為虛擬化等技術(shù)，也會增加司法取證的難度。由此可見，云計算面臨的威脅比較多，但是用戶不可能對云中所有的細節(jié)都了解，而云計算服務商因為商業(yè)機密等也并可能分享關(guān)鍵信息，所以雙方的信息不對稱現(xiàn)象難以避免，未知安全風險也難以禁止。

3 解決方案

信息技術(shù)在不斷向前發(fā)展，因此引發(fā)的安全問題也是在不斷演進，傳統(tǒng)國家安全標準與安全技術(shù)已經(jīng)不能滿足與適應新技術(shù)發(fā)展帶來的安全威脅，這就需要采取有效的解決措施來提高云計算的安全性。

3.1 加強數(shù)據(jù)保護

在云計算平臺存儲系統(tǒng)中存在著大量數(shù)據(jù)，包括文檔、視頻、圖片、電子郵件等。不同類型的數(shù)據(jù)、不同用戶的數(shù)據(jù)、不同級別的數(shù)據(jù)其安全性和重要性都有極大的區(qū)別。因此，要做好數(shù)據(jù)保護，提高信息的安全性，比如可以發(fā)揮安全資源池化、敏感信息識別與防護、DDoS防護等作用進行安全保護。

3.1.1 安全資源池化

資源池主要有高性能、資源分配合理等優(yōu)勢。因此，在云計算環(huán)境中，為了提高安全設備的性能與靈活性，可將云計算安全資源如虛擬防火墻、虛擬入侵防御系統(tǒng)、虛擬防病毒、虛擬Web應用防火墻等設備按照類型進行資源池化，便于對安全設備的按需分配、集中管理。

3.1.2 敏感信息識別與防護

敏感信息的識別與防護可在數(shù)據(jù)的整個生命周期中分別進行。

在數(shù)據(jù)的產(chǎn)生環(huán)節(jié)，制定敏感數(shù)據(jù)的標準與分類；在數(shù)據(jù)傳輸環(huán)節(jié)，通過數(shù)據(jù)加密或VPN技術(shù)實現(xiàn)數(shù)據(jù)的加密傳輸。

在數(shù)據(jù)存儲環(huán)節(jié)，采用加密技術(shù)或者其他保護措施實現(xiàn)數(shù)據(jù)的存儲保密性；在數(shù)據(jù)遷移環(huán)節(jié)，進行數(shù)據(jù)遷移前的安全評估，保證數(shù)據(jù)遷移前后的安全。

在數(shù)據(jù)銷毀環(huán)節(jié)，制定相應的銷毀準則，保證數(shù)據(jù)被徹底銷毀清除；在備份與恢復環(huán)節(jié)，提供完善的數(shù)據(jù)備份與恢復功能，保證數(shù)據(jù)的可靠性。

3.1.3 DDoS防護

云計算環(huán)境中，用戶數(shù)據(jù)、帶寬、網(wǎng)絡設備等資源較為集中，如若云平臺沒有做相應的防護或者防護措施不足，任一節(jié)點遭受拒絕服務攻擊時，可能導致毀滅性的破壞。因此，云計算的DDoS防護尤為重要。

3.2 抗拒絕服務攻擊

云計算中心的可用性受到其業(yè)務的影響，所以云計算服務提供商必須要做好其拒絕服務攻擊的調(diào)查工作，采取有效的保護措施。因此，服務提供商自身必須要有強大的網(wǎng)絡和服務器資源，這樣才能滿足云計算快速彈性的需求，實現(xiàn)云計算的靈活性。

云計算中也要對網(wǎng)絡入侵進行檢測，對于攻擊成功的安全事件要通過入侵檢測系統(tǒng)的攻擊結(jié)果對其功能進行判定。而且云計算中心要對低風險或不可能成功的攻擊行為進行過濾，通過特定的安全規(guī)則設定安全策略，減少管理員的日常工作量，保證可以重點關(guān)注重要攻擊行為。

3.3 加強信息安全流通

對于信息共享中出現(xiàn)的風險，要對網(wǎng)絡的安全監(jiān)控進行強化，通過高強度的劃分和隔離機制來管理訪問和操作，這樣在一個用戶訪問另一個用戶時，就會定期掃描和配置審計其活動的和殘留的數(shù)據(jù)。同時也會開展集中化的身份認證，分級管理和記錄數(shù)據(jù)訪問情況，運用HTTPS或SSL的VPN高強度加密傳輸?shù)臄?shù)據(jù)使用。

4 結(jié)束語

云計算為互聯(lián)網(wǎng)的發(fā)展提供了技術(shù)推力，為用戶提供了可靠的數(shù)據(jù)存儲、便捷的接入以及跨設備的數(shù)據(jù)應用與共享等便利。但在云計算發(fā)展的同時，還需要將其面臨的安全問題與不斷提升的技術(shù)進行同步建設與防護。

因此，要做好云計算安全問題的管理，注重其數(shù)據(jù)保護、抗拒絕服務攻擊和信息共享，保證信息傳遞存儲的安全性。同時，云計算服務商也要加強對其安全性監(jiān)管，這樣才能共同營造良好的、安全的網(wǎng)絡環(huán)境，有效預防更多的未知風險。

參考文獻

[1] Cloud Security Alliance.Top Threats Working Group The Treacherous 12 Cloud Computing Top Threats in 2016[Z].February 2016.

[2] 賈英來，熊玉蘭.電信運營商在云計算環(huán)境下如何保護敏感信息[J].世界電信，2015（7）：42-47.

[3] 李金金.云計算的數(shù)據(jù)安全和隱私保護[Z].國研網(wǎng)，2015，11（19）.