畢久陽(yáng)

(國(guó)防大學(xué)政治學(xué)院教研保障中心，上海 201703)

當(dāng)前云計(jì)算發(fā)展迅速，云計(jì)算環(huán)境下的數(shù)據(jù)安全問題成為熱點(diǎn)，也成為影響云計(jì)算發(fā)展的重要環(huán)節(jié)。云計(jì)算環(huán)境下用戶的數(shù)據(jù)是存儲(chǔ)在云端的，數(shù)據(jù)由個(gè)人電腦管理轉(zhuǎn)變?yōu)榧性拼鎯?chǔ)管理，用戶對(duì)其數(shù)據(jù)的隱私性和安全性難免產(chǎn)生擔(dān)憂。云計(jì)算對(duì)此提供一系列的安全防護(hù)手段。另外通過人為安全管理方面來(lái)加強(qiáng)數(shù)據(jù)安全。

一、云計(jì)算數(shù)據(jù)安全保障技術(shù)手段

主要包括身份認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)隔離技術(shù)、訪問控制技術(shù)、入侵檢測(cè)技術(shù)、防病毒和防火墻技術(shù)等。

(一)身份認(rèn)證技術(shù)

保障云計(jì)算數(shù)據(jù)安全最核心的就是身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)最基本的就是帳號(hào)加密碼，除此之外還有基于口令、基于令牌、基于證書的認(rèn)證。傳統(tǒng)的帳號(hào)加密碼認(rèn)證技術(shù)已經(jīng)不能滿足用戶的安全需求。當(dāng)前采用生物特征認(rèn)證方式，相比單一的口令密碼認(rèn)證更加安全。生物特征一般包括指紋、掌紋、面部識(shí)別等?，F(xiàn)在終端設(shè)備的智能化也使得生物特征的采集鑒別成為可能。生物特征的唯一性使得認(rèn)證識(shí)別更加安全可靠，不易破解和偽造。

(二)數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密的主要目的是為了防止黑客在數(shù)據(jù)傳輸信道上截取數(shù)據(jù)以獲得信息。通過在數(shù)據(jù)發(fā)送端對(duì)數(shù)據(jù)加密，在數(shù)據(jù)接收端對(duì)數(shù)據(jù)解密，使信道上的數(shù)據(jù)免于失去秘密性和完整性，同時(shí)又不影響數(shù)據(jù)的正常使用。數(shù)據(jù)加密技術(shù)可以分為對(duì)稱型加密和不對(duì)稱型加密兩種，對(duì)稱型加密是最古老的，它運(yùn)算量小、速度快、安全強(qiáng)度高，至今仍被廣泛采用。非對(duì)稱型加密如數(shù)字簽名等，也被廣泛應(yīng)用。

(三)數(shù)據(jù)隔離技術(shù)

云計(jì)算為了解決大量用戶同時(shí)登錄一個(gè)云平臺(tái)，而所有用戶的數(shù)據(jù)都存儲(chǔ)在云數(shù)據(jù)中心，保證數(shù)據(jù)安全就用到了數(shù)據(jù)隔離技術(shù)。此技術(shù)簡(jiǎn)言之，就是指在多個(gè)用戶同時(shí)訪問云計(jì)算系統(tǒng)時(shí)，其數(shù)據(jù)是隔離存儲(chǔ)的，用戶數(shù)據(jù)的調(diào)用和處理不會(huì)相互干擾。[1]云計(jì)算采用物理隔離、虛擬化隔離等技術(shù)手段將多個(gè)服務(wù)器隔離開，最大限度地防止出現(xiàn)單個(gè)故障影響全部。還通過采用不同數(shù)據(jù)庫(kù)存儲(chǔ)不同應(yīng)用系統(tǒng)數(shù)據(jù)的方式，來(lái)保障云計(jì)算數(shù)據(jù)中心的數(shù)據(jù)安全。

(四)訪問控制技術(shù)

訪問控制技術(shù)包括訪問控制和授權(quán)管理，是指制定一個(gè)明確的策略并利用相關(guān)技術(shù)，限制參與云計(jì)算數(shù)據(jù)中心服務(wù)的管理者和數(shù)據(jù)使用者對(duì)數(shù)據(jù)中心的操作。簡(jiǎn)單的說(shuō)，就是通過訪問控制技術(shù)，使合法用戶在數(shù)據(jù)中心內(nèi)只能接觸權(quán)限允許范圍內(nèi)的數(shù)據(jù)，其他數(shù)據(jù)接觸不到，從而達(dá)到保障數(shù)據(jù)安全的目的。訪問控制技術(shù)通過身份認(rèn)證、控制策略、安全審計(jì)等對(duì)用戶訪問的合法性進(jìn)行驗(yàn)證，保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)資源，并授予其應(yīng)有的訪問權(quán)限，防止非法的用戶進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源，從而保證云計(jì)算平臺(tái)中的資源安全。

(五)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，是指通過硬件或軟件對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)施檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出相應(yīng)反應(yīng)。[2]云計(jì)算數(shù)據(jù)中心的防護(hù)措施和傳統(tǒng)平臺(tái)下的防護(hù)措施一樣，通過給云計(jì)算數(shù)據(jù)中心配置合適的入侵檢測(cè)手段，能夠建立異常預(yù)警機(jī)制，從而有效防止黑客攻擊和數(shù)據(jù)竊取行為。入侵檢測(cè)所采用的技術(shù)可以分為特征檢測(cè)和異常監(jiān)測(cè)，根據(jù)輸入的數(shù)據(jù)源的不同，還可以分為基于網(wǎng)絡(luò)的入侵檢測(cè)和基于主機(jī)的入侵檢測(cè)。

(六)防病毒和防火墻技術(shù)

計(jì)算機(jī)病毒是威脅云計(jì)算數(shù)據(jù)中心主機(jī)系統(tǒng)和數(shù)據(jù)安全的一個(gè)重要因素，因此必須在數(shù)據(jù)中心內(nèi)配置防病毒軟件。防火墻則是防止木馬病毒竊取數(shù)據(jù)、黑客遠(yuǎn)程攻擊等行為的有效技術(shù)手段。在數(shù)據(jù)傳輸過程中，構(gòu)建完整的數(shù)據(jù)傳輸安全體系至關(guān)重要。在云計(jì)算數(shù)據(jù)中心的出口加一道防火墻是最有效的防御措施。

二、安全管理方面

安全管理是發(fā)揮安全技術(shù)作用的重要保證。云計(jì)算數(shù)據(jù)中心的安全管理應(yīng)從以下幾個(gè)方面著手：

(一)建立保障云計(jì)算數(shù)據(jù)中心安全的職能機(jī)構(gòu)，配備專職人員，以及相應(yīng)的設(shè)備、軟件，以云計(jì)算數(shù)據(jù)中心的安全保障為目標(biāo)開展工作。云計(jì)算數(shù)據(jù)中心安全機(jī)構(gòu)和人員負(fù)責(zé)整個(gè)數(shù)據(jù)中心安全的各個(gè)環(huán)節(jié)的監(jiān)測(cè)、防范、監(jiān)督和安全事故取證等工作。

(二)建立關(guān)于云計(jì)算數(shù)據(jù)中心各個(gè)工作崗位的工作規(guī)程、政策規(guī)定。對(duì)于違反操作規(guī)程的行為，該如何處理，需要相關(guān)的政策規(guī)定作為依據(jù)，所以，需要建立關(guān)于數(shù)據(jù)安全的政策規(guī)定。有了云計(jì)算數(shù)據(jù)中心安全的工作流程、政策規(guī)定，數(shù)據(jù)安全的管理就有據(jù)可依。

(三)建立健全云計(jì)算數(shù)據(jù)中心應(yīng)急預(yù)案，并適時(shí)組織應(yīng)急演習(xí)演練。云計(jì)算數(shù)據(jù)中心的安全管理一方面在于預(yù)防，另一方面在于出現(xiàn)了安全事故苗頭或已經(jīng)發(fā)生了安全事故時(shí)該怎么辦，此時(shí)應(yīng)該有成熟的預(yù)案能夠啟用以應(yīng)對(duì)緊急情況，所以應(yīng)該建立健全云計(jì)算數(shù)據(jù)中心應(yīng)急預(yù)案，并針對(duì)這些預(yù)案適時(shí)組織應(yīng)急演習(xí)演練，以檢驗(yàn)預(yù)案的有效性。

三、結(jié)語(yǔ)

云計(jì)算環(huán)境下的數(shù)據(jù)安全保障主要通過身份認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)隔離技術(shù)、訪問控制技術(shù)、入侵檢測(cè)技術(shù)、防病毒和防火墻技術(shù)等手段；以及人為安全管理手段。隨著云計(jì)算技術(shù)的快速發(fā)展，相信未來(lái)會(huì)有更多的防護(hù)技術(shù)來(lái)保障數(shù)據(jù)安全。