汪艷 李雪竹

【摘 要】云計(jì)算是一種基于互聯(lián)網(wǎng)服務(wù)的全新計(jì)算架構(gòu)，在各行各業(yè)的信息化建設(shè)中被越來(lái)越多地采用。網(wǎng)絡(luò)信息安全問(wèn)題不僅是云計(jì)算需要解決的首要問(wèn)題，也是云計(jì)算未來(lái)發(fā)展的關(guān)鍵性因素。文章主要介紹了云計(jì)算的概念及發(fā)展，對(duì)云計(jì)算體系架構(gòu)進(jìn)一步細(xì)化，進(jìn)而分析云計(jì)算存在的網(wǎng)絡(luò)信息安全威脅，并提出可操作性的云計(jì)算網(wǎng)絡(luò)信息安全對(duì)策。

【關(guān)鍵詞】云計(jì)算；體系架構(gòu)；網(wǎng)絡(luò)信息安全

一、引言

云計(jì)算是在互聯(lián)網(wǎng)技術(shù)支持下形成的一種全新計(jì)算架構(gòu)，隨著互聯(lián)網(wǎng)技術(shù)的普及，各行各業(yè)的信息化建設(shè)中云計(jì)算的身影出現(xiàn)的越來(lái)越頻繁。而云計(jì)算涉及到大量的信息，必須做好安全防護(hù)，才能保障自身利益不受損。但目前，云計(jì)算安全問(wèn)題頻出，影響了其可持續(xù)發(fā)展。為此，本文對(duì)云計(jì)算架構(gòu)的網(wǎng)絡(luò)信息安全進(jìn)行了深入探究，細(xì)化云計(jì)算架構(gòu)，有針對(duì)性的分析潛在的安全風(fēng)險(xiǎn)，并探究可行、有效的安全對(duì)策。

二、云計(jì)算架構(gòu)體系

云計(jì)算基礎(chǔ)架構(gòu)體系主要由管理層和服務(wù)層構(gòu)成。

1）其中服務(wù)層主要以提供用戶基于云的各種服務(wù)為主，共包含3個(gè)層次。其一是Software as a Service（軟件即服務(wù)），簡(jiǎn)稱SaaS，這層的作用是將應(yīng)用主要以基于Web的方式提供給客戶；其二是Platform as a Service（平臺(tái)即服務(wù)），簡(jiǎn)稱PaaS，這層的作用是將一個(gè)應(yīng)用的開(kāi)發(fā)和部署平臺(tái)作為服務(wù)提供給用戶；其三是Infrastructure as a Service（基礎(chǔ)設(shè)施即服務(wù)），簡(jiǎn)稱IaaS，這層的作用是將各種底層的計(jì)算（比如虛擬機(jī)）和存儲(chǔ)等資源作為服務(wù)提供給用戶。從用戶角度而言，這3層服務(wù)是獨(dú)立的，因?yàn)樗鼈兲峁┑姆?wù)是完全不同的，而且面向的用戶也不盡相同。但從技術(shù)角度而言，云服務(wù)的這3層是有一定依賴關(guān)系的。比如，一個(gè)SaaS層的產(chǎn)品和服務(wù)不僅需要用到SaaS層本身的技術(shù)，而且還依賴PaaS層所提供的開(kāi)發(fā)和部署平臺(tái)或者直接部署于IaaS層所提供的計(jì)算資源上，而PaaS層的產(chǎn)品和服務(wù)也很有可能構(gòu)建于IaaS層服務(wù)之上，三者相互依存，不可或缺，同時(shí)服務(wù)層所包含的三個(gè)層次又由不同的方面所構(gòu)成（具體層次分類如圖1所示）

2）在管理層方面，主要以云管理層為主，它的功能是確保整個(gè)云計(jì)算中心能夠安全、穩(wěn)定地運(yùn)行，并且能夠被有效管理，云管理層共有9個(gè)模塊，這9個(gè)模塊可分為3層，它們分別是用戶層、機(jī)制層和檢測(cè)層。（具體分層情況如圖2所示）

三、云計(jì)算架構(gòu)下的網(wǎng)絡(luò)信息安全隱患

在云計(jì)算的架構(gòu)下，雖然信息的整理和分析更加高效準(zhǔn)確，但是其中也存在著較大的安全隱患，具體表現(xiàn)在如下：

（1）物理與環(huán)境造成的安全威脅。物理與環(huán)境威脅不可避免，與其它信息系統(tǒng)一樣，在遭受水災(zāi)、火災(zāi)、被盜、雷擊、地質(zhì)災(zāi)害、非授權(quán)進(jìn)入等物理與環(huán)境威脅后，云計(jì)算內(nèi)部信息都會(huì)受到威脅。而且云計(jì)算環(huán)境中，數(shù)據(jù)的存儲(chǔ)位置通常無(wú)法通過(guò)服務(wù)端進(jìn)行控制，一旦其位置處于境外，數(shù)據(jù)管理、控制的主動(dòng)權(quán)將不再掌握在云計(jì)算服務(wù)中[1]。

（2）網(wǎng)絡(luò)與通信造成的安全威脅。與傳統(tǒng)信息系統(tǒng)相同，云計(jì)算也將應(yīng)用系統(tǒng)存放在云端，這樣當(dāng)云計(jì)算平臺(tái)出現(xiàn)異常與故障時(shí)，將無(wú)法正常提供云計(jì)算服務(wù)，從而耽誤用戶使用。而在通常情況下，網(wǎng)絡(luò)終斷情況的出現(xiàn)，也會(huì)到云服務(wù)無(wú)法正常使用。在這些無(wú)法正常使用的情況下，DDoS攻擊就會(huì)成為云計(jì)算平臺(tái)的直接威脅，不法分子、黑客利用DDoS進(jìn)行攻擊，主要攻擊云計(jì)算服務(wù)的關(guān)鍵性操作，從而導(dǎo)致平臺(tái)內(nèi)部大部分系統(tǒng)資源被浪費(fèi)，如硬盤空間、內(nèi)存等，而云計(jì)算本身也利用了虛擬技術(shù)，服務(wù)器反應(yīng)速度降低后，存儲(chǔ)設(shè)備等計(jì)算資源會(huì)生成新的組織結(jié)構(gòu)，也就是重新產(chǎn)生資源池，這樣網(wǎng)絡(luò)結(jié)構(gòu)的正常邊界被打破，無(wú)法保護(hù)其內(nèi)部信息與資源的安全[2]。

（3）設(shè)備與計(jì)算造成的安全威脅。云計(jì)算是一種按需付費(fèi)的服務(wù)平臺(tái)，其內(nèi)部資源與空間會(huì)有多租戶共享，但如果系統(tǒng)之間無(wú)法保障資源調(diào)度的合理性，那么系統(tǒng)可能會(huì)因資源過(guò)量影響資源調(diào)度效率，并經(jīng)常與其它系統(tǒng)出現(xiàn)交叉使用的情況[3]。甚至出現(xiàn)用戶間隔離失效的問(wèn)題。這樣云服務(wù)中的客戶可以隨意對(duì)其他客戶的云服務(wù)進(jìn)行入侵，做出干擾行為，影響其它用戶的正常使用。另外，這樣的情況下，也可能出現(xiàn)不法分子繞開(kāi)隔離措施，直接對(duì)用戶的云服務(wù)系統(tǒng)進(jìn)行破壞與干擾。

（4）應(yīng)用于數(shù)據(jù)造成的安全威脅。在云服務(wù)系統(tǒng)運(yùn)行中，其數(shù)據(jù)內(nèi)容會(huì)存儲(chǔ)到云計(jì)算環(huán)境中，但平臺(tái)的運(yùn)營(yíng)維護(hù)需要服務(wù)商來(lái)完成，如果在運(yùn)維管理環(huán)節(jié)出現(xiàn)惡意破壞或錯(cuò)誤操作的問(wèn)題，也會(huì)導(dǎo)致云服務(wù)系統(tǒng)中出現(xiàn)信息丟失、信息泄露信息篡改等問(wèn)題。同時(shí)，一旦云計(jì)算服務(wù)平臺(tái)的規(guī)模擴(kuò)大，其目標(biāo)范圍也擴(kuò)大，更容易受到攻擊，遭受攻擊后，信息的安全將無(wú)法得到保障。

四、云計(jì)算架構(gòu)下的網(wǎng)絡(luò)信息安全對(duì)策分析

（一）注重云計(jì)算網(wǎng)絡(luò)環(huán)境的安全性

保護(hù)云計(jì)算網(wǎng)絡(luò)環(huán)境的安全性，首先要做到的是注重云計(jì)算網(wǎng)絡(luò)環(huán)境的安全性，引起重視，并采取有效的措施對(duì)其進(jìn)行有效的處理，為其構(gòu)建一個(gè)安全穩(wěn)定運(yùn)行的網(wǎng)絡(luò)環(huán)境，對(duì)系統(tǒng)進(jìn)行更加安全的維護(hù)。減少軟件中的漏洞，制定并運(yùn)用防范網(wǎng)絡(luò)信息安全問(wèn)題出現(xiàn)的一系列措施，對(duì)網(wǎng)絡(luò)信息進(jìn)行多級(jí)防范，設(shè)置多重身份認(rèn)證，盡可能避免惡意攻擊者對(duì)網(wǎng)絡(luò)信息做出修改，防止惡意代碼的入侵，只有在權(quán)限內(nèi)的人才有權(quán)對(duì)網(wǎng)絡(luò)信息進(jìn)行訪問(wèn)以及使用。而對(duì)于云計(jì)算架構(gòu)中惡意代碼入侵，我們采用①自動(dòng)監(jiān)測(cè)系統(tǒng)主要由STM32主控板、傳感器、指南針模塊、信號(hào)調(diào)節(jié)電路、數(shù)據(jù)轉(zhuǎn)換模塊等模塊組成的系統(tǒng)進(jìn)行監(jiān)測(cè)，一旦發(fā)現(xiàn)，立即停止云計(jì)算相關(guān)操作，維護(hù)好云計(jì)算系統(tǒng)安全。（具體系統(tǒng)設(shè)計(jì)的參數(shù)如表1所示）

②利用系統(tǒng)所用的傳感器電路都已模塊化，監(jiān)測(cè)到的信號(hào)輸出為高低電平，可以實(shí)現(xiàn)直接與ARM芯片的通信，通過(guò)對(duì)云計(jì)算構(gòu)架中的數(shù)據(jù)信號(hào)進(jìn)行濾波放大和A/D轉(zhuǎn)換，從而實(shí)現(xiàn)對(duì)云計(jì)算構(gòu)架中信號(hào)的預(yù)處理，在此基礎(chǔ)上，對(duì)云計(jì)算構(gòu)架中信號(hào)進(jìn)行監(jiān)測(cè)，確定云計(jì)算環(huán)境下惡意代碼入侵信號(hào)，完成對(duì)惡意代碼入侵的自動(dòng)監(jiān)控。如圖3所示。

（二）提高云計(jì)算的數(shù)據(jù)存儲(chǔ)的安全性

對(duì)于云計(jì)算的數(shù)據(jù)安全存儲(chǔ)問(wèn)題，最有效的方法是對(duì)數(shù)據(jù)采取加密。其中包括：對(duì)象存儲(chǔ)加密和卷標(biāo)存儲(chǔ)加密。在對(duì)象存儲(chǔ)加密中，可以將對(duì)象存儲(chǔ)系統(tǒng)配置成為加密狀態(tài)，由系統(tǒng)默認(rèn)為所有數(shù)據(jù)加密。若對(duì)象存儲(chǔ)是共享資源，則除了將對(duì)象設(shè)置為加密狀態(tài)外，單個(gè)用戶還應(yīng)采用“虛擬私有存儲(chǔ)”技術(shù)進(jìn)一步提高個(gè)人數(shù)據(jù)安全，即數(shù)據(jù)加密的密鑰由自己掌握，其他用戶即使是網(wǎng)絡(luò)管理員也無(wú)權(quán)擁有。而另一種數(shù)據(jù)安全存儲(chǔ)的解決方案是卷標(biāo)存儲(chǔ)加密，包括兩種途徑：一種是對(duì)實(shí)際的物理卷標(biāo)數(shù)據(jù)進(jìn)行加密，用戶卷標(biāo)在實(shí)例化過(guò)程中完全透明；另一種是采用特殊的加密代理設(shè)備，一般是云計(jì)算環(huán)境中的虛擬設(shè)備，通過(guò)串行的方式實(shí)現(xiàn)計(jì)算實(shí)例與物理存儲(chǔ)之間的透明數(shù)據(jù)加密。

（三）提高云計(jì)算環(huán)境下網(wǎng)絡(luò)用戶的安全意識(shí)

要想保護(hù)云計(jì)算計(jì)算架構(gòu)下網(wǎng)絡(luò)信息安全，還應(yīng)提高用戶自身在云計(jì)算環(huán)境網(wǎng)絡(luò)下的安全意識(shí)。提供用戶自身的安全意識(shí)的措施主要有：（1）時(shí)刻保持對(duì)網(wǎng)絡(luò)信息安全警惕性，提高用戶對(duì)于網(wǎng)絡(luò)安全的認(rèn)知；（2對(duì)計(jì)算機(jī)設(shè)置高級(jí)別的密碼，提高用戶個(gè)人信息的保密性；（3）用戶對(duì)信息設(shè)置多重認(rèn)證，如：指紋認(rèn)證、人臉識(shí)別等；（4）盡量不使用公共網(wǎng)絡(luò)，防止自身的數(shù)據(jù)發(fā)生丟失的情況；（5）對(duì)信息做好備份，避免信息的丟失。除此之外，還需要選擇信用額度較高的用戶來(lái)進(jìn)行相應(yīng)的商家服務(wù)，在這一情況下，還需要對(duì)價(jià)格、服務(wù)質(zhì)量等進(jìn)行一個(gè)較為充分地考慮，這樣才能夠有效保證其本身服務(wù)的質(zhì)量。

五、結(jié)語(yǔ)

目前，云計(jì)算技術(shù)已經(jīng)逐步成熟，也在日漸被市場(chǎng)接受并得以應(yīng)用。云計(jì)算改變了用戶對(duì)計(jì)算資源的使用方式，使得用戶從以“自建系統(tǒng)+ 桌面”為核心轉(zhuǎn)向以“遠(yuǎn)程應(yīng)用+Web”為核心。隨著云計(jì)算技術(shù)的發(fā)展，其網(wǎng)絡(luò)信息安全協(xié)議及標(biāo)準(zhǔn)也必將逐漸完善，網(wǎng)絡(luò)安全策略也會(huì)日趨成熟，必將會(huì)為未來(lái)的廣大互聯(lián)網(wǎng)客戶帶來(lái)更加安全、穩(wěn)定、高效運(yùn)行的新興的技術(shù)平臺(tái)。

【參考文獻(xiàn)】

[1]孫紅梅，賈瑞生.大數(shù)據(jù)背景下企業(yè)網(wǎng)絡(luò)信息安全技術(shù)體系研究[J].通信技術(shù)，2017.27（2）：334～339.

[2]石悅，李相龍，戴方芳.一種基于屬性基加密的增強(qiáng)型軟件定義網(wǎng)絡(luò)安全框架[J].信息網(wǎng)絡(luò)安全.2018，30（1）：15～22.

[3]王剛.一種基于 SDN 技術(shù)的多區(qū)域安全云計(jì)算架構(gòu)研究[J].信息網(wǎng)絡(luò)安全.2015，25（9）：20～24.

[4]郭俊英，劉衛(wèi)明，張明明，劉天琪.云計(jì)算架構(gòu)的網(wǎng)絡(luò)信息安全對(duì)策分析[J].通信設(shè)計(jì)與應(yīng)用，2018.4.23 .1006-4222（2018）05-0109-02.

[5]郭雅，駱金維，李泗蘭.云計(jì)算架構(gòu)中惡意代碼入侵自動(dòng)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].設(shè)計(jì)與應(yīng)用，2018.1671—4598（2018107—0128—04.

[6]周靖哲，陳長(zhǎng)松.云計(jì)算架構(gòu)的網(wǎng)絡(luò)信息安全對(duì)策分析[J].2017.1671-1122（2017）11-0074-06.

[7]吳昊宇.云計(jì)算架構(gòu)下網(wǎng)絡(luò)信息安全分析[J].大數(shù)據(jù)·云計(jì)算.130.