崔飛

（中國(guó)電信集團(tuán)有限公司內(nèi)蒙古分公司 網(wǎng)絡(luò)發(fā)展部，內(nèi)蒙古 呼和浩特 010000）

引言

由于云計(jì)算的信息高度集中性、無(wú)邊界性和流動(dòng)性，以及基于虛擬化、分布式計(jì)算的底層架構(gòu)等特性，單純采用傳統(tǒng)的物理設(shè)備管理手段，已不適應(yīng)在云計(jì)算環(huán)境中保障數(shù)據(jù)安全傳輸。本文針對(duì)云計(jì)算環(huán)境下數(shù)據(jù)傳輸過(guò)程中所存在的安全問(wèn)題進(jìn)行分析，提出相應(yīng)的解決措施。（圖1：云計(jì)算環(huán)境下數(shù)據(jù)管理模式）

一、數(shù)據(jù)傳輸中所存在的安全問(wèn)題

（一）數(shù)據(jù)被違規(guī)訪問(wèn)

在云計(jì)算環(huán)境下，當(dāng)數(shù)據(jù)傳輸?shù)倪^(guò)程中，如果沒(méi)有做好數(shù)據(jù)訪問(wèn)控制工作，很有可能面臨非法用戶(hù)違規(guī)訪問(wèn)數(shù)據(jù)的問(wèn)題。當(dāng)有數(shù)據(jù)安全問(wèn)題存在，主要源于兩個(gè)方面，即內(nèi)部安全問(wèn)題和外部安全問(wèn)題。將數(shù)據(jù)信息傳輸?shù)皆破脚_(tái)中，或者向遠(yuǎn)程服務(wù)器傳輸?shù)倪^(guò)程中，云計(jì)算服務(wù)提供商負(fù)責(zé)接收數(shù)據(jù)，但是如果安全防護(hù)工作不足，很有可能被不良用戶(hù)違規(guī)訪問(wèn)，造成數(shù)據(jù)被篡改或者丟失。如果是內(nèi)部人員沒(méi)有按照規(guī)定操作所造成的問(wèn)題，主要由于沒(méi)有規(guī)范數(shù)據(jù)訪問(wèn)權(quán)限或者管理不到位導(dǎo)致的。

（二）沒(méi)有做好數(shù)據(jù)隔離工作

云計(jì)算環(huán)境下，數(shù)據(jù)傳輸?shù)倪^(guò)程中會(huì)出現(xiàn)共享操作，此時(shí)如果沒(méi)有對(duì)數(shù)據(jù)有效隔離，就會(huì)導(dǎo)致安全問(wèn)題。應(yīng)用云計(jì)算的用戶(hù)以企業(yè)和政府部門(mén)為主，如果沒(méi)有對(duì)數(shù)據(jù)有效隔離，當(dāng)數(shù)據(jù)傳輸?shù)臅r(shí)候很有可能出現(xiàn)失真，因此造成的損失是巨大的。通常在集體辦公環(huán)境中需要共享數(shù)據(jù)信息，甚至在數(shù)據(jù)傳輸?shù)倪^(guò)程中也會(huì)存在共享需求，沒(méi)有做好加密處理工作，沒(méi)有將數(shù)據(jù)隔離好，數(shù)據(jù)傳輸中就會(huì)面臨威脅，非法用戶(hù)對(duì)數(shù)據(jù)竊取，因此出現(xiàn)信息泄露的問(wèn)題[1]。

二、云計(jì)算環(huán)境下保證數(shù)據(jù)傳輸安全的有效方法

（一）對(duì)網(wǎng)絡(luò)防護(hù)系統(tǒng)予以完善

處于云計(jì)算環(huán)境下，要使數(shù)據(jù)傳輸?shù)倪^(guò)程中有較高的安全性，需要對(duì)云平臺(tái)后臺(tái)服務(wù)體系予以完善，對(duì)用戶(hù)訪問(wèn)權(quán)限予以設(shè)置并不斷地調(diào)整，對(duì)于數(shù)據(jù)加密技術(shù)和解密技術(shù)都要進(jìn)行優(yōu)化，使密鑰有非常高的安全強(qiáng)度，對(duì)于違規(guī)入侵的用戶(hù)嚴(yán)格控制，避免其進(jìn)行數(shù)據(jù)訪問(wèn)，使數(shù)據(jù)得到有效維護(hù)。對(duì)于網(wǎng)絡(luò)防護(hù)體系要定期檢查，發(fā)現(xiàn)有漏洞就要及時(shí)修補(bǔ)，并對(duì)防護(hù)技術(shù)和加密技術(shù)升級(jí)，網(wǎng)絡(luò)的防護(hù)等級(jí)提高，數(shù)據(jù)就更加安全[2]。

在云資源池與外部網(wǎng)絡(luò)邊界處，部署防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、web 應(yīng)用防火墻（WAF），實(shí)時(shí)監(jiān)測(cè)各類(lèi)非法入侵行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警，把好入口關(guān)。同時(shí)，通過(guò)部署異常流量監(jiān)測(cè)系統(tǒng)、攻擊溯源系統(tǒng)、安全態(tài)勢(shì)感知系統(tǒng)，僵木蠕監(jiān)測(cè)系統(tǒng)等，對(duì)正在發(fā)生的安全風(fēng)險(xiǎn)行為進(jìn)行發(fā)現(xiàn)。

（二）對(duì)數(shù)據(jù)共享隔離工作進(jìn)一步強(qiáng)化

云計(jì)算環(huán)境下，虛擬化技術(shù)打破了物理邊界，在數(shù)據(jù)共享過(guò)程中，傳統(tǒng)的基于物理安全邊界的網(wǎng)絡(luò)安全防護(hù)機(jī)制難以發(fā)揮作用。應(yīng)用云計(jì)算技術(shù)，用戶(hù)的數(shù)據(jù)信息傳輸?shù)皆贫藘?chǔ)存，所采用的是網(wǎng)絡(luò)計(jì)算的形式，而且還要發(fā)揮網(wǎng)絡(luò)的作用將數(shù)據(jù)信息傳回到用戶(hù)端。數(shù)據(jù)信息在云端儲(chǔ)存，是作為虛擬屬性存在的，但是用戶(hù)數(shù)據(jù)是確確實(shí)實(shí)存在的，為了防止非法用戶(hù)共享數(shù)據(jù)，或者避免數(shù)據(jù)傳輸中受到安全威脅，主要采用的傳輸策略是一對(duì)一共享，即做好隔離工作，將第三方隔離出去，沒(méi)有機(jī)會(huì)接觸到數(shù)據(jù)信息。采用這種數(shù)據(jù)共享隔離于外網(wǎng)的方式，使數(shù)據(jù)信息實(shí)現(xiàn)共享的同時(shí)還可以保證安全。

數(shù)據(jù)信息在網(wǎng)絡(luò)上傳輸并實(shí)現(xiàn)共享，要保證數(shù)據(jù)信息的安全性，還要做好檢測(cè)工作，對(duì)用戶(hù)身份加以認(rèn)證，所有沒(méi)通過(guò)認(rèn)證的用戶(hù)都實(shí)施數(shù)據(jù)隔離，這樣可以避免數(shù)據(jù)信息被竊取。用戶(hù)在共享資源的同時(shí)，將網(wǎng)絡(luò)加密技術(shù)合理利用，確保數(shù)據(jù)共享被控制在特定的范圍內(nèi)，并做到多層防護(hù)，使數(shù)據(jù)安全傳輸[3]。在加密密鑰管理方面，可將密鑰管理與分發(fā)機(jī)制進(jìn)行集中，實(shí)現(xiàn)管理與維護(hù)的集約、高效。同時(shí)，為了防范系統(tǒng)管理員非授權(quán)訪問(wèn)業(yè)務(wù)用戶(hù)數(shù)據(jù)，需要規(guī)范管理，將系統(tǒng)管理員和密鑰管理員權(quán)限分離。密鑰管理員僅具有管理業(yè)務(wù)用戶(hù)密鑰的權(quán)限，不具備訪問(wèn)系統(tǒng)的權(quán)限，無(wú)法基于密鑰進(jìn)行數(shù)據(jù)訪問(wèn)；系統(tǒng)管理員可以訪問(wèn)系統(tǒng)，但不具備密鑰管理功能，無(wú)法獲得密鑰，從而無(wú)法進(jìn)行非授權(quán)訪問(wèn)。

（三）應(yīng)用虛擬防火墻技術(shù)

傳統(tǒng)的VLAN 隔離的手段，存在劃分不靈活的問(wèn)題，已難以滿(mǎn)足云計(jì)算環(huán)境對(duì)資源隔離靈活、高效的要求。在采用防火墻安全域劃分、硬件交換機(jī)分離等方式的基礎(chǔ)上，虛擬防火墻技術(shù)，是進(jìn)行數(shù)據(jù)隔離的有效手段。

在云計(jì)算環(huán)境下，用戶(hù)所傳輸?shù)臄?shù)據(jù)以多種形式存在，主要包括視頻數(shù)據(jù)、圖像數(shù)據(jù)以及文本數(shù)據(jù)等等數(shù)據(jù)，傳輸數(shù)據(jù)的時(shí)候采用移動(dòng)設(shè)備，但是移動(dòng)設(shè)備缺乏安全性，用戶(hù)終端沒(méi)有將數(shù)據(jù)做好備份，考慮到數(shù)據(jù)安全，就需要將無(wú)線網(wǎng)充分利用起來(lái)，采用密文的方式傳輸數(shù)據(jù)。如果此時(shí)資源受到限制，傳輸數(shù)據(jù)的時(shí)候需要消耗大量的時(shí)間。為了保護(hù)好數(shù)據(jù)信息，應(yīng)用虛擬防火墻技術(shù)，在數(shù)據(jù)信息傳輸?shù)倪^(guò)程中，如果有不良用戶(hù)在網(wǎng)絡(luò)環(huán)境中侵襲，虛擬防火墻會(huì)及時(shí)阻擋，保證數(shù)據(jù)信息不會(huì)受到威脅。具體的工作中，需要在各自的專(zhuān)網(wǎng)接入邏輯防火墻，形成虛擬網(wǎng)鏈路，構(gòu)成虛擬專(zhuān)用網(wǎng)，配置好移動(dòng)用戶(hù)賬號(hào)，以在網(wǎng)絡(luò)共享空間以及云計(jì)算環(huán)境中發(fā)揮良好的防護(hù)作用，確保數(shù)據(jù)傳輸中不會(huì)受到威脅[4]。

通過(guò)虛擬防火墻，可為多個(gè)用戶(hù)或單個(gè)用戶(hù)的不同節(jié)點(diǎn)，設(shè)置獨(dú)立、可定制的安全策略功能。每臺(tái)虛擬防火墻都可以作為一臺(tái)完全獨(dú)立的防火墻設(shè)備使用，可擁有獨(dú)立的管理員、安全策略、用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)等。不同虛擬防火墻之間安全隔離，互不影響。用戶(hù)可通過(guò)自服務(wù)頁(yè)面或門(mén)戶(hù)，對(duì)自己的虛擬防火墻進(jìn)行管理和配置；也可通過(guò)Telnet、SSH 或圖形化管理工具等手段實(shí)現(xiàn)遠(yuǎn)程操作。

（四）在“云”端建立信息管理平臺(tái)

在數(shù)據(jù)信息傳輸過(guò)程中，如果沒(méi)有采取科學(xué)有效的保護(hù)措施，很有可能造成信息被篡改或者丟失的問(wèn)題，即便是在本地?cái)?shù)據(jù)庫(kù)中，也避免不了硬件或者軟件的問(wèn)題造成損失。建立信息管理平臺(tái)，由于技術(shù)要求很高，參與建設(shè)的人員數(shù)量比較多，如果依然采用傳統(tǒng)的平臺(tái)管理模式，就會(huì)導(dǎo)致信息無(wú)法快速傳遞，用戶(hù)也無(wú)法針對(duì)信息互動(dòng)交流，數(shù)據(jù)信息安全管理效率無(wú)法提高。處于信息時(shí)代，數(shù)據(jù)信息安全管理要體現(xiàn)時(shí)代特征，對(duì)信息技術(shù)合理利用的過(guò)程中，應(yīng)用計(jì)算機(jī)電子信息技術(shù)，發(fā)揮網(wǎng)絡(luò)技術(shù)的作用將“云”端建立信息管理平臺(tái)建立起來(lái)，對(duì)于所傳輸?shù)臄?shù)據(jù)信息都實(shí)施“云”端系統(tǒng)化管理，做到數(shù)據(jù)管理全面信息化、網(wǎng)絡(luò)化，不僅加快了信息傳輸速度，而且管理人員可以根據(jù)實(shí)時(shí)信息進(jìn)行針對(duì)性監(jiān)督管理，各個(gè)部門(mén)的管理人員登陸管理信息平臺(tái)，就可以獲得自己所需要的信息，并根據(jù)工作需要對(duì)信息予以處理。應(yīng)用“云”端建立信息管理平臺(tái)實(shí)施數(shù)據(jù)信息安全管理，在數(shù)據(jù)傳輸?shù)倪^(guò)程中可以做到實(shí)時(shí)跟蹤，隨著網(wǎng)絡(luò)信息技術(shù)的升級(jí)，數(shù)據(jù)信息安全管理模式也不斷更新，從而提高數(shù)據(jù)傳輸效能，維護(hù)數(shù)據(jù)安全。

結(jié)束語(yǔ)

通過(guò)上面的研究可以明確，處于云計(jì)算環(huán)境下，數(shù)據(jù)信息可以實(shí)現(xiàn)云傳輸和存儲(chǔ)，速度快，而且不會(huì)受到時(shí)間和空間的限制。但是，云計(jì)算的開(kāi)放性決定了數(shù)據(jù)傳輸?shù)倪^(guò)程中也會(huì)受到威脅，諸如出現(xiàn)數(shù)據(jù)被非法訪問(wèn)或者由于沒(méi)有做好數(shù)據(jù)隔離工作導(dǎo)致安全問(wèn)題。針對(duì)于此，就需要采取必要的安全措施，保證數(shù)據(jù)傳輸?shù)倪^(guò)程中有較高的可靠性，維護(hù)數(shù)據(jù)完整，不會(huì)失真，提高數(shù)據(jù)質(zhì)量。