何 棟

（山西鐵道職業(yè)技術學院，山西 太原 030013）

隨著云計算技術的興起，不少信息系統(tǒng)已經(jīng)通過云平臺進行部署。云計算技術雖然具有按需部署、動態(tài)可擴展、靈活性、可靠性和性價比高的優(yōu)勢，同時也會帶來許多新的網(wǎng)絡信息安全問題。由于技術發(fā)展快，網(wǎng)絡信息安全的法律法規(guī)不完善，導致出現(xiàn)了不少法律真空地帶。同時部分單位和云計算平臺的管理制度不完善，導致訪問權限、技術保密性和數(shù)據(jù)完整性等方面的漏洞層出不窮，這些都是網(wǎng)絡信息安全需要注意的新問題[1]。為了盡量避免這些問題可能給企業(yè)和個人帶來的損失，必須完善原有的網(wǎng)絡信息安全體系，提出解決這些問題的策略，進一步增強網(wǎng)絡信息的安全性，提高其可用性和穩(wěn)定性。

1 云計算視角下網(wǎng)絡信息安全的現(xiàn)狀

1.1 技術層面

由于信息技術的發(fā)展速度較快，在技術的更迭過程中難免存在一些漏洞，并且這些漏洞通常具有隱蔽性，一旦爆發(fā)勢必會產(chǎn)生云計算服務器癱瘓、網(wǎng)絡通信中斷、服務無響應等情況，甚至會造成數(shù)據(jù)的丟失，這些都極大影響用戶的生產(chǎn)、生活。同時黑客技術水平不斷提升，云計算視角下的網(wǎng)絡攻擊不再局限于病毒等傳統(tǒng)形式，呈現(xiàn)出了多樣化的態(tài)勢，使得網(wǎng)絡信息安全防護的難度增大。另外移動終端的加入，讓網(wǎng)絡信息安全威脅呈現(xiàn)出智能化的態(tài)勢，潛伏時間長、破壞力大是其顯著特點。

1.2 環(huán)境層面

云計算視角下網(wǎng)絡信息安全環(huán)境發(fā)生了巨大的變化，云計算的信任問題也隨之而來。不僅是公有云的信任問題，對于各單位內(nèi)部私有云信息系統(tǒng)和數(shù)據(jù)的安全必須給予足夠的重視。由于當前黑客的攻擊手段更加隱蔽，信息的泄露風險逐步增加，網(wǎng)絡開放性與安全性的矛盾不斷擴大，加之國家層面的法律法規(guī)和操作規(guī)范尚待完善，企業(yè)對于相關管理規(guī)范的落實不到位，勢必讓云計算視角下的網(wǎng)絡信息安全受到威脅[2]。

1.3 用戶層面

用戶的安全意識淡薄，安全防護技能不足的問題十分突出。雖然不少企業(yè)制定了一些網(wǎng)絡信息安全防護策略，但是在用戶層面的執(zhí)行力度嚴重不足。諸如訪問云計算資源的計算機未安裝殺毒軟件、個別用戶的權限遠超其實際需求、人員調(diào)離工作崗位后權限未及時調(diào)整、密碼復雜度不符合相關要求、重要文件傳輸不加密等問題比比皆是。這些都是引起網(wǎng)絡信息安全事件的重要源頭，極有可能造成整個云計算平臺的癱瘓或信息泄露。

2 云計算視角下網(wǎng)絡信息安全的特征

2.1 完整性

云計算視角下存在多個用戶使用同一較大資源池的現(xiàn)象，使得數(shù)據(jù)完整性受到破壞的風險劇增。一種情況是公有云或者私有云的管理者對于各用戶的數(shù)據(jù)信息沒有進行高質(zhì)量的管理，有可能造成數(shù)據(jù)存儲的完整性受到影響。另一種情況是由于對云計算的計算和存儲資源采用了分布式部署的方式，一旦個別基礎設施發(fā)生故障，會讓整個資源池的完整性遭受到破壞。

2.2 保密性

由于云計算基于資源共享，那么保密性就是其網(wǎng)絡信息安全的主要特征之一。從云計算視角來看，網(wǎng)絡信息安全中的保密性不僅需要體現(xiàn)數(shù)據(jù)存儲方面的保密性，同時要考慮數(shù)據(jù)在云計算平臺內(nèi)部、外部傳輸時的保密性。當然用戶賬戶的保密性同樣是需要考慮的范疇，只有這樣才能保證資源的共享性在相應的限制條件下進行，防止數(shù)據(jù)信息的泄漏。

2.3 審計核查性

目前云計算的各項技術發(fā)展已日趨成熟，對于用戶的授權機制和權限控制策略的基礎運行框架已完成搭建，通過云安全審計工具可以識別和減小與使用云服務相關的風險以及滿足監(jiān)管部門的應用合規(guī)性要求。同時還可以對已出現(xiàn)的安全事件進行追溯，改善云計算平臺上應用的安全情況。

3 云計算視角下網(wǎng)絡信息安全存在的問題

3.1 缺乏完整的網(wǎng)絡信息安全標準體系

雖然在《中華人民共和國網(wǎng)絡安全法》實施以來，國家加快了各類網(wǎng)絡信息安全標準的起草和發(fā)布工作，但是就目前的情況而言，綱領性、指導性的標準較多，具體的技術規(guī)范類文件較少。在網(wǎng)絡安全等級保護2.0標準中，已將云計算平臺/系統(tǒng)納入到了等級保護的對象中，但是相對于云計算相關技術的發(fā)展，其網(wǎng)絡信息安全的標準仍然相對滯后。云計算環(huán)境中的平臺即服務和軟件即服務層常年處于不斷的更迭中，不確定的安全因素也隨之而來。同時一些云計算平臺的廠家和運營服務商為了標準化管理，該管理模式對每個用戶的實際場景的針對性較弱，這樣也會衍生出新的安全問題[3]。

3.2 信息數(shù)據(jù)的安全問題

云計算基于資源共享的理念，所以對于用戶數(shù)據(jù)、應用數(shù)據(jù)的安全性問題需要格外的重視，主要包含信息數(shù)據(jù)的機密性、完整性和可用性。信息數(shù)據(jù)的安全性需要通過多重措施進行防護，如軟件產(chǎn)品安全、數(shù)據(jù)的擦除以及廢棄硬件設備的銷毀，涉及的方面眾多。云計算環(huán)境的安全目前多數(shù)依賴于云計算平臺的運營方，而對于用戶的約束不夠，尤其是部分單位用戶的云計算系統(tǒng)內(nèi)部管理權限混亂，會給云計算系統(tǒng)帶來更多的管理類安全性問題。另外，數(shù)據(jù)的加密技術正在不斷變化，部分加密技術存在被破解的可能性。加解密的過程依賴于密鑰，密鑰存儲的安全在信息數(shù)據(jù)的安全性中具有較大的作用，密鑰的拾取、篡改密封以及密鑰訪問的身份驗證都是密鑰安全風險的來源。

3.3 云計算基礎設施的安全問題

云計算基礎設施包含了數(shù)據(jù)中心的硬件部分和云管平臺軟件兩部分。數(shù)據(jù)中心的硬件部分的安全問題除了常規(guī)的斷電、漏水、火災等安全風險，社會工程學攻擊也成為云計算基礎設施安全問題的主要來源。部分數(shù)據(jù)中心采用了外包的管理方式，對于一些外來人員的身份鑒別不到位。當然云計算基礎設施軟硬件層面的備份及容災恢復也有較多的安全隱患。云管平臺本身的設計邏輯和程序漏洞均有可能被黑客的利用，從而達到控制云管平臺，實施數(shù)據(jù)竊取或篡改的目的。這些都有可能給云計算基礎設施帶來不可逆的損失，必須引起云計算平臺運營方和用戶的高度重視。

4 云計算視角下網(wǎng)絡信息安全問題的解 決策略

4.1 構建完善的網(wǎng)絡信息安全框架體系

云計算視角下網(wǎng)絡信息安全問題的解決首先需要從構建完善的網(wǎng)絡信息安全框架體系入手。在云平臺安全建設的基礎上，從技術、管理和服務三個體系進行安全框架的構建。在云計算平臺建設初期，從平臺、訪問和數(shù)據(jù)三個方面完善平臺自身的網(wǎng)絡信息安全體系。在技術層面，建立安全管理中心、安全計算環(huán)境、完善安全區(qū)域邊界。在管理方面，根據(jù)云計算平臺的變化，定時完善和更新安全管理制度，加強安全運維、安全流程和安全建設的管理力度。在服務體系中，定期開展安全評估、安全加固以及應急響應的理念，同時加強自動化運維體系的建設，減少人工的干預。在身份層面，需要將身份視為主要的安全邊界，并將身份系統(tǒng)，以及管理員和憑據(jù)作為首要優(yōu)先事項加以保護。在基礎設施架構方面，需要將基礎設施運行在現(xiàn)代化平臺上，并使用智能檢測來補救漏洞和攻擊[4]?；谠朴嬎阋暯堑木W(wǎng)絡信息安全框架體系如圖1所示。

圖1 基于云計算視角的網(wǎng)絡信息安全框架體系示意圖

4.2 加強網(wǎng)絡安全防護技術手段的應用

首先，構建根據(jù)網(wǎng)絡安全等級保護的要求，建立云計算安全的技術安全防護體系架構。在體系中，加強區(qū)域邊界、計算環(huán)境、物理環(huán)境、通信網(wǎng)絡和安全管理中心的建設。在區(qū)域邊界層面，運用網(wǎng)絡準入、流量監(jiān)控、惡意代碼分析、安全審計和防IP/ARP/MAC欺騙措施。尤其需要通過部署下一代防火墻的方式，讓云計算系統(tǒng)獲得南北向流量的安全防護。同時將云計算系統(tǒng)分為多個安全域，通過采用不同的網(wǎng)絡安全措施，增強云計算平臺上各系統(tǒng)的安全性。各安全域的安全防護示意如圖2所示。

圖2 各安全域的安全防護示意圖

其次，加強網(wǎng)絡信息安全的動態(tài)監(jiān)控能力，可以使用態(tài)勢感知平臺及時獲取整個云計算環(huán)境的安全態(tài)勢，如使用主機管理系統(tǒng)對惡意攻擊、木馬入侵以及暴力破解等行為進行檢測并保留相應的日志。再次，強化應用與數(shù)據(jù)的安全防護，對于安全設備和數(shù)據(jù)庫，必須通過多因子認證的方式進行對登錄用戶身份的認證和鑒別，口令的存儲需進行加密，服務器則需要采用SSH的方式進行管理，云計算管理平臺、安全設備、網(wǎng)絡設備必須采用HTTPS的通信方式，使其保密性和完整性得到保障。最后，通過日志和數(shù)據(jù)庫審計系統(tǒng)，對所有的用戶登錄及操作行為進行記錄和審計。另外備份和災難恢復也需要技術手段的支持，如選擇質(zhì)優(yōu)的備份軟件，定期對服務器進行快照備份，對數(shù)據(jù)庫文件進行完全備份等，讓云計算環(huán)境下的應用在遭受損壞或攻擊時能夠快速得到恢復。

4.3 提高運維管理和風險管理的能力

云計算視角下網(wǎng)絡信息安全問題的解決，除技術因素外，更需要提高運維管理和風險管理的能力，真正變被動防御轉為主動預防。在運維管理方面，需要根據(jù)制度劃分各類人員的管理權限，如云計算平臺系統(tǒng)管理員、網(wǎng)絡管理員、主機管理員、數(shù)據(jù)庫管理員和應用管理員等，采用最小權限的原則給予賦權，并在崗位變化時，及時進行人員權限的調(diào)整。采用堡壘主機實現(xiàn)對云計算資源的身份認證、訪問控制和行為審計。做好云計算資源的變更管理，定期展開滲透測試和應急演練。特別要對重要節(jié)點的云計算網(wǎng)絡信息安全問題做好應急預案，要求相關人員對處理、上報和恢復流程爛熟于心[5]。定期開展相關理論、制度和流程的宣貫工作，對于應急演練做好記錄工作，并認真找出其中的不足，做好應該演練方案的更新工作。讓人員從思想上認識到網(wǎng)絡信息安全的重要性，從行動上全面掌握解決問題的技能。

5 結束語

總之，云計算視角下的網(wǎng)絡信息安全問題雖然與傳統(tǒng)的問題有所不同，但是只要構建完善的基于云計算的網(wǎng)絡信息安全框架體系，不斷提升管理能力和技術水平，就能做好云計算視角下的網(wǎng)絡信息安全防護工作，助力云計算的快速發(fā)展。