探析我國(guó)云計(jì)算技術(shù)服務(wù)存在的漏洞與應(yīng)對(duì)策略

[摘 要] 云計(jì)算服務(wù)是當(dāng)前全球范圍內(nèi)炙手可熱的商務(wù)服務(wù)新寵。今后，云計(jì)算服務(wù)能夠提供與超級(jí)電腦相媲美的強(qiáng)大功能。依托云服務(wù)，用戶還能彈性化地設(shè)置服務(wù)需求，同時(shí)節(jié)省了PC、服務(wù)器等基礎(chǔ)軟硬件投入。本文主要介紹了我國(guó)云計(jì)算服務(wù)中存在的漏洞風(fēng)險(xiǎn)，并根據(jù)云計(jì)算模型探討了相應(yīng)的應(yīng)對(duì)措施。

[關(guān)鍵詞] 云計(jì)算服務(wù)； 用戶接入； 應(yīng)對(duì)風(fēng)險(xiǎn)

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 22. 043

[中圖分類號(hào)] TP3 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2013）22- 0068- 02

云計(jì)算是基于Web網(wǎng)絡(luò)虛擬化的服務(wù)模式。具體來(lái)說(shuō)，用戶只需要購(gòu)買一項(xiàng)服務(wù)，而不需額外投入任何資金設(shè)備，就能完全使用該項(xiàng)服務(wù)。云計(jì)算服務(wù)的根本優(yōu)勢(shì)在于，將傳統(tǒng)因特網(wǎng)服務(wù)中的服務(wù)器、PC機(jī)等進(jìn)行資源整合，集成于云服務(wù)中。

1 主流云計(jì)算技術(shù)簡(jiǎn)介

1.1 IBM云技術(shù)

目前，IBM云是我國(guó)主流云計(jì)算服務(wù)之一。IBM公司認(rèn)為云計(jì)算服務(wù)屬于一種新興的體驗(yàn)式服務(wù)交付模式。目前通用的云技術(shù)服務(wù)分為公有云、私有云以及混合云，即是IBM公司所提出。從國(guó)內(nèi)情況來(lái)看，IBM云體現(xiàn)了云技術(shù)服務(wù)的主流優(yōu)勢(shì)：開(kāi)放兼容；靈活性強(qiáng)，能夠同時(shí)服務(wù)多領(lǐng)域多系統(tǒng)；涵蓋SOA思想，能夠進(jìn)行彈性化的簡(jiǎn)化擴(kuò)展，以及涵蓋對(duì)應(yīng)軟硬件的資源整合。

1.2 惠普（HP）云技術(shù)

HP云以提供高度擴(kuò)展、簡(jiǎn)潔操作的個(gè)性化云服務(wù)為特點(diǎn)。用戶在使用過(guò)程中，使用統(tǒng)一操作流程，無(wú)需用戶自行提供任何技術(shù)架構(gòu)。同時(shí)HP云可以完全按照用戶要求進(jìn)行任何形式的服務(wù)擴(kuò)展。HP云的分類方式較多，如按服務(wù)對(duì)象、按業(yè)務(wù)系統(tǒng)以及按資源等方式。目前，HP云的市場(chǎng)用戶群主要集中于電商企業(yè)。

1.3 GOOGLE云技術(shù)

GOOGLE公司是最早提出云計(jì)算概念并開(kāi)展云計(jì)算平臺(tái)設(shè)計(jì)的。最初GOOGLE建設(shè)該平臺(tái)的目的是為了為其旗下搜索引擎開(kāi)發(fā)與運(yùn)作提供輔助服務(wù)。目前，該云服務(wù)主要包括分布式文件、編程模式、分布式數(shù)據(jù)庫(kù)以及分布式加鎖機(jī)制4個(gè)模塊[1]。上述模塊共同組成了其云服務(wù)平臺(tái)特點(diǎn)，即大容量、高效、擴(kuò)展以及安全可靠。

2 我國(guó)云計(jì)算服務(wù)存在的漏洞

2.1 用戶接入模塊存在的漏洞

用戶接入是使用云服務(wù)的第一步。既然該層面是面向廣大用戶的，那么不能排除的是其中一些“用戶”本身也是攻擊者。從一般網(wǎng)絡(luò)服務(wù)的角度來(lái)分析，云服務(wù)在用戶接入模塊中，極有可能受到以下攻擊：① 竊取服務(wù)密碼。通常的云技術(shù)服務(wù)會(huì)禁止遠(yuǎn)程平臺(tái)管理以避免攻擊。但是HP云中的Paas/Iaas來(lái)說(shuō)，該功能是開(kāi)放的，而且也是用戶常用的，無(wú)形中造成了系統(tǒng)的漏洞。② 偽造證件。目前常見(jiàn)的多因子身份認(rèn)證，包括口令、數(shù)字證書(shū)、指紋以及虹膜等[2]。攻擊者可能利用云服務(wù)中斷對(duì)用戶信息進(jìn)行搜集破解，從而仿造。由此發(fā)散，還可能存在用戶信息竊取。此外同其他網(wǎng)絡(luò)服務(wù)一樣，在用戶接入模塊中，還可能出現(xiàn)欺詐網(wǎng)站、DDOS攻擊等。

2.2 業(yè)務(wù)應(yīng)用軟件模塊存在的漏洞

業(yè)務(wù)應(yīng)用是一切網(wǎng)絡(luò)服務(wù)的核心，云服務(wù)亦是如此。由于業(yè)務(wù)應(yīng)用模塊存在著大量用戶操作以及操作反饋，因此攻擊者通過(guò)篡改相關(guān)業(yè)務(wù)應(yīng)用程序，從而竊取用戶信息，破壞業(yè)務(wù)服務(wù)。同傳統(tǒng)網(wǎng)絡(luò)服務(wù)一樣，云技術(shù)服務(wù)在此模塊（SaaS/PaaS）中極容易出現(xiàn)以病毒蠕蟲(chóng)（并攜帶木馬）、應(yīng)用軟件破壞（如SQL注入、XSS攻擊）、Web掛馬（針對(duì)云服務(wù)的BS架構(gòu)）等攻擊，嚴(yán)重情況甚至可能出現(xiàn)主機(jī)攻擊。

2.3 虛擬機(jī)模塊存在的漏洞

利用虛擬機(jī)，攻擊者可能攻擊云服務(wù)提供商的后臺(tái)。一般來(lái)說(shuō)，以虛擬機(jī)為主的網(wǎng)絡(luò)攻擊較多。① 溢出。云計(jì)算服務(wù)的興起時(shí)間較短，各項(xiàng)技術(shù)較為不成熟。目前已有黑客宣布做到了“溢出”。② 資源濫用。破壞者并不僅針對(duì)云計(jì)算服務(wù)本身，而是利用廉價(jià)的云服務(wù)開(kāi)展其他網(wǎng)絡(luò)應(yīng)用的惡意攻擊，譬如借助云服務(wù)的大容量超高速的計(jì)算能力作為“肉雞”，去破譯用戶密碼，非法獲取資料。

對(duì)于后臺(tái)管理模塊和數(shù)據(jù)中心的漏洞同一般的網(wǎng)絡(luò)服務(wù)類似，也包括黑客入侵、內(nèi)部人員風(fēng)險(xiǎn)、設(shè)備故障以及盜取數(shù)據(jù)中心的物理介質(zhì)，從而竊取信息等。

3 我國(guó)云計(jì)算技術(shù)服務(wù)的發(fā)展策略

3.1 加強(qiáng)云安全控制的可視化

對(duì)于云服務(wù)的使用者來(lái)說(shuō)，該云服務(wù)項(xiàng)目目前的安全現(xiàn)狀、風(fēng)險(xiǎn)管控以及是否合法合規(guī)都是模糊的。用戶在使用過(guò)程中，無(wú)法了解上述問(wèn)題，不僅不利于用戶對(duì)云服務(wù)高效全面的使用，增加了用戶的風(fēng)險(xiǎn)感，同時(shí)也不利于云服務(wù)項(xiàng)目本身的合法有序發(fā)展。因此我國(guó)今后應(yīng)當(dāng)大力推進(jìn)云計(jì)算服務(wù)的可視化發(fā)展，建立透明的IT云服務(wù)管理機(jī)制。這樣不但能夠增加用戶對(duì)于云服務(wù)產(chǎn)品的全面認(rèn)識(shí)與信任，而且能夠增強(qiáng)服務(wù)商對(duì)云服務(wù)的可控制性以及國(guó)家行業(yè)對(duì)云項(xiàng)目的可監(jiān)管性。

3.2 采用身份認(rèn)證與訪問(wèn)管理權(quán)限

云服務(wù)有著大容量存儲(chǔ)處理以及多服務(wù)對(duì)象的特點(diǎn)。使得實(shí)際操作中，權(quán)限管理成為了云服務(wù)質(zhì)量以及服務(wù)安全的重要指標(biāo)。筆者認(rèn)為，多空間的分層管理對(duì)于云服務(wù)中的身份驗(yàn)證以及訪問(wèn)權(quán)限管理是必須的，同時(shí)應(yīng)當(dāng)從以下方面入手：針對(duì)存在網(wǎng)絡(luò)信用劣跡的用戶增加必要的活動(dòng)監(jiān)視；加強(qiáng)用戶與第三方的系統(tǒng)權(quán)限授權(quán)與認(rèn)證監(jiān)管；簡(jiǎn)化用戶的接入與業(yè)務(wù)服務(wù)操作，如單點(diǎn)登錄（SSO）。

3.3 加強(qiáng)數(shù)據(jù)安全管理

數(shù)據(jù)安全是任何信息服務(wù)中的關(guān)鍵問(wèn)題。在云服務(wù)中，必須做到訪問(wèn)權(quán)限的科學(xué)劃分、系統(tǒng)實(shí)現(xiàn)與有效監(jiān)管。具體來(lái)說(shuō)，就是要保證用戶數(shù)據(jù)的相互隔離，用戶是絕對(duì)不能訪問(wèn)不屬于自己的數(shù)據(jù)。一般可通過(guò)以下操作實(shí)現(xiàn)：通過(guò)網(wǎng)絡(luò)安全協(xié)議（SSL、IPSec等）訪問(wèn)敏感數(shù)據(jù)[3]。加強(qiáng)虛擬機(jī)的數(shù)據(jù)管理；建設(shè)物理隔離、設(shè)備隔離，確保信息的獨(dú)立性與安全性。此外，對(duì)于需要?jiǎng)h除的信息，提供安全完備的銷毀服務(wù)。

3.4 加強(qiáng)云服務(wù)數(shù)據(jù)中心的物理安全

云服務(wù)作為網(wǎng)絡(luò)服務(wù)的一種，同時(shí)還必須對(duì)數(shù)據(jù)中心采取高安全級(jí)別的管理。其中包括：① 加強(qiáng)中心內(nèi)外的設(shè)備人員監(jiān)控與保護(hù)；② 以技術(shù)手段嚴(yán)格控制人員進(jìn)入以及操作權(quán)限，加強(qiáng)工作人員的管理，甚至對(duì)于具有較高權(quán)限的工作人員，企業(yè)一定程度上還需要掌握其社會(huì)背景及社交情況；③ 制定突發(fā)自然災(zāi)害的預(yù)警防御機(jī)制。

4 結(jié) 語(yǔ)

云計(jì)算服務(wù)在全球范圍受到廣泛重視，許多IT人士對(duì)其寄予厚望。云計(jì)算服務(wù)所提供的高度彈性擴(kuò)展的高效網(wǎng)絡(luò)服務(wù)模式，決定了今后云服務(wù)將成為網(wǎng)絡(luò)服務(wù)的絕對(duì)主導(dǎo)者。對(duì)于云計(jì)算服務(wù)提供商來(lái)說(shuō)，進(jìn)一步加強(qiáng)質(zhì)量控制與風(fēng)險(xiǎn)管理，確保云服務(wù)安全是一項(xiàng)與云計(jì)算服務(wù)開(kāi)發(fā)同等重要的工作。

主要參考文獻(xiàn)

[1] 海洋. 云計(jì)算項(xiàng)目中的安全考慮[J]. 計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2010，4（14）：172-173.

[2] 施游，張智勇. 云計(jì)算體系架構(gòu)[J]. 電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2011，4（1）：228-229.

[3] 歐素華. 云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)的技術(shù)解析[J]. 信息通信，2013，4（23）：189-190.