云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全策略

田祥宏（金陵科技學(xué)院計(jì)算機(jī)工程學(xué)院，江蘇南京，211169）

云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全策略

田祥宏
（金陵科技學(xué)院計(jì)算機(jī)工程學(xué)院，江蘇南京，211169）

隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)展，云計(jì)算技術(shù)在互聯(lián)網(wǎng)領(lǐng)域得到了十分廣泛的應(yīng)用，云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題也到人們的關(guān)注。本文根據(jù)筆者對(duì)網(wǎng)絡(luò)安全問(wèn)題的理解，探討了云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全策略。

云計(jì)算；網(wǎng)絡(luò)安全；策略

0 引言

云計(jì)算屬于一種計(jì)算模型，它可以將存儲(chǔ)等任務(wù)匯聚在網(wǎng)絡(luò)上，而客戶(hù)端和本地應(yīng)用程序之間只需要一個(gè)瀏覽器就可以有效連接，并可以根據(jù)具體需求獲取存儲(chǔ)空間、計(jì)算能力和信息等，極大擴(kuò)展了個(gè)人計(jì)算機(jī)的功能容量。近年來(lái)，在云計(jì)算技術(shù)得到普遍應(yīng)用的同時(shí)，也帶來(lái)了一些網(wǎng)絡(luò)安全問(wèn)題。本文根據(jù)對(duì)網(wǎng)絡(luò)安全問(wèn)題的理解，探討了云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全策略。

1 云計(jì)算的定義與特點(diǎn)

1.1云計(jì)算的定義

圖1　 云計(jì)算的基本模型

目前關(guān)于云計(jì)算的定義并不統(tǒng)一，一些專(zhuān)家認(rèn)為云計(jì)算是一種延展能力很強(qiáng)的運(yùn)算模式，可以運(yùn)用網(wǎng)絡(luò)為用戶(hù)提供多種服務(wù)，如視頻、計(jì)算和儲(chǔ)存信息等。可以說(shuō)云計(jì)算是一種超級(jí)運(yùn)算方式，它以互聯(lián)網(wǎng)為基礎(chǔ)，可以在數(shù)據(jù)中心集中大量IT資源，而用戶(hù)可以根據(jù)自己的需求通過(guò)互聯(lián)網(wǎng)獲取所需的資源。從狹義的角度來(lái)講，IT設(shè)備的交付與使用方式就是云計(jì)算。而從廣義的角度來(lái)講，服務(wù)的交付與使用方式就是云計(jì)算，有公用云和私有云之分。其中的服務(wù)包括軟件或者其他服務(wù)，這樣計(jì)算力就可以作為一種商品，并且可以在互聯(lián)網(wǎng)上流通。下圖1為云計(jì)算的基本模型。

1.2云計(jì)算的特點(diǎn)

（1）擴(kuò)展性強(qiáng)。云計(jì)算的基本出發(fā)點(diǎn)就是面向服務(wù)，和郵件、域名等基本網(wǎng)絡(luò)服務(wù)有一定的區(qū)別。同時(shí)云計(jì)算可以創(chuàng)建開(kāi)發(fā)和運(yùn)行環(huán)境平臺(tái)，也可以提供用戶(hù)身份認(rèn)證等多種擴(kuò)展服務(wù)。（2）可用性高。云計(jì)算具有泛載的功能，這是因?yàn)橛?jì)算機(jī)、手機(jī)以及其他智能設(shè)備等終端，均可通過(guò)IPv6獲得可用地址，任何設(shè)備或者終端可以隨時(shí)隨地接入，并且可以通過(guò)數(shù)據(jù)中心得到及時(shí)響應(yīng)。（3）安全可靠。云計(jì)算能夠保障信息傳輸?shù)陌踩耘c可靠性。在學(xué)校各種信息管理系統(tǒng)中應(yīng)用云計(jì)算，可以讓終端設(shè)備、信息和服務(wù)更加安全可靠，數(shù)據(jù)與資源的可靠性通過(guò)云計(jì)算冗余技術(shù)實(shí)現(xiàn)，而保密對(duì)外信息就需要用到安全保障綜合技術(shù)。

2 關(guān)于云計(jì)算環(huán)境下網(wǎng)絡(luò)安全現(xiàn)狀

2.1客戶(hù)端存在的風(fēng)險(xiǎn)

分布式網(wǎng)絡(luò)構(gòu)成了云計(jì)算的基礎(chǔ)，一般來(lái)說(shuō)，網(wǎng)絡(luò)上的任意計(jì)算都可以看做一個(gè)節(jié)點(diǎn)。將互聯(lián)網(wǎng)與計(jì)算機(jī)結(jié)合起來(lái)就構(gòu)成了云計(jì)算的一部分，如果公共服務(wù)機(jī)構(gòu)如政府部門(mén)發(fā)布的數(shù)據(jù)中包含的個(gè)人信息太多，這時(shí)候如果沒(méi)有有效的隱私保護(hù)手段，攻擊者就可以在客戶(hù)端運(yùn)用發(fā)布數(shù)據(jù)之間的內(nèi)在聯(lián)系獲取用戶(hù)的隱私。例如，某個(gè)專(zhuān)門(mén)為政府工作人員購(gòu)買(mǎi)醫(yī)保的機(jī)構(gòu)，在其信息系統(tǒng)中就會(huì)留下與醫(yī)療有關(guān)的信息，而選舉機(jī)構(gòu)也會(huì)發(fā)布與選民有關(guān)的信息，雖然前面的醫(yī)保信息是匿名的，但攻擊者會(huì)將醫(yī)療信息與選民信息聯(lián)系起來(lái)，這樣可以獲取選民的個(gè)人隱私，這也為其不良意圖提供了便利。

2.2服務(wù)器端存在的風(fēng)險(xiǎn)

相對(duì)來(lái)說(shuō)，云計(jì)算的安全性與隱私性并不高，如果用戶(hù)在應(yīng)用網(wǎng)絡(luò)時(shí)將私人信息與應(yīng)用程序等放置于服務(wù)器硬盤(pán)上，就很難控制部分敏感信息。比如，某投資銀行運(yùn)用谷歌提供的云計(jì)算產(chǎn)品來(lái)管理員工的社保信息，這個(gè)時(shí)候谷歌就要保障這些信息不被惡意攻擊與竊取，并保障這些信息不外泄，而政府部門(mén)的工作人員可以在沒(méi)有通知所有者的情況下從谷歌提取這些信息。此時(shí)如果用戶(hù)將自己的個(gè)人信息存放在其他地方，也無(wú)形間構(gòu)成了一種安全威脅。此外，各種網(wǎng)絡(luò)資源均存放在遠(yuǎn)端服務(wù)器上，用戶(hù)需要登陸認(rèn)證后才能獲取，這時(shí)候用戶(hù)的密碼等信息很容易被盜，這就增加了遠(yuǎn)程認(rèn)證的風(fēng)險(xiǎn)。因此，當(dāng)前云計(jì)算依然存在很多安全問(wèn)題。

3 云計(jì)算環(huán)境下網(wǎng)絡(luò)安全的有效對(duì)策

3.1客戶(hù)端防護(hù)策略

（1）防范病毒。及時(shí)下載、安裝并更新系統(tǒng)殺毒軟件與漏洞補(bǔ)丁，避免黑客通過(guò)系統(tǒng)的漏洞傳播病毒；及時(shí)更新病毒數(shù)據(jù)庫(kù)并定期查毒，運(yùn)用系統(tǒng)防火墻等對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控；養(yǎng)成系統(tǒng)使用的良好習(xí)慣，提高網(wǎng)絡(luò)安全意識(shí)，不隨意打開(kāi)陌生網(wǎng)站；對(duì)于一些重要的資料應(yīng)該定期備份并進(jìn)行加密。此外，防范木馬病毒的方法也有：將注冊(cè)列表中的MicrosoftWindows CurrentVersionRun下有“Run”前綴的全部可疑程序刪除。

（2）防范入侵。在防范計(jì)算機(jī)出現(xiàn)病毒的同時(shí)，用戶(hù)還需要定期對(duì)計(jì)算機(jī)的開(kāi)放端口進(jìn)行檢測(cè)，常用的檢測(cè)軟件有SuperScan等，如果發(fā)現(xiàn)開(kāi)放端口有異常連接，應(yīng)該立即將網(wǎng)絡(luò)切斷，然后使用病毒檢測(cè)軟件進(jìn)行檢測(cè)，并全程監(jiān)測(cè)客戶(hù)打開(kāi)的進(jìn)程，與以前的網(wǎng)絡(luò)進(jìn)程進(jìn)行對(duì)比，發(fā)現(xiàn)不明進(jìn)程立即關(guān)閉。

（3）加密數(shù)據(jù)。目前云計(jì)算中移動(dòng)終端的數(shù)量正在逐漸增加，用戶(hù)終端的自由度與多樣性不斷提高，這也讓控制用戶(hù)信息泄露的難度越來(lái)越大。這個(gè)時(shí)候我們可以使用加密技術(shù)，如RSA、DES等對(duì)數(shù)據(jù)進(jìn)行加密，運(yùn)用這種方式可以降低客戶(hù)端被攻擊時(shí)信息泄露的概率。

（4）檢驗(yàn)數(shù)據(jù)的完整性。用戶(hù)要對(duì)所有的下載信息是否正確進(jìn)行檢測(cè)是有很大難度的，這時(shí)候用戶(hù)可以獲取少量信息數(shù)據(jù)，然后運(yùn)用數(shù)據(jù)分析技術(shù)或知識(shí)證明技術(shù)，對(duì)所獲取數(shù)據(jù)的完整性進(jìn)行判斷。常用檢驗(yàn)數(shù)據(jù)完整性的方法有公開(kāi)可驗(yàn)證的數(shù)據(jù)檢索證明法以及單獨(dú)可驗(yàn)證的數(shù)據(jù)檢索證明法等。

3.2服務(wù)器端防護(hù)策略

（1）服務(wù)器的安全防護(hù)。云計(jì)算的服務(wù)器可以對(duì)系統(tǒng)的用電環(huán)境進(jìn)行保護(hù)，常用的保護(hù)技術(shù)有靜電防護(hù)、電源冗余等；也可以將多臺(tái)物理服務(wù)器通過(guò)虛擬化技術(shù)，使其成為大型的邏輯服務(wù)器，如利用集群技術(shù)，可以改善物理服務(wù)器的可擴(kuò)展性以及可用性等；（2）存儲(chǔ)設(shè)備的安全防護(hù)。應(yīng)用和服務(wù)器保護(hù)用電環(huán)境相同的技術(shù)來(lái)保護(hù)存儲(chǔ)設(shè)備；不同品牌存儲(chǔ)設(shè)備的統(tǒng)一調(diào)配與管理，可以使用虛擬化技術(shù)實(shí)現(xiàn)；也可以利用遠(yuǎn)程鏡像與快照等技術(shù)，完成存儲(chǔ)設(shè)備的復(fù)制等操作。（3）操作系統(tǒng)的安全防護(hù)。由于操作系統(tǒng)以及應(yīng)用程序中不可避免會(huì)存在各種漏洞，而黑客會(huì)將這些漏洞作為主要的攻擊目標(biāo)。可以定期下載并安裝系統(tǒng)補(bǔ)丁，以避免系統(tǒng)漏洞帶來(lái)的風(fēng)險(xiǎn)，使用漏洞核查、分析與入侵檢測(cè)以及防火墻等技術(shù)來(lái)防范程序漏洞，以此有效降低風(fēng)險(xiǎn)。

3.3云端與客戶(hù)端互動(dòng)過(guò)程中的安全策略

在云端與客戶(hù)端互動(dòng)過(guò)程中，可以運(yùn)用SSL原理構(gòu)建用戶(hù)端與云端之間的信息交換安全通道，以避免第三方的惡意攔截、破壞信息交換的行為。一些研究者提出，可以應(yīng)用交換方式保障數(shù)據(jù)的交換安全，闡明這種方法來(lái)源于分級(jí)標(biāo)簽交換方法，通過(guò)數(shù)據(jù)交換可以有效解決被隔離系統(tǒng)之間的數(shù)據(jù)交換問(wèn)題。這種方法運(yùn)用了定制數(shù)據(jù)的思想，在數(shù)據(jù)到信息的轉(zhuǎn)換過(guò)程中，通過(guò)控制操作來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全交換的策略。數(shù)據(jù)交換的過(guò)程主要應(yīng)用了行為信息以及信息的分解，可以實(shí)現(xiàn)信息數(shù)據(jù)的單向流動(dòng)，進(jìn)而保障云計(jì)算環(huán)境下的數(shù)據(jù)交換。云端與用戶(hù)端進(jìn)行數(shù)據(jù)交換過(guò)程中，可以有效區(qū)分“數(shù)據(jù)”與“用戶(hù)”，然后將數(shù)據(jù)信息與行為信息區(qū)分開(kāi)來(lái)，進(jìn)而實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的單向可控流動(dòng)，如下圖2所示。

圖2　 應(yīng)用交換數(shù)據(jù)模型

4 結(jié)語(yǔ)

云計(jì)算技術(shù)在近年來(lái)得到了快速發(fā)展，而安全問(wèn)題也成為困擾其發(fā)展的重要因素。因此，在云計(jì)算環(huán)境下加強(qiáng)網(wǎng)絡(luò)安全策略，是推動(dòng)信息網(wǎng)絡(luò)發(fā)展的重要手段，相信云計(jì)算會(huì)朝著更為高效、安全的方向發(fā)展，以此更好地為人類(lèi)服務(wù)。

［1］ 李彥賓. 云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)部署［J］.福建電腦，2011（06）

［2］ 周洪波.云計(jì)算：技術(shù)、應(yīng)用、標(biāo)準(zhǔn)和商業(yè)模式［M］.北京：電子工業(yè)出版社，2011.

［3］ 劉朝，薛凱，楊樹(shù)國(guó).云環(huán)境數(shù)據(jù)庫(kù)安全問(wèn)題探究［J］.電腦與電信，2011（01）.

［4］ 郭樂(lè)深，張乃靖，尚晉.云計(jì)算環(huán)境安全框架［J］.信息網(wǎng)絡(luò)安全，2010（07）.

［5］ 聶元銘.一種基于云環(huán)境的數(shù)據(jù)應(yīng)用交換安全技術(shù)［J］.信息網(wǎng)絡(luò)安全，2012（09）.

Network security strategy under the cloud computing environment

Tian Xianghong
（Jinling institute of technology，School of Computer Engineering，Jiangsu Nanjing，211169）

Along with the rapid development of computer information technology，cloud computing technology has been widely used in the field of Internet，network security issues in cloud computing environment to people's attention.Based on the understanding of the problems of network security，discusses the network security strategy under the cloud computing environment.

cloud computing；network security；strategy

田祥宏（1971-），男，湖北蘄春人，金陵科技學(xué)院計(jì)算機(jī)工程學(xué)院副教授，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。