基于云計算的信息安全防護策略分析

張曉義 馬兆銘

【 摘 要 】 論文基于云計算信息安全的現狀，對云計算信息的常見安全隱患進行了系統分析與探究，并提出了相應的信息安全防護策略。

【 關鍵詞 】 云計算；信息安全；防護

【 Abstract 】 Based on the status of cloud computing information security， cloud computing security risks common information system analysis and exploration， and the corresponding information security policy.

【 Keywords 】 cloud computing； information security； protective

1 引言

就目前的實際情況來看，在全球范圍內已經有多個標準組織加入了云計算標準的制定中。在這其中，部分組織開展了大量有意義的研究，對進一步推進計算機信息安全的發展帶來了重要作用。

截止到目前為止，安全業界的各大公司都推出了各種各樣的云計算安全解決方案。其中，CSA基于云服務模型的角度提出了一個云計算安全參考模型，此模型準確描述了對三種基本云服務之間的關系以及各自的層次結構。

IBM公司站在企業信息安全框架的基礎上提出了一個科學的云計算安全架構，并且該公司在2013年8月26日發布了一款專門針對云計算服務的處理器，即Power 8處理器，此處理器在云計算的部署以及大數據的挖掘與分析等方面具備了極高的性能，并且在安全性上也有了極大提升，真正將云計算的性能與安全性推向了一個嶄新的高度[1]。

2 云計算信息的常見安全隱患

2.1 數據傳輸方面的安全隱患

眾所周知，企業的機密數據將直接關系到企業的核心競爭力，機密數據的泄漏、丟失無疑將對企業帶來巨大損失。基于機密數據的重要性，信息化時代下的企業往往都將其保存于數據中心，以此來降低機密泄漏、丟失現象的發生率。

但不可否認的是，在云計算環境下，這些核心數據在上傳到云計算服務器的傳輸過程中難免會面臨諸多問題，比如在數據傳輸的過程中，如果數據加密不嚴，就很有可能被第三方篡改或竊取。

又比如云計算服務商在獲取企業上傳的數據之后，在一定程度上存在數據泄露的風險。

再比如數據在云端存儲時，如何合理分配訪問權限才能保證用戶訪問的合法性等等。顯然，要想確保企業機密數據的安全，我們有必要對數據傳輸方面的這些常見安全隱患引起足夠重視。

2.2 數據存儲方面的安全隱患

2.2.1 數據隔離

由于虛擬化技術是實現云計算的核心應用技術，所以倘若惡意用戶利用非法手段來實現了對虛擬機操作權限的獲取，那么就極有可能對同一臺物理服務器所有虛擬機中的儲存數據的安全帶來威脅。

2.2.2 數據隱私風險

由于云計算下云服務器是分布于世界各地的，因此企業所上傳到云端的數據也將被隨機分布存儲到各個服務器之中。在這樣的情況下，用戶就并不了解自己所上傳數據的具體存儲位置。

與此同時，用戶數據一旦上傳到云端之后，云計算服務商即享有優先訪問的權利，而這也就形成了巨大的數據隱私泄漏或被篡改的風險。

2.2.3 數據審計

在云計算環境下，云計算服務商要想在不影響企業數據安全的情況下來為第三方機構提供必要數據支持，并且協助第三方機構完成數據審計工作儼然具有較大的難度。而企業在評估云計算服務商長期合作可能性的時候，也需要重點考慮安全問題，將服務商所提供數據的有效性、安全性作為潛在安全方面的因素之一[2]。

2.3 其他方面的安全隱患

2.3.1 安全邊界消失問題

由于云計算環境下的網絡結構與資源計算存儲呈現出了一種較高程度的集成化、統一化特征，所以這就使得傳統的安全邊界逐漸消失，所采取的安全防護策略往往都會缺乏針對性，這明顯會直接影響到網絡信息的安全性。

2.3.2 可靠穩定性問題

因為云計算環境下的數據、業務都依賴于虛擬化服務，所以當前的事件處理審計、信息安全策略以及容災恢復能力等都很難滿足云計算服務。

2.3.3 虛擬化技術的應用問題

上述說道，云計算的實現始終都離不開一個核心技術，即虛擬化技術。但不可否認的是，雖然虛擬化技術能夠有效改善利用IT資源的效率以及靈活性，但由于虛擬設備（如虛擬機、虛擬網絡等）很難管理，極容易出現安全漏洞、電腦病毒等問題，而這些現象的出現儼然將引發信息共享風險。

3 云計算環境下的信息安全防護策略

3.1 進一步加強云計算基礎設施的安全管理

作為云計算的運行平臺，基礎設施的配置弱存在一定的安全風險與漏洞，那么相應的信息安全儼然就無法得到充分保障，所以說進一步加強云計算基礎設施的安全管理也是主要的信息安全防護策略之一。

首先，應該對其基礎網絡IP進行統一的規劃，并且對相關節點中斷與服務器的MAC、IP進行綁定操作，以此來有效預防地址欺騙的現象出現。其次，對于網絡核心設備而言，理應采取措施來促使其能夠對集合鏈路冗余進行有效備份，并且在異常流量監控的基礎上來及時的發現并阻斷互聯網對DDOS的攻擊。與此同時，還應該將防火墻分別設置在DMZ內網與互聯網接入點與DMZ之間，以此來讓云計算服務的連續性、穩定性、安全性得到充分保障。再次，針對應用系統的主機設備而言，不僅要對其進行安全加固處理，同時也要將那些不使用的服務端口、組件關閉，對數據庫、虛擬機以及操作系統等進行補丁控制。當然，還應該在信息中心部署IDS/IPS設備中安裝各類軟件產品，如惡意代碼、實時監測、病毒查殺等，以此來確保系統的安全[3]。

3.2 不斷優化云計算服務系統運行環境

對于信息安全防護效果來說，云計算服務運行環境的優劣無疑將起到直接影響。基于此，我們理應在尋求防護策略的過程中對其運行環境的優化引起高度重視，尤其是應對不良用戶的蓄意攻擊，理應在充分利用各種科學技術（如身份認證、訪問控制以及信任管理等）的基礎上有效解決這些難題。

一是身份認證。可在生物特征、數字證書以及硬件信息綁定等方式的基礎上來進行集中用戶認證，并且嚴格依據網域與服務來對用戶級別進行劃分，從而予以集中授權，然后再通過與賬號連續出錯自動鎖定、賬號退出檢測等功能的有機結合來對身份認證進行嚴格管理。

二是訪問控制。較之于角色訪問方式，強制訪問機制更利于對數據安全的維護，所以其更適應于云環境。

三是信任管理。可在核實、授權信任級別的基礎上，利用用戶跟蹤與獲取來實現對用戶行為的監督與規范，從而有效完成對用戶行為數據等環節的評估與量化，最終完成信任管理，這樣的過程無疑將在很大程度上為信息安全帶來保障[4]。

4 結束語

總之，在云計算背景下，我們理應建立健全標準化的云服務體系，從多個方面來讓云計算的信息安全得到充分保障。只有這樣，才能夠推動云計算的持續、健康發展。

參考文獻

[1] 董寧.云計算環境下的信息安全防護策略探析[J].電子測試，2014，（05）：141-142.

[2] 韓帥.基于云計算的數據安全關鍵技術研究[D].電子科技大學，2012.

[3] 單麗娟.云數據安全管理策略設計[D].大連理工大學，2013.

[4] 周燦.多層次的云平臺安全防護體系[D].南京大學，2014.

作者簡介：

張曉義（1982-），男，漢族，上海人，畢業于上海交通大學，本科，學士，上海郵電設計咨詢研究院有限公司，工程師；主要研究方向和關注領域：互聯網信息安全咨詢與設計。

馬兆銘（1983-），男，滿族，重慶人，畢業于哈爾濱工程，研究生，碩士，上海郵電設計咨詢研究院有限公司，工程師；主要研究方向和關注領域：云計算及互聯網信息安全。