企業云安全面臨的威脅及防護方案

摘 要 隨著信息時代的到來，傳統的信息處理手段及模式已無法滿足企業快速發展需要，基于企業信息數據快速增長的實際情況，考慮企業數據資源應用效率的提高以及存儲的安全性，云計算在企業的應用已是大勢所趨。雖然云計算有諸多優勢，但其發展歷程較短，仍然面臨著諸多實際應用問題，其中安全問題就是一個迫切解決的核心及關鍵問題，文章在簡要概述目前企業云安全面臨的威脅的基礎上，針對性、綜合性的提出一些防護措施，以促進云計算在企業的推廣和應用。

【關鍵詞】企業云 安全 防護 攻擊

1 企業云安全面臨的威脅

一個存儲海量企業用戶數據的云存儲系統，存在著巨大的非法攻擊誘惑，一旦攻擊者通過某種手段攻擊企業云數據系統，將帶來不可估量的經濟損失。目前，企業云安全所存在著普遍性的安全威脅主要包括以下幾個方面：

1.1 數據丟失和泄露

數據安全是企業用戶關注的重點問題，由于數據泄漏會給企業帶來巨額損失，因此，一般會采取相應措施來保證數據的安全性。目前對于企業云數據，一方面攻擊者會通過木馬程序或其他惡意程序來控制客戶端，進而獲取和竄改企業數據。另一方面，因為云服務供應商隔離措施或安全策略的不當，也有可能導致數據丟失或信息篡改。

1.2 網絡攻擊

在云環境中，應用程序基本上是在網絡上進行的，這就間接催生了網絡攻擊頻繁性和危害性，網絡攻擊主要有以下兩種類型。第一種是賬戶劫持。在云環境中，攻擊者利用釣魚網站或軟件漏洞來攻擊企業用戶，進而獲取用戶賬號及密碼信息，這樣就可以使用被竊取的賬號密碼登陸云計算系統，竊取或竄改企業用戶云中的各類機密性數據，給企業帶來巨大的損失。第二種是拒絕服務攻擊。通過應用層DDOS攻擊等方式阻止企業用戶對云服務的正常訪問，這樣就會導致正常操作浪費大量的系統資源，如內存、硬盤空間和網絡帶寬等，降低云計算服務器的反應速度，也使企業用戶由于資源的大量消耗而蒙受經濟損失。這種攻擊能夠實現很大程度上是由于企業用戶數據中心沒有做好針對性的安全防范措施。

1.3 技術漏洞

由于云技術發展歷程較短，其共享的平臺組件及應用程序還存在著一些安全漏洞，這比其它安全問題更為危險和致命，嚴重情況下會導致整個云計算系統癱瘓。另外，云計算資源的虛擬化特征會給傳統安全策略在整個虛擬網絡的全面應用造成阻礙，虛擬化會增加認證的困難，惡意代碼和病毒更容易傳播，安全問題產生的機率也就更大。

2 企業云安全防護方案

基于上述企業云安全面臨的威脅的主要威脅，可以通過以下綜合性的安全防護技術措施來提高企業云安全性能。

2.1 云平臺物理安全

物理安全是云計算系統的第一道安全防線，首先是環境安全的保障。溫度、濕度等環境因素會影響云計算系統的穩定運行，因此，減少環境風險是企業云安全防護的基本前提。云服務提供商要通過各項措施來保證運維環境的安全性，除了安設一些必不可缺的設備外，如溫度和濕度控制器、自動滅火系統等。還應配備支持特定環境的設備，如不間斷電源等，以應對各種突變的自然環境。其次是設備的維護。為了保證設備的長期不間斷運行，需要定期維護設備，并詳細記錄維護過程中所遇到的各種疑似故障及實際故障。最后是網絡設備的配置。云計算系統整體設備性能的提高是安全防護的關鍵，特別是網絡設備。應配置多臺交換設備，網絡設備與網絡鏈路應有冗余備份。某一設備發生故障時應具備自動恢復功能，且企業網絡應具有訪問控制、安全檢測、監控、報警、故障處理等功能。主機設備的核心應采用多機負載模式，某個主機若存在故障，其它主機仍能正常運行，同樣服務器設備電源、風扇等也應采用冗余配置。

2.2 云平臺訪問控制

首先是網絡安全訪問控制。云平臺和企業用戶之間采用路由控制方式，通過安全訪問路徑的構建提高網絡安全。避免在網絡邊界處安置重要網段，應對二者進行有效隔離。且利用防火墻、IPS、ACL等技術在重要業務網段邊界進行隔離。具體而言主要可以采取以下措施來控制云平臺網絡：限制管理終端訪問網絡設備；設置安全的訪問控制，過濾蠕蟲的常用端口；關閉不使用的端口；關閉不必要服務，如FTP、TFTP服務等；修改BANNER提示，避免默認BANNER信息泄露系統平臺及其他信息。其次是邊界防護。清晰界定和綜合防護系統邊界，科學劃分系統內部區域，加強便捷訪問控制，增加訪問控制配置，并使用防火墻等訪問控制設備對高安全等級區域進行邊界防護。最后是防火墻安全訪問控制。在防火墻上配置常見病毒和攻擊端口的ACL過濾控制策略，防止發生病毒或蠕蟲擴散，影響核心設備正常工作。

2.3 云安全數據庫及配置安全

對于云數據庫，應采用C2以上安全控制標準及多層次安全控制原則。操作系統軟件應能根據任務合理地分配系統資源，避免由于資源枯竭而停機。軟件系統應具備良好的容錯能力，保證某一進程故障的出現不會影響其它進程的運行，且能自動進行升級，并具備自動恢復功能，使系統在故障情況下能快速自動恢復。

2.4 云安全監控

云安全監控的目的是確保云平臺的可用性，是安全防護過程中不可或缺的。首先是日志監控。通過監控系統的輸出日志來監控相關事件。其次是性能監控。通過監控網絡、系統以及應用等內容，保證云計算平臺的穩定運行，一旦平臺發生了故障，能迅速報警。

2.5 云安全審計

云安全審計包括日志收集、數據庫審計、網絡審計等。云服務提供商需要部署網絡和數據審計措施，對網頁內容、郵件內容等敏感信息進行審計；完善地記錄其日志信息，建立良好的審核機制，并合理地整理相應的目志記錄，增強違規事件發生之后的審查能力。

3 結語

企業云安全面臨的威脅是復雜多樣的，必須針對各類安全問題采取有效性的安全防護策略，進而保證企業的各類數據信息安全，同時也能促進云計算機系統在企業的推廣和應用。

參考文獻

[1]聶亞偉.企業網絡安全解決方案研究與設計[D].邯鄲：河北工程大學，2014.

作者簡介

李常福（1973-），男，河南省信陽市人。大學本科學歷。中級職稱。主要研究方向為信息安全及云計算。

作者單位

鄭州市中心醫院 河南省鄭州市 450000