云計算平臺安全體系及安全應對措施

黃倚霄

摘 要：隨著云計算平臺及技術的迅速發展，其被廣泛運用到我國各行各業中，也改變了我們的日常生活，我國政府及學術界也越來越關注云計算技術，在此基礎上云計算在應用中的安全問題也成為了我國民眾所關注的重點。該文就對云計算平臺安全體系進行分析，結合云計算平臺的特點，對云計算中要面臨的各種安全問題制定了一系列的應對措施，從而使云計算在運用中可以更加安全和高效。

關鍵詞：云計算平臺 安全體系 安全應對

中圖分類號：TP399 文獻標識碼：A 文章編號：1674-098X（2017）01（c）-0127-02

在2012年，溫總理在召開國務院會議的時候，對信息工作進行了闡述，并且研究了信息技術的發展趨勢及信息技術的安全問題，最終確定了信息技術工作的重點內容：保障信息網絡的安全管理及防護。在發展迅速的社會中，云計算作為一個新型技術也在快速發展，也是我國互聯網今后的發展趨勢，安全問題是云計算用戶在使用過程中第一考慮的因素，云計算是否能夠實現全面安全也是云計算在推廣及可持續發展中的重要因素。

1 云計算平臺體系分析

云計算平臺詳見圖1[1]，從圖1中可以看出云計算平臺安全體系由兩部分組成，分別是基礎設備及遠程終端，運程終端又包含計算終端和智能終端?；A設備包含虛擬化層、維護管理層、平臺服務層、軟件服務層及基礎支撐組成。

2 云計算平臺安全分析

自從虛擬化、多租戶等全新的技術引入云計算平臺中，云計算平臺的安全特點就有：其一，由于云計算平臺中的用戶多種，就要保障云計算平臺的服務可以永續性；其二，云計算平臺中有多種信息，就要保障云計算平臺中的數據安全；其三，云計算平臺是為用戶提供不同的服務，就要保障各用戶之間的安全及運行環境的安全；其四，不同等級對云計算平臺中的安全需求是不同的，就要保障虛擬機之間的安全。

2.1 虛擬化安全

虛擬化層的安全隱患主要有5個方面：其一，虛擬機的監控漏洞，對方往往會利用漏洞攻擊云計算平臺；其二，沒有對鏡像及快照文件實施保護，此方面的安全性關乎到發布鏡像后，使用用戶信息的安全性；其三，虛擬機在工作的時候，會由于本身的負載失衡或者自身存在的安全問題等多方面因素，在虛擬機向物理機移動的過程中，可能會存在數據信息泄露的風險；其四，隨著云計算的不斷進步，傳統對流量監控的手段已經滿足不了虛擬機網絡流量監控需求，這就造成對虛擬流量監控方面非常困難；其五，傳統的審計宿主機的方式已經不適用于審計虛擬主機的方式，這就造成對虛擬機審計方面的監管較為困難。

信息資源存儲方面的安全風險主要類似于SAN技術的虛擬化存儲技術方面的安全問題，包括虛擬化存儲設備中的軟件/硬件問題和信息在網絡中的接受和傳送等安全問題。

2.2 數據存儲安全

數據存儲的安全隱患主要有3個方面：其一，用戶將數據信息存放到云端中，數據信息沒有較好的安全性及完成性，就會對其造成安全風險，這也是由于用戶對數據信息沒有一個較好的管理程度；其二，在模擬多租戶的背景下，用戶可以實現資源共享及計算，在此過程中切換用戶的時候，用戶在資源共享的數據信息就有可能泄露，以此對其造成風險；其三，由于是模擬多租戶的環境，所以傳統的審計數據沒有辦法滿足云端審計數據的需求。

2.3 基礎軟/硬件安全

在云計算平臺安全體系中，要密切注意存在軟/硬件中的預埋后門風險、（芯片、CPU等）硬件風險、（應用軟件、開發軟件、開發工具等）軟件風險。

2.4 終端安全

在云計算平臺中，由于終端具有不同的設備及不同的類別，這就大大加強了對接入和認證控制方面的難度。另外終端和服務器之間主要是對鍵盤、圖形、鼠標、輸入/輸出信號等信息進行傳輸，除了對遠程連接方面有安全協議，對于其他符合國家密碼法的信息傳輸等方面并沒有制定保護措施或者安全協議，這造成了這方面存在被修改、竊聽等安全問題。同時終端還具有計算和緩存功能，在進行信息加密傳輸的過程中，就不能確定信息是否被緩存保存，這就使信息有泄露安全風險。

2.5 Paas和SaaS運行安全

云計算平臺中的管理員有存儲、緩存、計算等權利，這就會造成云計算管理員權利受到他方控制的安全隱患。其次在Paas和SaaS運行的過程中，各租戶與各租戶之間及各租戶與基礎設備之間并沒有科學有效的訪問及隔離控制手段，這就可能會使各租戶或者基礎設備造成他方對其的肆意破壞及攻擊等安全風險。最后在虛擬化背景下，相同的物理服務器中的節點具有不同的虛擬服務器，所以對兩者的區分會有較大的難度，這就造成有多種安全保護的用戶會受到訪問限制等一系列的挑戰[2]。

3 云計算平臺安全應對措施

針對云計算平臺中虛擬化安全、數據存儲安全、基礎軟/硬件安全、終端安全及Paas和SaaS運行安全，應該采取以下措施，以此使云計算平臺可以有一個安全的運行環境。

3.1 虛擬化安全應對措施

虛擬化存在5種安全隱患，所以也要有5種應對措施。其一，要定期對云計算平臺進行漏洞風險掃描、修復、升級等，及時發現漏洞并且及時對其進行解決；其二，對于鏡像、快照文件進行加密存儲，保障其是完整且具有機密性的；其三，可以在虛擬機向物理機移動的過程中進行加密技術或者限制權限等技術，防止其中的文件、信息等被惡意篡改和非法訪問等；其四，可以在虛擬網絡流量監控中使用虛擬標記和審計措施，實現對其的實施監控；其五，首先要全面了解虛擬化環境中的審計監管，對于虛擬化網絡及虛擬化硬件資源方面采取細致的審計措施，保障對虛擬機的監控是實時且有效的。

3.2 數據存儲安全應對措施

數據存儲中存在安全隱患，所以也要采取3種應對措施。其一，使用數據加密或者磁盤加密等加密措施，使云計算平臺中存儲的數據具有完整性及機密性；其二，對于數據的殘留，可以對其進行銷毀，有效地整理數據，使數據不被泄露；其三，提高數據處理、使用、銷毀的周期，為之后的數據審計打下良好基礎。

3.3 基礎軟/硬件安全應對措施

對于軟/硬件后門風險，可以使用國產CPU、芯片或者國產化的軟件來研究及開發云計算平臺，防止軟/硬件安全隱患的發生。

3.4 終端安全應對措施

首先可以對終端進行統一有效的接入授權，然后針對終端在傳輸過程中發生的泄露信息的風險，對遠程傳輸協議實施安全加固，使用國家規定的密碼算法對信息傳輸進行保護，使其具有完整性及機密性。最后可以使用物理斷電對終端中殘留的敏感信息進行清理，使信息徹底消除，降低信息泄露風險。

3.5 Paas和SaaS運行安全應對措施

首先可以對云計算平臺中的管理員及虛擬機的管理員進行控制和分配權限。其次使用虛擬機隔離、進程隔離等隔離方式對各租戶之間進行有效隔離，限制各租戶之間的訪問，降低各租戶的信息泄露風險。最后可以重新構建安全芯片，使用密碼隔離對同一物理機上存在的風險進行安全隔離[3]。

4 結語

隨著云計算技術的不斷發展，被廣泛運用到我國各行各業中，云計算技術也改變著我們的日常生活。云計算平臺在發展的過程中也會面臨著不同的安全問題，所以就要對這些問題制定相應的措施，這也是使云計算技術可持續發展的有效途徑。

參考文獻

[1] 徐宗標.云計算平臺安全體系及應對措施[J].電信技術， 2014（2）：36-39.

[2] 姚永暉，張韜.基于云計算平臺設計的一種安全體系架構[J].廣播與電視技術，2011，38（9）：118-123.

[3] 張彥超，趙爽.基于云計算的電子政務公共平臺：安全風險與應對策略[J].電信網技術，2014（2）：44-47.