云計算安全風險因素挖掘及應對

呂啟文 南京其樂培訓中心

云計算安全風險因素挖掘及應對

呂啟文 南京其樂培訓中心

近些年信息技術迅速發展，云計算就此產生，并在多個行業應用，強有力地推動行業發展。云計算作為全面服務模式，本身影響下造成應用中存在諸多安全風險，嚴重制約云計算技術的發展。本文中詳細分析云計算應用中存在的安全風險因素，以此為基礎給出具體的安全風險解決措施。

云計算 安全風險 應對措施

云計算的出現與應用推動計算機行業發展進步，充分滿足用戶對計算機軟硬件的需求，實現計算機網絡技術的健康發展。但隨著云計算技術廣泛使用，逐漸凸顯出網絡安全問題，如數據丟失、信息泄露等，直接影響云計算技術的發展。充分挖掘云計算應用中存在的安全風險因素，提出行之有效的解決措施，已成為行業重點關注問題。

1 云計算概述

1.1 體系結構

云計算將各式各樣的服務提供給用戶，依據服務類型分成三個層次。其結構體系如1-1所示。

圖1-1 云計算體系結構示意圖

1．1．1 基礎設施既服務

網絡運營商給用戶提供服務，包括計算、存儲等資源，用戶僅需要通過網絡便可以獲得所需的服務資源。

1．1．2 平臺即服務

直接給用戶提供部分應用程度軟件研發平臺。

1．1．3 軟件即服務

運營商在云端將安裝軟件分布，并將其作為服務提供給用戶，用戶同樣可以借助網絡使用相關服務。

1.2 云計算特征

實現資源虛擬化與服務化是云計算最明顯的特征，具體情況為：

1．2．1 資源虛擬化

作為云計算的關鍵技術內容，虛擬技術直接實現資源抽象畫，在統一平臺上整合服務器等基礎設施與網絡整合，系統依據用戶選擇的服務類型分配相對應的資源，給用戶提供強大計算能力與存儲空間。

1．2．2 資源服務化

云計算以服務為出發點，“云端”整合數據、軟件及存儲等資源，用戶通過網絡終端設備既可得到服務，云服務商提供必要的維護與管理支持，保證順利進行。

通過上面兩點可以發現，云服務使用過程中，“云端”保存有一切數據、存儲及應用，也可以說云服務商掌握除用戶之外的所有內容，服務商享有優先訪問數據的權利，產生風險問題不足為奇，因此除了傳統網絡安全問題外，還要考慮云計算特點誘發的風險。

2 云計算安全風險因素分析

2.1 法律法規因素

云計算實際上是一個規模驚人的服務器集群，而這些服務器通常分布在許多不同的國家或地區內。用戶將自己的數據傳輸到云計算平臺，而云計算平臺為確保用戶數據的安全性與完整性，將會把這些數據同時存儲于數個不同服務器之內，而用戶卻不知道自己的數據具體存儲在哪些服務器中。又因為當前云計算缺乏統一的法律法規進行數據管理，即不同國家間的法律法規存在很大的區別。例如，有些數據在這個國家受到保護，但在其他國家卻不受保護，如果出現用戶數據泄露、丟失或者不可用現象，沒有一套統一、全面的法律法規來約束運營商的行為，用戶就借助法律武器維護自己的合法利益，全面保護自身合法權益。

2.2 用戶存在風險

云計算服務一般都是免費的或者按照使用者需求進行收費，而且這些服務內容有著非常明顯的可擴充性，幾乎可以進行無限制延伸擴展。而云計算的提供商對其注冊用戶的身份和背景缺乏足夠的了解和審查，導致任何企業和個人都能隨便使用云服務，更有一些惡意使用者甚至利用云計算提供商監管漏洞進行一些非法活動。例如，因為云計算有著強大的計算性能和能力，有些使用者直接利用云計算平臺惡意攻擊其他平臺，甚至暴力破解，使得云計算平臺使用存在安全隱患。

2.3 服務商內部風險

用戶將數據直接傳輸到云服務平臺，就意味著云服務平臺的供應商在進行平臺運行和建設時對這些數據擁有足夠掌控權。而這些數據都是企業經過嚴密統計、調查、審計出的結果，具有較高的商業價值。而在巨大的利益誘惑面前，如果云服務商在工作人員管理方面出現漏洞，沒有進行嚴格審核工作人員的身份，出現工作人員惡意的破壞或盜取用戶數據，泄露企業機密。另外，如果云計算供應商對工作人員的工作流程和工作權限沒有明確規定或合理分配，就會出現職責混亂現象，導致工作人員安全意識薄弱，容易引起錯誤操作的情況發生。例如，Vefizon公司曾做過一個年度數據泄露調查報告，調查顯示：一半以上的安全事故問題都是因為企業內部工作人員操作失誤而引起的，而另一半則是因為企業對工作人員監管不力而引起的。

3 云計算安全風險因素的應對措施

3.1 構建完善的安全管理體制

云計算是基于傳統技術發展而來，這意味著云計算技術并不缺少技術支持，常見的如身份認證、備份技術、數據機密技術等，這些技術得到人們的重視。正常情況下這些技術足以保障安全。但云計算本身具有的特點，需要結合具體情況應用這些技術，保證高效運行。這就需要運營商可以提供保障計算機安全的具體標準，從基礎角度出發達成控制風險的目的，還要制定標準化。政府與相關部門盡快依據實際情況制定完善的標準，可以保證不同運營商之間進行程序與數據轉移，達成協同工作的目的。分析云計算法律法規現狀，通過制定法律法規規范人們的行為，懲罰違法犯罪行為，保護各方的合法權益，實現云計算行業的可持續發展。

3.2 做好內部管理及第三方評估

針對云計算平臺人員管理和設備管理問題，云服務供應商應制定嚴格的身份審查制度和監督管理機制，供應商管理部門應定期對工作人員進行思想政治教育，提高他們的責任意識和安全保密意識，制定合理的工作流程，對不同業務環節進行嚴格的安全監控，確定各工作人員職責范圍。同時，出臺一系列相關的網絡安全責任條款和懲罰措施，定期安排工作人員對設備進行安全檢查，排除潛在隱患。確保設備安全。

企業在選擇一個云計算服務商的過程中，云計算服務商并沒有給出許多細節的具體說明，如服務器所在地、所采用的技術、運營方式等等，用戶只能盲目地選擇服務。云服務商沒有一個標準供用戶做參考，僅靠運營商和用戶之間的磋商，用戶只能被動受控于服務商，一旦出現問題，用戶往往是受害者。

3.3 提高運行商安全防范水平

3．3．1 加強病毒入侵檢測

入侵檢測技術對于對抗安全漏洞造成的影響也有重要的作用。盡管計算機本身存在一定的防御能力，但這種能力依然存在漏洞，防患于未然更是計算機網絡應用的重要思想。入侵檢測技術是防火墻技術后的第二道放線，防火墻的過濾只能消除部分過于明顯的問題程序，入侵檢測技術對于進一步識別數據的攻擊行為，完善系統的防御系統有現實意義。

3．3．2 選擇合適安全軟件

選擇合適的網絡安全防護軟件，利用安全防護將大部分病毒主動過濾，提高數據庫安全；及時查修漏洞，不斷更新安全補丁，經常查殺關鍵部位的病毒，達成及時過濾與查殺病毒的目的；很多時候并不能有效應對所有病毒，為提高安全性可以做好數據備份工作，利用移動硬盤保存關鍵數據信息，降低病毒感染可能造成的損失；借助計算機加密技術，避免計算機被陌生人使用，有效保護文件安全。

4 結語

總而言之，云計算技術直接推動科技發展與社會進步，因此受到社會各界的關注，安全風險本身就是一個不容忽視的問題。云計算行業想要得到健康、快速發展，就必須重視云計算風險管理工作。本文中以云計算概述為基點，詳細分析云計算安全風險產生原因，并給出具體解決措施。

[1]盧小賓，王建亞.云計算采納行為研究現狀[J].中國圖書館學報.2015(01):23.

[2]王操.云計算安全的發展現狀和趨勢述評[J].網絡安全技術與應用.2015(01):92.

呂啟文，男（1979..8—），漢族，本科，工程師，研究方向：信息管理，籍貫（江蘇省南京市）。