大數據時代的云安全問題研究

羅遠哲 王玲潔 李冠蕊 李雪茹

（1．北京市高速公路智能交通工程技術研究中心，北京 100000；2．北京中超偉業信息安全技術股份有限公司，北京 100085；3．基于云平臺的WEB頁面安全防護系統北京市工程實驗室，北京 100081）

云計算，顧名思義是平臺作為服務PaaS、軟件作為服務SaaS、基礎設施作為服務IaaS等概念結合并且提升使用，它是并行計算、分布式計算以及網絡計算發展的結果。由于其耗費的人力、物力較少，所需場地面積也較少，所以有著較高的價格優勢。在服務上也較傳統計算更為便捷和快速，用戶體驗滿意度很高。但是，云計算也具有自身不可避免的缺點。由于云計算技術的發展不成熟等原因，常常遭受不法分子的惡意侵害。其中最具代表性的是云計算安全中的數據泄露、虛擬機逃逸以及APT寄生蟲問題。

1 數據泄露

正如一間裝滿商品的商店容易遭受罪犯的襲擊一樣，云安全中最易受到威脅的便是儲存有大量數據信息的云服務器。其中，云提供商成為眾多黑客眼中的裝滿商品的商店。既然云服務器的數據這么容易受到黑客的青睞，那么對它們進行再多的保護也是不為過的。但是相比于傳統數據中心的安全防護，云服務器的信息安全防護問題更為復雜。由于云服務器具有共享的特性，眾多的租戶都可以利用云服務器來進行業務往來和信息獲取。但是由于每個租戶之間具有諸多的差異性，在進行區別過程中會耗費大量的時間，這就給云服務器的安全防護帶來了大量的工作，耗費大量的時間，降低用戶的體驗感受。同時云環境中沒有物理環境中那么清晰明確的邊界劃分，所以，對于內部的攻擊是缺乏防御能力的。正是由于這種種原因，云安全問題與傳統數據安全問題有著本質的區別。傳統的防火墻、IDS手段等不再適用于云安全問題。面對云安全問題，可以采取以下一些手段進行云計算數據的安全和保護工作。例如，可以引進一種先進的入侵防御系統來進行數據的保護以及止損，即IPS技術。相比于IDS技術，IPS是設計防火墻與私人網絡之間的。在接收到惡意流量的攻擊時，IPS可以在攻擊擴散到其他網絡之前進行攔截，阻止惡意攻擊進入網絡的其他區域。當然，還有用戶認證與授權、數據的隔離、機密和保護等手段，都可以達到保護云計算數據信息的安全，防止云安全問題的發生。

2 虛擬機逃逸

虛擬機是指將主機的信息保存并且隔離起來的一種媒介手段，它可以幫助主機儲存和保護重要信息。雖然這是一

種有效的信息保護手段，但是也由于其儲存的信息極具價值而時時受到威脅和攻擊。其中，虛擬機逃逸問題就包含諸多的形式，例如，Hypervisor訪問權限問題、AVM2中暴露的ABC驗證缺陷問題等。由于近年互聯網的不斷普及，人們利用互聯網進行溝通和交流的形式不斷增多，信息安全問題也變得嚴峻。特別是近年來Flash Player 在各個領域的不斷應用，為人們生活帶來樂趣的同時也帶來了更多的風險。本文就AVM2模型中關于ABC驗證缺陷對于虛擬機逃逸造成的問題加以論述和分析。AVM2模型中虛擬機逃逸問題流程如圖1所示。

圖1 AVM2模型中虛擬機逃逸問題流程

圖1 是結合AVM2宿主環境漏洞產生的情況來分析虛擬機逃逸問題流程的，圖中顯示當畸形輸入數據是在AVM2啟動之前輸入的，造成的漏洞以及之后的惡意字碼序列都是無法通過的，只有在手動調整后才能放置到SWF中去。由于這樣的宿主環境漏洞特性，可以結合AVM2的ABC驗證缺陷來進行改良和加以使用。例如為AVM2開發系統支持的硬件設施，優化AVM2的環境因素；及時更新瀏覽器，提高自身電腦的安全性。其中IE8是不錯的選擇，就目前AVM2出現的逃逸漏洞問題，它都可以較為完善地解決。

3 APT（高級持續性威脅）寄生蟲

APT寄生蟲對于云安全最大的威脅是在于其較強的潛伏性和持續性。其中，APT寄生蟲的潛伏性是指其可以在寄生的用戶環境中潛藏一年甚至更長的時間。在此期間，APT寄生蟲會利用自身的特性來進行用戶信息的收集工作。這些被非法收集到的信息最終會被黑客用于攻擊用戶自身。而其持續性是指APT寄生蟲在用戶環境中潛伏的過程中可能是不被任何人知曉的。由于無人察覺，APT寄生蟲可以肆意地對用戶網絡進行惡意攻擊直到達成自己的目的。由APT寄生蟲這兩個危險的特性，如果想要對其進行一定的控制，必須從檢查和防御兩個環節入手。而從這兩個環節，可以衍生出5種不同的防御形式，如圖2所示。

圖2 5種防御形式

如圖2所示，由檢查和防御環節衍生出五種不同的防御類型，分別是網絡流量分析、網絡入侵取證、工作負荷分析、終端行為分析以及終端入侵取證。它們分別對應著不同時間以及來源的APT寄生蟲的威脅。其中，網絡流量分析是針對利用僵尸網絡進行攻擊的防范模式，適用于正常流量模式。網絡入侵取證則是在發生信息泄露等問題時使用的一種防范模式。通過分析和調查數據包帶有的信息含義來推測APT攻擊的可能過程，提前做出防范和預判。工作負荷分析則是使用沙箱工具對主機中文件對象進行分析和標記的方法?；诮K端的兩種方法則是在獲取了APT位置信息后進行的配合性防御模式。兩者可以通過實踐和角度的不同來進行互相配合和補充。

4 結語

通過分析大數據時代中云計算存在的安全隱患，愈發意識到信息安全對于云計算的重要性。為了更好地利用云計算來進行商業活動或者個人實踐活動，首先需要解決的便是云安全問題。通過研究云安全面臨的種種網絡威脅和本身的技術漏洞，可以更好地改進和提升已有的防御措施。在提升云安全指數的同時讓更多的學者意識到云安全對于每個人的重要性，更好地去研究和完善它。