淺談云架構下的數據安全

汪艷 李雪竹

【摘 要】云計算是一種基于互聯網服務的全新計算架構，在各行各業的信息化建設中被越來越多地采用。網絡信息安全問題不僅是云計算需要解決的首要問題，也是云計算未來發展的關鍵性因素。文章主要介紹了云計算的概念及發展，對云計算體系架構進一步細化，進而分析云計算存在的網絡信息安全威脅，并提出可操作性的云計算網絡信息安全對策。

【關鍵詞】云計算；體系架構；網絡信息安全

一、引言

云計算是在互聯網技術支持下形成的一種全新計算架構，隨著互聯網技術的普及，各行各業的信息化建設中云計算的身影出現的越來越頻繁。而云計算涉及到大量的信息，必須做好安全防護，才能保障自身利益不受損。但目前，云計算安全問題頻出，影響了其可持續發展。為此，本文對云計算架構的網絡信息安全進行了深入探究，細化云計算架構，有針對性的分析潛在的安全風險，并探究可行、有效的安全對策。

二、云計算架構體系

云計算基礎架構體系主要由管理層和服務層構成。

1）其中服務層主要以提供用戶基于云的各種服務為主，共包含3個層次。其一是Software as a Service（軟件即服務），簡稱SaaS，這層的作用是將應用主要以基于Web的方式提供給客戶；其二是Platform as a Service（平臺即服務），簡稱PaaS，這層的作用是將一個應用的開發和部署平臺作為服務提供給用戶；其三是Infrastructure as a Service（基礎設施即服務），簡稱IaaS，這層的作用是將各種底層的計算（比如虛擬機）和存儲等資源作為服務提供給用戶。從用戶角度而言，這3層服務是獨立的，因為它們提供的服務是完全不同的，而且面向的用戶也不盡相同。但從技術角度而言，云服務的這3層是有一定依賴關系的。比如，一個SaaS層的產品和服務不僅需要用到SaaS層本身的技術，而且還依賴PaaS層所提供的開發和部署平臺或者直接部署于IaaS層所提供的計算資源上，而PaaS層的產品和服務也很有可能構建于IaaS層服務之上，三者相互依存，不可或缺，同時服務層所包含的三個層次又由不同的方面所構成（具體層次分類如圖1所示）

2）在管理層方面，主要以云管理層為主，它的功能是確保整個云計算中心能夠安全、穩定地運行，并且能夠被有效管理，云管理層共有9個模塊，這9個模塊可分為3層，它們分別是用戶層、機制層和檢測層。（具體分層情況如圖2所示）

三、云計算架構下的網絡信息安全隱患

在云計算的架構下，雖然信息的整理和分析更加高效準確，但是其中也存在著較大的安全隱患，具體表現在如下：

（1）物理與環境造成的安全威脅。物理與環境威脅不可避免，與其它信息系統一樣，在遭受水災、火災、被盜、雷擊、地質災害、非授權進入等物理與環境威脅后，云計算內部信息都會受到威脅。而且云計算環境中，數據的存儲位置通常無法通過服務端進行控制，一旦其位置處于境外，數據管理、控制的主動權將不再掌握在云計算服務中[1]。

（2）網絡與通信造成的安全威脅。與傳統信息系統相同，云計算也將應用系統存放在云端，這樣當云計算平臺出現異常與故障時，將無法正常提供云計算服務，從而耽誤用戶使用。而在通常情況下，網絡終斷情況的出現，也會到云服務無法正常使用。在這些無法正常使用的情況下，DDoS攻擊就會成為云計算平臺的直接威脅，不法分子、黑客利用DDoS進行攻擊，主要攻擊云計算服務的關鍵性操作，從而導致平臺內部大部分系統資源被浪費，如硬盤空間、內存等，而云計算本身也利用了虛擬技術，服務器反應速度降低后，存儲設備等計算資源會生成新的組織結構，也就是重新產生資源池，這樣網絡結構的正常邊界被打破，無法保護其內部信息與資源的安全[2]。

（3）設備與計算造成的安全威脅。云計算是一種按需付費的服務平臺，其內部資源與空間會有多租戶共享，但如果系統之間無法保障資源調度的合理性，那么系統可能會因資源過量影響資源調度效率，并經常與其它系統出現交叉使用的情況[3]。甚至出現用戶間隔離失效的問題。這樣云服務中的客戶可以隨意對其他客戶的云服務進行入侵，做出干擾行為，影響其它用戶的正常使用。另外，這樣的情況下，也可能出現不法分子繞開隔離措施，直接對用戶的云服務系統進行破壞與干擾。

（4）應用于數據造成的安全威脅。在云服務系統運行中，其數據內容會存儲到云計算環境中，但平臺的運營維護需要服務商來完成，如果在運維管理環節出現惡意破壞或錯誤操作的問題，也會導致云服務系統中出現信息丟失、信息泄露信息篡改等問題。同時，一旦云計算服務平臺的規模擴大，其目標范圍也擴大，更容易受到攻擊，遭受攻擊后，信息的安全將無法得到保障。

四、云計算架構下的網絡信息安全對策分析

（一）注重云計算網絡環境的安全性

保護云計算網絡環境的安全性，首先要做到的是注重云計算網絡環境的安全性，引起重視，并采取有效的措施對其進行有效的處理，為其構建一個安全穩定運行的網絡環境，對系統進行更加安全的維護。減少軟件中的漏洞，制定并運用防范網絡信息安全問題出現的一系列措施，對網絡信息進行多級防范，設置多重身份認證，盡可能避免惡意攻擊者對網絡信息做出修改，防止惡意代碼的入侵，只有在權限內的人才有權對網絡信息進行訪問以及使用。而對于云計算架構中惡意代碼入侵，我們采用①自動監測系統主要由STM32主控板、傳感器、指南針模塊、信號調節電路、數據轉換模塊等模塊組成的系統進行監測，一旦發現，立即停止云計算相關操作，維護好云計算系統安全。（具體系統設計的參數如表1所示）

②利用系統所用的傳感器電路都已模塊化，監測到的信號輸出為高低電平，可以實現直接與ARM芯片的通信，通過對云計算構架中的數據信號進行濾波放大和A/D轉換，從而實現對云計算構架中信號的預處理，在此基礎上，對云計算構架中信號進行監測，確定云計算環境下惡意代碼入侵信號，完成對惡意代碼入侵的自動監控。如圖3所示。

（二）提高云計算的數據存儲的安全性

對于云計算的數據安全存儲問題，最有效的方法是對數據采取加密。其中包括：對象存儲加密和卷標存儲加密。在對象存儲加密中，可以將對象存儲系統配置成為加密狀態，由系統默認為所有數據加密。若對象存儲是共享資源，則除了將對象設置為加密狀態外，單個用戶還應采用“虛擬私有存儲”技術進一步提高個人數據安全，即數據加密的密鑰由自己掌握，其他用戶即使是網絡管理員也無權擁有。而另一種數據安全存儲的解決方案是卷標存儲加密，包括兩種途徑：一種是對實際的物理卷標數據進行加密，用戶卷標在實例化過程中完全透明；另一種是采用特殊的加密代理設備，一般是云計算環境中的虛擬設備，通過串行的方式實現計算實例與物理存儲之間的透明數據加密。

（三）提高云計算環境下網絡用戶的安全意識

要想保護云計算計算架構下網絡信息安全，還應提高用戶自身在云計算環境網絡下的安全意識。提供用戶自身的安全意識的措施主要有：（1）時刻保持對網絡信息安全警惕性，提高用戶對于網絡安全的認知；（2對計算機設置高級別的密碼，提高用戶個人信息的保密性；（3）用戶對信息設置多重認證，如：指紋認證、人臉識別等；（4）盡量不使用公共網絡，防止自身的數據發生丟失的情況；（5）對信息做好備份，避免信息的丟失。除此之外，還需要選擇信用額度較高的用戶來進行相應的商家服務，在這一情況下，還需要對價格、服務質量等進行一個較為充分地考慮，這樣才能夠有效保證其本身服務的質量。

五、結語

目前，云計算技術已經逐步成熟，也在日漸被市場接受并得以應用。云計算改變了用戶對計算資源的使用方式，使得用戶從以“自建系統+ 桌面”為核心轉向以“遠程應用+Web”為核心。隨著云計算技術的發展，其網絡信息安全協議及標準也必將逐漸完善，網絡安全策略也會日趨成熟，必將會為未來的廣大互聯網客戶帶來更加安全、穩定、高效運行的新興的技術平臺。

【參考文獻】

[1]孫紅梅，賈瑞生.大數據背景下企業網絡信息安全技術體系研究[J].通信技術，2017.27（2）：334～339.

[2]石悅，李相龍，戴方芳.一種基于屬性基加密的增強型軟件定義網絡安全框架[J].信息網絡安全.2018，30（1）：15～22.

[3]王剛.一種基于 SDN 技術的多區域安全云計算架構研究[J].信息網絡安全.2015，25（9）：20～24.

[4]郭俊英，劉衛明，張明明，劉天琪.云計算架構的網絡信息安全對策分析[J].通信設計與應用，2018.4.23 .1006-4222（2018）05-0109-02.

[5]郭雅，駱金維，李泗蘭.云計算架構中惡意代碼入侵自動監測系統設計[J].設計與應用，2018.1671—4598（2018107—0128—04.

[6]周靖哲，陳長松.云計算架構的網絡信息安全對策分析[J].2017.1671-1122（2017）11-0074-06.

[7]吳昊宇.云計算架構下網絡信息安全分析[J].大數據·云計算.130.