云計算環(huán)境下的安全形勢分析和防范

梁樂宏

摘要：當今時代，信息技術(shù)突飛猛進，以云計算為代表的第三次信息革命浪潮在逐漸改變著人們生產(chǎn)生活、商業(yè)和政務管理模式，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計算技術(shù)得到各界的普遍應用，云計算在減少企業(yè)成本和提升IT靈活性的同時，也面臨著一系列安全威脅和挑戰(zhàn)，隨著大量數(shù)據(jù)進入云端，商業(yè)機密及個人信息成為不法分子覬覦的首要目標，研究云計算的信息安全問題和防范策略，有助于進一步完善云安全保障體系，保障網(wǎng)絡信息安全。

關鍵詞：云計算;信息安全;安全策略

中圖分類號：TP391? ? 文獻標識碼：A

文章編號：1009-3044（2019）27-0032-02

隨著云技術(shù)的推廣應用，社會政治、經(jīng)濟、文化等各個層面都深度融入云服務當中，云計算服務作為一種開放、便捷和經(jīng)濟的新服務業(yè)態(tài)，在優(yōu)化資源配置，降低應用成本，提高信息服務水平的同時，伴隨的安全形勢也愈加嚴峻，信息安全成為一個不可回避的問題。深入了解云技術(shù)和安全形勢，采取有效的安全策略，保證云技術(shù)中的管理安全、數(shù)據(jù)安全和應用安全，是云時代一個重要課題。

1 云計算概念

云計算基于互聯(lián)網(wǎng)和分布式技術(shù)，把分布在網(wǎng)絡上的大量的軟件硬件計算資源，抽象成功能強大的計算機資源共享池（資源包括網(wǎng)絡，服務器，存儲，應用軟件，服務等）企業(yè)和用戶能夠像使用本地資源一樣，通過相應的接口即可使用云端的資源而不需要部署，就像我們?nèi)粘Ｊ褂米詠硭粯又苯雍唵巍谋举|(zhì)來說，云計算是一種互聯(lián)網(wǎng)上的軟硬件和數(shù)據(jù)的商業(yè)化應用。專業(yè)供應商負責云端資源的管理和提供云計算的服務，用戶通過相應接口登錄，付費調(diào)用相關的服務。

云計算的主要服務形式：基礎設施即服務（IaaS），消費者通過互聯(lián)網(wǎng)從云端獲取到諸如服務器，網(wǎng)絡，存儲及應用軟件等完善的計算機基礎設施服務;平臺即服務 （PaaS）： 指將軟件研發(fā)的平臺作為一種服務，開發(fā)工具位于云中，開發(fā)者通過網(wǎng)絡即可以構(gòu)建網(wǎng)絡應用程序而無需再自己電腦上部署平臺工具;軟件即服務（SaaS）：用戶無需購買軟件，而是通過隨用付費獲取部署在云端上的軟件資源功能和服務，相當于軟件租用。

2 云計算的主要安全問題

云計算是基于網(wǎng)絡的共享資源模式，和傳統(tǒng)的計算模式相比，具有開放性、分布式存儲、無邊界、虛擬性、多租戶等特點，基于這些技術(shù)特點，使犯罪分子有機可乘。云中包含大量軟件和服務，海量的重要用戶數(shù)據(jù)，對攻擊者來說具有更大的誘惑力，因此，云計算的安全性面臨著比以往更為嚴峻的考驗。主要體現(xiàn)以下方面：

2.1 數(shù)據(jù)泄露

人為錯誤、應用程序漏洞及安全管理不當造成某些不適合公開發(fā)布的信息，包括政府企業(yè)的重要數(shù)據(jù)和個人敏感信息、商業(yè)秘密等的泄漏。

2.2 身份憑證管理不善

身份憑證管理不善致使網(wǎng)絡犯罪分子獲得合法的身份、憑證或密鑰，從而可以讀取、修改和刪除數(shù)據(jù)，或者取得平臺管理功能，窺探、盜取用戶數(shù)據(jù)和發(fā)布惡意軟件。

2.3 不安全的接口

客戶通過平臺用戶界面（UI）或API來管理和與云服務交互。犯罪分子通過欠安全的接口可以配置、管理和監(jiān)控云服務，從而獲取數(shù)據(jù)。

2.4 系統(tǒng)漏洞

操作系統(tǒng)組件中的漏洞是所有服務和數(shù)據(jù)面臨的主要風險。云端中來自不同組織和用戶的系統(tǒng)彼此靠近，共同訪問共享內(nèi)存和資源，從而產(chǎn)生新的攻擊風險。

2.5 賬戶劫持

攻擊者通過賬戶劫持獲得訪問權(quán)限，竊聽活動和交易，操縱數(shù)據(jù)，返回偽造的信息并將客戶重定向到非法的站點，攻擊者盜用憑證可以訪問云計算服務的關鍵區(qū)域，從而危及數(shù)據(jù)安全。

2.6 內(nèi)部人士蓄意破壞

懷有惡意的內(nèi)部人員（如系統(tǒng)管理員）可以訪問潛在的敏感信息，可以更多地訪問更重要的系統(tǒng)，并最終訪問數(shù)據(jù)。

2.7 高級持續(xù)性威脅（APT）

高級持續(xù)性威脅（APT）是一種蓄謀已久的網(wǎng)絡攻擊形式，APT通過隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)，它在目標公司的IT基礎設施建立立足點，通過數(shù)據(jù)中心網(wǎng)絡橫向移動，并與正常的網(wǎng)絡流量融合，從中竊取數(shù)據(jù)。

2.8 數(shù)據(jù)丟失

云計算服務提供商的意外操作、火災或地震等自然災難導致客戶數(shù)據(jù)的永久丟失。

2.9 濫用及惡意使用云服務

安全性差的云服務和免費的云服務等產(chǎn)生的安全威脅。攻擊者可利用云計算資源來定位用戶或云計算提供商。常見的有分布式拒絕服務攻擊、垃圾郵件和網(wǎng)絡釣魚攻擊等。

2.10 拒絕服務（DoS）

拒絕服務（DoS）攻擊通過強制目標系統(tǒng)消耗大量計算資源，如處理器能力、網(wǎng)絡帶寬、內(nèi)存、磁盤空間或從而導致系統(tǒng)性能下降，用戶無法訪問服務。

2.11 共享的技術(shù)漏洞

云計算服務提供商通過共享基礎架構(gòu)，平臺或應用程序來擴展其服務，其底層組件可能并未設計成為多租戶架構(gòu)，不能有效保護用戶隱私。

3 云計算安全策略

3.1 加強政府的職能監(jiān)管

為了確保云安全，監(jiān)管部門應健全相關法律法規(guī)和相關技術(shù)標準，進而實現(xiàn)對云計算環(huán)境的審計與監(jiān)督，除了日常監(jiān)管之外，還應對云計算服務的可用性、安全性等方面進行嚴格的審計和評估，從而確保云計算服務商的服務質(zhì)量。

3.2 提高云商的安全意識

云服務提供商作為服務的管理者和提供者，應從安全性、隱私、合規(guī)性以及服務的可持續(xù)性等方面做保障，完善物理安全，網(wǎng)絡安全，主機安全，應用安全，數(shù)據(jù)安全，備份恢復等方面的技術(shù)管理能力，完善安全管理機構(gòu)，人員安全管理，安全管理制度，安全系統(tǒng)建設，系統(tǒng)運維管理等管理方面的水平。

3.3 提高用戶信息安全素養(yǎng)

用戶應提高信息安全自主保護意識，了解病毒和信息安全形勢，信息安全技術(shù)等相關知識，盡量避免使用自己生日、電話、身份證號等關鍵數(shù)據(jù)作為登錄密碼，養(yǎng)成定期對重要信息進行加密、備份，進行病毒掃描查殺，養(yǎng)成文明上網(wǎng)的習慣等，一旦發(fā)生信息安全問題，能及時采取合理手段維護自己的權(quán)益。

3.4 加強技術(shù)保障措施

（1）基礎設施安全技術(shù)

基礎設施包括服務器系統(tǒng)、域名系統(tǒng)、網(wǎng)絡管理系統(tǒng)、網(wǎng)絡路由系統(tǒng)、局域網(wǎng)和VLAN配置等。主要的安全措施有安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等。考慮到業(yè)務持續(xù)性和可靠性，還應進行雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass等，實現(xiàn)基礎安全防護。

（2）數(shù)據(jù)安全技術(shù)

除了對數(shù)據(jù)加密外，還需要應用現(xiàn)有的安全技術(shù)，遵循健全的安全實踐，對各種防范措施進行全盤考慮，建立起一道彈性的屏障。主要安全措施包括對不同用戶數(shù)據(jù)進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術(shù)措施等，從而保障數(shù)據(jù)的保密性、完整性、可用性、真實性、授權(quán)、認證和不可抵賴性。

（3）虛擬化安全技術(shù)

虛擬技術(shù)有許多種，最常用的是虛擬機（VM）技術(shù)，需考慮VM內(nèi)的進程保護，此外還有Hypervisor和其他管理模塊這些新的攻擊層面。可以采用的安全措施有虛擬鏡像文件的加密存儲和完整性檢查、VM的隔離和加固、VM訪問控制、虛擬化脆弱性檢查、VM進程監(jiān)控、VM的安全遷移等。

（4）身份認證與訪問管理（IAM）

IAM是用來管理數(shù)字身份并控制數(shù)字身份如何訪問資源的方法、技術(shù)和策略， IAM全面的建立和維護數(shù)字身份，并提供有效地、安全地IT資源訪問的業(yè)務流程和管理手段，是保證云計算安全運行的關鍵所在。

（5）應用安全

云計算服務基于Web瀏覽器實現(xiàn)。因此，對于應用安全，尤其需要注意的是Web應用的安全。應用安全應從這個整體生命周期考慮，可以采用的防護措施有訪問控制、配置加固、部署應用層防火墻等。

4 結(jié)束語

網(wǎng)絡安全和國家安全及社會經(jīng)濟發(fā)展息息相關，隨著信息安全形勢的日益復雜，構(gòu)建一個可靠、高效、經(jīng)濟的網(wǎng)絡安全環(huán)境顯得尤其重要，針對云安全問題，應加強對云安全的研究投入，完善云安全技術(shù)保障能力，提高業(yè)界和個人的安全意識，加強職能部門的監(jiān)管等，信息時代，安全才是硬道理，只有全面系統(tǒng)的安全體系構(gòu)建，才能為云計算技術(shù)保駕護航。

參考文獻：

[1] 董曉霞，呂廷杰.云計算研究綜述及未來發(fā)展[J].北京郵電大學學報（社會科學版），2010（05）.

[2] Roger Halbheer;Doug Cavit.關于云計算安全的思考[J].信息技術(shù)與標準化，2010（09）.

[3] 褚誠云. 云安全：云計算的安全風險、模型和策略[J]. 程序員，2010（5）.

[4] 曹陽.信息安全問題云計算[J];科技信息;2010（03）.

[5] 鄧仲華，朱秀芹.云計算環(huán)境下的隱私權(quán)保護初探[J].圖書與情報，2010（04）.

[6] 王汝林.發(fā)展云計算必須高度重視“云安全”[J]. 信息系統(tǒng)工程，2011，（3）.

[7] 徐剛. 云計算與云安全[J]. 信息安全與技術(shù)，2011，（Z1）.

【通聯(lián)編輯：梁書】