云計算環境中的計算機網絡安全及防護關鍵技術探析

溫和文 張常泉 唐 楷

江西科技學院，江西 南昌 330098

1 云計算介紹

云計算（cloud computing）是一種高度依賴于互聯網的、共享式的計算模式，通過這種模式，在網絡上配置為共享的軟件資源、計算資源、存儲資源和信息資源可以按需求提供給網上終端設備和終端用戶。這種具有動態性、虛擬化、可擴展的資源池稱為“云”，通常由集群的服務器組成，其中包括計算服務器、存儲服務器和帶寬資源等。

2 云計算產生的新安全問題

云計算技術經過多年的應用和驗證，發展出很多優點，比如規模大、虛擬化和高可拓展性等確實革新了整個基礎網絡的發展。與此同時，隨著云計算技術的不斷發展和革新，也不可避免地帶來了一系列新的安全威脅和挑戰，具體如下。

2.1 身份認證

云計算采用自動化的方式來支持用戶認證和接入，然而非法入侵者卻通常利用操作系統或網頁的漏洞，租用虛擬機來發起黑客攻擊，非法攔截用戶的數據信息，非法竊取用戶賬號和密碼。當非法入侵者利用竊取到的信息進行數據挖掘，下一步企業的機密信息就很容易被竊取。網絡犯罪分子通常偽裝成合法用戶、運營人員或開發人員通過讀取、修改和刪除數據，來控制平臺和管理功能，在用戶傳輸數據的過程中進行窺探，發布看似來源合法的惡意軟件。如果身份信息不足、憑證或密鑰管理不善，就可能導致未經授權的數據訪問，對組織或終端用戶造成災難性損害。

2.2 數據安全

數以千計的用戶使用云計算而產生海量的數據，在數據傳輸的過程中極易產生的數據安全問題如下。

（1）數據可用性、完整性和保密性。云計算采用分布式計算，經過網絡傳輸和交換的數據容易遭受黑客攻擊，導致數據被篡改、攔截和監聽。

（2）數據檢查和校驗。通常云計算接收到用戶數據后會直接計算，缺乏常態化的檢查和校驗的機制，容易讓無效數據和偽造數據混合在真實數據中，一方面導致計算結果產生偏差，另一方面浪費計算資源。

（3）數據中心數據安全。數據中心的超級管理員一般擁有極高權限，但其不嚴密的安全管理可能導致未經加密就直接存儲在云中的敏感數據被竊取，給企業或者個人造成嚴重的損失。

2.3 虛擬化問題

云計算的基礎是虛擬化技術。虛擬化技術導致了一些新的安全威脅。

（1）信息竊取與篡改。云計算依靠虛擬化技術的應用將所有的計算機資源進行融合匯總，最終形成一個巨大的資源共享池，用戶可以使用其中的資源，其中不乏一些公司或者個人的隱私信息，如果沒有對各種信息進行合理有效的管理，就很容易造成隱私的泄露。

（2）Hypervisor安全性問題。Hypervisor擁有最高的優先級，充當著系統管理員的角色，可以訪問服務器上所有物理設備，并協調各種物理設備之間的資源分配。一旦Hypervisor被非法用戶破解，所有的虛擬機就會直接暴露在外部環境中。

（3）分布式拒絕服務(DDoS)攻擊的泛濫。攻擊者通過一定數量級的合法請求消耗網絡寬帶資源，達到癱瘓網絡的目的。

3 云計算安全防護措施

想要提高云計算的安全性能，可從技術保護、管理模式和法律約束等方面入手。

3.1 技術保護

面對云計算技術存在的問題，增強技術方面的保護顯得尤為重要，可采用以下幾種技術。

（1）安全的身份認證技術。此類技術不采用傳統的簡單密碼，而是改用成熟的生物識別技術，比如：指紋識別、虹膜識別或人臉識別等技術。

（2）云端數據加密。可采用云加密數據庫、云數據庫安全代理（CDSB）、云訪問安全代理（CASB）等進行數據加密。

①云加密數據庫：使用具有加密功能的數據庫或者數據庫引擎，在數據寫入文件并存儲在數據庫前對其進行加密操作，讀取數據庫中文件時需要進行解密操作。此方法可使數據庫保持高效的性能。

②云數據庫安全代理（CDSB）：使用加密網關作為數據庫的出入口，將所有數據加密后寫入數據庫，讀取數據的時候進行解密。這種加密方式為數據庫提供了統一的二次認證和二次鑒權機制，能夠有效地防止云平臺供應商訪問用戶的真實數據。

③云訪問安全代理（CASB）：在企業或個人的內部網絡的出口處放置云訪問安全代理應用加密網關，統一對流出的數據進行加密以及對流入的數據進行解密。該加密方式具有很高的通用性，對加密功能進行了分布式處理，使之具有較高的綜合性能。為避免加密后數據的檢索速率降低以及格式兼容性等問題，一般不建議采用加密強度過高的算法對數據進行加密。

（3）網絡通信過程安全問題同樣不容忽視。對此，可根據網絡實際環境和實際需要在不影響現有網絡運行的條件下進行鏈路加密、節點加密和端到端加密。

（4）虛擬化技術安全需要重點從加強防火墻保護、Hypervisor安全加固 、使用虛擬化安全與管理軟件入手。

①加強防火墻保護：對于防火墻的管理，可采取虛擬防火墻（如VMware vShield）和物理防火墻相結合的方式進行，以確保每一個層次的網絡流量都能被監控到且確定是安全的。

②Hypervisor安全加固：Hypervisor功能的不斷增加，導致代碼量也逐漸增加，在一定程度上會使得安全漏洞也隨之增加。應構建輕量級的Hypervisor，僅保留其核心功能，從而減少代碼量，有效提高其安全性能。

③使用虛擬化安全與管理軟件：對于虛擬化環境中虛擬主機中泛濫的分布式拒絕服務攻擊，可以采用虛擬化安全管理軟件（如CNware）進行處理。此類軟件提供了一套完整的基于云計算IaaS層的虛擬化平臺解決方案，實現了對虛擬化層的安全加固，有效地減少了網絡中的DDoS攻擊，能夠增強虛擬機安全。

3.2 管理機制

通過云計算服務提供的資源層次（IaaS、PaaS、SaaS），針對用戶和云計算提供商來合理劃分管理責任要求。首先，用戶要在選定IaaS前徹底調研云服務提供商的安全控制和服務水平協議，客戶應盡可能利用多因素身份驗證，對數據進行加密以減少內部威脅，維護密鑰的控制權，定期掃描系統漏洞。其次，云計算提供商要保持對平臺的更新以及漏洞補丁更新。最后，云計算提供商要提供足夠的后臺管理軟件，在減少客戶的軟件購買花費的同時，有效地保證其安全。

3.3 法律約束

面對云計算技術中的各類安全威脅，僅通過技術方面進行保護并不十分周全，應該建立一套公平、公正、統一、全面的法律法規來保護云計算安全。還應成立云計算安全管理運營問責部門，定期對云計算運營商和采用云計算服務的大、中、小型企業進行風險評估和評級，以便及時發現未知風險并采取合理的應對策略。

4 結語

云計算技術的發展推動了信息技術的革新，云計算安全是信息安全領域的一個新的重要延伸。通過對上述重點領域中云計算安全問題的分析和討論，可以有效降低其影響程度，提升云計算安全管理水平。但是，隨著云計算技術的快速普及和廣泛運用，將來會出現更多未知的安全風險和安全威脅。維護云計算安全的路途還任重道遠，需要我們在實踐中不斷更新技術和方法以應對不斷發展的云計算技術。