基于云存儲的網絡空間安全的研究與對策

王會霞

摘要：云存儲具有高容量、高性能、高可擴展性、地理位置無約束等優勢，云計算技術取得迅猛發展，導致安全問題日益突出，尤其是數據存儲方面的安全問題。為了提高數據安全性，保護用戶隱私，本文研究了云存儲過程中數據安全面臨的問題，并在此基礎上提出如何提高數據安全性的措施。

關鍵詞：云計算;云存儲;網絡空間;信息安全

中圖分類號：TP311? ? 文獻標識碼：A

文章編號：1009-3044（2019）28-0043-02

開放科學（資源服務）標識碼（OSID）：

1 引言

云計算是一種新興的共享基礎架構的方法，能夠通過網絡提供公共服務計算資源，云計算具有經濟、高效、按需分配等特性，使得越來越多的組織和個人將數據存儲到云端。云計算為企業提供一個節省經濟成本的有效途徑。

云存儲是基于云計算發展起來的一種新型的海量數據存儲方式，是一種線上存儲模式，利用虛擬化、HDFS、ceph等技術，將網絡服務中不同類型的存儲塊設備利用軟件整合一體協同工作，為用戶提供大容量、穩定的數據存儲、讀取和下載等服務。目前，云存儲是應用比較廣泛的一種新型存儲技術，也是移動互聯網的一種重要存儲工具，很多科技公司都已經擁有自己云存儲產品，比如國外谷歌的Google Drive，國內百度的百度云，騰訊的微云，360的360云盤等。

2 云存儲概述

云存儲技術主要用于網絡在線存儲，具有高擴展性、上傳下載速度快、安全性能穩定等優勢，既可以提高存儲便利性和空間利用率，也可以實現規模效應和彈性擴展，降低運營成本。云存儲系統主要是由數據存儲塊、基礎管理層、應用接口層、用戶訪問層等部分組成，如下圖所示，其核心是應用接口層，通過應用軟件提供數據存儲和業務訪問服務，實現存儲設備向存儲服務轉變。

用戶訪問層是云存儲系統架構的最上層也是最接近用戶的一層，用戶通過這一層訪問云存儲空間。應用接口層是云存儲應用開發的核心部分，通過不同的應用服務接口提供不同的應用服務，主要負責用戶的網絡接入、用戶認證和權限管理等幾方面。基礎管理層是云存儲最重要也是最難開發的組成部分，主要用來維護系統性能的穩定性、實現數據的加密和備份。數據存儲層是云存儲架構的最底層和最基礎部分，由一系列網絡設備、存儲設備和云存儲技術組成。

3 云存儲數據安全

云存儲數據安全問題主要包括數據保密性、數據完整性、數據可用性及可靠性等的安全問題，隨著云存儲應用范圍不斷擴大，云存儲導致的信息泄露也時有發生，已廣泛引起國內外研究人員的重視。

云存儲系統包含多種操作系統、中間件和應用軟件，如果存儲系統或軟件存在漏洞并被發現利用，將導致存儲數據被破壞或者控制。云平臺通過網絡進行管理和提供服務，網絡接口的漏洞也會影響云平臺服務和安全。本節將從云服務、云平臺接口和網絡接口等幾個方面介紹云平臺數據安全威脅。

3.1 云服務

云平臺提供的云服務直接安裝在VM或者主機上，云服務攻擊漏洞將會對使用該云服務的所有用戶產生影響。云服務的攻擊威脅主要包含代碼注入攻擊、代碼復用攻擊和側信道攻擊等。

代碼注入、復用攻擊利用云服務本身存在的漏洞進行攻擊。代碼注入攻擊利用應用程序本身存在的內存錯誤漏洞，劫持程序的控制流，使其指向攻擊者注入的惡意代碼。代碼注入攻擊主要用于非法獲取認證信息和用戶數據，云平臺虛擬化擴大了代碼注入攻擊帶來的安全威脅。

側信道攻擊利用云平臺虛擬化的特性獲取云服務中包含的敏感信息。側信道攻擊包含有時間消耗、能量消耗和電磁消耗等。在云平臺中，PaaS可以為多租戶提供開發環境，更容易被黑客利用側信道攻擊獲取應用的秘密信息。用戶可以通過IaaS創建虛擬機，如果黑客創建和用戶同一物理虛擬機，黑客同樣可以通過側信道攻擊獲取用戶虛擬機中的敏感信息。

3.2 云服務接口

云平臺的三層服務都提供了與用戶進行交互的接口，針對云服務接口的攻擊主要包括SQL注入攻擊、跨站腳本攻擊、CSRF、XML簽名繞過攻擊等。

（1）SQL注入。攻擊者通過構建特殊輸入作為參數傳給云服務，執行SQL語句和操作，達到攻擊目的。

（2）XSS。利用網頁漏洞并注入惡意指令，在用戶加載和執行包含惡意JavaScript代碼的網頁時達到攻擊目的。

（3）CSRF。利用用戶訪問網頁時，觸發該網頁中嵌入的偽造請求。一旦這些偽造的請求更新或更改敏感數據，會導致用戶財產損失或者蠕蟲泛濫等。

（4）XML簽名繞過攻擊。IaaS提供SOAP接口可以方便地創建、運行或者終止某個VM。但是SOAP基于XML，在接收到SOAP請求時沒有驗證SOAP消息的整體， 所以可以在一個SOAP消息中增加、刪除、復制任意的XML語句塊，使得XML攻擊成功。

3.3 云端數據安全

在云計算平臺下存儲著各種各樣的存儲節點，存儲的信息也比較多樣化，所以以往傳統的存儲模式已經不能很好地適應實際發展需求，對加密方法的改進也不能很好地滿足所有數據的需求，這樣就在一定程度上威脅著企業和用戶的利益。在對身份認證操作過程中也存在一定的安全威脅，比如對網絡用戶的認證信息進行竊取，或者利用第三方來間接性地竊取用戶的信息等。

4 云存儲數據安全防護建議

4.1 數據加密存儲技術

由云存儲供應商針對數據或文本提供安全的加密方法，將用戶指定目錄和文件使用加密算法轉換成密文后將其存放在云存儲服務器，實現數據安全存儲和傳送過程中的機密性保護。根據用戶存儲在云服務器上數據的機密程度使用不同的加密方法。在加密部分常用的方法有：內容感知加密、保格式加密、對稱加密、非對稱加密等。

4.2 用戶安全意識

4.2.1 用戶數據備份

儲存在云端的用戶數據可能會被其他用戶惡意修改或破壞，為了數據存儲的安全，將數據信息存儲到云端后，需要將數據信息再做備份，保護云存儲數據安全。

4.2.2 登錄信息安全

云平臺使用戶可以方便地在不同地點、不同終端設備實現對存儲信息的上傳下載，但是也容易導致用戶賬戶信息的泄露，進而威脅到用戶的存儲數據安全。用戶要有時刻保護自身信息安全的覺悟，防止他人惡意竊取和破壞數據信息。

4.3 云安全解決方案

一個良好的云計算解決方案能夠實現對云計算的智能管理，主要是管理用戶身份和權限、掃描并保護網絡免受病毒威脅、監控并審計應用程序和數據從而幫助企業用戶實現對資源的統一管理，減輕企業運維管理負擔和成本，同時提升企業內部共享資源的利用率。在產品架構設計階段，將標準化建模植入到流程中，對產品做默認安全設計;在產品開發階段，產品將根據安全要求自評和測試;產品交付時進行安全檢驗和測試，并把控上線。全程確保開發的云產品具備安全屬性。

4.4 完善安全管理機制

建立合理的安全監督管理機制，嚴格審批訪問權限，發現違規情況，應根據安全條例進行嚴肅處罰。同時開展形式多樣的安全培訓活動，提高用戶和工作人員的安全意識。逐步完善法律法規以約束信息安全行為。

5 結束語

云存儲是互聯網技術發展的重點方向，在提高資源利用率、節約成本方面有顯著效果，但云存儲安全也面臨著很多挑戰。本文對云存儲信息安全技術涉及的關鍵點進行了分析和研究，提出相應的解決措施，包括從身份認證、加密傳輸與存儲與日志審計的安全機制方面進行防護，及提高個人的信息安全意識，保護和不輕易泄露個人信息等。云存儲安全要從信息安全技術、用戶個人安全意識及相關的法律法規等多方面共同協作，提升云存儲信息的安全性和隱私性，進一步更好地促進云存儲的可持續發展。

參考文獻：

[1] 曾新洲.基于Openstack 的云計算技術與應用專業 Web 云盤設計與實現[J].電腦知識與技術，2018，14（20）：265-267.

[2] 鐘小軍，楊磊，黃莉旋，等.農村綜合信息服務平臺云存儲技術研究與應用[J].廣東農業科學，2015，42（3）：170-176.

[3] 張玉清，王曉菲，劉雪峰，劉玲.云計算環境安全綜述[J]. 軟件學報，2016，27（6）：1328-1348.

[4] 劉婷，楚志剛，孟慶偉.大數據下數字化校園云存儲安全研究 [J].智能計算機與應用，2018，8（2）：187-189.

[5] 付晨.云平臺數據存儲技術研究概述[J].信息通信，2018 （4）：189-190.

[6] 楊子宇.大數據環境下云存儲數據安全的相關探究[J].中國科技信息，2017（10）：56-57.

[7] 吳旭東.云計算數據安全研究[J].信息網絡安全，2011（9）：89-91.

[8] 王新磊.云計算數據安全技術研究[D].河南工業大學，2012.

【通聯編輯：梁書】