基于公有云的企業信息化安全風險的幾點探討

(中國人民大學信息學院，北京 100872)

0 引言

隨著科學技術的不斷革新，大數據時代的到來，社會越來越先進。能夠獲得信息的途徑和方式變得愈加多樣，公有云在企業中的應用使得處理數據的能力顯著上升，給企業決策帶來了迅速、有效的依據。基于公有云的信息化為企業的前進提供了極大的助力，但也隱藏著一些安全隱患，給工作帶來了一定的麻煩，因此需要對其進行全方面的評估，幫助企業做出相應的應對策略，為信息化更好地發揮其價值提供幫助。

1 相關概念闡述

1.1 公有云的概念

在網絡拓撲圖當中，“云”常常是Internet的標志，實質上是一種抽象，幫助理解復雜的互聯網。所以通常這種以Internet為基礎的計算方式被稱為“云計算”。云計算所能提供的服務通常包括三種類型：第一是軟件即服務(Software as aService，Saa S)；第二是平臺即服務(Platform as a Service，Paa S)；第三是基礎設施即服務(Infrastructure as a Service，laa S)。在云計算當中，公有云一直是一項不可或缺的重要模式，一般通過第三方云服務商提供用戶相應服務。

1.2 公有云發展現狀

隨著IT軟硬件虛擬化技術的成熟，云服務已經變得越來越重要，亞馬遜憑借著最先入局，長期在公有云市場占據第一的地位。國際知名公有云廠商有AWS、Azure、阿里云、IBM Cloud、谷歌云、騰訊云等。在中國市場而言，大部分企業還是傳統的架構。市場龐大的市場容量和駭人的增長速度，使大量的中國云廠商迎頭趕上，如今已取得了不錯的成績，如國內的Aliyun、騰訊云、金山云、華為云等。

美國市場研究機構Synergy Research Group發布了其關于2019第一季度全球幾大主要地區的公有云廠商排名報告，報告顯示，亞太地區市場增長速度驚人，中國云服務商在亞太地區排名中占據重要地位。在2019年第一季度亞太地區公有云市場的廠商排名前3依次為：AWS、阿里云和Azure，騰訊云超越谷歌云位列第四，前六名中有3家中國公司。市場份額上，中國云服務商現在占據了亞太地區40%的公有云市場份額。2019第一季度全球幾大主要地區的公有云廠商排名報告見圖1。

圖1 排名報告

分析認為，中國云服務商的強勁表現，主要得益于他們在中國本土市場取得的成績。報告統計了中國公有云市場的廠商排名，阿里云以2019年1-3月247億營收占據榜首。騰訊云、光環新網和百度云分列二、三、四位。目前阿里云業務仍在持續虧損，但營收增長迅速。較2015財年阿里云12.7億的營收相比，五年間阿里云營收增長近20倍。

1.3 大數據時代下的企業信息化的內涵

隨著科學技術不斷革新，企業信息化已成為IT管理的重要組成部分，它是傳統企業管理與當今信息技術結合的產物。大數據時代下的企業信息化是指在傳統管理的基礎上，借助計算機的一些功能來實現搜集和研究數據信息的目的，把所有的數據都信息化處理，最大程度上發揮出信息資源所具備的價值，以達到區域性的資源共享，從而提高企業人員處理數據信息的效率，及時有效的為企業決策提供依據，大大提高企業的市場競爭力，促進企業的發展。

2 我國企業信息化的發展過程

2.1 以自我開發為基礎的專門企業軟件發展階段

第一階段主要是1970—1980年，這時期我國信息化處于萌芽狀態，一些國內大型企業為了提高管理專業化水平，根據企業實際需要自行組織科研力量開發軟件，這類軟件針對性比較強，主要局限于特定企業管理工作，軟件功能相對簡單單一，主要提供數據錄入和輸出服務。

2.2 以專業應用開發為基礎的市場化軟件發展階段

20世紀80、90年代，我國信息化軟件發展到了一個新的階段。一些IT公司開始為中小企業研發專門的管理軟件，隨著軟件行業不斷發展，越來越多的IT企業開始參與到軟件研發當中來，使得該時期軟件種類日益多樣化，功能逐漸豐富，除了提供基本的數據管理功能外，還增加了許多新的應用功能。

2.3 以科技進步帶動的“管理型”軟件研發階段

20世紀90年代中后期至今，我國軟件研發進入了到更高發展階段，也就是信息化快速發展時期。隨著市場經濟不斷發展，傳統簡單單一功能的軟件已無法滿足企業財務管理需要。在這種背景下，一些大型專業信息化軟件IT公司例如金蝶、用友快速成長，針對不同行業企業研發出了多款軟件，大大提高了信息化軟件專業性。在這些專業信息化軟件公司努力下，企業信息化軟件逐漸朝著專業化、綜合化的方向發展，為企業提供專業的管理技術解決方案。這也標志著我國信息化發展到了一個里程碑式的階段。

2.4 信息化和網絡化驅動的“智能型”軟件研發階段

2000年以后，軟件研發步入到一個更高的發展階段，信息化水平顯著提高。這時期軟件研發主要都是以互聯網技術為基礎開展信息化軟件研發和設計，利用現代信息技術提高管理專業化水平，在互聯網上實現遠程信息交互、核算、查找、報表等，為信息化虛擬化創造了良好環境。它在對傳統管理基礎上進行了創新和發展，其中與互聯網技術結合在一起就是最大的創新之處。

3 基于公有云的企業信息安全問題

企業數據對于一個企業而言無疑是重要的商業信息，對企業競爭的成敗與其市場地位都有著重要影響，重要商業信息的泄露對于企業而言將會是重大的打擊。但隨著目前信息化的普及應用，仍存在部分中小企業并未意識到其中可能存在的安全性問題，因此其信息泄露風險較高，對于企業的良性發展非常不利。可以看到，云計算已經成為如今很多企業信息化過程中的首選技術。云計算技術的發展應用，令企業能夠將相當一部分數據分析處理工作外包到“云端”的服務商處進行。企業可以通過互聯網對自身存儲在云端的各項數據進行訪問、上傳、刪除和修改。但在這個過程中，企業數據安全風險也是始終存在的，需要予以重視。雖然“云端”儲存的數據對于數據擁有者及授權訪問者而言是保密的，但云端服務商則可以很方便地獲取這些數據。此外，數據在上傳下載過程中，也很容易發生泄密或者被攻擊、篡改。當前云計算服務應用中數據方面存在三大風險：云計算中心數據丟失或者泄露；數據傳輸中損壞或者被篡改；云端數據訪問權限被非授權方非法取得。當前公有云服務的網絡安全問題包括了以下幾點。

1)數據儲存安全：數據的災難恢復、存儲位置、安全隔離，第三方惡意使用數據抓包、偵聽軟件在數據傳輸過程中進行竊取，采用非常規手段對云系統進行攻擊，對云數據進行篡改、刪除等。

2)數據審計安全：審計數據的準確及有效性，部分敏感數據的審計安全保障。

3)數據傳輸安全：身份認證與接入管理、邊界防護、防僵尸網絡、數據傳輸安全DDoS、攻擊等。

4)云端用戶安全：數據庫、操作系統等通用軟件的系統安全、云端用戶安全、代碼、接口安全、可移植和互操作。

5)管理維護安全：云系統物理設施的安全完善，設備正常運行所需的運維工作以及安全監控。

4 基于公有云的企業信息安全風險控制

筆者針對基于公有云的企業信息安全風險提出了一種“三位一體”的控制策略。要讓基于公有云的企業數據安全問題切實得到解決，只做好公有云中心的保護工作遠遠不夠。而所謂的“三位一體”就是要從云中心數據安全技術、終端數據安全技術、網絡安全技術這三方面出發，從而真正形成對云數據的一體化控制。

由云計算中心專門負責的重點內容有用戶信息認證、用戶行為跟蹤記錄、用戶風險行為識別和防范、數據隔離及數據加密等。由用戶終端完成的內容有安全使用環境構建、文件校驗、文件加密及用戶密鑰生成等。云計算中心與用戶終端通過網絡傳輸來構建安全而高速的數據交換通道。

4.1 云計算中心數據存儲安全策略

對于使用云計算服務的企業而言，數據存儲是需要予以特別重視的。數據存儲相關流程包括了數據存儲位置、格式的設置；數據的備份及隔離；數據的恢復等等。但對于云端用戶而言，一般并不清楚云計算服務提供商是將自己的數據存儲在何處，該存儲地是否安全合規，能否嚴格保障自身數據不被非法訪問、刪除和篡改等。

4.1.1 數據安全隔離

當前絕大部分云計算系統都是將數據進行分散式存儲，即意味著所有數據都有多套備份冗余，并分別存儲在不同的硬件上，未經授權不得進行跨區域訪問，并且對所有用戶的行為進行實時追蹤監控分析，一旦發現可能有惡意行為，則立即停止潛在惡意用戶訪問系統的權限。一旦某個區域的數據安全遭受威脅，立即停止所有用戶對該區域數據的訪問并盡快做好數據備份。數據安全隔離能夠從物理上隔斷對云數據、云計算系統的攻擊，是最基礎的安全保障。

4.1.2 數據庫加密

由于云計算系統包含的數據規模是極為龐大的，并且數據的復雜性也有顯著的提升，因此傳統數據庫系統不足以支持云計算系統的數據存儲、讀寫和安全防護需求。尤其是一些極為重要機密的數據或者種類異常復雜的數據而言，不安全的數據庫可能令數據暴露在較高的風險之下。因此云計算系統必須應用好數據庫加密技術，對數據庫系統本身以及相關數據進行加密處理，從而確保即使在攻擊者拿到了數據庫權限也很難對數據進行解密。

4.2 云數據審計安全策略

云計算系統的服務提供機構本身雖然對數據安全負有一定責任，但數據安全的最終責任還是要由用戶自己來承擔。傳統的互聯網存儲服務商需要在通過安全認證與審計之后才可以公開提供服務，而當前部分云計算服務提供商對于審查過程并不積極配合。很多時候為了保證系統的安全性就需要引入第三方認證的數據審計機構來對云計算系統的數據進行審計，且審計機構也不得泄露任何用戶數據。

4.3 云數據網絡安全策略

企業的數據中心一般都保存著大量諸如客戶信息、財務數據、商業機密等重要數據。企業將自身數據傳輸至云端時，傳輸過程也會涉及到一些安全問題。當前雖然在傳輸階段已經采取了加密算法及超文本傳輸的安全措施，但傳輸過程存在數據被監聽、抓包的可能性，且當前有部分加密算法已經被破解。因此，在網絡傳輸環節，各類加密、隔離技術對于數據安全就顯得至關重要。

4.3.1 文件透明加密

文件透明加密是當前云數據網絡常用的一種安全策略，它通過驅動層透明動態加密的方式，令電子文件在存儲介質上能夠加密存儲，且極難被逆向破解。在云系統上的授權用戶對系統數據進行讀取時。則自動高效地完成解密過程。該加密過程適用于存儲在云端的所有用戶文件，確保所有用戶的所有信息均不會因為使用云計算而泄露。

4.3.2 虛擬安全網絡

構建虛擬網絡也是當前云計算系統必備的安全技術之一。用戶可以實現對多個虛擬安全域的訪問，但不同安全域之間是高度隔離的，用戶終端不能作為兩個不同的虛擬安全域之間的路由設備。云計算終端通過權限設置以及安全策略的編寫，將各類系統資源分配在不同的虛擬安全域中，從而確保即使一個域受到了攻擊，整體安全性也能得到保障。

4.4 云端用戶數據安全策略

不同終端設備類型的云計算用戶終端對“云端”的數據進行存取的方法也是各自迥異的，并且不同類型的終端設備各自安全防護等級差異顯著，云服務商難以100%保證能夠對云端用戶風險行為進行精準識別監控防范。部分云服務商為了擴大用戶數量，過度開辟外鏈通道，給云服務器上的數據造成大量安全隱患。部分黑客乃至云服務商的內部人員通過獲取管理平臺權限，對云數據進行非法訪問、篡改及破壞。

4.4.1 身份認證管理

身份認證管理系統是基于安全策略、認證及管理技術綜合構建而成。該系統運作中除了對所有用戶的身份進行認證和對其分配權限之外，還需要完成安全事件的收集和分析、系統狀態實時監控、用戶行為實時追蹤及安全決策的執行等，確保各類安全問題能夠第一時間被識別和解決。身份認證管理系統對系統的應用資源具有最高管理權限，能夠完成認證、授權、審計和管理等多方面的運維工作內容，并對系統資源進行整合優化，確保運用有限的資源達到既定的安全目標。此外，身份認證管理系統也支持異地認證，令多個處在異地的分散的云計算系統能夠實現共同協作整合。

4.4.2 終端桌面安全

對于作為終端的用戶而言，云計算客戶端通過軟硬件資產統計、用戶行為監控、用戶系統資源調度、本地虛擬運行環境、進程監控及安全補丁推送等措施，來確保用戶終端達到既定的安全標準。

5 結語

大數據時代的到來，給企業管理帶來了較大變化，不但給企業財務發展和運行狀況帶來了技術方面的支持，還對信息化的發展起到了推動作用。公有云的應用使原本所具有的信息管理形式得到有效的改善，使企業信息化程度得到顯著提高。與此同時，我們也必須意識到其給我國企業信息化發展帶來的風險。本文闡述了當前企業所面臨的的主要風險，并從云計算中心數據存儲安全策略、云數據審計安全策略、云數據網絡安全策略、云端用戶數據安全策略這四個方面論述了風險控制措施。可以看到，雖然目前基于公有云的信息化共享平臺尚存一些安全隱患，但只要企業對這一問題重視起來實施有效整改，更加科學合理的應用大數據技術就能有效防范風險。在當下的大環境下，企業信息化是不可逆的大潮流，因此無論是政府還是企業要做的都不應當是回避，而是著力抓好這一契機，從而為企業未來更好的發展奠定基礎。