云計算信息系統安全整體防護策略研究

浙江移動信息系統集成有限公司 應曉龍

隨著科技水平的飛速發展，計算機以及互聯網技術逐漸滲透到社會的方方面面，不僅為人們的日常生活帶來了更多的便利，也有效推動了社會經濟的變革與發展，特別是隨著云計算技術的發展與應用，在提高了互聯網實用性以及高效性的同時，也大大增加了數據信息的安全風險。本文簡單分析了云計算信息系統的常見安全問題，并對云計算信息系統的安全防護策略進行了簡單闡述。

云計算是依靠計算機技術以及互聯網技術發展而來的新技術，可以為企業提供更加便利、快捷的數據加工、數據開發等計算工作，顯著提升了企業對數據信息的挖掘和利用效率，同時，受云計算技術開放性以及共享虛擬等特性的影響，無形中提升了企業數據信息的風險系數，所以，如何提升云計算信息系統的安全性，不僅是關系到云計算信息系統發展與應用的重要工作之一，也是社會各界都在關注的重要課題之一。

1 云計算信息系統含義

云計算信息系統是以虛擬化計算服務為主的互聯網技術，主要通過分布式計算以及并行處理等技術手段，實現企業數據信息的存儲、深層次加工與高效利用，云計算技術的研發和普及，不僅推動了互聯網技術的進一步成熟與發展，還可以根據不同企業的實際需要，提供軟件服務、數據分析等不同類型、不同層次的服務，為現代企業的運營和發展提供了更多的便利與支持。

云計算信息系統的安全防護，主要涉及到數據信息保密性、完整性、訪問控制以及運營安全等幾個方面，是云計算信息系統的重要組成部分，也是關系到云計算信息系統正常、穩定運行的關鍵要素。

2 云計算信息系統常見安全問題

2.1 傳統安全威脅因素

云計算信息系統的傳統安全威脅因素，主要是指發起自外部對系統內部進行攻擊的分布式拒絕服務，包括病毒、木馬以及蠕蟲等多種攻擊形式，這一安全風險類型是伴隨互聯網出現而產生的安全威脅因素，現如今仍然會給云計算信息系統造成極大的影響和破壞，特別是對于web業務類型的信息系統而言，分布式拒絕服務的入侵形式更加復雜多變，也是目前云計算信息系統安全防護工作所需重視和研究的重要目標之一。

2.2 信息系統數據泄露風險

云計算信息系統除了提供數據信息分析以及軟硬件服務等業務以外，還會為客戶提供大數據存儲等服務，隨著客戶數據信息存儲量以及數據價值的不斷增加，往往會滋生出企圖利用這些數據信息獲取利益的不法者，無形中增加了云計算信息系統的數據管理難度以及安全威脅等級，也大大增加了云計算信息系統中數據泄露以及數據篡改等安全問題的發生幾率，不僅會對客戶造成較大的影響和利益損失，還會對云平臺自身的信譽和發展帶來極大危害。

2.3 信息系統隔離失效風險

云計算信息系統隔離失效風險，主要是來自于技術層面的風險因素，由于云計算信息系統用戶需要共享平臺中的計算能力以及數據存儲設備，這就需要云平臺通過一系列設備和相應的技術手段對不同用戶進行隔離，避免出現部分平臺用戶未經允許而訪問他人數據信息，并私自進行數據信息篡改、刪除等操作。但是，如果云平臺在數據隔離設置方面存在漏洞，或者隔離措施沒有及時更新、完善，很容易影響到信息系統的數據信息隔離有效性。

2.4 信息系統虛擬機逃逸風險

云計算信息系統中的虛擬機逃逸問題，主要是利用虛擬機對系統漏洞開展攻擊等手段，引發信息系統的安全問題，不僅會對云平臺數據信息的完整性、安全性造成較大影響，嚴重的甚至會出現攻擊者利用虛擬機對目標系統進行操控等情況，從而導致信息系統出現數據信息泄露等安全問題。

2.5 信息系統虛擬機內存泄露風險

云計算信息系統中的虛擬機內存泄露風險，其產生原因一方面來自于虛擬機的共享使用，另一方面通常發生于重新分配硬件資源等情況下，比如，部分系統用戶在通過虛擬機進行正常操作時通常會占用一部分額外內存，并在完成操作后釋放這部分額外內存，如果因系統等因素的影響導致這部分額外內存被釋放時沒有得到重置，那么之前用戶的部分數據信息就會留存在這些額外內存中，并在額外內存重新分配給其他用戶時，被其他用戶訪問到這些數據信息，一旦這些數據信息中存在較為敏感的信息或有重大價值的數據，很容易給相應的平臺用戶帶來利益損失。

2.6 信息系統虛擬機動態遷移風險

虛擬機動態遷移的特點在于可以有效縮減遷移時間以及宕機時間，而云計算信息系統中的虛擬機動態遷移風險，主要是指在將虛擬機從原有物理服務器遷移到另一臺物理服務器的過程中，如果沒有做好相應的安全防護工作，很容易遭遇數據傳輸被監聽以及內存信息泄露等安全問題。

2.7 信息系統運營模式風險

云計算技術的不斷發展與完善，推動了云計算信息系統運營模式的創新和改變，云平臺可以根據用戶的實際需求，設計出具有針對性的服務類型和資源配給，如果云平臺運營模式存在不合理之處，再加上云平臺普遍具有用戶流動性較大等特征，不僅容易出現平臺資源利用效率低下的情況，還容易影響到平臺用戶對相關資源的直接掌控。

3 云計算信息系統的安全防護策略

3.1 加強信息系統備份審計機制的建立與完善

云計算信息系統備份機制，主要包括系統備份、關鍵數據信息備份以及網絡接口等設置信息備份幾方面內容，而云計算信息系統審計工作的內容，則是包括用戶賬號審計以及系統操作日志記錄等工作。雖然加強云計算信息系統備份審計工作會增加平臺資源的消耗，但是，由于信息系統中存儲著大量有價值的數據信息，同時，云平臺還具有用戶量較大以及信息訪問較為頻繁等特性，無形中提升了信息系統備份審計機制的作用和必要性，一旦云計算信息系統因各種意外因素的影響而出現癱瘓等情況，可以借助備份對相關數據信息以及系統設置進行恢復，可以降低意外因素對信息系統數據安全性以及完整性帶來的影響。除此之外，云計算信息系統備份審計機制還包括對系統漏洞的查找和補完等工作。其一，云平臺應通過定期或不定期等方式，對信息系統存在的漏洞進行掃描、查找，并及時采取打補丁等措施消除系統漏洞；其二，做好系統端口的開放審查以及安全防護工作，并加強數據傳輸的加密處理，從而提高云計算信息系統的整體安全性。

3.2 加強防火墻防護體系以及DDoS攻擊防護體系的建立與完善

防火墻防護體系以及DDoS攻擊防護體系的建立是提高云計算信息系統安全性的有效舉措之一，更是信息系統必不可少的組成部分。首先，防火墻防護體系主要是指信息系統中的訪問控制系統，系統防火墻通常設置在核心交換機以及出口路由器等位置，對訪問信息的協議、端口以及訪問請求等幾個方面進行檢測，阻攔不符合防火墻規定的訪問信息，從而達到提高信息系統安全性的目的。其次，DDoS攻擊防護體系主要是應對分布式拒絕服務對虛擬服務器開展的攻擊，目前較為常用的方法包括設置黑洞路由、DDoS防火墻防護以及異常流量檢測與清洗等幾種。黑洞路由大多設置在信息系統出口位置，利用路由黑洞對DDoS攻擊數據進行吸收，避免攻擊數據對目標設備造成影響和破壞；DDoS防火墻在應對小流量DDoS攻擊時往往具有較好的效果，而異常流量檢測系統和清洗裝置通常以旁路部署的方式設置在核心交換機區域，當虛擬服務器遭受大流量DDoS攻擊時，可以通過異常流量檢測系統將異常數據導入清洗裝置進行處理。

3.3 加強信息系統多重身份認證技術的應用

信息系統多重身份認證技術主要是針對系統訪問者開展的安全防護措施，傳統的身份認證方法包括密碼以及口令認證等幾種形式，隨著互聯網的不斷發展以及技術水平的提升，身份認證技術逐漸擴展到手機號驗證、實名認證、指紋驗證以及面部掃描等諸多領域，一方面可以對平臺用戶的系統操作行為進行規范并提高用戶管理成效，另一方面還便于對不正常操作用戶進行追蹤，對云計算信息平臺整體安全性的提升有著積極的促進作用。

3.4 加強信息系統入侵檢測體系以及病毒防護體系的建立與完善

入侵檢測體系以及病毒防護體系是云計算信息系統安全防護體系的重要組成部分。首先，入侵檢測體系主要包括縱向防護和橫向防護兩大類，縱向防護通常以旁路監聽的方式將入侵檢測系統設置在路由器下級，并對通過的數據信息進行安全檢測；而橫向防護則是以分布式或集中式等形式，將入侵檢測系統布置在云環境中，通過虛擬交換設備以鏡像引流等方式對數據信息進行安全檢測，并對有安全隱患的數據進行處理。其次，病毒防護體系的設置形式主要包括客戶端防護系統以及無客戶端防護系統兩種類型。客戶端病毒防護系統通常用于重要虛擬服務器的安全防護，需要相關技術人員在虛擬主機上安裝防護客戶端，并設置相應的病毒防護策略，從而為虛擬服務器提供更加全面、強大的病毒防護保障；無客戶端防護系統省略了客戶端的安裝環節，但需要安裝病毒防護虛擬模塊，技術人員可以通過對虛擬模塊進行策略配置，提高虛擬主機的病毒防護能力。

總結：云計算服務的實際應用顯著提升了互聯網的作用和價值，一方面推動了各行各業的數據整合以及共享，另一方面也加速了企業的轉型與發展，但是，隨著云計算服務的普及以及使用頻率的增加，云計算信息系統同樣暴露出越來越多的安全隱患，如何不斷提升云計算信息系統的安全防護等級，從而更好的保護數據信息的安全性以及完整性，不僅是云平臺以及相關企業都應重視和研究的重要課題之一，也需要有關部門給予更多的關注和支持。