劉潔 張曉玲

摘 要 本文從云計(jì)算的概念和發(fā)展入手，根據(jù)云計(jì)算環(huán)境的信息安全現(xiàn)狀，從云計(jì)算服務(wù)商、終端用戶、監(jiān)管方三個(gè)角度提出了云計(jì)算環(huán)境下的信息安全防護(hù)措施。

關(guān)鍵詞 云計(jì)算 虛擬化 信息安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

1云計(jì)算的發(fā)展及云計(jì)算的概念

云計(jì)算自2006 年被Google 提出之后，就產(chǎn)生了巨大反響。就我國(guó)而言，云計(jì)算更合乎經(jīng)濟(jì)向服務(wù)型、高科技型轉(zhuǎn)變的趨勢(shì)，政府和醫(yī)療信息化、三網(wǎng)融合及大量迅速成長(zhǎng)的電子商務(wù)應(yīng)用，在我國(guó)云計(jì)算已經(jīng)從產(chǎn)生到實(shí)質(zhì)發(fā)展階段。

關(guān)于云計(jì)算的定義，得到業(yè)界最廣泛接受的是2011年1月由美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）提出的：云計(jì)算是一種通過(guò)網(wǎng)絡(luò)以便捷、按需的形式從共享的可配置的計(jì)算資源池（這些資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)）中獲取服務(wù)的業(yè)務(wù)模式，云計(jì)算業(yè)務(wù)資源應(yīng)支持快速部署和發(fā)布，使管理成本降到最低。

2云計(jì)算環(huán)境下安全隱患

云計(jì)算迅速發(fā)展的同時(shí)，也面臨著信息安全的巨大挑戰(zhàn)。目前安全問(wèn)題已成為困擾云計(jì)算更大發(fā)展的一個(gè)最重要因素。某種程度上，關(guān)于云計(jì)算安全問(wèn)題的解決與否及如何解決，將會(huì)直接決定云計(jì)算在未來(lái)的發(fā)展走勢(shì)。目前云計(jì)算環(huán)境存在以下隱患。

安全邊界不清晰：虛擬化技術(shù)是云計(jì)算的關(guān)鍵技術(shù)，服務(wù)器虛擬化，終端用戶數(shù)量非常龐大，實(shí)現(xiàn)共享的數(shù)據(jù)存放分散，無(wú)法像傳統(tǒng)網(wǎng)絡(luò)那樣清楚的定義安全邊界和保護(hù)措施。

數(shù)據(jù)安全隱患：根據(jù)云計(jì)算概念的理解，云計(jì)算的操作模式是將用戶數(shù)據(jù)和相應(yīng)的計(jì)算任務(wù)交給全球運(yùn)行的服務(wù)器網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)系統(tǒng)，用戶數(shù)據(jù)的存儲(chǔ)、處理和保護(hù)等操作，都是在“云”中完成的，將有更多的業(yè)務(wù)數(shù)據(jù)、更詳細(xì)的個(gè)人隱私信息曝露在網(wǎng)絡(luò)上，也必然存在更大的泄露風(fēng)險(xiǎn)。

系統(tǒng)可靠性和穩(wěn)定性的隱患：云中存儲(chǔ)大量數(shù)據(jù)，很容易受到來(lái)自竊取服務(wù)或數(shù)據(jù)的惡意攻擊者、濫用資源的云計(jì)算用戶攻擊，當(dāng)遇到嚴(yán)重攻擊時(shí)，云系統(tǒng)可能面臨崩潰的危險(xiǎn)，無(wú)法提供高可靠性、穩(wěn)定的服務(wù)。

3云環(huán)境信息安全防護(hù)解決方案

3.1云服務(wù)提供商

從云服務(wù)提供商角度，安全防護(hù)方案：

（1）基礎(chǔ)網(wǎng)絡(luò)安全

基礎(chǔ)網(wǎng)絡(luò)是指地理位置不同的數(shù)據(jù)中心和用戶終端的互聯(lián)。采用可信網(wǎng)絡(luò)連接機(jī)制，對(duì)檢驗(yàn)連接到通信網(wǎng)絡(luò)的設(shè)備進(jìn)行可信，以防止非法接入設(shè)備?；A(chǔ)網(wǎng)絡(luò)安全設(shè)備性能要滿足與網(wǎng)絡(luò)相匹配的性能的需求，可以實(shí)現(xiàn)隨著業(yè)務(wù)發(fā)展需要，靈活的擴(kuò)減防火墻、入侵防御、流量監(jiān)管、負(fù)載均衡等安全功能，實(shí)現(xiàn)安全和網(wǎng)絡(luò)設(shè)備高度融合。

（2）虛擬化服務(wù)安全

“按需服務(wù)”是云計(jì)算平臺(tái)的終極目標(biāo)，只有借助虛擬化技術(shù)，才可能根據(jù)需求，提供個(gè)性化的應(yīng)用服務(wù)和合理的資源分配。在云計(jì)算數(shù)據(jù)中心內(nèi)部，采用VLAN和分布式虛擬交換機(jī)等技術(shù)，通過(guò)虛擬化實(shí)例間的邏輯劃分，實(shí)現(xiàn)不同用戶系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的安全隔離。采用虛擬防火墻和虛擬設(shè)備管理軟件為虛擬機(jī)環(huán)境部署安全防護(hù)策略，采用防惡意軟件，建立補(bǔ)丁管理和版本管理機(jī)制，及時(shí)防范因虛擬化帶來(lái)的潛在安全隱患。

（3）用戶管理

實(shí)現(xiàn)用戶分級(jí)管理和用戶鑒權(quán)管理。每個(gè)虛擬設(shè)備都應(yīng)具備獨(dú)立的管理員權(quán)限，實(shí)現(xiàn)用戶的分級(jí)管理，不同的級(jí)別具有不同的管理權(quán)限和訪問(wèn)權(quán)限。支持用戶標(biāo)識(shí)和用戶鑒別，采用受安全管理中心控制的令牌、口令及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份的鑒別，對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

（4）數(shù)據(jù)傳輸安全

采用在云端部署SSL VPN 網(wǎng)關(guān)的接入方案，避免云環(huán)境下用戶的數(shù)據(jù)信息從終端到云計(jì)算環(huán)境的傳輸中，數(shù)據(jù)信息容易被截獲的隱患，以保證用戶端到云端數(shù)據(jù)的安全訪問(wèn)和接入。

3.2云服務(wù)終端用戶

從終端用戶角度，安全防護(hù)方案：

（1）選擇信譽(yù)高的服務(wù)商

企業(yè)終端用戶應(yīng)做風(fēng)險(xiǎn)評(píng)估，清楚數(shù)據(jù)存在云中和存儲(chǔ)在自己內(nèi)部數(shù)據(jù)中心的潛在風(fēng)險(xiǎn)，比較各家云服務(wù)供應(yīng)商，取得優(yōu)選者的服務(wù)水平保證。企業(yè)終端用戶應(yīng)分清哪些服務(wù)和任務(wù)由公司內(nèi)部的IT 人員負(fù)責(zé)、哪些服務(wù)和任務(wù)交由云服務(wù)供應(yīng)商負(fù)責(zé)，避免惡意操作帶來(lái)的損失，也能保證服務(wù)的持久化。

（2）安裝防火墻

在用戶的終端上部署安全軟件，反惡意軟件、防病毒、個(gè)人防火墻等軟件。使用自動(dòng)更新功能，定期完成瀏覽器打補(bǔ)丁和更新及殺毒工作，保證計(jì)算環(huán)境應(yīng)用的安全。

（3）應(yīng)用過(guò)濾器

目的在于監(jiān)視哪些數(shù)據(jù)離開(kāi)了用戶的網(wǎng)絡(luò)，自動(dòng)阻止敏感數(shù)據(jù)外泄。通過(guò)對(duì)過(guò)濾器系統(tǒng)進(jìn)行安全配置，防止數(shù)據(jù)在用戶不知情的狀態(tài)下被泄露，避免用戶自身數(shù)據(jù)的安全性降低。

3.3云計(jì)算監(jiān)管方

目前我國(guó)云計(jì)算已經(jīng)發(fā)展到實(shí)質(zhì)應(yīng)用階段，國(guó)家有必要建立健全相關(guān)法律法規(guī)，積極研發(fā)和推廣具有自主技術(shù)的云產(chǎn)品，構(gòu)建中國(guó)自己的云計(jì)算安全防御體系。

4結(jié)束語(yǔ)

解決云計(jì)算安全問(wèn)題需要云計(jì)算的監(jiān)管方，云計(jì)算提供商，云計(jì)算的使用方等多方面的共同努力，相信我國(guó)云計(jì)算環(huán)境應(yīng)用及服務(wù)必將朝著可信、可靠、可持續(xù)的方向健康發(fā)展。

河北省教育廳資助科研項(xiàng)目（Z2013037）

參考文獻(xiàn)

[1] 劉潔，薄祥臣.云計(jì)算環(huán)境下信息安全防護(hù)方案探討.網(wǎng)友世界，2013.

[2] NIST. http：//csrc.nist.gov/groups/SNS/cloud-computing/index.html

[3] 胡志昂，范紅.信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)實(shí)現(xiàn)與應(yīng)用[M ].電子工業(yè)出版社，2010.

[4] GB/T 25070-2010.信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[s].