黃倚霄

摘 要：隨著云計(jì)算平臺(tái)及技術(shù)的迅速發(fā)展，其被廣泛運(yùn)用到我國(guó)各行各業(yè)中，也改變了我們的日常生活，我國(guó)政府及學(xué)術(shù)界也越來越關(guān)注云計(jì)算技術(shù)，在此基礎(chǔ)上云計(jì)算在應(yīng)用中的安全問題也成為了我國(guó)民眾所關(guān)注的重點(diǎn)。該文就對(duì)云計(jì)算平臺(tái)安全體系進(jìn)行分析，結(jié)合云計(jì)算平臺(tái)的特點(diǎn)，對(duì)云計(jì)算中要面臨的各種安全問題制定了一系列的應(yīng)對(duì)措施，從而使云計(jì)算在運(yùn)用中可以更加安全和高效。

關(guān)鍵詞：云計(jì)算平臺(tái) 安全體系 安全應(yīng)對(duì)

中圖分類號(hào)：TP399 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2017）01（c）-0127-02

在2012年，溫總理在召開國(guó)務(wù)院會(huì)議的時(shí)候，對(duì)信息工作進(jìn)行了闡述，并且研究了信息技術(shù)的發(fā)展趨勢(shì)及信息技術(shù)的安全問題，最終確定了信息技術(shù)工作的重點(diǎn)內(nèi)容：保障信息網(wǎng)絡(luò)的安全管理及防護(hù)。在發(fā)展迅速的社會(huì)中，云計(jì)算作為一個(gè)新型技術(shù)也在快速發(fā)展，也是我國(guó)互聯(lián)網(wǎng)今后的發(fā)展趨勢(shì)，安全問題是云計(jì)算用戶在使用過程中第一考慮的因素，云計(jì)算是否能夠?qū)崿F(xiàn)全面安全也是云計(jì)算在推廣及可持續(xù)發(fā)展中的重要因素。

1 云計(jì)算平臺(tái)體系分析

云計(jì)算平臺(tái)詳見圖1[1]，從圖1中可以看出云計(jì)算平臺(tái)安全體系由兩部分組成，分別是基礎(chǔ)設(shè)備及遠(yuǎn)程終端，運(yùn)程終端又包含計(jì)算終端和智能終端?；A(chǔ)設(shè)備包含虛擬化層、維護(hù)管理層、平臺(tái)服務(wù)層、軟件服務(wù)層及基礎(chǔ)支撐組成。

2 云計(jì)算平臺(tái)安全分析

自從虛擬化、多租戶等全新的技術(shù)引入云計(jì)算平臺(tái)中，云計(jì)算平臺(tái)的安全特點(diǎn)就有：其一，由于云計(jì)算平臺(tái)中的用戶多種，就要保障云計(jì)算平臺(tái)的服務(wù)可以永續(xù)性；其二，云計(jì)算平臺(tái)中有多種信息，就要保障云計(jì)算平臺(tái)中的數(shù)據(jù)安全；其三，云計(jì)算平臺(tái)是為用戶提供不同的服務(wù)，就要保障各用戶之間的安全及運(yùn)行環(huán)境的安全；其四，不同等級(jí)對(duì)云計(jì)算平臺(tái)中的安全需求是不同的，就要保障虛擬機(jī)之間的安全。

2.1 虛擬化安全

虛擬化層的安全隱患主要有5個(gè)方面：其一，虛擬機(jī)的監(jiān)控漏洞，對(duì)方往往會(huì)利用漏洞攻擊云計(jì)算平臺(tái)；其二，沒有對(duì)鏡像及快照文件實(shí)施保護(hù)，此方面的安全性關(guān)乎到發(fā)布鏡像后，使用用戶信息的安全性；其三，虛擬機(jī)在工作的時(shí)候，會(huì)由于本身的負(fù)載失衡或者自身存在的安全問題等多方面因素，在虛擬機(jī)向物理機(jī)移動(dòng)的過程中，可能會(huì)存在數(shù)據(jù)信息泄露的風(fēng)險(xiǎn)；其四，隨著云計(jì)算的不斷進(jìn)步，傳統(tǒng)對(duì)流量監(jiān)控的手段已經(jīng)滿足不了虛擬機(jī)網(wǎng)絡(luò)流量監(jiān)控需求，這就造成對(duì)虛擬流量監(jiān)控方面非常困難；其五，傳統(tǒng)的審計(jì)宿主機(jī)的方式已經(jīng)不適用于審計(jì)虛擬主機(jī)的方式，這就造成對(duì)虛擬機(jī)審計(jì)方面的監(jiān)管較為困難。

信息資源存儲(chǔ)方面的安全風(fēng)險(xiǎn)主要類似于SAN技術(shù)的虛擬化存儲(chǔ)技術(shù)方面的安全問題，包括虛擬化存儲(chǔ)設(shè)備中的軟件/硬件問題和信息在網(wǎng)絡(luò)中的接受和傳送等安全問題。

2.2 數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)的安全隱患主要有3個(gè)方面：其一，用戶將數(shù)據(jù)信息存放到云端中，數(shù)據(jù)信息沒有較好的安全性及完成性，就會(huì)對(duì)其造成安全風(fēng)險(xiǎn)，這也是由于用戶對(duì)數(shù)據(jù)信息沒有一個(gè)較好的管理程度；其二，在模擬多租戶的背景下，用戶可以實(shí)現(xiàn)資源共享及計(jì)算，在此過程中切換用戶的時(shí)候，用戶在資源共享的數(shù)據(jù)信息就有可能泄露，以此對(duì)其造成風(fēng)險(xiǎn)；其三，由于是模擬多租戶的環(huán)境，所以傳統(tǒng)的審計(jì)數(shù)據(jù)沒有辦法滿足云端審計(jì)數(shù)據(jù)的需求。

2.3 基礎(chǔ)軟/硬件安全

在云計(jì)算平臺(tái)安全體系中，要密切注意存在軟/硬件中的預(yù)埋后門風(fēng)險(xiǎn)、（芯片、CPU等）硬件風(fēng)險(xiǎn)、（應(yīng)用軟件、開發(fā)軟件、開發(fā)工具等）軟件風(fēng)險(xiǎn)。

2.4 終端安全

在云計(jì)算平臺(tái)中，由于終端具有不同的設(shè)備及不同的類別，這就大大加強(qiáng)了對(duì)接入和認(rèn)證控制方面的難度。另外終端和服務(wù)器之間主要是對(duì)鍵盤、圖形、鼠標(biāo)、輸入/輸出信號(hào)等信息進(jìn)行傳輸，除了對(duì)遠(yuǎn)程連接方面有安全協(xié)議，對(duì)于其他符合國(guó)家密碼法的信息傳輸?shù)确矫娌]有制定保護(hù)措施或者安全協(xié)議，這造成了這方面存在被修改、竊聽等安全問題。同時(shí)終端還具有計(jì)算和緩存功能，在進(jìn)行信息加密傳輸?shù)倪^程中，就不能確定信息是否被緩存保存，這就使信息有泄露安全風(fēng)險(xiǎn)。

2.5 Paas和SaaS運(yùn)行安全

云計(jì)算平臺(tái)中的管理員有存儲(chǔ)、緩存、計(jì)算等權(quán)利，這就會(huì)造成云計(jì)算管理員權(quán)利受到他方控制的安全隱患。其次在Paas和SaaS運(yùn)行的過程中，各租戶與各租戶之間及各租戶與基礎(chǔ)設(shè)備之間并沒有科學(xué)有效的訪問及隔離控制手段，這就可能會(huì)使各租戶或者基礎(chǔ)設(shè)備造成他方對(duì)其的肆意破壞及攻擊等安全風(fēng)險(xiǎn)。最后在虛擬化背景下，相同的物理服務(wù)器中的節(jié)點(diǎn)具有不同的虛擬服務(wù)器，所以對(duì)兩者的區(qū)分會(huì)有較大的難度，這就造成有多種安全保護(hù)的用戶會(huì)受到訪問限制等一系列的挑戰(zhàn)[2]。

3 云計(jì)算平臺(tái)安全應(yīng)對(duì)措施

針對(duì)云計(jì)算平臺(tái)中虛擬化安全、數(shù)據(jù)存儲(chǔ)安全、基礎(chǔ)軟/硬件安全、終端安全及Paas和SaaS運(yùn)行安全，應(yīng)該采取以下措施，以此使云計(jì)算平臺(tái)可以有一個(gè)安全的運(yùn)行環(huán)境。

3.1 虛擬化安全應(yīng)對(duì)措施

虛擬化存在5種安全隱患，所以也要有5種應(yīng)對(duì)措施。其一，要定期對(duì)云計(jì)算平臺(tái)進(jìn)行漏洞風(fēng)險(xiǎn)掃描、修復(fù)、升級(jí)等，及時(shí)發(fā)現(xiàn)漏洞并且及時(shí)對(duì)其進(jìn)行解決；其二，對(duì)于鏡像、快照文件進(jìn)行加密存儲(chǔ)，保障其是完整且具有機(jī)密性的；其三，可以在虛擬機(jī)向物理機(jī)移動(dòng)的過程中進(jìn)行加密技術(shù)或者限制權(quán)限等技術(shù)，防止其中的文件、信息等被惡意篡改和非法訪問等；其四，可以在虛擬網(wǎng)絡(luò)流量監(jiān)控中使用虛擬標(biāo)記和審計(jì)措施，實(shí)現(xiàn)對(duì)其的實(shí)施監(jiān)控；其五，首先要全面了解虛擬化環(huán)境中的審計(jì)監(jiān)管，對(duì)于虛擬化網(wǎng)絡(luò)及虛擬化硬件資源方面采取細(xì)致的審計(jì)措施，保障對(duì)虛擬機(jī)的監(jiān)控是實(shí)時(shí)且有效的。

3.2 數(shù)據(jù)存儲(chǔ)安全應(yīng)對(duì)措施

數(shù)據(jù)存儲(chǔ)中存在安全隱患，所以也要采取3種應(yīng)對(duì)措施。其一，使用數(shù)據(jù)加密或者磁盤加密等加密措施，使云計(jì)算平臺(tái)中存儲(chǔ)的數(shù)據(jù)具有完整性及機(jī)密性；其二，對(duì)于數(shù)據(jù)的殘留，可以對(duì)其進(jìn)行銷毀，有效地整理數(shù)據(jù)，使數(shù)據(jù)不被泄露；其三，提高數(shù)據(jù)處理、使用、銷毀的周期，為之后的數(shù)據(jù)審計(jì)打下良好基礎(chǔ)。

3.3 基礎(chǔ)軟/硬件安全應(yīng)對(duì)措施

對(duì)于軟/硬件后門風(fēng)險(xiǎn)，可以使用國(guó)產(chǎn)CPU、芯片或者國(guó)產(chǎn)化的軟件來研究及開發(fā)云計(jì)算平臺(tái)，防止軟/硬件安全隱患的發(fā)生。

3.4 終端安全應(yīng)對(duì)措施

首先可以對(duì)終端進(jìn)行統(tǒng)一有效的接入授權(quán)，然后針對(duì)終端在傳輸過程中發(fā)生的泄露信息的風(fēng)險(xiǎn)，對(duì)遠(yuǎn)程傳輸協(xié)議實(shí)施安全加固，使用國(guó)家規(guī)定的密碼算法對(duì)信息傳輸進(jìn)行保護(hù)，使其具有完整性及機(jī)密性。最后可以使用物理斷電對(duì)終端中殘留的敏感信息進(jìn)行清理，使信息徹底消除，降低信息泄露風(fēng)險(xiǎn)。

3.5 Paas和SaaS運(yùn)行安全應(yīng)對(duì)措施

首先可以對(duì)云計(jì)算平臺(tái)中的管理員及虛擬機(jī)的管理員進(jìn)行控制和分配權(quán)限。其次使用虛擬機(jī)隔離、進(jìn)程隔離等隔離方式對(duì)各租戶之間進(jìn)行有效隔離，限制各租戶之間的訪問，降低各租戶的信息泄露風(fēng)險(xiǎn)。最后可以重新構(gòu)建安全芯片，使用密碼隔離對(duì)同一物理機(jī)上存在的風(fēng)險(xiǎn)進(jìn)行安全隔離[3]。

4 結(jié)語

隨著云計(jì)算技術(shù)的不斷發(fā)展，被廣泛運(yùn)用到我國(guó)各行各業(yè)中，云計(jì)算技術(shù)也改變著我們的日常生活。云計(jì)算平臺(tái)在發(fā)展的過程中也會(huì)面臨著不同的安全問題，所以就要對(duì)這些問題制定相應(yīng)的措施，這也是使云計(jì)算技術(shù)可持續(xù)發(fā)展的有效途徑。

參考文獻(xiàn)

[1] 徐宗標(biāo).云計(jì)算平臺(tái)安全體系及應(yīng)對(duì)措施[J].電信技術(shù)， 2014（2）：36-39.

[2] 姚永暉，張韜.基于云計(jì)算平臺(tái)設(shè)計(jì)的一種安全體系架構(gòu)[J].廣播與電視技術(shù)，2011，38（9）：118-123.

[3] 張彥超，趙爽.基于云計(jì)算的電子政務(wù)公共平臺(tái)：安全風(fēng)險(xiǎn)與應(yīng)對(duì)策略[J].電信網(wǎng)技術(shù)，2014（2）：44-47.