楊威（商丘醫(yī)學(xué)高等?？茖W(xué)校，河南商丘,476100）

云計算安全對高校云服務(wù)的影響探討

楊威
（商丘醫(yī)學(xué)高等?？茖W(xué)校，河南商丘,476100）

云計算的應(yīng)用將數(shù)據(jù)存儲、網(wǎng)絡(luò)服務(wù)由用戶桌面推向了Web，實現(xiàn)了高校各項事務(wù)的快速高效運行，也降低了硬件資源成本。但同時，隨著云計算的拓展，其安全問題越來越受到關(guān)注。如用戶信息在云端更易受到黑客攻擊、蓄意竊取等非法利用。為此，基于云計算安全現(xiàn)狀，探討高校云計算安全性分析及參考模型，并從相關(guān)技術(shù)來提出解決云計算安全的對策和思路。

高校云服務(wù)；云計算；安全服務(wù)

0 引言

云計算的應(yīng)用，從提升高校網(wǎng)絡(luò)整體格局上發(fā)揮了積極作用，但相伴的安全問題，特別是用戶信息可能遭遇的非法利用、惡意攻擊等困擾。為此，從云計算安全技術(shù)平臺的穩(wěn)定運行上來探討安全技術(shù)策略就顯得尤為關(guān)鍵。

1 云計算及云安全技術(shù)

云計算所采用的云技術(shù)，包含了用戶硬件、軟件及運行機構(gòu)的所有網(wǎng)絡(luò)化資源，如網(wǎng)絡(luò)技術(shù)、P2P技術(shù)等分布式計算等。在云技術(shù)應(yīng)用中，由于融合了多重網(wǎng)格計算，對可能出現(xiàn)的未知病毒行為、并行處理等技術(shù)難以進(jìn)行有效判斷，特別是云計算用戶隱私信息、數(shù)據(jù)的異地存儲、云平臺穩(wěn)定性等諸多安全問題，制約了云計算服務(wù)的健康發(fā)展。

云安全技術(shù)是現(xiàn)代網(wǎng)絡(luò)信息時代保障云計算安全的新興技術(shù)，基于云計算數(shù)據(jù)處理機制，來有效防范可能的網(wǎng)絡(luò)威脅與非法入侵。其核心技術(shù)是在云端利用風(fēng)險數(shù)據(jù)庫，及時動態(tài)的評估網(wǎng)絡(luò)數(shù)據(jù)的風(fēng)險程度，并利用云端安全子系統(tǒng)來阻止高風(fēng)險入侵行為，保障云計算平臺零污染、零接觸的防護(hù)。如利用行為關(guān)聯(lián)分析技術(shù)，來評估網(wǎng)絡(luò)信息交互行為是否存在潛在風(fēng)險，利用相關(guān)性分析技術(shù)來判斷是否為惡意攻擊行為；利用文件信譽服務(wù)來查詢位于云計算平臺中不同端點、服務(wù)器的文件信譽，依據(jù)已知的惡性文件清單、良性文件清單來對照檢查；利用自動反饋機制來實現(xiàn)威脅行為與安全技術(shù)檢測之間的雙向信息交互，確保對每個用戶的路由信譽進(jìn)行安全檢查；利用Web信譽服務(wù)來檢測可疑的軟件行為，特別是對于網(wǎng)站頁面、歷史記錄中的可疑跡象，確定其信譽分?jǐn)?shù)，并追蹤其可信度；利用白名單技術(shù)來降低誤報率。

2 高校云計算安全管理現(xiàn)狀及主要云安全問題

從云計算的應(yīng)用到云安全防護(hù)技術(shù)，最早由瑞星提出的云安全計劃，將維護(hù)云端數(shù)據(jù)安全，制定云計算發(fā)展信息安全管理作為重要任務(wù)。隨之而來的云安全研究，涵蓋了整個信息技術(shù)領(lǐng)域。高校在云計算安全部署及實踐中，典型的安全問題表現(xiàn)在以下幾個方面。一是對云安全的認(rèn)知不足，導(dǎo)致云使用安全問題。如在Iaas供應(yīng)商進(jìn)行云服務(wù)注冊登記時，僅需要有效憑證就可以立即使用云服務(wù)，由此可能帶來某種惡意的濫用行為，特別是一些網(wǎng)絡(luò)犯罪分子，可能會采用發(fā)送惡意軟件的行為來攻擊云網(wǎng)絡(luò)。二是云共享技術(shù)缺乏關(guān)聯(lián)性，特別是一些云服務(wù)提供商所建立的云安全檢查技術(shù)，不能適用于其他不同架構(gòu)的云網(wǎng)絡(luò)，導(dǎo)致安全隔離能力不足；三是API安全性不高，云端用戶的云安全管理主要是提供API來實現(xiàn)的，但其安全性又存在數(shù)據(jù)泄露風(fēng)險；四是內(nèi)部管理人員的惡意風(fēng)險行為，對于缺乏云安全管理的具體流程，其內(nèi)部人員可能存在惡意風(fēng)險威脅；五是其他未知的風(fēng)險威脅，如共享用戶基礎(chǔ)設(shè)施安全風(fēng)險、網(wǎng)絡(luò)入侵者對重定向信息的非法獲取，云端用戶的安全配置環(huán)境存在風(fēng)險，如存在漏洞、軟件版本過低等。

3 高校云服務(wù)安全性分析

高校云服務(wù)包含三層，即IaaS基礎(chǔ)服務(wù)層、PaaS平臺服務(wù)層和SaaS軟件服務(wù)層。每一層根據(jù)其提供的服務(wù)又存在各自的安全問題。

3.1 IaaS基礎(chǔ)服務(wù)層安全性分析

對于基礎(chǔ)服務(wù)層，在云服務(wù)中主要是向用戶提供基礎(chǔ)設(shè)施服務(wù)功能，包括網(wǎng)絡(luò)、存儲、計算資源，以及滿足用戶部署相應(yīng)的軟硬件系統(tǒng)。對于基礎(chǔ)服務(wù)層安全，用戶無需控制云計算任何設(shè)施，但可以通過操作系統(tǒng)來選擇、使用存儲空間。結(jié)合高校云服務(wù)基礎(chǔ)設(shè)施層的共享服務(wù)，用戶可以根據(jù)需求來使用CPU、內(nèi)存及其他存儲空間。但對于非法用戶，可能會對存儲空間等硬件資源進(jìn)行非法訪問，或者利用攻擊軟件來侵占其他網(wǎng)絡(luò)資源，從而帶來基礎(chǔ)平臺網(wǎng)絡(luò)風(fēng)險。由于IaaS在私有云和公共云所提供的服務(wù)具有差異性，高?？梢詫ζ渌峁┑乃接性品?wù)制定相應(yīng)的安全訪問控制策略，但對于公共云服務(wù)，主要利用虛擬機服務(wù)來自行創(chuàng)建滿足用戶訪問的基礎(chǔ)服務(wù)。但無論是公共云還是私有云用戶，在基礎(chǔ)層都可能數(shù)據(jù)泄露、認(rèn)證與授權(quán)、數(shù)據(jù)監(jiān)視等安全問題。

3.2 PaaS平臺服務(wù)層安全性分析

PaaS平臺服務(wù)層是滿足用戶進(jìn)行應(yīng)用軟件開發(fā)及部署云計算服務(wù)的基礎(chǔ)設(shè)施，用戶無需直接控制底層云計算設(shè)施，但卻可以通過部署應(yīng)用程序，來獲取操作系統(tǒng)、網(wǎng)絡(luò)、存儲空間及服務(wù)器的服務(wù)，也可以通過應(yīng)用程序來進(jìn)行托管環(huán)境的配置。在PaaS平臺服務(wù)層，每一個實例都有權(quán)限，這些實例通過權(quán)限框架來共享相應(yīng)的資源，但對于權(quán)限配置策略，也可能存在潛在風(fēng)險。如一些程序執(zhí)行漏洞、一些補丁程序、一些系統(tǒng)記錄檔案等，可能被非法用戶攻擊或竊取，從而帶來安全威脅。

3.3 SaaS軟件服務(wù)層安全性分析

對于軟件服務(wù)層，用戶可以根據(jù)客戶端訪問云計算設(shè)備及基礎(chǔ)設(shè)施，而對于軟件服務(wù)層，又與互聯(lián)網(wǎng)共享使用。用戶在SaaS軟件服務(wù)層所生成的數(shù)據(jù)，會借助于互聯(lián)網(wǎng)的傳輸后在瀏覽器進(jìn)行反饋與顯示，而對于訪問數(shù)據(jù)本身在傳輸中可能存在的安全性問題，如數(shù)據(jù)泄露、數(shù)據(jù)丟失、未知的數(shù)據(jù)訪問風(fēng)險等，特別是網(wǎng)絡(luò)黑客的攻擊行為可能帶來數(shù)據(jù)存儲的安全問題。

4 高校云服務(wù)中云安全技術(shù)分析及影響

從高校云服務(wù)實施現(xiàn)狀來看，各類廠商所提供的云安全技術(shù)及服務(wù)不斷增多，也為高校云服務(wù)提供了安全保障。

4.1 對高校云基礎(chǔ)設(shè)施的影響

基礎(chǔ)設(shè)施是提供云計算的基礎(chǔ)，也是保障云服務(wù)的前提?；A(chǔ)設(shè)施的安全主要由硬件、軟件構(gòu)成，并對可能存在的安全威脅進(jìn)行防御和隔離。如數(shù)據(jù)冗余備份系統(tǒng)、容災(zāi)保護(hù)系統(tǒng)，非法訪問入侵檢測技術(shù)，以及數(shù)據(jù)加密技術(shù)、數(shù)據(jù)殘留等技術(shù)。數(shù)據(jù)冗余備份技術(shù)，主要是從數(shù)據(jù)存儲管理上，來實現(xiàn)數(shù)據(jù)的備份與還原，提升高校云服務(wù)系統(tǒng)數(shù)據(jù)的健壯性，能夠確保對某些數(shù)據(jù)丟失而帶來的數(shù)據(jù)有效恢復(fù)功能。數(shù)據(jù)隔離技術(shù)是結(jié)合高校云平臺，從保障各個用戶的數(shù)據(jù)安全，保護(hù)用戶有效隱私和安全可靠性上，采用虛擬化技術(shù)來保障用戶數(shù)據(jù)的隔離，防范其他不良行為對用戶數(shù)據(jù)的竊取或破壞。訪問控制及身份認(rèn)證技術(shù)，主要是從維護(hù)云服務(wù)安全體系上，利用訪問控制及身份認(rèn)證方式來保障數(shù)據(jù)私密性、安全性，防范用戶信息、資源不被非法用戶竊取、濫用。

4.2 對高校云平臺的影響

高校云服務(wù)平臺是高校的數(shù)據(jù)中心，在確保云服務(wù)正常運行時，需要從系統(tǒng)故障的發(fā)現(xiàn)、有效的解決方案制定上來實現(xiàn)對數(shù)據(jù)中心資源的動態(tài)優(yōu)化和配置。利用數(shù)據(jù)監(jiān)控系統(tǒng)，可以從物理服務(wù)器、網(wǎng)絡(luò)資源、應(yīng)用軟件及虛擬機系統(tǒng)監(jiān)控中來保障數(shù)據(jù)中心的穩(wěn)定運行?？尚旁朴嬎闶墙陙碓朴嬎惆踩难芯繜狳c，在高校云服務(wù)環(huán)境引入可信云計算計算，從可信賴方式來解決虛擬機技術(shù)的安全問題，并從可信云計算、虛擬技術(shù)的融合應(yīng)用中來保障數(shù)據(jù)的完整性、私密性。

5 結(jié)語

高校云計算安全是一項系統(tǒng)化工程，涉及到云計算網(wǎng)絡(luò)、存儲、計算等多個方面。作為未來高校云服務(wù)研究的重要方向，加強對云計算安全風(fēng)險的防范，建立多重安全可靠的云服務(wù)安全體系，來提升高校信息資源的共享與合理分配，來提升高校教育資源的運行水平。當(dāng)然，面對云計算安全威脅及挑戰(zhàn)，未來高校云服務(wù)安全問題，還需要各界的共同參與和研究，來制定妥善的高校云服務(wù)安全可行性方案，來迎接云計算安全帶來的挑戰(zhàn)。

[1]章才能,蘭宇琳.基于云端的高校數(shù)字化校園云安全技術(shù)研究[J].軟件導(dǎo)刊,2015,(08):3-6.

[2]林闖,蘇文博,孟坤,劉渠,劉衛(wèi)東.云計算安全:架構(gòu)、機制與模型評價[J].計算機學(xué)報,2013,(09):1765-1784.

[3]劉曉梅. 高校中云安全技術(shù)策略分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(06):82-83.

[4]張培晶,冉春風(fēng),顧益軍. 高校數(shù)據(jù)中心云計算平臺安全研究[J].中國人民公安大學(xué)學(xué)報(自然科學(xué)版),2015,(03):44-51.

The impact of cloud computing security on cloud services in Colleges and Universities

Yang Wei
(Shangqiu Medical College,Shangqiu Henan,476100)

the application of cloud computing to the data storage, network services from the user's desktop to the Web, to achieve the rapid and efficient operation of the various affairs of colleges and universities, but also reduces the cost of hardware resources. But at the same time, with the development of cloud computing, its security issues are more and more attention. Such as user information in the cloud more vulnerable to hacker attacks, illegal use of intentional theft. Therefore, based on the current situation of cloud computing security, this paper discusses the security analysis and reference model of cloud computing in Colleges and universities, and puts forward some countermeasures to solve the problem of cloud computing security

cloud services; cloud computing; security services