李中奎

摘 要：互聯(lián)網(wǎng)+時(shí)代的到來(lái)，將信息系統(tǒng)的邊界打破，已經(jīng)不再適用以邊界防護(hù)為核心的傳統(tǒng)信息安全防護(hù)體系。而制約云服務(wù)發(fā)展的關(guān)鍵性因素，就是云安全問(wèn)題。目前，云服務(wù)包括兩大責(zé)任主體，既云服務(wù)提供者和服務(wù)客戶。論文基于云服務(wù)信息安全的現(xiàn)狀，探究和分析了云服務(wù)系統(tǒng)的常見的安全隱患，并提出了相應(yīng)的信息安全防護(hù)措施。

關(guān)鍵詞：云服務(wù)；互聯(lián)網(wǎng)+；安全防護(hù)

中圖分類號(hào)：TN915.08 文獻(xiàn)標(biāo)識(shí)碼：C

Abstract： With the advent of the Internet era， the boundary of information system is broken， which is no longer suitable for the traditional information security protection system with boundary protection as its core. The key factor restricting the development of cloud services is cloud security. At present， cloud service consists of two major responsible parties， both cloud service providers and service customers. Based on the present situation of cloud service information security， this paper probes into and analyzes the common hidden dangers of cloud service system， and puts forward the corresponding information security protection measures.

Key words： cloud services； internet； security protection

1 引言

互聯(lián)網(wǎng)+時(shí)代，云服務(wù)有著越來(lái)越廣泛的運(yùn)用，涉及到電子商務(wù)、金融、政務(wù)等各行各業(yè)，并逐漸成為信息技術(shù)和IT基礎(chǔ)服務(wù)的關(guān)鍵設(shè)施。云服務(wù)憑借著按需服務(wù)、可拓展性和靈活性等獨(dú)特優(yōu)勢(shì)，為用戶提供的服務(wù)更加便捷。但在云服務(wù)發(fā)展過(guò)程中，阻礙其發(fā)展的首要因素，就是信息安全問(wèn)題。如何進(jìn)行云服務(wù)系統(tǒng)安全防護(hù)技術(shù)體系的設(shè)計(jì)，是本文重點(diǎn)探討的課題。

2 云服務(wù)系統(tǒng)的常見安全隱患

2.1 數(shù)據(jù)傳輸方面的安全隱患

一個(gè)企業(yè)的核心競(jìng)爭(zhēng)力，往往和企業(yè)的機(jī)密數(shù)據(jù)有著直接的聯(lián)系。一旦泄露機(jī)密數(shù)據(jù)，會(huì)給企業(yè)帶來(lái)帶來(lái)巨大的威脅?；跈C(jī)密數(shù)據(jù)的重要性，互聯(lián)網(wǎng)+時(shí)代，企業(yè)往往會(huì)在數(shù)據(jù)中心儲(chǔ)存機(jī)密信息，以此使機(jī)密數(shù)據(jù)丟失和泄密的發(fā)生率降低。而在云服務(wù)環(huán)境下，在向云服務(wù)器傳輸核心數(shù)據(jù)的過(guò)程中，會(huì)有諸多問(wèn)題存在。若是沒(méi)有嚴(yán)格進(jìn)行加密，會(huì)造成第三方的竊取和篡改。例如，企業(yè)上傳的數(shù)據(jù)被云計(jì)算服務(wù)商竊取之后，會(huì)使數(shù)據(jù)泄露的風(fēng)險(xiǎn)進(jìn)一步加大。再比如，在云端存儲(chǔ)數(shù)據(jù)時(shí)，為了保證用戶訪問(wèn)的合法性，就必須要對(duì)訪問(wèn)權(quán)限合理分配。由此可見，為了對(duì)企業(yè)機(jī)密數(shù)據(jù)的安全性提供保障，應(yīng)高度重視數(shù)據(jù)數(shù)據(jù)傳輸過(guò)程中的安全隱患問(wèn)題。

2.2 數(shù)據(jù)存儲(chǔ)方面的安全隱患

首先，是數(shù)據(jù)隔離。實(shí)現(xiàn)云服務(wù)的核心應(yīng)用技術(shù)，就是虛擬化技術(shù)。一旦惡意用戶運(yùn)用非法手段獲取虛擬機(jī)操作權(quán)限，就會(huì)嚴(yán)重威脅到同一臺(tái)物理服務(wù)器全部虛擬機(jī)中的儲(chǔ)存數(shù)據(jù)的安全。

其次，數(shù)據(jù)隱私風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)+時(shí)代，在世界各地都廣泛分布著云計(jì)算下的云服務(wù)器。在各個(gè)服務(wù)器中，會(huì)隨機(jī)存儲(chǔ)企業(yè)上傳到云端的數(shù)據(jù)。而用戶對(duì)自己上傳數(shù)據(jù)的具體存儲(chǔ)位置，首先并不了解，同時(shí)用戶一旦在云端上傳數(shù)據(jù)，則優(yōu)先訪問(wèn)的權(quán)利會(huì)被云計(jì)算服務(wù)商所享有，由此會(huì)使數(shù)據(jù)被篡改、隱私泄密的風(fēng)險(xiǎn)進(jìn)一步加大。

最后，是數(shù)據(jù)審計(jì)?；ヂ?lián)網(wǎng)+時(shí)代，云計(jì)算服務(wù)商既要為第三方機(jī)構(gòu)提供必要的數(shù)據(jù)支持，同時(shí)又要保障企業(yè)的數(shù)據(jù)安全，由此為云計(jì)算服務(wù)商帶來(lái)了難度和挑戰(zhàn)。企業(yè)在選擇和評(píng)估能夠長(zhǎng)期合作的云服務(wù)商時(shí)，也需要將數(shù)據(jù)的安全問(wèn)題作為首要條件，著重是考慮云服務(wù)環(huán)境下，服務(wù)商所提供數(shù)據(jù)的安全性和有效性。

2.3 其他方面的安全隱患

首先，是安全邊界消失問(wèn)題。資源技術(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，在云服務(wù)環(huán)境下的存儲(chǔ)所呈現(xiàn)的特征為統(tǒng)一化和集成化，由此會(huì)逐漸消失傳統(tǒng)的安全邊界。因?yàn)樗扇〉陌踩雷o(hù)策略針對(duì)性匱乏，會(huì)對(duì)網(wǎng)絡(luò)信息的安全性帶來(lái)直接的影響。

其次，是可靠性和穩(wěn)定性問(wèn)題。虛擬化服務(wù)是云服務(wù)環(huán)境下各種業(yè)務(wù)和數(shù)據(jù)的支撐和保障。因此針對(duì)云服務(wù)系統(tǒng)，當(dāng)前的容災(zāi)恢復(fù)能力、信息安全策略和事件處理審計(jì)都很難提供滿足。

最后，是虛擬化技術(shù)的應(yīng)用問(wèn)題。虛擬技術(shù)是核心技術(shù)，也是云服務(wù)的關(guān)鍵性技術(shù)。盡管虛擬化技術(shù)能夠?qū)T資源的靈活性和效率有效改善，但是因?yàn)楹茈y管理虛擬網(wǎng)絡(luò)和虛擬機(jī)等虛擬設(shè)備，因此，極容易帶來(lái)電腦病毒、安全漏洞等問(wèn)題，由此會(huì)誘發(fā)信息共享等風(fēng)險(xiǎn)。如圖1所示。

3 互聯(lián)網(wǎng)+的云服務(wù)系統(tǒng)安全防護(hù)策略

3.1 加強(qiáng)云服務(wù)系統(tǒng)基礎(chǔ)設(shè)施的安全管理

基礎(chǔ)設(shè)施作為云服務(wù)的運(yùn)行平臺(tái)，若是有較弱的配置存在，則必然會(huì)有一定的漏洞和安全風(fēng)險(xiǎn)存在，由此不能充分保障相應(yīng)的信息安全問(wèn)題。為此，加強(qiáng)信息安全防護(hù)的主要策略之一，就是進(jìn)一步加強(qiáng)云服務(wù)基礎(chǔ)設(shè)施的安全管理，明確云計(jì)算服務(wù)的兩大責(zé)任主體的責(zé)任邊界。只有遵循相關(guān)職責(zé)，對(duì)云計(jì)算信息系統(tǒng)和云計(jì)算平臺(tái)的相關(guān)范圍、對(duì)象和目標(biāo)進(jìn)行明確，才能更好的實(shí)施安全建設(shè)、規(guī)劃和設(shè)計(jì)。

一是為了有效預(yù)防地址欺騙的現(xiàn)象，統(tǒng)一規(guī)劃和管理基礎(chǔ)網(wǎng)絡(luò)IP劃，并且綁定操作相關(guān)節(jié)點(diǎn)中斷與服務(wù)器的MAC、IP。

二是針對(duì)網(wǎng)絡(luò)核心設(shè)備，需要采取科學(xué)的措施，有效備份集合鏈路冗余，同時(shí)通過(guò)監(jiān)測(cè)異常流量，將互聯(lián)網(wǎng)對(duì)DDOS的攻擊及時(shí)發(fā)現(xiàn)和阻斷。

三是還應(yīng)在DMZ內(nèi)網(wǎng)與互聯(lián)網(wǎng)接入點(diǎn)與DMZ之間設(shè)置防火墻，以此保障云計(jì)算服務(wù)的連續(xù)性和穩(wěn)定性。

四是應(yīng)加固處理應(yīng)用系統(tǒng)的主機(jī)設(shè)備，以保障其安全性，同時(shí)關(guān)閉那些不使用的端口和組件，利用補(bǔ)丁控制數(shù)據(jù)庫(kù)、虛擬機(jī)以及操作系統(tǒng)，還可將各類軟件產(chǎn)品安裝信息中心部署IDS/IPS設(shè)備中，以查殺病毒、實(shí)時(shí)監(jiān)測(cè)、惡意代碼等，對(duì)系統(tǒng)的安全性提供保障。

3.2 確定定級(jí)對(duì)象并劃分管理職責(zé)

首先，建設(shè)云計(jì)算平臺(tái)的依據(jù)和重要指導(dǎo)，就是云安全防護(hù)技術(shù)，為此在云安全防護(hù)體系的過(guò)程中，融入等級(jí)保護(hù)思想。

其次，在云計(jì)算保護(hù)環(huán)境中，集合了云服務(wù)客戶在云計(jì)算平臺(tái)上部署的相關(guān)組件和軟件，是云服務(wù)商的云計(jì)算平臺(tái)。為此，由運(yùn)服務(wù)商負(fù)責(zé)依據(jù)等級(jí)的保護(hù)工作，確定云計(jì)算平臺(tái)的等級(jí)保護(hù)定級(jí)，使云計(jì)算的平臺(tái)的安全保護(hù)等級(jí)不應(yīng)低于最高安全保護(hù)等級(jí)。

最后，劃分定級(jí)對(duì)象管理職責(zé)，是定級(jí)的重點(diǎn)，結(jié)合不同的云服務(wù)模式，來(lái)劃分不同的職責(zé)邊界。而遵循數(shù)據(jù)安全管理職責(zé)不變的原則，由云服務(wù)商負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)，而云計(jì)算平臺(tái)提供的安全功能和服務(wù)，則決定了能否實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)和傳輸?shù)谋Ｃ苄源胧┖屯暾浴?/p>

3.3 對(duì)云計(jì)算服務(wù)系統(tǒng)運(yùn)行環(huán)境不斷優(yōu)化

云計(jì)算服務(wù)運(yùn)行環(huán)境的優(yōu)劣會(huì)直接影響到信息安全防護(hù)效果。為此，在制定防護(hù)策略時(shí)候，應(yīng)高度重視運(yùn)行環(huán)境的優(yōu)化問(wèn)題。充分運(yùn)用信任管理、訪問(wèn)控制和身份認(rèn)證等科學(xué)技術(shù)，預(yù)防不良用戶的蓄意攻擊。

一是身份認(rèn)證。可進(jìn)行集中用戶的認(rèn)證，在硬件信息綁定、數(shù)字證書和生物特征的基礎(chǔ)上，嚴(yán)格遵循網(wǎng)絡(luò)與服務(wù)來(lái)劃分用戶級(jí)別，并給予集中授權(quán)。通過(guò)自動(dòng)鎖定連續(xù)出錯(cuò)賬戶，有機(jī)的結(jié)合賬號(hào)推出檢測(cè)等功能，嚴(yán)格管理用戶的身份認(rèn)證問(wèn)題。

二是訪問(wèn)控制。為了更好的與云環(huán)境相適應(yīng)，可構(gòu)建強(qiáng)制訪問(wèn)機(jī)制，維護(hù)數(shù)據(jù)安全。

三是信任管理?？稍诤藢?shí)、授權(quán)信任級(jí)別的基礎(chǔ)上，利用用戶跟蹤與獲取，來(lái)規(guī)范和監(jiān)督用戶行為，進(jìn)而更好的量化和評(píng)估用戶行為數(shù)據(jù)等環(huán)節(jié)，最終完成信任管理，通過(guò)以上過(guò)程，更好地保障用戶的信息安全問(wèn)題。

4 結(jié)束語(yǔ)

互聯(lián)網(wǎng)+時(shí)代的到來(lái)，帶給我們機(jī)遇的同時(shí)，也帶來(lái)一些嚴(yán)峻的挑戰(zhàn)。通過(guò)對(duì)云服務(wù)系統(tǒng)安全防護(hù)的相關(guān)關(guān)鍵性技術(shù)的梳理能夠看出，目前相關(guān)研究還不充分，完整的安全防護(hù)體系還沒(méi)有完全構(gòu)建。所以，數(shù)據(jù)安全防護(hù)任務(wù)漫長(zhǎng)而艱巨，只有完美結(jié)合相關(guān)政策法規(guī)和技術(shù)手段，才能使數(shù)據(jù)安全與數(shù)據(jù)泄露的保護(hù)問(wèn)題得到根本性的解決。同時(shí)，只有不斷創(chuàng)新安全防護(hù)技術(shù)，才能對(duì)數(shù)據(jù)安全提供保障。而在云服務(wù)背景下，只有對(duì)標(biāo)準(zhǔn)化的云服務(wù)體系進(jìn)行建立和健全，才能從多個(gè)方面保障云服務(wù)的信息安全，由此對(duì)云服務(wù)的健康、可持續(xù)發(fā)展，發(fā)揮積極的推動(dòng)作用。

參考文獻(xiàn)

[1] 張旭輝.運(yùn)營(yíng)商云數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)研究綜述[J].中國(guó)新通信，2015，17（09）：19-20.

[2] 肖貴福.基于虛擬化安全網(wǎng)絡(luò)擴(kuò)展的SDN安全架構(gòu)[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2014（21）：6-10+17.

[3] 李軍，王翔.云數(shù)據(jù)中心網(wǎng)絡(luò)安全的新挑戰(zhàn)[J].保密科學(xué)技術(shù)，2013（08）：6-11+1.

[4] 張新濤，周君平，杜佳穎，孫鑫紅.云數(shù)據(jù)中心的安全虛擬網(wǎng)絡(luò)[J].信息安全與通信保密，2012（11）：85-88.