武寶珠 李小玲

摘要：云計(jì)算是通過(guò)互聯(lián)網(wǎng)按需、易擴(kuò)展的方式獲取服務(wù)，是引領(lǐng)未來(lái)信息產(chǎn)業(yè)的浪潮。該文針對(duì)云計(jì)算環(huán)境的web應(yīng)用數(shù)據(jù)安全問(wèn)題，分析了問(wèn)題存在的原因，闡述了web應(yīng)用的三種檢測(cè)技術(shù)，最后提出了云計(jì)算的web應(yīng)用數(shù)據(jù)安全的幾種防范策略。

關(guān)鍵詞：云計(jì)算；web數(shù)據(jù)安全；web應(yīng)用；網(wǎng)絡(luò)安全；安全檢測(cè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）13-0055-02

Discussion on the Data Security of Web Application in Cloud Computing Environment

WU Bao-zhu1 ，LI Xiao-ling2

（1.Jiangxi College of Foreign Studies，Nanchang 330099，China；2.Nanchang University Gongqing College，Jiujiang 332020，China）

Abstract：Cloud computing is to get services through the Internet in on-demand and extensible way， and it is the wave of the future information industry.This paper analyzes the problem of web application data security in cloud computing， analyzes the reasons for the problem， expounds three detection techniques of web application， and finally puts forward several prevention strategies for web application data security in cloud computing.

Key words： cloud computing；web data security； web application； network security ；safety inspection

1 引言

云計(jì)算中的軟件和硬件資源可以通過(guò)互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶，這些資源以分布式的存儲(chǔ)方式存儲(chǔ)在云端，用戶按自己的需要使用云端的資源，在給用戶帶來(lái)方便的同時(shí)，云計(jì)算環(huán)境中存在的web數(shù)據(jù)安全問(wèn)題也越來(lái)越引起人們關(guān)注，遠(yuǎn)江盛邦信息技術(shù)有限公司（webRay）于2013年10月份，配合公安部對(duì)全國(guó)域名的5萬(wàn)多個(gè)政府網(wǎng)站進(jìn)行web數(shù)據(jù)安全檢查任務(wù)摸底，其中65%網(wǎng)站存在問(wèn)題，而教育行業(yè)51%的網(wǎng)站受到過(guò)攻擊。究其原因是，教育管理相對(duì)復(fù)雜，而學(xué)生是相對(duì)活躍的網(wǎng)絡(luò)用戶，web信息傳播速度快，部門門戶網(wǎng)站、國(guó)家部委級(jí)網(wǎng)站的二三級(jí)頁(yè)面也有被黑現(xiàn)象。僅在 2015年上半年，我國(guó)就有 4起重大web信息泄漏事件曝光，主要包括移動(dòng)應(yīng)用分發(fā)渠道、旅行住宿、衛(wèi)生社保等web數(shù)據(jù)的用戶資料外泄。由此可見(jiàn)云計(jì)算環(huán)境下的web數(shù)據(jù)安全問(wèn)題非常嚴(yán)重。

2 云計(jì)算相關(guān)技術(shù)

云計(jì)算是目前全球范圍內(nèi)最值得期待的技術(shù)革命，它以其動(dòng)態(tài)的資源分配，按需服務(wù)的設(shè)計(jì)理念，以較低成本解決海量web數(shù)據(jù)處理的獨(dú)特魅力，為技術(shù)革命創(chuàng)造希望[1]。云計(jì)算的核心技術(shù)包括虛擬化技術(shù)、數(shù)據(jù)分布式存儲(chǔ)、數(shù)據(jù)管理和云監(jiān)測(cè)及能耗管理等技術(shù)[2]。

2.1 虛擬化技術(shù)

云計(jì)算是利用虛擬化技術(shù)構(gòu)建可擴(kuò)置、易配置和按量按需提供的計(jì)算與存儲(chǔ)資源。虛擬化技術(shù)將IO設(shè)備、內(nèi)存、計(jì)算和存儲(chǔ)資源集中成一個(gè)強(qiáng)大的虛擬數(shù)據(jù)中心及資源池，為整個(gè)網(wǎng)絡(luò)提供服務(wù)[3]。

2.2 數(shù)據(jù)分布式存儲(chǔ)

采用分布式存儲(chǔ)的方式來(lái)存儲(chǔ)數(shù)據(jù)來(lái)保證存儲(chǔ)數(shù)據(jù)的高可靠性，通過(guò)高可靠的軟件來(lái)彌補(bǔ)硬件的不可靠，以實(shí)現(xiàn)能為用戶提供經(jīng)濟(jì)的可靠系統(tǒng)。

2.3 數(shù)據(jù)管理

高效地管理海量數(shù)據(jù)集是云計(jì)算數(shù)據(jù)管理技術(shù)的關(guān)鍵，有效地在數(shù)據(jù)集群中找到特定的數(shù)據(jù)是數(shù)據(jù)管理技術(shù)的基礎(chǔ)。云計(jì)算數(shù)據(jù)管理技術(shù)主要采用行和列的存儲(chǔ)方式對(duì)數(shù)據(jù)進(jìn)行管理，保證海量數(shù)據(jù)存儲(chǔ)和分析性能。云計(jì)算最著名的數(shù)據(jù)管理技術(shù)是Google的BigTable和Apache下Hadoop開(kāi)源組織團(tuán)隊(duì)的HBase數(shù)據(jù)管理技術(shù)[4]。

2.4 云監(jiān)測(cè)及能耗管理等技術(shù)

云監(jiān)測(cè)是體現(xiàn)云計(jì)算的強(qiáng)大計(jì)算處理能力而設(shè)置的對(duì)虛擬機(jī)進(jìn)行監(jiān)控的能力。能耗管理是如何節(jié)省云端設(shè)施中計(jì)算設(shè)施所需要的能源和資源，來(lái)節(jié)省能耗開(kāi)銷，從而降低運(yùn)營(yíng)的成本。

3利用云計(jì)算環(huán)境搭建web應(yīng)用的優(yōu)勢(shì)

云計(jì)算有很多優(yōu)勢(shì)，可以提高資源的利用率、減少投入成本、降低運(yùn)營(yíng)的成本[5]。利用云計(jì)算環(huán)境來(lái)搭建web應(yīng)用，可大大降低web應(yīng)用建設(shè)中的軟硬件成本。云計(jì)算用于web應(yīng)用的主要形式有SAAS軟件服務(wù)，包括門戶網(wǎng)站、OA、CRM、ERP等系統(tǒng)集成在統(tǒng)一平臺(tái)上，通過(guò)瀏覽器，把程序傳給成終端用戶，企業(yè)可以用同一個(gè)系統(tǒng)供多用戶使用，并節(jié)省大量IT資源，無(wú)須進(jìn)行一次性的IT投入，省去了安裝和管理軟件和硬件的費(fèi)用，按自己的實(shí)際使用情況來(lái)付費(fèi)，這樣無(wú)形中使得企業(yè)的經(jīng)濟(jì)效益達(dá)到最大化。

目前，各級(jí)大中小型企業(yè)都配備大量的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備，但是隨著計(jì)算機(jī)技術(shù)與企業(yè)需求的更新?lián)Q代，企業(yè)往往需要花費(fèi)一大筆錢來(lái)購(gòu)買新的設(shè)備和升級(jí)軟件。這樣就有很多早期儲(chǔ)存容量比較小的計(jì)算機(jī)會(huì)被企業(yè)淘汰。依靠云計(jì)算，企業(yè)仍可以繼續(xù)使用這些舊的計(jì)算機(jī)作為終端設(shè)備接入網(wǎng)絡(luò)獲取所需的服務(wù)，從而大大降低企業(yè)計(jì)算機(jī)系統(tǒng)中的成本。

4云計(jì)算環(huán)境的web應(yīng)用數(shù)據(jù)安全問(wèn)題

web應(yīng)用數(shù)據(jù)存儲(chǔ)在云端，存在被攻擊的威脅，目前圍繞云計(jì)算web數(shù)據(jù)安全的斗爭(zhēng)愈演愈烈，軟件本身可能存在漏洞，黑客攻擊云計(jì)算數(shù)據(jù)中心存在信息泄露和服務(wù)癱瘓的威脅，各種新攻擊和防護(hù)技術(shù)層出不窮。這些新攻擊和防護(hù)技術(shù)所帶來(lái)的web數(shù)據(jù)安全問(wèn)題尤其突出，因此很有必要對(duì)這些新攻擊和防護(hù)技術(shù)所帶來(lái)的web數(shù)據(jù)安全問(wèn)題進(jìn)行系統(tǒng)分析。我國(guó)基于云計(jì)算的web數(shù)據(jù)安全問(wèn)題越來(lái)越嚴(yán)峻，造成這種局面的主要原因有如下幾個(gè)方面：

4.1 資金投入較低

目前國(guó)內(nèi)信息安全投入不足1%，遠(yuǎn)遠(yuǎn)低于美國(guó)和日本[6]。目前國(guó)內(nèi)企業(yè)在web應(yīng)用數(shù)據(jù)安全建設(shè)方面的重視和投入都不足，應(yīng)對(duì)像勒索病毒的攻擊還是有很大的提升空間。

4.2 防護(hù)水平不高

web應(yīng)用數(shù)據(jù)安全防護(hù)水平不高，應(yīng)急能力也不強(qiáng)，web應(yīng)用數(shù)據(jù)安全管理和技術(shù)人才比較缺乏，關(guān)鍵技術(shù)整體比較落后，再加上長(zhǎng)期缺乏核心競(jìng)爭(zhēng)力，造成web應(yīng)用數(shù)據(jù)安全管理薄弱，有待加強(qiáng)。

4.3 法律法規(guī)有待完善

國(guó)內(nèi)的web信息安全法律法規(guī)和相關(guān)標(biāo)準(zhǔn)不完善，隨著我國(guó)第一部網(wǎng)絡(luò)安全相關(guān)立法《網(wǎng)絡(luò)安全法》于2017年6月1日正式落地實(shí)施，國(guó)家出臺(tái)的這部法律有利于保障網(wǎng)絡(luò)數(shù)據(jù)安全，法治保障體系建設(shè)已初具規(guī)模，但仍然存在著法律法規(guī)內(nèi)容可能重復(fù)交叉、規(guī)章與行政法規(guī)相抵觸、處罰幅度不一致等一些弊端。

4.4 安全意識(shí)不強(qiáng)

企業(yè)對(duì)于web應(yīng)用數(shù)據(jù)安全意識(shí)不強(qiáng)，在設(shè)計(jì)web應(yīng)用的時(shí)候就要具備安全的意識(shí)和防范的能力，對(duì)于web應(yīng)用數(shù)據(jù)安全問(wèn)題造成的損失和可能帶來(lái)的損失缺乏預(yù)見(jiàn)性，也缺少防范措施。

5云計(jì)算的web應(yīng)用數(shù)據(jù)安全的檢測(cè)技術(shù)

云計(jì)算環(huán)境下web數(shù)據(jù)安全的檢測(cè)技術(shù)主要有黑盒測(cè)試、白盒測(cè)試、灰盒測(cè)試，其中灰盒測(cè)試可以綜合黑盒測(cè)試和白盒測(cè)試的優(yōu)點(diǎn)。

5.1 web應(yīng)用的黑盒測(cè)試

黑盒測(cè)試主要使用的技術(shù)是利用網(wǎng)絡(luò)爬蟲爬行分析URL進(jìn)行檢測(cè)，兩個(gè)主要的問(wèn)題是URL的提取以及爬行策略的選擇。URL的提取會(huì)影響到漏洞檢測(cè)的準(zhǔn)確性和有效性，選擇何種爬行策略關(guān)系到爬行的效率[7]。

（1） URL的提取

網(wǎng)絡(luò)爬蟲把一些需要爬取的網(wǎng)站URL作為種子URL，并添加到待抓取數(shù)據(jù)庫(kù)中，將讀取的URL進(jìn)行DNS解析，然后把頁(yè)面上的內(nèi)容下載下來(lái)，存放到網(wǎng)頁(yè)數(shù)據(jù)庫(kù)中，同時(shí)把這些URL放入已抓取數(shù)據(jù)庫(kù)中，如果URL在已抓取數(shù)據(jù)庫(kù)中己存在則不用再重復(fù)抓取，只有在URL還未被抓取的情況下再將其添加到待抓取數(shù)據(jù)庫(kù)中，直到待抓取URL數(shù)據(jù)中的鏈接個(gè)數(shù)全部抓取完畢。

（2） 爬行策略

爬蟲算法分析是對(duì)目標(biāo)網(wǎng)站進(jìn)行爬取時(shí)，把網(wǎng)頁(yè)上的鏈接看作是一個(gè)有向圖，可選擇任意一個(gè)鏈接開(kāi)始爬取，遵循事先設(shè)定的策略對(duì)網(wǎng)頁(yè)上鏈接進(jìn)行爬行，使用一個(gè)好的爬行策略可以提高爬行的效果。爬行策略常用的有廣度優(yōu)先策略、深度優(yōu)先策略和最佳優(yōu)先策略，廣度優(yōu)先策略是按層次來(lái)爬行，深度優(yōu)先策略是按照深度來(lái)爬行，最佳優(yōu)先策略是按照一定的算法選擇一個(gè)最佳路徑來(lái)爬行。

5.2 web應(yīng)用的白盒測(cè)試

白盒測(cè)試是對(duì)代碼進(jìn)行靜態(tài)分析的測(cè)試技術(shù)，也叫內(nèi)部測(cè)試技術(shù)，需要精通程序代碼，通過(guò)對(duì)源代碼進(jìn)行分析，找出可能含有的漏洞，對(duì)代碼中的變量和函數(shù)進(jìn)行測(cè)試，并測(cè)試用戶輸入的邊界值，web應(yīng)用中使用白盒測(cè)試的一般為熟悉web應(yīng)用的程序員或測(cè)試人員，這種測(cè)試技術(shù)代碼覆蓋率和準(zhǔn)確性很高，能夠檢查類型變量、檢測(cè)用戶輸入和檢測(cè)高風(fēng)險(xiǎn)函數(shù)，缺點(diǎn)是容易發(fā)生誤報(bào)及人工檢測(cè)成本比較高[8]。

5.3 web應(yīng)用的灰盒測(cè)試

灰盒測(cè)試是綜合了黑盒測(cè)試技術(shù)和白盒測(cè)試技術(shù)，既有程序內(nèi)部代碼的測(cè)試，也有程序運(yùn)行時(shí)的狀態(tài)。灰盒測(cè)試充分利用了黑盒測(cè)試和白盒測(cè)試的技術(shù)優(yōu)點(diǎn)，既可以保證代碼覆蓋率和準(zhǔn)確性，又可以降低檢測(cè)的誤報(bào)率和漏報(bào)率，灰盒測(cè)試根據(jù)實(shí)際情況選擇白盒測(cè)試技術(shù)，對(duì)代碼進(jìn)行靜態(tài)分析，如果測(cè)試之后可能存在漏洞則啟用黑盒測(cè)試，對(duì)URL進(jìn)行掃描分析，查出漏洞則生成漏洞報(bào)告，灰盒測(cè)試流程圖如圖1所示。

6云計(jì)算的web應(yīng)用數(shù)據(jù)安全防范策略

針對(duì)云計(jì)算web應(yīng)用的數(shù)據(jù)安全問(wèn)題，提出通過(guò)強(qiáng)化web應(yīng)用安全意識(shí)、強(qiáng)化web應(yīng)用安全管理、實(shí)時(shí)進(jìn)行web應(yīng)用安全檢測(cè)和建立web應(yīng)用安全監(jiān)控體系來(lái)進(jìn)行防范。

6.1 強(qiáng)化web應(yīng)用安全意識(shí)

為了防范云計(jì)算web應(yīng)用數(shù)據(jù)安全，首先要強(qiáng)化安全意識(shí)，在設(shè)計(jì)web應(yīng)用的時(shí)候就要具備安全的意識(shí)和防范的能力，對(duì)因web應(yīng)用數(shù)據(jù)安全問(wèn)題可能造成的損失要有預(yù)見(jiàn)性，如何最大限度地減少損失要提前做好應(yīng)急方案。

6.2 強(qiáng)化web應(yīng)用安全管理

強(qiáng)化web應(yīng)用安全管理是應(yīng)對(duì)web應(yīng)用數(shù)據(jù)安全的有效抓手，成立安全風(fēng)險(xiǎn)管理小組，專門負(fù)責(zé)云計(jì)算的web應(yīng)用安全管理，對(duì)云計(jì)算的web應(yīng)用中的角色進(jìn)行合理分配、對(duì)各角色的訪問(wèn)權(quán)限進(jìn)行合理的設(shè)置，并做好身份驗(yàn)證。安全風(fēng)險(xiǎn)管理小組定期開(kāi)展安全管理活動(dòng)，定期展示檢測(cè)結(jié)果，并對(duì)結(jié)果進(jìn)行分析。

6.3 實(shí)時(shí)進(jìn)行web應(yīng)用安全檢測(cè)

利用web應(yīng)用的黑盒測(cè)試、白盒測(cè)試和灰盒測(cè)試實(shí)時(shí)地進(jìn)行web應(yīng)用的安全檢測(cè)，及時(shí)發(fā)現(xiàn)安全問(wèn)題，并做到快速處理。

6.4 建立web應(yīng)用安全監(jiān)控體系

建立web應(yīng)用安全監(jiān)控體系可以及時(shí)了解和掌握web應(yīng)用安全的各種情況，防止數(shù)據(jù)泄露以及數(shù)據(jù)被非法利用。云計(jì)算web應(yīng)用安全監(jiān)控體系對(duì)web應(yīng)用整個(gè)運(yùn)營(yíng)期間的數(shù)據(jù)安全進(jìn)行監(jiān)控，預(yù)測(cè)可能存在的風(fēng)險(xiǎn)，并及時(shí)解決問(wèn)題。

7結(jié)束語(yǔ)

針對(duì)云計(jì)算環(huán)境下的web應(yīng)用數(shù)據(jù)安全問(wèn)題，該文首先闡述了云計(jì)算的相關(guān)技術(shù)，利用云計(jì)算環(huán)境搭建web應(yīng)用的優(yōu)勢(shì)，再對(duì)云計(jì)算環(huán)境的web數(shù)據(jù)安全問(wèn)題進(jìn)行了分析，并闡述了云計(jì)算的web應(yīng)用安全檢測(cè)的三種檢測(cè)技術(shù)，最后提出了云計(jì)算web應(yīng)用數(shù)據(jù)安全的四種防范策略。

參考文獻(xiàn)：

[1] 董鑫.云計(jì)算中數(shù)據(jù)安全及隱私保護(hù)關(guān)鍵技術(shù)研究[D].上海交通大學(xué)，2015.

[2] 位威.淺談云計(jì)算中的數(shù)據(jù)安全及隱私保護(hù)關(guān)鍵技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（03）：52-53.

[3]（美）Thomas ERL，（英）Zaigham Mahmood，（巴西）Ricardo Puttini著，龔奕利，等，譯.云計(jì)算：概念、技術(shù)與架構(gòu)[M].北京：機(jī)械工業(yè)出版社，2014.

[4] Tom White，華東師范大學(xué)數(shù)據(jù)科學(xué)與工程學(xué)院（譯）.Hadoop權(quán)威指南（第三版）[M].北京：清華大學(xué)出版社，2015.

[5] 徐立冰.騰云：云計(jì)算和大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)技術(shù)揭秘[M].北京：人民郵電出版社，2013.

[6] 騰訊COO任宇昕：國(guó)內(nèi)信息安全投入不足1% 遠(yuǎn)低于美國(guó)[EB/OL].http：//www.techweb.com.cn/data/2017-08-17/2574612.shtml.

[7] 郭文斌，李峰.Web應(yīng)用安全漏洞掃描技術(shù)研究[J].信息通信，2017（12）：123-124.

[8]張哲，鄧承會(huì)，左新斌，楊利，劉宗杰.云計(jì)算環(huán)境下自主防護(hù)惡意軟件攻擊算法研究[J].科技通報(bào)，2018，34（01）：141-144.