溫和文 張常泉 唐 楷

江西科技學(xué)院，江西 南昌 330098

1 云計算介紹

云計算（cloud computing）是一種高度依賴于互聯(lián)網(wǎng)的、共享式的計算模式，通過這種模式，在網(wǎng)絡(luò)上配置為共享的軟件資源、計算資源、存儲資源和信息資源可以按需求提供給網(wǎng)上終端設(shè)備和終端用戶。這種具有動態(tài)性、虛擬化、可擴(kuò)展的資源池稱為“云”，通常由集群的服務(wù)器組成，其中包括計算服務(wù)器、存儲服務(wù)器和帶寬資源等。

2 云計算產(chǎn)生的新安全問題

云計算技術(shù)經(jīng)過多年的應(yīng)用和驗證，發(fā)展出很多優(yōu)點，比如規(guī)模大、虛擬化和高可拓展性等確實革新了整個基礎(chǔ)網(wǎng)絡(luò)的發(fā)展。與此同時，隨著云計算技術(shù)的不斷發(fā)展和革新，也不可避免地帶來了一系列新的安全威脅和挑戰(zhàn)，具體如下。

2.1 身份認(rèn)證

云計算采用自動化的方式來支持用戶認(rèn)證和接入，然而非法入侵者卻通常利用操作系統(tǒng)或網(wǎng)頁的漏洞，租用虛擬機(jī)來發(fā)起黑客攻擊，非法攔截用戶的數(shù)據(jù)信息，非法竊取用戶賬號和密碼。當(dāng)非法入侵者利用竊取到的信息進(jìn)行數(shù)據(jù)挖掘，下一步企業(yè)的機(jī)密信息就很容易被竊取。網(wǎng)絡(luò)犯罪分子通常偽裝成合法用戶、運(yùn)營人員或開發(fā)人員通過讀取、修改和刪除數(shù)據(jù)，來控制平臺和管理功能，在用戶傳輸數(shù)據(jù)的過程中進(jìn)行窺探，發(fā)布看似來源合法的惡意軟件。如果身份信息不足、憑證或密鑰管理不善，就可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問，對組織或終端用戶造成災(zāi)難性損害。

2.2 數(shù)據(jù)安全

數(shù)以千計的用戶使用云計算而產(chǎn)生海量的數(shù)據(jù)，在數(shù)據(jù)傳輸?shù)倪^程中極易產(chǎn)生的數(shù)據(jù)安全問題如下。

（1）數(shù)據(jù)可用性、完整性和保密性。云計算采用分布式計算，經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)容易遭受黑客攻擊，導(dǎo)致數(shù)據(jù)被篡改、攔截和監(jiān)聽。

（2）數(shù)據(jù)檢查和校驗。通常云計算接收到用戶數(shù)據(jù)后會直接計算，缺乏常態(tài)化的檢查和校驗的機(jī)制，容易讓無效數(shù)據(jù)和偽造數(shù)據(jù)混合在真實數(shù)據(jù)中，一方面導(dǎo)致計算結(jié)果產(chǎn)生偏差，另一方面浪費(fèi)計算資源。

（3）數(shù)據(jù)中心數(shù)據(jù)安全。數(shù)據(jù)中心的超級管理員一般擁有極高權(quán)限，但其不嚴(yán)密的安全管理可能導(dǎo)致未經(jīng)加密就直接存儲在云中的敏感數(shù)據(jù)被竊取，給企業(yè)或者個人造成嚴(yán)重的損失。

2.3 虛擬化問題

云計算的基礎(chǔ)是虛擬化技術(shù)。虛擬化技術(shù)導(dǎo)致了一些新的安全威脅。

（1）信息竊取與篡改。云計算依靠虛擬化技術(shù)的應(yīng)用將所有的計算機(jī)資源進(jìn)行融合匯總，最終形成一個巨大的資源共享池，用戶可以使用其中的資源，其中不乏一些公司或者個人的隱私信息，如果沒有對各種信息進(jìn)行合理有效的管理，就很容易造成隱私的泄露。

（2）Hypervisor安全性問題。Hypervisor擁有最高的優(yōu)先級，充當(dāng)著系統(tǒng)管理員的角色，可以訪問服務(wù)器上所有物理設(shè)備，并協(xié)調(diào)各種物理設(shè)備之間的資源分配。一旦Hypervisor被非法用戶破解，所有的虛擬機(jī)就會直接暴露在外部環(huán)境中。

（3）分布式拒絕服務(wù)(DDoS)攻擊的泛濫。攻擊者通過一定數(shù)量級的合法請求消耗網(wǎng)絡(luò)寬帶資源，達(dá)到癱瘓網(wǎng)絡(luò)的目的。

3 云計算安全防護(hù)措施

想要提高云計算的安全性能，可從技術(shù)保護(hù)、管理模式和法律約束等方面入手。

3.1 技術(shù)保護(hù)

面對云計算技術(shù)存在的問題，增強(qiáng)技術(shù)方面的保護(hù)顯得尤為重要，可采用以下幾種技術(shù)。

（1）安全的身份認(rèn)證技術(shù)。此類技術(shù)不采用傳統(tǒng)的簡單密碼，而是改用成熟的生物識別技術(shù)，比如：指紋識別、虹膜識別或人臉識別等技術(shù)。

（2）云端數(shù)據(jù)加密。可采用云加密數(shù)據(jù)庫、云數(shù)據(jù)庫安全代理（CDSB）、云訪問安全代理（CASB）等進(jìn)行數(shù)據(jù)加密。

①云加密數(shù)據(jù)庫：使用具有加密功能的數(shù)據(jù)庫或者數(shù)據(jù)庫引擎，在數(shù)據(jù)寫入文件并存儲在數(shù)據(jù)庫前對其進(jìn)行加密操作，讀取數(shù)據(jù)庫中文件時需要進(jìn)行解密操作。此方法可使數(shù)據(jù)庫保持高效的性能。

②云數(shù)據(jù)庫安全代理（CDSB）：使用加密網(wǎng)關(guān)作為數(shù)據(jù)庫的出入口，將所有數(shù)據(jù)加密后寫入數(shù)據(jù)庫，讀取數(shù)據(jù)的時候進(jìn)行解密。這種加密方式為數(shù)據(jù)庫提供了統(tǒng)一的二次認(rèn)證和二次鑒權(quán)機(jī)制，能夠有效地防止云平臺供應(yīng)商訪問用戶的真實數(shù)據(jù)。

③云訪問安全代理（CASB）：在企業(yè)或個人的內(nèi)部網(wǎng)絡(luò)的出口處放置云訪問安全代理應(yīng)用加密網(wǎng)關(guān)，統(tǒng)一對流出的數(shù)據(jù)進(jìn)行加密以及對流入的數(shù)據(jù)進(jìn)行解密。該加密方式具有很高的通用性，對加密功能進(jìn)行了分布式處理，使之具有較高的綜合性能。為避免加密后數(shù)據(jù)的檢索速率降低以及格式兼容性等問題，一般不建議采用加密強(qiáng)度過高的算法對數(shù)據(jù)進(jìn)行加密。

（3）網(wǎng)絡(luò)通信過程安全問題同樣不容忽視。對此，可根據(jù)網(wǎng)絡(luò)實際環(huán)境和實際需要在不影響現(xiàn)有網(wǎng)絡(luò)運(yùn)行的條件下進(jìn)行鏈路加密、節(jié)點加密和端到端加密。

（4）虛擬化技術(shù)安全需要重點從加強(qiáng)防火墻保護(hù)、Hypervisor安全加固 、使用虛擬化安全與管理軟件入手。

①加強(qiáng)防火墻保護(hù)：對于防火墻的管理，可采取虛擬防火墻（如VMware vShield）和物理防火墻相結(jié)合的方式進(jìn)行，以確保每一個層次的網(wǎng)絡(luò)流量都能被監(jiān)控到且確定是安全的。

②Hypervisor安全加固：Hypervisor功能的不斷增加，導(dǎo)致代碼量也逐漸增加，在一定程度上會使得安全漏洞也隨之增加。應(yīng)構(gòu)建輕量級的Hypervisor，僅保留其核心功能，從而減少代碼量，有效提高其安全性能。

③使用虛擬化安全與管理軟件：對于虛擬化環(huán)境中虛擬主機(jī)中泛濫的分布式拒絕服務(wù)攻擊，可以采用虛擬化安全管理軟件（如CNware）進(jìn)行處理。此類軟件提供了一套完整的基于云計算IaaS層的虛擬化平臺解決方案，實現(xiàn)了對虛擬化層的安全加固，有效地減少了網(wǎng)絡(luò)中的DDoS攻擊，能夠增強(qiáng)虛擬機(jī)安全。

3.2 管理機(jī)制

通過云計算服務(wù)提供的資源層次（IaaS、PaaS、SaaS），針對用戶和云計算提供商來合理劃分管理責(zé)任要求。首先，用戶要在選定IaaS前徹底調(diào)研云服務(wù)提供商的安全控制和服務(wù)水平協(xié)議，客戶應(yīng)盡可能利用多因素身份驗證，對數(shù)據(jù)進(jìn)行加密以減少內(nèi)部威脅，維護(hù)密鑰的控制權(quán)，定期掃描系統(tǒng)漏洞。其次，云計算提供商要保持對平臺的更新以及漏洞補(bǔ)丁更新。最后，云計算提供商要提供足夠的后臺管理軟件，在減少客戶的軟件購買花費(fèi)的同時，有效地保證其安全。

3.3 法律約束

面對云計算技術(shù)中的各類安全威脅，僅通過技術(shù)方面進(jìn)行保護(hù)并不十分周全，應(yīng)該建立一套公平、公正、統(tǒng)一、全面的法律法規(guī)來保護(hù)云計算安全。還應(yīng)成立云計算安全管理運(yùn)營問責(zé)部門，定期對云計算運(yùn)營商和采用云計算服務(wù)的大、中、小型企業(yè)進(jìn)行風(fēng)險評估和評級，以便及時發(fā)現(xiàn)未知風(fēng)險并采取合理的應(yīng)對策略。

4 結(jié)語

云計算技術(shù)的發(fā)展推動了信息技術(shù)的革新，云計算安全是信息安全領(lǐng)域的一個新的重要延伸。通過對上述重點領(lǐng)域中云計算安全問題的分析和討論，可以有效降低其影響程度，提升云計算安全管理水平。但是，隨著云計算技術(shù)的快速普及和廣泛運(yùn)用，將來會出現(xiàn)更多未知的安全風(fēng)險和安全威脅。維護(hù)云計算安全的路途還任重道遠(yuǎn)，需要我們在實踐中不斷更新技術(shù)和方法以應(yīng)對不斷發(fā)展的云計算技術(shù)。