(中國人民大學(xué)信息學(xué)院，北京 100872)

0 引言

隨著科學(xué)技術(shù)的不斷革新，大數(shù)據(jù)時(shí)代的到來，社會(huì)越來越先進(jìn)。能夠獲得信息的途徑和方式變得愈加多樣，公有云在企業(yè)中的應(yīng)用使得處理數(shù)據(jù)的能力顯著上升，給企業(yè)決策帶來了迅速、有效的依據(jù)?；诠性频男畔⒒癁槠髽I(yè)的前進(jìn)提供了極大的助力，但也隱藏著一些安全隱患，給工作帶來了一定的麻煩，因此需要對(duì)其進(jìn)行全方面的評(píng)估，幫助企業(yè)做出相應(yīng)的應(yīng)對(duì)策略，為信息化更好地發(fā)揮其價(jià)值提供幫助。

1 相關(guān)概念闡述

1.1 公有云的概念

在網(wǎng)絡(luò)拓?fù)鋱D當(dāng)中，“云”常常是Internet的標(biāo)志，實(shí)質(zhì)上是一種抽象，幫助理解復(fù)雜的互聯(lián)網(wǎng)。所以通常這種以Internet為基礎(chǔ)的計(jì)算方式被稱為“云計(jì)算”。云計(jì)算所能提供的服務(wù)通常包括三種類型：第一是軟件即服務(wù)(Software as aService，Saa S)；第二是平臺(tái)即服務(wù)(Platform as a Service，Paa S)；第三是基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service，laa S)。在云計(jì)算當(dāng)中，公有云一直是一項(xiàng)不可或缺的重要模式，一般通過第三方云服務(wù)商提供用戶相應(yīng)服務(wù)。

1.2 公有云發(fā)展現(xiàn)狀

隨著IT軟硬件虛擬化技術(shù)的成熟，云服務(wù)已經(jīng)變得越來越重要，亞馬遜憑借著最先入局，長期在公有云市場(chǎng)占據(jù)第一的地位。國際知名公有云廠商有AWS、Azure、阿里云、IBM Cloud、谷歌云、騰訊云等。在中國市場(chǎng)而言，大部分企業(yè)還是傳統(tǒng)的架構(gòu)。市場(chǎng)龐大的市場(chǎng)容量和駭人的增長速度，使大量的中國云廠商迎頭趕上，如今已取得了不錯(cuò)的成績，如國內(nèi)的Aliyun、騰訊云、金山云、華為云等。

美國市場(chǎng)研究機(jī)構(gòu)Synergy Research Group發(fā)布了其關(guān)于2019第一季度全球幾大主要地區(qū)的公有云廠商排名報(bào)告，報(bào)告顯示，亞太地區(qū)市場(chǎng)增長速度驚人，中國云服務(wù)商在亞太地區(qū)排名中占據(jù)重要地位。在2019年第一季度亞太地區(qū)公有云市場(chǎng)的廠商排名前3依次為：AWS、阿里云和Azure，騰訊云超越谷歌云位列第四，前六名中有3家中國公司。市場(chǎng)份額上，中國云服務(wù)商現(xiàn)在占據(jù)了亞太地區(qū)40%的公有云市場(chǎng)份額。2019第一季度全球幾大主要地區(qū)的公有云廠商排名報(bào)告見圖1。

圖1 排名報(bào)告

分析認(rèn)為，中國云服務(wù)商的強(qiáng)勁表現(xiàn)，主要得益于他們?cè)谥袊就潦袌?chǎng)取得的成績。報(bào)告統(tǒng)計(jì)了中國公有云市場(chǎng)的廠商排名，阿里云以2019年1-3月247億營收占據(jù)榜首。騰訊云、光環(huán)新網(wǎng)和百度云分列二、三、四位。目前阿里云業(yè)務(wù)仍在持續(xù)虧損，但營收增長迅速。較2015財(cái)年阿里云12.7億的營收相比，五年間阿里云營收增長近20倍。

1.3 大數(shù)據(jù)時(shí)代下的企業(yè)信息化的內(nèi)涵

隨著科學(xué)技術(shù)不斷革新，企業(yè)信息化已成為IT管理的重要組成部分，它是傳統(tǒng)企業(yè)管理與當(dāng)今信息技術(shù)結(jié)合的產(chǎn)物。大數(shù)據(jù)時(shí)代下的企業(yè)信息化是指在傳統(tǒng)管理的基礎(chǔ)上，借助計(jì)算機(jī)的一些功能來實(shí)現(xiàn)搜集和研究數(shù)據(jù)信息的目的，把所有的數(shù)據(jù)都信息化處理，最大程度上發(fā)揮出信息資源所具備的價(jià)值，以達(dá)到區(qū)域性的資源共享，從而提高企業(yè)人員處理數(shù)據(jù)信息的效率，及時(shí)有效的為企業(yè)決策提供依據(jù)，大大提高企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力，促進(jìn)企業(yè)的發(fā)展。

2 我國企業(yè)信息化的發(fā)展過程

2.1 以自我開發(fā)為基礎(chǔ)的專門企業(yè)軟件發(fā)展階段

第一階段主要是1970—1980年，這時(shí)期我國信息化處于萌芽狀態(tài)，一些國內(nèi)大型企業(yè)為了提高管理專業(yè)化水平，根據(jù)企業(yè)實(shí)際需要自行組織科研力量開發(fā)軟件，這類軟件針對(duì)性比較強(qiáng)，主要局限于特定企業(yè)管理工作，軟件功能相對(duì)簡單單一，主要提供數(shù)據(jù)錄入和輸出服務(wù)。

2.2 以專業(yè)應(yīng)用開發(fā)為基礎(chǔ)的市場(chǎng)化軟件發(fā)展階段

20世紀(jì)80、90年代，我國信息化軟件發(fā)展到了一個(gè)新的階段。一些IT公司開始為中小企業(yè)研發(fā)專門的管理軟件，隨著軟件行業(yè)不斷發(fā)展，越來越多的IT企業(yè)開始參與到軟件研發(fā)當(dāng)中來，使得該時(shí)期軟件種類日益多樣化，功能逐漸豐富，除了提供基本的數(shù)據(jù)管理功能外，還增加了許多新的應(yīng)用功能。

2.3 以科技進(jìn)步帶動(dòng)的“管理型”軟件研發(fā)階段

20世紀(jì)90年代中后期至今，我國軟件研發(fā)進(jìn)入了到更高發(fā)展階段，也就是信息化快速發(fā)展時(shí)期。隨著市場(chǎng)經(jīng)濟(jì)不斷發(fā)展，傳統(tǒng)簡單單一功能的軟件已無法滿足企業(yè)財(cái)務(wù)管理需要。在這種背景下，一些大型專業(yè)信息化軟件IT公司例如金蝶、用友快速成長，針對(duì)不同行業(yè)企業(yè)研發(fā)出了多款軟件，大大提高了信息化軟件專業(yè)性。在這些專業(yè)信息化軟件公司努力下，企業(yè)信息化軟件逐漸朝著專業(yè)化、綜合化的方向發(fā)展，為企業(yè)提供專業(yè)的管理技術(shù)解決方案。這也標(biāo)志著我國信息化發(fā)展到了一個(gè)里程碑式的階段。

2.4 信息化和網(wǎng)絡(luò)化驅(qū)動(dòng)的“智能型”軟件研發(fā)階段

2000年以后，軟件研發(fā)步入到一個(gè)更高的發(fā)展階段，信息化水平顯著提高。這時(shí)期軟件研發(fā)主要都是以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)開展信息化軟件研發(fā)和設(shè)計(jì)，利用現(xiàn)代信息技術(shù)提高管理專業(yè)化水平，在互聯(lián)網(wǎng)上實(shí)現(xiàn)遠(yuǎn)程信息交互、核算、查找、報(bào)表等，為信息化虛擬化創(chuàng)造了良好環(huán)境。它在對(duì)傳統(tǒng)管理基礎(chǔ)上進(jìn)行了創(chuàng)新和發(fā)展，其中與互聯(lián)網(wǎng)技術(shù)結(jié)合在一起就是最大的創(chuàng)新之處。

3 基于公有云的企業(yè)信息安全問題

企業(yè)數(shù)據(jù)對(duì)于一個(gè)企業(yè)而言無疑是重要的商業(yè)信息，對(duì)企業(yè)競(jìng)爭(zhēng)的成敗與其市場(chǎng)地位都有著重要影響，重要商業(yè)信息的泄露對(duì)于企業(yè)而言將會(huì)是重大的打擊。但隨著目前信息化的普及應(yīng)用，仍存在部分中小企業(yè)并未意識(shí)到其中可能存在的安全性問題，因此其信息泄露風(fēng)險(xiǎn)較高，對(duì)于企業(yè)的良性發(fā)展非常不利?？梢钥吹剑朴?jì)算已經(jīng)成為如今很多企業(yè)信息化過程中的首選技術(shù)。云計(jì)算技術(shù)的發(fā)展應(yīng)用，令企業(yè)能夠?qū)⑾喈?dāng)一部分?jǐn)?shù)據(jù)分析處理工作外包到“云端”的服務(wù)商處進(jìn)行。企業(yè)可以通過互聯(lián)網(wǎng)對(duì)自身存儲(chǔ)在云端的各項(xiàng)數(shù)據(jù)進(jìn)行訪問、上傳、刪除和修改。但在這個(gè)過程中，企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)也是始終存在的，需要予以重視。雖然“云端”儲(chǔ)存的數(shù)據(jù)對(duì)于數(shù)據(jù)擁有者及授權(quán)訪問者而言是保密的，但云端服務(wù)商則可以很方便地獲取這些數(shù)據(jù)。此外，數(shù)據(jù)在上傳下載過程中，也很容易發(fā)生泄密或者被攻擊、篡改。當(dāng)前云計(jì)算服務(wù)應(yīng)用中數(shù)據(jù)方面存在三大風(fēng)險(xiǎn)：云計(jì)算中心數(shù)據(jù)丟失或者泄露；數(shù)據(jù)傳輸中損壞或者被篡改；云端數(shù)據(jù)訪問權(quán)限被非授權(quán)方非法取得。當(dāng)前公有云服務(wù)的網(wǎng)絡(luò)安全問題包括了以下幾點(diǎn)。

1)數(shù)據(jù)儲(chǔ)存安全：數(shù)據(jù)的災(zāi)難恢復(fù)、存儲(chǔ)位置、安全隔離，第三方惡意使用數(shù)據(jù)抓包、偵聽軟件在數(shù)據(jù)傳輸過程中進(jìn)行竊取，采用非常規(guī)手段對(duì)云系統(tǒng)進(jìn)行攻擊，對(duì)云數(shù)據(jù)進(jìn)行篡改、刪除等。

2)數(shù)據(jù)審計(jì)安全：審計(jì)數(shù)據(jù)的準(zhǔn)確及有效性，部分敏感數(shù)據(jù)的審計(jì)安全保障。

3)數(shù)據(jù)傳輸安全：身份認(rèn)證與接入管理、邊界防護(hù)、防僵尸網(wǎng)絡(luò)、數(shù)據(jù)傳輸安全DDoS、攻擊等。

4)云端用戶安全：數(shù)據(jù)庫、操作系統(tǒng)等通用軟件的系統(tǒng)安全、云端用戶安全、代碼、接口安全、可移植和互操作。

5)管理維護(hù)安全：云系統(tǒng)物理設(shè)施的安全完善，設(shè)備正常運(yùn)行所需的運(yùn)維工作以及安全監(jiān)控。

4 基于公有云的企業(yè)信息安全風(fēng)險(xiǎn)控制

筆者針對(duì)基于公有云的企業(yè)信息安全風(fēng)險(xiǎn)提出了一種“三位一體”的控制策略。要讓基于公有云的企業(yè)數(shù)據(jù)安全問題切實(shí)得到解決，只做好公有云中心的保護(hù)工作遠(yuǎn)遠(yuǎn)不夠。而所謂的“三位一體”就是要從云中心數(shù)據(jù)安全技術(shù)、終端數(shù)據(jù)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)這三方面出發(fā)，從而真正形成對(duì)云數(shù)據(jù)的一體化控制。

由云計(jì)算中心專門負(fù)責(zé)的重點(diǎn)內(nèi)容有用戶信息認(rèn)證、用戶行為跟蹤記錄、用戶風(fēng)險(xiǎn)行為識(shí)別和防范、數(shù)據(jù)隔離及數(shù)據(jù)加密等。由用戶終端完成的內(nèi)容有安全使用環(huán)境構(gòu)建、文件校驗(yàn)、文件加密及用戶密鑰生成等。云計(jì)算中心與用戶終端通過網(wǎng)絡(luò)傳輸來構(gòu)建安全而高速的數(shù)據(jù)交換通道。

4.1 云計(jì)算中心數(shù)據(jù)存儲(chǔ)安全策略

對(duì)于使用云計(jì)算服務(wù)的企業(yè)而言，數(shù)據(jù)存儲(chǔ)是需要予以特別重視的。數(shù)據(jù)存儲(chǔ)相關(guān)流程包括了數(shù)據(jù)存儲(chǔ)位置、格式的設(shè)置；數(shù)據(jù)的備份及隔離；數(shù)據(jù)的恢復(fù)等等。但對(duì)于云端用戶而言，一般并不清楚云計(jì)算服務(wù)提供商是將自己的數(shù)據(jù)存儲(chǔ)在何處，該存儲(chǔ)地是否安全合規(guī)，能否嚴(yán)格保障自身數(shù)據(jù)不被非法訪問、刪除和篡改等。

4.1.1 數(shù)據(jù)安全隔離

當(dāng)前絕大部分云計(jì)算系統(tǒng)都是將數(shù)據(jù)進(jìn)行分散式存儲(chǔ)，即意味著所有數(shù)據(jù)都有多套備份冗余，并分別存儲(chǔ)在不同的硬件上，未經(jīng)授權(quán)不得進(jìn)行跨區(qū)域訪問，并且對(duì)所有用戶的行為進(jìn)行實(shí)時(shí)追蹤監(jiān)控分析，一旦發(fā)現(xiàn)可能有惡意行為，則立即停止?jié)撛趷阂庥脩粼L問系統(tǒng)的權(quán)限。一旦某個(gè)區(qū)域的數(shù)據(jù)安全遭受威脅，立即停止所有用戶對(duì)該區(qū)域數(shù)據(jù)的訪問并盡快做好數(shù)據(jù)備份。數(shù)據(jù)安全隔離能夠從物理上隔斷對(duì)云數(shù)據(jù)、云計(jì)算系統(tǒng)的攻擊，是最基礎(chǔ)的安全保障。

4.1.2 數(shù)據(jù)庫加密

由于云計(jì)算系統(tǒng)包含的數(shù)據(jù)規(guī)模是極為龐大的，并且數(shù)據(jù)的復(fù)雜性也有顯著的提升，因此傳統(tǒng)數(shù)據(jù)庫系統(tǒng)不足以支持云計(jì)算系統(tǒng)的數(shù)據(jù)存儲(chǔ)、讀寫和安全防護(hù)需求。尤其是一些極為重要機(jī)密的數(shù)據(jù)或者種類異常復(fù)雜的數(shù)據(jù)而言，不安全的數(shù)據(jù)庫可能令數(shù)據(jù)暴露在較高的風(fēng)險(xiǎn)之下。因此云計(jì)算系統(tǒng)必須應(yīng)用好數(shù)據(jù)庫加密技術(shù)，對(duì)數(shù)據(jù)庫系統(tǒng)本身以及相關(guān)數(shù)據(jù)進(jìn)行加密處理，從而確保即使在攻擊者拿到了數(shù)據(jù)庫權(quán)限也很難對(duì)數(shù)據(jù)進(jìn)行解密。

4.2 云數(shù)據(jù)審計(jì)安全策略

云計(jì)算系統(tǒng)的服務(wù)提供機(jī)構(gòu)本身雖然對(duì)數(shù)據(jù)安全負(fù)有一定責(zé)任，但數(shù)據(jù)安全的最終責(zé)任還是要由用戶自己來承擔(dān)。傳統(tǒng)的互聯(lián)網(wǎng)存儲(chǔ)服務(wù)商需要在通過安全認(rèn)證與審計(jì)之后才可以公開提供服務(wù)，而當(dāng)前部分云計(jì)算服務(wù)提供商對(duì)于審查過程并不積極配合。很多時(shí)候?yàn)榱吮ＷC系統(tǒng)的安全性就需要引入第三方認(rèn)證的數(shù)據(jù)審計(jì)機(jī)構(gòu)來對(duì)云計(jì)算系統(tǒng)的數(shù)據(jù)進(jìn)行審計(jì)，且審計(jì)機(jī)構(gòu)也不得泄露任何用戶數(shù)據(jù)。

4.3 云數(shù)據(jù)網(wǎng)絡(luò)安全策略

企業(yè)的數(shù)據(jù)中心一般都保存著大量諸如客戶信息、財(cái)務(wù)數(shù)據(jù)、商業(yè)機(jī)密等重要數(shù)據(jù)。企業(yè)將自身數(shù)據(jù)傳輸至云端時(shí)，傳輸過程也會(huì)涉及到一些安全問題。當(dāng)前雖然在傳輸階段已經(jīng)采取了加密算法及超文本傳輸?shù)陌踩胧?，但傳輸過程存在數(shù)據(jù)被監(jiān)聽、抓包的可能性，且當(dāng)前有部分加密算法已經(jīng)被破解。因此，在網(wǎng)絡(luò)傳輸環(huán)節(jié)，各類加密、隔離技術(shù)對(duì)于數(shù)據(jù)安全就顯得至關(guān)重要。

4.3.1 文件透明加密

文件透明加密是當(dāng)前云數(shù)據(jù)網(wǎng)絡(luò)常用的一種安全策略，它通過驅(qū)動(dòng)層透明動(dòng)態(tài)加密的方式，令電子文件在存儲(chǔ)介質(zhì)上能夠加密存儲(chǔ)，且極難被逆向破解。在云系統(tǒng)上的授權(quán)用戶對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行讀取時(shí)。則自動(dòng)高效地完成解密過程。該加密過程適用于存儲(chǔ)在云端的所有用戶文件，確保所有用戶的所有信息均不會(huì)因?yàn)槭褂迷朴?jì)算而泄露。

4.3.2 虛擬安全網(wǎng)絡(luò)

構(gòu)建虛擬網(wǎng)絡(luò)也是當(dāng)前云計(jì)算系統(tǒng)必備的安全技術(shù)之一。用戶可以實(shí)現(xiàn)對(duì)多個(gè)虛擬安全域的訪問，但不同安全域之間是高度隔離的，用戶終端不能作為兩個(gè)不同的虛擬安全域之間的路由設(shè)備。云計(jì)算終端通過權(quán)限設(shè)置以及安全策略的編寫，將各類系統(tǒng)資源分配在不同的虛擬安全域中，從而確保即使一個(gè)域受到了攻擊，整體安全性也能得到保障。

4.4 云端用戶數(shù)據(jù)安全策略

不同終端設(shè)備類型的云計(jì)算用戶終端對(duì)“云端”的數(shù)據(jù)進(jìn)行存取的方法也是各自迥異的，并且不同類型的終端設(shè)備各自安全防護(hù)等級(jí)差異顯著，云服務(wù)商難以100%保證能夠?qū)υ贫擞脩麸L(fēng)險(xiǎn)行為進(jìn)行精準(zhǔn)識(shí)別監(jiān)控防范。部分云服務(wù)商為了擴(kuò)大用戶數(shù)量，過度開辟外鏈通道，給云服務(wù)器上的數(shù)據(jù)造成大量安全隱患。部分黑客乃至云服務(wù)商的內(nèi)部人員通過獲取管理平臺(tái)權(quán)限，對(duì)云數(shù)據(jù)進(jìn)行非法訪問、篡改及破壞。

4.4.1 身份認(rèn)證管理

身份認(rèn)證管理系統(tǒng)是基于安全策略、認(rèn)證及管理技術(shù)綜合構(gòu)建而成。該系統(tǒng)運(yùn)作中除了對(duì)所有用戶的身份進(jìn)行認(rèn)證和對(duì)其分配權(quán)限之外，還需要完成安全事件的收集和分析、系統(tǒng)狀態(tài)實(shí)時(shí)監(jiān)控、用戶行為實(shí)時(shí)追蹤及安全決策的執(zhí)行等，確保各類安全問題能夠第一時(shí)間被識(shí)別和解決。身份認(rèn)證管理系統(tǒng)對(duì)系統(tǒng)的應(yīng)用資源具有最高管理權(quán)限，能夠完成認(rèn)證、授權(quán)、審計(jì)和管理等多方面的運(yùn)維工作內(nèi)容，并對(duì)系統(tǒng)資源進(jìn)行整合優(yōu)化，確保運(yùn)用有限的資源達(dá)到既定的安全目標(biāo)。此外，身份認(rèn)證管理系統(tǒng)也支持異地認(rèn)證，令多個(gè)處在異地的分散的云計(jì)算系統(tǒng)能夠?qū)崿F(xiàn)共同協(xié)作整合。

4.4.2 終端桌面安全

對(duì)于作為終端的用戶而言，云計(jì)算客戶端通過軟硬件資產(chǎn)統(tǒng)計(jì)、用戶行為監(jiān)控、用戶系統(tǒng)資源調(diào)度、本地虛擬運(yùn)行環(huán)境、進(jìn)程監(jiān)控及安全補(bǔ)丁推送等措施，來確保用戶終端達(dá)到既定的安全標(biāo)準(zhǔn)。

5 結(jié)語

大數(shù)據(jù)時(shí)代的到來，給企業(yè)管理帶來了較大變化，不但給企業(yè)財(cái)務(wù)發(fā)展和運(yùn)行狀況帶來了技術(shù)方面的支持，還對(duì)信息化的發(fā)展起到了推動(dòng)作用。公有云的應(yīng)用使原本所具有的信息管理形式得到有效的改善，使企業(yè)信息化程度得到顯著提高。與此同時(shí)，我們也必須意識(shí)到其給我國企業(yè)信息化發(fā)展帶來的風(fēng)險(xiǎn)。本文闡述了當(dāng)前企業(yè)所面臨的的主要風(fēng)險(xiǎn)，并從云計(jì)算中心數(shù)據(jù)存儲(chǔ)安全策略、云數(shù)據(jù)審計(jì)安全策略、云數(shù)據(jù)網(wǎng)絡(luò)安全策略、云端用戶數(shù)據(jù)安全策略這四個(gè)方面論述了風(fēng)險(xiǎn)控制措施?？梢钥吹剑m然目前基于公有云的信息化共享平臺(tái)尚存一些安全隱患，但只要企業(yè)對(duì)這一問題重視起來實(shí)施有效整改，更加科學(xué)合理的應(yīng)用大數(shù)據(jù)技術(shù)就能有效防范風(fēng)險(xiǎn)。在當(dāng)下的大環(huán)境下，企業(yè)信息化是不可逆的大潮流，因此無論是政府還是企業(yè)要做的都不應(yīng)當(dāng)是回避，而是著力抓好這一契機(jī)，從而為企業(yè)未來更好的發(fā)展奠定基礎(chǔ)。