楊清琳 蔡小娟

摘要：云計(jì)算以其彈性可擴(kuò)展的計(jì)算和存儲(chǔ)能力，為人們的工作、學(xué)習(xí)及生活提供了便利，但同時(shí)也帶來了新的安全風(fēng)險(xiǎn)和問題。該文對(duì)云計(jì)算環(huán)境所面臨的數(shù)據(jù)安全威脅進(jìn)行了分析，并提出了提高云計(jì)算環(huán)境下數(shù)據(jù)安全防護(hù)策略。

關(guān)鍵詞：云計(jì)算;可擴(kuò)展;數(shù)據(jù)安全防護(hù)

中圖分類號(hào)：TP319 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）08-0033-02

隨著云技術(shù)的不斷發(fā)展，越來越多的個(gè)人和企業(yè)用戶將數(shù)據(jù)存儲(chǔ)在云端，以較低的成本就能享受高效快捷的云存儲(chǔ)服務(wù)和處理計(jì)算服務(wù)，將數(shù)據(jù)保存在云服務(wù)器中，方便管理數(shù)據(jù)并降低管理成本。但是，很多數(shù)據(jù)用戶仍擔(dān)心云計(jì)算中的數(shù)據(jù)安全和隱私保護(hù)問題，如何確保數(shù)據(jù)安全和隱私保護(hù)成為云計(jì)算所面臨的重要挑戰(zhàn)。

1云計(jì)算環(huán)境所面臨的數(shù)據(jù)安全威脅

1.1虛擬化安全風(fēng)險(xiǎn)

虛擬化技術(shù)是云計(jì)算中的關(guān)鍵核心技術(shù)，該技術(shù)在帶來優(yōu)勢的同時(shí)也帶來許多新的安全風(fēng)險(xiǎn)。在云環(huán)境中，多臺(tái)服務(wù)器連接組成一個(gè)大型服務(wù)器集群，通過虛擬化技術(shù)將資源放在同一的資源池中，供各種應(yīng)用按需來調(diào)配存儲(chǔ)和運(yùn)算資源。在云計(jì)算這種共享資源模式背景下，運(yùn)用傳統(tǒng)的信息安全設(shè)備不能深入到虛擬化平臺(tái)內(nèi)部去做安全防護(hù)，無法實(shí)現(xiàn)惡意代碼攻擊防護(hù)，和滿足流量監(jiān)控、協(xié)議審計(jì)等網(wǎng)絡(luò)安全的要求。為滿足虛擬化環(huán)境下的動(dòng)態(tài)負(fù)載要求，虛擬機(jī)會(huì)不定時(shí)的進(jìn)行動(dòng)態(tài)漂移，因此虛擬主機(jī)所在的真實(shí)位置也是在不斷地變化，這樣會(huì)導(dǎo)致邊界的安全策略也要隨之轉(zhuǎn)移。若邊界的安全策略及安全防護(hù)措施不能同時(shí)跟虛擬機(jī)一起漂移，那么其對(duì)應(yīng)的邊界安全防護(hù)措施和策略就不再生效，造成在虛擬環(huán)境中虛擬服務(wù)器存在安全漏洞與隱患[1]。

1.2數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)

用戶在使用云計(jì)算服務(wù)的過程中，都是通過網(wǎng)絡(luò)途徑將用戶數(shù)據(jù)傳輸?shù)皆品?wù)器中進(jìn)行存儲(chǔ)和計(jì)算，這些用戶數(shù)據(jù)還會(huì)包括一些用戶的敏感數(shù)據(jù)（如電子郵件、私人聊天記錄、企業(yè)客戶信息和財(cái)務(wù)報(bào)表等），但是由于用戶和云服務(wù)器通常不在同一個(gè)信任域中，那么網(wǎng)絡(luò)傳輸過程中，如何保證外包數(shù)據(jù)不會(huì)被非法攻擊、竊取、破壞及修改，以有效地保護(hù)用戶的隱私安全是一個(gè)值得關(guān)注的問題[2]。

1.3 API接口安全風(fēng)險(xiǎn)

由于云計(jì)算技術(shù)具有松耦合性，因此云計(jì)算的模塊與模塊之間及其對(duì)外提供服務(wù)均使用API接口來實(shí)現(xiàn)，API接口存在認(rèn)證、授權(quán)、代碼缺陷等方面的問題和風(fēng)險(xiǎn)，因此服務(wù)供應(yīng)商的服務(wù)以及其接口程序?qū)τ脩舳允遣惶煽康摹?/p>

1.4過于集中的數(shù)據(jù)存儲(chǔ)

由于云服務(wù)器提供了高質(zhì)量的數(shù)據(jù)存儲(chǔ)服務(wù)，云端存儲(chǔ)的信息數(shù)量繁多，這樣用戶可以減少自身數(shù)據(jù)存儲(chǔ)和維護(hù)開銷，但云計(jì)算環(huán)境具有相當(dāng)強(qiáng)的開放性，并且數(shù)據(jù)存放高度集中、系統(tǒng)非常龐大，復(fù)雜程度較高，若黑客或病毒非法攻擊侵入到云端，那么用戶的大量關(guān)鍵數(shù)據(jù)就會(huì)面臨泄露和丟失的風(fēng)險(xiǎn)，其后果不堪設(shè)想。另外用戶沒有訪問數(shù)據(jù)信息的優(yōu)先權(quán)，用戶本身也不清楚數(shù)據(jù)信息的實(shí)際存放情況，因此也沒有辦法進(jìn)行實(shí)際可行的操作，這些都會(huì)導(dǎo)致數(shù)據(jù)存儲(chǔ)上的安全問題。

1.5共享數(shù)據(jù)的安全風(fēng)險(xiǎn)

加密隱私信息是有效解決隱私信息泄露的重要途徑。加密算法通常有兩種，即對(duì)稱加密算法和非對(duì)稱加密算法。在云計(jì)算環(huán)境的現(xiàn)實(shí)使用過程中，數(shù)據(jù)擁有者和數(shù)據(jù)使用者通常是不一致的，若使用對(duì)稱加密算法，因?yàn)榧咏饷芏际鞘褂猛幻荑€，對(duì)數(shù)據(jù)擁有者來說就存在無法控制數(shù)據(jù)和如何進(jìn)行管理密鑰問題;若使用非對(duì)稱加密算法，則需要公鑰基礎(chǔ)結(jié)構(gòu)支持。在云計(jì)算實(shí)際應(yīng)用中，常用的是利用第三方數(shù)據(jù)重加密方法和基于用戶身份屬性特征的屬性加密算法來解決該問題。但是當(dāng)數(shù)據(jù)擁有者上傳密文數(shù)據(jù)到云服務(wù)器，需要共享密文數(shù)據(jù)的用戶身份發(fā)生變化時(shí)，密文數(shù)據(jù)的共享策略需要進(jìn)行更新，這會(huì)導(dǎo)致第三方代理復(fù)雜的數(shù)據(jù)管理問題，帶來用戶隱私數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2 云環(huán)境背景下提高數(shù)據(jù)安全的防護(hù)策略

云計(jì)算具有很多優(yōu)勢，但同時(shí)也會(huì)帶來很多數(shù)據(jù)安全問題。云計(jì)算環(huán)境下的數(shù)據(jù)安全是要保證數(shù)據(jù)生成、傳輸、存儲(chǔ)和訪問的過程中不被篡改、竊取和破壞，云環(huán)境背景下的數(shù)據(jù)安全防護(hù)策略，不僅要考慮采用傳統(tǒng)的信息安全、存儲(chǔ)加密等技術(shù)，還要考慮整個(gè)云資源環(huán)境的安全問題。

2.1建立云安全防御體系

云計(jì)算資源環(huán)境中包含有兩類資源，即傳統(tǒng)的物理資源和虛擬資源，因此安全防御體系需要同時(shí)考慮云平臺(tái)和云上系統(tǒng)的安全保障，安全防御體系應(yīng)以“一個(gè)中心、三重防護(hù)”的思路來構(gòu)建，一個(gè)中心即通過云安全管理中心來收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)，以及云計(jì)算下的虛擬網(wǎng)絡(luò)、虛擬主機(jī)的信息安全事件并進(jìn)行分析和安全預(yù)警，統(tǒng)一管理云平臺(tái)的漏洞和補(bǔ)丁[3]。三重防護(hù)即實(shí)現(xiàn)云計(jì)算環(huán)境、區(qū)域邊界和網(wǎng)絡(luò)通信三個(gè)層次的防御。云計(jì)算環(huán)境防御包括物理資源安全和虛擬資源安全，物理資源安全主要從物理資源安全配置加固、安全審計(jì)、漏洞管理和冗余設(shè)計(jì)等方面來進(jìn)行防護(hù);虛擬資源安全防御主要從虛擬主機(jī)自身安全、虛擬資源的隔離、惡意代碼防護(hù)等來進(jìn)行防護(hù)。區(qū)域邊界防御，一方面可以通過傳統(tǒng)的安全設(shè)備和適當(dāng)?shù)膮^(qū)域劃分，實(shí)現(xiàn)云平臺(tái)物理邊界的安全防護(hù)，另一方面可以采用VPC、虛擬防火墻、SDN服務(wù)鏈編排等云安全防護(hù)產(chǎn)品和手段，實(shí)現(xiàn)虛擬邊界的安全;網(wǎng)絡(luò)通信防御主要考慮從網(wǎng)絡(luò)傳輸時(shí)數(shù)據(jù)的完整性和保密性、通信網(wǎng)絡(luò)的安全審計(jì)、通信網(wǎng)絡(luò)的可用性等方面來進(jìn)行防御。

2.2 采用信息加密技術(shù)

信息加密是較為常用的信息安全保護(hù)技術(shù)，該技術(shù)的核心是加密算法，可以利用軟硬件技術(shù)加密傳輸鏈路，也可使用端對(duì)端直接加密數(shù)據(jù)。加密傳輸鏈路主要由物理鏈路上的交換轉(zhuǎn)發(fā)設(shè)備實(shí)現(xiàn)加解密操作，以保護(hù)通信節(jié)點(diǎn)上傳輸?shù)臄?shù)據(jù)。端對(duì)端加密數(shù)據(jù)是通過加密應(yīng)用層的數(shù)據(jù)信息，將原始數(shù)據(jù)通過加密密鑰轉(zhuǎn)換成密文形式，讀取數(shù)據(jù)信息時(shí)需要有相應(yīng)的密匙，使用時(shí)需要結(jié)合密鑰管理和密鑰分配算法。加解密操作只發(fā)生在數(shù)據(jù)發(fā)送方與數(shù)據(jù)接收方，在整個(gè)傳輸過程中數(shù)據(jù)都是以密文的形式存在，極大提高了數(shù)據(jù)的安全性。將加密技術(shù)融入信息安全防護(hù)體系中，可以有效地幫助數(shù)據(jù)信息的安全防護(hù)工作。建立一套完整可行的信息加密體系，首先要篩選哪些數(shù)據(jù)需要加密處理，再運(yùn)用相關(guān)分析方法來合理地分類和篩選數(shù)據(jù)，并對(duì)加密數(shù)據(jù)面臨的安全問題進(jìn)行分析，找出可能存在的安全漏洞，做出相應(yīng)的防御解決辦法，以提升整個(gè)云環(huán)境的穩(wěn)定性和安全性。

2.3 訪問控制

云計(jì)算在實(shí)際應(yīng)用中具有多線程、多任務(wù)及多用戶的特點(diǎn)，多用戶則成為威脅數(shù)據(jù)安全的隱患，為有效的提升云計(jì)算環(huán)境下數(shù)據(jù)安全防護(hù)質(zhì)量，落實(shí)數(shù)據(jù)訪問控制是保證數(shù)據(jù)擁有者及用戶隱私的重要安全防護(hù)內(nèi)容。訪問控制是指對(duì)用戶文件和數(shù)據(jù)讀、寫、執(zhí)行等操作上的權(quán)限限制。數(shù)據(jù)擁有者將數(shù)據(jù)信息存儲(chǔ)在云平臺(tái)上，如果有用戶想要訪問該數(shù)據(jù)信息，則首先需要通過數(shù)據(jù)擁有者進(jìn)行授權(quán)。在實(shí)際應(yīng)用中可以根據(jù)數(shù)據(jù)的隱私敏感度和重要程度設(shè)置不同的安全范圍，范圍粒度的劃分可以根據(jù)信息保密要求等級(jí)或重要性進(jìn)行確定。不同安全等級(jí)之間需要相互存取訪問時(shí)，則要運(yùn)用相應(yīng)軟硬件設(shè)備實(shí)現(xiàn)邊界保護(hù)，從而保證訪問控制規(guī)則實(shí)施的有效性，并且對(duì)每次操作都要有審計(jì)和日志記錄。另外在采用虛擬化技術(shù)的云環(huán)境中，軟件都是直接由云服務(wù)商來進(jìn)行管理和操作，為了保障在虛擬主機(jī)上多個(gè)操作系統(tǒng)并發(fā)運(yùn)行的安全性，虛擬化軟件則應(yīng)該利用訪問控制策略對(duì)虛擬化軟件層的訪問權(quán)限進(jìn)行管理，來保證虛擬化層次上的各用戶的數(shù)據(jù)安全。

2.4 提高防范意識(shí)，做好數(shù)據(jù)備份

為了更好提升云環(huán)境下傳輸網(wǎng)絡(luò)的安全性能，云計(jì)算用戶自身要加強(qiáng)安全防范意識(shí)，做好對(duì)不良信息防范，凈化網(wǎng)絡(luò)傳輸環(huán)境，以避免因?yàn)榧夹g(shù)不成熟的問題使得病毒侵入計(jì)算機(jī)網(wǎng)絡(luò)。作為云計(jì)算的使用用戶還需要意識(shí)到云端平臺(tái)具有一定的風(fēng)險(xiǎn)性。因此，要求所有用戶在云計(jì)算平臺(tái)的實(shí)際使用過程中，要養(yǎng)成做好數(shù)據(jù)備份的習(xí)慣，利用不同云服務(wù)商的云計(jì)算平臺(tái)來對(duì)數(shù)據(jù)進(jìn)行相互備份，這種利用物理隔離的方式可以有效地保障數(shù)據(jù)安全，萬一某個(gè)云端平臺(tái)存儲(chǔ)的數(shù)據(jù)丟失，也不會(huì)造成不可逆轉(zhuǎn)的毀滅性后果。

3 結(jié)束語

云計(jì)算的優(yōu)勢很多，為人們的工作、學(xué)習(xí)及生活提供了便利，但其信息安全問題也不能忽視，因此用戶在使用云計(jì)算的過程中要對(duì)其風(fēng)險(xiǎn)有充分的認(rèn)識(shí)，并通過行之有效的方式進(jìn)行預(yù)防，以免自身遭受嚴(yán)重的損失，也不能因?yàn)轱L(fēng)險(xiǎn)就因噎廢食，應(yīng)充分利用新的安全技術(shù)和手段，合理運(yùn)用云計(jì)算平臺(tái)。本文對(duì)云計(jì)算環(huán)境所面臨的數(shù)據(jù)安全威脅進(jìn)行了分析，并提出了提高云計(jì)算環(huán)境下數(shù)據(jù)安全性的防護(hù)策略，希望為推動(dòng)云計(jì)算的良好發(fā)展做出貢獻(xiàn)。

參考文獻(xiàn)：

[1]莫建華.基于虛擬化技術(shù)的云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)研究[J].信息計(jì)算與信息化，2019（10）：214-216.

[2]高倩.基于云計(jì)算環(huán)境下的信息安全技術(shù)[J].電子技術(shù)與軟件工程，2019（6）：185.

[3]王勇，徐衍龍，劉強(qiáng).云計(jì)算安全模型與架構(gòu)研究[J].信息安全研究，2019（5）：287-292.

【通聯(lián)編輯：朱寶貴】

作者簡介：楊清琳（1983-），女，廣西桂林人，碩士，工程師，主要研究方向?yàn)樵朴?jì)算、智能信息處理、信息安全;蔡小娟（1988-），女，廣西賀州人，本科，助理工程師，主要研究方向?yàn)樾畔⒓夹g(shù)。