黃珍珍 湯健鴻 鄧宇珊

（中國(guó)移動(dòng)信息技術(shù)有限公司 廣東 廣州 510630）

引言

云計(jì)算是一種為用戶提供資源的網(wǎng)絡(luò)，會(huì)將大多數(shù)信息資源整合起來(lái)，借助軟件完成自動(dòng)化管理，整個(gè)過(guò)程只需少數(shù)人加入，就可以使信息資源得以快速供應(yīng)。云計(jì)算的存在幫助一般用戶得到了高效率、低成本、多層次的信息計(jì)算服務(wù)。只是云計(jì)算較快的發(fā)展速度雖然滿足社會(huì)市場(chǎng)需求，但也導(dǎo)致對(duì)應(yīng)的安全保障措施的滯后。信息泄露等安全問(wèn)題接連出現(xiàn)，意味著云計(jì)算的未來(lái)發(fā)展將面臨的威脅與阻礙。為解決安全問(wèn)題，相關(guān)管控策略的探究與提出越發(fā)受到廣泛的重視，同時(shí)將其作為保障云計(jì)算應(yīng)用發(fā)展的重要研究項(xiàng)目。

1 什么是云安全

云安全是一種基于云計(jì)算運(yùn)作模式所應(yīng)用的安全保護(hù)軟件，可以借助大范圍分布的用戶端實(shí)施監(jiān)測(cè)網(wǎng)路系統(tǒng)中存在或者出現(xiàn)的異常行為，捕捉互聯(lián)網(wǎng)內(nèi)部病毒或者惡意程序的信息更新?tīng)顟B(tài)，轉(zhuǎn)送至服務(wù)端完成自動(dòng)化解析及處置，然后將問(wèn)題解析方法轉(zhuǎn)發(fā)至所有的用戶端，在病毒程序危害到用戶系統(tǒng)之前將其攔截，使得整個(gè)互聯(lián)網(wǎng)轉(zhuǎn)變?yōu)樽钣行У臍⒍拒浖ぞ摺?/p>

2 云安全受到的常見(jiàn)威脅

2.1 信息數(shù)據(jù)的泄露、丟失及篡改

信息數(shù)據(jù)系統(tǒng)是企業(yè)完成貿(mào)易活動(dòng)的重要基礎(chǔ)，因此企業(yè)用戶會(huì)重點(diǎn)關(guān)注信息數(shù)據(jù)的安全情況，并為了避免因數(shù)據(jù)外泄而產(chǎn)生的大量損失，往往會(huì)采用相關(guān)措施確保信息數(shù)據(jù)的完整性和真實(shí)性。就當(dāng)前狀況而言，企業(yè)的信息數(shù)據(jù)主要受到外部攻擊和內(nèi)部結(jié)構(gòu)不穩(wěn)定等問(wèn)題，時(shí)常會(huì)出現(xiàn)信息數(shù)據(jù)的泄露、丟失及篡改等安全威脅，比如：在外部攻擊方面，外來(lái)入侵者可能會(huì)借助病毒程序來(lái)掌控用戶端，從而搜集與篡改數(shù)據(jù)結(jié)構(gòu)，導(dǎo)致運(yùn)行系統(tǒng)的崩壞；在內(nèi)部結(jié)構(gòu)方面，云服務(wù)的提供者未及時(shí)升級(jí)信息隔離方案，保護(hù)系統(tǒng)無(wú)法與數(shù)據(jù)信息系統(tǒng)相匹配，容易形成數(shù)據(jù)遺失或者惡意篡改信息的情況。

2.2 云技術(shù)缺陷

目前云技術(shù)正處于快速發(fā)展階段，但由于發(fā)展時(shí)間較短，其依然處于不成熟的狀態(tài)。因此云技術(shù)分享到平臺(tái)的共用組件和應(yīng)用程序，在結(jié)構(gòu)上會(huì)存在部分缺陷，容易引發(fā)信息安全事故，該問(wèn)題的存在往往比其余的缺陷帶來(lái)更嚴(yán)重的威脅與傷害，甚至有可能會(huì)造成系統(tǒng)癱瘓等情況。除此之外，云計(jì)算數(shù)據(jù)資源具有虛擬化的特點(diǎn)，缺乏真實(shí)性的安全保障不利于一般安全保護(hù)策略的全方位的實(shí)行，同時(shí)虛擬化會(huì)加大信息核對(duì)的難度，促使惡性病毒會(huì)借助該技術(shù)存在缺陷得以廣泛的傳播，增大了云安全受到威脅的可能性。

2.3 來(lái)自互聯(lián)網(wǎng)的惡性攻擊

云計(jì)算應(yīng)用程序的運(yùn)行一般情況下都是在互聯(lián)網(wǎng)上展開(kāi)的，而明顯的目標(biāo)存在容易引發(fā)大量的網(wǎng)絡(luò)攻擊，并產(chǎn)生多種惡性傷害。網(wǎng)絡(luò)攻擊的類型主要有賬戶劫持和拒絕服務(wù)攻擊。第一種類型的網(wǎng)絡(luò)攻擊是指攻擊者會(huì)在網(wǎng)絡(luò)環(huán)境中通過(guò)應(yīng)用軟件的存在漏洞或者虛假網(wǎng)站收集大量的用戶賬號(hào)信息，并利用非法所得的網(wǎng)絡(luò)身份進(jìn)入到云計(jì)算系統(tǒng)中獲取或者篡改系統(tǒng)內(nèi)部的各項(xiàng)機(jī)密信息數(shù)據(jù)，從而阻礙企業(yè)信息流和資金流的正常流通。第二種類型的網(wǎng)絡(luò)攻擊是指攻擊者會(huì)采用應(yīng)用層DDOS攻擊等手段影響用戶端在云服務(wù)系統(tǒng)中的訪問(wèn)秩序，同時(shí)由于數(shù)據(jù)信息安全措施的不到位，容易導(dǎo)致網(wǎng)絡(luò)存儲(chǔ)空間、寬帶等資源的浪費(fèi)，并削弱了云計(jì)算系統(tǒng)的反應(yīng)靈敏度，迫使用戶接受因資源浪費(fèi)而產(chǎn)生的經(jīng)濟(jì)損耗。

3 應(yīng)對(duì)威脅的管控策略

3.1 監(jiān)控網(wǎng)絡(luò)訪問(wèn)

用戶與云服務(wù)平臺(tái)共同使用路由控制手段搭建安全網(wǎng)絡(luò)訪問(wèn)路徑，可以有效增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性。實(shí)施監(jiān)控路徑被訪問(wèn)狀況，減少在互聯(lián)網(wǎng)邊界處設(shè)置關(guān)鍵網(wǎng)段，并使用ACL技術(shù)、防火墻技術(shù)或者其他技術(shù)于重要網(wǎng)點(diǎn)附近，從而適當(dāng)隔離平臺(tái)與用戶，以及達(dá)成及時(shí)監(jiān)控的效果[1]。詳細(xì)措施主要有以下幾點(diǎn)：約束終端設(shè)備訪問(wèn)網(wǎng)絡(luò)的權(quán)限；篩選并關(guān)閉惡意程序常入侵的訪問(wèn)通道，并在其余端口設(shè)置安全訪問(wèn)驗(yàn)證服務(wù)；關(guān)閉低使用率的服務(wù)平臺(tái)；定時(shí)修訂BANNER提示，降低信息外泄的可能性。另外監(jiān)控網(wǎng)絡(luò)邊界需要合理規(guī)劃系統(tǒng)內(nèi)部區(qū)域，并在各個(gè)區(qū)域安裝配有ACL顧慮控制策略的防火墻，從而降低病毒散播的潛在可能性，保障核心設(shè)備的高效運(yùn)行。

3.2 實(shí)時(shí)更新云數(shù)據(jù)庫(kù)和相關(guān)配置

云計(jì)算系統(tǒng)的運(yùn)行需要準(zhǔn)確的數(shù)據(jù)支持，因此必須嚴(yán)格把控云數(shù)據(jù)庫(kù)，應(yīng)當(dāng)至少達(dá)成C2標(biāo)準(zhǔn)的安全控制指標(biāo)，并從多方位角度進(jìn)行實(shí)時(shí)檢測(cè)。運(yùn)作程序應(yīng)當(dāng)可以依據(jù)項(xiàng)目要求科學(xué)劃分資源配置，減少因資源短缺導(dǎo)致系統(tǒng)停運(yùn)的情況出現(xiàn)。除此之外，當(dāng)前系統(tǒng)容量較大，這也就要求系統(tǒng)需要具有相匹配的容錯(cuò)能力，確保系統(tǒng)在運(yùn)行過(guò)程中發(fā)生故障而不會(huì)耽誤其余程序的運(yùn)作，并可以完成自動(dòng)升級(jí)與修復(fù)[2]。而在系統(tǒng)正常運(yùn)營(yíng)時(shí)期，企業(yè)還要定期安排工作人員檢查和記錄設(shè)備的運(yùn)行情況，排除低配置對(duì)系統(tǒng)運(yùn)行效率產(chǎn)生的負(fù)面影響。

3.3 重視安全審計(jì)工作

云服務(wù)的供應(yīng)方應(yīng)當(dāng)加強(qiáng)規(guī)劃互聯(lián)網(wǎng)和提出有關(guān)數(shù)據(jù)審計(jì)措施的重視度。針對(duì)電子郵件、網(wǎng)站文章等包含敏感信息的內(nèi)容必須實(shí)行審計(jì)；及時(shí)地補(bǔ)充相關(guān)記錄數(shù)據(jù)，構(gòu)建合格可靠的審計(jì)制度，加強(qiáng)對(duì)違反規(guī)章制度情況的審查能力和反應(yīng)能力。

4 結(jié)束語(yǔ)

綜上所述，云安全是實(shí)現(xiàn)企業(yè)云計(jì)算系統(tǒng)可持續(xù)化和創(chuàng)新性發(fā)展重要保障。云安全面對(duì)的威脅情況往往存在一定的復(fù)雜性和多元性，企業(yè)在應(yīng)對(duì)各項(xiàng)安全問(wèn)題時(shí)應(yīng)當(dāng)實(shí)行高效可靠的安全保護(hù)和管控策略，從而保障企業(yè)內(nèi)部多種數(shù)據(jù)的完整與準(zhǔn)確。