程海濤

（大慶石油管理局信息技術(shù)公司北京分公司，黑龍江 大慶 163000）

0 引言

從本質(zhì)上看，云應(yīng)用安全測試與傳統(tǒng)的Web 應(yīng)用測試具有高度的相似性，重點都是要通過安全測試來發(fā)現(xiàn)應(yīng)用中存在的安全隱患，通過測試結(jié)果來進行漏洞識別與修復(fù)，保障數(shù)據(jù)存儲、使用的安全性。云應(yīng)用安全測試是新概念，在實際的應(yīng)用過程中，操作難度非常大，再加上云應(yīng)用中安全交叉點、傳輸點數(shù)量的不斷增加，使得在開展安全測試的過程中，要保障測試的全面性，積極通過內(nèi)外測試來消除應(yīng)用中的安全風險。

1 云安全技術(shù)概況

計算機、信息技術(shù)等的快速發(fā)展，使得云計算應(yīng)運而生，加快了網(wǎng)絡(luò)時代的發(fā)展。各種云應(yīng)用的開發(fā)，在為人們提供便捷的同時，也帶來了巨大的安全隱患，比如，云應(yīng)用中的信息泄露情況。從根本上看，云安全技術(shù)實現(xiàn)了網(wǎng)絡(luò)計算、未知病毒行為判斷并行處理等各種新技術(shù)、概念的有效融合。通過網(wǎng)狀分布的客戶端，云安全技術(shù)中的相關(guān)模塊可以對網(wǎng)絡(luò)軟件中的異常行為加以監(jiān)測，通過這一監(jiān)測過程，就可以全面掌握云應(yīng)用中的全部行為，對全部的數(shù)據(jù)和信息加以分析。這一過程中，云安全技術(shù)中的相關(guān)模塊能夠及時發(fā)現(xiàn)異常侵入、惡意攻擊、病毒入侵等行為，當收集到這些異常情況以后，系統(tǒng)還可以自動將這些信息發(fā)送給客戶端，在經(jīng)由全面的分析和處理后，可以制定出最為有效的安全處理方案［1］。

2 云安全技術(shù)的實現(xiàn)與應(yīng)用

2.1 建立科學(xué)合理的資源池

伴隨著云計算概念的提出和應(yīng)用，很多領(lǐng)域都在積極搭建云計算框架，而如果要保障云計算架構(gòu)的科學(xué)性與合理性，就必須要率先建立科學(xué)合理的資源池。在傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）基礎(chǔ)架構(gòu)中，專門的資源和應(yīng)用之間存在著非常高的關(guān)聯(lián)性，為了使系統(tǒng)能夠具備少量峰值的負載，往往存在過度進行資源配置的情況，資源重復(fù)利用的效率偏低［2］。根據(jù)有關(guān)統(tǒng)計，傳統(tǒng)IT 資源的平均重復(fù)利用率在20%以下。資源池構(gòu)建需要服務(wù)器、存儲、網(wǎng)絡(luò)等多種資源，構(gòu)建的目的是要將這些多樣化的資源以比價虛擬化的方式形成更為綜合的資源池。在云計算概念下，資源池建設(shè)可以直接通過分布式計算的方式，來保障資源分配的科學(xué)性與合理性。這一計算和分配方式不僅可以消除物理邊界的限制，還可以大大提升資源的重復(fù)利用率，提升資源池的計算水平［3］。云計算中，資源池的構(gòu)建是基礎(chǔ)環(huán)節(jié)，在后續(xù)云計算基礎(chǔ)架構(gòu)的實現(xiàn)過程中，具有不可替代的作用，只有保障了資源池建設(shè)的科學(xué)性，才可以根據(jù)應(yīng)用本身的需求來動態(tài)分配資源。

資源池建設(shè)需注意以下要點。①在正式的建設(shè)開始之前，專業(yè)人員需率先根據(jù)資源池建設(shè)的實際需求來準備好必備的物理資源，為資源池建設(shè)做好充分的前期準備，利用虛擬化方式來建設(shè)。一般情況下，一個物理服務(wù)器可以將幾個或者幾十個服務(wù)器全部虛擬出來，且這一虛擬模式下，每個虛擬機都可以根據(jù)不同的任務(wù)需求來運行［4］。②資源池的兼容性相對較強，由于其服務(wù)對象可以是很多的平臺，各個平臺上的運行需求有所不同，而資源池可以根據(jù)不同平臺的現(xiàn)實需求，來提供給不同平臺不同的負載。各個企業(yè)的應(yīng)用類型非常多樣，使得在平臺建設(shè)的過程中，要積極根據(jù)這些需求來進行設(shè)計。比如，一個企業(yè)可以同步開發(fā)Linux 和Windows 雙應(yīng)用，甚至可以是基于Unix 的應(yīng)用。這一情況下，企業(yè)在平臺優(yōu)化和建設(shè)的過程中，原有應(yīng)用可以直接在資源池上使用。③在企業(yè)業(yè)務(wù)范圍逐步擴大的過程中，IT 資源的需求也在逐步擴大，與此同時，應(yīng)用類型也日漸增多。這種情況下，就需要使資源池具有非常強的擴展能力。

2.2 現(xiàn)階段保障云安全的具體方案

基于云安全考慮，一些軟件廠商逐步開發(fā)出可以有效保護全網(wǎng)安全的體系架構(gòu)。比如，金山毒霸開發(fā)云安全系統(tǒng)，不僅包括智能化客戶端，還包括集群式服務(wù)端和開放式平臺，在投入使用以后，可以有效解決互聯(lián)網(wǎng)環(huán)境下存在的各種病毒威脅。在這一安全體系中，“可信云安全平臺”是核心技術(shù)，其具體包含了以下內(nèi)容。①可信云安全。這一技術(shù)也就是云端人工智能的自動鑒定，通過這一技術(shù)的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境下，可以在非常短的時間內(nèi)就有效對大部分的未知樣本加以識別和判定，主要包含了收集、鑒定、發(fā)布等技術(shù)體系和流程，在該體系內(nèi)，以互聯(lián)網(wǎng)的可信認證、人工智能自動分析和樣本極速匹配為基礎(chǔ)，客戶端即使每天應(yīng)對的查詢請求非常多，也可以實現(xiàn)瞬間響應(yīng)［5］。②藍芯II 云引擎。這一引擎技術(shù)可以對全部的病毒開展高效、精確地查殺。

3 云應(yīng)用安全測試技術(shù)

3.1 內(nèi)外部測試

云應(yīng)用的安全測試過程中，內(nèi)外部測試是最為基礎(chǔ)性的測試。要在具體的安全測試過程中，將云基礎(chǔ)設(shè)施作為一個獨立的系統(tǒng)個體來開展全面的安全測試，內(nèi)外部測試的范圍主要是由組織和應(yīng)用設(shè)置情況來決定的。當然，云系統(tǒng)可以是單個個體，也可以是系統(tǒng)內(nèi)部的，甚至可以是多系統(tǒng)的、具有內(nèi)外部雙重屬性的應(yīng)用。安全測試技術(shù)應(yīng)用的過程中，必須要利用測試技術(shù)來對云系統(tǒng)的結(jié)構(gòu)、運行狀態(tài)和流程加以全面識別，測試者在測試的過程中，為保障測試工作的高效開展，必須要在前期的測試準備工作中，全面了解并掌握其中的全部連接點，包含數(shù)據(jù)連接和傳輸?shù)募毠?jié)性內(nèi)容。安全測試要從云應(yīng)用中的某一特定內(nèi)部功能開始，然后為所有的連接點或額外的云建立測試。在內(nèi)外部測試的過程中，對云性質(zhì)、內(nèi)外部、混合的判定是非常重要的。測試云端主要包含了滲透測試技術(shù)和數(shù)據(jù)測試技術(shù)，這一點是與Web 應(yīng)用測試高度相似的，其最為突出的區(qū)別就在于系統(tǒng)結(jié)構(gòu)、基礎(chǔ)設(shè)施中存在云供應(yīng)商。

3.2 跨系統(tǒng)測試

跨系統(tǒng)測試技術(shù)應(yīng)用與“外部”測試相類似，但也存在一定的區(qū)別?？缭葡到y(tǒng)測試重點應(yīng)放在測試公有云、私有云和混合云應(yīng)用方面。對于絕大多數(shù)的云應(yīng)用而言，其開發(fā)的最終目的是要在各個云系統(tǒng)之間實現(xiàn)數(shù)據(jù)、信息的共享和集成。在安全測試技術(shù)的應(yīng)用過程中，要保障測試的有效性，就需要在了解云系統(tǒng)總體結(jié)構(gòu)、云應(yīng)用與系統(tǒng)交互方式、共享信息和數(shù)據(jù)方式的基礎(chǔ)上開展測試［6］。安全測試跨云和應(yīng)用時，重點需放在數(shù)據(jù)是否存在異常訪問與共享的判定方面。作為測試者，需要通過操作云系統(tǒng)配置或者角色安全、攔截消息、消息隊列能否獲得非授權(quán)數(shù)據(jù)訪問的權(quán)利方面，只有做好了這些方面的測試，才能夠說明安全測試是有效的。云應(yīng)用的路徑非常復(fù)雜，在跨系統(tǒng)測試的過程中，不僅需要對這些復(fù)雜路徑加以測試，更需要進行安全路徑的測試，以通過全面測試來消除云應(yīng)用、系統(tǒng)中的安全威脅。Web 測試與云應(yīng)用測試還存在著一個突出的區(qū)別，就是Web 應(yīng)用存在邊界，而云應(yīng)用則沒有，由于可能是無邊界的，就使得在測試的過程中，測試人員必須要全面調(diào)查其全部的連接點和安全邊界情況。

4 測試挑戰(zhàn)

云應(yīng)用安全測試的過程中，同樣存在著一定的測試難題。由于組織并不系統(tǒng)，這就使得在云環(huán)境下，直接對服務(wù)器日志和其他類型文件的訪問都是不可行的。測試過程中，測試人員必須要密切觀察數(shù)據(jù)的具體情況、性能和時間等，來進行相關(guān)問題的準確判定。比如，在云應(yīng)用中，如果重點放在某窗口輸入功能的驗證方面，就需要用另外一個應(yīng)用來確定是否存在問題。如果要保障測試結(jié)果的有效性，相關(guān)測試人員必須要詳細了解數(shù)據(jù)流、合法數(shù)據(jù)定義、應(yīng)用和特定云之間的關(guān)系信息，只有在掌握了這些基礎(chǔ)的信息以后，才能夠使安全測試工作順利開展，使得安全測試技術(shù)選擇、流程確定符合實際的測試需求。由于云應(yīng)用基礎(chǔ)設(shè)施的性質(zhì)比較特殊，在開展安全測試的過程中，徹底測試是非常關(guān)鍵的，大部分的測試應(yīng)該以應(yīng)用行為和響應(yīng)作為基礎(chǔ)，在測試的過程中，專業(yè)人員必須充分做好測試時間的科學(xué)規(guī)劃。

4 結(jié)語

近年來，隨著云應(yīng)用數(shù)量和需求的增多，在云應(yīng)用的開發(fā)和運營過程中，要結(jié)合實際的安全需求來選擇恰當?shù)陌踩珳y試技術(shù)，最大程度上提高云應(yīng)用的安全性。