云計算背景下的安全防范

摘 要：云計算運(yùn)行中普遍存在著四大類問題，即云計算的可靠性問題、系統(tǒng)性能和系統(tǒng)擴(kuò)展問題、系統(tǒng)安全問題以及成本問題。本文基于云計算安全防范內(nèi)容對如何解決云計算安全防范提出了個人看法。

關(guān)鍵詞：云計算；安全防范；建議

中圖分類號：TP393.08

云計算運(yùn)行中普遍存在著四大類問題，即云計算的可靠性問題、系統(tǒng)性能和系統(tǒng)擴(kuò)展問題、系統(tǒng)安全問題以及成本問題。本文基于云計算安全防范內(nèi)容對如何解決云計算安全防范提出了個人看法。

1 云計算及其特征

云計算指的是通過互聯(lián)網(wǎng)實現(xiàn)服務(wù)的變化、應(yīng)用以及交付的一種新型的模式，其應(yīng)用過程中主要通過虛擬化的資源配置實現(xiàn)互聯(lián)網(wǎng)相關(guān)功能的擴(kuò)展，它的應(yīng)用也是自上世紀(jì)80年代人類發(fā)明大型計算機(jī)以來的又一次大的變革。目前，云計算已經(jīng)被廣泛的看作是繼互聯(lián)網(wǎng)和PC機(jī)變革以后的第三次IT行業(yè)改革浪潮，同時也是我國實現(xiàn)IT產(chǎn)業(yè)偉大戰(zhàn)略復(fù)興計劃的重要內(nèi)容。云計算的應(yīng)用將會在很大程度上改變?nèi)藗兊纳詈蜕a(chǎn)方式，其發(fā)展和應(yīng)用已經(jīng)收到世界范圍的廣泛關(guān)注。云計算技術(shù)的實質(zhì)是計算機(jī)與新型的網(wǎng)絡(luò)技術(shù)相互融合的產(chǎn)物，其中涉及到的主要技術(shù)包括并行處理、分布式處理、網(wǎng)絡(luò)大容量存儲以及虛擬技術(shù)等，因此可以說云計算技術(shù)是一項技術(shù)融合的產(chǎn)物。在維基百科中，云計算的定義是以Internet為基礎(chǔ)同時能夠虛擬資源動態(tài)伸縮的新型計算模式。美國科學(xué)標(biāo)準(zhǔn)研究院對于云計算的定義是基于用量付費模式，可以提供實用、快捷的網(wǎng)絡(luò)訪問，并且可以快速獲得資源池內(nèi)部的相關(guān)數(shù)據(jù)資源，同時具有管理操作簡單、與服務(wù)器上交互較少等優(yōu)點。

云計算主要具備以下幾個方面的特點：伸縮性資源配置；自助式網(wǎng)絡(luò)服務(wù)；快捷網(wǎng)絡(luò)訪問機(jī)制；基于用量計費；虛擬化資源。通常情況下，將云計算技術(shù)的優(yōu)勢歸結(jié)為規(guī)模大、可靠性高、擴(kuò)展性強(qiáng)、適用度高以及成本低廉等。

圖1

2 云計算的安全防護(hù)及其目標(biāo)

云計算的迅猛發(fā)展既使企業(yè)享受到云計算帶來的種種益處：節(jié)省成本開支、增強(qiáng)計算能力、靈活的業(yè)務(wù)應(yīng)用擴(kuò)展等，但同時高整合、高競爭、高淘汰的新商業(yè)環(huán)境，也讓企業(yè)的生存和發(fā)展高度依賴于兩個核心要素，即“云”自身的可用性（Availability）和企業(yè)核心數(shù)據(jù)的安全。

可用性是指軟件系統(tǒng)在一段給定時間內(nèi)正常工作的時間占總時間的比重，通常用百分比來衡量。可用性方面最終解決方案是能夠預(yù)測問題，并通過提前準(zhǔn)備副本、提前解決故障、通知用戶等手段來避免這些故障的發(fā)生，或者減少故障發(fā)生帶來的損失。云計算數(shù)據(jù)的處理和存儲都在云平臺上進(jìn)行，計算資源的擁有者與使用者相分離已成為云計算模式的固有特點，由此而產(chǎn)生的用戶對自己數(shù)據(jù)的安全存儲和隱私性的擔(dān)憂是不可避免的。

具體來說，云計算的安全防護(hù)是指用戶數(shù)據(jù)甚至包括涉及隱私的內(nèi)容在遠(yuǎn)程計算、存儲、通信過程中都有被故意或非故意泄露的可能，亦存在由斷電或宕機(jī)等故障引發(fā)的數(shù)據(jù)丟失問題，甚至對于不可靠的云基礎(chǔ)設(shè)施和服務(wù)提供商，還可能通過對用戶行為的分析推測，獲知用戶的隱私信息。這些問題將直接引發(fā)用戶與云提供者間的矛盾和摩擦，降低用戶對云計算環(huán)境的信任度，并影響云計算應(yīng)用的進(jìn)一步推廣。所以云計算的安全防護(hù)的主要目標(biāo)之一是保護(hù)用戶數(shù)據(jù)和信息安全。當(dāng)向云計算過渡時，傳統(tǒng)的數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)。彈性、多租戶、新的物理和邏輯架構(gòu)，以及抽象的控制需要新的數(shù)據(jù)安全策略。

3 云計算安全防范構(gòu)思

3.1 傳統(tǒng)數(shù)據(jù)中心安全部署

傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是：分區(qū)規(guī)劃、分層部署。分區(qū)規(guī)劃是在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的應(yīng)用或業(yè)務(wù)單元，按照這些應(yīng)用或業(yè)務(wù)單元的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域，以滿足以下需求。分層部署是指在分區(qū)基礎(chǔ)上，按照全面的安全防護(hù)部署要求，在每個區(qū)域的邊界處，根據(jù)實際情況進(jìn)行相應(yīng)的安全需求部署，一般的安全部署包括，防DDoS攻擊、流量分析與控制，異構(gòu)多重防火墻、VPN、入侵防御以及負(fù)載均衡等需求。

3.2 云計算的安全防護(hù)具體內(nèi)容

云計算的安全防護(hù)是與傳統(tǒng)數(shù)據(jù)中心安全部署有所區(qū)別的：一是數(shù)據(jù)與信息安全防護(hù)：安全隔離、權(quán)限控制、數(shù)據(jù)加密、信息傳輸加密、數(shù)據(jù)備份和恢復(fù)、剩余信息保護(hù)等。其次，身份管理與安全審計。采用統(tǒng)一的云服務(wù)身份管理模式和認(rèn)證技術(shù)，通過分權(quán)分域的控制機(jī)制實現(xiàn)跨域的身份認(rèn)證、授權(quán)和訪問控制。三是用戶賬號管理。即為實現(xiàn)云計算系統(tǒng)的集中訪問控制、集中授權(quán)、集中審計提供可靠的原始數(shù)據(jù)。

3.3 云計算安全防范思路

云計算安全防范的重點信息平臺與數(shù)據(jù)資產(chǎn)兩個核心要素提供安全防護(hù)。這需要我們至少做好四個方面的工作：一是主動積極應(yīng)對。在邁入云計算環(huán)境時需要采取一種積極主動的態(tài)度。循序漸進(jìn)、有條不紊的方式部署和推進(jìn)云計算。做好培訓(xùn)和準(zhǔn)備工作，把握好對安全性、可用性和成本等重要問題的控制。二是有效設(shè)置信息和應(yīng)用層。并非所有的信息和應(yīng)用都是在同一層面上創(chuàng)建的。進(jìn)行分析并將信息和應(yīng)用放置在各個層次，這樣才能確定哪些能優(yōu)先進(jìn)入云環(huán)境。三是適時評估風(fēng)險并主動應(yīng)對。確保關(guān)鍵信息只能被授權(quán)用戶訪問，確保云服務(wù)提供商能滿足企業(yè)合規(guī)性的要求。對云計算的運(yùn)營運(yùn)作能力進(jìn)行評估，如容災(zāi)能力、高可用性和災(zāi)難恢復(fù)能力。四是有效應(yīng)用智能技術(shù)。即利用應(yīng)用智能在端口和傳統(tǒng)防火墻的地址攔截來智能地檢測、分類和控制應(yīng)用程序帶寬?；谠朴嬎愕膽?yīng)用程序流量的增長已經(jīng)遠(yuǎn)遠(yuǎn)超過了傳統(tǒng)防火墻的安全功能。通過對應(yīng)用程序的檢測、分類和控制，可以阻止、限制或者優(yōu)化任何特定應(yīng)用程序。

4 結(jié)束語

云技術(shù)在受到企業(yè)用戶青睞的同時，也成為黑客和各種惡意組織為獲取自身利益而攻擊的目標(biāo)。另外，組成云計算環(huán)境的各種系統(tǒng)和應(yīng)用依然要面對各種病毒、木馬和其他惡意軟件的威脅。云計算安全防護(hù)的基本思路應(yīng)是：利用傳統(tǒng)的IT安全技術(shù)解決大部分安全問題；引入新的安全技術(shù)解決云計算所特有的安全問題。

參考文獻(xiàn)：

[1]陳婷婷.云計算安全防范策略探討[J].中國電子商務(wù)，2013（08）.

[2]李彥賓.云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)部署[J].網(wǎng)絡(luò)與信息，2012（06）.

[3]中國電信網(wǎng)絡(luò)安全實驗室.云計算安全：技術(shù)與應(yīng)用[M].北京：電子工業(yè)出版社，2012（02）.

作者簡介：孫萍（1974.04-），女，湖北十堰人，本科，工程師，研究方向：通信電子技術(shù)。

作者單位：湖北醫(yī)藥學(xué)院附屬太和醫(yī)院，湖北十堰 442000