從“棱鏡計(jì)劃”中探討云計(jì)算體系下的信息安全問題

摘要：“維基解密”、“棱鏡計(jì)劃”的相繼曝光使各國開始重視網(wǎng)絡(luò)信息安全，重新思量在信息技術(shù)不斷更新的時(shí)代如何來應(yīng)對這一問題以維護(hù)國家利益。隨著云計(jì)算技術(shù)的日益成熟和廣泛應(yīng)用，云內(nèi)的安全問題也得到了重視。文章從“棱鏡計(jì)劃”講起，探討了云計(jì)算體系下的信息安全問題。

關(guān)鍵詞：云計(jì)算；“棱鏡計(jì)劃”；信息安全；互聯(lián)網(wǎng)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-2374（2014）30-0022-02

1 “棱鏡計(jì)劃”與云計(jì)算

棱鏡計(jì)劃是一項(xiàng)由美國國家安全局自2007年起開始實(shí)施的絕密級電子監(jiān)聽計(jì)劃。該計(jì)劃的正式名稱為“US-984XN”。根據(jù)報(bào)道，泄露的文件中描述PRISM計(jì)劃能夠?qū)磿r(shí)通信和既存資料進(jìn)行深度的監(jiān)聽。許可的監(jiān)聽對象包括任何在美國以外地區(qū)使用參與計(jì)劃公司服務(wù)的客戶，或是任何與國外人士通信的美國公民。國家安全局在PRISM計(jì)劃中可以獲得的數(shù)據(jù)電子郵件、視頻和語音交談、影片、照片、VoIP交談內(nèi)容、檔案傳輸、登入通知，以及社交網(wǎng)絡(luò)細(xì)節(jié)。綜合情報(bào)文件《總統(tǒng)每日簡報(bào)》中在2012年內(nèi)在1477個計(jì)劃使用了來自棱鏡計(jì)劃的資料，關(guān)于PRISM的報(bào)道是在美國政府持續(xù)秘密地要求威訊向國家安全局提供所有客戶每日電話記錄的消息曝光后不久出現(xiàn)的。泄露這些絕密文件的是國家安全局合約外包商的員工愛德華·斯諾登，于2013年6月6日在英國《衛(wèi)報(bào)》和美國《華盛頓郵報(bào)》公開。

云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用軟件、服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算（cloud computing）是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。云是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種比喻說法。過去在圖中往往用云來表示電信網(wǎng)，后來也用來表示互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象。

2 從“棱鏡計(jì)劃”分析信息安全問題

黑客的攻擊成為目前信息安全所面臨的首要威脅，黑客通過侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)來獲取信息。隨著網(wǎng)絡(luò)的不斷發(fā)展國家的能源、通信、商業(yè)、金融、交通等信息的交流都有賴于網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題導(dǎo)致信息被竊取指令無法正常執(zhí)行，將會給國家?guī)砭謳頁p失并直接影響國家

安全。

網(wǎng)絡(luò)信息技術(shù)的不斷更新使間諜組織有更好的工具獲取機(jī)密信息。美國“棱鏡計(jì)劃”的曝光使大眾了解到美國竊取情報(bào)活動涉密程度和情報(bào)信息量。美國視我國為其最大的利益威脅國，依靠其技術(shù)的優(yōu)勢，長期對我國的通信和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行全天候無地域限制的偵察與監(jiān)控，美國借助谷歌將用戶的所有瀏覽記錄都備份到情報(bào)局以達(dá)到實(shí)時(shí)監(jiān)控的效果。如此嚴(yán)峻的形勢下中國不得不再次提高信息安全警報(bào)等級，網(wǎng)絡(luò)信息安全已經(jīng)不僅僅是指軍事上的國家安全，它將會對國家的經(jīng)濟(jì)政治等方面產(chǎn)生直接的影響。

3 云計(jì)算技術(shù)所引發(fā)的信息安全問題

云的部署方式分為軟件及服務(wù)SAAS，另外四種部署方式為公有云、私有云、社區(qū)云和混合云。這種部署能夠考慮到成本控制和安全控制等多方面的需求。云所具備的功能使其能夠在計(jì)算機(jī)網(wǎng)絡(luò)中得到廣泛的應(yīng)用。云完成了對數(shù)的存儲和計(jì)算工作不可避免地存在存儲的信息安全出現(xiàn)問題。云計(jì)算的出現(xiàn)對國家信息安全存在潛在和現(xiàn)實(shí)威脅。一旦有哪個國家有很強(qiáng)的技術(shù)能夠控制云，將會掌控全球的信息，竊取其他國家的機(jī)密信息。

云環(huán)境下信息安全出現(xiàn)以下幾個問題：安全邊界的消失，無法采取針對性的安全防護(hù)措施，無法確保信息的安全；信息數(shù)據(jù)的過度集中，云計(jì)算中對信息的處理和存儲都是在云端上完成，網(wǎng)絡(luò)是一個開放性的互聯(lián)虛擬平臺，它的身份識別與認(rèn)證，對信息瀏覽的訪問控制技術(shù)尚不成熟，容易造成信息傳輸過程中的泄密或丟失；虛擬化技術(shù)的應(yīng)用問題，云計(jì)算依賴于虛擬技術(shù)，但虛擬設(shè)備的管理非常困難，設(shè)備能否正常運(yùn)行受到電腦病毒、安全漏洞等的影響；可靠穩(wěn)定性問題，容災(zāi)恢復(fù)能力、安全策略等無法滿足云計(jì)算服務(wù)的需求，云端高度集中的信息資源會促使惡意代碼和黑客程序的不斷侵入對云端的信息安全帶來極大的威脅。

4 云體系下應(yīng)對信息安全威脅的策略

對于公有云與私有云用戶對信息安全的較高要求，必須要建立健全信息安全標(biāo)準(zhǔn)體系，加強(qiáng)在云計(jì)算體系下基礎(chǔ)設(shè)施的安全性管理，提高云計(jì)算的技術(shù)水平提高信息風(fēng)險(xiǎn)防范能力，為云計(jì)算提供良好的系統(tǒng)運(yùn)行環(huán)境。

（1）國際合作共同規(guī)范化和標(biāo)準(zhǔn)化信息安全標(biāo)準(zhǔn)體系如云計(jì)算中的設(shè)備的合理配置、運(yùn)營流程、用戶安全要求、訪問控制策略。安全標(biāo)準(zhǔn)體系的建立以云安全管理中心為核心注重云環(huán)境安全、云邊界安全、云通信網(wǎng)絡(luò)安全。在云中當(dāng)加密后的通信信息與用戶交流時(shí)，通過對安全策略的不斷改進(jìn)使其更具合理性和更強(qiáng)的健壯性來保證云計(jì)算環(huán)境下的信息安全。

（2）云計(jì)算的運(yùn)行平臺是基于基礎(chǔ)設(shè)施的，其自身設(shè)備有漏洞和安全風(fēng)險(xiǎn)的存在，所以加強(qiáng)在云計(jì)算體系下基礎(chǔ)設(shè)施的安全性管理就成為信息安全威脅的一種防護(hù)策略。將基礎(chǔ)網(wǎng)絡(luò)IP統(tǒng)一管理規(guī)劃，對關(guān)鍵節(jié)點(diǎn)的中斷和服務(wù)器的IP和MAC地址進(jìn)行綁定操作，用來防止出現(xiàn)地址欺騙；對于網(wǎng)絡(luò)的核心設(shè)備使其能對集合鏈路冗余備份，在防火墻技術(shù)的異常流量監(jiān)控中能夠及時(shí)準(zhǔn)確地發(fā)現(xiàn)并且阻斷互聯(lián)網(wǎng)對DDOS的攻擊，將防火墻設(shè)置在DMZ內(nèi)網(wǎng)和互聯(lián)網(wǎng)接入點(diǎn)與DMZ之間，來確保在云端信息的安全存儲與完整的傳輸與正常通信；要對應(yīng)用系統(tǒng)主機(jī)設(shè)備進(jìn)行安全加固，關(guān)閉不使用的服務(wù)端口如黑客常利用的3389端口遠(yuǎn)程控制用戶主機(jī)以及相應(yīng)的組件，對操作系統(tǒng)、虛擬機(jī)、數(shù)據(jù)庫及時(shí)打補(bǔ)丁，并且實(shí)時(shí)監(jiān)控惡意代碼和病毒的出現(xiàn)，在信息中心部署IAS/IPS設(shè)備保護(hù)系統(tǒng)自身的安全。

（3）laaS虛擬化、PaaS分布式、SaaS在線軟件是云計(jì)算體系中的關(guān)鍵技術(shù)。虛擬技術(shù)是將IT的硬件資源轉(zhuǎn)化成資源池通過網(wǎng)絡(luò)將信息傳輸至客戶端來實(shí)現(xiàn)IT資源靈活性和利用率最大化，虛擬化安全要運(yùn)用到數(shù)據(jù)存儲冗余保護(hù)技術(shù)、并行訪問，完善容災(zāi)和容錯技術(shù)等；在分布式處理技術(shù)中，Hadoop HAFS、Google GFS等分布式系統(tǒng)增加了Secondary Master對主服務(wù)器的備份，結(jié)合冗余存儲方式，引進(jìn)分布式同步和沙箱隔離技術(shù)來確保云端信息安全；在防火墻執(zhí)行邏輯分區(qū)邊界防護(hù)和集中管理分段功能的基礎(chǔ)上啟動虛擬端口限速功能，并對虛擬網(wǎng)絡(luò)上的日志審計(jì)，才能及時(shí)發(fā)現(xiàn)異常流量現(xiàn)象并予以控制。

（4）信息風(fēng)險(xiǎn)的防范有多種方式，數(shù)據(jù)加密是信息風(fēng)險(xiǎn)防范的關(guān)鍵方法，不僅對訪問權(quán)限加密同時(shí)也要對元數(shù)據(jù)加密，在傳輸文件數(shù)據(jù)時(shí)要使用AES加密方法，對密鑰進(jìn)行RSA加密，之后將密鑰密文與文件密文綁定，系統(tǒng)分塊后存儲在HDFS的存儲節(jié)點(diǎn)上，在經(jīng)過一系列的抽取密鑰密文、私鑰解密、文件密文解密從而獲取文件。數(shù)據(jù)刪除技術(shù)可以降低信息的風(fēng)險(xiǎn)，用戶要對云端上有價(jià)值的數(shù)據(jù)進(jìn)行刪除，如果運(yùn)行時(shí)磁盤出現(xiàn)故障可能會泄露信息，借助數(shù)據(jù)刪除減少敏感信息的泄露。數(shù)據(jù)災(zāi)備技術(shù)是保護(hù)信息安全的又一屏障，災(zāi)難備份和恢復(fù)非常重要，因?yàn)閿?shù)據(jù)中心存儲了大量的業(yè)務(wù)信息，除了云計(jì)算所使用的虛擬技術(shù)，還可最大程度發(fā)揮SAN的自身優(yōu)勢，實(shí)現(xiàn)數(shù)據(jù)的共享，以此來提高信息災(zāi)難備份的效果。

（5）系統(tǒng)環(huán)境對信息安全的防護(hù)有著不容小覷的影響，在應(yīng)對信息安全威脅時(shí)，優(yōu)化程度越好的系統(tǒng)環(huán)境越不容易受到不良的蓄意攻擊。用戶身份識別確定用戶身份的唯一性，可以根據(jù)數(shù)字證書、生物特征、硬件信息綁定等方式進(jìn)行用戶身份驗(yàn)證，同時(shí)結(jié)合賬號退出檢測、賬號連續(xù)出錯自動鎖定管理身份認(rèn)證；實(shí)行訪問控制、標(biāo)記和強(qiáng)制訪問，強(qiáng)制訪問相對于自主訪問與角色訪問其特點(diǎn)更適合于云環(huán)境下，有利于維護(hù)數(shù)據(jù)安全，提供安全接口來達(dá)到特定事件的提前預(yù)警；提供密碼保護(hù)技術(shù)來完善校驗(yàn)機(jī)制，通過核實(shí)、授權(quán)信任級別，用戶行為跟蹤和獲取，監(jiān)督、規(guī)范用戶行為，評估、量化用戶行為數(shù)據(jù)等方法進(jìn)行信任管理來確保信息安全；對程序的執(zhí)行過程進(jìn)行保護(hù)使其能夠與可靠的信宿建立可信任連接，使用可信計(jì)算技術(shù)和數(shù)據(jù)恢復(fù)技術(shù)防止惡意代碼篡改程序?qū)π畔踩栽斐傻?/p>

影響。

5 結(jié)語

“棱鏡計(jì)劃”曝光再次說明信息安全問題所面臨的嚴(yán)峻形勢，新興技術(shù)云計(jì)算改變了原有的信息存儲模式，改變了信息服務(wù)提供和獲取的方式，給信息安全帶來了多方面的考驗(yàn)，引發(fā)出了更加復(fù)雜的安全問題。云計(jì)算體系下，安全需求和安全措施對應(yīng)的矛盾更為突出，基于對信息安全威脅因素的分析，根據(jù)信息的機(jī)密性、完整性、可用性依照相關(guān)的規(guī)范準(zhǔn)則建立完整統(tǒng)一的安全防護(hù)體系來確保信息安全。信息安全問題是無法避免的問題，云計(jì)算的安全問題通過技術(shù)與管理兩方面將安全風(fēng)險(xiǎn)降到可以接受的范圍。

參考文獻(xiàn)

[1] 維基百科：http：//zh.wikipedia.org/wiki/%E9%BB%91%E5%AE%A2.

[2] 百度百科：http：//baike.baidu.com/view/1316082.htm.

[3] 張寶勝，鄒本娜.淺談云計(jì)算與信息安全[J].計(jì)算機(jī)安全，2014，（4）.

[4] 龐松濤，李清玉.云計(jì)算安全體系探討[A].2013電力行業(yè)信息化年會論文集[C].北京：人民郵電出版社，2014.

作者簡介：賈海寧（1993-），女，江蘇鎮(zhèn)江人，就讀于南京郵電大學(xué)計(jì)算機(jī)學(xué)院，研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。