云計(jì)算安全管理手段研究

曾慶椿

摘要：隨著云計(jì)算技術(shù)和應(yīng)用的快速發(fā)展，海量數(shù)據(jù)資源正在通過云計(jì)算數(shù)據(jù)中心存儲(chǔ)和處理。與此同時(shí)，云計(jì)算的安全傳輸、存儲(chǔ)和利用的需求也越來越迫切。所以，云計(jì)算的安全管理成為云計(jì)算安全問題的重中之重。該文從六個(gè)方面對(duì)云計(jì)算安全管理手段進(jìn)行闡述，有效的解決云計(jì)算安全管理中的各類問題，為云計(jì)算的安全部署打下基礎(chǔ)。

關(guān)鍵詞：云計(jì)算；安全管理；審計(jì)評(píng)估

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）36-8605-02

隨著云計(jì)算的發(fā)展與廣泛應(yīng)用，云安全問題的重要性越來越突出，已成為制約其發(fā)展的重要因素，各大云服務(wù)提供商的安全問題屢見不鮮. 2012年亞馬遜北弗吉尼亞數(shù)據(jù)中心服務(wù)多次（4月，6月，10月，12月）宕機(jī)，導(dǎo)致托管的大量網(wǎng)站無法訪問，相關(guān)企業(yè)營(yíng)業(yè)收入受到很大的影響；2013年2月，微軟云服務(wù)兩次大規(guī)模中斷，包括Windows Azure云存儲(chǔ)在內(nèi)的很多服務(wù)都發(fā)生了故障，時(shí)間長(zhǎng)達(dá)10多個(gè)小時(shí)；2014年9月，詹妮弗·勞倫斯等好萊塢明星裸照泄露于網(wǎng)上，經(jīng)證實(shí)， 是黑客攻擊了多個(gè)iCloud賬號(hào)所致，再加上上半年曝光的ios后門事件，讓蘋果云安全再次受到質(zhì)疑.從重大安全事件可以看出，云安全管理成了保障云計(jì)算安全的重中之重，那么怎么樣對(duì)云計(jì)算進(jìn)行安全管理呢，文章從六個(gè)方面進(jìn)行了闡述。

1 有效的評(píng)估與審計(jì)

云計(jì)算服務(wù)安全管理首先應(yīng)對(duì)系統(tǒng)整體進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估流程可以按照《GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》進(jìn)行，如圖1所示。

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段[1]應(yīng)根據(jù)云計(jì)算應(yīng)用系統(tǒng)的業(yè)務(wù)特點(diǎn)，首先應(yīng)該建立云計(jì)算系統(tǒng)最佳的安全保障框架或模板，依據(jù)安全框架或模板進(jìn)行評(píng)估。整個(gè)風(fēng)險(xiǎn)評(píng)估流程中的重點(diǎn)在于資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有安全措施的確認(rèn)。資產(chǎn)識(shí)別的過程中，一定要根據(jù)云計(jì)算的特點(diǎn)，將資產(chǎn)的小類劃分得很細(xì)，至少要?jiǎng)澐殖鰝€(gè)人敏感數(shù)據(jù)、用戶目錄數(shù)據(jù)、云服務(wù)管理接口、API管理接口、云的應(yīng)用程序、安全日志等小類，之后的評(píng)估工作才可能更有針對(duì)性。威脅和脆弱性也要根據(jù)云計(jì)算的特點(diǎn)識(shí)別出來，形成針對(duì)云計(jì)算系統(tǒng)特點(diǎn)的威脅和脆弱性詞條，并注明適用的部署模式和服務(wù)模式，歸納、更新到云計(jì)算風(fēng)險(xiǎn)管理知識(shí)庫(kù)中。在安全措施的確認(rèn)前，應(yīng)根據(jù)云的部署模式和服務(wù)模式制定相應(yīng)的控制矩陣。在安全措施確認(rèn)過程中，依據(jù)控制矩陣對(duì)比現(xiàn)狀，最終確認(rèn)安全措施的有效性。風(fēng)險(xiǎn)的計(jì)算依舊可以按照《GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》進(jìn)行，最終根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告開始實(shí)施風(fēng)險(xiǎn)管理。

2 異構(gòu)設(shè)備的集中統(tǒng)一管理

在云計(jì)算的網(wǎng)絡(luò)安全構(gòu)建進(jìn)程當(dāng)中，要想保障建設(shè)的防御體系盡可能健全，這就必須關(guān)系到各種類型各異、安全設(shè)施廠商的部署工作。這個(gè)時(shí)候，怎么有效解決各個(gè)廠商在配置方面存在的差異性，同時(shí)怎么達(dá)成針對(duì)不同型號(hào)的安全設(shè)施進(jìn)行相關(guān)事件的關(guān)聯(lián)分析及統(tǒng)一的管理，其是針對(duì)異構(gòu)設(shè)置進(jìn)行管理的時(shí)候，必須要進(jìn)行研究的關(guān)鍵所在。因此，要想達(dá)成相關(guān)目標(biāo)，安全管理平臺(tái)應(yīng)當(dāng)主動(dòng)做好以下幾個(gè)方面：首先，必須要提升服務(wù)能力與組網(wǎng)水平；其次，必須要積極集成針對(duì)不同廠商不同型號(hào)的安全設(shè)施進(jìn)行相關(guān)事件的關(guān)聯(lián)分析及統(tǒng)一的管理；最后，應(yīng)用定制化的措施，能夠達(dá)成針對(duì)市場(chǎng)當(dāng)中各個(gè)廠商中的安全日志實(shí)施有效的支持。

3 虛擬化安全策略的自動(dòng)遷移調(diào)節(jié)

處在虛擬化的背景下，虛擬機(jī)實(shí)現(xiàn)自動(dòng)遷移屬于云計(jì)算環(huán)境當(dāng)中非常關(guān)鍵的特點(diǎn)。所以，業(yè)務(wù)系統(tǒng)當(dāng)中的虛擬機(jī)接入端口及各項(xiàng)資源配置都務(wù)必要主動(dòng)進(jìn)行有效的響應(yīng)，同時(shí)要提供與之進(jìn)行適配的措施。

1） 針對(duì)云計(jì)算網(wǎng)絡(luò)當(dāng)中的每一個(gè)虛擬機(jī)都必須要主動(dòng)構(gòu)建與之相對(duì)應(yīng)的安全措施，以此來達(dá)成整個(gè)虛擬機(jī)安全措施統(tǒng)一規(guī)劃的目標(biāo)；

2） 要能夠立即感知到虛擬機(jī)的遷移動(dòng)作及方向，同時(shí)要能夠準(zhǔn)確獲知虛擬機(jī)遷移之后網(wǎng)絡(luò)當(dāng)中的相關(guān)信心，及時(shí)觸發(fā)安全管理措施；

3） 依照遷移之后，虛擬機(jī)當(dāng)中的信心，能夠偵測(cè)并詳細(xì)計(jì)算出虛擬機(jī)應(yīng)用的對(duì)應(yīng)安全設(shè)施，能夠?yàn)榻酉聛淼陌踩胧┱{(diào)節(jié)打下基礎(chǔ)；

4） 根據(jù)上面的三項(xiàng)內(nèi)容，安全管理平臺(tái)必須要針對(duì)各個(gè)方面的資源實(shí)施有效的整合，通過針對(duì)安全措施進(jìn)行自動(dòng)的調(diào)節(jié)，同時(shí)將調(diào)解后的安全措施發(fā)送到新的安全設(shè)施中。

4 集中策略管理

云計(jì)算網(wǎng)絡(luò)當(dāng)中包含的安全設(shè)施數(shù)量巨大，倘若云計(jì)算工作人員每一次只是針對(duì)每一個(gè)設(shè)施或者不見實(shí)施措施配置，不但需要依靠巨大的物力與人力，同時(shí)也非常容易致使安全措施缺乏聯(lián)關(guān)系，導(dǎo)致系統(tǒng)出現(xiàn)誤差的幾率增加。所以我們建議應(yīng)當(dāng)通過集中管理的方式，針對(duì)整個(gè)網(wǎng)絡(luò)安全設(shè)施實(shí)施有效的配置。利用各個(gè)設(shè)施的自動(dòng)化配置能力，不僅能夠有效降低維護(hù)費(fèi)用，同時(shí)也能夠有效降低誤差的發(fā)生率，從而有效保障整個(gè)網(wǎng)絡(luò)安全的持續(xù)性和可靠性。

5 開放的API接口

一般來說，在包含不同類型、多個(gè)廠商的復(fù)雜網(wǎng)絡(luò)當(dāng)中，都必須要依靠綜合性的安全管理平臺(tái)來針對(duì)各個(gè)設(shè)施進(jìn)行統(tǒng)一的管理。鑒于此，這里可以用用定制標(biāo)準(zhǔn)接口的模式來進(jìn)行處理，采用Agent或者適配層的模式，向用戶提供一個(gè)具有開放性的API接口，之后再利用API接口，通過上側(cè)管理平臺(tái)實(shí)施對(duì)應(yīng)的日至格式轉(zhuǎn)換，通過實(shí)時(shí)上報(bào)的方式，能夠針對(duì)整個(gè)網(wǎng)絡(luò)當(dāng)中的各項(xiàng)安全事件進(jìn)行統(tǒng)一的研究；與此同時(shí)，上層管理平臺(tái)也可以充分利用這個(gè)接口，針對(duì)各個(gè)安全設(shè)施進(jìn)行統(tǒng)一的措施安排。

6 政府行為

政府在安全管理中起到主導(dǎo)、決策和監(jiān)管的作用，我們建議政府：

1） 要組成專門的機(jī)構(gòu)來實(shí)施云計(jì)算安全管理，相關(guān)部委承擔(dān)具體的職責(zé)。比如評(píng)估委員會(huì)、管理委員會(huì)等等；

2） 規(guī)范相關(guān)安全措施規(guī)范，制定安全事件等級(jí)，以便統(tǒng)計(jì)報(bào)告；

3） 嚴(yán)格云計(jì)算安全頂層設(shè)計(jì)，規(guī)范政府（監(jiān)管）、企業(yè)（運(yùn)營(yíng)）具體職能措施；

4） 完善相關(guān)法律法規(guī)來約束違反安全管理措施的行為處罰。

7 結(jié)束語

隨著我國(guó)進(jìn)入信息社會(huì)，信息技術(shù)已經(jīng)滲透到國(guó)家和個(gè)人的方方面面；當(dāng)今正在經(jīng)歷從“小數(shù)據(jù)”進(jìn)入“大數(shù)據(jù)”的又一個(gè)變革階段，這會(huì)深刻影響經(jīng)濟(jì)、社會(huì)和國(guó)家綜合實(shí)力。云計(jì)算作為“大數(shù)據(jù)”時(shí)代的典型技術(shù)和商業(yè)模式，對(duì)網(wǎng)絡(luò)安全管理提出新的挑戰(zhàn)，僅僅依靠技術(shù)無法應(yīng)對(duì)變革所帶來的挑戰(zhàn)，必須從頂層設(shè)計(jì)開始，既要研究技術(shù)細(xì)節(jié)也要研究管理手段，并且還需國(guó)家出臺(tái)相關(guān)法律法規(guī)來保證云計(jì)算的萬無一失，讓云計(jì)算更好的為國(guó)家各行各業(yè)服務(wù)。

參考文獻(xiàn)：

[1] GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.2007.

[2] 馮登國(guó)， 張敏， 張妍， 等.云計(jì)算安全研究[J].軟件學(xué)報(bào)， 2011，22（1）：71?83.

[3] 中國(guó)電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全技術(shù)與廣泛應(yīng)用[M].北京：電子工業(yè)出版社，2012.

[4] 汪來富，沈軍，金華敏. 云計(jì)算應(yīng)用安全研究[J]. 電信科學(xué)，2010，（6）.endprint

摘要：隨著云計(jì)算技術(shù)和應(yīng)用的快速發(fā)展，海量數(shù)據(jù)資源正在通過云計(jì)算數(shù)據(jù)中心存儲(chǔ)和處理。與此同時(shí)，云計(jì)算的安全傳輸、存儲(chǔ)和利用的需求也越來越迫切。所以，云計(jì)算的安全管理成為云計(jì)算安全問題的重中之重。該文從六個(gè)方面對(duì)云計(jì)算安全管理手段進(jìn)行闡述，有效的解決云計(jì)算安全管理中的各類問題，為云計(jì)算的安全部署打下基礎(chǔ)。

關(guān)鍵詞：云計(jì)算；安全管理；審計(jì)評(píng)估

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）36-8605-02

隨著云計(jì)算的發(fā)展與廣泛應(yīng)用，云安全問題的重要性越來越突出，已成為制約其發(fā)展的重要因素，各大云服務(wù)提供商的安全問題屢見不鮮. 2012年亞馬遜北弗吉尼亞數(shù)據(jù)中心服務(wù)多次（4月，6月，10月，12月）宕機(jī)，導(dǎo)致托管的大量網(wǎng)站無法訪問，相關(guān)企業(yè)營(yíng)業(yè)收入受到很大的影響；2013年2月，微軟云服務(wù)兩次大規(guī)模中斷，包括Windows Azure云存儲(chǔ)在內(nèi)的很多服務(wù)都發(fā)生了故障，時(shí)間長(zhǎng)達(dá)10多個(gè)小時(shí)；2014年9月，詹妮弗·勞倫斯等好萊塢明星裸照泄露于網(wǎng)上，經(jīng)證實(shí)， 是黑客攻擊了多個(gè)iCloud賬號(hào)所致，再加上上半年曝光的ios后門事件，讓蘋果云安全再次受到質(zhì)疑.從重大安全事件可以看出，云安全管理成了保障云計(jì)算安全的重中之重，那么怎么樣對(duì)云計(jì)算進(jìn)行安全管理呢，文章從六個(gè)方面進(jìn)行了闡述。

1 有效的評(píng)估與審計(jì)

云計(jì)算服務(wù)安全管理首先應(yīng)對(duì)系統(tǒng)整體進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估流程可以按照《GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》進(jìn)行，如圖1所示。

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段[1]應(yīng)根據(jù)云計(jì)算應(yīng)用系統(tǒng)的業(yè)務(wù)特點(diǎn)，首先應(yīng)該建立云計(jì)算系統(tǒng)最佳的安全保障框架或模板，依據(jù)安全框架或模板進(jìn)行評(píng)估。整個(gè)風(fēng)險(xiǎn)評(píng)估流程中的重點(diǎn)在于資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有安全措施的確認(rèn)。資產(chǎn)識(shí)別的過程中，一定要根據(jù)云計(jì)算的特點(diǎn)，將資產(chǎn)的小類劃分得很細(xì)，至少要?jiǎng)澐殖鰝€(gè)人敏感數(shù)據(jù)、用戶目錄數(shù)據(jù)、云服務(wù)管理接口、API管理接口、云的應(yīng)用程序、安全日志等小類，之后的評(píng)估工作才可能更有針對(duì)性。威脅和脆弱性也要根據(jù)云計(jì)算的特點(diǎn)識(shí)別出來，形成針對(duì)云計(jì)算系統(tǒng)特點(diǎn)的威脅和脆弱性詞條，并注明適用的部署模式和服務(wù)模式，歸納、更新到云計(jì)算風(fēng)險(xiǎn)管理知識(shí)庫(kù)中。在安全措施的確認(rèn)前，應(yīng)根據(jù)云的部署模式和服務(wù)模式制定相應(yīng)的控制矩陣。在安全措施確認(rèn)過程中，依據(jù)控制矩陣對(duì)比現(xiàn)狀，最終確認(rèn)安全措施的有效性。風(fēng)險(xiǎn)的計(jì)算依舊可以按照《GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》進(jìn)行，最終根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告開始實(shí)施風(fēng)險(xiǎn)管理。

2 異構(gòu)設(shè)備的集中統(tǒng)一管理

在云計(jì)算的網(wǎng)絡(luò)安全構(gòu)建進(jìn)程當(dāng)中，要想保障建設(shè)的防御體系盡可能健全，這就必須關(guān)系到各種類型各異、安全設(shè)施廠商的部署工作。這個(gè)時(shí)候，怎么有效解決各個(gè)廠商在配置方面存在的差異性，同時(shí)怎么達(dá)成針對(duì)不同型號(hào)的安全設(shè)施進(jìn)行相關(guān)事件的關(guān)聯(lián)分析及統(tǒng)一的管理，其是針對(duì)異構(gòu)設(shè)置進(jìn)行管理的時(shí)候，必須要進(jìn)行研究的關(guān)鍵所在。因此，要想達(dá)成相關(guān)目標(biāo)，安全管理平臺(tái)應(yīng)當(dāng)主動(dòng)做好以下幾個(gè)方面：首先，必須要提升服務(wù)能力與組網(wǎng)水平；其次，必須要積極集成針對(duì)不同廠商不同型號(hào)的安全設(shè)施進(jìn)行相關(guān)事件的關(guān)聯(lián)分析及統(tǒng)一的管理；最后，應(yīng)用定制化的措施，能夠達(dá)成針對(duì)市場(chǎng)當(dāng)中各個(gè)廠商中的安全日志實(shí)施有效的支持。

3 虛擬化安全策略的自動(dòng)遷移調(diào)節(jié)

處在虛擬化的背景下，虛擬機(jī)實(shí)現(xiàn)自動(dòng)遷移屬于云計(jì)算環(huán)境當(dāng)中非常關(guān)鍵的特點(diǎn)。所以，業(yè)務(wù)系統(tǒng)當(dāng)中的虛擬機(jī)接入端口及各項(xiàng)資源配置都務(wù)必要主動(dòng)進(jìn)行有效的響應(yīng)，同時(shí)要提供與之進(jìn)行適配的措施。

1） 針對(duì)云計(jì)算網(wǎng)絡(luò)當(dāng)中的每一個(gè)虛擬機(jī)都必須要主動(dòng)構(gòu)建與之相對(duì)應(yīng)的安全措施，以此來達(dá)成整個(gè)虛擬機(jī)安全措施統(tǒng)一規(guī)劃的目標(biāo)；

2） 要能夠立即感知到虛擬機(jī)的遷移動(dòng)作及方向，同時(shí)要能夠準(zhǔn)確獲知虛擬機(jī)遷移之后網(wǎng)絡(luò)當(dāng)中的相關(guān)信心，及時(shí)觸發(fā)安全管理措施；

3） 依照遷移之后，虛擬機(jī)當(dāng)中的信心，能夠偵測(cè)并詳細(xì)計(jì)算出虛擬機(jī)應(yīng)用的對(duì)應(yīng)安全設(shè)施，能夠?yàn)榻酉聛淼陌踩胧┱{(diào)節(jié)打下基礎(chǔ)；

4） 根據(jù)上面的三項(xiàng)內(nèi)容，安全管理平臺(tái)必須要針對(duì)各個(gè)方面的資源實(shí)施有效的整合，通過針對(duì)安全措施進(jìn)行自動(dòng)的調(diào)節(jié)，同時(shí)將調(diào)解后的安全措施發(fā)送到新的安全設(shè)施中。

4 集中策略管理

云計(jì)算網(wǎng)絡(luò)當(dāng)中包含的安全設(shè)施數(shù)量巨大，倘若云計(jì)算工作人員每一次只是針對(duì)每一個(gè)設(shè)施或者不見實(shí)施措施配置，不但需要依靠巨大的物力與人力，同時(shí)也非常容易致使安全措施缺乏聯(lián)關(guān)系，導(dǎo)致系統(tǒng)出現(xiàn)誤差的幾率增加。所以我們建議應(yīng)當(dāng)通過集中管理的方式，針對(duì)整個(gè)網(wǎng)絡(luò)安全設(shè)施實(shí)施有效的配置。利用各個(gè)設(shè)施的自動(dòng)化配置能力，不僅能夠有效降低維護(hù)費(fèi)用，同時(shí)也能夠有效降低誤差的發(fā)生率，從而有效保障整個(gè)網(wǎng)絡(luò)安全的持續(xù)性和可靠性。

5 開放的API接口

一般來說，在包含不同類型、多個(gè)廠商的復(fù)雜網(wǎng)絡(luò)當(dāng)中，都必須要依靠綜合性的安全管理平臺(tái)來針對(duì)各個(gè)設(shè)施進(jìn)行統(tǒng)一的管理。鑒于此，這里可以用用定制標(biāo)準(zhǔn)接口的模式來進(jìn)行處理，采用Agent或者適配層的模式，向用戶提供一個(gè)具有開放性的API接口，之后再利用API接口，通過上側(cè)管理平臺(tái)實(shí)施對(duì)應(yīng)的日至格式轉(zhuǎn)換，通過實(shí)時(shí)上報(bào)的方式，能夠針對(duì)整個(gè)網(wǎng)絡(luò)當(dāng)中的各項(xiàng)安全事件進(jìn)行統(tǒng)一的研究；與此同時(shí)，上層管理平臺(tái)也可以充分利用這個(gè)接口，針對(duì)各個(gè)安全設(shè)施進(jìn)行統(tǒng)一的措施安排。

6 政府行為

政府在安全管理中起到主導(dǎo)、決策和監(jiān)管的作用，我們建議政府：

1） 要組成專門的機(jī)構(gòu)來實(shí)施云計(jì)算安全管理，相關(guān)部委承擔(dān)具體的職責(zé)。比如評(píng)估委員會(huì)、管理委員會(huì)等等；

2） 規(guī)范相關(guān)安全措施規(guī)范，制定安全事件等級(jí)，以便統(tǒng)計(jì)報(bào)告；

3） 嚴(yán)格云計(jì)算安全頂層設(shè)計(jì)，規(guī)范政府（監(jiān)管）、企業(yè)（運(yùn)營(yíng)）具體職能措施；

4） 完善相關(guān)法律法規(guī)來約束違反安全管理措施的行為處罰。

7 結(jié)束語

隨著我國(guó)進(jìn)入信息社會(huì)，信息技術(shù)已經(jīng)滲透到國(guó)家和個(gè)人的方方面面；當(dāng)今正在經(jīng)歷從“小數(shù)據(jù)”進(jìn)入“大數(shù)據(jù)”的又一個(gè)變革階段，這會(huì)深刻影響經(jīng)濟(jì)、社會(huì)和國(guó)家綜合實(shí)力。云計(jì)算作為“大數(shù)據(jù)”時(shí)代的典型技術(shù)和商業(yè)模式，對(duì)網(wǎng)絡(luò)安全管理提出新的挑戰(zhàn)，僅僅依靠技術(shù)無法應(yīng)對(duì)變革所帶來的挑戰(zhàn)，必須從頂層設(shè)計(jì)開始，既要研究技術(shù)細(xì)節(jié)也要研究管理手段，并且還需國(guó)家出臺(tái)相關(guān)法律法規(guī)來保證云計(jì)算的萬無一失，讓云計(jì)算更好的為國(guó)家各行各業(yè)服務(wù)。

參考文獻(xiàn)：

[1] GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.2007.

[2] 馮登國(guó)， 張敏， 張妍， 等.云計(jì)算安全研究[J].軟件學(xué)報(bào)， 2011，22（1）：71?83.

[3] 中國(guó)電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全技術(shù)與廣泛應(yīng)用[M].北京：電子工業(yè)出版社，2012.

[4] 汪來富，沈軍，金華敏. 云計(jì)算應(yīng)用安全研究[J]. 電信科學(xué)，2010，（6）.endprint

摘要：隨著云計(jì)算技術(shù)和應(yīng)用的快速發(fā)展，海量數(shù)據(jù)資源正在通過云計(jì)算數(shù)據(jù)中心存儲(chǔ)和處理。與此同時(shí)，云計(jì)算的安全傳輸、存儲(chǔ)和利用的需求也越來越迫切。所以，云計(jì)算的安全管理成為云計(jì)算安全問題的重中之重。該文從六個(gè)方面對(duì)云計(jì)算安全管理手段進(jìn)行闡述，有效的解決云計(jì)算安全管理中的各類問題，為云計(jì)算的安全部署打下基礎(chǔ)。

關(guān)鍵詞：云計(jì)算；安全管理；審計(jì)評(píng)估

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）36-8605-02

隨著云計(jì)算的發(fā)展與廣泛應(yīng)用，云安全問題的重要性越來越突出，已成為制約其發(fā)展的重要因素，各大云服務(wù)提供商的安全問題屢見不鮮. 2012年亞馬遜北弗吉尼亞數(shù)據(jù)中心服務(wù)多次（4月，6月，10月，12月）宕機(jī)，導(dǎo)致托管的大量網(wǎng)站無法訪問，相關(guān)企業(yè)營(yíng)業(yè)收入受到很大的影響；2013年2月，微軟云服務(wù)兩次大規(guī)模中斷，包括Windows Azure云存儲(chǔ)在內(nèi)的很多服務(wù)都發(fā)生了故障，時(shí)間長(zhǎng)達(dá)10多個(gè)小時(shí)；2014年9月，詹妮弗·勞倫斯等好萊塢明星裸照泄露于網(wǎng)上，經(jīng)證實(shí)， 是黑客攻擊了多個(gè)iCloud賬號(hào)所致，再加上上半年曝光的ios后門事件，讓蘋果云安全再次受到質(zhì)疑.從重大安全事件可以看出，云安全管理成了保障云計(jì)算安全的重中之重，那么怎么樣對(duì)云計(jì)算進(jìn)行安全管理呢，文章從六個(gè)方面進(jìn)行了闡述。

1 有效的評(píng)估與審計(jì)

云計(jì)算服務(wù)安全管理首先應(yīng)對(duì)系統(tǒng)整體進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估流程可以按照《GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》進(jìn)行，如圖1所示。

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段[1]應(yīng)根據(jù)云計(jì)算應(yīng)用系統(tǒng)的業(yè)務(wù)特點(diǎn)，首先應(yīng)該建立云計(jì)算系統(tǒng)最佳的安全保障框架或模板，依據(jù)安全框架或模板進(jìn)行評(píng)估。整個(gè)風(fēng)險(xiǎn)評(píng)估流程中的重點(diǎn)在于資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有安全措施的確認(rèn)。資產(chǎn)識(shí)別的過程中，一定要根據(jù)云計(jì)算的特點(diǎn)，將資產(chǎn)的小類劃分得很細(xì)，至少要?jiǎng)澐殖鰝€(gè)人敏感數(shù)據(jù)、用戶目錄數(shù)據(jù)、云服務(wù)管理接口、API管理接口、云的應(yīng)用程序、安全日志等小類，之后的評(píng)估工作才可能更有針對(duì)性。威脅和脆弱性也要根據(jù)云計(jì)算的特點(diǎn)識(shí)別出來，形成針對(duì)云計(jì)算系統(tǒng)特點(diǎn)的威脅和脆弱性詞條，并注明適用的部署模式和服務(wù)模式，歸納、更新到云計(jì)算風(fēng)險(xiǎn)管理知識(shí)庫(kù)中。在安全措施的確認(rèn)前，應(yīng)根據(jù)云的部署模式和服務(wù)模式制定相應(yīng)的控制矩陣。在安全措施確認(rèn)過程中，依據(jù)控制矩陣對(duì)比現(xiàn)狀，最終確認(rèn)安全措施的有效性。風(fēng)險(xiǎn)的計(jì)算依舊可以按照《GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》進(jìn)行，最終根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告開始實(shí)施風(fēng)險(xiǎn)管理。

2 異構(gòu)設(shè)備的集中統(tǒng)一管理

在云計(jì)算的網(wǎng)絡(luò)安全構(gòu)建進(jìn)程當(dāng)中，要想保障建設(shè)的防御體系盡可能健全，這就必須關(guān)系到各種類型各異、安全設(shè)施廠商的部署工作。這個(gè)時(shí)候，怎么有效解決各個(gè)廠商在配置方面存在的差異性，同時(shí)怎么達(dá)成針對(duì)不同型號(hào)的安全設(shè)施進(jìn)行相關(guān)事件的關(guān)聯(lián)分析及統(tǒng)一的管理，其是針對(duì)異構(gòu)設(shè)置進(jìn)行管理的時(shí)候，必須要進(jìn)行研究的關(guān)鍵所在。因此，要想達(dá)成相關(guān)目標(biāo)，安全管理平臺(tái)應(yīng)當(dāng)主動(dòng)做好以下幾個(gè)方面：首先，必須要提升服務(wù)能力與組網(wǎng)水平；其次，必須要積極集成針對(duì)不同廠商不同型號(hào)的安全設(shè)施進(jìn)行相關(guān)事件的關(guān)聯(lián)分析及統(tǒng)一的管理；最后，應(yīng)用定制化的措施，能夠達(dá)成針對(duì)市場(chǎng)當(dāng)中各個(gè)廠商中的安全日志實(shí)施有效的支持。

3 虛擬化安全策略的自動(dòng)遷移調(diào)節(jié)

處在虛擬化的背景下，虛擬機(jī)實(shí)現(xiàn)自動(dòng)遷移屬于云計(jì)算環(huán)境當(dāng)中非常關(guān)鍵的特點(diǎn)。所以，業(yè)務(wù)系統(tǒng)當(dāng)中的虛擬機(jī)接入端口及各項(xiàng)資源配置都務(wù)必要主動(dòng)進(jìn)行有效的響應(yīng)，同時(shí)要提供與之進(jìn)行適配的措施。

1） 針對(duì)云計(jì)算網(wǎng)絡(luò)當(dāng)中的每一個(gè)虛擬機(jī)都必須要主動(dòng)構(gòu)建與之相對(duì)應(yīng)的安全措施，以此來達(dá)成整個(gè)虛擬機(jī)安全措施統(tǒng)一規(guī)劃的目標(biāo)；

2） 要能夠立即感知到虛擬機(jī)的遷移動(dòng)作及方向，同時(shí)要能夠準(zhǔn)確獲知虛擬機(jī)遷移之后網(wǎng)絡(luò)當(dāng)中的相關(guān)信心，及時(shí)觸發(fā)安全管理措施；

3） 依照遷移之后，虛擬機(jī)當(dāng)中的信心，能夠偵測(cè)并詳細(xì)計(jì)算出虛擬機(jī)應(yīng)用的對(duì)應(yīng)安全設(shè)施，能夠?yàn)榻酉聛淼陌踩胧┱{(diào)節(jié)打下基礎(chǔ)；

4） 根據(jù)上面的三項(xiàng)內(nèi)容，安全管理平臺(tái)必須要針對(duì)各個(gè)方面的資源實(shí)施有效的整合，通過針對(duì)安全措施進(jìn)行自動(dòng)的調(diào)節(jié)，同時(shí)將調(diào)解后的安全措施發(fā)送到新的安全設(shè)施中。

4 集中策略管理

云計(jì)算網(wǎng)絡(luò)當(dāng)中包含的安全設(shè)施數(shù)量巨大，倘若云計(jì)算工作人員每一次只是針對(duì)每一個(gè)設(shè)施或者不見實(shí)施措施配置，不但需要依靠巨大的物力與人力，同時(shí)也非常容易致使安全措施缺乏聯(lián)關(guān)系，導(dǎo)致系統(tǒng)出現(xiàn)誤差的幾率增加。所以我們建議應(yīng)當(dāng)通過集中管理的方式，針對(duì)整個(gè)網(wǎng)絡(luò)安全設(shè)施實(shí)施有效的配置。利用各個(gè)設(shè)施的自動(dòng)化配置能力，不僅能夠有效降低維護(hù)費(fèi)用，同時(shí)也能夠有效降低誤差的發(fā)生率，從而有效保障整個(gè)網(wǎng)絡(luò)安全的持續(xù)性和可靠性。

5 開放的API接口

一般來說，在包含不同類型、多個(gè)廠商的復(fù)雜網(wǎng)絡(luò)當(dāng)中，都必須要依靠綜合性的安全管理平臺(tái)來針對(duì)各個(gè)設(shè)施進(jìn)行統(tǒng)一的管理。鑒于此，這里可以用用定制標(biāo)準(zhǔn)接口的模式來進(jìn)行處理，采用Agent或者適配層的模式，向用戶提供一個(gè)具有開放性的API接口，之后再利用API接口，通過上側(cè)管理平臺(tái)實(shí)施對(duì)應(yīng)的日至格式轉(zhuǎn)換，通過實(shí)時(shí)上報(bào)的方式，能夠針對(duì)整個(gè)網(wǎng)絡(luò)當(dāng)中的各項(xiàng)安全事件進(jìn)行統(tǒng)一的研究；與此同時(shí)，上層管理平臺(tái)也可以充分利用這個(gè)接口，針對(duì)各個(gè)安全設(shè)施進(jìn)行統(tǒng)一的措施安排。

6 政府行為

政府在安全管理中起到主導(dǎo)、決策和監(jiān)管的作用，我們建議政府：

1） 要組成專門的機(jī)構(gòu)來實(shí)施云計(jì)算安全管理，相關(guān)部委承擔(dān)具體的職責(zé)。比如評(píng)估委員會(huì)、管理委員會(huì)等等；

2） 規(guī)范相關(guān)安全措施規(guī)范，制定安全事件等級(jí)，以便統(tǒng)計(jì)報(bào)告；

3） 嚴(yán)格云計(jì)算安全頂層設(shè)計(jì)，規(guī)范政府（監(jiān)管）、企業(yè)（運(yùn)營(yíng)）具體職能措施；

4） 完善相關(guān)法律法規(guī)來約束違反安全管理措施的行為處罰。

7 結(jié)束語

隨著我國(guó)進(jìn)入信息社會(huì)，信息技術(shù)已經(jīng)滲透到國(guó)家和個(gè)人的方方面面；當(dāng)今正在經(jīng)歷從“小數(shù)據(jù)”進(jìn)入“大數(shù)據(jù)”的又一個(gè)變革階段，這會(huì)深刻影響經(jīng)濟(jì)、社會(huì)和國(guó)家綜合實(shí)力。云計(jì)算作為“大數(shù)據(jù)”時(shí)代的典型技術(shù)和商業(yè)模式，對(duì)網(wǎng)絡(luò)安全管理提出新的挑戰(zhàn)，僅僅依靠技術(shù)無法應(yīng)對(duì)變革所帶來的挑戰(zhàn)，必須從頂層設(shè)計(jì)開始，既要研究技術(shù)細(xì)節(jié)也要研究管理手段，并且還需國(guó)家出臺(tái)相關(guān)法律法規(guī)來保證云計(jì)算的萬無一失，讓云計(jì)算更好的為國(guó)家各行各業(yè)服務(wù)。

參考文獻(xiàn)：

[1] GB/T 20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.2007.

[2] 馮登國(guó)， 張敏， 張妍， 等.云計(jì)算安全研究[J].軟件學(xué)報(bào)， 2011，22（1）：71?83.

[3] 中國(guó)電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全技術(shù)與廣泛應(yīng)用[M].北京：電子工業(yè)出版社，2012.

[4] 汪來富，沈軍，金華敏. 云計(jì)算應(yīng)用安全研究[J]. 電信科學(xué)，2010，（6）.endprint