云計算的安全問題

上海市寶山區(qū)廣播電視臺 蔡 蔚

?

云計算的安全問題

上海市寶山區(qū)廣播電視臺 蔡 蔚

【摘要】云計算的便利和強大已眾所周知，但是隨之而來的安全問題也讓人越來越重視，文章探討了一些云計算設計、使用時的安全問題。

【關鍵詞】云計算；應用軟件；虛擬機；安全問題

云計算能夠讓你按照可計量的方式來使用計算資源和存儲資源，能夠降低企業(yè)在計算基礎設施方面的投入成本。在物理硬件上運行的虛擬機可以動態(tài)地增容和降容，并由虛擬機監(jiān)控器進行控制，成為一種成本效率高，靈活性好的計算方式。雖然云計算具有很多優(yōu)勢，但是云中的安全才是云用戶首先關注的問題，也成為了云計算開發(fā)應用的瓶頸。

1　引言：云的隱患

云的規(guī)模、結(jié)構(gòu)以及地域分散性等特點是引發(fā)用戶對云中數(shù)據(jù)安全和隱私擔憂的源點。主要涉及以下幾點：云服務提供商提供的軟件是否可靠，能否對敏感信息提供正確的處理和防護；運行在同一臺服務器上不同虛擬機之間的數(shù)據(jù)是否會被泄露和非授權訪問；云服務提供商設置的安全防護措施是否可靠，是否會泄漏云用戶的數(shù)據(jù)。另外，云用戶在使用云服務時是否會不自覺地泄露自己的信息。下面我就這些問題分別做些探討。

2　云計算中的應用軟件的安全問題

使用云計算提供的SAAS服務時，安全軟件是一個關鍵問題。安全云軟件應具備三個必須的安全需求：（1）軟件在預期的運行條件下必須是可靠的，在惡意的運行條件下要保持可靠；（2）軟件自身的行為必須是可信賴的，不能有被黑客利用的漏洞或插入惡意代碼能對其產(chǎn)生破壞；（3）軟件適應性必須足夠強，在意外結(jié)束后能夠迅速恢復全部運行功能，并對軟件本身、軟件所處理的資源、數(shù)據(jù)以及與軟件進行交互的外部組件的破壞程度降低到最小。

為了達到這個安全需要在軟件開發(fā)的起初階段，在數(shù)據(jù)處理、代碼實踐等環(huán)節(jié)都要謹慎處理。如當用戶在計算機屏幕上輸入密碼時，確保一定不能用明文顯示，即使用星號等符號顯示，也要防止黑客在屏幕上通過復制粘貼的方法獲得密碼。因此密碼最好用單向散列進行加密。對所有不能確信的用戶的輸入要進行驗證和確認。云服務器代碼中所包含的信息要精簡，因為黑客會利用運行代碼中的注釋（如正在運行的軟件版本等信息），來檢測搜索攻擊范圍。

當下隨著針對信息系統(tǒng)惡意攻擊的頻率越來越高，攻擊方式越來越復雜，安全性也成為云軟件設計時的主要目標。因此設計系統(tǒng)軟件時應遵循最小特權、權限分離、深度防御、故障保護、完全仲裁、最小公共機制等原則。最小特權原則指主體在完成某種任務操作時只給予必不可少的特權、最少的資源、最短的時間，限制了每個主體所能進行的操作。這樣將能減少由于疏忽或不經(jīng)意所形成的錯誤，或是侵入者假裝成合法主體所造成的損壞的發(fā)生，限制了事故、錯誤或攻擊帶來的危害。它還減少了特權程序之間潛在的相互作用，從而限制了特權無意的、沒必要的或不適當?shù)氖褂谩?/p>

權限分離原則要求對某個特定的敏感對象的訪問要依賴于滿足多個條件。比如就象銀行保險箱的開啟必須要有當事人和銀行保險箱管理員同時拿出密鑰才能開啟一樣，對于某個特殊的敏感系統(tǒng)的登陸也需要滿足相關不同的條件才能訪問，如不僅要口令，還要指紋等，這樣才能進一步確保阻止無關人員的非法登入。

深度防御原則是指采用多層安全防護，一旦前面的安全防護層受到攻擊被破壞，還有后續(xù)的安全防護層能夠繼續(xù)提供防御能力。這樣在攻擊者和用戶信息資源之間建立起多層屏障，攻擊者越想深入系統(tǒng)，他所面臨的困難就越大。這些防御層阻止了攻擊者對系統(tǒng)重要資源的攻擊和偵察，同時也為入侵檢測系統(tǒng)的實施提供了自然的檢測區(qū)域。

故障保護原則顧名思義就是指當云計算系統(tǒng)發(fā)生故障時，系統(tǒng)應受到保護，不受故障影響而處于安全狀態(tài)，其數(shù)據(jù)也不會遭到破壞。如當系統(tǒng)有故障時，讓系統(tǒng)默認處于一個拒絕用戶訪問的狀態(tài)，直到系統(tǒng)完全恢復到安全狀態(tài)。

完全仲裁原則是指在系統(tǒng)中，主體對客體的每一個訪問請求都必須經(jīng)過一個正當有效的授權過程，即使系統(tǒng)處于初始化或者關閉、重新啟動等模式狀態(tài)，這種仲裁都不能被停止或者繞開。完全仲裁必須具備的功能包括對每一個發(fā)出訪問請求的實體進行標識，驗證該請求自發(fā)起后未被修改，實施恰當?shù)氖跈噙^程。即使對同一個實體前面已認證的請求也要進行重新檢查。

最小公共機制原則認為應該盡可能少的采用公共防御機制為大多數(shù)用戶服務，因為共享的訪問路徑很有可能成為非授權信息交換的源頭。

認證、授權、審計和可追究性這些也直接影響云計算軟件的安全。認證是指系統(tǒng)對用戶身份的證據(jù)進行驗證和達成一致的過程。如用戶在登陸頁面輸入用戶名和密碼，系統(tǒng)通過驗證密碼與用戶名是否與注冊時留下的一致來判定用戶是否有權登陸。授權是指為用戶或進程授予訪問計算資源和信息資產(chǎn)的權限，用戶身份決定著授權級別。審計由系統(tǒng)審計和系統(tǒng)監(jiān)控兩部分組成。可追究性指在云計算系統(tǒng)中能夠在事后根據(jù)某個實體的動作和行為，識別出該實體的身份。審計日志有助于實現(xiàn)可追究性，且可用來引導事后研究，以此分析歷史事件和與這些事件相關的實體。

3　云計算中虛擬機的安全問題

云計算系統(tǒng)中的多個虛擬機共享一個物理硬件，因此當某個虛擬機因受到攻擊出現(xiàn)系統(tǒng)漏洞時，很可能會導致其它虛擬機甚至宿主機的操作系統(tǒng)受到威脅。出現(xiàn)虛擬機進入死循環(huán)，管理員無法進行訪問；虛擬機管理器受到干擾，對監(jiān)測點和所有分配的資源進行破壞；虛擬機完全失去控制，能直接在其宿主機上使用更高的權限執(zhí)行非授權的命令等情況。 針對這些安全問題，有以下的對策來解決。

（1）限制對虛擬機的資源消耗，減少虛擬機的功能。如果每個虛擬機只配備一個主要功能，將虛擬機配置為進程隔離，只采用每個服務器或設備的某個主要功能，就能在很大程度上阻止黑客破換多個系統(tǒng)組件。（2）為機密虛擬機使用獨立的網(wǎng)卡。對那些包含加密數(shù)據(jù)庫，敏感信息的虛擬機將其網(wǎng)絡接口地址綁定到一個單獨的物理網(wǎng)卡上，有助于防止外部攻擊。（3）斷開不用的設備。由于虛擬機可以控制宿主機上的物理設備，因此有可能通過虛擬機加載時向設備輸入插有惡意代碼的介質(zhì)，所以要盡可能地將那些不必要的默認虛擬設備連接斷開。（4）保持虛擬機軟件的更新，確保所有已知漏洞被及時補丁上。這樣攻擊者如果不在操作系統(tǒng)中提升權限，攻破系統(tǒng)的可能性就明顯降低。（5）避免客戶的虛擬機在非保護模式下運行時使用底層設施提供的所有安全功能，同時要避免在客戶虛擬機使用Root權限，運行不可信的代碼。（6）確保虛擬機遠程訪問的安全。虛擬機往往位于遠離管理區(qū)域的服務器集群上，因此需要安全的遠程管理通信技術來訪問管理虛擬系統(tǒng)。通常使用一個專用的管理網(wǎng)卡運行服務進程，采用加密通信、雙因素認證等強認證方式。還有些安全對策如對虛擬機端口進行防火墻保護、虛擬化基礎設施的審計日志必須保存得足夠詳細。

4　云計算中服務提供商的安全問題

一個可信的云計算服務提供商要為用戶提供一個安全的執(zhí)行環(huán)境，對用戶的應用程序和存儲提供安全保障。因此云服務提供商是否具有安全管理、安全意識和安全控制的意識會對云計算的安全有著至關重要的影響。

云計算服務提供商的安全管理不僅涉及到云計算系統(tǒng)中的基礎設施的物理環(huán)境的管理，如充足的電力保障，人員進出機房的安全保障，對自然災害的預防等，更重要是對用戶信息的進行安全管理。對于一個用戶來說，儲存在云中的所有數(shù)據(jù)不是都具有同等地位的的，可分為公開數(shù)據(jù)、敏感數(shù)據(jù)、私有數(shù)據(jù)和機密數(shù)據(jù)，因此云服務商安全管理的首要任務就是將信息分級。信息分級的主要目的是提高數(shù)據(jù)的機密性、完整性和可用性，并盡可能地降低數(shù)據(jù)的風險。云服務商

可根據(jù)信息對用戶的價值，信息的壽命也就是使用年限等來對信息分級。信息的價值是指此信息丟失或泄漏對企業(yè)產(chǎn)生的影響，可分為高級（出現(xiàn)重大損失）、中級（導致明顯的損失）、低級（只導致一些損失）。信息的壽命就是指信息的價值會隨著時間的發(fā)展不斷地遞減，當新的信息出現(xiàn)成功替代一個舊的信息，那么舊的信息的安全級別自然就降低。不同安全級別的信息享有不同等級的管理措施，使用戶的信息能夠最大程度的得到安全保障。

云中的數(shù)據(jù)對云服務提供商的某些雇員來說是透明的，他們可以訪問客戶的數(shù)據(jù)，因此對雇員安全意識的培訓必不可少。通過提高保護系統(tǒng)資源的意識、提高技能、提高法律法規(guī)的宣傳、激發(fā)雇員職業(yè)責任感來減少員工的非授權行為。除了有安全意識，云服務提供商的安全控制也很重要。云服務提供商在當客戶需要銷毀某些數(shù)據(jù)時，應禁止私下將數(shù)據(jù)截留在存儲區(qū)域內(nèi)或者備份數(shù)據(jù)；雇員對一些敏感數(shù)據(jù)的訪問應通過權限分離等防御措施進行監(jiān)督與控制；雇員離職時，應做好交接后續(xù)工作，例如刪除訪問權限、清理個人計算機數(shù)據(jù)，返還公司計算機設備等。

5　云計算使用時的安全問題

虛擬化的資源、跨地域的服務器、共享的計算單元和存儲單元，這些為云用戶帶來了巨大的便利和機遇的同時也帶來了挑戰(zhàn)。云用戶在享受云計算的便捷的時候也應注意保護自身數(shù)據(jù)信息的安全。云用戶的身份認證通常是通過登陸時的密碼來認證，因此密碼的設置不易過于簡單，盡量不要將個人的敏感信息包含在里面如生日等，對于一些高級別用戶為了更安全些，要定期不斷地更新自己的登入密碼。因為對一個黑客來說，只要給他足夠的時間和資源，沒有一個密碼是破不了的。對于找回密碼設置的一些問題盡量私秘些，密碼應該只有當事人才有權限知道。在云服務中，實名認證和證書下載或許更能保護你信息的安全，因為它們是能驗證你在網(wǎng)絡上的身份，并具有唯一性。另外不要把敏感數(shù)據(jù)作為查詢字符串的內(nèi)容送到云端服務器中，因為查詢的字符串可能被記錄到日志中，從而被那些沒有權限查看的人得到信息。最后，做好備份工作，以防止服務器不可預測的物理性故障等問題。解決了以上的小問題后，你就可以更愉快地享受云計算帶來的便利了。

參考文獻

［1］田立勤著.網(wǎng)絡用戶行為的安全可信分析［M］.清華大學出版社，2011.

［2］虛擬化與云計算小組.虛擬化與云計算［M］.電子工業(yè)出版社，2009.

作者簡介：

蔡蔚（1971—），女，學士，工程師，現(xiàn)供職于上海市寶山區(qū)廣播電視臺。