淺談云架構下的數(shù)據(jù)安全

汪艷 李雪竹

【摘 要】云計算是一種基于互聯(lián)網(wǎng)服務的全新計算架構，在各行各業(yè)的信息化建設中被越來越多地采用。網(wǎng)絡信息安全問題不僅是云計算需要解決的首要問題，也是云計算未來發(fā)展的關鍵性因素。文章主要介紹了云計算的概念及發(fā)展，對云計算體系架構進一步細化，進而分析云計算存在的網(wǎng)絡信息安全威脅，并提出可操作性的云計算網(wǎng)絡信息安全對策。

【關鍵詞】云計算；體系架構；網(wǎng)絡信息安全

一、引言

云計算是在互聯(lián)網(wǎng)技術支持下形成的一種全新計算架構，隨著互聯(lián)網(wǎng)技術的普及，各行各業(yè)的信息化建設中云計算的身影出現(xiàn)的越來越頻繁。而云計算涉及到大量的信息，必須做好安全防護，才能保障自身利益不受損。但目前，云計算安全問題頻出，影響了其可持續(xù)發(fā)展。為此，本文對云計算架構的網(wǎng)絡信息安全進行了深入探究，細化云計算架構，有針對性的分析潛在的安全風險，并探究可行、有效的安全對策。

二、云計算架構體系

云計算基礎架構體系主要由管理層和服務層構成。

1）其中服務層主要以提供用戶基于云的各種服務為主，共包含3個層次。其一是Software as a Service（軟件即服務），簡稱SaaS，這層的作用是將應用主要以基于Web的方式提供給客戶；其二是Platform as a Service（平臺即服務），簡稱PaaS，這層的作用是將一個應用的開發(fā)和部署平臺作為服務提供給用戶；其三是Infrastructure as a Service（基礎設施即服務），簡稱IaaS，這層的作用是將各種底層的計算（比如虛擬機）和存儲等資源作為服務提供給用戶。從用戶角度而言，這3層服務是獨立的，因為它們提供的服務是完全不同的，而且面向的用戶也不盡相同。但從技術角度而言，云服務的這3層是有一定依賴關系的。比如，一個SaaS層的產(chǎn)品和服務不僅需要用到SaaS層本身的技術，而且還依賴PaaS層所提供的開發(fā)和部署平臺或者直接部署于IaaS層所提供的計算資源上，而PaaS層的產(chǎn)品和服務也很有可能構建于IaaS層服務之上，三者相互依存，不可或缺，同時服務層所包含的三個層次又由不同的方面所構成（具體層次分類如圖1所示）

2）在管理層方面，主要以云管理層為主，它的功能是確保整個云計算中心能夠安全、穩(wěn)定地運行，并且能夠被有效管理，云管理層共有9個模塊，這9個模塊可分為3層，它們分別是用戶層、機制層和檢測層。（具體分層情況如圖2所示）

三、云計算架構下的網(wǎng)絡信息安全隱患

在云計算的架構下，雖然信息的整理和分析更加高效準確，但是其中也存在著較大的安全隱患，具體表現(xiàn)在如下：

（1）物理與環(huán)境造成的安全威脅。物理與環(huán)境威脅不可避免，與其它信息系統(tǒng)一樣，在遭受水災、火災、被盜、雷擊、地質(zhì)災害、非授權進入等物理與環(huán)境威脅后，云計算內(nèi)部信息都會受到威脅。而且云計算環(huán)境中，數(shù)據(jù)的存儲位置通常無法通過服務端進行控制，一旦其位置處于境外，數(shù)據(jù)管理、控制的主動權將不再掌握在云計算服務中[1]。

（2）網(wǎng)絡與通信造成的安全威脅。與傳統(tǒng)信息系統(tǒng)相同，云計算也將應用系統(tǒng)存放在云端，這樣當云計算平臺出現(xiàn)異常與故障時，將無法正常提供云計算服務，從而耽誤用戶使用。而在通常情況下，網(wǎng)絡終斷情況的出現(xiàn)，也會到云服務無法正常使用。在這些無法正常使用的情況下，DDoS攻擊就會成為云計算平臺的直接威脅，不法分子、黑客利用DDoS進行攻擊，主要攻擊云計算服務的關鍵性操作，從而導致平臺內(nèi)部大部分系統(tǒng)資源被浪費，如硬盤空間、內(nèi)存等，而云計算本身也利用了虛擬技術，服務器反應速度降低后，存儲設備等計算資源會生成新的組織結構，也就是重新產(chǎn)生資源池，這樣網(wǎng)絡結構的正常邊界被打破，無法保護其內(nèi)部信息與資源的安全[2]。

（3）設備與計算造成的安全威脅。云計算是一種按需付費的服務平臺，其內(nèi)部資源與空間會有多租戶共享，但如果系統(tǒng)之間無法保障資源調(diào)度的合理性，那么系統(tǒng)可能會因資源過量影響資源調(diào)度效率，并經(jīng)常與其它系統(tǒng)出現(xiàn)交叉使用的情況[3]。甚至出現(xiàn)用戶間隔離失效的問題。這樣云服務中的客戶可以隨意對其他客戶的云服務進行入侵，做出干擾行為，影響其它用戶的正常使用。另外，這樣的情況下，也可能出現(xiàn)不法分子繞開隔離措施，直接對用戶的云服務系統(tǒng)進行破壞與干擾。

（4）應用于數(shù)據(jù)造成的安全威脅。在云服務系統(tǒng)運行中，其數(shù)據(jù)內(nèi)容會存儲到云計算環(huán)境中，但平臺的運營維護需要服務商來完成，如果在運維管理環(huán)節(jié)出現(xiàn)惡意破壞或錯誤操作的問題，也會導致云服務系統(tǒng)中出現(xiàn)信息丟失、信息泄露信息篡改等問題。同時，一旦云計算服務平臺的規(guī)模擴大，其目標范圍也擴大，更容易受到攻擊，遭受攻擊后，信息的安全將無法得到保障。

四、云計算架構下的網(wǎng)絡信息安全對策分析

（一）注重云計算網(wǎng)絡環(huán)境的安全性

保護云計算網(wǎng)絡環(huán)境的安全性，首先要做到的是注重云計算網(wǎng)絡環(huán)境的安全性，引起重視，并采取有效的措施對其進行有效的處理，為其構建一個安全穩(wěn)定運行的網(wǎng)絡環(huán)境，對系統(tǒng)進行更加安全的維護。減少軟件中的漏洞，制定并運用防范網(wǎng)絡信息安全問題出現(xiàn)的一系列措施，對網(wǎng)絡信息進行多級防范，設置多重身份認證，盡可能避免惡意攻擊者對網(wǎng)絡信息做出修改，防止惡意代碼的入侵，只有在權限內(nèi)的人才有權對網(wǎng)絡信息進行訪問以及使用。而對于云計算架構中惡意代碼入侵，我們采用①自動監(jiān)測系統(tǒng)主要由STM32主控板、傳感器、指南針模塊、信號調(diào)節(jié)電路、數(shù)據(jù)轉(zhuǎn)換模塊等模塊組成的系統(tǒng)進行監(jiān)測，一旦發(fā)現(xiàn)，立即停止云計算相關操作，維護好云計算系統(tǒng)安全。（具體系統(tǒng)設計的參數(shù)如表1所示）

②利用系統(tǒng)所用的傳感器電路都已模塊化，監(jiān)測到的信號輸出為高低電平，可以實現(xiàn)直接與ARM芯片的通信，通過對云計算構架中的數(shù)據(jù)信號進行濾波放大和A/D轉(zhuǎn)換，從而實現(xiàn)對云計算構架中信號的預處理，在此基礎上，對云計算構架中信號進行監(jiān)測，確定云計算環(huán)境下惡意代碼入侵信號，完成對惡意代碼入侵的自動監(jiān)控。如圖3所示。

（二）提高云計算的數(shù)據(jù)存儲的安全性

對于云計算的數(shù)據(jù)安全存儲問題，最有效的方法是對數(shù)據(jù)采取加密。其中包括：對象存儲加密和卷標存儲加密。在對象存儲加密中，可以將對象存儲系統(tǒng)配置成為加密狀態(tài)，由系統(tǒng)默認為所有數(shù)據(jù)加密。若對象存儲是共享資源，則除了將對象設置為加密狀態(tài)外，單個用戶還應采用“虛擬私有存儲”技術進一步提高個人數(shù)據(jù)安全，即數(shù)據(jù)加密的密鑰由自己掌握，其他用戶即使是網(wǎng)絡管理員也無權擁有。而另一種數(shù)據(jù)安全存儲的解決方案是卷標存儲加密，包括兩種途徑：一種是對實際的物理卷標數(shù)據(jù)進行加密，用戶卷標在實例化過程中完全透明；另一種是采用特殊的加密代理設備，一般是云計算環(huán)境中的虛擬設備，通過串行的方式實現(xiàn)計算實例與物理存儲之間的透明數(shù)據(jù)加密。

（三）提高云計算環(huán)境下網(wǎng)絡用戶的安全意識

要想保護云計算計算架構下網(wǎng)絡信息安全，還應提高用戶自身在云計算環(huán)境網(wǎng)絡下的安全意識。提供用戶自身的安全意識的措施主要有：（1）時刻保持對網(wǎng)絡信息安全警惕性，提高用戶對于網(wǎng)絡安全的認知；（2對計算機設置高級別的密碼，提高用戶個人信息的保密性；（3）用戶對信息設置多重認證，如：指紋認證、人臉識別等；（4）盡量不使用公共網(wǎng)絡，防止自身的數(shù)據(jù)發(fā)生丟失的情況；（5）對信息做好備份，避免信息的丟失。除此之外，還需要選擇信用額度較高的用戶來進行相應的商家服務，在這一情況下，還需要對價格、服務質(zhì)量等進行一個較為充分地考慮，這樣才能夠有效保證其本身服務的質(zhì)量。

五、結語

目前，云計算技術已經(jīng)逐步成熟，也在日漸被市場接受并得以應用。云計算改變了用戶對計算資源的使用方式，使得用戶從以“自建系統(tǒng)+ 桌面”為核心轉(zhuǎn)向以“遠程應用+Web”為核心。隨著云計算技術的發(fā)展，其網(wǎng)絡信息安全協(xié)議及標準也必將逐漸完善，網(wǎng)絡安全策略也會日趨成熟，必將會為未來的廣大互聯(lián)網(wǎng)客戶帶來更加安全、穩(wěn)定、高效運行的新興的技術平臺。

【參考文獻】

[1]孫紅梅，賈瑞生.大數(shù)據(jù)背景下企業(yè)網(wǎng)絡信息安全技術體系研究[J].通信技術，2017.27（2）：334～339.

[2]石悅，李相龍，戴方芳.一種基于屬性基加密的增強型軟件定義網(wǎng)絡安全框架[J].信息網(wǎng)絡安全.2018，30（1）：15～22.

[3]王剛.一種基于 SDN 技術的多區(qū)域安全云計算架構研究[J].信息網(wǎng)絡安全.2015，25（9）：20～24.

[4]郭俊英，劉衛(wèi)明，張明明，劉天琪.云計算架構的網(wǎng)絡信息安全對策分析[J].通信設計與應用，2018.4.23 .1006-4222（2018）05-0109-02.

[5]郭雅，駱金維，李泗蘭.云計算架構中惡意代碼入侵自動監(jiān)測系統(tǒng)設計[J].設計與應用，2018.1671—4598（2018107—0128—04.

[6]周靖哲，陳長松.云計算架構的網(wǎng)絡信息安全對策分析[J].2017.1671-1122（2017）11-0074-06.

[7]吳昊宇.云計算架構下網(wǎng)絡信息安全分析[J].大數(shù)據(jù)·云計算.130.