云計算環(huán)境下的安全形勢分析和防范

梁樂宏

摘要：當今時代，信息技術突飛猛進，以云計算為代表的第三次信息革命浪潮在逐漸改變著人們生產生活、商業(yè)和政務管理模式，隨著互聯(lián)網技術的發(fā)展，云計算技術得到各界的普遍應用，云計算在減少企業(yè)成本和提升IT靈活性的同時，也面臨著一系列安全威脅和挑戰(zhàn)，隨著大量數據進入云端，商業(yè)機密及個人信息成為不法分子覬覦的首要目標，研究云計算的信息安全問題和防范策略，有助于進一步完善云安全保障體系，保障網絡信息安全。

關鍵詞：云計算;信息安全;安全策略

中圖分類號：TP391? ? 文獻標識碼：A

文章編號：1009-3044（2019）27-0032-02

隨著云技術的推廣應用，社會政治、經濟、文化等各個層面都深度融入云服務當中，云計算服務作為一種開放、便捷和經濟的新服務業(yè)態(tài)，在優(yōu)化資源配置，降低應用成本，提高信息服務水平的同時，伴隨的安全形勢也愈加嚴峻，信息安全成為一個不可回避的問題。深入了解云技術和安全形勢，采取有效的安全策略，保證云技術中的管理安全、數據安全和應用安全，是云時代一個重要課題。

1 云計算概念

云計算基于互聯(lián)網和分布式技術，把分布在網絡上的大量的軟件硬件計算資源，抽象成功能強大的計算機資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務等）企業(yè)和用戶能夠像使用本地資源一樣，通過相應的接口即可使用云端的資源而不需要部署，就像我們日常使用自來水一樣直接簡單。從本質來說，云計算是一種互聯(lián)網上的軟硬件和數據的商業(yè)化應用。專業(yè)供應商負責云端資源的管理和提供云計算的服務，用戶通過相應接口登錄，付費調用相關的服務。

云計算的主要服務形式：基礎設施即服務（IaaS），消費者通過互聯(lián)網從云端獲取到諸如服務器，網絡，存儲及應用軟件等完善的計算機基礎設施服務;平臺即服務 （PaaS）： 指將軟件研發(fā)的平臺作為一種服務，開發(fā)工具位于云中，開發(fā)者通過網絡即可以構建網絡應用程序而無需再自己電腦上部署平臺工具;軟件即服務（SaaS）：用戶無需購買軟件，而是通過隨用付費獲取部署在云端上的軟件資源功能和服務，相當于軟件租用。

2 云計算的主要安全問題

云計算是基于網絡的共享資源模式，和傳統(tǒng)的計算模式相比，具有開放性、分布式存儲、無邊界、虛擬性、多租戶等特點，基于這些技術特點，使犯罪分子有機可乘。云中包含大量軟件和服務，海量的重要用戶數據，對攻擊者來說具有更大的誘惑力，因此，云計算的安全性面臨著比以往更為嚴峻的考驗。主要體現(xiàn)以下方面：

2.1 數據泄露

人為錯誤、應用程序漏洞及安全管理不當造成某些不適合公開發(fā)布的信息，包括政府企業(yè)的重要數據和個人敏感信息、商業(yè)秘密等的泄漏。

2.2 身份憑證管理不善

身份憑證管理不善致使網絡犯罪分子獲得合法的身份、憑證或密鑰，從而可以讀取、修改和刪除數據，或者取得平臺管理功能，窺探、盜取用戶數據和發(fā)布惡意軟件。

2.3 不安全的接口

客戶通過平臺用戶界面（UI）或API來管理和與云服務交互。犯罪分子通過欠安全的接口可以配置、管理和監(jiān)控云服務，從而獲取數據。

2.4 系統(tǒng)漏洞

操作系統(tǒng)組件中的漏洞是所有服務和數據面臨的主要風險。云端中來自不同組織和用戶的系統(tǒng)彼此靠近，共同訪問共享內存和資源，從而產生新的攻擊風險。

2.5 賬戶劫持

攻擊者通過賬戶劫持獲得訪問權限，竊聽活動和交易，操縱數據，返回偽造的信息并將客戶重定向到非法的站點，攻擊者盜用憑證可以訪問云計算服務的關鍵區(qū)域，從而危及數據安全。

2.6 內部人士蓄意破壞

懷有惡意的內部人員（如系統(tǒng)管理員）可以訪問潛在的敏感信息，可以更多地訪問更重要的系統(tǒng)，并最終訪問數據。

2.7 高級持續(xù)性威脅（APT）

高級持續(xù)性威脅（APT）是一種蓄謀已久的網絡攻擊形式，APT通過隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，它在目標公司的IT基礎設施建立立足點，通過數據中心網絡橫向移動，并與正常的網絡流量融合，從中竊取數據。

2.8 數據丟失

云計算服務提供商的意外操作、火災或地震等自然災難導致客戶數據的永久丟失。

2.9 濫用及惡意使用云服務

安全性差的云服務和免費的云服務等產生的安全威脅。攻擊者可利用云計算資源來定位用戶或云計算提供商。常見的有分布式拒絕服務攻擊、垃圾郵件和網絡釣魚攻擊等。

2.10 拒絕服務（DoS）

拒絕服務（DoS）攻擊通過強制目標系統(tǒng)消耗大量計算資源，如處理器能力、網絡帶寬、內存、磁盤空間或從而導致系統(tǒng)性能下降，用戶無法訪問服務。

2.11 共享的技術漏洞

云計算服務提供商通過共享基礎架構，平臺或應用程序來擴展其服務，其底層組件可能并未設計成為多租戶架構，不能有效保護用戶隱私。

3 云計算安全策略

3.1 加強政府的職能監(jiān)管

為了確保云安全，監(jiān)管部門應健全相關法律法規(guī)和相關技術標準，進而實現(xiàn)對云計算環(huán)境的審計與監(jiān)督，除了日常監(jiān)管之外，還應對云計算服務的可用性、安全性等方面進行嚴格的審計和評估，從而確保云計算服務商的服務質量。

3.2 提高云商的安全意識

云服務提供商作為服務的管理者和提供者，應從安全性、隱私、合規(guī)性以及服務的可持續(xù)性等方面做保障，完善物理安全，網絡安全，主機安全，應用安全，數據安全，備份恢復等方面的技術管理能力，完善安全管理機構，人員安全管理，安全管理制度，安全系統(tǒng)建設，系統(tǒng)運維管理等管理方面的水平。

3.3 提高用戶信息安全素養(yǎng)

用戶應提高信息安全自主保護意識，了解病毒和信息安全形勢，信息安全技術等相關知識，盡量避免使用自己生日、電話、身份證號等關鍵數據作為登錄密碼，養(yǎng)成定期對重要信息進行加密、備份，進行病毒掃描查殺，養(yǎng)成文明上網的習慣等，一旦發(fā)生信息安全問題，能及時采取合理手段維護自己的權益。

3.4 加強技術保障措施

（1）基礎設施安全技術

基礎設施包括服務器系統(tǒng)、域名系統(tǒng)、網絡管理系統(tǒng)、網絡路由系統(tǒng)、局域網和VLAN配置等。主要的安全措施有安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等?？紤]到業(yè)務持續(xù)性和可靠性，還應進行雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass等，實現(xiàn)基礎安全防護。

（2）數據安全技術

除了對數據加密外，還需要應用現(xiàn)有的安全技術，遵循健全的安全實踐，對各種防范措施進行全盤考慮，建立起一道彈性的屏障。主要安全措施包括對不同用戶數據進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術措施等，從而保障數據的保密性、完整性、可用性、真實性、授權、認證和不可抵賴性。

（3）虛擬化安全技術

虛擬技術有許多種，最常用的是虛擬機（VM）技術，需考慮VM內的進程保護，此外還有Hypervisor和其他管理模塊這些新的攻擊層面?？梢圆捎玫陌踩胧┯刑摂M鏡像文件的加密存儲和完整性檢查、VM的隔離和加固、VM訪問控制、虛擬化脆弱性檢查、VM進程監(jiān)控、VM的安全遷移等。

（4）身份認證與訪問管理（IAM）

IAM是用來管理數字身份并控制數字身份如何訪問資源的方法、技術和策略， IAM全面的建立和維護數字身份，并提供有效地、安全地IT資源訪問的業(yè)務流程和管理手段，是保證云計算安全運行的關鍵所在。

（5）應用安全

云計算服務基于Web瀏覽器實現(xiàn)。因此，對于應用安全，尤其需要注意的是Web應用的安全。應用安全應從這個整體生命周期考慮，可以采用的防護措施有訪問控制、配置加固、部署應用層防火墻等。

4 結束語

網絡安全和國家安全及社會經濟發(fā)展息息相關，隨著信息安全形勢的日益復雜，構建一個可靠、高效、經濟的網絡安全環(huán)境顯得尤其重要，針對云安全問題，應加強對云安全的研究投入，完善云安全技術保障能力，提高業(yè)界和個人的安全意識，加強職能部門的監(jiān)管等，信息時代，安全才是硬道理，只有全面系統(tǒng)的安全體系構建，才能為云計算技術保駕護航。

參考文獻：

[1] 董曉霞，呂廷杰.云計算研究綜述及未來發(fā)展[J].北京郵電大學學報（社會科學版），2010（05）.

[2] Roger Halbheer;Doug Cavit.關于云計算安全的思考[J].信息技術與標準化，2010（09）.

[3] 褚誠云. 云安全：云計算的安全風險、模型和策略[J]. 程序員，2010（5）.

[4] 曹陽.信息安全問題云計算[J];科技信息;2010（03）.

[5] 鄧仲華，朱秀芹.云計算環(huán)境下的隱私權保護初探[J].圖書與情報，2010（04）.

[6] 王汝林.發(fā)展云計算必須高度重視“云安全”[J]. 信息系統(tǒng)工程，2011，（3）.

[7] 徐剛. 云計算與云安全[J]. 信息安全與技術，2011，（Z1）.

【通聯(lián)編輯：梁書】