云數(shù)據(jù)中心環(huán)境下云端安全威脅分析及防范策略研究

◆曾振東 張 楷

云數(shù)據(jù)中心環(huán)境下云端安全威脅分析及防范策略研究

◆曾振東 張 楷

（廣東青年職業(yè)學(xué)院 廣東 510507）

云數(shù)據(jù)中心實現(xiàn)了網(wǎng)絡(luò)的虛擬化，但是又讓傳統(tǒng)的安全保護(hù)措施極難滿足云數(shù)據(jù)中心安全防護(hù)的需求。本文在闡述對云數(shù)據(jù)中心、云數(shù)據(jù)保護(hù)下云端的安全威脅與防護(hù)措施，對云數(shù)據(jù)中心環(huán)境下云端安全威脅進(jìn)行解析并給出具體的防護(hù)策略。

云數(shù)據(jù)；云端威脅；防范策略；應(yīng)用

云計算具有強(qiáng)大的數(shù)據(jù)處理功能，能夠滿足安全高效信息服務(wù)及高吞吐率信息服務(wù)等多種應(yīng)用需求，而且可以根據(jù)需要對存儲能力與計算能力進(jìn)行擴(kuò)展，都能夠依照客戶的具體需要為其提供網(wǎng)絡(luò)終端服務(wù)。云計算的產(chǎn)生，對數(shù)據(jù)中心的成型與發(fā)展有著極大的帶動。但是隨著云計算的應(yīng)用越來越廣泛，云端的安全問題也顯得越來越重要，成為云計算在云數(shù)據(jù)中心應(yīng)用中急需要解決的問題。

1 云端安全面對的挑戰(zhàn)

在IT科技迅速進(jìn)步的時代，云數(shù)據(jù)中心呈現(xiàn)出了取代傳統(tǒng)數(shù)據(jù)中心的趨勢。云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化，會讓網(wǎng)絡(luò)互聯(lián)出現(xiàn)動態(tài)的改變。所以，網(wǎng)絡(luò)安全系統(tǒng)對安全方略的制定與布局極為關(guān)鍵。具體來講，目前云數(shù)據(jù)中心安全保護(hù)的實施面對著三大難題：其一，虛擬安全域的分隔與虛擬設(shè)備的保護(hù)。虛擬交換層是云數(shù)據(jù)中心互聯(lián)網(wǎng)虛擬化中的新層級，這類互聯(lián)網(wǎng)層級的產(chǎn)生致使網(wǎng)絡(luò)管控的界限變得模糊不清，并且虛擬服務(wù)器很難被已有的網(wǎng)絡(luò)體系捕捉。所以，數(shù)據(jù)中心使用虛擬域有著極大的難度；其二，云數(shù)據(jù)中心資源很難完成集中管控。在云數(shù)據(jù)中心中，數(shù)據(jù)流必須通過多項檢驗，這項工作在運用傳統(tǒng)模式進(jìn)行工作時，通常必須讓不同種類的功能與設(shè)施進(jìn)行解析與疊合，該階段極為損耗資源。此外，因為安全設(shè)施的模型與端口都是不同的，所以云數(shù)據(jù)中心資源集中管控有著較大的難度；再次，安全策略怎樣完成全局統(tǒng)籌，也是需要解決的難題。在云數(shù)據(jù)中心內(nèi)，安全防控策略與以往的網(wǎng)絡(luò)安全管控策略有著較大的差異，安全保護(hù)工作也必須針對應(yīng)用所具備的特征，對不同的安全域?qū)嵤└咝澐?，并制定方案來?yīng)對這些安全問題，而且為了規(guī)避策略上的矛盾，這部分安全策略也必須進(jìn)行全局統(tǒng)籌，這也是云數(shù)據(jù)中心安全保護(hù)工作中必須注意的難題。

2 云數(shù)據(jù)中心環(huán)境下云端安全防護(hù)技術(shù)

云數(shù)據(jù)安全是云計算非常關(guān)鍵的一環(huán)。為了保證云端數(shù)據(jù)的安全，必須加強(qiáng)和完成構(gòu)建數(shù)據(jù)中心安全體系、完善認(rèn)證身份系統(tǒng)，對數(shù)據(jù)加密等工作。

（1）構(gòu)建數(shù)據(jù)中心安全體系、

保證云端數(shù)據(jù)安全是云計算的核心工作。為了保證云計算數(shù)據(jù)中心的數(shù)據(jù)不泄露，首先是要構(gòu)建安全的云數(shù)據(jù)中心體系，通過云計算技術(shù)完成數(shù)據(jù)的共享。在保證數(shù)據(jù)安全的基礎(chǔ)上，再共享云計算中心的數(shù)據(jù)。在保證數(shù)據(jù)安全的前提下，再對數(shù)據(jù)實施高效、全方位地管控；其次是加密模式的選擇與策略的運用。訪問者必須對數(shù)據(jù)進(jìn)行訪問或修正時，在滿足允許訪問準(zhǔn)則需要的前提下完成對應(yīng)操作。

（2）完善認(rèn)證身份管控系統(tǒng)

完善身份管控系統(tǒng)是提高數(shù)據(jù)安全度、私密度的核心工作。訪問者能夠在確保數(shù)據(jù)安全的狀況下，適度降低允許訪問的標(biāo)準(zhǔn)，以最適當(dāng)?shù)恼J(rèn)證身份就可以得到更高質(zhì)量的服務(wù)質(zhì)量。完善身份管控系統(tǒng)的認(rèn)證能夠高效提升系統(tǒng)的安全性與服務(wù)質(zhì)量，提升云端數(shù)據(jù)的安全性。

（3）對數(shù)據(jù)實施加密

數(shù)據(jù)加密有兩種模式。首先，是對數(shù)據(jù)操作實施加密。這通常表現(xiàn)在訪問者對數(shù)據(jù)的檢索操控層面。例如訪問者能夠通過匿名查證的模式，向服務(wù)器提出訪問、檢索、解密、瀏覽內(nèi)容的要求，從而完成加密工作。其次，是對數(shù)據(jù)的儲存實施加密。在數(shù)據(jù)儲存加密的工作中，訪問者能夠完成加密操作。例如要使用原始算法獲得密文，之后再透過匿名驗證的模式，對加密后的數(shù)據(jù)傳送到云端服務(wù)器內(nèi)，最終使用服務(wù)器對密文實施儲存，提升數(shù)據(jù)的安全度。

3 云數(shù)據(jù)中心環(huán)境下云端保護(hù)策略

云計算安全保護(hù)策略有許多種，針對以上云數(shù)據(jù)中心所有的安全難點與使用的數(shù)據(jù)安全技術(shù)，列出云數(shù)據(jù)安全保護(hù)策略如下：

（1）建立可靠算法的云結(jié)構(gòu)

當(dāng)前云計算從服務(wù)的角度來看，分成公有云、混合云、私有云、移動云等。不管訪問者使用何種云服務(wù)，超文本傳送協(xié)議都是不能忽略的一個環(huán)節(jié)。例如為了強(qiáng)化傳送的可靠性，在HTTPS通道中添加SSL層，使用身份檢驗與加密通信的功能，因為SSL私鑰是HTTPS最為關(guān)鍵的數(shù)據(jù)，假如私鑰被竊取，整個通信流程會被截留，簽名也變得不再可靠，那么整個HTTPS傳送階段都無法得到安全保證。一般私鑰與使用程度是捆綁在一起的，將私鑰部署在云端，這樣有著很大的安全威脅，極易導(dǎo)致信息泄密。在云端通過無密鑰加載，能夠強(qiáng)迫云端無法接收到私鑰，進(jìn)而確保了訪問者的私鑰的安全，降低了泄密的可能性。

（2）強(qiáng)化云端安全管控

在云端安全的管理上，對服務(wù)器安全進(jìn)行保護(hù)，需要構(gòu)建嚴(yán)格的物理訪問規(guī)則，然后對進(jìn)出內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行一一比對，比對成功的就放行通過，對比不成功的就是對錯誤數(shù)據(jù)要予以截留，進(jìn)而讓安全保護(hù)落實到位。然而，通常防火墻僅是對外界的數(shù)據(jù)包進(jìn)行檢驗與解析，對內(nèi)部數(shù)據(jù)則無能為力。入侵檢測系統(tǒng)能夠化解這方面的難題，維護(hù)云端數(shù)據(jù)安全。入侵檢測系統(tǒng)先搜集訪問訊息，之后對其實施解讀，進(jìn)而判斷是不是屬于蓄意攻擊的行為。由于以往的入侵檢測系統(tǒng)對未知侵犯行為檢驗效果并不好，所以在云端布置入侵檢測系統(tǒng)，讓其與主機(jī)檢驗系統(tǒng)相融合進(jìn)行檢驗，以確保云計算的信息安全。

（3）云數(shù)據(jù)防控系統(tǒng)構(gòu)建

云數(shù)據(jù)防控系統(tǒng)的構(gòu)建目的是為了讓各類網(wǎng)絡(luò)病毒與威脅可以被云防御發(fā)覺并拒絕通過，提高云數(shù)據(jù)防御系統(tǒng)的安全防控功能。具體來講，云數(shù)據(jù)防御系統(tǒng)的構(gòu)建通常包含下列內(nèi)容：其一，建立Web信譽服務(wù)系統(tǒng)，這是云數(shù)據(jù)安全保護(hù)的重心，其防控措施在Web發(fā)生危機(jī)以前，保護(hù)包括IP、網(wǎng)頁、網(wǎng)站等；其二，設(shè)計電子郵件信任模型，其通常是針對上面Web信譽服務(wù)來完成優(yōu)化，將網(wǎng)絡(luò)中一部分包括錯誤訊息的垃圾電子郵件直接過濾掉，以防止這部分已經(jīng)失真的不準(zhǔn)確數(shù)據(jù)和信息對云端信息或計算機(jī)造成破壞，真正地將電子郵件的收發(fā)控制在合規(guī)的范疇內(nèi)，另外還包含行為關(guān)聯(lián)解析技術(shù)系統(tǒng)、自動回饋信任系統(tǒng)等。

4 結(jié)束語

總而言之，伴隨網(wǎng)絡(luò)科技的迅猛進(jìn)步，云計算的運用為人們的日常生活帶來了極大的方便，但也給網(wǎng)絡(luò)環(huán)境安全帶來了一定的挑戰(zhàn)。為了有效地解決這個難題，除了構(gòu)建了全方位的云計算網(wǎng)絡(luò)系統(tǒng)，還要向人們普及網(wǎng)絡(luò)安全防控知識，從而更好地保證互聯(lián)網(wǎng)的安全。

[1]智慧數(shù)據(jù)中心綠色云端未來——同方出席2018年數(shù)據(jù)中心年度峰會[J].電氣應(yīng)用，2018，37（19）：2.

[2]成都市映潮科技股份有限公司.一種通過可視化配置進(jìn)行云端數(shù)據(jù)采集的方法、裝置及系統(tǒng)：CN201810936001.5 [P].2018-12-28.

[3]江蘇大學(xué).用于云端密文存儲的具有所有權(quán)管理的數(shù)據(jù)去重系統(tǒng)及其數(shù)據(jù)去重方法：CN201810110553.0[P].2018-08-07.

2019年廣東大學(xué)生科技創(chuàng)新培育專項資金（“攀登計劃”專項資金）立項一般項目（pdjh2019b0807）；2018—2020年度廣東青年職業(yè)學(xué)院科研基金重點項目（ZD201801）。