云計算環(huán)境下的數(shù)據(jù)安全傳輸方式分析

崔飛

（中國電信集團有限公司內(nèi)蒙古分公司 網(wǎng)絡(luò)發(fā)展部，內(nèi)蒙古 呼和浩特 010000）

引言

由于云計算的信息高度集中性、無邊界性和流動性，以及基于虛擬化、分布式計算的底層架構(gòu)等特性，單純采用傳統(tǒng)的物理設(shè)備管理手段，已不適應(yīng)在云計算環(huán)境中保障數(shù)據(jù)安全傳輸。本文針對云計算環(huán)境下數(shù)據(jù)傳輸過程中所存在的安全問題進行分析，提出相應(yīng)的解決措施。（圖1：云計算環(huán)境下數(shù)據(jù)管理模式）

一、數(shù)據(jù)傳輸中所存在的安全問題

（一）數(shù)據(jù)被違規(guī)訪問

在云計算環(huán)境下，當(dāng)數(shù)據(jù)傳輸?shù)倪^程中，如果沒有做好數(shù)據(jù)訪問控制工作，很有可能面臨非法用戶違規(guī)訪問數(shù)據(jù)的問題。當(dāng)有數(shù)據(jù)安全問題存在，主要源于兩個方面，即內(nèi)部安全問題和外部安全問題。將數(shù)據(jù)信息傳輸?shù)皆破脚_中，或者向遠程服務(wù)器傳輸?shù)倪^程中，云計算服務(wù)提供商負責(zé)接收數(shù)據(jù)，但是如果安全防護工作不足，很有可能被不良用戶違規(guī)訪問，造成數(shù)據(jù)被篡改或者丟失。如果是內(nèi)部人員沒有按照規(guī)定操作所造成的問題，主要由于沒有規(guī)范數(shù)據(jù)訪問權(quán)限或者管理不到位導(dǎo)致的。

（二）沒有做好數(shù)據(jù)隔離工作

云計算環(huán)境下，數(shù)據(jù)傳輸?shù)倪^程中會出現(xiàn)共享操作，此時如果沒有對數(shù)據(jù)有效隔離，就會導(dǎo)致安全問題。應(yīng)用云計算的用戶以企業(yè)和政府部門為主，如果沒有對數(shù)據(jù)有效隔離，當(dāng)數(shù)據(jù)傳輸?shù)臅r候很有可能出現(xiàn)失真，因此造成的損失是巨大的。通常在集體辦公環(huán)境中需要共享數(shù)據(jù)信息，甚至在數(shù)據(jù)傳輸?shù)倪^程中也會存在共享需求，沒有做好加密處理工作，沒有將數(shù)據(jù)隔離好，數(shù)據(jù)傳輸中就會面臨威脅，非法用戶對數(shù)據(jù)竊取，因此出現(xiàn)信息泄露的問題[1]。

二、云計算環(huán)境下保證數(shù)據(jù)傳輸安全的有效方法

（一）對網(wǎng)絡(luò)防護系統(tǒng)予以完善

處于云計算環(huán)境下，要使數(shù)據(jù)傳輸?shù)倪^程中有較高的安全性，需要對云平臺后臺服務(wù)體系予以完善，對用戶訪問權(quán)限予以設(shè)置并不斷地調(diào)整，對于數(shù)據(jù)加密技術(shù)和解密技術(shù)都要進行優(yōu)化，使密鑰有非常高的安全強度，對于違規(guī)入侵的用戶嚴(yán)格控制，避免其進行數(shù)據(jù)訪問，使數(shù)據(jù)得到有效維護。對于網(wǎng)絡(luò)防護體系要定期檢查，發(fā)現(xiàn)有漏洞就要及時修補，并對防護技術(shù)和加密技術(shù)升級，網(wǎng)絡(luò)的防護等級提高，數(shù)據(jù)就更加安全[2]。

在云資源池與外部網(wǎng)絡(luò)邊界處，部署防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、web 應(yīng)用防火墻（WAF），實時監(jiān)測各類非法入侵行為，并在發(fā)生嚴(yán)重入侵事件時提供報警，把好入口關(guān)。同時，通過部署異常流量監(jiān)測系統(tǒng)、攻擊溯源系統(tǒng)、安全態(tài)勢感知系統(tǒng)，僵木蠕監(jiān)測系統(tǒng)等，對正在發(fā)生的安全風(fēng)險行為進行發(fā)現(xiàn)。

（二）對數(shù)據(jù)共享隔離工作進一步強化

云計算環(huán)境下，虛擬化技術(shù)打破了物理邊界，在數(shù)據(jù)共享過程中，傳統(tǒng)的基于物理安全邊界的網(wǎng)絡(luò)安全防護機制難以發(fā)揮作用。應(yīng)用云計算技術(shù)，用戶的數(shù)據(jù)信息傳輸?shù)皆贫藘Υ?，所采用的是網(wǎng)絡(luò)計算的形式，而且還要發(fā)揮網(wǎng)絡(luò)的作用將數(shù)據(jù)信息傳回到用戶端。數(shù)據(jù)信息在云端儲存，是作為虛擬屬性存在的，但是用戶數(shù)據(jù)是確確實實存在的，為了防止非法用戶共享數(shù)據(jù)，或者避免數(shù)據(jù)傳輸中受到安全威脅，主要采用的傳輸策略是一對一共享，即做好隔離工作，將第三方隔離出去，沒有機會接觸到數(shù)據(jù)信息。采用這種數(shù)據(jù)共享隔離于外網(wǎng)的方式，使數(shù)據(jù)信息實現(xiàn)共享的同時還可以保證安全。

數(shù)據(jù)信息在網(wǎng)絡(luò)上傳輸并實現(xiàn)共享，要保證數(shù)據(jù)信息的安全性，還要做好檢測工作，對用戶身份加以認證，所有沒通過認證的用戶都實施數(shù)據(jù)隔離，這樣可以避免數(shù)據(jù)信息被竊取。用戶在共享資源的同時，將網(wǎng)絡(luò)加密技術(shù)合理利用，確保數(shù)據(jù)共享被控制在特定的范圍內(nèi)，并做到多層防護，使數(shù)據(jù)安全傳輸[3]。在加密密鑰管理方面，可將密鑰管理與分發(fā)機制進行集中，實現(xiàn)管理與維護的集約、高效。同時，為了防范系統(tǒng)管理員非授權(quán)訪問業(yè)務(wù)用戶數(shù)據(jù)，需要規(guī)范管理，將系統(tǒng)管理員和密鑰管理員權(quán)限分離。密鑰管理員僅具有管理業(yè)務(wù)用戶密鑰的權(quán)限，不具備訪問系統(tǒng)的權(quán)限，無法基于密鑰進行數(shù)據(jù)訪問；系統(tǒng)管理員可以訪問系統(tǒng)，但不具備密鑰管理功能，無法獲得密鑰，從而無法進行非授權(quán)訪問。

（三）應(yīng)用虛擬防火墻技術(shù)

傳統(tǒng)的VLAN 隔離的手段，存在劃分不靈活的問題，已難以滿足云計算環(huán)境對資源隔離靈活、高效的要求。在采用防火墻安全域劃分、硬件交換機分離等方式的基礎(chǔ)上，虛擬防火墻技術(shù)，是進行數(shù)據(jù)隔離的有效手段。

在云計算環(huán)境下，用戶所傳輸?shù)臄?shù)據(jù)以多種形式存在，主要包括視頻數(shù)據(jù)、圖像數(shù)據(jù)以及文本數(shù)據(jù)等等數(shù)據(jù)，傳輸數(shù)據(jù)的時候采用移動設(shè)備，但是移動設(shè)備缺乏安全性，用戶終端沒有將數(shù)據(jù)做好備份，考慮到數(shù)據(jù)安全，就需要將無線網(wǎng)充分利用起來，采用密文的方式傳輸數(shù)據(jù)。如果此時資源受到限制，傳輸數(shù)據(jù)的時候需要消耗大量的時間。為了保護好數(shù)據(jù)信息，應(yīng)用虛擬防火墻技術(shù)，在數(shù)據(jù)信息傳輸?shù)倪^程中，如果有不良用戶在網(wǎng)絡(luò)環(huán)境中侵襲，虛擬防火墻會及時阻擋，保證數(shù)據(jù)信息不會受到威脅。具體的工作中，需要在各自的專網(wǎng)接入邏輯防火墻，形成虛擬網(wǎng)鏈路，構(gòu)成虛擬專用網(wǎng)，配置好移動用戶賬號，以在網(wǎng)絡(luò)共享空間以及云計算環(huán)境中發(fā)揮良好的防護作用，確保數(shù)據(jù)傳輸中不會受到威脅[4]。

通過虛擬防火墻，可為多個用戶或單個用戶的不同節(jié)點，設(shè)置獨立、可定制的安全策略功能。每臺虛擬防火墻都可以作為一臺完全獨立的防火墻設(shè)備使用，可擁有獨立的管理員、安全策略、用戶認證數(shù)據(jù)庫等。不同虛擬防火墻之間安全隔離，互不影響。用戶可通過自服務(wù)頁面或門戶，對自己的虛擬防火墻進行管理和配置；也可通過Telnet、SSH 或圖形化管理工具等手段實現(xiàn)遠程操作。

（四）在“云”端建立信息管理平臺

在數(shù)據(jù)信息傳輸過程中，如果沒有采取科學(xué)有效的保護措施，很有可能造成信息被篡改或者丟失的問題，即便是在本地數(shù)據(jù)庫中，也避免不了硬件或者軟件的問題造成損失。建立信息管理平臺，由于技術(shù)要求很高，參與建設(shè)的人員數(shù)量比較多，如果依然采用傳統(tǒng)的平臺管理模式，就會導(dǎo)致信息無法快速傳遞，用戶也無法針對信息互動交流，數(shù)據(jù)信息安全管理效率無法提高。處于信息時代，數(shù)據(jù)信息安全管理要體現(xiàn)時代特征，對信息技術(shù)合理利用的過程中，應(yīng)用計算機電子信息技術(shù)，發(fā)揮網(wǎng)絡(luò)技術(shù)的作用將“云”端建立信息管理平臺建立起來，對于所傳輸?shù)臄?shù)據(jù)信息都實施“云”端系統(tǒng)化管理，做到數(shù)據(jù)管理全面信息化、網(wǎng)絡(luò)化，不僅加快了信息傳輸速度，而且管理人員可以根據(jù)實時信息進行針對性監(jiān)督管理，各個部門的管理人員登陸管理信息平臺，就可以獲得自己所需要的信息，并根據(jù)工作需要對信息予以處理。應(yīng)用“云”端建立信息管理平臺實施數(shù)據(jù)信息安全管理，在數(shù)據(jù)傳輸?shù)倪^程中可以做到實時跟蹤，隨著網(wǎng)絡(luò)信息技術(shù)的升級，數(shù)據(jù)信息安全管理模式也不斷更新，從而提高數(shù)據(jù)傳輸效能，維護數(shù)據(jù)安全。

結(jié)束語

通過上面的研究可以明確，處于云計算環(huán)境下，數(shù)據(jù)信息可以實現(xiàn)云傳輸和存儲，速度快，而且不會受到時間和空間的限制。但是，云計算的開放性決定了數(shù)據(jù)傳輸?shù)倪^程中也會受到威脅，諸如出現(xiàn)數(shù)據(jù)被非法訪問或者由于沒有做好數(shù)據(jù)隔離工作導(dǎo)致安全問題。針對于此，就需要采取必要的安全措施，保證數(shù)據(jù)傳輸?shù)倪^程中有較高的可靠性，維護數(shù)據(jù)完整，不會失真，提高數(shù)據(jù)質(zhì)量。