云應(yīng)用安全測試技術(shù)分析

程海濤

（大慶石油管理局信息技術(shù)公司北京分公司，黑龍江 大慶 163000）

0 引言

從本質(zhì)上看，云應(yīng)用安全測試與傳統(tǒng)的Web 應(yīng)用測試具有高度的相似性，重點(diǎn)都是要通過安全測試來發(fā)現(xiàn)應(yīng)用中存在的安全隱患，通過測試結(jié)果來進(jìn)行漏洞識別與修復(fù)，保障數(shù)據(jù)存儲(chǔ)、使用的安全性。云應(yīng)用安全測試是新概念，在實(shí)際的應(yīng)用過程中，操作難度非常大，再加上云應(yīng)用中安全交叉點(diǎn)、傳輸點(diǎn)數(shù)量的不斷增加，使得在開展安全測試的過程中，要保障測試的全面性，積極通過內(nèi)外測試來消除應(yīng)用中的安全風(fēng)險(xiǎn)。

1 云安全技術(shù)概況

計(jì)算機(jī)、信息技術(shù)等的快速發(fā)展，使得云計(jì)算應(yīng)運(yùn)而生，加快了網(wǎng)絡(luò)時(shí)代的發(fā)展。各種云應(yīng)用的開發(fā)，在為人們提供便捷的同時(shí)，也帶來了巨大的安全隱患，比如，云應(yīng)用中的信息泄露情況。從根本上看，云安全技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)計(jì)算、未知病毒行為判斷并行處理等各種新技術(shù)、概念的有效融合。通過網(wǎng)狀分布的客戶端，云安全技術(shù)中的相關(guān)模塊可以對網(wǎng)絡(luò)軟件中的異常行為加以監(jiān)測，通過這一監(jiān)測過程，就可以全面掌握云應(yīng)用中的全部行為，對全部的數(shù)據(jù)和信息加以分析。這一過程中，云安全技術(shù)中的相關(guān)模塊能夠及時(shí)發(fā)現(xiàn)異常侵入、惡意攻擊、病毒入侵等行為，當(dāng)收集到這些異常情況以后，系統(tǒng)還可以自動(dòng)將這些信息發(fā)送給客戶端，在經(jīng)由全面的分析和處理后，可以制定出最為有效的安全處理方案［1］。

2 云安全技術(shù)的實(shí)現(xiàn)與應(yīng)用

2.1 建立科學(xué)合理的資源池

伴隨著云計(jì)算概念的提出和應(yīng)用，很多領(lǐng)域都在積極搭建云計(jì)算框架，而如果要保障云計(jì)算架構(gòu)的科學(xué)性與合理性，就必須要率先建立科學(xué)合理的資源池。在傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）基礎(chǔ)架構(gòu)中，專門的資源和應(yīng)用之間存在著非常高的關(guān)聯(lián)性，為了使系統(tǒng)能夠具備少量峰值的負(fù)載，往往存在過度進(jìn)行資源配置的情況，資源重復(fù)利用的效率偏低［2］。根據(jù)有關(guān)統(tǒng)計(jì)，傳統(tǒng)IT 資源的平均重復(fù)利用率在20%以下。資源池構(gòu)建需要服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等多種資源，構(gòu)建的目的是要將這些多樣化的資源以比價(jià)虛擬化的方式形成更為綜合的資源池。在云計(jì)算概念下，資源池建設(shè)可以直接通過分布式計(jì)算的方式，來保障資源分配的科學(xué)性與合理性。這一計(jì)算和分配方式不僅可以消除物理邊界的限制，還可以大大提升資源的重復(fù)利用率，提升資源池的計(jì)算水平［3］。云計(jì)算中，資源池的構(gòu)建是基礎(chǔ)環(huán)節(jié)，在后續(xù)云計(jì)算基礎(chǔ)架構(gòu)的實(shí)現(xiàn)過程中，具有不可替代的作用，只有保障了資源池建設(shè)的科學(xué)性，才可以根據(jù)應(yīng)用本身的需求來動(dòng)態(tài)分配資源。

資源池建設(shè)需注意以下要點(diǎn)。①在正式的建設(shè)開始之前，專業(yè)人員需率先根據(jù)資源池建設(shè)的實(shí)際需求來準(zhǔn)備好必備的物理資源，為資源池建設(shè)做好充分的前期準(zhǔn)備，利用虛擬化方式來建設(shè)。一般情況下，一個(gè)物理服務(wù)器可以將幾個(gè)或者幾十個(gè)服務(wù)器全部虛擬出來，且這一虛擬模式下，每個(gè)虛擬機(jī)都可以根據(jù)不同的任務(wù)需求來運(yùn)行［4］。②資源池的兼容性相對較強(qiáng)，由于其服務(wù)對象可以是很多的平臺，各個(gè)平臺上的運(yùn)行需求有所不同，而資源池可以根據(jù)不同平臺的現(xiàn)實(shí)需求，來提供給不同平臺不同的負(fù)載。各個(gè)企業(yè)的應(yīng)用類型非常多樣，使得在平臺建設(shè)的過程中，要積極根據(jù)這些需求來進(jìn)行設(shè)計(jì)。比如，一個(gè)企業(yè)可以同步開發(fā)Linux 和Windows 雙應(yīng)用，甚至可以是基于Unix 的應(yīng)用。這一情況下，企業(yè)在平臺優(yōu)化和建設(shè)的過程中，原有應(yīng)用可以直接在資源池上使用。③在企業(yè)業(yè)務(wù)范圍逐步擴(kuò)大的過程中，IT 資源的需求也在逐步擴(kuò)大，與此同時(shí)，應(yīng)用類型也日漸增多。這種情況下，就需要使資源池具有非常強(qiáng)的擴(kuò)展能力。

2.2 現(xiàn)階段保障云安全的具體方案

基于云安全考慮，一些軟件廠商逐步開發(fā)出可以有效保護(hù)全網(wǎng)安全的體系架構(gòu)。比如，金山毒霸開發(fā)云安全系統(tǒng)，不僅包括智能化客戶端，還包括集群式服務(wù)端和開放式平臺，在投入使用以后，可以有效解決互聯(lián)網(wǎng)環(huán)境下存在的各種病毒威脅。在這一安全體系中，“可信云安全平臺”是核心技術(shù)，其具體包含了以下內(nèi)容。①可信云安全。這一技術(shù)也就是云端人工智能的自動(dòng)鑒定，通過這一技術(shù)的應(yīng)用，在互聯(lián)網(wǎng)環(huán)境下，可以在非常短的時(shí)間內(nèi)就有效對大部分的未知樣本加以識別和判定，主要包含了收集、鑒定、發(fā)布等技術(shù)體系和流程，在該體系內(nèi)，以互聯(lián)網(wǎng)的可信認(rèn)證、人工智能自動(dòng)分析和樣本極速匹配為基礎(chǔ)，客戶端即使每天應(yīng)對的查詢請求非常多，也可以實(shí)現(xiàn)瞬間響應(yīng)［5］。②藍(lán)芯II 云引擎。這一引擎技術(shù)可以對全部的病毒開展高效、精確地查殺。

3 云應(yīng)用安全測試技術(shù)

3.1 內(nèi)外部測試

云應(yīng)用的安全測試過程中，內(nèi)外部測試是最為基礎(chǔ)性的測試。要在具體的安全測試過程中，將云基礎(chǔ)設(shè)施作為一個(gè)獨(dú)立的系統(tǒng)個(gè)體來開展全面的安全測試，內(nèi)外部測試的范圍主要是由組織和應(yīng)用設(shè)置情況來決定的。當(dāng)然，云系統(tǒng)可以是單個(gè)個(gè)體，也可以是系統(tǒng)內(nèi)部的，甚至可以是多系統(tǒng)的、具有內(nèi)外部雙重屬性的應(yīng)用。安全測試技術(shù)應(yīng)用的過程中，必須要利用測試技術(shù)來對云系統(tǒng)的結(jié)構(gòu)、運(yùn)行狀態(tài)和流程加以全面識別，測試者在測試的過程中，為保障測試工作的高效開展，必須要在前期的測試準(zhǔn)備工作中，全面了解并掌握其中的全部連接點(diǎn)，包含數(shù)據(jù)連接和傳輸?shù)募?xì)節(jié)性內(nèi)容。安全測試要從云應(yīng)用中的某一特定內(nèi)部功能開始，然后為所有的連接點(diǎn)或額外的云建立測試。在內(nèi)外部測試的過程中，對云性質(zhì)、內(nèi)外部、混合的判定是非常重要的。測試云端主要包含了滲透測試技術(shù)和數(shù)據(jù)測試技術(shù)，這一點(diǎn)是與Web 應(yīng)用測試高度相似的，其最為突出的區(qū)別就在于系統(tǒng)結(jié)構(gòu)、基礎(chǔ)設(shè)施中存在云供應(yīng)商。

3.2 跨系統(tǒng)測試

跨系統(tǒng)測試技術(shù)應(yīng)用與“外部”測試相類似，但也存在一定的區(qū)別?？缭葡到y(tǒng)測試重點(diǎn)應(yīng)放在測試公有云、私有云和混合云應(yīng)用方面。對于絕大多數(shù)的云應(yīng)用而言，其開發(fā)的最終目的是要在各個(gè)云系統(tǒng)之間實(shí)現(xiàn)數(shù)據(jù)、信息的共享和集成。在安全測試技術(shù)的應(yīng)用過程中，要保障測試的有效性，就需要在了解云系統(tǒng)總體結(jié)構(gòu)、云應(yīng)用與系統(tǒng)交互方式、共享信息和數(shù)據(jù)方式的基礎(chǔ)上開展測試［6］。安全測試跨云和應(yīng)用時(shí)，重點(diǎn)需放在數(shù)據(jù)是否存在異常訪問與共享的判定方面。作為測試者，需要通過操作云系統(tǒng)配置或者角色安全、攔截消息、消息隊(duì)列能否獲得非授權(quán)數(shù)據(jù)訪問的權(quán)利方面，只有做好了這些方面的測試，才能夠說明安全測試是有效的。云應(yīng)用的路徑非常復(fù)雜，在跨系統(tǒng)測試的過程中，不僅需要對這些復(fù)雜路徑加以測試，更需要進(jìn)行安全路徑的測試，以通過全面測試來消除云應(yīng)用、系統(tǒng)中的安全威脅。Web 測試與云應(yīng)用測試還存在著一個(gè)突出的區(qū)別，就是Web 應(yīng)用存在邊界，而云應(yīng)用則沒有，由于可能是無邊界的，就使得在測試的過程中，測試人員必須要全面調(diào)查其全部的連接點(diǎn)和安全邊界情況。

4 測試挑戰(zhàn)

云應(yīng)用安全測試的過程中，同樣存在著一定的測試難題。由于組織并不系統(tǒng)，這就使得在云環(huán)境下，直接對服務(wù)器日志和其他類型文件的訪問都是不可行的。測試過程中，測試人員必須要密切觀察數(shù)據(jù)的具體情況、性能和時(shí)間等，來進(jìn)行相關(guān)問題的準(zhǔn)確判定。比如，在云應(yīng)用中，如果重點(diǎn)放在某窗口輸入功能的驗(yàn)證方面，就需要用另外一個(gè)應(yīng)用來確定是否存在問題。如果要保障測試結(jié)果的有效性，相關(guān)測試人員必須要詳細(xì)了解數(shù)據(jù)流、合法數(shù)據(jù)定義、應(yīng)用和特定云之間的關(guān)系信息，只有在掌握了這些基礎(chǔ)的信息以后，才能夠使安全測試工作順利開展，使得安全測試技術(shù)選擇、流程確定符合實(shí)際的測試需求。由于云應(yīng)用基礎(chǔ)設(shè)施的性質(zhì)比較特殊，在開展安全測試的過程中，徹底測試是非常關(guān)鍵的，大部分的測試應(yīng)該以應(yīng)用行為和響應(yīng)作為基礎(chǔ)，在測試的過程中，專業(yè)人員必須充分做好測試時(shí)間的科學(xué)規(guī)劃。

4 結(jié)語

近年來，隨著云應(yīng)用數(shù)量和需求的增多，在云應(yīng)用的開發(fā)和運(yùn)營過程中，要結(jié)合實(shí)際的安全需求來選擇恰當(dāng)?shù)陌踩珳y試技術(shù)，最大程度上提高云應(yīng)用的安全性。