云計(jì)算時(shí)代數(shù)據(jù)安全防護(hù)策略研究

汪林

（國電南瑞科技股份有限公司，江蘇 南京 211106）

0 引言

在我國信息技術(shù)高速發(fā)展下，帶動云技術(shù)的發(fā)展，很多企業(yè)用戶與個人用戶享受云技術(shù)帶來的服務(wù)，所以將數(shù)據(jù)存放在云端，從而可以使用較少的成本，便能享受優(yōu)質(zhì)快捷的云存儲服務(wù)。與此同時(shí)，可以利用處理計(jì)算服務(wù)，用戶可以將數(shù)據(jù)存放在云服務(wù)器內(nèi)，提高數(shù)據(jù)管理便捷性同時(shí)，有效控制數(shù)據(jù)管理成本。但是云計(jì)算在數(shù)據(jù)安全方面仍有所不足，為此需要在未來的工作中，強(qiáng)化云計(jì)算在數(shù)據(jù)安全方面的防護(hù)能力。

1 云計(jì)算環(huán)境存在的數(shù)據(jù)安全威脅

1.1 虛擬化

在云計(jì)算中虛擬化異常關(guān)鍵，在技術(shù)作用下帶來很多優(yōu)勢，提高用戶在數(shù)據(jù)存儲方面的便捷性與體驗(yàn)感，但是也會帶來很多安全風(fēng)險(xiǎn)。在虛擬化技術(shù)下，通過服務(wù)器構(gòu)建大型服務(wù)器集群，利用虛擬化技術(shù)完成分散資源投放資源池的動作，會按照需求完成運(yùn)算資源與調(diào)配存儲的工作。使用云計(jì)算技術(shù)進(jìn)行數(shù)據(jù)傳輸存儲工作，應(yīng)該分析共享資源模式、發(fā)現(xiàn)系統(tǒng)在運(yùn)行階段的安全問題，如果使用傳統(tǒng)的信息安全設(shè)備無法對虛擬化平臺內(nèi)部進(jìn)行安全防護(hù)，在此種狀態(tài)下容易被惡意代碼攻擊，從而出現(xiàn)信息竊取等狀況。另外，使用傳統(tǒng)信息安全設(shè)備，也不滿足協(xié)議審計(jì)與流量監(jiān)控等網(wǎng)絡(luò)安全規(guī)定[1]。

在云計(jì)算數(shù)據(jù)共享背景下，虛擬機(jī)會不定時(shí)動態(tài)漂移，此時(shí)虛擬主機(jī)會時(shí)刻轉(zhuǎn)變真實(shí)位置，會使邊界安全策略也被迫轉(zhuǎn)移。如果邊界安全防護(hù)措施與安全策略不能與虛擬機(jī)處于同時(shí)移動的狀態(tài)，將會導(dǎo)致邊界安全防護(hù)失效，在此種情況下存在安全威脅。虛擬環(huán)境內(nèi)虛擬服務(wù)器容易因?yàn)槁┒幢煌饨绻テ?，竊取平臺中的信息。

1.2 數(shù)據(jù)傳輸

用戶是利用網(wǎng)絡(luò)途徑享受云計(jì)算服務(wù)，將個人數(shù)據(jù)傳輸?shù)皆品?wù)器內(nèi)，在數(shù)據(jù)轉(zhuǎn)移后，在服務(wù)器進(jìn)行計(jì)算、存儲。用戶數(shù)據(jù)包含財(cái)務(wù)報(bào)表、聊天記錄、電子郵件與客戶信息等內(nèi)容，其中含有敏感數(shù)據(jù)，直接影響到用戶個人利益。當(dāng)下云服務(wù)器與用戶不在同一信任域，使數(shù)據(jù)在傳輸階段存在一定隱患。為保證外包數(shù)據(jù)不會在傳輸期間受到破壞，攻擊，安全防護(hù)對策顯得尤為關(guān)鍵[2]。

1.3 API接口

通過研究發(fā)現(xiàn)云計(jì)算技術(shù)存在松耦合性，在該性質(zhì)下導(dǎo)致云計(jì)算模塊和模塊、云計(jì)算對外提供的服務(wù)，需要借由API接口才能進(jìn)行。在API接口應(yīng)用期間存在授權(quán)、認(rèn)證、代碼等風(fēng)險(xiǎn)問題。致使用戶在云計(jì)算技術(shù)應(yīng)用中存在一定的安全威脅，很多用戶并不信任供應(yīng)商提供的接口程序與相應(yīng)服務(wù)。

1.4 數(shù)據(jù)存儲過于集中

通過云計(jì)算實(shí)現(xiàn)數(shù)據(jù)存儲，通過云服務(wù)器提供的數(shù)據(jù)存儲服務(wù)，可以在云端存儲大量的數(shù)據(jù)，用戶可以通過語音服務(wù)器提供的服務(wù)，減少自身在數(shù)據(jù)維護(hù)、存儲方面花費(fèi)的資金，但是云計(jì)算環(huán)境在提高數(shù)據(jù)傳輸、存儲、計(jì)算等能力，也因?yàn)槠渚邆涞拈_放性遭受威脅。在云計(jì)算環(huán)境系統(tǒng)龐大、數(shù)據(jù)存放集中、復(fù)雜程度大等特征下，系統(tǒng)一旦被外界攻破入侵云端，便會存在大量數(shù)據(jù)丟失的可能，將會造成嚴(yán)重的后果。用戶接受云服務(wù)器提供的數(shù)據(jù)存儲服務(wù)，在數(shù)據(jù)訪問方面并沒有優(yōu)先權(quán)，用戶自身對數(shù)據(jù)信息存放狀況并不清楚，所以不能根據(jù)實(shí)際情況進(jìn)行合理的操作，這無疑會提高數(shù)據(jù)存儲的危險(xiǎn)性。

1.5 共享數(shù)據(jù)

在信息安全防火領(lǐng)域，加密隱私信息成為一種廣泛應(yīng)用且具備防護(hù)效果的方法，可以在極大程度上保護(hù)信息安全。目前，非對稱加密算法與對稱加密算法，是加密算法的兩種常用手段，數(shù)據(jù)使用者與數(shù)據(jù)應(yīng)用者，在云計(jì)算環(huán)境中一般并不重合。為了提高數(shù)據(jù)傳輸?shù)陌踩?，選擇加密算法，應(yīng)用對稱加密算法，已經(jīng)加密數(shù)據(jù)與需要解開的數(shù)據(jù)使用一把密鑰，在此種情況下數(shù)據(jù)擁有者存在密鑰管理方面的問題，使數(shù)據(jù)安全防護(hù)存在一定的危險(xiǎn)性；如果使用非對稱加密算法，在云計(jì)算實(shí)際應(yīng)用中，需要公鑰基礎(chǔ)結(jié)構(gòu)，在其支持下才能進(jìn)行安全防護(hù)工作。一般會選擇基于用戶身份屬性特征加密算法與第三方數(shù)據(jù)重加密方法，但是在具體操作時(shí)，發(fā)現(xiàn)數(shù)據(jù)擁有者傳輸已加密數(shù)據(jù)，共享密文數(shù)據(jù)用戶身份會發(fā)生變動，而密文數(shù)據(jù)共享策略需要同步更新，由此使數(shù)據(jù)管理工作變得非常復(fù)雜，用戶在操作階段也存在數(shù)據(jù)泄露的隱患。

2 云環(huán)境下數(shù)據(jù)安全防護(hù)策略

2.1 形成安全威脅防范意識

使用云計(jì)算傳輸數(shù)據(jù)，需要云計(jì)算用戶具備一定的安全防范意識，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)需要擁有一定的專業(yè)知識，提高原環(huán)境下網(wǎng)絡(luò)環(huán)境的安全程度。通過規(guī)范操作，可以防止因操作方面的問題遭受黑客攻擊或是病毒侵入計(jì)算機(jī)網(wǎng)絡(luò)，用戶在云計(jì)算應(yīng)用期間必須掌握數(shù)據(jù)傳輸?shù)姆椒?，同時(shí)清楚在云端平臺進(jìn)行數(shù)據(jù)存儲存在的風(fēng)險(xiǎn)。用戶使用云計(jì)算進(jìn)行數(shù)據(jù)傳輸、計(jì)算、存儲的過程中，必須擁有備份數(shù)據(jù)的習(xí)慣，在云計(jì)算平臺應(yīng)用中，可以通過不同云服務(wù)商的平臺備份數(shù)據(jù)，采用物理隔離的方式保證數(shù)據(jù)，如果某平臺遭受攻擊數(shù)據(jù)遺失，也可以由其他平臺提供數(shù)據(jù)資料，防止出現(xiàn)數(shù)據(jù)永久丟失的情況[3]。

2.2 建立云安全防御體系

虛擬資源與物理資源是云計(jì)算資源環(huán)境包含的主要內(nèi)容，在資源群防護(hù)期間需要分析云平臺結(jié)構(gòu)，還應(yīng)該選擇有效的方式進(jìn)行安全防護(hù)，提高云系統(tǒng)運(yùn)行階段的安全防護(hù)能力，圍繞云平臺構(gòu)建安全防御體系，重視虛擬主機(jī)、虛擬網(wǎng)絡(luò)的信息安全防護(hù)工作。圍繞安全設(shè)備、網(wǎng)絡(luò)設(shè)備與應(yīng)用系統(tǒng)思考安全防護(hù)方法，在此期間對云平臺進(jìn)行統(tǒng)一管理，快速發(fā)現(xiàn)平臺漏洞并進(jìn)行修補(bǔ)，同時(shí)開展網(wǎng)絡(luò)通信區(qū)域邊界云計(jì)算環(huán)境的層次防御工作[4]。

虛擬資源、物理資源安全是云計(jì)算環(huán)境防御的重點(diǎn)，在物理資源安全防御期間專注物理資源漏洞管理、安全審計(jì)、安全配置加固等內(nèi)容，對相關(guān)內(nèi)容進(jìn)行全面、可靠的防護(hù)。圍繞虛擬資源、惡意代碼防護(hù)與虛擬資源隔離，完成虛擬資源安全防御工作。區(qū)域防御可以通過區(qū)域劃分與傳統(tǒng)安全設(shè)備進(jìn)行，完成云平臺物理邊界防御任務(wù)。

在云安全防護(hù)期間，可以選擇虛擬防火墻、VPC等方法，由此提高虛擬邊界的安全程度。在網(wǎng)絡(luò)通信安全防御期間，主要圍繞通信網(wǎng)絡(luò)、安全審計(jì)、網(wǎng)絡(luò)傳輸、數(shù)據(jù)保密性和完整性、網(wǎng)絡(luò)通信可用性方面進(jìn)行安全防御工作，提高通信網(wǎng)絡(luò)運(yùn)行階段的可靠性、安全性。

2.3 使用信息加密技術(shù)

在云計(jì)算信息安全防護(hù)方面選擇信息加密技術(shù)，需要關(guān)注加密算法。在加密算法應(yīng)用下，可以通過軟硬件技術(shù)提高傳輸鏈路的安全性，通過加密方式提高數(shù)據(jù)安全性。還可以使用端對端完成數(shù)據(jù)加密，強(qiáng)化數(shù)據(jù)安全防護(hù)能力，在加密電路中應(yīng)該確定保護(hù)通信節(jié)點(diǎn)，同時(shí)需要在物理鏈路部位通過交換轉(zhuǎn)發(fā)設(shè)備，進(jìn)行加密解密的操作，實(shí)現(xiàn)數(shù)據(jù)安全傳輸。在信息安全管理期間，選擇端對端加密數(shù)據(jù)，提高數(shù)據(jù)傳輸?shù)陌踩?，對原始?shù)據(jù)進(jìn)行加密處理，將已加密密鑰變成密文，從而可以在數(shù)據(jù)信息讀取期間，通過相應(yīng)密鑰結(jié)合密鑰分配算法、密鑰管理等方式，完成數(shù)據(jù)加密工作[5]。

2.4 訪問控制

在云計(jì)算環(huán)境下進(jìn)行數(shù)據(jù)安全防護(hù)工作，為了提高數(shù)據(jù)安全，需要落實(shí)數(shù)據(jù)訪問控制工作，保護(hù)數(shù)據(jù)擁有者的隱私。進(jìn)行訪問控制，用戶對數(shù)據(jù)在執(zhí)行、讀寫等方面擁有權(quán)限設(shè)置的權(quán)利，數(shù)據(jù)擁有者將數(shù)據(jù)信息投放在云平臺，對數(shù)據(jù)進(jìn)行訪問控制，用戶想要閱覽相關(guān)信息需要有數(shù)據(jù)擁有者授權(quán)，從而才能進(jìn)行相關(guān)操作。在數(shù)據(jù)設(shè)置方面可以圍繞數(shù)據(jù)隱私敏感程度，給出安全范圍，通過安全等級的劃分，借助軟硬件設(shè)備邊界保護(hù)，讓控制規(guī)則發(fā)揮作用，對數(shù)據(jù)進(jìn)行安全控制。

2.5 加強(qiáng)信息安全管理力度

云計(jì)算平臺進(jìn)行工作定位，以向用戶推送優(yōu)質(zhì)服務(wù)為工作主要任務(wù)，在發(fā)展過程中對技術(shù)層面給出較高的要求，為提高用戶的服務(wù)體驗(yàn)感，合理應(yīng)用虛擬化技術(shù)，加強(qiáng)對虛擬機(jī)的優(yōu)化管控力度。信息安全管理是信息防護(hù)的有效方式，需要考慮到虛擬機(jī)在應(yīng)用期間存在的問題。結(jié)合已經(jīng)掌握的信息，在云平臺管理階段，本著對用戶負(fù)責(zé)的工作初衷，加強(qiáng)對虛擬機(jī)安全防護(hù)力度，合理應(yīng)用現(xiàn)代技術(shù)，提高信息管理和云平臺管理水平[6]。

3 結(jié)語

在信息技術(shù)高速發(fā)展下推動云計(jì)算的發(fā)展，當(dāng)下云計(jì)算已應(yīng)用在各領(lǐng)域中，為人們生活工作帶來諸多便利。在云技術(shù)發(fā)展中其帶來的安全問題也逐漸凸顯，影響用戶服務(wù)體驗(yàn)并受到用戶的詬病。因此，當(dāng)下需要加強(qiáng)對信息安全防護(hù)工作的重視程度；提高用戶在云計(jì)算應(yīng)用時(shí)的安全防護(hù)意識，清楚云計(jì)算存在的風(fēng)險(xiǎn)同時(shí)掌握安全防護(hù)方法；通過應(yīng)用信息加密技術(shù)、建立云安全防御體系、訪問控制等方法，提高信息傳輸、存儲等環(huán)節(jié)的安全性，為用戶打造安全的環(huán)境。