摘要：“維基解密”、“棱鏡計(jì)劃”的相繼曝光使各國(guó)開(kāi)始重視網(wǎng)絡(luò)信息安全，重新思量在信息技術(shù)不斷更新的時(shí)代如何來(lái)應(yīng)對(duì)這一問(wèn)題以維護(hù)國(guó)家利益。隨著云計(jì)算技術(shù)的日益成熟和廣泛應(yīng)用，云內(nèi)的安全問(wèn)題也得到了重視。文章從“棱鏡計(jì)劃”講起，探討了云計(jì)算體系下的信息安全問(wèn)題。

關(guān)鍵詞：云計(jì)算；“棱鏡計(jì)劃”；信息安全；互聯(lián)網(wǎng)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-2374（2014）30-0022-02

1 “棱鏡計(jì)劃”與云計(jì)算

棱鏡計(jì)劃是一項(xiàng)由美國(guó)國(guó)家安全局自2007年起開(kāi)始實(shí)施的絕密級(jí)電子監(jiān)聽(tīng)計(jì)劃。該計(jì)劃的正式名稱(chēng)為“US-984XN”。根據(jù)報(bào)道，泄露的文件中描述PRISM計(jì)劃能夠?qū)磿r(shí)通信和既存資料進(jìn)行深度的監(jiān)聽(tīng)。許可的監(jiān)聽(tīng)對(duì)象包括任何在美國(guó)以外地區(qū)使用參與計(jì)劃公司服務(wù)的客戶(hù)，或是任何與國(guó)外人士通信的美國(guó)公民。國(guó)家安全局在PRISM計(jì)劃中可以獲得的數(shù)據(jù)電子郵件、視頻和語(yǔ)音交談、影片、照片、VoIP交談內(nèi)容、檔案?jìng)鬏?、登入通知，以及社交網(wǎng)絡(luò)細(xì)節(jié)。綜合情報(bào)文件《總統(tǒng)每日簡(jiǎn)報(bào)》中在2012年內(nèi)在1477個(gè)計(jì)劃使用了來(lái)自棱鏡計(jì)劃的資料，關(guān)于PRISM的報(bào)道是在美國(guó)政府持續(xù)秘密地要求威訊向國(guó)家安全局提供所有客戶(hù)每日電話(huà)記錄的消息曝光后不久出現(xiàn)的。泄露這些絕密文件的是國(guó)家安全局合約外包商的員工愛(ài)德華·斯諾登，于2013年6月6日在英國(guó)《衛(wèi)報(bào)》和美國(guó)《華盛頓郵報(bào)》公開(kāi)。

云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪(fǎng)問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用軟件、服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算（cloud computing）是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過(guò)互聯(lián)網(wǎng)來(lái)提供動(dòng)態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。云是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種比喻說(shuō)法。過(guò)去在圖中往往用云來(lái)表示電信網(wǎng)，后來(lái)也用來(lái)表示互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象。

2 從“棱鏡計(jì)劃”分析信息安全問(wèn)題

黑客的攻擊成為目前信息安全所面臨的首要威脅，黑客通過(guò)侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)來(lái)獲取信息。隨著網(wǎng)絡(luò)的不斷發(fā)展國(guó)家的能源、通信、商業(yè)、金融、交通等信息的交流都有賴(lài)于網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題導(dǎo)致信息被竊取指令無(wú)法正常執(zhí)行，將會(huì)給國(guó)家?guī)?lái)局帶來(lái)?yè)p失并直接影響國(guó)家

安全。

網(wǎng)絡(luò)信息技術(shù)的不斷更新使間諜組織有更好的工具獲取機(jī)密信息。美國(guó)“棱鏡計(jì)劃”的曝光使大眾了解到美國(guó)竊取情報(bào)活動(dòng)涉密程度和情報(bào)信息量。美國(guó)視我國(guó)為其最大的利益威脅國(guó)，依靠其技術(shù)的優(yōu)勢(shì)，長(zhǎng)期對(duì)我國(guó)的通信和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行全天候無(wú)地域限制的偵察與監(jiān)控，美國(guó)借助谷歌將用戶(hù)的所有瀏覽記錄都備份到情報(bào)局以達(dá)到實(shí)時(shí)監(jiān)控的效果。如此嚴(yán)峻的形勢(shì)下中國(guó)不得不再次提高信息安全警報(bào)等級(jí)，網(wǎng)絡(luò)信息安全已經(jīng)不僅僅是指軍事上的國(guó)家安全，它將會(huì)對(duì)國(guó)家的經(jīng)濟(jì)政治等方面產(chǎn)生直接的影響。

3 云計(jì)算技術(shù)所引發(fā)的信息安全問(wèn)題

云的部署方式分為軟件及服務(wù)SAAS，另外四種部署方式為公有云、私有云、社區(qū)云和混合云。這種部署能夠考慮到成本控制和安全控制等多方面的需求。云所具備的功能使其能夠在計(jì)算機(jī)網(wǎng)絡(luò)中得到廣泛的應(yīng)用。云完成了對(duì)數(shù)的存儲(chǔ)和計(jì)算工作不可避免地存在存儲(chǔ)的信息安全出現(xiàn)問(wèn)題。云計(jì)算的出現(xiàn)對(duì)國(guó)家信息安全存在潛在和現(xiàn)實(shí)威脅。一旦有哪個(gè)國(guó)家有很強(qiáng)的技術(shù)能夠控制云，將會(huì)掌控全球的信息，竊取其他國(guó)家的機(jī)密信息。

云環(huán)境下信息安全出現(xiàn)以下幾個(gè)問(wèn)題：安全邊界的消失，無(wú)法采取針對(duì)性的安全防護(hù)措施，無(wú)法確保信息的安全；信息數(shù)據(jù)的過(guò)度集中，云計(jì)算中對(duì)信息的處理和存儲(chǔ)都是在云端上完成，網(wǎng)絡(luò)是一個(gè)開(kāi)放性的互聯(lián)虛擬平臺(tái)，它的身份識(shí)別與認(rèn)證，對(duì)信息瀏覽的訪(fǎng)問(wèn)控制技術(shù)尚不成熟，容易造成信息傳輸過(guò)程中的泄密或丟失；虛擬化技術(shù)的應(yīng)用問(wèn)題，云計(jì)算依賴(lài)于虛擬技術(shù)，但虛擬設(shè)備的管理非常困難，設(shè)備能否正常運(yùn)行受到電腦病毒、安全漏洞等的影響；可靠穩(wěn)定性問(wèn)題，容災(zāi)恢復(fù)能力、安全策略等無(wú)法滿(mǎn)足云計(jì)算服務(wù)的需求，云端高度集中的信息資源會(huì)促使惡意代碼和黑客程序的不斷侵入對(duì)云端的信息安全帶來(lái)極大的威脅。

4 云體系下應(yīng)對(duì)信息安全威脅的策略

對(duì)于公有云與私有云用戶(hù)對(duì)信息安全的較高要求，必須要建立健全信息安全標(biāo)準(zhǔn)體系，加強(qiáng)在云計(jì)算體系下基礎(chǔ)設(shè)施的安全性管理，提高云計(jì)算的技術(shù)水平提高信息風(fēng)險(xiǎn)防范能力，為云計(jì)算提供良好的系統(tǒng)運(yùn)行環(huán)境。

（1）國(guó)際合作共同規(guī)范化和標(biāo)準(zhǔn)化信息安全標(biāo)準(zhǔn)體系如云計(jì)算中的設(shè)備的合理配置、運(yùn)營(yíng)流程、用戶(hù)安全要求、訪(fǎng)問(wèn)控制策略。安全標(biāo)準(zhǔn)體系的建立以云安全管理中心為核心注重云環(huán)境安全、云邊界安全、云通信網(wǎng)絡(luò)安全。在云中當(dāng)加密后的通信信息與用戶(hù)交流時(shí)，通過(guò)對(duì)安全策略的不斷改進(jìn)使其更具合理性和更強(qiáng)的健壯性來(lái)保證云計(jì)算環(huán)境下的信息安全。

（2）云計(jì)算的運(yùn)行平臺(tái)是基于基礎(chǔ)設(shè)施的，其自身設(shè)備有漏洞和安全風(fēng)險(xiǎn)的存在，所以加強(qiáng)在云計(jì)算體系下基礎(chǔ)設(shè)施的安全性管理就成為信息安全威脅的一種防護(hù)策略。將基礎(chǔ)網(wǎng)絡(luò)IP統(tǒng)一管理規(guī)劃，對(duì)關(guān)鍵節(jié)點(diǎn)的中斷和服務(wù)器的IP和MAC地址進(jìn)行綁定操作，用來(lái)防止出現(xiàn)地址欺騙；對(duì)于網(wǎng)絡(luò)的核心設(shè)備使其能對(duì)集合鏈路冗余備份，在防火墻技術(shù)的異常流量監(jiān)控中能夠及時(shí)準(zhǔn)確地發(fā)現(xiàn)并且阻斷互聯(lián)網(wǎng)對(duì)DDOS的攻擊，將防火墻設(shè)置在DMZ內(nèi)網(wǎng)和互聯(lián)網(wǎng)接入點(diǎn)與DMZ之間，來(lái)確保在云端信息的安全存儲(chǔ)與完整的傳輸與正常通信；要對(duì)應(yīng)用系統(tǒng)主機(jī)設(shè)備進(jìn)行安全加固，關(guān)閉不使用的服務(wù)端口如黑客常利用的3389端口遠(yuǎn)程控制用戶(hù)主機(jī)以及相應(yīng)的組件，對(duì)操作系統(tǒng)、虛擬機(jī)、數(shù)據(jù)庫(kù)及時(shí)打補(bǔ)丁，并且實(shí)時(shí)監(jiān)控惡意代碼和病毒的出現(xiàn)，在信息中心部署IAS/IPS設(shè)備保護(hù)系統(tǒng)自身的安全。

（3）laaS虛擬化、PaaS分布式、SaaS在線(xiàn)軟件是云計(jì)算體系中的關(guān)鍵技術(shù)。虛擬技術(shù)是將IT的硬件資源轉(zhuǎn)化成資源池通過(guò)網(wǎng)絡(luò)將信息傳輸至客戶(hù)端來(lái)實(shí)現(xiàn)IT資源靈活性和利用率最大化，虛擬化安全要運(yùn)用到數(shù)據(jù)存儲(chǔ)冗余保護(hù)技術(shù)、并行訪(fǎng)問(wèn)，完善容災(zāi)和容錯(cuò)技術(shù)等；在分布式處理技術(shù)中，Hadoop HAFS、Google GFS等分布式系統(tǒng)增加了Secondary Master對(duì)主服務(wù)器的備份，結(jié)合冗余存儲(chǔ)方式，引進(jìn)分布式同步和沙箱隔離技術(shù)來(lái)確保云端信息安全；在防火墻執(zhí)行邏輯分區(qū)邊界防護(hù)和集中管理分段功能的基礎(chǔ)上啟動(dòng)虛擬端口限速功能，并對(duì)虛擬網(wǎng)絡(luò)上的日志審計(jì)，才能及時(shí)發(fā)現(xiàn)異常流量現(xiàn)象并予以控制。

（4）信息風(fēng)險(xiǎn)的防范有多種方式，數(shù)據(jù)加密是信息風(fēng)險(xiǎn)防范的關(guān)鍵方法，不僅對(duì)訪(fǎng)問(wèn)權(quán)限加密同時(shí)也要對(duì)元數(shù)據(jù)加密，在傳輸文件數(shù)據(jù)時(shí)要使用AES加密方法，對(duì)密鑰進(jìn)行RSA加密，之后將密鑰密文與文件密文綁定，系統(tǒng)分塊后存儲(chǔ)在HDFS的存儲(chǔ)節(jié)點(diǎn)上，在經(jīng)過(guò)一系列的抽取密鑰密文、私鑰解密、文件密文解密從而獲取文件。數(shù)據(jù)刪除技術(shù)可以降低信息的風(fēng)險(xiǎn)，用戶(hù)要對(duì)云端上有價(jià)值的數(shù)據(jù)進(jìn)行刪除，如果運(yùn)行時(shí)磁盤(pán)出現(xiàn)故障可能會(huì)泄露信息，借助數(shù)據(jù)刪除減少敏感信息的泄露。數(shù)據(jù)災(zāi)備技術(shù)是保護(hù)信息安全的又一屏障，災(zāi)難備份和恢復(fù)非常重要，因?yàn)閿?shù)據(jù)中心存儲(chǔ)了大量的業(yè)務(wù)信息，除了云計(jì)算所使用的虛擬技術(shù)，還可最大程度發(fā)揮SAN的自身優(yōu)勢(shì)，實(shí)現(xiàn)數(shù)據(jù)的共享，以此來(lái)提高信息災(zāi)難備份的效果。

（5）系統(tǒng)環(huán)境對(duì)信息安全的防護(hù)有著不容小覷的影響，在應(yīng)對(duì)信息安全威脅時(shí)，優(yōu)化程度越好的系統(tǒng)環(huán)境越不容易受到不良的蓄意攻擊。用戶(hù)身份識(shí)別確定用戶(hù)身份的唯一性，可以根據(jù)數(shù)字證書(shū)、生物特征、硬件信息綁定等方式進(jìn)行用戶(hù)身份驗(yàn)證，同時(shí)結(jié)合賬號(hào)退出檢測(cè)、賬號(hào)連續(xù)出錯(cuò)自動(dòng)鎖定管理身份認(rèn)證；實(shí)行訪(fǎng)問(wèn)控制、標(biāo)記和強(qiáng)制訪(fǎng)問(wèn)，強(qiáng)制訪(fǎng)問(wèn)相對(duì)于自主訪(fǎng)問(wèn)與角色訪(fǎng)問(wèn)其特點(diǎn)更適合于云環(huán)境下，有利于維護(hù)數(shù)據(jù)安全，提供安全接口來(lái)達(dá)到特定事件的提前預(yù)警；提供密碼保護(hù)技術(shù)來(lái)完善校驗(yàn)機(jī)制，通過(guò)核實(shí)、授權(quán)信任級(jí)別，用戶(hù)行為跟蹤和獲取，監(jiān)督、規(guī)范用戶(hù)行為，評(píng)估、量化用戶(hù)行為數(shù)據(jù)等方法進(jìn)行信任管理來(lái)確保信息安全；對(duì)程序的執(zhí)行過(guò)程進(jìn)行保護(hù)使其能夠與可靠的信宿建立可信任連接，使用可信計(jì)算技術(shù)和數(shù)據(jù)恢復(fù)技術(shù)防止惡意代碼篡改程序?qū)π畔踩栽斐傻?/p>

影響。

5 結(jié)語(yǔ)

“棱鏡計(jì)劃”曝光再次說(shuō)明信息安全問(wèn)題所面臨的嚴(yán)峻形勢(shì)，新興技術(shù)云計(jì)算改變了原有的信息存儲(chǔ)模式，改變了信息服務(wù)提供和獲取的方式，給信息安全帶來(lái)了多方面的考驗(yàn)，引發(fā)出了更加復(fù)雜的安全問(wèn)題。云計(jì)算體系下，安全需求和安全措施對(duì)應(yīng)的矛盾更為突出，基于對(duì)信息安全威脅因素的分析，根據(jù)信息的機(jī)密性、完整性、可用性依照相關(guān)的規(guī)范準(zhǔn)則建立完整統(tǒng)一的安全防護(hù)體系來(lái)確保信息安全。信息安全問(wèn)題是無(wú)法避免的問(wèn)題，云計(jì)算的安全問(wèn)題通過(guò)技術(shù)與管理兩方面將安全風(fēng)險(xiǎn)降到可以接受的范圍。

參考文獻(xiàn)

[1] 維基百科：http：//zh.wikipedia.org/wiki/%E9%BB%91%E5%AE%A2.

[2] 百度百科：http：//baike.baidu.com/view/1316082.htm.

[3] 張寶勝，鄒本娜.淺談云計(jì)算與信息安全[J].計(jì)算機(jī)安全，2014，（4）.

[4] 龐松濤，李清玉.云計(jì)算安全體系探討[A].2013電力行業(yè)信息化年會(huì)論文集[C].北京：人民郵電出版社，2014.

作者簡(jiǎn)介：賈海寧（1993-），女，江蘇鎮(zhèn)江人，就讀于南京郵電大學(xué)計(jì)算機(jī)學(xué)院，研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。