劉巖

（大港油田信息中心云計(jì)算中心，天津 300280）

云計(jì)算安全風(fēng)險(xiǎn)與保護(hù)技術(shù)的框架分析

劉巖

（大港油田信息中心云計(jì)算中心，天津 300280）

云計(jì)算是利用網(wǎng)絡(luò)的虛擬技術(shù)，為用戶提供海量虛擬資源的一種計(jì)算方式，將其與其他軟件相結(jié)合，能夠使數(shù)據(jù)存儲(chǔ)在云端，而不占用計(jì)算機(jī)的內(nèi)存空間，用戶只需登錄系統(tǒng)，即可實(shí)現(xiàn)文件的上傳和下載，靈活性較強(qiáng)。云環(huán)境中保存了大量的用戶資料，所以其安全性面臨著巨大的挑戰(zhàn)。文章主要對(duì)云計(jì)算存在的風(fēng)險(xiǎn)進(jìn)行討論，并建立相應(yīng)的保護(hù)技術(shù)框架，以實(shí)現(xiàn)用戶隱私的相對(duì)安全。

云計(jì)算；安全風(fēng)險(xiǎn)；保護(hù)技術(shù)框架

1　云環(huán)境面臨的安全挑戰(zhàn)

1.1身份假冒

云計(jì)算用戶不需要使用固定的計(jì)算機(jī)，只要記住賬號(hào)和密碼，就可以在任意的時(shí)間和地點(diǎn)輕松建立與云端系統(tǒng)的聯(lián)系。也就是說(shuō)只要知道登陸指令，任何人都可以登陸系統(tǒng)，并且看到用戶的個(gè)人信息及上傳到云端的文件資料。這種方式為犯罪分子提供了作案條件，他們可以竊取用戶的個(gè)人資料、以客戶本人的身份發(fā)布虛假信息等，所以身份假冒是云環(huán)境面臨的最大威脅。

1.2共享帶來(lái)的安全風(fēng)險(xiǎn)

互聯(lián)網(wǎng)的基本功能就是信息的交換和共享，所以云計(jì)算的關(guān)鍵技術(shù)就是資源共享。傳統(tǒng)的安全策略無(wú)法兼顧云環(huán)境下的所有計(jì)算機(jī)和網(wǎng)絡(luò)，對(duì)于每個(gè)虛擬文件也不能進(jìn)行一一探查，使得客戶的共享資料被惡意的傳播和感染病毒，而且在軟件中也經(jīng)常能夠發(fā)現(xiàn)漏洞。

1.3數(shù)據(jù)泄露

由于虛擬環(huán)境能夠有效保護(hù)用戶的個(gè)人隱私，所以云計(jì)算有相當(dāng)多的受眾群體。對(duì)于攻擊者來(lái)說(shuō)，云環(huán)境下保存了大量的客戶資料，只要成功竊取云端數(shù)據(jù)就能夠看到他所感興趣的信息。所以越來(lái)越多的黑客潛入系統(tǒng)，云環(huán)境被攻擊的次數(shù)也愈發(fā)的頻繁，一旦黑客成功控制客戶端，就會(huì)引起大量的數(shù)據(jù)泄露和丟失。

1.4DDOS攻擊

DDOS是黑客為了阻止合法用戶對(duì)云計(jì)算的訪問(wèn)，而采取的拒絕服務(wù)攻擊手段，使得用戶無(wú)法登陸服務(wù)器。云計(jì)算服務(wù)提供商必須提供更多的網(wǎng)絡(luò)和服務(wù)器資源，才能抵御黑客的攻擊。使得云計(jì)算服務(wù)平臺(tái)有可能成為資源與服務(wù)的濫用或惡意使用等行為的溫床。

1.5開(kāi)放帶來(lái)的安全挑戰(zhàn)

云計(jì)算服務(wù)提供商需要拓寬業(yè)務(wù)，不斷發(fā)展新的合作伙伴，用新型的網(wǎng)絡(luò)技術(shù)整合資源，才能實(shí)現(xiàn)開(kāi)放的目的。云計(jì)算的開(kāi)放理念也使得技術(shù)人員的工作量加大，需要不斷面臨黑客的各種攻擊，而新的系統(tǒng)運(yùn)行測(cè)試尚在研發(fā)中，很多地方仍需要改進(jìn)，還不能投入使用，導(dǎo)致了系統(tǒng)安全性收到了嚴(yán)重的威脅。

1.6防內(nèi)壓力大增

由于云計(jì)算客戶越來(lái)越多，服務(wù)商為了增加管理的靈活性，實(shí)行了外包策略，使得具備操作權(quán)限的工作人員越來(lái)越多。而且這些人來(lái)自不同的企業(yè)，不同的部門，個(gè)人素質(zhì)和操作技術(shù)都不能得到保證，使得來(lái)自內(nèi)部的風(fēng)險(xiǎn)增大。

2　云計(jì)算安全防護(hù)設(shè)計(jì)

2.1云計(jì)算核心架構(gòu)安全

（1）服務(wù)器虛擬化安全。首先，要建立并完善服務(wù)器虛擬化的安全防護(hù)體系，對(duì)虛擬機(jī)及其管理器的安全措施進(jìn)行強(qiáng)化，主要是提高管理器的安全性能。然后，增加用戶的認(rèn)證信息，確保用戶在登錄時(shí)能夠受到系統(tǒng)的保護(hù)。最后，建立虛擬機(jī)的安全保護(hù)體系，包括自動(dòng)隔離病毒木馬等惡意攻擊，拒絕訪問(wèn)風(fēng)險(xiǎn)網(wǎng)址等。

（2）虛擬化網(wǎng)絡(luò)安全。為了能夠及時(shí)發(fā)現(xiàn)用戶異常的操作行為，需要建立虛擬化網(wǎng)絡(luò)安全體系，運(yùn)用VLAN技術(shù)將用戶分為不同的虛擬組，通過(guò)加強(qiáng)對(duì)虛擬組的管理增加對(duì)用戶的控。管理人員應(yīng)經(jīng)常查看網(wǎng)絡(luò)日志，對(duì)其中有問(wèn)題的地方進(jìn)行跟蹤處理，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低。

（3）業(yè)務(wù)管理平臺(tái)安全。云計(jì)算的業(yè)務(wù)管理平臺(tái)應(yīng)具備強(qiáng)大的功能，在發(fā)生故障時(shí)能做到快速自我修復(fù)，并對(duì)不同權(quán)限的用戶進(jìn)行分類管理，限制用戶訪問(wèn)不符合其權(quán)限要求的資源。還要時(shí)刻監(jiān)控虛擬機(jī)的性能，在虛擬機(jī)發(fā)生超負(fù)載時(shí)能夠及時(shí)發(fā)出預(yù)警信號(hào)。

2.2云服務(wù)平臺(tái)核心架構(gòu)安全

在進(jìn)行云服務(wù)平臺(tái)的安全設(shè)計(jì)時(shí)，需要考慮以下問(wèn)題：

一是云計(jì)算環(huán)境中有海量的用戶，所以API接口的數(shù)量龐大。

二是存在大量的分布式數(shù)據(jù)庫(kù)，能夠?qū)?shù)據(jù)進(jìn)行快速的存儲(chǔ)和檢索，同時(shí)支持多用戶的訪問(wèn)。

所以在進(jìn)行云服務(wù)平臺(tái)的安全設(shè)計(jì)時(shí)，要結(jié)合以上情況，合理的分配現(xiàn)有資源，并對(duì)API接口實(shí)施安全保護(hù)。

2.3計(jì)算網(wǎng)絡(luò)與系統(tǒng)安全

首先，對(duì)云計(jì)算平臺(tái)按照工作性質(zhì)劃分為不同的區(qū)域，通過(guò)防火墻進(jìn)行安全管理。然后，確?；A(chǔ)網(wǎng)絡(luò)的核心設(shè)備達(dá)到安全要求，并安裝殺毒軟件，以加強(qiáng)系統(tǒng)的安全，還要定期進(jìn)行漏洞的檢測(cè)和修復(fù)。最后，對(duì)用戶采取多種認(rèn)證方式，可以是密保問(wèn)題、令牌、指紋等，其中指紋是最科學(xué)也是最安全的認(rèn)證方式。

3　基于可信的安全云服務(wù)模式

云安全監(jiān)控與態(tài)勢(shì)分析系統(tǒng)：云安全監(jiān)控與態(tài)勢(shì)分析系統(tǒng)對(duì)公共云、行業(yè)云或私有云中的信息流進(jìn)行實(shí)時(shí)收集、安全感知，通過(guò)后臺(tái)專業(yè)化支撐平臺(tái)和先進(jìn)監(jiān)測(cè)工具，可以及時(shí)發(fā)現(xiàn)和掌握各種安全狀態(tài)，以便對(duì)云終端、云服務(wù)端實(shí)現(xiàn)全方位的預(yù)警、應(yīng)急響應(yīng)。

云輿情檢測(cè)與分析系統(tǒng)：云輿情監(jiān)測(cè)與分析系統(tǒng)可對(duì)互聯(lián)網(wǎng)上的信息數(shù)據(jù)進(jìn)行監(jiān)測(cè)、收集和分析，實(shí)現(xiàn)網(wǎng)絡(luò)輿論的實(shí)時(shí)監(jiān)測(cè)、有效引導(dǎo)，可對(duì)負(fù)面輿論進(jìn)行監(jiān)測(cè)預(yù)警與控制，同時(shí)也可以第一時(shí)間進(jìn)行取證和分析，為政府提供決策支持。

云Web安全檢測(cè)與分析系統(tǒng)：云Web安全檢測(cè)與分析系統(tǒng)可對(duì)互聯(lián)網(wǎng)上的Web網(wǎng)站進(jìn)行服務(wù)狀態(tài)監(jiān)測(cè)、網(wǎng)站掛馬檢測(cè)、網(wǎng)頁(yè)篡改監(jiān)測(cè)、網(wǎng)站漏洞監(jiān)測(cè)、網(wǎng)站安全事件監(jiān)控、敏感信息監(jiān)測(cè)和遠(yuǎn)程滲透測(cè)試等。

4　小結(jié)

云計(jì)算技術(shù)的應(yīng)用在我國(guó)剛剛起步，很多性能還未完善，尤其是其安全性始終困擾著廣大用戶。所以本文在原有基礎(chǔ)上提出了云計(jì)算的保護(hù)技術(shù)框架，從而為供應(yīng)商提供安全的信息管理環(huán)境，從而優(yōu)化云計(jì)算的服務(wù)模式。

主要參考文獻(xiàn)

［1］孔小婧，周漪.基于云計(jì)算技術(shù)的信息安全風(fēng)險(xiǎn)研究［J］.計(jì)算機(jī)光盤軟件與應(yīng)用，2013（18）.

10.3969/j.issn.1673-0194.2015.21.095

G202

A

1673-0194（2015）21-0183-02

2015-08-20

劉巖（1985-），男，天津人，大港油田信息中心云計(jì)算中心工程師，主要研究方向：云計(jì)算架構(gòu)設(shè)計(jì)和運(yùn)維工作。