劉 曄

（河南醫(yī)學高等專科學校，河南 鄭州 451191）

云計算作為分布式計算、并行計算和網(wǎng)絡計算發(fā)展的新階段，能夠低成本高效率地向各種網(wǎng)絡應用提供計算、存儲、網(wǎng)絡、軟件的資源共享與服務，對傳統(tǒng)網(wǎng)絡信息運算模式產(chǎn)生了變革性的影響。在云計算技術的廣泛應用下，研究信息安全保障體系對于信息技術產(chǎn)業(yè)的發(fā)展具有重大和直接的現(xiàn)實意義。

1 云計算技術

1.1 云計算技術的概念及特點

云安全聯(lián)盟CSA在2014年修訂發(fā)布的《云計算關鍵領域的安全指南》第三版中對云計算做出定義：云計算是一種模式，它是一種無處不在的、便捷的、按需的、基于網(wǎng)絡訪問的、共享使用的、可配置的計算資源（如網(wǎng)絡、服務器、存儲、應用和服務）［1］。本質上說，云計算是并行計算、分布式計算和網(wǎng)格計算的發(fā)展與商業(yè)化，是一種能將動態(tài)、可伸縮的IT計算資源通過互聯(lián)網(wǎng)向用戶分配與供給的服務模式［2］。

1.1.1 海量存儲與強大的數(shù)據(jù)計算能力

云計算技術應用環(huán)境下，用戶可以使用云端服務器存儲海量數(shù)據(jù)，通過瀏覽器就可以使用軟件，利用云端大型服務器的資源優(yōu)勢進行數(shù)據(jù)計算。信息的云存儲是云計算技術的核心功能。

1.1.2 資源整合并按需分配，節(jié)省成本，優(yōu)化資源利用率

通過對存儲資源、計算資源的虛擬化處理和統(tǒng)一整合，云端服務商可以實現(xiàn)對硬件資源的按需分配，用戶以較低廉的成本使用云端服務器、存儲設備和各類應用程序；通過對信息資源進行統(tǒng)一標準化的組織和存儲，實現(xiàn)了各領域各地區(qū)信息資源的有機整合和互聯(lián)互通，大幅提高了信息資源的價值與效益。

1.1.3 多元化服務

源于云計算環(huán)境的數(shù)據(jù)存儲和整合的特殊性，用戶不僅是各項數(shù)據(jù)存儲和計算服務的使用者，同時也是信息資源的提供者。云計算的服務模式和接入方式也是多元化的：可針對不同層次的用戶提供多樣化服務；用戶在任何地方都可以通過web 手段接入到云計算平臺，不受物理條件的限制。

1.2 云計算環(huán)境下信息安全威脅分析

1.2.1 數(shù)據(jù)安全隱患

海量數(shù)據(jù)存放在云計算平臺的虛擬環(huán)境下，任何用戶都可以通過網(wǎng)絡調取數(shù)據(jù)，數(shù)據(jù)內容的保密性和完整性存在風險。數(shù)據(jù)傳輸過程中容易受到黑客攻擊，數(shù)據(jù)有被破壞和篡改的風險。

1.2.2 云端服務供應商安全隱患

用戶數(shù)據(jù)全部存儲在云端服務供應商，如果云平臺遇到自然災難、戰(zhàn)爭或者設備故障等意外，用戶數(shù)據(jù)的完整性將會受到威脅。另外云計算服務商內部是否能保證客戶資料不被竊取或篡改。

1.2.3 用戶終端安全隱患

用戶對數(shù)據(jù)的存儲和管理完全依賴于各種云服務提供商，用戶僅保留對虛擬機的控制權限，從用戶的角度，存儲數(shù)據(jù)與計算結果的安全性、私密性非常重要。如果某一客戶在使用服務時受到非法入侵，數(shù)據(jù)被竊取或篡改，就有可能影響到其他客戶數(shù)據(jù)的準確性和安全性。

1.2.4 法律法規(guī)，政策不配套

云計算技術應用后，數(shù)據(jù)交由服務提供商監(jiān)管，在數(shù)據(jù)發(fā)生危險的情況下，如果服務商拒絕接受監(jiān)督和審計，只能由用戶對個人的數(shù)據(jù)安全、私密性和完整性負責。使用云計算可能不滿足某些工業(yè)標準、法律規(guī)定的需求而產(chǎn)生矛盾或糾紛：有些法規(guī)要求特定數(shù)據(jù)不能與其他數(shù)據(jù)混雜保存在共享的服務器或數(shù)據(jù)庫上；有些國家嚴格限制本國公民的私密數(shù)據(jù)不能保存于其他國家中；有些銀行監(jiān)管部門要求客戶將數(shù)據(jù)保留在本國等。

2 信息安全保障體系概念及構成要素

信息安全保障體系應定義為：在保證效率的前提下，確保信息安全，實現(xiàn)應用系統(tǒng)的持續(xù)平穩(wěn)運行；在信息系統(tǒng)的運行周期和服務期限內，綜合運用人才、管理、技術和系統(tǒng)等因素；通過采取防護、檢測、預警等手段排除風險，運用災備、恢復及反擊等安全保障策略，來保障信息系統(tǒng)的完整性、保密性、可控性和可用性；降低安全風險到可接受的程度，保障系統(tǒng)進行效率和應用系統(tǒng)的服務質量，實現(xiàn)系統(tǒng)組織機構的使命［3］。其構成要素有：

2.1 技術層面

采用預警機制保證信息系統(tǒng)的物理安全，保護硬件系統(tǒng)免受自然災害和人為破壞，保證操作系統(tǒng)硬件安全；采用防病毒技術、防網(wǎng)絡攻擊技術、防火墻技術、入侵檢測技術等保證操作系統(tǒng)軟件安全；利用加密技術、訪問控制技術、數(shù)字簽名技術、審計技術、數(shù)據(jù)完整性檢測技術等保證信息傳輸過程中的數(shù)據(jù)安全；采用加密技術、數(shù)據(jù)備份及恢復技術、身份認證技術、信息鑒別交換技術保證數(shù)據(jù)存儲安全；采用應急機制、系統(tǒng)加固技術保證信息系統(tǒng)的運行安全。信息安全保障不僅保護數(shù)據(jù)的安全，還應包括利用檢測技術和預警技術、建立反應和恢復機制保證信息系統(tǒng)的正常運行。在構建信息安全保障體系的過程中，應有反應信息系統(tǒng)恢復機制的技術模塊，保障受到攻擊后的數(shù)據(jù)恢復能力。

2.2 管理層面

安全風險源于不同社會主體的技術操作及技術過程，涉及的社會內容和社會行為具有不同的法律屬性和利益屬性，需要不同的政府職能部門監(jiān)督和管理［4］。建立有效的信息安全組織管理體系，包括信息系統(tǒng)運行中的組織機構管理、人員管理、制度建設，對信息行為進行管理，規(guī)范數(shù)據(jù)操作過程。

2.3 法律法規(guī)層面

云計算的技術創(chuàng)新和對信息的有效利用與有效的法律體系和監(jiān)管框架密切相關，法律法規(guī)作為堅實基礎，能夠保障政府部門、企業(yè)和普通用戶云平臺的信息安全。在信息安全受到威脅的情況下，信息安全保障體系應包括國家層面配套的法律法規(guī)和政策支持，保證數(shù)據(jù)的安全性和私密性。

3 云計算環(huán)境下信息安全保障體系構建

基于信息安全保障體系的概念及要素分析，結合云計算技術應用情況下的云平臺信息處理環(huán)境，將云計算環(huán)境下信息安全保障體系構建如圖1所示。

圖1 云計算環(huán)境下信息安全保障體系框架

3.1 云端服務商

3.1.1 技術層面

3.1.1.1 預防機制模塊。在開放的網(wǎng)絡環(huán)境下，對云平臺存儲的數(shù)據(jù)進行加密處理，采用冗余技術保證信息的完整性；利用防病毒技術、安裝防病毒軟件，防網(wǎng)絡攻擊技術、防火墻技術保證服務器不被病毒和黑客攻擊；采用身份認證技術，加強用戶的賬號管理和訪問控制，保證對數(shù)據(jù)訪問的私密性和安全性；定期對云端服務商的數(shù)據(jù)中心和服務器風險進行安全性評估，定期進行防護演練，及時發(fā)現(xiàn)漏洞，提高安全性能。

3.1.1.2 安全檢測模塊。在系統(tǒng)運行過程中，檢測用戶訪問行為、信息處理過程和不良信息的發(fā)布，對系統(tǒng)可能受到的攻擊行為及時準確地發(fā)現(xiàn)。安全檢測的主要目的是防止黑客發(fā)現(xiàn)并惡意修改信息安全體系結構中檢測模塊，確保檢測模塊能夠持續(xù)為計算機網(wǎng)絡提供保護，同時還能夠促進檢測模塊自身保護能力的提高［5］。通過安全檢測模塊，能夠實時發(fā)現(xiàn)可能會竊取數(shù)據(jù)、破壞數(shù)據(jù)完整性、修改數(shù)據(jù)處理結果的威脅情況，及時對系統(tǒng)進行調整和保護，防止數(shù)據(jù)的安全性受到影響。

3.1.1.3 應急機制模塊。應急能力是指采取手段與措施，使得信息系統(tǒng)針對所出現(xiàn)的各種突發(fā)事件，具備及時響應、處置信息系統(tǒng)所遭受的攻擊，恢復信息系統(tǒng)基本服務的能力［6］。主要指在受到物理條件影響或者軟件入侵導致信息數(shù)據(jù)損壞的情況下，能夠對已經(jīng)損壞的數(shù)據(jù)進行及的地恢復。實時對云平臺存儲的海量文件、數(shù)據(jù)資源、軟件資源進行備份處理，如果云平臺的服務器受到黑客攻擊，服務商可以迅速恢復海量數(shù)據(jù)，保證數(shù)據(jù)的安全性和完整性。

3.1.1.4 審計機制。云計算存儲的海量數(shù)據(jù)中很多涉及企業(yè)公司的機密、生產(chǎn)數(shù)據(jù)、銷售數(shù)據(jù)、個人隱私、賬戶信息等敏感數(shù)據(jù)，為防止發(fā)生數(shù)據(jù)泄密、竊取等危害信息安全性的行為，云端服務商建立完善的信息安全審計機制，對關鍵環(huán)節(jié)實施信息安全審計。

3.1.2 管理層面

為防止云端服務商工作人員肆意篡改或竊取數(shù)據(jù)，云端服務商應建立有效的組織管理體系，對工作人員的數(shù)據(jù)處理行為采取管理手段，嚴格控制工作人員口令，定時更新信息處理檔案，杜絕因內部管理不善造成數(shù)據(jù)丟失或安全性遭到威脅的發(fā)生。

3.2 用戶

3.2.1 管理模塊

若云端用戶為企業(yè)、公司、科研所等組織機構，用戶同樣需要對內部工作人員的數(shù)據(jù)處理行為進行管理。云端用戶應當對工作人員上傳數(shù)據(jù)的內容進行檢測，及時發(fā)現(xiàn)不良信息或違法信息；對工作人員使用數(shù)據(jù)的行為進行管理，防止用戶肆意修改數(shù)據(jù)信息和數(shù)據(jù)處理結果，竊取與個人無關的公司機密。

3.2.2 技術模塊

云端用戶如果受到網(wǎng)絡病毒攻擊，同樣會對云端服務器產(chǎn)生不良影響，為保障信息安全，應采用防火墻技術、殺毒軟件等對用戶端的計算機信息系統(tǒng)進行檢測和防護。采用加密技術和數(shù)字簽名技術等對用戶數(shù)據(jù)和身份進行加護處理，提高用戶系統(tǒng)的穩(wěn)定性，保證用戶和云端服務器的正常連接，確保云計算過程的正常運行。

3.2.3 文化模塊

對企業(yè)和公司等組織機構，建立正確使用和處理云端數(shù)據(jù)的企業(yè)文化。對于個人用戶，無法用管理手段規(guī)范信息行為，宣傳規(guī)范信息使用行為的重要性，培養(yǎng)用戶的信息意識和信息素養(yǎng)成為約束用戶個人信息行為的有效方法。

3.3 國家法律法規(guī)、政策支持

為保證云計算技術得到良性的使用和發(fā)展，保障云計算條件下的信息安全，國家應針對云計算技術運用的特點修訂信息安全相關法律法規(guī)和各項政策，規(guī)范信息利用行為，對肆意竊取、修改數(shù)據(jù)，破壞數(shù)據(jù)完整性、私密性的行為起到有效的懲罰，對云端服務商用戶的信息利用行為起到有效的約束和保障。

4 結語

云計算技術可以存儲海量數(shù)據(jù)，并具有強大的數(shù)據(jù)處理能力，同時可以優(yōu)化資源配置，節(jié)省成本，提高資源利用效率，作為一門新興產(chǎn)業(yè)，在各行各業(yè)的發(fā)展速度不容小覷，對信息安全的要求也越來越高。在這種大數(shù)據(jù)環(huán)境下，建議政府或相關機構成立信息安全保障組織，專門負責在云計算環(huán)境下各行業(yè)信息安全保障體系的構建和有效運行，建設良好的網(wǎng)絡信息環(huán)境。

［1］云計算關鍵領域安全指南V3.0.云安全聯(lián)盟，2014.

［2］溫釗健.OCLC worldcat 云計算數(shù)字圖書館模型［J］.圖書情報工作，2012（15）：54-60.

［3］張顯恒.保障體系建設研究［J］.經(jīng)濟研究導刊，2013（25）：201-202，49.

［4］王娜，方濱興，羅建中，等.“5432戰(zhàn)略”：國家信息安全保障體系框架研究［J］.通信學報，2004（7）：1-9.

［5］張穎.計算機網(wǎng)絡的信息安全體系結構研究［J］.信息工程，2015（3）：147-148.

［6］方濱興.談計算機網(wǎng)絡應急處理體系［J］.計算機安全，2002（1）：30-33.