張燦

摘 要：隨著云計(jì)算在IT行業(yè)的不斷發(fā)展，同時(shí)也出現(xiàn)一些安全問題。本文研究分析云計(jì)算的風(fēng)險(xiǎn)安全，通過移動(dòng)互聯(lián)網(wǎng)來設(shè)計(jì)了一個(gè)擁有用戶接口統(tǒng)一、多層次、跨平臺(tái)、多級(jí)別以及彈性的云計(jì)算通用移動(dòng)互聯(lián)網(wǎng)安全技術(shù)構(gòu)架以及體系。該體系可以針對(duì)不同差異等級(jí)實(shí)現(xiàn)云計(jì)算的安全服務(wù)，跨層的云安全管理平臺(tái)亦能實(shí)現(xiàn)跨安全級(jí)別、跨安全域以及運(yùn)行安全情況監(jiān)控整個(gè)系統(tǒng)。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng)；云計(jì)算；安全技術(shù)體系

中圖分類號(hào)： TP393.4 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1673-1069（2016）15-157-2

0 引言

在當(dāng)下IT行業(yè)內(nèi)云計(jì)算技術(shù)有著許多優(yōu)點(diǎn)和商業(yè)價(jià)值，許多移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的企業(yè)都將云計(jì)算技術(shù)與自身移動(dòng)互聯(lián)網(wǎng)相結(jié)合，開啟一種全新發(fā)展的模式。這種模式在運(yùn)行中存在新的危險(xiǎn)點(diǎn)。因?yàn)樵朴?jì)算的虛擬化，其具有動(dòng)態(tài)性、開放性、復(fù)雜性、多租戶的特點(diǎn)，在給用戶提供便利的同時(shí)也會(huì)帶來一定的安全問題。為了解決這一問題，應(yīng)該將移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系構(gòu)建起來。

1 云計(jì)算和云安全

無論是在產(chǎn)業(yè)界、學(xué)術(shù)界還是政府，都對(duì)云計(jì)算的發(fā)展和應(yīng)用非常重視。云計(jì)算不僅具有良好的經(jīng)濟(jì)性和便利性，而且還具有高效性和拓展性的特點(diǎn)，這也使基礎(chǔ)設(shè)施管理和維護(hù)更加便利，成功吸引了企業(yè)投資眼光。計(jì)算機(jī)遠(yuǎn)程用戶可以通過云計(jì)算來獲得相應(yīng)的資源和服務(wù)，云計(jì)算可以鏈接的形式向用戶提供計(jì)算資源、存儲(chǔ)資源、軟件資源等鏈接，并形成IT資源虛擬共享。云安全又可以分為云環(huán)境和安全領(lǐng)域兩個(gè)部分，安全領(lǐng)域隸屬于云計(jì)算應(yīng)用，云環(huán)境則是應(yīng)用常規(guī)安全技術(shù)來解決安全問題。通過云安全，云計(jì)算服務(wù)能夠具有完整性、隱私性、安全性和機(jī)密性的特點(diǎn)[1]。

2 移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算問題

當(dāng)前社會(huì)各界都對(duì)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云平臺(tái)安全問題予以了廣泛的關(guān)注?！对朴?jì)算安全風(fēng)險(xiǎn)評(píng)估》將長期生存性、調(diào)查支持、數(shù)據(jù)恢復(fù)、數(shù)據(jù)隔離、數(shù)據(jù)位置、可審查性、特權(quán)用戶的接入定義為云計(jì)算服務(wù)的幾個(gè)潛在安全風(fēng)險(xiǎn)。2010年，云安全聯(lián)盟也提出服務(wù)與賬號(hào)劫持、數(shù)據(jù)泄露與丟失、共享技術(shù)的弱點(diǎn)、惡意的內(nèi)部攻擊者、應(yīng)用程序編程接口、不安全的接口、云計(jì)算服務(wù)的惡意使用和濫用等問題都會(huì)對(duì)云計(jì)算服務(wù)的安全造成威脅。移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系具有復(fù)雜性和系統(tǒng)性，本身就面臨著較多的安全威脅，而且一旦遭受攻擊會(huì)產(chǎn)生嚴(yán)重的后果。這就需要科學(xué)的云計(jì)算安全技術(shù)，來對(duì)這些安全威脅進(jìn)行抵抗和防御。當(dāng)前在移動(dòng)互聯(lián)網(wǎng)環(huán)境下，云計(jì)算主要存在以下幾個(gè)方面的問題。

2.1 數(shù)據(jù)過于集中

用戶所有的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、網(wǎng)絡(luò)傳輸，和云計(jì)算系統(tǒng)緊密相連，這也意味著當(dāng)云計(jì)算系統(tǒng)中的關(guān)鍵信息或者隱私信息受到服務(wù)挾持、發(fā)生丟失或遭到竊取時(shí)，用戶也會(huì)承受巨大的安全風(fēng)險(xiǎn)。目前面臨的安全問題有：如何避免在云計(jì)算環(huán)境下多用戶共存潛在風(fēng)險(xiǎn)，如何安全的審計(jì)和監(jiān)控?cái)?shù)據(jù)，如何使供應(yīng)商提供云服務(wù)的安全管理和用戶的安全需求能夠匹配。

2.2 安全虛擬化

虛擬化技術(shù)造成的問題主要包括以下幾個(gè)方面：①外界的破壞不僅會(huì)影響主機(jī)，也會(huì)直接占領(lǐng)客戶端服務(wù)器；②一旦主機(jī)發(fā)生問題，全部虛擬機(jī)會(huì)發(fā)生問題。③當(dāng)虛擬網(wǎng)絡(luò)的安全遭到威脅時(shí)，客戶端也會(huì)受到相應(yīng)的損壞；④不法分子可以利用客戶端和主機(jī)之間的安全共享，尋找漏洞并進(jìn)行攻擊。

2.3 云平臺(tái)的局限性

云計(jì)算系統(tǒng)中包括業(yè)務(wù)應(yīng)用和用戶數(shù)據(jù)。IT流程、安全策略、服務(wù)連續(xù)性、事故處理、事故分析等都需要依賴提供商的云計(jì)算服務(wù)才可以運(yùn)行，如果云計(jì)算系統(tǒng)遭受攻擊或出現(xiàn)故障，用戶難以在第一時(shí)間內(nèi)，對(duì)數(shù)據(jù)恢復(fù)[2]。

2.4 容易遭受攻擊

用戶資源和信息資源在云平臺(tái)上高度集中，因此很大程度上會(huì)出現(xiàn)云計(jì)算服務(wù)的濫用與惡意使用、應(yīng)用程序編程接口不安全、出現(xiàn)惡意的內(nèi)攻擊者等，企業(yè)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用環(huán)境會(huì)受到這種高度集中的影響，一旦服務(wù)器遭受攻擊，企業(yè)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用環(huán)境將遭受重創(chuàng)。

2.5 缺乏完善的法律規(guī)定

與巨大的信息流動(dòng)性相比，云計(jì)算具有較弱的地域性。信息服務(wù)和用戶數(shù)據(jù)在世界范圍內(nèi)分散分布，這也給安全信息監(jiān)管造成了一定的困難，在跨國家和地區(qū)有時(shí)容易出現(xiàn)法律糾紛，并產(chǎn)生用戶虛擬化物理界限的問題，缺乏完善的法律對(duì)其進(jìn)行約束。

2.6 不完善的安全體系結(jié)構(gòu)

VSITE體系架構(gòu)由服務(wù)中心、目錄服務(wù)器，云數(shù)據(jù)中心以及監(jiān)控中心等組成，而且監(jiān)控中心還具有安全機(jī)制，具有高效性、可擴(kuò)充性和安全性。這種架構(gòu)雖然對(duì)計(jì)算平臺(tái)主的各層面存在的安全威脅進(jìn)行了考慮，也形成通用框架，然而沒有立足于移動(dòng)互聯(lián)網(wǎng)環(huán)境來對(duì)云計(jì)算安全技術(shù)體系的架構(gòu)進(jìn)行分析，所以還是有瑕疵的。該模式下的云用戶需要承擔(dān)的管理責(zé)任和安全風(fēng)險(xiǎn)更多，從安全協(xié)同上看該體系并不是最佳體系。

3 移動(dòng)互聯(lián)網(wǎng)環(huán)境下的通用云計(jì)算安全技術(shù)體系構(gòu)架

3.1 設(shè)計(jì)目標(biāo)

①要對(duì)用戶，應(yīng)用移動(dòng)互聯(lián)網(wǎng)時(shí)代數(shù)據(jù)安全和隱私進(jìn)行有效的保護(hù)；②對(duì)虛擬化運(yùn)行環(huán)境中的云計(jì)算平臺(tái)的運(yùn)行安全與保障；③立足于實(shí)際安全需求，提供或定制具有針對(duì)性的安全服務(wù)；④確?；A(chǔ)設(shè)施運(yùn)行安全，構(gòu)建可信云服務(wù)；⑤對(duì)云計(jì)算平臺(tái)在運(yùn)行狀態(tài)時(shí)進(jìn)行安全監(jiān)管以及風(fēng)險(xiǎn)評(píng)估；⑥保證用戶數(shù)據(jù)機(jī)密性和完整性。

3.2 安全體系構(gòu)架設(shè)計(jì)

結(jié)合設(shè)計(jì)要求、用戶的多樣性安全需求、具體的接入移動(dòng)互聯(lián)方式和企業(yè)的運(yùn)營方式，對(duì)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的云計(jì)算安全技術(shù)體系進(jìn)行設(shè)計(jì)。該體系必須具有良好的彈性、層次，具有跨平臺(tái)、多級(jí)別、用戶接口統(tǒng)一的特點(diǎn)，配合在架構(gòu)中的3個(gè)軟件層次：服務(wù)（SaaS）、PaaS、基礎(chǔ)設(shè)施即服務(wù)（IaaS）。應(yīng)該設(shè)置統(tǒng)一的子系統(tǒng)對(duì)云安全平臺(tái)進(jìn)行有序的管理，主要包括防火墻、反病毒、安全日志、預(yù)警機(jī)制、授權(quán)認(rèn)證、密鑰管理、用戶管理、審計(jì)管理等。各個(gè)城市的應(yīng)用服務(wù)、平臺(tái)服務(wù)和基礎(chǔ)云安全設(shè)施和服務(wù)都能夠在該平臺(tái)上得以實(shí)現(xiàn)，能夠跨越安全與核安全級(jí)別對(duì)系統(tǒng)的不同安全區(qū)域、不同安全級(jí)別進(jìn)行統(tǒng)一管理。同時(shí)還要設(shè)計(jì)云安全服務(wù)資源群的應(yīng)用，主要包括對(duì)數(shù)據(jù)完整性進(jìn)行驗(yàn)證、對(duì)密文數(shù)據(jù)進(jìn)行查詢、安全事件預(yù)警、隱私數(shù)據(jù)保護(hù)、安全內(nèi)容服務(wù)等。云應(yīng)用服務(wù)安全等級(jí)測試和評(píng)估也規(guī)范了云服務(wù)供應(yīng)商，使云服務(wù)提高自身服務(wù)質(zhì)量與安全性能[3]。

3.3 安全技術(shù)構(gòu)架體系的關(guān)鍵技術(shù)

互聯(lián)網(wǎng)環(huán)境的開放性與用戶的私有資源遠(yuǎn)程集中式管理產(chǎn)生一定程度上的矛盾，互聯(lián)網(wǎng)本身的開放性帶來了某種程度的不穩(wěn)定，而客戶又要求應(yīng)用環(huán)境必須具有穩(wěn)定性和固定性，才能保障其是有機(jī)密性資源要求得到滿足。云計(jì)算能否推廣的關(guān)鍵在于云服務(wù)能不能給用戶帶來信任。要想解決數(shù)據(jù)安全和隱私保護(hù)的重要問題，涉及到的問題包括多租戶的隱私保護(hù)、云計(jì)算的關(guān)鍵技術(shù)、密文的查詢和存儲(chǔ)、數(shù)據(jù)完整性的驗(yàn)證等。將虛擬化技術(shù)和云計(jì)算平臺(tái)結(jié)合起來，通過統(tǒng)一部署計(jì)算資源、對(duì)硬件資源進(jìn)行安全管理、虛擬資源安全管理、計(jì)算機(jī)資源統(tǒng)一調(diào)度、硬件資源訪問控制、虛擬資源訪問控制等，能夠使平臺(tái)的基礎(chǔ)核心服務(wù)得到實(shí)現(xiàn)，包括安全遷移虛擬機(jī)、安全隔離虛擬機(jī)、安全監(jiān)控虛擬機(jī)和安全鏡像虛擬機(jī)等，對(duì)云計(jì)算在虛擬運(yùn)行中的關(guān)鍵安全進(jìn)行有力的保障。虛擬機(jī)中運(yùn)行的軟件能夠?qū)崿F(xiàn)用戶定制的各種云服務(wù)，這就帶來了一定的風(fēng)險(xiǎn)問題，也就是是否能夠按照用戶的需求來運(yùn)行這些軟件，能否提供達(dá)到用戶需求的運(yùn)行環(huán)境安全級(jí)別，并保障運(yùn)行的流程不出現(xiàn)異常等?？梢詰?yīng)用審計(jì)策略管理、系統(tǒng)日志管理、安全策略管理等安全審計(jì)，以及相應(yīng)的預(yù)警機(jī)制來防范該方面的風(fēng)險(xiǎn)。

除了對(duì)移動(dòng)互聯(lián)網(wǎng)內(nèi)容安全進(jìn)行監(jiān)管之外，移動(dòng)互聯(lián)網(wǎng)上的計(jì)算安全監(jiān)管體系還要對(duì)于安全攻擊進(jìn)行預(yù)警保護(hù)。

4 結(jié)語

云計(jì)算在移動(dòng)互聯(lián)網(wǎng)環(huán)境下具有巨大的市場前景，但還是存在以安全問題為首的關(guān)鍵性問題，所以設(shè)計(jì)一個(gè)移動(dòng)互聯(lián)網(wǎng)環(huán)境下通用的云計(jì)算安全技術(shù)體系架構(gòu)可以滿足不同用戶的需求，無縫融合不同的操作系統(tǒng)和網(wǎng)絡(luò)體系，以及統(tǒng)一云安全應(yīng)用服務(wù)接口。

參 考 文 獻(xiàn)

[1] 馮登國，張敏，張妍，等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011（01）.

[2] 房秉毅，張?jiān)朴?，徐?移動(dòng)互聯(lián)網(wǎng)環(huán)境下云計(jì)算安全淺析[J].移動(dòng)通信，2011（09）.

[3] 房晶，吳昊，白松林.云計(jì)算安全研究綜述[J].電信科學(xué)，2011（04）.