摘 要 隨著信息時(shí)代的到來(lái)，傳統(tǒng)的信息處理手段及模式已無(wú)法滿足企業(yè)快速發(fā)展需要，基于企業(yè)信息數(shù)據(jù)快速增長(zhǎng)的實(shí)際情況，考慮企業(yè)數(shù)據(jù)資源應(yīng)用效率的提高以及存儲(chǔ)的安全性，云計(jì)算在企業(yè)的應(yīng)用已是大勢(shì)所趨。雖然云計(jì)算有諸多優(yōu)勢(shì)，但其發(fā)展歷程較短，仍然面臨著諸多實(shí)際應(yīng)用問題，其中安全問題就是一個(gè)迫切解決的核心及關(guān)鍵問題，文章在簡(jiǎn)要概述目前企業(yè)云安全面臨的威脅的基礎(chǔ)上，針對(duì)性、綜合性的提出一些防護(hù)措施，以促進(jìn)云計(jì)算在企業(yè)的推廣和應(yīng)用。

【關(guān)鍵詞】企業(yè)云 安全 防護(hù) 攻擊

1 企業(yè)云安全面臨的威脅

一個(gè)存儲(chǔ)海量企業(yè)用戶數(shù)據(jù)的云存儲(chǔ)系統(tǒng)，存在著巨大的非法攻擊誘惑，一旦攻擊者通過(guò)某種手段攻擊企業(yè)云數(shù)據(jù)系統(tǒng)，將帶來(lái)不可估量的經(jīng)濟(jì)損失。目前，企業(yè)云安全所存在著普遍性的安全威脅主要包括以下幾個(gè)方面：

1.1 數(shù)據(jù)丟失和泄露

數(shù)據(jù)安全是企業(yè)用戶關(guān)注的重點(diǎn)問題，由于數(shù)據(jù)泄漏會(huì)給企業(yè)帶來(lái)巨額損失，因此，一般會(huì)采取相應(yīng)措施來(lái)保證數(shù)據(jù)的安全性。目前對(duì)于企業(yè)云數(shù)據(jù)，一方面攻擊者會(huì)通過(guò)木馬程序或其他惡意程序來(lái)控制客戶端，進(jìn)而獲取和竄改企業(yè)數(shù)據(jù)。另一方面，因?yàn)樵品?wù)供應(yīng)商隔離措施或安全策略的不當(dāng)，也有可能導(dǎo)致數(shù)據(jù)丟失或信息篡改。

1.2 網(wǎng)絡(luò)攻擊

在云環(huán)境中，應(yīng)用程序基本上是在網(wǎng)絡(luò)上進(jìn)行的，這就間接催生了網(wǎng)絡(luò)攻擊頻繁性和危害性，網(wǎng)絡(luò)攻擊主要有以下兩種類型。第一種是賬戶劫持。在云環(huán)境中，攻擊者利用釣魚網(wǎng)站或軟件漏洞來(lái)攻擊企業(yè)用戶，進(jìn)而獲取用戶賬號(hào)及密碼信息，這樣就可以使用被竊取的賬號(hào)密碼登陸云計(jì)算系統(tǒng)，竊取或竄改企業(yè)用戶云中的各類機(jī)密性數(shù)據(jù)，給企業(yè)帶來(lái)巨大的損失。第二種是拒絕服務(wù)攻擊。通過(guò)應(yīng)用層DDOS攻擊等方式阻止企業(yè)用戶對(duì)云服務(wù)的正常訪問，這樣就會(huì)導(dǎo)致正常操作浪費(fèi)大量的系統(tǒng)資源，如內(nèi)存、硬盤空間和網(wǎng)絡(luò)帶寬等，降低云計(jì)算服務(wù)器的反應(yīng)速度，也使企業(yè)用戶由于資源的大量消耗而蒙受經(jīng)濟(jì)損失。這種攻擊能夠?qū)崿F(xiàn)很大程度上是由于企業(yè)用戶數(shù)據(jù)中心沒有做好針對(duì)性的安全防范措施。

1.3 技術(shù)漏洞

由于云技術(shù)發(fā)展歷程較短，其共享的平臺(tái)組件及應(yīng)用程序還存在著一些安全漏洞，這比其它安全問題更為危險(xiǎn)和致命，嚴(yán)重情況下會(huì)導(dǎo)致整個(gè)云計(jì)算系統(tǒng)癱瘓。另外，云計(jì)算資源的虛擬化特征會(huì)給傳統(tǒng)安全策略在整個(gè)虛擬網(wǎng)絡(luò)的全面應(yīng)用造成阻礙，虛擬化會(huì)增加認(rèn)證的困難，惡意代碼和病毒更容易傳播，安全問題產(chǎn)生的機(jī)率也就更大。

2 企業(yè)云安全防護(hù)方案

基于上述企業(yè)云安全面臨的威脅的主要威脅，可以通過(guò)以下綜合性的安全防護(hù)技術(shù)措施來(lái)提高企業(yè)云安全性能。

2.1 云平臺(tái)物理安全

物理安全是云計(jì)算系統(tǒng)的第一道安全防線，首先是環(huán)境安全的保障。溫度、濕度等環(huán)境因素會(huì)影響云計(jì)算系統(tǒng)的穩(wěn)定運(yùn)行，因此，減少環(huán)境風(fēng)險(xiǎn)是企業(yè)云安全防護(hù)的基本前提。云服務(wù)提供商要通過(guò)各項(xiàng)措施來(lái)保證運(yùn)維環(huán)境的安全性，除了安設(shè)一些必不可缺的設(shè)備外，如溫度和濕度控制器、自動(dòng)滅火系統(tǒng)等。還應(yīng)配備支持特定環(huán)境的設(shè)備，如不間斷電源等，以應(yīng)對(duì)各種突變的自然環(huán)境。其次是設(shè)備的維護(hù)。為了保證設(shè)備的長(zhǎng)期不間斷運(yùn)行，需要定期維護(hù)設(shè)備，并詳細(xì)記錄維護(hù)過(guò)程中所遇到的各種疑似故障及實(shí)際故障。最后是網(wǎng)絡(luò)設(shè)備的配置。云計(jì)算系統(tǒng)整體設(shè)備性能的提高是安全防護(hù)的關(guān)鍵，特別是網(wǎng)絡(luò)設(shè)備。應(yīng)配置多臺(tái)交換設(shè)備，網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)鏈路應(yīng)有冗余備份。某一設(shè)備發(fā)生故障時(shí)應(yīng)具備自動(dòng)恢復(fù)功能，且企業(yè)網(wǎng)絡(luò)應(yīng)具有訪問控制、安全檢測(cè)、監(jiān)控、報(bào)警、故障處理等功能。主機(jī)設(shè)備的核心應(yīng)采用多機(jī)負(fù)載模式，某個(gè)主機(jī)若存在故障，其它主機(jī)仍能正常運(yùn)行，同樣服務(wù)器設(shè)備電源、風(fēng)扇等也應(yīng)采用冗余配置。

2.2 云平臺(tái)訪問控制

首先是網(wǎng)絡(luò)安全訪問控制。云平臺(tái)和企業(yè)用戶之間采用路由控制方式，通過(guò)安全訪問路徑的構(gòu)建提高網(wǎng)絡(luò)安全。避免在網(wǎng)絡(luò)邊界處安置重要網(wǎng)段，應(yīng)對(duì)二者進(jìn)行有效隔離。且利用防火墻、IPS、ACL等技術(shù)在重要業(yè)務(wù)網(wǎng)段邊界進(jìn)行隔離。具體而言主要可以采取以下措施來(lái)控制云平臺(tái)網(wǎng)絡(luò)：限制管理終端訪問網(wǎng)絡(luò)設(shè)備；設(shè)置安全的訪問控制，過(guò)濾蠕蟲的常用端口；關(guān)閉不使用的端口；關(guān)閉不必要服務(wù)，如FTP、TFTP服務(wù)等；修改BANNER提示，避免默認(rèn)BANNER信息泄露系統(tǒng)平臺(tái)及其他信息。其次是邊界防護(hù)。清晰界定和綜合防護(hù)系統(tǒng)邊界，科學(xué)劃分系統(tǒng)內(nèi)部區(qū)域，加強(qiáng)便捷訪問控制，增加訪問控制配置，并使用防火墻等訪問控制設(shè)備對(duì)高安全等級(jí)區(qū)域進(jìn)行邊界防護(hù)。最后是防火墻安全訪問控制。在防火墻上配置常見病毒和攻擊端口的ACL過(guò)濾控制策略，防止發(fā)生病毒或蠕蟲擴(kuò)散，影響核心設(shè)備正常工作。

2.3 云安全數(shù)據(jù)庫(kù)及配置安全

對(duì)于云數(shù)據(jù)庫(kù)，應(yīng)采用C2以上安全控制標(biāo)準(zhǔn)及多層次安全控制原則。操作系統(tǒng)軟件應(yīng)能根據(jù)任務(wù)合理地分配系統(tǒng)資源，避免由于資源枯竭而停機(jī)。軟件系統(tǒng)應(yīng)具備良好的容錯(cuò)能力，保證某一進(jìn)程故障的出現(xiàn)不會(huì)影響其它進(jìn)程的運(yùn)行，且能自動(dòng)進(jìn)行升級(jí)，并具備自動(dòng)恢復(fù)功能，使系統(tǒng)在故障情況下能快速自動(dòng)恢復(fù)。

2.4 云安全監(jiān)控

云安全監(jiān)控的目的是確保云平臺(tái)的可用性，是安全防護(hù)過(guò)程中不可或缺的。首先是日志監(jiān)控。通過(guò)監(jiān)控系統(tǒng)的輸出日志來(lái)監(jiān)控相關(guān)事件。其次是性能監(jiān)控。通過(guò)監(jiān)控網(wǎng)絡(luò)、系統(tǒng)以及應(yīng)用等內(nèi)容，保證云計(jì)算平臺(tái)的穩(wěn)定運(yùn)行，一旦平臺(tái)發(fā)生了故障，能迅速報(bào)警。

2.5 云安全審計(jì)

云安全審計(jì)包括日志收集、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)審計(jì)等。云服務(wù)提供商需要部署網(wǎng)絡(luò)和數(shù)據(jù)審計(jì)措施，對(duì)網(wǎng)頁(yè)內(nèi)容、郵件內(nèi)容等敏感信息進(jìn)行審計(jì)；完善地記錄其日志信息，建立良好的審核機(jī)制，并合理地整理相應(yīng)的目志記錄，增強(qiáng)違規(guī)事件發(fā)生之后的審查能力。

3 結(jié)語(yǔ)

企業(yè)云安全面臨的威脅是復(fù)雜多樣的，必須針對(duì)各類安全問題采取有效性的安全防護(hù)策略，進(jìn)而保證企業(yè)的各類數(shù)據(jù)信息安全，同時(shí)也能促進(jìn)云計(jì)算機(jī)系統(tǒng)在企業(yè)的推廣和應(yīng)用。

參考文獻(xiàn)

[1]聶亞偉.企業(yè)網(wǎng)絡(luò)安全解決方案研究與設(shè)計(jì)[D].邯鄲：河北工程大學(xué)，2014.

作者簡(jiǎn)介

李常福（1973-），男，河南省信陽(yáng)市人。大學(xué)本科學(xué)歷。中級(jí)職稱。主要研究方向?yàn)樾畔踩霸朴?jì)算。

作者單位

鄭州市中心醫(yī)院 河南省鄭州市 450000