高璐 徐宗琦

摘要：隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云計(jì)算技術(shù)憑借其虛擬化、高可靠性、按需服務(wù)等優(yōu)勢(shì)特性，在各個(gè)行業(yè)領(lǐng)域得到了廣泛的應(yīng)用。但云計(jì)算也面臨著各種威脅和挑戰(zhàn)，存在很多網(wǎng)絡(luò)安全技術(shù)問題。本文將從云計(jì)算面臨的網(wǎng)絡(luò)安全威脅進(jìn)行分析，進(jìn)而提出解決相關(guān)威脅應(yīng)采取的技術(shù)和策略。

關(guān)鍵詞：云計(jì)算;網(wǎng)絡(luò)安全;策略分析

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）15-0075-02

當(dāng)前隨著網(wǎng)絡(luò)通信技術(shù)和計(jì)算機(jī)技術(shù)的不斷發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)應(yīng)運(yùn)而生，特別是云計(jì)算技術(shù)憑借其虛擬化、高可靠性、按需服務(wù)等特性和使用方便功能強(qiáng)大的優(yōu)勢(shì)更是在各個(gè)行業(yè)得到了廣泛應(yīng)用。與此同時(shí)，云計(jì)算面臨的安全問題也已成為人們關(guān)注的焦點(diǎn)。如：身份認(rèn)證問題、數(shù)據(jù)安全問題、虛擬化系統(tǒng)問題、移動(dòng)網(wǎng)絡(luò)影響問題等，因此，必須從能夠出現(xiàn)問題的方方面面進(jìn)行考慮制定相應(yīng)的安全策略，才能夠保證云環(huán)境使用的安全性。

1云計(jì)算存在的安全問題分析

1.1用戶身份認(rèn)證和接入

云計(jì)算能夠支持各種不同用戶終端海量用戶對(duì)資源進(jìn)行訪問和使用，既要方便用戶訪問，提高用戶體驗(yàn)，又要保證應(yīng)用安全，為云計(jì)算提供的用戶身份認(rèn)證系統(tǒng)和接入機(jī)制提出了更高的要求和挑戰(zhàn)。目前云計(jì)算存在身份認(rèn)證較為混亂、審查不充分，用戶接口和界面存在安全漏洞等威脅，可能給信息帶來更多未經(jīng)授權(quán)的訪問，造成用戶信息的泄露和丟失。

1.2數(shù)據(jù)安全性

一方面云計(jì)算采取分布式體系結(jié)構(gòu)，處于不同位置的資源協(xié)同完成計(jì)算過程，需要運(yùn)用網(wǎng)絡(luò)傳遞大量中間數(shù)據(jù)，傳遞過程中，容易發(fā)生病毒植入、數(shù)據(jù)攔截、黑客人侵等問題，因此如何對(duì)數(shù)據(jù)傳輸過程實(shí)施有效保護(hù)，也是云計(jì)算面臨的安全挑戰(zhàn)。另一方面，云計(jì)算實(shí)現(xiàn)了大量數(shù)據(jù)的存儲(chǔ)和共享，云服務(wù)提供商應(yīng)對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控和集中管理，而云計(jì)算的架構(gòu)復(fù)雜，為有效管理帶來了挑戰(zhàn)，如果不做好數(shù)據(jù)的隔離，極易在技術(shù)、資源出現(xiàn)問題時(shí)，對(duì)海量數(shù)據(jù)造成存儲(chǔ)威脅。此外，云計(jì)算采取多用戶租用機(jī)制，一個(gè)用戶出現(xiàn)漏洞可能造成其他用戶數(shù)據(jù)和信息的泄露;一個(gè)用戶退出云后，這個(gè)用戶所釋放的存儲(chǔ)空間，也要做到及時(shí)的清空，否則也存在數(shù)據(jù)泄露的可能性。

1.3虛擬化系統(tǒng)問題

一方面云計(jì)算技術(shù)在很大程度上依賴于虛擬化技術(shù)，一臺(tái)服務(wù)器可以根據(jù)用戶需求，運(yùn)行多臺(tái)虛擬機(jī)，而虛擬網(wǎng)絡(luò)是一個(gè)大的二層網(wǎng)絡(luò)，虛擬機(jī)可以任意在其中遷移，那么一些二層攻擊手段，如：以太網(wǎng)端口欺騙、ARP欺騙、ARP風(fēng)暴等二層攻擊問題，會(huì)對(duì)整個(gè)虛擬化系統(tǒng)造成威脅。另一方面，攻擊者可以利用虛擬機(jī)將程序直接運(yùn)行在服務(wù)器的內(nèi)存中，可利用虛擬層漏洞，完成人侵，XEN、KVM、VMware等常見虛擬化軟件，都能找到類似安全漏洞。此外，如Hypervisor虛擬化管理軟件，作為虛擬機(jī)底層如果存在漏洞，則會(huì)影響到虛擬化下面的物理機(jī)自身安全。

1.4移動(dòng)用戶帶來的云安全問題

隨著智能手機(jī)的應(yīng)用和普及，移動(dòng)終端安全問題對(duì)傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系形成了挑戰(zhàn)，傳統(tǒng)防火墻可以守住服務(wù)器的端口，但到了移動(dòng)網(wǎng)絡(luò)融入后，攻擊從平面變?yōu)榱Ⅲw了，使得防護(hù)體系面臨巨大挑戰(zhàn)。

綜上，云計(jì)算在各個(gè)層面都存在相應(yīng)的安全威脅和問題，那么也需要一定的安全策略來解決以上問題。

2云計(jì)算環(huán)境下網(wǎng)絡(luò)安全策略

2.1建立可信的身份認(rèn)證和訪問控制

身份認(rèn)證可采用實(shí)名制的方式進(jìn)行處理，進(jìn)而有效避免用戶對(duì)數(shù)據(jù)的非法訪問。云環(huán)境下，在確保用戶數(shù)字身份隱私性保護(hù)的前提下，通過實(shí)現(xiàn)身份聯(lián)合和用戶單點(diǎn)登錄支持云中企業(yè)之間共享用戶身份信息和認(rèn)證服務(wù)，并減少重復(fù)認(rèn)證帶來的開銷。此外，還要構(gòu)建基于云環(huán)境的訪問控制服務(wù)策略，保證用戶角色清晰，權(quán)限明確，依據(jù)用戶權(quán)限，確保數(shù)據(jù)信息的安全性、有效性，因而訪問控制是云計(jì)算安全的核心內(nèi)容。將已有的訪問控制策略進(jìn)行優(yōu)化，降低訪問控制規(guī)則開銷，構(gòu)建訪問控制的模型框架，進(jìn)而對(duì)訪問控制過程進(jìn)行加密處理，有效整合各種策略實(shí)現(xiàn)訪問控制的最優(yōu)化。

2.2加強(qiáng)數(shù)據(jù)保護(hù)

一是做好隱私保護(hù)。云中數(shù)據(jù)保護(hù)涉及數(shù)據(jù)生命周期的每一個(gè)階段。無論施行何種云計(jì)算策略，都應(yīng)保護(hù)用戶數(shù)據(jù)免受未經(jīng)授權(quán)訪問，要對(duì)數(shù)據(jù)進(jìn)行加密處理，控制用戶權(quán)限，確保合法用戶才能訪問和查看數(shù)據(jù)內(nèi)容。二是做好數(shù)據(jù)完整性保護(hù)。云端通過服務(wù)器集群、異地容災(zāi)和容錯(cuò)等技術(shù)，做到數(shù)據(jù)不丟失，采用數(shù)據(jù)快照回滾技術(shù)，降低用戶誤刪除數(shù)據(jù)的損失。還要保護(hù)數(shù)據(jù)不受未經(jīng)授權(quán)的修改和刪除。云計(jì)算中有大量數(shù)據(jù)源和訪問方法，應(yīng)采取更為嚴(yán)格的訪問方式，授權(quán)應(yīng)確保只有被授權(quán)實(shí)體才能與數(shù)據(jù)進(jìn)行交互。

2.3運(yùn)用虛擬安全技術(shù)

虛擬技術(shù)是實(shí)現(xiàn)云計(jì)算的關(guān)鍵核心技術(shù)，云計(jì)算必須向客戶提供安全性和隔離保證。一是通過隔離保護(hù)托管元素，業(yè)務(wù)在云中部署，任何功能都可能受到攻擊，其托管和管理流程也變得可見易受攻擊，如果將主機(jī)和功能連接隔離在一個(gè)專用子網(wǎng)絡(luò)中，則不會(huì)受到外部訪問的困擾。二是審核和測(cè)試所有組件。運(yùn)用生命周期管理手段，確保組件在生命周期的每一個(gè)階段只能訪問同一服務(wù)實(shí)例中的其他組件，減少惡意軟件在托管功能中引人風(fēng)險(xiǎn)。三是避免服務(wù)之間的交叉。虛擬網(wǎng)絡(luò)進(jìn)行更改時(shí)，都可能在不同的服務(wù)或功能部署之間建立連接，可能會(huì)產(chǎn)生數(shù)據(jù)平臺(tái)泄露，有效管理虛擬連接可以降低錯(cuò)誤風(fēng)險(xiǎn)。四是及時(shí)修補(bǔ)虛擬平臺(tái)依托的物理平臺(tái)的漏洞，避免發(fā)生虛擬機(jī)逃逸漏洞。

2.4綜合運(yùn)用防御技術(shù)

一是病毒防御技術(shù)。云計(jì)算環(huán)境下進(jìn)行殺毒特點(diǎn)是，云端負(fù)責(zé)病毒相關(guān)信息的分析計(jì)算，而殺毒功能依賴于殺毒軟件，所以云計(jì)算和殺毒軟件并不是一個(gè)整體，卻同時(shí)為消殺病毒發(fā)揮作用。在云環(huán)境下，不再借助客戶端的病毒特征庫，只需反病毒引擎技術(shù)就可以清理病毒，云端還需要配套相關(guān)的安全硬件設(shè)備、風(fēng)險(xiǎn)管理軟件以及數(shù)據(jù)安全管理軟件等，進(jìn)而實(shí)現(xiàn)云端控制范圍內(nèi)的病毒進(jìn)行有效預(yù)防。二是防火墻技術(shù)。傳統(tǒng)防火墻部署在網(wǎng)絡(luò)邊界，只有授權(quán)人員可進(jìn)入設(shè)備，網(wǎng)絡(luò)保護(hù)相對(duì)簡單。而云計(jì)算環(huán)境下，云計(jì)算的防火墻有兩種，兩種防火墻都可以檢查入站和出站數(shù)據(jù)包以阻止惡意流量，但有很大不同。一種與傳統(tǒng)防火墻功能相似，用于保護(hù)企業(yè)的網(wǎng)絡(luò)和用戶的防火墻，另一種是保護(hù)云基礎(chǔ)設(shè)施和服務(wù)，基于云的服務(wù)，運(yùn)行在虛擬數(shù)據(jù)中心，保護(hù)云端應(yīng)用程序之間的流量，也稱其為下一代防火墻。三是加密技術(shù)。為確保云計(jì)算的安全性，加密技術(shù)是其中的重要一環(huán)，客戶端依據(jù)加密算法不同，可能增加解密的復(fù)雜度，給服務(wù)器端處理帶來壓力，云端可采取內(nèi)容感知加密和保格式加密的加密方法，在數(shù)據(jù)防泄漏的同時(shí)，理解數(shù)據(jù)或格式，基于策略設(shè)置加密。云服務(wù)底層使用經(jīng)國家密碼管理局認(rèn)證的密碼機(jī)，通過虛擬化技術(shù)，幫助用戶滿足安全方面的要求，保護(hù)云上業(yè)務(wù)數(shù)據(jù)的隱私性要求。

云計(jì)算環(huán)境的安全涉及云環(huán)境部署的方方面面，每個(gè)提供云安全服務(wù)的企業(yè)都形成了各自的云策略架構(gòu)，綜合運(yùn)用多種手段解決云安全問題，才能確保云計(jì)算帶來便利的同時(shí)，達(dá)到安全性需要。