何 棟

（山西鐵道職業(yè)技術(shù)學(xué)院，山西 太原 030013）

隨著云計(jì)算技術(shù)的興起，不少信息系統(tǒng)已經(jīng)通過云平臺進(jìn)行部署。云計(jì)算技術(shù)雖然具有按需部署、動態(tài)可擴(kuò)展、靈活性、可靠性和性價(jià)比高的優(yōu)勢，同時也會帶來許多新的網(wǎng)絡(luò)信息安全問題。由于技術(shù)發(fā)展快，網(wǎng)絡(luò)信息安全的法律法規(guī)不完善，導(dǎo)致出現(xiàn)了不少法律真空地帶。同時部分單位和云計(jì)算平臺的管理制度不完善，導(dǎo)致訪問權(quán)限、技術(shù)保密性和數(shù)據(jù)完整性等方面的漏洞層出不窮，這些都是網(wǎng)絡(luò)信息安全需要注意的新問題[1]。為了盡量避免這些問題可能給企業(yè)和個人帶來的損失，必須完善原有的網(wǎng)絡(luò)信息安全體系，提出解決這些問題的策略，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)信息的安全性，提高其可用性和穩(wěn)定性。

1 云計(jì)算視角下網(wǎng)絡(luò)信息安全的現(xiàn)狀

1.1 技術(shù)層面

由于信息技術(shù)的發(fā)展速度較快，在技術(shù)的更迭過程中難免存在一些漏洞，并且這些漏洞通常具有隱蔽性，一旦爆發(fā)勢必會產(chǎn)生云計(jì)算服務(wù)器癱瘓、網(wǎng)絡(luò)通信中斷、服務(wù)無響應(yīng)等情況，甚至?xí)斐蓴?shù)據(jù)的丟失，這些都極大影響用戶的生產(chǎn)、生活。同時黑客技術(shù)水平不斷提升，云計(jì)算視角下的網(wǎng)絡(luò)攻擊不再局限于病毒等傳統(tǒng)形式，呈現(xiàn)出了多樣化的態(tài)勢，使得網(wǎng)絡(luò)信息安全防護(hù)的難度增大。另外移動終端的加入，讓網(wǎng)絡(luò)信息安全威脅呈現(xiàn)出智能化的態(tài)勢，潛伏時間長、破壞力大是其顯著特點(diǎn)。

1.2 環(huán)境層面

云計(jì)算視角下網(wǎng)絡(luò)信息安全環(huán)境發(fā)生了巨大的變化，云計(jì)算的信任問題也隨之而來。不僅是公有云的信任問題，對于各單位內(nèi)部私有云信息系統(tǒng)和數(shù)據(jù)的安全必須給予足夠的重視。由于當(dāng)前黑客的攻擊手段更加隱蔽，信息的泄露風(fēng)險(xiǎn)逐步增加，網(wǎng)絡(luò)開放性與安全性的矛盾不斷擴(kuò)大，加之國家層面的法律法規(guī)和操作規(guī)范尚待完善，企業(yè)對于相關(guān)管理規(guī)范的落實(shí)不到位，勢必讓云計(jì)算視角下的網(wǎng)絡(luò)信息安全受到威脅[2]。

1.3 用戶層面

用戶的安全意識淡薄，安全防護(hù)技能不足的問題十分突出。雖然不少企業(yè)制定了一些網(wǎng)絡(luò)信息安全防護(hù)策略，但是在用戶層面的執(zhí)行力度嚴(yán)重不足。諸如訪問云計(jì)算資源的計(jì)算機(jī)未安裝殺毒軟件、個別用戶的權(quán)限遠(yuǎn)超其實(shí)際需求、人員調(diào)離工作崗位后權(quán)限未及時調(diào)整、密碼復(fù)雜度不符合相關(guān)要求、重要文件傳輸不加密等問題比比皆是。這些都是引起網(wǎng)絡(luò)信息安全事件的重要源頭，極有可能造成整個云計(jì)算平臺的癱瘓或信息泄露。

2 云計(jì)算視角下網(wǎng)絡(luò)信息安全的特征

2.1 完整性

云計(jì)算視角下存在多個用戶使用同一較大資源池的現(xiàn)象，使得數(shù)據(jù)完整性受到破壞的風(fēng)險(xiǎn)劇增。一種情況是公有云或者私有云的管理者對于各用戶的數(shù)據(jù)信息沒有進(jìn)行高質(zhì)量的管理，有可能造成數(shù)據(jù)存儲的完整性受到影響。另一種情況是由于對云計(jì)算的計(jì)算和存儲資源采用了分布式部署的方式，一旦個別基礎(chǔ)設(shè)施發(fā)生故障，會讓整個資源池的完整性遭受到破壞。

2.2 保密性

由于云計(jì)算基于資源共享，那么保密性就是其網(wǎng)絡(luò)信息安全的主要特征之一。從云計(jì)算視角來看，網(wǎng)絡(luò)信息安全中的保密性不僅需要體現(xiàn)數(shù)據(jù)存儲方面的保密性，同時要考慮數(shù)據(jù)在云計(jì)算平臺內(nèi)部、外部傳輸時的保密性。當(dāng)然用戶賬戶的保密性同樣是需要考慮的范疇，只有這樣才能保證資源的共享性在相應(yīng)的限制條件下進(jìn)行，防止數(shù)據(jù)信息的泄漏。

2.3 審計(jì)核查性

目前云計(jì)算的各項(xiàng)技術(shù)發(fā)展已日趨成熟，對于用戶的授權(quán)機(jī)制和權(quán)限控制策略的基礎(chǔ)運(yùn)行框架已完成搭建，通過云安全審計(jì)工具可以識別和減小與使用云服務(wù)相關(guān)的風(fēng)險(xiǎn)以及滿足監(jiān)管部門的應(yīng)用合規(guī)性要求。同時還可以對已出現(xiàn)的安全事件進(jìn)行追溯，改善云計(jì)算平臺上應(yīng)用的安全情況。

3 云計(jì)算視角下網(wǎng)絡(luò)信息安全存在的問題

3.1 缺乏完整的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)體系

雖然在《中華人民共和國網(wǎng)絡(luò)安全法》實(shí)施以來，國家加快了各類網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)的起草和發(fā)布工作，但是就目前的情況而言，綱領(lǐng)性、指導(dǎo)性的標(biāo)準(zhǔn)較多，具體的技術(shù)規(guī)范類文件較少。在網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)中，已將云計(jì)算平臺/系統(tǒng)納入到了等級保護(hù)的對象中，但是相對于云計(jì)算相關(guān)技術(shù)的發(fā)展，其網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)仍然相對滯后。云計(jì)算環(huán)境中的平臺即服務(wù)和軟件即服務(wù)層常年處于不斷的更迭中，不確定的安全因素也隨之而來。同時一些云計(jì)算平臺的廠家和運(yùn)營服務(wù)商為了標(biāo)準(zhǔn)化管理，該管理模式對每個用戶的實(shí)際場景的針對性較弱，這樣也會衍生出新的安全問題[3]。

3.2 信息數(shù)據(jù)的安全問題

云計(jì)算基于資源共享的理念，所以對于用戶數(shù)據(jù)、應(yīng)用數(shù)據(jù)的安全性問題需要格外的重視，主要包含信息數(shù)據(jù)的機(jī)密性、完整性和可用性。信息數(shù)據(jù)的安全性需要通過多重措施進(jìn)行防護(hù)，如軟件產(chǎn)品安全、數(shù)據(jù)的擦除以及廢棄硬件設(shè)備的銷毀，涉及的方面眾多。云計(jì)算環(huán)境的安全目前多數(shù)依賴于云計(jì)算平臺的運(yùn)營方，而對于用戶的約束不夠，尤其是部分單位用戶的云計(jì)算系統(tǒng)內(nèi)部管理權(quán)限混亂，會給云計(jì)算系統(tǒng)帶來更多的管理類安全性問題。另外，數(shù)據(jù)的加密技術(shù)正在不斷變化，部分加密技術(shù)存在被破解的可能性。加解密的過程依賴于密鑰，密鑰存儲的安全在信息數(shù)據(jù)的安全性中具有較大的作用，密鑰的拾取、篡改密封以及密鑰訪問的身份驗(yàn)證都是密鑰安全風(fēng)險(xiǎn)的來源。

3.3 云計(jì)算基礎(chǔ)設(shè)施的安全問題

云計(jì)算基礎(chǔ)設(shè)施包含了數(shù)據(jù)中心的硬件部分和云管平臺軟件兩部分。數(shù)據(jù)中心的硬件部分的安全問題除了常規(guī)的斷電、漏水、火災(zāi)等安全風(fēng)險(xiǎn)，社會工程學(xué)攻擊也成為云計(jì)算基礎(chǔ)設(shè)施安全問題的主要來源。部分?jǐn)?shù)據(jù)中心采用了外包的管理方式，對于一些外來人員的身份鑒別不到位。當(dāng)然云計(jì)算基礎(chǔ)設(shè)施軟硬件層面的備份及容災(zāi)恢復(fù)也有較多的安全隱患。云管平臺本身的設(shè)計(jì)邏輯和程序漏洞均有可能被黑客的利用，從而達(dá)到控制云管平臺，實(shí)施數(shù)據(jù)竊取或篡改的目的。這些都有可能給云計(jì)算基礎(chǔ)設(shè)施帶來不可逆的損失，必須引起云計(jì)算平臺運(yùn)營方和用戶的高度重視。

4 云計(jì)算視角下網(wǎng)絡(luò)信息安全問題的解 決策略

4.1 構(gòu)建完善的網(wǎng)絡(luò)信息安全框架體系

云計(jì)算視角下網(wǎng)絡(luò)信息安全問題的解決首先需要從構(gòu)建完善的網(wǎng)絡(luò)信息安全框架體系入手。在云平臺安全建設(shè)的基礎(chǔ)上，從技術(shù)、管理和服務(wù)三個體系進(jìn)行安全框架的構(gòu)建。在云計(jì)算平臺建設(shè)初期，從平臺、訪問和數(shù)據(jù)三個方面完善平臺自身的網(wǎng)絡(luò)信息安全體系。在技術(shù)層面，建立安全管理中心、安全計(jì)算環(huán)境、完善安全區(qū)域邊界。在管理方面，根據(jù)云計(jì)算平臺的變化，定時完善和更新安全管理制度，加強(qiáng)安全運(yùn)維、安全流程和安全建設(shè)的管理力度。在服務(wù)體系中，定期開展安全評估、安全加固以及應(yīng)急響應(yīng)的理念，同時加強(qiáng)自動化運(yùn)維體系的建設(shè)，減少人工的干預(yù)。在身份層面，需要將身份視為主要的安全邊界，并將身份系統(tǒng)，以及管理員和憑據(jù)作為首要優(yōu)先事項(xiàng)加以保護(hù)。在基礎(chǔ)設(shè)施架構(gòu)方面，需要將基礎(chǔ)設(shè)施運(yùn)行在現(xiàn)代化平臺上，并使用智能檢測來補(bǔ)救漏洞和攻擊[4]。基于云計(jì)算視角的網(wǎng)絡(luò)信息安全框架體系如圖1所示。

圖1 基于云計(jì)算視角的網(wǎng)絡(luò)信息安全框架體系示意圖

4.2 加強(qiáng)網(wǎng)絡(luò)安全防護(hù)技術(shù)手段的應(yīng)用

首先，構(gòu)建根據(jù)網(wǎng)絡(luò)安全等級保護(hù)的要求，建立云計(jì)算安全的技術(shù)安全防護(hù)體系架構(gòu)。在體系中，加強(qiáng)區(qū)域邊界、計(jì)算環(huán)境、物理環(huán)境、通信網(wǎng)絡(luò)和安全管理中心的建設(shè)。在區(qū)域邊界層面，運(yùn)用網(wǎng)絡(luò)準(zhǔn)入、流量監(jiān)控、惡意代碼分析、安全審計(jì)和防IP/ARP/MAC欺騙措施。尤其需要通過部署下一代防火墻的方式，讓云計(jì)算系統(tǒng)獲得南北向流量的安全防護(hù)。同時將云計(jì)算系統(tǒng)分為多個安全域，通過采用不同的網(wǎng)絡(luò)安全措施，增強(qiáng)云計(jì)算平臺上各系統(tǒng)的安全性。各安全域的安全防護(hù)示意如圖2所示。

圖2 各安全域的安全防護(hù)示意圖

其次，加強(qiáng)網(wǎng)絡(luò)信息安全的動態(tài)監(jiān)控能力，可以使用態(tài)勢感知平臺及時獲取整個云計(jì)算環(huán)境的安全態(tài)勢，如使用主機(jī)管理系統(tǒng)對惡意攻擊、木馬入侵以及暴力破解等行為進(jìn)行檢測并保留相應(yīng)的日志。再次，強(qiáng)化應(yīng)用與數(shù)據(jù)的安全防護(hù)，對于安全設(shè)備和數(shù)據(jù)庫，必須通過多因子認(rèn)證的方式進(jìn)行對登錄用戶身份的認(rèn)證和鑒別，口令的存儲需進(jìn)行加密，服務(wù)器則需要采用SSH的方式進(jìn)行管理，云計(jì)算管理平臺、安全設(shè)備、網(wǎng)絡(luò)設(shè)備必須采用HTTPS的通信方式，使其保密性和完整性得到保障。最后，通過日志和數(shù)據(jù)庫審計(jì)系統(tǒng)，對所有的用戶登錄及操作行為進(jìn)行記錄和審計(jì)。另外備份和災(zāi)難恢復(fù)也需要技術(shù)手段的支持，如選擇質(zhì)優(yōu)的備份軟件，定期對服務(wù)器進(jìn)行快照備份，對數(shù)據(jù)庫文件進(jìn)行完全備份等，讓云計(jì)算環(huán)境下的應(yīng)用在遭受損壞或攻擊時能夠快速得到恢復(fù)。

4.3 提高運(yùn)維管理和風(fēng)險(xiǎn)管理的能力

云計(jì)算視角下網(wǎng)絡(luò)信息安全問題的解決，除技術(shù)因素外，更需要提高運(yùn)維管理和風(fēng)險(xiǎn)管理的能力，真正變被動防御轉(zhuǎn)為主動預(yù)防。在運(yùn)維管理方面，需要根據(jù)制度劃分各類人員的管理權(quán)限，如云計(jì)算平臺系統(tǒng)管理員、網(wǎng)絡(luò)管理員、主機(jī)管理員、數(shù)據(jù)庫管理員和應(yīng)用管理員等，采用最小權(quán)限的原則給予賦權(quán)，并在崗位變化時，及時進(jìn)行人員權(quán)限的調(diào)整。采用堡壘主機(jī)實(shí)現(xiàn)對云計(jì)算資源的身份認(rèn)證、訪問控制和行為審計(jì)。做好云計(jì)算資源的變更管理，定期展開滲透測試和應(yīng)急演練。特別要對重要節(jié)點(diǎn)的云計(jì)算網(wǎng)絡(luò)信息安全問題做好應(yīng)急預(yù)案，要求相關(guān)人員對處理、上報(bào)和恢復(fù)流程爛熟于心[5]。定期開展相關(guān)理論、制度和流程的宣貫工作，對于應(yīng)急演練做好記錄工作，并認(rèn)真找出其中的不足，做好應(yīng)該演練方案的更新工作。讓人員從思想上認(rèn)識到網(wǎng)絡(luò)信息安全的重要性，從行動上全面掌握解決問題的技能。

5 結(jié)束語

總之，云計(jì)算視角下的網(wǎng)絡(luò)信息安全問題雖然與傳統(tǒng)的問題有所不同，但是只要構(gòu)建完善的基于云計(jì)算的網(wǎng)絡(luò)信息安全框架體系，不斷提升管理能力和技術(shù)水平，就能做好云計(jì)算視角下的網(wǎng)絡(luò)信息安全防護(hù)工作，助力云計(jì)算的快速發(fā)展。