李中奎

摘 要：互聯(lián)網(wǎng)+時代的到來，將信息系統(tǒng)的邊界打破，已經(jīng)不再適用以邊界防護(hù)為核心的傳統(tǒng)信息安全防護(hù)體系。而制約云服務(wù)發(fā)展的關(guān)鍵性因素，就是云安全問題。目前，云服務(wù)包括兩大責(zé)任主體，既云服務(wù)提供者和服務(wù)客戶。論文基于云服務(wù)信息安全的現(xiàn)狀，探究和分析了云服務(wù)系統(tǒng)的常見的安全隱患，并提出了相應(yīng)的信息安全防護(hù)措施。

關(guān)鍵詞：云服務(wù)；互聯(lián)網(wǎng)+；安全防護(hù)

中圖分類號：TN915.08 文獻(xiàn)標(biāo)識碼：C

Abstract： With the advent of the Internet era， the boundary of information system is broken， which is no longer suitable for the traditional information security protection system with boundary protection as its core. The key factor restricting the development of cloud services is cloud security. At present， cloud service consists of two major responsible parties， both cloud service providers and service customers. Based on the present situation of cloud service information security， this paper probes into and analyzes the common hidden dangers of cloud service system， and puts forward the corresponding information security protection measures.

Key words： cloud services； internet； security protection

1 引言

互聯(lián)網(wǎng)+時代，云服務(wù)有著越來越廣泛的運用，涉及到電子商務(wù)、金融、政務(wù)等各行各業(yè)，并逐漸成為信息技術(shù)和IT基礎(chǔ)服務(wù)的關(guān)鍵設(shè)施。云服務(wù)憑借著按需服務(wù)、可拓展性和靈活性等獨特優(yōu)勢，為用戶提供的服務(wù)更加便捷。但在云服務(wù)發(fā)展過程中，阻礙其發(fā)展的首要因素，就是信息安全問題。如何進(jìn)行云服務(wù)系統(tǒng)安全防護(hù)技術(shù)體系的設(shè)計，是本文重點探討的課題。

2 云服務(wù)系統(tǒng)的常見安全隱患

2.1 數(shù)據(jù)傳輸方面的安全隱患

一個企業(yè)的核心競爭力，往往和企業(yè)的機(jī)密數(shù)據(jù)有著直接的聯(lián)系。一旦泄露機(jī)密數(shù)據(jù)，會給企業(yè)帶來帶來巨大的威脅。基于機(jī)密數(shù)據(jù)的重要性，互聯(lián)網(wǎng)+時代，企業(yè)往往會在數(shù)據(jù)中心儲存機(jī)密信息，以此使機(jī)密數(shù)據(jù)丟失和泄密的發(fā)生率降低。而在云服務(wù)環(huán)境下，在向云服務(wù)器傳輸核心數(shù)據(jù)的過程中，會有諸多問題存在。若是沒有嚴(yán)格進(jìn)行加密，會造成第三方的竊取和篡改。例如，企業(yè)上傳的數(shù)據(jù)被云計算服務(wù)商竊取之后，會使數(shù)據(jù)泄露的風(fēng)險進(jìn)一步加大。再比如，在云端存儲數(shù)據(jù)時，為了保證用戶訪問的合法性，就必須要對訪問權(quán)限合理分配。由此可見，為了對企業(yè)機(jī)密數(shù)據(jù)的安全性提供保障，應(yīng)高度重視數(shù)據(jù)數(shù)據(jù)傳輸過程中的安全隱患問題。

2.2 數(shù)據(jù)存儲方面的安全隱患

首先，是數(shù)據(jù)隔離。實現(xiàn)云服務(wù)的核心應(yīng)用技術(shù)，就是虛擬化技術(shù)。一旦惡意用戶運用非法手段獲取虛擬機(jī)操作權(quán)限，就會嚴(yán)重威脅到同一臺物理服務(wù)器全部虛擬機(jī)中的儲存數(shù)據(jù)的安全。

其次，數(shù)據(jù)隱私風(fēng)險?；ヂ?lián)網(wǎng)+時代，在世界各地都廣泛分布著云計算下的云服務(wù)器。在各個服務(wù)器中，會隨機(jī)存儲企業(yè)上傳到云端的數(shù)據(jù)。而用戶對自己上傳數(shù)據(jù)的具體存儲位置，首先并不了解，同時用戶一旦在云端上傳數(shù)據(jù)，則優(yōu)先訪問的權(quán)利會被云計算服務(wù)商所享有，由此會使數(shù)據(jù)被篡改、隱私泄密的風(fēng)險進(jìn)一步加大。

最后，是數(shù)據(jù)審計。互聯(lián)網(wǎng)+時代，云計算服務(wù)商既要為第三方機(jī)構(gòu)提供必要的數(shù)據(jù)支持，同時又要保障企業(yè)的數(shù)據(jù)安全，由此為云計算服務(wù)商帶來了難度和挑戰(zhàn)。企業(yè)在選擇和評估能夠長期合作的云服務(wù)商時，也需要將數(shù)據(jù)的安全問題作為首要條件，著重是考慮云服務(wù)環(huán)境下，服務(wù)商所提供數(shù)據(jù)的安全性和有效性。

2.3 其他方面的安全隱患

首先，是安全邊界消失問題。資源技術(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，在云服務(wù)環(huán)境下的存儲所呈現(xiàn)的特征為統(tǒng)一化和集成化，由此會逐漸消失傳統(tǒng)的安全邊界。因為所采取的安全防護(hù)策略針對性匱乏，會對網(wǎng)絡(luò)信息的安全性帶來直接的影響。

其次，是可靠性和穩(wěn)定性問題。虛擬化服務(wù)是云服務(wù)環(huán)境下各種業(yè)務(wù)和數(shù)據(jù)的支撐和保障。因此針對云服務(wù)系統(tǒng)，當(dāng)前的容災(zāi)恢復(fù)能力、信息安全策略和事件處理審計都很難提供滿足。

最后，是虛擬化技術(shù)的應(yīng)用問題。虛擬技術(shù)是核心技術(shù)，也是云服務(wù)的關(guān)鍵性技術(shù)。盡管虛擬化技術(shù)能夠?qū)T資源的靈活性和效率有效改善，但是因為很難管理虛擬網(wǎng)絡(luò)和虛擬機(jī)等虛擬設(shè)備，因此，極容易帶來電腦病毒、安全漏洞等問題，由此會誘發(fā)信息共享等風(fēng)險。如圖1所示。

3 互聯(lián)網(wǎng)+的云服務(wù)系統(tǒng)安全防護(hù)策略

3.1 加強云服務(wù)系統(tǒng)基礎(chǔ)設(shè)施的安全管理

基礎(chǔ)設(shè)施作為云服務(wù)的運行平臺，若是有較弱的配置存在，則必然會有一定的漏洞和安全風(fēng)險存在，由此不能充分保障相應(yīng)的信息安全問題。為此，加強信息安全防護(hù)的主要策略之一，就是進(jìn)一步加強云服務(wù)基礎(chǔ)設(shè)施的安全管理，明確云計算服務(wù)的兩大責(zé)任主體的責(zé)任邊界。只有遵循相關(guān)職責(zé)，對云計算信息系統(tǒng)和云計算平臺的相關(guān)范圍、對象和目標(biāo)進(jìn)行明確，才能更好的實施安全建設(shè)、規(guī)劃和設(shè)計。

一是為了有效預(yù)防地址欺騙的現(xiàn)象，統(tǒng)一規(guī)劃和管理基礎(chǔ)網(wǎng)絡(luò)IP劃，并且綁定操作相關(guān)節(jié)點中斷與服務(wù)器的MAC、IP。

二是針對網(wǎng)絡(luò)核心設(shè)備，需要采取科學(xué)的措施，有效備份集合鏈路冗余，同時通過監(jiān)測異常流量，將互聯(lián)網(wǎng)對DDOS的攻擊及時發(fā)現(xiàn)和阻斷。

三是還應(yīng)在DMZ內(nèi)網(wǎng)與互聯(lián)網(wǎng)接入點與DMZ之間設(shè)置防火墻，以此保障云計算服務(wù)的連續(xù)性和穩(wěn)定性。

四是應(yīng)加固處理應(yīng)用系統(tǒng)的主機(jī)設(shè)備，以保障其安全性，同時關(guān)閉那些不使用的端口和組件，利用補丁控制數(shù)據(jù)庫、虛擬機(jī)以及操作系統(tǒng)，還可將各類軟件產(chǎn)品安裝信息中心部署IDS/IPS設(shè)備中，以查殺病毒、實時監(jiān)測、惡意代碼等，對系統(tǒng)的安全性提供保障。

3.2 確定定級對象并劃分管理職責(zé)

首先，建設(shè)云計算平臺的依據(jù)和重要指導(dǎo)，就是云安全防護(hù)技術(shù)，為此在云安全防護(hù)體系的過程中，融入等級保護(hù)思想。

其次，在云計算保護(hù)環(huán)境中，集合了云服務(wù)客戶在云計算平臺上部署的相關(guān)組件和軟件，是云服務(wù)商的云計算平臺。為此，由運服務(wù)商負(fù)責(zé)依據(jù)等級的保護(hù)工作，確定云計算平臺的等級保護(hù)定級，使云計算的平臺的安全保護(hù)等級不應(yīng)低于最高安全保護(hù)等級。

最后，劃分定級對象管理職責(zé)，是定級的重點，結(jié)合不同的云服務(wù)模式，來劃分不同的職責(zé)邊界。而遵循數(shù)據(jù)安全管理職責(zé)不變的原則，由云服務(wù)商負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)，而云計算平臺提供的安全功能和服務(wù)，則決定了能否實現(xiàn)數(shù)據(jù)的存儲和傳輸?shù)谋Ｃ苄源胧┖屯暾浴?/p>

3.3 對云計算服務(wù)系統(tǒng)運行環(huán)境不斷優(yōu)化

云計算服務(wù)運行環(huán)境的優(yōu)劣會直接影響到信息安全防護(hù)效果。為此，在制定防護(hù)策略時候，應(yīng)高度重視運行環(huán)境的優(yōu)化問題。充分運用信任管理、訪問控制和身份認(rèn)證等科學(xué)技術(shù)，預(yù)防不良用戶的蓄意攻擊。

一是身份認(rèn)證?？蛇M(jìn)行集中用戶的認(rèn)證，在硬件信息綁定、數(shù)字證書和生物特征的基礎(chǔ)上，嚴(yán)格遵循網(wǎng)絡(luò)與服務(wù)來劃分用戶級別，并給予集中授權(quán)。通過自動鎖定連續(xù)出錯賬戶，有機(jī)的結(jié)合賬號推出檢測等功能，嚴(yán)格管理用戶的身份認(rèn)證問題。

二是訪問控制。為了更好的與云環(huán)境相適應(yīng)，可構(gòu)建強制訪問機(jī)制，維護(hù)數(shù)據(jù)安全。

三是信任管理?？稍诤藢?、授權(quán)信任級別的基礎(chǔ)上，利用用戶跟蹤與獲取，來規(guī)范和監(jiān)督用戶行為，進(jìn)而更好的量化和評估用戶行為數(shù)據(jù)等環(huán)節(jié)，最終完成信任管理，通過以上過程，更好地保障用戶的信息安全問題。

4 結(jié)束語

互聯(lián)網(wǎng)+時代的到來，帶給我們機(jī)遇的同時，也帶來一些嚴(yán)峻的挑戰(zhàn)。通過對云服務(wù)系統(tǒng)安全防護(hù)的相關(guān)關(guān)鍵性技術(shù)的梳理能夠看出，目前相關(guān)研究還不充分，完整的安全防護(hù)體系還沒有完全構(gòu)建。所以，數(shù)據(jù)安全防護(hù)任務(wù)漫長而艱巨，只有完美結(jié)合相關(guān)政策法規(guī)和技術(shù)手段，才能使數(shù)據(jù)安全與數(shù)據(jù)泄露的保護(hù)問題得到根本性的解決。同時，只有不斷創(chuàng)新安全防護(hù)技術(shù)，才能對數(shù)據(jù)安全提供保障。而在云服務(wù)背景下，只有對標(biāo)準(zhǔn)化的云服務(wù)體系進(jìn)行建立和健全，才能從多個方面保障云服務(wù)的信息安全，由此對云服務(wù)的健康、可持續(xù)發(fā)展，發(fā)揮積極的推動作用。

參考文獻(xiàn)

[1] 張旭輝.運營商云數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)研究綜述[J].中國新通信，2015，17（09）：19-20.

[2] 肖貴福.基于虛擬化安全網(wǎng)絡(luò)擴(kuò)展的SDN安全架構(gòu)[J].現(xiàn)代計算機(jī)（專業(yè)版），2014（21）：6-10+17.

[3] 李軍，王翔.云數(shù)據(jù)中心網(wǎng)絡(luò)安全的新挑戰(zhàn)[J].保密科學(xué)技術(shù)，2013（08）：6-11+1.

[4] 張新濤，周君平，杜佳穎，孫鑫紅.云數(shù)據(jù)中心的安全虛擬網(wǎng)絡(luò)[J].信息安全與通信保密，2012（11）：85-88.