◆張 行

?

大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下的云安全技術(shù)研究

◆張 行

（蘇州科技大學(xué)天平學(xué)院 江蘇 215009）

大數(shù)據(jù)與云計算是密不可分的，大數(shù)據(jù)需要靈活的計算環(huán)境，云計算可以自動、快速地進(jìn)行擴(kuò)展并支持海量大數(shù)據(jù)。云技術(shù)和大數(shù)據(jù)的發(fā)展為我們帶來極大的便利和效益，但同時這些新興技術(shù)也帶來政府監(jiān)管難、隱私泄露、責(zé)任界定難等安全問題。大數(shù)據(jù)所依賴的云安全體系構(gòu)建非常重要，如何做好云安全防護(hù)？本文將針對此問題進(jìn)行分析研究。

云計算；大數(shù)據(jù)；云安全

0 前言

云計算作為一種公眾信息服務(wù)平臺，它將大量計算、存儲與軟件資源鏈接在一起，形成巨大的IT共享虛擬資源池，為云端用戶提供不同的彈性服務(wù)，它以經(jīng)濟(jì)、便捷、高可用性、高可擴(kuò)展性等優(yōu)勢吸引了人們的目光。政府可以利用它建設(shè)智慧城市，降低管理成本，提高管理效率；企業(yè)可以利用它優(yōu)化自身資源，提升信息化水平，提高數(shù)據(jù)分析計算效率，降低自建計算集群的成本；個人可以利用它實(shí)現(xiàn)云存儲、智能家居等，提升生活質(zhì)量。大數(shù)據(jù)為我們帶來巨大的信息價值，云計算則是推動大數(shù)據(jù)發(fā)展的強(qiáng)大支撐。

在當(dāng)前社會信息化和網(wǎng)絡(luò)化不斷發(fā)展的時代中，網(wǎng)絡(luò)數(shù)據(jù)爆炸式增長，全球網(wǎng)絡(luò)各種安全問題層出不窮，病毒日益猖獗，從去年的勒索病毒到近來臉書用戶隱私泄露，這讓人不禁對當(dāng)前的大數(shù)據(jù)網(wǎng)絡(luò)安全狀態(tài)深表擔(dān)憂。隨著大數(shù)據(jù)戰(zhàn)略的蓬勃發(fā)展和云服務(wù)的普及，更多用戶數(shù)據(jù)放到云服務(wù)器，其巨大的價值吸引了大批窺竊者和攻擊者，針對云平臺的攻與防一刻也未停止過，云安全也成為了政府和各個行業(yè)關(guān)注的焦點(diǎn)。只有為大數(shù)據(jù)建立嚴(yán)格的安全標(biāo)準(zhǔn)，才能不斷地享受云計算提供的靈活性、可擴(kuò)展性、自動化等優(yōu)勢。

1 云安全面臨的各種挑戰(zhàn)

云安全是云技術(shù)的重要應(yīng)用，是傳統(tǒng)IT安全在云計算時代的延伸。它融合了網(wǎng)格計算、并行處理、未知病毒行為判斷等技術(shù)，通過網(wǎng)狀的大量云終端對云平臺中的異常軟件行為進(jìn)行監(jiān)測，獲取病毒、惡意木馬的最新信息，推送到云服務(wù)端進(jìn)行自動分析處理，再把解決方案分發(fā)到云終端。大數(shù)據(jù)安全區(qū)別于傳統(tǒng)數(shù)據(jù)安全的特殊性，在大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)安全、隱私安全、云平臺安全等均面臨新威脅與新風(fēng)險，云安全工作面臨相較于傳統(tǒng)IT安全更復(fù)雜多樣的挑戰(zhàn)，主要體現(xiàn)在以下幾方面：

1.1 云計算數(shù)據(jù)的安全

（1）云模式下用戶將失去對數(shù)據(jù)物理安全的控制。在一個云平臺中，多個用戶共享資源，用戶無法控制資源在哪里運(yùn)行。大多云平臺提供的存儲服務(wù)互不兼容，當(dāng)用戶轉(zhuǎn)移云平臺時會遇到困難，甚至數(shù)據(jù)丟失。云服務(wù)基本采用外包形式，而外包就意味著用戶失去對數(shù)據(jù)的最基本控制。

（2）數(shù)據(jù)加密可以為云平臺建起一堵虛擬墻，但是云計算的靜態(tài)數(shù)據(jù)加密在很多情況下是行不通的?；谠朴嬎愕膽?yīng)用使用靜態(tài)數(shù)據(jù)加密后將導(dǎo)致無法對加密數(shù)據(jù)進(jìn)行查詢、處理和索引。也就是說云計算數(shù)據(jù)在數(shù)據(jù)處理的一些階段是未加密的。而且即便要加密，誰來控制加解密和密鑰？是用戶還是云服務(wù)商？有一些加密方案會迫使云終端用戶信任擁有密鑰的人，這方案本身就隱藏了危險和弱點(diǎn)。有些用戶為方便將密鑰存儲在云盤上，這種做法就更不安全了。

（3）數(shù)據(jù)的完整性是指數(shù)據(jù)傳輸、存儲的過程中，確保數(shù)據(jù)不被未授權(quán)的用戶篡改或在篡改后能被系統(tǒng)迅速發(fā)現(xiàn)。數(shù)據(jù)加密技術(shù)不能保證數(shù)據(jù)的完整性，數(shù)據(jù)完整性需要使用特定的消息認(rèn)證碼，需要大量的加解密鑰，而密鑰管理也是一大難題。用戶一般不知道系統(tǒng)安放在何處，數(shù)據(jù)存儲在哪臺機(jī)器上，且數(shù)據(jù)集不斷動態(tài)變化，這些變化也使傳統(tǒng)的完整性技術(shù)效果發(fā)揮有限。

1.2 云應(yīng)用開發(fā)帶來的挑戰(zhàn)

（1）不同用戶在云中使用多種內(nèi)部開發(fā)的代碼軟件，可能會導(dǎo)致兼容問題，混合技術(shù)的使用也可能導(dǎo)致云應(yīng)用中留下安全漏洞。

（2）云服務(wù)商必須實(shí)時為客戶及其管理員提供日志，而部分日志涉及用戶隱私，如何規(guī)范監(jiān)控，確保日志不被濫用也是個難題。

（3）云應(yīng)用的改變速度會影響云安全軟件生命周期和安全，因此隨著云應(yīng)用功能的不斷增加，用戶必須不斷升級改進(jìn)應(yīng)用，而舊版本無法保護(hù)數(shù)據(jù)或正常運(yùn)行。

1.3 虛擬化技術(shù)對云安全的挑戰(zhàn)

（1）基于硬件的傳統(tǒng)物理隔離和安全措施不能防止同一服務(wù)器上虛擬終端之間的攻擊。而且云平臺中數(shù)據(jù)訪問必須通過互聯(lián)網(wǎng)，導(dǎo)致數(shù)據(jù)暴露和風(fēng)險增加，這就需要對系統(tǒng)控制和數(shù)據(jù)訪問限制進(jìn)行嚴(yán)密監(jiān)控。虛擬機(jī)的移動性和動態(tài)性使得云安全的一致性審計困難，而云平臺的防御系統(tǒng)和入侵檢測都是在虛擬機(jī)環(huán)境下檢測，不同的虛擬機(jī)共存大大增加了終端之間感染攻擊的風(fēng)險。

（2）本地化虛擬終端使用和云服務(wù)相同的系統(tǒng)，以及云環(huán)境中的Web應(yīng)用，增加了惡意木馬或攻擊者利用這些系統(tǒng)和應(yīng)用中漏洞攻擊的遠(yuǎn)程威脅。為了修補(bǔ)這些漏洞，我們必須保持警惕，及時為云平臺打上對應(yīng)的虛擬補(bǔ)丁。

1.4 法律政策尚不成熟：

云計算除了在面臨傳統(tǒng)IT出現(xiàn)的一些安全風(fēng)險外還要面臨相關(guān)政策法規(guī)方面的安全風(fēng)險。隨著大數(shù)據(jù)和云技術(shù)的發(fā)展，大多數(shù)業(yè)務(wù)都要轉(zhuǎn)移到云端，且云服務(wù)合約具有多方性、動態(tài)性的特點(diǎn)，這使得云安全更具挑戰(zhàn)性，云平臺中遵守法規(guī)和標(biāo)準(zhǔn)的過程更加復(fù)雜，對現(xiàn)有信息安全管理標(biāo)準(zhǔn)以及相應(yīng)的責(zé)任認(rèn)定帶來新的沖擊。如何有效保護(hù)數(shù)據(jù)安全、隔離用戶隱私，對云平臺中的服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控和記錄，防止云計算和云存儲被非法利用，這需要制定一套完整的系統(tǒng)的安全機(jī)制來提高云安全的防護(hù)水平，并對云平臺實(shí)施統(tǒng)一監(jiān)控、統(tǒng)一管理、協(xié)同防護(hù)。

1.5 云安全的可靠性

故障恢復(fù)技術(shù)是云安全的重要組成部分。一個非關(guān)鍵任務(wù)應(yīng)用程序下線一般對云用戶影響不大，但是如果關(guān)鍵任務(wù)應(yīng)用下線將直接導(dǎo)致用戶不能正常使用，影響企業(yè)業(yè)務(wù)，因此云企業(yè)用戶的敏感數(shù)據(jù)應(yīng)該由企業(yè)用戶自己負(fù)責(zé)，而不能完全依靠云服務(wù)商。

2 云安全體系的構(gòu)建

云計算實(shí)現(xiàn)大數(shù)據(jù)的分析和挖掘，大數(shù)據(jù)所依賴的云平臺安全管理體系構(gòu)建非常重要。構(gòu)筑云安全管理體系能提高云安全保護(hù)水平，降低用戶隱私泄露和數(shù)據(jù)丟失被篡改的概率，規(guī)避很多安全風(fēng)險。云安全管理體系的構(gòu)建應(yīng)以大數(shù)據(jù)平臺為基礎(chǔ)，將技術(shù)、標(biāo)準(zhǔn)、監(jiān)管和法律等層面結(jié)合起來，按照分層和縱深防御的思想，從云平臺層、云網(wǎng)絡(luò)層、虛擬終端層、云應(yīng)用層構(gòu)建一個綜合的云安全防護(hù)平臺，實(shí)現(xiàn)云平臺的安全監(jiān)測、檢測、事件響應(yīng)、防御和審計。為解決用戶云平臺出現(xiàn)的各種管理和安全問題，應(yīng)提供全面的云安全防護(hù)。這樣可以使得用戶免于遭受各類入侵威脅和攻擊，及時了解和把控云安全態(tài)勢，為用戶提供安全技術(shù)和數(shù)據(jù)支撐，有效保障了云計算的服務(wù)安全。具體應(yīng)做好以下幾個方面：

（1）搭建可信的云環(huán)境：度量云平臺設(shè)施，確保云計算平臺和云應(yīng)用可信；驗(yàn)證云計算資源可信和用戶可信，確保云連接和接入的可信。

（2）實(shí)現(xiàn)云安全的自動化：傳統(tǒng)安全方案主要使用硬件單元部署，無法實(shí)現(xiàn)自動化。云安全架構(gòu)只有選擇虛擬自動化的解決方案才能夠?yàn)榇髷?shù)據(jù)云平臺提供自動化和靈活性。

（3）構(gòu)建可信的云安全架構(gòu)：云安全體系結(jié)構(gòu)應(yīng)包括主機(jī)安全、應(yīng)用層安全和網(wǎng)絡(luò)安全，一個完整的云安全體系包括可信的計算環(huán)境、網(wǎng)絡(luò)通信、邊界接入三重防御架構(gòu)。它是以身份鑒別（認(rèn)證）為基礎(chǔ)，以數(shù)據(jù)加密（安全）和訪問控制（授權(quán)）為核心，以安全監(jiān)控審計為輔助的防御體系。

（4）建立分級分類的云安全管理制度：可根據(jù)使用范圍、對象、業(yè)務(wù)模式將云服務(wù)分為不同要求的安全等級：按使用對象可分為普通用戶、企業(yè)和政府，也可根據(jù)使用范圍分為公有云、混合云、私有云等，因此云安全應(yīng)根據(jù)范圍需求和等級特點(diǎn)制定等級安全保護(hù)制度，并將各級安全手段落實(shí)到各等級范圍中。

（5）加強(qiáng)云安全技術(shù)的研發(fā)：針對云計算的特點(diǎn)加強(qiáng)云平臺研發(fā)的管控手段，是解決云安全的關(guān)鍵。加強(qiáng)對身份保護(hù)和數(shù)據(jù)保護(hù)等方面技術(shù)的研發(fā)能有效促進(jìn)云安全問題的解決。云安全可通過密鑰技術(shù)的加密算法等驗(yàn)證手段來保護(hù)數(shù)據(jù)隱私，同時對數(shù)據(jù)傳輸、處理和存儲的各階段進(jìn)行加密，利用云安全技術(shù)處理信息，確保信息隱蔽和用戶數(shù)據(jù)安全。

（6）加強(qiáng)云安全標(biāo)準(zhǔn)的制定：統(tǒng)一的云安全標(biāo)準(zhǔn)是云安全體系構(gòu)建和云安全評估的科學(xué)依據(jù)。云安全的最大威脅是云端數(shù)據(jù)的泄露和丟失，目前云服務(wù)整個行業(yè)缺少有效的云安全標(biāo)準(zhǔn)，各種云服務(wù)業(yè)務(wù)分類混亂，應(yīng)用不兼容，驗(yàn)收不規(guī)范，漏洞后門較多，急需加強(qiáng)云安全標(biāo)準(zhǔn)的研究制定，特別是統(tǒng)一的高層次標(biāo)準(zhǔn)，為云安全解決方案提供規(guī)范依據(jù)和技術(shù)基礎(chǔ)。各云服務(wù)商也需結(jié)合自身情況構(gòu)建自有的安全測試模型和安全評估標(biāo)準(zhǔn)，評估安全風(fēng)險。

（7）加強(qiáng)云安全的立法工作：目前我國已出臺了《網(wǎng)絡(luò)安全法》，只有將網(wǎng)絡(luò)安全提升到國家安全層面，只有加強(qiáng)監(jiān)管才能保證信息化的和諧發(fā)展和安全可控。要解決云服務(wù)的責(zé)任義務(wù)問題需從法律層面規(guī)定用戶隱私數(shù)據(jù)的重要性。只有依據(jù)完善的法規(guī)政府才能有效監(jiān)管云業(yè)務(wù)審查等工作。目前云服務(wù)商的信譽(yù)基本依靠用戶的認(rèn)同感，云環(huán)境還缺乏有效的規(guī)范和立法，云安全和大數(shù)據(jù)的相關(guān)規(guī)范和法律空白需要盡快填補(bǔ)。

3 結(jié)語

近幾年，智慧城市、物聯(lián)網(wǎng)、人工智能等新應(yīng)用模式蓬勃發(fā)展已印證了云計算和大數(shù)據(jù)在信息化時代的重要地位，政府也在大力推廣發(fā)展這些新興技術(shù)。信息化和網(wǎng)絡(luò)安全密不可分，云安全是云計算發(fā)展的重要保障。云安全面臨的挑戰(zhàn)是復(fù)雜多變的，我們必須重視云安全的研究，完善云安全相關(guān)的政策法規(guī)，真正化解云平臺中的各種威脅，充分發(fā)揮云服務(wù)的優(yōu)勢避其劣勢，共同努力讓云技術(shù)更好地為社會發(fā)展和人民生活水平提高服務(wù)。

[1] 梁智強(qiáng),林丹生,黃汝成.基于大數(shù)據(jù)與云計算的新型云安全管理模式[J]. 自動化與儀器儀表. 2018.

[2] 尚政宇,邱菊,云計算的安全問題及挑戰(zhàn)[J]. 電腦知識與技術(shù). 2016.

[3] 譚天,袁嵩,肖潔.云計算安全問題研究[J]. 計算機(jī)技術(shù)與發(fā)展. 2016.

[4] 劉銀平,穆良知.基于大數(shù)據(jù)分析的云安全管理系統(tǒng)設(shè)計[J]. 中國信息安全. 2015.018.