云計(jì)算環(huán)境網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)路徑研究

張攀

【摘 ?要】云計(jì)算是通過分布式計(jì)算和虛擬化技術(shù)搭建數(shù)據(jù)中心，以按需方式提供數(shù)據(jù)存儲(chǔ)、分析以及科學(xué)計(jì)算等服務(wù)，實(shí)現(xiàn)了用戶對(duì)資源的按需獲取。然而應(yīng)用云計(jì)算會(huì)對(duì)網(wǎng)絡(luò)信息安全帶來更多的挑戰(zhàn)，加強(qiáng)云計(jì)算環(huán)境網(wǎng)絡(luò)信息安全實(shí)現(xiàn)路徑的研究具備現(xiàn)實(shí)意義。

【關(guān)鍵詞】云計(jì)算;網(wǎng)絡(luò)信息安全

引言

云計(jì)算使用硬件資源的集約性較高，用戶既可采用租賃方式購買公有云服務(wù)又可自建私有云。但使用云也給用戶帶來更多網(wǎng)絡(luò)信息安全方面的挑戰(zhàn)。

1、云計(jì)算環(huán)境下加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)的重要性

云計(jì)算環(huán)境中大量網(wǎng)絡(luò)設(shè)備、服務(wù)器及存儲(chǔ)設(shè)備、數(shù)據(jù)庫及中間件軟件、業(yè)務(wù)應(yīng)用軟件等軟硬件集中部署、統(tǒng)一管理。一旦發(fā)生網(wǎng)絡(luò)信息安全事故，可能造成應(yīng)用系統(tǒng)大面積宕機(jī)、業(yè)務(wù)大面積中斷、數(shù)據(jù)大面積丟失或泄露，給用戶帶來巨大的經(jīng)濟(jì)損失、造成巨大社會(huì)負(fù)面影響甚至危害公共安全和國(guó)家安全。我們應(yīng)充分認(rèn)識(shí)到對(duì)云計(jì)算環(huán)境加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)的重要性和必要性，確保云計(jì)算環(huán)境中所有硬件設(shè)備的穩(wěn)定運(yùn)行、業(yè)務(wù)應(yīng)用服務(wù)的不中斷提供，所有業(yè)務(wù)數(shù)據(jù)的可用性、完整性、保密性。

2、云計(jì)算環(huán)境面臨的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析

2.1物理層安全風(fēng)險(xiǎn)

物理層安全指整個(gè)云計(jì)算環(huán)境最底層的信息機(jī)房、通信線路、硬件設(shè)備等基礎(chǔ)設(shè)施的安全。其安全風(fēng)險(xiǎn)主要是對(duì)物理機(jī)房環(huán)境及設(shè)備穩(wěn)定運(yùn)行缺乏有效技術(shù)保障和管理。

2.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2.2.1網(wǎng)絡(luò)通信鏈路的安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)通信鏈路面臨的安全風(fēng)險(xiǎn)主要體現(xiàn)在傳輸線路被竊聽，傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)被非法的第三方截獲和篡改。

2.2.2網(wǎng)絡(luò)訪問的安全風(fēng)險(xiǎn)

沒有進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)訪問控制、沒有對(duì)終端接入和網(wǎng)絡(luò)地址的使用進(jìn)行適當(dāng)限制、對(duì)網(wǎng)絡(luò)訪問行為沒有監(jiān)管和審計(jì)措施。

2.3主機(jī)安全風(fēng)險(xiǎn)

主要指云計(jì)算環(huán)境中服務(wù)器及運(yùn)行在其上的應(yīng)用平臺(tái)系統(tǒng)所面臨安全風(fēng)險(xiǎn)：

●非法訪問：非法用戶通過網(wǎng)絡(luò)監(jiān)聽、暴力破解或社會(huì)工程等手段獲取系統(tǒng)訪問權(quán)限甚至完全控制系統(tǒng);

●拒絕服務(wù)攻擊：利用網(wǎng)絡(luò)通訊協(xié)議缺陷和操作系統(tǒng)開放端口，對(duì)服務(wù)器發(fā)動(dòng)拒絕服務(wù)攻擊，造成系統(tǒng)崩潰或無法提供服務(wù);

●計(jì)算機(jī)病毒：服務(wù)器感染病毒對(duì)所有訪問終端構(gòu)成威脅;

●缺乏審計(jì)能力：對(duì)系統(tǒng)的運(yùn)行情況和用戶的操作行為缺乏有效審計(jì)手段。

2.4應(yīng)用安全風(fēng)險(xiǎn)

業(yè)務(wù)應(yīng)用系統(tǒng)的主要安全風(fēng)險(xiǎn)：

●用戶身份假冒：應(yīng)用系統(tǒng)的身份認(rèn)證機(jī)制薄弱，賬戶密碼信息被破解導(dǎo)致非法用戶假冒合法用戶的身份訪問應(yīng)用資源

●非授權(quán)訪問：應(yīng)用程序存在后門、隱通道、陷阱等導(dǎo)致非法用戶或者合法用戶訪問在其權(quán)限之外的系統(tǒng)資源。

●互聯(lián)網(wǎng)訪問：對(duì)于云計(jì)算環(huán)境中需要提供互聯(lián)網(wǎng)訪問服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)，存在操作系統(tǒng)漏洞、數(shù)據(jù)庫軟件漏洞、第三方系統(tǒng)軟件漏洞、應(yīng)用程序漏洞被互聯(lián)網(wǎng)黑客利用進(jìn)而獲取系統(tǒng)訪問權(quán)限的風(fēng)險(xiǎn)。

2.5數(shù)據(jù)安全風(fēng)險(xiǎn)

關(guān)鍵數(shù)據(jù)的存儲(chǔ)設(shè)備自身不可靠或設(shè)備無冗余，因存儲(chǔ)設(shè)備物理損壞或其他原因?qū)е略诰€數(shù)據(jù)丟失或破壞。

存放數(shù)據(jù)的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)自身缺乏控制和監(jiān)視手段來防止信息被篡改;數(shù)據(jù)傳輸過程無加密措施，攻擊者能夠通過線路偵聽等方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露;非法用戶利用“中間人攻擊”或“會(huì)話劫持”的手段，對(duì)報(bào)文內(nèi)容進(jìn)行修改或者通過刪減信息內(nèi)容等方式，造成對(duì)信息的破壞和失真;通過重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊。

3、云計(jì)算環(huán)境加強(qiáng)網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)路徑

3.1物理層面實(shí)現(xiàn)路徑

為確保部署在云計(jì)算環(huán)境的軟硬件設(shè)備安全穩(wěn)定運(yùn)行，物理機(jī)房應(yīng)滿足防塵、防火、防水、保溫等要求，應(yīng)具有配電系統(tǒng)、UPS電源裝置、防雷接地、過電壓保護(hù)、機(jī)房專用空調(diào)、新風(fēng)排風(fēng)、照明系統(tǒng)、消防系統(tǒng)、火災(zāi)自動(dòng)報(bào)警與聯(lián)動(dòng)系統(tǒng)、氣體滅火系統(tǒng)、門禁保安系統(tǒng)和漏水檢測(cè)系統(tǒng)等設(shè)施設(shè)備。配置集中監(jiān)控系統(tǒng)對(duì)上述設(shè)備進(jìn)行系統(tǒng)、實(shí)時(shí)、遠(yuǎn)程的管理。建立安全操作規(guī)程，基礎(chǔ)設(shè)施的運(yùn)行維護(hù)機(jī)制，對(duì)進(jìn)出機(jī)房進(jìn)行嚴(yán)格審批、登記管理。

3.2網(wǎng)絡(luò)層面實(shí)現(xiàn)路徑

針對(duì)高可用性，確保網(wǎng)絡(luò)設(shè)備和鏈路的冗余，避免因單點(diǎn)網(wǎng)絡(luò)設(shè)備或單鏈路導(dǎo)致業(yè)務(wù)應(yīng)用訪問中斷。

通過劃分安全區(qū)域?qū)崿F(xiàn)業(yè)務(wù)隔離，保證業(yè)務(wù)應(yīng)用的后端平臺(tái)和數(shù)據(jù)庫系統(tǒng)不被直接暴露在互聯(lián)網(wǎng)上，并設(shè)置白名單進(jìn)行訪問控制，增加非法入侵的難度。

采用防火墻技術(shù)，通過一系列安全策略（安全域隔離、訪問控制、地址轉(zhuǎn)換、應(yīng)用控制、會(huì)話監(jiān)控、日志審計(jì)、會(huì)話限制、地址綁定、身份認(rèn)證）對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，杜絕越權(quán)訪問，防止非法攻擊，抵御可能的DoS和DDoS攻擊。

應(yīng)用虛擬專用網(wǎng)（VPN）技術(shù)在服務(wù)器和終端設(shè)備之間建立安全的數(shù)據(jù)通道，防止網(wǎng)絡(luò)偵聽、數(shù)據(jù)篡改、中間人攻擊、重放攻擊等網(wǎng)絡(luò)層風(fēng)險(xiǎn)。

應(yīng)用入侵防護(hù)系統(tǒng)監(jiān)控云環(huán)境內(nèi)的計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并進(jìn)行分析，尋找試圖繞過安全機(jī)制的入侵行為并主動(dòng)進(jìn)行有效攔截。

應(yīng)用病毒安全網(wǎng)關(guān)技術(shù)切斷網(wǎng)絡(luò)病毒傳播途徑，進(jìn)行網(wǎng)關(guān)級(jí)的過濾控制，綜合過濾病毒、蠕蟲、網(wǎng)絡(luò)攻擊等行為。

應(yīng)用網(wǎng)絡(luò)安全審計(jì)技術(shù)全面詳實(shí)地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡(luò)行為，作為了解、發(fā)現(xiàn)、追查網(wǎng)絡(luò)安全事故的取證與分析的工具。

3.3主機(jī)安全實(shí)現(xiàn)

從強(qiáng)化主機(jī)和系統(tǒng)安全、打補(bǔ)丁、維護(hù)數(shù)據(jù)完整性、監(jiān)控系統(tǒng)狀態(tài)、系統(tǒng)準(zhǔn)入控制等方面入手，實(shí)現(xiàn)主機(jī)入侵防護(hù)、主機(jī)資源控制、邊界完整性和惡意代碼防護(hù)等安全防護(hù)。

針對(duì)網(wǎng)站系統(tǒng)應(yīng)用網(wǎng)頁防篡改系統(tǒng)通過實(shí)時(shí)監(jiān)控、實(shí)時(shí)報(bào)警和自動(dòng)恢復(fù)等功能為用戶Web站點(diǎn)提供實(shí)時(shí)安全保護(hù)，并通過日志實(shí)現(xiàn)對(duì)網(wǎng)站文件更新過程的全程監(jiān)控。

應(yīng)用漏洞掃描技術(shù)主動(dòng)掃描云計(jì)算環(huán)境中主機(jī)設(shè)備是否存在安全漏洞，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措施，實(shí)現(xiàn)安全自主掌控。

應(yīng)用主機(jī)審計(jì)技術(shù)（堡壘機(jī)），對(duì)登錄主機(jī)資源的所有用戶身份進(jìn)行認(rèn)證，所有的遠(yuǎn)程維護(hù)進(jìn)行審計(jì)，服務(wù)器上的所有操作行為進(jìn)行全記錄、全審計(jì)。

3.3應(yīng)用安全實(shí)現(xiàn)路徑

對(duì)云計(jì)算環(huán)境中各業(yè)務(wù)系統(tǒng)統(tǒng)一部署PKI/CA系統(tǒng)集成PKI/CA系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證和訪問控制。增加數(shù)據(jù)簽名功能，進(jìn)一步的提高安全性。

云計(jì)算環(huán)境中各應(yīng)用軟件開發(fā)商應(yīng)持續(xù)對(duì)其應(yīng)用程序運(yùn)行的操作系統(tǒng)、開源軟件框架進(jìn)行升級(jí)、打補(bǔ)丁等工作。同時(shí)對(duì)自身開發(fā)的軟件程序不斷優(yōu)化完善系統(tǒng)安全機(jī)制，如用戶弱密碼限制、口令多次錯(cuò)誤賬號(hào)鎖定、使用HTTPS加密傳輸協(xié)議、賬戶權(quán)限最小化處理、使用多種方式相結(jié)合的登陸認(rèn)證措施。

3.4數(shù)據(jù)安全實(shí)現(xiàn)路徑

配備數(shù)據(jù)備份軟硬件設(shè)備，制定可靠的數(shù)據(jù)備份與災(zāi)難恢復(fù)方案，確保數(shù)據(jù)可用性。

應(yīng)用數(shù)據(jù)庫軟件本身審計(jì)功能或第三方的數(shù)據(jù)庫審計(jì)系統(tǒng)全面捕捉數(shù)據(jù)訪問、數(shù)據(jù)庫配置變化以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫非法行為的事前預(yù)防、實(shí)時(shí)告警、事后追查，確保數(shù)據(jù)變更的合法性，保持其準(zhǔn)確性。

應(yīng)用程序開發(fā)商可在應(yīng)用程序中使用HTTPS等數(shù)據(jù)加密傳輸協(xié)議對(duì)數(shù)據(jù)傳輸過程中的數(shù)據(jù)進(jìn)行加密，使用數(shù)據(jù)加密算法對(duì)需要存儲(chǔ)到數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行加密存儲(chǔ)，通過技術(shù)手段確保數(shù)據(jù)在傳輸和存儲(chǔ)環(huán)節(jié)的保密性。

結(jié)束語：目前云計(jì)算技術(shù)日益普及，但云計(jì)算環(huán)境下的網(wǎng)絡(luò)信息安全面臨更多挑戰(zhàn)，只有采用更多技術(shù)手段不斷加強(qiáng)網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)路徑研究，才能讓云計(jì)算技術(shù)更好的發(fā)揮其技術(shù)優(yōu)勢(shì)。

（作者單位：重慶市通信產(chǎn)業(yè)服務(wù)有限公司中冉信息分公司）