基于云計算平臺的信息安全隱患對策探討

劉潔 張曉玲

摘 要 本文從云計算的概念和發(fā)展入手，根據(jù)云計算環(huán)境的信息安全現(xiàn)狀，從云計算服務商、終端用戶、監(jiān)管方三個角度提出了云計算環(huán)境下的信息安全防護措施。

關鍵詞 云計算 虛擬化 信息安全

中圖分類號：TP393 文獻標識碼：A

1云計算的發(fā)展及云計算的概念

云計算自2006 年被Google 提出之后，就產(chǎn)生了巨大反響。就我國而言，云計算更合乎經(jīng)濟向服務型、高科技型轉變的趨勢，政府和醫(yī)療信息化、三網(wǎng)融合及大量迅速成長的電子商務應用，在我國云計算已經(jīng)從產(chǎn)生到實質發(fā)展階段。

關于云計算的定義，得到業(yè)界最廣泛接受的是2011年1月由美國國家標準和技術研究院（NIST）提出的：云計算是一種通過網(wǎng)絡以便捷、按需的形式從共享的可配置的計算資源池（這些資源包括網(wǎng)絡、服務器、存儲、應用和服務）中獲取服務的業(yè)務模式，云計算業(yè)務資源應支持快速部署和發(fā)布，使管理成本降到最低。

2云計算環(huán)境下安全隱患

云計算迅速發(fā)展的同時，也面臨著信息安全的巨大挑戰(zhàn)。目前安全問題已成為困擾云計算更大發(fā)展的一個最重要因素。某種程度上，關于云計算安全問題的解決與否及如何解決，將會直接決定云計算在未來的發(fā)展走勢。目前云計算環(huán)境存在以下隱患。

安全邊界不清晰：虛擬化技術是云計算的關鍵技術，服務器虛擬化，終端用戶數(shù)量非常龐大，實現(xiàn)共享的數(shù)據(jù)存放分散，無法像傳統(tǒng)網(wǎng)絡那樣清楚的定義安全邊界和保護措施。

數(shù)據(jù)安全隱患：根據(jù)云計算概念的理解，云計算的操作模式是將用戶數(shù)據(jù)和相應的計算任務交給全球運行的服務器網(wǎng)絡和數(shù)據(jù)庫系統(tǒng)，用戶數(shù)據(jù)的存儲、處理和保護等操作，都是在“云”中完成的，將有更多的業(yè)務數(shù)據(jù)、更詳細的個人隱私信息曝露在網(wǎng)絡上，也必然存在更大的泄露風險。

系統(tǒng)可靠性和穩(wěn)定性的隱患：云中存儲大量數(shù)據(jù)，很容易受到來自竊取服務或數(shù)據(jù)的惡意攻擊者、濫用資源的云計算用戶攻擊，當遇到嚴重攻擊時，云系統(tǒng)可能面臨崩潰的危險，無法提供高可靠性、穩(wěn)定的服務。

3云環(huán)境信息安全防護解決方案

3.1云服務提供商

從云服務提供商角度，安全防護方案：

（1）基礎網(wǎng)絡安全

基礎網(wǎng)絡是指地理位置不同的數(shù)據(jù)中心和用戶終端的互聯(lián)。采用可信網(wǎng)絡連接機制，對檢驗連接到通信網(wǎng)絡的設備進行可信，以防止非法接入設備?；A網(wǎng)絡安全設備性能要滿足與網(wǎng)絡相匹配的性能的需求，可以實現(xiàn)隨著業(yè)務發(fā)展需要，靈活的擴減防火墻、入侵防御、流量監(jiān)管、負載均衡等安全功能，實現(xiàn)安全和網(wǎng)絡設備高度融合。

（2）虛擬化服務安全

“按需服務”是云計算平臺的終極目標，只有借助虛擬化技術，才可能根據(jù)需求，提供個性化的應用服務和合理的資源分配。在云計算數(shù)據(jù)中心內部，采用VLAN和分布式虛擬交換機等技術，通過虛擬化實例間的邏輯劃分，實現(xiàn)不同用戶系統(tǒng)、網(wǎng)絡和數(shù)據(jù)的安全隔離。采用虛擬防火墻和虛擬設備管理軟件為虛擬機環(huán)境部署安全防護策略，采用防惡意軟件，建立補丁管理和版本管理機制，及時防范因虛擬化帶來的潛在安全隱患。

（3）用戶管理

實現(xiàn)用戶分級管理和用戶鑒權管理。每個虛擬設備都應具備獨立的管理員權限，實現(xiàn)用戶的分級管理，不同的級別具有不同的管理權限和訪問權限。支持用戶標識和用戶鑒別，采用受安全管理中心控制的令牌、口令及其他具有相應安全強度的兩種或兩種以上的組合機制進行用戶身份的鑒別，對鑒別數(shù)據(jù)進行保密性和完整性保護。

（4）數(shù)據(jù)傳輸安全

采用在云端部署SSL VPN 網(wǎng)關的接入方案，避免云環(huán)境下用戶的數(shù)據(jù)信息從終端到云計算環(huán)境的傳輸中，數(shù)據(jù)信息容易被截獲的隱患，以保證用戶端到云端數(shù)據(jù)的安全訪問和接入。

3.2云服務終端用戶

從終端用戶角度，安全防護方案：

（1）選擇信譽高的服務商

企業(yè)終端用戶應做風險評估，清楚數(shù)據(jù)存在云中和存儲在自己內部數(shù)據(jù)中心的潛在風險，比較各家云服務供應商，取得優(yōu)選者的服務水平保證。企業(yè)終端用戶應分清哪些服務和任務由公司內部的IT 人員負責、哪些服務和任務交由云服務供應商負責，避免惡意操作帶來的損失，也能保證服務的持久化。

（2）安裝防火墻

在用戶的終端上部署安全軟件，反惡意軟件、防病毒、個人防火墻等軟件。使用自動更新功能，定期完成瀏覽器打補丁和更新及殺毒工作，保證計算環(huán)境應用的安全。

（3）應用過濾器

目的在于監(jiān)視哪些數(shù)據(jù)離開了用戶的網(wǎng)絡，自動阻止敏感數(shù)據(jù)外泄。通過對過濾器系統(tǒng)進行安全配置，防止數(shù)據(jù)在用戶不知情的狀態(tài)下被泄露，避免用戶自身數(shù)據(jù)的安全性降低。

3.3云計算監(jiān)管方

目前我國云計算已經(jīng)發(fā)展到實質應用階段，國家有必要建立健全相關法律法規(guī)，積極研發(fā)和推廣具有自主技術的云產(chǎn)品，構建中國自己的云計算安全防御體系。

4結束語

解決云計算安全問題需要云計算的監(jiān)管方，云計算提供商，云計算的使用方等多方面的共同努力，相信我國云計算環(huán)境應用及服務必將朝著可信、可靠、可持續(xù)的方向健康發(fā)展。

河北省教育廳資助科研項目（Z2013037）

參考文獻

[1] 劉潔，薄祥臣.云計算環(huán)境下信息安全防護方案探討.網(wǎng)友世界，2013.

[2] NIST. http：//csrc.nist.gov/groups/SNS/cloud-computing/index.html

[3] 胡志昂，范紅.信息系統(tǒng)等級保護安全建設技術方案設計實現(xiàn)與應用[M ].電子工業(yè)出版社，2010.

[4] GB/T 25070-2010.信息安全技術信息系統(tǒng)等級保護安全設計技術要求[s].