云計(jì)算環(huán)境下信息安全分析與對(duì)策研究

杜全勝

(1.安徽淮北煤電技師學(xué)院,安徽淮北 235000;2.安徽礦業(yè)職業(yè)技術(shù)學(xué)院,安徽淮北 235000)

云計(jì)算環(huán)境下信息安全分析與對(duì)策研究

杜全勝1,2

(1.安徽淮北煤電技師學(xué)院,安徽淮北 235000;2.安徽礦業(yè)職業(yè)技術(shù)學(xué)院,安徽淮北 235000)

短短幾年,云計(jì)算從誕生之初的計(jì)算機(jī)學(xué)術(shù)理論,發(fā)展成為信息技術(shù)的新革命,它為互聯(lián)網(wǎng)用戶(hù)提供強(qiáng)大和高效的計(jì)算應(yīng)用服務(wù)。但是信息安全問(wèn)題成為了制約其發(fā)展的絆腳石,解決云計(jì)算的信息安全問(wèn)題成為了眾多云計(jì)算組織和專(zhuān)家研究的焦點(diǎn)。本文主要針對(duì)云計(jì)算所面臨的安全風(fēng)險(xiǎn)進(jìn)行分析,以及提供了一些對(duì)策以供參考。

云計(jì)算 信息安全 網(wǎng)絡(luò)

近幾年，云計(jì)算由當(dāng)初的信息技術(shù)領(lǐng)域的學(xué)術(shù)焦點(diǎn)，轉(zhuǎn)變?yōu)槠髽I(yè)和用戶(hù)大規(guī)模應(yīng)用的計(jì)算機(jī)技術(shù)的新型革命，其被稱(chēng)為IT產(chǎn)業(yè)革命的第三次變革。云計(jì)算以“網(wǎng)絡(luò)就是計(jì)算機(jī)”的創(chuàng)新思維，將跨越地域與空間的計(jì)算軟硬件資源鏈接為一個(gè)整體，提供了一個(gè)超大規(guī)模的的信息存儲(chǔ)與計(jì)算中心，為無(wú)數(shù)的互聯(lián)網(wǎng)用戶(hù)提供近乎無(wú)限的信息存儲(chǔ)和計(jì)算服務(wù)。當(dāng)然，和其他新技術(shù)一樣，云計(jì)算不免要遇到制約其發(fā)展的諸多問(wèn)題，而信息安全則是最重要的關(guān)鍵性問(wèn)題。并且從近幾年云計(jì)算諸多安全事件的發(fā)生來(lái)看，信息安全問(wèn)題呈逐步上升的態(tài)勢(shì)，愈發(fā)減緩了云計(jì)算應(yīng)用和普及的腳步。

1 云計(jì)算簡(jiǎn)介

1.1 云計(jì)算的概念

云計(jì)算(Cloud Computing)這個(gè)新名詞誕生于2007年，不同的組織和專(zhuān)家都試圖對(duì)云計(jì)算進(jìn)行定義，對(duì)于云計(jì)算的解釋?zhuān)彩潜娍诓灰?。在目前，比較被大家所認(rèn)可的是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)對(duì)云計(jì)算的定義：云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪(fǎng)問(wèn)，進(jìn)入可配置的計(jì)算資源共享池(資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù))，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。

1.2 云計(jì)算體系架構(gòu)

云計(jì)算的體系架構(gòu)大致分為三層，由下到上分別為基礎(chǔ)管理層、應(yīng)用接口層和訪(fǎng)問(wèn)層?；A(chǔ)管理層負(fù)責(zé)解決計(jì)算軟硬件資源的共享問(wèn)題，應(yīng)用接口層所注重的是為用戶(hù)提供服務(wù)的方式方法，而訪(fǎng)問(wèn)層則具體來(lái)實(shí)現(xiàn)用戶(hù)所需要的各種應(yīng)用。

1.3 云計(jì)算的特征

云計(jì)算是一個(gè)很具有包容性的概念，它的計(jì)算模型囊括了分布式計(jì)算、網(wǎng)格計(jì)算、并行計(jì)算等多種計(jì)算模式，它所提供的是超大規(guī)模的分布式網(wǎng)絡(luò)環(huán)境，而它的核心則是強(qiáng)大的數(shù)據(jù)存儲(chǔ)和虛擬軟硬件服務(wù)。云計(jì)算的特點(diǎn)如下：

(1)高可靠性：計(jì)算節(jié)點(diǎn)同構(gòu)可互換、數(shù)據(jù)多副本容錯(cuò)等多種措施是云計(jì)算的可靠性保障，因此，相對(duì)于傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)終端而言，它的可靠性級(jí)別當(dāng)然要更高。(2)超大規(guī)模：云計(jì)算服務(wù)是基于大規(guī)模的計(jì)算服務(wù)節(jié)點(diǎn)而構(gòu)成的，這個(gè)系統(tǒng)的規(guī)模相較傳統(tǒng)的計(jì)算規(guī)模而言，顯然是更加巨大近乎無(wú)限的。例如，谷歌的云計(jì)算服務(wù)器夸張的擁有量達(dá)到100萬(wàn)臺(tái)，而微軟、IBM等云計(jì)算供應(yīng)商的服務(wù)器也達(dá)到幾十萬(wàn)之多。(3)高可擴(kuò)展性：云的即插即用模式?jīng)Q定了云規(guī)模的動(dòng)態(tài)增減特性，資源的可擴(kuò)展和用戶(hù)的規(guī)模增長(zhǎng)都是可以輕松實(shí)現(xiàn)的。(4)通用性：云計(jì)算所提供的服務(wù)并不針對(duì)單一或是特定的應(yīng)用，在云計(jì)算平臺(tái)上，云計(jì)算服務(wù)商可以搭建變化萬(wàn)千的應(yīng)用服務(wù)，同時(shí)這些應(yīng)用的種類(lèi)也是不受限制的。(5)跨地域式的資源整合：云計(jì)算能夠?qū)⒉煌臻g和地域的資源進(jìn)行統(tǒng)一的整合，把跨地域的資源整合成一個(gè)整體來(lái)對(duì)用戶(hù)提供服務(wù)，并且通過(guò)先進(jìn)的技術(shù)來(lái)實(shí)現(xiàn)計(jì)算節(jié)點(diǎn)間的負(fù)載均衡。(6)廉價(jià)性：對(duì)于云計(jì)算的用戶(hù)而言，云計(jì)算最吸引人的好處之一是用戶(hù)不必再對(duì)應(yīng)用需求進(jìn)行高昂的軟硬件投資和后續(xù)繁雜的管理維護(hù)，只要使用廉價(jià)的節(jié)點(diǎn)即可加入云計(jì)算環(huán)境進(jìn)行應(yīng)用操作，其他一切交給云計(jì)算服務(wù)商來(lái)解決，用戶(hù)只需關(guān)注自己的應(yīng)用即可，這種模式即解決了資金的大量投入問(wèn)題，也節(jié)省了用戶(hù)大量的精力。

2 云計(jì)算環(huán)境下信息安全所面臨的風(fēng)險(xiǎn)分析

任何計(jì)算機(jī)新技術(shù)都會(huì)面臨諸多的問(wèn)題和挑戰(zhàn)，在云計(jì)算自然也不例外。各類(lèi)問(wèn)題，如云計(jì)算的組織和公司眾多，如何制定統(tǒng)一的標(biāo)準(zhǔn)來(lái)執(zhí)行；云計(jì)算需要穩(wěn)定和高速的計(jì)算機(jī)網(wǎng)絡(luò)來(lái)支持，如何保證網(wǎng)絡(luò)的高速高可靠性，顯然不是云計(jì)算提供商單方面能解決的問(wèn)題。當(dāng)然，正如計(jì)算機(jī)網(wǎng)絡(luò)從誕生到發(fā)展應(yīng)用，網(wǎng)絡(luò)安全一直在困擾和威脅著網(wǎng)絡(luò)應(yīng)用，云計(jì)算的安全問(wèn)題也成為制約其發(fā)展的最大絆腳石，安全可靠是用戶(hù)檢驗(yàn)云計(jì)算的是否能夠采用的最大依據(jù)。云計(jì)算安全除了傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的的信息安全風(fēng)險(xiǎn)以外，龐大的規(guī)模，各類(lèi)支撐技術(shù)如虛擬化技術(shù)、多租戶(hù)技術(shù)所帶來(lái)的新風(fēng)險(xiǎn)，使得云計(jì)算信息安全風(fēng)險(xiǎn)的負(fù)責(zé)度和等級(jí)較之傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)要更高。其主要存在的安全風(fēng)險(xiǎn)大致如下：

2.1 網(wǎng)絡(luò)邊界模糊所帶來(lái)的安全風(fēng)險(xiǎn)

在云計(jì)算環(huán)境下，大量虛擬化技術(shù)及資源池化技術(shù)的運(yùn)用，使得云計(jì)算資源池內(nèi)的硬件資源如服務(wù)器、存儲(chǔ)設(shè)備等硬件基礎(chǔ)設(shè)施高度整合，同時(shí)終端用戶(hù)龐大的數(shù)量和應(yīng)用需求，使得無(wú)法象傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)那樣來(lái)清晰界定安全邊界，因此必須要調(diào)整傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)手段，實(shí)現(xiàn)對(duì)用戶(hù)服務(wù)的安全保障。

2.2 數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)

云計(jì)算環(huán)境下，用戶(hù)的應(yīng)用需求都要由云來(lái)實(shí)現(xiàn)，用戶(hù)只是通過(guò)一個(gè)簡(jiǎn)單的終端連入云，無(wú)論是數(shù)據(jù)的存儲(chǔ)傳輸還是數(shù)據(jù)處理都是交由云計(jì)算來(lái)完成。無(wú)論是數(shù)據(jù)的傳輸過(guò)程還是處理過(guò)程都要完全依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)完成，計(jì)算機(jī)網(wǎng)絡(luò)所面臨的各類(lèi)風(fēng)險(xiǎn)也不可避免的轉(zhuǎn)嫁到云計(jì)算的信息傳輸環(huán)節(jié)。

2.3 信息集中存儲(chǔ)所帶來(lái)的安全風(fēng)險(xiǎn)

云計(jì)算的信息傳輸是使用的加密技術(shù)多是SSL，但它僅僅是在網(wǎng)絡(luò)傳輸上對(duì)數(shù)據(jù)進(jìn)行加密，在服務(wù)器和存儲(chǔ)設(shè)備上進(jìn)行數(shù)據(jù)存儲(chǔ)和處理時(shí)并沒(méi)有有效的保護(hù)措施。并且在數(shù)據(jù)得處理階段，肯定是已解密的數(shù)據(jù)才能進(jìn)行處理，因此在這一環(huán)節(jié)的數(shù)據(jù)保護(hù)很難做到無(wú)安全風(fēng)險(xiǎn)。另外，用戶(hù)數(shù)據(jù)一旦從終端傳送到“云”中以后，用戶(hù)將不再清楚自己的數(shù)據(jù)被存到了哪兒，也即脫離了用戶(hù)的控制，完全由云計(jì)算供應(yīng)商來(lái)進(jìn)行管理，就好比是把命運(yùn)交到了別人手上，用戶(hù)即使擔(dān)心數(shù)據(jù)安全，也無(wú)能為力去做任何事情。

2.4 云服務(wù)器所面臨的安全風(fēng)險(xiǎn)

云計(jì)算環(huán)境下，就數(shù)據(jù)處理和資源管理而言，云服務(wù)器所面臨的壓力和負(fù)責(zé)度要遠(yuǎn)大于傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器。所有的用戶(hù)服務(wù)需求都要由云服務(wù)器和存儲(chǔ)設(shè)備來(lái)處理和實(shí)現(xiàn)，同時(shí)云環(huán)境又必須要求開(kāi)放的網(wǎng)絡(luò)環(huán)境，以及多架構(gòu)多用戶(hù)的應(yīng)用場(chǎng)景，這自然也帶來(lái)了更多的安全隱患。

3 云計(jì)算環(huán)境下信息安全對(duì)策分析

3.1 邊界安全

為了解決網(wǎng)絡(luò)邊界模糊所帶來(lái)的安全隱患，相應(yīng)的防護(hù)技術(shù)如防火墻、入侵檢測(cè)系統(tǒng)等腰進(jìn)行相應(yīng)的強(qiáng)化改造，以適應(yīng)云計(jì)算環(huán)境下的信息安全需求。云計(jì)算環(huán)境下，虛擬防火墻技術(shù)是通常采用的做法，它可以將一個(gè)物理防火墻進(jìn)行虛擬劃分，能對(duì)每個(gè)虛擬防火墻建立單獨(dú)的操作權(quán)限和進(jìn)程，通過(guò)虛擬防火墻，管理員可以隨時(shí)進(jìn)行云計(jì)算操作的監(jiān)控和策略調(diào)整，不同的業(yè)務(wù)使用不同的虛擬防火墻進(jìn)行監(jiān)控和保護(hù)，就能大大的降低安全風(fēng)險(xiǎn)。另外，對(duì)企業(yè)客戶(hù)而言，可以通過(guò)私有云來(lái)保證重要且關(guān)鍵也無(wú)得數(shù)據(jù)和應(yīng)用安全性。企業(yè)客戶(hù)可以單獨(dú)建立一個(gè)私有云，私有云可以是為一個(gè)客戶(hù)，也可以是針對(duì)客戶(hù)的某個(gè)關(guān)鍵性業(yè)務(wù)來(lái)服務(wù)，它能夠提供對(duì)更加安全的云計(jì)算環(huán)境。私有云的部署主要有兩種方式，一種是部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)，另一種是部署在一個(gè)安全的主機(jī)托管機(jī)構(gòu)。即私有云可以由企業(yè)自己的 IT 機(jī)構(gòu)來(lái)建立，也可以交由云提供商來(lái)建立。

3.2 數(shù)據(jù)傳輸安全

云計(jì)算的數(shù)據(jù)傳輸主要是兩種方式，一種是用戶(hù)與云服務(wù)器和存儲(chǔ)設(shè)備的數(shù)據(jù)傳輸，另一種是在云資源池內(nèi)，不同虛擬機(jī)之間所進(jìn)行的數(shù)據(jù)傳輸。無(wú)論是前者還是后一種傳輸方式，都在在數(shù)據(jù)的傳輸過(guò)程進(jìn)行加密解密，也即數(shù)據(jù)離開(kāi)傳送之前必須進(jìn)行加密，到了接收端后再進(jìn)行解密。云計(jì)算數(shù)據(jù)傳輸所使用的加密技術(shù)主要是基于SSL協(xié)議來(lái)實(shí)現(xiàn)。而針對(duì)安全級(jí)別要求高的應(yīng)用，還可以采取同態(tài)加密機(jī)制來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?/p>

3.3 數(shù)據(jù)存儲(chǔ)安全

前面的分析清晰的描述了數(shù)據(jù)傳輸和存儲(chǔ)的方式，數(shù)據(jù)在云存儲(chǔ)設(shè)備中是不會(huì)進(jìn)行加密的。這時(shí)，數(shù)據(jù)的機(jī)密性和完整性都無(wú)法得到保障。因此云計(jì)算的使用中，用戶(hù)必須對(duì)重要和機(jī)密數(shù)據(jù)進(jìn)行加密，再進(jìn)行云計(jì)算傳輸和處理。當(dāng)然加密會(huì)降低數(shù)據(jù)的使用效率，用戶(hù)就必須在加密前對(duì)數(shù)據(jù)進(jìn)行機(jī)密等級(jí)評(píng)估，確定是否要對(duì)數(shù)據(jù)進(jìn)行加密。

3.4 云服務(wù)器安全

要保證云服務(wù)器的安全，首先要做好云服務(wù)器的黑客攻擊及病毒防護(hù)系統(tǒng)的構(gòu)建，并保證系統(tǒng)補(bǔ)丁的及時(shí)升級(jí)。當(dāng)然云計(jì)算機(jī)的先進(jìn)模式和傳統(tǒng)計(jì)算機(jī)防護(hù)模式不同，可以在云服務(wù)器中安裝病毒防護(hù)系統(tǒng)的虛擬服務(wù)器，并在其他系統(tǒng)中安裝分布式探測(cè)引擎，達(dá)到防護(hù)系統(tǒng)查殺和升級(jí)的分布式處理。同時(shí)，云服務(wù)器自身的操作系統(tǒng)安全對(duì)也是不容忽視的，具有更先進(jìn)的安全訪(fǎng)問(wèn)控制機(jī)制的云操作系統(tǒng)更應(yīng)該要優(yōu)先考慮。

4 結(jié)語(yǔ)

云計(jì)算是今后的發(fā)展將是無(wú)可限量的，隨著它的應(yīng)用和普及，信息安全問(wèn)題無(wú)法忽視。無(wú)論是對(duì)企業(yè)用戶(hù)，還是對(duì)云計(jì)算供應(yīng)商而言，信息安全問(wèn)題都是必須清醒認(rèn)識(shí)和認(rèn)真對(duì)待解決的。只有克服了信息安全問(wèn)題，云計(jì)算才能為用戶(hù)提供更高效更可靠的應(yīng)用服務(wù)。

[1]沈昌祥.云計(jì)算安全[J].信息安全與通信保,2010(12)：12-15.

[2]黨衛(wèi)紅.云計(jì)算的安全防護(hù)策略分析與研究[J].讀與寫(xiě)雜志,2010(5)：79.

[3]黃志宏,巫莉莉,張波.基于云計(jì)算的網(wǎng)絡(luò)安全威脅及防范[J].重慶理工大學(xué)學(xué)報(bào),2012(8)：26.