云計(jì)算的網(wǎng)絡(luò)安全威脅與應(yīng)對(duì)策略

范唐鶴

湖北工程職業(yè)學(xué)院，湖北黃石 435000

云計(jì)算的網(wǎng)絡(luò)安全威脅與應(yīng)對(duì)策略

范唐鶴

湖北工程職業(yè)學(xué)院，湖北黃石 435000

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展進(jìn)步，云計(jì)算進(jìn)一步為人們的生活提供便利。用戶可以從云平臺(tái)獲取各種需要的服務(wù)，比如下載資料、獲取應(yīng)用程序和疑難問題的解答等?？梢娫朴?jì)算給用戶提供的是虛擬化的存儲(chǔ)于云平臺(tái)上的資源。通過云計(jì)算概念和類型的闡述，分析了當(dāng)今云計(jì)算面臨的安全威脅與應(yīng)對(duì)策略，以期對(duì)云計(jì)算的安全應(yīng)用盡綿薄之力。

云計(jì)算；網(wǎng)絡(luò)安全；策略

對(duì)于云計(jì)算的概念，中外學(xué)者始終莫衷一是，目前國(guó)內(nèi)比較認(rèn)同的定義是：以互聯(lián)網(wǎng)為載體，為用戶提供可以自由應(yīng)用且價(jià)格低廉的分布式計(jì)算能力的網(wǎng)絡(luò)應(yīng)用模式。筆者認(rèn)為，云計(jì)算是一種基于互聯(lián)網(wǎng)和遠(yuǎn)程服務(wù)器來維護(hù)數(shù)據(jù)和應(yīng)用程序的網(wǎng)絡(luò)服務(wù)模式。以互聯(lián)網(wǎng)為載體，云計(jì)算能夠提供用戶需要的資源，并替用戶創(chuàng)造一定的經(jīng)濟(jì)收益。隨著國(guó)際商業(yè)機(jī)器公司和谷歌對(duì)云計(jì)算的嘗試推廣，云計(jì)算從美國(guó)大學(xué)校園走入各大網(wǎng)絡(luò)巨頭的視野。通過不斷地研究開發(fā)，云計(jì)算已經(jīng)成為網(wǎng)絡(luò)世界的新寵。云計(jì)算減少了用戶對(duì)硬件設(shè)施以及軟件許可系統(tǒng)的維護(hù)成本，實(shí)現(xiàn)資源“私人定制”，對(duì)用戶需求快速反饋，利用互聯(lián)網(wǎng)對(duì)云平臺(tái)上的各種服務(wù)應(yīng)用，方便用戶資源接入寬帶互聯(lián)網(wǎng)。目前云計(jì)算面臨著各種威脅攻擊和風(fēng)險(xiǎn)。

1 云計(jì)算的服務(wù)模式與部署模式

云計(jì)算的服務(wù)模式大體可以分為三類：SaaS(軟件即服務(wù))、PaaS(平臺(tái)即服務(wù))以及LaaS（基礎(chǔ)設(shè)施即服務(wù)）。軟件即服務(wù)指的是云服務(wù)提供商向用戶提供軟件服務(wù)的模式，用戶無需購(gòu)買相關(guān)軟件。平臺(tái)即服務(wù)，顧名思義，提供的是開發(fā)環(huán)境、計(jì)算環(huán)境等平臺(tái)。云計(jì)算提供商將系統(tǒng)環(huán)境以及開發(fā)環(huán)境提供給使用者，用戶無需購(gòu)買服務(wù)器就可進(jìn)行應(yīng)用程序的開發(fā)?；A(chǔ)設(shè)施，即服務(wù)，指的是把存儲(chǔ)、硬件等基礎(chǔ)硬件設(shè)施以及數(shù)據(jù)分配給用戶的服務(wù)模式。以上三種服務(wù)模式基于Web實(shí)現(xiàn)資源分配，由云服務(wù)提供商進(jìn)行管理、實(shí)行操作與維護(hù)。

NIST將云計(jì)算劃分為公有云、私有云、混合云以及社區(qū)云四種部署模式。其中公有云提供簡(jiǎn)單基礎(chǔ)的服務(wù)給公共用戶，比如網(wǎng)絡(luò)應(yīng)用等，可以通過網(wǎng)絡(luò)向提供商直接獲取，由大眾公用的機(jī)構(gòu)建設(shè)管理。私有云對(duì)制定的某一個(gè)企業(yè)提供服務(wù)，并且不能被非該企業(yè)的人進(jìn)入獲取資源，由該企業(yè)自己負(fù)責(zé)管理維護(hù)。混合云是多種云計(jì)算模式的混合，并能發(fā)揮各自的特點(diǎn)與優(yōu)勢(shì)，比如可以把公有云與私有云進(jìn)行混合。社區(qū)云類似于社區(qū)管理，由目標(biāo)相似的公司與相聯(lián)系的小組承擔(dān)成本，資源在社區(qū)內(nèi)共享。

2 云計(jì)算面臨的安全問題

2.1 可擴(kuò)展標(biāo)記語(yǔ)言簽名包裝與瀏覽器安全性

可擴(kuò)展語(yǔ)言（XML）簽名包裝屬于Web服務(wù)攻擊漏洞。XML最初的作用是保護(hù)屬性與值以及組件名，令其不受非法攻擊，但它在公文中的位置無法隱藏，所以很容易遭受SOAP消息攜帶內(nèi)容攻擊組件攻擊。用戶發(fā)送的請(qǐng)求由Web瀏覽器執(zhí)行，瀏覽器安全性的保護(hù)由SSL加密授權(quán)實(shí)現(xiàn)，但存在第三方將加密數(shù)據(jù)解密的風(fēng)險(xiǎn)。攻擊者安裝的窺探包可以截獲合法用戶的認(rèn)證資料并在云系統(tǒng)無法查出其非法性。

2.2 云惡意軟件注入攻擊

如果惡意攻擊軟件進(jìn)入云架構(gòu)，黑客對(duì)惡意軟件關(guān)注使之合法化。用戶向惡意軟件發(fā)出請(qǐng)求命令，惡意軟件將被執(zhí)行。黑客進(jìn)一步向云架構(gòu)傳輸病毒木馬，如果通過云架構(gòu)的審查，當(dāng)作合法化服務(wù)請(qǐng)求命令被執(zhí)行，病毒也就能夠進(jìn)行云架構(gòu)的傳播，云架構(gòu)的安全遭到病毒的破壞，用戶成為遭受攻擊的目標(biāo)，云平臺(tái)將病毒通過用戶發(fā)出的請(qǐng)求傳送給用戶，最終導(dǎo)致用戶的終端遭受病毒的感染。攻擊者惡意注入的攻擊可以破壞正常的服務(wù)與應(yīng)用程序以及虛擬機(jī)。

2.3 洪流攻擊

洪流攻擊是對(duì)云系統(tǒng)公開攻擊的行為。由于云系統(tǒng)使用者的不斷增加，云系統(tǒng)以之前的規(guī)模很難滿足用戶的需求，所以云系統(tǒng)也在擴(kuò)展規(guī)模。洪流攻擊利用云系統(tǒng)向用戶提供可擴(kuò)展資源的特點(diǎn)，向中央服務(wù)器不間斷發(fā)送無意義的請(qǐng)求，使系統(tǒng)認(rèn)為資源請(qǐng)求過多而決絕其他用戶的合法請(qǐng)求命令。如此反復(fù)不斷進(jìn)行攻擊，可以將系統(tǒng)資源耗竭，難以為合法用戶提供服務(wù)。DoS攻擊可以使使用者花費(fèi)額外費(fèi)用，云服務(wù)提供商支付相應(yīng)費(fèi)用進(jìn)行賠償。

2.4 數(shù)據(jù)存儲(chǔ)與刪除與丟失

由于云服務(wù)的特殊性，用戶數(shù)據(jù)保存在云端而不是用戶自己保存，如果云計(jì)算服務(wù)提供商管理人員疏忽大意或者主動(dòng)窺探用戶數(shù)據(jù)，造成云端數(shù)據(jù)的泄露讓用戶遭受損失。數(shù)據(jù)刪除問題、由于云服務(wù)自身的特點(diǎn)，數(shù)據(jù)副本可能被放置在不同的服務(wù)器上，所以云服務(wù)的數(shù)據(jù)刪除徹底不徹底對(duì)云服務(wù)的安全至關(guān)重要。即使用戶已經(jīng)刪除了相關(guān)的云端資源，但這個(gè)資源或許存放于不同的虛擬機(jī)系統(tǒng)，這部分虛擬機(jī)在用戶刪除資源時(shí)存在不可用情況，因而用戶很難把這一數(shù)據(jù)徹底刪除掉。如果云服務(wù)提供商突然倒閉，用戶所有的基礎(chǔ)設(shè)施將會(huì)不復(fù)存在，對(duì)用戶造成直接的損失，因而需要采取措施對(duì)用現(xiàn)有的技術(shù)進(jìn)行存儲(chǔ)鎖定，或者進(jìn)行備份處理，以應(yīng)對(duì)突發(fā)狀況。

3 云計(jì)算安全問題解決措施

3.1 應(yīng)對(duì)可擴(kuò)展標(biāo)記語(yǔ)言簽名包裝與瀏覽器安全性問題的策略

可擴(kuò)展標(biāo)記語(yǔ)言簽名包裝問題可以使用第三方授權(quán)的數(shù)字證書和WS-Security的XML簽名組件能夠拒絕攜帶惡意信息與客戶端的非法信息，實(shí)現(xiàn)云計(jì)算的安全；瀏覽器的安全性同樣可以借助WS-security 解決，由于WS-security的工作由信息層實(shí)現(xiàn)，XML對(duì)SOAP多次加密處理后可以應(yīng)對(duì)瀏覽器安全問題。

3.2 應(yīng)對(duì)云惡意軟件注入與洪流攻擊的策略

應(yīng)對(duì)云惡意軟件注入攻擊目前尚無技術(shù)層面的有效對(duì)策，因此需要用戶對(duì)收到的信息必須認(rèn)真進(jìn)行真實(shí)性檢查，以防止因疏忽大意給攻擊者可乘之機(jī)，使云計(jì)算服務(wù)的安全遭受威脅；應(yīng)對(duì)洪流攻擊，可以部署入侵檢測(cè)系統(tǒng)，將惡意請(qǐng)求過濾掉，啟動(dòng)防火墻就能對(duì)洪流攻擊進(jìn)行攔截，以達(dá)到保護(hù)云計(jì)算服務(wù)的目的。

3.3 應(yīng)對(duì)數(shù)據(jù)存儲(chǔ)、刪除與丟失的策略

對(duì)于數(shù)據(jù)存儲(chǔ)的安全問題，僅僅加強(qiáng)管理人員的工作態(tài)度與相關(guān)管理是不夠的，需要通過加密技術(shù)對(duì)用戶云端的數(shù)據(jù)進(jìn)行加密處理，這樣數(shù)據(jù)外泄的情況可以避免，數(shù)據(jù)不能查看后可以防止工作人員的故意泄露用戶信息；保護(hù)數(shù)據(jù)由虛擬化的私有網(wǎng)絡(luò)來執(zhí)行，運(yùn)用專用的查詢工具，查詢到數(shù)據(jù)是否已經(jīng)徹底刪除，進(jìn)而使云端數(shù)據(jù)刪除不徹底的問題得以消除；應(yīng)對(duì)數(shù)據(jù)設(shè)備可能丟失的風(fēng)險(xiǎn)，用戶可以盡量選擇以應(yīng)用程序?yàn)橹鞯墓芾砉ぞ呋蛳嚓P(guān)服務(wù)，一旦云服務(wù)提供商出現(xiàn)意外情況也不會(huì)對(duì)用戶造成太大損失。

4 云計(jì)算存在的網(wǎng)絡(luò)問題與對(duì)策

云計(jì)算的網(wǎng)絡(luò)問題同樣值得重視，比如常見的網(wǎng)絡(luò)嗅探、中間人攻擊和拒絕服務(wù)攻擊等。網(wǎng)絡(luò)嗅探是網(wǎng)絡(luò)管理人員的一種檢查工具，可以對(duì)網(wǎng)絡(luò)性能與安全漏洞進(jìn)行檢測(cè)，如果被惡意攻擊者利用，截獲用戶數(shù)據(jù)，可以使用全方位加密技術(shù)防止數(shù)據(jù)丟失；中間人攻擊是指在用戶不覺察的情況下黑客攔截用戶信息進(jìn)行篡改監(jiān)控，需要安裝SSL并利用第三方對(duì)其安裝配置進(jìn)行安全監(jiān)測(cè)，以應(yīng)對(duì)中間人攻擊；拒絕服務(wù)攻擊是指黑客通過各種手段攻擊服務(wù)器使其死機(jī)或者不能提供服務(wù)，連接到服務(wù)器的用戶權(quán)限削減，可以減少拒絕服務(wù)攻擊的概率。

5 結(jié)論

計(jì)算機(jī)技術(shù)的發(fā)展進(jìn)步使云計(jì)算越來越成熟，云計(jì)算的出現(xiàn)也大大方便了人們的日常生活，但云計(jì)算的安全問題依然令人擔(dān)憂。本文由云計(jì)算的概念入手，簡(jiǎn)要介紹了云計(jì)算的幾種服務(wù)模式和部署模式，分析了云計(jì)算面臨的可擴(kuò)展語(yǔ)言簽名包裝問題、云惡意軟件攻擊、洪流攻擊、瀏覽器安全性、數(shù)據(jù)存儲(chǔ)與刪除以及設(shè)備的丟失等安全，并提出了相應(yīng)的解決措施，以便對(duì)大家更加安心方便的使用云計(jì)算服務(wù)提供幫助，對(duì)云計(jì)算的相關(guān)研究提供借鑒。

[1]黨衛(wèi)紅.云計(jì)算的安全防護(hù)策略分析與研究[J].讀與寫雜志，2010（5）.

[2]黃志宏，巫莉莉，張波.基于云計(jì)算的網(wǎng)絡(luò)安全威脅及防范[J].重慶理工大學(xué)學(xué)報(bào)，2012（8）.

TP3

A

1674-6708（2015）149-0033-02