試論云計算環(huán)境下的網絡安全問題

李洋

摘要：在信息互聯(lián)網高度發(fā)達的時代下，云計算的出現(xiàn)被稱為“革命性計算模型”的誕生，它在某種程度上代表著互聯(lián)網發(fā)展的新走向，徹底改變了人們使用電腦的習慣，逐漸從傳統(tǒng)的以桌面為核心的應用轉換為以Web為核心的應用活動。本文就云計算的概念和特征入手，并就云計算環(huán)境下的網絡安全問題進行探討。

關鍵詞：云計算；網絡安全；問題；對策

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）23-0046-02

在Internet應用技術快速發(fā)展和普及率越來越高的過程中，網絡用戶與網絡數(shù)據(jù)極速增長，這給計算機的處理能力提出更高的要求，除此以外，網絡資源的供需嚴重不平衡，當下的網絡資源亟待整合與優(yōu)化，云計算（Cloud Secure）則應運而生?？呻S之而來的卻是更多不一樣的網絡安全問題，而傳統(tǒng)的防護措施已難以有效的解決云計算環(huán)境下的相關問題，因此基于云計算理念的安全服務成為當前社會關注的焦點。

1 云計算概述

1.1云計算相關概念

云是對互聯(lián)網、網絡的一種比喻說法，而云計算則是時常以虛擬化存在的資源，其出現(xiàn)的基礎是互聯(lián)網相關服務的增多和使用、全新的交付模式。狹義上的“云計算”指的是IT基礎設施的使用模式和交付模式，以網絡為渠道，以需求為標準，用擴展的方式取得資源；廣義上的“云計算”指的是網絡服務的使用模式和交付模式，同樣以網絡為渠道，在實際需求的標準下，用擴展的方式獲得服務， 以企業(yè)運用為例，將總的計算數(shù)據(jù)分布于非本地大量的計算機上，這種情況下的企業(yè)數(shù)據(jù)中心就像是一個互聯(lián)網，對企業(yè)而言方便與在需要的時候隨時將資源切換到需要的應用上。這種互聯(lián)網環(huán)境的改變就好比單臺發(fā)電機運行模式變成了電廠集中供電的運行模式，這種變化即代表著計算能力就像水、電、煤氣一樣，是一種流動性的商品，最大的不同就是計算能力的傳輸渠道是互聯(lián)網。

1.2云計算的主要特征

第一，資源配置動態(tài)化。云計算對一切物理資源或者虛擬資源的劃分和釋放都是根據(jù)用戶的需求來決定的，而用戶的需求具有動態(tài)化的特征，不管是增加需求還是減少，都會通過需求的變化進行重新匹配或者釋放，從而實現(xiàn)快速且具有彈性的資源提供。第二，需求服務自主化。云計算為用戶提供的資源服務自助性更強，省去了很多中間環(huán)節(jié)，尤其是與提供商的交互流程，與此同時云計算在自助化資源服務的基礎上還為用戶提供了個性化的應用服務目錄，便于用戶更加自由的選擇[1]。第三，服務可計量化。云計算以客戶不同的服務需求給予針對性的、量化性的云服務，從而實現(xiàn)了資源的控制與優(yōu)化配置，從某種程度上來說云服務屬于一種即付即用的服務模式。第四，資源的透明化和池化。云服務擁有一個可以被統(tǒng)一管理和調度的“資源池”，因為現(xiàn)有的一切底層資源的異構性都被屏蔽了，邊界也被打破了。另一方面，云服務對用戶而言是透明的，省去了花時間和精力去了解內部結構的環(huán)節(jié)。第五，以網絡為中心。云計算通過網絡連接將自身構架和所有組件共存于網絡體系中，并借助網絡渠道為用戶提供服務，相應的，用戶可無時間地點限制的通過各種移動終端活動所需的云計算服務。

2 云計算環(huán)境下網絡安全方面的問題

云計算網絡安全方面的威脅因素較多，在不包括天災等自然因素外，還包括以下幾個方面的因素：

2.1 網絡通信因素

在云計算環(huán)境下的網絡、數(shù)據(jù)遭到破壞或者被攻擊，影響至服務器后導致服務器拒絕為用戶提供服務就是存在與網絡通信方面的安全威脅。主要有以下三種，第一是用戶數(shù)據(jù)被監(jiān)聽或竊取，在監(jiān)聽、身份欺騙等攻擊手段的影響下用戶數(shù)據(jù)被盜取即為網絡通信因素的一種；第二是用戶數(shù)據(jù)被篡改，即在云計算環(huán)境下用戶的相關數(shù)據(jù)在沒有被授權的情況下出現(xiàn)了刪除、添加或修改；第三是服務器攻擊，對服務器進行攻擊的方式往往都是基于云計算處理的短板或瓶頸，在短時間內向云計算服務器發(fā)送大量的通信請求，進而讓服務器自動轉為暫停常規(guī)服務請求，這種拒絕服務請求的攻擊方式極大地破壞了用戶數(shù)據(jù)的可用性[2]。

2.2 身份認證因素

云計算環(huán)境下認證服務器如果遭到攻擊，那么用戶的身份認證信息就可能被篡改或者泄漏，造成數(shù)據(jù)安全問題。主要有兩個方面的問題，一方面是用戶合法的身份認證相關信息被竊取，在非法手段的操控下，攻擊者威脅到了用戶信息的隱私性；另一方面是跳過用戶信息轉而直接攻擊第三方認證服務器，這種方式相比于前者所造成的后果更為嚴重，因為很可能一次性造成大量用戶信息被篡改或泄漏。

2.3 存儲因素

云計算環(huán)境下數(shù)據(jù)存儲的安全性和可靠性直接影響著用戶數(shù)據(jù)的保密性，而現(xiàn)存于存儲方面的安全威脅主要來自以下三個方面：第一是未對現(xiàn)有數(shù)據(jù)進行加密處理，加密措施對對用于數(shù)據(jù)而言就像是一件“救生衣”，如果遭受到惡意攻擊就會給予現(xiàn)有數(shù)據(jù)保護；第二是攻擊者直接跳過數(shù)據(jù)本身，轉向攻擊存放數(shù)據(jù)的介質，存儲用戶數(shù)據(jù)的介質被攻擊就像上文中服務器被攻擊一樣，可能引發(fā)大量的、更為嚴重的數(shù)據(jù)篡改或丟失，威脅著用戶數(shù)據(jù)的完整性和隱私性；第三是數(shù)據(jù)備份工作不到位，而這主要是因為數(shù)據(jù)備份機制沒有建立或者不完善，導致數(shù)據(jù)遭到破壞后無法被有效地修復。

2.4 虛擬環(huán)境因素

一方面，云計算數(shù)據(jù)中心的構建是以虛擬化技術為基礎，而這種虛擬環(huán)境中的數(shù)據(jù)中心邊界不明確，即使采用了入侵檢測技術以及邊界防火墻等也無法百分百的確保數(shù)據(jù)中心的安全；另一方面，云計算環(huán)境下資源獲取方式幾乎都是租用形式，所以在同一個物理空間中通常會建立多個虛擬機，而過多的虛擬機就給監(jiān)管工作增加了難度，稍有不慎就會威脅到用戶數(shù)據(jù)安全。

2.5 訪問控制因素

在云計算背景下的合法用戶都有數(shù)據(jù)訪問權，但總有不法人員通過非法手段去得到用戶訪問權，主要有三個方面的表現(xiàn)，首先是直接通過非法手段攻擊第三方授權服務器，破壞系統(tǒng)的運行秩序，利用系統(tǒng)漏洞授權給非法用戶，讓其獲得訪問用戶數(shù)據(jù)權利的同時拒絕接收或者處理合法用戶的操作請求[3]；其次是原本為合法用戶的一方做出跨越適用范圍的操作，比如在權限外對數(shù)據(jù)進行隨意的增加、刪除或改動；最后是推理渠道，即不法人員通過對科技信息手段的利用，讓自己直接越權對合法用戶的數(shù)據(jù)進行操作。

2.6 審計因素

在云計算環(huán)境下對用戶的一切操作行為進行追蹤，一方面是為了用戶操作是否超出了云計算的規(guī)范范圍，另一方面是為了檢查并排除可能存在于云環(huán)境中的安全漏洞。審計工作也包括了很多環(huán)節(jié)，而在這些操作環(huán)節(jié)中所面臨的安全威脅即為審計安全威脅。第一，審計記錄無法被分析，審計記錄中沒有包含用戶所有的操作環(huán)節(jié)，完整性和清晰度都不高，這讓審計工作失去了開展的基礎；第二，審計功能喪失，不法分子為了抹掉不合法的操作痕跡，對審計功能進行攻擊，導致功能關不一切操作日志都無法被記錄。

3 云計算下的計算機網絡安全的策略

3.1 云端備份數(shù)據(jù)

做好數(shù)據(jù)備份是實現(xiàn)被破壞數(shù)據(jù)重組，確保數(shù)據(jù)完整性的必要措施。在云計算環(huán)境下要對重要的云中數(shù)據(jù)進行定期的備份，并將所有數(shù)據(jù)上傳至云端，在云端存儲區(qū)中的數(shù)據(jù)訪問權、操作權和使用權都僅限于本分數(shù)據(jù)的云中用戶，除了權限控制之外還要對備份數(shù)據(jù)加以實施保護措施，避免數(shù)據(jù)病毒或者黑客對云端數(shù)據(jù)進行破壞。

3.2 堅持定期補漏

存在于云計算環(huán)境下的大部分安全問題都來自系統(tǒng)漏洞，因為漏洞的存在就成了惡意攻擊發(fā)起的著力點，這種漏洞不僅存在于軟硬件上，還存在于系統(tǒng)運行程序、配置和功能設計上。有關學者就當下應用較為廣泛的應用程序和操作系統(tǒng)展開了研究，研究結果表明任何漏洞和缺陷都不可能存在于軟件中。隨后的很多事例也表明了系統(tǒng)漏洞是當下電腦黑客和病毒最容易利用發(fā)起攻擊的點。對于這樣的情況，對于已經發(fā)布了的軟件，相關廠商需要反復地做漏洞測試分布補丁程序，隨后所有用戶也要及時安裝漏洞補丁程序，防患于未然的消除可能存在的安全隱患。

3.3 安裝防護軟件

從某種程度而言，網絡防護墻就像是一個特殊的網絡互聯(lián)設備，其主要作用在于對一切以非法手段進入內部網絡的行為進行阻止，讓內部網絡的操作環(huán)境始終處于安全的狀態(tài)。當兩個或更多的網絡相互之間要傳輸數(shù)據(jù)時，網絡防火墻便會在嚴密的安全策略下檢查傳輸數(shù)據(jù)包，在確保多個網絡之間的通信屬于合法范圍內的同時對整個網絡的運行狀態(tài)進行監(jiān)視[4]。不同技術的應用建立起來的防火墻屬于不同的類型，通常有地址轉換型、包過濾型、監(jiān)測型和代理型，其中應用最為廣泛的是包過濾型，具體的過程就是在充分利用分包傳輸技術的基礎上讀取并分析數(shù)據(jù)包的地址信息，以此來判斷其來源是否屬于安全站點，如果不屬于那么防火墻就會組織其進入內部網絡。

3.4 數(shù)字簽名和文件加密技術

基于保護信息系統(tǒng)和數(shù)據(jù)而存在的數(shù)字簽名和文件加密技術可根據(jù)具體作用的不同分為鑒別數(shù)據(jù)完整性、數(shù)據(jù)傳輸和數(shù)據(jù)存儲三種類型。當下主要的應用還是數(shù)據(jù)傳輸加密技術，其應用對象為網絡傳輸渠道中的數(shù)據(jù)流，加密方式又分為兩種，一種是線路加密，一種是端對端加密，前者更加傾向于對各路線路加密密鑰，后者則更傾向于對信源和信宿的加密處理，即信息發(fā)送者對文件信息進行加密處理，將其有明文變?yōu)槊芪?，收件人收到信息后要用與之對應的密鑰才能解開文件，將密文恢復為明文。

4 結語

總而言之，云計算具有推動世界IT互聯(lián)網技術創(chuàng)新發(fā)展的作用，是未來IT互聯(lián)網產業(yè)必然的發(fā)展趨勢。盡管當前云計算環(huán)境有很多層出不窮的網絡安全問題出現(xiàn)，但這也不會太大的影響云計算技術的應用和發(fā)展，只要積極地采取應對措施，這種具有先進技術性的低成本、超性能技術依然能得到廣泛應用。

參考文獻：

[1] 黃海軍.基于云計算的網絡安全評估[J].電子設計工程，2016，24（12）：112-113.

[2] 韓乃夫.新形勢下云計算中網絡安全問題研究[J].網絡安全技術與應用，2016（4）：68-68.

[3] 陳孟杰.基于云計算的網絡安全威脅及防范[C]//陜西省通信學會2016年學術年會論文集，2016.

[4] 彭英.云計算下網絡安全技術的現(xiàn)狀與對策[J].電子技術與軟件工程，2017（19）：208-209.

【通聯(lián)編輯：唐一東】