云計算環(huán)境下的信息安全問題與防護策略

■ 國網(wǎng)客服中心信息運維中心 王晨飛 李慧芹 韓 維

江蘇邦芒服務(wù)外包有限公司 謝瑞楠

目前，國內(nèi)網(wǎng)絡(luò)已經(jīng)初步形成云計算環(huán)境，并逐漸提高網(wǎng)絡(luò)環(huán)境的開放性。同時，云計算環(huán)境也給不法分子提供了犯罪條件，增加了云環(huán)境中數(shù)據(jù)的截獲、篡改和破壞概率。因此，云計算網(wǎng)絡(luò)環(huán)境應(yīng)該制定相關(guān)數(shù)據(jù)的保護措施，提高傳輸數(shù)據(jù)的安全性。

云計算是通過分析量級數(shù)據(jù)之間的特征、屬性關(guān)系和數(shù)據(jù)之間的聯(lián)系，為用戶提供準確的信息識別、信息處理和信息判斷結(jié)果。首先，云計算會在智能邏輯和算法的支撐下，利用網(wǎng)絡(luò)傳輸功能，進行短時間內(nèi)的數(shù)據(jù)挖掘、分配和計算。其次，云計算將相應(yīng)的數(shù)據(jù)進行等分，利用多臺計算機進行不同數(shù)據(jù)塊的分析，實現(xiàn)高效的數(shù)據(jù)計算。最后，云計算通過數(shù)據(jù)結(jié)果之間的關(guān)系、作用，將所有的計算結(jié)果進行整合，滿足多數(shù)據(jù)應(yīng)用需求。

云計算中的數(shù)據(jù)安全問題

由于云計算環(huán)境屬于開放性環(huán)境，數(shù)據(jù)處理量相對較大，涉及到的用戶和范圍較廣，所以存在較大的數(shù)據(jù)安全風險和隱患。

數(shù)據(jù)訪問風險增強。手機、電腦等設(shè)備的存儲空間有限，無法滿足人們多元化的信息存儲需求，所以用戶會將自己的數(shù)據(jù)存儲到云環(huán)境中，云環(huán)境存儲是現(xiàn)代數(shù)據(jù)存儲的一種流行趨勢[1]。同時，云環(huán)境存儲屬于開放性的存儲模式，任何用戶都可以進行相關(guān)的數(shù)據(jù)調(diào)用和上傳，使數(shù)據(jù)存在較高的安全隱患。其中，數(shù)據(jù)訪問操作是云環(huán)境中使用頻率最高的操作，也是數(shù)據(jù)安全風險的主要因素之一。黑客和不法分子可以通過非法手段進行欺騙訪問，或者植入木馬、蠕蟲病毒，實現(xiàn)對云環(huán)境數(shù)據(jù)的篡改、破壞、截獲和盜竊，給用戶帶來較大的風險和損失。

數(shù)據(jù)隔離能效欠佳。云計算技術(shù)出現(xiàn)以后，相關(guān)應(yīng)用領(lǐng)域的人員已經(jīng)采取數(shù)據(jù)管理措施，并提高了安全防護手段。但實際應(yīng)用效果并不理想，無法對大量的數(shù)據(jù)進行及時識別，特別是危險性較高的IP攻擊、漏洞攻擊以及DOS攻擊等。黑客可以從不同角度進行云平臺侵入，其方式是植入偽代碼進行數(shù)據(jù)破譯和截獲。由于計算數(shù)據(jù)量較大，系統(tǒng)硬件資源有限，無法對傳輸數(shù)據(jù)進行高防偽加密，使傳輸數(shù)據(jù)容易被黑客持續(xù)性的網(wǎng)絡(luò)攻擊。數(shù)據(jù)隔離效能欠佳與隔離體系的分布有關(guān)，部分用戶使用隔離手段時，并未進行外部和內(nèi)部計算機的合理隔離設(shè)置，增加了黑客通過外部計算機侵入內(nèi)部數(shù)據(jù)的可能。

殘留數(shù)據(jù)處置不當。用戶在進行云數(shù)據(jù)訪問之后，并未及時刪除緩存區(qū)等的信息和數(shù)據(jù)，或者常常設(shè)置為自動登錄，通訊錄信息授權(quán)訪問等，使得移動終端存有一定量的有價值數(shù)據(jù)。云計算并未對緩存區(qū)進行高等級加密，也未及時進行緩存區(qū)數(shù)據(jù)清理。黑客可以利用訪問軟件，或者清理軟件，以及后臺日志等手段，輕松獲得用戶的殘留數(shù)據(jù)[2]。同時，通過殘留數(shù)據(jù)中的關(guān)聯(lián)性，數(shù)據(jù)的恢復(fù)性，獲得用戶的有價值信息。另外，黑客利用獲得的價值信息，繞過防火墻、隔離網(wǎng)以及身份驗證等安全環(huán)節(jié)，對用戶信息進行盜取和破壞。

業(yè)務(wù)數(shù)據(jù)安全比較低。隨著計算機和通信技術(shù)應(yīng)用的深入，云計算環(huán)境下的數(shù)據(jù)量激增，使得業(yè)務(wù)數(shù)據(jù)安全成為關(guān)注的重點和難點。云計算環(huán)境下的業(yè)務(wù)處理不僅要保證業(yè)務(wù)雙方隱私安全，還要保證相關(guān)數(shù)據(jù)傳輸安全，并通過數(shù)據(jù)的唯一性驗證數(shù)據(jù)的有效。由于業(yè)務(wù)范圍擴大，業(yè)務(wù)數(shù)據(jù)的傳輸時間、傳輸環(huán)節(jié)不斷延長，黑客可以對業(yè)務(wù)中的薄弱環(huán)節(jié)進行入侵，并對業(yè)務(wù)流程進行實時監(jiān)控，伺機獲得業(yè)務(wù)中的信息內(nèi)容。如果業(yè)務(wù)中的一方信息被截獲，那么另一方面的信息被截獲的風險將會提高，使整個業(yè)務(wù)信息受到威脅。

其他未知安全問題。由于云計算應(yīng)用時間較短，涉及內(nèi)容相對較多，使得信息數(shù)據(jù)傳輸中存在的隱患問題未被及時發(fā)現(xiàn)。隨著云計算環(huán)境的不斷完善，相關(guān)業(yè)務(wù)內(nèi)容和領(lǐng)域的應(yīng)用深入，以及其他通訊手段融入，其信息安全問題將會不斷增加。目前，云計算環(huán)境下的信息安全問題與應(yīng)用范圍之間呈現(xiàn)正相關(guān)關(guān)系，而且問題的出現(xiàn)率不斷提高。從數(shù)據(jù)安全防護角度來說，未來云計算環(huán)境下未知的信息安全問題將會不斷增加，須加強對信息安全的防護研究，以應(yīng)對未來可能增加的信息風險。

云計算環(huán)境中的信息安全防護策略

信息安全問題主要涉及侵入手段、植入病毒、程序漏洞和操作環(huán)節(jié)等方面，所以要進行安全防護策略制定。

增強數(shù)據(jù)接口的集中性。在云計算的環(huán)境下，構(gòu)建封閉的局域網(wǎng)、以太網(wǎng)，并與云計算的操作終端進行連接，實現(xiàn)數(shù)據(jù)的集中管理。對封閉的網(wǎng)絡(luò)環(huán)境，要定向、定時開放少量數(shù)據(jù)訪問端口，以實現(xiàn)對數(shù)據(jù)流向、流量的管理。集中式的數(shù)據(jù)管理通過分散數(shù)據(jù)的集中，簡化數(shù)據(jù)安全防護流程，提高信息識別的有效性。另外，集中式的數(shù)據(jù)訪問管理，可以簡化數(shù)據(jù)的安全性篩查過程，增強數(shù)據(jù)的安全篩查等級。封閉局域網(wǎng)和以太網(wǎng)的設(shè)立，可以降低訪問殘留信息的泄漏率，降低信息傳輸流程的實時監(jiān)控風險。

云計算環(huán)境下的防護策略

優(yōu)化安全防護邏輯。優(yōu)化云計算訪問端口防護邏輯，將防護信息設(shè)置為三類，正常信息、干擾信息和位置信息。依據(jù)云計算功能得到信息的特征，封閉局域網(wǎng)和以太網(wǎng)，通過信息特征進行安全性的識別、確認和剔除。例如，信息經(jīng)云計算處理后顯示為正常，則可以通過封閉式局域網(wǎng)和以太網(wǎng)進行數(shù)據(jù)交互、訪問、調(diào)用和共享，否則將拒絕相關(guān)信息訪問。通過安全防護邏輯可以實現(xiàn)局域網(wǎng)和以太網(wǎng)的隔離，控制傳輸數(shù)據(jù)的流通和訪問。優(yōu)化安全防護邏輯可以杜絕欺騙性信息、潛伏性病毒的入侵，減少了黑客入侵內(nèi)部網(wǎng)絡(luò)、刻意重要信息的概率。優(yōu)化安全防護邏輯可以提高信息的防護等級，簡化信息的防護流程，應(yīng)用最小的硬件和軟件資源，實現(xiàn)高等級的信息防護。

系統(tǒng)漏洞的自動修補。由于云環(huán)境下的信息存在未知安全風險，所以要對計算機、服務(wù)器和其他客戶終端進行漏洞修補，減少風險漏洞的出現(xiàn)率。系統(tǒng)漏洞自動修補可以對系統(tǒng)的后門、瀏覽器的緩存、Windows系統(tǒng)等緩存區(qū)進行優(yōu)化，也可以對云計算中的各種軟件進行卸載、優(yōu)化和更新，降低黑客通過相關(guān)軟件侵入系統(tǒng)的可能性[3]。同時，系統(tǒng)漏洞修補可以對瀏覽器、系統(tǒng)后門進行修補，降低信息互動過程中的風險率。自動修補可以去除隱含的操作代碼、命定和專指操作，關(guān)閉無用的遠程控制端口，并獲得云計算過程中的相關(guān)日志，為后期的防護邏輯優(yōu)化提供支持。

目前，云計算主要存在訪問操作安全性低、數(shù)據(jù)隔離能效欠佳等問題，嚴重威脅信息傳輸安全。為了應(yīng)對上述問題，系統(tǒng)開發(fā)者可以從數(shù)據(jù)庫、局域網(wǎng)、以太網(wǎng)、客戶終端，以及訪問緩存等方面著手，進行數(shù)據(jù)接口的集中化處理，優(yōu)化數(shù)據(jù)安全防護邏輯，定時進行系統(tǒng)漏洞修復(fù)，以提高信息安全的水平。