云計(jì)算視角下網(wǎng)絡(luò)信息安全問(wèn)題及其解決策略

何 棟

（山西鐵道職業(yè)技術(shù)學(xué)院，山西 太原 030013）

隨著云計(jì)算技術(shù)的興起，不少信息系統(tǒng)已經(jīng)通過(guò)云平臺(tái)進(jìn)行部署。云計(jì)算技術(shù)雖然具有按需部署、動(dòng)態(tài)可擴(kuò)展、靈活性、可靠性和性?xún)r(jià)比高的優(yōu)勢(shì)，同時(shí)也會(huì)帶來(lái)許多新的網(wǎng)絡(luò)信息安全問(wèn)題。由于技術(shù)發(fā)展快，網(wǎng)絡(luò)信息安全的法律法規(guī)不完善，導(dǎo)致出現(xiàn)了不少法律真空地帶。同時(shí)部分單位和云計(jì)算平臺(tái)的管理制度不完善，導(dǎo)致訪問(wèn)權(quán)限、技術(shù)保密性和數(shù)據(jù)完整性等方面的漏洞層出不窮，這些都是網(wǎng)絡(luò)信息安全需要注意的新問(wèn)題[1]。為了盡量避免這些問(wèn)題可能給企業(yè)和個(gè)人帶來(lái)的損失，必須完善原有的網(wǎng)絡(luò)信息安全體系，提出解決這些問(wèn)題的策略，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)信息的安全性，提高其可用性和穩(wěn)定性。

1 云計(jì)算視角下網(wǎng)絡(luò)信息安全的現(xiàn)狀

1.1 技術(shù)層面

由于信息技術(shù)的發(fā)展速度較快，在技術(shù)的更迭過(guò)程中難免存在一些漏洞，并且這些漏洞通常具有隱蔽性，一旦爆發(fā)勢(shì)必會(huì)產(chǎn)生云計(jì)算服務(wù)器癱瘓、網(wǎng)絡(luò)通信中斷、服務(wù)無(wú)響應(yīng)等情況，甚至?xí)斐蓴?shù)據(jù)的丟失，這些都極大影響用戶(hù)的生產(chǎn)、生活。同時(shí)黑客技術(shù)水平不斷提升，云計(jì)算視角下的網(wǎng)絡(luò)攻擊不再局限于病毒等傳統(tǒng)形式，呈現(xiàn)出了多樣化的態(tài)勢(shì)，使得網(wǎng)絡(luò)信息安全防護(hù)的難度增大。另外移動(dòng)終端的加入，讓網(wǎng)絡(luò)信息安全威脅呈現(xiàn)出智能化的態(tài)勢(shì)，潛伏時(shí)間長(zhǎng)、破壞力大是其顯著特點(diǎn)。

1.2 環(huán)境層面

云計(jì)算視角下網(wǎng)絡(luò)信息安全環(huán)境發(fā)生了巨大的變化，云計(jì)算的信任問(wèn)題也隨之而來(lái)。不僅是公有云的信任問(wèn)題，對(duì)于各單位內(nèi)部私有云信息系統(tǒng)和數(shù)據(jù)的安全必須給予足夠的重視。由于當(dāng)前黑客的攻擊手段更加隱蔽，信息的泄露風(fēng)險(xiǎn)逐步增加，網(wǎng)絡(luò)開(kāi)放性與安全性的矛盾不斷擴(kuò)大，加之國(guó)家層面的法律法規(guī)和操作規(guī)范尚待完善，企業(yè)對(duì)于相關(guān)管理規(guī)范的落實(shí)不到位，勢(shì)必讓云計(jì)算視角下的網(wǎng)絡(luò)信息安全受到威脅[2]。

1.3 用戶(hù)層面

用戶(hù)的安全意識(shí)淡薄，安全防護(hù)技能不足的問(wèn)題十分突出。雖然不少企業(yè)制定了一些網(wǎng)絡(luò)信息安全防護(hù)策略，但是在用戶(hù)層面的執(zhí)行力度嚴(yán)重不足。諸如訪問(wèn)云計(jì)算資源的計(jì)算機(jī)未安裝殺毒軟件、個(gè)別用戶(hù)的權(quán)限遠(yuǎn)超其實(shí)際需求、人員調(diào)離工作崗位后權(quán)限未及時(shí)調(diào)整、密碼復(fù)雜度不符合相關(guān)要求、重要文件傳輸不加密等問(wèn)題比比皆是。這些都是引起網(wǎng)絡(luò)信息安全事件的重要源頭，極有可能造成整個(gè)云計(jì)算平臺(tái)的癱瘓或信息泄露。

2 云計(jì)算視角下網(wǎng)絡(luò)信息安全的特征

2.1 完整性

云計(jì)算視角下存在多個(gè)用戶(hù)使用同一較大資源池的現(xiàn)象，使得數(shù)據(jù)完整性受到破壞的風(fēng)險(xiǎn)劇增。一種情況是公有云或者私有云的管理者對(duì)于各用戶(hù)的數(shù)據(jù)信息沒(méi)有進(jìn)行高質(zhì)量的管理，有可能造成數(shù)據(jù)存儲(chǔ)的完整性受到影響。另一種情況是由于對(duì)云計(jì)算的計(jì)算和存儲(chǔ)資源采用了分布式部署的方式，一旦個(gè)別基礎(chǔ)設(shè)施發(fā)生故障，會(huì)讓整個(gè)資源池的完整性遭受到破壞。

2.2 保密性

由于云計(jì)算基于資源共享，那么保密性就是其網(wǎng)絡(luò)信息安全的主要特征之一。從云計(jì)算視角來(lái)看，網(wǎng)絡(luò)信息安全中的保密性不僅需要體現(xiàn)數(shù)據(jù)存儲(chǔ)方面的保密性，同時(shí)要考慮數(shù)據(jù)在云計(jì)算平臺(tái)內(nèi)部、外部傳輸時(shí)的保密性。當(dāng)然用戶(hù)賬戶(hù)的保密性同樣是需要考慮的范疇，只有這樣才能保證資源的共享性在相應(yīng)的限制條件下進(jìn)行，防止數(shù)據(jù)信息的泄漏。

2.3 審計(jì)核查性

目前云計(jì)算的各項(xiàng)技術(shù)發(fā)展已日趨成熟，對(duì)于用戶(hù)的授權(quán)機(jī)制和權(quán)限控制策略的基礎(chǔ)運(yùn)行框架已完成搭建，通過(guò)云安全審計(jì)工具可以識(shí)別和減小與使用云服務(wù)相關(guān)的風(fēng)險(xiǎn)以及滿(mǎn)足監(jiān)管部門(mén)的應(yīng)用合規(guī)性要求。同時(shí)還可以對(duì)已出現(xiàn)的安全事件進(jìn)行追溯，改善云計(jì)算平臺(tái)上應(yīng)用的安全情況。

3 云計(jì)算視角下網(wǎng)絡(luò)信息安全存在的問(wèn)題

3.1 缺乏完整的網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)體系

雖然在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》實(shí)施以來(lái)，國(guó)家加快了各類(lèi)網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)的起草和發(fā)布工作，但是就目前的情況而言，綱領(lǐng)性、指導(dǎo)性的標(biāo)準(zhǔn)較多，具體的技術(shù)規(guī)范類(lèi)文件較少。在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)中，已將云計(jì)算平臺(tái)/系統(tǒng)納入到了等級(jí)保護(hù)的對(duì)象中，但是相對(duì)于云計(jì)算相關(guān)技術(shù)的發(fā)展，其網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)仍然相對(duì)滯后。云計(jì)算環(huán)境中的平臺(tái)即服務(wù)和軟件即服務(wù)層常年處于不斷的更迭中，不確定的安全因素也隨之而來(lái)。同時(shí)一些云計(jì)算平臺(tái)的廠家和運(yùn)營(yíng)服務(wù)商為了標(biāo)準(zhǔn)化管理，該管理模式對(duì)每個(gè)用戶(hù)的實(shí)際場(chǎng)景的針對(duì)性較弱，這樣也會(huì)衍生出新的安全問(wèn)題[3]。

3.2 信息數(shù)據(jù)的安全問(wèn)題

云計(jì)算基于資源共享的理念，所以對(duì)于用戶(hù)數(shù)據(jù)、應(yīng)用數(shù)據(jù)的安全性問(wèn)題需要格外的重視，主要包含信息數(shù)據(jù)的機(jī)密性、完整性和可用性。信息數(shù)據(jù)的安全性需要通過(guò)多重措施進(jìn)行防護(hù)，如軟件產(chǎn)品安全、數(shù)據(jù)的擦除以及廢棄硬件設(shè)備的銷(xiāo)毀，涉及的方面眾多。云計(jì)算環(huán)境的安全目前多數(shù)依賴(lài)于云計(jì)算平臺(tái)的運(yùn)營(yíng)方，而對(duì)于用戶(hù)的約束不夠，尤其是部分單位用戶(hù)的云計(jì)算系統(tǒng)內(nèi)部管理權(quán)限混亂，會(huì)給云計(jì)算系統(tǒng)帶來(lái)更多的管理類(lèi)安全性問(wèn)題。另外，數(shù)據(jù)的加密技術(shù)正在不斷變化，部分加密技術(shù)存在被破解的可能性。加解密的過(guò)程依賴(lài)于密鑰，密鑰存儲(chǔ)的安全在信息數(shù)據(jù)的安全性中具有較大的作用，密鑰的拾取、篡改密封以及密鑰訪問(wèn)的身份驗(yàn)證都是密鑰安全風(fēng)險(xiǎn)的來(lái)源。

3.3 云計(jì)算基礎(chǔ)設(shè)施的安全問(wèn)題

云計(jì)算基礎(chǔ)設(shè)施包含了數(shù)據(jù)中心的硬件部分和云管平臺(tái)軟件兩部分。數(shù)據(jù)中心的硬件部分的安全問(wèn)題除了常規(guī)的斷電、漏水、火災(zāi)等安全風(fēng)險(xiǎn)，社會(huì)工程學(xué)攻擊也成為云計(jì)算基礎(chǔ)設(shè)施安全問(wèn)題的主要來(lái)源。部分?jǐn)?shù)據(jù)中心采用了外包的管理方式，對(duì)于一些外來(lái)人員的身份鑒別不到位。當(dāng)然云計(jì)算基礎(chǔ)設(shè)施軟硬件層面的備份及容災(zāi)恢復(fù)也有較多的安全隱患。云管平臺(tái)本身的設(shè)計(jì)邏輯和程序漏洞均有可能被黑客的利用，從而達(dá)到控制云管平臺(tái)，實(shí)施數(shù)據(jù)竊取或篡改的目的。這些都有可能給云計(jì)算基礎(chǔ)設(shè)施帶來(lái)不可逆的損失，必須引起云計(jì)算平臺(tái)運(yùn)營(yíng)方和用戶(hù)的高度重視。

4 云計(jì)算視角下網(wǎng)絡(luò)信息安全問(wèn)題的解 決策略

4.1 構(gòu)建完善的網(wǎng)絡(luò)信息安全框架體系

云計(jì)算視角下網(wǎng)絡(luò)信息安全問(wèn)題的解決首先需要從構(gòu)建完善的網(wǎng)絡(luò)信息安全框架體系入手。在云平臺(tái)安全建設(shè)的基礎(chǔ)上，從技術(shù)、管理和服務(wù)三個(gè)體系進(jìn)行安全框架的構(gòu)建。在云計(jì)算平臺(tái)建設(shè)初期，從平臺(tái)、訪問(wèn)和數(shù)據(jù)三個(gè)方面完善平臺(tái)自身的網(wǎng)絡(luò)信息安全體系。在技術(shù)層面，建立安全管理中心、安全計(jì)算環(huán)境、完善安全區(qū)域邊界。在管理方面，根據(jù)云計(jì)算平臺(tái)的變化，定時(shí)完善和更新安全管理制度，加強(qiáng)安全運(yùn)維、安全流程和安全建設(shè)的管理力度。在服務(wù)體系中，定期開(kāi)展安全評(píng)估、安全加固以及應(yīng)急響應(yīng)的理念，同時(shí)加強(qiáng)自動(dòng)化運(yùn)維體系的建設(shè)，減少人工的干預(yù)。在身份層面，需要將身份視為主要的安全邊界，并將身份系統(tǒng)，以及管理員和憑據(jù)作為首要優(yōu)先事項(xiàng)加以保護(hù)。在基礎(chǔ)設(shè)施架構(gòu)方面，需要將基礎(chǔ)設(shè)施運(yùn)行在現(xiàn)代化平臺(tái)上，并使用智能檢測(cè)來(lái)補(bǔ)救漏洞和攻擊[4]?；谠朴?jì)算視角的網(wǎng)絡(luò)信息安全框架體系如圖1所示。

圖1 基于云計(jì)算視角的網(wǎng)絡(luò)信息安全框架體系示意圖

4.2 加強(qiáng)網(wǎng)絡(luò)安全防護(hù)技術(shù)手段的應(yīng)用

首先，構(gòu)建根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，建立云計(jì)算安全的技術(shù)安全防護(hù)體系架構(gòu)。在體系中，加強(qiáng)區(qū)域邊界、計(jì)算環(huán)境、物理環(huán)境、通信網(wǎng)絡(luò)和安全管理中心的建設(shè)。在區(qū)域邊界層面，運(yùn)用網(wǎng)絡(luò)準(zhǔn)入、流量監(jiān)控、惡意代碼分析、安全審計(jì)和防IP/ARP/MAC欺騙措施。尤其需要通過(guò)部署下一代防火墻的方式，讓云計(jì)算系統(tǒng)獲得南北向流量的安全防護(hù)。同時(shí)將云計(jì)算系統(tǒng)分為多個(gè)安全域，通過(guò)采用不同的網(wǎng)絡(luò)安全措施，增強(qiáng)云計(jì)算平臺(tái)上各系統(tǒng)的安全性。各安全域的安全防護(hù)示意如圖2所示。

圖2 各安全域的安全防護(hù)示意圖

其次，加強(qiáng)網(wǎng)絡(luò)信息安全的動(dòng)態(tài)監(jiān)控能力，可以使用態(tài)勢(shì)感知平臺(tái)及時(shí)獲取整個(gè)云計(jì)算環(huán)境的安全態(tài)勢(shì)，如使用主機(jī)管理系統(tǒng)對(duì)惡意攻擊、木馬入侵以及暴力破解等行為進(jìn)行檢測(cè)并保留相應(yīng)的日志。再次，強(qiáng)化應(yīng)用與數(shù)據(jù)的安全防護(hù)，對(duì)于安全設(shè)備和數(shù)據(jù)庫(kù)，必須通過(guò)多因子認(rèn)證的方式進(jìn)行對(duì)登錄用戶(hù)身份的認(rèn)證和鑒別，口令的存儲(chǔ)需進(jìn)行加密，服務(wù)器則需要采用SSH的方式進(jìn)行管理，云計(jì)算管理平臺(tái)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備必須采用HTTPS的通信方式，使其保密性和完整性得到保障。最后，通過(guò)日志和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)所有的用戶(hù)登錄及操作行為進(jìn)行記錄和審計(jì)。另外備份和災(zāi)難恢復(fù)也需要技術(shù)手段的支持，如選擇質(zhì)優(yōu)的備份軟件，定期對(duì)服務(wù)器進(jìn)行快照備份，對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行完全備份等，讓云計(jì)算環(huán)境下的應(yīng)用在遭受損壞或攻擊時(shí)能夠快速得到恢復(fù)。

4.3 提高運(yùn)維管理和風(fēng)險(xiǎn)管理的能力

云計(jì)算視角下網(wǎng)絡(luò)信息安全問(wèn)題的解決，除技術(shù)因素外，更需要提高運(yùn)維管理和風(fēng)險(xiǎn)管理的能力，真正變被動(dòng)防御轉(zhuǎn)為主動(dòng)預(yù)防。在運(yùn)維管理方面，需要根據(jù)制度劃分各類(lèi)人員的管理權(quán)限，如云計(jì)算平臺(tái)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、主機(jī)管理員、數(shù)據(jù)庫(kù)管理員和應(yīng)用管理員等，采用最小權(quán)限的原則給予賦權(quán)，并在崗位變化時(shí)，及時(shí)進(jìn)行人員權(quán)限的調(diào)整。采用堡壘主機(jī)實(shí)現(xiàn)對(duì)云計(jì)算資源的身份認(rèn)證、訪問(wèn)控制和行為審計(jì)。做好云計(jì)算資源的變更管理，定期展開(kāi)滲透測(cè)試和應(yīng)急演練。特別要對(duì)重要節(jié)點(diǎn)的云計(jì)算網(wǎng)絡(luò)信息安全問(wèn)題做好應(yīng)急預(yù)案，要求相關(guān)人員對(duì)處理、上報(bào)和恢復(fù)流程爛熟于心[5]。定期開(kāi)展相關(guān)理論、制度和流程的宣貫工作，對(duì)于應(yīng)急演練做好記錄工作，并認(rèn)真找出其中的不足，做好應(yīng)該演練方案的更新工作。讓人員從思想上認(rèn)識(shí)到網(wǎng)絡(luò)信息安全的重要性，從行動(dòng)上全面掌握解決問(wèn)題的技能。

5 結(jié)束語(yǔ)

總之，云計(jì)算視角下的網(wǎng)絡(luò)信息安全問(wèn)題雖然與傳統(tǒng)的問(wèn)題有所不同，但是只要構(gòu)建完善的基于云計(jì)算的網(wǎng)絡(luò)信息安全框架體系，不斷提升管理能力和技術(shù)水平，就能做好云計(jì)算視角下的網(wǎng)絡(luò)信息安全防護(hù)工作，助力云計(jì)算的快速發(fā)展。