云计算环境下的安全形势分析和防范

梁乐宏

摘要：当今时代，信息技术突飞猛进，以云计算为代表的第三次信息革命浪潮在逐渐改变着人们生产生活、商业和政务管理模式，随着互联网技术的发展，云计算技术得到各界的普遍应用，云计算在减少企业成本和提升IT灵活性的同时，也面临着一系列安全威胁和挑战，随着大量数据进入云端，商业机密及个人信息成为不法分子觊觎的首要目标，研究云计算的信息安全问题和防范策略，有助于进一步完善云安全保障体系，保障网络信息安全。

关键词：云计算;信息安全;安全策略

中图分类号：TP391    文献标识码：A

文章编号：1009-3044（2019）27-0032-02

随着云技术的推广应用，社会政治、经济、文化等各个层面都深度融入云服务当中，云计算服务作为一种开放、便捷和经济的新服务业态，在优化资源配置，降低应用成本，提高信息服务水平的同时，伴随的安全形势也愈加严峻，信息安全成为一个不可回避的问题。深入了解云技术和安全形势，采取有效的安全策略，保证云技术中的管理安全、数据安全和应用安全，是云时代一个重要课题。

1 云计算概念

云计算基于互联网和分布式技术，把分布在网络上的大量的软件硬件计算资源，抽象成功能强大的计算机资源共享池（资源包括网络，服务器，存储，应用软件，服务等）企业和用户能够像使用本地资源一样，通过相应的接口即可使用云端的资源而不需要部署，就像我们日常使用自来水一样直接简单。从本质来说，云计算是一种互联网上的软硬件和数据的商业化应用。专业供应商负责云端资源的管理和提供云计算的服务，用户通过相应接口登录，付费调用相关的服务。

云计算的主要服务形式：基础设施即服务（IaaS），消费者通过互联网从云端获取到诸如服务器，网络，存储及应用软件等完善的计算机基础设施服务;平台即服务 （PaaS）： 指将软件研发的平台作为一种服务，开发工具位于云中，开发者通过网络即可以构建网络应用程序而无需再自己电脑上部署平台工具;软件即服务（SaaS）：用户无需购买软件，而是通过随用付费获取部署在云端上的软件资源功能和服务，相当于软件租用。

2 云计算的主要安全问题

云计算是基于网络的共享资源模式，和传统的计算模式相比，具有开放性、分布式存储、无边界、虚拟性、多租户等特点，基于这些技术特点，使犯罪分子有机可乘。云中包含大量软件和服务，海量的重要用户数据，对攻击者来说具有更大的诱惑力，因此，云计算的安全性面临着比以往更为严峻的考验。主要体现以下方面：

2.1 数据泄露

人为错误、应用程序漏洞及安全管理不当造成某些不适合公开发布的信息，包括政府企业的重要数据和个人敏感信息、商业秘密等的泄漏。

2.2 身份凭证管理不善

身份凭证管理不善致使网络犯罪分子获得合法的身份、凭证或密钥，从而可以读取、修改和删除数据，或者取得平台管理功能，窥探、盗取用户数据和发布恶意软件。

2.3 不安全的接口

客户通过平台用户界面（UI）或API来管理和与云服务交互。犯罪分子通过欠安全的接口可以配置、管理和监控云服务，从而获取数据。

2.4 系统漏洞

操作系统组件中的漏洞是所有服务和数据面临的主要风险。云端中来自不同组织和用户的系统彼此靠近，共同访问共享内存和资源，从而产生新的攻击风险。

2.5 账户劫持

攻击者通过账户劫持获得访问权限，窃听活动和交易，操纵数据，返回伪造的信息并将客户重定向到非法的站点，攻击者盗用凭证可以访问云计算服务的关键区域，从而危及数据安全。

2.6 内部人士蓄意破壞

怀有恶意的内部人员（如系统管理员）可以访问潜在的敏感信息，可以更多地访问更重要的系统，并最终访问数据。

2.7 高级持续性威胁（APT）

高级持续性威胁（APT）是一种蓄谋已久的网络攻击形式，APT通过隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，它在目标公司的IT基础设施建立立足点，通过数据中心网络横向移动，并与正常的网络流量融合，从中窃取数据。

2.8 数据丢失

云计算服务提供商的意外操作、火灾或地震等自然灾难导致客户数据的永久丢失。

2.9 滥用及恶意使用云服务

安全性差的云服务和免费的云服务等产生的安全威胁。攻击者可利用云计算资源来定位用户或云计算提供商。常见的有分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击等。

2.10 拒绝服务（DoS）

拒绝服务（DoS）攻击通过强制目标系统消耗大量计算资源，如处理器能力、网络带宽、内存、磁盘空间或从而导致系统性能下降，用户无法访问服务。

2.11 共享的技术漏洞

云计算服务提供商通过共享基础架构，平台或应用程序来扩展其服务，其底层组件可能并未设计成为多租户架构，不能有效保护用户隐私。

3 云计算安全策略

3.1 加强政府的职能监管

为了确保云安全，监管部门应健全相关法律法规和相关技术标准，进而实现对云计算环境的审计与监督，除了日常监管之外，还应对云计算服务的可用性、安全性等方面进行严格的审计和评估，从而确保云计算服务商的服务质量。

3.2 提高云商的安全意识

云服务提供商作为服务的管理者和提供者，应从安全性、隐私、合规性以及服务的可持续性等方面做保障，完善物理安全，网络安全，主机安全，应用安全，数据安全，备份恢复等方面的技术管理能力，完善安全管理机构，人员安全管理，安全管理制度，安全系统建设，系统运维管理等管理方面的水平。

3.3 提高用户信息安全素养

用户应提高信息安全自主保护意识，了解病毒和信息安全形势，信息安全技术等相关知识，尽量避免使用自己生日、电话、身份证号等关键数据作为登录密码，养成定期对重要信息进行加密、备份，进行病毒扫描查杀，养成文明上网的习惯等，一旦发生信息安全问题，能及时采取合理手段维护自己的权益。

3.4 加强技术保障措施

（1）基础设施安全技术

基础设施包括服务器系统、域名系统、网络管理系统、网络路由系统、局域网和VLAN配置等。主要的安全措施有安全冗余设计、漏洞扫描与加固，IPS/IDS、DNSSec等。考虑到业务持续性和可靠性，还应进行双机热备、配置同步，链路捆绑聚合及硬件Bypass等，实现基础安全防护。

（2）数据安全技术

除了对数据加密外，还需要应用现有的安全技术，遵循健全的安全实践，对各种防范措施进行全盘考虑，建立起一道弹性的屏障。主要安全措施包括对不同用户数据进行虚拟化的逻辑隔离、使用身份认证及访问管理技术措施等，从而保障数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

（3）虚拟化安全技术

虚拟技术有许多种，最常用的是虚拟机（VM）技术，需考虑VM内的进程保护，此外还有Hypervisor和其他管理模块这些新的攻击层面。可以采用的安全措施有虚拟镜像文件的加密存储和完整性检查、VM的隔离和加固、VM访问控制、虚拟化脆弱性检查、VM进程监控、VM的安全迁移等。

（4）身份认证与访问管理（IAM）

IAM是用来管理数字身份并控制数字身份如何访问资源的方法、技術和策略， IAM全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，是保证云计算安全运行的关键所在。

（5）应用安全

云计算服务基于Web浏览器实现。因此，对于应用安全，尤其需要注意的是Web应用的安全。应用安全应从这个整体生命周期考虑，可以采用的防护措施有访问控制、配置加固、部署应用层防火墙等。

4 结束语

网络安全和国家安全及社会经济发展息息相关，随着信息安全形势的日益复杂，构建一个可靠、高效、经济的网络安全环境显得尤其重要，针对云安全问题，应加强对云安全的研究投入，完善云安全技术保障能力，提高业界和个人的安全意识，加强职能部门的监管等，信息时代，安全才是硬道理，只有全面系统的安全体系构建，才能为云计算技术保驾护航。

参考文献：

[1] 董晓霞，吕廷杰.云计算研究综述及未来发展[J].北京邮电大学学报（社会科学版），2010（05）.

[2] Roger Halbheer;Doug Cavit.关于云计算安全的思考[J].信息技术与标准化，2010（09）.

[3] 褚诚云. 云安全：云计算的安全风险、模型和策略[J]. 程序员，2010（5）.

[4] 曹阳.信息安全问题云计算[J];科技信息;2010（03）.

[5] 邓仲华，朱秀芹.云计算环境下的隐私权保护初探[J].图书与情报，2010（04）.

[6] 王汝林.发展云计算必须高度重视“云安全”[J]. 信息系统工程，2011，（3）.

[7] 徐刚. 云计算与云安全[J]. 信息安全与技术，2011，（Z1）.

【通联编辑：梁书】