云计算环境中的计算机网络安全及防护关键技术探析

温和文 张常泉 唐 楷

江西科技学院，江西 南昌 330098

1 云计算介绍

云计算（cloud computing）是一种高度依赖于互联网的、共享式的计算模式，通过这种模式，在网络上配置为共享的软件资源、计算资源、存储资源和信息资源可以按需求提供给网上终端设备和终端用户。这种具有动态性、虚拟化、可扩展的资源池称为“云”，通常由集群的服务器组成，其中包括计算服务器、存储服务器和带宽资源等。

2 云计算产生的新安全问题

云计算技术经过多年的应用和验证，发展出很多优点，比如规模大、虚拟化和高可拓展性等确实革新了整个基础网络的发展。与此同时，随着云计算技术的不断发展和革新，也不可避免地带来了一系列新的安全威胁和挑战，具体如下。

2.1 身份认证

云计算采用自动化的方式来支持用户认证和接入，然而非法入侵者却通常利用操作系统或网页的漏洞，租用虚拟机来发起黑客攻击，非法拦截用户的数据信息，非法窃取用户账号和密码。当非法入侵者利用窃取到的信息进行数据挖掘，下一步企业的机密信息就很容易被窃取。网络犯罪分子通常伪装成合法用户、运营人员或开发人员通过读取、修改和删除数据，来控制平台和管理功能，在用户传输数据的过程中进行窥探，发布看似来源合法的恶意软件。如果身份信息不足、凭证或密钥管理不善，就可能导致未经授权的数据访问，对组织或终端用户造成灾难性损害。

2.2 数据安全

数以千计的用户使用云计算而产生海量的数据，在数据传输的过程中极易产生的数据安全问题如下。

（1）数据可用性、完整性和保密性。云计算采用分布式计算，经过网络传输和交换的数据容易遭受黑客攻击，导致数据被篡改、拦截和监听。

（2）数据检查和校验。通常云计算接收到用户数据后会直接计算，缺乏常态化的检查和校验的机制，容易让无效数据和伪造数据混合在真实数据中，一方面导致计算结果产生偏差，另一方面浪费计算资源。

（3）数据中心数据安全。数据中心的超级管理员一般拥有极高权限，但其不严密的安全管理可能导致未经加密就直接存储在云中的敏感数据被窃取，给企业或者个人造成严重的损失。

2.3 虚拟化问题

云计算的基础是虚拟化技术。虚拟化技术导致了一些新的安全威胁。

（1）信息窃取与篡改。云计算依靠虚拟化技术的应用将所有的计算机资源进行融合汇总，最终形成一个巨大的资源共享池，用户可以使用其中的资源，其中不乏一些公司或者个人的隐私信息，如果没有对各种信息进行合理有效的管理，就很容易造成隐私的泄露。

（2）Hypervisor安全性问题。Hypervisor拥有最高的优先级，充当着系统管理员的角色，可以访问服务器上所有物理设备，并协调各种物理设备之间的资源分配。一旦Hypervisor被非法用户破解，所有的虚拟机就会直接暴露在外部环境中。

（3）分布式拒绝服务(DDoS)攻击的泛滥。攻击者通过一定数量级的合法请求消耗网络宽带资源，达到瘫痪网络的目的。

3 云计算安全防护措施

想要提高云计算的安全性能，可从技术保护、管理模式和法律约束等方面入手。

3.1 技术保护

面对云计算技术存在的问题，增强技术方面的保护显得尤为重要，可采用以下几种技术。

（1）安全的身份认证技术。此类技术不采用传统的简单密码，而是改用成熟的生物识别技术，比如：指纹识别、虹膜识别或人脸识别等技术。

（2）云端数据加密。可采用云加密数据库、云数据库安全代理（CDSB）、云访问安全代理（CASB）等进行数据加密。

①云加密数据库：使用具有加密功能的数据库或者数据库引擎，在数据写入文件并存储在数据库前对其进行加密操作，读取数据库中文件时需要进行解密操作。此方法可使数据库保持高效的性能。

②云数据库安全代理（CDSB）：使用加密网关作为数据库的出入口，将所有数据加密后写入数据库，读取数据的时候进行解密。这种加密方式为数据库提供了统一的二次认证和二次鉴权机制，能够有效地防止云平台供应商访问用户的真实数据。

③云访问安全代理（CASB）：在企业或个人的内部网络的出口处放置云访问安全代理应用加密网关，统一对流出的数据进行加密以及对流入的数据进行解密。该加密方式具有很高的通用性，对加密功能进行了分布式处理，使之具有较高的综合性能。为避免加密后数据的检索速率降低以及格式兼容性等问题，一般不建议采用加密强度过高的算法对数据进行加密。

（3）网络通信过程安全问题同样不容忽视。对此，可根据网络实际环境和实际需要在不影响现有网络运行的条件下进行链路加密、节点加密和端到端加密。

（4）虚拟化技术安全需要重点从加强防火墙保护、Hypervisor安全加固 、使用虚拟化安全与管理软件入手。

①加强防火墙保护：对于防火墙的管理，可采取虚拟防火墙（如VMware vShield）和物理防火墙相结合的方式进行，以确保每一个层次的网络流量都能被监控到且确定是安全的。

②Hypervisor安全加固：Hypervisor功能的不断增加，导致代码量也逐渐增加，在一定程度上会使得安全漏洞也随之增加。应构建轻量级的Hypervisor，仅保留其核心功能，从而减少代码量，有效提高其安全性能。

③使用虚拟化安全与管理软件：对于虚拟化环境中虚拟主机中泛滥的分布式拒绝服务攻击，可以采用虚拟化安全管理软件（如CNware）进行处理。此类软件提供了一套完整的基于云计算IaaS层的虚拟化平台解决方案，实现了对虚拟化层的安全加固，有效地减少了网络中的DDoS攻击，能够增强虚拟机安全。

3.2 管理机制

通过云计算服务提供的资源层次（IaaS、PaaS、SaaS），针对用户和云计算提供商来合理划分管理责任要求。首先，用户要在选定IaaS前彻底调研云服务提供商的安全控制和服务水平协议，客户应尽可能利用多因素身份验证，对数据进行加密以减少内部威胁，维护密钥的控制权，定期扫描系统漏洞。其次，云计算提供商要保持对平台的更新以及漏洞补丁更新。最后，云计算提供商要提供足够的后台管理软件，在减少客户的软件购买花费的同时，有效地保证其安全。

3.3 法律约束

面对云计算技术中的各类安全威胁，仅通过技术方面进行保护并不十分周全，应该建立一套公平、公正、统一、全面的法律法规来保护云计算安全。还应成立云计算安全管理运营问责部门，定期对云计算运营商和采用云计算服务的大、中、小型企业进行风险评估和评级，以便及时发现未知风险并采取合理的应对策略。

4 结语

云计算技术的发展推动了信息技术的革新，云计算安全是信息安全领域的一个新的重要延伸。通过对上述重点领域中云计算安全问题的分析和讨论，可以有效降低其影响程度，提升云计算安全管理水平。但是，随着云计算技术的快速普及和广泛运用，将来会出现更多未知的安全风险和安全威胁。维护云计算安全的路途还任重道远，需要我们在实践中不断更新技术和方法以应对不断发展的云计算技术。