云计算环境下的信息安全与隐私保护机制研究

赵玉梅

（六盘水职业技术学院 贵州 六盘水 553001）

0 引言

随着云计算的快速发展，越来越多的企业和个人选择将数据和应用迁移到云端［1］。云计算通过虚拟化技术，实现计算资源的弹性扩展和按需使用，极大地提高了资源利用效率，降低了使用成本。然而，云计算也带来了数据和隐私安全的新挑战。在公共云环境下，用户数据和应用易受到攻击和泄露，给企业和个人带来重大损失。为此，云服务提供商和企业用户迫切需要加强云平台和云应用的安全防护能力。本文将系统研究云计算环境下的数据和隐私安全问题，探讨加密、访问控制、基础设施安全、数据备份与恢复、安全监控等方面的安全防护技术和机制，以期为云用户提供安全可靠的云服务。

1 云计算概念及面临的安全及隐私威胁

云计算作为一种新型的信息技术服务模式，提供了动态可扩展、虚拟化的资源，大大降低了用户的使用成本，推动了互联网时代技术和商业模式的变革［2］。从技术上讲，云计算服务模式主要包括软件即服务（software as a service， SaaS）、平台即服务（platform as a service， PaaS）和基础设施即服务（infrastructure as a service，IaaS）。以IaaS为例，云提供商利用服务器虚拟化、存储虚拟化、网络虚拟化等技术，将底层物理基础设施资源如服务器、存储、网络设备等池化，并以统一的云管理平台软件为基础，动态架构出规模巨大的虚拟机集群、虚拟存储池、虚拟网络，最终以“基础设施即服务”的形式对外开放。用户只需要在云管理平台上进行申请，就可以在几分钟内获取成百上千台规模的虚拟机资源，并只需按实际使用量进行计费。

但是，云计算多租户共享的开放特性也给用户的信息安全带来了新的挑战。基于虚拟化技术实现资源池化的公有云，存在来自不同用户的虚拟机共存于同一物理服务器的情况。这使得用户较易受到基础设施层面的攻击，比如可以通过定制化的侧信道攻击在不触发安全监控的情况下获取同一台物理服务器上其他虚拟机的加密密钥、敏感数据等，造成用户隐私数据的泄露。根据安全公司Venafi 近期发布的调查报告，有超过30%的企业公有云用户表示自己所面临的云安全风险主要来自该类攻击。此外，由于用户缺乏对云基础设施的实际控制权限，使得攻击者也将云提供商的基础管理平台作为目标。黑客可以通过植入恶意代码的方式远程入侵云管理平台，在获得足够的权限后，可以进一步对云基础设施实施破坏，比如在管理平台植入后门、对用户虚拟机环境进行入侵修改等。这种攻击已经多次在知名公有云提供商体系中被披露和发现。除此之外，利用云环境实现的分布式拒绝服务攻击（distributed denial of service， DDoS）也对云网络的可用性和攻击防御能力提出了更高要求。

2 云计算环境下的信息安全与隐私保护机制

2.1 数据加密和访问控制

为保证云计算环境下的数据安全与隐私，首要的是通过加密机制确保用户敏感数据的保密性［3］。当前主流的加密算法包括对称加密算法和非对称加密算法。对称加密算法使用相同的密钥进行加密和解密，速度更快，但密钥管理和分发复杂。非对称加密算法使用公钥－私钥对，通信双方各持有一把密钥，安全性更好。云计算环境下，可以采用混合加密模式，即使用对称算法加密用户数据，再用访问方的公钥加密该对称密钥。这样既保证了效率，也不会泄露私钥。具体实现上，可在数据上传云端前就在用户本地完成加密处理。同时还需要基于访问控制，精确授权何种用户角色可以访问敏感数据。主流的访问控制模型包括自主访问控制（discretionary access control，DAC）、强制访问控制（mandatory access control， MAC）和基于角色的访问控制（role-based access control， RBAC）等。RBAC 通过将权限与角色而不是用户直接关联，实现更好管理。在云平台上可以实现细粒度的RBAC 策略，比如访问控制模型可以表示为一个四元组（S，O，OP，U），表示主体S 可以在对象O 上进行OP 操作。主体和对象可以是任意粒度的实体，如用户或角色、数据块或文件等。操作也可以是任意粒度的读写访问权限，这样可实现精确访问控制。

在云存储的数据完整性保护方面，需要使用数字签名等方法防止存储数据的非授权修改。数字签名基于非对称加密和哈希（Hash）算法实现，用户数据的哈希值用私钥加密作为签名。数据接收方可以使用发送方公钥验证签名，确保完整性。签名验证的数学表达如式（1）所示。

式（1）中，PUa表示发送方公钥，D是原文数据，S是签名，Ver 表示验证函数，Hash 是哈希函数，Dec 表示解密。只有确保数据未被修改，EQUAL 结果才会为真。

2.2 安全的云基础设施和网络保护

云计算基于虚拟化技术动态管理大规模虚拟化资源，因此保护云基础设施安全至关重要。一方面，需要确保虚拟机和虚拟网络的隔离性，避免不同用户的虚拟资源相互可见或访问。比如，可通过物理服务器上的Intel VT-x 指令集下的扩展页表（extended page tables， EPT）功能加强虚拟机操作系统（guest operating system， Guest OS）和虚拟机管理程序之间的隔离。EPT 允许硬件直接处理来自虚拟存储器（virtual memory， VM）的内存访问，无需虚拟化软件参与，从而提高性能和安全性［4－5］。

另一方面，云管理平台自身也面临威胁。黑客可以试图利用未补丁的漏洞、社会工程学等方式入侵云管理平台，获取控制其底层基础设施资源的能力。这类攻击往往具有广度，能够影响很多租户和终端用户。为此云平台需要自动化安全管理和加固准入机制，如主机入侵检测与防护系统、安全审计与合规检查等，确保及时发现和防范威胁。比如入侵检测系统可以通过匹配主机操作日志与已知攻击模式特征，区别合法和可疑行为；也可以通过机器学习构建正常行为基线，检测异于基线的异常活动。

在网络安全方面，云平台需要部署防火墙、入侵检测与防御系统等对东西向流量进行全面监控，并与威胁情报服务集成，主动屏蔽已知攻击源。此外，可采用软件定义网络和网络功能虚拟化技术，通过编程手段将网络基础设施虚拟化，从而打造基于安全策略的动态可编程网络。不仅有助于提高网络管理效率，也有助于快速响应安全事件。

2.3 数据备份和灾难恢复

为防止数据丢失，云平台首先需要提供自动化的数据备份和灾难恢复能力。主流的备份方法包括完全备份、差异备份和增量备份。完全备份将数据集全部内容备份；差异备份保存最近一次完全备份之后发生改变的数据；增量备份仅备份上次增量备份之后修改过的数据。为平衡存储效率和恢复速度，实践中常采用完全备份加增量备份模式。

其次，云平台上的备份系统需要确保异地容灾能力。即便某一区域数据中心发生灾难，也能通过其他中心的备份进行服务故障转移和数据恢复。为最小化服务中断，备份系统可采用A-B 站双活模式。A、B 两个站点互为主备，同时提供服务并实时同步数据，一旦A 站故障，B 站快速接管A 的服务访问。该模式的可用性计算如式（2）所示。

式（2）中，Ud表示站点间专线的不可用率，Uh和Ur分别表示A、B 站点自身的不可用率。通过设计合理的冗余结构，可以将云服务和数据的可用性最大化。最后，云平台需要提供基于快照的备份恢复能力。当面对恶意软件数据损坏、误操作数据丢失等突发情况时，用户可以选择恢复到某一历史时间点的系统备份快照，实现业务连续性。

2.4 安全审计和监控

为全面评估云平台安全防护状况，首先需要实施安全审计和监控。安全审计主要检查云平台是否符合安全相关的监管法规和行业标准。其中云安全联盟发布的云控制矩阵提供了详细的云安全审计框架，覆盖数据安全、基础设施安全管理、计算环境安全、业务连续性管理、运营安全、法律合规等多个领域，帮助用户客观评估公有云安全风险。而安全监控主要通过分析各类日志和告警数据，实现对云基础设施、网络流量、用户访问行为的7×24 h 实时监测。除了检测已知威胁，还需要通过机器学习和关联分析实现对未知威胁和内部威胁的识别。具体来说，可建立包含网络连接日志、进程执行日志、系统调用日志、文件访问日志在内的多类型安全日志仓库，利用机器学习算法探测异常行为模式。比如通过非监督学习算法如局部异常因子（local outlier factor， LOF）算法检测异于大多数正常模式的数据点。获得安全事件告警后，可以触发自动化响应机制，迅速阻断攻击并启动恢复流程。

其次，为支撑云上大数据应用的安全分析需求，市场上已出现基于Hadoop、Spark 等大数据平台构建的可扩展安全监控和分析系统。它们可以高效存储和处理每天产生的数十亿条异构安全日志数据，并提供交互分析、可视化等功能，助力安全团队优化防御策略。这类系统通常采用Hadoop 分布式文件系统（Hadoop distributed file system，HDFS）弹性扩展存储能力，并建立数据湖统一管理不同来源的安全数据。另外还会使用流式计算框架（如Storm、Flink）实现对海量日志的实时分析。

最后，提供结构化查询语言和机器学习算法，进行历史数据的关联分析和安全模型训练。比如，可收集每天数十亿条的域名系统（domain name system， DNS）查询日志，使用机器学习算法分析用户和域名查询模式，发现异常行为。再配合网络连接日志，判断是否存在僵尸网络（botnet）或命令与控制（command and control， C2）攻击。或者使用Spark SQL 对身份认证失败日志进行关联分析，找出潜在的用户名暴力破解攻击。这类大数据安全分析系统可以全面提高云环境的威胁检测和响应能力。

3 云计算环境下的信息安全与隐私保护实践案例

亚马逊作为全球领先的云计算服务提供商，在产品技术和运营管理等多个层面实践云计算环境下的数据安全与隐私保护，经验值得借鉴。

首先，在底层基础设施安全方面，亚马逊利用自主研发的Nitro 系统替换传统的虚拟化平台，去除管理程序层攻击面，直接运行硬件虚拟机。Nitro 系统通过现场可编程逻辑门阵列（field programmable gate array， FPGA）实现网络、存储等资源的硬件虚拟化与加速，增强云主机性能之余也提升了安全性。具体来说，Nitro 系统可以做到0.2 ms 的存储延迟，每秒转发超过100 万的数据包。此外，亚马逊还通过信任的路线图规划，推进安全计算、可信执行环境等下一代可信基础设施技术的创新与落地。

其次，在数据安全方面，亚马逊提供“数据加密引擎”等多种加密服务，使客户应用系统无感知地实现数据的加密，高效保护云上数据的机密性。同时还提供基于角色和策略的精细访问控制服务，确保用户身份和敏感操作行为的可见性与审计性。亚马逊的数据加密引擎每秒可以加密1 GB 的存储数据。

最后，在安全运营与服务方面，亚马逊通过其云平台提供了强大的安全功能。亚马逊云服务（Amazon Web Services， AWS）特别重视云平台的安全性，为用户提供了全面的安全保障措施。比如，AWS 提供了DDoS 防护服务，帮助客户抵御大规模的分布式拒绝服务攻击。同时，AWS 的Web 应用防火墙可以帮助保护Web 应用程序免受Web 层面的攻击。此外，AWS 还提供主机安全解决方案，确保用户的服务器安全运行。服务和工具的综合应用，使得AWS 在处理潜在的安全威胁方面具有强大的能力，有效保护了用户的数据和应用。

4 结语

随着云计算在行业中的广泛应用，其数据安全和隐私保护问题日益受到关注。本文系统研究了云计算环境下面临的安全威胁，并提出了多层面的安全防护对策，包括数据加密和访问控制、安全的云基础设施和网络防护、数据备份和灾难恢复、安全监控与审计等。这些机制能有效保护云平台的数据机密性、完整性和可用性。在实践部分，分析了亚马逊在云安全领域的技术创新与全球认证情况。可见，只有持续构建全面、自动化、智能化的云安全体系，让用户对云服务的安全性保障更有信心，云计算产业才能持续健康发展。未来还需要进一步加强法规与标准建设，促进服务提供商、用户和监管部门形成云安全生态共同体。