云计算视角下网络信息安全问题及其解决策略

何 栋

（山西铁道职业技术学院，山西 太原 030013）

随着云计算技术的兴起，不少信息系统已经通过云平台进行部署。云计算技术虽然具有按需部署、动态可扩展、灵活性、可靠性和性价比高的优势，同时也会带来许多新的网络信息安全问题。由于技术发展快，网络信息安全的法律法规不完善，导致出现了不少法律真空地带。同时部分单位和云计算平台的管理制度不完善，导致访问权限、技术保密性和数据完整性等方面的漏洞层出不穷，这些都是网络信息安全需要注意的新问题[1]。为了尽量避免这些问题可能给企业和个人带来的损失，必须完善原有的网络信息安全体系，提出解决这些问题的策略，进一步增强网络信息的安全性，提高其可用性和稳定性。

1 云计算视角下网络信息安全的现状

1.1 技术层面

由于信息技术的发展速度较快，在技术的更迭过程中难免存在一些漏洞，并且这些漏洞通常具有隐蔽性，一旦爆发势必会产生云计算服务器瘫痪、网络通信中断、服务无响应等情况，甚至会造成数据的丢失，这些都极大影响用户的生产、生活。同时黑客技术水平不断提升，云计算视角下的网络攻击不再局限于病毒等传统形式，呈现出了多样化的态势，使得网络信息安全防护的难度增大。另外移动终端的加入，让网络信息安全威胁呈现出智能化的态势，潜伏时间长、破坏力大是其显著特点。

1.2 环境层面

云计算视角下网络信息安全环境发生了巨大的变化，云计算的信任问题也随之而来。不仅是公有云的信任问题，对于各单位内部私有云信息系统和数据的安全必须给予足够的重视。由于当前黑客的攻击手段更加隐蔽，信息的泄露风险逐步增加，网络开放性与安全性的矛盾不断扩大，加之国家层面的法律法规和操作规范尚待完善，企业对于相关管理规范的落实不到位，势必让云计算视角下的网络信息安全受到威胁[2]。

1.3 用户层面

用户的安全意识淡薄，安全防护技能不足的问题十分突出。虽然不少企业制定了一些网络信息安全防护策略，但是在用户层面的执行力度严重不足。诸如访问云计算资源的计算机未安装杀毒软件、个别用户的权限远超其实际需求、人员调离工作岗位后权限未及时调整、密码复杂度不符合相关要求、重要文件传输不加密等问题比比皆是。这些都是引起网络信息安全事件的重要源头，极有可能造成整个云计算平台的瘫痪或信息泄露。

2 云计算视角下网络信息安全的特征

2.1 完整性

云计算视角下存在多个用户使用同一较大资源池的现象，使得数据完整性受到破坏的风险剧增。一种情况是公有云或者私有云的管理者对于各用户的数据信息没有进行高质量的管理，有可能造成数据存储的完整性受到影响。另一种情况是由于对云计算的计算和存储资源采用了分布式部署的方式，一旦个别基础设施发生故障，会让整个资源池的完整性遭受到破坏。

2.2 保密性

由于云计算基于资源共享，那么保密性就是其网络信息安全的主要特征之一。从云计算视角来看，网络信息安全中的保密性不仅需要体现数据存储方面的保密性，同时要考虑数据在云计算平台内部、外部传输时的保密性。当然用户账户的保密性同样是需要考虑的范畴，只有这样才能保证资源的共享性在相应的限制条件下进行，防止数据信息的泄漏。

2.3 审计核查性

目前云计算的各项技术发展已日趋成熟，对于用户的授权机制和权限控制策略的基础运行框架已完成搭建，通过云安全审计工具可以识别和减小与使用云服务相关的风险以及满足监管部门的应用合规性要求。同时还可以对已出现的安全事件进行追溯，改善云计算平台上应用的安全情况。

3 云计算视角下网络信息安全存在的问题

3.1 缺乏完整的网络信息安全标准体系

虽然在《中华人民共和国网络安全法》实施以来，国家加快了各类网络信息安全标准的起草和发布工作，但是就目前的情况而言，纲领性、指导性的标准较多，具体的技术规范类文件较少。在网络安全等级保护2.0标准中，已将云计算平台/系统纳入到了等级保护的对象中，但是相对于云计算相关技术的发展，其网络信息安全的标准仍然相对滞后。云计算环境中的平台即服务和软件即服务层常年处于不断的更迭中，不确定的安全因素也随之而来。同时一些云计算平台的厂家和运营服务商为了标准化管理，该管理模式对每个用户的实际场景的针对性较弱，这样也会衍生出新的安全问题[3]。

3.2 信息数据的安全问题

云计算基于资源共享的理念，所以对于用户数据、应用数据的安全性问题需要格外的重视，主要包含信息数据的机密性、完整性和可用性。信息数据的安全性需要通过多重措施进行防护，如软件产品安全、数据的擦除以及废弃硬件设备的销毁，涉及的方面众多。云计算环境的安全目前多数依赖于云计算平台的运营方，而对于用户的约束不够，尤其是部分单位用户的云计算系统内部管理权限混乱，会给云计算系统带来更多的管理类安全性问题。另外，数据的加密技术正在不断变化，部分加密技术存在被破解的可能性。加解密的过程依赖于密钥，密钥存储的安全在信息数据的安全性中具有较大的作用，密钥的拾取、篡改密封以及密钥访问的身份验证都是密钥安全风险的来源。

3.3 云计算基础设施的安全问题

云计算基础设施包含了数据中心的硬件部分和云管平台软件两部分。数据中心的硬件部分的安全问题除了常规的断电、漏水、火灾等安全风险，社会工程学攻击也成为云计算基础设施安全问题的主要来源。部分数据中心采用了外包的管理方式，对于一些外来人员的身份鉴别不到位。当然云计算基础设施软硬件层面的备份及容灾恢复也有较多的安全隐患。云管平台本身的设计逻辑和程序漏洞均有可能被黑客的利用，从而达到控制云管平台，实施数据窃取或篡改的目的。这些都有可能给云计算基础设施带来不可逆的损失，必须引起云计算平台运营方和用户的高度重视。

4 云计算视角下网络信息安全问题的解 决策略

4.1 构建完善的网络信息安全框架体系

云计算视角下网络信息安全问题的解决首先需要从构建完善的网络信息安全框架体系入手。在云平台安全建设的基础上，从技术、管理和服务三个体系进行安全框架的构建。在云计算平台建设初期，从平台、访问和数据三个方面完善平台自身的网络信息安全体系。在技术层面，建立安全管理中心、安全计算环境、完善安全区域边界。在管理方面，根据云计算平台的变化，定时完善和更新安全管理制度，加强安全运维、安全流程和安全建设的管理力度。在服务体系中，定期开展安全评估、安全加固以及应急响应的理念，同时加强自动化运维体系的建设，减少人工的干预。在身份层面，需要将身份视为主要的安全边界，并将身份系统，以及管理员和凭据作为首要优先事项加以保护。在基础设施架构方面，需要将基础设施运行在现代化平台上，并使用智能检测来补救漏洞和攻击[4]。基于云计算视角的网络信息安全框架体系如图1所示。

图1 基于云计算视角的网络信息安全框架体系示意图

4.2 加强网络安全防护技术手段的应用

首先，构建根据网络安全等级保护的要求，建立云计算安全的技术安全防护体系架构。在体系中，加强区域边界、计算环境、物理环境、通信网络和安全管理中心的建设。在区域边界层面，运用网络准入、流量监控、恶意代码分析、安全审计和防IP/ARP/MAC欺骗措施。尤其需要通过部署下一代防火墙的方式，让云计算系统获得南北向流量的安全防护。同时将云计算系统分为多个安全域，通过采用不同的网络安全措施，增强云计算平台上各系统的安全性。各安全域的安全防护示意如图2所示。

图2 各安全域的安全防护示意图

其次，加强网络信息安全的动态监控能力，可以使用态势感知平台及时获取整个云计算环境的安全态势，如使用主机管理系统对恶意攻击、木马入侵以及暴力破解等行为进行检测并保留相应的日志。再次，强化应用与数据的安全防护，对于安全设备和数据库，必须通过多因子认证的方式进行对登录用户身份的认证和鉴别，口令的存储需进行加密，服务器则需要采用SSH的方式进行管理，云计算管理平台、安全设备、网络设备必须采用HTTPS的通信方式，使其保密性和完整性得到保障。最后，通过日志和数据库审计系统，对所有的用户登录及操作行为进行记录和审计。另外备份和灾难恢复也需要技术手段的支持，如选择质优的备份软件，定期对服务器进行快照备份，对数据库文件进行完全备份等，让云计算环境下的应用在遭受损坏或攻击时能够快速得到恢复。

4.3 提高运维管理和风险管理的能力

云计算视角下网络信息安全问题的解决，除技术因素外，更需要提高运维管理和风险管理的能力，真正变被动防御转为主动预防。在运维管理方面，需要根据制度划分各类人员的管理权限，如云计算平台系统管理员、网络管理员、主机管理员、数据库管理员和应用管理员等，采用最小权限的原则给予赋权，并在岗位变化时，及时进行人员权限的调整。采用堡垒主机实现对云计算资源的身份认证、访问控制和行为审计。做好云计算资源的变更管理，定期展开渗透测试和应急演练。特别要对重要节点的云计算网络信息安全问题做好应急预案，要求相关人员对处理、上报和恢复流程烂熟于心[5]。定期开展相关理论、制度和流程的宣贯工作，对于应急演练做好记录工作，并认真找出其中的不足，做好应该演练方案的更新工作。让人员从思想上认识到网络信息安全的重要性，从行动上全面掌握解决问题的技能。

5 结束语

总之，云计算视角下的网络信息安全问题虽然与传统的问题有所不同，但是只要构建完善的基于云计算的网络信息安全框架体系，不断提升管理能力和技术水平，就能做好云计算视角下的网络信息安全防护工作，助力云计算的快速发展。