探究云计算之安全问题

邓宇珊

摘 要：云计算是社会发展、科技进步的产物，是IT领域变革的结果。云计算从提出开始就是IT领域较为令人关注的话题，引发了新的技术变革和IT服务模式。其大规模、通用性、用户无需维护和关心基础设施等特点给用户带来了极大的便利。与此同时，云计算也因其特点，凸显出了诸多的安全隐患需要着手解决。论文旨在对云计算存在的安全隐患进行分析，并简单的探讨可实行的安全保障措施。

关键词：云计算；云安全；云计算安全。

中图分类号：TP15 文献标识码：D

Abstract： Cloud computing is the product of social development and technological progress， and is the result of the change in the field of IT. Cloud computing has been a hot topic in the field of IT since it was put forward， which has triggered new technological changes and IT service patterns. Its large-scale， versatility， users do not need to maintain and care about infrastructure and other features to the user has brought great convenience. At the same time， because of its characteristics， cloud computing has highlighted many security risks that need to be solved. The purpose of this paper is to analyze the security risks of cloud computing， and simply explore the security measures that can be implemented.

Key words： cloud computing； cloud security； cloud computing security

1 引言

云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡、热备份冗余等传统计算机和网络技术发展融合的产物。同时，云计算也是一项技术、一系列技术、一种运营模式、一种商业模式。其主要特点有超大规模、虚拟化、高可靠性、通用性、高扩展性、按需分配、极其廉价等。

因此，云计算带来的优点也显而易见。云计算提供了可靠、安全的数据存储中心，用户不用再担心数据丢失、病毒入侵等麻烦；云计算对用户端设备的兼容性高，使用起来也最方便；增强的计算能力，接入到云计算的系统，可获取和支配整个云中共享的CPU、内存、计算能力等，并不再局限于单台计算机所能做的事情，利用成千上万台计算机和服务器的能力，能执行更多的任务；拥有“无限”的存储容量，用户可不用考虑存储的上限。

云计算目前有三个层次的服务模式，即IaaS基础设施即服务、PaaS平台及服务、SaaS软件及服务，用户可根据不同的需求选择不同的服务模式。

2 云计算面临的威胁

云计算具有流动性、无边界、虚拟化等特性，这就使得其传统的防护体系受到了极大的冲击，其面临的安全威胁越来越多。

2.1 滥用、恶用、拒绝服务攻击

云计算提供服务依托于宽带网络和Web方式，所以其拒绝服务攻击会严重影响其可用性。网络和服务器资源为云计算提供了支撑，而且云计算的特性要求其具备灵活性，这样才能满足业务开通和服务变更等需求。这也增加了云计算被滥用恶用的风险，通过云计算服务破解密码、搭建僵尸网络等风险就比较普遍。此时云计算就面临着新的风险——数据泄露，这是公共云最担忧的一个问题，因为云计算中高密度聚合了关键数据，这就容易引发潜在的攻击，使得云中数据丢失泄露的风险增加。

在云计算环境中，如果攻击者直接获取了用户的账号信息，用户的活动交易信就会被窃取，攻击者就会通过操纵数据、捏造信息、劫持账号来发动新的攻击等方式来损害用户的网络信誉。

2.2 不安全的接口和API

目前，云计算业界的安全实践中网络接口和API的安全测试不成熟，出现了额外的安全入侵入口。因为客户进行业务整合、发展伙伴和提供业务，都需要通过云计算服务商来获取大量的网络接口和API，额外的安全入侵使得其业务风险增加。

2.3 资源共享引发的风险

云计算的一个重要特征就是可以進行资源共享，在多用户间共享云计算中的计算能力、存储与网络资源，其隔离性就被打破，一个租户的恶意行为就会对同一环境下其它租户的声誉产生影响。云计算的虚拟化技术为黑客入侵到宿主机或同一宿主机上的其它虚拟机提供了便利，这都是因为虚拟机管理系统自身的漏洞。目前，云计算环境中集中存储了重要的私密数据，其相互传输过程中也会出现信息泄露的情形，包括客户资源、财务数据、关键业务记录等。

因此，在不可靠的介质上存储数据，并没有进行备份，就对数据进行删除修改，一旦丢失了密钥数据就难以解密，容易带来严重的数据丢失事故。与传统的基础设施相比，云计算的分布式架构的数据传输更多，在不同机器上同步的镜像为其提供了云间的信息交换。如果其加密强度不够，嗅探、中间人攻击、重放攻击等都可以被攻击者用来窃取和篡改数据。

2.4 虚拟化安全问题

云计算还存在虚拟化安全问题，一旦其物理主机被破坏，因为与物理主机之间存在交流，其管理的虚拟服务器也有被攻克的可能，但是如果使得物理主机和虚拟机不交流，又会出现虚拟机逃逸的现象。在破坏了物理主机的虚拟网络后，其虚拟机也会受到损害。

2.5 其他未知的风险场景

云计算具有应用地域弱、信息流动性大的特点，所以不同地区、不同国家都有其信息服务或用户数据的分布，这也就增加了其法律风险。因为不同国家地区的政府信息安全监管等存在法律差异，如果用户间物理界限模糊其因为虚拟化等技术，也会增加司法取证的难度。由此可见，云计算面临的威胁比较多，但是用户不可能对云中所有的细节都了解，而云计算服务商因为商业机密等也并可能分享关键信息，所以双方的信息不对称现象难以避免，未知安全风险也难以禁止。

3 解决方案

信息技术在不断向前发展，因此引发的安全问题也是在不断演进，传统国家安全标准与安全技术已经不能满足与适应新技术发展带来的安全威胁，这就需要采取有效的解決措施来提高云计算的安全性。

3.1 加强数据保护

在云计算平台存储系统中存在着大量数据，包括文档、视频、图片、电子邮件等。不同类型的数据、不同用户的数据、不同级别的数据其安全性和重要性都有极大的区别。因此，要做好数据保护，提高信息的安全性，比如可以发挥安全资源池化、敏感信息识别与防护、DDoS防护等作用进行安全保护。

3.1.1 安全资源池化

资源池主要有高性能、资源分配合理等优势。因此，在云计算环境中，为了提高安全设备的性能与灵活性，可将云计算安全资源如虚拟防火墙、虚拟入侵防御系统、虚拟防病毒、虚拟Web应用防火墙等设备按照类型进行资源池化，便于对安全设备的按需分配、集中管理。

3.1.2 敏感信息识别与防护

敏感信息的识别与防护可在数据的整个生命周期中分别进行。

在数据的产生环节，制定敏感数据的标准与分类；在数据传输环节，通过数据加密或VPN技术实现数据的加密传输。

在数据存储环节，采用加密技术或者其他保护措施实现数据的存储保密性；在数据迁移环节，进行数据迁移前的安全评估，保证数据迁移前后的安全。

在数据销毁环节，制定相应的销毁准则，保证数据被彻底销毁清除；在备份与恢复环节，提供完善的数据备份与恢复功能，保证数据的可靠性。

3.1.3 DDoS防护

云计算环境中，用户数据、带宽、网络设备等资源较为集中，如若云平台没有做相应的防护或者防护措施不足，任一节点遭受拒绝服务攻击时，可能导致毁灭性的破坏。因此，云计算的DDoS防护尤为重要。

3.2 抗拒绝服务攻击

云计算中心的可用性受到其业务的影响，所以云计算服务提供商必须要做好其拒绝服务攻击的调查工作，采取有效的保护措施。因此，服务提供商自身必须要有强大的网络和服务器资源，这样才能满足云计算快速弹性的需求，实现云计算的灵活性。

云计算中也要对网络入侵进行检测，对于攻击成功的安全事件要通过入侵检测系统的攻击结果对其功能进行判定。而且云计算中心要对低风险或不可能成功的攻击行为进行过滤，通过特定的安全规则设定安全策略，减少管理员的日常工作量，保证可以重点关注重要攻击行为。

3.3 加强信息安全流通

对于信息共享中出现的风险，要对网络的安全监控进行强化，通过高强度的划分和隔离机制来管理访问和操作，这样在一个用户访问另一个用户时，就会定期扫描和配置审计其活动的和残留的数据。同时也会开展集中化的身份认证，分级管理和记录数据访问情况，运用HTTPS或SSL的VPN高强度加密传输的数据使用。

4 结束语

云计算为互联网的发展提供了技术推力，为用户提供了可靠的数据存储、便捷的接入以及跨设备的数据应用与共享等便利。但在云计算发展的同时，还需要将其面临的安全问题与不断提升的技术进行同步建设与防护。

因此，要做好云计算安全问题的管理，注重其数据保护、抗拒绝服务攻击和信息共享，保证信息传递存储的安全性。同时，云计算服务商也要加强对其安全性监管，这样才能共同营造良好的、安全的网络环境，有效预防更多的未知风险。

参考文献

[1] Cloud Security Alliance.Top Threats Working Group The Treacherous 12 Cloud Computing Top Threats in 2016[Z].February 2016.

[2] 贾英来，熊玉兰.电信运营商在云计算环境下如何保护敏感信息[J].世界电信，2015（7）：42-47.

[3] 李金金.云计算的数据安全和隐私保护[Z].国研网，2015，11（19）.