云環境下的全局安全思考

摘 要：本文以云計算為出發點，從全局安全方面著手，通過比較傳統網絡和云計算環境下的不同，在終端用戶、數據存儲、用戶權限、安全審計、網絡取證等方面討論了一些安全問題的防護和管理辦法。只有策略、技術和人的三個要素的組合，才能真正的實現云計算的安全。

關鍵詞：終端用戶；數據存儲；用戶權限；安全審計；網絡取證

一、云環境下的終端用戶安全

對于使用云服務的用戶，應該保證自己計算機的安全。在用戶的終端上部署安全軟件，包括反惡意軟件、防病毒、個人防火墻、以及IPS類型的軟件。目前，瀏覽器已經普遍成為云服務應用的客戶端，但不幸的是所有的因特網瀏覽器毫無例外地存在軟件漏洞，這些軟件漏洞加大了終端用戶被攻擊的風險，從而影響云計算應用的安全，因此云用戶應該采取必要措施保護瀏覽器免受攻擊，在云環境中實現端到端的安全。云用戶應使用自動更新功能，定期完成瀏覽器補丁和更新工作。

隨著虛擬化技術的廣泛應用，許多用戶現在喜歡在桌面或者筆記本電腦上使用虛擬機來區分工作（公事與私事）。有人使用 Vmware Player來運行多重系統（比如使用Linux作為基本系統），通常這些虛擬機都沒有達到補丁級別，這些系統被暴露在網絡上更容易被黑客利用成為流氓虛擬機。對于企業客戶，應該從制度上規定連接云計算應用的PC機禁止安全虛擬機，并且對PC機進行定期檢查。

二、云環境下的數據存儲安全

數據存儲在哪里？誰可以訪問？數據安全嗎？這些都是重大問題，因為沒有幾家云服務提供商在處理敏感數據方面證明一向很可靠。如果數據保存在共享存儲系統上，要料到可能面臨風險。其實，即使我們放在自己公司內部的數據也面臨風險。云存儲的實質是共享存儲和虛擬存儲。在共享存儲中面臨最大的風險是數據丟失和泄漏，在虛擬存儲環境中面臨最大的風險是存取權限、數據備份和銷毀。云存儲還面臨著服務供應商的“沒有責任”。我們可以從數據隔離、數據加密、第三方實名認證、靈活轉移、安全清除、完整備份、時限恢復、行為審計、外圍防護等方面綜合考慮解決云存儲安全問題。

三、云環境下的用戶權限及訪問安全

在云計算環境下同一種應用不同用戶的訪問權限控制也是很關鍵的問題，用戶權限即合法用戶可以進行的具體操作。用戶登錄到云環境下的應用之后，可進行瀏覽、檢索、下載、創建、更新等操作。但不是每個用戶都可以進行所有的操作，不同的用戶將具有不同的權限。在云環境下，應用數據的創建、更新及整合等事宜，仍將由指定部門負責，比如每年進行的大量用戶數據的更新，用戶數據的維護的信息等。這樣就要求云計算環境能夠對普通用戶、管理用戶和云計算服務商進行合理的權限劃分與管理以保障數據安全。

訪問控制的目的是保證各用戶信息資源不被非法訪問和使用。云計算環境對于黑客極具吸引力，因為云本身不但集中存儲了各種資源，對于惡意軟件的隱藏也提供了便利的條件。再加上云環境的高度復雜性，不可避免地會給黑客留下一些機會——他們可以通過尋找云環境內的安全漏洞，來竊取用戶資料或破壞所存儲的信息包括企業的各種數據，因此必須采取有效訪問控制策略予以防范。

四、云環境下的安全審計

許多企業的信息安全團隊平時經常監測安全漏洞郵件列表、給系統打補丁、改寫代碼以解決缺陷。在云中，盡管云服務用戶并不控制實際的打補丁和漏洞監測工作，但我們仍有責任管理自己的風險。所以我們要評估哪些資產需要保護、如何防護這些資產包括在云基礎架構上添加安全措施。云服務客戶必須要求保證自己可監測誰在訪問自己的數據。比如要求提供詳細的審計跟蹤記錄，應當采取數據加密；或者只把所處理數據不是特別敏感的應用程序交給云服務提供商。

在這方面谷歌就表示過，Google Apps的安全流程已通過了SAS 70 Type Ⅱ審計標準。預計會聽到更多的提供商宣稱自己的安全審計標準，相信這些標準不斷的發布將解決因為安全問題很多用戶不敢把應用程序轉移到云中的問題。

五、云環境下的網絡取證

目前法律界已經開始意識到信息安全管理服務是電子信息是否能被接受作為證據的關鍵因素。當然這是傳統IT架構的問題，對其特別關注的原因是法律界對于云沒有相關的經驗。

針對云計算環境的網絡取證呢？在電子證據發現方面，用戶和云提供商必須對對方的角色和責任有共同的認識，包括訴訟保留、發現搜索、專家證詞提供方等。建議云提供商提供真實可靠的數據，以保證他們的信息安全系統可以響應客戶的要求，比如類似元數據和日志文件的主要和次要信息。云服務提供商保存的數據需要接受在與數據所有者處保存時同樣級別的監管。提前計劃好相關意料內和意料外關系終止后的合同協商事宜，并有序地恢復或處置資產的安全。云服務用戶的責任包括合同前盡職調查、合同期限的談判、合同執行后的監測、合同終止、以及數據保管變更等。那么作為個人數據或企業知識產權資產的保管者，采用云計算服務的企業應該保證該數據以原始的、可認證的格式保存所有者信息。云服務協議必須允許云服務客戶或者指派的第三方來監控服務提供商的效率，并測試系統的脆弱性。完善這些內容相信對云計算環境下的安全會有很大的幫助。

六、結論

云計算改變了服務方式，但并沒有顛覆傳統的安全模式。所不同的是，在云計算時代，安全設備和安全措施的部署位置有所不同；安全責任的主題發生了變化。原來，用戶自己要保證服務的安全性，現在由云計算服務提供商來保證服務提供的安全性。云計算安全是一個新興的領域，通過上述這些重要領域安全的討論分析，可能會降低云計算安全威脅程度。但是，隨著云計算技術的快速發展和更廣泛的應用，將會有更多的安全風險。因此云計算安全之路還有很長，但不管怎么說遵循已有的最佳安全實踐還是可以加強云計算安全。解決云計算安全問題的辦法和傳統的解決安全問題的辦法一樣，也是策略、技術和人的三個要素的組合。

參考文獻：

[1]白堃：云計算環境下的信息安全問題及策略.《網絡安全技術與應用》，2014年11期.

[2]張顯龍，聶彤彤：云計算環境下的信息安全問題研究.《信息安全與通信保密》，2013年09期.

[3]柏強，許譯文，王應求：云計算環境下的數據安全應對策略研究.《信息系統工程》，2012年07期.

[4]王汝林：發展云計算必須高度重視“云安全”.《信息系統工程》，2011年03期.