從“棱鏡計劃”中探討云計算體系下的信息安全問題

摘要：“維基解密”、“棱鏡計劃”的相繼曝光使各國開始重視網絡信息安全，重新思量在信息技術不斷更新的時代如何來應對這一問題以維護國家利益。隨著云計算技術的日益成熟和廣泛應用，云內的安全問題也得到了重視。文章從“棱鏡計劃”講起，探討了云計算體系下的信息安全問題。

關鍵詞：云計算；“棱鏡計劃”；信息安全；互聯網

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-2374（2014）30-0022-02

1 “棱鏡計劃”與云計算

棱鏡計劃是一項由美國國家安全局自2007年起開始實施的絕密級電子監聽計劃。該計劃的正式名稱為“US-984XN”。根據報道，泄露的文件中描述PRISM計劃能夠對即時通信和既存資料進行深度的監聽。許可的監聽對象包括任何在美國以外地區使用參與計劃公司服務的客戶，或是任何與國外人士通信的美國公民。國家安全局在PRISM計劃中可以獲得的數據電子郵件、視頻和語音交談、影片、照片、VoIP交談內容、檔案傳輸、登入通知，以及社交網絡細節。綜合情報文件《總統每日簡報》中在2012年內在1477個計劃使用了來自棱鏡計劃的資料，關于PRISM的報道是在美國政府持續秘密地要求威訊向國家安全局提供所有客戶每日電話記錄的消息曝光后不久出現的。泄露這些絕密文件的是國家安全局合約外包商的員工愛德華·斯諾登，于2013年6月6日在英國《衛報》和美國《華盛頓郵報》公開。

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡、服務器、存儲、應用軟件、服務），這些資源能夠被快速提供，只需投入很少的管理工作或與服務供應商進行很少的交互。云計算（cloud computing）是基于互聯網的相關服務的增加、使用和交付模式，通常涉及通過互聯網來提供動態易擴展且經常是虛擬化的資源。云是網絡、互聯網的一種比喻說法。過去在圖中往往用云來表示電信網，后來也用來表示互聯網和底層基礎設施的抽象。

2 從“棱鏡計劃”分析信息安全問題

黑客的攻擊成為目前信息安全所面臨的首要威脅，黑客通過侵入他人電腦系統、盜竊系統保密信息、破壞目標系統來獲取信息。隨著網絡的不斷發展國家的能源、通信、商業、金融、交通等信息的交流都有賴于網絡。一旦網絡系統出現問題導致信息被竊取指令無法正常執行，將會給國家帶來局帶來損失并直接影響國家

安全。

網絡信息技術的不斷更新使間諜組織有更好的工具獲取機密信息。美國“棱鏡計劃”的曝光使大眾了解到美國竊取情報活動涉密程度和情報信息量。美國視我國為其最大的利益威脅國，依靠其技術的優勢，長期對我國的通信和計算機網絡進行全天候無地域限制的偵察與監控，美國借助谷歌將用戶的所有瀏覽記錄都備份到情報局以達到實時監控的效果。如此嚴峻的形勢下中國不得不再次提高信息安全警報等級，網絡信息安全已經不僅僅是指軍事上的國家安全，它將會對國家的經濟政治等方面產生直接的影響。

3 云計算技術所引發的信息安全問題

云的部署方式分為軟件及服務SAAS，另外四種部署方式為公有云、私有云、社區云和混合云。這種部署能夠考慮到成本控制和安全控制等多方面的需求。云所具備的功能使其能夠在計算機網絡中得到廣泛的應用。云完成了對數的存儲和計算工作不可避免地存在存儲的信息安全出現問題。云計算的出現對國家信息安全存在潛在和現實威脅。一旦有哪個國家有很強的技術能夠控制云，將會掌控全球的信息，竊取其他國家的機密信息。

云環境下信息安全出現以下幾個問題：安全邊界的消失，無法采取針對性的安全防護措施，無法確保信息的安全；信息數據的過度集中，云計算中對信息的處理和存儲都是在云端上完成，網絡是一個開放性的互聯虛擬平臺，它的身份識別與認證，對信息瀏覽的訪問控制技術尚不成熟，容易造成信息傳輸過程中的泄密或丟失；虛擬化技術的應用問題，云計算依賴于虛擬技術，但虛擬設備的管理非常困難，設備能否正常運行受到電腦病毒、安全漏洞等的影響；可靠穩定性問題，容災恢復能力、安全策略等無法滿足云計算服務的需求，云端高度集中的信息資源會促使惡意代碼和黑客程序的不斷侵入對云端的信息安全帶來極大的威脅。

4 云體系下應對信息安全威脅的策略

對于公有云與私有云用戶對信息安全的較高要求，必須要建立健全信息安全標準體系，加強在云計算體系下基礎設施的安全性管理，提高云計算的技術水平提高信息風險防范能力，為云計算提供良好的系統運行環境。

（1）國際合作共同規范化和標準化信息安全標準體系如云計算中的設備的合理配置、運營流程、用戶安全要求、訪問控制策略。安全標準體系的建立以云安全管理中心為核心注重云環境安全、云邊界安全、云通信網絡安全。在云中當加密后的通信信息與用戶交流時，通過對安全策略的不斷改進使其更具合理性和更強的健壯性來保證云計算環境下的信息安全。

（2）云計算的運行平臺是基于基礎設施的，其自身設備有漏洞和安全風險的存在，所以加強在云計算體系下基礎設施的安全性管理就成為信息安全威脅的一種防護策略。將基礎網絡IP統一管理規劃，對關鍵節點的中斷和服務器的IP和MAC地址進行綁定操作，用來防止出現地址欺騙；對于網絡的核心設備使其能對集合鏈路冗余備份，在防火墻技術的異常流量監控中能夠及時準確地發現并且阻斷互聯網對DDOS的攻擊，將防火墻設置在DMZ內網和互聯網接入點與DMZ之間，來確保在云端信息的安全存儲與完整的傳輸與正常通信；要對應用系統主機設備進行安全加固，關閉不使用的服務端口如黑客常利用的3389端口遠程控制用戶主機以及相應的組件，對操作系統、虛擬機、數據庫及時打補丁，并且實時監控惡意代碼和病毒的出現，在信息中心部署IAS/IPS設備保護系統自身的安全。

（3）laaS虛擬化、PaaS分布式、SaaS在線軟件是云計算體系中的關鍵技術。虛擬技術是將IT的硬件資源轉化成資源池通過網絡將信息傳輸至客戶端來實現IT資源靈活性和利用率最大化，虛擬化安全要運用到數據存儲冗余保護技術、并行訪問，完善容災和容錯技術等；在分布式處理技術中，Hadoop HAFS、Google GFS等分布式系統增加了Secondary Master對主服務器的備份，結合冗余存儲方式，引進分布式同步和沙箱隔離技術來確保云端信息安全；在防火墻執行邏輯分區邊界防護和集中管理分段功能的基礎上啟動虛擬端口限速功能，并對虛擬網絡上的日志審計，才能及時發現異常流量現象并予以控制。

（4）信息風險的防范有多種方式，數據加密是信息風險防范的關鍵方法，不僅對訪問權限加密同時也要對元數據加密，在傳輸文件數據時要使用AES加密方法，對密鑰進行RSA加密，之后將密鑰密文與文件密文綁定，系統分塊后存儲在HDFS的存儲節點上，在經過一系列的抽取密鑰密文、私鑰解密、文件密文解密從而獲取文件。數據刪除技術可以降低信息的風險，用戶要對云端上有價值的數據進行刪除，如果運行時磁盤出現故障可能會泄露信息，借助數據刪除減少敏感信息的泄露。數據災備技術是保護信息安全的又一屏障，災難備份和恢復非常重要，因為數據中心存儲了大量的業務信息，除了云計算所使用的虛擬技術，還可最大程度發揮SAN的自身優勢，實現數據的共享，以此來提高信息災難備份的效果。

（5）系統環境對信息安全的防護有著不容小覷的影響，在應對信息安全威脅時，優化程度越好的系統環境越不容易受到不良的蓄意攻擊。用戶身份識別確定用戶身份的唯一性，可以根據數字證書、生物特征、硬件信息綁定等方式進行用戶身份驗證，同時結合賬號退出檢測、賬號連續出錯自動鎖定管理身份認證；實行訪問控制、標記和強制訪問，強制訪問相對于自主訪問與角色訪問其特點更適合于云環境下，有利于維護數據安全，提供安全接口來達到特定事件的提前預警；提供密碼保護技術來完善校驗機制，通過核實、授權信任級別，用戶行為跟蹤和獲取，監督、規范用戶行為，評估、量化用戶行為數據等方法進行信任管理來確保信息安全；對程序的執行過程進行保護使其能夠與可靠的信宿建立可信任連接，使用可信計算技術和數據恢復技術防止惡意代碼篡改程序對信息安全性造成的

影響。

5 結語

“棱鏡計劃”曝光再次說明信息安全問題所面臨的嚴峻形勢，新興技術云計算改變了原有的信息存儲模式，改變了信息服務提供和獲取的方式，給信息安全帶來了多方面的考驗，引發出了更加復雜的安全問題。云計算體系下，安全需求和安全措施對應的矛盾更為突出，基于對信息安全威脅因素的分析，根據信息的機密性、完整性、可用性依照相關的規范準則建立完整統一的安全防護體系來確保信息安全。信息安全問題是無法避免的問題，云計算的安全問題通過技術與管理兩方面將安全風險降到可以接受的范圍。

參考文獻

[1] 維基百科：http：//zh.wikipedia.org/wiki/%E9%BB%91%E5%AE%A2.

[2] 百度百科：http：//baike.baidu.com/view/1316082.htm.

[3] 張寶勝，鄒本娜.淺談云計算與信息安全[J].計算機安全，2014，（4）.

[4] 龐松濤，李清玉.云計算安全體系探討[A].2013電力行業信息化年會論文集[C].北京：人民郵電出版社，2014.

作者簡介：賈海寧（1993-），女，江蘇鎮江人，就讀于南京郵電大學計算機學院，研究方向：計算機科學與技術。