基于云計算信息安全測評的框架設計研究

宋焱宏

摘 要

近幾年來，隨著信息網絡技術的不斷發展，云計算已成為研究的熱點，而云計算的信息安全問題也成為研究的重要。為此，本文對云計算信息安全測評的框架設計給予詳細研究，旨在提高云計算信息安全水平。

【關鍵詞】云計算 信息安全測評 框架設計

1 云計算安全分析

在不同的云服務模式中，其擁有的安全責任也不相同。基礎設施即服務主要涵蓋了機房設備、硬件平臺以及網絡等多個方面，通常情況下，服務商的職責主要是確保物理和環境等相關的安全，而用戶則主要是以操作管理為主，從而確保數據的應用安全。由此可以看出，不論哪一種云服務模式的服務提供上都涉及了信息安全問題，具體分析如下：

1.1 虛擬化安全

在云計算過程中，虛擬化是其中的核心位置，它主要是為了實現資源的合理利用，從而將操作系統和應用程序等相關設施遷移的虛擬機文件，從而避免資源浪費的可能。基于這種原因，云計算服務商就可以向用戶提供比較全面的服務，這時就可以發揮存儲資源的作用，這樣就能夠根據用戶的需求實現自行分配，最終成為云計算中的關鍵環節。在這種條件下，實現基礎架構和安全的統一虛擬交付，就成為云計算中心基礎網絡架構和應用服務的虛擬化重點內容。

1.2 數據安全

在云計算的過程中，數據傳輸過程中以及數據存儲過程中都可以使數據的安全性受到威脅。從數據傳輸的安全的角度來說，用戶的數據內容一般都會涉及一些隱秘信息，一旦啟用云計算模式，用戶就可以利用網絡將這些數據傳送到云計算服務商，進而進行處理，而在這個過程中，就給不法分子以可乘之機，使得數據的安全性得不到有效保證。從數據存儲的角度來說，一旦啟動云計算，云計算服務商就會對大量的存儲空間進行高度整合，在這個基礎上，就需要有新的存儲空間來供用戶使用。然而，云計算在數據存儲上有一定的未知性，這就使得數據在存儲過程中受到嚴重威脅。從數據審計的角度來說，為了確保數據的準確性和有效性，一旦啟用云計算，云計算環境下的第三方認證機構便會對其進行審訊，這就需要一定的技術支持，才能更好的讓第三方認證機構順利完成對數據的審計。而這個過程中就會很容易侵害到其他用戶的利益，從而使數據安全受到威脅。

1.3 應用安全

云計算和傳統的操縱系統及其他系統相較而言，應用安全無疑是更大的挑戰。因此，在云計算的環境下，不僅要注意應用的安全，還要注意Web的應用安全，這樣才能確保軟件的安全性能。因此，這就要求在應用軟件設計開發之前，就要全面考量其安全性。所以，云計算的應用安全主要設計到多方面的內容，其中包括云用戶身份管理、云安全審計以及云安全加密等方面。

1.4 管理安全

在云計算中，管理安全主要體現在可用性管理、訪問控制以及安全漏洞等方面的管理。在可行性管理中，一旦管理出現誤差，云計算服務將很容易出現死機、停機的情況出現，很容易因服務器中斷給企業造成不可避免的損失。通常情況下，云計算服務停機的嚴重程度和停機的情況息息相關。而訪問控制則主要是為了解決用戶權限的分配問題，用戶工作職能和責任權限的分配問題，以及訪問權限的認證方法等問題。因此，在云計算模式中，用戶可以通過任何可以連接到網絡的設備就可以對云計算服務進行訪問，這就使得網絡訪問控制的作用逐漸減少，一旦出現問題，將很容易導致審計的不精確。另外，惡意軟件或者黑客就可以利用遠程設備，對云計算服務造成極大的威脅，因此，安全漏洞的管理可以有效保護主機、網絡設備等造成漏洞攻擊。

2 云計算安全測評框架設計探究

2.1 云計算安全測評框架的分析

針對國內外開展云計算的實際情況來說，建立起一套由政府主管部門，云計算用戶、云計算服務提供商等共同參與的云計算安全組織管理體系，第三方測評機構按照相應的要求進行測評等措施，對于云計算的發展具有積極的推動作用。

2.2 云計算安全測評的注意要點分析

云計算安全測評的注意要點有很多，這里主要以應用安全要求、數據安全要求以及虛擬化安全要求為主，具體分析如下。

（1）應用安全要求。為了確保所交付或提供的云產品應用安全，云計算服務提供商就需要制定相關措施，像制定應用安全開發程序，它主要對安全的需求和設計進行詳細分析，制定相應的安全編碼，對代碼進行安全審計等過程，在這個過程中，每一個流程都要保證安全無誤。當在開發的過程中，對一些隱私性數據進行處理時，要嚴格對開發和維護過程中的數據進行控制，避免出現數據泄露或非法訪問的情況出現。而安全編碼流程中，應參考權威性資料編寫各類代碼，防止因開發人員操作不當而出現惡意代碼。而在代碼審計過程中，用嚴格對代碼進行審核，從而滿足應用安全要求。

（2）數據安全要求。為了確保數據生命周期中的完整性和機密性，云計算服務提供商就應該制定數據安全保護策略，從而實現上述目的。采取將數據所有權和管理權進行有效區分，從而保證系統管理員必須禁止竊取用戶數據。在數據存儲的過程中，還要保證所有的數據都應該存有備份和副本，且存儲在法規制度所規定的位置中，從而確保數據的絕對安全。另外，為了確保數據的安全保障，還可以利用數據分散存儲技術。而數據的訪問過程中，為了實現數據的安全防護措施和審計的精確性，就要使云計算服務提供商訪問安全的云產品。總之，數據的備份和恢復都要求確保數據能夠可用，將云數據備份做到位，從而防止因丟失或數據的損害給企業造成無法挽回的損失。

（3）虛擬化安全要求。它主要是要求云計算服務提供商，能夠制定虛擬化服務器隔離以及數據銷毀等措施，從而實現服務器等相關設施的虛擬化。其中，虛擬化服務器隔離技術主要是為了實現不同用戶虛擬服務器之間和外部公共網絡相互訪問控制的目的。而數據的銷毀則是根據不同物理服務器之間的遷移來實現的，同時還要利用虛擬服務器自動化故障診斷技術和虛擬服務器自動化遷移技術，避免數據在遷移過程中，不會受到損害，從而保證了數據的完整性。

3 結束語

總而言之，云計算的發展和應用符合了現代科技的發展要求，但也在信息安全方面是一項巨大的挑戰任務。因此，只有加強對云計算信息安全測評的研究，才能夠采取相應的措施，對云計算基礎設施以及平臺和應用的研發和完善，從而避免信息安全問題的產生。但這并非一朝一夕所能完成，而是在人們的共同努力下，不斷優化和創新技術，從而構建更加安全、有效的云計算環境，推動云計算的發展。

參考文獻

[1]李洋.云計算應用對測評工具的影響[J].信息網絡安全，2011，（8）：91-92.

作者單位

武漢軟件工程職業學院 湖北省武漢市 430000endprint