淺析云計算及其網絡安全應對策略

【摘要】云計算是一種基于Internet的新興應用計算機技術，是以互聯網為中心，提供可靠安全的數據存儲、方便快捷的互聯網服務和強大的計算能力，本文對云計算的類型和網絡安全威脅問題進行了分析，并闡述了解決網絡安全和安全威脅的一些方案。

【關鍵詞】云計算;網絡安全

引言

所謂云計算，指的是一種模式，一個利用互聯網和遠程服務器來維護數據和應用程序的新概念。云計算通過互聯網，提供動態的虛擬化資源、帶寬資源和定制軟件給用戶，并承諾在應用中為用戶產生可觀的經濟效益。云計算可以幫助用戶減少對硬件資源、軟件許可及系統維護的投入成本。此外，通過云計算用戶可以節約投資成本并可靈活地實現按需定制服務，云平臺的按需定制服務可以快速地響應用戶需求，并方便地將用戶資源接人寬帶網絡。

1.我國云計算的發展現狀

云計算在中國已經變得越來越成熟，并且隨著技術的成熟云已經成為企業中不可缺少的一部分。根據相關數據調查顯示，企業在應用私有云和公有云解決方案方面表現出極高的興趣。

很多當地企業正在開發面向“基礎設施即服務”（iaas）和“軟件即服務”（saas）的云服務產品。值得注意的是，來自中國的開發者構成了openstack項目的第二大貢獻群體，僅次于美國：這些人中包括研究者、學生、愛好者和專業人士，云已經在中國生根發芽。

在國內云服務可謂是百家爭鳴，大批的廠家紛紛涌入整個市場。suse作為一個開源操作系統廠商也早早的開始了云計算的相關服務。從目前的形勢來看，susecloud已經開始被企業所接受，并且應用于各種環境中。通過創建一個按需共享的資源庫，可以讓開發在保證質量的前提下獲得所需要的計算資源，在計算完成之后進行釋放，最終體驗到云計算的根本優勢——按需索取，有效地以最小成本、最短時間和最大的靈活性來實施完成該項任務，增加計算資源的利用率，有效降低交付成本。

2.云計算的特點及分類

2.1 云計算的特性

云計算被看作一個應用和服務呈現給用戶。它的出現迅速將舊的計算機技術整合，然后轉變為一項新技術。云是一個大型資源池，可以輕松地獲取虛擬化資源。這些資源可以動態地重新配置和靈活整合，達到一個最佳的資源利用率。云服務提供商通過定制服務水平協議，提供基礎設施服務并按付費的模式來管理維護這種資源池。

2.2 云計算的服務模式及類型

云計算不是一個單一產品。它提供了不同的服務模式，主要包括以下3種：軟件即服務（SaaS）、平臺即服務（PaaS）和基礎設施即服務（IaaS）。

SaaS是一種通過互聯網來提供軟件的服務模式，用戶無需購買軟件，而是向云服務提供商租用基于Web的軟件來管理企業經營活動。

Paas是把計算環境、開發環境等平臺作為一種服務提供的商業模式，可以將操作系統、應用開發環境等平臺級產品通Web以服務的方式提供給用戶。

IaaS是把數據中心、基礎設施硬件資源（如存儲、硬件、服務器、網絡）通過Web分配給用戶使用的商業模式，這些資源由云服務提供商進行操作、維護和管理。根據美國國家標準技術研究院（NIST）的定義，云計算有4種部署模式，分別是：公共云、私有云、混合云和社區云。

3.云計算的網絡問題

云計算環境中存在著多種網絡安全威脅問題，現將其中一些主要的網絡問題進行探討分析。

3.1 拒絕服務攻擊

拒絕服務攻擊指攻擊者想辦法讓目標服務器停止提供服務甚至主機死機。如攻擊者頻繁地向服務器發起訪問請求，造成網絡帶寬的消耗或者應用服務器的緩沖區滿溢：該攻擊使得服務器無法接收新的服務請求，其中包括了合法客戶端的訪問請求。針對這種攻擊，可以采用減少連接到服務器的用戶權限，這將有助于降低拒絕服務攻擊的影響。

3.2 中間人攻擊

中間人攻擊是攻擊者通過攔截正常的網絡通信數據，并進行數據篡改和嗅探，而通信的雙方卻毫不知情。在網絡通信中，如果安全套接字層（SSL）沒有正確配置，那么這個風險問題就有可能發生。針對這種攻擊手段，可以采用正確地安裝配置SSL，在使用通信前由第三方權威機構對SSL的安裝配置進行檢查確認。

3.3 網絡嗅探

網絡嗅探原先是網絡管理員用來查找網絡漏洞和檢測網絡性能的一種工具，但是到了黑客手中，它變成了一種網絡攻擊手段，造成了一個更為嚴峻的網絡安全問題。針對這種攻擊手段，可以采用通信各方使用加密技術及方法，確保數據在傳輸過程中安全。

3.4 端口掃描

端口掃描也是一種常見的網絡攻擊方法，攻擊者通過向目標服務器發送一組端口掃描消息，并從返回的消息結果中探尋攻擊的弱點，應用服務器總是開放著各類端口應用，針對此類攻擊，可以啟用防火墻來保護數據信息免遭端口攻擊。

3.5 SQL注入攻擊

SQL注入是一種安全漏洞，利用這個安全漏洞，攻擊者可以向網絡表格輸入框中添加SQL代碼以獲得訪問權。在這種攻擊中。攻擊者可以操縱基于Web界面的網站，迫使數據庫執行不良SQL代碼，獲取用戶數據信息。針對這種攻擊，應定期使用安全掃描工具對服務器的Web應用進行滲透掃描，這樣可以提前發現服務器上的SQL注入漏洞，并進行加固處理。

3.6 跨站腳本攻擊

跨站腳本攻擊指攻擊者利用網站漏洞惡意盜取用戶信息，攻擊者在鏈接中植入惡意代碼，用戶點擊該鏈接就會執行該惡意代碼，將用戶重定向到一個攻擊者定制好的頁面中，并盜取用戶cookie等敏感數據。對付此類攻擊，應編寫安全代碼，避免惡意數據被瀏覽器解析。

4.云計算的安全問題

根據調查統計，云計算主要面臨以下7種安全問題，下面逐一進行探討分析。

4.1 XML簽名包裝

XML簽名包裝是常見的Web服務攻擊漏洞，攻擊者通過SOAP（simple obiect access protocol，簡單對象訪問協議）消息攜帶內容攻擊組件。對付此類攻擊的策略是使用類似證書頒發機構這樣的第三方授權的數字證書（如X.509）和WS。SecurITy的XML簽名組件。

4.2 瀏覽器安全性

當用戶通過Web瀏覽器向服務器發送請求時，瀏覽器必須使用SSL來加密授權以認證用戶，SSL支持點對點通信，這就意味著如果有第三方，中介主機就可以對數據解密。應對這類攻擊的策略是賣方在Web瀏覽器上使用WS-securITy策略，可使用XML的加密策略對SOAP消息進行連續加密，并不需要在中間傳遞的主機上進行解密。

4.3 云惡意軟件注入攻擊

云惡意軟件注入攻擊試圖破壞一個惡意的服務、應用程序或虛擬機，闖入者惡意地強行生成個人對應用程序、服務或虛擬機的請求，并把它放到云架構中。因此對付這種攻擊的主要策略是檢查收到消息的真實有效性。

4.4 洪流攻擊

攻擊者公開攻擊云系統，云系統最顯著的特征是能夠提供強大的、可擴展的資源。當有更多的客戶請求時，云系統就會持續增加其規模，云系統會初始化新的服務以滿足客戶的需求。應對這種攻擊的策略是要停止服務的攻擊，通過部署入侵檢測系統來過濾惡意請求，并通過防火墻進行攔截。

4.5 數據保護

云計算中的數據保護是一個非常重要的安全問題，由于用戶數據保存在云端，云服務商管理人員有可能不小心泄露數據或者“監守自盜”，給用戶造成較大損失。針對此類安全風險，需使用加密技術對用戶數據進行加密處理，這樣可以解決云端的數據隔離問題。

4.6 數據刪除不徹底

數據刪除不徹底問題在云計算中是有極大風險的，原因是數據副本已經被放置在其他服務器上。針對該類安全問題，應該采用虛擬化的私有網絡來應用于保護數據，并通過查詢工具來確保用戶數據已從主機和備機上完全刪除。

4.7 技術鎖定

技術鎖定是云計算中一個令人擔心的問題。在云計算領域，被技術鎖定是有較大風險的，萬一云服務提供商倒閉了，那么用戶的基礎設施也會跟著消失。為應對此風險，用戶可以選擇以應用程序為主（或至少要VM-centric）的管理工具或服務，萬一出現意外狀況，可以把數據或應用程序帶走，以備不時之需。

5.結語

當前，被視為科技業下一次革命的云計算，已被我國工信部啟動“十三五”規劃，它將帶來工作方式和商業模式的根本性改變，同時，對中小企業和創業者來說，云計算意味著巨大的商業機遇，他們可以借助云計算在更高的層面上和大企業競爭。從某種意義上說，云計算意味著對計算需求量越來越大的中小企業，不用再去購買價格高昂的硬件，而是從云計算供應商那里租用計算能力，避免硬件的投資，實現更多的業務創新。