面向互聯網+的云服務系統安全防護技術

李中奎

摘 要：互聯網+時代的到來，將信息系統的邊界打破，已經不再適用以邊界防護為核心的傳統信息安全防護體系。而制約云服務發展的關鍵性因素，就是云安全問題。目前，云服務包括兩大責任主體，既云服務提供者和服務客戶。論文基于云服務信息安全的現狀，探究和分析了云服務系統的常見的安全隱患，并提出了相應的信息安全防護措施。

關鍵詞：云服務；互聯網+；安全防護

中圖分類號：TN915.08 文獻標識碼：C

Abstract： With the advent of the Internet era， the boundary of information system is broken， which is no longer suitable for the traditional information security protection system with boundary protection as its core. The key factor restricting the development of cloud services is cloud security. At present， cloud service consists of two major responsible parties， both cloud service providers and service customers. Based on the present situation of cloud service information security， this paper probes into and analyzes the common hidden dangers of cloud service system， and puts forward the corresponding information security protection measures.

Key words： cloud services； internet； security protection

1 引言

互聯網+時代，云服務有著越來越廣泛的運用，涉及到電子商務、金融、政務等各行各業，并逐漸成為信息技術和IT基礎服務的關鍵設施。云服務憑借著按需服務、可拓展性和靈活性等獨特優勢，為用戶提供的服務更加便捷。但在云服務發展過程中，阻礙其發展的首要因素，就是信息安全問題。如何進行云服務系統安全防護技術體系的設計，是本文重點探討的課題。

2 云服務系統的常見安全隱患

2.1 數據傳輸方面的安全隱患

一個企業的核心競爭力，往往和企業的機密數據有著直接的聯系。一旦泄露機密數據，會給企業帶來帶來巨大的威脅?；跈C密數據的重要性，互聯網+時代，企業往往會在數據中心儲存機密信息，以此使機密數據丟失和泄密的發生率降低。而在云服務環境下，在向云服務器傳輸核心數據的過程中，會有諸多問題存在。若是沒有嚴格進行加密，會造成第三方的竊取和篡改。例如，企業上傳的數據被云計算服務商竊取之后，會使數據泄露的風險進一步加大。再比如，在云端存儲數據時，為了保證用戶訪問的合法性，就必須要對訪問權限合理分配。由此可見，為了對企業機密數據的安全性提供保障，應高度重視數據數據傳輸過程中的安全隱患問題。

2.2 數據存儲方面的安全隱患

首先，是數據隔離。實現云服務的核心應用技術，就是虛擬化技術。一旦惡意用戶運用非法手段獲取虛擬機操作權限，就會嚴重威脅到同一臺物理服務器全部虛擬機中的儲存數據的安全。

其次，數據隱私風險?；ヂ摼W+時代，在世界各地都廣泛分布著云計算下的云服務器。在各個服務器中，會隨機存儲企業上傳到云端的數據。而用戶對自己上傳數據的具體存儲位置，首先并不了解，同時用戶一旦在云端上傳數據，則優先訪問的權利會被云計算服務商所享有，由此會使數據被篡改、隱私泄密的風險進一步加大。

最后，是數據審計。互聯網+時代，云計算服務商既要為第三方機構提供必要的數據支持，同時又要保障企業的數據安全，由此為云計算服務商帶來了難度和挑戰。企業在選擇和評估能夠長期合作的云服務商時，也需要將數據的安全問題作為首要條件，著重是考慮云服務環境下，服務商所提供數據的安全性和有效性。

2.3 其他方面的安全隱患

首先，是安全邊界消失問題。資源技術和網絡結構，在云服務環境下的存儲所呈現的特征為統一化和集成化，由此會逐漸消失傳統的安全邊界。因為所采取的安全防護策略針對性匱乏，會對網絡信息的安全性帶來直接的影響。

其次，是可靠性和穩定性問題。虛擬化服務是云服務環境下各種業務和數據的支撐和保障。因此針對云服務系統，當前的容災恢復能力、信息安全策略和事件處理審計都很難提供滿足。

最后，是虛擬化技術的應用問題。虛擬技術是核心技術，也是云服務的關鍵性技術。盡管虛擬化技術能夠對IT資源的靈活性和效率有效改善，但是因為很難管理虛擬網絡和虛擬機等虛擬設備，因此，極容易帶來電腦病毒、安全漏洞等問題，由此會誘發信息共享等風險。如圖1所示。

3 互聯網+的云服務系統安全防護策略

3.1 加強云服務系統基礎設施的安全管理

基礎設施作為云服務的運行平臺，若是有較弱的配置存在，則必然會有一定的漏洞和安全風險存在，由此不能充分保障相應的信息安全問題。為此，加強信息安全防護的主要策略之一，就是進一步加強云服務基礎設施的安全管理，明確云計算服務的兩大責任主體的責任邊界。只有遵循相關職責，對云計算信息系統和云計算平臺的相關范圍、對象和目標進行明確，才能更好的實施安全建設、規劃和設計。

一是為了有效預防地址欺騙的現象，統一規劃和管理基礎網絡IP劃，并且綁定操作相關節點中斷與服務器的MAC、IP。

二是針對網絡核心設備，需要采取科學的措施，有效備份集合鏈路冗余，同時通過監測異常流量，將互聯網對DDOS的攻擊及時發現和阻斷。

三是還應在DMZ內網與互聯網接入點與DMZ之間設置防火墻，以此保障云計算服務的連續性和穩定性。

四是應加固處理應用系統的主機設備，以保障其安全性，同時關閉那些不使用的端口和組件，利用補丁控制數據庫、虛擬機以及操作系統，還可將各類軟件產品安裝信息中心部署IDS/IPS設備中，以查殺病毒、實時監測、惡意代碼等，對系統的安全性提供保障。

3.2 確定定級對象并劃分管理職責

首先，建設云計算平臺的依據和重要指導，就是云安全防護技術，為此在云安全防護體系的過程中，融入等級保護思想。

其次，在云計算保護環境中，集合了云服務客戶在云計算平臺上部署的相關組件和軟件，是云服務商的云計算平臺。為此，由運服務商負責依據等級的保護工作，確定云計算平臺的等級保護定級，使云計算的平臺的安全保護等級不應低于最高安全保護等級。

最后，劃分定級對象管理職責，是定級的重點，結合不同的云服務模式，來劃分不同的職責邊界。而遵循數據安全管理職責不變的原則，由云服務商負責業務數據，而云計算平臺提供的安全功能和服務，則決定了能否實現數據的存儲和傳輸的保密性措施和完整性。

3.3 對云計算服務系統運行環境不斷優化

云計算服務運行環境的優劣會直接影響到信息安全防護效果。為此，在制定防護策略時候，應高度重視運行環境的優化問題。充分運用信任管理、訪問控制和身份認證等科學技術，預防不良用戶的蓄意攻擊。

一是身份認證?？蛇M行集中用戶的認證，在硬件信息綁定、數字證書和生物特征的基礎上，嚴格遵循網絡與服務來劃分用戶級別，并給予集中授權。通過自動鎖定連續出錯賬戶，有機的結合賬號推出檢測等功能，嚴格管理用戶的身份認證問題。

二是訪問控制。為了更好的與云環境相適應，可構建強制訪問機制，維護數據安全。

三是信任管理。可在核實、授權信任級別的基礎上，利用用戶跟蹤與獲取，來規范和監督用戶行為，進而更好的量化和評估用戶行為數據等環節，最終完成信任管理，通過以上過程，更好地保障用戶的信息安全問題。

4 結束語

互聯網+時代的到來，帶給我們機遇的同時，也帶來一些嚴峻的挑戰。通過對云服務系統安全防護的相關關鍵性技術的梳理能夠看出，目前相關研究還不充分，完整的安全防護體系還沒有完全構建。所以，數據安全防護任務漫長而艱巨，只有完美結合相關政策法規和技術手段，才能使數據安全與數據泄露的保護問題得到根本性的解決。同時，只有不斷創新安全防護技術，才能對數據安全提供保障。而在云服務背景下，只有對標準化的云服務體系進行建立和健全，才能從多個方面保障云服務的信息安全，由此對云服務的健康、可持續發展，發揮積極的推動作用。

參考文獻

[1] 張旭輝.運營商云數據中心網絡安全技術研究綜述[J].中國新通信，2015，17（09）：19-20.

[2] 肖貴福.基于虛擬化安全網絡擴展的SDN安全架構[J].現代計算機（專業版），2014（21）：6-10+17.

[3] 李軍，王翔.云數據中心網絡安全的新挑戰[J].保密科學技術，2013（08）：6-11+1.

[4] 張新濤，周君平，杜佳穎，孫鑫紅.云數據中心的安全虛擬網絡[J].信息安全與通信保密，2012（11）：85-88.