大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下的云安全技術(shù)研究

◆張 行

?

大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下的云安全技術(shù)研究

◆張 行

（蘇州科技大學(xué)天平學(xué)院 江蘇 215009）

大數(shù)據(jù)與云計(jì)算是密不可分的，大數(shù)據(jù)需要靈活的計(jì)算環(huán)境，云計(jì)算可以自動(dòng)、快速地進(jìn)行擴(kuò)展并支持海量大數(shù)據(jù)。云技術(shù)和大數(shù)據(jù)的發(fā)展為我們帶來極大的便利和效益，但同時(shí)這些新興技術(shù)也帶來政府監(jiān)管難、隱私泄露、責(zé)任界定難等安全問題。大數(shù)據(jù)所依賴的云安全體系構(gòu)建非常重要，如何做好云安全防護(hù)？本文將針對(duì)此問題進(jìn)行分析研究。

云計(jì)算；大數(shù)據(jù)；云安全

0 前言

云計(jì)算作為一種公眾信息服務(wù)平臺(tái)，它將大量計(jì)算、存儲(chǔ)與軟件資源鏈接在一起，形成巨大的IT共享虛擬資源池，為云端用戶提供不同的彈性服務(wù)，它以經(jīng)濟(jì)、便捷、高可用性、高可擴(kuò)展性等優(yōu)勢吸引了人們的目光。政府可以利用它建設(shè)智慧城市，降低管理成本，提高管理效率；企業(yè)可以利用它優(yōu)化自身資源，提升信息化水平，提高數(shù)據(jù)分析計(jì)算效率，降低自建計(jì)算集群的成本；個(gè)人可以利用它實(shí)現(xiàn)云存儲(chǔ)、智能家居等，提升生活質(zhì)量。大數(shù)據(jù)為我們帶來巨大的信息價(jià)值，云計(jì)算則是推動(dòng)大數(shù)據(jù)發(fā)展的強(qiáng)大支撐。

在當(dāng)前社會(huì)信息化和網(wǎng)絡(luò)化不斷發(fā)展的時(shí)代中，網(wǎng)絡(luò)數(shù)據(jù)爆炸式增長，全球網(wǎng)絡(luò)各種安全問題層出不窮，病毒日益猖獗，從去年的勒索病毒到近來臉書用戶隱私泄露，這讓人不禁對(duì)當(dāng)前的大數(shù)據(jù)網(wǎng)絡(luò)安全狀態(tài)深表擔(dān)憂。隨著大數(shù)據(jù)戰(zhàn)略的蓬勃發(fā)展和云服務(wù)的普及，更多用戶數(shù)據(jù)放到云服務(wù)器，其巨大的價(jià)值吸引了大批窺竊者和攻擊者，針對(duì)云平臺(tái)的攻與防一刻也未停止過，云安全也成為了政府和各個(gè)行業(yè)關(guān)注的焦點(diǎn)。只有為大數(shù)據(jù)建立嚴(yán)格的安全標(biāo)準(zhǔn)，才能不斷地享受云計(jì)算提供的靈活性、可擴(kuò)展性、自動(dòng)化等優(yōu)勢。

1 云安全面臨的各種挑戰(zhàn)

云安全是云技術(shù)的重要應(yīng)用，是傳統(tǒng)IT安全在云計(jì)算時(shí)代的延伸。它融合了網(wǎng)格計(jì)算、并行處理、未知病毒行為判斷等技術(shù)，通過網(wǎng)狀的大量云終端對(duì)云平臺(tái)中的異常軟件行為進(jìn)行監(jiān)測，獲取病毒、惡意木馬的最新信息，推送到云服務(wù)端進(jìn)行自動(dòng)分析處理，再把解決方案分發(fā)到云終端。大數(shù)據(jù)安全區(qū)別于傳統(tǒng)數(shù)據(jù)安全的特殊性，在大數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)安全、隱私安全、云平臺(tái)安全等均面臨新威脅與新風(fēng)險(xiǎn)，云安全工作面臨相較于傳統(tǒng)IT安全更復(fù)雜多樣的挑戰(zhàn)，主要體現(xiàn)在以下幾方面：

1.1 云計(jì)算數(shù)據(jù)的安全

（1）云模式下用戶將失去對(duì)數(shù)據(jù)物理安全的控制。在一個(gè)云平臺(tái)中，多個(gè)用戶共享資源，用戶無法控制資源在哪里運(yùn)行。大多云平臺(tái)提供的存儲(chǔ)服務(wù)互不兼容，當(dāng)用戶轉(zhuǎn)移云平臺(tái)時(shí)會(huì)遇到困難，甚至數(shù)據(jù)丟失。云服務(wù)基本采用外包形式，而外包就意味著用戶失去對(duì)數(shù)據(jù)的最基本控制。

（2）數(shù)據(jù)加密可以為云平臺(tái)建起一堵虛擬墻，但是云計(jì)算的靜態(tài)數(shù)據(jù)加密在很多情況下是行不通的。基于云計(jì)算的應(yīng)用使用靜態(tài)數(shù)據(jù)加密后將導(dǎo)致無法對(duì)加密數(shù)據(jù)進(jìn)行查詢、處理和索引。也就是說云計(jì)算數(shù)據(jù)在數(shù)據(jù)處理的一些階段是未加密的。而且即便要加密，誰來控制加解密和密鑰？是用戶還是云服務(wù)商？有一些加密方案會(huì)迫使云終端用戶信任擁有密鑰的人，這方案本身就隱藏了危險(xiǎn)和弱點(diǎn)。有些用戶為方便將密鑰存儲(chǔ)在云盤上，這種做法就更不安全了。

（3）數(shù)據(jù)的完整性是指數(shù)據(jù)傳輸、存儲(chǔ)的過程中，確保數(shù)據(jù)不被未授權(quán)的用戶篡改或在篡改后能被系統(tǒng)迅速發(fā)現(xiàn)。數(shù)據(jù)加密技術(shù)不能保證數(shù)據(jù)的完整性，數(shù)據(jù)完整性需要使用特定的消息認(rèn)證碼，需要大量的加解密鑰，而密鑰管理也是一大難題。用戶一般不知道系統(tǒng)安放在何處，數(shù)據(jù)存儲(chǔ)在哪臺(tái)機(jī)器上，且數(shù)據(jù)集不斷動(dòng)態(tài)變化，這些變化也使傳統(tǒng)的完整性技術(shù)效果發(fā)揮有限。

1.2 云應(yīng)用開發(fā)帶來的挑戰(zhàn)

（1）不同用戶在云中使用多種內(nèi)部開發(fā)的代碼軟件，可能會(huì)導(dǎo)致兼容問題，混合技術(shù)的使用也可能導(dǎo)致云應(yīng)用中留下安全漏洞。

（2）云服務(wù)商必須實(shí)時(shí)為客戶及其管理員提供日志，而部分日志涉及用戶隱私，如何規(guī)范監(jiān)控，確保日志不被濫用也是個(gè)難題。

（3）云應(yīng)用的改變速度會(huì)影響云安全軟件生命周期和安全，因此隨著云應(yīng)用功能的不斷增加，用戶必須不斷升級(jí)改進(jìn)應(yīng)用，而舊版本無法保護(hù)數(shù)據(jù)或正常運(yùn)行。

1.3 虛擬化技術(shù)對(duì)云安全的挑戰(zhàn)

（1）基于硬件的傳統(tǒng)物理隔離和安全措施不能防止同一服務(wù)器上虛擬終端之間的攻擊。而且云平臺(tái)中數(shù)據(jù)訪問必須通過互聯(lián)網(wǎng)，導(dǎo)致數(shù)據(jù)暴露和風(fēng)險(xiǎn)增加，這就需要對(duì)系統(tǒng)控制和數(shù)據(jù)訪問限制進(jìn)行嚴(yán)密監(jiān)控。虛擬機(jī)的移動(dòng)性和動(dòng)態(tài)性使得云安全的一致性審計(jì)困難，而云平臺(tái)的防御系統(tǒng)和入侵檢測都是在虛擬機(jī)環(huán)境下檢測，不同的虛擬機(jī)共存大大增加了終端之間感染攻擊的風(fēng)險(xiǎn)。

（2）本地化虛擬終端使用和云服務(wù)相同的系統(tǒng)，以及云環(huán)境中的Web應(yīng)用，增加了惡意木馬或攻擊者利用這些系統(tǒng)和應(yīng)用中漏洞攻擊的遠(yuǎn)程威脅。為了修補(bǔ)這些漏洞，我們必須保持警惕，及時(shí)為云平臺(tái)打上對(duì)應(yīng)的虛擬補(bǔ)丁。

1.4 法律政策尚不成熟：

云計(jì)算除了在面臨傳統(tǒng)IT出現(xiàn)的一些安全風(fēng)險(xiǎn)外還要面臨相關(guān)政策法規(guī)方面的安全風(fēng)險(xiǎn)。隨著大數(shù)據(jù)和云技術(shù)的發(fā)展，大多數(shù)業(yè)務(wù)都要轉(zhuǎn)移到云端，且云服務(wù)合約具有多方性、動(dòng)態(tài)性的特點(diǎn)，這使得云安全更具挑戰(zhàn)性，云平臺(tái)中遵守法規(guī)和標(biāo)準(zhǔn)的過程更加復(fù)雜，對(duì)現(xiàn)有信息安全管理標(biāo)準(zhǔn)以及相應(yīng)的責(zé)任認(rèn)定帶來新的沖擊。如何有效保護(hù)數(shù)據(jù)安全、隔離用戶隱私，對(duì)云平臺(tái)中的服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控和記錄，防止云計(jì)算和云存儲(chǔ)被非法利用，這需要制定一套完整的系統(tǒng)的安全機(jī)制來提高云安全的防護(hù)水平，并對(duì)云平臺(tái)實(shí)施統(tǒng)一監(jiān)控、統(tǒng)一管理、協(xié)同防護(hù)。

1.5 云安全的可靠性

故障恢復(fù)技術(shù)是云安全的重要組成部分。一個(gè)非關(guān)鍵任務(wù)應(yīng)用程序下線一般對(duì)云用戶影響不大，但是如果關(guān)鍵任務(wù)應(yīng)用下線將直接導(dǎo)致用戶不能正常使用，影響企業(yè)業(yè)務(wù)，因此云企業(yè)用戶的敏感數(shù)據(jù)應(yīng)該由企業(yè)用戶自己負(fù)責(zé)，而不能完全依靠云服務(wù)商。

2 云安全體系的構(gòu)建

云計(jì)算實(shí)現(xiàn)大數(shù)據(jù)的分析和挖掘，大數(shù)據(jù)所依賴的云平臺(tái)安全管理體系構(gòu)建非常重要。構(gòu)筑云安全管理體系能提高云安全保護(hù)水平，降低用戶隱私泄露和數(shù)據(jù)丟失被篡改的概率，規(guī)避很多安全風(fēng)險(xiǎn)。云安全管理體系的構(gòu)建應(yīng)以大數(shù)據(jù)平臺(tái)為基礎(chǔ)，將技術(shù)、標(biāo)準(zhǔn)、監(jiān)管和法律等層面結(jié)合起來，按照分層和縱深防御的思想，從云平臺(tái)層、云網(wǎng)絡(luò)層、虛擬終端層、云應(yīng)用層構(gòu)建一個(gè)綜合的云安全防護(hù)平臺(tái)，實(shí)現(xiàn)云平臺(tái)的安全監(jiān)測、檢測、事件響應(yīng)、防御和審計(jì)。為解決用戶云平臺(tái)出現(xiàn)的各種管理和安全問題，應(yīng)提供全面的云安全防護(hù)。這樣可以使得用戶免于遭受各類入侵威脅和攻擊，及時(shí)了解和把控云安全態(tài)勢，為用戶提供安全技術(shù)和數(shù)據(jù)支撐，有效保障了云計(jì)算的服務(wù)安全。具體應(yīng)做好以下幾個(gè)方面：

（1）搭建可信的云環(huán)境：度量云平臺(tái)設(shè)施，確保云計(jì)算平臺(tái)和云應(yīng)用可信；驗(yàn)證云計(jì)算資源可信和用戶可信，確保云連接和接入的可信。

（2）實(shí)現(xiàn)云安全的自動(dòng)化：傳統(tǒng)安全方案主要使用硬件單元部署，無法實(shí)現(xiàn)自動(dòng)化。云安全架構(gòu)只有選擇虛擬自動(dòng)化的解決方案才能夠?yàn)榇髷?shù)據(jù)云平臺(tái)提供自動(dòng)化和靈活性。

（3）構(gòu)建可信的云安全架構(gòu)：云安全體系結(jié)構(gòu)應(yīng)包括主機(jī)安全、應(yīng)用層安全和網(wǎng)絡(luò)安全，一個(gè)完整的云安全體系包括可信的計(jì)算環(huán)境、網(wǎng)絡(luò)通信、邊界接入三重防御架構(gòu)。它是以身份鑒別（認(rèn)證）為基礎(chǔ)，以數(shù)據(jù)加密（安全）和訪問控制（授權(quán)）為核心，以安全監(jiān)控審計(jì)為輔助的防御體系。

（4）建立分級(jí)分類的云安全管理制度：可根據(jù)使用范圍、對(duì)象、業(yè)務(wù)模式將云服務(wù)分為不同要求的安全等級(jí)：按使用對(duì)象可分為普通用戶、企業(yè)和政府，也可根據(jù)使用范圍分為公有云、混合云、私有云等，因此云安全應(yīng)根據(jù)范圍需求和等級(jí)特點(diǎn)制定等級(jí)安全保護(hù)制度，并將各級(jí)安全手段落實(shí)到各等級(jí)范圍中。

（5）加強(qiáng)云安全技術(shù)的研發(fā)：針對(duì)云計(jì)算的特點(diǎn)加強(qiáng)云平臺(tái)研發(fā)的管控手段，是解決云安全的關(guān)鍵。加強(qiáng)對(duì)身份保護(hù)和數(shù)據(jù)保護(hù)等方面技術(shù)的研發(fā)能有效促進(jìn)云安全問題的解決。云安全可通過密鑰技術(shù)的加密算法等驗(yàn)證手段來保護(hù)數(shù)據(jù)隱私，同時(shí)對(duì)數(shù)據(jù)傳輸、處理和存儲(chǔ)的各階段進(jìn)行加密，利用云安全技術(shù)處理信息，確保信息隱蔽和用戶數(shù)據(jù)安全。

（6）加強(qiáng)云安全標(biāo)準(zhǔn)的制定：統(tǒng)一的云安全標(biāo)準(zhǔn)是云安全體系構(gòu)建和云安全評(píng)估的科學(xué)依據(jù)。云安全的最大威脅是云端數(shù)據(jù)的泄露和丟失，目前云服務(wù)整個(gè)行業(yè)缺少有效的云安全標(biāo)準(zhǔn)，各種云服務(wù)業(yè)務(wù)分類混亂，應(yīng)用不兼容，驗(yàn)收不規(guī)范，漏洞后門較多，急需加強(qiáng)云安全標(biāo)準(zhǔn)的研究制定，特別是統(tǒng)一的高層次標(biāo)準(zhǔn)，為云安全解決方案提供規(guī)范依據(jù)和技術(shù)基礎(chǔ)。各云服務(wù)商也需結(jié)合自身情況構(gòu)建自有的安全測試模型和安全評(píng)估標(biāo)準(zhǔn)，評(píng)估安全風(fēng)險(xiǎn)。

（7）加強(qiáng)云安全的立法工作：目前我國已出臺(tái)了《網(wǎng)絡(luò)安全法》，只有將網(wǎng)絡(luò)安全提升到國家安全層面，只有加強(qiáng)監(jiān)管才能保證信息化的和諧發(fā)展和安全可控。要解決云服務(wù)的責(zé)任義務(wù)問題需從法律層面規(guī)定用戶隱私數(shù)據(jù)的重要性。只有依據(jù)完善的法規(guī)政府才能有效監(jiān)管云業(yè)務(wù)審查等工作。目前云服務(wù)商的信譽(yù)基本依靠用戶的認(rèn)同感，云環(huán)境還缺乏有效的規(guī)范和立法，云安全和大數(shù)據(jù)的相關(guān)規(guī)范和法律空白需要盡快填補(bǔ)。

3 結(jié)語

近幾年，智慧城市、物聯(lián)網(wǎng)、人工智能等新應(yīng)用模式蓬勃發(fā)展已印證了云計(jì)算和大數(shù)據(jù)在信息化時(shí)代的重要地位，政府也在大力推廣發(fā)展這些新興技術(shù)。信息化和網(wǎng)絡(luò)安全密不可分，云安全是云計(jì)算發(fā)展的重要保障。云安全面臨的挑戰(zhàn)是復(fù)雜多變的，我們必須重視云安全的研究，完善云安全相關(guān)的政策法規(guī)，真正化解云平臺(tái)中的各種威脅，充分發(fā)揮云服務(wù)的優(yōu)勢避其劣勢，共同努力讓云技術(shù)更好地為社會(huì)發(fā)展和人民生活水平提高服務(wù)。

[1] 梁智強(qiáng),林丹生,黃汝成.基于大數(shù)據(jù)與云計(jì)算的新型云安全管理模式[J]. 自動(dòng)化與儀器儀表. 2018.

[2] 尚政宇,邱菊,云計(jì)算的安全問題及挑戰(zhàn)[J]. 電腦知識(shí)與技術(shù). 2016.

[3] 譚天,袁嵩,肖潔.云計(jì)算安全問題研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展. 2016.

[4] 劉銀平,穆良知.基于大數(shù)據(jù)分析的云安全管理系統(tǒng)設(shè)計(jì)[J]. 中國信息安全. 2015.018.