云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全措施解析

董海濤

摘要：云計(jì)算是互聯(lián)網(wǎng)技術(shù)的又一大進(jìn)步，具有通用性、按需服務(wù)、高可靠性、虛擬化、超大規(guī)模等特點(diǎn)，給人們應(yīng)用網(wǎng)絡(luò)資源提供前所未有的便利。然而云計(jì)算也具有潛在的危險(xiǎn)性，因此，保障云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全，仍是人們關(guān)注與討論的熱點(diǎn)話題。文章通過(guò)認(rèn)真分析云計(jì)算服務(wù)形式及計(jì)算機(jī)網(wǎng)絡(luò)特點(diǎn)，探討云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，提出相關(guān)的安全防范對(duì)策，以供參考。

關(guān)鍵詞：云計(jì)算；計(jì)算機(jī)；網(wǎng)絡(luò)；安全措施

目前來(lái)看，云計(jì)算的定義并未統(tǒng)一，其中美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology， NIST）給出的定義被廣為接受，即，云計(jì)算是一種按使用量付費(fèi)的模式，該模式提供按需、便捷、可用的網(wǎng)絡(luò)訪問(wèn)，并可方便的應(yīng)用存儲(chǔ)、服務(wù)器、網(wǎng)絡(luò)等相關(guān)資源，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。云計(jì)算給人們提供各種網(wǎng)絡(luò)資源，降低了人們應(yīng)用網(wǎng)絡(luò)資源的成本投入，是互聯(lián)網(wǎng)技術(shù)未來(lái)發(fā)展的主要趨勢(shì)。但人們?cè)谙硎茉朴?jì)算帶來(lái)便利的同時(shí)，該環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全仍不容忽視，

1 云計(jì)算服務(wù)形式及云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)特點(diǎn)

1.1 云計(jì)算服務(wù)形式

研究云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，有必要先搞清云計(jì)算的3個(gè)重要服務(wù)形式：軟件即服務(wù)（Software as aService，SaaS），平臺(tái)即服務(wù)（Platform as a Service，PaaS），基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）。這3種服務(wù)方式可大大降低人們?cè)诰W(wǎng)絡(luò)軟硬件方面的投入，減輕人們應(yīng)用網(wǎng)絡(luò)資源的成本。

其中，SaaS指軟件即服務(wù)，將應(yīng)用程序以服務(wù)方式提供給互聯(lián)網(wǎng)用戶，用戶不用將軟件安裝到自己的計(jì)算機(jī)上，而是依據(jù)某服務(wù)水平協(xié)議（ Service Level Agreement，SLA）直接可向提供商獲取所需服務(wù)。其應(yīng)用包括：物流軟件、企業(yè)郵箱、視頻會(huì)議租用等。PaaS即平臺(tái)即服務(wù)，將應(yīng)用程序開(kāi)發(fā)與部署平臺(tái)以服務(wù)的方式提供給用戶，包括應(yīng)用托管、應(yīng)用測(cè)試、應(yīng)用開(kāi)發(fā)、應(yīng)用設(shè)計(jì)等內(nèi)容。該種模式下，用戶無(wú)需購(gòu)買(mǎi)軟件或硬件，僅通過(guò)PaaS平臺(tái)便可完成應(yīng)用與服務(wù)的創(chuàng)建、測(cè)試及部署。有關(guān)PaaS應(yīng)用的實(shí)例有：微軟的Azure平臺(tái)、谷歌的App Engine平臺(tái)等。IaaS即基礎(chǔ)設(shè)施即服務(wù)，將網(wǎng)絡(luò)硬件、存儲(chǔ)、服務(wù)器等以服務(wù)的形式提供給用戶，其處于3層架構(gòu)的最底層，企業(yè)或個(gè)人可借助云計(jì)算技術(shù)訪問(wèn)或獲得存儲(chǔ)、計(jì)算等功能。

通過(guò)分析不難得知，用戶無(wú)論享受何種方式的云服務(wù)，都需通過(guò)網(wǎng)絡(luò)，即，保證計(jì)算機(jī)網(wǎng)絡(luò)安全是用戶正常使用云服務(wù)的前提，重要性不言而喻。

1.2云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)特點(diǎn)

云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)與傳統(tǒng)意義上的網(wǎng)絡(luò)不同，其具有以下特點(diǎn)：（l）如用戶為授權(quán)，數(shù)據(jù)與信息無(wú)法實(shí)現(xiàn)共享，因此，保密性是云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)的重要特征。（2）如用戶未授權(quán)，不能對(duì)信息、數(shù)據(jù)隨意進(jìn)行改變、破壞。刪除等操作。（3）未經(jīng)用戶授權(quán)不能利用、處理、傳播數(shù)據(jù)與信息。（4）具有較高的信息審核性，即，需授權(quán)用戶、維護(hù)數(shù)據(jù)與信息的安全性，并應(yīng)用專(zhuān)業(yè)技術(shù)進(jìn)行控制與核查。

2 云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題

云計(jì)算環(huán)境下，人們應(yīng)用網(wǎng)絡(luò)資源的更為便捷，效率更高，但也面臨著一定的安全問(wèn)題。（1）用戶數(shù)據(jù)經(jīng)網(wǎng)絡(luò)傳輸給云計(jì)算服務(wù)商，由云計(jì)算服務(wù)商負(fù)責(zé)對(duì)用戶數(shù)據(jù)的統(tǒng)一管理，然而在數(shù)據(jù)傳輸過(guò)程中，或受管理員技術(shù)水平影響，這些用戶數(shù)據(jù)面臨泄漏風(fēng)險(xiǎn)，如用戶數(shù)據(jù)涉及商業(yè)機(jī)密，往往給用戶造成較大損失。（2）云計(jì)算環(huán)境下權(quán)限管理是一項(xiàng)+分重要的工作，其決定著用戶訪問(wèn)的內(nèi)容，以及能否進(jìn)行相關(guān)的操作。一旦計(jì)算機(jī)網(wǎng)絡(luò)被黑客攻擊，獲得較高權(quán)限，會(huì)對(duì)用戶數(shù)據(jù)進(jìn)行隨意更改，甚至刪除。（3）云計(jì)算環(huán)境下，人們應(yīng)用云資源時(shí)，并不清楚資源具體在分布在哪些服務(wù)器上，因此，一旦受到攻擊，如不能準(zhǔn)確對(duì)服務(wù)器進(jìn)行定位，并及時(shí)采取防御措施，很容易導(dǎo)致用戶數(shù)據(jù)的損壞或泄露。與此同時(shí)，給數(shù)據(jù)的恢復(fù)帶來(lái)較大難度。（4）云計(jì)算環(huán)境下的互聯(lián)網(wǎng)，同樣具有隱蔽性、虛擬性、開(kāi)放性特點(diǎn)，因此，如不法分子利用網(wǎng)絡(luò)從事破壞行為，造成危害性更大、范圍更廣，而且取汪面臨較大困難。

運(yùn)用傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)，如訪問(wèn)控制策略、安全認(rèn)證機(jī)制、加密機(jī)制等通過(guò)集成進(jìn)行創(chuàng)新，可為云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全提供一定的支撐，但不能完全解決所有的安全問(wèn)題，因此，為保證云計(jì)算環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)安全，仍需人們做出更多努力。

3 云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全措施

云計(jì)算環(huán)境中，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題不容小視，無(wú)論云計(jì)算服務(wù)商還是用戶，均應(yīng)提高安全意識(shí)，積極采取針對(duì)性措施，不斷提高計(jì)算機(jī)網(wǎng)絡(luò)安全，為云計(jì)算更好的發(fā)展以及人們更加安全地使用云資源做好鋪墊。

3.1 可信訪問(wèn)控制

云計(jì)算機(jī)環(huán)境下，怎樣采用非傳統(tǒng)訪問(wèn)控制類(lèi)手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)對(duì)象的訪問(wèn)控制尤為關(guān)鍵，一方面，采用密碼學(xué)理論研發(fā)相關(guān)算法，加強(qiáng)對(duì)訪問(wèn)的控制，保汪計(jì)算機(jī)網(wǎng)絡(luò)安全。例如，可考慮在用戶密文或密鑰中嵌入訪問(wèn)控制樹(shù)或應(yīng)用基于代理重加密方法、基于屬性的加密算法等。另一方面，允許權(quán)限撤銷(xiāo)操作。為密鑰設(shè)置一個(gè)失效時(shí)間，失效后要求用戶從認(rèn)證中心對(duì)私鑰進(jìn)行更新。或者應(yīng)用在線對(duì)可信第三方維護(hù)授權(quán)列表，通過(guò)對(duì)用戶ID屬性的判斷，能夠撤銷(xiāo)特定用戶的權(quán)限。

3.2 數(shù)據(jù)存在與可使用性證明

眾所周知，云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)付出的通信代價(jià)大大提升，用戶使用云資源時(shí)，將數(shù)據(jù)下載后再驗(yàn)證其是否正確付出的代價(jià)太大，因此，如何在保證用戶取出較少數(shù)據(jù)的情況下，判斷數(shù)據(jù)是否完整尤為重要。一方面，可考慮使用面向用戶單獨(dú)驗(yàn)證的數(shù)據(jù)可檢索證明（Proof ofRetrievable，POR）方法。另外，日本電氣株式會(huì)社（NipponElectric Company，NEC）實(shí)驗(yàn)室提出PDI方法，與POR方法相比，驗(yàn)證對(duì)象規(guī)模與處理速度均得到較大提升，而且可進(jìn)行公開(kāi)驗(yàn)證。另一方面，還可應(yīng)用基于BLS同態(tài)簽名與RS糾錯(cuò)碼方法、基于代數(shù)簽名方法、基于新的數(shù)形結(jié)構(gòu)MACTree方案等。

3.3 云資源訪問(wèn)控制

保證云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行，應(yīng)注重做好云資源訪問(wèn)的控制，避免云資源的非法訪問(wèn)，尤其應(yīng)注重以下內(nèi)容的落實(shí)：首先，將各個(gè)云應(yīng)用布設(shè)在不同的管理域中，各安全域負(fù)責(zé)管理本地的資源以及用戶。其次，當(dāng)用戶訪問(wèn)資源時(shí)需要跨域時(shí)，應(yīng)在邊界設(shè)置認(rèn)證服務(wù)，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證的統(tǒng)一管理。最后，如用戶訪問(wèn)的資源跨多個(gè)域，考慮到不同域有著自己的訪問(wèn)策略，因此，應(yīng)對(duì)共享資源制定一個(gè)雙方均認(rèn)同的、公共的訪問(wèn)控制策略。

3.4 其他安全措施

云計(jì)算剛興起不久，相關(guān)理論還不太完善，部分技術(shù)還不是很成熟，因此，為保證云計(jì)算環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全，除應(yīng)用專(zhuān)業(yè)技術(shù)做好云資源訪問(wèn)控制外，一方面需政府職能部門(mén)的配合，及時(shí)出臺(tái)相關(guān)法律法規(guī)，約束人們?cè)谠朴?jì)算環(huán)境下的行為，防范云計(jì)算環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全事件的發(fā)生。另外，政府職能部門(mén)要求在各大高校開(kāi)設(shè)云計(jì)算及云計(jì)算環(huán)境下計(jì)算網(wǎng)絡(luò)安全等相關(guān)課程，培養(yǎng)更多的專(zhuān)業(yè)人才。另一方面，提高技術(shù)人員專(zhuān)業(yè)水平。要求云計(jì)算服務(wù)商及時(shí)完善內(nèi)部管理體系，加強(qiáng)技術(shù)人員思想教育，使其充分認(rèn)識(shí)到保證云計(jì)算環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性，提高計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)，自覺(jué)約束工作中的不良行為。同時(shí)，定期組織技術(shù)人員開(kāi)展技術(shù)培訓(xùn)活動(dòng)，邀請(qǐng)業(yè)內(nèi)權(quán)威專(zhuān)家，講解云計(jì)算環(huán)境下保障計(jì)算機(jī)網(wǎng)絡(luò)安全的前沿知識(shí)，并要求技術(shù)人員結(jié)合自身實(shí)際應(yīng)用到實(shí)際工作中。

4 結(jié)語(yǔ)

云計(jì)算是未來(lái)互聯(lián)網(wǎng)發(fā)展的主要趨勢(shì)，為使人們正常、安全使用云上的資源，云計(jì)算服務(wù)商以及用戶自身應(yīng)加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)，切實(shí)保護(hù)好自身權(quán)益。本研究得出以下結(jié)論。

（1）云計(jì)算提供的3種服務(wù)形式有：SaaS，PaaS，IaaS。人們正常享受這些服務(wù)的前提是保證網(wǎng)絡(luò)安全，因此，云計(jì)算環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)安全仍不容忽視。

（2）對(duì)云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全特點(diǎn)認(rèn)真分析的基礎(chǔ)上認(rèn)為，人們?cè)趹?yīng)用云上各種資源服務(wù)時(shí)，仍存在一定的安全隱患，尤其對(duì)于企業(yè)而言一旦重要數(shù)據(jù)或信息泄露將造成較大經(jīng)濟(jì)損失。

（3）為提高云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全性，一方面，要求云計(jì)算服務(wù)商做好安全部署，應(yīng)用多種安全防范技術(shù)，包括可信訪問(wèn)控制、數(shù)據(jù)存在與可使用性證明、云資源訪問(wèn)控制等。另外，政府職能部門(mén)應(yīng)提高認(rèn)識(shí)，積極出臺(tái)云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全管理辦法，打擊網(wǎng)絡(luò)違法行為。同時(shí)，要求各大高校開(kāi)設(shè)相關(guān)專(zhuān)業(yè)，培養(yǎng)更鄉(xiāng)專(zhuān)業(yè)人才。云計(jì)算服務(wù)商，應(yīng)加強(qiáng)技術(shù)人員思想教育與技術(shù)培訓(xùn)，降低云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)可能發(fā)生的風(fēng)險(xiǎn)。