淺析云計算安全風險因素及應對策略

向劍波

摘要：本文的研究從云計算的體系結構特征著手，對云計算安全風險的研究情況進行闡述，剖析了云計算相關管理技術的安全風險關鍵點，提出了針對性的策略，以期能夠更好的促進云計算技術的發展與應用。

關鍵詞：云計算;安全風險因素;互聯網;服務

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2020）01-0196-02

0 引言

云計算的概念近些年被業內廣泛關注，是由網絡技術、計算機科學、虛擬化、網格計算、負載均衡、網絡存儲以及云計算等技術共同發展融合而形成的先進服務模式。

1 云計算體系結構及特征

云計算提供服務的類型主要包括三種，即：軟件服務、平臺服務和基礎設施服務，不同的服務類型在服務的深度與形式方面有所不同。其最主要的特征是資源的服務化和虛擬化，將各類基礎設施與網絡整合到同一平臺，為選擇了服務類型的客戶動態分配資源，并提供存儲與計算服務，用戶在簡單的終端上就可以獲得服務內容。

2 云計算安全風險研究現狀

近些年人們對云計算安全風險的研究非常廣泛，但是形成的成果還比較有限。對于云服務的提供商，不僅需要成熟的技術，更需要嚴格的監管，必須正視云計算環境下的技術因素與管理因素兩大要因，才能夠實現降低風險的目標。

3 技術安全風險因素

3.1 虛擬化技術

虛擬化技術的實現對云計算來說至關重要，對資源的虛擬化和服務化是數據共享的核心，也是共享化、平臺化、標準化的關鍵內容。虛擬技術給云計算帶來了實時擴展可能，提升了服務器利用率。但是虛擬化軟件的使用容易出現非法訪問和操作，從而產生安全漏洞，威脅用戶數據。

3.2 數據加密技術

數據加密主要以保障數據安全性為目的，在進行遷移、傳輸、存儲過程中保證數據安全，加密后的數據即使被其他人獲取，也無法讀取數據內容，能夠一定程度上降低數據泄露風險。但是加密技術如果比較脆弱，則容易受到黑客的攻擊導致數據泄露。

3.3 身份驗證及訪問控制技術

用戶身份的認證和用戶訪問的管理是保障安全的重要環節，云計算商通過引入該項技術確定用戶訪問和使用過程合法，如該項技術存在安全漏洞，則可能產生越權訪問、仿冒登陸等情況產生安全問題。

3.4 數據銷毀技術

數據在擦除時往往會出現各種殘留，很多存儲介質即便被擦除也會留有數據重建的可能，云平臺中必須實現數據銷毀的徹底性，以防數據被惡意恢復而出現泄漏。

3.5 數據隔離技術

云計算系統具有數據多、用戶多的特點，不同用戶有不同的數據內容，這些數據在統一存儲介質上存放，因此必須進行隔離以保障用戶數據的安全性和獨立性。如果隔離機制脆弱容易產生數據缺少界限，用戶訪問數據時便會出現非法行為或數據混亂。

3.6 數據切分技術

數據分切時為了避免數據受到暴力破解而將數據分別存儲到不同的服務器上，使得不法分子即便得到了數據也難以獲取全部數據內容，但是一旦出現設備部分故障，容易造成用戶數據失去完整性。

3.7 反病毒和入侵檢測技術

防止病毒和木馬的入侵一直以來都是網絡安全保障的重要內容，隨著云計算平臺的建設，各類病毒和安全漏洞日益涌現，增加了平臺的安全防護難度，因此必須對病毒和入侵問題加以注意。

4 管理安全風險

4.1 物理設備管理

物理設備的安全有效管理是云計算系統的強有力保障，電線、網絡、網線等都屬于物理設備，云服務商在進行設備管理時如果缺少定期檢查、專項檢查等措施，便會使設備產生安全隱患。

4.2 法律法規問題

用戶將個人數據上傳到“云”，運營商最主要的工作便是保障數據安全，但是這些數據的儲存方法、方式和位置目前尚缺乏有關法律法規的約束，屬于未受到有效監管的部分，一旦發生數據泄漏等糾紛，用戶很難通過法律武器來維護合法權益。

4.3 運營商內部員工管理

云服務供應商因服務工作的特性影響，對用戶數據有著優先讀取權，在巨大的利益誘惑面前，很難保障所有的云供應商員工都堅守本職工作，一旦出現員工竊取或破壞，會造成極大的損失。

4.4 用戶管理

云平臺提供免費或收費的彈性服務，具有較強的拓展性，但是在提供服務時，供應商對注冊用戶的身份審核往往比較簡單，缺乏嚴格的監管，容易出現惡意分子利用云計算平臺從事非法活動的情況。

4.5 軟件使用管理

用戶在享用云平臺服務過程中會需要一些其他輔助軟件的協同作用，但是云平臺往往無法有效判定第三方軟件的合法性與安全性，未經嚴格身份審核的第三方軟件進入云平臺給用戶數據安全造成威脅。

5 應對策略

5.1 構建標準的云計算安全技術體系

云計算具有傳統技術不具備的復雜性、規模性和開放性，如何將虛擬技術、數據加密技術、數據銷毀技術等各類成熟技術安全、高效、綜合的運用是云計算環境中面臨的一大問題，構建嚴密的標準技術體系，是降低技術風險的有效手段。

5.2 制定相關標準

在不同的云間進行資源與服務的遷移或共享時會涉及到較多的格式、協議和標準，有關部門應當盡快完善有關標準的制定和規范，使得數據共享過程更加安全可靠，為用戶提供更加有保障的服務環境。

5.3 建立第三方機構進行評估和管理

云計算服務商在提供服務時，往往不能為用戶提供完整的服務細節，用戶只能盲目的選擇服務內容，缺乏統一標準作為選擇參考，用戶在磋商過程中處在相對被動和受控的狀態下，一旦出現問題，往往用戶成為單方面受害者。應當加強第三方中立機構對云服務供應商的評估和監管，實現對云服務的安全評估，從而降低用戶數據的安全風險。

5.4 完善法律法規

充分重視不健全的法律法規給云計算發展帶來的制約影響，切實審視發展現狀和不完善之處，盡快制定有關法律法規，明確數據安全主要界限和界定方式，從法律層面提升監督和規范力度，保障違法行為得到懲治，全面提升運營合法性。

5.5 強化管理和監督

物理設備管理和員工管理是安全風險的兩大來源，云服務供應商要通過嚴格監管制度的制定落實，不斷深化安全管控成效，定期完成內部員工教育培訓和身份審核，增強安全思想意識，制定嚴格的工作流程落實安全控制措施，明確員工法律責任劃分。

5.6 選擇合適的云服務提供商

用戶在進行云服務商選擇時，要綜合考慮其服務質量和業務水平，不能聽信其表面宣稱的內容，要選擇信譽度好的服務商，規避因服務商變動或商業策略轉換而帶來的安全風險問題。

6 結語

在大力發展云計算的同時，我們必須深刻意識到云服務中的安全風險因素。想要保證云計算發展的健康，離不開技術的不斷革新和管理監督工作的切實作用。本文從云計算的結構特征、研究現狀、風險因素及應對策略多個角度進行了探索，相信隨著業內的不斷努力，云計算和云服務一定會在未來取得更好的發展與應用。

參考文獻

[1] 鄧彬，佟勝偉.云計算與大數據環境下多角度信息安全技術分析與研究[J].計算機產品與流通，2019（12）：132.

[2] 孫榮明.云計算安全風險因素及應對策略[J].電腦知識與技術，2017，13（23）：12-13.