云計算環境下的數據安全防護研究

楊清琳 蔡小娟

摘要：云計算以其彈性可擴展的計算和存儲能力，為人們的工作、學習及生活提供了便利，但同時也帶來了新的安全風險和問題。該文對云計算環境所面臨的數據安全威脅進行了分析，并提出了提高云計算環境下數據安全防護策略。

關鍵詞：云計算;可擴展;數據安全防護

中圖分類號：TP319 文獻標識碼：A

文章編號：1009-3044（2020）08-0033-02

隨著云技術的不斷發展，越來越多的個人和企業用戶將數據存儲在云端，以較低的成本就能享受高效快捷的云存儲服務和處理計算服務，將數據保存在云服務器中，方便管理數據并降低管理成本。但是，很多數據用戶仍擔心云計算中的數據安全和隱私保護問題，如何確保數據安全和隱私保護成為云計算所面臨的重要挑戰。

1云計算環境所面臨的數據安全威脅

1.1虛擬化安全風險

虛擬化技術是云計算中的關鍵核心技術，該技術在帶來優勢的同時也帶來許多新的安全風險。在云環境中，多臺服務器連接組成一個大型服務器集群，通過虛擬化技術將資源放在同一的資源池中，供各種應用按需來調配存儲和運算資源。在云計算這種共享資源模式背景下，運用傳統的信息安全設備不能深入到虛擬化平臺內部去做安全防護，無法實現惡意代碼攻擊防護，和滿足流量監控、協議審計等網絡安全的要求。為滿足虛擬化環境下的動態負載要求，虛擬機會不定時的進行動態漂移，因此虛擬主機所在的真實位置也是在不斷地變化，這樣會導致邊界的安全策略也要隨之轉移。若邊界的安全策略及安全防護措施不能同時跟虛擬機一起漂移，那么其對應的邊界安全防護措施和策略就不再生效，造成在虛擬環境中虛擬服務器存在安全漏洞與隱患[1]。

1.2數據傳輸安全風險

用戶在使用云計算服務的過程中，都是通過網絡途徑將用戶數據傳輸到云服務器中進行存儲和計算，這些用戶數據還會包括一些用戶的敏感數據（如電子郵件、私人聊天記錄、企業客戶信息和財務報表等），但是由于用戶和云服務器通常不在同一個信任域中，那么網絡傳輸過程中，如何保證外包數據不會被非法攻擊、竊取、破壞及修改，以有效地保護用戶的隱私安全是一個值得關注的問題[2]。

1.3 API接口安全風險

由于云計算技術具有松耦合性，因此云計算的模塊與模塊之間及其對外提供服務均使用API接口來實現，API接口存在認證、授權、代碼缺陷等方面的問題和風險，因此服務供應商的服務以及其接口程序對用戶而言是不太可靠的。

1.4過于集中的數據存儲

由于云服務器提供了高質量的數據存儲服務，云端存儲的信息數量繁多，這樣用戶可以減少自身數據存儲和維護開銷，但云計算環境具有相當強的開放性，并且數據存放高度集中、系統非常龐大，復雜程度較高，若黑客或病毒非法攻擊侵入到云端，那么用戶的大量關鍵數據就會面臨泄露和丟失的風險，其后果不堪設想。另外用戶沒有訪問數據信息的優先權，用戶本身也不清楚數據信息的實際存放情況，因此也沒有辦法進行實際可行的操作，這些都會導致數據存儲上的安全問題。

1.5共享數據的安全風險

加密隱私信息是有效解決隱私信息泄露的重要途徑。加密算法通常有兩種，即對稱加密算法和非對稱加密算法。在云計算環境的現實使用過程中，數據擁有者和數據使用者通常是不一致的，若使用對稱加密算法，因為加解密都是使用同一密鑰，對數據擁有者來說就存在無法控制數據和如何進行管理密鑰問題;若使用非對稱加密算法，則需要公鑰基礎結構支持。在云計算實際應用中，常用的是利用第三方數據重加密方法和基于用戶身份屬性特征的屬性加密算法來解決該問題。但是當數據擁有者上傳密文數據到云服務器，需要共享密文數據的用戶身份發生變化時，密文數據的共享策略需要進行更新，這會導致第三方代理復雜的數據管理問題，帶來用戶隱私數據泄露的風險。

2 云環境背景下提高數據安全的防護策略

云計算具有很多優勢，但同時也會帶來很多數據安全問題。云計算環境下的數據安全是要保證數據生成、傳輸、存儲和訪問的過程中不被篡改、竊取和破壞，云環境背景下的數據安全防護策略，不僅要考慮采用傳統的信息安全、存儲加密等技術，還要考慮整個云資源環境的安全問題。

2.1建立云安全防御體系

云計算資源環境中包含有兩類資源，即傳統的物理資源和虛擬資源，因此安全防御體系需要同時考慮云平臺和云上系統的安全保障，安全防御體系應以“一個中心、三重防護”的思路來構建，一個中心即通過云安全管理中心來收集網絡設備、安全設備、應用系統，以及云計算下的虛擬網絡、虛擬主機的信息安全事件并進行分析和安全預警，統一管理云平臺的漏洞和補丁[3]。三重防護即實現云計算環境、區域邊界和網絡通信三個層次的防御。云計算環境防御包括物理資源安全和虛擬資源安全，物理資源安全主要從物理資源安全配置加固、安全審計、漏洞管理和冗余設計等方面來進行防護;虛擬資源安全防御主要從虛擬主機自身安全、虛擬資源的隔離、惡意代碼防護等來進行防護。區域邊界防御，一方面可以通過傳統的安全設備和適當的區域劃分，實現云平臺物理邊界的安全防護，另一方面可以采用VPC、虛擬防火墻、SDN服務鏈編排等云安全防護產品和手段，實現虛擬邊界的安全;網絡通信防御主要考慮從網絡傳輸時數據的完整性和保密性、通信網絡的安全審計、通信網絡的可用性等方面來進行防御。

2.2 采用信息加密技術

信息加密是較為常用的信息安全保護技術，該技術的核心是加密算法，可以利用軟硬件技術加密傳輸鏈路，也可使用端對端直接加密數據。加密傳輸鏈路主要由物理鏈路上的交換轉發設備實現加解密操作，以保護通信節點上傳輸的數據。端對端加密數據是通過加密應用層的數據信息，將原始數據通過加密密鑰轉換成密文形式，讀取數據信息時需要有相應的密匙，使用時需要結合密鑰管理和密鑰分配算法。加解密操作只發生在數據發送方與數據接收方，在整個傳輸過程中數據都是以密文的形式存在，極大提高了數據的安全性。將加密技術融入信息安全防護體系中，可以有效地幫助數據信息的安全防護工作。建立一套完整可行的信息加密體系，首先要篩選哪些數據需要加密處理，再運用相關分析方法來合理地分類和篩選數據，并對加密數據面臨的安全問題進行分析，找出可能存在的安全漏洞，做出相應的防御解決辦法，以提升整個云環境的穩定性和安全性。

2.3 訪問控制

云計算在實際應用中具有多線程、多任務及多用戶的特點，多用戶則成為威脅數據安全的隱患，為有效的提升云計算環境下數據安全防護質量，落實數據訪問控制是保證數據擁有者及用戶隱私的重要安全防護內容。訪問控制是指對用戶文件和數據讀、寫、執行等操作上的權限限制。數據擁有者將數據信息存儲在云平臺上，如果有用戶想要訪問該數據信息，則首先需要通過數據擁有者進行授權。在實際應用中可以根據數據的隱私敏感度和重要程度設置不同的安全范圍，范圍粒度的劃分可以根據信息保密要求等級或重要性進行確定。不同安全等級之間需要相互存取訪問時，則要運用相應軟硬件設備實現邊界保護，從而保證訪問控制規則實施的有效性，并且對每次操作都要有審計和日志記錄。另外在采用虛擬化技術的云環境中，軟件都是直接由云服務商來進行管理和操作，為了保障在虛擬主機上多個操作系統并發運行的安全性，虛擬化軟件則應該利用訪問控制策略對虛擬化軟件層的訪問權限進行管理，來保證虛擬化層次上的各用戶的數據安全。

2.4 提高防范意識，做好數據備份

為了更好提升云環境下傳輸網絡的安全性能，云計算用戶自身要加強安全防范意識，做好對不良信息防范，凈化網絡傳輸環境，以避免因為技術不成熟的問題使得病毒侵入計算機網絡。作為云計算的使用用戶還需要意識到云端平臺具有一定的風險性。因此，要求所有用戶在云計算平臺的實際使用過程中，要養成做好數據備份的習慣，利用不同云服務商的云計算平臺來對數據進行相互備份，這種利用物理隔離的方式可以有效地保障數據安全，萬一某個云端平臺存儲的數據丟失，也不會造成不可逆轉的毀滅性后果。

3 結束語

云計算的優勢很多，為人們的工作、學習及生活提供了便利，但其信息安全問題也不能忽視，因此用戶在使用云計算的過程中要對其風險有充分的認識，并通過行之有效的方式進行預防，以免自身遭受嚴重的損失，也不能因為風險就因噎廢食，應充分利用新的安全技術和手段，合理運用云計算平臺。本文對云計算環境所面臨的數據安全威脅進行了分析，并提出了提高云計算環境下數據安全性的防護策略，希望為推動云計算的良好發展做出貢獻。

參考文獻：

[1]莫建華.基于虛擬化技術的云計算平臺安全風險研究[J].信息計算與信息化，2019（10）：214-216.

[2]高倩.基于云計算環境下的信息安全技術[J].電子技術與軟件工程，2019（6）：185.

[3]王勇，徐衍龍，劉強.云計算安全模型與架構研究[J].信息安全研究，2019（5）：287-292.

【通聯編輯：朱寶貴】

作者簡介：楊清琳（1983-），女，廣西桂林人，碩士，工程師，主要研究方向為云計算、智能信息處理、信息安全;蔡小娟（1988-），女，廣西賀州人，本科，助理工程師，主要研究方向為信息技術。