云計算信息系統(tǒng)安全整體防護(hù)策略研究

浙江移動信息系統(tǒng)集成有限公司 應(yīng)曉龍

隨著科技水平的飛速發(fā)展，計算機(jī)以及互聯(lián)網(wǎng)技術(shù)逐漸滲透到社會的方方面面，不僅為人們的日常生活帶來了更多的便利，也有效推動了社會經(jīng)濟(jì)的變革與發(fā)展，特別是隨著云計算技術(shù)的發(fā)展與應(yīng)用，在提高了互聯(lián)網(wǎng)實用性以及高效性的同時，也大大增加了數(shù)據(jù)信息的安全風(fēng)險。本文簡單分析了云計算信息系統(tǒng)的常見安全問題，并對云計算信息系統(tǒng)的安全防護(hù)策略進(jìn)行了簡單闡述。

云計算是依靠計算機(jī)技術(shù)以及互聯(lián)網(wǎng)技術(shù)發(fā)展而來的新技術(shù)，可以為企業(yè)提供更加便利、快捷的數(shù)據(jù)加工、數(shù)據(jù)開發(fā)等計算工作，顯著提升了企業(yè)對數(shù)據(jù)信息的挖掘和利用效率，同時，受云計算技術(shù)開放性以及共享虛擬等特性的影響，無形中提升了企業(yè)數(shù)據(jù)信息的風(fēng)險系數(shù)，所以，如何提升云計算信息系統(tǒng)的安全性，不僅是關(guān)系到云計算信息系統(tǒng)發(fā)展與應(yīng)用的重要工作之一，也是社會各界都在關(guān)注的重要課題之一。

1 云計算信息系統(tǒng)含義

云計算信息系統(tǒng)是以虛擬化計算服務(wù)為主的互聯(lián)網(wǎng)技術(shù)，主要通過分布式計算以及并行處理等技術(shù)手段，實現(xiàn)企業(yè)數(shù)據(jù)信息的存儲、深層次加工與高效利用，云計算技術(shù)的研發(fā)和普及，不僅推動了互聯(lián)網(wǎng)技術(shù)的進(jìn)一步成熟與發(fā)展，還可以根據(jù)不同企業(yè)的實際需要，提供軟件服務(wù)、數(shù)據(jù)分析等不同類型、不同層次的服務(wù)，為現(xiàn)代企業(yè)的運營和發(fā)展提供了更多的便利與支持。

云計算信息系統(tǒng)的安全防護(hù)，主要涉及到數(shù)據(jù)信息保密性、完整性、訪問控制以及運營安全等幾個方面，是云計算信息系統(tǒng)的重要組成部分，也是關(guān)系到云計算信息系統(tǒng)正常、穩(wěn)定運行的關(guān)鍵要素。

2 云計算信息系統(tǒng)常見安全問題

2.1 傳統(tǒng)安全威脅因素

云計算信息系統(tǒng)的傳統(tǒng)安全威脅因素，主要是指發(fā)起自外部對系統(tǒng)內(nèi)部進(jìn)行攻擊的分布式拒絕服務(wù)，包括病毒、木馬以及蠕蟲等多種攻擊形式，這一安全風(fēng)險類型是伴隨互聯(lián)網(wǎng)出現(xiàn)而產(chǎn)生的安全威脅因素，現(xiàn)如今仍然會給云計算信息系統(tǒng)造成極大的影響和破壞，特別是對于web業(yè)務(wù)類型的信息系統(tǒng)而言，分布式拒絕服務(wù)的入侵形式更加復(fù)雜多變，也是目前云計算信息系統(tǒng)安全防護(hù)工作所需重視和研究的重要目標(biāo)之一。

2.2 信息系統(tǒng)數(shù)據(jù)泄露風(fēng)險

云計算信息系統(tǒng)除了提供數(shù)據(jù)信息分析以及軟硬件服務(wù)等業(yè)務(wù)以外，還會為客戶提供大數(shù)據(jù)存儲等服務(wù)，隨著客戶數(shù)據(jù)信息存儲量以及數(shù)據(jù)價值的不斷增加，往往會滋生出企圖利用這些數(shù)據(jù)信息獲取利益的不法者，無形中增加了云計算信息系統(tǒng)的數(shù)據(jù)管理難度以及安全威脅等級，也大大增加了云計算信息系統(tǒng)中數(shù)據(jù)泄露以及數(shù)據(jù)篡改等安全問題的發(fā)生幾率，不僅會對客戶造成較大的影響和利益損失，還會對云平臺自身的信譽(yù)和發(fā)展帶來極大危害。

2.3 信息系統(tǒng)隔離失效風(fēng)險

云計算信息系統(tǒng)隔離失效風(fēng)險，主要是來自于技術(shù)層面的風(fēng)險因素，由于云計算信息系統(tǒng)用戶需要共享平臺中的計算能力以及數(shù)據(jù)存儲設(shè)備，這就需要云平臺通過一系列設(shè)備和相應(yīng)的技術(shù)手段對不同用戶進(jìn)行隔離，避免出現(xiàn)部分平臺用戶未經(jīng)允許而訪問他人數(shù)據(jù)信息，并私自進(jìn)行數(shù)據(jù)信息篡改、刪除等操作。但是，如果云平臺在數(shù)據(jù)隔離設(shè)置方面存在漏洞，或者隔離措施沒有及時更新、完善，很容易影響到信息系統(tǒng)的數(shù)據(jù)信息隔離有效性。

2.4 信息系統(tǒng)虛擬機(jī)逃逸風(fēng)險

云計算信息系統(tǒng)中的虛擬機(jī)逃逸問題，主要是利用虛擬機(jī)對系統(tǒng)漏洞開展攻擊等手段，引發(fā)信息系統(tǒng)的安全問題，不僅會對云平臺數(shù)據(jù)信息的完整性、安全性造成較大影響，嚴(yán)重的甚至?xí)霈F(xiàn)攻擊者利用虛擬機(jī)對目標(biāo)系統(tǒng)進(jìn)行操控等情況，從而導(dǎo)致信息系統(tǒng)出現(xiàn)數(shù)據(jù)信息泄露等安全問題。

2.5 信息系統(tǒng)虛擬機(jī)內(nèi)存泄露風(fēng)險

云計算信息系統(tǒng)中的虛擬機(jī)內(nèi)存泄露風(fēng)險，其產(chǎn)生原因一方面來自于虛擬機(jī)的共享使用，另一方面通常發(fā)生于重新分配硬件資源等情況下，比如，部分系統(tǒng)用戶在通過虛擬機(jī)進(jìn)行正常操作時通常會占用一部分額外內(nèi)存，并在完成操作后釋放這部分額外內(nèi)存，如果因系統(tǒng)等因素的影響導(dǎo)致這部分額外內(nèi)存被釋放時沒有得到重置，那么之前用戶的部分?jǐn)?shù)據(jù)信息就會留存在這些額外內(nèi)存中，并在額外內(nèi)存重新分配給其他用戶時，被其他用戶訪問到這些數(shù)據(jù)信息，一旦這些數(shù)據(jù)信息中存在較為敏感的信息或有重大價值的數(shù)據(jù)，很容易給相應(yīng)的平臺用戶帶來利益損失。

2.6 信息系統(tǒng)虛擬機(jī)動態(tài)遷移風(fēng)險

虛擬機(jī)動態(tài)遷移的特點在于可以有效縮減遷移時間以及宕機(jī)時間，而云計算信息系統(tǒng)中的虛擬機(jī)動態(tài)遷移風(fēng)險，主要是指在將虛擬機(jī)從原有物理服務(wù)器遷移到另一臺物理服務(wù)器的過程中，如果沒有做好相應(yīng)的安全防護(hù)工作，很容易遭遇數(shù)據(jù)傳輸被監(jiān)聽以及內(nèi)存信息泄露等安全問題。

2.7 信息系統(tǒng)運營模式風(fēng)險

云計算技術(shù)的不斷發(fā)展與完善，推動了云計算信息系統(tǒng)運營模式的創(chuàng)新和改變，云平臺可以根據(jù)用戶的實際需求，設(shè)計出具有針對性的服務(wù)類型和資源配給，如果云平臺運營模式存在不合理之處，再加上云平臺普遍具有用戶流動性較大等特征，不僅容易出現(xiàn)平臺資源利用效率低下的情況，還容易影響到平臺用戶對相關(guān)資源的直接掌控。

3 云計算信息系統(tǒng)的安全防護(hù)策略

3.1 加強(qiáng)信息系統(tǒng)備份審計機(jī)制的建立與完善

云計算信息系統(tǒng)備份機(jī)制，主要包括系統(tǒng)備份、關(guān)鍵數(shù)據(jù)信息備份以及網(wǎng)絡(luò)接口等設(shè)置信息備份幾方面內(nèi)容，而云計算信息系統(tǒng)審計工作的內(nèi)容，則是包括用戶賬號審計以及系統(tǒng)操作日志記錄等工作。雖然加強(qiáng)云計算信息系統(tǒng)備份審計工作會增加平臺資源的消耗，但是，由于信息系統(tǒng)中存儲著大量有價值的數(shù)據(jù)信息，同時，云平臺還具有用戶量較大以及信息訪問較為頻繁等特性，無形中提升了信息系統(tǒng)備份審計機(jī)制的作用和必要性，一旦云計算信息系統(tǒng)因各種意外因素的影響而出現(xiàn)癱瘓等情況，可以借助備份對相關(guān)數(shù)據(jù)信息以及系統(tǒng)設(shè)置進(jìn)行恢復(fù)，可以降低意外因素對信息系統(tǒng)數(shù)據(jù)安全性以及完整性帶來的影響。除此之外，云計算信息系統(tǒng)備份審計機(jī)制還包括對系統(tǒng)漏洞的查找和補(bǔ)完等工作。其一，云平臺應(yīng)通過定期或不定期等方式，對信息系統(tǒng)存在的漏洞進(jìn)行掃描、查找，并及時采取打補(bǔ)丁等措施消除系統(tǒng)漏洞；其二，做好系統(tǒng)端口的開放審查以及安全防護(hù)工作，并加強(qiáng)數(shù)據(jù)傳輸?shù)募用芴幚恚瑥亩岣咴朴嬎阈畔⑾到y(tǒng)的整體安全性。

3.2 加強(qiáng)防火墻防護(hù)體系以及DDoS攻擊防護(hù)體系的建立與完善

防火墻防護(hù)體系以及DDoS攻擊防護(hù)體系的建立是提高云計算信息系統(tǒng)安全性的有效舉措之一，更是信息系統(tǒng)必不可少的組成部分。首先，防火墻防護(hù)體系主要是指信息系統(tǒng)中的訪問控制系統(tǒng)，系統(tǒng)防火墻通常設(shè)置在核心交換機(jī)以及出口路由器等位置，對訪問信息的協(xié)議、端口以及訪問請求等幾個方面進(jìn)行檢測，阻攔不符合防火墻規(guī)定的訪問信息，從而達(dá)到提高信息系統(tǒng)安全性的目的。其次，DDoS攻擊防護(hù)體系主要是應(yīng)對分布式拒絕服務(wù)對虛擬服務(wù)器開展的攻擊，目前較為常用的方法包括設(shè)置黑洞路由、DDoS防火墻防護(hù)以及異常流量檢測與清洗等幾種。黑洞路由大多設(shè)置在信息系統(tǒng)出口位置，利用路由黑洞對DDoS攻擊數(shù)據(jù)進(jìn)行吸收，避免攻擊數(shù)據(jù)對目標(biāo)設(shè)備造成影響和破壞；DDoS防火墻在應(yīng)對小流量DDoS攻擊時往往具有較好的效果，而異常流量檢測系統(tǒng)和清洗裝置通常以旁路部署的方式設(shè)置在核心交換機(jī)區(qū)域，當(dāng)虛擬服務(wù)器遭受大流量DDoS攻擊時，可以通過異常流量檢測系統(tǒng)將異常數(shù)據(jù)導(dǎo)入清洗裝置進(jìn)行處理。

3.3 加強(qiáng)信息系統(tǒng)多重身份認(rèn)證技術(shù)的應(yīng)用

信息系統(tǒng)多重身份認(rèn)證技術(shù)主要是針對系統(tǒng)訪問者開展的安全防護(hù)措施，傳統(tǒng)的身份認(rèn)證方法包括密碼以及口令認(rèn)證等幾種形式，隨著互聯(lián)網(wǎng)的不斷發(fā)展以及技術(shù)水平的提升，身份認(rèn)證技術(shù)逐漸擴(kuò)展到手機(jī)號驗證、實名認(rèn)證、指紋驗證以及面部掃描等諸多領(lǐng)域，一方面可以對平臺用戶的系統(tǒng)操作行為進(jìn)行規(guī)范并提高用戶管理成效，另一方面還便于對不正常操作用戶進(jìn)行追蹤，對云計算信息平臺整體安全性的提升有著積極的促進(jìn)作用。

3.4 加強(qiáng)信息系統(tǒng)入侵檢測體系以及病毒防護(hù)體系的建立與完善

入侵檢測體系以及病毒防護(hù)體系是云計算信息系統(tǒng)安全防護(hù)體系的重要組成部分。首先，入侵檢測體系主要包括縱向防護(hù)和橫向防護(hù)兩大類，縱向防護(hù)通常以旁路監(jiān)聽的方式將入侵檢測系統(tǒng)設(shè)置在路由器下級，并對通過的數(shù)據(jù)信息進(jìn)行安全檢測；而橫向防護(hù)則是以分布式或集中式等形式，將入侵檢測系統(tǒng)布置在云環(huán)境中，通過虛擬交換設(shè)備以鏡像引流等方式對數(shù)據(jù)信息進(jìn)行安全檢測，并對有安全隱患的數(shù)據(jù)進(jìn)行處理。其次，病毒防護(hù)體系的設(shè)置形式主要包括客戶端防護(hù)系統(tǒng)以及無客戶端防護(hù)系統(tǒng)兩種類型。客戶端病毒防護(hù)系統(tǒng)通常用于重要虛擬服務(wù)器的安全防護(hù)，需要相關(guān)技術(shù)人員在虛擬主機(jī)上安裝防護(hù)客戶端，并設(shè)置相應(yīng)的病毒防護(hù)策略，從而為虛擬服務(wù)器提供更加全面、強(qiáng)大的病毒防護(hù)保障；無客戶端防護(hù)系統(tǒng)省略了客戶端的安裝環(huán)節(jié)，但需要安裝病毒防護(hù)虛擬模塊，技術(shù)人員可以通過對虛擬模塊進(jìn)行策略配置，提高虛擬主機(jī)的病毒防護(hù)能力。

總結(jié)：云計算服務(wù)的實際應(yīng)用顯著提升了互聯(lián)網(wǎng)的作用和價值，一方面推動了各行各業(yè)的數(shù)據(jù)整合以及共享，另一方面也加速了企業(yè)的轉(zhuǎn)型與發(fā)展，但是，隨著云計算服務(wù)的普及以及使用頻率的增加，云計算信息系統(tǒng)同樣暴露出越來越多的安全隱患，如何不斷提升云計算信息系統(tǒng)的安全防護(hù)等級，從而更好的保護(hù)數(shù)據(jù)信息的安全性以及完整性，不僅是云平臺以及相關(guān)企業(yè)都應(yīng)重視和研究的重要課題之一，也需要有關(guān)部門給予更多的關(guān)注和支持。