云計算環境下的信息安全與隱私保護機制研究

趙玉梅

（六盤水職業技術學院 貴州 六盤水 553001）

0 引言

隨著云計算的快速發展，越來越多的企業和個人選擇將數據和應用遷移到云端［1］。云計算通過虛擬化技術，實現計算資源的彈性擴展和按需使用，極大地提高了資源利用效率，降低了使用成本。然而，云計算也帶來了數據和隱私安全的新挑戰。在公共云環境下，用戶數據和應用易受到攻擊和泄露，給企業和個人帶來重大損失。為此，云服務提供商和企業用戶迫切需要加強云平臺和云應用的安全防護能力。本文將系統研究云計算環境下的數據和隱私安全問題，探討加密、訪問控制、基礎設施安全、數據備份與恢復、安全監控等方面的安全防護技術和機制，以期為云用戶提供安全可靠的云服務。

1 云計算概念及面臨的安全及隱私威脅

云計算作為一種新型的信息技術服務模式，提供了動態可擴展、虛擬化的資源，大大降低了用戶的使用成本，推動了互聯網時代技術和商業模式的變革［2］。從技術上講，云計算服務模式主要包括軟件即服務（software as a service， SaaS）、平臺即服務（platform as a service， PaaS）和基礎設施即服務（infrastructure as a service，IaaS）。以IaaS為例，云提供商利用服務器虛擬化、存儲虛擬化、網絡虛擬化等技術，將底層物理基礎設施資源如服務器、存儲、網絡設備等池化，并以統一的云管理平臺軟件為基礎，動態架構出規模巨大的虛擬機集群、虛擬存儲池、虛擬網絡，最終以“基礎設施即服務”的形式對外開放。用戶只需要在云管理平臺上進行申請，就可以在幾分鐘內獲取成百上千臺規模的虛擬機資源，并只需按實際使用量進行計費。

但是，云計算多租戶共享的開放特性也給用戶的信息安全帶來了新的挑戰?；谔摂M化技術實現資源池化的公有云，存在來自不同用戶的虛擬機共存于同一物理服務器的情況。這使得用戶較易受到基礎設施層面的攻擊，比如可以通過定制化的側信道攻擊在不觸發安全監控的情況下獲取同一臺物理服務器上其他虛擬機的加密密鑰、敏感數據等，造成用戶隱私數據的泄露。根據安全公司Venafi 近期發布的調查報告，有超過30%的企業公有云用戶表示自己所面臨的云安全風險主要來自該類攻擊。此外，由于用戶缺乏對云基礎設施的實際控制權限，使得攻擊者也將云提供商的基礎管理平臺作為目標。黑客可以通過植入惡意代碼的方式遠程入侵云管理平臺，在獲得足夠的權限后，可以進一步對云基礎設施實施破壞，比如在管理平臺植入后門、對用戶虛擬機環境進行入侵修改等。這種攻擊已經多次在知名公有云提供商體系中被披露和發現。除此之外，利用云環境實現的分布式拒絕服務攻擊（distributed denial of service， DDoS）也對云網絡的可用性和攻擊防御能力提出了更高要求。

2 云計算環境下的信息安全與隱私保護機制

2.1 數據加密和訪問控制

為保證云計算環境下的數據安全與隱私，首要的是通過加密機制確保用戶敏感數據的保密性［3］。當前主流的加密算法包括對稱加密算法和非對稱加密算法。對稱加密算法使用相同的密鑰進行加密和解密，速度更快，但密鑰管理和分發復雜。非對稱加密算法使用公鑰－私鑰對，通信雙方各持有一把密鑰，安全性更好。云計算環境下，可以采用混合加密模式，即使用對稱算法加密用戶數據，再用訪問方的公鑰加密該對稱密鑰。這樣既保證了效率，也不會泄露私鑰。具體實現上，可在數據上傳云端前就在用戶本地完成加密處理。同時還需要基于訪問控制，精確授權何種用戶角色可以訪問敏感數據。主流的訪問控制模型包括自主訪問控制（discretionary access control，DAC）、強制訪問控制（mandatory access control， MAC）和基于角色的訪問控制（role-based access control， RBAC）等。RBAC 通過將權限與角色而不是用戶直接關聯，實現更好管理。在云平臺上可以實現細粒度的RBAC 策略，比如訪問控制模型可以表示為一個四元組（S，O，OP，U），表示主體S 可以在對象O 上進行OP 操作。主體和對象可以是任意粒度的實體，如用戶或角色、數據塊或文件等。操作也可以是任意粒度的讀寫訪問權限，這樣可實現精確訪問控制。

在云存儲的數據完整性保護方面，需要使用數字簽名等方法防止存儲數據的非授權修改。數字簽名基于非對稱加密和哈希（Hash）算法實現，用戶數據的哈希值用私鑰加密作為簽名。數據接收方可以使用發送方公鑰驗證簽名，確保完整性。簽名驗證的數學表達如式（1）所示。

式（1）中，PUa表示發送方公鑰，D是原文數據，S是簽名，Ver 表示驗證函數，Hash 是哈希函數，Dec 表示解密。只有確保數據未被修改，EQUAL 結果才會為真。

2.2 安全的云基礎設施和網絡保護

云計算基于虛擬化技術動態管理大規模虛擬化資源，因此保護云基礎設施安全至關重要。一方面，需要確保虛擬機和虛擬網絡的隔離性，避免不同用戶的虛擬資源相互可見或訪問。比如，可通過物理服務器上的Intel VT-x 指令集下的擴展頁表（extended page tables， EPT）功能加強虛擬機操作系統（guest operating system， Guest OS）和虛擬機管理程序之間的隔離。EPT 允許硬件直接處理來自虛擬存儲器（virtual memory， VM）的內存訪問，無需虛擬化軟件參與，從而提高性能和安全性［4－5］。

另一方面，云管理平臺自身也面臨威脅。黑客可以試圖利用未補丁的漏洞、社會工程學等方式入侵云管理平臺，獲取控制其底層基礎設施資源的能力。這類攻擊往往具有廣度，能夠影響很多租戶和終端用戶。為此云平臺需要自動化安全管理和加固準入機制，如主機入侵檢測與防護系統、安全審計與合規檢查等，確保及時發現和防范威脅。比如入侵檢測系統可以通過匹配主機操作日志與已知攻擊模式特征，區別合法和可疑行為；也可以通過機器學習構建正常行為基線，檢測異于基線的異常活動。

在網絡安全方面，云平臺需要部署防火墻、入侵檢測與防御系統等對東西向流量進行全面監控，并與威脅情報服務集成，主動屏蔽已知攻擊源。此外，可采用軟件定義網絡和網絡功能虛擬化技術，通過編程手段將網絡基礎設施虛擬化，從而打造基于安全策略的動態可編程網絡。不僅有助于提高網絡管理效率，也有助于快速響應安全事件。

2.3 數據備份和災難恢復

為防止數據丟失，云平臺首先需要提供自動化的數據備份和災難恢復能力。主流的備份方法包括完全備份、差異備份和增量備份。完全備份將數據集全部內容備份；差異備份保存最近一次完全備份之后發生改變的數據；增量備份僅備份上次增量備份之后修改過的數據。為平衡存儲效率和恢復速度，實踐中常采用完全備份加增量備份模式。

其次，云平臺上的備份系統需要確保異地容災能力。即便某一區域數據中心發生災難，也能通過其他中心的備份進行服務故障轉移和數據恢復。為最小化服務中斷，備份系統可采用A-B 站雙活模式。A、B 兩個站點互為主備，同時提供服務并實時同步數據，一旦A 站故障，B 站快速接管A 的服務訪問。該模式的可用性計算如式（2）所示。

式（2）中，Ud表示站點間專線的不可用率，Uh和Ur分別表示A、B 站點自身的不可用率。通過設計合理的冗余結構，可以將云服務和數據的可用性最大化。最后，云平臺需要提供基于快照的備份恢復能力。當面對惡意軟件數據損壞、誤操作數據丟失等突發情況時，用戶可以選擇恢復到某一歷史時間點的系統備份快照，實現業務連續性。

2.4 安全審計和監控

為全面評估云平臺安全防護狀況，首先需要實施安全審計和監控。安全審計主要檢查云平臺是否符合安全相關的監管法規和行業標準。其中云安全聯盟發布的云控制矩陣提供了詳細的云安全審計框架，覆蓋數據安全、基礎設施安全管理、計算環境安全、業務連續性管理、運營安全、法律合規等多個領域，幫助用戶客觀評估公有云安全風險。而安全監控主要通過分析各類日志和告警數據，實現對云基礎設施、網絡流量、用戶訪問行為的7×24 h 實時監測。除了檢測已知威脅，還需要通過機器學習和關聯分析實現對未知威脅和內部威脅的識別。具體來說，可建立包含網絡連接日志、進程執行日志、系統調用日志、文件訪問日志在內的多類型安全日志倉庫，利用機器學習算法探測異常行為模式。比如通過非監督學習算法如局部異常因子（local outlier factor， LOF）算法檢測異于大多數正常模式的數據點。獲得安全事件告警后，可以觸發自動化響應機制，迅速阻斷攻擊并啟動恢復流程。

其次，為支撐云上大數據應用的安全分析需求，市場上已出現基于Hadoop、Spark 等大數據平臺構建的可擴展安全監控和分析系統。它們可以高效存儲和處理每天產生的數十億條異構安全日志數據，并提供交互分析、可視化等功能，助力安全團隊優化防御策略。這類系統通常采用Hadoop 分布式文件系統（Hadoop distributed file system，HDFS）彈性擴展存儲能力，并建立數據湖統一管理不同來源的安全數據。另外還會使用流式計算框架（如Storm、Flink）實現對海量日志的實時分析。

最后，提供結構化查詢語言和機器學習算法，進行歷史數據的關聯分析和安全模型訓練。比如，可收集每天數十億條的域名系統（domain name system， DNS）查詢日志，使用機器學習算法分析用戶和域名查詢模式，發現異常行為。再配合網絡連接日志，判斷是否存在僵尸網絡（botnet）或命令與控制（command and control， C2）攻擊。或者使用Spark SQL 對身份認證失敗日志進行關聯分析，找出潛在的用戶名暴力破解攻擊。這類大數據安全分析系統可以全面提高云環境的威脅檢測和響應能力。

3 云計算環境下的信息安全與隱私保護實踐案例

亞馬遜作為全球領先的云計算服務提供商，在產品技術和運營管理等多個層面實踐云計算環境下的數據安全與隱私保護，經驗值得借鑒。

首先，在底層基礎設施安全方面，亞馬遜利用自主研發的Nitro 系統替換傳統的虛擬化平臺，去除管理程序層攻擊面，直接運行硬件虛擬機。Nitro 系統通過現場可編程邏輯門陣列（field programmable gate array， FPGA）實現網絡、存儲等資源的硬件虛擬化與加速，增強云主機性能之余也提升了安全性。具體來說，Nitro 系統可以做到0.2 ms 的存儲延遲，每秒轉發超過100 萬的數據包。此外，亞馬遜還通過信任的路線圖規劃，推進安全計算、可信執行環境等下一代可信基礎設施技術的創新與落地。

其次，在數據安全方面，亞馬遜提供“數據加密引擎”等多種加密服務，使客戶應用系統無感知地實現數據的加密，高效保護云上數據的機密性。同時還提供基于角色和策略的精細訪問控制服務，確保用戶身份和敏感操作行為的可見性與審計性。亞馬遜的數據加密引擎每秒可以加密1 GB 的存儲數據。

最后，在安全運營與服務方面，亞馬遜通過其云平臺提供了強大的安全功能。亞馬遜云服務（Amazon Web Services， AWS）特別重視云平臺的安全性，為用戶提供了全面的安全保障措施。比如，AWS 提供了DDoS 防護服務，幫助客戶抵御大規模的分布式拒絕服務攻擊。同時，AWS 的Web 應用防火墻可以幫助保護Web 應用程序免受Web 層面的攻擊。此外，AWS 還提供主機安全解決方案，確保用戶的服務器安全運行。服務和工具的綜合應用，使得AWS 在處理潛在的安全威脅方面具有強大的能力，有效保護了用戶的數據和應用。

4 結語

隨著云計算在行業中的廣泛應用，其數據安全和隱私保護問題日益受到關注。本文系統研究了云計算環境下面臨的安全威脅，并提出了多層面的安全防護對策，包括數據加密和訪問控制、安全的云基礎設施和網絡防護、數據備份和災難恢復、安全監控與審計等。這些機制能有效保護云平臺的數據機密性、完整性和可用性。在實踐部分，分析了亞馬遜在云安全領域的技術創新與全球認證情況?？梢?，只有持續構建全面、自動化、智能化的云安全體系，讓用戶對云服務的安全性保障更有信心，云計算產業才能持續健康發展。未來還需要進一步加強法規與標準建設，促進服務提供商、用戶和監管部門形成云安全生態共同體。