摘要：云計算運(yùn)行中普遍存在著四大類問題，即云計算的可靠性問題、系統(tǒng)性能和系統(tǒng)擴(kuò)展問題、系統(tǒng)安全問題以及成本問題。本文基于云計算安全防范內(nèi)容對如何解決云計算安全防范提出了個人看法。

 

    關(guān)鍵詞：云計算；安全防范；建議
 

    云計算運(yùn)行中普遍存在著四大類問題，即云計算的可靠性問題、系統(tǒng)性能和系統(tǒng)擴(kuò)展問題、系統(tǒng)安全問題以及成本問題。本文基于云計算安全防范內(nèi)容對如何解決云計算安全防范提出了個人看法。

    1云計算及其特征

    云計算指的是通過互聯(lián)網(wǎng)實現(xiàn)服務(wù)的變化、應(yīng)用以及交付的一種新型的模式，其應(yīng)用過程中主要通過虛擬化的資源配置實現(xiàn)互聯(lián)網(wǎng)相關(guān)功能的擴(kuò)展，它的應(yīng)用也是自上世紀(jì)80年代人類發(fā)明大型計算機(jī)以來的又一次大的變革。目前，云計算已經(jīng)被廣泛的看作是繼互聯(lián)網(wǎng)和PC機(jī)變革以后的第三次IT行業(yè)改革浪潮，同時也是我國實現(xiàn)IT產(chǎn)業(yè)偉大戰(zhàn)略復(fù)興計劃的重要內(nèi)容。云計算的應(yīng)用將會在很大程度上改變?nèi)藗兊纳詈蜕a(chǎn)方式，其發(fā)展和應(yīng)用已經(jīng)收到世界范圍的廣泛關(guān)注。云計算技術(shù)的實質(zhì)是計算機(jī)與新型的網(wǎng)絡(luò)技術(shù)相互融合的產(chǎn)物，其中涉及到的主要技術(shù)包括并行處理、分布式處理、網(wǎng)絡(luò)大容量存儲以及虛擬技術(shù)等，因此可以說云計算技術(shù)是一項技術(shù)融合的產(chǎn)物。在維基百科中，云計算的定義是以Internet為基礎(chǔ)同時能夠虛擬資源動態(tài)伸縮的新型計算模式。美國科學(xué)標(biāo)準(zhǔn)研究院對于云計算的定義是基于用量付費(fèi)模式，可以提供實用、快捷的網(wǎng)絡(luò)訪問，并且可以快速獲得資源池內(nèi)部的相關(guān)數(shù)據(jù)資源，同時具有管理操作簡單、與服務(wù)器上交互較少等優(yōu)點(diǎn)。

    云計算主要具備以下幾個方面的特點(diǎn)：伸縮性資源配置；自助式網(wǎng)絡(luò)服務(wù)；快捷網(wǎng)絡(luò)訪問機(jī)制；基于用量計費(fèi)；虛擬化資源。通常情況下，將云計算技術(shù)的優(yōu)勢歸結(jié)為規(guī)模大、可靠性高、擴(kuò)展性強(qiáng)、適用度高以及成本低廉等。

    2云計算的安全防護(hù)及其目標(biāo)

    云計算的迅猛發(fā)展既使企業(yè)享受到云計算帶來的種種益處：節(jié)省成本開支、增強(qiáng)計算能力、靈活的業(yè)務(wù)應(yīng)用擴(kuò)展等，但同時高整合、高競爭、高淘汰的新商業(yè)環(huán)境，也讓企業(yè)的生存和發(fā)展高度依賴于兩個核心要素，即“云”自身的可用性（Availability）和企業(yè)核心數(shù)據(jù)的安全。

    可用性是指軟件系統(tǒng)在一段給定時間內(nèi)正常工作的時間占總時間的比重，通常用百分比來衡量�？捎眯苑矫孀罱K解決方案是能夠預(yù)測問題，并通過提前準(zhǔn)備副本、提前解決故障、通知用戶等手段來避免這些故障的發(fā)生，或者減少故障發(fā)生帶來的損失。云計算數(shù)據(jù)的處理和存儲都在云平臺上進(jìn)行，計算資源的擁有者與使用者相分離已成為云計算模式的固有特點(diǎn)，由此而產(chǎn)生的用戶對自己數(shù)據(jù)的安全存儲和隱私性的擔(dān)憂是不可避免的。

    具體來說，云計算的安全防護(hù)是指用戶數(shù)據(jù)甚至包括涉及隱私的內(nèi)容在遠(yuǎn)程計算、存儲、通信過程中都有被故意或非故意泄露的可能，亦存在由斷電或宕機(jī)等故障引發(fā)的數(shù)據(jù)丟失問題，甚至對于不可靠的云基礎(chǔ)設(shè)施和服務(wù)提供商，還可能通過對用戶行為的分析推測，獲知用戶的隱私信息。這些問題將直接引發(fā)用戶與云提供者間的矛盾和摩擦，降低用戶對云計算環(huán)境的信任度，并影響云計算應(yīng)用的進(jìn)一步推廣。所以云計算的安全防護(hù)的主要目標(biāo)之一是保護(hù)用戶數(shù)據(jù)和信息安全。當(dāng)向云計算過渡時，傳統(tǒng)的數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)。彈性、多租戶、新的物理和邏輯架構(gòu)，以及抽象的控制需要新的數(shù)據(jù)安全策略。

    3云計算安全防范構(gòu)思

    3.1傳統(tǒng)數(shù)據(jù)中心安全部署

    傳統(tǒng)數(shù)據(jù)中心安全部署的一般核心思路是：分區(qū)規(guī)劃、分層部署。分區(qū)規(guī)劃是在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的應(yīng)用或業(yè)務(wù)單元，按照這些應(yīng)用或業(yè)務(wù)單元的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域，以滿足以下需求。分層部署是指在分區(qū)基礎(chǔ)上，按照全面的安全防護(hù)部署要求，在每個區(qū)域的邊界處，根據(jù)實際情況進(jìn)行相應(yīng)的安全需求部署，一般的安全部署包括，防DDoS攻擊、流量分析與控制，異構(gòu)多重防火墻、VPN、入侵防御以及負(fù)載均衡等需求。

    3.2云計算的安全防護(hù)具體內(nèi)容

    云計算的安全防護(hù)是與傳統(tǒng)數(shù)據(jù)中心安全部署有所區(qū)別的：一是數(shù)據(jù)與信息安全防護(hù)：安全隔離、權(quán)限控制、數(shù)據(jù)加密、信息傳輸加密、數(shù)據(jù)備份和恢復(fù)、剩余信息保護(hù)等。其次，身份管理與安全審計。采用統(tǒng)一的云服務(wù)身份管理模式和認(rèn)證技術(shù)，通過分權(quán)分域的控制機(jī)制實現(xiàn)跨域的身份認(rèn)證、授權(quán)和訪問控制。三是用戶賬號管理。即為實現(xiàn)云計算系統(tǒng)的集中訪問控制、集中授權(quán)、集中審計提供可靠的原始數(shù)據(jù)。

    3.3云計算安全防范思路

    云計算安全防范的重點(diǎn)信息平臺與數(shù)據(jù)資產(chǎn)兩個核心要素提供安全防護(hù)。這需要我們至少做好四個方面的工作：一是主動積極應(yīng)對。在邁入云計算環(huán)境時需要采取一種積極主動的態(tài)度。循序漸進(jìn)、有條不紊的方式部署和推進(jìn)云計算。做好培訓(xùn)和準(zhǔn)備工作，把握好對安全性、可用性和成本等重要問題的控制。二是有效設(shè)置信息和應(yīng)用層。并非所有的信息和應(yīng)用都是在同一層面上創(chuàng)建的。進(jìn)行分析并將信息和應(yīng)用放置在各個層次，這樣才能確定哪參考文獻(xiàn)：些能優(yōu)先進(jìn)入云環(huán)境。三是適時評估風(fēng)險并主動應(yīng)對。確保關(guān)鍵信息只能被授權(quán)用戶訪問，確保云服務(wù)提供商能滿足企業(yè)合規(guī)性的要求。對云計算的運(yùn)營運(yùn)作能力進(jìn)行評估，如容災(zāi)能力、高可用性和災(zāi)難恢復(fù)能力。四是有效應(yīng)用智能技術(shù)。即利用應(yīng)用智能在端口和傳統(tǒng)防火墻的地址攔截來智能地檢測、分類和控制應(yīng)用程序帶寬�；谠朴嬎愕膽�(yīng)用程序流量的增長已經(jīng)遠(yuǎn)遠(yuǎn)超過了傳統(tǒng)防火墻的安全功能。通過對應(yīng)用程序的檢測、分類和控制，可以阻止、限制或者優(yōu)化任何特定應(yīng)用程序。

    云技術(shù)在受到企業(yè)用戶青睞的同時，也成為黑客和各種惡意組織為獲取自身利益而攻擊的目標(biāo)。另外，組成云計算環(huán)境的各種系統(tǒng)和應(yīng)用依然要面對各種病毒、木馬和其他惡意軟件的威脅。云計算安全防護(hù)的基本思路應(yīng)是：利用傳統(tǒng)的IT安全技術(shù)解決大部分安全問題；引入新的安全技術(shù)解決云計算所特有的安全問題。格化分角色，將不同需求的人員進(jìn)行分類，對于一些有特殊要求的人可以單獨(dú)化分一個群組，而不要進(jìn)行交叉分配權(quán)限。通過系統(tǒng)的設(shè)置將系統(tǒng)權(quán)限分配的危險程度降到最低。

    對于文件權(quán)限的問題，同樣可以將企業(yè)內(nèi)部網(wǎng)絡(luò)化分不同的工作組，對不同的工作組給予不同的文件權(quán)限。嚴(yán)格限制文件的讀寫，對只能讀的文件絕對不能給寫的功能，當(dāng)然這樣做還得有一個前提條件，那就是操作系統(tǒng)的安全問題，如果操作系統(tǒng)的安全出了問題，所有的這一切也都是徒勞。密碼的丟失主要還是一個安全意識的問題，如果密碼設(shè)置太簡單，很容易就會被別有用心的人給破解掉，如果設(shè)置的很復(fù)雜，每次輸入的時候就會麻煩。特別是一些人有不太好的習(xí)慣就是設(shè)置自動登陸。這樣雖然每次省去了輸入的麻煩，但是也帶了不小的危險。其實對于大多數(shù)密碼出現(xiàn)的問題倒不是密碼被破解，而是密碼被偷竊，通過一些軟件（比如鍵盤記錄等）來將輸入的密碼外傳，這樣的話就可以利用輸入的用戶來做一些非法的事情了。

    實現(xiàn)企業(yè)網(wǎng)的信息系統(tǒng)安全，還有一個重要的措施就是安裝硬件的防護(hù)。就目前的網(wǎng)絡(luò)環(huán)境來說，受到網(wǎng)絡(luò)攻擊是很正常的現(xiàn)象，大部分的攻擊是被網(wǎng)絡(luò)中的防護(hù)措施給阻攔。如果是個人電腦，我們只要安裝相應(yīng)的軟件殺毒軟件和軟件防火墻就可以了。對于安全要求更高的企業(yè)網(wǎng)信息系統(tǒng)來說，硬件的保護(hù)更能起到保護(hù)作用。目前，網(wǎng)絡(luò)中的安全保護(hù)硬件系統(tǒng)主要有兩種，一種就是入侵檢測系統(tǒng)，還有一種就是防火墻。對于入檢測系統(tǒng)來說，它的核心功能是對事件進(jìn)行分析，并從中發(fā)現(xiàn)不符合安全策略的行為，同時它可以對一些特定的行為進(jìn)行報警。而防火墻主要功能就是防止外網(wǎng)的非法入侵，對企業(yè)網(wǎng)內(nèi)部的攻擊沒有多大效果。防火墻可以設(shè)置特定的數(shù)據(jù)信息屏蔽，可以將一些敏感的數(shù)據(jù)阻止在企業(yè)內(nèi)網(wǎng)以外，對內(nèi)網(wǎng)起到保護(hù)作用。

    認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。同時，計算機(jī)網(wǎng)絡(luò)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免的存在一些漏洞，因此，進(jìn)行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。

    參考文獻(xiàn)：

    [1]東鳥.2020,世界網(wǎng)絡(luò)大戰(zhàn)[M].長沙:湖南人民出版社,2012.

    [2]王逸舟.國家利益再思考[J].中國社會科學(xué),2002(02).

    [3]王健.計算機(jī)網(wǎng)絡(luò)的安全技術(shù)[J].寧夏機(jī)械,2011.

    [4]楊戈.中小企業(yè)計算機(jī)網(wǎng)絡(luò)安全與防護(hù)措施[J].信息安全與技術(shù),2011.

    [5]趙鶴芹.設(shè)計動態(tài)網(wǎng)站的最佳方案Apache+PHP+MySQL[J].計算機(jī)工程與設(shè)計,2007.