云安全常见问题范文

关键词:信息安全;设施云;云安全;渗透测试

中图分类号:TP309文献标识码:B

1引言

云计算作为一种新的服务模式，用户在享受它带来的便利性、低成本等优越性的同时，也对其安全性疑虑重重。如何保障云计算安全成为云计算系统亟需解决的问题。此外，从近期发生的与云计算相关的一系列安全事件可以看出，传统的安全威胁在云计算服务中同样存在，而且由于云计算虚拟化、资源共享、弹性分配等特点，相比传统的IT系统，又面临新的安全威胁。辽宁省交通厅云数据中心基础设施平台于2015年全面启动建设。为解决辽宁省交通厅尤其是云数据中心面临的安全问题，辽宁省云环境下交通信息安全策略研究课题以辽宁省交通行业重要信息系统为对象，分析其面临的信息安全问题与挑战，以提升辽宁省交通行业现有信息安全水平。本文首先总结了云安全的新威胁，然后通过分析辽宁交通云安全的风险，明确辽宁交通设施云安全建设目标，提出辽宁省云环境下交通信息安全策略的研究重点和相关内容。

2云安全新威胁

2．1虚拟化平台的安全威胁

如同传统的IT系统一样，虚拟化平台也可能存在大量漏洞或错误的情况。如果VM上存在漏洞，使得攻击者完全控制一个VM后，通过利用各种虚拟化管理平台安全漏洞，可以进一步渗透到虚拟化管理平台甚至其它VM中。这就是所谓的虚拟机逃逸。同时还可能导致数据泄漏以及针对其它VM的DoS攻击。

2．2隐蔽信道攻击

隐蔽信道(CovertChannel)是指允许进程以危害系统安全策略的方式传输信息的通信信道，通过构建隐蔽信道可以实现从高安全级主体向低安全级别主体的信息传输，是导致信息泄露的重要威胁。这种攻击的源头可以是来自虚拟化环境以外的其他实体，也可以是来自虚拟化系统中其它物理主机上的VM，还可以是相同物理机上的其它VM。

2．3侧信道攻击

侧信道攻击是一种新型密码分析方法，其利用硬件的物理属性(如功耗、电磁辐射、声音、红外热影像等)来发现CPU利用率、内存访问模式等信息，进而达到获取加密密钥，破解密码系统的目的。这类攻击实施起来相当困难，需要对主机进行直接的物理访问。例如通过监控数据进出运行着加密算法的硬件系统上的CPU和内存所花费的时间，来分析密钥的长度。再例如，可以对CPU或加密芯片的功耗进行观察分析。芯片上的功耗可以产生热量，冷却效应可以将热量移走。芯片上温度的变化引起机械伸缩，这些伸缩可以产生音量很低的噪声。在虚拟化环境下，通过查看计算机的内存缓存，攻击者可以获得一些关于什么时候用户在同一台设备上利用键盘访问启用SSH终端的计算机等基本信息。通过测量键盘敲击时间间隔，他们最终可以使用和Berkeley他们一样的技术来计算出通过计算机输入了什么。还能估算出当计算机执行例如加载特定网页等这样简单任务时候的缓存活动。这种方法可以被用于查看有多少因特网用户正在访问一台服务器，甚至是他们正在查看哪一个网页。为了让他们简单的攻击行为奏效，攻击者不仅能计算出哪一个服务器正在运行他们希望攻击的程序，还能找到一个在这台服务器上找到特定程序的方法。这并不容易做到，因为从定义上来看云计算会让这种信息对用户是不可见的。

2．4虚拟机的安全威胁

(1)虚拟机资源隔离不当，出现非授权访问。多租户共享计算资源带来的风险，包括一个租户的VM资源故障导致另一个租户的VM不可用，或一个租户非授权访问其他租户的VM。(2)虚拟机镜像文件或自身管理防护措施不足，引发安全问题。(3)虚拟机访问控制不严格或不完善，对虚拟机账号、密码或认证方式控制不足，导致非授权访问。(4)虚拟机之间的通信安全防护不足，导致出现攻击、嗅探。(5)VM之间的攻击和嗅探。VM之间进行嗅探或窃听，监视虚拟机网络上数据(例如明文密码或者配置信息)传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取VM网络上所有的明文传输信息。虚拟机迁移时安全策略不足，引发安全问题。(6)虚拟机迁移过程。虚拟机迁移过程中出现安全策略、安全参数的改变，导致错误授权、计费错误等问题;攻击者利用虚拟机迁移过程中的漏洞对虚拟机形成攻击。(7)特权(超级)虚拟机存在安全隐患，造成对其他VM的非法攻击或篡改。

2．5API安全

云计算系统通过开放应用程序接口来对外提供各种云计算服务。因此，开放应用程序接口的访问控制、操作权限管理以及恶意代码审查等在整个云计算系统中就显得非常重要。一旦应用程序接口的访问控制或权限管理不当，将会对云计算系统造成非法访问，导致不必要的数据泄露。具体包括虚拟机与云管理平台之间API的通信安全。

2．6数据安全

(1)数据隔离在云计算系统中，当一个文件存储到云计算系统中时，它可能会被分割成若干个碎片并存储在不同的存储空间上。而且来自不同租户的重要数据和文件可能会被存储，因此数据隔离和数据保护在云计算系统中非常重要。数据隔离不当，就会造成其他租户非法访问别的租户的数据，从而造成数据泄露。(2)数据泄露、隐私保护云计算系统的防数据泄露和隐私保护，一方面需要防止来自云平台中其他租户对数据的窃取，另一方面还需要防止来自云平台内部，如系统管理员对用户数据的泄漏。在传统体系中，信息是存储在单位内部的服务器或者个人电脑、设备上的，能够保证较好的数据隐私性。然而，在云计算中数据是存储在云端服务器上的，因此用户丧失了对隐私数据的物理保护能力。同时，用户需要通过互联网传输数据，更加增加了数据泄露的风险。除此之外，数据的完整性也是用户数据安全的重要需求。如何保障用户数据不损毁、不受未授权修改，以及所有合法的用户操作被准确执行是云安全的重要议题。最后，云平台还需要保证用户数据的一致性，即多个用户所看到的保存在云端的同一份数据是完全相同的。攻击者可以通过数据的不一致性访问未授权的数据，或者实施进一步的攻击。(3)删除后剩余数据的非法恢复用户数据被删除后变成了剩余数据，存放这些剩余数据的空间可以被释放给其他租户使用，这些数据如果没有经过特殊处理，其他租户或恶意运维人员可能获取到原来租户的私密信息。

2．7云计算资源的滥用

丰富的云计算资源极其强大的处理能力，在向用户提供正常服务的同时，也有可能成为攻击者通过恶意使用或滥用并发起网络攻击的有效工具。一些恶意用户通过利用云计算服务的这些特性，更加方便地实施各种破坏活动。密码破解者、DoS攻击者、垃圾邮件发送者、恶意代码制作者以及其它恶意攻击者都可以使用云计算环境提供的丰富资源开展攻击，从而进一步扩大攻击面及其影响力。

2．8恶意的内部运维人员

与传统计算模式相比，云计算环境下用户所有数据全部在云端。云服务商内部的运维人员能够接触到越来越多的云租户的数据，这种访问范围的扩大，以及缺乏有效的监督和管理，增加了恶意的“内部运维人员”滥用数据和服务、甚至实施犯罪的可能性，也使得恶意内部运维人员的安全威胁变得更为严重。

3辽宁省交通设施云安全建设目标

3．1辽宁省交通“云”数据中心建设目标

在辽宁省交通厅的《辽宁省公路水路信息化发展指导意见》的发展总目标中，特别指出:“建立具备大数据处理能力的省级交通“云”数据中心，实现交通信息资源共享和业务协同”。在建设任务中，明确了“信息化支撑体系建设”的内容，其中“信息化基础设施建设”中提到:『完成基于“云”架构的近远期规划，先期完成对服务器、存储、网络等硬件资源的整合，实现负载均衡、资源动态分配，提高整体工作效率，降低建设、使用及维护成本。依据《辽宁省公路水路信息化发展指导意见》的指导内容，根据辽宁省交通运输行业信息化发展现状，考虑行业未来几年的业务发展需要，紧随国际上先进的、成熟的云计算、大数据等技术，规划辽宁省交通云基础设施平台，充分满足省厅及各直属单位三到五年的基础设施需要，并为未来建设“云”数据中心做好准备，秉承“理念先进、结合实际、投资节省、适度超前”的思想，为全省信息化提供完备的基础设施支撑。

3．2辽宁省交通设施云安全风险分析

辽宁省交通“云”数据中心的建设目标是满足省厅及各直属单位三到五年的基础设施需要。其特点包括:辽宁省交通“云”数据中心目前只涉及设施云，没有架构云和服务云，结构相对简单;只考虑省厅及各直属单位三到五年使用，规模有限;只在行业内部使用，信息安全管理有保障;此外，由于系统采用国际上比较成熟的云管理产品，云产品自身安全风险较低，而且对于发现产品的漏洞厂商也可负责解决。辽宁省交通设施云安全管理目前最大的风险是由于辽宁省交通“云”数据中心建成并使用后造成的风险集中，而现有的省厅及各直属单位是按照信息安全等级保护二级进行管理的。为解决这个问题，首先要解决云安全的技术要求。由于目前国内没有可以参考的技术要求，因此要首先编制云安全的技术要求标准。其次，由于云安全的技术要求标准是个新要求，与等级保护常规检查依据不匹配，因此要有配套的信息安全渗透测试检查标准。此外，还应把交通厅信息安全管理体系达到信息安全三级的要求，应补充满足相应级别要求的信息安全管理体系。最后，为保证信息安全管理的落地，应有配套的管理软件。

3．3辽宁省交通设施云安全建设目标

依据《辽宁省公路水路信息化发展指导意见》的指导内容，根据辽宁省交通“云”数据中心发展规划，建设设施云安全技术标准、渗透测试检查标准、厅信息系统安全管理体系和云安全策略管理软件，关注省厅及各直属单位三到五年的“云”数据中心需要，并为建设和管理“云”数据中心做好信息安全策略指导，为交通“云”数据中心安全管理及厅信息安全管理水平提升提供重要的技术支撑。

4辽宁省云环境下交通信息安全策略研究重点内容

辽宁省云环境下交通信息安全策略研究的重点包括设施云安全技术标准、渗透测试检查标准、厅信息系统安全管理体系和云安全策略管理软件。

4．1设施云安全技术标准

设施云安全技术要求标准的编制目的是为指导和规范针对云环境下交通行业相关信息安全管理，介绍了云环境下辽宁省交通信息安全的基本内容和基本要求，针对交通行业设施云及相关信息系统提出了设施云管理框架、安全的技术要求和管理要求。

4．2渗透测试检查标准渗透测试检查标准的编制目的是为指导和规范

针对辽宁省交通行业信息系统的渗透测试检查工作，明确了渗透测试检查的基本概念、原则、实施流程、在各阶段的工作内容和基本要求。

4．3辽宁省交通厅信息系统安全管理体系

辽宁省交通厅信息系统安全管理体系的编制目的是辽宁省交通厅信息安全管理体系达到信息安全等级保护三级水平及云环境信息安全管理的要求，建设包括覆盖信息安全管理体系方针、组织机构和岗位职责规定、信息安全管理、计算机机房管理、计算机设备管理、计算机网络管理、介质安全管理、人员信息安全管理、软件系统开发安全管控、数据备份和恢复管理、第三方信息安全管理、信息安全检查管理、信息安全审计管理、信息安全审批管理、信息系统建设、信息系统日志管理、信息安全事件管理、变更管理、账号与密码管理、防病毒管理、信息资产安全管理、信息资产分类管理和信息系统应急预案等多项管理制度。

4．4云安全策略管理软件

云安全策略管理软件设计的目的是保障上述研究成果在辽宁省交通行业快速推广以及相关信息安全管理要求落地。其主要内容是利用计算机软件开发技术，开发B/S软件，实现信息安全知识共享，并依据上述技术标准和管理制度实现过程控制和信息管理。

5结论

云安全常见问题范文

【关键词】云计算网络安全解决方案

一、云计算环境下存在的网络安全问题

1、网络通信问题。在云计算环境下，数据未经系统允许而遭到篡改、数据遭到窃听而泄露，诸如此类，都属于网络通信方面的问题。往往是网络受到了攻击，服务器拒绝用户服务或是传输错误。还有一种是利用云计算自身的保护模式，进行“攻击”，如：在云计算服务器接受了大量的通信请求时，就会将服务请求所屏蔽，这样就会使用户数据有失效的可能。2、存储问题。用户对数据的存放不够上心。一些用户对于数据不进行加密处理，一旦受到攻击，数据就会被轻松获取。同样，数据介质也是攻击者的目标，不将数据介质放在安全的地方，遭到攻击，数据也就失去了其保密性。一些用户不将数据进行备份处理，一旦数据被攻击而导致无法修复时，就失去了其可用性。3、身份认证问题。在云计算环境下，攻击者对认证服务器进行攻击，导致用户信息失窃。常见手段是攻击者对于第三方服务器进行攻击，从而窃取用户信息。4、访问控制问题。攻击者利用一些手段，使授权系统出现故障，操作权由合法操作者手里变到了攻击者手里。还有一些合法用户，由于无意删除数据或有意破坏数据，也对用户数据的完整性有影响。5、审计问题。攻击者的非法手段可能妨碍审计工作的正常运行，或是审计工作人员的失误，都将影响审计工作的正常运行。

二、云计算环境下解决网络问题的措施

1、防范网络威胁。首先建立系统安全框架，研究网络安全知识，以便建立完善的网络安全体系。其次，注重软件升级，避免软件漏洞带来的风险。最后建立数据安全储存机制，保障用户数据的安全性。

2、做好数据储存的保密。要重视对用户数据的保密工作，对数据要进行密保问题的设置，要把数据存放介质妥善保管，防止攻击者的接触。在对用户数据的存放前做好备份工作，防止数据被破坏后不能进行修复工作。

3、健全身份认证机制。为防止身份验证的威胁，要建立特有的、多样的身份认证机制。可以利用用户特有的指纹、角膜等，进行认证，也可以设立非用户本人的报警系统，以便于在第一时间对用户数据进行保护。

4、健全访问控制机制。由于在云计算环境内用户数量大，环境层面广，所以不光要在不同用户之间设立不同的用户权限，还要在同一用户不同的环境层面设立不同的用户权限，以此来确保授权系统的正常运行。

5、健全审计机制。设立专门的审计检查机构，对审计的各个环节进行检验，及时发现审计中所存在的问题。对出现的问题进行记录，之后分析研究，建立完善的审计机制。

三、云计算环境下网络安全技术的使用

1、智能防火墙技术。智能防火墙技术包括：第一，入侵防御技术。能够将放行后数据包的安全问题有效解决。其原理是通过阻断方式妨碍信息的交流。第二，防欺骗技术。通过对MAC的限制，防止MAC伪装进入网络，避免了MAC带来的损害。第三，防扫描技术。黑客往往利用软件截取数据包，从而获得信息，智能防火墙技术能够扫描数据包，以保证网络安全。第四，防攻击技术。通过识别恶意的数据流，防止数据流进入主机。智能防火墙技术，以多功能、全方位的防御，更好的保障了云计算环境下网络的安全。

2、加密技术。加密技术通过明了信息转换为不能直接读取的密码，来保证信息安全。加密技术包括：非对称性加密技术和对称性加密技术。非对称性加密技术是利用加密秘钥和解密秘钥的分离，来确保网络信息的安全。攻击者就算知道了加密秘钥的算法也不易推算出解密秘钥的算法。对称性加密技术，利用加密的秘钥破解秘钥，推算密码。加密技术的使用，无疑为云计算环境下网络的安全提供了一道强有力的保障。

3、反病毒技术。反病毒技术分为两种：动态实时反病毒技术和静态反病毒技术。动态实时反病毒技术较高的机动性，一旦有病毒入侵，就能及时的发出警报信号。能够方便、彻底、全面的保护资源。静态反病毒技术，因不具有灵活性，不能在病毒侵入的第一时间发现，以渐渐被淘汰，这里也不再说明。反病毒技术为云计算环境下网络的扫除了危险。

四、总结

随着网络技术的不断强化，网络的攻击手段也变得层出不穷，这无疑是云计算环境下网络信息安全的巨大威胁。所以，提升网络信息安全技术迫在眉睫。只有认真的分析网络安全问题，切实的总结经验，建立完整的网络安全体系，采用先进的网络信息技术，才能正真的保证云计算下的网络信息安全。

参考文献

[1]那勇.云计算环境下的计算机网络安全策略研究[J].电子制作，2014，（10）：149-150

云安全常见问题范文篇3

从2006年8月，Google开始提出云计算（CloudComputing）概念的时候起，“云”的概念已经热了整整五年，已经在多个领域深入人心，尤其受到了IT业界、媒体和用户的热捧。无论软件厂商、硬件厂商、手机厂商还是互联网厂商，都纷纷抛出自己的“云计算”计划。

但大家说来说去，通常都是说“云”的优点，包括随时获取，按需使用，随时扩展，按使用付费等等优点被一再提起。但是在安全性上，就说的不是那么多，毕竟在行业内，“可用性”的权重要远高于安全性。而且安全这个东西，在事故未发生之前，通常是被放在最后考虑的。

云计算服务自身的安全隐患随着应用的不断深入逐渐暴露出来。Gartner咨询公司首席安全分析师JohnPescatore表示，云计算的方法最初没有考虑安全性的设计。那么，云计算的安全性到底如何，应该如何提高云计算的安全性，在使用云计算的过程中，用户应该注意什么呢？

在讨论问题之前，先明确一下“云计算”的定义：“狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。――百度百科”

Google所说的“云计算”，就是把自己的服务器集群看作“云”，普通网民可以通过浏览器来享受Googledocs、Googlemusic、Gmail等服务，这些就是最简单的云计算的典型场景。事实上，无论是利用亚马逊S3来提供服务的Dropbox，微软推出的在线文档服务liveoffice，还是苹果最新的云端服务iCloud，都属于面向普通网民的“云端服务”。

以前，本地硬盘上的文件丢了，你会抓耳挠腮恨不得拿脑袋撞墙，现在最先作出的举动是：赶紧去翻翻邮件记录，看看当初的附件还在不在。

如上所说，“云”渗入生活，确实给用户带来了不少方便。但同时，如此多有价值的东西储存到云端，也带来了大量安全问题。

1法律和侵权风险

因为“云端（服务器）”所在的地域不同，使用期间可能面临的法律风险也会大不相同。比如，外国人在某些保留皇帝的国家服务器上存储了冒犯皇室的文件，将可能面临刑事指控；在我国的香港特别行政区，在商业业务中安装盗版软件，最高刑期将高达4年。

虽然网络无边界，但用于进行“云计算”业务的服务器毕竟真实的处于各国法律的管辖之下，因此，对于“云计算”的不当应用，将可能面临极其严重的法律风险和侵权风险。

2隐私泄露风险

无论在线office软件、电子邮箱还是SNS帐号，通常都可以根据其资料来了解使用者的一些私密信息。例如，网民通过在线office处理公司文档，如果服务提供商不对其进行严格的安全保护，就可能通过内部人员泄漏、其他用户的非授权查看等途径泄漏隐私，给公司的正常运作带来严重影响。

2011年6月初，谷歌宣布有人入侵了数百个Gmail用户的个人账户。这些账户属于具有一定知名度的重要人士，包括美国高级政府官员、韩国及其他亚洲国家的官员，以及军队相关人士和新闻记者等。

在国内，这样的事情更是屡见不鲜，某些网站会把用户资料出售进行牟利，也有的因为公司管理制度不严格，导致公司内部员工获取了本来不该获取的信息，利用这些信息来谋取利益。例如，2011年6月，香港私隐专员公署发表调查报告透露，有五间银行于2008至2009年期间，转移客户的个人数据提供给第三者，包括永亨、富邦、花旗和工银亚洲。

3非授权访问风险

并非所有的“云计算”提供商都有严格的安全管理流程，有时候心怀叵测者可以通过技术手段或其它手段，来获取到用户的机密信息。

2005年12月，《纽约时报》援引一些前任和现任美国政府官员的话说，美国国家安全局获得了美国各电信运营商的合作，获得了接入国内和国际通信网的“后门”通道，秘密收集了大量电信数据和很多电话交谈信息，包括监听国际长途和与“基地”组织有关的嫌疑人的国际电子邮件。

美国司法部曾向Twitter发出一份法庭命令，要求Twitter提供与维基解密关系密切的几名激进分子的帐户信息。主要注意的是，司法部发出并非传统的法庭传票，而是直接的“命令”――2703（d）命令。这种法庭命令允许警方从某网站或网络服务供应商处强制提取与正在进行的刑事调查有关的特定记录。

4病毒和黑客攻击

通常情况下，“云端”为数百万、数千万甚至上亿用户提供不间断的服务，一旦作为服务中心的节点出现安全问题，则会极大影响到网民的正常生活。

2010年1月，国内最大的搜索引擎百度遭遇域名劫持攻击，服务几近瘫痪，使得已经习惯“有了问题百度一下”的网民束手无策，焦虑万分。而追究事情的起因，则是因为其域名托管商管理不善，黑客冒充百度的管理者发送邮件，从而对域名进行了劫持。

除了域名劫持之外，分布式拒绝服务攻击（DDOS，DistributedDenialofService）、网站统计系统攻击、跨站脚本攻击等，也是攻击云计算提供商及其用户的常见手段。

6月28日晚间，新浪遭遇大规模的蠕虫病毒入侵，众多名人草根莫名地发送垃圾私信，许多微博开始不断刷屏，转发垃圾链接，同时都在关注一个名叫“hellosamy”的人。就这样一个多小时竟然传染3万多微博用户。

这是通过跨站脚本蠕虫攻击，来攻击大型网络的最新案例。同样的攻击手法，可以应用到微博类网站、博客网站、社会化分享网站等，可以以极小的代价，来瘫痪用户众多的服务和应用。

5跨平台带来的安全问题

除了上述四个风险之外，云计算还有另外的安全风险，那就是针对跨平台应用带来的安全问题。例如，Dropbox可以在PC、安卓手机、iPhone和iPad上使用，即使PC端和服务器上的安全设置做的完美无缺，那么黑客可以利用安卓系统漏洞、手机木马等方法远程窃取资料、操纵用户的手机。