【文章內(nèi)容簡(jiǎn)介】 面劃分為不同的安全等級(jí)要求，例如：根據(jù)使用對(duì)象可以劃分分為面向政府、企業(yè)和普通用戶的云服務(wù)；根據(jù)使用范圍可以劃分為私有云、公有云、混合云等，根據(jù)業(yè)務(wù)模式可以劃分為提供信息、數(shù)據(jù)、軟件和基礎(chǔ)設(shè)施資源的云服務(wù)等，并根據(jù)每個(gè)等級(jí)的特點(diǎn)和需求制定相應(yīng)的安全防護(hù)標(biāo)準(zhǔn)和等級(jí)保護(hù)制度?！盎旌显啤钡陌l(fā)展，將進(jìn)一步推動(dòng)云計(jì)算技術(shù)的發(fā)展。如今云計(jì)算技術(shù)已經(jīng)逐漸地推廣,眾多企業(yè)的信息數(shù)據(jù)將應(yīng)用虛擬化和自動(dòng)化,私有云和公共云的過渡與兼容而成為一種趨勢(shì)。創(chuàng)建可信可靠的“混合云”,提高安全措施,追求高效率是一種必然的發(fā)展趨勢(shì)。在將來，私有云將成為公共云服務(wù)系統(tǒng)的基石,加強(qiáng)IT數(shù)據(jù)中心和混合環(huán)境的控制,將成為“混合云”占領(lǐng)市場(chǎng)主導(dǎo)地位的動(dòng)力之一。除此之外，還可以建立誠(chéng)實(shí)可靠的第三方公共云服務(wù)平臺(tái)，如由企業(yè)提供的云服務(wù)平臺(tái)、由政府開發(fā)的公共云服務(wù)平臺(tái)等等。經(jīng)過近幾年的發(fā)展，云計(jì)算技術(shù)在國(guó)內(nèi)外上都取得了可喜的成就，成為了廣大用戶可信任的一種服務(wù)模式。但是不管是在國(guó)內(nèi)還是國(guó)外，云計(jì)算技術(shù)上都沒有一個(gè)統(tǒng)一規(guī)范，在每一個(gè)服務(wù)上云計(jì)算都有自己獨(dú)特的一套手段，從而在信息數(shù)據(jù)的傳遞和共享方面不能融合，這使得廣大的云計(jì)算技術(shù)發(fā)展不集中，更不能形成合力。如果形成了一個(gè)統(tǒng)一標(biāo)準(zhǔn)，在應(yīng)用技術(shù)、方式方法上使得各服務(wù)商達(dá)到統(tǒng)一，這樣有利于整個(gè)云計(jì)算服務(wù)領(lǐng)域的高效發(fā)展。云計(jì)算服務(wù)的一般來說是零星分散開的，這就需要加強(qiáng)對(duì)數(shù)據(jù)訪問的監(jiān)控。數(shù)據(jù)存在于網(wǎng)上和云技術(shù)提供的服務(wù)，用戶的授權(quán)限制的原因有可能訪問不了用戶域也訪問不了控制體系，所以也就沒有對(duì)用戶的一些關(guān)于隱私的數(shù)據(jù)得到很好的保護(hù)了。對(duì)于一些不良商販自賣自盜的行為，需要采取相應(yīng)的對(duì)策，其中最有效的是分級(jí)分權(quán)管理，不同的用戶擁有不同的權(quán)限，根據(jù)權(quán)限來訪問對(duì)應(yīng)權(quán)限的數(shù)據(jù)，同時(shí)采取封裝策略，不透漏用戶數(shù)據(jù)具體的存儲(chǔ)位置，以此來保護(hù)數(shù)據(jù)的安全。對(duì)于云計(jì)算安全，防止外部人員盜取內(nèi)部數(shù)據(jù)是非常重要的，所以數(shù)據(jù)的隔離體系顯得尤為重要，其可以防止外來人員訪問內(nèi)部資料。還可以采用加密技術(shù)來保證云計(jì)算的安全。在上傳前進(jìn)行秘鑰加密，上傳后再通過對(duì)應(yīng)的加密方式來解密，這樣就能保證在上傳過程中的安全性。至于加密的手段有很多，而且加密手段也很成熟。一般來說，在數(shù)據(jù)加密的同時(shí)，大部分還會(huì)同時(shí)使用數(shù)據(jù)切分，就是把數(shù)據(jù)分成不同的部分分散存儲(chǔ)在不同區(qū)域的服務(wù)器上，這樣更能保證數(shù)據(jù)的安全性。如果想預(yù)防來自外面的攻擊那就需要通過完整的保護(hù)跟秘密的保駕護(hù)航，來保護(hù)存儲(chǔ)在硬盤中的數(shù)據(jù)不被剽竊，保護(hù)程序免于篡改。在這種情況下是無法區(qū)分訪問是來自進(jìn)程內(nèi)或者是其他進(jìn)程：攻擊程序和受害程序運(yùn)行在同一個(gè)平臺(tái)上，另外還共同使用是個(gè)密碼加密程序（當(dāng)然也產(chǎn)生數(shù)據(jù)摘要）。這樣很明顯可以看出，安全終端不能僅僅只是抵御來自平臺(tái)之外的攻擊就可以實(shí)現(xiàn)的了。這么說吧，有三個(gè)層次可以進(jìn)行進(jìn)程的隔離。如果存儲(chǔ)器在外部的話，進(jìn)程的不同，采取的措施也不同，來加密數(shù)據(jù)的秘要也不同，從而生成的加密摘要也不盡相同。假如進(jìn)程之間可以相互訪問然而尼瑪可以互設(shè)不同，不僅在解密方面的話只會(huì)可能拿到錯(cuò)誤的信息，而且系統(tǒng)會(huì)在不能通過系統(tǒng)驗(yàn)證的情況下及時(shí)制止非法的訪問。當(dāng)然還可以在硬件方面功夫使得軟件可以對(duì)密鑰，保護(hù)模式等進(jìn)行配置。數(shù)據(jù)的完整性顧名思義就是在長(zhǎng)時(shí)間內(nèi)，存儲(chǔ)在云端的數(shù)據(jù)是不會(huì)隨著時(shí)間的推移而改變的，也不會(huì)造成數(shù)據(jù)丟失什么的。在傳統(tǒng)意義上，如果想保證在云計(jì)算服務(wù)器里面的數(shù)據(jù)是安全的可以通過這幾個(gè)手段，第一通過拍照，備份是一種比較有效的措施，還有容災(zāi)等手段，數(shù)據(jù)備份的實(shí)現(xiàn)需要軟件硬件來支持，通過硬件備份就是再備用一個(gè)服務(wù)器，兩個(gè)服務(wù)器的數(shù)據(jù)相同，通過軟件備份就是用現(xiàn)有的企業(yè)的備份軟件來實(shí)現(xiàn)，可以按照用戶的需求來進(jìn)行操作包括在線備份，離線備份等，這樣對(duì)用戶的影響很少了。云計(jì)算的安全環(huán)境因?yàn)樘摂M記得加入而改變，但是也引起了很多前安全問題。即便能夠解決，但是復(fù)出的代價(jià)未免過于昂貴（保護(hù)機(jī)制很復(fù)雜而且需要的安全工具和方法與主機(jī)使用的完全不同）。引入虛擬機(jī)引起的安全問題包括以下內(nèi)容：攻擊打不了補(bǔ)丁，偵聽是在脆弱的服務(wù)器端口進(jìn)行，安全措施差的賬戶可能會(huì)被綁架，密鑰（接入和管理主機(jī)）被盜。不過這樣也是可以的，為了解決這類問題可以采取這樣的措施，通過選擇具有安全模塊的虛擬服務(wù)器來解決。此外，還需要為每一個(gè)服務(wù)器分一個(gè)獨(dú)立的硬盤分區(qū)，在進(jìn)行邏輯上隔離和進(jìn)行安裝的時(shí)候。如果要想實(shí)現(xiàn)虛擬服務(wù)器之間的隔離可以通功VLAN和不同的IP網(wǎng)來實(shí)現(xiàn)，他們之間的通訊可以通過VPN及有計(jì)劃的備份可以實(shí)現(xiàn)。社會(huì)和人類的發(fā)展往往都是這樣，沒有人會(huì)知道未來會(huì)發(fā)生的事，云計(jì)算系統(tǒng)也一樣，不能抗拒的自然現(xiàn)象、一些硬件及軟件事故的發(fā)生，都會(huì)影響云計(jì)算的順利運(yùn)行，而作為服務(wù)商，必須要有風(fēng)險(xiǎn)意識(shí)，能夠做到未雨綢繆，在技術(shù)上給予更完善的保障，要形成一套比較完備的預(yù)備措施，一旦發(fā)生意外，將能夠立即對(duì)數(shù)據(jù)庫(kù)中的資料進(jìn)行備份和保護(hù)。在防范云計(jì)算在網(wǎng)絡(luò)上的風(fēng)險(xiǎn)，技術(shù)上的突破是必須要加強(qiáng)的。例如，SSL 是大多數(shù)云計(jì)算安全應(yīng)用的基礎(chǔ)，但也可能成為一個(gè)主要的病毒傳播媒介，需要更多的監(jiān)控和管理。IaaS 云服務(wù)商應(yīng)該保證這一物理架構(gòu)的安全性。一般來說，只有經(jīng)過授權(quán)的員工才可以訪問運(yùn)營(yíng)企業(yè)的硬件設(shè)備。IaaS 提供商應(yīng)該及時(shí)對(duì)客戶的應(yīng)用數(shù)據(jù)進(jìn)行徹底的安全檢查，避免風(fēng)險(xiǎn)的發(fā)生，如執(zhí)行病毒程序等等。SaaS 提供商則應(yīng)最大限度地確保提供給客戶的應(yīng)用程序和相關(guān)組件的安全性，用戶通常只需要負(fù)責(zé)操作層的安全功能，包括用戶的訪問管理、身份驗(yàn)證等等。云計(jì)算技術(shù)的安全性實(shí)施措施可從服務(wù)端和客戶端兩個(gè)方面操作。作為服務(wù)端，安全性主要由服務(wù)的提供商來實(shí)現(xiàn),目前確保云中信息安全的方法主要有建立可信云、安全認(rèn)證、數(shù)據(jù)加密、法律和標(biāo)準(zhǔn)協(xié)議。如 Google 的SaaS提供的云服務(wù)就是具備比較專業(yè)規(guī)范的安全保證。數(shù)據(jù)的安全性和數(shù)據(jù)控制權(quán)是企業(yè)最關(guān)心的問題之一,使用強(qiáng)加密和密鑰管理是云計(jì)算技術(shù)系統(tǒng)保護(hù)數(shù)據(jù)的一種核心機(jī)制。目前云中的機(jī)密數(shù)據(jù)必須通過合同責(zé)任、訪問控制組、加密措施等進(jìn)行保護(hù)。密鑰管理可分為訪問密鑰存儲(chǔ)、保護(hù)密鑰存儲(chǔ)、密鑰備份與恢復(fù)等。當(dāng)前有許多標(biāo)準(zhǔn)和指導(dǎo)方針對(duì)云中的密鑰管理適用,如OASIS密鑰管理協(xié)同協(xié)議(KMP),[12]。通過在企業(yè)應(yīng)用程序中加入單點(diǎn)登錄SSO的認(rèn)證功能,采用強(qiáng)制用戶認(rèn)證、代理協(xié)同認(rèn)證、資源認(rèn)證、不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式?？蛻舳说陌踩灾饕w現(xiàn)在網(wǎng)絡(luò)安全和用戶操作安全等方面。云計(jì)算的客戶端的網(wǎng)絡(luò)安全最直觀的體現(xiàn)是WEB應(yīng)用。WEB瀏覽器因開放性和自身漏洞等原因,遭遇攻擊的頻率很高,因此成為計(jì)算中非常脆弱的環(huán)節(jié)之一。要保護(hù)用戶的證書和認(rèn)證密碼不被木馬盜竊,就必然要為其提供切實(shí)可行的深層次的防御技術(shù)。如趨勢(shì)科技推出主動(dòng)式服務(wù)TMHD,目前正研究的WEB應(yīng)用防火墻。作為云計(jì)算的用戶,進(jìn)行應(yīng)用云服務(wù)時(shí),應(yīng)該支持云安全技術(shù)的安全產(chǎn)品,這樣才能在基礎(chǔ)設(shè)施防御、端點(diǎn)安全、服務(wù)器和桌面取證與防御等方面,確保實(shí)時(shí)可靠的安全簽名升級(jí)與技術(shù)支持的服務(wù)。例如：保護(hù)云API密鑰的安全,就要求提供商提供多把密鑰,分開存儲(chǔ)數(shù)據(jù)并做到備份數(shù)據(jù)。增強(qiáng)端點(diǎn)的可靠性,端點(diǎn)設(shè)備上要盡量少放數(shù)據(jù),防止數(shù)據(jù)丟失或者不能訪問,并確保備份數(shù)據(jù)在存儲(chǔ)和轉(zhuǎn)移時(shí)受到切實(shí)嚴(yán)密的保護(hù)。推出深入的云安全防御措施。黑客對(duì)公共云基礎(chǔ)設(shè)施和公共云防御措施的理解熟悉必將為其攻擊公共云提供技術(shù)上的支持,能有效防止被云計(jì)算的驅(qū)逐。深入的云安全防御措施的推出將是勢(shì)在必行的,將通向公共云眾多的大門注入新的防御措施以便能夠及時(shí)的發(fā)現(xiàn)所有可能發(fā)生的安全事件。關(guān)注云中數(shù)據(jù)安全性。云計(jì)算以迅猛之勢(shì)發(fā)展著,這必然引發(fā)云部署模型從單一模式走向綜合模式的優(yōu)化,各種公共云服務(wù)的綜合,又必然引發(fā)云中龐大數(shù)據(jù)管理與分析的技術(shù)的不斷更新,保護(hù)企業(yè)復(fù)合數(shù)據(jù)源的安全性和完整性是一個(gè)巨大的挑戰(zhàn)。同時(shí)，要注重隱私的精妙程序設(shè)置和云安全法則的制定出臺(tái)是云服務(wù)迫切期盼的云中應(yīng)用程序的開發(fā)。Cloud Foundry被提名為最佳開發(fā)臺(tái) ,標(biāo)志著在云計(jì)算技術(shù)中開發(fā)應(yīng)用軟件成為了一種新趨勢(shì)。對(duì)軟件行業(yè)來說,云計(jì)算真正為研發(fā)業(yè)務(wù)和研發(fā)管理提供了一個(gè)面向服務(wù)的、統(tǒng)一的、動(dòng)態(tài)規(guī)劃的平臺(tái),并從根本上消除了開發(fā)的諸多局限性。本文以上幾個(gè)小結(jié)提到了云計(jì)算作為一門新興的技術(shù)所存在的問題和運(yùn)用理論知識(shí)如何解決進(jìn)行了闡述，僅有理論的知識(shí)還遠(yuǎn)遠(yuǎn)不夠，要在實(shí)際通信傳輸過程中解決此類問題還需要在技術(shù)實(shí)踐方面進(jìn)行驗(yàn)證，而在以上所提到的安全問題中，兩塊內(nèi)容不可不談，也是安全問題的重中之重，一塊是云數(shù)據(jù)傳輸?shù)娜肭謾z測(cè)方方面，還有一個(gè)問題就是關(guān)于怎么樣應(yīng)對(duì)安全傳輸?shù)膯栴}，接下來本文就運(yùn)用網(wǎng)絡(luò)安全方面的知識(shí)結(jié)合云計(jì)算的安全理論，將這兩塊內(nèi)容結(jié)合起來探討研究。第四章 云計(jì)算入侵檢測(cè)要保證云計(jì)算在傳輸過程中的安全性能，除了以上幾個(gè)問題之外，還有一個(gè)急需解決的問題就是怎么樣應(yīng)對(duì)網(wǎng)絡(luò)入侵方面的問題，其中包括云計(jì)算網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)攜帶的的病毒，蠕蟲，木馬等等，所以需要對(duì)云計(jì)算網(wǎng)絡(luò)傳輸進(jìn)行入侵檢測(cè)，但是傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)算法，對(duì)現(xiàn)在高流量大數(shù)據(jù)的監(jiān)測(cè)是力不從心的，所以在云計(jì)算時(shí)代對(duì)于入侵檢測(cè)算法的改進(jìn)是迫不及待的，接下來就云計(jì)算網(wǎng)絡(luò)入侵檢測(cè)的問題展開研究探討。云計(jì)算中入侵監(jiān)測(cè)系統(tǒng)的定義為（Intrusion Dete System，簡(jiǎn)稱ⅢS）：監(jiān)視和分析在云計(jì)算網(wǎng)絡(luò)渠道中傳輸?shù)臄?shù)據(jù)和信息，從而發(fā)現(xiàn)來自云計(jì)算外部和內(nèi)部的異常。 云計(jì)算檢測(cè)系統(tǒng)的具體實(shí)施解決方法是這樣的，假設(shè)是系統(tǒng)是存在問題的，也就是不安全的，但是入侵行為的存在是能被檢測(cè)到的，通過監(jiān)測(cè)分析系統(tǒng)和用戶的行為。所以IIIs的主要作用是檢測(cè)并提交異常行為，發(fā)現(xiàn)入侵，其包括以下幾個(gè)方面。 (1)監(jiān)視、分析云數(shù)據(jù)端用戶及系統(tǒng)活動(dòng)；(2) 檢臺(tái)系統(tǒng)配置及存在的漏洞：(3) 評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；(4) 識(shí)別己知的攻擊行為；(5) 統(tǒng)計(jì)分析異常行為；(6) 管理操作系統(tǒng)的日志．并識(shí)別違反用戶安全策略的行為網(wǎng)絡(luò)入侵檢測(cè)主要分為兩大類，這是根據(jù)數(shù)據(jù)來源的不同分類的，一種是主機(jī)型另外一種是網(wǎng)絡(luò)型和主機(jī)型，主機(jī)型主要是以日志作為參考，除此之外也可以通過方式比如那些從主機(jī)收集的信息進(jìn)行分析在進(jìn)行檢測(cè)。另一類是網(wǎng)絡(luò)型，其數(shù)據(jù)源有別于主機(jī)型，其采樣依據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。通常的做法是將網(wǎng)卡設(shè)置一下，當(dāng)云計(jì)算網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候?qū)魅氡揪W(wǎng)斷的數(shù)據(jù)包進(jìn)行抓包分析進(jìn)行判斷再進(jìn)行防范。傳統(tǒng)的互聯(lián)網(wǎng)入侵檢測(cè)技術(shù)在算法上難以解決現(xiàn)在云技術(shù)時(shí)代的要求，原有的入侵技術(shù)在算法上簡(jiǎn)單的使用BM單模式匹配，其速度已經(jīng)滿足不了現(xiàn)有的網(wǎng)絡(luò)需求，所以在云技術(shù)時(shí)代的背景下新的檢測(cè)模式發(fā)揮著巨大的作用。云傳輸模式匹配是基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。具有分析速度快、誤報(bào)率低等優(yōu)點(diǎn)。模式匹配檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)上的每個(gè)數(shù)據(jù)包的具體分析過程如下：(1)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較；(2)如果比較結(jié)果相同，則說明檢測(cè)到一個(gè)可能的攻擊，輸出事件結(jié)果：(3)如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包下一個(gè)位置重新開始比較：(4)直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束；(5)對(duì)于每一個(gè)攻擊特征，重復(fù)(1)至(3)開始的比較：(6)直到每一個(gè)攻擊特征匹配完畢，則數(shù)據(jù)包的匹配分析完畢。 云計(jì)算檢測(cè)模塊涉及到許許多多字符，字節(jié)，或者字符串的匹配，所以匹配算法的優(yōu)劣性對(duì)系統(tǒng)檢測(cè)的性能是最為直接的體現(xiàn)。云計(jì)算監(jiān)測(cè)系統(tǒng)中的匹配算法常用到的有這兩種，一種是KMP算法，另外一種是BM算法。這兩個(gè)算法在惡劣的條件下均需要消耗呈線性的搜索時(shí)間，但是相對(duì)來說BM算法較為先進(jìn)，其次數(shù)更加少，所以，BM經(jīng)常被首選為云計(jì)算用于檢測(cè)。這兩種云計(jì)算檢測(cè)算法都采用定長(zhǎng)順序存儲(chǔ)結(jié)構(gòu)，可以寫出不依賴于其他串操作的基本匹配算法。云計(jì)算模式匹配算法的基本思想是：從云端數(shù)據(jù)包主串S的第pos個(gè)字符起和模式的第一個(gè)字符比較之，若相等，則