云计算信息系统安全整体防护策略研究
2021-04-09浙江移动信息系统集成有限公司应晓龙
浙江移动信息系统集成有限公司 应晓龙
随着科技水平的飞速发展,计算机以及互联网技术逐渐渗透到社会的方方面面,不仅为人们的日常生活带来了更多的便利,也有效推动了社会经济的变革与发展,特别是随着云计算技术的发展与应用,在提高了互联网实用性以及高效性的同时,也大大增加了数据信息的安全风险。本文简单分析了云计算信息系统的常见安全问题,并对云计算信息系统的安全防护策略进行了简单阐述。
云计算是依靠计算机技术以及互联网技术发展而来的新技术,可以为企业提供更加便利、快捷的数据加工、数据开发等计算工作,显著提升了企业对数据信息的挖掘和利用效率,同时,受云计算技术开放性以及共享虚拟等特性的影响,无形中提升了企业数据信息的风险系数,所以,如何提升云计算信息系统的安全性,不仅是关系到云计算信息系统发展与应用的重要工作之一,也是社会各界都在关注的重要课题之一。
1 云计算信息系统含义
云计算信息系统是以虚拟化计算服务为主的互联网技术,主要通过分布式计算以及并行处理等技术手段,实现企业数据信息的存储、深层次加工与高效利用,云计算技术的研发和普及,不仅推动了互联网技术的进一步成熟与发展,还可以根据不同企业的实际需要,提供软件服务、数据分析等不同类型、不同层次的服务,为现代企业的运营和发展提供了更多的便利与支持。
云计算信息系统的安全防护,主要涉及到数据信息保密性、完整性、访问控制以及运营安全等几个方面,是云计算信息系统的重要组成部分,也是关系到云计算信息系统正常、稳定运行的关键要素。
2 云计算信息系统常见安全问题
2.1 传统安全威胁因素
云计算信息系统的传统安全威胁因素,主要是指发起自外部对系统内部进行攻击的分布式拒绝服务,包括病毒、木马以及蠕虫等多种攻击形式,这一安全风险类型是伴随互联网出现而产生的安全威胁因素,现如今仍然会给云计算信息系统造成极大的影响和破坏,特别是对于web业务类型的信息系统而言,分布式拒绝服务的入侵形式更加复杂多变,也是目前云计算信息系统安全防护工作所需重视和研究的重要目标之一。
2.2 信息系统数据泄露风险
云计算信息系统除了提供数据信息分析以及软硬件服务等业务以外,还会为客户提供大数据存储等服务,随着客户数据信息存储量以及数据价值的不断增加,往往会滋生出企图利用这些数据信息获取利益的不法者,无形中增加了云计算信息系统的数据管理难度以及安全威胁等级,也大大增加了云计算信息系统中数据泄露以及数据篡改等安全问题的发生几率,不仅会对客户造成较大的影响和利益损失,还会对云平台自身的信誉和发展带来极大危害。
2.3 信息系统隔离失效风险
云计算信息系统隔离失效风险,主要是来自于技术层面的风险因素,由于云计算信息系统用户需要共享平台中的计算能力以及数据存储设备,这就需要云平台通过一系列设备和相应的技术手段对不同用户进行隔离,避免出现部分平台用户未经允许而访问他人数据信息,并私自进行数据信息篡改、删除等操作。但是,如果云平台在数据隔离设置方面存在漏洞,或者隔离措施没有及时更新、完善,很容易影响到信息系统的数据信息隔离有效性。
2.4 信息系统虚拟机逃逸风险
云计算信息系统中的虚拟机逃逸问题,主要是利用虚拟机对系统漏洞开展攻击等手段,引发信息系统的安全问题,不仅会对云平台数据信息的完整性、安全性造成较大影响,严重的甚至会出现攻击者利用虚拟机对目标系统进行操控等情况,从而导致信息系统出现数据信息泄露等安全问题。
2.5 信息系统虚拟机内存泄露风险
云计算信息系统中的虚拟机内存泄露风险,其产生原因一方面来自于虚拟机的共享使用,另一方面通常发生于重新分配硬件资源等情况下,比如,部分系统用户在通过虚拟机进行正常操作时通常会占用一部分额外内存,并在完成操作后释放这部分额外内存,如果因系统等因素的影响导致这部分额外内存被释放时没有得到重置,那么之前用户的部分数据信息就会留存在这些额外内存中,并在额外内存重新分配给其他用户时,被其他用户访问到这些数据信息,一旦这些数据信息中存在较为敏感的信息或有重大价值的数据,很容易给相应的平台用户带来利益损失。
2.6 信息系统虚拟机动态迁移风险
虚拟机动态迁移的特点在于可以有效缩减迁移时间以及宕机时间,而云计算信息系统中的虚拟机动态迁移风险,主要是指在将虚拟机从原有物理服务器迁移到另一台物理服务器的过程中,如果没有做好相应的安全防护工作,很容易遭遇数据传输被监听以及内存信息泄露等安全问题。
2.7 信息系统运营模式风险
云计算技术的不断发展与完善,推动了云计算信息系统运营模式的创新和改变,云平台可以根据用户的实际需求,设计出具有针对性的服务类型和资源配给,如果云平台运营模式存在不合理之处,再加上云平台普遍具有用户流动性较大等特征,不仅容易出现平台资源利用效率低下的情况,还容易影响到平台用户对相关资源的直接掌控。
3 云计算信息系统的安全防护策略
3.1 加强信息系统备份审计机制的建立与完善
云计算信息系统备份机制,主要包括系统备份、关键数据信息备份以及网络接口等设置信息备份几方面内容,而云计算信息系统审计工作的内容,则是包括用户账号审计以及系统操作日志记录等工作。虽然加强云计算信息系统备份审计工作会增加平台资源的消耗,但是,由于信息系统中存储着大量有价值的数据信息,同时,云平台还具有用户量较大以及信息访问较为频繁等特性,无形中提升了信息系统备份审计机制的作用和必要性,一旦云计算信息系统因各种意外因素的影响而出现瘫痪等情况,可以借助备份对相关数据信息以及系统设置进行恢复,可以降低意外因素对信息系统数据安全性以及完整性带来的影响。除此之外,云计算信息系统备份审计机制还包括对系统漏洞的查找和补完等工作。其一,云平台应通过定期或不定期等方式,对信息系统存在的漏洞进行扫描、查找,并及时采取打补丁等措施消除系统漏洞;其二,做好系统端口的开放审查以及安全防护工作,并加强数据传输的加密处理,从而提高云计算信息系统的整体安全性。
3.2 加强防火墙防护体系以及DDoS攻击防护体系的建立与完善
防火墙防护体系以及DDoS攻击防护体系的建立是提高云计算信息系统安全性的有效举措之一,更是信息系统必不可少的组成部分。首先,防火墙防护体系主要是指信息系统中的访问控制系统,系统防火墙通常设置在核心交换机以及出口路由器等位置,对访问信息的协议、端口以及访问请求等几个方面进行检测,阻拦不符合防火墙规定的访问信息,从而达到提高信息系统安全性的目的。其次,DDoS攻击防护体系主要是应对分布式拒绝服务对虚拟服务器开展的攻击,目前较为常用的方法包括设置黑洞路由、DDoS防火墙防护以及异常流量检测与清洗等几种。黑洞路由大多设置在信息系统出口位置,利用路由黑洞对DDoS攻击数据进行吸收,避免攻击数据对目标设备造成影响和破坏;DDoS防火墙在应对小流量DDoS攻击时往往具有较好的效果,而异常流量检测系统和清洗装置通常以旁路部署的方式设置在核心交换机区域,当虚拟服务器遭受大流量DDoS攻击时,可以通过异常流量检测系统将异常数据导入清洗装置进行处理。
3.3 加强信息系统多重身份认证技术的应用
信息系统多重身份认证技术主要是针对系统访问者开展的安全防护措施,传统的身份认证方法包括密码以及口令认证等几种形式,随着互联网的不断发展以及技术水平的提升,身份认证技术逐渐扩展到手机号验证、实名认证、指纹验证以及面部扫描等诸多领域,一方面可以对平台用户的系统操作行为进行规范并提高用户管理成效,另一方面还便于对不正常操作用户进行追踪,对云计算信息平台整体安全性的提升有着积极的促进作用。
3.4 加强信息系统入侵检测体系以及病毒防护体系的建立与完善
入侵检测体系以及病毒防护体系是云计算信息系统安全防护体系的重要组成部分。首先,入侵检测体系主要包括纵向防护和横向防护两大类,纵向防护通常以旁路监听的方式将入侵检测系统设置在路由器下级,并对通过的数据信息进行安全检测;而横向防护则是以分布式或集中式等形式,将入侵检测系统布置在云环境中,通过虚拟交换设备以镜像引流等方式对数据信息进行安全检测,并对有安全隐患的数据进行处理。其次,病毒防护体系的设置形式主要包括客户端防护系统以及无客户端防护系统两种类型。客户端病毒防护系统通常用于重要虚拟服务器的安全防护,需要相关技术人员在虚拟主机上安装防护客户端,并设置相应的病毒防护策略,从而为虚拟服务器提供更加全面、强大的病毒防护保障;无客户端防护系统省略了客户端的安装环节,但需要安装病毒防护虚拟模块,技术人员可以通过对虚拟模块进行策略配置,提高虚拟主机的病毒防护能力。
总结:云计算服务的实际应用显著提升了互联网的作用和价值,一方面推动了各行各业的数据整合以及共享,另一方面也加速了企业的转型与发展,但是,随着云计算服务的普及以及使用频率的增加,云计算信息系统同样暴露出越来越多的安全隐患,如何不断提升云计算信息系统的安全防护等级,从而更好的保护数据信息的安全性以及完整性,不仅是云平台以及相关企业都应重视和研究的重要课题之一,也需要有关部门给予更多的关注和支持。