企业云安全问题及解决方案

龙源期刊网 http://www.qikan.com.cn

企业云安全问题及解决方案

作者：李婷

来源：《数字技术与应用》2016年第07期

摘要：随着云计算技术的广泛应用，云安全问题变得越来越重要。目前企业为保证云安全使用了各种各样的方案与技术，但云安全问题仍不容忽视。本文在分析云安全定义的基础上，根据企业云安全现状发现其存在的问题并通过对云安全各方面的深入思考与研究找到问题存在的原因，文章最后还给出了云安全问题解决方案以期对企业提高云安全有所帮助。 关键词：企业云 云安全 计算机 网络

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）07-0199-01 随着Web2.0时代的到来，“云”正在被人们越来越广泛地使用。但与此同时，这些“云”也开始成为不法分子为某种利益而攻击的目标，所以企业云仍存在安全问题，云安全仍需深入研究。

1 云安全含义

云安全主要包含两方面的含义：一是云自身的安全保护，也称为云计算安全，包括云计算的应用系统、应用服务及用户信息的安全，云计算安全是云计算技术健康可持续发展的基础；二是云计算技术在安全领域的具体应用，也称为安全云计算，即通过采用云计算技术提升安全系统服务效能的安全解决方案。① 2 企业云安全存在的问题及原因 2.1 云安全存在的问题

目前企业云安全存在的主要问题为数据安全问题。这一问题主要表现在四方面：（1）数据传输安全问题，即数据加密、云计算服务商泄露数据等问题。（2）数据存储安全问题，数据存储包括数据的存储位置、数据的相互隔离、数据的灾难恢复等问题。（3）数据审计安全问题，企业协助第三方对数据进行安全性和准确性的审计或认证时出现的问题。②（4）数据恢复安全问题，资源池和弹性扩展的云特性可能会将前面用户写入的数据恢复出来。 2.2 云安全存在问题的原因

通过对企业云安全存在的问题进行分析，可以归纳出企业云安全存在问题的主要原因：（1）企业缺乏对云服务的有效监控。大部分企业在企业业务迁移到云模式后，忘记对服务和数据安全措施进行定期和持续的监控，这导致企业在数据安全方面面临威胁。（2）不安全的API接口。云服务提供商只管让企业把数据迁移到云中而不思考他们的API接口中的不安全因

龙源期刊网 http://www.qikan.com.cn

素，从身份认证到访问控制，再到加密和监控都在这些API中体现出来，这是造成企业云环境面临危险的重要因素。（3）企业的认识存在盲区。有些企业认为基础设施服务提供商所提供的虚拟私有云很安全，但其实不然。虚拟私有云的运算方式会使该企业与其他企业共用硬件资源与交换网络，彼此间仅由VLAN隔离，由于组态设定错误的情况时有发生，因而企业信息安全问题不可避免。

3 企业云安全问题解决方案

在云计算环境下，针对当前企业云安全存在的问题，本文从技术和非技术两方面提出解决方案，以期对企业提高云安全有所帮助。 3.1 云计算安全的技术方案

云计算安全的技术方案主要包括：（1）动态数据保护。加密发送到云的敏感数据，可以为云服务提供受保护的访问，如果使用或存储的数据未被加密，企业就要面临信息泄露的危险。（2）访问控制。企业应要求加密服务提供商提供用户访问和管理控件以及强效验证替代方式，如多要素验证。（3）保护云中的API密钥。API密钥的有效管理可以改善企业云环境，避免敏感信息的泄露。（4）经常备份。企业应该增强安全意识，对存储在云中的数据经常备份，做到有备无患，以免在云计算服务遭受攻击、数据丢失的情况下，数据得不到恢复。 3.2 云计算安全的非技术方案

目前的技术手段可以避免来自其他用户的安全威胁，但是对于服务提供商，要想从技术上完全杜绝安全威胁还是比较困难的，在这方面企业需要非技术手段作为补充。云计算安全的非技术方案包括两部分：（1）企业的安全办法。企业可采用的安全办法有三种：1）第三方认证，即采用一个中立机构对信任双方进行约束。这个机构不仅需要具备良好的公信力和定力，而且在安全领域具有丰富的经验和技术能力。2）角色转换。企业作为价值链的组成部分，需要向客户和合作伙伴提供服务。因此为实现云服务的最大化利益，企业需转换思想，适应自己的云服务提供商的角色。3）法律和协议。法案和制度的建立不仅能让云服务提供商开发更优秀的构架，提供更好的服务，而且还为企业提供了法律保障。（2）云安全厂商的安全办法。云安全厂商可采用分级控制的管理方法提高云计算公司的安全可信度。分级控制是指将云计算的管理体系分成两级，一级是无特殊权限的普通人员，他们负责日常的运维工作，但是不能进入受控的机房和登录物理主机，所以接触不到用户的数据；二级是具备核心权限的特殊人员，虽然他们有权限进入机房并登录主机，能够接触到用户的数据，但其操作行为受到流程的严格控制。云计算厂商通过使用分级控制的管理方法，在一定程度上可避免云计算平台提供商窃取用户的数据。 4 结语

龙源期刊网 http://www.qikan.com.cn

云技术固然能给企业带来利益，但其安全问题也不容小觑。企业要想保证云安全，还需要对其进行持续深入的研究与探索。相信未来在各方面力量的共同努力下，企业云安全能有更好的保障。 注释

①陈军，薄明霞.云安全研究进展及技术解决方案发展趋势[J].现代电信科技，2011（06）：50-54.

②吴旭东.云计算数据安全研究[C].第26次全国计算机安全学术交流会论文集.中国计算机学会计算机安全专业委员会，2011：3.

③陈尚义.浅谈云计算安全问题[J].网络安全技术与应用，2009（10）：20-22. 参考文献

[1]Winkler，J.R.Securing the Cloud：Cloud Computer Security Techniques and Tactics[M].Beijing：China Machine Press，2013.1-215.

[2]Michael hugus，Derek Hulitzky.Business in the Cloud：What Every Business Needs to Know About Cloud Computing[M].Beijing：Posts&Telecom Press，2012：47-75.