探析我国云计算技术服务存在的漏洞与应对策略.docVIP

探析我国云计算技术服务存在的漏洞与应对策略 　　[摘 要] 云计算服务是当前全球范围内炙手可热的商务服务新宠。今后，云计算服务能够提供与超级电脑相媲美的强大功能。依托云服务，用户还能弹性化地设置服务需求，同时节省了PC、服务器等基础软硬件投入。本文主要介绍了我国云计算服务中存在的漏洞风险，并根据云计算模型探讨了相应的应对措施。 　　[关键词] 云计算服务； 用户接入； 应对风险 　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 22. 043 　　[中图分类号] TP3 [文献标识码] A [文章编号] 1673 - 0194（2013）22- 0068- 02 　　云计算是基于Web网络虚拟化的服务模式。具体来说，用户只需要购买一项服务，而不需额外投入任何资金设备，就能完全使用该项服务。云计算服务的根本优势在于，将传统因特网服务中的服务器、PC机等进行资源整合，集成于云服务中。 　　1 主流云计算技术简介 　　1.1 IBM云技术 　　目前，IBM云是我国主流云计算服务之一。IBM公司认为云计算服务属于一种新兴的体验式服务交付模式。目前通用的云技术服务分为公有云、私有云以及混合云，即是IBM公司所提出。从国内情况来看，IBM云体现了云技术服务的主流优势：开放兼容；灵活性强，能够同时服务多领域多系统；涵盖SOA思想，能够进行弹性化的简化扩展，以及涵盖对应软硬件的资源整合。 　　1.2 惠普（HP）云技术 　　HP云以提供高度扩展、简洁操作的个性化云服务为特点。用户在使用过程中，使用统一操作流程，无需用户自行提供任何技术架构。同时HP云可以完全按照用户要求进行任何形式的服务扩展。HP云的分类方式较多，如按服务对象、按业务系统以及按资源等方式。目前，HP云的市场用户群主要集中于电商企业。 　　1.3 GOOGLE云技术 　　GOOGLE公司是最早提出云计算概念并开展云计算平台设计的。最初GOOGLE建设该平台的目的是为了为其旗下搜索引擎开发与运作提供辅助服务。目前，该云服务主要包括分布式文件、编程模式、分布式数据库以及分布式加锁机制4个模块[1]。上述模块共同组成了其云服务平台特点，即大容量、高效、扩展以及安全可靠。 　　2 我国云计算服务存在的漏洞 　　2.1 用户接入模块存在的漏洞 　　用户接入是使用云服务的第一步。既然该层面是面向广大用户的，那么不能排除的是其中一些“用户”本身也是攻击者。从一般网络服务的角度来分析，云服务在用户接入模块中，极有可能受到以下攻击：① 窃取服务密码。通常的云技术服务会禁止远程平台管理以避免攻击。但是HP云中的Paas/Iaas来说，该功能是开放的，而且也是用户常用的，无形中造成了系统的漏洞。② 伪造证件。目前常见的多因子身份认证，包括口令、数字证书、指纹以及虹膜等[2]。攻击者可能利用云服务中断对用户信息进行搜集破解，从而仿造。由此发散，还可能存在用户信息窃取。此外同其他网络服务一样，在用户接入模块中，还可能出现欺诈网站、DDOS攻击等。 　　2.2 业务应用软件模块存在的漏洞 　　业务应用是一切网络服务的核心，云服务亦是如此。由于业务应用模块存在着大量用户操作以及操作反馈，因此攻击者通过篡改相关业务应用程序，从而窃取用户信息，破坏业务服务。同传统网络服务一样，云技术服务在此模块（SaaS/PaaS）中极容易出现以病毒蠕虫（并携带木马）、应用软件破坏（如SQL注入、XSS攻击）、Web挂马（针对云服务的BS架构）等攻击，严重情况甚至可能出现主机攻击。 　　2.3 虚拟机模块存在的漏洞 　　利用虚拟机，攻击者可能攻击云服务提供商的后台。一般来说，以虚拟机为主的网络攻击较多。① 溢出。云计算服务的兴起时间较短，各项技术较为不成熟。目前已有黑客宣布做到了“溢出”。② 资源滥用。破坏者并不仅针对云计算服务本身，而是利用廉价的云服务开展其他网络应用的恶意攻击，譬如借助云服务的大容量超高速的计算能力作为“肉鸡”，去破译用户密码，非法获取资料。 　　对于后台管理模块和数据中心的漏洞同一般的网络服务类似，也包括黑客入侵、内部人员风险、设备故障以及盗取数据中心的物理介质，从而窃取信息等。 　　3 我国云计算技术服务的发展策略 　　3.1 加强云安全控制的可视化 　　对于云服务的使用者来说，该云服务项目目前的安全现状、风险管控以及是否合法合规都是模糊的。用户在使用过程中，无法了解上述问题，不仅不利于用户对云服务高效全面的使用，增加了用户的风险感，同时也不利于云服务项目本身的合法有序发展。因此我国今后应当大力推进云计算服务的可视化发展，建立透明的IT云服务管理机制。这样不但能够增加用户对于云服务产品的全面认识与信任，而