云计算下的信息安全(含事例分析).pdf

云计算下的信息安全(含事例分析)从信息安全大事件分析云计算下信息安全影响 本文从Stuxnet 蠕虫病毒、CSDN 网站用户数据泄露心脏滴血三个事件分析当今信息安全面临的一些问题。因笔者才疏学浅，仅从云计算一个角度，管中窥豹地分析了网络安全对世界的影响。一 事件之 Stuxnet 蠕虫病毒 Stuxnet 及其变种是一种利用最新的 Windows Shell 漏洞传播恶意文件的蠕虫，被多国安全专家形容为全球首个“超级工厂病毒”，又名“震网”，主要针对微软件系统以及西门子工业系统。造成这个漏洞的原因是 Windows 错误地分析快捷方式，当用户单击特制快捷方式的显示图标时可能执行恶意代码（文件带有.LNK 扩展名）。伊朗第一座核电厂“不什尔电厂”已成为其攻击目标。Stuxnet 蠕虫病毒最大的特点是打破恶意程序只攻击用户电脑的“惯例”，将攻击目标偏向于用户的生活与生存环境上来。一旦用户的电脑不幸遭受 Stuxnet 蠕虫病毒入侵，不但会使用户电脑变成任由其摆布的“肉鸡”，而且还会引发“多米诺骨牌效应”，导致与受害用户联网的人群遭受同样攻击，显然大数据和云计算的策略加剧了它的效果。该病毒可通过伪装 RealTek 与 JMicron 两大公司的数字签名，从而顺利绕过安全产品的检测。从编写手法上看，该病毒将来很可能出 现同样原理的复杂病毒。Stuxnet 病毒还会不断的变种，其隐蔽性、攻击力度和破坏程度会越来越强，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用 Java、ActiveX、VB Script等技术，可以潜伏在 HTML 页面里，在上网浏览时触发。与黑客技术相结合，潜在的威胁和损失更大。将此事件联系到我国的核电站建设中，可分析得以下几点存在安全隐患：物理隔离存在风险，工业控制系统固有缺陷，专业性攻击的日益简单化，核电站工业控制系统的标准。考虑到云计算和大数据的来临，更对于 Stuxnet 病毒的传播带来了更大的方便，也对每一个网络节点的抗毒带来了巨大的压力。二 事件之 CSDN 网站用户数据泄露 2011 年，CSDN 网站用户数据库被黑客在网上公开，大约 600 余万注册邮箱账号和与之对应明文密码泄露。黑客很有可能是通过 CSDN 的某项应用服务器为通道实施的入侵。但 CSDN 网站的相关人员可以肯定的是，CSDN 云平台确实存在不能够及时发现的安全漏洞以至于才让黑客利用这个漏洞找到了入侵的机会。和中国已列出的云计算安全七宗罪来看，其中“共享技术漏洞”和“不安全的应用程序接口”最有可能是出现此次 CSDN 泄密事件的罪魁祸首之一。从密码安全的角度去分析这个问题，我们可以看到：CSDN 被泄露的数据库中包含了 642 万多个用户的帐号、密码等信息，严重威胁了相关用户的信息安全。此次事件之后，人人网、猫扑、嘟嘟 牛、178 游戏网等多家网站的部分用户数据库也纷 纷被传到网上并提供下载，甚至有媒体曝光国内十几家大型门户级网站的数据库也已经被黑客“拖库”，因此将 2011 年末的密码危机推向了高潮。“拖库”一词本来是数据库领域的专业术语，通常泛指从数据库中导出数据。黑客如果通过某种 非正常途径入侵网站后，就可以窃取其中的数据库，下载所有信息。从目前网站系统来看，在密码保存上，使用最多的算法就是国际通用的标准算法MD5 HASH 算法。但实际上，HASH 算法本 身设计的初衷并不是用来加密，而是用来消息验证的。网站开发人员一般都是因为 HASH 算法具有 不可逆的特性所以用其来保存密码的。可是，HASH 算法的不可逆是有一个前提假设的，那就是明文集合是无限大的。但平时设置的口令并不一样，口令的长度一般都比较短，同时可使用的字符 也非常有限，这样 HASH 算法的单向性已经失去 了它原有的意义，黑客已经可以通过一个完整的明 文和密文的对照表（彩虹表）中找到口令明文的还原。因此，应想一些策略来应对，如采用“一粒盐”的做法。就是在 MD5 生成 的 HASH 值后增加一个扰动，使得 HASH 值与标 准的 HASH 结果不同，这样就可以抵抗通过查找 彩虹表来查找明文了。三 事件之 OpenSSL 心脏滴血 2014 年 4 月 7 日 OpenSSL 发布了安全公告，在 OpenSSL1.0.1 版本中存在严重漏洞(CVE-2014-0160)。OpenSSLHeartbleed 模块 多万台服务器，亚马逊、IBM、微软和 Yahoo 等公司的“云”均拥有几十万台服务器。“云”能赋予用户前所未有的计算能力。2.虚拟化。云计算支持用户在任意位置使用各种终端获取服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行，但实际上用户无需了解应用运行的具体位置，只需要一台笔记本或一个 PDA,就可以通过网络服务来获取各种能力超强的服务。3.高可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性，使用云计算比使用本地计算机更加可靠。4.通用性。云计算不针对特定的应用，在“云”的支撑下可以构造出于变万化的应用，同一片“云”可以同时支撑不同的应用运行。5.高可伸缩性。“云”的规模可以动态伸缩，满足应用和用户规模增长的需要。6.按需服务。“云”是一个庞大的资源池，用户按需购买，像自来水、电和煤气那样计费。7.极其廉价。“云”的特殊容错措施使得可以采用极其廉价的节点来构成云;“云”的自动化管理使数据中心管理成本大幅降低;“云”的公用性和通用性使资源的利用率大幅提升;“云”设施可以建在电力资源丰富的地区，从而大幅降低能源成本。因此，云概念的提出，因其相当的廉价性，为当今网络世界的发展带来了极大的便利。然而，风险与利益同在。云计算的服务器端存储着大量的这样的应用程序，同时云计算机 的服务器自身也必须依赖于各中类似的应用程序才能正常运转，只有这样才能够给用户随时提供相应的服务。对于恶意攻击者来说，他们一般可以通过一下两种途径来进行攻击：其一、通过安全等级 比较低的用户终端里的一些应用程序存在的漏洞，逆 向潜伏进入云计算的服务器端；其二、直接利用云计算服务器端 的某些应用程序中隐藏漏洞进行实施入侵。美国知名市场研究公司 Gartner 发布的一份 名为云计算安全风险评估的研究报告称，虽然云计 算(cloudcomputing)产业具有巨大市场增长前景，但对于使用这项服务的企业用户来说，他们应该意识到，云计算服务存在着七大潜在安全风险，即特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。由于当前信息安全领域仍缺乏针对此类问题的充分研究，尚难为安全的云服务提供必要的理论技术与产 品支撑，因此，未来在信息安全学术界与产业界共同关注及推动下，信息安全领域将围绕云服务的“安全服务品 质协议”的制定、交付验证、第三方检验等，逐渐发展形成一种新型的技术体系与管理体系与之相适应，标志着信息安全领域一个新的时代的到来。因此，或许对于云计算下的网络安全最重要的是实现云计算内容监控。然而，云的高度动态性增加了网络内容监管的难度首先，云计算所具有的动态性特征使得建立或关闭一个 网站服务较之以往更加容易，成本代价更低。因此，各种含有黄色内容或反动内容的网 站将很容易以打游击的模式在网络上迁移，使得追踪管理难度加大，对内容监管更 困难 如果允许其检查，必然涉及到其他用户的隐私问题；其次，云服务提供商往往具有国际性的特点，数据存储平台也常跨越国界，将网络数据存储到云上可能会超出本地政府的监管范围，或者同属多地区或多国的管辖范围，而这些不同地域的监管法 律和规则之间很有可能存在着严重的冲突，当出现安全问题时，难以给出公允的裁决。而且，应用程序的安全问题在当前新互联网时代里非常重要，尤其是在新互联网环境运行下的云计算安全问题必须给予极大的关注。应至少从以下三点对其进行保障：其一、对数据的存储容器数据库做好严密防护；其二、对数 自身要进行严密的加密保护；其三、设置更加严谨的操作权 限，使得恶意攻击者不能够找 到有价值的数据、也就不可能带走数据。参考文献：浅释蠕虫病毒程建军王佳月余瑞华（）由“震网”病毒事件浅议核电站信息安全现状及监管胡江;孙国臣;张加军;侯秦脉（核科学与工程2015 年 第 1 期）3.从 CSDN 网站泄密探讨云端安全问题防范刘龙（计算机光盘软件与应用 2011 年 第24 期）4.CSDN“拖库”事件后对密码保护的反思张耀辉（长沙通信职业技术学院学报 2012年 02 期）5.云计算及安全分析陈丹伟;黄秀丽;任勋益（计算机技术与发展2010 年 第 2 期）6.云计算安全研究冯登国;张敏;张妍;徐震（软件学报2011 年 第 1 期）7.云计算有哪些优势以及特点http:/ 8.漏洞分析与研究 张生财（信息安全与技术2014 年）9.OpenSSL Heartbleed 漏洞攻击原理及防范方法研究 安思华;易平;王春新;李朝峰;（通信技术2014 年 7 期）