云计算环境下漏洞的研究

摘 要：在计算机安全领域，漏洞即是系统的一些弱点，攻击者可以通过这些弱点来降低系统信息的安全性。云计算则是要使用互联网所提供的计算资源（包括硬件和软件资源），而这些资源是被服务提供商作为一种服务提供到互联网上的（通常是指internet）。综上所述，云计算由于其的虚拟化技术和海量数据分布存储技术和编程模式以及集中化管理从而节省很多资源的特点而正在被广泛地应用，但是它的安全性能将会被各方面所重视。这是因为由于在云计算环境中，用户的硬件和软件以及整体的架构将不再被用户所看见和所熟知，所以需要很安全的保护机制来使用户所信服；而且云计算和传统系统结构不同的特点也将是云计算安全所要考虑的。

关键词：云计算；漏洞

中图分类号：TP393.07

云计算如今被用到各行各业，主要是由于云计算的以下的几个特点：灵活性、很好的应用界面、节省资源、设备和位置的独立性、虚拟化、多租户、可靠性。以上这些特性使得云计算的发展的提供了很好的理论依据，然而与之共同存在的是云计算的安全的问题。

在信息化的时代，一些新闻和科技出版物里都在提醒着我们关于在云计算环境里存在着安全的风险和威胁，如：通过网络以交互模式和按需而获得的云服务，云计算安全被认为是云计算发展过程中的最重大的障碍。然而，与计算机安全相比，云计算环境下的安全很难形成实际上的安全评估，因为每一个所提出来的安全的问题并不是特别针对于云计算安全的。所以为了更好地理解云计算安全，必须分析如今的云计算是如何影响已经建立好的计算机安全问题。

1 计算机漏洞的定义和特征

计算机漏洞其实就是系统的一些脆弱点，计算机的漏洞的种类可以根据相对应的资产的级别来分。在硬件方面主要是一些物理上的扰乱而产生的漏洞，如：由于对湿度的敏感度而造成的漏洞，由于对灰尘的铭感度而造成的漏洞，由于存储器没有收到保护而造成的漏洞。在软件方面主要是由于不充分的测试而造成的漏洞和由于缺少审计工作而造成的漏洞。在网络方面主要是：由于未受保护的通信线路而造成的漏洞，由于不安全的网络架构而造成的漏洞。在人员方面主要是：由于人员的安全意识不足而造成的漏洞。在地点方主要是：由于自然灾害而造成的漏洞，由于不稳定的电源而造成的漏洞。在组织方面主要是：由于缺乏定期的审计而造成的漏洞，由于在制定计划的时候缺乏连贯性和长远性而造成的漏洞，由于人员缺乏安全意识而造成的漏洞。

2 云计算的基本特征

云计算的基本特征。（1）按需自助服务。用户可以在没有人工干预下向服务提供者定制和管理服务（例如：可以把WEB门户管理界面来作为接口），同时，服务以及相关资源均可以在提供商那一段自动地配置和解除配置；（2）无处不在的网络接入。云服务器可以通过标准的机制和协议来接入互联网；（3）资源池。被用来提供云服务的计算资源可以通过一个同态化的基础设施来实现，其中这个同台化的基础设施是可以服务用户之间共享的；（4）快速的弹性。资源可以弹性地快速地被放大和缩小；（5）测量服务。资源和服务的使用情况正在不断被测量，同时这个系统将会支持资源的优化使用和使用情况的上报以及支付的商业模式。

除此之外，云计算还可以应用云计算的云托管平台，这样用户不再拥有各自的基础资源，开发者可以在此托管平台上的展示应用和一些资源信息，从整体来讲，云计算的云端就像是电网一样，客户端可以源源不断的从这个“电网”中来获取资源。

3 云计算环境下的漏洞

3.1 重要的云计算特征的漏洞。正如上文所述，NIST提出了五种云计算的基本特征：按需自助服务，无处不在的网络接入，资源池，快速弹性，和测量服务。以下例子将会在以上五种例子中存在：（1）未授权的访问界面管理。在按需自助服务当中，系统需要一个可以让用户自主接入的管理接口，所以未授权而进入管理接口的漏洞即是云计算的漏洞；（2）互联网协议的漏洞。无处不在的网络接入一定会用到互联网协议的，因为大多数的用户都是通过互联网接入的，而通常情况下，互联网是不可以信任的；（3）数据恢复的漏洞。云计算里的资源池和快速弹性意味着分配给一个用户的资源将会在随后的时间里重新分配给其他不同的用户，而这意味着，对于上个用户的内存或者是存储器将有可能被下一个云所要给的用户给恢复了，从而造成用户的信息的不安全性；（4）计量和计费的逃脱。云计算里的计量服务指的是：在云计算中，一些抽象的服务（如存储，计算处理，用户账户的激活）将会用在一定范围内的测量能力上。而计量数据是用来更好地优化服务的传递和计费，而这方面的漏洞就是针对于计费数据的逃脱。在以上NIST的定义中，可以更好的理解云计算环境中所存在的漏洞。

3.2 云计算环境下漏洞的特征。云计算环境下的漏洞主要是关于集中管理方面的，而这些漏洞的产生主要是云计算定的背景和特定的架构，下面介绍几个关机云计算环境下的漏洞的例子。

3.2.1 会话劫持漏洞。会话劫持就是利用现有用户的一些权限来访问不是自己权限能够访问的资源，这个原理是由于系统为了用户的访问的方便，会在cookie里保存一定量的用户信息以供用户下次或者下一个连接能够和很方便地访问，然后当用户下线之后，系统没有来得及删除cookie里的信息或者没有机制来删除这些信息，从而给下一个登录系统的用户使用了这些“便利”。不光如此，有些攻击者也会偶然的发现被攻击者，他会通过一些钓鱼网站来骗取用户的重要信息从而来达到攻击的目的。

3.2.2 虚拟机的逃逸。虚拟机的逃逸其实就是云环境内部的漏洞，它的存在是由于主机（也就是云的控制系统）没有控制好被控制机器（也就是主机所产生的虚拟机）的一些权限，从而使得在被控虚拟机中也可以执行一些操作或者是代码来让主机运行，这些代码或者是操作都是通过接口来实现（这些接口主要是WEB应用接口等），从此可以看出主机的在权限管理方面没有彻底的测试和使用排除法来看看程序运行的情况来很好地限制权限，攻击者可以利用这个漏洞来对同一个服务器内的用户进行攻击。

3.2.3 不安全的加密系统。攻击者通过把原始的加密算法扭曲，在普通物理机器上，用户在操作系统中执行一系列的加密操作时，都需要一串随机数，而这串随机数的产生一般都是由某个物理机上特定的鼠标及键盘和其他硬件的操作来得到的，但是在云计算的虚拟环境中则没有这样的条件，所以这些虚拟机所产生的随机数将会依据实体的主机，从而给虚拟机上的操作系统带来不安全性。

3.2.4 数据的保护性和可携带性。在云计算中数据保护是相当重要的，这个漏洞主要是云计算用户在和云计算提供商解约时而发生的用户信息泄露，由于在云计算环境中，云计算用户既然有和云计算提供商发生签约的情况，则就会存在着云计算用户和云计算提供商的解约的情况，当云计算提供商解约后，不会太关心用户的信息，或许会把这些信息转让给其他的商业机构，这样就在无形中给用户带来安全的危险。而解决这些漏洞主要还要建设适当的互联网的法律来限制运营商的行为和用户的知情权。本课题是以武威市政务云平台安全关键技术验证与攻防平台项目为背景，主要研究云计算环境下的漏洞。由于云计算环境中存在很多的安全的问题，需要一个长期的积累的过程，这是因为云计算系统根据互联网上所提的建议而给自己的系统打了补丁或者是做了安全的设置，然而不能很好的使得系统绝对安全。

参考文献：

[1]薄明霞.云计算安全体系架构研究.信息网络安全[J]，2011（08）：79-81.

[2]陈尚义.浅谈云计算安全问题.网络安全技术与应用[J]，2009（10）：20-22.

作者简介：邹万芳（1983.12-），女，讲师，本科，研究方向：计算机系统结构。

作者单位：甘肃武威职业学院，甘肃武威 733000