1 引言

    移動互聯(lián)網(wǎng)是傳統(tǒng)互聯(lián)網(wǎng)與移動通信網(wǎng)絡融合的產(chǎn)物，越來越多的人正在或?qū)�會使用移動終端訪問互聯(lián)網(wǎng)。與傳統(tǒng)互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)具有隨身性、可鑒權、可身份識別等獨特優(yōu)勢。但同時也存在移動終端處理能力弱、網(wǎng)絡帶寬相對較小的局限性。發(fā)展移動互聯(lián)網(wǎng)，絕不是簡單的互聯(lián)網(wǎng)移動化，也不是簡單的移動業(yè)務互聯(lián)網(wǎng)化，即簡單地以互聯(lián)網(wǎng)的模式運營移動業(yè)務。發(fā)展移動互聯(lián)網(wǎng)，要融合傳統(tǒng)互聯(lián)網(wǎng)上的優(yōu)秀模式，并結合移動互聯(lián)網(wǎng)的特點，尋找適合的業(yè)務模式和商業(yè)模式。

    云計算是互聯(lián)網(wǎng)領域的一個新熱點。已經(jīng)受到各大IT企業(yè)的關注。云計算將計算過程從用戶終端集中到“云端”，作為應用通過互聯(lián)網(wǎng)提供給用戶，計算過程通過分布式計算等技術由多臺計算機共同完成，多臺計算機組成的集合即所謂的“云”。用戶只關心應用的功能，而不關心應用的實現(xiàn)方式，應用的實現(xiàn)和維護只由其提供商完成，用戶根據(jù)自己的需要選擇相應的應用。云計算具有規(guī)模經(jīng)濟性，應用通過互聯(lián)網(wǎng)提供給多個外部客戶，多個客戶共享同一個應用，進而實現(xiàn)了計算在客戶間的共享，提高了處理器和存儲設備的利用率，也避免了用戶對信息系統(tǒng)的重復建設。云計算不僅僅是一個工具、平臺、網(wǎng)站或者架構，更是一種計算的方式和創(chuàng)新性商業(yè)模式。

    結合移動互聯(lián)網(wǎng)和云計算的特點，可以看出，云計算是適合移動互聯(lián)網(wǎng)應用的一種模式。首先，云計算將應用的“計算”從終端轉移到服務器端。從而弱化了對移動終端設備的處理需求。這樣，移動終端主要承擔與用戶交互的功能，復雜的運算交由云端(服務器端)處理，終端不需要強大的運算能力即可響應用戶操作，并將結果展現(xiàn)給用戶，從而實現(xiàn)豐富的應用。其次，云計算降低了對網(wǎng)絡的要求。比如，用戶需要查看某個文件時，不需要將整個文件傳送給用戶，而只需發(fā)送用戶需要查看的部分內(nèi)容。最后由于終端不感知應用的具體實現(xiàn)，擴展應用變得更加容易，應用在強大的服務器端實現(xiàn)和部署，并以統(tǒng)一的方式(如通過瀏覽器)在終端實現(xiàn)與用戶的交互。因此，云計算的大規(guī)模運算與存儲資源集中共享的模式，給移動互聯(lián)網(wǎng)的總體架構帶來重大影響，使得移動互聯(lián)網(wǎng)體系發(fā)生變化。

    同時，云計算及其服務的安全，尤其是云計算的虛擬化、多租戶和動態(tài)性等，為移動互聯(lián)網(wǎng)引入了一系列新的安全問題，主要表現(xiàn)在數(shù)據(jù)安全、隱私保護、內(nèi)容安全、運行環(huán)境安全、風險評估和安全監(jiān)管等多個方面。圍繞云計算應用模式下的移動互聯(lián)網(wǎng)安全問題及關鍵安全技術展開研究，對完善移動互聯(lián)網(wǎng)安全技術體系，保障移動互聯(lián)網(wǎng)演進安全具有重要的意義。

2 移動互聯(lián)網(wǎng)應用架構下云計算安全風險與安全體系

    引入云計算的移動互聯(lián)網(wǎng)應用架構發(fā)生極大改變，可將其分為“端”、“管”、“云”3個層面，如圖1所示。“端”指的是用戶接入“云”的移動終端設備，可以是筆記本電腦、PDA或手機等能夠完成信息交互的終端：“管”指的是信息傳輸?shù)木W(wǎng)絡通道，主要指電信運營商提供的通信網(wǎng)絡：

    “云”指的是提供ICT資源或信息服務的基礎設施中心、平臺和應用服務器等，提供的服務類型包括基礎設施、平臺和應用等。云服務模式包含了3個層面：基礎設施層面(IaaS)，如各種服務器、數(shù)據(jù)庫、存儲設備、并行分布式計算系統(tǒng)等；平臺層面(PaaS)，由運營、支撐和開發(fā)3個平臺組成；應用層面(SaaS)，提供軟件、數(shù)據(jù)和信息等各種應用。

    通過對云計算應用模式下的移動互聯(lián)網(wǎng)總體架構的分析以及對移動互聯(lián)網(wǎng)安全風險問題的系統(tǒng)性研究，能夠更準確地定義云計算應用模式下的移動互聯(lián)網(wǎng)總體安全架構，如圖2所示。根據(jù)在網(wǎng)絡結構中部署位置的不同，可以將該總體安全架構分為3個部分：移動終端安全機制、網(wǎng)絡安全機制和云端安全機制。

    移動終端是指移動互聯(lián)網(wǎng)的最終用戶設備，包括手機、PDA、便攜式電腦等；網(wǎng)絡部分既包括接入網(wǎng)，也包括IP承載網(wǎng)或互聯(lián)網(wǎng)。這兩部分的安全風險都可以從物理安全、系統(tǒng)安全、應用安全和數(shù)據(jù)安全等方面進行分析。例如，移動終端安全機制包括硬件設備安全標準、CCC／SRRC／通信入網(wǎng)認證等，終端操作系統(tǒng)安全機制、防病毒、系統(tǒng)漏洞攻擊等，數(shù)據(jù)安全及隱私保護機制、數(shù)據(jù)授權訪問、加密等；網(wǎng)絡安全機制包括網(wǎng)絡設備的環(huán)境安全，操作系統(tǒng)、數(shù)據(jù)庫等的訪問控制及入侵防御機制，用戶認證及數(shù)據(jù)加密機制A3／A8，ASE、Kasumi等。

    云計算的引入給移動互聯(lián)網(wǎng)帶來的新的安全風險主要體現(xiàn)在云服務端。新的計算模式帶來了對傳統(tǒng)業(yè)務模式的改造和新型業(yè)務服務的創(chuàng)新，在數(shù)據(jù)管理、應用部署、運行環(huán)境、服務模式等方面都引入了新的安全風險。因此，基于云端的安全機制，從數(shù)據(jù)保護、用戶隱私、內(nèi)容安全、運行環(huán)境安全、風險評估和安全監(jiān)管等核心安全問題人手，構建移動互聯(lián)網(wǎng)應用架構下的云計算安全技術體系框架，其框架如圖3所示。

    移動互聯(lián)網(wǎng)應用架構下的云計算安全技術體系框架主要包括5大組成部分：數(shù)據(jù)安全和隱私保護、虛擬化運行環(huán)境安全、差異化移動云安全接人、基于SLA的動態(tài)云安全服務、風險評估及監(jiān)管體系。其中，數(shù)據(jù)安全和隱私保護的方案貫穿安全技術體系的不同層次，而數(shù)據(jù)的所有權和管理權的分離正是云計算模式下最大的安全問題：虛擬化運行環(huán)境安全、差異化移動云安全接入、基于SLA的動態(tài)云安全服務分別是不同層次的安全問題研究點：風險評估及監(jiān)管體系能夠?qū)�來自不同層次的安全風險做出全面評估，并對其安全現(xiàn)狀進行監(jiān)控管理，反過來也能夠促進安全技術體系的完善，從而形成整個安全體系的良性循環(huán)。

3 關鍵安全問題

    云計算與移動互聯(lián)網(wǎng)的結合，不僅仍要面臨傳統(tǒng)互聯(lián)網(wǎng)技術以及移動通信網(wǎng)技術的雙重安全風險威脅，而且將云計算中的安全風險引入移動互聯(lián)網(wǎng)架構中。云計算及其服務的安全，尤其是云計算的虛擬化、多租戶和動態(tài)性等為移動互聯(lián)網(wǎng)引入了一系列新的安全問題，帶來了一系列挑戰(zhàn)，表現(xiàn)在數(shù)據(jù)安全、隱私保護、內(nèi)容安全、運行環(huán)境安全、風險評估和安全監(jiān)管等多個方面。

圖1 云計算應用模式下的移動互聯(lián)網(wǎng)總體架構

圖2 云計算應用模式下的移動互聯(lián)網(wǎng)總體安全架構

圖3 移動互聯(lián)網(wǎng)應用架構下的云計算安全技術體系框架

    3．1 數(shù)據(jù)管理方式引發(fā)的安全問題

    一方面，由于云計算模式下數(shù)據(jù)資產(chǎn)的所有權和管理權可能分離。客戶將通過移動互聯(lián)網(wǎng)對數(shù)據(jù)資產(chǎn)進行訪問和使用，客戶對數(shù)據(jù)資產(chǎn)安全的擔憂成為重要的安全障礙。當用戶或企業(yè)將所屬的數(shù)據(jù)外包給云計算服務商或委托其運行所屬的應用時，云計算服務商就獲得了該數(shù)據(jù)或應用的優(yōu)先訪問權。事實證明，由于存在內(nèi)部人員失職、黑客攻擊及系統(tǒng)故障導致安全機制失效等多種風險，云服務商沒有充足的證據(jù)讓用戶確信其數(shù)據(jù)被正確地使用。例如，用戶數(shù)據(jù)沒有被盜賣給其競爭對手：用戶使用習慣、隱私?jīng)]有被記錄或分析：用戶數(shù)據(jù)被正確存儲在其指定的國家或區(qū)域，且不需要的數(shù)據(jù)已被徹底刪除等。

    另一方面，移動終端與用戶的高黏合度導致數(shù)據(jù)的敏感度更高，信息泄露的危害更大。其永遠在線(always．on)的特性會招致更多的竊聽和監(jiān)視問題，其“個性化”容易引發(fā)涉及隱私，金融等的惡意代碼攻擊：較PC用戶，移動互聯(lián)網(wǎng)用戶缺乏安全意識，且其病毒傳播途徑多樣化，如短信、彩信、互聯(lián)網(wǎng)、藍牙、存儲卡等；較PC而言，移動終端對用戶的重要性增加，已經(jīng)如身份證一樣不可或缺，因此使得攻擊價值增大，危險度和嚴重性增加。固定互聯(lián)網(wǎng)的業(yè)務復制是目前移動互聯(lián)網(wǎng)業(yè)務發(fā)展的特點，而融合“移動”特征的業(yè)務創(chuàng)新則是移動互聯(lián)網(wǎng)業(yè)務發(fā)展的方向，這類新業(yè)務中包含位置信息等隱私數(shù)據(jù)，不應被云服務提供商隨意獲取而用于挖掘分析謀取商業(yè)利益。

    與固定互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)的惡意信息傳播方式多樣化，具有即時性、群組的精確性。移動互聯(lián)網(wǎng)傳播方式可以分為4種：通過短信／彩信進行群組消息傳送；通過MMSC／SMSC服務器在SNS、BBS及微博客等進行信息發(fā)布，在指定的群組中進行消息散布；通過即時消息，PushMail等交流溝通類業(yè)務在特定的群組中進行傳播。引入云計算后，移動互聯(lián)網(wǎng)的數(shù)據(jù)內(nèi)容安全更加復雜化，而云計算的虛擬化、多租戶和動態(tài)性等特點，使得惡意信息的傳播途徑和內(nèi)容的監(jiān)控管理難度更大。

    3．2虛擬化運行引發(fā)的安全問題

    在典型的云計算服務平臺中，資源以虛擬、租用的模式提供給用戶，這些虛擬資源根據(jù)實際運行所需與物理資源綁定。由于在云計算中是多租戶共享資源，因此，多個虛擬資源很多情況下會被綁定到相同的物理資源上。若云平臺中的虛擬化軟件中存在安全漏洞，則用戶的數(shù)據(jù)就會被其他用戶訪問。例如，2009年5月，網(wǎng)絡上曾經(jīng)曝光VMware虛擬化軟件的Mac版本中存在一個嚴重的安全漏洞，黑客利用該漏洞通過Windows虛擬機在Mac主機上執(zhí)行惡意代碼。特別是，如果主機受到破壞，那么主機所管理的客戶端服務器就有可能被攻克：如果虛擬網(wǎng)絡受到破壞，那么客戶端也會受到損害；如果主機有問題，那么所有的虛擬機都會產(chǎn)生問題。因此，如果云計算平臺無法實現(xiàn)用戶數(shù)據(jù)與其他企業(yè)用戶數(shù)據(jù)的有效隔離，用戶不知道自己的鄰居是誰、有何企圖，那么云服務商就無法說服用戶相信自己的數(shù)據(jù)是安全的。

    存儲虛擬化是實現(xiàn)云存儲的基本技術，通過將存儲系統(tǒng)，子系統(tǒng)的內(nèi)部功能從應用程序、計算服務器、網(wǎng)絡資源中進行抽象、隱藏或隔離，實現(xiàn)其獨立于應用程序、網(wǎng)絡的存儲與數(shù)據(jù)管理。存儲虛擬化技術將底層存儲設備進行抽象化統(tǒng)一管理，向服務器層屏蔽存儲設備硬件的特殊性，而只保留其統(tǒng)一的邏輯特性，從而實現(xiàn)了存儲系統(tǒng)集中、統(tǒng)一、方便的管理。采用虛擬化存儲，磁盤利用率高達70％-90％，而且可以很好地進行負載均衡，把每一次數(shù)據(jù)訪問所需的帶寬合理地分配到各個存儲模塊上，提高了系統(tǒng)的整體訪問帶寬，改變了過度配置、冗余過多等問題。然而，PaaS和SaaS應用為了實現(xiàn)可擴展、可用性、管理以及運行效率等方面的“經(jīng)濟性”，基本都采用多租戶模式，因此，被云計算應用所用的數(shù)據(jù)會和其他用戶的數(shù)據(jù)混合存儲(如Google的BigTable)。雖然云計算應用在設計之初已采用諸如“數(shù)據(jù)標記”等技術以防非法訪問混合數(shù)據(jù)，但是通過應用程序的漏洞。非法訪問還是會發(fā)生。在云計算環(huán)境中，數(shù)據(jù)殘留更有可能會無意泄露敏感信息，因此，云服務提供商應能向云用戶保證其鑒別信息所在的存儲空間被釋放或再分配給其他云用戶前能夠完全得到清除，無論這些信息是存放在硬盤上還是內(nèi)存中。

    3．3服務模式引發(fā)的安全問題

    云計算發(fā)展的趨勢之一是IT服務專業(yè)化，即云服務商在對外提供服務的同時，自身也需要購買其他云服務商所提供的服務。因而用戶所享用的云服務間接涉及多個服務提供商，多層轉包極大地提高了問題的復雜性，進一步增加了安全風險。在提供云計算服務時要考慮到不同企業(yè)、不同應用的差異化安全需求，根據(jù)用戶需求，結合移動互聯(lián)網(wǎng)應用架構。提供動態(tài)差異化的云安全服務，為不同用戶提供不同等級的安全保護服務。

    3．4風險評估方面的挑戰(zhàn)

    建立安全指導標準及其測評技術體系是實現(xiàn)移動互聯(lián)網(wǎng)云計算安全的另一個重要支柱。云計算安全標準是度量云用戶安全目標與云服務商安全服務能力的尺度。也是安全服務提供商構建安全服務的重要參考�；�于標準的“安全服務品質(zhì)協(xié)議”�？梢砸罁�(jù)科學的測評方法檢測與評估，在出現(xiàn)安全事故時快速實現(xiàn)責任認定，避免產(chǎn)生責任時互相推諉。建立云計算安全標準及其測評體系的挑戰(zhàn)在于以下3點。

    (1)云計算安全標準應支持更廣義的安全目標

    云計算安全標準不僅應支持用戶描述其數(shù)據(jù)安全保護目標，指定其所屬資產(chǎn)安全保護的范圍和程度：而且應支持用戶，尤其是企業(yè)用戶的安全管理需求，如分析查看日志信息、搜集信息、了解數(shù)據(jù)使用情況以及展開違法操作調(diào)查等。而這些信息的搜集可能會牽涉云計算服務商的數(shù)據(jù)中一b或涉及其他用戶的數(shù)據(jù)，帶來一定安全隱患。云計算商業(yè)運作模式仍不是十分成熟，用戶與云計算服務商之間的責任與權限界定得并不清晰，所以在管理范圍與權限上可能存在沖突，因此，需要以標準形式將其確定下來，明確指出信息搜集的程度、范圍、手段等，防止影響其他用戶的權益。不僅如此，上述安全目標還應是可測量、可驗證的，便于在相關規(guī)范中規(guī)定上述安全目標的標準化測量驗證方法。

    (2)云計算安全標準應支持對靈活、復雜的云服務過程的安全評估

    傳統(tǒng)意義上對服務商能力的安全風險評估方式是，通過全面識別和分析系統(tǒng)架構下的威脅和弱點及其對資產(chǎn)的潛在影響，確定其抵抗安全風險的能力和水平，但在云計算環(huán)境下，云服務提供商可能租用其他服務商提供的基礎設施服務或購買多個服務商的軟件服務，根據(jù)系統(tǒng)狀況動態(tài)選用。因此，標準應針對云計算中動態(tài)性與多方參與的特點，提供相應的云服務安全能力的計算和評估方法；同時，應支持云服務的安全水平等級化，便于用戶直觀理解與選擇。

    (3)云計算安全標準應規(guī)定云服務安全目標驗證的方法和程序

    由于用戶自身缺乏舉證能力，因此，驗證的核心是服務商提供正確執(zhí)行的證據(jù)，如可信審計記錄等。云計算安全標準應明確定義證據(jù)提取方法以及證據(jù)交付方法。

    3.5安全監(jiān)管方面的挑戰(zhàn)

    云計算在帶來巨大好處的同時，也帶來了巨大的破壞性。而網(wǎng)絡空間又是繼領土權、領空權、領海權、太空權之后的第五維國家主權，是任何主權國家必須自主掌控的重要資源。因此，應在發(fā)展云計算產(chǎn)業(yè)的同時大力發(fā)展云計算監(jiān)控技術體系，牢牢掌握技術主動權，防止其被競爭對手控制與利用。與互聯(lián)網(wǎng)監(jiān)控管理體系相比，實現(xiàn)云計算監(jiān)控管理必須解決以下3個問題。

    (1)實現(xiàn)基于云計算的安全攻擊的快速識別、預警與防護

    如果黑客攻入了云客戶的主機，使其成為向云服務提供商發(fā)動DDoS攻擊的工具，那么如果按照云計算對計算資源的付費方式，即根據(jù)實際使用進行付費，受控客戶將在不知情的情況下為黑客發(fā)起的資源連線支付巨額費用。不僅如此，與以往DDoS攻擊相比，基于云的攻擊更容易組織，破壞性更大。而一旦攻擊的對象是大型云服務提供商，勢必影響大批用戶，所造成的損失就更加難以估量。因此，需要及時識別與阻斷這類攻擊，防止重大的災害性安全事件的發(fā)生。

    (2)實現(xiàn)云計算內(nèi)容監(jiān)控

    云的高度動態(tài)性增加了網(wǎng)絡內(nèi)容監(jiān)管的難度。首先，云計算所具有的動態(tài)性特征使得建立或關閉一個網(wǎng)站服務較以往更加容易，成本代價更低，因此，各種含有黃色內(nèi)容或反動內(nèi)容的網(wǎng)站將很容易以“打游擊”的模式在網(wǎng)絡上遷移，使得追蹤管理難度加大。對內(nèi)容的監(jiān)管更加困難，內(nèi)容監(jiān)管時可能會涉及其他用戶的隱私問題。其次，云服務提供商往往具有國際性的特點，數(shù)據(jù)存儲平臺也�？缭絿�界，將網(wǎng)絡數(shù)據(jù)存儲到云上可能會超出本地政府的監(jiān)管范圍或同屬多地區(qū)、多國的管轄范圍，而這些不同地域的監(jiān)管法律和規(guī)則之間很有可能存在著嚴重的沖突，當出現(xiàn)安全問題時，難以給出公允的裁決。

    (3)識別并防止基于云計算的密碼類犯罪活動。

    云計算的出現(xiàn)使得組織實施密碼破譯更加容易，原來只有資金雄厚的大型組織才能實施的密碼破解任務，在云計算平臺的支持下，普通用戶也可以輕松實現(xiàn)，嚴重威脅了各類密碼產(chǎn)品的安全。在云計算環(huán)境下，如何防止單個用戶或者多個合謀用戶購得足夠規(guī)模的計算能力來破解安全算法，也是云計算安全監(jiān)管中有待解決的問題之一。

4 結束語

    在通過分析上述云計算模式下移動互聯(lián)網(wǎng)面臨的安全威脅的基礎上，建立云計算模式下移動互聯(lián)網(wǎng)的安全保護體系和體系架構，研究多層次的云計算模式下移動互聯(lián)網(wǎng)安全保障方法，提出相關安全技術標準與測評體系，解決移動終端安全、客戶數(shù)據(jù)安全和隱私保護、虛擬化運行環(huán)境安全和風險評估及安全監(jiān)管等問題，增強了云計算模式下移動互聯(lián)網(wǎng)的機密性、完整性、可驗證性和可用性，為基于云計算模式下的移動互聯(lián)網(wǎng)業(yè)務發(fā)展提供了參考。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://m.vmgcyvh.cn/

本文標題：云計算應用模式下移動互聯(lián)網(wǎng)安全問題淺析

本文網(wǎng)址：http://m.vmgcyvh.cn/html/consultation/1083979571.html