保护企业信息安全的物流云平台技术

（一）云平台的风险

1.云安全技术风险

（1）虚拟化层面风险。云计算中核心的技术就是虚拟化技术，通过虚拟化技术可以衍生出更多的虚拟操作系统，以满足多租户、高利用率以及资源共享的特性。利用虚拟化带来的可扩展性有利于加强在基础设施、平台、软件层面提供多租户云服务的能力，但虚拟化技术也会带来多个安全问题。如果物理主机受到破坏，其所管理的虚拟服务器因为与物理主机存在信息交流，也有可能被攻克；若物理主机和虚拟机不交流，则可能存在虚拟机逃逸；如果物理主机上的虚拟网络受到破坏，由于存在物理主机和虚拟机的交流，并且一台虚拟机监控另一台虚拟机的场景，导致虚拟机也会受到损害。云计算环境也存在用户到用户的攻击，虚拟机和物理主机的共享漏洞有可能被非授权用户利用。如果物理主机存在安全问题，那么其上的所有虚拟机都可能存在安全问题。

（2）数据加密存储和内存擦除技术风险。云计算环境下，用户的所有数据直接存储在云中。为了保护数据的隐私，数据在云端以密文形式存放，通过最小的计算开销实现可靠的数据保密性。同时，在云计算中，信息检索是一个常用的功能，因此支持搜索的加密是云安全的一个重要要求。传统的基于关键字的加密搜索存在三个问题：一是只支持精确匹配，对于输入内容的格式要求严格，本身容错性较差；二是不支持返回结果排序；三是不支持多关键字搜索。针对这三个问题，目前的研究主要关注加密数据的模糊搜索、搜索结果的排序和多关键字搜索。

内存擦除技术是指云服务器在不关机的情况下，租户的机器在关闭之后，其内存上的内容是否会被擦除，如果被擦除会不会有数据残余留在内存上，这种残留数据是否能够恢复出完整的数据信息，造成隐私的泄露问题，所以云服务商应该对所释放的空间进行完全地清除后再给其他用户。

（3）脆弱的API。随着时间的推移，越来越多的云计算产品出现在网络上，其中开源度也越来越大，比如业界使用最多的云平台管理工具Openstack、Cloudstack以及Eucalyptus等都可以在开源网站上下载到其源代码。源代码的脆弱性也就暴露给了黑客，使得他们有更多的机会和时间来找寻ODay漏洞，这些漏洞就是潜在的威胁，会对云环境造成不可估量的损害。

还有一点就是应用集成，其API的流行度也在与日俱增，它们有助于应用（与互联网连接目标）之间相互请求数据。然而，通过API的核心业务数据，使它们更容易受到黑客的攻击，增加入侵攻击、数据盗窃和DOS攻击的风险。

2.云安全管理风险

（1）企业风险管理。企业风险管理（ERM）植根于每个组织向股东提供价值的承诺。所有的业务都存在不确定性，管理层的挑战之一是决定一个组织如何衡量、管理和降低不确定性。不确定性既是机遇也是风险，可能增加或减少组织及其战略的价值，信息风险管理是识别和理解风险暴露、风险管理能力以及数据所有者偏好和承受能力。在为云计算管理选择方案时，存在许多的不确定性收益和风险，这些都会影响到从风险或业务收益的角度决策是否应用云计算服务，每一家公司都必须要权衡这些不确定性，以决定是否采用云计算解决方案。

（2）安全审查。云计算为企业带来许多好处，包括优化资源利用率、为云计算租户节约成本、转换资本开销、资本开销（CAPEX）转化为运营成本（OPEX）、客户的IT动态扩展能力、缩短新应用程序开发或部署的生命周期、缩短新业务实施的时间。

用户应该将云服务和安全视为供应链安全问题，这意味着需要最大限度地检查和评估服务提供商的供应链（服务提供商的关联和依赖关系），这也意味着需对服务提供商自身的第三方管理进行审查。

3.云计算法律风险

云计算最大的风险之一源于其数据特性，它允许数据被传送和保存在几乎任何地方，甚至分开保存在世界的不同位置。各国监管法律的不同导致对数据安全的界定会有所不同，这样产生的法律风险是难以避免的。

纵观全球，众多国家有着不计其数的法律、法规，它们要求公共组织和私营机构要保护个人数据的隐私性、信息和计算机系统的安全性。例如在亚太地区，日本、澳大利亚、新西兰以及许多国家已经通过数据保护法律。这些法律要求数据的控制人依据经合组织（Organization for Economic Co-operation and Development，简称OECD）的隐私及安全指导意见，以及亚太经合组织（Asia-Pacific Economic Cooperation，简称APEC）的隐私框架采用合理的技术、物理和管理措施来防范个人数据遭受丢失、滥用或是篡改。

4.云计算其他风险

云环境的复杂性是由其混合技术的融合使用所导致，因此未知的不可预见性的风险也会产生。一种可能是，技术上可以实现但带来了安全风险，解决起来可能会导致一定的威胁性；另一种可能是，技术上暂时实现不了的，无法应用到云计算当中去。在云环境下，管理、法律和技术三种不同行业融合到一个体系中，必然会带来各种各样问题。有可能是以前遇到过的，也有可能是没有遇到过的，这种未知性与盲目性很大程度上会抑制云计算的快速发展。

（二）云安全架构及关键技术

1.用户层

（1）安全问题。1）身份认证。Web浏览器是一个典型的客户端应用程序，可以用来访问Web网页、Web应用程序、云服务（SaaS）或者Web 2.0服务。它使用SSL/TLS协议来进行安全的身份验证，因此基于浏览器的云身份验证攻击直接影响到云应用程序的安全。攻击者可以获得其他用户的XML标记（在浏览器中的身份验证相关凭证），并访问受害者的服务。

解决方案：可以通过XML签名和XML加密来增强浏览器的安全性。然而，XML签名包装攻击使攻击者能够改变签名数据包的内容而不使签名失效。

2）不安全的接口和API。云计算服务商需要提供大量的网络接口和API来整合上下游客户、发展业务伙伴甚至直接提供业务。但是，从业界的安全实践来看，开发过程的安全测试、运行过程中的渗透测试等，不管从测试工具还是测试方法等，针对网络接口和API都还不够成熟，这些通常工作于后台、在相对安全环境中运行的功能被开放出来后带来了额外的安全入侵入口。

可行对策：加强接口和API在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践，广泛采用加密、认证、访问控制、审计等安全措施以及更加全面的安全测试。

3）服务可用性。首先，云计算以宽带网络和Web方式提供服务，其可用性方面将会受到挑战，针对云计算服务的拒绝服务攻击，需要云计算服务提供商认真调查、采取相应的专门保护措施。其次，云计算快速弹性的特征要求服务提供商自身必须具备非常强大的网络和服务器资源来支撑，按需自服务的特征又对业务开通和服务变更等环节提出了灵活性的要求。这两个特征结合在一起，使得云计算服务很容易成为滥用、恶意使用服务的温床。

可行对策：加强抗拒绝服务攻击的能力。在云计算服务的设计阶段加强安全考量，对可能的安全威胁建立场景用例，并在业务逻辑设计过程中予以专门防护。严格设计首次注册和验证过程，实施欺诈行为监控和协调，监控公共黑名单，查看用户是否被列为垃圾邮件和恶意软件来源而被阻止。针对来自网络的投诉和监管机构的问询快速响应。

4）数据泄露。事实上，数据泄露是云计算、特别是公共“云”普遍存在的安全问题，组织的管理层和IT决策人需要仔细评估云计算提供商对数据的保护能力。

可行对策：从设计到运行，对数据的传输、处理和存储等各环节提高加密和核查能力。定义良好、组织得当的密钥生成、存储、管理和销毁策略非常重要，明确规定云提供商的数据备份、恢复、销毁等各个环节的数据安全控制。

（2）关键技术

1）可信访问控制。由于无法信赖服务商实施用户定义的访问控制策略，所以在云计算模式下，研究者关心的是如何通过非传统访问控制类手段实施数据对象的访问控制。其中，得到最多关注的是基于密码学方法实现访问控制，包括：基于层次密钥生成与分配策略实施访问控制的方法；利用基于属性的加密算法，如基于属性加密方案（KP-ABE）的密钥规则；基于代理重加密的方法；在用户密钥或密文中嵌入访问控制树的方法等。

2）数据存在与可使用性证明。由于大规模数据所导致的巨大通信代价，用户不可能将数据下载后再验证其正确性。因此，云用户需在取回很少数据的情况下，通过某种知识证明协议或概率分析方法，以高置信概率判断远端数据是否完整。典型的工作包括：面向用户单独验证的数据可检索性证明（POR）方法，公开可验证的数据持有证明（PDP）方法，NEC实验室提出的PDI（Provable Data Integrity）方法等。

3）数据隐私保护技术。云中数据隐私保护涉及数据生命周期的每一个阶段。Roy等将集中信息流控制（DIFC）和差分隐私保护技术融入云中的数据生成与计算阶段，提出了一种隐私保护系统Airavat，防止Mapreduce计算过程中非授权的隐私数据泄露出去，并支持对计算结果的自动解密。(www.xing528.com)

4）云资源访问控制。在云计算环境中，各个云应用属于不同的安全管理域，每个安全域都管理着本地的资源和用户。当用户跨域访问资源时，需在域边界设置认证服务，对访问共享资源的用户进行统一的身份认证管理。

2.云服务提供层

（1）安全问题。云服务是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。

1）云服务的安全性。随着越来越多的系统迁移到云架构上，越来越多的大型企业开始尝试云计算，尤其是公共云计算，随之而来的是，大型公共云服务供应商将成为不良网络用户的攻击目标，比如数据窃贼数量将比目前增加很多。另一个与安全相关的趋势是：在2012年，世界各地有关数据安全保护和隐私安全保护的相关法律将会陆续出台，其中一些法律条款很可能会对云计算的发展产生潜在的重大影响。

2）云服务的可靠性。人们关注的另一个焦点是云计算服务的可靠性，这是因为逐渐将越来越多的企业应用与服务迁移到云环境，其中很多应用和服务都涉及企业的日常运作。可靠性问题源自于云服务的两个相关因素，其一是云服务的复杂性；另一个因素是架构，目前称得上完善的公共云架构很少，而企业移植到云环境的服务和应用程序，在设计时以及追求最佳体验的过程中，很可能还会降低云架构的可靠性。

（2）身份识别和访问控制的安全技术。

1）IAM（Identity and Access Management）。IAM即“身份识别与访问管理”。通俗地讲IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产，提供集中式的数字身份管理、认证、授权、审计的模式和平台。IAM的标准与规范将有助于机构在云计算中实施有效果、有效率的用户访问管理实践及流程。

2）SAML（Security Assertion Markup Language）。SAML是最成熟的、应用最广泛的、基于浏览器的单点登录规范集，当用户通过了身份服务的认证后，就可以自由访问在信任域内提供的云计算服务，从而避免云计算专用的单点登录程序。由于SAML支持代理（单点登录），通过使用基于风险的认证策略，用户可以为某些云计算服务选择实施强认证（多因素认证）。使用机构的IdP（身份提供商）可以很容易实现，支持强认证和委派认证。简言之，SAML将使云计算服务提供商无须了解用户的认证需求。

3）服务供应标记语言（SPML）。SPML是基于XML框架，由结构化信息标准推动组织开发，用来在合作组织间交换用户、资源和服务供应信息。SPML是新兴的标准，可以帮助机构为云计算服务自动化用户开通身份（例如，运行在客户端应用程序或服务向Salesforce.com提出请求，请求创建新账户）。SPML的使用，可以使用户或系统的访问以及享有的权限实现标准化和自动化，这样用户不会局限于私有解决方案中。

4）CA认证。云服务的快捷、便利、开放性是其快速发展的根本，但“云”的应用不能以泄密为代价，安全由此成为云应用的迫切需求。确保云服务安全的根基在于云入口的身份管理，在身份管理领域，CA电子证书安全认证系统是较可靠的管理方式。通过CA系统建立“身份可信任机制”，将是“云安全”实现的关键点之一。

（3）信任的安全技术。信任问题是云计算中的一个关键问题。因为用户缺乏对资源的控制，因此在使用云服务时，他们必须依赖信任机制和带有补偿规定的合同。信任是一个非常模糊的概念，并且在异构环境下，信任程度很难被准确计算。服务承包商可能在用户不知情的情况下进行二次分包，用户对网络和系统所拥有的有限可见性是信任的主要来源。信任问题可以通过向用户提供对检测系统具有足够多的观察权限来解决。

为了增强云计算和云存储等服务的可信性，可以从两个方面入手，一方面是提供云计算的问责功能，通过记录操作信息实现对恶意操作的追踪和问责。对云服务器的行为的问责机制，可显著提高云计算平台的可信度。另一方面是构建可信的云计算平台，通过可信计算、安全启动、云端网关等技术手段达到云计算的可信性。

（4）安全相关的法律、法规、标准。审计内部、外部流程必须要与常规的要求、用户的协议、法律、法规相一致。云计算的多租户特性增加了虚拟机监控和日志记录的难度。由于云计算的动态特性，很难配合审计和外部监管机构对云的审计和符合性判断。针对云，有几种不同的符合性要求。

隐私符合性：只有数据的拥有者对外包数据的安全和隐私负责，即使该数据被服务提供者所持有。之所以这样要求是因为每个国家有不同的法律和法规。这种情况也构成了数据的安全性、机密性和可用性方面的风险。因此，需要为用户提供一个透明的、可控的管理数据的环境。

地理符合性：如果租户或云客户在欧美国家，他们将会面临有相当多的监管要求，包括信息及相关技术的控制目标。这些法律可能涉及数据在哪里存放或者传输以及数据在安全保密性方面是如何被保护的。

3.云虚拟层

（1）虚拟机安全。

1）旁通道攻击。利用共享同一台物理机的虚拟机之间存在的旁通道进行攻击。旁通道攻击包括两个阶段：判断两个虚拟机是否同在一台物理机上；通过缓存级旁通道窃取数据。

2）虚拟机监督程序安全性。在云基础设施中，虚拟机监督程序对于运行在物理机上的虚拟机进行监督，是物理机上具有最高权限的软件。因此，虚拟机监督程序的安全性非常重要。Azab等提出了HyperSentry，通过安全硬件设计的方法来增强虚拟机监督程序的完整性。

（2）虚拟机镜像安全。云中共享虚拟机镜像带来了安全风险。镜像的拥有者担心的是镜像的保密性，如是否未经授权的访问。镜像的使用者关心的是镜像的安全性，如镜像中是否有病毒来破坏或者窃取使用者的个人信息。亚马逊的EC2平台上运行的实例可以很容易地被各种各样地攻击所破坏，如Signature-Wrapping攻击，跨站脚本（XSS）攻击和DoS攻击等。攻击者可以创建、修改和删除虚拟机镜像，改变管理密码和虚拟机配置。另外，使用过期软件和盗版软件也是虚拟机的安全威胁之一。

4.物理资源层

网络是云的支柱，因此网络方面的漏洞直接影响云的安全性。安全问题在网络层次上需要考虑网络外部和网络内部。一个位于云网络外部的攻击者通常会发起DoS/DDoS攻击来降低带宽、增加阻塞，使得提供给用户的云服务质量变差。由于云计算分布式的特性，所以很难阻止DoS/DDoS和EDoS之类的攻击。另外，网络层常见的外部攻击还有DNS病毒攻击、嗅探攻击、端口扫描、跨站脚本、ARP欺骗、IP欺骗和钓鱼攻击，利用这些攻击，攻击者可以获得云资源的合法访问权限。

对于内部攻击者而言，由于他可能是具有授权的合法用户或者体系内的用户，所以他比外部用户更容易进入云系统。作为一个内部的攻击者，他比外部攻击者具有更高的权限和信息（网络、安全机制和资源）来发动攻击。因此，内部攻击者发动攻击要比外部攻击者容易得多。

网络层主要的安全问题有：网络协议的漏洞、访问控制、攻击、后门、会话劫持和明文传输等。

为了解决网络层的这些安全问题，主要的云提供商如Amazon、Window Azure、Rack Space、Eucalyptus等，将它们的应用程序放在了防火墙之后。然而，防火墙只能保障网络边界的安全性而不是网络内部的安全性。所以可以使用NIDS（Network Based Intrusion Detection System）来部分解决这个问题，并且要将NIDS设置为检测内部、外部入侵的工作模式。同时，对于加密流量的攻击，NIDS也应该能够进行检测。

【注释】

[1]崔振山，马春光，李迎涛.物联网感知层的安全威胁与安全技术[J].学术交流，2012（11）：61-65.

[2]沈苏彬.物联网的体系结构与相关技术研究[J].南京邮电大学学报，2009，6（29）：1-11.