重要科技信息系统在云平台上的安全问题研究

　　摘要：现如今，重要科技信息系统逐步向云平台转移，一些安全性的问题也逐渐暴露在我们的眼前。本文主要对这些问题做出了较为细致的分析，并提出了一些针对性的方法作为解决的措施，以供大家参考。

　　关键词：重要科技信息系统;隐患;对策

　　目前，大多数的科技公司为了提高工作的效率，都建立起了属于自己的科技管理信息系统。但随之而来的一些安全性的问题，使得这些科技公司高度的重视。一旦这些问题爆发，严重的就会导致社会秩序失去平衡。所以国家对此做出相应的规定，将这些系统划分为各个安全等级。

　　一、重要科技信息系统的特点

　　科技管理部门的业务事项办理过程的更加复杂的方面，例如，从一个技术项目申报竣工验收可能需要数年，涉及多个单位，所以其信息系统和一般商业型信息系统有很大的不同，高的网络和信息安全的需求。一般来说，这种重要的科技信息系统具有四个特点。

　　(一)重要用户是可控的

　　科技管理的使用者一般是科技行政部门的公职人员，申报的使用者一般是参与科技活动的企事业单位的职工[1]。这些重要用户的网络位置在很多情况下是相对固定的，比如大部分科技项目的审批流程都是在科技行政部门固定办公室的网络上完成的。

　　(二)应用边界较为明确

　　不同用户要求的应用功能模块是有限制的，有边界的，比如评审专家只能看到评审模块，申报用户只能看到申报模块..

　　(三)应用流程基本固定

　　这些方法通常应用于预先设定的固化，应用逻辑和可靠，只要相关的部件没有被窜改，在系统中的行为可以被预测[2]。

　　(四)专用网络和公共网络的界限比较明确

　　由于一些安全性的理由，一些重要的科技资讯系统已建立专用网络，在逻辑上甚至在物理上与公共网络隔离。

　　二、云平台上存在的问题分析

　　在重要的科技信息系统移植到云平台后，系统核心数据的安全性应得到优先重视。这些数据的泄露或丢失可能对国家、社会和个人造成损害，并可能严重影响社会秩序和公共利益，必须对云中可能存在的问题有一个清楚的认识。

　　(一)云上业务安全风险

　　系统迁移到云平台后存在几大安全隐患。

　　1.安全责任难以界定

　　云平台的管理和运营主体不同于数据安全的责任主体，如何界定它们之间的责任也没有明确的定义。不同的服务模式和部署模式，云平台环境的复杂性也增加了云服务提供商和客户之间责任界定的难度..负责相当数量的重要的科学和技术信息系统的存在和运行维护部门一定的误解，认为部署在云平台系统，云服务提供商必须负责所有网络信息的安全性，有意或无意地忽视自己的责任和义务，这是不符合有关法律，法规的要求[3]。另一方面，一些云服务提供商推出的一般安全服务可能会偏离系统的要求，需要更多的定制和磨合，这对云服务提供商的技术和服务质量提出了更高的要求。

　　2.数据保护更加困难

　　云平台利用虚拟化等技术实现计算资源在多个用户之间的分配和调度。虚拟主机之间的隔离和保护很容易受到攻击，例如，在早期aliyun的经典网络模型中，其他租户可以在没有正确安全配置的情况下监听别人的通信。这种外部云服务提供商可能会使用第三方功能，性能组件，使云平台结构更加复杂和动态..这些都是为了使数据保护，防止未经授权的访问，修改，披露或威胁损失增大系统面临更加困难[4]。此外，虚拟化技术本身也存在新的安全风险。例如，VMware的许多产品都暴露了各种各样的安全漏洞。有些甚至可以绕过保护直接访问虚拟主机。

　　3.数据备份复杂

　　在传统的数据中心中，有许多实现数据备份的技术方法，如公用磁带、磁带库等备份介质，使得数据恢复演练更加方便。这些需要物理备份媒体的方法很难在云平台上实现。云服务提供商提供多副本快照等技术，提供系统和数据备份及恢复功能。然而，这些技术大多对数据逻辑错误和删除无能为力。

　　三、云平台上的安全对策

　　(一)云平台上系统安全管理措施

　　1.明确安全管理责任

　　重要的科学和技术信息系统，一般选择商业云平台或政府基于云计算平台的IaaS模式，通过科技部门和云服务提供商，科技主管部门的信息系统本身，操作系统的运行时环境中共享保障体系的责任，虚拟机主机的安全性等方面，安全性等方面是云服务提供者的责任。双方以合同形式签订安全责任书。

　　2.加强系统安全检测与安全监控

　　科技主管部门应协调系统开放商和安全服务商对系统源代码进行重点关注，进行源代码级别的安全检测和漏洞修复，防止系统被入侵。同时，需要每分钟对网站的可用性进行安全检查，及时发现入侵行为，并且配置合理、有效的报警系统。在传统的机房中，需要将SMS-cat等报警方式调整为云环境下的SMS等其他方式。

　　3.系统运行环境安全加固

　　在系统迁移到云平台并正式发布之前，必须对云平台的虚拟服务器操作系统、数据库系统、应用中间件和系统源代码进行全面测试和安全保护，以提高系统的整体安全性，降低被入侵的风险。系统正式上线前，必须按有关规定进行安全等级评价，达到相应的安全等级要求后方可正式上线..对于发现的安全隐患，应及时保障制度改革后才安全级别要求满足正式上线。

　　4.主机系统入侵感知

　　在虚拟机系统上部署人身入侵感知监控系统，实时监控服务器操作系统，防止服务器被入侵、植入后门和木马，确保服务器被攻击者非法控制，并定期分析报警信息。

　　信息安全论文投稿刊物：网络安全技术与应用期刊宗旨传达与反映政府行业机构的政策、策略、方法，探索与追踪技术应用的最新课题、成果、趋势，透视与扫描企业、人物及产业项目的形象、风采、焦点，推动并引领行业整体进步和发展。

　　结束语：

　　综上所述，虽然目前云平台的安全性还不是很高，但这个问题在未来一定会得到解决，我们必须面对这一挑战。随着科学技术的发展，各种信息安全技术被不断的发明出来。

　　参考文献：

　　[1]林劲松,方延风.重要科技信息系统在云平台上的安全问题研究[J].网络空间安全,2017(Z2).

　　[2]廖志戈.云计算在智能电网中的应用及其安全问题研究研析讨论[J].科技创新导报,2019,16(05):37+39.

　　[3]刘镇源.基于云平台的大数据信息安全机制研究[J].通讯世界,2017(22):49.

　　[4]刘志强.云计算数据安全问题与对策研究[J].中国科技信息,2012(5):62-62.

　　作者：孙晓东