浅谈云计算的网络安全威胁与应对策略

　　3.2 中间人攻击

　　中间人攻击是另一种网络攻击手段。攻击者通过拦截正常的网络通信数据。并进行数据篡改和嗅探，而通信的双方却毫不知情。在网络通信中，如果安全套接字层（SSL）没有正确配置，那么这个风险问题就有可能发生。例如，如果通信双方正在进行信息交互，而SSL没有正确地安装，那么所有双方之间的数据通信，都有可能被黑客侵入获取。针对这种攻击手段，可以采用的应对措施是正确地安装配置SSL。而且使用通信前应由第三方权威机构对SSL的安装配置进行检查确认。

　　3.3 网络嗅探

　　网络嗅探原先是网络管理员用来查找网络漏洞和检测网络性能的一种工具，但是到了黑客手中，它变成了一种网络攻击手段，造成了一个更为严峻的网络安全问题。例如，在通信过程中，由于数据密码设置过于简单或未设置，导致被黑客破解，那么未加密的数据便被黑客通过网络攻击获取。如果通信双方没有使用加密技术来保护数据安全性。那么攻击者作为第三方便可以在通信双方的数据传输过程中窃取到数据信息。针对这种攻击手段，可以采用的应对策略是通信各方使用加密技术及方法，确保数据在传输过程中安全。

　　3.4 端口扫描

　　端口扫描也是一种常见的网络攻击方法，攻击者通过向目标服务器发送一组端口扫描消息。并从返回的消息结果中探寻攻击的弱点。应用服务器总是开放着各类端口应

　　用，例如80端口（HTTP）是为了给用户提供Web应用服务，再如21端口（FTP）是为了给用户提供n甲应用服务的。这些端口总是一直处于打开状态，应该在需要的时候打开。并且应该对端口进行加密。针对此类攻击，可以启用防火墙来保护数据信息免遭端口攻击。

　　3.5 SQL注入攻击

　　SQL注入是一种安全漏洞，利用这个安全漏洞，攻击者可以向网络表格输入框中添加SQL代码以获得访问权。在这种攻击中。攻击者可以操纵基于Web界面的网站，迫使数据库执行不良SQL代码，获取用户数据信息。针对这种攻击。应定期使用安全扫描工具对服务器的Web应用进行渗透扫描，这样可以提前发现服务器上的SQL注入漏洞，并进行加固处理；另外，针对数据库SQL注入攻击，应尽量避免使用单引号标识，同时限制那些执行Web应用程序代码的账户权限，减少或消除调试信息。

　　3.6 跨站脚本攻击

　　跨站脚本攻击指攻击者利用网站漏洞恶意盗取用户信息。用户在浏览网站内容时，一般会点击网站中的链接，攻击者在链接中植入恶意代码，用户点击该链接就会执行

　　该恶意代码，将用户重定向到一个攻击者定制好的页面中，并盗取用户cookie等敏感数据。跨站点脚本攻击可以提供缓冲溢出、DoS攻击和恶意软件植入Web浏览器等方式来盗取用户信息。对付此类攻击，最主要的应对策略是编写安全的代码，避免恶意数据被浏览器解析；另外，可以在客户端进行防御，如把安全级别设高，只允许信任的站点运行脚本、Java、flash等小程序。

　　跨站脚本攻击示意如图2所示。

　　图2 跨站脚本攻击示意

　　4.云计算的安全问题

　　根据调查统计，云计算主要面临以下7种安全问题，下面逐一进行探讨分析。

　　4.1 XML签名包装

　　XML签名包装是常见的Web服务攻击漏洞，XML签名元素包装原本是用于防止组件名、属性和值的非法访问，但它无法隐蔽自己在公文中的位置。攻击者通过SOAP（simple obiect access protocol，简单对象访问协议）消息携带内容攻击组件。对付此类攻击的策略是使用类似证书颁发机构这样的第三方授权的数字证书（如X.509）和WS。SecurITy的XML签名组件。具备组件列表的XML就可以拒绝有恶意文件的消息以及客户端的非法消息。

　　4.2 浏览器安全性

　　当用户通过Web浏览器向服务器发送请求时。浏览器必须使用SSL来加密授权以认证用户，SSL支持点对点通信，这就意味着如果有第三方，中介主机就可以对数据解密。如果黑客在中介主机上安装窥探包，就可能获取用户的认证信息并且使用这些认证信息在云系统中成为一个合法的用户。应对这类攻击的策略是卖方在Web浏览器上使用WS-securITy策略。因为WS-securITy工作在消息层，可使用XML的加密策略对SOAP消息进行连续加密，而且并不需要在中间传递的主机上进行解密。

　　4.3 云恶意软件注入攻击

　　云恶意软件注入攻击试图破坏一个恶意的服务、应用程序或虚拟机。闯入者恶意地强行生成个人对应用程序、服务或虚拟机的请求，并把它放到云架构中。一旦这样的恶意软件进入了云架构里，攻击者对这些恶意软件的关注就成为合法的需求。如果用户成功地向恶意服务发出申请，那么恶意软件就可以执行。攻击者向云架构上传病毒程序，一旦云架构将这些程序视为合法的服务。病毒就得以执行，进而破坏云架构安全。在这种情况下，硬件的破坏和攻击的主要目标是用户。一旦用户对恶意程序发送请求，云平台将通过互联网向客户传送病毒。客户端的机器将会感染病毒。攻击者一般使用散列函数存储请求文件的原始图像。并将其与所有即将到来的服务请求进行散列值比较。以此来建立一个合法的散列值与云平台进行对话或进入云平台。因此对付这种攻击的主要策略是检查收到消息的真实有效性。