泛在接入作为云计算服务的特征之一,云环境下的网络安全问题也就自然地凸显出来了。云计算在网络风险方面主要有以下风险:
1.拒绝服务攻击:指攻击者想方设法使目标服务器停止服务甚至主机死机。在云计算中,黑客拒绝服务攻击服务器时,会有上万次的访问请求至服务器,造成服务器不能正常工作,及响应客户端的合法访问请求。针对此攻击,防御方式主要是通过入侵检测、流量过滤与多重验证,会堵塞网络带宽的流量过滤,放行正常的流量。
2.中间人攻击:网络通信中,若安全套接字配置有误,此风险就有可能出现。对该攻击手段,应对措施可是正确安装配置SSL,且通信之前应通过第三方权威机构核查确认SSL的安装配置。
3.网络嗅探:这原本是网络管理员查找漏洞和检测网络性能的工具,但到了黑客手中就变成了一种网络攻击手段,从而导致更严峻的网络安全问题。例如,在通信中,因数据密码设置太简单或没有设置,导致被黑客破解,那么没有加密的数据便被黑客借网络攻击得到。若通信双方未用加密技术保护数据安全性。那么攻击者作为第三方便可在通信的数据传输中窃取到数据信息。对此攻击手段可用的应对方法是通信各方借助加密技术及方法,确保数据在传输中安全。
4.端口扫描:这也是普遍的攻击方法,攻击者给目标服务器发一组端口扫描消息,并从返回的消息结果中寻找攻击的弱点。这类攻击可通过防火墙来保护数据信息不受端口攻击。
5.SQL注入:SQL注入是一种安全漏洞,用这个安全漏洞,攻击者可管控基于Web界面的网站,强制数据库使用不良SQL代码,获取用户数据信息。对此攻击应定期借助安全扫描工具渗透扫描服务器的web应用,这样可提前了解服务器上的SQL注入漏洞,并加固处理。另外,对数据库SQL注入攻击,应避免把外部参数用来拼接SQL语句,尽量用参数化查询,同时限制执行Web应用程序代码的账户权限,减少或消除调试信息。
6.跨站脚本:XSS是一种网站应用程序的安全漏洞攻击,属于代码注入的一种。它可让用户把恶意代码注入至网页上,其他用户在浏览时就会有影响。此类攻击一般含HTML和用户端脚本语言。攻击完成后,攻击者可能会有更高的权限来窃取私密网页内容、会话与cookie等信息。对此类攻击,最关键的应对策略是过滤用户提供的内容,防止恶意数据被浏览器解析。另外,可在客户端防御,如设高安全级别,及仅让信任的站点运行脚本、Java、Flash等。
