快速云：探讨云计算环境的web应用数据安全

2.1 虚拟化技术

云计算是利用虚拟化技术构建可扩置、易配置和按量按需提供的计算与存储资源。虚拟化技术将IO设备、内存、计算和存储资源集中成一个强大的虚拟数据中心及资源池，为整个网络提供服务[3]。

2.2 数据分布式存储

采用分布式存储的方式来存储数据来保证存储数据的高可靠性，通过高可靠的软件来弥补硬件的不可靠，以实现能为用户提供经济的可靠系统。

2.3 数据管理

高效地管理海量数据集是云计算数据管理技术的关键，有效地在数据集群中找到特定的数据是数据管理技术的基础。云计算数据管理技术主要采用行和列的存储方式对数据进行管理，保证海量数据存储和分析性能。云计算最著名的数据管理技术是Google的BigTable和Apache下Hadoop开源组织团队的HBase数据管理技术[4]。

2.4 云监测及能耗管理等技术

云监测是体现云计算的强大计算处理能力而设置的对虚拟机进行监控的能力。能耗管理是如何节省云端设施中计算设施所需要的能源和资源，来节省能耗开销，从而降低运营的成本。

3利用云计算环境搭建web应用的优势

云计算有很多优势，可以提高资源的利用率、减少投入成本、降低运营的成本[5]。利用云计算环境来搭建web应用，可大大降低web应用建设中的软硬件成本。云计算用于web应用的主要形式有SAAS软件服务，包括门户网站、OA、CRM、ERP等系统集成在统一平台上，通过浏览器，把程序传给成终端用户，企业可以用同一个系统供多用户使用，并节省大量IT资源，无须进行一次性的IT投入，省去了安装和管理软件和硬件的费用，按自己的实际使用情况来付费，这样无形中使得企业的经济效益达到最大化。

目前，各级大中小型企业都配备大量的计算机和网络设备，但是随着计算机技术与企业需求的更新换代，企业往往需要花费一大笔钱来购买新的设备和升级软件。这样就有很多早期储存容量比较小的计算机会被企业淘汰。依靠云计算，企业仍可以继续使用这些旧的计算机作为终端设备接入网络获取所需的服务，从而大大降低企业计算机系统中的成本。

4云计算环境的web应用数据安全问题

web应用数据存储在云端，存在被攻击的威胁，目前围绕云计算web数据安全的斗争愈演愈烈，软件本身可能存在漏洞，黑客攻击云计算数据中心存在信息泄露和服务瘫痪的威胁，各种新攻击和防护技术层出不穷。这些新攻击和防护技术所带来的web数据安全问题尤其突出，因此很有必要对这些新攻击和防护技术所带来的web数据安全问题进行系统分析。我国基于云计算的web数据安全问题越来越严峻，造成这种局面的主要原因有如下几个方面：

4.1 资金投入较低

目前国内信息安全投入不足1%，远远低于美国和日本[6]。目前国内企业在web应用数据安全建设方面的重视和投入都不足，应对像勒索病毒的攻击还是有很大的提升空间。

4.2 防护水平不高

web应用数据安全防护水平不高，应急能力也不强，web应用数据安全管理和技术人才比较缺乏，关键技术整体比较落后，再加上长期缺乏核心竞争力，造成web应用数据安全管理薄弱，有待加强。

4.3 法律法规有待完善

国内的web信息安全法律法规和相关标准不完善，随着我国第一部网络安全相关立法《网络安全法》于2017年6月1日正式落地实施，国家出台的这部法律有利于保障网络数据安全，法治保障体系建设已初具规模，但仍然存在着法律法规内容可能重复交叉、规章与行政法规相抵触、处罚幅度不一致等一些弊端。

4.4 安全意识不强

企业对于web应用数据安全意识不强，在设计web应用的时候就要具备安全的意识和防范的能力，对于web应用数据安全问题造成的损失和可能带来的损失缺乏预见性，也缺少防范措施。

5云计算的web应用数据安全的检测技术

云计算环境下web数据安全的检测技术主要有黑盒测试、白盒测试、灰盒测试，其中灰盒测试可以综合黑盒测试和白盒测试的优点。

5.1 web应用的黑盒测试

黑盒测试主要使用的技术是利用网络爬虫爬行分析URL进行检测，两个主要的问题是URL的提取以及爬行策略的选择。URL的提取会影响到漏洞检测的准确性和有效性，选择何种爬行策略关系到爬行的效率[7]。

（1） URL的提取

网络爬虫把一些需要爬取的网站URL作为种子URL，并添加到待抓取数据库中，将读取的URL进行DNS解析，然后把页面上的内容下载下来，存放到网页数据库中，同时把这些URL放入已抓取数据库中，如果URL在已抓取数据库中己存在则不用再重复抓取，只有在URL还未被抓取的情况下再将其添加到待抓取数据库中，直到待抓取URL数据中的链接个数全部抓取完毕。

（2） 爬行策略

爬虫算法分析是对目标网站进行爬取时，把网页上的链接看作是一个有向图，可选择任意一个链接开始爬取，遵循事先设定的策略对网页上链接进行爬行，使用一个好的爬行策略可以提高爬行的效果。爬行策略常用的有广度优先策略、深度优先策略和最佳优先策略，广度优先策略是按层次来爬行，深度优先策略是按照深度来爬行，最佳优先策略是按照一定的算法选择一个最佳路径来爬行。

5.2 web应用的白盒测试

白盒测试是对代码进行静态分析的测试技术，也叫内部测试技术，需要精通程序代码，通过对源代码进行分析，找出可能含有的漏洞，对代码中的变量和函数进行测试，并测试用户输入的边界值，web应用中使用白盒测试的一般为熟悉web应用的程序员或测试人员，这种测试技术代码覆盖率和准确性很高，能够检查类型变量、检测用户输入和检测高风险函数，缺点是容易發生误报及人工检测成本比较高[8]。

5.3 web应用的灰盒测试

灰盒测试是综合了黑盒测试技术和白盒测试技术，既有程序内部代码的测试，也有程序运行时的状态。灰盒测试充分利用了黑盒测试和白盒测试的技术优点，既可以保证代码覆盖率和准确性，又可以降低检测的误报率和漏报率，灰盒测试根据实际情况选择白盒测试技术，对代码进行静态分析，如果测试之后可能存在漏洞则启用黑盒测试，对URL进行扫描分析，查出漏洞则生成漏洞报告，灰盒测试流程图如图1所示。

6云计算的web应用数据安全防范策略

针对云计算web应用的数据安全问题，提出通过强化web应用安全意识、强化web应用安全管理、实时进行web应用安全检测和建立web应用安全监控体系来进行防范。

6.1 强化web应用安全意识

为了防范云计算web应用数据安全，首先要强化安全意识，在设计web应用的时候就要具备安全的意识和防范的能力，对因web应用数据安全问题可能造成的损失要有预见性，如何最大限度地减少损失要提前做好应急方案。

6.2 强化web应用安全管理

强化web应用安全管理是应对web应用数据安全的有效抓手，成立安全风险管理小组，专门负责云计算的web应用安全管理，对云计算的web应用中的角色进行合理分配、对各角色的访问权限进行合理的设置，并做好身份验证。安全风险管理小组定期开展安全管理活动，定期展示检测结果，并对结果进行分析。

6.3 实时进行web应用安全检测

利用web应用的黑盒测试、白盒测试和灰盒测试实时地进行web应用的安全检测，及时发现安全问题，并做到快速处理。

6.4 建立web应用安全监控体系

建立web应用安全监控体系可以及时了解和掌握web应用安全的各种情况，防止数据泄露以及数据被非法利用。云计算web应用安全监控体系对web应用整个运营期间的数据安全进行监控，预测可能存在的风险，并及时解决问题。

7结束语

针对云计算环境下的web应用数据安全问题，该文首先阐述了云计算的相关技术，利用云计算环境搭建web应用的优势，再对云计算环境的web数据安全问题进行了分析，并阐述了云计算的web应用安全检测的三种检测技术，最后提出了云计算web应用数据安全的四种防范策略。