云計算環(huán)境下網(wǎng)絡安全防御系統(tǒng)研究與設(shè)計

王 斌

（西安航空計算技術(shù)研究所 陜西 710065）

0 引言

隨著計算機技術(shù)、網(wǎng)絡技術(shù)和數(shù)據(jù)庫技術(shù)的快速發(fā)展，計算機的處理速度越來越快，光纖陣列存儲容量越來越大，同時電子商務、電子政務、金融通信運營產(chǎn)生了海量的數(shù)據(jù)，為了提高信息化服務能力，繼分布式計算、移動計算，計算機學者提出了云計算技術(shù)。云計算環(huán)境下，可以根據(jù)用戶的需求，提供基礎(chǔ)設(shè)施服務、平臺服務和軟件集成運行管理服務。在云計算環(huán)境下，網(wǎng)絡傳輸?shù)男畔r值更高，因此保護云計算環(huán)境網(wǎng)絡信息安全具有重要的作用和意義。云計算環(huán)境下，計算機網(wǎng)絡安全是指保護數(shù)據(jù)信息的完整性、真實性、保密性、可靠性、可用性和抗抵賴性等，以便能夠防御黑客攻擊盜取數(shù)據(jù)，避免木馬和病毒侵襲網(wǎng)絡及數(shù)據(jù)資源，保證云計算環(huán)境下網(wǎng)絡能夠正常提供通信傳輸服務。

目前，經(jīng)過多年的研究和改進，許多計算機學者提出了多種云計算環(huán)境下網(wǎng)絡安全保護措施，傳統(tǒng)防御措施包括系統(tǒng)登錄賬號和密碼、網(wǎng)絡防火墻、安全訪問控制列表、數(shù)據(jù)加密等，隨著網(wǎng)絡安全威脅嚴重程度的提升，傳統(tǒng)防御措施無法充分滿足云計算環(huán)境下網(wǎng)絡安全防護需求，需要采用動態(tài)的安全控制措施，實現(xiàn)主動、縱深化防御，全面提升網(wǎng)絡安全防御能力。

1 云計算環(huán)境網(wǎng)絡安全面臨的威脅分析

隨著云計算技術(shù)的快速普及和應用，云計算能夠?qū)⒊汕先f臺計算機終端、服務器通過矩陣的形式連接在一起，為人們提供海量的金融數(shù)據(jù)、電子商務數(shù)據(jù)決策分析服務，具有較高的計算處理效率。云計算數(shù)據(jù)和設(shè)備通過計算機網(wǎng)絡進行通信連接，因此計算機網(wǎng)絡安全也是云計算普及和推廣的重要障礙，也是云計算應用過程中需要強化的短板。目前，云計算承載的數(shù)據(jù)資源價值較高，已經(jīng)成為互聯(lián)網(wǎng)黑客、病毒和木馬侵襲攻擊的主要對象，產(chǎn)生的安全問題十分令人擔憂。本文基于筆者多年的互聯(lián)網(wǎng)安全防御實踐經(jīng)驗，詳細地分析云計算環(huán)境下網(wǎng)絡安全面臨的問題主要包括數(shù)據(jù)存儲安全威脅、數(shù)據(jù)傳輸安全威脅、數(shù)據(jù)審計安全威脅等三類，詳細描述如下。

1.1 數(shù)據(jù)存儲安全威脅

目前，云計算環(huán)境下，大量的數(shù)據(jù)分布于熱門的服務器上，以便能夠提高用戶的訪問、操作效率，同時將大量的政企單位的數(shù)據(jù)匯總在一起，部署在大數(shù)據(jù)中心，以便能夠為政企單位的信息化管理降低設(shè)備投資、運行維護費用，為單位信息化水平提升帶來了極大的便利。但是，隨著云計算數(shù)據(jù)中心的建設(shè)和運行，數(shù)據(jù)存儲規(guī)模越來越大，保存的機密信息也越來越多，導致許多政企用戶對云計算數(shù)據(jù)存儲依賴程度大幅度上升。目前，許多計算機黑客為了經(jīng)濟利益，使用更加智能化、高超的手段對云計算數(shù)據(jù)中心進行攻擊，以便能夠獲取有價值的數(shù)據(jù)信息。另外，許多木馬和病毒開發(fā)技術(shù)提高，隱藏周期更短，非常容易給數(shù)據(jù)中心造成不可估量的損壞。

1.2 數(shù)據(jù)網(wǎng)絡傳輸安全威脅

目前，云計算數(shù)據(jù)中心存在大量企業(yè)的運營管理數(shù)據(jù)，比如財務數(shù)據(jù)、關(guān)鍵業(yè)務經(jīng)營數(shù)據(jù)、客戶信息等，這些數(shù)據(jù)通常代表企業(yè)的核心競爭力。因此在企業(yè)通過計算機網(wǎng)絡訪問云計算數(shù)據(jù)中心的過程中，面臨的安全威脅包括以下三個方面：一是用戶接入云計算服務中心時，許多非法用戶通?？梢悦坝煤戏ㄓ脩舻纳矸菪畔?，訪問企業(yè)數(shù)據(jù)，并且獲取機密信息，因此需要采用嚴格的用戶認證和權(quán)限角色配置機制，保證用戶接入安全；二是數(shù)據(jù)傳輸過程中，采用的網(wǎng)絡是公共的、共享的，網(wǎng)絡上許多黑客、木馬和病毒都會偵聽傳輸數(shù)據(jù)包，以便能夠截取或感染數(shù)據(jù)，導致數(shù)據(jù)遭到破壞，因此必須采用安全的數(shù)據(jù)傳輸通道加密措施，確保網(wǎng)絡信息安全。

1.3 數(shù)據(jù)審計安全威脅

云計算環(huán)境下，數(shù)據(jù)審計安全面臨的威脅是許多企業(yè)的員工非計算機專業(yè)教育背景，因此計算機操作系統(tǒng)操作不規(guī)范，為計算機網(wǎng)絡帶來了極大的風險。云計算環(huán)境下，網(wǎng)絡安全審計潛在的威脅包括很多種，比如設(shè)備損壞、網(wǎng)絡數(shù)據(jù)包重放攻擊、拒絕服務、網(wǎng)絡日志篡改等，其對計算機網(wǎng)絡造成的威脅是無法估計，后果非常嚴重，是不可逆的。

2 云計算環(huán)境網(wǎng)絡安全防御系統(tǒng)設(shè)計

目前，云計算環(huán)境下網(wǎng)絡安全防御已經(jīng)引起了許多計算機學者的研究和關(guān)注，提出了許多的網(wǎng)絡安全防御措施，本文針對云計算環(huán)境下網(wǎng)絡安全面臨的現(xiàn)狀，提出了全方位、動態(tài)的、縱深的網(wǎng)絡安全防御系統(tǒng)，具體的網(wǎng)絡安全防御包括以下幾個方面：

（1）構(gòu)建全方位的網(wǎng)絡安全風險評估指標體系，及時發(fā)現(xiàn)網(wǎng)絡存在的安全因素

根據(jù)計算機網(wǎng)絡信息系統(tǒng)安全風險評估的具體目標和相關(guān)的需求，可以構(gòu)建一組有效的計算機網(wǎng)絡信息系統(tǒng)的安全風險評估指標，分別包括資產(chǎn)、漏洞、威脅等方面，將其劃分為目標層、準則層和指標層，同時基于灰色理論、D-S證據(jù)理論、層次分析方法等進行風險評估，完成網(wǎng)絡安全風險動態(tài)評估過程，能夠極大的提高評估的準確性，滿足網(wǎng)絡安全的實際需求。

（2）健全網(wǎng)絡安全接入系統(tǒng)，做好云計算入口防護

云計算環(huán)境下，由于用戶的操作終端分布于不同的地域，接入途徑包括無線接入、有線接入等，因此要充分的保證兩種渠道的接入安全，可以采用身份驗證、安全審計、IPSEC VPN和SSL VPN等技術(shù)，實現(xiàn)網(wǎng)絡傳輸通道的全加密，避免數(shù)據(jù)被黑客、病毒和木馬攻擊感染，保證用戶安全接入系統(tǒng)。

（3）云計算數(shù)據(jù)應用服務器進行冗余備份，保護應用數(shù)據(jù)安全

為了能夠保證云計算數(shù)據(jù)服務器、應用服務器等數(shù)據(jù)安全，避免遭遇雷電襲擊，可以采用在線或離線備份技術(shù)，構(gòu)建一個多備份、多冗余的操作系統(tǒng)，保證云計算網(wǎng)絡的關(guān)鍵設(shè)備、關(guān)鍵數(shù)據(jù)和核心服務具有冗余運行能力，一旦某一套系統(tǒng)或設(shè)備產(chǎn)生安全故障是，及時開啟備份系統(tǒng)，保證云計算服務的正常運行。

（4）引入數(shù)據(jù)挖掘技術(shù)，強化安全審計

網(wǎng)絡安全審計功能可以按照審計系統(tǒng)既定的審計策略，分析采集到的數(shù)據(jù)內(nèi)容，鑒別數(shù)據(jù)中存在的異常行為、非法行為或攻擊數(shù)據(jù)。因此，為了能夠提高網(wǎng)絡安全審計系統(tǒng)的精確度，引入神經(jīng)網(wǎng)絡、遺傳算法、支持向量機、K均值等技術(shù)，強化安全審計過程，以便能夠更加準確的發(fā)現(xiàn)非法數(shù)據(jù)。

（5）構(gòu)建主動式網(wǎng)絡安全縱深防御體系

為了能夠更好的確保云計算環(huán)境網(wǎng)絡安全面臨的威脅和防御措施，除了在接入層和傳輸層采用傳統(tǒng)的安全防御措施之外，同時采用主動的安全防御體系，構(gòu)建主動安全防御措施，以便能夠確保網(wǎng)絡的正常使用。構(gòu)建主動安全防御體系，網(wǎng)絡主動預警技術(shù)可以包括多個方面，主要包括網(wǎng)絡主動預警、響應、檢測、保護、恢復和反擊等，其中核心內(nèi)容是網(wǎng)絡主動預警技術(shù)和主動響應技術(shù)，以便能夠強化網(wǎng)絡安全防御。

3 結(jié)束語

云計算環(huán)境下網(wǎng)絡安全防御是一個動態(tài)的過程，網(wǎng)絡安全防御隨著黑客、木馬和病毒侵襲技術(shù)的提升而提高，因此在網(wǎng)絡安全防御系統(tǒng)中，保留了許多的可擴展接口和縱深化的防御技術(shù)，以便能夠動態(tài)適應現(xiàn)代網(wǎng)絡安全防御需求，定期對防御技術(shù)、防御系統(tǒng)進行升級和完善，準確的發(fā)現(xiàn)網(wǎng)絡中存在的威脅和非法行為。

[1]滕萍.云計算技術(shù)發(fā)展分析及其應用研究[J].信息網(wǎng)絡安全.2012.

[2]鄭長亮.基于云計算的網(wǎng)絡安全防御技術(shù)研究[J].數(shù)字技術(shù)與應用.2014.

[3]薄明霞，陳軍，王渭清.云計算安全體系架構(gòu)研究[J].信息網(wǎng)絡安全.2011.

[4]陳小燕.云計算時代數(shù)據(jù)安全的防御措施探討[J].電子技術(shù)與軟件工程.2013.

[5]陳小明.網(wǎng)絡時代的云安全技術(shù)初探[J].計算機光盤軟件與應用.2013.