網(wǎng)絡重構(gòu)下的安全思考

周希強 程小芳 喬楚

摘 要：網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。當前運營商紛紛采用SDN/NFV、云計算等新技術(shù)布局網(wǎng)絡重構(gòu)，網(wǎng)絡變得越加開放，隨之而來的安全問題也變得越加重要。本文傳統(tǒng)網(wǎng)絡安全分析入手，探討在網(wǎng)絡重構(gòu)下的云計算網(wǎng)絡將面臨哪些新問題與新挑戰(zhàn)，以及該怎么應對。

關(guān)鍵詞：網(wǎng)絡重構(gòu)；網(wǎng)絡安全；云計算安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）05-0049-02

現(xiàn)代科學技術(shù)高速發(fā)展，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證，信息網(wǎng)絡涉及到國家的政府、軍事、文教等諸多重要領(lǐng)域，其中不乏敏感信息，甚至是涉及國家機密。鑒于此，網(wǎng)絡安全已經(jīng)成為關(guān)系到國計民生的重要問題。而政府將建設網(wǎng)絡強國，維護網(wǎng)絡安全寫進政府工作報告，成立中央網(wǎng)絡安全和信息化領(lǐng)導小組，由國家最高領(lǐng)導人親自掛帥，更體現(xiàn)網(wǎng)絡安全的重要性。

近年來，隨著互聯(lián)網(wǎng)不斷的普及與云計算、SDN/NFV等新技術(shù)的引進，網(wǎng)絡變得更加開放。而在這種大環(huán)境下，原有的安全防護手段也不能滿足新環(huán)境下的安全要求，需要有新的應對措施。

1 網(wǎng)絡安全主要威脅

1.1 黑客的惡意攻擊

我們?nèi)粘Ｌ岬降木W(wǎng)絡安全問題首先便來源于“黑客”的惡意攻擊，黑客是一群躲在計算機屏幕后利用自己的技術(shù)專長專門攻擊網(wǎng)站和計算機的群體。而網(wǎng)絡的普及與知識共享等，黑客技術(shù)逐漸被越來越多的人掌握并加以發(fā)展，尤其是現(xiàn)在還缺乏針對此類網(wǎng)絡犯罪的有效跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強，這是網(wǎng)絡安全的主要威脅。

1.2 網(wǎng)絡自身和管理存在欠缺

因特網(wǎng)主要采用TCP/IP協(xié)議，其最初的設計時僅考慮怎么保證信息傳輸不受影響，基本沒有考慮安全、質(zhì)量等，因此它在安全防范、服務質(zhì)量、帶寬和方便性等方面存在滯后及不適應性。而網(wǎng)絡系統(tǒng)的嚴格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。而事實上，很多企業(yè)、機構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理，沒有制定嚴格的管理制度，這也對網(wǎng)絡安全造成威脅。

1.3 軟件設計的漏洞或“后門”而產(chǎn)生的問題

隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，無論是基礎的操作系統(tǒng)，多種多樣的服務器、瀏覽器、甚至于一些桌面軟件等都被發(fā)現(xiàn)過存在安全隱患。

1.4 惡意網(wǎng)站設置的陷阱

互聯(lián)網(wǎng)網(wǎng)站無數(shù)，其中有些網(wǎng)站存在一些惡意軟件，用戶只要登錄或者下載網(wǎng)絡的信息就會被其控制和感染病毒，計算機中的所有信息都會被自動盜走，且該軟件會長期存在你的計算機中，操作者并不知情，如“木馬”病毒等。

2 網(wǎng)絡安全特征變化

無論網(wǎng)絡如何變化，網(wǎng)絡安全都應具有以下四個方面的特征：

（1）保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。（2）完整性：信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性：當需要時，用戶能夠存取所需的信息。（4）可控性：對信息的傳播及內(nèi)容具有控制能力。

過去，網(wǎng)絡安全威脅以網(wǎng)絡攻擊，破壞網(wǎng)絡可用性為主，目的是導致網(wǎng)絡癱瘓，無法正常工作。而近年來，隨著政府與企業(yè)均加強對網(wǎng)絡安全的布局，如添加防火墻，單用戶網(wǎng)絡隔離，部署流量清洗等安全手段后。安全威脅轉(zhuǎn)入“后臺”，主要以破壞數(shù)據(jù)完整性與保密性為主。

而仔細核對近三年（15年-17年）每年的全球十大網(wǎng)絡安全事件可以發(fā)現(xiàn)：

（1）黑客攻擊目標由原來的一般基礎設施轉(zhuǎn)為了金融、政府等重要領(lǐng)域的基礎設施；（2）有政治背景的黑客行動也越來越多，未來的網(wǎng)絡安全將能影響到一個國家的穩(wěn)定，網(wǎng)絡安全上升到國家高度已成定局，其中最有名的案例便是美國國家安全局自2007年開始實施的電子監(jiān)聽“棱鏡計劃”；（3）個人信息泄露也成為威脅網(wǎng)絡安全的一大威脅，并有逐年上升趨勢。如14年底，鐵道部12306官網(wǎng)13萬用戶信息泄露，包括身份證、登錄口令、密碼等；16年9月，雅虎宣稱旗下至少5億條用戶信息被黑客盜取，其中包括用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。

3 網(wǎng)絡安全威脅

3.1 云計算安全威脅

網(wǎng)絡重構(gòu)下的新技術(shù)中，SDN重點專注網(wǎng)絡架構(gòu)，轉(zhuǎn)控平面分離，安全重點在于南北向API接口與流表設計方面，NFV重點為虛擬化，重點考慮虛擬化安全問題。而云計算技術(shù)，包含以上相關(guān)安全考慮。

在安全方面，云計算除了需要面對傳統(tǒng)的的安全問題，如不安全的API接口、審計功能的不完備、需要應對非法用戶的入侵等，還需要應對因云計算帶來的新安全問題，像業(yè)務定位模糊，數(shù)據(jù)恢復難度大，復雜的合法規(guī)則性需求。

不安全的API接口：云計算服務商需要提供大量的網(wǎng)絡接口和API來整合上下游、尋找業(yè)務伙伴，甚至直接提供業(yè)務，因此這些API接口的設計就顯得至關(guān)重要，而目前傳統(tǒng)API的性能并不理想，同時還有許多廠商私有接口存在。

審計功能的不完備：傳統(tǒng)服務提供商需要對用戶信息進行外部審計和安全認證，但一些云計算提供商卻拒絕接受這樣的審計服務，而且，用戶無法參與數(shù)據(jù)運算過程也無法審計運算結(jié)果，使得原始數(shù)據(jù)提供者承擔了更多的責任和義務。

需要應對非法用戶的入侵：黑客攻擊、病毒傳播、用戶信息被盜等這些不法行為也同樣可以發(fā)生在云平臺上，而且云平臺相比傳統(tǒng)互聯(lián)網(wǎng)服務具有更大的開放性和動態(tài)性，所以其影響范圍也將遠遠高于傳統(tǒng)互聯(lián)網(wǎng)。

業(yè)務定位模糊：云計算服務集成涉及了IDC、數(shù)據(jù)存儲、內(nèi)容應用等業(yè)務，并擴大了經(jīng)營范圍。由于其龐大的服務范圍和業(yè)務模式，所以根本無法簡單的將云計算進行電信業(yè)務分類，就更談不上與之相對應的業(yè)務服務體系和執(zhí)行標準了。同時，當前云計算服務發(fā)展參差不齊，規(guī)模大的有數(shù)十億的云計算中心，規(guī)模小的有手機廠商的云計算軟件商店。

數(shù)據(jù)恢復難度大：在云計算環(huán)境下，用戶數(shù)據(jù)在云中進行運算，用戶根本不知道數(shù)據(jù)存儲的在哪個機房，哪臺設備上。在發(fā)生安全事故時，云服務商不能及時的告知用戶他們所存儲的數(shù)據(jù)遇到了怎樣的情況，用戶也就無法對所需運輸?shù)臄?shù)據(jù)進行及時的處理。而由于數(shù)據(jù)存放地點不清楚，數(shù)據(jù)恢復更是無從談起。而且也有可能被不法份子趁機盜取，給用戶造成巨大損失。

復雜的合法規(guī)則性需求：云計算服務是面向全世界的一種計算機網(wǎng)絡服務，每個國家都有權(quán)利制定相應的法律對云計算業(yè)務進行監(jiān)督管理，而不同國家所制訂和執(zhí)行的法律之間，總會存在些許差異，這就對跨國運營的云計算提供商提出了比較大的挑戰(zhàn)，使得云計算的跨國合作更加困難。

3.2 安全威脅應對

為應對以上安全問題及傳統(tǒng)網(wǎng)絡安全威脅，云計算可以從以下方面進行改進：

（1）完善云計算相關(guān)的法律法規(guī)和業(yè)務與承載的技術(shù)規(guī)范；（2）積極采用數(shù)據(jù)加密與VPN等網(wǎng)絡安全技術(shù)構(gòu)建安全的邏輯邊界；（3）完善數(shù)據(jù)冗余備份機制、應用數(shù)據(jù)加密技術(shù)保障用戶數(shù)據(jù)的完整性、可用性，隱私性；（4）利用補丁和版本管理機制，加強系統(tǒng)虛擬化安全漏洞風險防范，提高云計算應用系統(tǒng)的安全性；（5）傳統(tǒng)網(wǎng)絡安全防護手段應用，如高吞吐量的DDoS外網(wǎng)防護，防火墻，入侵檢測，異常流量清洗等；

4 結(jié)語

網(wǎng)絡重構(gòu)大背景下，云計算、SDN/NFV等技術(shù)扮演了重要的角色，而目前業(yè)界對于這些技術(shù)應用前景討論多過于安全問題的思考。眾所周知，云計算等新技術(shù)大大虛化了網(wǎng)絡的邊界，拓寬了業(yè)務類型，也帶來了新的安全風險，長此以往，網(wǎng)絡安全問題就成為所有技術(shù)人員不得不面對的問題，因此，提前做好安全思考與威脅防護也顯得非常重要。

參考文獻

[1]廣小明，胡杰，陳龍，郭京，等.虛擬化技術(shù)原理與實現(xiàn)[M].北京：電子工業(yè)出版社，2012：32-67.

[2] Gary Lee[美].云數(shù)據(jù)中心網(wǎng)絡技術(shù)[M].北京：人民郵電出版社，2015：35-39.