高校云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全問題及防護(hù)措施

◆楊秀云 王玉軍 劉 露

?

高校云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全問題及防護(hù)措施

◆楊秀云 王玉軍 劉 露

(泰山醫(yī)學(xué)院現(xiàn)代教育技術(shù)中心 山東 271016)

近年來網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具發(fā)展很快，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具的迅速發(fā)展使得各單位的網(wǎng)絡(luò)安全面臨越來越大的風(fēng)險，尤其是高校的云計算數(shù)據(jù)中心，它集中承載著學(xué)校的各種業(yè)務(wù)及各種數(shù)據(jù)交換，成為黑客或不懷好意之人的攻擊對象，如何防護(hù)云計算數(shù)據(jù)中心的網(wǎng)絡(luò)安全，確保數(shù)據(jù)安全和業(yè)務(wù)穩(wěn)定，是所有高校技術(shù)部門面對和解決的問題。

云計算數(shù)據(jù)中心；網(wǎng)絡(luò)安全；防火墻

0 引言

云計算是一種新型的計算機(jī)技術(shù)，以其獨(dú)特的優(yōu)勢備受企業(yè)的青睞，目前在高校也不斷的應(yīng)用。學(xué)校的各種業(yè)務(wù)及應(yīng)用也陸續(xù)地入駐到云計算數(shù)據(jù)中心，業(yè)務(wù)及數(shù)據(jù)高度集中，網(wǎng)絡(luò)安全必須得到保障。了解當(dāng)前云計算數(shù)據(jù)中心的各類網(wǎng)絡(luò)安全問題，并有針對地及時提出防護(hù)措施，已成為高校有關(guān)技術(shù)人員重點(diǎn)關(guān)注對象。

1 高校云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全問題

高校建設(shè)的大多數(shù)都是私有云，其明顯特點(diǎn)是高度虛擬化，其中包括服務(wù)器、存儲、網(wǎng)絡(luò)等虛擬化，使各二級部門用戶可以按需靈活調(diào)用各種資源。因此云計算數(shù)據(jù)中心的整體網(wǎng)絡(luò)環(huán)境與傳統(tǒng)網(wǎng)絡(luò)環(huán)境有所不同，它共存物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)。高校云計算數(shù)據(jù)中心主要存在以下三方面的網(wǎng)絡(luò)安全問題：

1.1 計算機(jī)網(wǎng)絡(luò)環(huán)境安全問題

計算機(jī)硬件設(shè)備及其運(yùn)行環(huán)境是計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的基礎(chǔ)，它們的安全直接影響著網(wǎng)絡(luò)安全。自然災(zāi)害、設(shè)備自身的缺陷、設(shè)備自然損壞和受到機(jī)房環(huán)境干擾等自然因素，以及管理員操作方面的失誤等因素，都直接影響著計算機(jī)網(wǎng)絡(luò)環(huán)境的安全。由于云計算數(shù)據(jù)處理方式由傳統(tǒng)的單機(jī)處理方式轉(zhuǎn)變成數(shù)據(jù)中心集中處理機(jī)制，因此對計算機(jī)網(wǎng)絡(luò)環(huán)境提出了更高的要求，所以計算機(jī)網(wǎng)絡(luò)環(huán)境的安全問題仍為云計算環(huán)境下面臨的首要問題。

1.2 物理網(wǎng)絡(luò)安全問題

云計算環(huán)境中的物理網(wǎng)絡(luò)安全問題集中體現(xiàn)在數(shù)據(jù)通信過程中遭遇的安全威脅，如，DDoS 攻擊，這種攻擊方式利用云計算的處理瓶頸，向云計算服務(wù)器提交大量請求，從而使服務(wù)器超負(fù)荷，阻斷合法用戶正常訪問服務(wù)器等；用戶數(shù)據(jù)被監(jiān)聽或竊取，在云計算環(huán)境下黑客采取身份欺騙等攻擊手段來監(jiān)聽或竊取用戶數(shù)據(jù)，使用戶個人信息受到安全威脅；系統(tǒng)入侵以及篡改數(shù)據(jù)，黑客通過侵入云計算的用戶虛擬系統(tǒng)，對數(shù)據(jù)進(jìn)行惡意增加、編輯或刪除，而造成數(shù)據(jù)破壞，或用戶虛擬機(jī)被黑客控制執(zhí)行虛擬貨幣挖礦、與惡意軟件通信，造成黑產(chǎn)牟利、C&C通信及信息丟失等嚴(yán)重后果。

1.3 虛擬網(wǎng)絡(luò)安全問題

云計算數(shù)據(jù)中心是基于虛擬化技術(shù)的虛擬環(huán)境，采用傳統(tǒng)的防火墻、入侵檢測工具并不能對云計算數(shù)據(jù)中心的網(wǎng)絡(luò)安全予以有效的保障。云計算環(huán)境下各用戶按需調(diào)用虛擬化資源，一個物理服務(wù)器中可能創(chuàng)建多個虛擬主機(jī)分配給多個用戶使用，在這種多用戶環(huán)境下如果監(jiān)管不利會威脅到用戶數(shù)據(jù)安全，并且虛擬機(jī)之間存在相互攻擊現(xiàn)象，如果不對其有效隔離，會造成數(shù)據(jù)通信不暢等不良現(xiàn)象。

2 高校云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)措施

從以上云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全問題分析來看，云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)措施應(yīng)該是一個系統(tǒng)性的安全防護(hù)體系，單純一種安全防護(hù)手段不可能解決全部網(wǎng)絡(luò)安全問題。

2.1 加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防護(hù)措施

云計算數(shù)據(jù)中心的網(wǎng)絡(luò)安全技術(shù)防護(hù)措施應(yīng)該從物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)兩方面同時入手防護(hù)。

（1）面向物理網(wǎng)絡(luò)的安全防護(hù)措施

在云計算數(shù)據(jù)中心物理網(wǎng)絡(luò)中，硬件防火墻、IDS或IPS、waf實(shí)時防護(hù)、安全審計堡壘機(jī)等多種安全措施防護(hù)，會有效保護(hù)云計算物理網(wǎng)絡(luò)環(huán)境綠色、健康。 如圖1云計算數(shù)據(jù)中心物理網(wǎng)絡(luò)安全防護(hù)。

圖1 云計算數(shù)據(jù)中心物理網(wǎng)絡(luò)安全防護(hù)

防火墻安全防護(hù)。在云計算數(shù)據(jù)中心入口串聯(lián)一道硬件防火墻，配置合理的控制策略，可以提供二到四層的網(wǎng)絡(luò)攻擊防護(hù)。

入侵檢測IDS/入侵防御IPS系統(tǒng)防護(hù)。在云計算數(shù)據(jù)中心入口或高校核心交換機(jī)出口并聯(lián)/串聯(lián)一層IDS/IPS系統(tǒng)防護(hù)，可以有效提供四到七層的應(yīng)用安全防護(hù)。

waf實(shí)時防護(hù)。在云計算數(shù)據(jù)中心入口串聯(lián)該設(shè)備，能夠有效預(yù)防黑客利用應(yīng)用程序漏洞入侵滲透，通過對http請求的檢測分析，為Web應(yīng)用提供實(shí)時防護(hù)。

安全審計堡壘機(jī)防護(hù)。在高校核心交換機(jī)出口上串接，配置合理的策略，可以達(dá)到控制管理員對服務(wù)器的訪問，并且提供豐富的日志和審計功能，對所有運(yùn)維操作能達(dá)到審計、監(jiān)控、控制和歷史回放效果。

（2）面向虛擬網(wǎng)絡(luò)的安全防護(hù)措施

云計算數(shù)據(jù)中心具有多個虛擬網(wǎng)卡和虛擬交換機(jī)等，不同vlan段的劃分、虛擬防火墻、虛擬IDS或虛擬IPS等多種安全措施防護(hù)，會有效保護(hù)云計算的虛擬網(wǎng)絡(luò)環(huán)境安全、可靠。如圖2云計算數(shù)據(jù)中心虛擬網(wǎng)絡(luò)安全防護(hù)。

圖2 云計算數(shù)據(jù)中心虛擬網(wǎng)絡(luò)安全防護(hù)

虛擬局域網(wǎng)vlan段的劃分防護(hù)。vlan具有杜絕廣播信息的網(wǎng)絡(luò)不安全性和靈活的管理等優(yōu)點(diǎn)。云計算數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的虛擬流量，可以分為管理流量和業(yè)務(wù)流量，這兩種流量可以劃分為不同的虛擬局域網(wǎng)vlan段。高校業(yè)務(wù)流按業(yè)務(wù)重要級別也可以進(jìn)一步細(xì)化分為核心業(yè)務(wù)流、重要業(yè)務(wù)流和一般業(yè)務(wù)流，不同重要級別的業(yè)務(wù)流可以走不同的vlan段。

虛擬防火墻防護(hù)。在云計算環(huán)境中，很多的數(shù)據(jù)交換在虛擬系統(tǒng)內(nèi)部就完成了，但傳統(tǒng)防火墻的訪問控制無法透入虛擬化環(huán)境內(nèi)部，另外，虛擬機(jī)之間存在互相攻擊和互相入侵現(xiàn)象，如果仍對虛擬化環(huán)境使用傳統(tǒng)防火墻的防護(hù)模式，這種安全隱患則無法防御。在云計算數(shù)據(jù)中心部署虛擬防火墻，可以有效抑制虛擬機(jī)病毒傳播及防護(hù)虛擬機(jī)之間的攻擊及入侵威脅。

虛擬IDS/IPS防護(hù)。由于云計算虛擬環(huán)境下不具備傳統(tǒng)監(jiān)測工具的運(yùn)行條件，如不存在鏡像端口或不支持建立SPAN等等，因此，傳統(tǒng)的入侵監(jiān)測工具無法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)中。而虛擬的入侵防護(hù)技術(shù)建立在云計算的數(shù)據(jù)交換及處理機(jī)制之上，能有效感知同一虛擬網(wǎng)段上的網(wǎng)絡(luò)流量，還能分析網(wǎng)絡(luò)行為，因此能為虛擬網(wǎng)絡(luò)提供更高的安全性。

2.2 加強(qiáng)云計算數(shù)據(jù)中心的管理

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展帶給人們在享受便捷信息的同時，也帶來了無數(shù)的安全隱患。網(wǎng)絡(luò)安全的精髓，其實(shí)更多地集中于管理，而非技術(shù)。網(wǎng)絡(luò)安全可以說是三分技術(shù)七分管理。管理手段很多，如定期給技術(shù)人員進(jìn)行技術(shù)培訓(xùn)，逐步提高對網(wǎng)絡(luò)安全的認(rèn)識，從而降低由于人為操作不當(dāng)造成的安全隱患。高校相關(guān)技術(shù)人員掌握云計算數(shù)據(jù)中心涉及到的軟硬件產(chǎn)品的原理、特性等知識點(diǎn)，是保證云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全的重要因素。

結(jié)合云計算數(shù)據(jù)中心的實(shí)際運(yùn)行環(huán)境，制定合理的云計算數(shù)據(jù)中心的管理制度。首先是操作日志收集及審計和行為管理，如網(wǎng)絡(luò)設(shè)備日志、防火墻等安全設(shè)備日志、各類操作系統(tǒng)的日志、設(shè)備操作行為日志等，這些日志是反應(yīng)網(wǎng)絡(luò)運(yùn)行情況和網(wǎng)絡(luò)安全情況的最直接數(shù)據(jù)。其次將云計算數(shù)據(jù)中心的各類設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品制定合理的巡檢周期，如每天對物理服務(wù)器、存儲器、交換機(jī)等硬件設(shè)備巡檢幾次，實(shí)時監(jiān)控IDS/IPS的報警平臺等。再次，加強(qiáng)機(jī)房溫濕度、空氣清潔度等環(huán)境的管理，制定合理的UPS供電、空調(diào)等設(shè)備的巡檢維護(hù)制度等。

3 總結(jié)

本文描述了高校云計算數(shù)據(jù)中心面臨的三類網(wǎng)絡(luò)安全問題，結(jié)合云計算高度虛擬化的特點(diǎn)，闡述了這三類網(wǎng)絡(luò)安全問題對應(yīng)的防護(hù)措施。當(dāng)前，網(wǎng)絡(luò)技術(shù)在飛速發(fā)展，云計算環(huán)境下網(wǎng)絡(luò)安全問題隨著網(wǎng)路技術(shù)的不斷更新而愈發(fā)嚴(yán)重，還需要進(jìn)一步加大對此環(huán)境下網(wǎng)絡(luò)安全的防護(hù)力度，從而確保高校網(wǎng)絡(luò)健康、數(shù)據(jù)安全、業(yè)務(wù)穩(wěn)定不間斷。

[1]黎偉.云計算環(huán)境下網(wǎng)絡(luò)安全問題探究[J].計算機(jī)光盤軟件與應(yīng)用，2013.

[2]葉嬌.云計算環(huán)境中計算機(jī)網(wǎng)絡(luò)安全問題研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[3]孫梅玲，李降宇，王寅永.基于虛擬化環(huán)境的信息安全防護(hù)體系構(gòu)建[J].計算機(jī)光盤軟件與應(yīng)用，2017.

[4]李菊茵.云計算環(huán)境下的網(wǎng)絡(luò)安全問題及應(yīng)對措施探討[J].通訊世界，2015.

[5]袁媛.數(shù)據(jù)中心網(wǎng)絡(luò)的網(wǎng)絡(luò)安全分析[J].通信與信息技術(shù)，2017.

[6]閆盛，石淼.基于云計算環(huán)境下的網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)[J].計算機(jī)光盤軟件與應(yīng)，2014.

[7]申晉.云計算數(shù)據(jù)中心安全面臨挑戰(zhàn)及防護(hù)策略探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2016.

[8]荊宜青.云計算環(huán)境下的網(wǎng)絡(luò)安全問題及應(yīng)對措施探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.