云計算環境下網絡安全防御系統研究與設計

王 斌

（西安航空計算技術研究所 陜西 710065）

0 引言

隨著計算機技術、網絡技術和數據庫技術的快速發展，計算機的處理速度越來越快，光纖陣列存儲容量越來越大，同時電子商務、電子政務、金融通信運營產生了海量的數據，為了提高信息化服務能力，繼分布式計算、移動計算，計算機學者提出了云計算技術。云計算環境下，可以根據用戶的需求，提供基礎設施服務、平臺服務和軟件集成運行管理服務。在云計算環境下，網絡傳輸的信息價值更高，因此保護云計算環境網絡信息安全具有重要的作用和意義。云計算環境下，計算機網絡安全是指保護數據信息的完整性、真實性、保密性、可靠性、可用性和抗抵賴性等，以便能夠防御黑客攻擊盜取數據，避免木馬和病毒侵襲網絡及數據資源，保證云計算環境下網絡能夠正常提供通信傳輸服務。

目前，經過多年的研究和改進，許多計算機學者提出了多種云計算環境下網絡安全保護措施，傳統防御措施包括系統登錄賬號和密碼、網絡防火墻、安全訪問控制列表、數據加密等，隨著網絡安全威脅嚴重程度的提升，傳統防御措施無法充分滿足云計算環境下網絡安全防護需求，需要采用動態的安全控制措施，實現主動、縱深化防御，全面提升網絡安全防御能力。

1 云計算環境網絡安全面臨的威脅分析

隨著云計算技術的快速普及和應用，云計算能夠將成千上萬臺計算機終端、服務器通過矩陣的形式連接在一起，為人們提供海量的金融數據、電子商務數據決策分析服務，具有較高的計算處理效率。云計算數據和設備通過計算機網絡進行通信連接，因此計算機網絡安全也是云計算普及和推廣的重要障礙，也是云計算應用過程中需要強化的短板。目前，云計算承載的數據資源價值較高，已經成為互聯網黑客、病毒和木馬侵襲攻擊的主要對象，產生的安全問題十分令人擔憂。本文基于筆者多年的互聯網安全防御實踐經驗，詳細地分析云計算環境下網絡安全面臨的問題主要包括數據存儲安全威脅、數據傳輸安全威脅、數據審計安全威脅等三類，詳細描述如下。

1.1 數據存儲安全威脅

目前，云計算環境下，大量的數據分布于熱門的服務器上，以便能夠提高用戶的訪問、操作效率，同時將大量的政企單位的數據匯總在一起，部署在大數據中心，以便能夠為政企單位的信息化管理降低設備投資、運行維護費用，為單位信息化水平提升帶來了極大的便利。但是，隨著云計算數據中心的建設和運行，數據存儲規模越來越大，保存的機密信息也越來越多，導致許多政企用戶對云計算數據存儲依賴程度大幅度上升。目前，許多計算機黑客為了經濟利益，使用更加智能化、高超的手段對云計算數據中心進行攻擊，以便能夠獲取有價值的數據信息。另外，許多木馬和病毒開發技術提高，隱藏周期更短，非常容易給數據中心造成不可估量的損壞。

1.2 數據網絡傳輸安全威脅

目前，云計算數據中心存在大量企業的運營管理數據，比如財務數據、關鍵業務經營數據、客戶信息等，這些數據通常代表企業的核心競爭力。因此在企業通過計算機網絡訪問云計算數據中心的過程中，面臨的安全威脅包括以下三個方面：一是用戶接入云計算服務中心時，許多非法用戶通常可以冒用合法用戶的身份信息，訪問企業數據，并且獲取機密信息，因此需要采用嚴格的用戶認證和權限角色配置機制，保證用戶接入安全；二是數據傳輸過程中，采用的網絡是公共的、共享的，網絡上許多黑客、木馬和病毒都會偵聽傳輸數據包，以便能夠截取或感染數據，導致數據遭到破壞，因此必須采用安全的數據傳輸通道加密措施，確保網絡信息安全。

1.3 數據審計安全威脅

云計算環境下，數據審計安全面臨的威脅是許多企業的員工非計算機專業教育背景，因此計算機操作系統操作不規范，為計算機網絡帶來了極大的風險。云計算環境下，網絡安全審計潛在的威脅包括很多種，比如設備損壞、網絡數據包重放攻擊、拒絕服務、網絡日志篡改等，其對計算機網絡造成的威脅是無法估計，后果非常嚴重，是不可逆的。

2 云計算環境網絡安全防御系統設計

目前，云計算環境下網絡安全防御已經引起了許多計算機學者的研究和關注，提出了許多的網絡安全防御措施，本文針對云計算環境下網絡安全面臨的現狀，提出了全方位、動態的、縱深的網絡安全防御系統，具體的網絡安全防御包括以下幾個方面：

（1）構建全方位的網絡安全風險評估指標體系，及時發現網絡存在的安全因素

根據計算機網絡信息系統安全風險評估的具體目標和相關的需求，可以構建一組有效的計算機網絡信息系統的安全風險評估指標，分別包括資產、漏洞、威脅等方面，將其劃分為目標層、準則層和指標層，同時基于灰色理論、D-S證據理論、層次分析方法等進行風險評估，完成網絡安全風險動態評估過程，能夠極大的提高評估的準確性，滿足網絡安全的實際需求。

（2）健全網絡安全接入系統，做好云計算入口防護

云計算環境下，由于用戶的操作終端分布于不同的地域，接入途徑包括無線接入、有線接入等，因此要充分的保證兩種渠道的接入安全，可以采用身份驗證、安全審計、IPSEC VPN和SSL VPN等技術，實現網絡傳輸通道的全加密，避免數據被黑客、病毒和木馬攻擊感染，保證用戶安全接入系統。

（3）云計算數據應用服務器進行冗余備份，保護應用數據安全

為了能夠保證云計算數據服務器、應用服務器等數據安全，避免遭遇雷電襲擊，可以采用在線或離線備份技術，構建一個多備份、多冗余的操作系統，保證云計算網絡的關鍵設備、關鍵數據和核心服務具有冗余運行能力，一旦某一套系統或設備產生安全故障是，及時開啟備份系統，保證云計算服務的正常運行。

（4）引入數據挖掘技術，強化安全審計

網絡安全審計功能可以按照審計系統既定的審計策略，分析采集到的數據內容，鑒別數據中存在的異常行為、非法行為或攻擊數據。因此，為了能夠提高網絡安全審計系統的精確度，引入神經網絡、遺傳算法、支持向量機、K均值等技術，強化安全審計過程，以便能夠更加準確的發現非法數據。

（5）構建主動式網絡安全縱深防御體系

為了能夠更好的確保云計算環境網絡安全面臨的威脅和防御措施，除了在接入層和傳輸層采用傳統的安全防御措施之外，同時采用主動的安全防御體系，構建主動安全防御措施，以便能夠確保網絡的正常使用。構建主動安全防御體系，網絡主動預警技術可以包括多個方面，主要包括網絡主動預警、響應、檢測、保護、恢復和反擊等，其中核心內容是網絡主動預警技術和主動響應技術，以便能夠強化網絡安全防御。

3 結束語

云計算環境下網絡安全防御是一個動態的過程，網絡安全防御隨著黑客、木馬和病毒侵襲技術的提升而提高，因此在網絡安全防御系統中，保留了許多的可擴展接口和縱深化的防御技術，以便能夠動態適應現代網絡安全防御需求，定期對防御技術、防御系統進行升級和完善，準確的發現網絡中存在的威脅和非法行為。

[1]滕萍.云計算技術發展分析及其應用研究[J].信息網絡安全.2012.

[2]鄭長亮.基于云計算的網絡安全防御技術研究[J].數字技術與應用.2014.

[3]薄明霞，陳軍，王渭清.云計算安全體系架構研究[J].信息網絡安全.2011.

[4]陳小燕.云計算時代數據安全的防御措施探討[J].電子技術與軟件工程.2013.

[5]陳小明.網絡時代的云安全技術初探[J].計算機光盤軟件與應用.2013.