云技術下的網絡數據安全傳輸分析

【摘 要】本文就基于云平臺的標準化，商務應用的普及化，以及持續增強的網路連結力，發生在網絡設備上的威脅攻擊越來越多。移動互聯網的時代已經來臨，隨著移動信息傳輸的不斷增加，在網絡上的數據流量不斷擴大，給網絡數據安全帶來了一定的隱患，本文就云技術下的網絡數據安全傳輸進行了詳細的分析，分析了云技術下網絡數據傳輸的特點以及數據傳輸的方式和應該進行的防護等進行了詳細的論述。

【關鍵詞】云技術 網絡數據 數據安全 數據防護

1 緒論

根據權威報告威脅監控數據顯示，平均每秒就有3.5個新的可危害移動設備的威脅產生，從2013年1月到7月，Android移動平臺上的病毒樣本增加1410%。因此，網絡設備已成為黑客的新攻擊目標，而其安全問題不容忽視。

云計算的基礎設施劃分為3個類別：服務器、存儲和網絡連接。服務提供商可能會提供虛擬服務器實例，在這些實例上，用戶可以安裝和運行一個自定義的映像。持久性的存儲是一種單獨的服務。最后，還會有一些用于擴展網絡連接的產品。基礎架構服務可全面虛擬化服務器、存儲設備和網絡資源，聚合這些資源，并基于業務優先級將資源準確地按需分配給應用程序。服務器實際上代表了隨著計算資源一起分配的最小存儲空間和輸入/輸出信道的資源集合。存儲通常提供與位置無關的虛擬化數據存儲，這樣促進了對通過彈性機制制造無限容量存儲的期望，而且高度的自動化水平使得用戶能非常容易地使用，大多數基礎設施層的組件最終是通過虛擬化技術供應商的設施進行管理的。而虛擬化實現后，其安全的考慮發生了質的變化，完全打破了傳統安全防護的概念。

2 云終端設備

云終端是基于云計算系統理論的思想而實現云部署、辦公、接入的一種終端設備，云終端的終端技術可實現共享主機資源，桌面終端無需許可，大幅減少硬件投資和軟件許可證開銷，綠色環保，省電省維護，是信息發展時代的高端產品！僅需在云服務器進行設置，您做的僅僅是接上網線，顯示器及鼠標鍵盤，輕輕按下電源開關，云終端用戶即可進行業務操作，亦可暢游網絡，實施非常方便。服務端統一管理終端，升級維護工作都在服務端進行，真正做到終端接近零維護。云終端是網絡共享器及電腦共享器拖機卡的升級版，據說是帶有三個USB口，可以接USB鍵盤鼠標打印機 U盤的，還有音頻輸出輸入接口，也有寬屏液晶的分辨率，可以支持普通全屏電影，實現的功能越來越多了。目前來看，所為的云終端有兩種：1專業的云終端設備；2智能手機、平白電腦等。

3 云中數據

隨著云計算技術的逐步成熟，它給IT應用帶來的商業價值越來越明顯的表現出來，相對于傳統的軟件架構，云計算運營和支持方面的成本更低廉，但同時又能夠獲得更快速的部署能力，近乎無限的伸縮性等收益。然而，盡管云計算帶來的價值是如此之巨大，但是仍然有諸多企業在云計算和傳統軟件架構中選擇了后者，其原因很大程度上在于云計算領域中，有關企業數據的安全問題沒有得到妥善的解決。一些分析機構的調查結果顯示出，數據安全問題是企業應用遷移到云計算過程中的最大障礙之一。

3.1 云數據的存儲

怎樣保證存儲在云中的數據，不被其他人看到、不被其他人使用、刪除后沒有備份存在等等，云中的數據安全是個很大的課題。網絡內的大量服務器承擔著為各個業務部門提供基礎設施服務的角色。隨著業務的快速發展，數據中心空間、能耗、運維管理壓力日趨凸顯。應用系統的部署除了購買服務器費用外，還包括數據中心空間的費用、空調電力的費用、監控的費用、人工管理的費用，相當昂貴。如果這些服務器的利用率不高，對企業來說，無疑是一種巨大的浪費。這些關鍵應用系統已經被使用Vmware服務器虛擬化解決方案。這解決企業信息化建設目前現有的壓力，同時又能滿足企業響應國家節能減排要求。而服務器虛擬化使網絡數據能夠獲得在效率、成本方面的顯著收益以及在綜合數據中心更具環保、增加可擴展性和改善資源實施時間方面的附加利益。但同時，數據中心的虛擬系統面臨許多與物理服務器相同的安全挑戰，從而增加了風險暴露，再加上在保護這些IT資源方面存在大量特殊挑戰，最終將抵消虛擬化的優勢。尤其在虛擬化體系結構將從根本上影響如何對于關鍵任務應用進行設計、部署和管理情況下，用戶需要考慮哪種安全機制最適合保護物理服務器和虛擬服務器。

3.2 虛擬服務的架構

虛擬服務器基礎架構除了具有傳統物理服務器的風險之外，同時也會帶來其虛擬系統自身的安全問題。新安全威脅的出現自然就需要新方法來處理。通過前期調研，總結了目前虛擬化環境數據傳輸的幾點安全隱患。

虛擬機之間的互相攻擊----由于目前仍對虛擬化環境使用傳統的防護模式，導致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。隨時啟動的防護間歇----由于目前大量使用Vmware的服務器虛擬化技術，讓IT服務具備更高的靈活性和負載均衡。但同時，這些隨時由于資源動態調整關閉或開啟虛擬機會導致防護間歇問題。如，某臺一直處于關閉狀態的虛擬機在業務需要時會自動啟動，成為后臺服務器組的一部分，但在這臺虛擬機啟動時，其包括防病毒在內的所有安全狀態都較其他一直在線運行的服務器處于滯后和脫節的地位。系統安全補丁安裝--目前虛擬化環境內仍會定期采用傳統方式對階段性發布的系統補丁進行測試和手工安裝。雖然虛擬化服務器本身有一定狀態恢復的功能機制。但此種做法仍有一定安全風險。1.無法確保系統在測試后發生的變化是否會因為安裝補丁導致異常。2.集中的安裝系統補丁，前中后期需要大量人力，物力和技術支撐，部署成本較大。

3.3 數據病毒防護

防病毒軟件對資源的占用沖突導致AV（Anti-Virus）風暴----目前在虛擬化環境中對于虛擬化服務器仍使用每臺虛擬操作系統安裝Offiescan防病毒客戶端的方式進行病毒防護。在防護效果上可以達到安全標準，但如從資源占用方面考慮存在一定安全風險。由于每個防病毒客戶端都會在同一個物理主機上產生資源消耗，并且當發生客戶端同時掃描和同時更新時，資源消耗的問題會愈發明顯。嚴重時可能導致ESX服務器宕機。通過以上的分析是我們了解到雖然傳統安全設備可以物理網絡層和操作系統提供安全防護，但是虛擬環境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，病毒通過虛擬交換機傳播問題等，傳統的安全設備無法提供相關的防護，提供創新的安全技術為虛擬環境提供全面的保護。

4 針對VMware虛擬系統病毒防護

針對VMware虛擬系統中通過VMshield接口實現針對虛擬系統和虛擬主機之間的全面防護，無需在虛擬主機的操作系統中安裝Agent程序，即虛擬主機系統無代理方式實現實時的病毒防護，這樣無需消耗分配給虛擬主機的計算資源和更多的網絡資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。

4.1 訪問控制

傳統技術的防火墻技術常常以硬件形式存在，用于通過訪問控制和安全區域間的劃分，計算資源虛擬化后導致邊界模糊，很多的信息交換在虛擬系統內部就實現了，而傳統防火墻在物理網絡層提供訪問控制，如何在虛擬系統內部實現訪問控制和病毒傳播抑制是虛擬系統面臨的最基本安全問題。防火墻技術提供全面基于狀態檢測細粒度的訪問控制功能，可以實現針對虛擬交換機基于網口的訪問控制和虛擬系統之間的區域邏輯隔離。DeepSecurity的防火墻同時支持各種泛洪攻擊的識別和攔截。

4.2 入侵檢測/防護

同時在主機和網絡層面進行入侵監測和預防，是當今信息安全基礎設施建設的主要內容。然而，隨著虛擬化技術的出現，許多安全專家意識到，傳統的入侵監測工具可能沒法融入或運行在虛擬化的網絡或系統中，像它們在傳統企業網絡系統中所做的那樣。

例如，由于虛擬交換機不支持建立SPAN或鏡像端口、禁止將數據流拷貝至IDS傳感器，網絡入侵監測可能會變得更加困難。類似地，內聯在傳統物理網區域中的IPS系統可能也沒辦法輕易地集成到虛擬環境中，尤其是面對虛擬網絡內部流量的時候。基于主機的IDS系統也許仍能在虛擬機中正常運行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。

4.3 虛擬補丁防護

隨著新的漏洞不斷出現，許多公司在為系統打補丁上疲于應付，等待安裝重要安全補丁的維護時段可能是一段艱難的時期。另外，操作系統及應用廠商針對一些版本不提供漏洞的補丁，或者發布補丁的時間嚴重滯后，還有最重要的是，如果IT人員的配備不足，時間又不充裕，那么系統在審查、測試和安裝官方補丁更新期間很容易陷入風險。

4.4 完整性審計

可以針對系統支持依據基線的文件、目錄、注冊表等關鍵文件監控和審計功能，當這些關鍵位置為惡意篡改或感染病毒時，可以提供為管理員提供告警和記錄功能，從而提供系統的安全性。現在，服務器系統日志和應用程序日志正以驚人的速度生成，這就可以詳細記錄下來IT活動。如果某位滿腹牢騷的員工企圖竊取數據，訪問了含有機密信息的數據庫，日志就有可能記錄下他的一舉一動，那樣別人只要檢查日志，就能確定是誰在什么時候從事了什么活動。日志提供了線索，企業利用這些線索就能追查所有用戶（不管是否不懷好意）的行蹤。

5 結語

總之，對日志進行管理會給組織帶來許多好處。它們讓組織意識到面臨的情況，并幫助組織開展行之有效的調查，例行的日志檢查及深入分析保存日志不但可以立即識別出現不久的安全事件、違反政策情況、欺詐活動以及運作問題，還有助于提供有用的信息，從而解決問題。

參考文獻：

[1] 張帥.安全云計算你準備好了嗎[M].2012.458-463.

[2] 游向峰打造安全的網絡環境之”云計算”[J].湖南師范大學學報，2009（16）：12-23.

[3] 薛質.信息安全技術基礎和安全策略[M].北京：清華大學出版社，2012.

[4] 門汝靜.近期網絡安全的特點與熱點[J].現代電信科技，2009（1）：14-17.

作者簡介：徐丹（1984—），男，本科，中級，研究方向：計算機、網絡、多媒體。