基于云計算的網絡安全評估

◆徐達飛

（中材集團財務有限公司 北京 100102）

基于云計算的網絡安全評估

◆徐達飛

（中材集團財務有限公司 北京 100102）

網絡安全評估是利用網絡安全感知技術對網絡數據中蘊含的安全性信息進行多源異構分析，從而為網絡安全運行保駕護航。本文對基于云計算的網絡安全評估進行研究，通過對云計算的定義、特點、分類及云安全核心技術和云計算網絡安全風險進行分析，從不同層次的角度設計基于云計算的網絡安全評估模型，對網絡安全所涉及到的各個方面進行評估，以便于給出正確的云計算網絡安全問題解決辦法。

云計算；網絡安全；評估策略

1 云計算概述

1.1 云計算定義

云計算是一種基于互聯網的計算，可以向計算機和其他設備按需提供共享計算機處理資源和數據。它是一種用于實現對可配置計算資源（例如計算機網絡、服務器、存儲、應用和服務）共享的無處不在的模型，其可以被快速地提供和釋放，管理高效快捷。云計算和存儲解決方案為用戶和企業提供了各種功能，以便在位于遠離用戶的私人擁有或第三方數據中心來存儲和處理其數據，范圍涵蓋從一個城市到另一個城市。云計算依賴于資源共享來實現規模的連貫性和經濟性，類似于電力網絡。云計算允許公司避免前期基礎設施成本，例如購買服務器。此外，它使組織能夠專注于他們的核心業務，而不是花費時間和金錢在計算機基礎設施上。云計算允許企業更快地啟動和運行應用程序，提高可管理性，減少維護，并使信息技術（IT）團隊能夠更快速地調整資源，以滿足波動和不可預測的業務需求。

1.2 云計算特點

組織的敏捷性。云計算可以通過重新配置，添加或擴展技術基礎架構資源來提高用戶的靈活性，成本降低。公共云交付模型將資本支出轉換為運營支出。這意味著降低進入門檻，因為基礎設施通常由第三方提供。此外，實施使用云計算的項目需要較少的內部IT技能，成本節省取決于支持的活動類型和內部可用的基礎設施類型。

設備和位置獨立性。用戶能夠使用web瀏覽器訪問系統，而不管他們的位置或他們使用什么設備。由于基礎設施是非現場的并且通過因特網訪問，用戶可以從任何地方連接到它。云計算應用的維護更容易，因為它們不需要安裝在每個用戶的計算機上，并且可以從不同的地方訪問。多用戶性使得能夠在大量用戶群中共享資源和成本，從而在具有較低成本（例如房地產、電力等）的位置中集中化基礎設施，使得高峰負載容量增加，效率提高。高性能由服務提供商的IT專家監控，并且使用Web服務作為系統接口，構建一致和耦合的體系結構。當多個用戶可以同時處理相同的數據，而不是等待它被保存和通過電子郵件發送時，可以提高效率。

可靠性提高。這使得精心設計的云計算適合業務連續性和災難恢復，可靠性和彈性可以動態調整，在自助服務基礎上實時提供資源。這使得當使用需求增加或減少時，可以實現動態調配。

安全性保障。由于數據的集中化，資源可以更高效地進行管理與安全控制，服務提供商能夠投入資源解決許多客戶無法承受或者他們缺乏技術技能來解決的安全問題。當數據分布在更廣的區域或更大數量的設備上以及在由不相關用戶共享的多租戶系統中時，安全性的復雜性大大增加。

1.3 云計算分類

私有云。私有云是僅為單個組織運行的云基礎設施，無論是自主管理還是由第三方管理，承接私有云項目需要大量資源的參與來虛擬化業務環境，并要求組織重新評估現有資源的決策。如果部署正確，它可以改善業務，項目的每一個步驟都需要提出安全措施，以防止嚴重漏洞的產生。數據中心通常是資源密集型的，它們具有物理存儲特性，需要分配空間，進行硬件和環境控制。

公共云。當通過公開使用的網絡提供服務時，服務器被稱為公共云。公共云服務可以是免費的，技術上，在公共和私有云架構之間可能存在很少的或沒有差別。然而，對于服務提供商對于公眾而言可用的服務（應用、存儲和其他資源）的安全性考慮可能是不同的，并且當通信通過網絡實現時更為明顯。通常，像亞馬遜網絡服務（AWS）、微軟和谷歌這樣的公共云服務提供商在其數據中心擁有和運營基礎設施，并且通常通過互聯網訪問。

混合云。混合云是兩個或更多云的組合，它們保持不同的實體，但綁定在一起，提供多個部署模型。混合云意味著還可以能夠將云資源連接到管理和專用服務。混合云服務被定義為由來自不同服務提供商的私有云、公共云和社區云服務的某種組合組成的云計算服務。混合云服務跨越隔離和提供商邊界，使其不能簡單地放在一類私有、公共或社區云服務中。它允許通過聚合、集成或與另一云服務的定制來擴展云服務的容量或能力。組織可以將敏感客戶端數據內部存儲在私有云應用上，但將該應用與作為軟件服務的公共云上提供的商業智能應用互連。混合云擴展了企業通過添加外部可用的公共云服務來提供特定業務服務的能力。混合云采用取決于一些因素，如數據安全性和合規性要求，數據所需的控制級別以及組織使用的應用程序。

2 網絡安全的發展

2.1 網絡安全的問題

信息安全問題是網絡的傳遞過程中面臨的信息被竊取、信息被篡改、信息被假冒和信息被惡意破壞等問題。如電子的交易信息在網絡上傳輸過程中，可能被他人非法修改、刪除或重放，從而失去原有的真實性和完整性;網絡硬件和軟件問題導致信息傳遞的丟失、錯誤及一些惡意程序的破壞而導致信息遭到破壞等。因此，信息安全的要求就是要求信息傳輸的安全性、信息的完整性及交易者身份的確定性。

2.2 網絡安全的策略

通過網絡安全認證技術，對未得到認證成功的用戶,一旦用戶打開任意的網頁,則會被重定向到指定的認證頁面,該認證頁面事實上就是一個門戶,進入該門戶后不經任何認證就可訪問網管人員指定的有限的內容隨著網絡接入的發展,網絡安全認證越來越展現出其優點來,不管實際視角還是商業視角網絡安全認證均展現了它的價值: 需要像PPPOE那樣對協議單元進行額外的封裝,就不會擠占協議的有效負載，從而不需要分片,不必加大客戶端及鏈路上路由器的設備壓力。檢測用戶離線、上線:這種基于WEB的認證是在應用層完成的,可能在檢測鏈路時會比較麻煩,計費的準確無誤取決于能否即時的感知用戶的上、下線。簡單的放開、終止用戶的網絡訪問權限已經不能滿足對當今網絡運營管理的要求。作為關卡的網絡安全認證服務器會暴露于所有的用戶,容易受到惡意的攻擊,而且在小眾的場所,人們處于成本的考慮更愿意使用個人計算機提供認證服務,相對的性能較低,更容易被黑客得手,在大型網絡中危害是極大的,導致用戶不能介入網絡,影響生活和辦公。網絡的發展日益復雜多變,能不能適應這種多變的環境,還是很值得驗證的。

3 云計算在網絡安全中的應用

為了切實保證云計算背景下的數據安全，需要對數據信息進行相應的加密和隔離措施，例如，可以采用第三方實名認證的方式、數據備份、安全清除等方法，對數據安全進行保護，同時要設置相應的安全防護措施，針對病毒以及黑客的入侵進行防范,保證數據的完整性和真實性。

要加強對于云計算背景下計算機用戶的權限管理,通過多重驗證的方式,盡可能避免系統漏洞，不給黑客留下機會。例如,可以通過設置相應的安全防范措施，對于用戶的權限進行隨時檢測，對于敏感操作，如數據的修改、刪除、添加等,要進行重復驗證，防止不法分子對于數據資料的竊取和破壞，切實保證數據安全。

在網絡取證方面，由于用戶保密協議的存在，一直難以取得良好的進展。在這種情況下，就需要用戶與云計算服務提供方的共同努力，對各自的責任以及應盡義務進行充分了解，通過雙方的配合，共同保證云計算的安全。對于用戶而言，要對虛擬平臺上的信息進行驗證，一旦發現問題，要及時與提供方進行聯系，從而減少數據信息面臨的風險。

總而言之,在當前的時代背景下，云計算的發展和普及己經成為計算機技術和網絡技術發展的必然趨勢，其具有良好的市場前景以及巨大的潛力。因此，相關的技術人員要加強對于云計算背景下計算機安全問題的分析，采取相應的應對措施，排除安全隱患，促進云計算的持續健康發展。

[1]江曉慶，楊磊，何斌斌.未來新型計算模式—云計算[J].計算機與數字工程，2009.

[2]夏良，馮元.云計算中的信息安全對策研究[J].電腦知識與技術，2009.

[3]陳康，鄭緯民.云計算:系統實例與研究現狀[J].軟件學報，2009.

[4]陳樹平，侯賢良.計算機網絡中DES數據加密和解密技術[J].現代電子技術，2005.