網絡重構下的安全思考

周希強 程小芳 喬楚

摘 要：網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，系統連續可靠正常地運行，網絡服務不中斷。當前運營商紛紛采用SDN/NFV、云計算等新技術布局網絡重構，網絡變得越加開放，隨之而來的安全問題也變得越加重要。本文傳統網絡安全分析入手，探討在網絡重構下的云計算網絡將面臨哪些新問題與新挑戰，以及該怎么應對。

關鍵詞：網絡重構；網絡安全；云計算安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）05-0049-02

現代科學技術高速發展，信息網絡已經成為社會發展的重要保證，信息網絡涉及到國家的政府、軍事、文教等諸多重要領域，其中不乏敏感信息，甚至是涉及國家機密。鑒于此，網絡安全已經成為關系到國計民生的重要問題。而政府將建設網絡強國，維護網絡安全寫進政府工作報告，成立中央網絡安全和信息化領導小組，由國家最高領導人親自掛帥，更體現網絡安全的重要性。

近年來，隨著互聯網不斷的普及與云計算、SDN/NFV等新技術的引進，網絡變得更加開放。而在這種大環境下，原有的安全防護手段也不能滿足新環境下的安全要求，需要有新的應對措施。

1 網絡安全主要威脅

1.1 黑客的惡意攻擊

我們日常提到的網絡安全問題首先便來源于“黑客”的惡意攻擊，黑客是一群躲在計算機屏幕后利用自己的技術專長專門攻擊網站和計算機的群體。而網絡的普及與知識共享等，黑客技術逐漸被越來越多的人掌握并加以發展，尤其是現在還缺乏針對此類網絡犯罪的有效跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強，這是網絡安全的主要威脅。

1.2 網絡自身和管理存在欠缺

因特網主要采用TCP/IP協議，其最初的設計時僅考慮怎么保證信息傳輸不受影響，基本沒有考慮安全、質量等，因此它在安全防范、服務質量、帶寬和方便性等方面存在滯后及不適應性。而網絡系統的嚴格管理是企業、組織及政府部門和用戶免受攻擊的重要措施。而事實上，很多企業、機構及用戶的網站或系統都疏于這方面的管理，沒有制定嚴格的管理制度，這也對網絡安全造成威脅。

1.3 軟件設計的漏洞或“后門”而產生的問題

隨著軟件系統規模的不斷增大，系統中的安全漏洞或“后門”也不可避免的存在，無論是基礎的操作系統，多種多樣的服務器、瀏覽器、甚至于一些桌面軟件等都被發現過存在安全隱患。

1.4 惡意網站設置的陷阱

互聯網網站無數，其中有些網站存在一些惡意軟件，用戶只要登錄或者下載網絡的信息就會被其控制和感染病毒，計算機中的所有信息都會被自動盜走，且該軟件會長期存在你的計算機中，操作者并不知情，如“木馬”病毒等。

2 網絡安全特征變化

無論網絡如何變化，網絡安全都應具有以下四個方面的特征：

（1）保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。（2）完整性：信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性：當需要時，用戶能夠存取所需的信息。（4）可控性：對信息的傳播及內容具有控制能力。

過去，網絡安全威脅以網絡攻擊，破壞網絡可用性為主，目的是導致網絡癱瘓，無法正常工作。而近年來，隨著政府與企業均加強對網絡安全的布局，如添加防火墻，單用戶網絡隔離，部署流量清洗等安全手段后。安全威脅轉入“后臺”，主要以破壞數據完整性與保密性為主。

而仔細核對近三年（15年-17年）每年的全球十大網絡安全事件可以發現：

（1）黑客攻擊目標由原來的一般基礎設施轉為了金融、政府等重要領域的基礎設施；（2）有政治背景的黑客行動也越來越多，未來的網絡安全將能影響到一個國家的穩定，網絡安全上升到國家高度已成定局，其中最有名的案例便是美國國家安全局自2007年開始實施的電子監聽“棱鏡計劃”；（3）個人信息泄露也成為威脅網絡安全的一大威脅，并有逐年上升趨勢。如14年底，鐵道部12306官網13萬用戶信息泄露，包括身份證、登錄口令、密碼等；16年9月，雅虎宣稱旗下至少5億條用戶信息被黑客盜取，其中包括用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼。

3 網絡安全威脅

3.1 云計算安全威脅

網絡重構下的新技術中，SDN重點專注網絡架構，轉控平面分離，安全重點在于南北向API接口與流表設計方面，NFV重點為虛擬化，重點考慮虛擬化安全問題。而云計算技術，包含以上相關安全考慮。

在安全方面，云計算除了需要面對傳統的的安全問題，如不安全的API接口、審計功能的不完備、需要應對非法用戶的入侵等，還需要應對因云計算帶來的新安全問題，像業務定位模糊，數據恢復難度大，復雜的合法規則性需求。

不安全的API接口：云計算服務商需要提供大量的網絡接口和API來整合上下游、尋找業務伙伴，甚至直接提供業務，因此這些API接口的設計就顯得至關重要，而目前傳統API的性能并不理想，同時還有許多廠商私有接口存在。

審計功能的不完備：傳統服務提供商需要對用戶信息進行外部審計和安全認證，但一些云計算提供商卻拒絕接受這樣的審計服務，而且，用戶無法參與數據運算過程也無法審計運算結果，使得原始數據提供者承擔了更多的責任和義務。

需要應對非法用戶的入侵：黑客攻擊、病毒傳播、用戶信息被盜等這些不法行為也同樣可以發生在云平臺上，而且云平臺相比傳統互聯網服務具有更大的開放性和動態性，所以其影響范圍也將遠遠高于傳統互聯網。

業務定位模糊：云計算服務集成涉及了IDC、數據存儲、內容應用等業務，并擴大了經營范圍。由于其龐大的服務范圍和業務模式，所以根本無法簡單的將云計算進行電信業務分類，就更談不上與之相對應的業務服務體系和執行標準了。同時，當前云計算服務發展參差不齊，規模大的有數十億的云計算中心，規模小的有手機廠商的云計算軟件商店。

數據恢復難度大：在云計算環境下，用戶數據在云中進行運算，用戶根本不知道數據存儲的在哪個機房，哪臺設備上。在發生安全事故時，云服務商不能及時的告知用戶他們所存儲的數據遇到了怎樣的情況，用戶也就無法對所需運輸的數據進行及時的處理。而由于數據存放地點不清楚，數據恢復更是無從談起。而且也有可能被不法份子趁機盜取，給用戶造成巨大損失。

復雜的合法規則性需求：云計算服務是面向全世界的一種計算機網絡服務，每個國家都有權利制定相應的法律對云計算業務進行監督管理，而不同國家所制訂和執行的法律之間，總會存在些許差異，這就對跨國運營的云計算提供商提出了比較大的挑戰，使得云計算的跨國合作更加困難。

3.2 安全威脅應對

為應對以上安全問題及傳統網絡安全威脅，云計算可以從以下方面進行改進：

（1）完善云計算相關的法律法規和業務與承載的技術規范；（2）積極采用數據加密與VPN等網絡安全技術構建安全的邏輯邊界；（3）完善數據冗余備份機制、應用數據加密技術保障用戶數據的完整性、可用性，隱私性；（4）利用補丁和版本管理機制，加強系統虛擬化安全漏洞風險防范，提高云計算應用系統的安全性；（5）傳統網絡安全防護手段應用，如高吞吐量的DDoS外網防護，防火墻，入侵檢測，異常流量清洗等；

4 結語

網絡重構大背景下，云計算、SDN/NFV等技術扮演了重要的角色，而目前業界對于這些技術應用前景討論多過于安全問題的思考。眾所周知，云計算等新技術大大虛化了網絡的邊界，拓寬了業務類型，也帶來了新的安全風險，長此以往，網絡安全問題就成為所有技術人員不得不面對的問題，因此，提前做好安全思考與威脅防護也顯得非常重要。

參考文獻

[1]廣小明，胡杰，陳龍，郭京，等.虛擬化技術原理與實現[M].北京：電子工業出版社，2012：32-67.

[2] Gary Lee[美].云數據中心網絡技術[M].北京：人民郵電出版社，2015：35-39.