云計算環境網絡信息安全的實現路徑研究

張攀

【摘 ?要】云計算是通過分布式計算和虛擬化技術搭建數據中心，以按需方式提供數據存儲、分析以及科學計算等服務，實現了用戶對資源的按需獲取。然而應用云計算會對網絡信息安全帶來更多的挑戰，加強云計算環境網絡信息安全實現路徑的研究具備現實意義。

【關鍵詞】云計算;網絡信息安全

引言

云計算使用硬件資源的集約性較高，用戶既可采用租賃方式購買公有云服務又可自建私有云。但使用云也給用戶帶來更多網絡信息安全方面的挑戰。

1、云計算環境下加強網絡信息安全建設的重要性

云計算環境中大量網絡設備、服務器及存儲設備、數據庫及中間件軟件、業務應用軟件等軟硬件集中部署、統一管理。一旦發生網絡信息安全事故，可能造成應用系統大面積宕機、業務大面積中斷、數據大面積丟失或泄露，給用戶帶來巨大的經濟損失、造成巨大社會負面影響甚至危害公共安全和國家安全。我們應充分認識到對云計算環境加強網絡信息安全防護的重要性和必要性，確保云計算環境中所有硬件設備的穩定運行、業務應用服務的不中斷提供，所有業務數據的可用性、完整性、保密性。

2、云計算環境面臨的網絡信息安全風險分析

2.1物理層安全風險

物理層安全指整個云計算環境最底層的信息機房、通信線路、硬件設備等基礎設施的安全。其安全風險主要是對物理機房環境及設備穩定運行缺乏有效技術保障和管理。

2.2網絡安全風險

2.2.1網絡通信鏈路的安全風險

網絡通信鏈路面臨的安全風險主要體現在傳輸線路被竊聽，傳輸的業務數據被非法的第三方截獲和篡改。

2.2.2網絡訪問的安全風險

沒有進行適當的網絡訪問控制、沒有對終端接入和網絡地址的使用進行適當限制、對網絡訪問行為沒有監管和審計措施。

2.3主機安全風險

主要指云計算環境中服務器及運行在其上的應用平臺系統所面臨安全風險：

●非法訪問：非法用戶通過網絡監聽、暴力破解或社會工程等手段獲取系統訪問權限甚至完全控制系統;

●拒絕服務攻擊：利用網絡通訊協議缺陷和操作系統開放端口，對服務器發動拒絕服務攻擊，造成系統崩潰或無法提供服務;

●計算機病毒：服務器感染病毒對所有訪問終端構成威脅;

●缺乏審計能力：對系統的運行情況和用戶的操作行為缺乏有效審計手段。

2.4應用安全風險

業務應用系統的主要安全風險：

●用戶身份假冒：應用系統的身份認證機制薄弱，賬戶密碼信息被破解導致非法用戶假冒合法用戶的身份訪問應用資源

●非授權訪問：應用程序存在后門、隱通道、陷阱等導致非法用戶或者合法用戶訪問在其權限之外的系統資源。

●互聯網訪問：對于云計算環境中需要提供互聯網訪問服務的業務應用系統，存在操作系統漏洞、數據庫軟件漏洞、第三方系統軟件漏洞、應用程序漏洞被互聯網黑客利用進而獲取系統訪問權限的風險。

2.5數據安全風險

關鍵數據的存儲設備自身不可靠或設備無冗余，因存儲設備物理損壞或其他原因導致在線數據丟失或破壞。

存放數據的網絡、系統平臺自身缺乏控制和監視手段來防止信息被篡改;數據傳輸過程無加密措施，攻擊者能夠通過線路偵聽等方式，獲取傳輸的信息內容，造成信息泄露;非法用戶利用“中間人攻擊”或“會話劫持”的手段，對報文內容進行修改或者通過刪減信息內容等方式，造成對信息的破壞和失真;通過重新發送收到的數據包的方式，進行重放攻擊。

3、云計算環境加強網絡信息安全的實現路徑

3.1物理層面實現路徑

為確保部署在云計算環境的軟硬件設備安全穩定運行，物理機房應滿足防塵、防火、防水、保溫等要求，應具有配電系統、UPS電源裝置、防雷接地、過電壓保護、機房專用空調、新風排風、照明系統、消防系統、火災自動報警與聯動系統、氣體滅火系統、門禁保安系統和漏水檢測系統等設施設備。配置集中監控系統對上述設備進行系統、實時、遠程的管理。建立安全操作規程，基礎設施的運行維護機制，對進出機房進行嚴格審批、登記管理。

3.2網絡層面實現路徑

針對高可用性，確保網絡設備和鏈路的冗余，避免因單點網絡設備或單鏈路導致業務應用訪問中斷。

通過劃分安全區域實現業務隔離，保證業務應用的后端平臺和數據庫系統不被直接暴露在互聯網上，并設置白名單進行訪問控制，增加非法入侵的難度。

采用防火墻技術，通過一系列安全策略（安全域隔離、訪問控制、地址轉換、應用控制、會話監控、日志審計、會話限制、地址綁定、身份認證）對所有流經防火墻的數據包按照嚴格的安全規則進行過濾，杜絕越權訪問，防止非法攻擊，抵御可能的DoS和DDoS攻擊。

應用虛擬專用網（VPN）技術在服務器和終端設備之間建立安全的數據通道，防止網絡偵聽、數據篡改、中間人攻擊、重放攻擊等網絡層風險。

應用入侵防護系統監控云環境內的計算機系統或網絡中發生的事件，并進行分析，尋找試圖繞過安全機制的入侵行為并主動進行有效攔截。

應用病毒安全網關技術切斷網絡病毒傳播途徑，進行網關級的過濾控制，綜合過濾病毒、蠕蟲、網絡攻擊等行為。

應用網絡安全審計技術全面詳實地記錄網絡內流經監聽出口的各種網絡行為，作為了解、發現、追查網絡安全事故的取證與分析的工具。

3.3主機安全實現

從強化主機和系統安全、打補丁、維護數據完整性、監控系統狀態、系統準入控制等方面入手，實現主機入侵防護、主機資源控制、邊界完整性和惡意代碼防護等安全防護。

針對網站系統應用網頁防篡改系統通過實時監控、實時報警和自動恢復等功能為用戶Web站點提供實時安全保護，并通過日志實現對網站文件更新過程的全程監控。

應用漏洞掃描技術主動掃描云計算環境中主機設備是否存在安全漏洞，清晰定性安全風險，給出修復建議和預防措施，實現安全自主掌控。

應用主機審計技術（堡壘機），對登錄主機資源的所有用戶身份進行認證，所有的遠程維護進行審計，服務器上的所有操作行為進行全記錄、全審計。

3.3應用安全實現路徑

對云計算環境中各業務系統統一部署PKI/CA系統集成PKI/CA系統，實現統一的身份認證和訪問控制。增加數據簽名功能，進一步的提高安全性。

云計算環境中各應用軟件開發商應持續對其應用程序運行的操作系統、開源軟件框架進行升級、打補丁等工作。同時對自身開發的軟件程序不斷優化完善系統安全機制，如用戶弱密碼限制、口令多次錯誤賬號鎖定、使用HTTPS加密傳輸協議、賬戶權限最小化處理、使用多種方式相結合的登陸認證措施。

3.4數據安全實現路徑

配備數據備份軟硬件設備，制定可靠的數據備份與災難恢復方案，確保數據可用性。

應用數據庫軟件本身審計功能或第三方的數據庫審計系統全面捕捉數據訪問、數據庫配置變化以實現對數據庫非法行為的事前預防、實時告警、事后追查，確保數據變更的合法性，保持其準確性。

應用程序開發商可在應用程序中使用HTTPS等數據加密傳輸協議對數據傳輸過程中的數據進行加密，使用數據加密算法對需要存儲到數據庫的數據進行加密存儲，通過技術手段確保數據在傳輸和存儲環節的保密性。

結束語：目前云計算技術日益普及，但云計算環境下的網絡信息安全面臨更多挑戰，只有采用更多技術手段不斷加強網絡信息安全的實現路徑研究，才能讓云計算技術更好的發揮其技術優勢。

（作者單位：重慶市通信產業服務有限公司中冉信息分公司）