網絡安全的分布式異構存儲網絡安全技術分析

中國船舶重工集團公司第七一五研究所 辛 宇

在互聯網得到普及應用的背景下，網絡數據量不斷增加。而在采用分布式異構存儲技術實現數據存儲過程中，對網絡具有明顯依賴性，將面臨較大信息風險。因為盡管網絡具有較強功能，但也相對脆弱，容易因為惡意攻擊出現安全問題，可能造成信息遭到竊取，嚴重時甚至出現系統癱瘓，造成信息丟失。從網絡安全管理角度來看，需要加強分布式異構存儲網絡安全技術運用，使數據隱私性和安全性得到保證。

1 分布式異構存儲網絡安全架構分析

在分布式異構存儲網絡中，需要利用虛擬網絡邊界進行安全部署，采用與物理網絡相同組網方式，通過控制邊界流量加強網絡保護。將物理安全設備虛擬化，通過單獨管理設備實現安全控制，可以使分布式異構存儲系統體現較強彈性，增強服務便捷性。在物理設備上部署虛擬化安全設備，并設置設備管理系統，能夠對管理服務器進行虛擬化處理，使網絡安全服務順利遷移。使數據平面與控制平面保持分離，利用虛擬機完成引流層安全架構部署，可以體現網絡分布式特征。從具體架構上來看，包含系統管理平臺、虛擬網絡和虛擬機監視器。通過監視器，用戶可以利用虛擬機接入網絡，在控制平面完成安全服務部署，實現數據存儲和調用。利用網絡單元進行數據動態引流配置，能夠在各物理機上布置安全服務平面，使控制平面得以進行安全通道部署。在不同物理設備上對系統業務數、安全策略等參數進行設置，對多個安全服務模塊進行調用，能夠結合用戶需求提供安全服務。

2 基于網絡安全的分布式異構存儲網絡安全技術

在數據存儲系統運行過程中，采用數據備份方式屬于被動式安全策略，能夠使信息丟失和被篡改問題得到解決，但無法應對數據因為網絡攻擊而泄露的情況，容易給企業帶來較大經濟損失。而分布式異構存儲系統能夠為數據在網絡的高效傳播提供支撐，同時也將面臨較大安全隱患。單靠服務供應商提供保護，難以滿足用戶安全控制需求，還應加強安全技術運用，實現安全策略靈活布置防止系統出現越權訪問情況。通過科學設計安全服務模塊功能，使系統危險系數得到降低，能夠為網絡安全使用提供保障。

2.1 訪問控制技術

在分布式異構存儲系統網絡安全服務模塊功能開發上，還要加強系統訪問控制管理。系統運行過程中將連接多種服務器，為不同訪問模式提供支持。加強系統元數據管理，并做好客戶端存儲代理設置，可以滿足數據復制要求，提供遠程鏡像等服務。為保證數據安全，還要確保用戶經過授權認證后才能獲取服務，通過網絡上傳或下載數據，對目錄和文件進行查看。將數據存儲和查看等權限分開，在用戶訪問數據時將發出不同訪問請求。通過安全檢查確定訪問權限，能夠使數據隱私性得到進一步保護。實際在技術應用上，需要根據用戶設備配置參數確定訪問級別，然后利用網絡安全策略進行授權。通過判斷訪問優先級別，可以確定范圍范圍、次數等。結合系統數據管理需求設定認證層次，能夠保證數據在存儲節點和客戶端之間高效傳輸的同時，使系統安全性問題得到解決。在虛擬網絡中，利用分布式安全架構能夠實現微隔離，并通過提供安全檢測服務對網絡傳輸文件、單一數據等進行檢測，達到加強系統攻擊防護的目標。如采用防火墻、IPS、URL等技術，能夠對網絡進行實時安全檢測，使用戶行為安全性得到準確識別，因此能夠為網絡使用提供安全保障。在網絡安全服務發現相同虛擬網絡中存在虛擬機被攻擊行為，將通過微隔離對受到攻擊虛擬機進行分割，使來源于內部網絡攻擊得到遏制，不會給整個網絡運行帶來干擾。實現異構存儲，可以對任何用戶任一端口實施隔離控制，只需在控制平面進行安全控制策略配置，即可提供端口對網絡用戶行為進行檢測，完成虛擬機安全防護配置，使系統整體安全性得到增強。

2.2 數據加密技術

系統數據借助網絡進行傳輸，同樣面臨較大安全威脅。為使數據在傳輸過程中的安全性得到保證，還要運用數據加密技術進行處理。具體來講，就是從分布式異構系統服務器提取數據過程中，以數據包形式完成加密處理，借助底層文件系統實現數據共享。不同于單純文件級加密或介質級加密技術，該種加密技術屬于應用加密技術，能夠利用應用程序實現數據加密操作。由于無需在網絡存儲層嵌入執行數據加密的設備，因此無需進行各種密鑰管理，能夠避免給分布式異構存儲系統性能帶來影響。在系統應用中實現加密技術的集成，可以提供端到端的加密解決方案，根據用戶身份及防偽范圍加強密鑰訪問控制，使密鑰與應用緊密綁定。對于用戶來講，只有獲得關鍵數據訪問權才能通過特定應用。在分布式異構存儲系統運行期間，容易因協議缺陷導致未授權用戶能夠進行系統訪問。為避免系統數據信息泄露，還要利用公共應用程序實現數據處理，在后臺完成數據加密。針對服務器端，還要做好存儲代理數據加密。結合這一目標，還要設計加密文件系統模塊，在數據傳輸前進行加密處理。在此基礎上，可以利用底層設備進行本地文件系統驅動，在不同地區存儲設備中進行數據寫入。采取該種數據加密技術，授權用戶在訪問系統時，可以從服務器獲得明文信息。而針對非法侵入用戶，服務器只會產生暗文，以免數據信息被篡改或泄露。采用保密編碼技術，服務器可以利用已知編碼方案對數據進行處理，使碼集成到復雜場景中，確保竊聽者無法獲取想要的信息。在系統用戶群有所改變時，則要及時進行應用訪問調整，確保用戶能夠通過特定應用訪問數據。對底層加密文件系統進行布置，能夠使系統網絡組織結構保持不變，因此依然可以實現數據高效傳遞，同時加強數據傳輸安全管理。

2.3 動態引流技術

伴隨著網絡技術的快速發展，網絡環境中黑客攻擊較多。通過網絡進行分布式異構存儲系統操作，可能遭受各種網絡攻擊。為滿足用戶特殊安全管理要求，還要對網絡安全進行合理評估，以便及時發現安全風險，通過動態引流避免系統遭受攻擊，以免因系統安全防護漏洞和盲點的存在造成數據安全性受到威脅。在系統利用網絡實現數據存儲過程中，需要對整個網絡中各虛擬機業務信息、局部流量等進行匯總，通過分析安全行為事件進行引流，使來自網絡的攻擊得到減少，繼而使系統數據得到強有力的安全保護。在網絡安全控制平面上，用戶數據流量可以鏡像至虛擬機，通過控制其流量可以掌握用戶流量，提供實時安全保護。在無線網絡中，物理信道具有唯一性和交互性，能夠使合法用戶得到有效辨識。從信息安全管理角度運用物理層安全技術，無需額外執行安全協議就能加強安全管理，可以使存儲系統維持高效運轉。在信號通過物理信道傳輸時，首先需要確定傳輸源是否合法。由于任何攻擊者無法對信息源進行模擬，因此可以根據信道安全數據特征對合法和非法信號源進行識別，然后進行合法信息傳輸。在實踐操作中，人員需從分布式異構存儲網絡中實現安全數據特征提取，然后利用獨立無線通信進行數據存儲操作。并非每個無線網絡通道都可以用于數據存儲，還要對通道物理層存儲安全系數進行確認，保證數據得到安全傳輸。實現系統網絡安全特征值分解，能夠從信道穩定程度、網絡安全數據特征等角度對節點安全性進行反映。將特征值分解至子信道，利用得到的安全數據特征進行網絡安全矩陣建立：

式中，W指的是無線通信層安全傳輸矩陣，i1-i4為四個網絡節點安全數據特征。通過對安全物理層信道進行篩選，然后將合法信號波束引入到分布式異構存儲系統中，能夠避免不法信號的進入。因為即便存儲網絡受到人為攻擊，由于竊聽者無法通過物理信道進入到存儲系統內部，所以能夠為解決系統安全問題提供有效方案。運用該技術只允許合法信號在系統內部存儲，能夠避免系統數據遭到破壞，因此可以使網絡安全管理需求得到滿足。在系統運行過程中，通過對局部網絡數據流量進行實時監測，并通過安全服務模塊進行動態引流，能夠加強網絡全局安全管理，為系統日常安全維護提供支持。

3 分布式異構存儲網絡安全技術應用效果

3.1 實驗條件

為確定上述技術應用效果，可以利用Sgzsdergly平臺開展網絡安全實驗。利用SAVE代碼進行實驗內容編寫，能夠對不同安全技術的存儲安全系數進行測試。在實驗分析過程中，可以先利用傳統網絡安全技術進行數據的分布式異構存儲，然后利用設計安全技術完成相同操作。將傳統系統操作當成是對照，比較兩組實驗結果，可以得到實驗結論。

3.2 結果分析

從實驗結果來看，采用傳統安全策略進行數據存儲操作，網絡安全系數在10到30db之間。運用多種安全技術生成系統安全策略，完成系統網絡安全服務模塊部署，能夠使網絡安全系數達到50-70db。相較于對照組，實驗組的網絡安全系數得到了大幅度提升，因此能夠使數據存儲的安全性得到增強。實現上述安全技術組合運用，依然無法保證分布式異構存儲系統在使用網絡進行數據操作時絕對安全。實際運用網絡安全技術，還應認識不同用戶將提出不同安全等級要求，可以通過在存儲系統中采取不同安全策略強化安全服務模塊功能設計，使系統安全性得到不斷提升。

結論：為加強網絡安全管理，還要在分布式異構存儲系統中引入網絡安全技術，通過提供有效保護避免系統受到惡意攻擊，從而使網絡環境下的數據信息完整性、安全性得到保證。結合存儲網絡安全架構，運用訪問控制、數據加密、動態引流等不同安全技術實現安全服務模塊功能，能夠實現多種安全策略的組合運用，辨識網絡安全風險，提供安全通道實現數據傳輸，繼而有效避免數據被竊取。