面向云平臺的網絡安全和關鍵防范技術研究

張 婷

（中國聯合網絡通信有限公司 哈爾濱軟件研究院，黑龍江 哈爾濱 150040）

0 引 言

云平臺又稱云計算平臺，是一種基于軟硬件資源提供計算、網絡以及存儲能力的平臺，主要包括專注于數據存儲的存儲云平臺、專注于數據處理的云平臺以及兼顧計算與數據存儲和處理的綜合性云平臺[1]。云平臺集成了虛擬化技術，擴展了各個服務器設備的云計算能力。云中的服務器由云平臺統一管理，根據實際需要分配計算資源和存儲容量資源。與傳統網絡平臺一樣，云平臺也面臨著不可忽視的安全問題，主要為云平臺內外的安全問題。內部安全風險主要來自人為操作不當，導致用戶帳戶密碼或私人數據泄漏；外部安全風險包括主動攻擊、被動攻擊以及惡意消耗云平臺資源等。基于云平臺的特點和面臨的安全風險研究響應的網絡安全防范技術對于確保云平臺的安全穩定運行來說尤為重要[2]。

1 云平臺安全防護方案設計

1.1 云平臺安全防護基本思路

根據云平臺的安全防護需求建立多層次、多手段的安全防護體系，基本思路如下。一是將云平臺的內部網絡與外部網絡進行安全隔離，分為外部云服務區域和內部云服務區域兩個安全區域。數據庫、存儲設備以及云服務器等重要云平臺資源采用多級隔離技術，在內部和外部云服務區域之間進行安全隔離[3-7]。二是在內部和外部云服務區域分別進行安全隔離。云服務區域中的每個信息系統都被認為是一個獨立的安全組，這些組可以相互訪問。如果同一云服務區域內的不同應用需要相互訪問，則可以通過安全組防火墻進行認證訪問。三是互聯網應用安全防護，主要包括網站安全、入侵檢測以及反分布式拒絕服務（Distributed Denial of Service，DDoS）等模塊。四是數據安全交換，外部云服務區域通過專線與網關相連，內部云服務區域通過專線與本地網絡相連，本地信息網通過網關與外部云服務區域相連。五是云平臺完全遵從“三權分立”原則，保證各角色間權限獨立。

1.2 云平臺安全防護拓撲設計

基于云平臺安全防護的具體要求，本次研究采用多層防護策略，其網絡拓撲設計原則包括以下幾點。一是內外網隔離。云平臺分為內外兩個區域：一個是外網，主要用于連接互聯網；另一個是內網，主要用于平臺內部信息交換。內外網之間可以采用防火墻、入侵檢測等技術實現安全隔離。二是平臺內網隔離。在云平臺內部，單個信息系統視為一個安全組，組內可進行信息交換。在內部所屬不同安全組的各個應用，如需進行信息交換，則可經由安全組之間設置的防火墻進行安全訪問。三是互聯網應用安全防護。主要措施包括但不限于網站安全防護、入侵檢測以及DDoS攻擊防護。四是數據安全防護。外網經由專線與網關相連，內網經由專線接入本地網絡，本地信息網之間、本地信息網與外網之間通過網關連接。云平臺安全防護網絡拓撲如圖1所示。

圖1 云平臺安全防護網絡拓撲

1.3 云平臺網絡安全防護關鍵技術

1.3.1 防火墻技術

防火墻用于隔離云平臺和外部網絡，控制云平臺與外部網絡之間的訪問，有效防止未經授權地訪問云平臺。其中，核心數據區、服務區以及接入區均設置防火墻保證數據安全，具體做法如下。一是在接入區的輸出交換機和核心區的交換機之間安裝防火墻，保證專線接入信息的安全；二是在出口安全區的交換機和核心區的交換機之間設置防火墻，保證核心數據的安全；三是在服務區交換機和出口區交換機之間設置防火墻，保證服務區的數據安全。

1.3.2 負載均衡技術

通過規劃云平臺數據傳輸負載可以有效提升云平臺的服務質量。在核心區的交換機一側部署負載均衡設備，根據需要配置服務器負載均衡組，以滿足整個應用資源空間的負載均衡需求[8]。

1.3.3 網絡審計技術

網絡審計技術可以對系統進行監控和審計，提供用戶行為控制、跟蹤以及評估，滿足云平臺安全需求。本次研究采用堡壘機網絡審計系統，堡壘機管理的IP地址通過專用的云核心交換機對外公開，除此IP地址的主機路由外，系統不對外發布其他管理網絡路由?；诜阑饓ε渲渺o態地址映射后對外發布堡壘主機的公網地址，管理員通過堡壘機的公網地址訪問堡壘機的網絡審計系統，再通過堡壘機對內網其他設備進行管理和配置。

1.3.4 DDoS異常流量清洗系統

流量異常是指網絡的流量偏離正常范圍，可能會在短時間內對網絡或網絡上的計算機造成重大損害。此外，DDoS攻擊通常攻擊源分散、流量集中。雖然現有的DDoS攻擊清除方法可以阻斷攻擊流量，但往往會誤傷合法流量?；谠朴嬎隳Ｐ偷漠惓Ａ髁壳逑聪到y可用于網絡上的集中調度、并行處理以及近距離清洗。

1.3.5 漏洞掃描檢測技術

漏洞檢測通常采用兩種策略，第一種是被動漏洞檢測，第二種是主動漏洞檢測。被動漏洞檢測策略就是基于主機對系統中不合適的設置、脆弱的口令以及其他與安全規則抵觸的對象進行檢查；而主動漏洞檢測策略是基于網絡的，通過執行一些腳本文件模擬對系統進行攻擊的行為，并記錄系統的反應，從而發現其中的漏洞。漏洞檢測技術歸納起來主要包括基于應用的漏洞檢測技術、基于主機的漏洞檢測技術、基于目標的漏洞檢測技術以及基于網絡的漏洞檢測技術。其中，基于網絡的檢測技術利用一系列的腳本模擬對系統進行攻擊的行為，然后對結果進行分析，針對已知的網絡漏洞進行檢驗?；诰W絡的檢測技術常被用來進行穿透實驗和安全審記[9,10]。

通過分析黑客尋找網絡漏洞和攻擊網絡的過程可以發現，傳統的網絡安全漏洞掃描工具不能根據檢測過程中得到的信息進行進一步的分析。實際上，任何網絡攻擊都會在被測系統的目標主機留下連接端口、服務、IP地址以及標志等，加上目標主機的系統資源、運行狀態、服務程序等諸多信息，可以更加全面地認識和分析這些網絡攻擊產生的信息，這也本次研究的漏洞主動檢測分析及預測機制的核心。基于這些信息生產評估報告，可以主動檢測分析漏洞，預測系統中可能存在的安全漏洞。

漏洞主動檢測系統要求在被測試的目標主機運行實時監視主機狀態的服務程序，以便對漏洞掃描主機每一次的模擬攻擊進行跟蹤，然后將被測試目標主機的服務進程、內存資源狀態以及中央處理器（Central Processing Unit，CPU）資源等信息傳給漏洞掃描主機，對信息進行統計分析，以便進行進一步的攻擊測試。對不具備測試條件的，應給出漏洞危害等級提示，預警可能存在的網絡安全隱患，即隱性的網絡安全漏洞。

1.3.6 防病毒技術

檢查和清除計算機病毒是維護網絡安全的重要步驟。通過開發和推廣更好的防病毒軟件以達到優化檢查和清除計算機病毒的效果。計算機防病毒軟件適用的用戶組并不完全相同，普通個人用戶面臨的計算機網絡安全風險較小，不易受到黑客攻擊，可選擇家用小型殺毒軟件，查殺互聯網上較為常見的木馬病毒。而云平臺包含大量的關鍵信息和數據，因此應選擇更專業的殺毒軟件。由于病毒更新頻繁，在使用殺毒軟件時應注意及時更新，以確保殺毒功能的有效性。

1.3.7 入侵檢測與隔離技術

云平臺下的虛擬化安全防護系統通過更新外圍防火墻的過濾規則來檢測攻擊。但是由于過濾規則的限制，很難完全排除惡意攻擊信息。為此，需要通過入侵檢測和隔離技術攔截針對系統漏洞的攻擊，檢測異常訪問行為，并根據相應的安全策略自動響應[10]。本次研究提出一種新的入侵檢測和隔離方法，通過內存快照直接獲取云服務器操作系統的相關信息，攔截可疑的通信數據包，在保證正常數據通信的同時自動檢測攻擊信息。通過分析截獲的信息可以區分進程，防止異常進程信息接收合法進程數據。當服務器受到攻擊時可以自動檢測并生成新的安全規則來阻止攻擊，攻擊攔截過濾流程如下。通過數據采集器獲取網絡信息，入侵檢測引擎根據采集到的數據進行檢測分析。如果檢測結果異常，則產生相應的告警信息并采取相應的對策。

1.3.8 應用安全防護

應用安全防護技術用于保護云平臺內的各種應用，可分析應用的安全狀態，及時找出存在安全風險的應用，并采取響應的安全措施，阻止針對應用程序漏洞的惡意攻擊，從而確保系統安全。首先，研究總結惡意攻擊行為特性，構建惡意行為特征庫并動態更新，監控各應用的運行，如果監測到惡意攻擊行為特征，則判定為惡意攻擊，此時從安全策略庫中選取對應的解決對策，對惡意攻擊行為進行處理。

2 結 論

根據云平臺的實際安全需求建立多層次、多技術的安全防護體系，設計出較為完善的安全防護方案，結合防火墻、病毒防護、漏洞掃描、入侵檢測、負載均衡、DDoS以及應用安全防護等多種技術為云平臺的運行提供有效的安全保障。同時隨著云平臺業務的不斷發展和技術的不斷進步，云平臺安全防護體系也需要不斷進行優化和完善。