計算機數據庫系統在信息管理中的運用探究

摘要：云計算是一種以英特網技術為基礎的分布式計算平臺，可以為用戶提供各類信息資源。云計算技術下的網絡安全威脅眾多，傳統網絡安全防御技術無法發揮良好作用。因此，文章描述了常見的云計算網絡安全防御技術，并對云計算技術下的網絡安全防御挑戰與優化進行了探究，進一步評估了優化效果，希望為云計算技術下的網絡安全防御技術應用提供一些參考。

關鍵詞：云計算技術；網絡安全防御技術；雪崩效應

近幾年，網絡空間安全事件頻繁發生，網絡安全威脅屢禁不絕，網絡安全形勢極其嚴峻。與此同時，基于云計算的集中式網絡安全防御技術日趨成熟，基本滿足了網絡安全防御要求。但是，現行云計算網絡安全防御技術僅可保護云計算網絡中局部基礎設施，缺乏復用性、通用性，安全保障功能較弱。因此，深入分析云計算技術下的網絡安全防御技術具有非常突出的現實意義。

一、云計算技術下的網絡安全防御技術

（一）基于云基礎架構的網絡安全防御

基于云基礎架構的網絡安全防御主要用于云計算技術下的網絡威脅檢測，可以為網絡安全防御手段的針對性應用提供依據。基于云基礎架構的網絡威脅檢測算法為Smith-Waterman算法。在算法應用前，需要對算法參數進行定義，確保數據水平掃描、垂直間隙長度一定。算法中的元素主要為符號序列、數組、兩個符號序列之間的相似性序列[1]。在兩個符號之間的相似性序列確定后，調整算法，構建網絡結構的數據矩陣，最終將兩個相似矩陣相乘，獲得復合型矩陣結構——相似網絡結構。在相似網絡結構內，劃定算法迭代深度范圍、水平范圍，選擇最大值，遍歷全部網格節點（平行遍歷或水平遍歷）。進而引入相異性系數，進行比例級跳位運算，逐一獲得每一個節點的數據信息計算值。在獲得全部數據后，應用參數值進行持續迭代，直至獲得最大結果。

（二）基于關鍵節點的網絡安全防御

基于關鍵節點的網絡安全防御技術主要應用于云計算網絡攻擊下的雪崩效應處理。根據云計算網絡雪崩效應的防御要求，可以依據網絡節點大小選取保護網絡中的關鍵點。一般保護網絡中的關鍵點為最大的網絡節點。在保護網絡中的關鍵點選擇完畢后，賦予其免疫網絡攻擊能力，則具有面積能力的節點概率與節點在初始位置被移除的概率相等。此時，最大連通子圖（利用最少的邊將圖的全部節點連接起來的子圖）規模在加入免疫節點后可以相應增加，讓云計算網絡更加健壯，有效抵御復雜網絡攻擊。一般在物理宿主機數量及其上運行虛擬機實例一定的情況下，初始被攻擊節點數量提升，最終結果內最大連通子圖涵蓋節點數量會下降，攻擊免疫節點比例與云計算網絡健壯性存在正相關。相較于傳統云計算網絡內移植網絡安全設備的方法，基于關鍵節點的網絡安全防御可以通過系統分析云計算網絡，擇優防御關鍵節點，降低云計算網絡安全威脅解決成本。

（三）基于移動路徑選擇的安全防御技術

基于移動路徑選擇的安全防御技術適用于計算能力、存儲能力均較強的云計算網絡系統，可以封堵不同屬性的云計算網絡漏洞[2]。基于移動路徑選擇的安全防御技術主要是在網絡連接矩陣內，依據單條攻擊準則賦予網絡漏洞若干屬性，根據網絡漏洞屬性進行惡意攻擊者權限概率與意圖的準確檢測。根據檢測結果，產生海量傳輸路徑，在數據、傳輸路徑之間建立高速通信渠道，規避路徑無價值耗散引發的云計算生命周期縮短。

二、云計算技術下的網絡安全防御挑戰

（一）虛擬機運行漏洞軟件

在云計算技術環境內，因云計算多租戶特征，用戶是虛擬機的掌控者，云服務提供商無法完全掌控每一臺虛擬實例內運行的軟件系統，也無法開展基于系統的滲透測試、漏洞掃描、配置檢查操作，導致虛擬機系統運行階段漏洞軟件、威脅服務出現概率較高，對整個網絡環境安全造成了沖擊。

（二）安全設備部署難度增加

在云計算技術環境內，因云計算無邊界共享特征，網絡接入方式更加多樣、網絡動態特性更加突出、虛擬化資源共享范圍進一步擴大，安全設備部署難度也進一步增加。特別是在內部網絡邊界日益模糊的背景下，用戶可以根據自身需求租用云虛擬資源，并將其分享給其他用戶，甚至惡意用戶，導致傳統防火墻、堡壘主機、IDS（入侵檢測系統）工具無法發揮安全防御作用。

三、云計算技術下的網絡安全防御技術優化

（一）優化架構

針對云計算技術下網絡虛擬機運行漏洞軟件的問題，可以對云計算技術下的網絡安全防御架構進行優化。即將每一個虛擬機視為具備簡單日志處理與分析功能的節點，將可裁剪的輕量系統監控與告警程序賦予每一個虛擬機，此時，在運行監控軟件機器性能較弱的情況下，系統監控與告警程序可以分析內存、中心處理器、網絡流量等信息；而在運行監控軟件機器性能較強的情況下，系統監控與告警程序可以分析數據指紋、流量網絡地址、運行進程等信息。每一個運行監控與告警程序的虛擬機同時具備系統狀態分析、系統狀態上報、啟動免疫處理模塊等功能，并可根據網絡安全防御策略生成防御啟動機制，實現對網絡病毒的阻截或對惡意軟件的阻攔。

針對云計算技術下的網絡安全設備部署難度大問題，可以借鑒基于自身加固的主動防御策略，設置專用于監控數據處理與安全策略生成的節點，實時收集每一個運行監控與告警程序的虛擬機節點發送日志、告警數據，并進行匯總、分析[3]。進而依據預定義的網絡安全防御機制（監控黑名單、匹配網絡安全防御規則），觸發對應的網絡安全防御策略生成模塊，將網絡安全防御策略生成模塊產生的策略下發給每一個運行監控與告警程序的虛擬機節點。借助每一個運行監控與告警程序的虛擬機節點內部業務處理、安全響應功能，全面執行網絡安全防御策略。

從總體結構上來看，優化后的云計算網絡安全防御框架為樹形結構，結構內物理機、虛擬機、基于自身加固的網絡安全防御節點（云計算網絡安全防御策略生成節點）處于整個網絡關鍵位置，包含兩個虛擬機實例，其中一個虛擬機實例負責網絡安全防御策略分析、生成與下發，剩余的虛擬機實例則負責運行云計算網絡用戶邏輯業務。

（二）優化流程

為充分發揮云計算技術下的網絡安全防御技術優勢，彌補網絡虛擬機漏洞，降低網絡安全設備部署難度，可以在合并處理類別一致網絡攻擊的基礎上，對整個云計算網絡安全防御流程進行梳理。即：威脅檢測→日志報送→威脅處理→防御部署。

首先，威脅檢測是云計算技術下的網絡安全防御首要環節，主要是利用每一個運行監控與告警程序的虛擬機節點內部原有的系統狀態分析、采集軟件，在輪詢模式下，依據特定的時間間隔掃描系統關鍵信息并將關鍵信息收集到固定的模塊。一般時間間隔與虛擬機負載、處理能力相關，最大值應低于閾值，確保每一個運行監控與告警程序的虛擬機節點可以及時響應網絡安全威脅。或者在事件觸發模式下，設置一個或若干個觸發事件（網絡帶寬占用超閾值、數據包含惡意腳本、連續滿負荷運行時間超閾值），在閾值出現時立即判定相應時刻網絡狀態存疑，進行登錄、進程、端口與內存、數據包掃描。

其次，在被攻擊云計算網絡節點觸發監測與告警程序后，由程序將數據報送給云計算網絡防御策略生成節點[4]。為規避云計算網絡防御策略生成節點壓力過大問題，可以對檢測數據進行預先合并、去重、過濾與壓縮處理。其中合并主要是整合輪詢模式下獲得威脅數據、前次事件觸發獲得的同一次威脅數據；去重則是去除重復的數據；過濾需要過濾檢測數據中包含的虛假威脅（因突發狀況引發誤觸發），如特定時刻多人訪問服務器造成中央處理器負載過高等；壓縮則是根據云計算虛擬機運行情況，借助壓縮算法將數據包壓縮，降低網絡信息傳送壓力。

再次，在接收到攻擊信息后，由云計算網絡防御策略生成節點完成信息解析以及威脅類別劃分。因云計算網絡防御策略生成節點數量隨虛擬機實例的變化而變化，需要重新將云計算網絡防御策略生成節點包含的全部運行環境打包，創建為虛擬鏡像。在虛擬鏡像創建完畢后，根據安全威脅類別差異，將威脅劃分為惡意軟件、超文本傳輸協議攻擊、網絡攻擊幾種類別，降低規則匹配干擾。進而根據每一個運行監控與告警程序的虛擬機節點差異，合并攻擊信息。如在云環境內網絡主頁分布式拒絕服務攻擊造成的網頁服務停止情況下，將全部相關后端服務器告警信息歸總為同一類攻擊。同時自動學習生成規則集，暫時屏蔽虛擬機實例網絡訪問。進而進行不同類別網絡威脅攔截規則的發送[5]。一般在緊急任務模式下，需借助深度優先算法將規則發送給被攻擊虛擬機；而在廣播任務模式下，則應借助廣度優先算法，將規則發送給被攻擊虛擬機，發送期間速度、受眾節點數量處于均衡狀態。

最后，選擇相應的規則集并完成下發后，進行云計算網絡安全防御策略的匹配，將匹配結果發送至規則產生器，生成網絡安全防御規則。進而逐一調用規則內關聯的云計算網絡安全防御軟件，將規則添加到虛擬防火墻，閉鎖主機被攻擊端口。

（三）優化策略

恰當的云計算網絡安全防御策略是解決云計算網絡安全防御固有漏洞的有效手段。根據云計算網絡特點，可以采取樹形結構的多層防御策略。在多層防御策略中，全部虛擬機實例運行監控與告警程序的虛擬機節點位于底層，根據云計算網絡運行狀態與詳細信息獲取需要，可分別引入top命令、vmstat命令與bmon命令，完成中央處理器、內存狀態、網絡帶寬占用的監測，監測后將數據壓縮發送給中層；中層為云計算網絡安全防御策略生成節點，前端為異步事件響應處理機制支撐的文件接收服務器。中層云計算網絡安全防御策略生成節點處理性能較弱，所在拓撲距離受網絡攻擊節點更小，威脅響應更快，可滿足小體量虛擬機實例安全維護。在收到某一運行監控與告警程序的虛擬機節點的告警信息后，中層節點可以自行判定距離告警時間間隔最近的運行監控與告警程序的虛擬機節點，直接利用廣度優先算法將生成的網絡安全防御規則發送給時間間隔相同的運行監控與告警程序的虛擬機節點[6]。若不存在相應節點，則有序執行網絡安全威脅分類、安全防御規則匹配、安全防御策略生成、安全防御規則反饋活動；上層為云計算網絡安全防御策略管理節點，上層云計算網絡安全防御策略管理節點處理能力較強，可與中層進行信息交互，并進行高度復雜、大體量虛擬機實例特定時期威脅態勢的匯總、協調、預測、告警，同時關閉部分網絡安全防御策略生成節點控制的關鍵路由（被攻擊子網），逐步清除網絡安全威脅。在恢復網絡后，將處理過程存儲到專門的安全信息數據庫。

四、云計算技術下的網絡安全防御優化效果測試

（一）測試環境

在已安裝計算節點、控制節點的服務器系統內，進行塊存儲節點、對象存儲節點的安裝[7]。其中計算節點運行虛擬機監視器、虛擬機實例與虛擬網絡連接端口；控制節點運行鏡像管理服務、身份識別與訪問管理服務、網絡管理與控制板、計算管理、數據庫支持服務與計費服務、消息隊列時間管理；塊存儲節點主要運行計算節點的虛擬機實例；對象存儲節點主要運行元數據，如容器、賬戶、鏡像等。

（二）測試過程

假定云計算技術下的網絡遭受分布式拒絕網絡攻擊，攻擊流量由軟件程序產生，將向目標主機端口持續發送超文本傳輸協議請求模擬超文本傳輸協議洪水（HTTP Flood）攻擊。進而在確保網絡地址一定的情況下，隨機選擇另外一臺虛擬機實例，發送相同的攻擊，分析結果并保存為可讀取的格式文件[8]。

（三）測試結果

測試結果得出，對同一攻擊頁面請求速度、發送數據速度分別超出5次/s、50Mb/s。在背離上述規則時，其中一臺虛擬機實例對應的云計算網絡安全防御系統將發送告警數據，并將數據上報給云計算網絡安全防御策略生成節點。進而由云計算網絡安全防御策略生成節點對上報數據進行處理，生成下發威脅處理策略——封鎖攻擊源網絡地址，頁面可以正常訪問。另外一臺未下發威脅處理策略的虛擬機實例在攻擊發生6s后頁面無法正常打開。

五、結束語

綜上所述，云計算技術下的網絡面臨著數據泄露、賬戶劫持、數據丟失、共享技術漏洞、云計算服務濫用、應用程序接口不安全等威脅。網絡安全威脅對網絡空間終端、數據與系統的安全穩定性均造成了干擾。為了提高網絡的安全穩定性，應恰當利用云計算技術，完善網絡安全防御體系，順利發揮云計算的按需自助服務、多終端訪問、資源共享、迅速部署、可計量服務等優勢。

作者單位：王亮 91001部隊

張新建 楊春 中國電子科技集團公司第二十八研究所

王驥 海裝上海局

參" 考" 文" 獻

[1]張菁，余意.云計算面臨的安全問題及網絡安全防御措施[J].信息與電腦（理論版），2018（22）：183-184.

[2]凌旺，閔嘯，趙亮.基于大數據云計算網絡環境的數據安全問題研究[J].電子元器件與信息技術， 2022（01）：238-239.

[3]陳霄.云計算環境對網絡安全領域的影響及應對策略研究[J].電腦知識與技術，2020（30）：28-29.

[4]鐘思，何國民，袁煜，帥劍平，陳輝金.基于大數據和云計算的網絡空間安全防御研究[J].科技創新與應用，2022（10）：71-74.

[5]馬艷夕.云計算平臺中網絡安全的關鍵技術分析[J].電腦知識與技術，2021（15）：58-59.

[6]周恩龍，邵磊.基于云計算環境中的網絡安全技術優化[J].軟件，2021（12）：177-180.

[7]柏小三.云計算環境下移動網絡安全防御節點的路徑選擇仿真研究[J].赤峰學院學報（自然科學版），2019（02）：39-42.

[8]畢剛.基于云計算分析網絡安全建設[J].數字技術與應用，2020（08）：185-186.