基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全防御技術(shù)探究

金曉波

（臺州科技職業(yè)學(xué)院，浙江 臺州 318000）

0 引 言

云計(jì)算是建立在現(xiàn)代計(jì)算機(jī)和分布式計(jì)算基礎(chǔ)上形成的技術(shù)，在應(yīng)用時(shí)需要與互聯(lián)網(wǎng)融合建立云網(wǎng)絡(luò)，以實(shí)現(xiàn)計(jì)算資源拓展，從而獲得運(yùn)算快、資源廣等優(yōu)勢。大量數(shù)據(jù)通過網(wǎng)絡(luò)傳輸和利用計(jì)算機(jī)存儲，一旦出現(xiàn)網(wǎng)絡(luò)安全問題，將引發(fā)數(shù)據(jù)泄露，給用戶帶來嚴(yán)重?fù)p失，因此應(yīng)加強(qiáng)網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用，為加速云計(jì)算技術(shù)推廣奠定基礎(chǔ)。

1 基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全問題

對云計(jì)算技術(shù)應(yīng)用遇到的網(wǎng)絡(luò)安全問題展開分析可知，在數(shù)據(jù)上傳至云端存儲、備份的整個(gè)過程中，需連接互聯(lián)網(wǎng)實(shí)時(shí)上傳和獲取數(shù)據(jù)，將數(shù)據(jù)存儲于云端服務(wù)器，可能會面臨各種網(wǎng)絡(luò)攻擊，導(dǎo)致數(shù)據(jù)丟失或泄露，給用戶數(shù)據(jù)安全帶來威脅。首先，通過云端傳輸?shù)臄?shù)據(jù)信息不僅包含客戶基本信息，也包含財(cái)務(wù)、關(guān)鍵業(yè)務(wù)等信息，在網(wǎng)絡(luò)傳輸過程中遭遇黑客竊聽等情況，導(dǎo)致數(shù)據(jù)泄露，將給客戶造成經(jīng)濟(jì)損失。其次，無論是通過云端上傳還是下載數(shù)據(jù)，使用云平臺需經(jīng)過身份認(rèn)證，可能面臨用戶信息被第三方服務(wù)器竊取情況。最后，云計(jì)算網(wǎng)絡(luò)系統(tǒng)存在漏洞，導(dǎo)致審計(jì)系統(tǒng)喪失判斷木馬等病毒的能力，使原本已經(jīng)被刪除的信息依然留存在云端，增加信息泄露概率[1]。

2 基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全防御技術(shù)

2.1 節(jié)點(diǎn)保護(hù)

云計(jì)算使用了虛擬化技術(shù)。網(wǎng)絡(luò)中每個(gè)虛擬機(jī)均為一個(gè)節(jié)點(diǎn)，如圖1 所示，可以看成是傳感器節(jié)點(diǎn)，不僅擁有日志分析等功能，還可以同時(shí)運(yùn)行輕量系統(tǒng)監(jiān)控及告警程序，完成虛擬機(jī)處理性能優(yōu)化、裁剪，實(shí)時(shí)感知系統(tǒng)的運(yùn)行狀態(tài)[2]。實(shí)施節(jié)點(diǎn)保護(hù)，不僅能夠利用監(jiān)控軟件完成系統(tǒng)中央處理器（Central Processing Unit，CPU）和網(wǎng)絡(luò)流量等基本信息分析，也能對數(shù)據(jù)指紋等高級系統(tǒng)信息展開分析，通過配備免疫處理模塊攔截惡意軟件和網(wǎng)絡(luò)病毒，防止系統(tǒng)受到外界攻擊。采用節(jié)點(diǎn)保護(hù)技術(shù)開發(fā)云計(jì)算網(wǎng)絡(luò)安全防御系統(tǒng)，通過在邏輯網(wǎng)內(nèi)設(shè)置自身加固防御節(jié)點(diǎn)，將網(wǎng)絡(luò)安全響應(yīng)功能升級為防御策略生成節(jié)點(diǎn)，通過分析各節(jié)點(diǎn)日志、告警等數(shù)據(jù)啟動事先設(shè)定的防御機(jī)制，為系統(tǒng)運(yùn)行安全提供保障。網(wǎng)絡(luò)安全防御系統(tǒng)的節(jié)點(diǎn)包含安全節(jié)點(diǎn)、業(yè)務(wù)節(jié)點(diǎn)以及傳感器節(jié)點(diǎn)。其中，安全節(jié)點(diǎn)用于實(shí)現(xiàn)網(wǎng)絡(luò)安全的設(shè)計(jì)，能夠提升網(wǎng)絡(luò)安全水平。業(yè)務(wù)節(jié)點(diǎn)用于對數(shù)據(jù)存儲、備份等各種業(yè)務(wù)展開分析，加強(qiáng)網(wǎng)絡(luò)安全的控制。傳感器節(jié)點(diǎn)用于感知系統(tǒng)的運(yùn)行狀態(tài)，判斷是否存在網(wǎng)絡(luò)安全問題，為可靠防御決策制定提供支持。在系統(tǒng)運(yùn)行期間，各種傳感器節(jié)點(diǎn)采集到的數(shù)據(jù)最終將匯聚在安全節(jié)點(diǎn)，對各種威脅行為進(jìn)行判斷，生成相應(yīng)的防御策略。為避免安全節(jié)點(diǎn)數(shù)量受虛擬機(jī)數(shù)量變化影響，將安全節(jié)點(diǎn)設(shè)定在虛擬機(jī)單元中，能夠運(yùn)行虛擬機(jī)和創(chuàng)建鏡像，順利生成防御策略。將威脅類型劃分為黑客攻擊、超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）攻擊、惡意軟件攻擊等，建立相應(yīng)的匹配規(guī)則，提高系統(tǒng)識別的準(zhǔn)確率。在系統(tǒng)確定防護(hù)軟件無法有效攔截攻擊時(shí)，可以暫時(shí)屏蔽虛擬機(jī)實(shí)例網(wǎng)絡(luò)訪問，避免給整個(gè)網(wǎng)絡(luò)帶來安全威脅。

圖1 基于云計(jì)算的傳感器節(jié)點(diǎn)分布

2.2 攻擊檢測

在加強(qiáng)云計(jì)算網(wǎng)絡(luò)安全防御過程中，首先需要完成攻擊檢測，確保后續(xù)防御機(jī)制能夠順利啟動。應(yīng)用攻擊檢測技術(shù)建立數(shù)據(jù)捕獲模型采集和分析數(shù)據(jù)源。在各服務(wù)器位置布置網(wǎng)絡(luò)入侵檢測系統(tǒng)（Network Intrusion Detection System，NIDS），如圖2 所示，通過輪詢形式和事件觸發(fā)模式完成系統(tǒng)運(yùn)行的數(shù)據(jù)采集，按照設(shè)定時(shí)間間隔完成終端掃描。獲取虛擬機(jī)負(fù)載壓力等關(guān)鍵數(shù)據(jù)，結(jié)合系統(tǒng)運(yùn)行情況優(yōu)化虛擬機(jī)資源分配，動態(tài)調(diào)整系統(tǒng)的運(yùn)行狀態(tài)。通過設(shè)定多個(gè)觸發(fā)事件，完成網(wǎng)絡(luò)帶寬占用閾值等數(shù)值的設(shè)定，判斷系統(tǒng)訪問行為是否存在威脅性。一旦判斷存在威脅，將啟動攻擊評估程序，結(jié)合系統(tǒng)負(fù)載狀況完成數(shù)據(jù)源掃描，對端口、登錄頁面等進(jìn)行逐一掃描，查找到可疑數(shù)據(jù)后進(jìn)行預(yù)處理，避免給系統(tǒng)防御帶來過大壓力[3]。經(jīng)過數(shù)據(jù)合并、去重等操作，可以去除重復(fù)威脅數(shù)據(jù)，合并處理同一攻擊行為。在各傳感器節(jié)點(diǎn)導(dǎo)入防御規(guī)則后，需要與NIDS 終端防御軟件關(guān)聯(lián)，順利導(dǎo)入防御程序，確保可以調(diào)用軟件實(shí)現(xiàn)攻擊檢測。

圖2 NIDS 系統(tǒng)部署

2.3 數(shù)據(jù)加密

傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)在網(wǎng)絡(luò)傳輸層和網(wǎng)絡(luò)層間實(shí)現(xiàn)數(shù)據(jù)加密處理。在云計(jì)算網(wǎng)絡(luò)環(huán)境下，為保證云端存儲數(shù)據(jù)的安全，同樣需要進(jìn)行數(shù)據(jù)加密處理。一方面，可以在睡眠模式下實(shí)現(xiàn)長期存儲數(shù)據(jù)的加密處理，利用數(shù)字身份完成用戶身份信息加密和驗(yàn)證。在用戶登錄云端時(shí)，需先進(jìn)行身份認(rèn)證，將加密數(shù)據(jù)傳至云端，通過證書公共密鑰和對稱加密密鑰完成身份信息的加密。用戶僅需保留加密密鑰，即可在訪問云端時(shí)將加密文本下載至本地云中解密，確保數(shù)據(jù)安全性。云平臺在自動運(yùn)行期間會產(chǎn)生大量數(shù)據(jù)信息，通過動態(tài)加密方式完成數(shù)據(jù)處理，保證系統(tǒng)數(shù)據(jù)安全。面向有效用戶，該過程帶有“透明化”特點(diǎn)，用戶能夠正常使用數(shù)據(jù)，因此無須保留大量密鑰，僅由云平臺提供密鑰管理框架，降低云端數(shù)據(jù)存儲等業(yè)務(wù)操作的復(fù)雜性。云平臺將根據(jù)數(shù)據(jù)重要性劃分安全級別，采取不同數(shù)據(jù)訪問策略。通過數(shù)據(jù)分類標(biāo)記，從數(shù)據(jù)庫、應(yīng)用程序等多個(gè)方面建立隔離機(jī)制，能夠防止其他無效用戶查看或修改數(shù)據(jù)[4]。在用戶創(chuàng)建文本過程中，云平臺將同時(shí)根據(jù)文本中關(guān)鍵詞生成匹配的索引表和文檔，并完成加密處理，發(fā)送至云端存儲。其他用戶登錄云端檢索數(shù)據(jù)時(shí)，需要向數(shù)據(jù)所有者提出申請，只有同時(shí)獲得索引表密鑰和文件密鑰后，才能查詢和解密文本。采用上述技術(shù)能夠在數(shù)據(jù)進(jìn)入云端存儲后立即完成加密操作，通過網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)傳輸，采用鏈接加密技術(shù)對不同網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)信息進(jìn)行加密處理，為不同節(jié)點(diǎn)設(shè)置不同密鑰，與加密信息保持相互對應(yīng)關(guān)系，保證數(shù)據(jù)安全傳輸。

2.4 入侵防御

在網(wǎng)絡(luò)安全防御方面，面對網(wǎng)絡(luò)黑客、木馬病毒等各種威脅，需要采取多種入侵防御技術(shù)建立完善的防護(hù)體系。一方面，云計(jì)算帶有動態(tài)服務(wù)計(jì)算的特點(diǎn)，需要將合同服務(wù)作為基礎(chǔ)，因此在創(chuàng)建虛擬化環(huán)境過程中需要設(shè)置虛擬防火墻，設(shè)立云平臺網(wǎng)絡(luò)安全邊界，完成租戶邊界安全部署，提升整體服務(wù)的安全性[5]。同一物理處理器和服務(wù)器上分布多個(gè)虛擬機(jī)，需保證彼此間數(shù)據(jù)的傳輸安全，滿足平臺動態(tài)遷移和彈性擴(kuò)展需求。因此，結(jié)合虛擬化資源動態(tài)分配和共享特征，在不同領(lǐng)域間設(shè)置虛擬化防火墻，并完成出入等級設(shè)置，通過限制虛擬機(jī)訪問流量以保證信息流動安全。采用智能防火墻技術(shù)，把模糊數(shù)據(jù)庫檢索作為支撐，運(yùn)用人工智能算法實(shí)現(xiàn)數(shù)據(jù)動態(tài)處理，通過入侵掃描方式阻斷被包裝的攻擊行為，提高數(shù)據(jù)安全防御等級和網(wǎng)絡(luò)安全系數(shù)。另一方面，面對不斷更新的計(jì)算機(jī)病毒，需采用反病毒技術(shù)加強(qiáng)網(wǎng)絡(luò)安全防御。采用靜態(tài)反病毒模式能夠加強(qiáng)網(wǎng)絡(luò)檢測管理，結(jié)合病毒特征分析和判斷信息安全性。采用動態(tài)反病毒模式，可以結(jié)合計(jì)算機(jī)運(yùn)行狀況判斷其是否遭受了病毒侵害，一旦發(fā)現(xiàn)計(jì)算機(jī)受到威脅將啟動主動防御模式，完成系統(tǒng)軟硬件全面掃描，立即處理發(fā)現(xiàn)的病毒，保證系統(tǒng)運(yùn)行安全。在綜合運(yùn)用不同反病毒模式的情況下，這種方式能夠有效抵御各種網(wǎng)絡(luò)病毒入侵，降低云平臺的數(shù)據(jù)安全風(fēng)險(xiǎn)。此外，考慮到云端可能會遭受木馬病毒等侵襲，需加強(qiáng)自治網(wǎng)絡(luò)技術(shù)應(yīng)用，建立自我防御和免疫機(jī)制，通過合理調(diào)配網(wǎng)絡(luò)資源隔離病毒，修復(fù)服務(wù)器或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，確保云端能夠正常通信。

2.5 訪問控制

傳統(tǒng)訪問控制技術(shù)通過身份認(rèn)證方式，確定用戶是否擁有云端資源訪問權(quán)限，在確認(rèn)無權(quán)限情況下阻隔用戶進(jìn)入和操作，發(fā)揮安全保護(hù)作用。但分布式服務(wù)器攻擊將通過模擬大量用戶訪問云平臺網(wǎng)絡(luò)服務(wù)器，導(dǎo)致有權(quán)限的用戶也難以順利登錄服務(wù)器。為解決問題，需采用深度包過濾技術(shù)實(shí)現(xiàn)硬件設(shè)備和軟件系統(tǒng)集成，通過主動分析數(shù)據(jù)包頭部IP 地址和各協(xié)議字段，判斷是否存在威脅網(wǎng)絡(luò)安全的病毒或木馬等。通過在網(wǎng)絡(luò)入口部署深度包過濾軟件，優(yōu)化訪問數(shù)據(jù)流量，提前過濾不安全訪問行為，不僅能夠使服務(wù)器負(fù)載保持均衡，也能維持云端網(wǎng)絡(luò)全局負(fù)載均衡。在內(nèi)網(wǎng)干路位置完成上網(wǎng)行為管理設(shè)備部署，加強(qiáng)內(nèi)部用戶訪問控制的同時(shí)發(fā)揮日志審計(jì)、行為管理等作用，保證內(nèi)部網(wǎng)絡(luò)穩(wěn)定運(yùn)行。在云端核心交換設(shè)備上部署管理設(shè)備旁路，利用鏡像記錄和分析網(wǎng)絡(luò)流量，通過與防火墻等安全防御設(shè)備聯(lián)動保證云平臺的網(wǎng)絡(luò)安全。面對各業(yè)務(wù)節(jié)點(diǎn)，使用訪問控制列表技術(shù)能夠避免云端數(shù)據(jù)信息被非法訪問或竊取。通過將上述訪問控制技術(shù)集成在一起，實(shí)現(xiàn)用戶行為可視化交互管理，錄入訪問服務(wù)器地址和端口號，生成白名單和黑名單。前者允許訪問云端服務(wù)器，后者禁止訪問，全面提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

3 結(jié) 論

在云計(jì)算技術(shù)應(yīng)用過程中，受各種網(wǎng)絡(luò)攻擊威脅，數(shù)據(jù)傳輸、存儲以及虛擬資源審計(jì)等過程中都可能發(fā)生數(shù)據(jù)泄露、丟失等安全事件，給用戶數(shù)據(jù)安全帶來嚴(yán)重威脅。各虛擬機(jī)節(jié)點(diǎn)作為傳感器節(jié)點(diǎn)，在加強(qiáng)客戶端數(shù)據(jù)信息采集的同時(shí)，通過在虛擬化單元中設(shè)置安全節(jié)點(diǎn)以實(shí)現(xiàn)數(shù)據(jù)匯聚，建立安全防御系統(tǒng)，應(yīng)對各種安全威脅。與此同時(shí)，通過加強(qiáng)網(wǎng)絡(luò)攻擊檢測，實(shí)現(xiàn)各種數(shù)據(jù)預(yù)處理。此外，需加強(qiáng)數(shù)據(jù)加密、智能防火墻、自治網(wǎng)絡(luò)、深度包過濾、訪問控制列表等各種安全防御技術(shù)應(yīng)用，全面提升云平臺的安全技術(shù)水平。