基于云平臺環(huán)境下的數(shù)據(jù)信息安全探究

本文引用格式：張紅金.基于云平臺環(huán)境下的數(shù)據(jù)信息安全探究[J].自動化與信息工程，2023，44（2）：48-51;58.

ZHANG Hongjin. Research on data information security based on cloud platform[J]. Automation & Information Engineering， 2023，44（2）：48-51;58.

摘要：隨著網(wǎng)絡技術(shù)的高速發(fā)展，數(shù)據(jù)信息呈爆發(fā)式增長，在帶給人們諸多便利和商業(yè)機遇的同時，也增添了更大的數(shù)據(jù)信息安全風險，既有的安全防護技術(shù)已無法完全滿足現(xiàn)階段的安全需求，尤其是云平臺時代，需要探究安全性更高的防護策略。該文基于入侵檢測技術(shù)，提出容忍入侵檢測的技術(shù)概念，在容忍入侵檢測模型中增添容忍入侵單元，設計容忍入侵改進方案，使系統(tǒng)遭受攻擊時，仍能繼續(xù)提供部分或全部服務，這對構(gòu)建云平臺時代數(shù)據(jù)信息的安全機制，具有一定的指導意義。

關鍵詞：云平臺；數(shù)據(jù)信息安全；入侵檢測技術(shù)；容忍入侵檢測

中圖分類號：TP393.4??????????文獻標志碼：A ?????????文章編號：1674-2605（2023）02-0009-05

DOI：10.3969/j.issn.1674-2605.2023.02.009

Research on Data Information Security Based on ??????????????????????Cloud Platform Environment

ZHANG Hongjin

（The 5th Electronics Research Institute of the Ministry of Information Industry of China / The Ministry of Industry and Information Technology Key Laboratory of Performance and Reliability Testing and Evaluation for Basic Software and Hardware， Guangzhou 510610， China）

Abstract：?With the rapid development of network technology， data information is growing explosively， bringing people many conveniences and business opportunities， but also adding greater data information security risks. Existing security protection technologies can no longer fully meet the current security needs， especially in the era of cloud platforms. It is necessary to explore higher security protection strategies. This article proposes the concept of tolerant intrusion detection based on intrusion detection technology， adds tolerant intrusion units to the tolerant intrusion detection model， and designs an improvement plan for tolerant intrusion， so that when the system is attacked， it can still provide some or all services. This has certain guiding significance for building a security mechanism for real-time data information on cloud platforms.

Keywords： cloud platform; data information security; intrusion detection technology; tolerance?intrusion detection

0 ?引言

隨著網(wǎng)絡技術(shù)的高速發(fā)展，大量的數(shù)據(jù)信息給人們生活、工作帶來較大的影響，如新冠肺炎疫情防控期間，疫苗接種、核酸檢測記錄等數(shù)據(jù)信息為全面科學防疫工作貢獻巨大。但共享資源在網(wǎng)絡上日趨擴大的開放性，為機密信息與個人隱私信息的泄露、黑客

攻擊、計算機病毒等安全問題帶來更多風險，也為網(wǎng)絡風險管理帶來更大的挑戰(zhàn)。同時，由于數(shù)據(jù)信息類型多樣，既有純文本、圖形圖像信息，又有音頻視頻等信息；既有結(jié)構(gòu)化的信息，也有非結(jié)構(gòu)化的信息，這也給數(shù)據(jù)信息的存儲及管理造成了一定程度的混亂，甚至可能引發(fā)網(wǎng)絡的安全漏洞等風險。為了充分保障數(shù)據(jù)信息的安全性、完整性，目前采取的安全防

護措施主要有加密、認證、授權(quán)、簽名以及防火墻等技術(shù)。雖然可通過多種預防措施盡可能地避免外部風險，但操作系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)等本身存在的漏洞或缺陷，給網(wǎng)絡系統(tǒng)被入侵、被病毒感染增加一定的風險。

為保障數(shù)據(jù)信息的安全，本文引入容忍入侵技術(shù)。當數(shù)據(jù)信息遭受入侵時，采取容忍入侵策略達到容忍入侵的目的，避免數(shù)據(jù)信息失效。

1 ?云平臺的涵義

云平臺目前尚未有統(tǒng)一或標準的定義。大多數(shù)研究人員認為，云平臺是基于網(wǎng)絡提供的相關數(shù)據(jù)信息，采用虛擬技術(shù)，由軟、硬件搭建而成的構(gòu)架，采用整合分布式計算資源形成協(xié)同工作的計算模式，為用戶提供所需服務^[1]。在云平臺環(huán)境下，用戶根據(jù)自身需要向云計算供應商提出需求申請并付費，可獲得自身所需的計算、數(shù)據(jù)信息等服務。云平臺的主要功能包括：1） 接口登錄功能，用戶可以正常登錄云平臺；2） 申請響應功能，針對用戶的需求申請，快速做出響應，并為用戶提供資源庫中對應的可用資源；3） 角色響應功能，在門戶網(wǎng)站界面，通過角色Web模式對用戶需求自動響應；4） 監(jiān)視功能，實時在線監(jiān)視資源的使用狀況；5） 編輯功能，用戶既可根據(jù)自身需要更改操作系統(tǒng)、增添應用軟件等，還可設置服務器數(shù)量、配置虛擬機資源等。云平臺管理架構(gòu)如圖1所示。

云平臺管理是云平臺管理內(nèi)外業(yè)務的核心部分，具有監(jiān)管、調(diào)度、運維等功能，由運營管理、系統(tǒng)管理、服務商監(jiān)管、用戶管理、資源監(jiān)管、運維管理等6大功能模塊組成。其中，資源監(jiān)管模塊較為重要，負責管理云平臺資源的配置、運行、報警及故障分析、虛擬機的動態(tài)分配等。

2 ?云平臺環(huán)境下的數(shù)據(jù)信息安全

目前，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)已成為學術(shù)界、產(chǎn)業(yè)界研究的熱點，尤其是大數(shù)據(jù)的廣泛應用，對信息技術(shù)及產(chǎn)業(yè)發(fā)展產(chǎn)生不可估量的影響^[2-4]。另外，頻繁發(fā)生的網(wǎng)絡攻擊事件，也使人們的關注點集中到網(wǎng)絡信息安全上，只有保障大數(shù)據(jù)環(huán)境下的網(wǎng)絡安全，才能避免網(wǎng)絡數(shù)據(jù)免受侵害^[5]。

2.1 ?數(shù)據(jù)信息安全防護

數(shù)據(jù)信息安全集中體現(xiàn)在數(shù)據(jù)信息泄漏和數(shù)據(jù)信息破壞2個層面。其中，數(shù)據(jù)信息泄漏是指未經(jīng)授權(quán)的用戶非法訪問、截取授權(quán)范圍外的數(shù)據(jù)信息；數(shù)據(jù)信息破壞分為有意和無意2種情況，有意破壞是指非法操作破壞或主動攻擊，無意破壞是指數(shù)據(jù)信息使用過程中感染了病毒，對數(shù)據(jù)進行無意的修改、刪減等操作，嚴重影響數(shù)據(jù)的一致性、正確性等^[6-7]。數(shù)據(jù)信息安全就是保護數(shù)據(jù)信息的機密性、完整性、可用性等，可歸納為3個發(fā)展階段：1） 防御技術(shù)階段，主要包括防火墻、密鑰、控制訪問、認證等技術(shù)保護策略；2） 入侵檢測階段，主要包括日志和模式匹配保護策略；3） 容忍入侵檢測階段，經(jīng)過前兩個階段的防護后，在發(fā)生入侵的情況下，系統(tǒng)或網(wǎng)絡仍能繼續(xù)提供部分甚至全部的服務。安全防御的3個發(fā)展階段如圖2所示。

2.2 ?安全防御策略

云平臺環(huán)境下，數(shù)據(jù)信息的安全防御策略有：1）定期或隨機對系統(tǒng)進行掃描殺毒，發(fā)現(xiàn)漏洞立即修補并查殺病毒；2） 完善網(wǎng)絡安全、主機系統(tǒng)安全、信息安全等計算機安全體系；3） 建立完善的訪問控制機制，用戶僅能在自己的訪問權(quán)限內(nèi)使用、操作數(shù)據(jù)信息；4） 為防止計算機系統(tǒng)、網(wǎng)絡故障等突發(fā)事件造成數(shù)據(jù)丟失，用戶需及時備份數(shù)據(jù)，且重要數(shù)據(jù)要加密處理；5） 主動防范網(wǎng)絡病毒，實時在線監(jiān)測網(wǎng)絡。基于上述安全防御策略，安裝最新版本的殺毒軟件，建立良好的防御體系，對網(wǎng)絡病毒實行預先防御措施。但即使安裝了殺毒軟件，也不可能完全避免云平臺網(wǎng)絡的病毒入侵行為，這僅是數(shù)據(jù)信息的首道安全防線。

2.3 ?防火墻功能

防火墻布置于內(nèi)網(wǎng)與外網(wǎng)之間，在網(wǎng)絡連接處設置安全控制點，對進、出入內(nèi)網(wǎng)的服務與訪問實行審計和控制，保護內(nèi)網(wǎng)免受外網(wǎng)非法入侵^[8-9]。防火墻功能示意圖如圖3所示。

防火墻具有訪問控制、記錄與統(tǒng)計網(wǎng)絡數(shù)據(jù)信息、禁止數(shù)據(jù)非法使用、保護脆弱以及執(zhí)行策略等功能；其既能監(jiān)控所有的信息訪問與通信，還能通過配置策略設置對應的保護級別，切實保障系統(tǒng)安全。

2.4 ?入侵檢測

入侵檢測是指搜集網(wǎng)絡系統(tǒng)、服務器、主機中可疑的訪問數(shù)據(jù)，根據(jù)一定規(guī)則判斷這些數(shù)據(jù)是否存在違反安全協(xié)議的行為；是防火墻的有益補充，協(xié)助防火墻進一步增強網(wǎng)絡系統(tǒng)的安全管理。

3 ?入侵檢測技術(shù)分類

根據(jù)入侵行為的特征，可將入侵檢測技術(shù)按檢測技術(shù)、檢測數(shù)據(jù)來源2個維度進行分類。

按檢測技術(shù)可分為異常入侵檢測和模式匹配檢測。1） 異常入侵檢測技術(shù)主要通過入侵事件波及的范圍、歷史檔案、各種活動狀況等，判斷入侵事件是否屬于正常范疇。若發(fā)現(xiàn)入侵事件異于正常范疇，如網(wǎng)絡流量異常，則初步判斷這一活動可能屬于入侵行為。該檢測技術(shù)的局限性在于很難確保事件范圍與歷史檔案一致，容易被誤認為異常事件。2） 模式匹配檢測技術(shù)用特定模式表示入侵行為，并與正常模式匹配比較。若不匹配，可能被認定為入侵事件。該檢測技術(shù)的局限性主要體現(xiàn)在較難設計科學的匹配模式。

按檢測數(shù)據(jù)來源可分為基于主機入侵檢測、基于網(wǎng)絡入侵檢測、基于分布式入侵檢測3類。1） 基于主機入侵檢測，通過分析主機的審計日志，監(jiān)視主機的網(wǎng)絡及其連接，一旦發(fā)現(xiàn)與日志不一致的可疑狀況，入侵檢測系統(tǒng)立即采取防護措施。2） 基于網(wǎng)絡入侵檢測，檢測經(jīng)過網(wǎng)絡的數(shù)據(jù)信息流與數(shù)據(jù)包，包括系統(tǒng)中流過不同網(wǎng)段的數(shù)據(jù)信息流與數(shù)據(jù)包，對任何可疑的數(shù)據(jù)包進行分析、判斷以及處理等。3） 基于分布式入侵檢測，將基于主機入侵檢測和基于網(wǎng)絡入侵檢測有效結(jié)合，組建一種新的交叉檢測技術(shù)，既能根據(jù)審計日志發(fā)現(xiàn)入侵行為，又能從網(wǎng)絡中的數(shù)據(jù)信息流與數(shù)據(jù)包檢測出入侵信息^[10]。上述3種入侵檢測技術(shù)比較如表1所示。

一般情況下，基于網(wǎng)絡入侵檢測的誤報率偏高，而基于主機入侵檢測的誤報率較低，主要原因是主機上的指令序列比網(wǎng)絡上的信息流簡單。即使系統(tǒng)發(fā)生故障，基于網(wǎng)絡入侵檢測也不會影響系統(tǒng)的正常運行。

4 ?容忍入侵技術(shù)

容忍入侵是指網(wǎng)絡或系統(tǒng)在受到入侵攻擊或發(fā)生報錯時，其部分功能甚至全部功能仍可繼續(xù)運行、提供服務。需要說明的是，容忍系統(tǒng)中原有的脆弱點并不會完全修復，受影響功能的性能會有一定程度地下降。基于容忍入侵檢測模型的架構(gòu)體系如圖4所示。

1） 事件收集器，收集信息但不處理信息。首先，收集服務器、網(wǎng)絡中的數(shù)據(jù)信息；然后，將收集的數(shù)據(jù)信息整理歸類，轉(zhuǎn)換為既定模式；最后，按規(guī)定格式發(fā)送給事件分析器。事件收集器與外部數(shù)據(jù)直接交互，在一定程度上起到了緩沖作用。

2） 事件分析器，利用算法分析事件收集器收集的數(shù)據(jù)信息，并將分析、處理的結(jié)果發(fā)送給響應單元。同時對攻擊事件做出響應。

3） 數(shù)據(jù)庫，主要存儲事件收集器收集的數(shù)據(jù)信息與事件分析器分析的結(jié)果信息。數(shù)據(jù)信息分析采用以關系數(shù)據(jù)庫為主的模式，既包括結(jié)構(gòu)化的數(shù)據(jù)，也包括半結(jié)構(gòu)化的數(shù)據(jù)，均使用結(jié)構(gòu)化語言形式描述，最大程度地保證數(shù)據(jù)信息安全。

4） 控制中心，主要負責系統(tǒng)審計和系統(tǒng)監(jiān)控等功能，還可提供收集網(wǎng)絡、主機和狀態(tài)信息的服務以及策略處理服務^[11]。

5） 響應單元，當主機、網(wǎng)絡出現(xiàn)異常事件時，根據(jù)處理策略做出相應的響應，把其他未記錄到日志中的數(shù)據(jù)信息發(fā)送給容忍入侵單元處理，控制中心發(fā)出報警指令，監(jiān)管系統(tǒng)執(zhí)行報警指令。

6） 容忍入侵單元，入侵數(shù)據(jù)進入容忍入侵單元，會對系統(tǒng)發(fā)起攻擊，容忍入侵單元把需要保護的系統(tǒng)和數(shù)據(jù)進行還原甚至重構(gòu)，將攻擊節(jié)點轉(zhuǎn)移到安全狀態(tài)，即使受到攻擊也能持續(xù)提供服務，其工作原理如圖5所示。

運行監(jiān)控器實時監(jiān)控各關鍵部件的運行狀態(tài)，如遇可疑情況，立即采取對應的安全管理策略，未達到觸發(fā)條件前，繼續(xù)完成既定的服務；達到觸發(fā)條件立即進入轉(zhuǎn)移狀態(tài)。系統(tǒng)在算法的控制下轉(zhuǎn)移到對應的狀態(tài)，達到恢復正常狀態(tài)的目的。

容忍入侵技術(shù)的優(yōu)勢：1） 更有效防護并阻止數(shù)據(jù)信息被攻擊；2） 可以檢測出攻擊事件并能預估其造成的破壞程度；3） 一旦遭受攻擊，可充分保障且能恢復數(shù)據(jù)信息中的關鍵部分。

5 ?結(jié)束語

隨著互聯(lián)網(wǎng)的高速發(fā)展，云平臺中的數(shù)據(jù)信息量急劇陡增，增加了數(shù)據(jù)信息泄露的風險，同時也給網(wǎng)絡惡意攻擊提供了可乘之機^[12-13]。目前，云計算已廣泛應用于人們工作與生活的多個方面。云平臺環(huán)境下，諸多的數(shù)據(jù)信息具有一定的關聯(lián)性。如果網(wǎng)絡信息安全防護措施不完善，將嚴重影響整個網(wǎng)絡數(shù)據(jù)信息的安全。為此，需要加強網(wǎng)絡信息安全的防護，采取多種防護措施，確保網(wǎng)絡數(shù)據(jù)信息的安全。本文研究在網(wǎng)絡攻擊方面有一定的進展和成效，但在其他安全方面還需要進一步完善預防手段，確保云平臺中數(shù)據(jù)信息在復雜的網(wǎng)絡環(huán)境中更加安全。

參考文獻

[1]?段昌淼.數(shù)據(jù)云平臺技術(shù)研究與建設探討[J].網(wǎng)絡安全與信息化，2022（11）：62-65.

[2] 慕慧娟，鄭云林，塔依爾·斯拉甫力.智慧停車場在線計量云平臺分析與設計研究[J].中國測試，2021，47（4）：124-129.

[3] 李文迪，陳華偉，伍權(quán)，等.設備上云技術(shù)研究現(xiàn)狀與展望[J].機床與液壓，2020，48（15）：194-198.

[4] 劉小梅，唐鑫，楊舒婷，等.基于Reed-Solomon編碼的抗邊信道攻擊云數(shù)據(jù)安全去重方法[J].信息安全學報，2022，7（6）：80-93.

[5]?張紅金，劉維.國產(chǎn)云平臺安全體系策略探究[J].自動化與信息工程，2022，43（2）：23-28.

[6] 榮喜豐.云計算網(wǎng)絡環(huán)境下的信息安全研究[J].網(wǎng)絡安全技術(shù)與應用，2021（7）：83-84.

[7] 李慧芹，呂靜賢，王慧，等.網(wǎng)絡監(jiān)聽技術(shù)下的網(wǎng)絡安全平臺設計[J].機電工程技術(shù)，2022，51（8）：153-155;244.

[8] 劉隱.云計算網(wǎng)絡環(huán)境下的信息安全問題探討[J].電腦知識與技術(shù)，2021，17（18）：64-65.

[9] 趙宏，常有康，王偉杰.深度神經(jīng)網(wǎng)絡的對抗攻擊及防御方法綜述[J].計算機科學，2022，49（S2）：662-672.

[10] 張勇，郭駿，劉金波，等.調(diào)控云平臺IaaS層技術(shù)架構(gòu)設計和關鍵技術(shù)[J].電力系統(tǒng)自動化，2021，45（2）：114-121.

[11] 齊祥柏，陳青，趙洪崗.工業(yè)控制系統(tǒng)信息安全問題探討[J].機電工程技術(shù)，2021，50（12）：180-182.

[12] 王承明，白連萬，王健，等.基于云平臺的計算機公共實驗教學中心建設的研究與實踐[J].實驗技術(shù)與管理，2020，37（11）：?269-272.

[13] 談永奇，王換換，陽媛，等.基于智能化集成設備的醫(yī)院大數(shù)據(jù)信息化云測試系統(tǒng)設計[J].計算機測量與控制，2020，?28（8）：98-101.

作者簡介：

張紅金，男，1976年生，本科，高級工程師，信息系統(tǒng)項目管理師，主要研究方向：軟件測試、信息系統(tǒng)安全研究、科研項目管理及質(zhì)量管理。E-mail： zhanghongjin@ceprei.com