論云計算環境下數據中心的網絡安全問題及風險控制研究

［摘 要］作為信息時代的重要產物，云計算技術的誕生和發展使傳統的IT產業受到了巨大的沖擊。為了將數據中心網絡安全風險降到最低，避免數據中心安全防御力度不足的問題，需要認真研究有效應對網絡安全風險的策略。本文基于云計算環境下的數據中心網絡體系結構，針對云計算環境下的常見網絡安全問題，對相關安全防護技術進行研究，旨在完善云計算環境下的數據中心網絡安全保障機制。

［關鍵詞］云計算；數據中心；網絡安全；風險控制

doi：10.3969/j.issn.1673-0194.2023.09.040

［中圖分類號］TP309 ［文獻標識碼］A ［文章編號］1673-0194（2023）09-0131-04

0" " "引 言

在當前的社會環境下，云計算是一個網絡應用概念，在信息市場中占據舉足輕重的地位。與傳統的數據中心相比，在構建云數據中心時，除了要發揮云計算的可擴展性、靈活性高等優勢之外，還要凸顯其高性價比和安全穩定性。面對網絡安全問題日益突出的狀況，引進各類成熟的安全技術，提升當前的數據中心安全水平勢在必行。只有在這些方面取得創新性突破，才能夠減少病毒勒索、黑客攻擊等問題的出現。如何在現有的條件下確保云計算數據中心的安全保障能力突飛猛進，實現信息安全保護體系日趨完善，成為時下亟須解決的問題。

1" " "我國網絡安全面臨的威脅概述

1.1" " 網絡安全現狀

隨著社會和信息技術的發展，信息泄密、惡意病毒勒索現象日益頻發，電信詐騙、互聯網暴力等問題也尤為突出，網絡攻防對抗強度、對抗頻率、對抗規模逐漸升級。調查顯示，網絡攻擊對象目前呈現出新的發展方向，即從以往公共互聯網逐漸向工業互聯網蔓延，導致我國國家網絡空間安全受到十分嚴重的威脅。在更深層次挑戰面前，我們不能退縮和忍讓，而是要以必勝的決心和姿態主動尋求解決的對策。目前，工業主機遭受勒索病毒攻擊的事件已經得到了廣泛的關注，這些網絡安全問題主要集中于汽車生產、智能制造等領域，而且在能源電力、煙草企業中也十分普遍。工業主機勒索病毒的攻擊，不僅會引發工業主機出現藍屏，還會造成機密文件讀取出現問題，甚至不同程度地引發文件泄露，造成的損失極為嚴重。我國對網絡安全問題十分重視，在健全制度機制方面不斷創新，網絡安全技術不斷發展，但這還遠遠不夠，構建網絡安全綜合防護體系迫在眉睫。

1.2" "網絡安全面臨威脅

1.2.1" "自然災害

該因素造成的網絡安全威脅事故其實并不常見，可以說概率是相對最低的，但是也不能放松對自然災害的警惕。自然災害的發生往往都帶有突然性和不可預測性，一旦發生造成的后果也是無法控制和預料的。當發生自然災害時，網絡設備會受到不同程度的損壞，通信線路中斷，甚至造成重要數據的丟失。自然災害往往會對公民、企業、政府帶來較大的影響，具體表現為財產安全方面，損失的程度也無法預料。為了應對自然災害的威脅，建設網絡設備機房時應該在前期做好選址工作。一來要結合當地的自然地理特征，遠離自然災害多發地段，二來需要提前預判并做好相關的安全防護工作。最重要的應對措施就是做好數據資源的異地備份，根據制度要求和章程辦事，定期做好備份等相關工作。這樣即使發生自然災害，災后重建工作也能迅速開展，而且損失也會降到最低。

1.2.2" "病毒攻擊

如今大眾對計算機病毒攻擊也不再陌生，很多人或多或少地切身經歷或者聽說過相關的案例。目前常見的病毒攻擊形式主要包括木馬病毒、蠕蟲病毒、宏病毒等，其中宏病毒也是常見的一種次傷害形式，對于網絡安全同樣會產生巨大的威脅。首先，木馬病毒具有潛伏性，一般很難被發現，即使被發現，產生的危害可能也已經十分深遠了。木馬病毒一般會篡改程序的部分內容，表現出極強的隱藏性同時不具有傳染性，以程序、瀏覽器隱藏為主。一旦啟動程序之后，木馬病毒就會被激活。由此開啟木馬向后門IP主機發送竊取信息的模式，竊取信息一旦發出，就會引發用戶信息泄密，導致用戶遭受財產損失。而蠕蟲病毒與木馬病毒具有顯著的區別，一方面，蠕蟲病毒是可自我繁殖的病毒，具有生殖的基因特征，通過將自身分割成幾部分的形式，在不同的文件夾下存儲，將其全部清除難度極大；另一方面，蠕蟲病毒在破壞系統層面代碼方面有其特有的能力，會造成系統崩潰。此外，宏病毒也是網絡安全防范的主要對象，它一般存在于文檔或模板宏中，隱蔽性十分強，傳播極為迅速，危害也是極為嚴重的。隨著信息技術和反病毒技術的發展，很多病毒也發生了異變。一旦發生異變，就如同病毒的二代繁殖和變異一般，不僅潛伏程度更深，而且自我繁殖能力得到了增強，導致的后果就是完全清除變得十分困難，造成的危害性后果也會進一步提升。

1.2.3" "黑客入侵

病毒攻擊屬于被動攻擊，而黑客入侵屬于主動攻擊，危害性更大，帶來的后果也是極為嚴重的。黑客入侵的方式分很多種，接下來就常見的攻擊形式進行介紹。首先，一些社會不法分子基于傳輸協議的漏洞采取入侵行為，針對的對象以互聯網TCP/IP傳輸協議為主，依托對大量IP地址的控制，從而實現對目標的大量訪問請求，結果在于造成目標不能夠及時處理和跟進，從而引發系統出現延遲而無法反饋的后果。一旦目標和受害途徑實現以后，就會出現系統無法拒絕服務攻擊的后果。其次，黑客入侵利用遠程控制或跳板控制計算機，除此之外還會對其他設備進行不同程度的嗅探，從而引發竊聽用戶隱私或機密文件的案例發生，嚴重的后果就是造成機密文件損失或泄露。當此種黑客入侵發生后，財產、隱私權勢必會遭到很大侵犯，嗅探攻擊在其中發揮了不小的作用。最后，黑客入侵還會采取偽造重要門戶網站的方式進行犯罪行為，針對的對象以銀行、企業、政府網站為主。通過竊取用戶登錄密碼和驗證碼的方式，黑客能夠對上述目標進行資產轉賬或入侵數據庫，目標的財產損失十分嚴重。除了上述三種入侵方式之外，跨站腳本攻擊、社會工程學攻擊也是較為常見的手段，其攻擊方式以惡意程序為主。

1.2.4" "安全漏洞

社會中一些不法分子經常會基于一些安全漏洞進行入侵，尤其以系統和程序遺留的安全漏洞為主，以期獲取暴利。利用安全漏洞入侵的方式主要為嵌入病毒進行攻擊。目前無論是主流的操作系統Windows，還是應用范圍極廣的Linux系統，其中仍存在不同程度的安全漏洞。正是源于此，近年來比特幣勒索病毒的暴發，也充分體現了安全漏洞所帶來的潛在威脅。比特幣勒索病毒主要基于Windows系統的漏洞，結合漏洞攻破計算機，實現了入侵病毒的大范圍傳播和針對性攻擊，進而勒索比特幣。其所造成的影響是深遠的，國內外均有用戶受害。此外，目前大多數多智能物聯設備的程序，都是源自Linux系統，部分安全團隊雖然測試了智能汽車駕駛系統處于標準和合格狀態，但是部分細節仍被忽略，為此很容易造成安全隱患。

1.3" "網絡安全面臨威脅的應對思路

針對現如今數據中心存在的安全問題，其應對思路需要明晰，這樣才能有效應對。通過采取技術訪問控制和身份認證的方式能夠有效解決這一困境。一方面，打一個比方，如若將存儲信息的空間視為不同的房屋，在訪問控制的影響下，相當于為不同的房門上加一把鎖，這就可以有效杜絕身份識別不明的人員進入。當然需要訪問的客人需要具備對應權限，這是允許的，這也就是訪問控制技術的簡單化原理。基于強制訪問控制的滲透和應用，在角色訪問技術控制的基礎上，實現自主訪問控制及避免其他陌生人訪問的策略。另一方面，身份認證技術的應用主要基于人臉識別、ID卡、靜態密碼等指示口令，在確保進入房間的人是正確的前提下，從指紋認證、口令認證、智能一卡通方面做好識別，這樣才會發揮身份認證與信任物體的身份認證以及生物特征的身份認證的共同效應，確保非識別人士不能入內。

2" " "基于云計算環境下的數據中心網絡安全體系結構控制原則

2.1" "可擴展性

為了提升數據中心網絡安全效果和質量，面向云計算的數據中心應秉承可擴展性的原則，對網絡設備進行最大限度的擴容，同時支持網絡的動態擴展。實現上述目標，要充分考慮其可擴展性，在數據中心網絡體系結構設計過程中，掌握網絡阻塞現象發生的原因和規律，結合現如今網絡安全的特點，在原有設備不停機的狀態下，實現資源集合。

2.2" "可靠性

數據中心網絡安全體系結構控制在保持可擴展性的基礎上，還需要加強對虛擬化技術可靠性的應用和滲透。首先，需要明確大量的應用和數據匯集的原因，從網絡可靠性和穩定性出發，加強對網絡自動切換的處理。其次，為了確保云計算數據中心的準確性，還需強化云計算數據中心影響面較廣的特性。最后，從管理控制軟件發生故障的根由出發，應采取有效的應對措施，確保網絡安全體系安全運營。

2.3" "安全性

近年來，網絡安全問題日益頻發，嚴重影響著人們的生活。在應對網絡安全事件的過程中，人們的關注度隨之高漲。面對網絡安全越來越受到重視的事實，基于云計算的數據中心又較為復雜的局面，如何在風險控制方面取得突破性進展，需要技術人員和相關人士從完善和執行自身的網絡安全管理制度做起，嚴格執行安全的頂層設計要求，這樣才會避免系統受到不法分子的攻擊，最終使用戶獲取更加優質的云計算服務。

2.4" "高效性

數據中心網絡安全體系結構控制應對日常網絡吞吐量較大的問題引起重視，這不僅要求網絡傳輸保持較高的速率，還需要在網絡體系結構設計過程中，充分基于科學的網絡調度算法和協議，確保網絡處于正常運行狀態。安全體系結構控制處于高效性的運行軌跡，才會最大限度地降低風險發生的可能性。

2.5" "標準化

云計算環境下，網絡安全問題的持久性需要引發關注，這絕不是一朝一夕能夠改變和實現的。為此，技術人員和民眾要做好持久戰的準備，保持高度的警備和防范狀態，這樣才能有效降低風險事件發生的概率。這就需要在網絡體系結構設置中，采用相同的通信協議，執行標準化和模塊化的章程，確保較好的兼容性，最終才會增強數據中心的快速擴展能力，有效避免風險帶來的危害。

3" " "云計算環境下數據中心網絡安全問題及風險控制的途徑與建議

云計算環境對云數據安全處理提出了挑戰和要求。一來要增強數據中心與管控安全技術的銜接性，二來要以網絡安全服務為核心，強化數據中心處理問題的高效性、敏捷性，重要的是凸顯其彈性的特征，這樣才能為數據中心網絡安全保駕護航。為此需要數據安全網絡裝置充分抵御木馬攻擊、病毒侵犯，除此之外利用動態化安全管理平臺，確保各安全資源的反復利用，實現各數據終端的高效管控。

3.1" "靈活滲透安全防御技術

數據中心網絡安全要取得實效性的進展，需要在云計算環境下，利用或借助態勢感知技術，通過選用靈活的監控網絡數據流，從全局角度判斷分析網絡安全問題，以期保障數據中心網絡安全性能。此外，數據中心通過構建風險通報機制，架構防御能力極強的資源體系，通過實時采集網絡數據包，隔離、抑制木馬病毒，快速明確攻擊目標，最終達到降低數據中心安全風險的目的。

3.2" "優化數據中心網絡安全設計

從實踐和應用效果的角度出發，數據中心網絡安全問題不可忽視。從安全風險防御能力大小和施能視域兩個角度來看，數據中心需要在內部網絡布局中，設置對應的網絡安全裝置，以“身份驗證”“終端控制”等方式為核心，通過執行精細化的安全訪問控制方案，力圖改變傳統通用型的網絡服務。此種方式主要針對不法分子對數據中心網絡的攻擊，在云數據中心網絡出口處，通過設置防御機制，避免其穿越數據中心業務邊界，從而全面抵御病毒的入侵，最終加強網絡區域邊界的安全性。

3.3" "優化網絡安全虛擬化結構

在云計算環境下，網絡安全問題需要科學安全的架構，這樣才可以及時分離數據平面，為用戶安全的采集奠定堅實的基礎。除此之外，相關人員可在技術支撐下，構筑虛擬化網絡安全系統，循序漸進地支撐數據中心內的業務編排，以彈性安全服務為目標，根據網絡安全虛擬化結構設計需求，強化網絡引流層虛擬化部署。此外，設置多個虛擬化物流裝置，布設Hypervisor、可連接的虛擬機，提供自適應安全服務，確保安全服務模塊運行處于良性狀態。

3.4" "提升數據中心安全服務水平

基于提升數據中心安全服務水平的視角，技術人員需要通過實時性網絡安全部署，提升數據中心安全服務水平，逐一排查網絡用戶行為，及時借助微隔離技術，進一步優化虛擬網絡設計，以URL過濾等方式最大限度地識別網絡終端的非法用戶，確保云數據中心處于安全運行的狀態。

4" " "結束語

總之，云計算技術的普及是時代發展的必然趨勢，而隨之而來的數據中心網絡安全問題也同樣需要得到相關人員的注意。當今的網絡環境日益復雜，各種網絡安全威脅日益頻發。為了應對諸多挑戰，需要技術人員基于系統性防御理念，強化云數據中心安全性能。本文依托應用的定制化網絡，通過集約化的控制模式，強化云數據中心的安全性能，提出多種網絡安全保障措施，不斷豐富和完善網絡安全解決方案，以期構建網絡安全綜合防御體系，從而使用戶獲取高效、穩定、安全的服務，最大限度地保障用戶、平臺方的核心利益。

主要參考文獻

［1］王偉忠，張欣，王大江，等.大數據和云計算環境下網絡安全分析與解決方案研究［J］.信息安全與通信保密，2020（11）：102-110.

［2］呂紹鑫.關于虛擬技術在云計算數據中心網絡中的應用實踐［J］.信息記錄材料，2020，21（8）：165-166.

［3］黃士超，王輝鵬，羅智慧.能源互聯網云計算信息及數據中心安全技術研究［J］.單片機與嵌入式系統應用，2020，20

（1）：27-29，34.

［4］蔣雅麗.中國移動齊驥：5G+云網融合是數字化轉型的強大引擎［J］.通信世界，2020（21）：15-16.

［5］應建軍.面向云計算的數據中心網絡體系結構設計研究［J］.網絡安全技術與應用，2021（5）：81-82.

［6］韓羽.打造安全可靠的新型數字基礎設施 賦能經濟社會各領域綠色低碳發展：工信部發布《“十四五”信息通信行業發展規劃》［J］.中國科技產業，2021（12）：10-11.

［7］陳龍，黃耀忠，黃凌峰.超融合架構下區域教育網絡數據中心的建設：以珠海市斗門區教育城域網為例［J］.教育信息技術，2021（10）：78-80.

［8］郝亞彬，黃海，汪有杰，等.基于大數據分析構建網絡信息安全分析中心研究［J］.網絡安全和信息化，2021（7）：25-28.

［9］鐘掖，龍玉江，趙威揚，等.基于軟件定義網絡的電力云數據中心內安全防護技術［J］.電子技術與軟件工程，2021（6）：246-247.

［收稿日期］2022-11-23