基于云計(jì)算的網(wǎng)絡(luò)信息安全技術(shù)研究

［關(guān)鍵詞］云計(jì)算；網(wǎng)絡(luò)信息；安全技術(shù)；安全審計(jì)

［中圖分類號(hào)］TP393.08 ［文獻(xiàn)標(biāo)志碼］A ［文章編號(hào)］2095–6487（2024）10–0055–03

1云計(jì)算網(wǎng)絡(luò)信息安全概述

（1）云計(jì)算網(wǎng)絡(luò)信息安全定義。針對(duì)云計(jì)算（CloudComputing，CC）的網(wǎng)絡(luò)信息安全對(duì)相應(yīng)的定義進(jìn)行分析，可得到如下定義內(nèi)容：CC網(wǎng)絡(luò)信息安全能實(shí)現(xiàn)對(duì)CC環(huán)境的控制，避免數(shù)據(jù)在使用時(shí)出現(xiàn)數(shù)據(jù)泄漏的問題，同時(shí)還能對(duì)系統(tǒng)進(jìn)行控制，減少系統(tǒng)崩潰的概率，促使CC的網(wǎng)絡(luò)信息安全能很好地為CC利用奠定基礎(chǔ)。

（2）CC網(wǎng)絡(luò)信息安全的重要性。風(fēng)險(xiǎn)會(huì)隨著CC的應(yīng)用范圍擴(kuò)大而擴(kuò)大，CC網(wǎng)絡(luò)信息安全的重要性得以凸顯，所以要實(shí)現(xiàn)CC網(wǎng)絡(luò)信息安全的合理控制，應(yīng)滿足CC的應(yīng)用需求。

（3）CC安全技術(shù)架構(gòu)。對(duì)CC的安全技術(shù)架構(gòu)進(jìn)行分析，促使其能滿足CC網(wǎng)絡(luò)信息安全的控制標(biāo)準(zhǔn)。其中CC的安全技術(shù)架構(gòu)主要包括身份認(rèn)證、訪問控制、數(shù)據(jù)加密等內(nèi)容。現(xiàn)對(duì)這些內(nèi)容進(jìn)行分析，得到身份認(rèn)證主要是用于用戶身份的驗(yàn)證，促使用戶的身份能得到合理分析，避免出現(xiàn)非法訪問的情況。而訪問控制主要是對(duì)用戶的訪問權(quán)限進(jìn)行分析，避免在CC使用時(shí)出現(xiàn)數(shù)據(jù)泄漏和系統(tǒng)崩潰的情況。最后數(shù)據(jù)加密是在數(shù)據(jù)傳輸期間，對(duì)數(shù)據(jù)傳輸和存儲(chǔ)的安全性進(jìn)行控制，提高信息的安全水平。

（4）CC的安全最佳實(shí)踐。保證CC在應(yīng)用時(shí)可提高CC信息的安全水平，為用戶的網(wǎng)絡(luò)體驗(yàn)水平提升奠定基礎(chǔ)，具體如下：①需要落實(shí)密碼的管理。用戶在日常使用CC時(shí)，要對(duì)密碼進(jìn)行控制，要求密碼能定期更換，保證密碼的可靠性。還可以在密碼管理中對(duì)強(qiáng)密碼進(jìn)行應(yīng)用，要使強(qiáng)密碼滿足密碼管理的需求。②需要實(shí)現(xiàn)多因素的認(rèn)證。主要是對(duì)身份認(rèn)證的安全性進(jìn)行控制，促使身份認(rèn)證能符合CC的安全實(shí)踐需求。③提升數(shù)據(jù)的安全水平。為了滿足信息傳遞和存儲(chǔ)的安全需求，要在工作中對(duì)數(shù)據(jù)信息進(jìn)行加密，提升數(shù)據(jù)信息的安全系數(shù)，實(shí)現(xiàn)CC的合理運(yùn)用。

2CC網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析

2.1對(duì)系統(tǒng)的可靠性有風(fēng)險(xiǎn)

CC用戶業(yè)務(wù)數(shù)據(jù)和隱私信息等較多，這些數(shù)據(jù)和信息易受到攻擊，這些攻擊主要來自惡意攻擊和數(shù)據(jù)竊取，會(huì)嚴(yán)重影響信息的安全性。而在CC工作期間，網(wǎng)絡(luò)信息受到來自外界的攻擊和侵入時(shí)可能導(dǎo)致系統(tǒng)出現(xiàn)崩潰，進(jìn)而導(dǎo)致CC無法提供可靠的服務(wù)。

2.2安全邊界的清晰度相對(duì)較差

CC網(wǎng)絡(luò)信息安全會(huì)面臨安全邊界不清晰的情況。虛擬技術(shù)是CC實(shí)現(xiàn)合理服務(wù)的關(guān)鍵，其能讓實(shí)時(shí)共享的信息滿足無邊界的特性。但是因?yàn)榻K端用戶數(shù)量相對(duì)較多，而且數(shù)據(jù)也相對(duì)分散，導(dǎo)致CC網(wǎng)絡(luò)信息無法像傳統(tǒng)網(wǎng)絡(luò)一樣實(shí)現(xiàn)安全邊界的定義，也無法合理使用保護(hù)措施，導(dǎo)致用戶需求無法得到滿足。

2.3數(shù)據(jù)安全和隱私保護(hù)

CC網(wǎng)絡(luò)信息安全存在數(shù)據(jù)安全和隱私保護(hù)問題，給網(wǎng)絡(luò)信息安全帶來較大影響。現(xiàn)對(duì)數(shù)據(jù)泄漏的風(fēng)險(xiǎn)進(jìn)行分析，發(fā)現(xiàn)在CC環(huán)境中數(shù)據(jù)可能被非法訪問或泄漏干擾，造成信息安全的風(fēng)險(xiǎn)。對(duì)隱私合規(guī)化的挑戰(zhàn)展開分析，發(fā)現(xiàn)CC服務(wù)可能不滿足隱私的相關(guān)法規(guī)的需求，容易導(dǎo)致合規(guī)風(fēng)險(xiǎn)的發(fā)生。在加密和密鑰管理時(shí)，合理的數(shù)據(jù)加密和密鑰管理是保證數(shù)據(jù)安全和隱私保護(hù)的關(guān)鍵，需提高重視度。

2.4運(yùn)維管理風(fēng)險(xiǎn)

CC使用時(shí)存在運(yùn)維管理風(fēng)險(xiǎn)。為了保證CC的合理使用，數(shù)據(jù)中心運(yùn)維管理人員會(huì)在同一個(gè)設(shè)備上完成登錄。雖然這種方式給工作帶來了便利，但是也會(huì)造成一定安全風(fēng)險(xiǎn)。主要是因?yàn)楣梅绞綄?dǎo)致相應(yīng)責(zé)任無法落實(shí)到具體的工作人員身上，而在運(yùn)維安全管理人員離職時(shí)，可能引起賬號(hào)密碼泄漏的問題，造成賬號(hào)面臨安全風(fēng)險(xiǎn)的情況。這種狀況會(huì)給CC網(wǎng)絡(luò)信息安全帶來不良影響。

此外，審計(jì)用戶操作方面也會(huì)受到相應(yīng)問題的影響，這些問題主要體現(xiàn)在如下內(nèi)容。

（1）運(yùn)維用戶在操作期間，無法實(shí)現(xiàn)實(shí)時(shí)的監(jiān)測(cè)和管理。一般在事故發(fā)生后，才能針對(duì)問題進(jìn)行維護(hù)。這種維護(hù)屬于事后維護(hù)的方式，其針對(duì)性相對(duì)較差無法滿足預(yù)防的目的。

（2）在安全事故發(fā)生后，審計(jì)用戶在操作期間所選擇的操作手段存在相對(duì)單一的情況，要對(duì)系統(tǒng)日志和歷史命令的相應(yīng)文件進(jìn)行獲取。以Linux系統(tǒng)為分析對(duì)象，對(duì)各種系統(tǒng)日志文件進(jìn)行獲取，但是如果擁有root權(quán)限的用戶可對(duì)日志文件和歷史命令文件進(jìn)行刪除，會(huì)給審計(jì)工作帶來影響。此外，在海量日志文件中，對(duì)目標(biāo)文件進(jìn)行收取工作難度相對(duì)較高。

在運(yùn)維管理中存在如下相應(yīng)風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)的存在會(huì)限制CC網(wǎng)絡(luò)信息安全，詳細(xì)內(nèi)容分析如下。

主要存在安全責(zé)任不清晰的情況，如共用賬號(hào)造成安全責(zé)任不清晰的狀況；安全運(yùn)維流程不明確影響安全運(yùn)維工作的合理進(jìn)行；安全可視化水平相對(duì)不高、運(yùn)維工作會(huì)涉及平臺(tái)較多，導(dǎo)致運(yùn)維難度相對(duì)較高、運(yùn)維的權(quán)限也相對(duì)分散，均會(huì)給審計(jì)和監(jiān)控等工作造成影響，不利于運(yùn)維工作的順利進(jìn)行。

3基于CC的網(wǎng)絡(luò)信息安全技術(shù)研究

3.1下一代防火墻技術(shù)

對(duì)下一代防火墻技術(shù)進(jìn)行應(yīng)用，可滿足CC的網(wǎng)絡(luò)信息安全規(guī)范。隨著云上業(yè)務(wù)越來越多，租戶IT應(yīng)用不斷增加和來自外部訪問的增多，邊界安全依舊是最重要的安全問題之一。傳統(tǒng)方式將網(wǎng)絡(luò)劃分內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)等分區(qū)，但是這種保護(hù)方式已不再適合云上安全需求。云內(nèi)的訪問流量包括虛擬網(wǎng)絡(luò)內(nèi)部的東西向訪問流量和來自外部網(wǎng)絡(luò)的南北向流量，需要分別為這兩種流量提供安全防護(hù)手段。

面對(duì)網(wǎng)絡(luò)流量變化，提出以下一代防火墻、防病毒模塊、入侵防御（IPS）模塊為支撐的南北向防護(hù)方案和以主機(jī)防火墻、主機(jī)IPS為核心的東西向邊界安全解決方案。網(wǎng)絡(luò)邊界安全關(guān)注來自外部的南北向流量安全威脅。下一代防火墻技術(shù)的基本情況如圖1所示。

要實(shí)現(xiàn)邊界安全的合理控制，可進(jìn)行獨(dú)立應(yīng)用、安全隔離的虛擬系統(tǒng)、路由功能、一體化安全策略、多形式VPN隧道/6in4隧道、基于應(yīng)用層的綜合攻擊防護(hù)功能等的完善，采用全新、先進(jìn)的多維動(dòng)態(tài)特征異常檢測(cè)引擎，促使下一代防火墻在使用時(shí)能滿足邊界安全的合理控制。

3.2Web應(yīng)用防火墻

為了提高CC的網(wǎng)絡(luò)信息安全水平，可構(gòu)建Web應(yīng)用防火墻，實(shí)現(xiàn)CC用戶會(huì)在云內(nèi)應(yīng)用系統(tǒng)的構(gòu)建，還可以用Web的方式完成對(duì)外服務(wù)。門戶網(wǎng)站、政府信息公開目錄系統(tǒng)等，易受到SQL注入、跨站腳本、網(wǎng)頁掛馬等深層攻擊行為的攻擊，單靠防火墻或IPS設(shè)備無法完全防御住這類攻擊。

現(xiàn)以360云為分析對(duì)象，使用Web應(yīng)用防護(hù)系統(tǒng)使其在工作中能完成Web、Webmail服務(wù)器的保護(hù)。在安全事件發(fā)生時(shí)展開安全建模，針對(duì)安全漏洞、攻擊手段和最終攻擊結(jié)果展開掃描、防護(hù)和診斷等工作，促使Web應(yīng)用安全解決方案能符合工作需求，提升CC的網(wǎng)絡(luò)信息安全水平。360WAF（360WEB應(yīng)用防火墻系統(tǒng)）部署詳細(xì)情況如圖2所示。

此外，還要完成Web安全掃描、Web安全防護(hù)、安全情報(bào)中心、云+邊界+終端安全聯(lián)動(dòng)、DDoS防護(hù)、網(wǎng)頁防篡改、云主機(jī)安全、虛擬主機(jī)殺毒、主機(jī)入侵防御、主機(jī)加固等內(nèi)容，提升CC網(wǎng)絡(luò)信息安全水平。

3.3運(yùn)維審計(jì)

在安全技術(shù)使用時(shí)需要實(shí)現(xiàn)運(yùn)維審計(jì)工作的合理進(jìn)行。云數(shù)據(jù)中心的發(fā)展正朝向規(guī)模化的方向發(fā)展，再加上受到運(yùn)維人員素質(zhì)相對(duì)不足的情況，導(dǎo)致運(yùn)維期間出現(xiàn)運(yùn)維風(fēng)險(xiǎn)相對(duì)較多的情況。其中主要有越權(quán)訪問、誤操作、惡意破壞等情況，使得CC網(wǎng)絡(luò)信息安全受到影響。現(xiàn)以360云為分析對(duì)象，借助360云堡壘能對(duì)網(wǎng)絡(luò)安全進(jìn)行控制。具體主要是對(duì)用戶的操作權(quán)限進(jìn)行控制，使之實(shí)現(xiàn)粒度細(xì)分。再對(duì)相應(yīng)工作人員的崗位進(jìn)行劃分，促使服務(wù)器和虛擬機(jī)在使用時(shí)，能滿足安全訪問控制。其中云堡壘機(jī)在使用時(shí)，功能主要包括：集中賬號(hào)管理、統(tǒng)一登錄與管控、運(yùn)維記錄與審計(jì)、權(quán)限粒度細(xì)分與動(dòng)態(tài)授權(quán)、敏感指令復(fù)核、移動(dòng)運(yùn)維。通過云堡壘機(jī)的合理使用，可提升運(yùn)維的控制水平，使運(yùn)維工作符合CC網(wǎng)絡(luò)信息安全的需求。用戶在通過云堡壘機(jī)使用資源時(shí)，所有的指令都將被云堡壘機(jī)自動(dòng)截獲。系統(tǒng)管理員可通過自定義指令集分類用戶所使用的指令，并以黑名單的方式對(duì)其中的敏感指令進(jìn)行攔截。

3.4安全審計(jì)

更多用戶對(duì)CC進(jìn)行使用時(shí)，會(huì)在云端存儲(chǔ)用戶數(shù)據(jù)信息，而虛擬的云端數(shù)據(jù)會(huì)增加CC網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。現(xiàn)結(jié)合360云基本情況，實(shí)現(xiàn)云平臺(tái)的數(shù)據(jù)庫(kù)審計(jì)技術(shù)使用，促使云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)的設(shè)計(jì)符合要求，其在工作時(shí)不僅能完成云數(shù)據(jù)庫(kù)的審計(jì)，還能與其他廠商實(shí)現(xiàn)區(qū)分，可對(duì)數(shù)據(jù)庫(kù)實(shí)現(xiàn)審計(jì)、事件追蹤、威脅分析和實(shí)時(shí)警告等內(nèi)容進(jìn)行應(yīng)用，促使核心信息數(shù)據(jù)的安全等級(jí)實(shí)現(xiàn)提升，使CC能為用戶提供安全可靠的審計(jì)工作。

結(jié)合上述架構(gòu)，可保證安全審計(jì)工作實(shí)現(xiàn)順利進(jìn)行，使安全審計(jì)工作滿足使用需求，推動(dòng)CC網(wǎng)絡(luò)信息安全的合理提升。后續(xù)工作中還需實(shí)現(xiàn)部署模式的分析，使其支持多種云架構(gòu)，使審計(jì)保持中立、獨(dú)立，全面且細(xì)致的針對(duì)事件關(guān)聯(lián)性完成分析，實(shí)現(xiàn)實(shí)時(shí)海量信息檢索。再完成豐富的策略庫(kù)建設(shè)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)備份的審計(jì)，通過數(shù)據(jù)庫(kù)備份的審計(jì)提高數(shù)據(jù)的安全，云數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)可針對(duì)不同方式、數(shù)據(jù)庫(kù)之間的數(shù)據(jù)庫(kù)備份進(jìn)行審計(jì)，如數(shù)據(jù)庫(kù)備份文件被盜或數(shù)據(jù)庫(kù)被備份到脫離控制的某區(qū)域，大量數(shù)據(jù)就可離開內(nèi)部網(wǎng)絡(luò)單獨(dú)建立數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行脫機(jī)查詢。

4結(jié)束語

文章以基于CC的網(wǎng)絡(luò)信息安全技術(shù)為分析對(duì)象，對(duì)CC網(wǎng)絡(luò)信息安全的相應(yīng)內(nèi)容進(jìn)行分析，解讀CC網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，研究CC網(wǎng)絡(luò)信息安全技術(shù)，實(shí)現(xiàn)下一代防火墻、Web應(yīng)用防火墻、運(yùn)維審計(jì)、安全審計(jì)等內(nèi)容的應(yīng)用，提升CC網(wǎng)絡(luò)安全水平，推動(dòng)相關(guān)行業(yè)的持續(xù)發(fā)展。