王 斌

（西安航空計(jì)算技術(shù)研究所 陜西 710065）

0 引言

隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫技術(shù)的快速發(fā)展，計(jì)算機(jī)的處理速度越來越快，光纖陣列存儲(chǔ)容量越來越大，同時(shí)電子商務(wù)、電子政務(wù)、金融通信運(yùn)營產(chǎn)生了海量的數(shù)據(jù)，為了提高信息化服務(wù)能力，繼分布式計(jì)算、移動(dòng)計(jì)算，計(jì)算機(jī)學(xué)者提出了云計(jì)算技術(shù)。云計(jì)算環(huán)境下，可以根據(jù)用戶的需求，提供基礎(chǔ)設(shè)施服務(wù)、平臺(tái)服務(wù)和軟件集成運(yùn)行管理服務(wù)。在云計(jì)算環(huán)境下，網(wǎng)絡(luò)傳輸?shù)男畔r(jià)值更高，因此保護(hù)云計(jì)算環(huán)境網(wǎng)絡(luò)信息安全具有重要的作用和意義。云計(jì)算環(huán)境下，計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)數(shù)據(jù)信息的完整性、真實(shí)性、保密性、可靠性、可用性和抗抵賴性等，以便能夠防御黑客攻擊盜取數(shù)據(jù)，避免木馬和病毒侵襲網(wǎng)絡(luò)及數(shù)據(jù)資源，保證云計(jì)算環(huán)境下網(wǎng)絡(luò)能夠正常提供通信傳輸服務(wù)。

目前，經(jīng)過多年的研究和改進(jìn)，許多計(jì)算機(jī)學(xué)者提出了多種云計(jì)算環(huán)境下網(wǎng)絡(luò)安全保護(hù)措施，傳統(tǒng)防御措施包括系統(tǒng)登錄賬號(hào)和密碼、網(wǎng)絡(luò)防火墻、安全訪問控制列表、數(shù)據(jù)加密等，隨著網(wǎng)絡(luò)安全威脅嚴(yán)重程度的提升，傳統(tǒng)防御措施無法充分滿足云計(jì)算環(huán)境下網(wǎng)絡(luò)安全防護(hù)需求，需要采用動(dòng)態(tài)的安全控制措施，實(shí)現(xiàn)主動(dòng)、縱深化防御，全面提升網(wǎng)絡(luò)安全防御能力。

1 云計(jì)算環(huán)境網(wǎng)絡(luò)安全面臨的威脅分析

隨著云計(jì)算技術(shù)的快速普及和應(yīng)用，云計(jì)算能夠?qū)⒊汕先f臺(tái)計(jì)算機(jī)終端、服務(wù)器通過矩陣的形式連接在一起，為人們提供海量的金融數(shù)據(jù)、電子商務(wù)數(shù)據(jù)決策分析服務(wù)，具有較高的計(jì)算處理效率。云計(jì)算數(shù)據(jù)和設(shè)備通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行通信連接，因此計(jì)算機(jī)網(wǎng)絡(luò)安全也是云計(jì)算普及和推廣的重要障礙，也是云計(jì)算應(yīng)用過程中需要強(qiáng)化的短板。目前，云計(jì)算承載的數(shù)據(jù)資源價(jià)值較高，已經(jīng)成為互聯(lián)網(wǎng)黑客、病毒和木馬侵襲攻擊的主要對象，產(chǎn)生的安全問題十分令人擔(dān)憂。本文基于筆者多年的互聯(lián)網(wǎng)安全防御實(shí)踐經(jīng)驗(yàn)，詳細(xì)地分析云計(jì)算環(huán)境下網(wǎng)絡(luò)安全面臨的問題主要包括數(shù)據(jù)存儲(chǔ)安全威脅、數(shù)據(jù)傳輸安全威脅、數(shù)據(jù)審計(jì)安全威脅等三類，詳細(xì)描述如下。

1.1 數(shù)據(jù)存儲(chǔ)安全威脅

目前，云計(jì)算環(huán)境下，大量的數(shù)據(jù)分布于熱門的服務(wù)器上，以便能夠提高用戶的訪問、操作效率，同時(shí)將大量的政企單位的數(shù)據(jù)匯總在一起，部署在大數(shù)據(jù)中心，以便能夠?yàn)檎髥挝坏男畔⒒芾斫档驮O(shè)備投資、運(yùn)行維護(hù)費(fèi)用，為單位信息化水平提升帶來了極大的便利。但是，隨著云計(jì)算數(shù)據(jù)中心的建設(shè)和運(yùn)行，數(shù)據(jù)存儲(chǔ)規(guī)模越來越大，保存的機(jī)密信息也越來越多，導(dǎo)致許多政企用戶對云計(jì)算數(shù)據(jù)存儲(chǔ)依賴程度大幅度上升。目前，許多計(jì)算機(jī)黑客為了經(jīng)濟(jì)利益，使用更加智能化、高超的手段對云計(jì)算數(shù)據(jù)中心進(jìn)行攻擊，以便能夠獲取有價(jià)值的數(shù)據(jù)信息。另外，許多木馬和病毒開發(fā)技術(shù)提高，隱藏周期更短，非常容易給數(shù)據(jù)中心造成不可估量的損壞。

1.2 數(shù)據(jù)網(wǎng)絡(luò)傳輸安全威脅

目前，云計(jì)算數(shù)據(jù)中心存在大量企業(yè)的運(yùn)營管理數(shù)據(jù)，比如財(cái)務(wù)數(shù)據(jù)、關(guān)鍵業(yè)務(wù)經(jīng)營數(shù)據(jù)、客戶信息等，這些數(shù)據(jù)通常代表企業(yè)的核心競爭力。因此在企業(yè)通過計(jì)算機(jī)網(wǎng)絡(luò)訪問云計(jì)算數(shù)據(jù)中心的過程中，面臨的安全威脅包括以下三個(gè)方面：一是用戶接入云計(jì)算服務(wù)中心時(shí)，許多非法用戶通常可以冒用合法用戶的身份信息，訪問企業(yè)數(shù)據(jù)，并且獲取機(jī)密信息，因此需要采用嚴(yán)格的用戶認(rèn)證和權(quán)限角色配置機(jī)制，保證用戶接入安全；二是數(shù)據(jù)傳輸過程中，采用的網(wǎng)絡(luò)是公共的、共享的，網(wǎng)絡(luò)上許多黑客、木馬和病毒都會(huì)偵聽傳輸數(shù)據(jù)包，以便能夠截取或感染數(shù)據(jù)，導(dǎo)致數(shù)據(jù)遭到破壞，因此必須采用安全的數(shù)據(jù)傳輸通道加密措施，確保網(wǎng)絡(luò)信息安全。

1.3 數(shù)據(jù)審計(jì)安全威脅

云計(jì)算環(huán)境下，數(shù)據(jù)審計(jì)安全面臨的威脅是許多企業(yè)的員工非計(jì)算機(jī)專業(yè)教育背景，因此計(jì)算機(jī)操作系統(tǒng)操作不規(guī)范，為計(jì)算機(jī)網(wǎng)絡(luò)帶來了極大的風(fēng)險(xiǎn)。云計(jì)算環(huán)境下，網(wǎng)絡(luò)安全審計(jì)潛在的威脅包括很多種，比如設(shè)備損壞、網(wǎng)絡(luò)數(shù)據(jù)包重放攻擊、拒絕服務(wù)、網(wǎng)絡(luò)日志篡改等，其對計(jì)算機(jī)網(wǎng)絡(luò)造成的威脅是無法估計(jì)，后果非常嚴(yán)重，是不可逆的。

2 云計(jì)算環(huán)境網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)

目前，云計(jì)算環(huán)境下網(wǎng)絡(luò)安全防御已經(jīng)引起了許多計(jì)算機(jī)學(xué)者的研究和關(guān)注，提出了許多的網(wǎng)絡(luò)安全防御措施，本文針對云計(jì)算環(huán)境下網(wǎng)絡(luò)安全面臨的現(xiàn)狀，提出了全方位、動(dòng)態(tài)的、縱深的網(wǎng)絡(luò)安全防御系統(tǒng)，具體的網(wǎng)絡(luò)安全防御包括以下幾個(gè)方面：

（1）構(gòu)建全方位的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估指標(biāo)體系，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全因素

根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)評估的具體目標(biāo)和相關(guān)的需求，可以構(gòu)建一組有效的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)評估指標(biāo)，分別包括資產(chǎn)、漏洞、威脅等方面，將其劃分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層，同時(shí)基于灰色理論、D-S證據(jù)理論、層次分析方法等進(jìn)行風(fēng)險(xiǎn)評估，完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)動(dòng)態(tài)評估過程，能夠極大的提高評估的準(zhǔn)確性，滿足網(wǎng)絡(luò)安全的實(shí)際需求。

（2）健全網(wǎng)絡(luò)安全接入系統(tǒng)，做好云計(jì)算入口防護(hù)

云計(jì)算環(huán)境下，由于用戶的操作終端分布于不同的地域，接入途徑包括無線接入、有線接入等，因此要充分的保證兩種渠道的接入安全，可以采用身份驗(yàn)證、安全審計(jì)、IPSEC VPN和SSL VPN等技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸通道的全加密，避免數(shù)據(jù)被黑客、病毒和木馬攻擊感染，保證用戶安全接入系統(tǒng)。

（3）云計(jì)算數(shù)據(jù)應(yīng)用服務(wù)器進(jìn)行冗余備份，保護(hù)應(yīng)用數(shù)據(jù)安全

為了能夠保證云計(jì)算數(shù)據(jù)服務(wù)器、應(yīng)用服務(wù)器等數(shù)據(jù)安全，避免遭遇雷電襲擊，可以采用在線或離線備份技術(shù)，構(gòu)建一個(gè)多備份、多冗余的操作系統(tǒng)，保證云計(jì)算網(wǎng)絡(luò)的關(guān)鍵設(shè)備、關(guān)鍵數(shù)據(jù)和核心服務(wù)具有冗余運(yùn)行能力，一旦某一套系統(tǒng)或設(shè)備產(chǎn)生安全故障是，及時(shí)開啟備份系統(tǒng)，保證云計(jì)算服務(wù)的正常運(yùn)行。

（4）引入數(shù)據(jù)挖掘技術(shù)，強(qiáng)化安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)功能可以按照審計(jì)系統(tǒng)既定的審計(jì)策略，分析采集到的數(shù)據(jù)內(nèi)容，鑒別數(shù)據(jù)中存在的異常行為、非法行為或攻擊數(shù)據(jù)。因此，為了能夠提高網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的精確度，引入神經(jīng)網(wǎng)絡(luò)、遺傳算法、支持向量機(jī)、K均值等技術(shù)，強(qiáng)化安全審計(jì)過程，以便能夠更加準(zhǔn)確的發(fā)現(xiàn)非法數(shù)據(jù)。

（5）構(gòu)建主動(dòng)式網(wǎng)絡(luò)安全縱深防御體系

為了能夠更好的確保云計(jì)算環(huán)境網(wǎng)絡(luò)安全面臨的威脅和防御措施，除了在接入層和傳輸層采用傳統(tǒng)的安全防御措施之外，同時(shí)采用主動(dòng)的安全防御體系，構(gòu)建主動(dòng)安全防御措施，以便能夠確保網(wǎng)絡(luò)的正常使用。構(gòu)建主動(dòng)安全防御體系，網(wǎng)絡(luò)主動(dòng)預(yù)警技術(shù)可以包括多個(gè)方面，主要包括網(wǎng)絡(luò)主動(dòng)預(yù)警、響應(yīng)、檢測、保護(hù)、恢復(fù)和反擊等，其中核心內(nèi)容是網(wǎng)絡(luò)主動(dòng)預(yù)警技術(shù)和主動(dòng)響應(yīng)技術(shù)，以便能夠強(qiáng)化網(wǎng)絡(luò)安全防御。

3 結(jié)束語

云計(jì)算環(huán)境下網(wǎng)絡(luò)安全防御是一個(gè)動(dòng)態(tài)的過程，網(wǎng)絡(luò)安全防御隨著黑客、木馬和病毒侵襲技術(shù)的提升而提高，因此在網(wǎng)絡(luò)安全防御系統(tǒng)中，保留了許多的可擴(kuò)展接口和縱深化的防御技術(shù)，以便能夠動(dòng)態(tài)適應(yīng)現(xiàn)代網(wǎng)絡(luò)安全防御需求，定期對防御技術(shù)、防御系統(tǒng)進(jìn)行升級和完善，準(zhǔn)確的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅和非法行為。

[1]滕萍.云計(jì)算技術(shù)發(fā)展分析及其應(yīng)用研究[J].信息網(wǎng)絡(luò)安全.2012.

[2]鄭長亮.基于云計(jì)算的網(wǎng)絡(luò)安全防御技術(shù)研究[J].數(shù)字技術(shù)與應(yīng)用.2014.

[3]薄明霞，陳軍，王渭清.云計(jì)算安全體系架構(gòu)研究[J].信息網(wǎng)絡(luò)安全.2011.

[4]陳小燕.云計(jì)算時(shí)代數(shù)據(jù)安全的防御措施探討[J].電子技術(shù)與軟件工程.2013.

[5]陳小明.網(wǎng)絡(luò)時(shí)代的云安全技術(shù)初探[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2013.