◆徐達飛

（中材集團財務(wù)有限公司 北京 100102）

基于云計算的網(wǎng)絡(luò)安全評估

◆徐達飛

（中材集團財務(wù)有限公司 北京 100102）

網(wǎng)絡(luò)安全評估是利用網(wǎng)絡(luò)安全感知技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)中蘊含的安全性信息進行多源異構(gòu)分析，從而為網(wǎng)絡(luò)安全運行保駕護航。本文對基于云計算的網(wǎng)絡(luò)安全評估進行研究，通過對云計算的定義、特點、分類及云安全核心技術(shù)和云計算網(wǎng)絡(luò)安全風(fēng)險進行分析，從不同層次的角度設(shè)計基于云計算的網(wǎng)絡(luò)安全評估模型，對網(wǎng)絡(luò)安全所涉及到的各個方面進行評估，以便于給出正確的云計算網(wǎng)絡(luò)安全問題解決辦法。

云計算；網(wǎng)絡(luò)安全；評估策略

1 云計算概述

1.1 云計算定義

云計算是一種基于互聯(lián)網(wǎng)的計算，可以向計算機和其他設(shè)備按需提供共享計算機處理資源和數(shù)據(jù)。它是一種用于實現(xiàn)對可配置計算資源（例如計算機網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù)）共享的無處不在的模型，其可以被快速地提供和釋放，管理高效快捷。云計算和存儲解決方案為用戶和企業(yè)提供了各種功能，以便在位于遠離用戶的私人擁有或第三方數(shù)據(jù)中心來存儲和處理其數(shù)據(jù)，范圍涵蓋從一個城市到另一個城市。云計算依賴于資源共享來實現(xiàn)規(guī)模的連貫性和經(jīng)濟性，類似于電力網(wǎng)絡(luò)。云計算允許公司避免前期基礎(chǔ)設(shè)施成本，例如購買服務(wù)器。此外，它使組織能夠?qū)Ｗ⒂谒麄兊暮诵臉I(yè)務(wù)，而不是花費時間和金錢在計算機基礎(chǔ)設(shè)施上。云計算允許企業(yè)更快地啟動和運行應(yīng)用程序，提高可管理性，減少維護，并使信息技術(shù)（IT）團隊能夠更快速地調(diào)整資源，以滿足波動和不可預(yù)測的業(yè)務(wù)需求。

1.2 云計算特點

組織的敏捷性。云計算可以通過重新配置，添加或擴展技術(shù)基礎(chǔ)架構(gòu)資源來提高用戶的靈活性，成本降低。公共云交付模型將資本支出轉(zhuǎn)換為運營支出。這意味著降低進入門檻，因為基礎(chǔ)設(shè)施通常由第三方提供。此外，實施使用云計算的項目需要較少的內(nèi)部IT技能，成本節(jié)省取決于支持的活動類型和內(nèi)部可用的基礎(chǔ)設(shè)施類型。

設(shè)備和位置獨立性。用戶能夠使用web瀏覽器訪問系統(tǒng)，而不管他們的位置或他們使用什么設(shè)備。由于基礎(chǔ)設(shè)施是非現(xiàn)場的并且通過因特網(wǎng)訪問，用戶可以從任何地方連接到它。云計算應(yīng)用的維護更容易，因為它們不需要安裝在每個用戶的計算機上，并且可以從不同的地方訪問。多用戶性使得能夠在大量用戶群中共享資源和成本，從而在具有較低成本（例如房地產(chǎn)、電力等）的位置中集中化基礎(chǔ)設(shè)施，使得高峰負載容量增加，效率提高。高性能由服務(wù)提供商的IT專家監(jiān)控，并且使用Web服務(wù)作為系統(tǒng)接口，構(gòu)建一致和耦合的體系結(jié)構(gòu)。當(dāng)多個用戶可以同時處理相同的數(shù)據(jù)，而不是等待它被保存和通過電子郵件發(fā)送時，可以提高效率。

可靠性提高。這使得精心設(shè)計的云計算適合業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)，可靠性和彈性可以動態(tài)調(diào)整，在自助服務(wù)基礎(chǔ)上實時提供資源。這使得當(dāng)使用需求增加或減少時，可以實現(xiàn)動態(tài)調(diào)配。

安全性保障。由于數(shù)據(jù)的集中化，資源可以更高效地進行管理與安全控制，服務(wù)提供商能夠投入資源解決許多客戶無法承受或者他們?nèi)狈夹g(shù)技能來解決的安全問題。當(dāng)數(shù)據(jù)分布在更廣的區(qū)域或更大數(shù)量的設(shè)備上以及在由不相關(guān)用戶共享的多租戶系統(tǒng)中時，安全性的復(fù)雜性大大增加。

1.3 云計算分類

私有云。私有云是僅為單個組織運行的云基礎(chǔ)設(shè)施，無論是自主管理還是由第三方管理，承接私有云項目需要大量資源的參與來虛擬化業(yè)務(wù)環(huán)境，并要求組織重新評估現(xiàn)有資源的決策。如果部署正確，它可以改善業(yè)務(wù)，項目的每一個步驟都需要提出安全措施，以防止嚴重漏洞的產(chǎn)生。數(shù)據(jù)中心通常是資源密集型的，它們具有物理存儲特性，需要分配空間，進行硬件和環(huán)境控制。

公共云。當(dāng)通過公開使用的網(wǎng)絡(luò)提供服務(wù)時，服務(wù)器被稱為公共云。公共云服務(wù)可以是免費的，技術(shù)上，在公共和私有云架構(gòu)之間可能存在很少的或沒有差別。然而，對于服務(wù)提供商對于公眾而言可用的服務(wù)（應(yīng)用、存儲和其他資源）的安全性考慮可能是不同的，并且當(dāng)通信通過網(wǎng)絡(luò)實現(xiàn)時更為明顯。通常，像亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）、微軟和谷歌這樣的公共云服務(wù)提供商在其數(shù)據(jù)中心擁有和運營基礎(chǔ)設(shè)施，并且通常通過互聯(lián)網(wǎng)訪問。

混合云?；旌显剖莾蓚€或更多云的組合，它們保持不同的實體，但綁定在一起，提供多個部署模型。混合云意味著還可以能夠?qū)⒃瀑Y源連接到管理和專用服務(wù)?；旌显品?wù)被定義為由來自不同服務(wù)提供商的私有云、公共云和社區(qū)云服務(wù)的某種組合組成的云計算服務(wù)?；旌显品?wù)跨越隔離和提供商邊界，使其不能簡單地放在一類私有、公共或社區(qū)云服務(wù)中。它允許通過聚合、集成或與另一云服務(wù)的定制來擴展云服務(wù)的容量或能力。組織可以將敏感客戶端數(shù)據(jù)內(nèi)部存儲在私有云應(yīng)用上，但將該應(yīng)用與作為軟件服務(wù)的公共云上提供的商業(yè)智能應(yīng)用互連?；旌显茢U展了企業(yè)通過添加外部可用的公共云服務(wù)來提供特定業(yè)務(wù)服務(wù)的能力?；旌显撇捎萌Q于一些因素，如數(shù)據(jù)安全性和合規(guī)性要求，數(shù)據(jù)所需的控制級別以及組織使用的應(yīng)用程序。

2 網(wǎng)絡(luò)安全的發(fā)展

2.1 網(wǎng)絡(luò)安全的問題

信息安全問題是網(wǎng)絡(luò)的傳遞過程中面臨的信息被竊取、信息被篡改、信息被假冒和信息被惡意破壞等問題。如電子的交易信息在網(wǎng)絡(luò)上傳輸過程中，可能被他人非法修改、刪除或重放，從而失去原有的真實性和完整性;網(wǎng)絡(luò)硬件和軟件問題導(dǎo)致信息傳遞的丟失、錯誤及一些惡意程序的破壞而導(dǎo)致信息遭到破壞等。因此，信息安全的要求就是要求信息傳輸?shù)陌踩?、信息的完整性及交易者身份的確定性。

2.2 網(wǎng)絡(luò)安全的策略

通過網(wǎng)絡(luò)安全認證技術(shù)，對未得到認證成功的用戶,一旦用戶打開任意的網(wǎng)頁,則會被重定向到指定的認證頁面,該認證頁面事實上就是一個門戶,進入該門戶后不經(jīng)任何認證就可訪問網(wǎng)管人員指定的有限的內(nèi)容隨著網(wǎng)絡(luò)接入的發(fā)展,網(wǎng)絡(luò)安全認證越來越展現(xiàn)出其優(yōu)點來,不管實際視角還是商業(yè)視角網(wǎng)絡(luò)安全認證均展現(xiàn)了它的價值: 需要像PPPOE那樣對協(xié)議單元進行額外的封裝,就不會擠占協(xié)議的有效負載，從而不需要分片,不必加大客戶端及鏈路上路由器的設(shè)備壓力。檢測用戶離線、上線:這種基于WEB的認證是在應(yīng)用層完成的,可能在檢測鏈路時會比較麻煩,計費的準(zhǔn)確無誤取決于能否即時的感知用戶的上、下線。簡單的放開、終止用戶的網(wǎng)絡(luò)訪問權(quán)限已經(jīng)不能滿足對當(dāng)今網(wǎng)絡(luò)運營管理的要求。作為關(guān)卡的網(wǎng)絡(luò)安全認證服務(wù)器會暴露于所有的用戶,容易受到惡意的攻擊,而且在小眾的場所,人們處于成本的考慮更愿意使用個人計算機提供認證服務(wù),相對的性能較低,更容易被黑客得手,在大型網(wǎng)絡(luò)中危害是極大的,導(dǎo)致用戶不能介入網(wǎng)絡(luò),影響生活和辦公。網(wǎng)絡(luò)的發(fā)展日益復(fù)雜多變,能不能適應(yīng)這種多變的環(huán)境,還是很值得驗證的。

3 云計算在網(wǎng)絡(luò)安全中的應(yīng)用

為了切實保證云計算背景下的數(shù)據(jù)安全，需要對數(shù)據(jù)信息進行相應(yīng)的加密和隔離措施，例如，可以采用第三方實名認證的方式、數(shù)據(jù)備份、安全清除等方法，對數(shù)據(jù)安全進行保護，同時要設(shè)置相應(yīng)的安全防護措施，針對病毒以及黑客的入侵進行防范,保證數(shù)據(jù)的完整性和真實性。

要加強對于云計算背景下計算機用戶的權(quán)限管理,通過多重驗證的方式,盡可能避免系統(tǒng)漏洞，不給黑客留下機會。例如,可以通過設(shè)置相應(yīng)的安全防范措施，對于用戶的權(quán)限進行隨時檢測，對于敏感操作，如數(shù)據(jù)的修改、刪除、添加等,要進行重復(fù)驗證，防止不法分子對于數(shù)據(jù)資料的竊取和破壞，切實保證數(shù)據(jù)安全。

在網(wǎng)絡(luò)取證方面，由于用戶保密協(xié)議的存在，一直難以取得良好的進展。在這種情況下，就需要用戶與云計算服務(wù)提供方的共同努力，對各自的責(zé)任以及應(yīng)盡義務(wù)進行充分了解，通過雙方的配合，共同保證云計算的安全。對于用戶而言，要對虛擬平臺上的信息進行驗證，一旦發(fā)現(xiàn)問題，要及時與提供方進行聯(lián)系，從而減少數(shù)據(jù)信息面臨的風(fēng)險。

總而言之,在當(dāng)前的時代背景下，云計算的發(fā)展和普及己經(jīng)成為計算機技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的必然趨勢，其具有良好的市場前景以及巨大的潛力。因此，相關(guān)的技術(shù)人員要加強對于云計算背景下計算機安全問題的分析，采取相應(yīng)的應(yīng)對措施，排除安全隱患，促進云計算的持續(xù)健康發(fā)展。

[1]江曉慶，楊磊，何斌斌.未來新型計算模式—云計算[J].計算機與數(shù)字工程，2009.

[2]夏良，馮元.云計算中的信息安全對策研究[J].電腦知識與技術(shù)，2009.

[3]陳康，鄭緯民.云計算:系統(tǒng)實例與研究現(xiàn)狀[J].軟件學(xué)報，2009.

[4]陳樹平，侯賢良.計算機網(wǎng)絡(luò)中DES數(shù)據(jù)加密和解密技術(shù)[J].現(xiàn)代電子技術(shù)，2005.