◆王洪磊 孫靜

探討云平臺(tái)背景下的網(wǎng)絡(luò)安全等級保護(hù)測評策略

◆王洪磊 孫靜

（山東省淄博市博山區(qū)第一中學(xué) 山東 255200）

云平臺(tái)在我國銀行、教育等行業(yè)廣泛應(yīng)用，利用云平臺(tái)工作人員能及時(shí)處理數(shù)據(jù)、整合資源，為該行業(yè)戰(zhàn)略部署提供決策信息。但云平臺(tái)中會(huì)納入海量信息，信息管理難度較大，甚至滲入一些病毒信息，對企業(yè)而言，可能會(huì)對企業(yè)的資源進(jìn)行盜取，對教育行業(yè)則會(huì)造成信息泄露，不利于家校共育的環(huán)境創(chuàng)建。在網(wǎng)絡(luò)安全等級保護(hù)背景下，應(yīng)當(dāng)對網(wǎng)絡(luò)安全情況進(jìn)行分析，并完善云計(jì)算平臺(tái)。對此，本文對網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)進(jìn)行探究，思考云平臺(tái)網(wǎng)絡(luò)安全管理現(xiàn)狀及面對的風(fēng)險(xiǎn)，拓展云平臺(tái)學(xué)習(xí)的時(shí)間和空間，提出云平臺(tái)下的網(wǎng)絡(luò)安全等級保護(hù)測評建議，為云平臺(tái)數(shù)據(jù)保護(hù)奠定堅(jiān)實(shí)的基礎(chǔ)。關(guān)鍵詞：云平臺(tái)；網(wǎng)絡(luò)安全；等級保護(hù)測評

伴隨互聯(lián)網(wǎng)技術(shù)高速發(fā)展，云平臺(tái)及云計(jì)算、大數(shù)據(jù)進(jìn)入人們視野，云平臺(tái)有利于實(shí)現(xiàn)信息共享，讓人們合理利用資源，降低企業(yè)生產(chǎn)及管理成本。但在云平臺(tái)背景下，人們通過網(wǎng)絡(luò)保管信息也容易面對一些風(fēng)險(xiǎn)問題，主要是信息盜取風(fēng)險(xiǎn)及網(wǎng)絡(luò)病毒風(fēng)險(xiǎn)等，此類風(fēng)險(xiǎn)容易對個(gè)人隱私及行業(yè)機(jī)密信息等產(chǎn)生影響，甚至對行業(yè)發(fā)展產(chǎn)生嚴(yán)重打擊。我國在實(shí)施網(wǎng)絡(luò)安全等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)后，信息安全等級保護(hù)進(jìn)入全新階段，但網(wǎng)絡(luò)安全保護(hù)工作依舊面對巨大挑戰(zhàn)，還需認(rèn)識(shí)目前存在的風(fēng)險(xiǎn)，在系統(tǒng)部署過程中關(guān)注網(wǎng)絡(luò)安全，從而對云平臺(tái)及相關(guān)產(chǎn)品提出對應(yīng)的管理要求。

1 網(wǎng)絡(luò)安全保護(hù)的全新標(biāo)準(zhǔn)

等級保護(hù)2.0標(biāo)準(zhǔn)下對等級保護(hù)測評及安全管理技術(shù)等具有全新的標(biāo)準(zhǔn)，對大數(shù)據(jù)及云計(jì)算、移動(dòng)網(wǎng)絡(luò)等具有安全管理目標(biāo)，并提出全新的管理模式，為網(wǎng)絡(luò)安全提供全新的保障。具體的管理標(biāo)準(zhǔn)變化自以下幾個(gè)方面體現(xiàn)。①保護(hù)標(biāo)準(zhǔn)變化：在云平臺(tái)網(wǎng)絡(luò)環(huán)境中，等級保護(hù)設(shè)計(jì)標(biāo)準(zhǔn)及檢測標(biāo)準(zhǔn)均發(fā)生變化，面對云計(jì)算平臺(tái)保護(hù)的對象，提出個(gè)性保護(hù)及標(biāo)準(zhǔn)管理要求。②定級對象變化：網(wǎng)絡(luò)安全等級保護(hù)中針對特定的系統(tǒng)進(jìn)行重新定級，一個(gè)云平臺(tái)中具有較多的系統(tǒng)，根據(jù)系統(tǒng)內(nèi)容確定保護(hù)等級，云平臺(tái)等級應(yīng)當(dāng)高于系統(tǒng)標(biāo)準(zhǔn)承載保護(hù)等級。大型云平臺(tái)及基礎(chǔ)設(shè)施能分為不同輔助系統(tǒng)，其中也包括不同的定級對象。③責(zé)任界限變化：網(wǎng)絡(luò)安全等級保護(hù)是信息及數(shù)據(jù)管理的前提，對界限進(jìn)行劃分較為必要，責(zé)任邊界劃分包括用戶安全及平臺(tái)安全內(nèi)容，在劃分責(zé)任過程中以普適性標(biāo)準(zhǔn)為主，實(shí)際工作過程中，需根據(jù)實(shí)際情況，確定具體的責(zé)任。④等保對象變化：伴隨新技術(shù)的引入，等保對象包括增設(shè)虛擬機(jī)及虛擬化網(wǎng)絡(luò)及云管理平臺(tái)，在網(wǎng)絡(luò)安全管理過程中關(guān)注新技術(shù)及平臺(tái)基礎(chǔ)安全等內(nèi)容。

2 云平臺(tái)網(wǎng)絡(luò)安全管理現(xiàn)狀

近幾年，我國大型企事業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè)進(jìn)入全新的局面，云平臺(tái)作為數(shù)據(jù)管理系統(tǒng)中的重要組成部分，服務(wù)器維護(hù)量在不斷增加，固有的平臺(tái)管理模式無法契合時(shí)代發(fā)展需求，服務(wù)器整合工作也較為緊迫。比如，我國銀行企業(yè)每日吸納大量的客戶信息，整體客戶端數(shù)量巨大，桌面布置也較為復(fù)雜，為達(dá)到數(shù)據(jù)合理整合目標(biāo)，我國銀行企業(yè)開始積極應(yīng)用虛擬技術(shù)，通過云端服務(wù)器及IT硬件設(shè)備完成池化管理，對基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一管理，及時(shí)將閑置資源回收，提升資源的利用率及整合率，并構(gòu)建起數(shù)據(jù)中心云計(jì)算平臺(tái)。在云平臺(tái)發(fā)展過程中，面對安全性要求，企事業(yè)自數(shù)據(jù)中心的主機(jī)及儲(chǔ)存各個(gè)層面進(jìn)行綜合分析，并展開安全保障設(shè)計(jì)。比如，在儲(chǔ)存層安全設(shè)計(jì)過程中，通過卷鏡像技術(shù)達(dá)到儲(chǔ)存虛擬化目標(biāo)，一旦發(fā)生故障，備用網(wǎng)絡(luò)設(shè)備可完成業(yè)務(wù)訪問，以免業(yè)務(wù)再進(jìn)行中斷。在主機(jī)層安全設(shè)計(jì)過程中，選擇Vsphere HA方案處理，避免ESXi服務(wù)器發(fā)生故障，對業(yè)務(wù)連續(xù)性產(chǎn)生影響。在管理層安全管理過程中，選擇HA方案對網(wǎng)絡(luò)數(shù)據(jù)情況進(jìn)行觀察，確定服務(wù)器的持續(xù)運(yùn)行能力，vCenter在網(wǎng)絡(luò)保護(hù)過程中，對管理員權(quán)限進(jìn)行限制，對系統(tǒng)中的用戶進(jìn)行分組，合理對用戶進(jìn)行管理。

3 云平臺(tái)網(wǎng)絡(luò)安全管理面對的風(fēng)險(xiǎn)

等保2.0背景下，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)發(fā)生變化，在評測過程中關(guān)注的重點(diǎn)在于數(shù)據(jù)完整性及私密性，對數(shù)據(jù)進(jìn)行集中管理及信息保護(hù)，但實(shí)際網(wǎng)絡(luò)數(shù)據(jù)保護(hù)過程中也面對巨大的挑戰(zhàn)。

3.1 網(wǎng)絡(luò)系統(tǒng)面對的風(fēng)險(xiǎn)

在云平臺(tái)背景下，應(yīng)用層及硬件層構(gòu)建虛擬網(wǎng)絡(luò)層級，虛擬層在運(yùn)行過程中也面對全新的風(fēng)險(xiǎn)。常見的網(wǎng)絡(luò)風(fēng)險(xiǎn)是虛擬機(jī)監(jiān)控風(fēng)險(xiǎn)及網(wǎng)絡(luò)調(diào)整風(fēng)險(xiǎn)、虛擬機(jī)補(bǔ)丁未及時(shí)更新風(fēng)險(xiǎn)、殺毒軟件能力不強(qiáng)風(fēng)險(xiǎn)等，未采取有效的管理措施容易引發(fā)不同層級的網(wǎng)絡(luò)風(fēng)險(xiǎn)。對此，云平臺(tái)在應(yīng)用過程中用戶信息安全防護(hù)也面對不同的風(fēng)險(xiǎn)。虛擬網(wǎng)絡(luò)技術(shù)使物理資源調(diào)整為邏輯資源，將實(shí)體結(jié)構(gòu)壁壘打破，讓用戶能更加合理地利用資源及服務(wù)器。物理服務(wù)器資源過度利用的情況下，硬件設(shè)備的荷載能力降低，運(yùn)行質(zhì)量也在不斷降低，發(fā)生硬件故障系統(tǒng)崩潰的問題。部分物理服務(wù)器發(fā)生嚴(yán)重硬件故障時(shí)，虛擬機(jī)將無法順利運(yùn)行，相關(guān)應(yīng)用也停止，這種系統(tǒng)停止運(yùn)行風(fēng)險(xiǎn)，相比過往的服務(wù)器運(yùn)行風(fēng)險(xiǎn)更為嚴(yán)重。

3.2 數(shù)據(jù)風(fēng)險(xiǎn)及病毒風(fēng)險(xiǎn)

云平臺(tái)對數(shù)據(jù)完整性保護(hù)較為關(guān)注，這也是等級保護(hù)2.0中的重點(diǎn)內(nèi)容，包括動(dòng)態(tài)及靜態(tài)數(shù)據(jù)隔離及殘余數(shù)據(jù)處理，需保證傳輸及儲(chǔ)存工作中消除不安全因素，保證資源的保密性及完整性。對保護(hù)過程進(jìn)行管理，以防火墻技術(shù)作為支持，云計(jì)算數(shù)據(jù)在不同的空間分散，難以保證用戶及時(shí)調(diào)取數(shù)據(jù)，或者調(diào)取數(shù)據(jù)過程中不被盜取數(shù)據(jù)。數(shù)據(jù)保密機(jī)制不完善及權(quán)限管理系統(tǒng)不完善，云平臺(tái)數(shù)據(jù)被盜取的風(fēng)險(xiǎn)將大幅提升。云數(shù)據(jù)平臺(tái)在管理過程中，虛擬機(jī)穩(wěn)定性較為重要，模板中存在系統(tǒng)漏洞，容易發(fā)生病毒植入風(fēng)險(xiǎn)，對系統(tǒng)可用性產(chǎn)生破壞的同時(shí)，也會(huì)發(fā)生系統(tǒng)混亂，病毒對數(shù)據(jù)進(jìn)行大肆侵犯。虛擬機(jī)數(shù)據(jù)管理過程中，一旦IP地址具有連續(xù)性特點(diǎn)，也會(huì)為病毒傳播提供全新的渠道。

4 云平臺(tái)下的網(wǎng)絡(luò)安全等級保護(hù)測評建議

網(wǎng)絡(luò)安全等級保護(hù)需關(guān)注技術(shù)標(biāo)準(zhǔn)，根據(jù)技術(shù)現(xiàn)狀及需求，保證云平臺(tái)安全性及自主性，保留信息維護(hù)安全及網(wǎng)絡(luò)管理安全，對網(wǎng)絡(luò)空間合理利用。

4.1 評估系統(tǒng)狀態(tài)，合理部署系統(tǒng)

云平臺(tái)部署工作前針對虛擬技術(shù)進(jìn)行評估及分析，從而進(jìn)一步降低部署風(fēng)險(xiǎn)，保證遠(yuǎn)期利益。比如，先展開業(yè)務(wù)評估，使云平臺(tái)建設(shè)目標(biāo)及發(fā)展目標(biāo)保持一致，對應(yīng)用環(huán)境進(jìn)行評估，對目前的軟件及網(wǎng)絡(luò)環(huán)境進(jìn)行思考，觀察是否具備網(wǎng)絡(luò)部署條件。對技術(shù)水平進(jìn)行評估，關(guān)注人員技術(shù)能力及業(yè)務(wù)能力，處理部署過程中面對的各類問題。在云平臺(tái)部署過程中，也要關(guān)注風(fēng)險(xiǎn)管理，在管理工作進(jìn)展中，遵循標(biāo)準(zhǔn)化的系統(tǒng)管理規(guī)范，使虛擬服務(wù)器及安全防護(hù)工作保持一致，不定期對主機(jī)及服務(wù)器日志等進(jìn)行監(jiān)測。在權(quán)限管理過程中，還需遵循最低權(quán)限基本原則，管理人員保證權(quán)限及工作職責(zé)匹配，避免使用公共賬號(hào)，在監(jiān)督工作進(jìn)展中，通過虛擬網(wǎng)絡(luò)工具對異?，F(xiàn)象進(jìn)行監(jiān)督及檢索，虛擬機(jī)完全監(jiān)控下管理，避免病毒等對網(wǎng)絡(luò)進(jìn)行侵蝕。

4.2 關(guān)注數(shù)據(jù)保護(hù)，保持?jǐn)?shù)據(jù)安全

在云平臺(tái)網(wǎng)絡(luò)管理過程中，還需關(guān)注數(shù)據(jù)保護(hù)的安全性，比如，在網(wǎng)絡(luò)數(shù)據(jù)儲(chǔ)存管理過程中，應(yīng)當(dāng)對加密的數(shù)據(jù)進(jìn)行有效管理。開放性數(shù)據(jù)與加密性數(shù)據(jù)不同，開放性數(shù)據(jù)共享性特點(diǎn)，在保護(hù)過程中對私密性的關(guān)注度不高，而私密性數(shù)據(jù)往往是個(gè)人或者企事業(yè)管理的重點(diǎn)數(shù)據(jù)，在云平臺(tái)下應(yīng)當(dāng)注重合理管控。比如，選擇信用度優(yōu)良的運(yùn)營商，保證運(yùn)營商對運(yùn)行安全負(fù)責(zé)，并選擇技術(shù)能力強(qiáng)的隊(duì)伍，對云平臺(tái)進(jìn)行合理部署，降低信息泄露風(fēng)險(xiǎn)的發(fā)生率，以免用戶信息隨意泄露。在云平臺(tái)打造過程中，應(yīng)當(dāng)選擇保密性強(qiáng)的主流加密技術(shù)，包括truecrypt、pgp等，保證數(shù)據(jù)安全管理風(fēng)險(xiǎn)。選擇VONTU等過濾器對數(shù)據(jù)進(jìn)行攔阻，及時(shí)控制敏感性數(shù)據(jù)，以免發(fā)生病毒傳播及數(shù)據(jù)泄露風(fēng)險(xiǎn)。

4.3 注重系統(tǒng)建設(shè)，應(yīng)用安全技術(shù)

安全技術(shù)采取安全控制手段完成數(shù)據(jù)信息保護(hù)，包括虛擬機(jī)蔓延及隔離虛擬機(jī)安全防護(hù)等內(nèi)容。在技術(shù)保護(hù)過程中還需對虛擬機(jī)進(jìn)行有效審核，對虛擬機(jī)的工作動(dòng)向進(jìn)行監(jiān)督，以免發(fā)生虛擬機(jī)失去控制。為保證云平臺(tái)數(shù)據(jù)信息的安全性，對虛擬機(jī)展開邏輯隔離，測試及管理過程中，需對虛擬網(wǎng)絡(luò)進(jìn)行隔離處理。在常規(guī)安全防護(hù)過程中，遵守我國的系統(tǒng)管理規(guī)范，以免病毒對網(wǎng)絡(luò)軟件產(chǎn)生侵蝕，及時(shí)安裝系統(tǒng)補(bǔ)丁，使系統(tǒng)的安全性進(jìn)一步提升。針對硬件設(shè)備也要進(jìn)行管理，比如，U盤及光驅(qū)，此類設(shè)備可能攜帶病毒，對此，在云平臺(tái)管理過程中，需利用病毒軟件對此類設(shè)備進(jìn)行掃描，阻斷病毒植入渠道，或者在U盤等傳輸數(shù)據(jù)時(shí)不使用虛擬機(jī)。

5 結(jié)束語

現(xiàn)階段，信息技術(shù)高速發(fā)展，云平臺(tái)及大數(shù)據(jù)技術(shù)在人們的生活中廣泛應(yīng)用，利用云平臺(tái)儲(chǔ)存及管理數(shù)據(jù)具有高效性的特點(diǎn)，企事業(yè)及個(gè)人能及時(shí)調(diào)取數(shù)據(jù)，并對新的數(shù)據(jù)進(jìn)行整合及管理，相比過往硬件儲(chǔ)存方式更為便捷。但云平臺(tái)下的網(wǎng)絡(luò)安全問題引起人們的廣泛關(guān)注，網(wǎng)絡(luò)安全管理目標(biāo)不斷提升，企事業(yè)及個(gè)人也要積極面對挑戰(zhàn)，選擇高質(zhì)量的技術(shù)運(yùn)營商，防范網(wǎng)絡(luò)風(fēng)險(xiǎn)，及時(shí)監(jiān)督虛擬機(jī)運(yùn)行情況，為安全穩(wěn)定完成數(shù)據(jù)處理工作奠定堅(jiān)實(shí)的基礎(chǔ)。

[1]黃少琪. 網(wǎng)絡(luò)安全等級保護(hù)2.0下電信運(yùn)營商助力中小企業(yè)安全建設(shè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（03）：93-94.

[2]趙英明，張德棟，陳勛，李聚寶. 基于等級保護(hù)2.0的鐵路客票系統(tǒng)安全管理中心研究[J]. 鐵路計(jì)算機(jī)應(yīng)用，2020，29（08）：24-27.

[3]李新發(fā)，楊立凡. 網(wǎng)絡(luò)安全等級保護(hù)制度實(shí)施效果研究——以湖北省宜昌市為視角[J]. 三峽論壇（三峽文學(xué)·理論版），2020（04）：100-104.

[4]郭樂. 網(wǎng)絡(luò)安全等級保護(hù)2.0體系下的法院網(wǎng)絡(luò)安全管理及應(yīng)對[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（05）：136-137.

[5]劉赫. 基于網(wǎng)絡(luò)安全等級保護(hù)2.0的安全區(qū)域邊界[J]. 電子技術(shù)與軟件工程，2020（01）：236-238.

[6]張振峰，張志文，王睿超. 網(wǎng)絡(luò)安全等級保護(hù)2.0云計(jì)算安全合規(guī)能力模型[J]. 信息網(wǎng)絡(luò)安全，2019（11）：1-7.

[7]李秋香，龔鋼軍，陳翠云. 網(wǎng)絡(luò)安全等級保護(hù)2.0下能源網(wǎng)絡(luò)安全新態(tài)勢[A]. 公安部第三研究所、江蘇省公安廳、無錫市公安局.2019中國網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會(huì)論文集[C].公安部第三研究所、江蘇省公安廳、無錫市公安局：《信息網(wǎng)絡(luò)安全》北京編輯部，2019：4.

本文系淄博市教育科學(xué)“十三五”規(guī)劃課題《基于云平臺(tái)的初中信息技術(shù)課堂教學(xué)模式探究》階段性成果，課題批準(zhǔn)號(hào)：2018ZJG041