網(wǎng)絡安全的分布式異構(gòu)存儲網(wǎng)絡安全技術(shù)分析

中國船舶重工集團公司第七一五研究所 辛 宇

在互聯(lián)網(wǎng)得到普及應用的背景下，網(wǎng)絡數(shù)據(jù)量不斷增加。而在采用分布式異構(gòu)存儲技術(shù)實現(xiàn)數(shù)據(jù)存儲過程中，對網(wǎng)絡具有明顯依賴性，將面臨較大信息風險。因為盡管網(wǎng)絡具有較強功能，但也相對脆弱，容易因為惡意攻擊出現(xiàn)安全問題，可能造成信息遭到竊取，嚴重時甚至出現(xiàn)系統(tǒng)癱瘓，造成信息丟失。從網(wǎng)絡安全管理角度來看，需要加強分布式異構(gòu)存儲網(wǎng)絡安全技術(shù)運用，使數(shù)據(jù)隱私性和安全性得到保證。

1 分布式異構(gòu)存儲網(wǎng)絡安全架構(gòu)分析

在分布式異構(gòu)存儲網(wǎng)絡中，需要利用虛擬網(wǎng)絡邊界進行安全部署，采用與物理網(wǎng)絡相同組網(wǎng)方式，通過控制邊界流量加強網(wǎng)絡保護。將物理安全設備虛擬化，通過單獨管理設備實現(xiàn)安全控制，可以使分布式異構(gòu)存儲系統(tǒng)體現(xiàn)較強彈性，增強服務便捷性。在物理設備上部署虛擬化安全設備，并設置設備管理系統(tǒng)，能夠?qū)芾矸掌鬟M行虛擬化處理，使網(wǎng)絡安全服務順利遷移。使數(shù)據(jù)平面與控制平面保持分離，利用虛擬機完成引流層安全架構(gòu)部署，可以體現(xiàn)網(wǎng)絡分布式特征。從具體架構(gòu)上來看，包含系統(tǒng)管理平臺、虛擬網(wǎng)絡和虛擬機監(jiān)視器。通過監(jiān)視器，用戶可以利用虛擬機接入網(wǎng)絡，在控制平面完成安全服務部署，實現(xiàn)數(shù)據(jù)存儲和調(diào)用。利用網(wǎng)絡單元進行數(shù)據(jù)動態(tài)引流配置，能夠在各物理機上布置安全服務平面，使控制平面得以進行安全通道部署。在不同物理設備上對系統(tǒng)業(yè)務數(shù)、安全策略等參數(shù)進行設置，對多個安全服務模塊進行調(diào)用，能夠結(jié)合用戶需求提供安全服務。

2 基于網(wǎng)絡安全的分布式異構(gòu)存儲網(wǎng)絡安全技術(shù)

在數(shù)據(jù)存儲系統(tǒng)運行過程中，采用數(shù)據(jù)備份方式屬于被動式安全策略，能夠使信息丟失和被篡改問題得到解決，但無法應對數(shù)據(jù)因為網(wǎng)絡攻擊而泄露的情況，容易給企業(yè)帶來較大經(jīng)濟損失。而分布式異構(gòu)存儲系統(tǒng)能夠為數(shù)據(jù)在網(wǎng)絡的高效傳播提供支撐，同時也將面臨較大安全隱患。單靠服務供應商提供保護，難以滿足用戶安全控制需求，還應加強安全技術(shù)運用，實現(xiàn)安全策略靈活布置防止系統(tǒng)出現(xiàn)越權(quán)訪問情況。通過科學設計安全服務模塊功能，使系統(tǒng)危險系數(shù)得到降低，能夠為網(wǎng)絡安全使用提供保障。

2.1 訪問控制技術(shù)

在分布式異構(gòu)存儲系統(tǒng)網(wǎng)絡安全服務模塊功能開發(fā)上，還要加強系統(tǒng)訪問控制管理。系統(tǒng)運行過程中將連接多種服務器，為不同訪問模式提供支持。加強系統(tǒng)元數(shù)據(jù)管理，并做好客戶端存儲代理設置，可以滿足數(shù)據(jù)復制要求，提供遠程鏡像等服務。為保證數(shù)據(jù)安全，還要確保用戶經(jīng)過授權(quán)認證后才能獲取服務，通過網(wǎng)絡上傳或下載數(shù)據(jù)，對目錄和文件進行查看。將數(shù)據(jù)存儲和查看等權(quán)限分開，在用戶訪問數(shù)據(jù)時將發(fā)出不同訪問請求。通過安全檢查確定訪問權(quán)限，能夠使數(shù)據(jù)隱私性得到進一步保護。實際在技術(shù)應用上，需要根據(jù)用戶設備配置參數(shù)確定訪問級別，然后利用網(wǎng)絡安全策略進行授權(quán)。通過判斷訪問優(yōu)先級別，可以確定范圍范圍、次數(shù)等。結(jié)合系統(tǒng)數(shù)據(jù)管理需求設定認證層次，能夠保證數(shù)據(jù)在存儲節(jié)點和客戶端之間高效傳輸?shù)耐瑫r，使系統(tǒng)安全性問題得到解決。在虛擬網(wǎng)絡中，利用分布式安全架構(gòu)能夠?qū)崿F(xiàn)微隔離，并通過提供安全檢測服務對網(wǎng)絡傳輸文件、單一數(shù)據(jù)等進行檢測，達到加強系統(tǒng)攻擊防護的目標。如采用防火墻、IPS、URL等技術(shù)，能夠?qū)W(wǎng)絡進行實時安全檢測，使用戶行為安全性得到準確識別，因此能夠為網(wǎng)絡使用提供安全保障。在網(wǎng)絡安全服務發(fā)現(xiàn)相同虛擬網(wǎng)絡中存在虛擬機被攻擊行為，將通過微隔離對受到攻擊虛擬機進行分割，使來源于內(nèi)部網(wǎng)絡攻擊得到遏制，不會給整個網(wǎng)絡運行帶來干擾。實現(xiàn)異構(gòu)存儲，可以對任何用戶任一端口實施隔離控制，只需在控制平面進行安全控制策略配置，即可提供端口對網(wǎng)絡用戶行為進行檢測，完成虛擬機安全防護配置，使系統(tǒng)整體安全性得到增強。

2.2 數(shù)據(jù)加密技術(shù)

系統(tǒng)數(shù)據(jù)借助網(wǎng)絡進行傳輸，同樣面臨較大安全威脅。為使數(shù)據(jù)在傳輸過程中的安全性得到保證，還要運用數(shù)據(jù)加密技術(shù)進行處理。具體來講，就是從分布式異構(gòu)系統(tǒng)服務器提取數(shù)據(jù)過程中，以數(shù)據(jù)包形式完成加密處理，借助底層文件系統(tǒng)實現(xiàn)數(shù)據(jù)共享。不同于單純文件級加密或介質(zhì)級加密技術(shù)，該種加密技術(shù)屬于應用加密技術(shù)，能夠利用應用程序?qū)崿F(xiàn)數(shù)據(jù)加密操作。由于無需在網(wǎng)絡存儲層嵌入執(zhí)行數(shù)據(jù)加密的設備，因此無需進行各種密鑰管理，能夠避免給分布式異構(gòu)存儲系統(tǒng)性能帶來影響。在系統(tǒng)應用中實現(xiàn)加密技術(shù)的集成，可以提供端到端的加密解決方案，根據(jù)用戶身份及防偽范圍加強密鑰訪問控制，使密鑰與應用緊密綁定。對于用戶來講，只有獲得關(guān)鍵數(shù)據(jù)訪問權(quán)才能通過特定應用。在分布式異構(gòu)存儲系統(tǒng)運行期間，容易因協(xié)議缺陷導致未授權(quán)用戶能夠進行系統(tǒng)訪問。為避免系統(tǒng)數(shù)據(jù)信息泄露，還要利用公共應用程序?qū)崿F(xiàn)數(shù)據(jù)處理，在后臺完成數(shù)據(jù)加密。針對服務器端，還要做好存儲代理數(shù)據(jù)加密。結(jié)合這一目標，還要設計加密文件系統(tǒng)模塊，在數(shù)據(jù)傳輸前進行加密處理。在此基礎上，可以利用底層設備進行本地文件系統(tǒng)驅(qū)動，在不同地區(qū)存儲設備中進行數(shù)據(jù)寫入。采取該種數(shù)據(jù)加密技術(shù)，授權(quán)用戶在訪問系統(tǒng)時，可以從服務器獲得明文信息。而針對非法侵入用戶，服務器只會產(chǎn)生暗文，以免數(shù)據(jù)信息被篡改或泄露。采用保密編碼技術(shù)，服務器可以利用已知編碼方案對數(shù)據(jù)進行處理，使碼集成到復雜場景中，確保竊聽者無法獲取想要的信息。在系統(tǒng)用戶群有所改變時，則要及時進行應用訪問調(diào)整，確保用戶能夠通過特定應用訪問數(shù)據(jù)。對底層加密文件系統(tǒng)進行布置，能夠使系統(tǒng)網(wǎng)絡組織結(jié)構(gòu)保持不變，因此依然可以實現(xiàn)數(shù)據(jù)高效傳遞，同時加強數(shù)據(jù)傳輸安全管理。

2.3 動態(tài)引流技術(shù)

伴隨著網(wǎng)絡技術(shù)的快速發(fā)展，網(wǎng)絡環(huán)境中黑客攻擊較多。通過網(wǎng)絡進行分布式異構(gòu)存儲系統(tǒng)操作，可能遭受各種網(wǎng)絡攻擊。為滿足用戶特殊安全管理要求，還要對網(wǎng)絡安全進行合理評估，以便及時發(fā)現(xiàn)安全風險，通過動態(tài)引流避免系統(tǒng)遭受攻擊，以免因系統(tǒng)安全防護漏洞和盲點的存在造成數(shù)據(jù)安全性受到威脅。在系統(tǒng)利用網(wǎng)絡實現(xiàn)數(shù)據(jù)存儲過程中，需要對整個網(wǎng)絡中各虛擬機業(yè)務信息、局部流量等進行匯總，通過分析安全行為事件進行引流，使來自網(wǎng)絡的攻擊得到減少，繼而使系統(tǒng)數(shù)據(jù)得到強有力的安全保護。在網(wǎng)絡安全控制平面上，用戶數(shù)據(jù)流量可以鏡像至虛擬機，通過控制其流量可以掌握用戶流量，提供實時安全保護。在無線網(wǎng)絡中，物理信道具有唯一性和交互性，能夠使合法用戶得到有效辨識。從信息安全管理角度運用物理層安全技術(shù)，無需額外執(zhí)行安全協(xié)議就能加強安全管理，可以使存儲系統(tǒng)維持高效運轉(zhuǎn)。在信號通過物理信道傳輸時，首先需要確定傳輸源是否合法。由于任何攻擊者無法對信息源進行模擬，因此可以根據(jù)信道安全數(shù)據(jù)特征對合法和非法信號源進行識別，然后進行合法信息傳輸。在實踐操作中，人員需從分布式異構(gòu)存儲網(wǎng)絡中實現(xiàn)安全數(shù)據(jù)特征提取，然后利用獨立無線通信進行數(shù)據(jù)存儲操作。并非每個無線網(wǎng)絡通道都可以用于數(shù)據(jù)存儲，還要對通道物理層存儲安全系數(shù)進行確認，保證數(shù)據(jù)得到安全傳輸。實現(xiàn)系統(tǒng)網(wǎng)絡安全特征值分解，能夠從信道穩(wěn)定程度、網(wǎng)絡安全數(shù)據(jù)特征等角度對節(jié)點安全性進行反映。將特征值分解至子信道，利用得到的安全數(shù)據(jù)特征進行網(wǎng)絡安全矩陣建立：

式中，W指的是無線通信層安全傳輸矩陣，i1-i4為四個網(wǎng)絡節(jié)點安全數(shù)據(jù)特征。通過對安全物理層信道進行篩選，然后將合法信號波束引入到分布式異構(gòu)存儲系統(tǒng)中，能夠避免不法信號的進入。因為即便存儲網(wǎng)絡受到人為攻擊，由于竊聽者無法通過物理信道進入到存儲系統(tǒng)內(nèi)部，所以能夠為解決系統(tǒng)安全問題提供有效方案。運用該技術(shù)只允許合法信號在系統(tǒng)內(nèi)部存儲，能夠避免系統(tǒng)數(shù)據(jù)遭到破壞，因此可以使網(wǎng)絡安全管理需求得到滿足。在系統(tǒng)運行過程中，通過對局部網(wǎng)絡數(shù)據(jù)流量進行實時監(jiān)測，并通過安全服務模塊進行動態(tài)引流，能夠加強網(wǎng)絡全局安全管理，為系統(tǒng)日常安全維護提供支持。

3 分布式異構(gòu)存儲網(wǎng)絡安全技術(shù)應用效果

3.1 實驗條件

為確定上述技術(shù)應用效果，可以利用Sgzsdergly平臺開展網(wǎng)絡安全實驗。利用SAVE代碼進行實驗內(nèi)容編寫，能夠?qū)Σ煌踩夹g(shù)的存儲安全系數(shù)進行測試。在實驗分析過程中，可以先利用傳統(tǒng)網(wǎng)絡安全技術(shù)進行數(shù)據(jù)的分布式異構(gòu)存儲，然后利用設計安全技術(shù)完成相同操作。將傳統(tǒng)系統(tǒng)操作當成是對照，比較兩組實驗結(jié)果，可以得到實驗結(jié)論。

3.2 結(jié)果分析

從實驗結(jié)果來看，采用傳統(tǒng)安全策略進行數(shù)據(jù)存儲操作，網(wǎng)絡安全系數(shù)在10到30db之間。運用多種安全技術(shù)生成系統(tǒng)安全策略，完成系統(tǒng)網(wǎng)絡安全服務模塊部署，能夠使網(wǎng)絡安全系數(shù)達到50-70db。相較于對照組，實驗組的網(wǎng)絡安全系數(shù)得到了大幅度提升，因此能夠使數(shù)據(jù)存儲的安全性得到增強。實現(xiàn)上述安全技術(shù)組合運用，依然無法保證分布式異構(gòu)存儲系統(tǒng)在使用網(wǎng)絡進行數(shù)據(jù)操作時絕對安全。實際運用網(wǎng)絡安全技術(shù)，還應認識不同用戶將提出不同安全等級要求，可以通過在存儲系統(tǒng)中采取不同安全策略強化安全服務模塊功能設計，使系統(tǒng)安全性得到不斷提升。

結(jié)論：為加強網(wǎng)絡安全管理，還要在分布式異構(gòu)存儲系統(tǒng)中引入網(wǎng)絡安全技術(shù)，通過提供有效保護避免系統(tǒng)受到惡意攻擊，從而使網(wǎng)絡環(huán)境下的數(shù)據(jù)信息完整性、安全性得到保證。結(jié)合存儲網(wǎng)絡安全架構(gòu)，運用訪問控制、數(shù)據(jù)加密、動態(tài)引流等不同安全技術(shù)實現(xiàn)安全服務模塊功能，能夠?qū)崿F(xiàn)多種安全策略的組合運用，辨識網(wǎng)絡安全風險，提供安全通道實現(xiàn)數(shù)據(jù)傳輸，繼而有效避免數(shù)據(jù)被竊取。