云計(jì)算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制研究

◆王汝成

（河北蘭科網(wǎng)絡(luò)工程集團(tuán)有限公司 河北 065000）

在當(dāng)前的社會(huì)環(huán)境下，數(shù)據(jù)中心的云服務(wù)已成為當(dāng)前信息市場(chǎng)中必不可少的一部分，需要我國政府領(lǐng)導(dǎo)能更加重視云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全問題，要想使云計(jì)算數(shù)據(jù)中心的安全保障能力得以提高，就需要從根本上提升當(dāng)前的數(shù)據(jù)中心安全水平，使數(shù)據(jù)中心信息安全保護(hù)體系完善起來，進(jìn)而有效地避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生。

1 云計(jì)算環(huán)境下數(shù)據(jù)中心面臨主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1.1 傳輸鏈路單一、保密措施缺失

數(shù)據(jù)中心的傳輸系統(tǒng)是十分重要的，它的安全性關(guān)乎于整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)。其安全性主要包括網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、信息傳輸以及可信驗(yàn)證等。網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的合理性直接影響了業(yè)務(wù)承載，而信息傳輸安全則直接要求數(shù)據(jù)中心通信設(shè)備的冗余，確保傳輸鏈路也能符合要求，進(jìn)而使當(dāng)前的網(wǎng)絡(luò)設(shè)備擁有可信驗(yàn)證能力。在此過程中，主要有以下幾種問題：首先，在業(yè)務(wù)高峰期，網(wǎng)絡(luò)寬帶無法滿足數(shù)據(jù)交換的需求。其次，在應(yīng)對(duì)高峰期問題時(shí)，其問題處理能力也相對(duì)比較低。接著，對(duì)網(wǎng)絡(luò)安全區(qū)域、子網(wǎng)網(wǎng)段等沒有明確劃分。最后，在運(yùn)用網(wǎng)絡(luò)通信傳輸時(shí)，沒有利用相關(guān)的加密技術(shù)，進(jìn)而影響整體的安全可靠性。

1.2 邊界安全管控與防護(hù)缺失

在對(duì)網(wǎng)絡(luò)邊界進(jìn)行管控過程中，安全管理和保護(hù)是十分重要的一部分，特別是網(wǎng)絡(luò)安全邊界的訪問權(quán)限方面，它能夠?qū)W(wǎng)絡(luò)安全起到一定的保護(hù)措施。在此過程中，就需要對(duì)其進(jìn)行檢查，在邊界上進(jìn)行設(shè)備檢查是很有必要的，需要定期對(duì)網(wǎng)絡(luò)數(shù)據(jù)等方面進(jìn)行核查。因此，在檢查中不僅需要對(duì)設(shè)備的授權(quán)問題進(jìn)行把控，避免出現(xiàn)非法連接網(wǎng)絡(luò)的情況出現(xiàn)，還包括未經(jīng)授權(quán)的內(nèi)部設(shè)備或非法連接網(wǎng)絡(luò)的用戶網(wǎng)絡(luò)行為，確保網(wǎng)絡(luò)邊界的完整性和安全性。

在網(wǎng)絡(luò)安全防護(hù)方面，需要加強(qiáng)防護(hù)措施，能夠幫助數(shù)據(jù)進(jìn)行攻擊信息的阻攔，能夠從根本上保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全，進(jìn)一步確保網(wǎng)絡(luò)核心設(shè)備和數(shù)據(jù)不會(huì)受到攻擊。與此同時(shí)，在網(wǎng)絡(luò)安全邊界上，建立相關(guān)的機(jī)制能夠?qū)⑾鄳?yīng)的數(shù)據(jù)進(jìn)行分析，來判斷網(wǎng)絡(luò)邊界行為是否合理，同時(shí)在構(gòu)建多重網(wǎng)絡(luò)安全審計(jì)體系的時(shí)候也能夠進(jìn)一步的確保網(wǎng)絡(luò)邊界的安全。

1.3 云計(jì)算環(huán)境安全保護(hù)缺失

云計(jì)算環(huán)境的安全性主要考慮終端主機(jī)層和應(yīng)用層的安全需求，包括訪問控制、身份認(rèn)證、惡意代碼防范、入侵防范、安全審計(jì)、完整性和數(shù)據(jù)隱私、備份和恢復(fù)、受信任的身份驗(yàn)證、隱私等。

系統(tǒng)管理部門應(yīng)為用戶分配不同的系統(tǒng)登錄權(quán)限。主機(jī)操作系統(tǒng)登錄、應(yīng)用系統(tǒng)登錄和數(shù)據(jù)庫登錄必須經(jīng)過身份驗(yàn)證，用戶名和密碼必須定期更改，并具有一定的復(fù)雜性。必須提供兩個(gè)或多個(gè)身份驗(yàn)證技術(shù)來驗(yàn)證用戶身份。應(yīng)考慮相應(yīng)的故障處理機(jī)制，以避免出現(xiàn)故障，電話竊聽可能會(huì)出現(xiàn)非法訪問，獲得未經(jīng)授權(quán)的資源和越權(quán)操作。

在云計(jì)算環(huán)境中最為突出的安全風(fēng)險(xiǎn)及漏洞和病毒。這些惡意的代碼會(huì)對(duì)云計(jì)算環(huán)境中的數(shù)據(jù)產(chǎn)生一定的攻擊，進(jìn)而使整體的數(shù)據(jù)設(shè)備無法運(yùn)行。就以目前云計(jì)算數(shù)據(jù)中心的情況來看，還缺乏相應(yīng)的病毒防護(hù)能力，沒能自主進(jìn)行漏洞病毒的篩查，進(jìn)而導(dǎo)致網(wǎng)絡(luò)的整體性能受到一定影響，甚至?xí)⑾嚓P(guān)的數(shù)據(jù)信息泄露出去影響整體的發(fā)展。所以需要我們能夠從根本上加強(qiáng)防范確保病毒入侵現(xiàn)象杜絕，同時(shí)還可以對(duì)相關(guān)的圖庫進(jìn)行更新，進(jìn)一步的提高網(wǎng)絡(luò)病毒的防護(hù)能力，這樣才能夠真正保護(hù)云計(jì)算環(huán)境的安全。

2 “云計(jì)算”環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

2.1 云計(jì)算在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用

就當(dāng)前的現(xiàn)狀來看，我國的計(jì)算機(jī)信息化和智能化發(fā)展越來越好，云計(jì)算也成為當(dāng)前很多領(lǐng)域中必不可少的一部分。在應(yīng)用云計(jì)算技術(shù)時(shí)我們發(fā)現(xiàn)，越來越多的數(shù)據(jù)產(chǎn)生，在一定程度上也促使云技術(shù)的發(fā)展。在云計(jì)算中，主要的角色有用戶、供應(yīng)商等等，云計(jì)算技術(shù)可以幫助它們利用服務(wù)器來完成計(jì)算。與此同時(shí)，這些主要角色也會(huì)對(duì)云計(jì)算的應(yīng)用造成一定的影響，在當(dāng)前的網(wǎng)絡(luò)安全問題上是比較主要的問題。

2.2 云計(jì)算對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的影響

云計(jì)算是當(dāng)前網(wǎng)絡(luò)計(jì)算中分布式并行式的計(jì)算。與之前傳統(tǒng)的計(jì)算相比較，云計(jì)算中需要應(yīng)用的程序也會(huì)相對(duì)更多。這在一定程度上體現(xiàn)出當(dāng)前云計(jì)算的復(fù)雜性，復(fù)雜的網(wǎng)絡(luò)環(huán)境使當(dāng)前的云計(jì)算環(huán)境中的安全隱患大大增加，進(jìn)而使安全問題突增。比如說，在當(dāng)前云計(jì)算過程中，數(shù)據(jù)錯(cuò)誤通常會(huì)影響網(wǎng)絡(luò)環(huán)境，所形成的蝴蝶效應(yīng)也使整體環(huán)境的負(fù)面影響越來越大，容易導(dǎo)致某些非法行為的出現(xiàn)，盜取重要數(shù)據(jù)信息。

2.3 云計(jì)算環(huán)境下的常見網(wǎng)絡(luò)安全威脅

首先，當(dāng)我們認(rèn)識(shí)到云計(jì)算對(duì)網(wǎng)絡(luò)安全的意義后，就需要分析出當(dāng)前常見的幾種安全網(wǎng)絡(luò)威脅，這樣才能夠更好采取措施，如：病毒、黑客等。其中，黑客是當(dāng)前網(wǎng)絡(luò)安全在最為重要的安全隱患，它通常是利用非法的手段進(jìn)行數(shù)據(jù)入侵，使云計(jì)算的相關(guān)數(shù)據(jù)受到破壞，對(duì)用戶的隱私等方面造成不利的影響。與此同時(shí)，云計(jì)算數(shù)據(jù)比較大，其中包含很多元素。所以，有時(shí)候會(huì)注入一些人工網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)環(huán)境受到威脅。

3 云計(jì)算環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)措施

在進(jìn)行數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)上需要相關(guān)的平臺(tái)，能夠?qū)崿F(xiàn)服務(wù)器硬件和儲(chǔ)存資源的虛擬化聚合化，這樣才能夠更好地與云計(jì)算管理平臺(tái)結(jié)合在一起，更好地實(shí)現(xiàn)云服務(wù)，使之對(duì)后期的發(fā)展有較大的幫助。

根據(jù)探究，我們可以發(fā)現(xiàn)云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備平臺(tái)，多采用的是雙路冗余設(shè)計(jì)，這種設(shè)計(jì)方式能夠使之形成一個(gè)邏輯交換機(jī)。邏輯交換機(jī)處于活動(dòng)狀態(tài)，4 條10Gb SFP+線路堆疊互聯(lián)，每個(gè)交換機(jī)服務(wù)器與接入交換機(jī)雙連，兩塊網(wǎng)卡捆綁為鏈路，啟用LACP，符合三級(jí)信息安全防護(hù)要求，云平臺(tái)采用雙向防火墻，這種防火墻能夠有效地確保邊界的安全在進(jìn)行防御過程中，也能夠有效地檢測(cè)到外部網(wǎng)絡(luò)的病毒，進(jìn)而為當(dāng)前的設(shè)備提供有效安全的網(wǎng)絡(luò)環(huán)境。Web 應(yīng)用防火墻保護(hù)云平臺(tái)系統(tǒng)的Web；實(shí)際上就是在終端服務(wù)器上安裝相應(yīng)的軟件，進(jìn)而提高整體的安全檢測(cè)水平，同時(shí)將數(shù)據(jù)庫中的相關(guān)信息進(jìn)行系統(tǒng)化管理使用，為工作人員在進(jìn)行數(shù)據(jù)分析時(shí)，能夠提高自己的能力使安全審計(jì)的水平大大提高。

3.1 防火墻

在保護(hù)計(jì)算機(jī)的過程中，最重要的一部分就是防火墻技術(shù)，所以，在維護(hù)網(wǎng)絡(luò)安全環(huán)境的時(shí)候就需要確保防火墻的完好。對(duì)于用戶來說，該技術(shù)一方面能夠幫助計(jì)算機(jī)系統(tǒng)發(fā)現(xiàn)危險(xiǎn)并進(jìn)行阻攔，另一方面還能對(duì)內(nèi)部的信息起到保護(hù)作用。與此同時(shí)，急速人員也需要做好維護(hù)網(wǎng)絡(luò)安全工作，確保防火墻能夠真正發(fā)揮作用，促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的可持續(xù)發(fā)展。

3.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)是防火墻的補(bǔ)充，構(gòu)建了七層防御體系。定義檢測(cè)和阻塞策略以執(zhí)行深入檢測(cè)（協(xié)議分析和跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等）對(duì)每一條經(jīng)過的消息進(jìn)行分析，識(shí)別事件的入侵、關(guān)聯(lián)、影響和方向，發(fā)現(xiàn)隱藏的網(wǎng)絡(luò)攻擊，并根據(jù)攻擊威脅等級(jí)立即采取主動(dòng)防御措施（包括向管理中心報(bào)警和拒絕消息）關(guān)閉此應(yīng)用會(huì)話，此TCP 連接將把攻擊信息通知管理員，以確保RE 系統(tǒng)內(nèi)部計(jì)算資源的安全。

3.3 VPN

VPN 遠(yuǎn)程連接是位于工作環(huán)境中的通用網(wǎng)關(guān)設(shè)備距離。提供VPN 與廣域網(wǎng)輸入輸出設(shè)備連接，實(shí)現(xiàn)遠(yuǎn)程辦公的可靠通信通道，移動(dòng)桌面用戶終端只需要一個(gè)標(biāo)準(zhǔn)的Web 瀏覽器，并且無須安裝客戶端軟件即可安全訪問資源內(nèi)部網(wǎng)。對(duì)于兩個(gè)固定網(wǎng)絡(luò)之間的通信，可以在兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)IPSec 安全隧道，以確?？偛亢头种ЬW(wǎng)絡(luò)之間的安全穩(wěn)定互連。

3.4 堡壘機(jī)

數(shù)據(jù)中心存儲(chǔ)各種重要信息。由于系統(tǒng)數(shù)據(jù)分散，運(yùn)行維護(hù)人員較多，特別是對(duì)多個(gè)系統(tǒng)的維護(hù)，公司系統(tǒng)還增加技術(shù)人員來參與系統(tǒng)管理和支持。因此，有必要加強(qiáng)云計(jì)算中心的數(shù)據(jù)安全，監(jiān)控員工的操作行為。必須通過網(wǎng)絡(luò)限制（防火墻策略或交換機(jī)訪問控制列表）連接到操作和維護(hù)檢查系統(tǒng)，以訪問分散部署的設(shè)備和主機(jī)。操作和維護(hù)審批系統(tǒng)提供基于設(shè)備訪問權(quán)限的設(shè)備列表。用戶選擇要使用的設(shè)備，運(yùn)維審批系統(tǒng)根據(jù)用戶對(duì)設(shè)備的權(quán)限為用戶填寫設(shè)備臺(tái)賬和密碼，用戶可以像往常一樣直接使用網(wǎng)元設(shè)備進(jìn)行運(yùn)維。為了減少維護(hù)人員的工作量，需要注冊(cè)大量的系統(tǒng)賬號(hào)和密碼。

3.5 數(shù)據(jù)庫審計(jì)

在進(jìn)行數(shù)據(jù)分析與應(yīng)用過程中，需要我們能夠重視其審計(jì)工作。相關(guān)部門開展業(yè)務(wù)時(shí)，可以讓用戶登錄云平臺(tái)進(jìn)行應(yīng)用，同時(shí)，也能夠?qū)ο嚓P(guān)數(shù)據(jù)以及信息進(jìn)行審計(jì)。訪問時(shí)間、訪問源和查詢操作可以通過數(shù)據(jù)庫審核系統(tǒng)部署在服務(wù)器區(qū)域交換機(jī)上。同時(shí)在配置端口上，可以將這些數(shù)據(jù)整理到相對(duì)應(yīng)的數(shù)據(jù)庫中，進(jìn)而更好實(shí)現(xiàn)內(nèi)部數(shù)據(jù)的應(yīng)用和審計(jì)。

3.6 Web 應(yīng)用防火墻

Web安全專門保護(hù)Web應(yīng)用程序流量和所有相關(guān)應(yīng)用程序資源，使其免受利用Web 協(xié)議或漏洞的攻擊。Web 應(yīng)用程序防火墻可以防止使用應(yīng)用程序行為的瀏覽器和HTTP 攻擊惡意目的，主要用于保護(hù)Web 應(yīng)用程序免受常見攻擊，如跨站點(diǎn)腳本和SQL 注入。在數(shù)據(jù)中心交換機(jī)中部署Web應(yīng)用程序防火墻，通過中心交換機(jī)分析處理Web應(yīng)用防火墻上的Web 服務(wù)器流量策略，保護(hù)Web 服務(wù)器，解決注入攻擊、跨站點(diǎn)腳本攻擊、惡意編碼（網(wǎng)絡(luò)木馬）、緩沖區(qū)溢出、泄漏等各種安全問題信息、應(yīng)用層DoS/DDoS攻擊等。

4 結(jié)語

總的來說，在當(dāng)前的云計(jì)算環(huán)境數(shù)據(jù)中心安全風(fēng)險(xiǎn)下，最主要的還是物理安全、系統(tǒng)和網(wǎng)絡(luò)安全。需要相關(guān)人員能夠重視起來對(duì)安全風(fēng)險(xiǎn)的分析與整理，這樣才有利于我國數(shù)據(jù)信息的安全應(yīng)用。在安全防護(hù)上，我們也能夠采取相應(yīng)的措施來進(jìn)行完善與優(yōu)化，進(jìn)而實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心的信息安全。。