探討云平臺背景下的網(wǎng)絡(luò)安全等級保護測評策略

◆王洪磊 孫靜

探討云平臺背景下的網(wǎng)絡(luò)安全等級保護測評策略

◆王洪磊 孫靜

（山東省淄博市博山區(qū)第一中學(xué) 山東 255200）

云平臺在我國銀行、教育等行業(yè)廣泛應(yīng)用，利用云平臺工作人員能及時處理數(shù)據(jù)、整合資源，為該行業(yè)戰(zhàn)略部署提供決策信息。但云平臺中會納入海量信息，信息管理難度較大，甚至滲入一些病毒信息，對企業(yè)而言，可能會對企業(yè)的資源進行盜取，對教育行業(yè)則會造成信息泄露，不利于家校共育的環(huán)境創(chuàng)建。在網(wǎng)絡(luò)安全等級保護背景下，應(yīng)當對網(wǎng)絡(luò)安全情況進行分析，并完善云計算平臺。對此，本文對網(wǎng)絡(luò)安全保護標準進行探究，思考云平臺網(wǎng)絡(luò)安全管理現(xiàn)狀及面對的風險，拓展云平臺學(xué)習的時間和空間，提出云平臺下的網(wǎng)絡(luò)安全等級保護測評建議，為云平臺數(shù)據(jù)保護奠定堅實的基礎(chǔ)。關(guān)鍵詞：云平臺；網(wǎng)絡(luò)安全；等級保護測評

伴隨互聯(lián)網(wǎng)技術(shù)高速發(fā)展，云平臺及云計算、大數(shù)據(jù)進入人們視野，云平臺有利于實現(xiàn)信息共享，讓人們合理利用資源，降低企業(yè)生產(chǎn)及管理成本。但在云平臺背景下，人們通過網(wǎng)絡(luò)保管信息也容易面對一些風險問題，主要是信息盜取風險及網(wǎng)絡(luò)病毒風險等，此類風險容易對個人隱私及行業(yè)機密信息等產(chǎn)生影響，甚至對行業(yè)發(fā)展產(chǎn)生嚴重打擊。我國在實施網(wǎng)絡(luò)安全等級保護2.0相關(guān)標準后，信息安全等級保護進入全新階段，但網(wǎng)絡(luò)安全保護工作依舊面對巨大挑戰(zhàn)，還需認識目前存在的風險，在系統(tǒng)部署過程中關(guān)注網(wǎng)絡(luò)安全，從而對云平臺及相關(guān)產(chǎn)品提出對應(yīng)的管理要求。

1 網(wǎng)絡(luò)安全保護的全新標準

等級保護2.0標準下對等級保護測評及安全管理技術(shù)等具有全新的標準，對大數(shù)據(jù)及云計算、移動網(wǎng)絡(luò)等具有安全管理目標，并提出全新的管理模式，為網(wǎng)絡(luò)安全提供全新的保障。具體的管理標準變化自以下幾個方面體現(xiàn)。①保護標準變化：在云平臺網(wǎng)絡(luò)環(huán)境中，等級保護設(shè)計標準及檢測標準均發(fā)生變化，面對云計算平臺保護的對象，提出個性保護及標準管理要求。②定級對象變化：網(wǎng)絡(luò)安全等級保護中針對特定的系統(tǒng)進行重新定級，一個云平臺中具有較多的系統(tǒng)，根據(jù)系統(tǒng)內(nèi)容確定保護等級，云平臺等級應(yīng)當高于系統(tǒng)標準承載保護等級。大型云平臺及基礎(chǔ)設(shè)施能分為不同輔助系統(tǒng)，其中也包括不同的定級對象。③責任界限變化：網(wǎng)絡(luò)安全等級保護是信息及數(shù)據(jù)管理的前提，對界限進行劃分較為必要，責任邊界劃分包括用戶安全及平臺安全內(nèi)容，在劃分責任過程中以普適性標準為主，實際工作過程中，需根據(jù)實際情況，確定具體的責任。④等保對象變化：伴隨新技術(shù)的引入，等保對象包括增設(shè)虛擬機及虛擬化網(wǎng)絡(luò)及云管理平臺，在網(wǎng)絡(luò)安全管理過程中關(guān)注新技術(shù)及平臺基礎(chǔ)安全等內(nèi)容。

2 云平臺網(wǎng)絡(luò)安全管理現(xiàn)狀

近幾年，我國大型企事業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè)進入全新的局面，云平臺作為數(shù)據(jù)管理系統(tǒng)中的重要組成部分，服務(wù)器維護量在不斷增加，固有的平臺管理模式無法契合時代發(fā)展需求，服務(wù)器整合工作也較為緊迫。比如，我國銀行企業(yè)每日吸納大量的客戶信息，整體客戶端數(shù)量巨大，桌面布置也較為復(fù)雜，為達到數(shù)據(jù)合理整合目標，我國銀行企業(yè)開始積極應(yīng)用虛擬技術(shù)，通過云端服務(wù)器及IT硬件設(shè)備完成池化管理，對基礎(chǔ)設(shè)施進行統(tǒng)一管理，及時將閑置資源回收，提升資源的利用率及整合率，并構(gòu)建起數(shù)據(jù)中心云計算平臺。在云平臺發(fā)展過程中，面對安全性要求，企事業(yè)自數(shù)據(jù)中心的主機及儲存各個層面進行綜合分析，并展開安全保障設(shè)計。比如，在儲存層安全設(shè)計過程中，通過卷鏡像技術(shù)達到儲存虛擬化目標，一旦發(fā)生故障，備用網(wǎng)絡(luò)設(shè)備可完成業(yè)務(wù)訪問，以免業(yè)務(wù)再進行中斷。在主機層安全設(shè)計過程中，選擇Vsphere HA方案處理，避免ESXi服務(wù)器發(fā)生故障，對業(yè)務(wù)連續(xù)性產(chǎn)生影響。在管理層安全管理過程中，選擇HA方案對網(wǎng)絡(luò)數(shù)據(jù)情況進行觀察，確定服務(wù)器的持續(xù)運行能力，vCenter在網(wǎng)絡(luò)保護過程中，對管理員權(quán)限進行限制，對系統(tǒng)中的用戶進行分組，合理對用戶進行管理。

3 云平臺網(wǎng)絡(luò)安全管理面對的風險

等保2.0背景下，網(wǎng)絡(luò)安全標準發(fā)生變化，在評測過程中關(guān)注的重點在于數(shù)據(jù)完整性及私密性，對數(shù)據(jù)進行集中管理及信息保護，但實際網(wǎng)絡(luò)數(shù)據(jù)保護過程中也面對巨大的挑戰(zhàn)。

3.1 網(wǎng)絡(luò)系統(tǒng)面對的風險

在云平臺背景下，應(yīng)用層及硬件層構(gòu)建虛擬網(wǎng)絡(luò)層級，虛擬層在運行過程中也面對全新的風險。常見的網(wǎng)絡(luò)風險是虛擬機監(jiān)控風險及網(wǎng)絡(luò)調(diào)整風險、虛擬機補丁未及時更新風險、殺毒軟件能力不強風險等，未采取有效的管理措施容易引發(fā)不同層級的網(wǎng)絡(luò)風險。對此，云平臺在應(yīng)用過程中用戶信息安全防護也面對不同的風險。虛擬網(wǎng)絡(luò)技術(shù)使物理資源調(diào)整為邏輯資源，將實體結(jié)構(gòu)壁壘打破，讓用戶能更加合理地利用資源及服務(wù)器。物理服務(wù)器資源過度利用的情況下，硬件設(shè)備的荷載能力降低，運行質(zhì)量也在不斷降低，發(fā)生硬件故障系統(tǒng)崩潰的問題。部分物理服務(wù)器發(fā)生嚴重硬件故障時，虛擬機將無法順利運行，相關(guān)應(yīng)用也停止，這種系統(tǒng)停止運行風險，相比過往的服務(wù)器運行風險更為嚴重。

3.2 數(shù)據(jù)風險及病毒風險

云平臺對數(shù)據(jù)完整性保護較為關(guān)注，這也是等級保護2.0中的重點內(nèi)容，包括動態(tài)及靜態(tài)數(shù)據(jù)隔離及殘余數(shù)據(jù)處理，需保證傳輸及儲存工作中消除不安全因素，保證資源的保密性及完整性。對保護過程進行管理，以防火墻技術(shù)作為支持，云計算數(shù)據(jù)在不同的空間分散，難以保證用戶及時調(diào)取數(shù)據(jù)，或者調(diào)取數(shù)據(jù)過程中不被盜取數(shù)據(jù)。數(shù)據(jù)保密機制不完善及權(quán)限管理系統(tǒng)不完善，云平臺數(shù)據(jù)被盜取的風險將大幅提升。云數(shù)據(jù)平臺在管理過程中，虛擬機穩(wěn)定性較為重要，模板中存在系統(tǒng)漏洞，容易發(fā)生病毒植入風險，對系統(tǒng)可用性產(chǎn)生破壞的同時，也會發(fā)生系統(tǒng)混亂，病毒對數(shù)據(jù)進行大肆侵犯。虛擬機數(shù)據(jù)管理過程中，一旦IP地址具有連續(xù)性特點，也會為病毒傳播提供全新的渠道。

4 云平臺下的網(wǎng)絡(luò)安全等級保護測評建議

網(wǎng)絡(luò)安全等級保護需關(guān)注技術(shù)標準，根據(jù)技術(shù)現(xiàn)狀及需求，保證云平臺安全性及自主性，保留信息維護安全及網(wǎng)絡(luò)管理安全，對網(wǎng)絡(luò)空間合理利用。

4.1 評估系統(tǒng)狀態(tài)，合理部署系統(tǒng)

云平臺部署工作前針對虛擬技術(shù)進行評估及分析，從而進一步降低部署風險，保證遠期利益。比如，先展開業(yè)務(wù)評估，使云平臺建設(shè)目標及發(fā)展目標保持一致，對應(yīng)用環(huán)境進行評估，對目前的軟件及網(wǎng)絡(luò)環(huán)境進行思考，觀察是否具備網(wǎng)絡(luò)部署條件。對技術(shù)水平進行評估，關(guān)注人員技術(shù)能力及業(yè)務(wù)能力，處理部署過程中面對的各類問題。在云平臺部署過程中，也要關(guān)注風險管理，在管理工作進展中，遵循標準化的系統(tǒng)管理規(guī)范，使虛擬服務(wù)器及安全防護工作保持一致，不定期對主機及服務(wù)器日志等進行監(jiān)測。在權(quán)限管理過程中，還需遵循最低權(quán)限基本原則，管理人員保證權(quán)限及工作職責匹配，避免使用公共賬號，在監(jiān)督工作進展中，通過虛擬網(wǎng)絡(luò)工具對異?，F(xiàn)象進行監(jiān)督及檢索，虛擬機完全監(jiān)控下管理，避免病毒等對網(wǎng)絡(luò)進行侵蝕。

4.2 關(guān)注數(shù)據(jù)保護，保持數(shù)據(jù)安全

在云平臺網(wǎng)絡(luò)管理過程中，還需關(guān)注數(shù)據(jù)保護的安全性，比如，在網(wǎng)絡(luò)數(shù)據(jù)儲存管理過程中，應(yīng)當對加密的數(shù)據(jù)進行有效管理。開放性數(shù)據(jù)與加密性數(shù)據(jù)不同，開放性數(shù)據(jù)共享性特點，在保護過程中對私密性的關(guān)注度不高，而私密性數(shù)據(jù)往往是個人或者企事業(yè)管理的重點數(shù)據(jù)，在云平臺下應(yīng)當注重合理管控。比如，選擇信用度優(yōu)良的運營商，保證運營商對運行安全負責，并選擇技術(shù)能力強的隊伍，對云平臺進行合理部署，降低信息泄露風險的發(fā)生率，以免用戶信息隨意泄露。在云平臺打造過程中，應(yīng)當選擇保密性強的主流加密技術(shù)，包括truecrypt、pgp等，保證數(shù)據(jù)安全管理風險。選擇VONTU等過濾器對數(shù)據(jù)進行攔阻，及時控制敏感性數(shù)據(jù)，以免發(fā)生病毒傳播及數(shù)據(jù)泄露風險。

4.3 注重系統(tǒng)建設(shè)，應(yīng)用安全技術(shù)

安全技術(shù)采取安全控制手段完成數(shù)據(jù)信息保護，包括虛擬機蔓延及隔離虛擬機安全防護等內(nèi)容。在技術(shù)保護過程中還需對虛擬機進行有效審核，對虛擬機的工作動向進行監(jiān)督，以免發(fā)生虛擬機失去控制。為保證云平臺數(shù)據(jù)信息的安全性，對虛擬機展開邏輯隔離，測試及管理過程中，需對虛擬網(wǎng)絡(luò)進行隔離處理。在常規(guī)安全防護過程中，遵守我國的系統(tǒng)管理規(guī)范，以免病毒對網(wǎng)絡(luò)軟件產(chǎn)生侵蝕，及時安裝系統(tǒng)補丁，使系統(tǒng)的安全性進一步提升。針對硬件設(shè)備也要進行管理，比如，U盤及光驅(qū)，此類設(shè)備可能攜帶病毒，對此，在云平臺管理過程中，需利用病毒軟件對此類設(shè)備進行掃描，阻斷病毒植入渠道，或者在U盤等傳輸數(shù)據(jù)時不使用虛擬機。

5 結(jié)束語

現(xiàn)階段，信息技術(shù)高速發(fā)展，云平臺及大數(shù)據(jù)技術(shù)在人們的生活中廣泛應(yīng)用，利用云平臺儲存及管理數(shù)據(jù)具有高效性的特點，企事業(yè)及個人能及時調(diào)取數(shù)據(jù)，并對新的數(shù)據(jù)進行整合及管理，相比過往硬件儲存方式更為便捷。但云平臺下的網(wǎng)絡(luò)安全問題引起人們的廣泛關(guān)注，網(wǎng)絡(luò)安全管理目標不斷提升，企事業(yè)及個人也要積極面對挑戰(zhàn)，選擇高質(zhì)量的技術(shù)運營商，防范網(wǎng)絡(luò)風險，及時監(jiān)督虛擬機運行情況，為安全穩(wěn)定完成數(shù)據(jù)處理工作奠定堅實的基礎(chǔ)。

[1]黃少琪. 網(wǎng)絡(luò)安全等級保護2.0下電信運營商助力中小企業(yè)安全建設(shè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（03）：93-94.

[2]趙英明，張德棟，陳勛，李聚寶. 基于等級保護2.0的鐵路客票系統(tǒng)安全管理中心研究[J]. 鐵路計算機應(yīng)用，2020，29（08）：24-27.

[3]李新發(fā)，楊立凡. 網(wǎng)絡(luò)安全等級保護制度實施效果研究——以湖北省宜昌市為視角[J]. 三峽論壇（三峽文學(xué)·理論版），2020（04）：100-104.

[4]郭樂. 網(wǎng)絡(luò)安全等級保護2.0體系下的法院網(wǎng)絡(luò)安全管理及應(yīng)對[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（05）：136-137.

[5]劉赫. 基于網(wǎng)絡(luò)安全等級保護2.0的安全區(qū)域邊界[J]. 電子技術(shù)與軟件工程，2020（01）：236-238.

[6]張振峰，張志文，王睿超. 網(wǎng)絡(luò)安全等級保護2.0云計算安全合規(guī)能力模型[J]. 信息網(wǎng)絡(luò)安全，2019（11）：1-7.

[7]李秋香，龔鋼軍，陳翠云. 網(wǎng)絡(luò)安全等級保護2.0下能源網(wǎng)絡(luò)安全新態(tài)勢[A]. 公安部第三研究所、江蘇省公安廳、無錫市公安局.2019中國網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施保護大會論文集[C].公安部第三研究所、江蘇省公安廳、無錫市公安局：《信息網(wǎng)絡(luò)安全》北京編輯部，2019：4.

本文系淄博市教育科學(xué)“十三五”規(guī)劃課題《基于云平臺的初中信息技術(shù)課堂教學(xué)模式探究》階段性成果，課題批準號：2018ZJG041