基于云計算的網絡安全探討

鄭成城 穆健康 汪超

摘要：在信息技術的不斷發展下，大數據時代到來，每天都有新資源上傳到互聯網數據庫中，訪問數據庫的終端設備也越來越多，如手機、電腦等，云計算就是在此環境下誕生的，業務需求、工程技術及資源等都包含在云計算范圍內，在該項技術的輔助下，計算機群中記錄的數據能滿足訪問者的基本需求。該文圍繞云計算展開討論，對其網絡安全進行深入探討，并重點介紹加強云計算安全的防御技術。

關鍵詞：云計算;網絡安全;防御技術

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）28-0026-02

開放科學（資源服務）標識碼（OSID）：

因特網技術是云計算的基礎，再加上其他技術的輔助，構建分布式的云計算平臺。在此平臺下，資源種類較多，如信息資源、硬件資源等，平臺資源的分配是定時定量進行的，且按照訪問者的不同需求進行分配。在強大的共享功能下，用戶還能對數據進行存儲、發布等多項操作，有的資源只需付費就能得到，這與電網、因特網有異曲同工之妙，目前云計算技術還在不斷發展。

1 云計算與網絡安全特點解析

1.1 云計算特征

1）資源服務針對性強

用戶在搜集資源時，充分按照自身意愿選擇所需資源，并完成付費過程，在Web界面上用戶能自主完成挑選，這也被稱為云計算平臺的自主化服務，沒有外界因素對用戶進行干預，且服務極具針對性。

2）對終端數量不加限制

平臺與各種終端設備都建立聯系，允許各種系統同時接入計算平臺，只要設備在網絡覆蓋下，都能訪問云計算平臺，進而完成自助服務。平臺服務器兼容性強大，能同時接入多個不同設備。

3）資源共享

云平臺就好比一個大型資源池，包括豐富的物理、虛擬資源，只要處于局域網下，用戶隨時隨地都能從資源池中獲取相關資源。共享是云平臺的一大特征，且資源池中的信息具有可傳播、存儲等多種特性。

1.2 云計算平臺下的網絡安全特征

將網絡置于云計算環境中，其安全邊界、安全種類等都出現不同程度變化，但其加密方式并未改變。隨著訪問終端逐漸多樣化，負責提供云服務的廠家，已經不能精準監控每臺訪問設備的運行情況。在傳統網絡傳輸中，設備訪問數量受到限制，為降低信息傳輸風險，服務商可對系統進行掃描檢測，找到系統漏洞加以彌補，此種檢測方式在云計算平臺誕生后不再適用，訪問虛擬資源池的用戶較多，服務商不能對虛擬系統運行情況加以精準監測，網絡環境穩定性較差，信息傳輸安全受到影響[1]。此外，在對待安全域的問題上，傳統網絡的安全域為樹形，服務商加強邊界管理和監測，就能保證信息傳輸安全，但將網絡安全置于云計算平臺后，其安全域邊界呈現出模糊性特征，傳統監測技術已不能保證系統運行安全。

處于云計算環境中，用戶具有很強的自主權，其在租用虛擬資源時，能將資源加以存盤，然后將資源向其他用戶共享，共享者數量急劇上升，其中很可能存在惡意用戶，若其攻擊系統就會增加系統運行風險。安全域邊界的逐漸模糊，服務商不能對終端設備進行深入審查，用戶在訪問時向系統植入病毒或木馬很難被發現，按照傳統網絡結構構建的防火墻、IDS等作用不大，因為攻擊方已經繞過網絡防護，從系統內部進行網絡攻擊。由此可見，在云計算平臺介入后，網絡安全性漸漸降低，為保證信息傳輸安全，急需提升防御技術水平。

2 探究提升網絡安全的相關技術

拓撲結構是整個網絡的重要組成，防火墻、漏洞掃描等是保證網絡安全的傳統技術，在云計算環境中，拓撲結構由靜態向動態進行轉化，網絡傳輸的復雜性隨之增加。在此情況下，研究新型防御技術是網絡防護的必然趨勢，下面對新型防御技術進行詳細介紹。

2.1 生成拓撲結構的新方法

1）明確映射機理

物理機、虛擬機兩者間存在映射關系，物理機也被稱為宿主機，可同時承載多臺虛擬機進行運行，同一宿主機上的虛擬機臺數，被稱為映射的比例常數。用戶根據自身需求，租用相應數量的虛擬機完成數據訪問，邏輯子網在虛擬機運行中被構建，邏輯子網也被稱為虛擬局域網，是用戶為實現自身需求搭建的。如圖1所示，就是某用戶利用多臺虛擬機構建的拓撲結構，虛擬機的數量共為5臺，一臺作為負載均衡器使用，其中兩臺負責完成HTTP服務器的相應任務，留下兩臺進行數據存儲，同時作為數據運行平臺使用。

2）生成新的邏輯子網

經過研究發現，無標度網絡是最符合動態化拓撲結構的網絡，因此借助此網絡生成新的邏輯子網。無標度網絡具有很強的隨機性，利用其構建邏輯子網時，要計算每個節點的相應數據，并將節點依次添加到網絡中，且將新節點和其他節點建立動態化聯系。

3）將物理機、邏輯子網關聯起來

邏輯子網是虛擬機之間構建的網絡，虛擬機以物理機為宿主，因此需要建立兩者間的聯系。隨機選擇虛擬機中的若干節點，將節合并成一個集合并單獨存儲起來，將節點集合與物理機節點相關聯，重復整合和關聯步驟，在虛擬節點全部建立聯系后，拓撲結構逐漸完整化[2]。

4）生成網絡拓撲結構的算法

首先明確虛擬機、物理機的數量，然后求得兩者比例，然后根據Power-Lar分布，生成規模各不相同的邏輯子網，接著將各邏輯子網按照無標度網絡技術，生成網絡拓撲，同時將虛擬機中的節點整合成集合。最后將集合節點和宿主機相關聯，生成最終的網絡拓撲結構。編寫算法時必須嚴謹，才能生成較為完整的拓撲結構。

2.2 雪崩效應及防御技術

病毒是造成雪崩效應的根本原因，在病毒攻擊下，物理機與服務器間的邏輯耦合會被破壞，進而影響正常的信息傳輸。隔離逃逸是現階段虛擬機研發出的最新技術，病毒在虛擬機的支撐下，具有一定的逃逸能力，沙箱隔離對病毒來說形同虛設，病毒穿越虛擬機向物理機移動，直接對物理機運行進行攻擊。網絡傳播是病毒攻擊的另一途徑，利用底層物理網絡，將病毒攜帶在要傳遞的信息中，使病毒達到用戶系統，進而實現攻擊。為避免雪崩效應，研究者提出一種新技術，即對網絡關鍵節點進行保護，關鍵節點是按照其節點度大小進行選取的，通常選擇較大度節點作為保護對象。假設節點受到保護，就能對網絡攻擊完全免疫，即能夠阻止雪崩效應的繼續擴散，利用下式對節點免疫能力進行計算，進而選擇出節點度最高的點。

[p'i←j=1-η21-pimuj1-pj?B]

[p'i←j]表示節點免疫能力，[η]與[pj?B]數值相等，大量試驗證明，利用此公式計算出的網絡節點，都對雪崩效應有著較強的免疫能力，在抵抗網絡攻擊、維持信息傳輸穩定過程中起到關鍵作用。

與傳統網絡防御技術相比，上述兩項技術將病毒防護能力細化到每個節點，且網絡拓撲結構生成方式有所差異，拓撲結構處于動態穩定狀態，在各節點防護作用下，拓撲結構更加健壯，網絡傳輸穩定性更強[3]。

3 構建網絡安全攻擊防御系統

3.1 對被動節點進行保護

SDN（虛擬化技術）是保護被動節點的主要結束，數據庫、存儲等設施都能在該項技術下被虛擬出來，防火墻等高級設施也可在此技術輔助下被虛擬出來，對網絡拓撲結構進行精準探測，是該項技術的核心作用，節點的度能被精確掃描出來，有利于對關鍵節點進行防護作業。通過對邏輯子網的分析，發現防火墻直接設置在虛擬機之前，訪問數據需要經過防火墻識別處理后，才能達到物理主機。可將防火墻設置在被動節點前，這樣并未對網絡結構造成破壞，但節點卻獲得過濾數據包的能力，虛擬構建的防火墻不會過多占用系統存儲空間，且防火墻功能會隨著病毒入侵能力不斷升級，病毒攻擊在數據傳輸前就被過濾掉，有效降低網絡傳輸風險。

3.2 對主動節點進行加固

在傳統網絡中，關鍵節點只是被動的數據進行接收，不具備主動分析數據功能，因此可在節點中設施安全軟件，對過流數據進行分析處理，使得節點具備主動意識。在增加軟件后，節點壓力隨之增加，為解決這一問題，將節點信息過流和數據包分析向兩個虛擬機中分離，然后將兩者列為單獨的集合，虛擬機之間由反向代理服務實現信息交互，從而實現對病毒的強有力防御，這就是對主動節點的加固，該方法只是增加虛擬機數量，但取得的安全防御效果非常好，不改變網絡原有結構，處理成本較低[4]。

3.3 構建完整的防御系統

云計算環境中的虛擬機，都可被看作一個單獨個體，其中的節點都能對監測日志、數據包進行簡單的分析和處理。基于虛擬機的此功能，可在其上運行傳感監控系統，且使得所有虛擬機的傳感器節點建立聯系，對系統運行情況定期上報。傳感器之間相互關聯，避免數據重復、沖突等現象出現，將所有虛擬機節點的運行問題匯總到策略生成節點中，如圖2所示，策略生成節點下為多層傳感器節點，傳感系統在每個虛擬機上都有安裝。

通過圖2不難發現，兩類節點間是明顯的樹形關系，數據需要經過節點的層層傳遞，才能達到策略生成節點，該節點是網絡結構的關鍵節點，分成數據分析和策略下發兩大部分，防御策略同樣需經過層層傳輸，最終達到虛擬機，實現對網絡攻擊的隔離[5]。

4 結束語

云計算目前已經滲透到社會的方方面面，學校、機關單位等都將云計算引入日常工作，很多數據直接在云端完成存儲，云計算給網絡傳輸帶來的便利無疑是巨大的，但同時也帶來巨大風險，因此合理使用云平臺，降低平臺風險是目前網絡安全研究的重點。相信在研究者的不斷努力下，云計算環境下的網絡平臺，其安全程度會越來越高。

參考文獻：

[1] 黃海軍.基于云計算的網絡安全評估[J].電子設計工程，2016（12）：115-117，120.

[2] 楊志杰.云計算技術下的網絡安全防御技術[J].科技與創新，2018（6）：69-70.

[3] 邱慕濤.基于云計算的計算機實驗室網絡安全技術應用探討[J].中國管理信息化，2017（18）：148-149.

[4] 盛丹丹.基于云計算環境下計算機網絡安全問題的思考[J].電腦知識與技術，2018（14）：25-26.

[5] 魏斯超，張永萍.基于云計算技術的網絡安全評估技術研究及應用[J].數字技術與應用，2016（5）：211.

【通聯編輯：代影】