云計算環境下數據中心的網絡安全風險控制研究

◆王汝成

（河北蘭科網絡工程集團有限公司 河北 065000）

在當前的社會環境下，數據中心的云服務已成為當前信息市場中必不可少的一部分，需要我國政府領導能更加重視云計算環境下的網絡安全問題，要想使云計算數據中心的安全保障能力得以提高，就需要從根本上提升當前的數據中心安全水平，使數據中心信息安全保護體系完善起來，進而有效地避免網絡安全風險的發生。

1 云計算環境下數據中心面臨主要網絡安全風險

1.1 傳輸鏈路單一、保密措施缺失

數據中心的傳輸系統是十分重要的，它的安全性關乎于整個網絡結構。其安全性主要包括網絡架構設計、信息傳輸以及可信驗證等。網絡架構設計的合理性直接影響了業務承載，而信息傳輸安全則直接要求數據中心通信設備的冗余，確保傳輸鏈路也能符合要求，進而使當前的網絡設備擁有可信驗證能力。在此過程中，主要有以下幾種問題：首先，在業務高峰期，網絡寬帶無法滿足數據交換的需求。其次，在應對高峰期問題時，其問題處理能力也相對比較低。接著，對網絡安全區域、子網網段等沒有明確劃分。最后，在運用網絡通信傳輸時，沒有利用相關的加密技術，進而影響整體的安全可靠性。

1.2 邊界安全管控與防護缺失

在對網絡邊界進行管控過程中，安全管理和保護是十分重要的一部分，特別是網絡安全邊界的訪問權限方面，它能夠對網絡安全起到一定的保護措施。在此過程中，就需要對其進行檢查，在邊界上進行設備檢查是很有必要的，需要定期對網絡數據等方面進行核查。因此，在檢查中不僅需要對設備的授權問題進行把控，避免出現非法連接網絡的情況出現，還包括未經授權的內部設備或非法連接網絡的用戶網絡行為，確保網絡邊界的完整性和安全性。

在網絡安全防護方面，需要加強防護措施，能夠幫助數據進行攻擊信息的阻攔，能夠從根本上保護網絡數據的安全，進一步確保網絡核心設備和數據不會受到攻擊。與此同時，在網絡安全邊界上，建立相關的機制能夠將相應的數據進行分析，來判斷網絡邊界行為是否合理，同時在構建多重網絡安全審計體系的時候也能夠進一步的確保網絡邊界的安全。

1.3 云計算環境安全保護缺失

云計算環境的安全性主要考慮終端主機層和應用層的安全需求，包括訪問控制、身份認證、惡意代碼防范、入侵防范、安全審計、完整性和數據隱私、備份和恢復、受信任的身份驗證、隱私等。

系統管理部門應為用戶分配不同的系統登錄權限。主機操作系統登錄、應用系統登錄和數據庫登錄必須經過身份驗證，用戶名和密碼必須定期更改，并具有一定的復雜性。必須提供兩個或多個身份驗證技術來驗證用戶身份。應考慮相應的故障處理機制，以避免出現故障，電話竊聽可能會出現非法訪問，獲得未經授權的資源和越權操作。

在云計算環境中最為突出的安全風險及漏洞和病毒。這些惡意的代碼會對云計算環境中的數據產生一定的攻擊，進而使整體的數據設備無法運行。就以目前云計算數據中心的情況來看，還缺乏相應的病毒防護能力，沒能自主進行漏洞病毒的篩查，進而導致網絡的整體性能受到一定影響，甚至會將相關的數據信息泄露出去影響整體的發展。所以需要我們能夠從根本上加強防范確保病毒入侵現象杜絕，同時還可以對相關的圖庫進行更新，進一步的提高網絡病毒的防護能力，這樣才能夠真正保護云計算環境的安全。

2 “云計算”環境下計算機網絡安全現狀

2.1 云計算在計算機網絡中的應用

就當前的現狀來看，我國的計算機信息化和智能化發展越來越好，云計算也成為當前很多領域中必不可少的一部分。在應用云計算技術時我們發現，越來越多的數據產生，在一定程度上也促使云技術的發展。在云計算中，主要的角色有用戶、供應商等等，云計算技術可以幫助它們利用服務器來完成計算。與此同時，這些主要角色也會對云計算的應用造成一定的影響，在當前的網絡安全問題上是比較主要的問題。

2.2 云計算對計算機網絡安全的影響

云計算是當前網絡計算中分布式并行式的計算。與之前傳統的計算相比較，云計算中需要應用的程序也會相對更多。這在一定程度上體現出當前云計算的復雜性，復雜的網絡環境使當前的云計算環境中的安全隱患大大增加，進而使安全問題突增。比如說，在當前云計算過程中，數據錯誤通常會影響網絡環境，所形成的蝴蝶效應也使整體環境的負面影響越來越大，容易導致某些非法行為的出現，盜取重要數據信息。

2.3 云計算環境下的常見網絡安全威脅

首先，當我們認識到云計算對網絡安全的意義后，就需要分析出當前常見的幾種安全網絡威脅，這樣才能夠更好采取措施，如：病毒、黑客等。其中，黑客是當前網絡安全在最為重要的安全隱患，它通常是利用非法的手段進行數據入侵，使云計算的相關數據受到破壞，對用戶的隱私等方面造成不利的影響。與此同時，云計算數據比較大，其中包含很多元素。所以，有時候會注入一些人工網絡病毒，使網絡環境受到威脅。

3 云計算環境下數據中心網絡安全防護措施

在進行數據網絡安全防護上需要相關的平臺，能夠實現服務器硬件和儲存資源的虛擬化聚合化，這樣才能夠更好地與云計算管理平臺結合在一起，更好地實現云服務，使之對后期的發展有較大的幫助。

根據探究，我們可以發現云計算數據中心的網絡設備平臺，多采用的是雙路冗余設計，這種設計方式能夠使之形成一個邏輯交換機。邏輯交換機處于活動狀態，4 條10Gb SFP+線路堆疊互聯，每個交換機服務器與接入交換機雙連，兩塊網卡捆綁為鏈路，啟用LACP，符合三級信息安全防護要求，云平臺采用雙向防火墻，這種防火墻能夠有效地確保邊界的安全在進行防御過程中，也能夠有效地檢測到外部網絡的病毒，進而為當前的設備提供有效安全的網絡環境。Web 應用防火墻保護云平臺系統的Web；實際上就是在終端服務器上安裝相應的軟件，進而提高整體的安全檢測水平，同時將數據庫中的相關信息進行系統化管理使用，為工作人員在進行數據分析時，能夠提高自己的能力使安全審計的水平大大提高。

3.1 防火墻

在保護計算機的過程中，最重要的一部分就是防火墻技術，所以，在維護網絡安全環境的時候就需要確保防火墻的完好。對于用戶來說，該技術一方面能夠幫助計算機系統發現危險并進行阻攔，另一方面還能對內部的信息起到保護作用。與此同時，急速人員也需要做好維護網絡安全工作，確保防火墻能夠真正發揮作用，促進計算機網絡通信技術的可持續發展。

3.2 入侵防御系統

入侵防御系統是防火墻的補充，構建了七層防御體系。定義檢測和阻塞策略以執行深入檢測（協議分析和跟蹤、特征匹配、流量統計分析、事件關聯分析等）對每一條經過的消息進行分析，識別事件的入侵、關聯、影響和方向，發現隱藏的網絡攻擊，并根據攻擊威脅等級立即采取主動防御措施（包括向管理中心報警和拒絕消息）關閉此應用會話，此TCP 連接將把攻擊信息通知管理員，以確保RE 系統內部計算資源的安全。

3.3 VPN

VPN 遠程連接是位于工作環境中的通用網關設備距離。提供VPN 與廣域網輸入輸出設備連接，實現遠程辦公的可靠通信通道，移動桌面用戶終端只需要一個標準的Web 瀏覽器，并且無須安裝客戶端軟件即可安全訪問資源內部網。對于兩個固定網絡之間的通信，可以在兩個網絡之間建立一個IPSec 安全隧道，以確保總部和分支網絡之間的安全穩定互連。

3.4 堡壘機

數據中心存儲各種重要信息。由于系統數據分散，運行維護人員較多，特別是對多個系統的維護，公司系統還增加技術人員來參與系統管理和支持。因此，有必要加強云計算中心的數據安全，監控員工的操作行為。必須通過網絡限制（防火墻策略或交換機訪問控制列表）連接到操作和維護檢查系統，以訪問分散部署的設備和主機。操作和維護審批系統提供基于設備訪問權限的設備列表。用戶選擇要使用的設備，運維審批系統根據用戶對設備的權限為用戶填寫設備臺賬和密碼，用戶可以像往常一樣直接使用網元設備進行運維。為了減少維護人員的工作量，需要注冊大量的系統賬號和密碼。

3.5 數據庫審計

在進行數據分析與應用過程中，需要我們能夠重視其審計工作。相關部門開展業務時，可以讓用戶登錄云平臺進行應用，同時，也能夠對相關數據以及信息進行審計。訪問時間、訪問源和查詢操作可以通過數據庫審核系統部署在服務器區域交換機上。同時在配置端口上，可以將這些數據整理到相對應的數據庫中，進而更好實現內部數據的應用和審計。

3.6 Web 應用防火墻

Web安全專門保護Web應用程序流量和所有相關應用程序資源，使其免受利用Web 協議或漏洞的攻擊。Web 應用程序防火墻可以防止使用應用程序行為的瀏覽器和HTTP 攻擊惡意目的，主要用于保護Web 應用程序免受常見攻擊，如跨站點腳本和SQL 注入。在數據中心交換機中部署Web應用程序防火墻，通過中心交換機分析處理Web應用防火墻上的Web 服務器流量策略，保護Web 服務器，解決注入攻擊、跨站點腳本攻擊、惡意編碼（網絡木馬）、緩沖區溢出、泄漏等各種安全問題信息、應用層DoS/DDoS攻擊等。

4 結語

總的來說，在當前的云計算環境數據中心安全風險下，最主要的還是物理安全、系統和網絡安全。需要相關人員能夠重視起來對安全風險的分析與整理，這樣才有利于我國數據信息的安全應用。在安全防護上，我們也能夠采取相應的措施來進行完善與優化，進而實現云計算數據中心的信息安全。。