基于云計算的關(guān)鍵安全技術(shù)探討

蘇興娜

摘要：云計算作為數(shù)字經(jīng)濟發(fā)展的重要基礎(chǔ)設(shè)施，該如何應(yīng)對不斷增大的網(wǎng)絡(luò)安全風(fēng)險。因此，構(gòu)建云計算環(huán)境下安全技術(shù)體系尤為重要，我們應(yīng)該更加重視數(shù)據(jù)安全的重要性、提升用戶安全防范意識，不斷完善身份認(rèn)證以及訪問監(jiān)控機制，加強審計與網(wǎng)絡(luò)環(huán)境監(jiān)測等，實現(xiàn)云基礎(chǔ)設(shè)施和租戶安全，為網(wǎng)絡(luò)安全的提升作出貢獻。

關(guān)鍵詞：云計算;等保2.0;網(wǎng)絡(luò)安全;安全技術(shù)

引言

云計算已經(jīng)成為當(dāng)下數(shù)字經(jīng)濟發(fā)展的重要基礎(chǔ)設(shè)施，支撐著各行業(yè)甚至國家的計算能力，網(wǎng)絡(luò)安全與系統(tǒng)發(fā)展技術(shù)關(guān)系密切，因此，在促進系統(tǒng)技術(shù)水平提升的同時也要重視安全防范。尤其是近年人們對計算機網(wǎng)絡(luò)的依賴性增強，確保網(wǎng)絡(luò)安全，提升經(jīng)濟效益與社會效益。有效規(guī)避風(fēng)險，完善安全技術(shù)體制，降低危險等級，保證網(wǎng)絡(luò)安全性。

1云計算技術(shù)

云計算技術(shù)又被稱作是Cloud Computing，將效用計算、分布式計算、并行計算、網(wǎng)格計算、網(wǎng)絡(luò)儲存、虛擬化以及負(fù)載均衡等多種優(yōu)勢集于一身。同時還具有較高的保密性、可信任性、隱私性、容錯性高以及安全性強等多種特點。云計算技術(shù)隨著時間的發(fā)展而不斷進步，并且在許多的行業(yè)當(dāng)中得以應(yīng)用，計算機實驗室在建設(shè)時也應(yīng)用了云計算技術(shù)，并且對教學(xué)資源整合、提高實驗室建設(shè)水平有著非常大的促進作用，而且還能提高局域網(wǎng)數(shù)據(jù)的準(zhǔn)確性和客觀性，促使網(wǎng)絡(luò)資源的利用效率提升，將云計算的應(yīng)用價值充分發(fā)揮[1]。

2云計算安全的基本目標(biāo)和原則

云計算需要結(jié)合現(xiàn)實業(yè)務(wù)和環(huán)境進行建設(shè)，其目標(biāo)也需要圍繞業(yè)務(wù)需求和應(yīng)用進行防護，云計算的安全基本目標(biāo)是：安全必須要符合實際業(yè)務(wù)應(yīng)用，要符合實際信息系統(tǒng)運行模式，要符合國家等級保護制度，要符合用戶管理規(guī)范和要求，確保防護能力可滿足信息系統(tǒng)所屬安全保護等級要求。依照國家等級保護制度的基本思路，建議遵循以下幾點基本原則[2]：

（1）適應(yīng)云的特質(zhì)。云計算在符合傳統(tǒng)安全要求基礎(chǔ)上，還需要滿足云上安全等級保護 2.0 要求，著重對云平臺的物理環(huán)境、虛擬環(huán)境和應(yīng)用環(huán)境進行安全規(guī)劃設(shè)計。

（2）遵循體系化設(shè)計的原則。云計算安全設(shè)計要充分考慮各層面安全風(fēng)險，構(gòu)建完整安全防護體系，充分保證云計算整體安全性。

（3）采用等級化建設(shè)思路。等級化安全體系是依據(jù)國家等級保護制度，根據(jù)系統(tǒng)不同階段需求、業(yè)務(wù)和行業(yè)特點，采用等級化與體系化相結(jié)合的安全體系設(shè)計方法，體現(xiàn)了重點突出、節(jié)約成本和可持續(xù)運行等特點。

3云計算環(huán)境下的網(wǎng)絡(luò)安全問題

3.1數(shù)據(jù)通訊存在漏洞

現(xiàn)階段我國互聯(lián)網(wǎng)網(wǎng)絡(luò)系統(tǒng)不夠完善，存在不法分子對互聯(lián)網(wǎng)進行惡意攻擊意圖盜取網(wǎng)民的信息數(shù)據(jù)或訪問用戶個人數(shù)據(jù)信息。通常情況下，不法分子利用彈窗、廣告、代碼等進攻網(wǎng)民計算機的系統(tǒng)漏洞或薄弱點，并利用向互聯(lián)網(wǎng)種植木馬、病毒等方式致使網(wǎng)民的計算機，致使網(wǎng)民計算機癱瘓，而此時不法分子便可進入網(wǎng)民計算機網(wǎng)絡(luò)盜取信息。

3.2安全技術(shù)與時代脫節(jié)

一方面，未能夠合理運用云計算建立云計算機的安全防御技術(shù)，致使很多網(wǎng)絡(luò)安全防御方面存在較大漏洞。另一方面，未能利用云計算建立網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，致使計算機無法及時識別黑客的進攻行為，從而導(dǎo)致計算機網(wǎng)絡(luò)的抵抗能力降低。當(dāng)訪問用戶在云平臺數(shù)據(jù)庫中提取相關(guān)數(shù)據(jù)時，經(jīng)常出現(xiàn)不法分子惡意竊取訪問用戶的賬戶和密碼，并偽裝成合法人員進入網(wǎng)絡(luò)盜取或篡改云平臺中的數(shù)據(jù)，云平臺的身份認(rèn)證系統(tǒng)不夠完善。

3.3虛擬化的問題

部分不法分子利用虛擬化技術(shù)對云平臺網(wǎng)絡(luò)系統(tǒng)進行惡意入侵，非法占用系統(tǒng)管理員角色盜取或篡改云平臺中的數(shù)據(jù)，并通過一定數(shù)量的合法請求消耗網(wǎng)絡(luò)寬帶資源，從而導(dǎo)致網(wǎng)絡(luò)癱瘓。

4云計算安全技術(shù)體系建設(shè)

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB-T 22239-2019）[3-4]已于2019年5月正式發(fā)布，標(biāo)志著網(wǎng)絡(luò)安全等級保護制度已經(jīng)進入2.0時代。針對第三級安全要求，虛擬化平臺、邊界防御、可信驗證以及密碼技術(shù)完整性、保密性。

4.1優(yōu)化計算機網(wǎng)絡(luò)安全系統(tǒng)

加強計算機網(wǎng)絡(luò)安全體系，應(yīng)注意保障網(wǎng)絡(luò)用戶個人信息的信息安全，加強用戶傳輸數(shù)據(jù)時的安全監(jiān)督，防止用戶數(shù)據(jù)在傳輸過程中被他人惡意獲取。互聯(lián)網(wǎng)上的用戶識別系統(tǒng)要定期更新，最好是通過一個動態(tài)用戶信息系統(tǒng)，或通過各種業(yè)務(wù)方法的結(jié)合，這種做法雖然煩瑣，但能夠有效地保證用戶的信息安全。

4.2虛擬化安全技術(shù)

虛擬化技術(shù)是云計算的主要技術(shù)支撐，通過計算虛擬化，存儲虛擬化，網(wǎng)絡(luò)虛擬化來保障云計算環(huán)境下的多租戶隔離。計算虛擬化包括計算隔離中關(guān)鍵的隔離邊界是管理系統(tǒng)與客戶虛擬機以及客戶虛擬機之間的隔離，對虛擬化管理程序和宿主機 OS/內(nèi)核級別進行相應(yīng)安全加固。存儲虛擬化通過存儲隔離采用分離設(shè)備驅(qū)動模型實現(xiàn) I/O 虛擬化伸，云用戶實例服務(wù)器釋放后，其原有的磁盤和內(nèi)存空間將會被可靠的進行數(shù)字清零以保障用戶數(shù)據(jù)安全。網(wǎng)絡(luò)虛擬化是建立在物理網(wǎng)絡(luò)結(jié)構(gòu)之上的邏輯結(jié)構(gòu)，每個邏輯虛擬網(wǎng)絡(luò)與所有其他虛擬網(wǎng)絡(luò)隔離。

4.3邊界防御措施

云計算中通過具備狀態(tài)檢測和數(shù)據(jù)包過濾功能的云防火墻，可設(shè)置單臺或多臺云服務(wù)器的網(wǎng)絡(luò)訪問控制，它是重要的網(wǎng)絡(luò)安全隔離手段，用于在云端劃分網(wǎng)絡(luò)安全域。，用戶可以對南北向和東西向訪問的網(wǎng)絡(luò)流量進行分析，并支持全網(wǎng)流量（互聯(lián)網(wǎng)訪問流量，安全組間流量等）可視化，并支持對主動外聯(lián)行為的分析和阻斷。并合理運用防火墻加密技術(shù)，通過對計算機網(wǎng)絡(luò)數(shù)據(jù)在發(fā)送前進行加密處理，從而使接收端以解密的形式進行數(shù)據(jù)的獲取，加密技術(shù)的運用，能夠有效地保障信息的安全傳輸。此外，計算機網(wǎng)絡(luò)安全防火墻加密技術(shù)能夠提高信息傳輸?shù)陌踩裕ㄟ^隱藏信息數(shù)據(jù)的內(nèi)容，起到良好的保護作用。加密技術(shù)作為防火墻常規(guī)應(yīng)用技術(shù)之一，其實際的使用研發(fā)時間較長，有著良好的應(yīng)用價值，能有效維護計算機網(wǎng)絡(luò)的安全運行[5]。

4.3可信云計算

將可信計算技術(shù)融入云計算環(huán)境，以可信賴方式提供云服務(wù)已成為云安全研究領(lǐng)域的一大熱點。基于可信計算技術(shù)，在多人多角色共同操作初始化的基礎(chǔ)上，建立了可信執(zhí)行環(huán)境;基于受控可信根以及可信遠程證明的執(zhí)行環(huán)境才能正常運行，通過和多個服務(wù)模塊的協(xié)作共同對外提供服務(wù)。應(yīng)用可信通過對應(yīng)用執(zhí)行環(huán)節(jié)如進程啟動、文件訪問、網(wǎng)絡(luò)訪問等行為進行記錄、分析，獲取其行為白名單和模型，當(dāng)應(yīng)用在運行時通過動態(tài)度量采集到的應(yīng)用行為，并將動態(tài)度量結(jié)果通過行為白名單驗證來判斷應(yīng)用是否可信。

4.4密碼安全技術(shù)

4.4.1密碼安全網(wǎng)關(guān)

將IPSec VPN、SSL VPN加密網(wǎng)關(guān)分別部署在云計算核心網(wǎng)絡(luò)域，采用國密算法SM2/SM3/SM4保證數(shù)據(jù)傳輸?shù)臋C密性與完整性，實現(xiàn)業(yè)務(wù)終端的身份認(rèn)證和數(shù)據(jù)傳輸加密。為提高數(shù)據(jù)的安全性，使加密網(wǎng)關(guān)向應(yīng)用服務(wù)器更加靠近，加密通道更長，將SSL VPN加密網(wǎng)關(guān)鏈接到核心交換機上，支持集群工作模式。

4.4.2業(yè)務(wù)終端接入

在云租戶云業(yè)務(wù)PC終端部署智能密碼鑰匙等，在移動終端設(shè)備部署手機盾，為業(yè)務(wù)終端訪問云計算數(shù)據(jù)中心的應(yīng)用服務(wù)器提供基于數(shù)字證書的身份認(rèn)證和SSL傳輸加密功能。

結(jié)語

隨著網(wǎng)絡(luò)科技的不斷發(fā)展，云計算作為以互聯(lián)網(wǎng)為基礎(chǔ)發(fā)展起來的新型計算模式，憑借其整合信息速度快、準(zhǔn)確性高等優(yōu)勢，得到了廣泛的應(yīng)用和推廣，但是新型云計算模式也存在一定的網(wǎng)絡(luò)安全問題。為了提高網(wǎng)絡(luò)的安全性，保證信息資源的完整性。

參考文獻：

[1]胡章君.基于云計算的計算機實驗室網(wǎng)絡(luò)安全技術(shù)探究[J].電腦知識與技術(shù)，2018，14（01）：63-64.

[2] 王文旭， 張健， 常青， 顧兆軍. 云計算虛擬化平臺安全問題研究[J]. 信息網(wǎng)絡(luò)安全， 2016， 16（9）： 163-168.

[3] 馬力，祝國邦，陸磊 .《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）標(biāo)準(zhǔn)解讀 [J]. 信息網(wǎng)絡(luò)安全，2019，19（2）：77-84

[4] 陳廣勇，祝國邦，范春玲 .《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448-2019）標(biāo)準(zhǔn)解讀 [J]. 信息網(wǎng)絡(luò)安全，2019，19（7）：1-8.

[5]笪奇.計算機實驗室的網(wǎng)絡(luò)優(yōu)化與維護探析[J].時代農(nóng)機，2017，44（10）：207.