云計算環境下計算機網絡安全問題探討

胡凡瑋，潘 娟

（江西交通職業技術學院，江西 南昌 330013）

0 引 言

云計算是分布式計算和對等計算等方式之后的一種新型計算方式，也是互聯網時代下信息基礎設施與應用服務模式的一種新形態，能夠為用戶實現隨時按需服務，并且實現資源的便捷化存儲，大幅提升了資源利用率和利用價值。對當前的安全管理架構和保障方法展開設計與優化，使其能夠適應云環境的特征是云計算環境下的主要工作方向，也是未來需要拓展的技術范圍。

1 云計算環境下計算機網絡安全問題

1.1 身份驗證問題

云計算服務的提供方給用戶供給了多種類型的資源及其使用方法，不同的用戶在登錄云計算系統之后能夠獲取相應的云計算服務。但不同用戶本身的運行環境存在差異，用戶信息的安全性成為了這一階段的關鍵點，因此用戶身份認證問題就顯得至關重要。如果云計算服務的提供商未能做好身份驗證，就可能導致服務資源受到破壞，最終影響計算的安全性。通常情況下常見的身份驗證方式包括3種類型，即依據用戶知曉的信息來驗證、依據用戶擁有的事物來進行驗證以及依據用戶具有的信息來進行驗證。盡管多種安全鑒別方式在保障措施上比較完善，但此類安全問題仍然不可忽視，特別是生物識別與傳統靜態密碼驗證方式的結合要求等。

1.2 網絡層安全問題

網絡層安全問題即部署網絡階段針對網絡設計安全機制方面的各項措施。對于公共的云服務來說，在不同的安全要求標準之下應該改變對應的網絡拓撲，并且綜合評估可能存在的不同安全隱患。一是公共云服務中的數據信息保密程度，二是資源的合理訪問控制，三是云端資源利用。云計算本身具有開放性，很多信息資源會直接出現在云服務所提供的共享網絡層面，因此安全漏洞的可能性隨之產生。在資源訪問和控制階段，現代社會的人群對于網絡的依賴程度明顯增加，依賴域對網絡安全進行架構。云計算內部的PaaS層與SaaS層中已經不存在網絡區域，層和層之間也應該設置好安全隔離，而不是單純地展開物理隔離。

1.3 主機層問題

當前針對云計算主機進行的攻擊相對較少，但針對虛擬化的攻擊內容則比較常見，如虛擬機逃逸和管理程序問題等。云計算網絡所連接的大量計算機主機都安裝著相同的操作系統，在考慮到主機層問題時，就應該將PaaS、SaaS以及公共云等進行綜合評估[1]。

1.4 應用程序安全問題

應用程序安全是整個網絡系統的核心部分，解決好應用層的安全問題作用非常突出。通常情況下，為了確保應用層面的安全性需要先對安全程序進行整體化評估，從而合理地設計應用程序。對于用戶而言，通過瀏覽器來獲取云計算服務的過程中，瀏覽器的安全風險顯然成為管理重點。網絡應用程序會受到攻擊，此時基于主機和網絡的安全訪問控制就可以建立在私有云或某些內部網絡中，從而得到良好的管理和防護，不過一些部署在公共云的網絡應用程序被入侵的安全風險會相對更高。

2 計算機網絡安全評估

2.1 網絡安全態勢評估

網絡安全態勢評估最早出現在軍事領域當中，而當前互聯網技術的發展使得人們開始重視網絡安全。以云計算為例，在云計算廣泛應用的過程中本身會面臨大量的攻擊和威脅，云計算針對不同類型的安全威脅會采取不同類型的安全控制機制。因為云計算本質上是一個分式網絡結構，不同域在不同的網絡環境中，所以當網絡出現問題很難進行準確定位。因此，安全態勢評估充分利用了安全管理技術，融合了多個層面的安全保障功能，整體的安全態勢評估模型如圖1所示。

圖1 安全態勢評估

首先是原始事件采集技術，目的在于獲取云計算中不同安全設備產生的數據信息，然后對數據進行預處理后將其存儲成為統一的格式。其次是安全態勢值的算法，即網絡某一段時間內的安全狀況可以通過安全態勢值來反映，經過數學計算來獲得結果，快速而準確的算法顯然是非常關鍵的組成部分。最后是安全態勢評估方法，能夠體現出網絡系統的運行狀況及某些潛在的安全問題，從而精確地定位安全數據然后動態地呈現出網絡運行模式。例如，通過數據挖掘技術就可以呈現出歷史數據與網絡運行情況之間的內在關系，然后提前針對可能出現的安全攻擊做好部署。

2.2 評估技術

在安全態勢評估技術當中，對于安全態勢值的計算至關重要，態勢值越大，網絡運行的穩定性越差。將采集到的網絡信息轉化為幾組不同的數據后就可以得到安全態勢值，然后觀察數據變化評估網絡的安全狀態，判斷網絡是否正在遭受威脅。

其中第一層是感知層，這也是整個態勢評估模型的基礎組成部分，在技術手段上已經相對成熟，處理這些采集到的數據之后就可以獲取網絡運行狀態的信息，并且可以將這些信息轉化為人們更加容易理解的XML形式等[2]。第二層是評估層，這是對獲取數據進行安全識別的工作層，能夠在這一層中挖掘不同安全事件之間的相關性，然后生成曲線圖來體現出系統的安全標準[3]。第三層是預測層，這層按照以前和當前的網絡安全態勢評估未來的態勢趨勢，以便于盡快采取處理措施。

云計算的主要特征就是大量的數據資源。數據之間出現的冗余與數據信息處理問題給態勢評估工作帶來了新的挑戰，且現有的技術理論中會涉及到數據挖掘與數據融合技術的應用。前者按照預先設定好的數據屬性將挖掘出來的信息數據進行歸并，可以看作是一種面向屬性的歸納技術。后者則是在相應的準則下將來自于同一數據源的信息進行組合后達到更高的處理進度，常用方法包括神經網絡和模糊推理系統等[4]。

2.3 安全態勢評估模型

云計算網絡安全態勢評估模型中主要包括輸入信息模塊、評估模塊以及知識庫等。其中輸入信息模塊記錄的原始安全事件會轉化為處理后的事件數據，并且得到系統安全狀況相關的數據集，對應的是網絡中可能發生的不同安全事故。評估模塊是評估體系的關鍵點，包括數據挖掘模塊和數據融合模塊，可以對比安全態勢數據的不同指標，然后根據處理歷史信息和安全數據來進行挖掘，并分析未來網絡運行狀態。知識庫則是評估系統中的主要依據，包括訓練集、案例庫、規則庫以及評估結果展示等，網絡安全等級和安全事件等都可以以圖形或表格方式來呈現[5]。

3 云計算環境下的信息交互模式

3.1 消息隊列模式

信息交互模式是當前云計算環境安全設計的重要部分，整個監控體系要滿足彈性化與可適應性的要求，并且采用更加靈活和動態的信息交互方法。消息隊列采用隊列形式完成消息的分發，最開始被應用于不同線程之間的通信，后續則被應用于復雜系統內部組件的異步通信。在消息隊列的模式之下，通信雙方被稱為消息的生產者和消費者，隊列則是從生產者到消費者之間的公用空間，實現信息交互雙方的空間解耦過程，且這些消息會保存在消息隊列中。通常情況下，一個消息隊列會對應一個生產者與消費者，但隨著需求模式的轉變，逐漸出現了多對一的消息隊列模式，即一個消息可以對應不同的消息生產者[6]。綜合來看，消息隊列模式實現了通信雙方在時間和空間層面的解耦，同時也能夠讓消息發送方的控制流解耦，但是消費者采用pull模式獲取數據時并不能實現消息接收方的控制流解耦，這一方面的問題將成為后續階段應該重點解決的技術方案，可以參考微軟的MSMQ和IBM的WebSphere等[7]。

3.2 發布訂閱模式

發布訂閱模式指的是Pub/Sub模式，即通信雙方會被成為信息的訂閱者和發布者，并且雙方的信息發布模式傾向于訂閱信息和發布信息，訂閱者提交自己的興趣后完成訂閱過程，然后發布者可以通過服務器進行匹配，并將這些興趣發送給對應的訂閱者。在云環境的安全架構之下，發布者和訂閱者并不需要同時處于激活狀態，也不用考慮雙方的地址信息。按照消息類型的差異和興趣差異，可以將發布訂閱模式進行劃分，判定為基于渠道和基于主題等，這也是最常見的應用模式。消息會根據內容的差異進行匹配，按照實際的需求來定義不同的約束條件，在各個領域內部也可以得到廣泛應用。而根據拓撲接口也可以將發布訂閱模式劃分為集中式與分布式，節點之間以協作模式完成訂閱信息的管理和資源的發送，同樣可以有效應用于一些大規模的復雜系統[8]。

3.3 蟻群算法支持下的安全策略

蟻群算法下的安全策略主要包含最優修復集問題與云安全加固策略。在保障某些關鍵屬性的安全過程中需要修正高危險系數的待修復集，選擇其中的屬性并采取相應的措施進行消除。而生成網絡安全加固策略的目的在于提供啟發式算法來求解最優修復集，在云環境下打造網絡安全框架[9]。

生成云安全加固策略之前會對問題進行預處理，判斷待修復集的狀態，然后根據蟻群算法構建完全圖，所有的“螞蟻”在初始節點開始構建解，且“螞蟻”會傾向于選擇信息素濃度與收益更高的節點[10]。

4 結 論

云計算的安全性問題一直受到人們的廣泛關注，本次研究也立足于云計算與計算機網絡環節可能出現的各類安全問題進行了針對性探討，并且整合了多種技術措施，旨在適應多個方面的需求，構建云環境網絡安全保障體系。在后續的工作環節，網絡安全技術的要求將進一步提高，對于云計算這一特殊環境和大數據特征，還應該應用更加有效的算法來提供精確化的結果。