基于云安全技術在企業網絡安全中的應用研究

王 昊

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

1 云安全的核心技術

1.1 Web信譽服務

云安全技術主要是以連接全信譽數據庫的形式來分析惡意軟件行為，同時具備評估網站信譽分值的功能。在這個過程中，參考的依據是可疑網站的站點位置變化等因素，以此判斷可疑網站的可信度和風險系數，隨后將已經收集到的數據及時反饋給用戶并且發出風險警報，防止用戶誤入網站而造成經濟損失[1]。其詳細的防御運作流程如圖1所示。

圖1 云安全防御運作流程

1.2 E-mail信譽服務

E-mail信譽服務技術主要用于檢測網絡郵件信息的源地址，判斷網絡系統接收到的郵件是否安全，進而將網絡風險降至最低。在E-mail信譽服務技術工作過程中，如果云安全技術檢測到某個郵件攜帶病毒時會自動發出刪除或者攔截該郵件命令，同時將惡意郵件的源地址詳細記錄下來，便于日后對該地址進行防御，避免類似郵件對用戶造成二次攻擊。

1.3 自動反饋機制

自動反饋機制是云安全技術的核心所在，自動反饋機制主要是指在監測系統支持下，實時監測某個用戶的路由信譽，如果發現用戶的路由信譽存在問題會立即將其反饋至整個網絡中，同時采取相應措施對網絡安全數據庫加以更新，防止類似問題的再次發生。可見通過對云安全技術中自動反饋機制的有效利用，不僅可以提高企業網絡安全的主動性，還提升了企業網絡安全的有效性，為實現網絡安全保護打下堅實基礎[2]。

2 企業網絡安全與需求

2.1 用戶安全

企業網絡當中所涉及到的用戶一般包括2個方面的主體，一是網絡管理員主體，二是網絡用戶主體。站在企業網絡安全的角度上看，前者在企業網絡中享有最高權限，作為企業網絡管理員，其不僅應具備扎實的網絡安全知識及技能，更要有良好的綜合素質與能力，如道德品質過硬、精通企業管理等，這樣才能夠在企業網絡實踐中更好地管理用戶操作；而后者在企業網絡中則主要是基于自身許可范圍內的網絡權限，進行相應的資源訪問以及操作，作為企業網絡用戶，其不應有越權訪問的情況，也要防止自身登錄名、口令等出現泄露。

2.2 網絡平臺安全

在企業網絡平臺安全方面，主要涵蓋以下需求：一是企業網絡平臺基礎設施環節的安全，包括了軟件與硬件2個部分，前者一般涉及系統安全、通信安全、安全管理軟件安全等，后者則一般涉及硬件的機械及物理安全等；二是企業網絡平臺網絡結構環節的安全，一般涉及有局域網子網安全、廣域網連接安全等；三是企業網絡平臺傳輸環節的安全，一般涉及針對機密信息、局域網信息、外部信息等采取加密處理，以及針對內部局域網信息加以身份認證等[3]。

2.3 網絡邊界隔離與訪問控制

對于該環節工作而言，主要需關注以下3個方面的內容。一是其一，訪問控制的改善。考慮到企業網絡安全本身的特點與需求，應當對其網絡邊界加以隔離，為此實踐中可以采取幀中繼網絡以及訪問控制方式，從內部角度上看，各部門均存在網絡訪問要求，構建網絡安全體系時必須要嚴禁非法用戶訪問。另外，企業網絡系統涵蓋諸多機密信息，對此應當把安全等級劃成不同子網，并落實好相應的隔離裝置，進而避免企業機密信息受到未經授權用戶的訪問。二是，統一出口要求。在進行網絡訪問的過程當中，企業方面以及其下屬單位更多借助2個出口，這要求管理員能夠著力統一出口要求。三是，單點故障方面。在企業網絡中，防火墻扮演了邊界路由器角色，一旦其出現故障就會波及用戶并制約企業業務，因此針對單點故障須給予充分重視，防止出現不確定性損失[4]。

2.4 內部網絡安全

站在企業內部的角度上來看，涉及有關信息、訪問等方面的權限，其往往都有各自程度的差異，為此把網絡劃分成各子網，并且基于企業自身內部需求，隔離各子網，特別是針對企業內部機密信息，要嚴格禁止它連接到共享網絡。另一方面，內部辦公領域還涉及到諸多終端連接環節，想要妥善保障好相關用戶主體的安全，作為企業要充分重視管理員方面的工作，既要注重把關管理員個人素質與能力，又要對其權限加以合理分配。企業網絡安全的具體方案如圖2所示。

圖2 企業網絡安全方案

3 基于云安全技術在企業網絡安全中的應用

3.1 云安全技術應用的基本原則

將云安全技術應用于企業網絡安全中應該遵循以下幾項基本原則。

（1）需求、風險及代價均衡原則。安全因素是無法從根本上進行控制的，只能對可能出現的安全威脅加以分析，以此制定相匹配的安全措施。

（2）系統性和綜合性原則。借助多元化手段提高網絡系統安全性，期間還要對各類網絡安全措施進行合理利用，密切關注設備、數據等的影響，在此基礎上構建完善的網絡安全體系。

（3）并行原則。如果能夠嚴格遵循并行原則可以使安全體系結構和網絡安全需求相一致。在設計過程中，有必要從多個層面進行考慮，一方面將支出成本降至最低，另一方面保證整體安全效果。

（4）先進性、適應性及分布性原則。網絡規模的逐漸擴大，使網絡受外界環境干擾和破壞的幾率也隨之增加，這時要想解決現存的網絡安全問題，還需要不斷引入先進新型技術并貫徹落實安全思想。除此以外，需要遵循實用性、可靠性等原則，合理選用計算機設備以及相關技術，保證將企業網絡安全性提升到新的高度。

3.2 云安全技術在企業網絡安全中的具體應用

在企業網絡安全中，云安全技術的應用主要涉及到以下幾方面內容。

（1）云平臺物理安全。在系統防御過程中，物理安全屬于第一道防線，可以讓用戶合法對企業網絡進行訪問，有效防止非法竊取用戶資料等現象的發生。云平臺物理安全包含環境安全、設備位置及保護2點內容，以環境安全為例，云數據中心能夠根據企業情況合理選用相應設備。

（2）云平臺的訪問控制。在云環境背景下，面向服務架構（Service-Oriented Architecture，SOA）體系可以對組建模型進行合理化使用，強化網絡系統的同時提高云安全技術的有效利用，對于企業而言，應用SOA體系可以實現收益與風險的平衡，在企業構建一條完整的生態鏈，再借助云安全技術明確工作流程，全面提高企業工作效率。

（3）云安全數據庫的配置。從數據庫角度來講，要想提高軟件系統的容錯能力，需要根據任務合理為操作系統軟件分配各項資源，同時需要密切關注云安全監控問題，待以上工作結束后需要及時開展云環境風險評估工作，為企業開展各項工作提供有利支持，也將安全風險控制在最低水平[5]。

（4）云安全審計。首先需要采集網絡系統與業務層面的審計數據，完整記錄用戶的訪問數據和相關信息，以此反映系統的操作情況，其次需要對審計數據加以細致化分析，最后實時監控審計數據的變化情況并密切關注審計數據的呈現形式，如彈出窗口等。

（5）云服務的遷移、備份與恢復。網絡安全的3要素分別為可用性、機密性以及完整性，在這樣的背景下，可以將互聯網技術與云存儲2者搭配使用，即使已經發生了系統癱瘓問題，也因平臺自身具有良好的恢復能力使系統短時間恢復到正常狀態，同時有效降低了基礎架構成本。

3.3 相關安全保障措施

相關安全保障措施包括以下幾點。

（1）防火墻和防水墻。網絡主交換機位置是防火墻所在區域，可以在內網和外網之間構建防火墻，用以分析和查看各類信息，防火墻會自動拒絕不安全信息的流入。而防水墻則由多個部分組成，包括服務器、客戶端、控制臺，防水墻具有根據用戶傳輸數據對用戶行為進行管理的功能。

（2）入侵防御系統（Intrusion Prevention System，IPS）和入侵檢測系統（Intrusion Detection Systems，IDS）聯動安全實現。企業網絡安全問題涵蓋范圍較廣，在應用云安全技術期間，需要對動態保護機制與主動保護機制進行應用，實時檢查網絡中的一些訪問信息，此時應該在防火墻基礎上使用IPS和IDS聯動安全方式，分析各項異常操作的同時制定相應的安全策略及防御措施。

（3）虛擬專用網絡（Virtual Private Network，VPN）的實現。VPN可以在企業內部與客戶端之間建立安全通道，從根本上提高企業網絡安全等級，同時，VPN可以對用戶登錄進行驗證，合理為用戶分配權限。另外，VPN能夠保證傳輸數據的機密性，顯著提高用戶信息的安全性，防止他人惡意篡改信息。

（4）入侵檢測。在多種安全產品相互補充下，企業網絡安全性隨之提高IDS和VPN為例，IDS可以全面分析企業網絡中一些重要信息，判斷其是否存在不安全情況，而VPN則更加智能化，可以將已經收集到的數據做出具體分析并給出相應結果。

4 結 論

綜上所述，在互聯網時代下，企業運營發展與網絡之間的聯系正變得日益緊密。而在網絡環境下，各種不確定性因素時刻威脅著企業的信息安全，如果企業方面網絡安全水平低，或網絡安全建設存在隱患漏洞，則由此引發的網絡安全問題可能會給企業帶來難以估量的損失，因此企業方面要采取行之有效的技術對策，持續強化自身網絡安全建設。目前來看，云安全技術作為時下熱點，已經展現出了諸多優勢，并且能夠滿足當前企業日益增長的網絡安全需求。作為企業方面，應當進一步加深對于云安全技術的認識和投入，基于該技術在自身網絡安全中的實踐應用，帶動企業網絡安全發展，使企業網絡安全得到有力保障，并為企業長遠發展提供可靠支持。