基于云計算技術的網絡安全防御技術探究

金曉波

（臺州科技職業學院，浙江 臺州 318000）

0 引 言

云計算是建立在現代計算機和分布式計算基礎上形成的技術，在應用時需要與互聯網融合建立云網絡，以實現計算資源拓展，從而獲得運算快、資源廣等優勢。大量數據通過網絡傳輸和利用計算機存儲，一旦出現網絡安全問題，將引發數據泄露，給用戶帶來嚴重損失，因此應加強網絡安全防御技術應用，為加速云計算技術推廣奠定基礎。

1 基于云計算技術的網絡安全問題

對云計算技術應用遇到的網絡安全問題展開分析可知，在數據上傳至云端存儲、備份的整個過程中，需連接互聯網實時上傳和獲取數據，將數據存儲于云端服務器，可能會面臨各種網絡攻擊，導致數據丟失或泄露，給用戶數據安全帶來威脅。首先，通過云端傳輸的數據信息不僅包含客戶基本信息，也包含財務、關鍵業務等信息，在網絡傳輸過程中遭遇黑客竊聽等情況，導致數據泄露，將給客戶造成經濟損失。其次，無論是通過云端上傳還是下載數據，使用云平臺需經過身份認證，可能面臨用戶信息被第三方服務器竊取情況。最后，云計算網絡系統存在漏洞，導致審計系統喪失判斷木馬等病毒的能力，使原本已經被刪除的信息依然留存在云端，增加信息泄露概率[1]。

2 基于云計算技術的網絡安全防御技術

2.1 節點保護

云計算使用了虛擬化技術。網絡中每個虛擬機均為一個節點，如圖1 所示，可以看成是傳感器節點，不僅擁有日志分析等功能，還可以同時運行輕量系統監控及告警程序，完成虛擬機處理性能優化、裁剪，實時感知系統的運行狀態[2]。實施節點保護，不僅能夠利用監控軟件完成系統中央處理器（Central Processing Unit，CPU）和網絡流量等基本信息分析，也能對數據指紋等高級系統信息展開分析，通過配備免疫處理模塊攔截惡意軟件和網絡病毒，防止系統受到外界攻擊。采用節點保護技術開發云計算網絡安全防御系統，通過在邏輯網內設置自身加固防御節點，將網絡安全響應功能升級為防御策略生成節點，通過分析各節點日志、告警等數據啟動事先設定的防御機制，為系統運行安全提供保障。網絡安全防御系統的節點包含安全節點、業務節點以及傳感器節點。其中，安全節點用于實現網絡安全的設計，能夠提升網絡安全水平。業務節點用于對數據存儲、備份等各種業務展開分析，加強網絡安全的控制。傳感器節點用于感知系統的運行狀態，判斷是否存在網絡安全問題，為可靠防御決策制定提供支持。在系統運行期間，各種傳感器節點采集到的數據最終將匯聚在安全節點，對各種威脅行為進行判斷，生成相應的防御策略。為避免安全節點數量受虛擬機數量變化影響，將安全節點設定在虛擬機單元中，能夠運行虛擬機和創建鏡像，順利生成防御策略。將威脅類型劃分為黑客攻擊、超文本傳輸協議（Hyper Text Transfer Protocol，HTTP）攻擊、惡意軟件攻擊等，建立相應的匹配規則，提高系統識別的準確率。在系統確定防護軟件無法有效攔截攻擊時，可以暫時屏蔽虛擬機實例網絡訪問，避免給整個網絡帶來安全威脅。

圖1 基于云計算的傳感器節點分布

2.2 攻擊檢測

在加強云計算網絡安全防御過程中，首先需要完成攻擊檢測，確保后續防御機制能夠順利啟動。應用攻擊檢測技術建立數據捕獲模型采集和分析數據源。在各服務器位置布置網絡入侵檢測系統（Network Intrusion Detection System，NIDS），如圖2 所示，通過輪詢形式和事件觸發模式完成系統運行的數據采集，按照設定時間間隔完成終端掃描。獲取虛擬機負載壓力等關鍵數據，結合系統運行情況優化虛擬機資源分配，動態調整系統的運行狀態。通過設定多個觸發事件，完成網絡帶寬占用閾值等數值的設定，判斷系統訪問行為是否存在威脅性。一旦判斷存在威脅，將啟動攻擊評估程序，結合系統負載狀況完成數據源掃描，對端口、登錄頁面等進行逐一掃描，查找到可疑數據后進行預處理，避免給系統防御帶來過大壓力[3]。經過數據合并、去重等操作，可以去除重復威脅數據，合并處理同一攻擊行為。在各傳感器節點導入防御規則后，需要與NIDS 終端防御軟件關聯，順利導入防御程序，確保可以調用軟件實現攻擊檢測。

圖2 NIDS 系統部署

2.3 數據加密

傳統的網絡安全防御技術在網絡傳輸層和網絡層間實現數據加密處理。在云計算網絡環境下，為保證云端存儲數據的安全，同樣需要進行數據加密處理。一方面，可以在睡眠模式下實現長期存儲數據的加密處理，利用數字身份完成用戶身份信息加密和驗證。在用戶登錄云端時，需先進行身份認證，將加密數據傳至云端，通過證書公共密鑰和對稱加密密鑰完成身份信息的加密。用戶僅需保留加密密鑰，即可在訪問云端時將加密文本下載至本地云中解密，確保數據安全性。云平臺在自動運行期間會產生大量數據信息，通過動態加密方式完成數據處理，保證系統數據安全。面向有效用戶，該過程帶有“透明化”特點，用戶能夠正常使用數據，因此無須保留大量密鑰，僅由云平臺提供密鑰管理框架，降低云端數據存儲等業務操作的復雜性。云平臺將根據數據重要性劃分安全級別，采取不同數據訪問策略。通過數據分類標記，從數據庫、應用程序等多個方面建立隔離機制，能夠防止其他無效用戶查看或修改數據[4]。在用戶創建文本過程中，云平臺將同時根據文本中關鍵詞生成匹配的索引表和文檔，并完成加密處理，發送至云端存儲。其他用戶登錄云端檢索數據時，需要向數據所有者提出申請，只有同時獲得索引表密鑰和文件密鑰后，才能查詢和解密文本。采用上述技術能夠在數據進入云端存儲后立即完成加密操作，通過網絡實現數據傳輸，采用鏈接加密技術對不同網絡節點內信息進行加密處理，為不同節點設置不同密鑰，與加密信息保持相互對應關系，保證數據安全傳輸。

2.4 入侵防御

在網絡安全防御方面，面對網絡黑客、木馬病毒等各種威脅，需要采取多種入侵防御技術建立完善的防護體系。一方面，云計算帶有動態服務計算的特點，需要將合同服務作為基礎，因此在創建虛擬化環境過程中需要設置虛擬防火墻，設立云平臺網絡安全邊界，完成租戶邊界安全部署，提升整體服務的安全性[5]。同一物理處理器和服務器上分布多個虛擬機，需保證彼此間數據的傳輸安全，滿足平臺動態遷移和彈性擴展需求。因此，結合虛擬化資源動態分配和共享特征，在不同領域間設置虛擬化防火墻，并完成出入等級設置，通過限制虛擬機訪問流量以保證信息流動安全。采用智能防火墻技術，把模糊數據庫檢索作為支撐，運用人工智能算法實現數據動態處理，通過入侵掃描方式阻斷被包裝的攻擊行為，提高數據安全防御等級和網絡安全系數。另一方面，面對不斷更新的計算機病毒，需采用反病毒技術加強網絡安全防御。采用靜態反病毒模式能夠加強網絡檢測管理，結合病毒特征分析和判斷信息安全性。采用動態反病毒模式，可以結合計算機運行狀況判斷其是否遭受了病毒侵害，一旦發現計算機受到威脅將啟動主動防御模式，完成系統軟硬件全面掃描，立即處理發現的病毒，保證系統運行安全。在綜合運用不同反病毒模式的情況下，這種方式能夠有效抵御各種網絡病毒入侵，降低云平臺的數據安全風險。此外，考慮到云端可能會遭受木馬病毒等侵襲，需加強自治網絡技術應用，建立自我防御和免疫機制，通過合理調配網絡資源隔離病毒，修復服務器或網絡拓撲結構，確保云端能夠正常通信。

2.5 訪問控制

傳統訪問控制技術通過身份認證方式，確定用戶是否擁有云端資源訪問權限，在確認無權限情況下阻隔用戶進入和操作，發揮安全保護作用。但分布式服務器攻擊將通過模擬大量用戶訪問云平臺網絡服務器，導致有權限的用戶也難以順利登錄服務器。為解決問題，需采用深度包過濾技術實現硬件設備和軟件系統集成，通過主動分析數據包頭部IP 地址和各協議字段，判斷是否存在威脅網絡安全的病毒或木馬等。通過在網絡入口部署深度包過濾軟件，優化訪問數據流量，提前過濾不安全訪問行為，不僅能夠使服務器負載保持均衡，也能維持云端網絡全局負載均衡。在內網干路位置完成上網行為管理設備部署，加強內部用戶訪問控制的同時發揮日志審計、行為管理等作用，保證內部網絡穩定運行。在云端核心交換設備上部署管理設備旁路，利用鏡像記錄和分析網絡流量，通過與防火墻等安全防御設備聯動保證云平臺的網絡安全。面對各業務節點，使用訪問控制列表技術能夠避免云端數據信息被非法訪問或竊取。通過將上述訪問控制技術集成在一起，實現用戶行為可視化交互管理，錄入訪問服務器地址和端口號，生成白名單和黑名單。前者允許訪問云端服務器，后者禁止訪問，全面提升計算機網絡的安全性。

3 結 論

在云計算技術應用過程中，受各種網絡攻擊威脅，數據傳輸、存儲以及虛擬資源審計等過程中都可能發生數據泄露、丟失等安全事件，給用戶數據安全帶來嚴重威脅。各虛擬機節點作為傳感器節點，在加強客戶端數據信息采集的同時，通過在虛擬化單元中設置安全節點以實現數據匯聚，建立安全防御系統，應對各種安全威脅。與此同時，通過加強網絡攻擊檢測，實現各種數據預處理。此外，需加強數據加密、智能防火墻、自治網絡、深度包過濾、訪問控制列表等各種安全防御技術應用，全面提升云平臺的安全技術水平。