云計算環境下網絡信息安全技術研究

程 嘉,冒鵬鵬

(江蘇金盾檢測技術股份有限公司,江蘇 南京 210042)

0 引言

隨著IT的蓬勃發展,計算機信息技術早已在中國獲得了普遍的運用,幾乎滲透了各行各業,并且正在朝著智能化、高水平、高技術的方向發展。然而,盡管計算機信息技術為人們的生產、生活提供了便利,但同時也面臨著一些問題,許多企業或組織甚至個人的信息系統都會受到黑客、惡意軟件的攻擊,從而導致信息泄露的風險日益增加。因此,構建一個完善而可靠的網絡安全防護體系是當前最迫切的任務,而云計算作為一種前沿的網絡計算技術,正在不斷推動網絡安全水平的提升。

1 云計算網絡與信息安全概述

云計算是一個依托網絡通信技術的支付方式,可以實現高效率、快捷的網上使用,包含數字互聯網絡、數據庫、內容儲存、使用管理軟件、服務和保護等資源,可以根據需求快速定制,實現快速響應,成本低廉。盡管云計算具有許多優勢,但由于其開放性和共享性的虛擬特性,儲存在其上的內容必須具有保密性。安全性可以用Confidentiality(安全性、完整性、可信度)來衡量,是信息使用安全程度的重要指標。網絡安全治理涵蓋了多個方面,涉及通信技術、運作安全性、使用管理、服務安全性等。環境條件是實現可靠性的基石,只有構建一個可信的網絡安全系統,才能實現信息系統的運作,從而實現客戶的可靠性和社會發展穩定性。網絡系統安全性是一種復雜的系統,由眾多安全性單位構成,各個單位都具有獨特的特性,從安全性、安全等級到系統單元,都可以考慮在內。隨著云計算的出現,網絡計算架構得到了進一步的發展,為網絡信息安全提供了更加完善的保障。在保障信息安全的同時,構建一個穩定可靠的云計算網絡體系也是必不可少的。與傳統網絡架構相比,云計算的應用更加集中,網絡資源更加靈活,可以隨時調用,有效避免了資源的浪費。因此,為了確保云計算的網絡安全,需要不斷完善架構,并利用最新的技術,如Network Traffic Analyzer(NTA)和Endpoint Det-ection Response(EDR)來提供有效的保護。

2 云計算視角下網絡信息安全特征

2.1 完整性

云計算技術基于多個用戶共享同一個龐大的資源池,數據完整性受到破壞的風險急劇增加。如果公有云或私有云管理員未能對不同用戶的數據信息進行有效的管理,將可能導致數據存儲的完整性受到嚴重損害。隨著云計算技術的發展,分布式部署的計算和存儲資源可以有效地避免基礎設施出現故障,從而確保資源池的完整性和可靠性。

2.2 保密性

云計算的特點之一是資源共享,因此保密性是其中一個重要的特征。在云計算中,保密性不僅表現在存儲層面,還包括云計算平臺內在和外部數據傳輸的安全性。保護用戶賬戶安全是非常重要的,只有這樣才能確保資源共享遵守相應的限制,避免數據泄露。

2.3 審計核查性

隨著云計算技術的不斷發展,用戶授權機制和權限控制策略已經得到了完善。云安全審計工具可以有效地識別和降低云服務中可能存在的風險,從而滿足監管部門對應用合規性的要求。通過對已發生的安全事件進行實時監控,可以有效提升云計算平臺上應用的安全性。

3 云計算環境下網絡信息安全技術應用狀況

3.1 網絡技術安全問題

云計算技術的發展使得安全手段顯得越來越穩定和成熟,但仍有一些客戶在選擇互聯網時面臨諸多挑戰,比如,客戶端系統突然暫停可能會導致大量數據消息外泄,而這些問題卻讓客戶束手無策。由于云計算環境下的數據安全性受到嚴重的威脅,因此,有必要研究出有效的手段來提升網絡安全性,以確保用戶數據資料的安全得到有效保護[1]。

3.2 網絡環境安全問題

3.2.1 傳統安全威脅

隨著信息技術的發展,越來越多的黑客和惡意病毒軟體正在攻擊使用者端口,嚴峻危及使用者的數據安全。因此,建立一個安全可信的網絡環境以及有效地利用云計算技術,對于保護使用者數據安全至關重要。然而,由于病毒的侵擾和黑客的進攻,使用者對互聯網安全科技的認識仍然存在疑慮,這也妨礙了網絡安全科學技術的蓬勃發展。因此,在云計算環境中,應該構建一個安全性更可靠的操作系統,以防止黑客和病毒的侵襲。

云平臺仍然面臨著分布式拒絕服務攻擊的威脅,特別是針對業務系統和內部發出的攻擊,給整個網絡帶來了安全隱患。傳統安全威脅,如機器人攻擊、木馬病毒、蠕蟲等,也是云平臺面臨的重要風險之一。云平臺面臨的安全風險之一是租戶隔離和區域隔離不足,這會導致常規Web應用攻擊危險,如SQL注入、XSS、命令注入、跨站請求篡改、違規提交下載、Web客戶端/插件漏洞侵犯、爬蟲攻擊者、Webshell和暴力破解[2]。如果這些措施不能得到有效執行,這些危害將會快速蔓延,給云平臺造成嚴重的危險。云計算中的IT主機數量龐大,從Windows系統到UNIX系統,從網絡交換設備到數據庫系統和中間件,都存在各種安全漏洞問題,而傳統的攻擊手段仍然能夠有效地利用這些問題。

3.2.2 云計算特有風險

數據泄漏風險。云計算環境中,客戶數據存儲量巨大,其利益也隨之增長,但同時也產生了信息安全問題,如個人信息泄漏和篡改等。為了高效地防止這些風險,需要建立高效的隔離機制,以確保多個客戶能夠共享計算能力、存儲器和網絡。如果客戶之間的數據庫、程序、虛擬機和路由沒有高效分離,惡意分子就可以瀏覽其他用戶的信息,并實施篡改、清除等惡意動作。

通過利用VM軟件或其中存在的漏洞,可以實現對VM主機操作系統的攻擊,這種攻擊被稱為VM逃逸,可以有效地破壞系統的安全性和穩定性。通過使用虛擬化機本身或Hypervisor層的安全性漏洞,可以達到虛擬化機的逃逸,從而導致內存泄漏,這種情況會給系統帶來嚴重的安全隱患,無論是在共享還是重新分配硬件資源時都會受到影響[3]。如果一個虛擬化機在產生時無法重置其存儲器,那么新虛擬化機將有可能收集到這些敏感消息,從而造成消息泄漏。因此,在虛擬化機內部應當加強網絡安全保護,以保證消息的安全可靠傳送。

隨著虛擬化技術的發展,VM可以實現快速動態遷移,但也帶來了新的安全風險,比如無法實時協調安全策略、監聽顯式數據傳輸、存儲器消息泄漏以及ARP(ARP)威脅等,這些都需要采取有效的措施來防范和應對。

通過虛擬化技術,虛擬機可以在大二層網絡環境中實現高效的數據傳輸,而常規的網絡邊界測試和保護技術則根本無法有效地監測和處理來自東西方的流量。

云計算的出現改變了運營模式,但也帶來了一些風險。由于各種行業資源要求按需彈性拓展,使用過程中或許會出現濫用云計算資源的情況,導致資源浪費。此外,由于云計算的地域特點和租戶的流動性,對云服務商的合規要求、安全監管和隱私權保護提出了更高的要求。

云計算服務可能會帶來惡意租戶風險。這些惡意使用戶可能會使用安全漏洞,上傳惡性攻擊代碼,違規使用或損害他人用戶的各種數據信息和應用。此外,由于企業內部人員(如云提供商的信息系統經理和內部審計人員)的錯誤或惡性進攻,這種危害性難以避免。

3.3 系統信息數據儲存的安全問題

系統信息數據儲存安全對計算機系統特性有著重要的影響。根據實際情況,在網絡系統工作環境中,信息系統各種數據通常是單獨儲存在一個端口上,因此他們在傳輸和共享方面的特性較差。為了保證安全,必須依靠終端設備。在計算機網絡環境下,為了確保云平臺的安全性和可靠性,網絡運營商必須不斷提升QoS和技術,以便將所有信息系統數據上傳至云平臺,并且不間斷,以提高儲存和運行的穩定性。

3.4 缺乏完整的網絡信息安全標準體系

自《中華人民共和國網絡安全法》實施以來,國家積極推動各類網絡信息安全標準的制定和發布,但是目前只有綱領性、指導性標準,而具體技術規范類文件卻相對較少。尤其是在網絡安全等級保護2.0標準中,云計算平臺/系統也被納入了保護范圍,但是與云計算技術的發展相比,其網絡信息安全標準仍然落后于時代發展。隨著云計算環境中服務和軟件層的不斷變化,安全因素也在不斷變化。為了確保安全,一些云計算平臺廠商和運營服務商采取了規范管理模式,但這種模式往往無法滿足用戶實際場景的需求,從而導致新的安全問題出現。

3.5 信息數據的安全問題

云計算是基于資源共享的概念,所以用戶數據和應用數據的安全需要格外關注,主要包括信息數據的保密性、完整性和可用性。為了保障信息系統數據的網絡安全,需要采取很多安全措施,例如保護應用系統軟件生產、進行信息系統財務數據擦除、銷毀廢棄服務器硬件網絡基礎設施等。然而,目前云計算環境的網絡安全主要依賴云計算平臺的運營商,對用戶的制約不夠嚴格,尤其是一些單位用戶的云計算系統內部權力紊亂,這將導致云計算系統面臨更多的網絡安全經營風險。伴隨著信息技術的發展,密碼科技也在不斷演進,但仍有可能被破解。加密和解密過程依賴密鑰[4],因此,密鑰存儲的安全性對于保護信息數據安全至關重要。然而,密鑰的獲取、篡改封存以及訪問認證等操作都是可能導致密鑰安全風險的因素。

3.6 云計算基礎設施的安全問題

云計算基礎設施由硬件和軟件組成,他們不僅面臨著常規的安全風險,如停電、漏水、火災等,還受到社會工程攻擊的影響。為了應對這些威脅,一些數據中心采用了外包管理方式,但由于缺乏有效的識別機制,外來人員的安全性仍然存在一定的風險。云計算基礎設施的備份和災難恢復可能會帶來安全隱患,尤其是在黑客入侵時,他們可以利用云管理平臺的設計邏輯和程序漏洞,對數據進行竊取或篡改,這些行為可能會給云計算基礎設施造成不可挽回的損失,因此,運營商和用戶應當高度重視這一問題。

4 云計算網絡信息安全防護思路

云計算網絡結構的特點是其大規模、儲存容量和用戶數量都比一般計算機網絡結構更多,因此所面臨的安全保護問題也更加復雜。盡管云計算環境下的加密方式沒有改變,但網絡安全邊界和系統安全等級卻有很大的差異。由于云服務提供商無法像傳統方式那樣有效地控制系統軟件,這可能會導致虛擬系統出現安全漏洞,從而給網絡環境帶來嚴重的安全威脅。因此,建立一個完善、有效的云計算網絡安全防護體系顯得尤為重要。

4.1 建立完整的信息安全保障體系

為了保障重要信息,需要建立一個審查體系,其中包括備用數據、操作系統備用和網絡接口安裝主備份。此外,還需要進行用戶安全控制,記住所有使用記錄日志,以便對重要數據進行更新、檢查和清理。云計算網絡的特殊性使得大量數據集群在云端運行,從而造成系統資源和財產資源的消耗。如果云端網絡出現故障,沒有進行備份,必將造成不可彌補的損失。因此,建立數據安全保護體系是非常重要的。為了確保安全性,應該定期進行缺陷掃描,及時修復有問題的網絡設備;在公用網絡接口處,應當謹慎打開客戶端,并采取必要的安全性對策來預防;同時,應當加強網絡安全工具的安全性,設置網絡安全防火墻戰略,設置訪問控制列表(AccessControlList,ACL)戰略;此外,還應當對系統數據包中傳送的數據信息進行密碼存儲,以確保安全性;最后,應當對數據庫中的關鍵數據信息或自身私密數據信息進行密碼存儲。

4.2 加強技術攻關,提升信息全面防護能力

智能防火墻技術是一種基于數據庫模糊特性的技術系統,可以識別和設置用戶的訪問權限,并通過研究網絡行為產生的特征值,建立與計算機網絡系統相匹配的模型,有效地控制訪問。因此,智能防火墻技術發展有著重要的意義,可以提供有效的安全保護。智能防火墻技術的種類越來越多,功能也在不斷完善。一種常見的方法是防止侵入、欺詐、掃描和威脅,可以根據不同的信息系統防御需求建立不同的辨識和防御信息系統,以最大程度地保障網上信息系統的安全可靠運行。此外,還可以積極地研究口令管理方法,以提高網絡系統安全管理。口令管理方法是一種用于保障數據安全的方法,通過改變信息系統的口令來提高信息系統的安全性和可靠性。在云計算環境中,口令管理方法已經發展成兩種不同的操作系統:一種是具有非對稱性特征的口令方法,可以提供解密鎖鑰,并設置獨立的模式,以防止他人竊取或破壞信息系統;另一種對稱加密技術是更加先進的加密方式,通過引入加密密鑰來實現對網絡安全信息的有效保護,并且需要精確掌握計算算法,以便獲得準確的密碼結果。

4.3 提升網絡安全存儲水平

為了進一步提高系統信息安全水平,應該加大對存儲地址和屏蔽范圍的完善設計,建立完善的信息安全架構。同樣,應該增加人們對互聯網的關注,培育安全意識,做好信息安全保護,以應對突發性狀況。

4.4 完善立法,提高網絡信息安全法律保障能力

為了保障網絡信息安全,國家應迅速制定和完善相關法律法規,強化行政和刑事處罰措施,加強宣傳,提高公眾對網絡安全的重視。通過建立良好的監管機制,減少不法事件和違法行為的發生,為網絡環境創造健康的發展狀態。

4.5 提高運維管理和風險管理的能力

為了解決云計算視角下的網絡系統安全性問題,除了科技手段外,還需要加強運營監督和風險管理,從而實現從被動防御到主動防范的轉變。在運營管理方面,應當針對網絡系統分配不同類型的經理職權,如云計算平臺操作系統經理、網絡安全經理、主機經理、數據庫系統經理、應用經理等,并且采取最少授權的原則,及時調整人員職權,以確保網絡系統數據安全。采用先進的堡壘型主機,實現對云計算資源的安全性驗證、使用監控和行為審計,定期進行滲透檢測和應急演練,以確保重要節點的云計算網絡數據安全。此外,還要求有關人員掌握相關流程的處理,以便盡快解決、報告和修復有關缺陷。為了確保網絡系統數據安全,應該經常性宣講有關理論知識、規章制度和程序,并認真記錄各種演習的情況,及早查明可能存在的缺陷,適時修改演習方案。這樣,人們就能夠從觀念上認識到網絡系統數據安全的嚴重性,并且能夠充分提高解決的能力。

5 結語

隨著現代網絡科技的迅速發展,云計算服務已經成為社會的組成部分,它將許多原來不聯系的事物整合在一起,利用網絡為人們帶來便利,但是也暴露出了許多問題。隨著數據共享的普及,保密性受到了挑戰,導致許多信息泄露在網絡上,這種情況日益嚴重。因此,網絡安全技術的發展對當今社會來說必不可少,尤其是大型企業和集團,他們更加關注安全,因為它關系到更多的利益。人們要提高對信息安全的認識,樹立良好的安全意識,保護自己的利益。

維護信息安全和完整性是社會生活中不可或缺的組成部分,但是,由于信息系統的不可控性和流動性,數據泄漏又會導致嚴重的安全隱患。因此,必須加大對信息安全的監管,并采取相應對策來防范數據泄密。網絡是一支雙刃劍,基于云計算的網絡信息系統既可以為人們提供便利的信息服務,也可能帶來不利的影響。應當加大對網絡和信息安全的維護,增強個人信息安全意識,以建立一個安全可靠的環境。