鄭成城 穆健康 汪超

摘要：在信息技術(shù)的不斷發(fā)展下，大數(shù)據(jù)時(shí)代到來(lái)，每天都有新資源上傳到互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)中，訪問(wèn)數(shù)據(jù)庫(kù)的終端設(shè)備也越來(lái)越多，如手機(jī)、電腦等，云計(jì)算就是在此環(huán)境下誕生的，業(yè)務(wù)需求、工程技術(shù)及資源等都包含在云計(jì)算范圍內(nèi)，在該項(xiàng)技術(shù)的輔助下，計(jì)算機(jī)群中記錄的數(shù)據(jù)能滿足訪問(wèn)者的基本需求。該文圍繞云計(jì)算展開(kāi)討論，對(duì)其網(wǎng)絡(luò)安全進(jìn)行深入探討，并重點(diǎn)介紹加強(qiáng)云計(jì)算安全的防御技術(shù)。

關(guān)鍵詞：云計(jì)算;網(wǎng)絡(luò)安全;防御技術(shù)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）28-0026-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

因特網(wǎng)技術(shù)是云計(jì)算的基礎(chǔ)，再加上其他技術(shù)的輔助，構(gòu)建分布式的云計(jì)算平臺(tái)。在此平臺(tái)下，資源種類較多，如信息資源、硬件資源等，平臺(tái)資源的分配是定時(shí)定量進(jìn)行的，且按照訪問(wèn)者的不同需求進(jìn)行分配。在強(qiáng)大的共享功能下，用戶還能對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)、發(fā)布等多項(xiàng)操作，有的資源只需付費(fèi)就能得到，這與電網(wǎng)、因特網(wǎng)有異曲同工之妙，目前云計(jì)算技術(shù)還在不斷發(fā)展。

1 云計(jì)算與網(wǎng)絡(luò)安全特點(diǎn)解析

1.1 云計(jì)算特征

1）資源服務(wù)針對(duì)性強(qiáng)

用戶在搜集資源時(shí)，充分按照自身意愿選擇所需資源，并完成付費(fèi)過(guò)程，在Web界面上用戶能自主完成挑選，這也被稱為云計(jì)算平臺(tái)的自主化服務(wù)，沒(méi)有外界因素對(duì)用戶進(jìn)行干預(yù)，且服務(wù)極具針對(duì)性。

2）對(duì)終端數(shù)量不加限制

平臺(tái)與各種終端設(shè)備都建立聯(lián)系，允許各種系統(tǒng)同時(shí)接入計(jì)算平臺(tái)，只要設(shè)備在網(wǎng)絡(luò)覆蓋下，都能訪問(wèn)云計(jì)算平臺(tái)，進(jìn)而完成自助服務(wù)。平臺(tái)服務(wù)器兼容性強(qiáng)大，能同時(shí)接入多個(gè)不同設(shè)備。

3）資源共享

云平臺(tái)就好比一個(gè)大型資源池，包括豐富的物理、虛擬資源，只要處于局域網(wǎng)下，用戶隨時(shí)隨地都能從資源池中獲取相關(guān)資源。共享是云平臺(tái)的一大特征，且資源池中的信息具有可傳播、存儲(chǔ)等多種特性。

1.2 云計(jì)算平臺(tái)下的網(wǎng)絡(luò)安全特征

將網(wǎng)絡(luò)置于云計(jì)算環(huán)境中，其安全邊界、安全種類等都出現(xiàn)不同程度變化，但其加密方式并未改變。隨著訪問(wèn)終端逐漸多樣化，負(fù)責(zé)提供云服務(wù)的廠家，已經(jīng)不能精準(zhǔn)監(jiān)控每臺(tái)訪問(wèn)設(shè)備的運(yùn)行情況。在傳統(tǒng)網(wǎng)絡(luò)傳輸中，設(shè)備訪問(wèn)數(shù)量受到限制，為降低信息傳輸風(fēng)險(xiǎn)，服務(wù)商可對(duì)系統(tǒng)進(jìn)行掃描檢測(cè)，找到系統(tǒng)漏洞加以彌補(bǔ)，此種檢測(cè)方式在云計(jì)算平臺(tái)誕生后不再適用，訪問(wèn)虛擬資源池的用戶較多，服務(wù)商不能對(duì)虛擬系統(tǒng)運(yùn)行情況加以精準(zhǔn)監(jiān)測(cè)，網(wǎng)絡(luò)環(huán)境穩(wěn)定性較差，信息傳輸安全受到影響[1]。此外，在對(duì)待安全域的問(wèn)題上，傳統(tǒng)網(wǎng)絡(luò)的安全域?yàn)闃?shù)形，服務(wù)商加強(qiáng)邊界管理和監(jiān)測(cè)，就能保證信息傳輸安全，但將網(wǎng)絡(luò)安全置于云計(jì)算平臺(tái)后，其安全域邊界呈現(xiàn)出模糊性特征，傳統(tǒng)監(jiān)測(cè)技術(shù)已不能保證系統(tǒng)運(yùn)行安全。

處于云計(jì)算環(huán)境中，用戶具有很強(qiáng)的自主權(quán)，其在租用虛擬資源時(shí)，能將資源加以存盤，然后將資源向其他用戶共享，共享者數(shù)量急劇上升，其中很可能存在惡意用戶，若其攻擊系統(tǒng)就會(huì)增加系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。安全域邊界的逐漸模糊，服務(wù)商不能對(duì)終端設(shè)備進(jìn)行深入審查，用戶在訪問(wèn)時(shí)向系統(tǒng)植入病毒或木馬很難被發(fā)現(xiàn)，按照傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)建的防火墻、IDS等作用不大，因?yàn)楣舴揭呀?jīng)繞過(guò)網(wǎng)絡(luò)防護(hù)，從系統(tǒng)內(nèi)部進(jìn)行網(wǎng)絡(luò)攻擊。由此可見(jiàn)，在云計(jì)算平臺(tái)介入后，網(wǎng)絡(luò)安全性漸漸降低，為保證信息傳輸安全，急需提升防御技術(shù)水平。

2 探究提升網(wǎng)絡(luò)安全的相關(guān)技術(shù)

拓?fù)浣Y(jié)構(gòu)是整個(gè)網(wǎng)絡(luò)的重要組成，防火墻、漏洞掃描等是保證網(wǎng)絡(luò)安全的傳統(tǒng)技術(shù)，在云計(jì)算環(huán)境中，拓?fù)浣Y(jié)構(gòu)由靜態(tài)向動(dòng)態(tài)進(jìn)行轉(zhuǎn)化，網(wǎng)絡(luò)傳輸?shù)膹?fù)雜性隨之增加。在此情況下，研究新型防御技術(shù)是網(wǎng)絡(luò)防護(hù)的必然趨勢(shì)，下面對(duì)新型防御技術(shù)進(jìn)行詳細(xì)介紹。

2.1 生成拓?fù)浣Y(jié)構(gòu)的新方法

1）明確映射機(jī)理

物理機(jī)、虛擬機(jī)兩者間存在映射關(guān)系，物理機(jī)也被稱為宿主機(jī)，可同時(shí)承載多臺(tái)虛擬機(jī)進(jìn)行運(yùn)行，同一宿主機(jī)上的虛擬機(jī)臺(tái)數(shù)，被稱為映射的比例常數(shù)。用戶根據(jù)自身需求，租用相應(yīng)數(shù)量的虛擬機(jī)完成數(shù)據(jù)訪問(wèn)，邏輯子網(wǎng)在虛擬機(jī)運(yùn)行中被構(gòu)建，邏輯子網(wǎng)也被稱為虛擬局域網(wǎng)，是用戶為實(shí)現(xiàn)自身需求搭建的。如圖1所示，就是某用戶利用多臺(tái)虛擬機(jī)構(gòu)建的拓?fù)浣Y(jié)構(gòu)，虛擬機(jī)的數(shù)量共為5臺(tái)，一臺(tái)作為負(fù)載均衡器使用，其中兩臺(tái)負(fù)責(zé)完成HTTP服務(wù)器的相應(yīng)任務(wù)，留下兩臺(tái)進(jìn)行數(shù)據(jù)存儲(chǔ)，同時(shí)作為數(shù)據(jù)運(yùn)行平臺(tái)使用。

2）生成新的邏輯子網(wǎng)

經(jīng)過(guò)研究發(fā)現(xiàn)，無(wú)標(biāo)度網(wǎng)絡(luò)是最符合動(dòng)態(tài)化拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，因此借助此網(wǎng)絡(luò)生成新的邏輯子網(wǎng)。無(wú)標(biāo)度網(wǎng)絡(luò)具有很強(qiáng)的隨機(jī)性，利用其構(gòu)建邏輯子網(wǎng)時(shí)，要計(jì)算每個(gè)節(jié)點(diǎn)的相應(yīng)數(shù)據(jù)，并將節(jié)點(diǎn)依次添加到網(wǎng)絡(luò)中，且將新節(jié)點(diǎn)和其他節(jié)點(diǎn)建立動(dòng)態(tài)化聯(lián)系。

3）將物理機(jī)、邏輯子網(wǎng)關(guān)聯(lián)起來(lái)

邏輯子網(wǎng)是虛擬機(jī)之間構(gòu)建的網(wǎng)絡(luò)，虛擬機(jī)以物理機(jī)為宿主，因此需要建立兩者間的聯(lián)系。隨機(jī)選擇虛擬機(jī)中的若干節(jié)點(diǎn)，將節(jié)合并成一個(gè)集合并單獨(dú)存儲(chǔ)起來(lái)，將節(jié)點(diǎn)集合與物理機(jī)節(jié)點(diǎn)相關(guān)聯(lián)，重復(fù)整合和關(guān)聯(lián)步驟，在虛擬節(jié)點(diǎn)全部建立聯(lián)系后，拓?fù)浣Y(jié)構(gòu)逐漸完整化[2]。

4）生成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的算法

首先明確虛擬機(jī)、物理機(jī)的數(shù)量，然后求得兩者比例，然后根據(jù)Power-Lar分布，生成規(guī)模各不相同的邏輯子網(wǎng)，接著將各邏輯子網(wǎng)按照無(wú)標(biāo)度網(wǎng)絡(luò)技術(shù)，生成網(wǎng)絡(luò)拓?fù)洌瑫r(shí)將虛擬機(jī)中的節(jié)點(diǎn)整合成集合。最后將集合節(jié)點(diǎn)和宿主機(jī)相關(guān)聯(lián)，生成最終的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。編寫(xiě)算法時(shí)必須嚴(yán)謹(jǐn)，才能生成較為完整的拓?fù)浣Y(jié)構(gòu)。

2.2 雪崩效應(yīng)及防御技術(shù)

病毒是造成雪崩效應(yīng)的根本原因，在病毒攻擊下，物理機(jī)與服務(wù)器間的邏輯耦合會(huì)被破壞，進(jìn)而影響正常的信息傳輸。隔離逃逸是現(xiàn)階段虛擬機(jī)研發(fā)出的最新技術(shù)，病毒在虛擬機(jī)的支撐下，具有一定的逃逸能力，沙箱隔離對(duì)病毒來(lái)說(shuō)形同虛設(shè)，病毒穿越虛擬機(jī)向物理機(jī)移動(dòng)，直接對(duì)物理機(jī)運(yùn)行進(jìn)行攻擊。網(wǎng)絡(luò)傳播是病毒攻擊的另一途徑，利用底層物理網(wǎng)絡(luò)，將病毒攜帶在要傳遞的信息中，使病毒達(dá)到用戶系統(tǒng)，進(jìn)而實(shí)現(xiàn)攻擊。為避免雪崩效應(yīng)，研究者提出一種新技術(shù)，即對(duì)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)進(jìn)行保護(hù)，關(guān)鍵節(jié)點(diǎn)是按照其節(jié)點(diǎn)度大小進(jìn)行選取的，通常選擇較大度節(jié)點(diǎn)作為保護(hù)對(duì)象。假設(shè)節(jié)點(diǎn)受到保護(hù)，就能對(duì)網(wǎng)絡(luò)攻擊完全免疫，即能夠阻止雪崩效應(yīng)的繼續(xù)擴(kuò)散，利用下式對(duì)節(jié)點(diǎn)免疫能力進(jìn)行計(jì)算，進(jìn)而選擇出節(jié)點(diǎn)度最高的點(diǎn)。

[p'i←j=1-η21-pimuj1-pj?B]

[p'i←j]表示節(jié)點(diǎn)免疫能力，[η]與[pj?B]數(shù)值相等，大量試驗(yàn)證明，利用此公式計(jì)算出的網(wǎng)絡(luò)節(jié)點(diǎn)，都對(duì)雪崩效應(yīng)有著較強(qiáng)的免疫能力，在抵抗網(wǎng)絡(luò)攻擊、維持信息傳輸穩(wěn)定過(guò)程中起到關(guān)鍵作用。

與傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)相比，上述兩項(xiàng)技術(shù)將病毒防護(hù)能力細(xì)化到每個(gè)節(jié)點(diǎn)，且網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)生成方式有所差異，拓?fù)浣Y(jié)構(gòu)處于動(dòng)態(tài)穩(wěn)定狀態(tài)，在各節(jié)點(diǎn)防護(hù)作用下，拓?fù)浣Y(jié)構(gòu)更加健壯，網(wǎng)絡(luò)傳輸穩(wěn)定性更強(qiáng)[3]。

3 構(gòu)建網(wǎng)絡(luò)安全攻擊防御系統(tǒng)

3.1 對(duì)被動(dòng)節(jié)點(diǎn)進(jìn)行保護(hù)

SDN（虛擬化技術(shù)）是保護(hù)被動(dòng)節(jié)點(diǎn)的主要結(jié)束，數(shù)據(jù)庫(kù)、存儲(chǔ)等設(shè)施都能在該項(xiàng)技術(shù)下被虛擬出來(lái)，防火墻等高級(jí)設(shè)施也可在此技術(shù)輔助下被虛擬出來(lái)，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行精準(zhǔn)探測(cè)，是該項(xiàng)技術(shù)的核心作用，節(jié)點(diǎn)的度能被精確掃描出來(lái)，有利于對(duì)關(guān)鍵節(jié)點(diǎn)進(jìn)行防護(hù)作業(yè)。通過(guò)對(duì)邏輯子網(wǎng)的分析，發(fā)現(xiàn)防火墻直接設(shè)置在虛擬機(jī)之前，訪問(wèn)數(shù)據(jù)需要經(jīng)過(guò)防火墻識(shí)別處理后，才能達(dá)到物理主機(jī)?？蓪⒎阑饓υO(shè)置在被動(dòng)節(jié)點(diǎn)前，這樣并未對(duì)網(wǎng)絡(luò)結(jié)構(gòu)造成破壞，但節(jié)點(diǎn)卻獲得過(guò)濾數(shù)據(jù)包的能力，虛擬構(gòu)建的防火墻不會(huì)過(guò)多占用系統(tǒng)存儲(chǔ)空間，且防火墻功能會(huì)隨著病毒入侵能力不斷升級(jí)，病毒攻擊在數(shù)據(jù)傳輸前就被過(guò)濾掉，有效降低網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)。

3.2 對(duì)主動(dòng)節(jié)點(diǎn)進(jìn)行加固

在傳統(tǒng)網(wǎng)絡(luò)中，關(guān)鍵節(jié)點(diǎn)只是被動(dòng)的數(shù)據(jù)進(jìn)行接收，不具備主動(dòng)分析數(shù)據(jù)功能，因此可在節(jié)點(diǎn)中設(shè)施安全軟件，對(duì)過(guò)流數(shù)據(jù)進(jìn)行分析處理，使得節(jié)點(diǎn)具備主動(dòng)意識(shí)。在增加軟件后，節(jié)點(diǎn)壓力隨之增加，為解決這一問(wèn)題，將節(jié)點(diǎn)信息過(guò)流和數(shù)據(jù)包分析向兩個(gè)虛擬機(jī)中分離，然后將兩者列為單獨(dú)的集合，虛擬機(jī)之間由反向代理服務(wù)實(shí)現(xiàn)信息交互，從而實(shí)現(xiàn)對(duì)病毒的強(qiáng)有力防御，這就是對(duì)主動(dòng)節(jié)點(diǎn)的加固，該方法只是增加虛擬機(jī)數(shù)量，但取得的安全防御效果非常好，不改變網(wǎng)絡(luò)原有結(jié)構(gòu)，處理成本較低[4]。

3.3 構(gòu)建完整的防御系統(tǒng)

云計(jì)算環(huán)境中的虛擬機(jī)，都可被看作一個(gè)單獨(dú)個(gè)體，其中的節(jié)點(diǎn)都能對(duì)監(jiān)測(cè)日志、數(shù)據(jù)包進(jìn)行簡(jiǎn)單的分析和處理?；谔摂M機(jī)的此功能，可在其上運(yùn)行傳感監(jiān)控系統(tǒng)，且使得所有虛擬機(jī)的傳感器節(jié)點(diǎn)建立聯(lián)系，對(duì)系統(tǒng)運(yùn)行情況定期上報(bào)。傳感器之間相互關(guān)聯(lián)，避免數(shù)據(jù)重復(fù)、沖突等現(xiàn)象出現(xiàn)，將所有虛擬機(jī)節(jié)點(diǎn)的運(yùn)行問(wèn)題匯總到策略生成節(jié)點(diǎn)中，如圖2所示，策略生成節(jié)點(diǎn)下為多層傳感器節(jié)點(diǎn)，傳感系統(tǒng)在每個(gè)虛擬機(jī)上都有安裝。

通過(guò)圖2不難發(fā)現(xiàn)，兩類節(jié)點(diǎn)間是明顯的樹(shù)形關(guān)系，數(shù)據(jù)需要經(jīng)過(guò)節(jié)點(diǎn)的層層傳遞，才能達(dá)到策略生成節(jié)點(diǎn)，該節(jié)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)的關(guān)鍵節(jié)點(diǎn)，分成數(shù)據(jù)分析和策略下發(fā)兩大部分，防御策略同樣需經(jīng)過(guò)層層傳輸，最終達(dá)到虛擬機(jī)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的隔離[5]。

4 結(jié)束語(yǔ)

云計(jì)算目前已經(jīng)滲透到社會(huì)的方方面面，學(xué)校、機(jī)關(guān)單位等都將云計(jì)算引入日常工作，很多數(shù)據(jù)直接在云端完成存儲(chǔ)，云計(jì)算給網(wǎng)絡(luò)傳輸帶來(lái)的便利無(wú)疑是巨大的，但同時(shí)也帶來(lái)巨大風(fēng)險(xiǎn)，因此合理使用云平臺(tái)，降低平臺(tái)風(fēng)險(xiǎn)是目前網(wǎng)絡(luò)安全研究的重點(diǎn)。相信在研究者的不斷努力下，云計(jì)算環(huán)境下的網(wǎng)絡(luò)平臺(tái)，其安全程度會(huì)越來(lái)越高。

參考文獻(xiàn)：

[1] 黃海軍.基于云計(jì)算的網(wǎng)絡(luò)安全評(píng)估[J].電子設(shè)計(jì)工程，2016（12）：115-117，120.

[2] 楊志杰.云計(jì)算技術(shù)下的網(wǎng)絡(luò)安全防御技術(shù)[J].科技與創(chuàng)新，2018（6）：69-70.

[3] 邱慕濤.基于云計(jì)算的計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)安全技術(shù)應(yīng)用探討[J].中國(guó)管理信息化，2017（18）：148-149.

[4] 盛丹丹.基于云計(jì)算環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的思考[J].電腦知識(shí)與技術(shù)，2018（14）：25-26.

[5] 魏斯超，張永萍.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全評(píng)估技術(shù)研究及應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2016（5）：211.

【通聯(lián)編輯：代影】