徐丹（韶山毛澤東同志紀(jì)念館，湖南韶山 411300）

云技術(shù)下的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸分析

徐丹
（韶山毛澤東同志紀(jì)念館，湖南韶山 411300）

本文就基于云平臺(tái)的標(biāo)準(zhǔn)化，商務(wù)應(yīng)用的普及化，以及持續(xù)增強(qiáng)的網(wǎng)路連結(jié)力，發(fā)生在網(wǎng)絡(luò)設(shè)備上的威脅攻擊越來越多。移動(dòng)互聯(lián)網(wǎng)的時(shí)代已經(jīng)來臨，隨著移動(dòng)信息傳輸?shù)牟粩嘣黾樱诰W(wǎng)絡(luò)上的數(shù)據(jù)流量不斷擴(kuò)大，給網(wǎng)絡(luò)數(shù)據(jù)安全帶來了一定的隱患，本文就云技術(shù)下的網(wǎng)絡(luò)數(shù)據(jù)安全傳輸進(jìn)行了詳細(xì)的分析，分析了云技術(shù)下網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)奶攸c(diǎn)以及數(shù)據(jù)傳輸?shù)姆绞胶蛻?yīng)該進(jìn)行的防護(hù)等進(jìn)行了詳細(xì)的論述。

云技術(shù) 網(wǎng)絡(luò)數(shù)據(jù) 數(shù)據(jù)安全 數(shù)據(jù)防護(hù)

1　緒論

根據(jù)權(quán)威報(bào)告威脅監(jiān)控?cái)?shù)據(jù)顯示，平均每秒就有3.5個(gè)新的可危害移動(dòng)設(shè)備的威脅產(chǎn)生，從2013年1月到7月，Android移動(dòng)平臺(tái)上的病毒樣本增加1410%。因此，網(wǎng)絡(luò)設(shè)備已成為黑客的新攻擊目標(biāo)，而其安全問題不容忽視。

云計(jì)算的基礎(chǔ)設(shè)施劃分為3個(gè)類別：服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)連接。服務(wù)提供商可能會(huì)提供虛擬服務(wù)器實(shí)例，在這些實(shí)例上，用戶可以安裝和運(yùn)行一個(gè)自定義的映像。持久性的存儲(chǔ)是一種單獨(dú)的服務(wù)。最后，還會(huì)有一些用于擴(kuò)展網(wǎng)絡(luò)連接的產(chǎn)品。基礎(chǔ)架構(gòu)服務(wù)可全面虛擬化服務(wù)器、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)資源，聚合這些資源，并基于業(yè)務(wù)優(yōu)先級(jí)將資源準(zhǔn)確地按需分配給應(yīng)用程序。服務(wù)器實(shí)際上代表了隨著計(jì)算資源一起分配的最小存儲(chǔ)空間和輸入/輸出信道的資源集合。存儲(chǔ)通常提供與位置無關(guān)的虛擬化數(shù)據(jù)存儲(chǔ)，這樣促進(jìn)了對(duì)通過彈性機(jī)制制造無限容量存儲(chǔ)的期望，而且高度的自動(dòng)化水平使得用戶能非常容易地使用，大多數(shù)基礎(chǔ)設(shè)施層的組件最終是通過虛擬化技術(shù)供應(yīng)商的設(shè)施進(jìn)行管理的。而虛擬化實(shí)現(xiàn)后，其安全的考慮發(fā)生了質(zhì)的變化，完全打破了傳統(tǒng)安全防護(hù)的概念。

2　云終端設(shè)備

云終端是基于云計(jì)算系統(tǒng)理論的思想而實(shí)現(xiàn)云部署、辦公、接入的一種終端設(shè)備，云終端的終端技術(shù)可實(shí)現(xiàn)共享主機(jī)資源，桌面終端無需許可，大幅減少硬件投資和軟件許可證開銷，綠色環(huán)保，省電省維護(hù)，是信息發(fā)展時(shí)代的高端產(chǎn)品！僅需在云服務(wù)器進(jìn)行設(shè)置，您做的僅僅是接上網(wǎng)線，顯示器及鼠標(biāo)鍵盤，輕輕按下電源開關(guān)，云終端用戶即可進(jìn)行業(yè)務(wù)操作，亦可暢游網(wǎng)絡(luò)，實(shí)施非常方便。服務(wù)端統(tǒng)一管理終端，升級(jí)維護(hù)工作都在服務(wù)端進(jìn)行，真正做到終端接近零維護(hù)。云終端是網(wǎng)絡(luò)共享器及電腦共享器拖機(jī)卡的升級(jí)版，據(jù)說是帶有三個(gè)USB口，可以接USB鍵盤鼠標(biāo)打印機(jī) U盤的，還有音頻輸出輸入接口，也有寬屏液晶的分辨率，可以支持普通全屏電影，實(shí)現(xiàn)的功能越來越多了。目前來看，所為的云終端有兩種：（1）專業(yè)的云終端設(shè)備；（2）智能手機(jī)、平白電腦等。

3　云中數(shù)據(jù)

隨著云計(jì)算技術(shù)的逐步成熟，它給IT應(yīng)用帶來的商業(yè)價(jià)值越來越明顯的表現(xiàn)出來，相對(duì)于傳統(tǒng)的軟件架構(gòu)，云計(jì)算運(yùn)營(yíng)和支持方面的成本更低廉，但同時(shí)又能夠獲得更快速的部署能力，近乎無限的伸縮性等收益。然而，盡管云計(jì)算帶來的價(jià)值是如此之巨大，但是仍然有諸多企業(yè)在云計(jì)算和傳統(tǒng)軟件架構(gòu)中選擇了后者，其原因很大程度上在于云計(jì)算領(lǐng)域中，有關(guān)企業(yè)數(shù)據(jù)的安全問題沒有得到妥善的解決。一些分析機(jī)構(gòu)的調(diào)查結(jié)果顯示出，數(shù)據(jù)安全問題是企業(yè)應(yīng)用遷移到云計(jì)算過程中的最大障礙之一。

3.1云數(shù)據(jù)的存儲(chǔ)

怎樣保證存儲(chǔ)在云中的數(shù)據(jù)，不被其他人看到、不被其他人使用、刪除后沒有備份存在等等，云中的數(shù)據(jù)安全是個(gè)很大的課題。網(wǎng)絡(luò)內(nèi)的大量服務(wù)器承擔(dān)著為各個(gè)業(yè)務(wù)部門提供基礎(chǔ)設(shè)施服務(wù)的角色。隨著業(yè)務(wù)的快速發(fā)展，數(shù)據(jù)中心空間、能耗、運(yùn)維管理壓力日趨凸顯。應(yīng)用系統(tǒng)的部署除了購(gòu)買服務(wù)器費(fèi)用外，還包括數(shù)據(jù)中心空間的費(fèi)用、空調(diào)電力的費(fèi)用、監(jiān)控的費(fèi)用、人工管理的費(fèi)用，相當(dāng)昂貴。如果這些服務(wù)器的利用率不高，對(duì)企業(yè)來說，無疑是一種巨大的浪費(fèi)。這些關(guān)鍵應(yīng)用系統(tǒng)已經(jīng)被使用Vmware服務(wù)器虛擬化解決方案。這解決企業(yè)信息化建設(shè)目前現(xiàn)有的壓力，同時(shí)又能滿足企業(yè)響應(yīng)國(guó)家節(jié)能減排要求。而服務(wù)器虛擬化使網(wǎng)絡(luò)數(shù)據(jù)能夠獲得在效率、成本方面的顯著收益以及在綜合數(shù)據(jù)中心更具環(huán)保、增加可擴(kuò)展性和改善資源實(shí)施時(shí)間方面的附加利益。但同時(shí)，數(shù)據(jù)中心的虛擬系統(tǒng)面臨許多與物理服務(wù)器相同的安全挑戰(zhàn)，從而增加了風(fēng)險(xiǎn)暴露，再加上在保護(hù)這些IT資源方面存在大量特殊挑戰(zhàn)，最終將抵消虛擬化的優(yōu)勢(shì)。尤其在虛擬化體系結(jié)構(gòu)將從根本上影響如何對(duì)于關(guān)鍵任務(wù)應(yīng)用進(jìn)行設(shè)計(jì)、部署和管理情況下，用戶需要考慮哪種安全機(jī)制最適合保護(hù)物理服務(wù)器和虛擬服務(wù)器。

3.2虛擬服務(wù)的架構(gòu)

虛擬服務(wù)器基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風(fēng)險(xiǎn)之外，同時(shí)也會(huì)帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過前期調(diào)研，總結(jié)了目前虛擬化環(huán)境數(shù)據(jù)傳輸?shù)膸c(diǎn)安全隱患。

虛擬機(jī)之間的互相攻擊----由于目前仍對(duì)虛擬化環(huán)境使用傳統(tǒng)的防護(hù)模式，導(dǎo)致主要的防護(hù)邊界還是位于物理主機(jī)的邊緣，從而忽視了同一物理主機(jī)上不同虛擬機(jī)之間的互相攻擊和互相入侵的安全隱患。隨時(shí)啟動(dòng)的防護(hù)間歇----由于目前大量使用Vmware的服務(wù)器虛擬化技術(shù)，讓IT服務(wù)具備更高的靈活性和負(fù)載均衡。但同時(shí)，這些隨時(shí)由于資源動(dòng)態(tài)調(diào)整關(guān)閉或開啟虛擬機(jī)會(huì)導(dǎo)致防護(hù)間歇問題。如，某臺(tái)一直處于關(guān)閉狀態(tài)的虛擬機(jī)在業(yè)務(wù)需要時(shí)會(huì)自動(dòng)啟動(dòng)，成為后臺(tái)服務(wù)器組的一部分，但在這臺(tái)虛擬機(jī)啟動(dòng)時(shí)，其包括防病毒在內(nèi)的所有安全狀態(tài)都較其他一直在線運(yùn)行的服務(wù)器處于滯后和脫節(jié)的地位。系統(tǒng)安全補(bǔ)丁安裝--目前虛擬化環(huán)境內(nèi)仍會(huì)定期采用傳統(tǒng)方式對(duì)階段性發(fā)布的系統(tǒng)補(bǔ)丁進(jìn)行測(cè)試和手工安裝。雖然虛擬化服務(wù)器本身有一定狀態(tài)恢復(fù)的功能機(jī)制。但此種做法仍有一定安全風(fēng)險(xiǎn)。（1）無法確保系統(tǒng)在測(cè)試后發(fā)生的變化是否會(huì)因?yàn)榘惭b補(bǔ)丁導(dǎo)致異常。（2）集中的安裝系統(tǒng)補(bǔ)丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成本較大。

3.3數(shù)據(jù)病毒防護(hù)

防病毒軟件對(duì)資源的占用沖突導(dǎo)致AV（Anti-Virus）風(fēng)暴----目前在虛擬化環(huán)境中對(duì)于虛擬化服務(wù)器仍使用每臺(tái)虛擬操作系統(tǒng)安裝Offiescan防病毒客戶端的方式進(jìn)行病毒防護(hù)。在防護(hù)效果上可以達(dá)到安全標(biāo)準(zhǔn)，但如從資源占用方面考慮存在一定安全風(fēng)險(xiǎn)。由于每個(gè)防病毒客戶端都會(huì)在同一個(gè)物理主機(jī)上產(chǎn)生資源消耗，并且當(dāng)發(fā)生客戶端同時(shí)掃描和同時(shí)更新時(shí)，資源消耗的問題會(huì)愈發(fā)明顯。嚴(yán)重時(shí)可能導(dǎo)致ESX服務(wù)器宕機(jī)。通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護(hù)，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機(jī)之間通訊的訪問控制問題，病毒通過虛擬交換機(jī)傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護(hù)，提供創(chuàng)新的安全技術(shù)為虛擬環(huán)境提供全面的保護(hù)。

4　針對(duì)VMware虛擬系統(tǒng)病毒防護(hù)

針對(duì)VMware虛擬系統(tǒng)中通過VMshield接口實(shí)現(xiàn)針對(duì)虛擬系統(tǒng)和虛擬主機(jī)之間的全面防護(hù)，無需在虛擬主機(jī)的操作系統(tǒng)中安裝Agent程序，即虛擬主機(jī)系統(tǒng)無代理方式實(shí)現(xiàn)實(shí)時(shí)的病毒防護(hù)，這樣無需消耗分配給虛擬主機(jī)的計(jì)算資源和更多的網(wǎng)絡(luò)資源消耗，最大化利用計(jì)算資源的同時(shí)提供全面病毒的實(shí)時(shí)防護(hù)。

4.1訪問控制

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和安全區(qū)域間的劃分，計(jì)算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實(shí)現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。防火墻技術(shù)提供全面基于狀態(tài)檢測(cè)細(xì)粒度的訪問控制功能，可以實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity的防火墻同時(shí)支持各種泛洪攻擊的識(shí)別和攔截。

4.2入侵檢測(cè)/防護(hù)

同時(shí)在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測(cè)和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，許多安全專家意識(shí)到，傳統(tǒng)的入侵監(jiān)測(cè)工具可能沒法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它們?cè)趥鹘y(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。

例如，由于虛擬交換機(jī)不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測(cè)可能會(huì)變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對(duì)虛擬網(wǎng)絡(luò)內(nèi)部流量的時(shí)候?；谥鳈C(jī)的IDS系統(tǒng)也許仍能在虛擬機(jī)中正常運(yùn)行，但是會(huì)消耗共享的資源，使得安裝安全代理軟件變得不那么理想。

4.3虛擬補(bǔ)丁防護(hù)

隨著新的漏洞不斷出現(xiàn)，許多公司在為系統(tǒng)打補(bǔ)丁上疲于應(yīng)付，等待安裝重要安全補(bǔ)丁的維護(hù)時(shí)段可能是一段艱難的時(shí)期。另外，操作系統(tǒng)及應(yīng)用廠商針對(duì)一些版本不提供漏洞的補(bǔ)丁，或者發(fā)布補(bǔ)丁的時(shí)間嚴(yán)重滯后，還有最重要的是，如果IT人員的配備不足，時(shí)間又不充裕，那么系統(tǒng)在審查、測(cè)試和安裝官方補(bǔ)丁更新期間很容易陷入風(fēng)險(xiǎn)。

4.4完整性審計(jì)

可以針對(duì)系統(tǒng)支持依據(jù)基線的文件、目錄、注冊(cè)表等關(guān)鍵文件監(jiān)控和審計(jì)功能，當(dāng)這些關(guān)鍵位置為惡意篡改或感染病毒時(shí)，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性。現(xiàn)在，服務(wù)器系統(tǒng)日志和應(yīng)用程序日志正以驚人的速度生成，這就可以詳細(xì)記錄下來IT活動(dòng)。如果某位滿腹牢騷的員工企圖竊取數(shù)據(jù)，訪問了含有機(jī)密信息的數(shù)據(jù)庫，日志就有可能記錄下他的一舉一動(dòng)，那樣別人只要檢查日志，就能確定是誰在什么時(shí)候從事了什么活動(dòng)。日志提供了線索，企業(yè)利用這些線索就能追查所有用戶（不管是否不懷好意）的行蹤。

5　結(jié)語

總之，對(duì)日志進(jìn)行管理會(huì)給組織帶來許多好處。它們讓組織意識(shí)到面臨的情況，并幫助組織開展行之有效的調(diào)查，例行的日志檢查及深入分析保存日志不但可以立即識(shí)別出現(xiàn)不久的安全事件、違反政策情況、欺詐活動(dòng)以及運(yùn)作問題，還有助于提供有用的信息，從而解決問題。

［1］張帥.安全云計(jì)算你準(zhǔn)備好了嗎［M］.2012.458-463.

［2］游向峰打造安全的網(wǎng)絡(luò)環(huán)境之”云計(jì)算”［J］.湖南師范大學(xué)學(xué)報(bào)，2009（16）：12-23.

［3］薛質(zhì).信息安全技術(shù)基礎(chǔ)和安全策略［M］.北京：清華大學(xué)出版社，2012.

［4］門汝靜.近期網(wǎng)絡(luò)安全的特點(diǎn)與熱點(diǎn)［J］.現(xiàn)代電信科技，2009（1）：14-17.

徐丹（1984—），男，本科，中級(jí)，研究方向：計(jì)算機(jī)、網(wǎng)絡(luò)、多媒體。