云技術(shù)下的網(wǎng)絡數(shù)據(jù)安全傳輸分析

【摘 要】本文就基于云平臺的標準化，商務應用的普及化，以及持續(xù)增強的網(wǎng)路連結(jié)力，發(fā)生在網(wǎng)絡設(shè)備上的威脅攻擊越來越多。移動互聯(lián)網(wǎng)的時代已經(jīng)來臨，隨著移動信息傳輸?shù)牟粩嘣黾?，在網(wǎng)絡上的數(shù)據(jù)流量不斷擴大，給網(wǎng)絡數(shù)據(jù)安全帶來了一定的隱患，本文就云技術(shù)下的網(wǎng)絡數(shù)據(jù)安全傳輸進行了詳細的分析，分析了云技術(shù)下網(wǎng)絡數(shù)據(jù)傳輸?shù)奶攸c以及數(shù)據(jù)傳輸?shù)姆绞胶蛻撨M行的防護等進行了詳細的論述。

【關(guān)鍵詞】云技術(shù) 網(wǎng)絡數(shù)據(jù) 數(shù)據(jù)安全 數(shù)據(jù)防護

1 緒論

根據(jù)權(quán)威報告威脅監(jiān)控數(shù)據(jù)顯示，平均每秒就有3.5個新的可危害移動設(shè)備的威脅產(chǎn)生，從2013年1月到7月，Android移動平臺上的病毒樣本增加1410%。因此，網(wǎng)絡設(shè)備已成為黑客的新攻擊目標，而其安全問題不容忽視。

云計算的基礎(chǔ)設(shè)施劃分為3個類別：服務器、存儲和網(wǎng)絡連接。服務提供商可能會提供虛擬服務器實例，在這些實例上，用戶可以安裝和運行一個自定義的映像。持久性的存儲是一種單獨的服務。最后，還會有一些用于擴展網(wǎng)絡連接的產(chǎn)品?；A(chǔ)架構(gòu)服務可全面虛擬化服務器、存儲設(shè)備和網(wǎng)絡資源，聚合這些資源，并基于業(yè)務優(yōu)先級將資源準確地按需分配給應用程序。服務器實際上代表了隨著計算資源一起分配的最小存儲空間和輸入/輸出信道的資源集合。存儲通常提供與位置無關(guān)的虛擬化數(shù)據(jù)存儲，這樣促進了對通過彈性機制制造無限容量存儲的期望，而且高度的自動化水平使得用戶能非常容易地使用，大多數(shù)基礎(chǔ)設(shè)施層的組件最終是通過虛擬化技術(shù)供應商的設(shè)施進行管理的。而虛擬化實現(xiàn)后，其安全的考慮發(fā)生了質(zhì)的變化，完全打破了傳統(tǒng)安全防護的概念。

2 云終端設(shè)備

云終端是基于云計算系統(tǒng)理論的思想而實現(xiàn)云部署、辦公、接入的一種終端設(shè)備，云終端的終端技術(shù)可實現(xiàn)共享主機資源，桌面終端無需許可，大幅減少硬件投資和軟件許可證開銷，綠色環(huán)保，省電省維護，是信息發(fā)展時代的高端產(chǎn)品！僅需在云服務器進行設(shè)置，您做的僅僅是接上網(wǎng)線，顯示器及鼠標鍵盤，輕輕按下電源開關(guān)，云終端用戶即可進行業(yè)務操作，亦可暢游網(wǎng)絡，實施非常方便。服務端統(tǒng)一管理終端，升級維護工作都在服務端進行，真正做到終端接近零維護。云終端是網(wǎng)絡共享器及電腦共享器拖機卡的升級版，據(jù)說是帶有三個USB口，可以接USB鍵盤鼠標打印機 U盤的，還有音頻輸出輸入接口，也有寬屏液晶的分辨率，可以支持普通全屏電影，實現(xiàn)的功能越來越多了。目前來看，所為的云終端有兩種：1專業(yè)的云終端設(shè)備；2智能手機、平白電腦等。

3 云中數(shù)據(jù)

隨著云計算技術(shù)的逐步成熟，它給IT應用帶來的商業(yè)價值越來越明顯的表現(xiàn)出來，相對于傳統(tǒng)的軟件架構(gòu)，云計算運營和支持方面的成本更低廉，但同時又能夠獲得更快速的部署能力，近乎無限的伸縮性等收益。然而，盡管云計算帶來的價值是如此之巨大，但是仍然有諸多企業(yè)在云計算和傳統(tǒng)軟件架構(gòu)中選擇了后者，其原因很大程度上在于云計算領(lǐng)域中，有關(guān)企業(yè)數(shù)據(jù)的安全問題沒有得到妥善的解決。一些分析機構(gòu)的調(diào)查結(jié)果顯示出，數(shù)據(jù)安全問題是企業(yè)應用遷移到云計算過程中的最大障礙之一。

3.1 云數(shù)據(jù)的存儲

怎樣保證存儲在云中的數(shù)據(jù)，不被其他人看到、不被其他人使用、刪除后沒有備份存在等等，云中的數(shù)據(jù)安全是個很大的課題。網(wǎng)絡內(nèi)的大量服務器承擔著為各個業(yè)務部門提供基礎(chǔ)設(shè)施服務的角色。隨著業(yè)務的快速發(fā)展，數(shù)據(jù)中心空間、能耗、運維管理壓力日趨凸顯。應用系統(tǒng)的部署除了購買服務器費用外，還包括數(shù)據(jù)中心空間的費用、空調(diào)電力的費用、監(jiān)控的費用、人工管理的費用，相當昂貴。如果這些服務器的利用率不高，對企業(yè)來說，無疑是一種巨大的浪費。這些關(guān)鍵應用系統(tǒng)已經(jīng)被使用Vmware服務器虛擬化解決方案。這解決企業(yè)信息化建設(shè)目前現(xiàn)有的壓力，同時又能滿足企業(yè)響應國家節(jié)能減排要求。而服務器虛擬化使網(wǎng)絡數(shù)據(jù)能夠獲得在效率、成本方面的顯著收益以及在綜合數(shù)據(jù)中心更具環(huán)保、增加可擴展性和改善資源實施時間方面的附加利益。但同時，數(shù)據(jù)中心的虛擬系統(tǒng)面臨許多與物理服務器相同的安全挑戰(zhàn)，從而增加了風險暴露，再加上在保護這些IT資源方面存在大量特殊挑戰(zhàn)，最終將抵消虛擬化的優(yōu)勢。尤其在虛擬化體系結(jié)構(gòu)將從根本上影響如何對于關(guān)鍵任務應用進行設(shè)計、部署和管理情況下，用戶需要考慮哪種安全機制最適合保護物理服務器和虛擬服務器。

3.2 虛擬服務的架構(gòu)

虛擬服務器基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務器的風險之外，同時也會帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過前期調(diào)研，總結(jié)了目前虛擬化環(huán)境數(shù)據(jù)傳輸?shù)膸c安全隱患。

虛擬機之間的互相攻擊----由于目前仍對虛擬化環(huán)境使用傳統(tǒng)的防護模式，導致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。隨時啟動的防護間歇----由于目前大量使用Vmware的服務器虛擬化技術(shù)，讓IT服務具備更高的靈活性和負載均衡。但同時，這些隨時由于資源動態(tài)調(diào)整關(guān)閉或開啟虛擬機會導致防護間歇問題。如，某臺一直處于關(guān)閉狀態(tài)的虛擬機在業(yè)務需要時會自動啟動，成為后臺服務器組的一部分，但在這臺虛擬機啟動時，其包括防病毒在內(nèi)的所有安全狀態(tài)都較其他一直在線運行的服務器處于滯后和脫節(jié)的地位。系統(tǒng)安全補丁安裝--目前虛擬化環(huán)境內(nèi)仍會定期采用傳統(tǒng)方式對階段性發(fā)布的系統(tǒng)補丁進行測試和手工安裝。雖然虛擬化服務器本身有一定狀態(tài)恢復的功能機制。但此種做法仍有一定安全風險。1.無法確保系統(tǒng)在測試后發(fā)生的變化是否會因為安裝補丁導致異常。2.集中的安裝系統(tǒng)補丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成本較大。

3.3 數(shù)據(jù)病毒防護

防病毒軟件對資源的占用沖突導致AV（Anti-Virus）風暴----目前在虛擬化環(huán)境中對于虛擬化服務器仍使用每臺虛擬操作系統(tǒng)安裝Offiescan防病毒客戶端的方式進行病毒防護。在防護效果上可以達到安全標準，但如從資源占用方面考慮存在一定安全風險。由于每個防病毒客戶端都會在同一個物理主機上產(chǎn)生資源消耗，并且當發(fā)生客戶端同時掃描和同時更新時，資源消耗的問題會愈發(fā)明顯。嚴重時可能導致ESX服務器宕機。通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡層和操作系統(tǒng)提供安全防護，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，病毒通過虛擬交換機傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護，提供創(chuàng)新的安全技術(shù)為虛擬環(huán)境提供全面的保護。

4 針對VMware虛擬系統(tǒng)病毒防護

針對VMware虛擬系統(tǒng)中通過VMshield接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝Agent程序，即虛擬主機系統(tǒng)無代理方式實現(xiàn)實時的病毒防護，這樣無需消耗分配給虛擬主機的計算資源和更多的網(wǎng)絡資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。

4.1 訪問控制

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和安全區(qū)域間的劃分，計算資源虛擬化后導致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。防火墻技術(shù)提供全面基于狀態(tài)檢測細粒度的訪問控制功能，可以實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity的防火墻同時支持各種泛洪攻擊的識別和攔截。

4.2 入侵檢測/防護

同時在主機和網(wǎng)絡層面進行入侵監(jiān)測和預防，是當今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，許多安全專家意識到，傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運行在虛擬化的網(wǎng)絡或系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網(wǎng)絡系統(tǒng)中所做的那樣。

例如，由于虛擬交換機不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡入侵監(jiān)測可能會變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對虛擬網(wǎng)絡內(nèi)部流量的時候?；谥鳈C的IDS系統(tǒng)也許仍能在虛擬機中正常運行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。

4.3 虛擬補丁防護

隨著新的漏洞不斷出現(xiàn)，許多公司在為系統(tǒng)打補丁上疲于應付，等待安裝重要安全補丁的維護時段可能是一段艱難的時期。另外，操作系統(tǒng)及應用廠商針對一些版本不提供漏洞的補丁，或者發(fā)布補丁的時間嚴重滯后，還有最重要的是，如果IT人員的配備不足，時間又不充裕，那么系統(tǒng)在審查、測試和安裝官方補丁更新期間很容易陷入風險。

4.4 完整性審計

可以針對系統(tǒng)支持依據(jù)基線的文件、目錄、注冊表等關(guān)鍵文件監(jiān)控和審計功能，當這些關(guān)鍵位置為惡意篡改或感染病毒時，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性?，F(xiàn)在，服務器系統(tǒng)日志和應用程序日志正以驚人的速度生成，這就可以詳細記錄下來IT活動。如果某位滿腹牢騷的員工企圖竊取數(shù)據(jù)，訪問了含有機密信息的數(shù)據(jù)庫，日志就有可能記錄下他的一舉一動，那樣別人只要檢查日志，就能確定是誰在什么時候從事了什么活動。日志提供了線索，企業(yè)利用這些線索就能追查所有用戶（不管是否不懷好意）的行蹤。

5 結(jié)語

總之，對日志進行管理會給組織帶來許多好處。它們讓組織意識到面臨的情況，并幫助組織開展行之有效的調(diào)查，例行的日志檢查及深入分析保存日志不但可以立即識別出現(xiàn)不久的安全事件、違反政策情況、欺詐活動以及運作問題，還有助于提供有用的信息，從而解決問題。

參考文獻：

[1] 張帥.安全云計算你準備好了嗎[M].2012.458-463.

[2] 游向峰打造安全的網(wǎng)絡環(huán)境之”云計算”[J].湖南師范大學學報，2009（16）：12-23.

[3] 薛質(zhì).信息安全技術(shù)基礎(chǔ)和安全策略[M].北京：清華大學出版社，2012.

[4] 門汝靜.近期網(wǎng)絡安全的特點與熱點[J].現(xiàn)代電信科技，2009（1）：14-17.

作者簡介：徐丹（1984—），男，本科，中級，研究方向：計算機、網(wǎng)絡、多媒體。