毛正雄

【摘要】 云數(shù)據(jù)中心實現(xiàn)了網(wǎng)絡(luò)的虛擬化，而傳統(tǒng)的安全防護策略大都建立在固定IP、靜態(tài)網(wǎng)絡(luò)的基礎(chǔ)之上，這使得傳統(tǒng)安全防護策略很難適應(yīng)云數(shù)據(jù)中心安全防護要求，因此，本文在對云數(shù)據(jù)中心、云數(shù)據(jù)中心安全防護目標(biāo)作出論述的基礎(chǔ)上，對云數(shù)據(jù)中心安全防護技術(shù)和解決方案進行了研究與探討。

【關(guān)鍵詞】 云數(shù)據(jù)中心 安全防護 防護挑戰(zhàn) 解決方案

一、云數(shù)據(jù)中心概述

云計算簡單而言就是一種以互聯(lián)網(wǎng)技術(shù)為依托的計算方式，借助云計算網(wǎng)絡(luò)上共享的各種信息以及軟硬件等其它資源，都可以根據(jù)用戶的實際需求被準(zhǔn)確的提供給包括計算機在內(nèi)的其它互聯(lián)網(wǎng)終端設(shè)備。云計算的出現(xiàn)對于數(shù)據(jù)中心的發(fā)展起到了很好的促進作用，在功能實現(xiàn)方面，迫使其從以往傳統(tǒng)的只是提供存儲設(shè)備租用以及機房空間，向著真正的按需分配的資源虛擬云數(shù)據(jù)中心轉(zhuǎn)型。就云數(shù)據(jù)中心的特點來講，其主要是通過對虛擬技術(shù)的采用來將網(wǎng)絡(luò)當(dāng)中的各種資源實施虛擬化操作，以為資源用戶之間的資源交互行為提供一種靈活多變的形式。

二、云數(shù)據(jù)中心安全防護目標(biāo)

云數(shù)據(jù)中心安全防護工作的目標(biāo)為在確保數(shù)據(jù)安全基礎(chǔ)之上，為數(shù)據(jù)使用者提供更好的服務(wù)。在實現(xiàn)這一目標(biāo)的過程中，云數(shù)據(jù)中心中數(shù)據(jù)的機密性、數(shù)據(jù)的完整性是十分關(guān)鍵的任務(wù)。

2.1數(shù)據(jù)的機密性

在云數(shù)據(jù)中心安全防護工作中，數(shù)據(jù)的機密性指的是數(shù)據(jù)的使用主體為授權(quán)用戶，而不能泄露，更不能被非授權(quán)用戶所使用。為了讓云數(shù)據(jù)中心的數(shù)據(jù)體現(xiàn)出機密性的特征，云數(shù)據(jù)中心安全防護需要從以下三個方面做出努力：首先，需要提升云數(shù)據(jù)中心安全防護管理工作隊伍專業(yè)素養(yǎng)，這一提升過程可以通過培訓(xùn)工作與人才引入工作來實現(xiàn)；其次，云數(shù)據(jù)中心安全防護工作要重視數(shù)據(jù)加密技術(shù)的廣泛應(yīng)用，如數(shù)據(jù)安全傳輸專用鏈路、云數(shù)據(jù)中心數(shù)據(jù)加密以及云數(shù)據(jù)中心用戶授權(quán)管理技術(shù)等。其中，數(shù)據(jù)安全傳輸專用鏈路主要是采用VPN、SSL、NAT等鏈路技術(shù)確保云數(shù)據(jù)中心數(shù)據(jù)傳輸鏈路的安全性能。

云數(shù)據(jù)中心數(shù)據(jù)加密則可以利用DES系統(tǒng)、ECC系統(tǒng)以及RSA系統(tǒng)等避免云數(shù)據(jù)中心中的數(shù)據(jù)被竊取，當(dāng)然，在加密技術(shù)的使用中，服務(wù)器內(nèi)部的攻擊是確保數(shù)據(jù)機密工作中面臨的重要挑戰(zhàn)，為此，數(shù)據(jù)加密過程和數(shù)據(jù)存儲服務(wù)之間需要具備一定的分離性，在此過程中，加密工作可以在云數(shù)據(jù)中心客戶端完成，而云存儲用戶所使用的不對稱密鑰則可以由第三方機構(gòu)進行管理。

當(dāng)前云數(shù)據(jù)中心的用戶授權(quán)體現(xiàn)出了粗粒度的特征，授權(quán)級別主要包括兩級，即云數(shù)據(jù)中心管理員以及從管理員受眾得到授權(quán)的以及用戶，由于這種訪問控制機制具有著一定的安全問題，因此高安全性的訪問管理技術(shù)和身體認(rèn)證技術(shù)是十分必要的。

2.2數(shù)據(jù)的完整性

在云數(shù)據(jù)中心安全防護工作中，確保數(shù)據(jù)不被蓄意或者偶然的重置、修改是重要的工作目標(biāo)之一，只有實現(xiàn)這一目標(biāo)，云數(shù)據(jù)中心的數(shù)據(jù)才能夠具備完整性。從影響云數(shù)據(jù)中心數(shù)據(jù)完整性的因素來看，這些因素包括自然災(zāi)害、設(shè)備故障、計算機病毒、誤碼等。從云數(shù)據(jù)中心數(shù)據(jù)完整性的防護手段來看，則主要包括預(yù)防數(shù)據(jù)丟失與恢復(fù)數(shù)據(jù)兩個方面。在云數(shù)據(jù)中心中，為了能夠保證數(shù)據(jù)在處理、傳輸以及存儲中具備完整性，管理人員進場會運用到分記處理、奇偶校驗、鏡像以及分級存儲等技術(shù)。事實上，在云計算環(huán)境中，如果運用IaaS進行存儲，則數(shù)據(jù)遷移需要承擔(dān)的成本較高，另外，數(shù)據(jù)集具有著明顯的動態(tài)化特征，因此，傳統(tǒng)的數(shù)據(jù)完整性檢驗機制很難得到良好的效果，為此，為了確保云數(shù)據(jù)中心數(shù)據(jù)的完整性，云數(shù)據(jù)中心安全防護工作者需要充分了解云計算環(huán)境所具有的特征，并使用復(fù)制服務(wù)器以及兩階段提交協(xié)議等技術(shù)，對云數(shù)據(jù)中心中數(shù)據(jù)的完整性做出檢驗。

三、面臨的挑戰(zhàn)

在IT技術(shù)迅猛發(fā)展的背景下，云數(shù)據(jù)中心體現(xiàn)出了逐步替代傳統(tǒng)數(shù)據(jù)中心的趨勢，在此過程中，云數(shù)據(jù)中心需要面臨虛擬安全域隔離以及虛擬機安全防護等諸多問題，這些問題的存在，在一定程度上制約著云數(shù)據(jù)中心得到更加廣泛的運用并體現(xiàn)出更大的應(yīng)用價值。云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化，會讓網(wǎng)絡(luò)邊界呈現(xiàn)出動態(tài)性的特征，因此，網(wǎng)絡(luò)安全系統(tǒng)對安全策略的制定與部署是至關(guān)重要的。具體而言，當(dāng)前云數(shù)據(jù)中心安全防護工作主要面臨著三個問題：首先，虛擬安全域的隔離問題以及虛擬機的防護問題。虛擬交換層是云數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化中新的網(wǎng)絡(luò)層次，這種網(wǎng)絡(luò)層次的出現(xiàn)導(dǎo)致了網(wǎng)絡(luò)管理邊界具有了模糊化的特點，與此同時，虛擬服務(wù)器難以被原有的網(wǎng)絡(luò)系統(tǒng)感知，因此，數(shù)據(jù)中心在安全隔離租戶虛擬域的工作中面臨著較大的挑戰(zhàn)；其次，云數(shù)據(jù)中心資源難以實現(xiàn)集中管理。在云數(shù)據(jù)中心中，一個數(shù)據(jù)流需要經(jīng)過多重檢測，在使用傳統(tǒng)方法開展這項工作的過程中，一般需要對不同類型的功能與設(shè)備進行簡化與堆疊，這一過程需要浪費消耗較多的軟硬件資源。另外，由于安全設(shè)備所具有的模型和接口存在著一定的差異，所以云數(shù)據(jù)中心資源的集中管理也較難實現(xiàn)；最后，安全策略如何實現(xiàn)全局協(xié)同，也是需要考慮的重要問題。在云數(shù)據(jù)中心中，安全控制策略和傳統(tǒng)的網(wǎng)絡(luò)安全控制策略具有著一定差異，安全防護工作需要針對應(yīng)用所具有的特性，對不同安全域進行有效區(qū)分，為制定出有效的安全策略，而為了避免產(chǎn)生策略沖突，這些安全策略也需要實現(xiàn)全局協(xié)同，這一問題是云數(shù)據(jù)中心安全防護工作中不得不面臨的挑戰(zhàn)之一。

四、技術(shù)

在當(dāng)前的云數(shù)據(jù)中心安全防護工作中，軟件定義網(wǎng)絡(luò)技術(shù)能夠發(fā)揮出不容忽視的作用，在這一技術(shù)的支撐下，經(jīng)過云化處理之后的邊界能夠形成良好的網(wǎng)絡(luò)結(jié)構(gòu)，并且也能夠確保用戶對存儲資源以及網(wǎng)絡(luò)資源做出良好的分割使用。于此同時，在軟件定義網(wǎng)絡(luò)基礎(chǔ)上衍生出的軟件定義安全技術(shù)以及網(wǎng)絡(luò)功能虛擬化技術(shù)等，也能夠有效確保云數(shù)據(jù)中心安全性，并提升云數(shù)據(jù)中心數(shù)據(jù)資源的利用效率。

4.1軟件定義網(wǎng)絡(luò)技術(shù)

2006年，斯坦福大學(xué)首次提出了軟件定義網(wǎng)絡(luò)，2012年，軟件定義網(wǎng)絡(luò)所具有的三層架構(gòu)也得到了行業(yè)內(nèi)的普遍認(rèn)可。軟件定義網(wǎng)絡(luò)所具有的三層架構(gòu)包括應(yīng)用層、控制層以及數(shù)據(jù)層，其中，控制層對網(wǎng)絡(luò)設(shè)備中所有的控制功能進行了繼承，并且具備可編程的特征，這讓控制層與數(shù)據(jù)層實現(xiàn)了分離，并讓數(shù)據(jù)層實現(xiàn)了簡化，在充分發(fā)揮這一優(yōu)勢特征的基礎(chǔ)上，數(shù)據(jù)的使用以及開發(fā)工作都會變得更加便捷，并且網(wǎng)絡(luò)與系統(tǒng)也能夠根據(jù)受眾的業(yè)務(wù)需求做出更加快速的響應(yīng)。在云數(shù)據(jù)中心安全防護中，軟件定義網(wǎng)絡(luò)技術(shù)具有著明顯的優(yōu)勢，首先在運用軟件定義網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，可以制定多租戶安全服務(wù)策略。軟件定義網(wǎng)絡(luò)控制器能夠?qū)W(wǎng)絡(luò)所具有的狀態(tài)信息進行感知，并可以對云數(shù)據(jù)中心安全策略和轉(zhuǎn)發(fā)策略進行聯(lián)合編譯，與此同時，軟件定義網(wǎng)絡(luò)技術(shù)還能夠根據(jù)租戶虛擬網(wǎng)絡(luò)拓撲以及租戶所提出的需求，將安全策略分布在不同的網(wǎng)絡(luò)節(jié)點之中，這一優(yōu)勢讓云數(shù)據(jù)中心安全策略得到了簡化。另外，基于軟件定義網(wǎng)絡(luò)架構(gòu)，云數(shù)據(jù)中心安全策略的實施工作與制定工作能夠?qū)崿F(xiàn)較好的隔離，在此基礎(chǔ)上，云數(shù)據(jù)中心安全策略的實施能夠體現(xiàn)出更好的靈活性；其次，在運用軟件定義網(wǎng)絡(luò)的基礎(chǔ)上，云數(shù)據(jù)中心能夠構(gòu)建起可復(fù)用的安全服務(wù)。軟件功能模塊化以及軟件功能的重構(gòu)，能夠讓云數(shù)據(jù)中心對公共處理模塊進行合并，從而對軟硬件性能進行優(yōu)化。當(dāng)然，實現(xiàn)不同控制模型以及接口的統(tǒng)一化，是發(fā)揮這一優(yōu)勢的必要前提；最后，在運用軟件定義網(wǎng)絡(luò)的基礎(chǔ)上，云數(shù)據(jù)中心資源可以得到集中的管理與控制。軟件定義網(wǎng)絡(luò)技術(shù)能夠為云數(shù)據(jù)中心提供全局網(wǎng)絡(luò)視圖，并能夠推動數(shù)據(jù)調(diào)配實現(xiàn)精細化，與此同時，軟件定義網(wǎng)絡(luò)技術(shù)通過對虛擬化安全設(shè)備和虛擬網(wǎng)絡(luò)進行協(xié)調(diào)，也能夠為云數(shù)據(jù)中心安全防護工作提供便利。

4.2網(wǎng)絡(luò)功能虛擬化技術(shù)

nfv網(wǎng)絡(luò)功能虛擬化技術(shù)指的是將電信設(shè)備運用于通用服務(wù)器，并將各類網(wǎng)元部署在存儲器、服務(wù)器、交換機等共同構(gòu)成的平臺之上，在此基礎(chǔ)上，應(yīng)用能夠?qū)μ摂M資源進行快速的減少和增加，并實現(xiàn)快速縮容與擴容，促使系統(tǒng)具備更好的網(wǎng)絡(luò)彈性。

在云數(shù)據(jù)中心安全防護工作中，網(wǎng)絡(luò)功能虛擬化技術(shù)體現(xiàn)出兩個明顯優(yōu)勢，首先，云數(shù)據(jù)中心租戶能夠利用一個平臺對不同租戶以及不同版本的網(wǎng)絡(luò)設(shè)備進行登錄，從而實現(xiàn)更好的資源共享；其次，云數(shù)據(jù)中心可以以租戶具體需求為依據(jù)，對自身服務(wù)能力進行降低或者特征，從而促使自身服務(wù)體現(xiàn)出更好的針對性。

五、解決方案

隨著信息化時代的到來，社會的數(shù)據(jù)化發(fā)展在給人們帶來極大的便利化的同時，信息、數(shù)據(jù)安全問題的發(fā)生也嚴(yán)重影響著人們的個人利益。為此，我們提倡大力發(fā)展云數(shù)據(jù)中心，構(gòu)建完善的云數(shù)據(jù)中心安全方案的主要目標(biāo)之一也是為了對用戶的個人信息、相關(guān)數(shù)據(jù)進行保護。但在邁入云計算數(shù)據(jù)中心時代之后，在云模式構(gòu)架的影響下，傳統(tǒng)數(shù)據(jù)安全方法遇到了巨大的挑戰(zhàn)，無論是抽象控制還是在物理邏輯方面都需要全新的數(shù)據(jù)安全策略。與此同時各種病毒威脅的發(fā)生以及計算機網(wǎng)絡(luò)在技術(shù)、方向方面的發(fā)展等也會引發(fā)各種網(wǎng)絡(luò)信息問題，從而對云數(shù)據(jù)安全造成極大的挑戰(zhàn)。因此，我們急需針對當(dāng)今各種網(wǎng)絡(luò)信息問題的產(chǎn)生特點，來開發(fā)和制定出一套先進的云數(shù)據(jù)中心安全防御方案，以此來為新時期云數(shù)據(jù)信息用戶以及云端信息的輸出，提供一個安全的信息流通環(huán)境。切實保護雙方安全利益，預(yù)防由信息危機而引發(fā)的各項社會安全問題的產(chǎn)生。由于云數(shù)據(jù)中心安全防護涉及范圍較廣，且面臨問題具有一定的復(fù)雜、多樣性。因此，我們對云數(shù)據(jù)中心安全方案的制定也必須從大的模式構(gòu)建和細小的體系建立兩個方面來做起，具體來講主要包括以下內(nèi)容：

5.1云計算應(yīng)用模式構(gòu)建

云計算英語模式作為云數(shù)據(jù)中心安全防護的主要構(gòu)成模式，其構(gòu)建完善與否在很大程度上將決定著云數(shù)據(jù)中心安全質(zhì)量的高低。為此，就云服務(wù)終端來講，其安全解決方案的建立首先要在其終端構(gòu)建起一個獨有的安全評估和防御體系，只有如此才能夠在云端與終端開展信息流動的過程中，將云端信息安全被侵?jǐn)_的幾率降到最低。為此，我們需要為每一臺終端機選擇并安裝，先進的防病毒、防火墻、惡意軟件查找以及IPS等安全軟件系統(tǒng)。極大的預(yù)防各類網(wǎng)絡(luò)安全攻擊事件的發(fā)生，防止個人計算機信息數(shù)據(jù)的泄露。與此同時，瀏覽器作為用戶與云端開展信息交流的重要媒介，其瀏覽器的安全與否也在很大程度上決定著云計算安全水平的提升。為此，我們必須必須積極面對，在定期對計算機病毒進行查找的同時，做好瀏覽器的補丁修護工作，極大的保證瀏覽器的安全運行。此外，由于終端當(dāng)中虛擬軟件通信不在網(wǎng)絡(luò)通信監(jiān)控范圍內(nèi)，其一旦發(fā)生匿名網(wǎng)絡(luò)攻擊云端在難以察覺的情況下，很容易受到其攻擊，為此我們還應(yīng)當(dāng)加強對虛擬軟件管理工作。通過完善的信息安全預(yù)防工作的實施，來從各個方面預(yù)防信息數(shù)據(jù)安全事故的發(fā)生，將安全隱患消滅于微。

5.2云數(shù)據(jù)防御體系建立

云數(shù)據(jù)防御體系的建立使得各種網(wǎng)絡(luò)病毒以及威脅能夠在很大程度上被云防御發(fā)現(xiàn)并杜絕，提升了云數(shù)據(jù)防御體系的安全預(yù)防能力。具體而言云數(shù)據(jù)防御體系的建立主要包括以下幾個方面：首先，構(gòu)建web信譽服務(wù)體系，這是云數(shù)據(jù)安全防護的關(guān)鍵也是重要組成部分之一，其預(yù)防措施要趕在web威脅發(fā)生之前，防護對象主要包括IP、網(wǎng)頁、網(wǎng)站等；其次，建立電子郵件信任模型，它主要是針對上面web信譽服務(wù)來進行優(yōu)化作業(yè)，以將web當(dāng)中那些包含不良信息的垃圾郵件直接在這一階段過濾掉，以防止這些已經(jīng)收到污染的不安全數(shù)據(jù)、信息對云端信息或計算機造成傳染性侵害，真正的將電子郵件的收發(fā)控制在合法范圍內(nèi)。此外還包括，行為關(guān)聯(lián)分析技術(shù)體系、自動反饋機制信任體系、以及威脅信息匯總體系的構(gòu)建。從功能和內(nèi)容上來講，無論何種體系的構(gòu)建起目的都是為了對云安全防御體系進行完善，不斷強化其安全防御能力，幫助計算機肅清其工作、運行環(huán)境，使其各方面功能得以良好的發(fā)揮。

參 考 文 獻

[1]申晉. 云計算數(shù)據(jù)中心安全面臨挑戰(zhàn)及防護策略探討[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（03）：65+67.

[2]張小梅，馬錚，朱安南，姜楠. 云數(shù)據(jù)中心安全防護解決方案[J]. 郵電設(shè)計技術(shù)，2016，（01）：50-54.

[3]黃海峰. 中國云數(shù)據(jù)中心安全市場茁壯成長 云主機和SDN帶來新挑戰(zhàn) 對話邁克菲北亞區(qū)技術(shù)總監(jiān)鄭林[J]. 通信世界，2013，（30）：40.

[4]薛峰，張慶福，張劍. “云”中的數(shù)據(jù)中心安全防護[J]. 中國教育網(wǎng)絡(luò)，2012，（09）：53-55.