云環(huán)境下公共計算機機房信息安全防御技術(shù)

呂靜賢

（國家電網(wǎng)有限公司客戶服務(wù)中心信息運維中心 江蘇省南京市 211161）

云環(huán)境是指基于網(wǎng)絡(luò)技術(shù)的支撐下，可實現(xiàn)從動態(tài)化的虛擬資源庫中，向用戶提供多種能力服務(wù)的網(wǎng)絡(luò)空間。因此，云環(huán)境又被稱為大數(shù)據(jù)環(huán)境，屬于我國信息時代背景下戰(zhàn)略性的變革趨勢[1]。此外，結(jié)合當下市場內(nèi)發(fā)生的一些與云環(huán)境相關(guān)的信息失竊事件，可顯著看出，傳統(tǒng)的網(wǎng)絡(luò)信息安全問題在云環(huán)境中依舊存在，并且，由于云環(huán)境具備信息虛擬化、資源開放性強、彈性分配能力高等特點，信息在此環(huán)境中存儲又具備著新的威脅。由于計算機機房信息量巨大，且數(shù)據(jù)種類呈現(xiàn)多元化趨勢，傳統(tǒng)的信息安全管理措施無法全面保障所有信息的安全。為此，本文將基于云環(huán)境背景下，以公共計算機機房信息為例，開展對其的安全管理措施分析，從而實現(xiàn)為用戶提供更加安全的信息管理路徑，真實解決我國公共信息存在的安全隱患與失竊等問題。

1 云環(huán)境對公共計算機機房的影響

自我國提出云環(huán)境的概念以來，此項技術(shù)便作為一種高新技術(shù)，在信息時代背景下飛速發(fā)展。并且隨著云環(huán)境在市場的普及，一些與之相關(guān)的云音樂、云日志、云平臺等產(chǎn)品正逐步融入人們生活各個方面[2]。在此種社會背景下，無論是企業(yè)的生產(chǎn)建設(shè)或是信息的安全管理均發(fā)生了極大的變化。以公共計算機機房為例，具體如下。

在云環(huán)境的作用與影響下，公共計算機機房的網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生了改變，已實現(xiàn)了從傳統(tǒng)單一的網(wǎng)絡(luò)結(jié)構(gòu)向“多網(wǎng)融合”及“多網(wǎng)貫穿”的方向轉(zhuǎn)變。傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，機房的網(wǎng)絡(luò)結(jié)構(gòu)通常為IEE.01，此種網(wǎng)絡(luò)結(jié)構(gòu)是以有線結(jié)構(gòu)作為基礎(chǔ)，將3G 電網(wǎng)作為補充[3]。而伴隨著云環(huán)境在市場的普及，公共計算機機房的網(wǎng)絡(luò)設(shè)備被迫轉(zhuǎn)型，因此，其網(wǎng)絡(luò)結(jié)構(gòu)也實現(xiàn)了從傳統(tǒng)到IEE.22 的轉(zhuǎn)換，機房中存儲的信息也不再是以孤島的方式存在，而是以資源富集與大規(guī)模量化的方式存儲。

在云環(huán)境提供的多種計算機技術(shù)支撐下，機房可提供給用戶使用的功能更加多樣，傳統(tǒng)的公共計算機機房上運行的功能軟件，大多數(shù)以單機功能軟件為主，只有在實現(xiàn)藍牙互聯(lián)或信息共享的情況下，才可執(zhí)行數(shù)據(jù)資源傳輸。而在云環(huán)境背景的支撐下，公共計算機機房設(shè)備中運行的軟件大多具備資源共享或信息開放的特點，不僅可支持多元化數(shù)據(jù)的多路傳輸，同時也可實現(xiàn)網(wǎng)絡(luò)在區(qū)域的互聯(lián)。

隨著微電子技術(shù)與大數(shù)據(jù)技術(shù)的普及，移動終端設(shè)備走進了人們的生活。因此，公共計算機機房中不再以計算機設(shè)備作為獨立支撐設(shè)備，手機、移動電子設(shè)備、智能終端設(shè)備等也可作為機房的支撐設(shè)備，人們均可通過連接網(wǎng)絡(luò)的方式登錄機房信息安全共享平臺[4]。此外，在信息時代背景下，多元化的互聯(lián)網(wǎng)產(chǎn)品逐步誕生，不僅豐富了人們的日常生活，同時也實現(xiàn)了社交數(shù)據(jù)的共享，為云端在線支付等行為提供了便利條件的同時，滿足終端設(shè)備大規(guī)模數(shù)據(jù)的頻繁性行為。

2 云環(huán)境下公共計算機機房信息受到的威脅

根據(jù)中國互聯(lián)網(wǎng)通信中心的調(diào)查數(shù)據(jù)顯示，截至去年，我國的網(wǎng)絡(luò)注冊用戶數(shù)量已超過十億，互聯(lián)網(wǎng)在社會群體中的普及范圍已高達百分之九十五，盡管云環(huán)境為生活帶來了極大的便利條件，但由于此環(huán)境下信息的開放性過于強烈，因此受到外界的不確定干擾因素影響較大，一些不可知的因素均可對云環(huán)境下的信息造成威脅。下述將對公共計算機機房在云環(huán)境下面臨的風(fēng)險進行深入挖掘與分析。

伴隨著互聯(lián)網(wǎng)技術(shù)在人們生活中的普及，一些網(wǎng)絡(luò)病毒也呈現(xiàn)了空前活躍的狀態(tài)。例如，金山毒霸公布數(shù)據(jù)，在去年網(wǎng)絡(luò)中收集的疑似病毒樣本數(shù)量超過一個億，同比往年增長三倍，日均中毒的公共計算機臺數(shù)約達五百萬，且逐年正呈現(xiàn)上漲趨勢[5]。因此，由于病毒對公共計算機機房信息安全造成的威脅不容樂觀。且計算機病毒在網(wǎng)絡(luò)中具有結(jié)構(gòu)多變、無法預(yù)測等特點，一旦爆發(fā)便呈現(xiàn)急速增長趨勢。具體特點包括：種類與組織結(jié)構(gòu)不斷翻新、生成機制不斷優(yōu)化、防病毒軟件更新速度過慢，無法緊隨病毒的變化趨勢；防病毒軟件的開發(fā)門檻較低，一些非計算機程序員便可制定并發(fā)布防病毒軟件專利；網(wǎng)民均可使用編程工具制作爬蟲病毒等。上述提出的問題均為機房信息安全防治帶來了巨大的隱患與工作壓力。

除上述提出問題，結(jié)合我國本土安全部顯示的網(wǎng)絡(luò)調(diào)查數(shù)據(jù)，大部分公共計算機機房信息安全事故均由于用戶使用計算機操作不當所導(dǎo)致的。由于公共機房中人員的流動性較大，且不同用戶操作計算機的行為習(xí)慣不同，這種現(xiàn)象不僅對機房信息安全管理造成了一定難度，同時也使機房中計算機系統(tǒng)受到了不同程度的危險。例如，用戶一些習(xí)慣性違規(guī)操作可能會影響機房中系統(tǒng)與程序的穩(wěn)定性，且受到彈窗、廣告的影響，部分用戶在好奇心的作用下，點擊不明網(wǎng)站進入攜帶威脅的軟件，或用戶攜帶的移動插盤設(shè)備中具備影響因素，他們惡意刪除計算機文件、竊取隱私敏感信息或攜帶病毒，已對公共機房的安全環(huán)境造成了很大的影響。此外，一些新手用戶在面對復(fù)雜的網(wǎng)絡(luò)環(huán)境時，對于網(wǎng)絡(luò)中呈現(xiàn)的信息辨別能力較差，在惡意誘導(dǎo)下安裝了木馬程序，造成病毒在機房中肆虐，從而對信息造成威脅。

3 信息安全防御技術(shù)

為解決云環(huán)境下公共計算機機房信息的安全問題，應(yīng)針對機房內(nèi)不同信息的類型，公共計算機機房信息安全防御分為信息感知層、網(wǎng)絡(luò)傳輸層和應(yīng)用服務(wù)層，得到公共計算機機房信息安全防御系統(tǒng)的三層結(jié)構(gòu)。如圖1所示。

圖1：安全防御系統(tǒng)的三層體系結(jié)構(gòu)

3.1 針對機房信息制定“云安全”計劃

傳統(tǒng)的公共機房病毒防治工作是在計算機上安裝多種防病毒軟件，根據(jù)病毒的結(jié)構(gòu)與特征，對存儲的信息進行安全識別。但由于病毒的變化與更新速度過快，若不及時對病毒軟件進行改進，便無法識別信息中攜帶的新病毒種類。因此，利用云技術(shù)，將終端的病毒數(shù)據(jù)庫與公共機房中計算機設(shè)備進行信息導(dǎo)入，構(gòu)建終端的一體化防御體制，在源頭切斷病毒的入侵路徑。

制定“云安全”計劃，對計算機病毒的識別不再依賴于機房自身的病毒數(shù)據(jù)庫，而是依靠于終端互聯(lián)網(wǎng)的更新，在云計算技術(shù)的支撐下，可將市場內(nèi)所有計算機機房信息看作一個虛擬終端數(shù)據(jù)集合，無論任何一個端口的信息受到網(wǎng)絡(luò)威脅，都將觸發(fā)機房的安全警報。此時，病毒類型將在全網(wǎng)“通緝”，互聯(lián)網(wǎng)將成為一個巨大的殺毒軟件，使病毒無處躲藏，在真正意義上解決了公共機房計算機設(shè)備無法實時更新、升級成本高的問題。

3.2 基于Ghost技術(shù)完善機房信息安全修復(fù)工作

在上述相關(guān)工作的基礎(chǔ)上，使用互聯(lián)網(wǎng)時代為機房信息安全提供的Ghost 技術(shù)，對信息執(zhí)行安全備份行為。此種技術(shù)又被稱為“博客程序”，是在node.js 語言的支撐下開發(fā)的，具有存儲信息路徑多、支持多用戶同時在線、實時信息預(yù)覽、引擎簡約等優(yōu)勢。當公共計算機機房受到外界攻擊處于危險狀態(tài)時，終端計算機設(shè)備將自動啟動Ghost 程序，在病毒的干擾下對遭受到破壞的安全信息進行修復(fù)。

此技術(shù)按照使用范圍通常可分為單機版與多終端網(wǎng)絡(luò)版兩種類型，前者更適用于單一網(wǎng)絡(luò)環(huán)境下一對一的設(shè)備信息修復(fù)，而后者更適用于大型公共計算機機房信息的修復(fù)。綜合上述分析，基于ghost 技術(shù)的信息安全修復(fù)步驟如下：在公共機房的終端設(shè)備上安裝srv.exe 后綴文件，由用戶機執(zhí)行文件的批準申請（申請內(nèi)容中包括網(wǎng)卡指令與驅(qū)動備份指令）；在終端運行的.exe 文件中，選擇事先完成備份的鏡像文件，點擊待修復(fù)的磁盤與計算機網(wǎng)盤，在運行端審批cast 類型文件中選擇.multi 文件進行修復(fù)與備份設(shè)置；在終端點擊文件傳輸與發(fā)送功能按鍵，對受到安全威脅的文件進行修復(fù)操作?？傊?，此項技術(shù)的應(yīng)用不僅可解決云環(huán)境下機房信息的安全問題，同時也可以解決傳統(tǒng)機房中病毒資源庫升級的問題，在真正意義上縮短了不法信息的甄別時間。此外，應(yīng)用此項技術(shù)不僅可以實現(xiàn)對信息的修復(fù)與備份，同時也可對殺毒軟件或功能程序進行相同的備份與修復(fù)工作，操作方法同上。

3.3 引入還原卡技術(shù)備份公共機房信息數(shù)據(jù)

除上述提出措施，合理應(yīng)用還原卡技術(shù)對公共機房信息數(shù)據(jù)進行備份，也是解決云環(huán)境下解放信息安全的重要策略之一。在執(zhí)行工作中，為機房內(nèi)每臺終端計算機設(shè)備安裝一個還原卡芯片，當計算機啟動后，芯片將率先掌管計算機的行為控制權(quán)，并將cmos 與硬盤中的數(shù)據(jù)信息、ifat 文件引導(dǎo)讀取數(shù)據(jù)等備份到芯片中隱藏扇區(qū)內(nèi)。并在計算機硬盤中安排一塊隱蔽區(qū)域，用于存儲關(guān)鍵信息或擔保數(shù)據(jù)。這樣在還原卡的應(yīng)用下，用戶對公共機房內(nèi)所有的信息數(shù)據(jù)的操作行為均可被保護，也可認為用戶在修改設(shè)備信息時，并不是在真正意義上對信息進行了操作，而是執(zhí)行了某種應(yīng)用程序，其程序在經(jīng)過還原芯片的檢測無危險后才可執(zhí)行最終的修改操作。采用此種方式，即便機房內(nèi)信息被威脅或受到了病毒的惡意篡改，當重啟計算機后，所有信息都將恢復(fù)到原始的安全狀態(tài)。

4 結(jié)束語

在云環(huán)境下的信息資源呈現(xiàn)集中化與規(guī)?；攸c，無論是企業(yè)的生產(chǎn)效率，或者是信息資源的儲備量，均得到了很大的提升空間。盡管這種環(huán)境為產(chǎn)業(yè)的發(fā)展提供了極大的便利條件，但與此同時也對行業(yè)資產(chǎn)與信息的建設(shè)造成了一定的威脅。產(chǎn)生這種安全隱患的主要原因是，用戶在使用云端服務(wù)軟件時，一些數(shù)據(jù)及操作行為不在遠程監(jiān)控轄區(qū)管理范圍內(nèi)，同時一些相關(guān)云環(huán)境的安全問題的解決方案又極難部署在問題出現(xiàn)前。為了解決這種問題，改善信息存儲現(xiàn)狀，本文結(jié)合云環(huán)境下信息資源的特點，以公共計算機機房信息為例，開展對信息安全管理的措施分析，樹立相關(guān)人員正確的信息維護意識，從而營造一個良好的信息資源存儲環(huán)境，為使用者提供更加便利條件的同時，實現(xiàn)我國信息技術(shù)的高速發(fā)展與建設(shè)。