王 昊

（中通服咨詢?cè)O(shè)計(jì)研究院有限公司，江蘇 南京 210019）

1 云安全的核心技術(shù)

1.1 Web信譽(yù)服務(wù)

云安全技術(shù)主要是以連接全信譽(yù)數(shù)據(jù)庫(kù)的形式來(lái)分析惡意軟件行為，同時(shí)具備評(píng)估網(wǎng)站信譽(yù)分值的功能。在這個(gè)過(guò)程中，參考的依據(jù)是可疑網(wǎng)站的站點(diǎn)位置變化等因素，以此判斷可疑網(wǎng)站的可信度和風(fēng)險(xiǎn)系數(shù)，隨后將已經(jīng)收集到的數(shù)據(jù)及時(shí)反饋給用戶并且發(fā)出風(fēng)險(xiǎn)警報(bào)，防止用戶誤入網(wǎng)站而造成經(jīng)濟(jì)損失[1]。其詳細(xì)的防御運(yùn)作流程如圖1所示。

圖1 云安全防御運(yùn)作流程

1.2 E-mail信譽(yù)服務(wù)

E-mail信譽(yù)服務(wù)技術(shù)主要用于檢測(cè)網(wǎng)絡(luò)郵件信息的源地址，判斷網(wǎng)絡(luò)系統(tǒng)接收到的郵件是否安全，進(jìn)而將網(wǎng)絡(luò)風(fēng)險(xiǎn)降至最低。在E-mail信譽(yù)服務(wù)技術(shù)工作過(guò)程中，如果云安全技術(shù)檢測(cè)到某個(gè)郵件攜帶病毒時(shí)會(huì)自動(dòng)發(fā)出刪除或者攔截該郵件命令，同時(shí)將惡意郵件的源地址詳細(xì)記錄下來(lái)，便于日后對(duì)該地址進(jìn)行防御，避免類似郵件對(duì)用戶造成二次攻擊。

1.3 自動(dòng)反饋機(jī)制

自動(dòng)反饋機(jī)制是云安全技術(shù)的核心所在，自動(dòng)反饋機(jī)制主要是指在監(jiān)測(cè)系統(tǒng)支持下，實(shí)時(shí)監(jiān)測(cè)某個(gè)用戶的路由信譽(yù)，如果發(fā)現(xiàn)用戶的路由信譽(yù)存在問(wèn)題會(huì)立即將其反饋至整個(gè)網(wǎng)絡(luò)中，同時(shí)采取相應(yīng)措施對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)加以更新，防止類似問(wèn)題的再次發(fā)生?？梢?jiàn)通過(guò)對(duì)云安全技術(shù)中自動(dòng)反饋機(jī)制的有效利用，不僅可以提高企業(yè)網(wǎng)絡(luò)安全的主動(dòng)性，還提升了企業(yè)網(wǎng)絡(luò)安全的有效性，為實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)打下堅(jiān)實(shí)基礎(chǔ)[2]。

2 企業(yè)網(wǎng)絡(luò)安全與需求

2.1 用戶安全

企業(yè)網(wǎng)絡(luò)當(dāng)中所涉及到的用戶一般包括2個(gè)方面的主體，一是網(wǎng)絡(luò)管理員主體，二是網(wǎng)絡(luò)用戶主體。站在企業(yè)網(wǎng)絡(luò)安全的角度上看，前者在企業(yè)網(wǎng)絡(luò)中享有最高權(quán)限，作為企業(yè)網(wǎng)絡(luò)管理員，其不僅應(yīng)具備扎實(shí)的網(wǎng)絡(luò)安全知識(shí)及技能，更要有良好的綜合素質(zhì)與能力，如道德品質(zhì)過(guò)硬、精通企業(yè)管理等，這樣才能夠在企業(yè)網(wǎng)絡(luò)實(shí)踐中更好地管理用戶操作；而后者在企業(yè)網(wǎng)絡(luò)中則主要是基于自身許可范圍內(nèi)的網(wǎng)絡(luò)權(quán)限，進(jìn)行相應(yīng)的資源訪問(wèn)以及操作，作為企業(yè)網(wǎng)絡(luò)用戶，其不應(yīng)有越權(quán)訪問(wèn)的情況，也要防止自身登錄名、口令等出現(xiàn)泄露。

2.2 網(wǎng)絡(luò)平臺(tái)安全

在企業(yè)網(wǎng)絡(luò)平臺(tái)安全方面，主要涵蓋以下需求：一是企業(yè)網(wǎng)絡(luò)平臺(tái)基礎(chǔ)設(shè)施環(huán)節(jié)的安全，包括了軟件與硬件2個(gè)部分，前者一般涉及系統(tǒng)安全、通信安全、安全管理軟件安全等，后者則一般涉及硬件的機(jī)械及物理安全等；二是企業(yè)網(wǎng)絡(luò)平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)環(huán)節(jié)的安全，一般涉及有局域網(wǎng)子網(wǎng)安全、廣域網(wǎng)連接安全等；三是企業(yè)網(wǎng)絡(luò)平臺(tái)傳輸環(huán)節(jié)的安全，一般涉及針對(duì)機(jī)密信息、局域網(wǎng)信息、外部信息等采取加密處理，以及針對(duì)內(nèi)部局域網(wǎng)信息加以身份認(rèn)證等[3]。

2.3 網(wǎng)絡(luò)邊界隔離與訪問(wèn)控制

對(duì)于該環(huán)節(jié)工作而言，主要需關(guān)注以下3個(gè)方面的內(nèi)容。一是其一，訪問(wèn)控制的改善?？紤]到企業(yè)網(wǎng)絡(luò)安全本身的特點(diǎn)與需求，應(yīng)當(dāng)對(duì)其網(wǎng)絡(luò)邊界加以隔離，為此實(shí)踐中可以采取幀中繼網(wǎng)絡(luò)以及訪問(wèn)控制方式，從內(nèi)部角度上看，各部門(mén)均存在網(wǎng)絡(luò)訪問(wèn)要求，構(gòu)建網(wǎng)絡(luò)安全體系時(shí)必須要嚴(yán)禁非法用戶訪問(wèn)。另外，企業(yè)網(wǎng)絡(luò)系統(tǒng)涵蓋諸多機(jī)密信息，對(duì)此應(yīng)當(dāng)把安全等級(jí)劃成不同子網(wǎng)，并落實(shí)好相應(yīng)的隔離裝置，進(jìn)而避免企業(yè)機(jī)密信息受到未經(jīng)授權(quán)用戶的訪問(wèn)。二是，統(tǒng)一出口要求。在進(jìn)行網(wǎng)絡(luò)訪問(wèn)的過(guò)程當(dāng)中，企業(yè)方面以及其下屬單位更多借助2個(gè)出口，這要求管理員能夠著力統(tǒng)一出口要求。三是，單點(diǎn)故障方面。在企業(yè)網(wǎng)絡(luò)中，防火墻扮演了邊界路由器角色，一旦其出現(xiàn)故障就會(huì)波及用戶并制約企業(yè)業(yè)務(wù)，因此針對(duì)單點(diǎn)故障須給予充分重視，防止出現(xiàn)不確定性損失[4]。

2.4 內(nèi)部網(wǎng)絡(luò)安全

站在企業(yè)內(nèi)部的角度上來(lái)看，涉及有關(guān)信息、訪問(wèn)等方面的權(quán)限，其往往都有各自程度的差異，為此把網(wǎng)絡(luò)劃分成各子網(wǎng)，并且基于企業(yè)自身內(nèi)部需求，隔離各子網(wǎng)，特別是針對(duì)企業(yè)內(nèi)部機(jī)密信息，要嚴(yán)格禁止它連接到共享網(wǎng)絡(luò)。另一方面，內(nèi)部辦公領(lǐng)域還涉及到諸多終端連接環(huán)節(jié)，想要妥善保障好相關(guān)用戶主體的安全，作為企業(yè)要充分重視管理員方面的工作，既要注重把關(guān)管理員個(gè)人素質(zhì)與能力，又要對(duì)其權(quán)限加以合理分配。企業(yè)網(wǎng)絡(luò)安全的具體方案如圖2所示。

圖2 企業(yè)網(wǎng)絡(luò)安全方案

3 基于云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

3.1 云安全技術(shù)應(yīng)用的基本原則

將云安全技術(shù)應(yīng)用于企業(yè)網(wǎng)絡(luò)安全中應(yīng)該遵循以下幾項(xiàng)基本原則。

（1）需求、風(fēng)險(xiǎn)及代價(jià)均衡原則。安全因素是無(wú)法從根本上進(jìn)行控制的，只能對(duì)可能出現(xiàn)的安全威脅加以分析，以此制定相匹配的安全措施。

（2）系統(tǒng)性和綜合性原則。借助多元化手段提高網(wǎng)絡(luò)系統(tǒng)安全性，期間還要對(duì)各類網(wǎng)絡(luò)安全措施進(jìn)行合理利用，密切關(guān)注設(shè)備、數(shù)據(jù)等的影響，在此基礎(chǔ)上構(gòu)建完善的網(wǎng)絡(luò)安全體系。

（3）并行原則。如果能夠嚴(yán)格遵循并行原則可以使安全體系結(jié)構(gòu)和網(wǎng)絡(luò)安全需求相一致。在設(shè)計(jì)過(guò)程中，有必要從多個(gè)層面進(jìn)行考慮，一方面將支出成本降至最低，另一方面保證整體安全效果。

（4）先進(jìn)性、適應(yīng)性及分布性原則。網(wǎng)絡(luò)規(guī)模的逐漸擴(kuò)大，使網(wǎng)絡(luò)受外界環(huán)境干擾和破壞的幾率也隨之增加，這時(shí)要想解決現(xiàn)存的網(wǎng)絡(luò)安全問(wèn)題，還需要不斷引入先進(jìn)新型技術(shù)并貫徹落實(shí)安全思想。除此以外，需要遵循實(shí)用性、可靠性等原則，合理選用計(jì)算機(jī)設(shè)備以及相關(guān)技術(shù)，保證將企業(yè)網(wǎng)絡(luò)安全性提升到新的高度。

3.2 云安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的具體應(yīng)用

在企業(yè)網(wǎng)絡(luò)安全中，云安全技術(shù)的應(yīng)用主要涉及到以下幾方面內(nèi)容。

（1）云平臺(tái)物理安全。在系統(tǒng)防御過(guò)程中，物理安全屬于第一道防線，可以讓用戶合法對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，有效防止非法竊取用戶資料等現(xiàn)象的發(fā)生。云平臺(tái)物理安全包含環(huán)境安全、設(shè)備位置及保護(hù)2點(diǎn)內(nèi)容，以環(huán)境安全為例，云數(shù)據(jù)中心能夠根據(jù)企業(yè)情況合理選用相應(yīng)設(shè)備。

（2）云平臺(tái)的訪問(wèn)控制。在云環(huán)境背景下，面向服務(wù)架構(gòu)（Service-Oriented Architecture，SOA）體系可以對(duì)組建模型進(jìn)行合理化使用，強(qiáng)化網(wǎng)絡(luò)系統(tǒng)的同時(shí)提高云安全技術(shù)的有效利用，對(duì)于企業(yè)而言，應(yīng)用SOA體系可以實(shí)現(xiàn)收益與風(fēng)險(xiǎn)的平衡，在企業(yè)構(gòu)建一條完整的生態(tài)鏈，再借助云安全技術(shù)明確工作流程，全面提高企業(yè)工作效率。

（3）云安全數(shù)據(jù)庫(kù)的配置。從數(shù)據(jù)庫(kù)角度來(lái)講，要想提高軟件系統(tǒng)的容錯(cuò)能力，需要根據(jù)任務(wù)合理為操作系統(tǒng)軟件分配各項(xiàng)資源，同時(shí)需要密切關(guān)注云安全監(jiān)控問(wèn)題，待以上工作結(jié)束后需要及時(shí)開(kāi)展云環(huán)境風(fēng)險(xiǎn)評(píng)估工作，為企業(yè)開(kāi)展各項(xiàng)工作提供有利支持，也將安全風(fēng)險(xiǎn)控制在最低水平[5]。

（4）云安全審計(jì)。首先需要采集網(wǎng)絡(luò)系統(tǒng)與業(yè)務(wù)層面的審計(jì)數(shù)據(jù)，完整記錄用戶的訪問(wèn)數(shù)據(jù)和相關(guān)信息，以此反映系統(tǒng)的操作情況，其次需要對(duì)審計(jì)數(shù)據(jù)加以細(xì)致化分析，最后實(shí)時(shí)監(jiān)控審計(jì)數(shù)據(jù)的變化情況并密切關(guān)注審計(jì)數(shù)據(jù)的呈現(xiàn)形式，如彈出窗口等。

（5）云服務(wù)的遷移、備份與恢復(fù)。網(wǎng)絡(luò)安全的3要素分別為可用性、機(jī)密性以及完整性，在這樣的背景下，可以將互聯(lián)網(wǎng)技術(shù)與云存儲(chǔ)2者搭配使用，即使已經(jīng)發(fā)生了系統(tǒng)癱瘓問(wèn)題，也因平臺(tái)自身具有良好的恢復(fù)能力使系統(tǒng)短時(shí)間恢復(fù)到正常狀態(tài)，同時(shí)有效降低了基礎(chǔ)架構(gòu)成本。

3.3 相關(guān)安全保障措施

相關(guān)安全保障措施包括以下幾點(diǎn)。

（1）防火墻和防水墻。網(wǎng)絡(luò)主交換機(jī)位置是防火墻所在區(qū)域，可以在內(nèi)網(wǎng)和外網(wǎng)之間構(gòu)建防火墻，用以分析和查看各類信息，防火墻會(huì)自動(dòng)拒絕不安全信息的流入。而防水墻則由多個(gè)部分組成，包括服務(wù)器、客戶端、控制臺(tái)，防水墻具有根據(jù)用戶傳輸數(shù)據(jù)對(duì)用戶行為進(jìn)行管理的功能。

（2）入侵防御系統(tǒng)（Intrusion Prevention System，IPS）和入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS）聯(lián)動(dòng)安全實(shí)現(xiàn)。企業(yè)網(wǎng)絡(luò)安全問(wèn)題涵蓋范圍較廣，在應(yīng)用云安全技術(shù)期間，需要對(duì)動(dòng)態(tài)保護(hù)機(jī)制與主動(dòng)保護(hù)機(jī)制進(jìn)行應(yīng)用，實(shí)時(shí)檢查網(wǎng)絡(luò)中的一些訪問(wèn)信息，此時(shí)應(yīng)該在防火墻基礎(chǔ)上使用IPS和IDS聯(lián)動(dòng)安全方式，分析各項(xiàng)異常操作的同時(shí)制定相應(yīng)的安全策略及防御措施。

（3）虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）的實(shí)現(xiàn)。VPN可以在企業(yè)內(nèi)部與客戶端之間建立安全通道，從根本上提高企業(yè)網(wǎng)絡(luò)安全等級(jí)，同時(shí)，VPN可以對(duì)用戶登錄進(jìn)行驗(yàn)證，合理為用戶分配權(quán)限。另外，VPN能夠保證傳輸數(shù)據(jù)的機(jī)密性，顯著提高用戶信息的安全性，防止他人惡意篡改信息。

（4）入侵檢測(cè)。在多種安全產(chǎn)品相互補(bǔ)充下，企業(yè)網(wǎng)絡(luò)安全性隨之提高IDS和VPN為例，IDS可以全面分析企業(yè)網(wǎng)絡(luò)中一些重要信息，判斷其是否存在不安全情況，而VPN則更加智能化，可以將已經(jīng)收集到的數(shù)據(jù)做出具體分析并給出相應(yīng)結(jié)果。

4 結(jié) 論

綜上所述，在互聯(lián)網(wǎng)時(shí)代下，企業(yè)運(yùn)營(yíng)發(fā)展與網(wǎng)絡(luò)之間的聯(lián)系正變得日益緊密。而在網(wǎng)絡(luò)環(huán)境下，各種不確定性因素時(shí)刻威脅著企業(yè)的信息安全，如果企業(yè)方面網(wǎng)絡(luò)安全水平低，或網(wǎng)絡(luò)安全建設(shè)存在隱患漏洞，則由此引發(fā)的網(wǎng)絡(luò)安全問(wèn)題可能會(huì)給企業(yè)帶來(lái)難以估量的損失，因此企業(yè)方面要采取行之有效的技術(shù)對(duì)策，持續(xù)強(qiáng)化自身網(wǎng)絡(luò)安全建設(shè)。目前來(lái)看，云安全技術(shù)作為時(shí)下熱點(diǎn)，已經(jīng)展現(xiàn)出了諸多優(yōu)勢(shì)，并且能夠滿足當(dāng)前企業(yè)日益增長(zhǎng)的網(wǎng)絡(luò)安全需求。作為企業(yè)方面，應(yīng)當(dāng)進(jìn)一步加深對(duì)于云安全技術(shù)的認(rèn)識(shí)和投入，基于該技術(shù)在自身網(wǎng)絡(luò)安全中的實(shí)踐應(yīng)用，帶動(dòng)企業(yè)網(wǎng)絡(luò)安全發(fā)展，使企業(yè)網(wǎng)絡(luò)安全得到有力保障，并為企業(yè)長(zhǎng)遠(yuǎn)發(fā)展提供可靠支持。