謝超江

關鍵詞：云計算；網絡信息；安全管理；管理策略

互聯(lián)網具有開放性特點，許多網絡信息受黑客、病毒等影響，容易出現(xiàn)被破壞、被盜等情況，可引入云計算技術，使網絡安全管理方式更加豐富且高效，如云安全管理系統(tǒng)、關聯(lián)分析法等，還可在模糊理論引導下，對網絡信息風險進行綜合評估，根據(jù)不同等級制定差異化的管理措施，以保證信息管理安全高效。

1云計算環(huán)境下網絡安全管理的常用方法

1.1云安全管理系統(tǒng)

與防火墻技術相比，云安全管理系統(tǒng)以“聯(lián)結性”為核心，將全部數(shù)據(jù)以云管理形式結合起來，充分發(fā)揮安全檢測、大數(shù)據(jù)等作用，使網絡數(shù)據(jù)得以保護，在傳輸、存儲期間免受安全威脅，從而更加安全可靠。該系統(tǒng)不但可保護因素數(shù)據(jù)，還可對安全組件參數(shù)進行動態(tài)監(jiān)控，當數(shù)據(jù)狀態(tài)異常時能夠迅速響應、自動糾正，使其得到全方位防護。該系統(tǒng)將數(shù)據(jù)挖掘、主動防御等技術相融合，創(chuàng)建分布式設計模式，使整體系統(tǒng)更具防御性、警惕性，在危險未發(fā)生前便可提前預警，有效修復漏洞[1]。

1.2關聯(lián)分析法

在云安全管理中，通常會使多個安全設備的信息相互關聯(lián)，使安全事件從原本的單一性變?yōu)檎w性，促進其協(xié)同、優(yōu)勢發(fā)展。與傳統(tǒng)安全管理技術相比，關聯(lián)分析法可深入挖掘多種數(shù)據(jù)間的關聯(lián)，尋找其中的規(guī)律與發(fā)展模式，進而提升系統(tǒng)防護力度。安管系統(tǒng)由日志工具、部署傳感器、探測器等組成，上述工具可為關聯(lián)分析提供便利。在其系統(tǒng)運行中，通過科學部署傳感器，對網絡內分散的數(shù)據(jù)進行采集并匯總，依靠大數(shù)據(jù)平臺傳輸和處理后，將有價值的信息納入安全數(shù)據(jù)庫中，以增強網絡安全防護性能。

1.3強化網絡安全防護

第一階段，對云系統(tǒng)安全漏洞進行全面掃描，達到清零效果，開展網絡安全技術普及工作，增強并優(yōu)化弱口令，開展?jié)B透測試、漏洞掃描等，及日寸發(fā)現(xiàn)和加固風險點；第二階段，采用安全設備開展實日寸檢測，對可疑、非法入侵的IP地址評估后將其封禁，并制定關鍵時期的網絡安全保障措施，以“人在網通，人走網斷”模式開展安全值守。結合網絡安全事故制定應急預案和處置程序，將存在安全問題的設備及時隔離，暫停相應服務，預防有害信息擴散，由相關管理部門調查取證后刪除。

2云計算環(huán)境下網絡安全管理的關鍵技術

2.1信息風險評估

從本質上看，風險評估是對安全風險等級進行判定，在模糊理論引導下，開展安全風險評估，流程如下。先要選擇評估指標，站在安全性角度，以網絡信息價值、信息威脅程度、薄弱點為關鍵指標，創(chuàng)建指標集合：

式中，A1代表的是信息價值；A2代表安全威脅；A3代表信息自身薄弱點。為使風險評估更加貼近實際，對j項指標賦予不同權限，并對各個指標權重值與真實風險因素的指標結果進行綜合分析，明確其風險等級。在此基礎上，采用層次分析法得出不同指標的權重，并創(chuàng)建判斷矩陣：

2.2分級信息處理

首先，制定信息管理分級原則。因網絡信息管理以計算機為基礎，采用存儲管理措施進行劃分，在權重計算階段，少數(shù)信息風險評級指標缺失，導致最終所得結果偏離實際，針對此種情況，應將其劃分到高風險區(qū)。其次，等級模糊信息應遵循標準進行分配，以免因計算失誤增加安全風險發(fā)生率。另外，對于不同等級信息實施差異化管理措施。以高風險信息為例，應采用國密算法進行加密處理，再用SM2公鑰密碼制定雙壁密鑰認證機制，并對現(xiàn)有電子認證系統(tǒng)與密鑰系統(tǒng)進行升級優(yōu)化。SM2算法具有較強的先進性，在傳輸速度、安全防護方面優(yōu)勢顯著，將其應用到網絡信息管理中，可將內部唯一性數(shù)據(jù)當作隨機密鑰，其生成模式為：

2.3網絡安全管理系統(tǒng)創(chuàng)建

2.3.1硬件設計

該系統(tǒng)的硬件以運行平臺、存儲服務器、集群控制點、虛擬管理節(jié)點、存儲控制器為主，彼此相互作用，并借助虛擬平臺傳輸信息，創(chuàng)建安全的通信環(huán)境，進而促進信息管理水平提升，系統(tǒng)結構如圖1所示。該平臺包括數(shù)據(jù)庫資源、集中監(jiān)控、網頁服務軟件等，根據(jù)云計算不同的需求，網絡資源可隨時擴充，以促進管理效率提升[3]。

2.3.2軟件設計

軟件層面可分為3個層次，一是基礎層，包括系統(tǒng)內的基礎設備，屬于運行的基本要素；二是操作層，依托計算機軟硬件相結合，使用戶需求得以滿足；三是中間層，其作用在于網絡資源的整理與類別劃分。上述層次協(xié)調開展，才可維護系統(tǒng)的安全穩(wěn)定。同時，軟件設計也應具備較強的實用性、兼容性，以適用于各類復雜環(huán)境，達到網絡監(jiān)控目的。在運行程序啟動后，用戶虛擬網絡部署策略傳遞到云控制器中，將用戶申請變成邏輯需求后，再傳遞到接收器，讀取設備當前狀態(tài)，判斷是否需要部署，若“需要”，則生成虛擬機擺放策略，并傳遞給云控制器，將其轉變?yōu)閷嶋H部署，結束整個運行流程；若“無需部署”，則判定是否重新部署，若“需要”，則等待下次請求，完成后續(xù)流程；若“不需要”，則直接結束整個流程。

3云計算環(huán)境下網絡安全管理技術的實際應用

3.1基本情況

以數(shù)字檔案館為例，在云計算出現(xiàn)前，傳統(tǒng)數(shù)字檔案館中的存儲設備多由自己提供與管理，因受資金與專業(yè)人才的限制，檔案館的數(shù)據(jù)安全管理很容易出現(xiàn)數(shù)據(jù)泄露的情況。在云計算出現(xiàn)后，數(shù)字檔案館中的數(shù)據(jù)可集中存儲到數(shù)據(jù)中心內，有效降低了被盜、受損、外泄的風險。

3.2安全管理技術

3.2.1創(chuàng)建可信云計算環(huán)境

將云計算與可信計算技術有機結合起來，創(chuàng)建可信云計算環(huán)境，其基本思想是在云中植入信任根，依靠信任鏈進行擴充，創(chuàng)建可信云，其模型如圖2所示。在該環(huán)境支持下，如同將資產放人銀行一樣放心，可在任何時間、任何地點在ATM中開展各類交易，在檔案館環(huán)境下，可使云計算環(huán)境安全得到極大的提升，為數(shù)字檔案安全存儲提供充足的技術保障。

3.2.2建立可控安全監(jiān)管體系

（1）用戶權限管理。在云環(huán)境下，館內根據(jù)用戶職責分成多個等級，對各級用戶采取不同的管理模式，并賦予相應的資源使用權限。對于管理員角色，可采用管理員與密鑰管理者權限分離的方式，避免出現(xiàn)非授權訪問情況：對于普通用戶，可根據(jù)等級來控制權限，還可加強存儲容器與對象ACL控制，以避免用戶信息泄露，從而維護信息安全。（2）訪問控制管理。云計算視域下，用戶身份直接關系到信息安全，應加強認證授權管理，才可使信譽良好的用戶訪問相應資源?？紤]到云環(huán)境的特殊性，無法要求用戶在使用每個云資源前都檢驗身份，可在館內系統(tǒng)登錄前統(tǒng)一認證身份，只有認證通過的用戶才可獲得授權，這樣用戶只需驗證一次身份，便可對后續(xù)瀏覽中的其他被授權資源進行訪問。（3）風險控制管理。云環(huán)境中的備份數(shù)據(jù)同樣可長期保存，雖然供應商對數(shù)據(jù)做好了備份，但館員同樣要加強風險管控，將館藏數(shù)據(jù)備份一套存儲到云端，當自身系統(tǒng)崩潰或者異地備份出現(xiàn)問題時，不至于檔案資源永久消失。另外，檔案館應制定完善的檔案安全風險機制，使館內檔案信息安全受到威脅日寸，能夠妥善處理。

3.3應用效果

在測試環(huán)境下，服務器子網由病毒防控中心、主機管控服務器、網絡安全審計器等構成，由交換機與測試網絡相連，為了簡化管理流程，提高應用效果，將FTPserver服務器接人系統(tǒng)中，可使入侵病毒得到量化輸出。另外，在兩個業(yè)務用戶子網內分別部署2臺測試計算機，再將USB Key準人客戶端安裝在計算機上，同樣利用交換機接人測試網絡內，具體配置如表1所列。

根據(jù)表2數(shù)據(jù)可知，傳統(tǒng)管理模式下病毒檢出率較低，防御能力有限，而本文方法能夠有效防御病毒入侵，成功入侵病毒數(shù)量為0。究其原因，本文系統(tǒng)在網絡信息安全管理中，根據(jù)模糊理論合理劃分安全等級，結合信息等級實施相應管理措施，以實現(xiàn)提高病毒樣本檢測率的目標。另外，該系統(tǒng)在運行中無異常情況產生，與傳統(tǒng)技術相比更適用于網絡信息管理，可達成安全管理預期。

4結束語

當前，網絡技術融人各行各業(yè)，信息私密性也隨之提升。在云計算環(huán)境下，網絡安全管理面臨更多的難題，管理難度也隨之增加，需要應用更加先進有效的技術解決實際問題。根據(jù)大量實踐研究可知，云安全管理系統(tǒng)的應用可對安全風險等級進行準確評估，有效降低系統(tǒng)被攻擊、數(shù)據(jù)被篡改和盜取的風險，與傳統(tǒng)技術相比，其網絡安全保障能力更強。