◆徐達(dá)飛

（中材集團(tuán)財(cái)務(wù)有限公司 北京 100102）

基于云計(jì)算的網(wǎng)絡(luò)安全評(píng)估

◆徐達(dá)飛

（中材集團(tuán)財(cái)務(wù)有限公司 北京 100102）

網(wǎng)絡(luò)安全評(píng)估是利用網(wǎng)絡(luò)安全感知技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)中蘊(yùn)含的安全性信息進(jìn)行多源異構(gòu)分析，從而為網(wǎng)絡(luò)安全運(yùn)行保駕護(hù)航。本文對(duì)基于云計(jì)算的網(wǎng)絡(luò)安全評(píng)估進(jìn)行研究，通過(guò)對(duì)云計(jì)算的定義、特點(diǎn)、分類及云安全核心技術(shù)和云計(jì)算網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行分析，從不同層次的角度設(shè)計(jì)基于云計(jì)算的網(wǎng)絡(luò)安全評(píng)估模型，對(duì)網(wǎng)絡(luò)安全所涉及到的各個(gè)方面進(jìn)行評(píng)估，以便于給出正確的云計(jì)算網(wǎng)絡(luò)安全問(wèn)題解決辦法。

云計(jì)算；網(wǎng)絡(luò)安全；評(píng)估策略

1 云計(jì)算概述

1.1 云計(jì)算定義

云計(jì)算是一種基于互聯(lián)網(wǎng)的計(jì)算，可以向計(jì)算機(jī)和其他設(shè)備按需提供共享計(jì)算機(jī)處理資源和數(shù)據(jù)。它是一種用于實(shí)現(xiàn)對(duì)可配置計(jì)算資源（例如計(jì)算機(jī)網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)）共享的無(wú)處不在的模型，其可以被快速地提供和釋放，管理高效快捷。云計(jì)算和存儲(chǔ)解決方案為用戶和企業(yè)提供了各種功能，以便在位于遠(yuǎn)離用戶的私人擁有或第三方數(shù)據(jù)中心來(lái)存儲(chǔ)和處理其數(shù)據(jù)，范圍涵蓋從一個(gè)城市到另一個(gè)城市。云計(jì)算依賴于資源共享來(lái)實(shí)現(xiàn)規(guī)模的連貫性和經(jīng)濟(jì)性，類似于電力網(wǎng)絡(luò)。云計(jì)算允許公司避免前期基礎(chǔ)設(shè)施成本，例如購(gòu)買服務(wù)器。此外，它使組織能夠?qū)Ｗ⒂谒麄兊暮诵臉I(yè)務(wù)，而不是花費(fèi)時(shí)間和金錢在計(jì)算機(jī)基礎(chǔ)設(shè)施上。云計(jì)算允許企業(yè)更快地啟動(dòng)和運(yùn)行應(yīng)用程序，提高可管理性，減少維護(hù)，并使信息技術(shù)（IT）團(tuán)隊(duì)能夠更快速地調(diào)整資源，以滿足波動(dòng)和不可預(yù)測(cè)的業(yè)務(wù)需求。

1.2 云計(jì)算特點(diǎn)

組織的敏捷性。云計(jì)算可以通過(guò)重新配置，添加或擴(kuò)展技術(shù)基礎(chǔ)架構(gòu)資源來(lái)提高用戶的靈活性，成本降低。公共云交付模型將資本支出轉(zhuǎn)換為運(yùn)營(yíng)支出。這意味著降低進(jìn)入門檻，因?yàn)榛A(chǔ)設(shè)施通常由第三方提供。此外，實(shí)施使用云計(jì)算的項(xiàng)目需要較少的內(nèi)部IT技能，成本節(jié)省取決于支持的活動(dòng)類型和內(nèi)部可用的基礎(chǔ)設(shè)施類型。

設(shè)備和位置獨(dú)立性。用戶能夠使用web瀏覽器訪問(wèn)系統(tǒng)，而不管他們的位置或他們使用什么設(shè)備。由于基礎(chǔ)設(shè)施是非現(xiàn)場(chǎng)的并且通過(guò)因特網(wǎng)訪問(wèn)，用戶可以從任何地方連接到它。云計(jì)算應(yīng)用的維護(hù)更容易，因?yàn)樗鼈儾恍枰惭b在每個(gè)用戶的計(jì)算機(jī)上，并且可以從不同的地方訪問(wèn)。多用戶性使得能夠在大量用戶群中共享資源和成本，從而在具有較低成本（例如房地產(chǎn)、電力等）的位置中集中化基礎(chǔ)設(shè)施，使得高峰負(fù)載容量增加，效率提高。高性能由服務(wù)提供商的IT專家監(jiān)控，并且使用Web服務(wù)作為系統(tǒng)接口，構(gòu)建一致和耦合的體系結(jié)構(gòu)。當(dāng)多個(gè)用戶可以同時(shí)處理相同的數(shù)據(jù)，而不是等待它被保存和通過(guò)電子郵件發(fā)送時(shí)，可以提高效率。

可靠性提高。這使得精心設(shè)計(jì)的云計(jì)算適合業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)，可靠性和彈性可以動(dòng)態(tài)調(diào)整，在自助服務(wù)基礎(chǔ)上實(shí)時(shí)提供資源。這使得當(dāng)使用需求增加或減少時(shí)，可以實(shí)現(xiàn)動(dòng)態(tài)調(diào)配。

安全性保障。由于數(shù)據(jù)的集中化，資源可以更高效地進(jìn)行管理與安全控制，服務(wù)提供商能夠投入資源解決許多客戶無(wú)法承受或者他們?nèi)狈夹g(shù)技能來(lái)解決的安全問(wèn)題。當(dāng)數(shù)據(jù)分布在更廣的區(qū)域或更大數(shù)量的設(shè)備上以及在由不相關(guān)用戶共享的多租戶系統(tǒng)中時(shí)，安全性的復(fù)雜性大大增加。

1.3 云計(jì)算分類

私有云。私有云是僅為單個(gè)組織運(yùn)行的云基礎(chǔ)設(shè)施，無(wú)論是自主管理還是由第三方管理，承接私有云項(xiàng)目需要大量資源的參與來(lái)虛擬化業(yè)務(wù)環(huán)境，并要求組織重新評(píng)估現(xiàn)有資源的決策。如果部署正確，它可以改善業(yè)務(wù)，項(xiàng)目的每一個(gè)步驟都需要提出安全措施，以防止嚴(yán)重漏洞的產(chǎn)生。數(shù)據(jù)中心通常是資源密集型的，它們具有物理存儲(chǔ)特性，需要分配空間，進(jìn)行硬件和環(huán)境控制。

公共云。當(dāng)通過(guò)公開(kāi)使用的網(wǎng)絡(luò)提供服務(wù)時(shí)，服務(wù)器被稱為公共云。公共云服務(wù)可以是免費(fèi)的，技術(shù)上，在公共和私有云架構(gòu)之間可能存在很少的或沒(méi)有差別。然而，對(duì)于服務(wù)提供商對(duì)于公眾而言可用的服務(wù)（應(yīng)用、存儲(chǔ)和其他資源）的安全性考慮可能是不同的，并且當(dāng)通信通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)時(shí)更為明顯。通常，像亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）、微軟和谷歌這樣的公共云服務(wù)提供商在其數(shù)據(jù)中心擁有和運(yùn)營(yíng)基礎(chǔ)設(shè)施，并且通常通過(guò)互聯(lián)網(wǎng)訪問(wèn)。

混合云。混合云是兩個(gè)或更多云的組合，它們保持不同的實(shí)體，但綁定在一起，提供多個(gè)部署模型?；旌显埔馕吨€可以能夠?qū)⒃瀑Y源連接到管理和專用服務(wù)?；旌显品?wù)被定義為由來(lái)自不同服務(wù)提供商的私有云、公共云和社區(qū)云服務(wù)的某種組合組成的云計(jì)算服務(wù)。混合云服務(wù)跨越隔離和提供商邊界，使其不能簡(jiǎn)單地放在一類私有、公共或社區(qū)云服務(wù)中。它允許通過(guò)聚合、集成或與另一云服務(wù)的定制來(lái)擴(kuò)展云服務(wù)的容量或能力。組織可以將敏感客戶端數(shù)據(jù)內(nèi)部存儲(chǔ)在私有云應(yīng)用上，但將該應(yīng)用與作為軟件服務(wù)的公共云上提供的商業(yè)智能應(yīng)用互連?；旌显茢U(kuò)展了企業(yè)通過(guò)添加外部可用的公共云服務(wù)來(lái)提供特定業(yè)務(wù)服務(wù)的能力。混合云采用取決于一些因素，如數(shù)據(jù)安全性和合規(guī)性要求，數(shù)據(jù)所需的控制級(jí)別以及組織使用的應(yīng)用程序。

2 網(wǎng)絡(luò)安全的發(fā)展

2.1 網(wǎng)絡(luò)安全的問(wèn)題

信息安全問(wèn)題是網(wǎng)絡(luò)的傳遞過(guò)程中面臨的信息被竊取、信息被篡改、信息被假冒和信息被惡意破壞等問(wèn)題。如電子的交易信息在網(wǎng)絡(luò)上傳輸過(guò)程中，可能被他人非法修改、刪除或重放，從而失去原有的真實(shí)性和完整性;網(wǎng)絡(luò)硬件和軟件問(wèn)題導(dǎo)致信息傳遞的丟失、錯(cuò)誤及一些惡意程序的破壞而導(dǎo)致信息遭到破壞等。因此，信息安全的要求就是要求信息傳輸?shù)陌踩浴⑿畔⒌耐暾约敖灰渍呱矸莸拇_定性。

2.2 網(wǎng)絡(luò)安全的策略

通過(guò)網(wǎng)絡(luò)安全認(rèn)證技術(shù)，對(duì)未得到認(rèn)證成功的用戶,一旦用戶打開(kāi)任意的網(wǎng)頁(yè),則會(huì)被重定向到指定的認(rèn)證頁(yè)面,該認(rèn)證頁(yè)面事實(shí)上就是一個(gè)門戶,進(jìn)入該門戶后不經(jīng)任何認(rèn)證就可訪問(wèn)網(wǎng)管人員指定的有限的內(nèi)容隨著網(wǎng)絡(luò)接入的發(fā)展,網(wǎng)絡(luò)安全認(rèn)證越來(lái)越展現(xiàn)出其優(yōu)點(diǎn)來(lái),不管實(shí)際視角還是商業(yè)視角網(wǎng)絡(luò)安全認(rèn)證均展現(xiàn)了它的價(jià)值: 需要像PPPOE那樣對(duì)協(xié)議單元進(jìn)行額外的封裝,就不會(huì)擠占協(xié)議的有效負(fù)載，從而不需要分片,不必加大客戶端及鏈路上路由器的設(shè)備壓力。檢測(cè)用戶離線、上線:這種基于WEB的認(rèn)證是在應(yīng)用層完成的,可能在檢測(cè)鏈路時(shí)會(huì)比較麻煩,計(jì)費(fèi)的準(zhǔn)確無(wú)誤取決于能否即時(shí)的感知用戶的上、下線。簡(jiǎn)單的放開(kāi)、終止用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限已經(jīng)不能滿足對(duì)當(dāng)今網(wǎng)絡(luò)運(yùn)營(yíng)管理的要求。作為關(guān)卡的網(wǎng)絡(luò)安全認(rèn)證服務(wù)器會(huì)暴露于所有的用戶,容易受到惡意的攻擊,而且在小眾的場(chǎng)所,人們處于成本的考慮更愿意使用個(gè)人計(jì)算機(jī)提供認(rèn)證服務(wù),相對(duì)的性能較低,更容易被黑客得手,在大型網(wǎng)絡(luò)中危害是極大的,導(dǎo)致用戶不能介入網(wǎng)絡(luò),影響生活和辦公。網(wǎng)絡(luò)的發(fā)展日益復(fù)雜多變,能不能適應(yīng)這種多變的環(huán)境,還是很值得驗(yàn)證的。

3 云計(jì)算在網(wǎng)絡(luò)安全中的應(yīng)用

為了切實(shí)保證云計(jì)算背景下的數(shù)據(jù)安全，需要對(duì)數(shù)據(jù)信息進(jìn)行相應(yīng)的加密和隔離措施，例如，可以采用第三方實(shí)名認(rèn)證的方式、數(shù)據(jù)備份、安全清除等方法，對(duì)數(shù)據(jù)安全進(jìn)行保護(hù)，同時(shí)要設(shè)置相應(yīng)的安全防護(hù)措施，針對(duì)病毒以及黑客的入侵進(jìn)行防范,保證數(shù)據(jù)的完整性和真實(shí)性。

要加強(qiáng)對(duì)于云計(jì)算背景下計(jì)算機(jī)用戶的權(quán)限管理,通過(guò)多重驗(yàn)證的方式,盡可能避免系統(tǒng)漏洞，不給黑客留下機(jī)會(huì)。例如,可以通過(guò)設(shè)置相應(yīng)的安全防范措施，對(duì)于用戶的權(quán)限進(jìn)行隨時(shí)檢測(cè)，對(duì)于敏感操作，如數(shù)據(jù)的修改、刪除、添加等,要進(jìn)行重復(fù)驗(yàn)證，防止不法分子對(duì)于數(shù)據(jù)資料的竊取和破壞，切實(shí)保證數(shù)據(jù)安全。

在網(wǎng)絡(luò)取證方面，由于用戶保密協(xié)議的存在，一直難以取得良好的進(jìn)展。在這種情況下，就需要用戶與云計(jì)算服務(wù)提供方的共同努力，對(duì)各自的責(zé)任以及應(yīng)盡義務(wù)進(jìn)行充分了解，通過(guò)雙方的配合，共同保證云計(jì)算的安全。對(duì)于用戶而言，要對(duì)虛擬平臺(tái)上的信息進(jìn)行驗(yàn)證，一旦發(fā)現(xiàn)問(wèn)題，要及時(shí)與提供方進(jìn)行聯(lián)系，從而減少數(shù)據(jù)信息面臨的風(fēng)險(xiǎn)。

總而言之,在當(dāng)前的時(shí)代背景下，云計(jì)算的發(fā)展和普及己經(jīng)成為計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的必然趨勢(shì)，其具有良好的市場(chǎng)前景以及巨大的潛力。因此，相關(guān)的技術(shù)人員要加強(qiáng)對(duì)于云計(jì)算背景下計(jì)算機(jī)安全問(wèn)題的分析，采取相應(yīng)的應(yīng)對(duì)措施，排除安全隱患，促進(jìn)云計(jì)算的持續(xù)健康發(fā)展。

[1]江曉慶，楊磊，何斌斌.未來(lái)新型計(jì)算模式—云計(jì)算[J].計(jì)算機(jī)與數(shù)字工程，2009.

[2]夏良，馮元.云計(jì)算中的信息安全對(duì)策研究[J].電腦知識(shí)與技術(shù)，2009.

[3]陳康，鄭緯民.云計(jì)算:系統(tǒng)實(shí)例與研究現(xiàn)狀[J].軟件學(xué)報(bào)，2009.

[4]陳樹(shù)平，侯賢良.計(jì)算機(jī)網(wǎng)絡(luò)中DES數(shù)據(jù)加密和解密技術(shù)[J].現(xiàn)代電子技術(shù)，2005.