◆楊秀云 王玉軍 劉 露

?

高校云計算數(shù)據(jù)中心網(wǎng)絡安全問題及防護措施

◆楊秀云 王玉軍 劉 露

(泰山醫(yī)學院現(xiàn)代教育技術中心 山東 271016)

近年來網(wǎng)絡攻擊技術和攻擊工具發(fā)展很快，網(wǎng)絡攻擊技術和攻擊工具的迅速發(fā)展使得各單位的網(wǎng)絡安全面臨越來越大的風險，尤其是高校的云計算數(shù)據(jù)中心，它集中承載著學校的各種業(yè)務及各種數(shù)據(jù)交換，成為黑客或不懷好意之人的攻擊對象，如何防護云計算數(shù)據(jù)中心的網(wǎng)絡安全，確保數(shù)據(jù)安全和業(yè)務穩(wěn)定，是所有高校技術部門面對和解決的問題。

云計算數(shù)據(jù)中心；網(wǎng)絡安全；防火墻

0 引言

云計算是一種新型的計算機技術，以其獨特的優(yōu)勢備受企業(yè)的青睞，目前在高校也不斷的應用。學校的各種業(yè)務及應用也陸續(xù)地入駐到云計算數(shù)據(jù)中心，業(yè)務及數(shù)據(jù)高度集中，網(wǎng)絡安全必須得到保障。了解當前云計算數(shù)據(jù)中心的各類網(wǎng)絡安全問題，并有針對地及時提出防護措施，已成為高校有關技術人員重點關注對象。

1 高校云計算數(shù)據(jù)中心網(wǎng)絡安全問題

高校建設的大多數(shù)都是私有云，其明顯特點是高度虛擬化，其中包括服務器、存儲、網(wǎng)絡等虛擬化，使各二級部門用戶可以按需靈活調用各種資源。因此云計算數(shù)據(jù)中心的整體網(wǎng)絡環(huán)境與傳統(tǒng)網(wǎng)絡環(huán)境有所不同，它共存物理網(wǎng)絡與虛擬網(wǎng)絡。高校云計算數(shù)據(jù)中心主要存在以下三方面的網(wǎng)絡安全問題：

1.1 計算機網(wǎng)絡環(huán)境安全問題

計算機硬件設備及其運行環(huán)境是計算機網(wǎng)絡系統(tǒng)運行的基礎，它們的安全直接影響著網(wǎng)絡安全。自然災害、設備自身的缺陷、設備自然損壞和受到機房環(huán)境干擾等自然因素，以及管理員操作方面的失誤等因素，都直接影響著計算機網(wǎng)絡環(huán)境的安全。由于云計算數(shù)據(jù)處理方式由傳統(tǒng)的單機處理方式轉變成數(shù)據(jù)中心集中處理機制，因此對計算機網(wǎng)絡環(huán)境提出了更高的要求，所以計算機網(wǎng)絡環(huán)境的安全問題仍為云計算環(huán)境下面臨的首要問題。

1.2 物理網(wǎng)絡安全問題

云計算環(huán)境中的物理網(wǎng)絡安全問題集中體現(xiàn)在數(shù)據(jù)通信過程中遭遇的安全威脅，如，DDoS 攻擊，這種攻擊方式利用云計算的處理瓶頸，向云計算服務器提交大量請求，從而使服務器超負荷，阻斷合法用戶正常訪問服務器等；用戶數(shù)據(jù)被監(jiān)聽或竊取，在云計算環(huán)境下黑客采取身份欺騙等攻擊手段來監(jiān)聽或竊取用戶數(shù)據(jù)，使用戶個人信息受到安全威脅；系統(tǒng)入侵以及篡改數(shù)據(jù)，黑客通過侵入云計算的用戶虛擬系統(tǒng)，對數(shù)據(jù)進行惡意增加、編輯或刪除，而造成數(shù)據(jù)破壞，或用戶虛擬機被黑客控制執(zhí)行虛擬貨幣挖礦、與惡意軟件通信，造成黑產牟利、C&C通信及信息丟失等嚴重后果。

1.3 虛擬網(wǎng)絡安全問題

云計算數(shù)據(jù)中心是基于虛擬化技術的虛擬環(huán)境，采用傳統(tǒng)的防火墻、入侵檢測工具并不能對云計算數(shù)據(jù)中心的網(wǎng)絡安全予以有效的保障。云計算環(huán)境下各用戶按需調用虛擬化資源，一個物理服務器中可能創(chuàng)建多個虛擬主機分配給多個用戶使用，在這種多用戶環(huán)境下如果監(jiān)管不利會威脅到用戶數(shù)據(jù)安全，并且虛擬機之間存在相互攻擊現(xiàn)象，如果不對其有效隔離，會造成數(shù)據(jù)通信不暢等不良現(xiàn)象。

2 高校云計算數(shù)據(jù)中心網(wǎng)絡安全防護措施

從以上云計算數(shù)據(jù)中心網(wǎng)絡安全問題分析來看，云計算數(shù)據(jù)中心網(wǎng)絡安全防護措施應該是一個系統(tǒng)性的安全防護體系，單純一種安全防護手段不可能解決全部網(wǎng)絡安全問題。

2.1 加強網(wǎng)絡安全技術防護措施

云計算數(shù)據(jù)中心的網(wǎng)絡安全技術防護措施應該從物理網(wǎng)絡和虛擬網(wǎng)絡兩方面同時入手防護。

（1）面向物理網(wǎng)絡的安全防護措施

在云計算數(shù)據(jù)中心物理網(wǎng)絡中，硬件防火墻、IDS或IPS、waf實時防護、安全審計堡壘機等多種安全措施防護，會有效保護云計算物理網(wǎng)絡環(huán)境綠色、健康。 如圖1云計算數(shù)據(jù)中心物理網(wǎng)絡安全防護。

圖1 云計算數(shù)據(jù)中心物理網(wǎng)絡安全防護

防火墻安全防護。在云計算數(shù)據(jù)中心入口串聯(lián)一道硬件防火墻，配置合理的控制策略，可以提供二到四層的網(wǎng)絡攻擊防護。

入侵檢測IDS/入侵防御IPS系統(tǒng)防護。在云計算數(shù)據(jù)中心入口或高校核心交換機出口并聯(lián)/串聯(lián)一層IDS/IPS系統(tǒng)防護，可以有效提供四到七層的應用安全防護。

waf實時防護。在云計算數(shù)據(jù)中心入口串聯(lián)該設備，能夠有效預防黑客利用應用程序漏洞入侵滲透，通過對http請求的檢測分析，為Web應用提供實時防護。

安全審計堡壘機防護。在高校核心交換機出口上串接，配置合理的策略，可以達到控制管理員對服務器的訪問，并且提供豐富的日志和審計功能，對所有運維操作能達到審計、監(jiān)控、控制和歷史回放效果。

（2）面向虛擬網(wǎng)絡的安全防護措施

云計算數(shù)據(jù)中心具有多個虛擬網(wǎng)卡和虛擬交換機等，不同vlan段的劃分、虛擬防火墻、虛擬IDS或虛擬IPS等多種安全措施防護，會有效保護云計算的虛擬網(wǎng)絡環(huán)境安全、可靠。如圖2云計算數(shù)據(jù)中心虛擬網(wǎng)絡安全防護。

圖2 云計算數(shù)據(jù)中心虛擬網(wǎng)絡安全防護

虛擬局域網(wǎng)vlan段的劃分防護。vlan具有杜絕廣播信息的網(wǎng)絡不安全性和靈活的管理等優(yōu)點。云計算數(shù)據(jù)中心虛擬網(wǎng)絡的虛擬流量，可以分為管理流量和業(yè)務流量，這兩種流量可以劃分為不同的虛擬局域網(wǎng)vlan段。高校業(yè)務流按業(yè)務重要級別也可以進一步細化分為核心業(yè)務流、重要業(yè)務流和一般業(yè)務流，不同重要級別的業(yè)務流可以走不同的vlan段。

虛擬防火墻防護。在云計算環(huán)境中，很多的數(shù)據(jù)交換在虛擬系統(tǒng)內部就完成了，但傳統(tǒng)防火墻的訪問控制無法透入虛擬化環(huán)境內部，另外，虛擬機之間存在互相攻擊和互相入侵現(xiàn)象，如果仍對虛擬化環(huán)境使用傳統(tǒng)防火墻的防護模式，這種安全隱患則無法防御。在云計算數(shù)據(jù)中心部署虛擬防火墻，可以有效抑制虛擬機病毒傳播及防護虛擬機之間的攻擊及入侵威脅。

虛擬IDS/IPS防護。由于云計算虛擬環(huán)境下不具備傳統(tǒng)監(jiān)測工具的運行條件，如不存在鏡像端口或不支持建立SPAN等等，因此，傳統(tǒng)的入侵監(jiān)測工具無法融入或運行在虛擬化的網(wǎng)絡中。而虛擬的入侵防護技術建立在云計算的數(shù)據(jù)交換及處理機制之上，能有效感知同一虛擬網(wǎng)段上的網(wǎng)絡流量，還能分析網(wǎng)絡行為，因此能為虛擬網(wǎng)絡提供更高的安全性。

2.2 加強云計算數(shù)據(jù)中心的管理

網(wǎng)絡技術的飛速發(fā)展帶給人們在享受便捷信息的同時，也帶來了無數(shù)的安全隱患。網(wǎng)絡安全的精髓，其實更多地集中于管理，而非技術。網(wǎng)絡安全可以說是三分技術七分管理。管理手段很多，如定期給技術人員進行技術培訓，逐步提高對網(wǎng)絡安全的認識，從而降低由于人為操作不當造成的安全隱患。高校相關技術人員掌握云計算數(shù)據(jù)中心涉及到的軟硬件產品的原理、特性等知識點，是保證云計算數(shù)據(jù)中心網(wǎng)絡安全的重要因素。

結合云計算數(shù)據(jù)中心的實際運行環(huán)境，制定合理的云計算數(shù)據(jù)中心的管理制度。首先是操作日志收集及審計和行為管理，如網(wǎng)絡設備日志、防火墻等安全設備日志、各類操作系統(tǒng)的日志、設備操作行為日志等，這些日志是反應網(wǎng)絡運行情況和網(wǎng)絡安全情況的最直接數(shù)據(jù)。其次將云計算數(shù)據(jù)中心的各類設備及網(wǎng)絡安全產品制定合理的巡檢周期，如每天對物理服務器、存儲器、交換機等硬件設備巡檢幾次，實時監(jiān)控IDS/IPS的報警平臺等。再次，加強機房溫濕度、空氣清潔度等環(huán)境的管理，制定合理的UPS供電、空調等設備的巡檢維護制度等。

3 總結

本文描述了高校云計算數(shù)據(jù)中心面臨的三類網(wǎng)絡安全問題，結合云計算高度虛擬化的特點，闡述了這三類網(wǎng)絡安全問題對應的防護措施。當前，網(wǎng)絡技術在飛速發(fā)展，云計算環(huán)境下網(wǎng)絡安全問題隨著網(wǎng)路技術的不斷更新而愈發(fā)嚴重，還需要進一步加大對此環(huán)境下網(wǎng)絡安全的防護力度，從而確保高校網(wǎng)絡健康、數(shù)據(jù)安全、業(yè)務穩(wěn)定不間斷。

[1]黎偉.云計算環(huán)境下網(wǎng)絡安全問題探究[J].計算機光盤軟件與應用，2013.

[2]葉嬌.云計算環(huán)境中計算機網(wǎng)絡安全問題研究[J].網(wǎng)絡安全技術與應用，2015.

[3]孫梅玲，李降宇，王寅永.基于虛擬化環(huán)境的信息安全防護體系構建[J].計算機光盤軟件與應用，2017.

[4]李菊茵.云計算環(huán)境下的網(wǎng)絡安全問題及應對措施探討[J].通訊世界，2015.

[5]袁媛.數(shù)據(jù)中心網(wǎng)絡的網(wǎng)絡安全分析[J].通信與信息技術，2017.

[6]閆盛，石淼.基于云計算環(huán)境下的網(wǎng)絡安全技術實現(xiàn)[J].計算機光盤軟件與應，2014.

[7]申晉.云計算數(shù)據(jù)中心安全面臨挑戰(zhàn)及防護策略探討[J].網(wǎng)絡安全技術與應用， 2016.

[8]荊宜青.云計算環(huán)境下的網(wǎng)絡安全問題及應對措施探討[J].網(wǎng)絡安全技術與應用，2015.