施永勝 施永貴

摘要：本文分析了云計(jì)算環(huán)境下數(shù)據(jù)中心主要存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，采用多種措施構(gòu)建了云計(jì)算環(huán)境下基于等級(jí)保護(hù)2.0要求的數(shù)據(jù)中心網(wǎng)絡(luò)安全保障體系，為云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)能力建設(shè)提供了可以借鑒的方法。

關(guān)鍵詞：云計(jì)算;數(shù)據(jù)中心;網(wǎng)絡(luò)安全;等級(jí)保護(hù)2.0

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）11-0165-02

0 引言

云計(jì)算環(huán)境下數(shù)據(jù)中心提供云服務(wù)已經(jīng)成為IT服務(wù)市場的主要模式，“棱鏡門”事件爆發(fā)以來，各級(jí)黨政部門對(duì)于云計(jì)算環(huán)境下數(shù)據(jù)中心安全提升到國家關(guān)鍵基礎(chǔ)設(shè)施安全的高度，加強(qiáng)云計(jì)算數(shù)據(jù)中心的安全防護(hù)能力建設(shè)是當(dāng)前急需解決的重要問題。云計(jì)算環(huán)境下數(shù)據(jù)中心信息安全等級(jí)保護(hù)三級(jí)網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)涉及物理安全、網(wǎng)絡(luò)安全、計(jì)算環(huán)境等多個(gè)方面，本文僅研究云計(jì)算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制問題。

1 云計(jì)算環(huán)境下數(shù)據(jù)中心面臨主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1.1 傳輸鏈路單一、保密措施缺失

數(shù)據(jù)中心傳輸系統(tǒng)的安全主要包括網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)合理、信息傳輸安全和可信驗(yàn)證等方面。網(wǎng)絡(luò)架構(gòu)合理與否直接影響業(yè)務(wù)承載，數(shù)據(jù)中心通信設(shè)備要求具備一定的冗余，信息傳輸安全要求傳輸鏈路具備一定的冗余，傳輸網(wǎng)絡(luò)設(shè)備支持可信驗(yàn)證能力。常見主要問題有網(wǎng)絡(luò)帶寬無法滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求;網(wǎng)絡(luò)通信設(shè)備的處理能力無法應(yīng)對(duì)高峰期的業(yè)務(wù)需求;安全區(qū)域、子網(wǎng)網(wǎng)段和VLAN劃分不合理;網(wǎng)絡(luò)通信傳輸未采用加密或者校驗(yàn)碼技術(shù)保證完整性和保密性。

1.2 邊界安全管控與防護(hù)缺失

網(wǎng)絡(luò)邊界安全管控與防護(hù)主要包括網(wǎng)絡(luò)安全邊界防護(hù)、訪問控制、入侵防護(hù)及邊界安全行為審計(jì)等。

網(wǎng)絡(luò)邊界檢查是基本的網(wǎng)絡(luò)安全邊界防護(hù)措施，首先在網(wǎng)絡(luò)上部署邊界檢查設(shè)備，對(duì)通過的網(wǎng)絡(luò)流量或數(shù)據(jù)進(jìn)行規(guī)則檢查，包括無線網(wǎng)絡(luò)的接入，因此不僅需要對(duì)外部非授權(quán)設(shè)備或用戶非法鏈接內(nèi)部網(wǎng)絡(luò)的行為檢查，還要檢查內(nèi)部非授權(quán)設(shè)備或用戶非法違規(guī)鏈接外部網(wǎng)絡(luò)的行為，以確保網(wǎng)絡(luò)邊界的完整性與安全性。

通過強(qiáng)化網(wǎng)絡(luò)安全防護(hù)措施，可以主動(dòng)阻斷信息系統(tǒng)的攻擊和網(wǎng)絡(luò)層、業(yè)務(wù)層的安全防護(hù)，確保核心設(shè)備和數(shù)據(jù)免受攻擊危害，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等。同時(shí)在網(wǎng)絡(luò)安全區(qū)域邊界建立審計(jì)機(jī)制，記錄與審計(jì)分析進(jìn)出網(wǎng)絡(luò)邊界的各種行為，協(xié)同主機(jī)審計(jì)、應(yīng)用審計(jì)及網(wǎng)絡(luò)審計(jì)，構(gòu)建多層次的網(wǎng)絡(luò)安全審計(jì)體系，確保網(wǎng)絡(luò)邊界安全管控與防護(hù)。

1.3 云計(jì)算環(huán)境安全保護(hù)缺失

云計(jì)算環(huán)境安全主要考慮終端主機(jī)層、應(yīng)用層的安全需求，主要包括訪問控制、身份鑒別、惡意代碼防范、入侵防范、安全審計(jì)、數(shù)據(jù)完整性與保密性、備份與恢復(fù)、可信驗(yàn)證、個(gè)人信息保護(hù)等方面。

系統(tǒng)管理部門需要對(duì)系統(tǒng)登錄分配不同權(quán)限的用戶，主機(jī)操作系統(tǒng)登錄、應(yīng)用系統(tǒng)登錄以及數(shù)據(jù)庫登陸要進(jìn)行身份驗(yàn)證，且用戶名和口令具有一定復(fù)雜度并定期更換，要提供兩種或兩種以上的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別，要考慮相應(yīng)的失敗處理機(jī)制，避免被網(wǎng)絡(luò)竊聽，造成對(duì)非授權(quán)資源的非法訪問及越權(quán)操作等。

漏洞、病毒、蠕蟲等惡意代碼是云計(jì)算環(huán)境下最大的安全隱患。當(dāng)前云計(jì)算環(huán)境的數(shù)據(jù)中心中，往往缺少入侵防御和病毒、惡意代碼防范等能力，無法主動(dòng)發(fā)現(xiàn)現(xiàn)存系統(tǒng)的漏洞，無法主動(dòng)預(yù)防病毒、蠕蟲等惡意代碼，造成網(wǎng)絡(luò)性能嚴(yán)重下降、服務(wù)器崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏，嚴(yán)重影響正常業(yè)務(wù)開展。。因此，必須加強(qiáng)入侵防御、防病毒、防范惡意代碼等安全措施，并保持特征庫更新，提高網(wǎng)絡(luò)抗病毒、防入侵和惡意代碼攻擊等防御能力。

2 云計(jì)算環(huán)境下數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)措施

云計(jì)算數(shù)據(jù)中心云平臺(tái)通過對(duì)底層服務(wù)器硬件及存儲(chǔ)資源實(shí)現(xiàn)虛擬化聚合部署，配合云計(jì)算管理平臺(tái)，實(shí)現(xiàn)云計(jì)算中基礎(chǔ)架構(gòu)即服務(wù)（IaaS），為PaaS，SaaS服務(wù)提供了良好的基礎(chǔ)平臺(tái)，且具有很高的自適應(yīng)性和擴(kuò)展空間。

云計(jì)算數(shù)據(jù)中心云平臺(tái)網(wǎng)絡(luò)設(shè)備采用雙路冗余設(shè)計(jì);2臺(tái)核心交換機(jī)進(jìn)行堆疊，即虛擬成一個(gè)邏輯的交換機(jī)，為active-active，采用4路10Gb SFP+線路來堆疊互聯(lián);每臺(tái)服務(wù)器雙上聯(lián)至接入交換機(jī)并捆綁兩網(wǎng)卡為bond并啟用LACP。按照信息安全等級(jí)保護(hù)第三級(jí)要求，云平臺(tái)采用雙路防火墻形成邊界安全冗余備份，同時(shí)部署入侵防御系統(tǒng)，對(duì)外部網(wǎng)絡(luò)入侵行為進(jìn)行防御、檢測(cè);部署VPN設(shè)備，為內(nèi)外網(wǎng)工作人員業(yè)務(wù)訪問提供VPN安全通道;web應(yīng)用防火墻為云平臺(tái)系統(tǒng)web作出防護(hù);終端服務(wù)器上部署終端安全軟件，加強(qiáng)計(jì)算環(huán)境安全能力;部署堡壘機(jī)與數(shù)據(jù)庫審計(jì)系統(tǒng)，為運(yùn)維人員管理及數(shù)據(jù)庫操作提供安全審計(jì)能力（如圖1）。

2.1 防火墻

防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之問信息的唯一出入口，可根據(jù)嚴(yán)格的ACL策略和連接狀態(tài)檢測(cè)進(jìn)行通信合法性保護(hù)，且能實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制，可限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)，并且其本身具備較強(qiáng)的抗攻擊能力。通過在數(shù)據(jù)中心網(wǎng)絡(luò)邊界及數(shù)據(jù)中心內(nèi)部的安全資源區(qū)部署防火墻，以監(jiān)測(cè)控制不同網(wǎng)絡(luò)之間的流量，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻均采取雙機(jī)部署方式，通過HA模式避免單點(diǎn)故障，滿足高可用的要求。

2.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)與防火墻互補(bǔ)，構(gòu)建七層防御體系。通過設(shè)置檢測(cè)與阻斷策略對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等），識(shí)別事件的侵入、關(guān)聯(lián)、沖擊和方向，發(fā)現(xiàn)隱藏的網(wǎng)絡(luò)攻擊，根據(jù)該攻擊的威脅級(jí)別立即采取積極抵御措施（包括向管理中心告警、丟棄該報(bào)文、切斷此次應(yīng)用會(huì)話、切斷此次TCP連接），同時(shí)向管理員通報(bào)攻擊信息，提供對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。入侵防御可以監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等攻擊行為。

2.3 VPN

VPN遠(yuǎn)程登錄是遠(yuǎn)程辦公環(huán)境下通用的網(wǎng)關(guān)設(shè)備。通過在網(wǎng)絡(luò)出入口設(shè)備上掛接VPN，為遠(yuǎn)程辦公提供可靠的通信通道。移動(dòng)辦公用戶終端只需標(biāo)準(zhǔn)的Web瀏覽器，無需安裝客戶端軟件，即可實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)資源的安全訪問。兩個(gè)固定網(wǎng)絡(luò)間通信時(shí)，能夠在兩個(gè)網(wǎng)絡(luò)間建立IPSec安全隧道，實(shí)現(xiàn)總部與分部網(wǎng)絡(luò)安全穩(wěn)定互連。

2.4 堡壘機(jī)

數(shù)據(jù)中心存儲(chǔ)著各種重要信息，由于系統(tǒng)數(shù)據(jù)分散、運(yùn)維人員眾多，特別是很多系統(tǒng)的維護(hù)還需要借助廠家工程師、系統(tǒng)建設(shè)集成商等多種角色的技術(shù)人員參與系統(tǒng)管理與支持。因此，加強(qiáng)云計(jì)算中心數(shù)據(jù)安全，監(jiān)管運(yùn)維人員操作行為勢(shì)在必行。運(yùn)維審計(jì)引擎邏輯上位于各設(shè)備與主機(jī)的前面，所有維護(hù)人員要訪問分散部署的設(shè)備與主機(jī)，通過網(wǎng)絡(luò)限制（防火墻策略或交換機(jī)訪問控制列表）必須先登錄到運(yùn)維審計(jì)系統(tǒng)，由運(yùn)維審計(jì)系統(tǒng)根據(jù)用戶的訪問權(quán)限，提供設(shè)備列表，用戶選擇要操作的設(shè)備;運(yùn)維審計(jì)系統(tǒng)根據(jù)用戶在該設(shè)備上的權(quán)限，替用戶填寫設(shè)備賬號(hào)和密碼，完成后續(xù)的登陸過程;用戶可直接使用該網(wǎng)元設(shè)備，像往常一樣進(jìn)行操作與維護(hù)，這樣的機(jī)制也減輕了維護(hù)人員記錄大量系統(tǒng)賬號(hào)與密碼的工作量，單點(diǎn)登錄，全網(wǎng)通行。

2.5 數(shù)據(jù)庫審計(jì)

通過數(shù)據(jù)庫操作審計(jì)，可實(shí)現(xiàn)對(duì)用戶登錄云平臺(tái)上的業(yè)務(wù)應(yīng)用，所有的SQL查詢動(dòng)作與訪問者的用戶名信息的關(guān)聯(lián)審計(jì)，實(shí)現(xiàn)“訪問時(shí)間、訪問源、查詢動(dòng)作”在事后可追溯。數(shù)據(jù)庫審計(jì)系統(tǒng)部署在服務(wù)器區(qū)交換機(jī)上，通過設(shè)置端口鏡像，將內(nèi)網(wǎng)數(shù)據(jù)庫的流量復(fù)制到“數(shù)據(jù)庫審計(jì)系統(tǒng)”，實(shí)現(xiàn)內(nèi)部數(shù)據(jù)庫的操作審計(jì)。

2.6 Web應(yīng)用防火墻

WEB安全防護(hù)專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動(dòng)的攻擊。Web應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊，主要用來保護(hù)Web應(yīng)用免遭跨站腳本和SQL注入等常見攻擊。在數(shù)據(jù)中心核心交換機(jī)部署Web應(yīng)用防火墻，通過核心交換機(jī)將Web服務(wù)器的流量策略到Web應(yīng)用防火墻上進(jìn)行分析處理，保護(hù)Web服務(wù)器，解決Web服務(wù)器面臨的注入攻擊、跨站腳本攻擊、惡意編碼（網(wǎng)頁木馬）、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等各類安全問題。

2.7 終端軟件

通常部署在應(yīng)用層之上，用于主機(jī)、終端層安全防護(hù)。

3 結(jié)語

云計(jì)算環(huán)境下數(shù)據(jù)中心的安全保障系統(tǒng)涉及物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全到安全管理、安全組織、安全運(yùn)維等方面。其中，網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)長期系統(tǒng)化的工程，各要素之間存在相互聯(lián)系、互相依賴。隨數(shù)據(jù)中心業(yè)務(wù)不斷的加載，網(wǎng)絡(luò)安全工作需要不斷檢查、改進(jìn)和優(yōu)化保障措施。本文僅研究云計(jì)算環(huán)境下數(shù)據(jù)中心主要存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，系統(tǒng)提出了多種網(wǎng)絡(luò)安全保障措施，為云計(jì)算時(shí)代數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)能力建設(shè)提供了可以借鑒的思路。

參考文獻(xiàn)

[1] 謝盈.云計(jì)算數(shù)據(jù)中心安全防護(hù)技術(shù)研究[J].西南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，11：616-620.

[2] 蒲在毅，羅宇.云計(jì)算數(shù)據(jù)中心安全問題及防護(hù)策略簡析[J].電子世界，2018，12（48）：90-92.

[3] 賈艷梅.云計(jì)算環(huán)境下數(shù)據(jù)中心的網(wǎng)絡(luò)安全問題分析及防護(hù)[J].信息與電腦，2018（21）：194-195.

[4] 冒海波.云環(huán)境下數(shù)據(jù)安全防護(hù)體系的研究與應(yīng)用[D].江蘇科技大學(xué)，2017.