中國(guó)船舶重工集團(tuán)公司第七一五研究所 辛 宇

在互聯(lián)網(wǎng)得到普及應(yīng)用的背景下，網(wǎng)絡(luò)數(shù)據(jù)量不斷增加。而在采用分布式異構(gòu)存儲(chǔ)技術(shù)實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)過(guò)程中，對(duì)網(wǎng)絡(luò)具有明顯依賴性，將面臨較大信息風(fēng)險(xiǎn)。因?yàn)楸M管網(wǎng)絡(luò)具有較強(qiáng)功能，但也相對(duì)脆弱，容易因?yàn)閻阂夤舫霈F(xiàn)安全問(wèn)題，可能造成信息遭到竊取，嚴(yán)重時(shí)甚至出現(xiàn)系統(tǒng)癱瘓，造成信息丟失。從網(wǎng)絡(luò)安全管理角度來(lái)看，需要加強(qiáng)分布式異構(gòu)存儲(chǔ)網(wǎng)絡(luò)安全技術(shù)運(yùn)用，使數(shù)據(jù)隱私性和安全性得到保證。

1 分布式異構(gòu)存儲(chǔ)網(wǎng)絡(luò)安全架構(gòu)分析

在分布式異構(gòu)存儲(chǔ)網(wǎng)絡(luò)中，需要利用虛擬網(wǎng)絡(luò)邊界進(jìn)行安全部署，采用與物理網(wǎng)絡(luò)相同組網(wǎng)方式，通過(guò)控制邊界流量加強(qiáng)網(wǎng)絡(luò)保護(hù)。將物理安全設(shè)備虛擬化，通過(guò)單獨(dú)管理設(shè)備實(shí)現(xiàn)安全控制，可以使分布式異構(gòu)存儲(chǔ)系統(tǒng)體現(xiàn)較強(qiáng)彈性，增強(qiáng)服務(wù)便捷性。在物理設(shè)備上部署虛擬化安全設(shè)備，并設(shè)置設(shè)備管理系統(tǒng)，能夠?qū)芾矸?wù)器進(jìn)行虛擬化處理，使網(wǎng)絡(luò)安全服務(wù)順利遷移。使數(shù)據(jù)平面與控制平面保持分離，利用虛擬機(jī)完成引流層安全架構(gòu)部署，可以體現(xiàn)網(wǎng)絡(luò)分布式特征。從具體架構(gòu)上來(lái)看，包含系統(tǒng)管理平臺(tái)、虛擬網(wǎng)絡(luò)和虛擬機(jī)監(jiān)視器。通過(guò)監(jiān)視器，用戶可以利用虛擬機(jī)接入網(wǎng)絡(luò)，在控制平面完成安全服務(wù)部署，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和調(diào)用。利用網(wǎng)絡(luò)單元進(jìn)行數(shù)據(jù)動(dòng)態(tài)引流配置，能夠在各物理機(jī)上布置安全服務(wù)平面，使控制平面得以進(jìn)行安全通道部署。在不同物理設(shè)備上對(duì)系統(tǒng)業(yè)務(wù)數(shù)、安全策略等參數(shù)進(jìn)行設(shè)置，對(duì)多個(gè)安全服務(wù)模塊進(jìn)行調(diào)用，能夠結(jié)合用戶需求提供安全服務(wù)。

2 基于網(wǎng)絡(luò)安全的分布式異構(gòu)存儲(chǔ)網(wǎng)絡(luò)安全技術(shù)

在數(shù)據(jù)存儲(chǔ)系統(tǒng)運(yùn)行過(guò)程中，采用數(shù)據(jù)備份方式屬于被動(dòng)式安全策略，能夠使信息丟失和被篡改問(wèn)題得到解決，但無(wú)法應(yīng)對(duì)數(shù)據(jù)因?yàn)榫W(wǎng)絡(luò)攻擊而泄露的情況，容易給企業(yè)帶來(lái)較大經(jīng)濟(jì)損失。而分布式異構(gòu)存儲(chǔ)系統(tǒng)能夠?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)的高效傳播提供支撐，同時(shí)也將面臨較大安全隱患。單靠服務(wù)供應(yīng)商提供保護(hù)，難以滿足用戶安全控制需求，還應(yīng)加強(qiáng)安全技術(shù)運(yùn)用，實(shí)現(xiàn)安全策略靈活布置防止系統(tǒng)出現(xiàn)越權(quán)訪問(wèn)情況。通過(guò)科學(xué)設(shè)計(jì)安全服務(wù)模塊功能，使系統(tǒng)危險(xiǎn)系數(shù)得到降低，能夠?yàn)榫W(wǎng)絡(luò)安全使用提供保障。

2.1 訪問(wèn)控制技術(shù)

在分布式異構(gòu)存儲(chǔ)系統(tǒng)網(wǎng)絡(luò)安全服務(wù)模塊功能開(kāi)發(fā)上，還要加強(qiáng)系統(tǒng)訪問(wèn)控制管理。系統(tǒng)運(yùn)行過(guò)程中將連接多種服務(wù)器，為不同訪問(wèn)模式提供支持。加強(qiáng)系統(tǒng)元數(shù)據(jù)管理，并做好客戶端存儲(chǔ)代理設(shè)置，可以滿足數(shù)據(jù)復(fù)制要求，提供遠(yuǎn)程鏡像等服務(wù)。為保證數(shù)據(jù)安全，還要確保用戶經(jīng)過(guò)授權(quán)認(rèn)證后才能獲取服務(wù)，通過(guò)網(wǎng)絡(luò)上傳或下載數(shù)據(jù)，對(duì)目錄和文件進(jìn)行查看。將數(shù)據(jù)存儲(chǔ)和查看等權(quán)限分開(kāi)，在用戶訪問(wèn)數(shù)據(jù)時(shí)將發(fā)出不同訪問(wèn)請(qǐng)求。通過(guò)安全檢查確定訪問(wèn)權(quán)限，能夠使數(shù)據(jù)隱私性得到進(jìn)一步保護(hù)。實(shí)際在技術(shù)應(yīng)用上，需要根據(jù)用戶設(shè)備配置參數(shù)確定訪問(wèn)級(jí)別，然后利用網(wǎng)絡(luò)安全策略進(jìn)行授權(quán)。通過(guò)判斷訪問(wèn)優(yōu)先級(jí)別，可以確定范圍范圍、次數(shù)等。結(jié)合系統(tǒng)數(shù)據(jù)管理需求設(shè)定認(rèn)證層次，能夠保證數(shù)據(jù)在存儲(chǔ)節(jié)點(diǎn)和客戶端之間高效傳輸?shù)耐瑫r(shí)，使系統(tǒng)安全性問(wèn)題得到解決。在虛擬網(wǎng)絡(luò)中，利用分布式安全架構(gòu)能夠?qū)崿F(xiàn)微隔離，并通過(guò)提供安全檢測(cè)服務(wù)對(duì)網(wǎng)絡(luò)傳輸文件、單一數(shù)據(jù)等進(jìn)行檢測(cè)，達(dá)到加強(qiáng)系統(tǒng)攻擊防護(hù)的目標(biāo)。如采用防火墻、IPS、URL等技術(shù)，能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)安全檢測(cè)，使用戶行為安全性得到準(zhǔn)確識(shí)別，因此能夠?yàn)榫W(wǎng)絡(luò)使用提供安全保障。在網(wǎng)絡(luò)安全服務(wù)發(fā)現(xiàn)相同虛擬網(wǎng)絡(luò)中存在虛擬機(jī)被攻擊行為，將通過(guò)微隔離對(duì)受到攻擊虛擬機(jī)進(jìn)行分割，使來(lái)源于內(nèi)部網(wǎng)絡(luò)攻擊得到遏制，不會(huì)給整個(gè)網(wǎng)絡(luò)運(yùn)行帶來(lái)干擾。實(shí)現(xiàn)異構(gòu)存儲(chǔ)，可以對(duì)任何用戶任一端口實(shí)施隔離控制，只需在控制平面進(jìn)行安全控制策略配置，即可提供端口對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行檢測(cè)，完成虛擬機(jī)安全防護(hù)配置，使系統(tǒng)整體安全性得到增強(qiáng)。

2.2 數(shù)據(jù)加密技術(shù)

系統(tǒng)數(shù)據(jù)借助網(wǎng)絡(luò)進(jìn)行傳輸，同樣面臨較大安全威脅。為使數(shù)據(jù)在傳輸過(guò)程中的安全性得到保證，還要運(yùn)用數(shù)據(jù)加密技術(shù)進(jìn)行處理。具體來(lái)講，就是從分布式異構(gòu)系統(tǒng)服務(wù)器提取數(shù)據(jù)過(guò)程中，以數(shù)據(jù)包形式完成加密處理，借助底層文件系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)共享。不同于單純文件級(jí)加密或介質(zhì)級(jí)加密技術(shù)，該種加密技術(shù)屬于應(yīng)用加密技術(shù)，能夠利用應(yīng)用程序?qū)崿F(xiàn)數(shù)據(jù)加密操作。由于無(wú)需在網(wǎng)絡(luò)存儲(chǔ)層嵌入執(zhí)行數(shù)據(jù)加密的設(shè)備，因此無(wú)需進(jìn)行各種密鑰管理，能夠避免給分布式異構(gòu)存儲(chǔ)系統(tǒng)性能帶來(lái)影響。在系統(tǒng)應(yīng)用中實(shí)現(xiàn)加密技術(shù)的集成，可以提供端到端的加密解決方案，根據(jù)用戶身份及防偽范圍加強(qiáng)密鑰訪問(wèn)控制，使密鑰與應(yīng)用緊密綁定。對(duì)于用戶來(lái)講，只有獲得關(guān)鍵數(shù)據(jù)訪問(wèn)權(quán)才能通過(guò)特定應(yīng)用。在分布式異構(gòu)存儲(chǔ)系統(tǒng)運(yùn)行期間，容易因協(xié)議缺陷導(dǎo)致未授權(quán)用戶能夠進(jìn)行系統(tǒng)訪問(wèn)。為避免系統(tǒng)數(shù)據(jù)信息泄露，還要利用公共應(yīng)用程序?qū)崿F(xiàn)數(shù)據(jù)處理，在后臺(tái)完成數(shù)據(jù)加密。針對(duì)服務(wù)器端，還要做好存儲(chǔ)代理數(shù)據(jù)加密。結(jié)合這一目標(biāo)，還要設(shè)計(jì)加密文件系統(tǒng)模塊，在數(shù)據(jù)傳輸前進(jìn)行加密處理。在此基礎(chǔ)上，可以利用底層設(shè)備進(jìn)行本地文件系統(tǒng)驅(qū)動(dòng)，在不同地區(qū)存儲(chǔ)設(shè)備中進(jìn)行數(shù)據(jù)寫入。采取該種數(shù)據(jù)加密技術(shù)，授權(quán)用戶在訪問(wèn)系統(tǒng)時(shí)，可以從服務(wù)器獲得明文信息。而針對(duì)非法侵入用戶，服務(wù)器只會(huì)產(chǎn)生暗文，以免數(shù)據(jù)信息被篡改或泄露。采用保密編碼技術(shù)，服務(wù)器可以利用已知編碼方案對(duì)數(shù)據(jù)進(jìn)行處理，使碼集成到復(fù)雜場(chǎng)景中，確保竊聽(tīng)者無(wú)法獲取想要的信息。在系統(tǒng)用戶群有所改變時(shí)，則要及時(shí)進(jìn)行應(yīng)用訪問(wèn)調(diào)整，確保用戶能夠通過(guò)特定應(yīng)用訪問(wèn)數(shù)據(jù)。對(duì)底層加密文件系統(tǒng)進(jìn)行布置，能夠使系統(tǒng)網(wǎng)絡(luò)組織結(jié)構(gòu)保持不變，因此依然可以實(shí)現(xiàn)數(shù)據(jù)高效傳遞，同時(shí)加強(qiáng)數(shù)據(jù)傳輸安全管理。

2.3 動(dòng)態(tài)引流技術(shù)

伴隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)環(huán)境中黑客攻擊較多。通過(guò)網(wǎng)絡(luò)進(jìn)行分布式異構(gòu)存儲(chǔ)系統(tǒng)操作，可能遭受各種網(wǎng)絡(luò)攻擊。為滿足用戶特殊安全管理要求，還要對(duì)網(wǎng)絡(luò)安全進(jìn)行合理評(píng)估，以便及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，通過(guò)動(dòng)態(tài)引流避免系統(tǒng)遭受攻擊，以免因系統(tǒng)安全防護(hù)漏洞和盲點(diǎn)的存在造成數(shù)據(jù)安全性受到威脅。在系統(tǒng)利用網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)過(guò)程中，需要對(duì)整個(gè)網(wǎng)絡(luò)中各虛擬機(jī)業(yè)務(wù)信息、局部流量等進(jìn)行匯總，通過(guò)分析安全行為事件進(jìn)行引流，使來(lái)自網(wǎng)絡(luò)的攻擊得到減少，繼而使系統(tǒng)數(shù)據(jù)得到強(qiáng)有力的安全保護(hù)。在網(wǎng)絡(luò)安全控制平面上，用戶數(shù)據(jù)流量可以鏡像至虛擬機(jī)，通過(guò)控制其流量可以掌握用戶流量，提供實(shí)時(shí)安全保護(hù)。在無(wú)線網(wǎng)絡(luò)中，物理信道具有唯一性和交互性，能夠使合法用戶得到有效辨識(shí)。從信息安全管理角度運(yùn)用物理層安全技術(shù)，無(wú)需額外執(zhí)行安全協(xié)議就能加強(qiáng)安全管理，可以使存儲(chǔ)系統(tǒng)維持高效運(yùn)轉(zhuǎn)。在信號(hào)通過(guò)物理信道傳輸時(shí)，首先需要確定傳輸源是否合法。由于任何攻擊者無(wú)法對(duì)信息源進(jìn)行模擬，因此可以根據(jù)信道安全數(shù)據(jù)特征對(duì)合法和非法信號(hào)源進(jìn)行識(shí)別，然后進(jìn)行合法信息傳輸。在實(shí)踐操作中，人員需從分布式異構(gòu)存儲(chǔ)網(wǎng)絡(luò)中實(shí)現(xiàn)安全數(shù)據(jù)特征提取，然后利用獨(dú)立無(wú)線通信進(jìn)行數(shù)據(jù)存儲(chǔ)操作。并非每個(gè)無(wú)線網(wǎng)絡(luò)通道都可以用于數(shù)據(jù)存儲(chǔ)，還要對(duì)通道物理層存儲(chǔ)安全系數(shù)進(jìn)行確認(rèn)，保證數(shù)據(jù)得到安全傳輸。實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全特征值分解，能夠從信道穩(wěn)定程度、網(wǎng)絡(luò)安全數(shù)據(jù)特征等角度對(duì)節(jié)點(diǎn)安全性進(jìn)行反映。將特征值分解至子信道，利用得到的安全數(shù)據(jù)特征進(jìn)行網(wǎng)絡(luò)安全矩陣建立：

式中，W指的是無(wú)線通信層安全傳輸矩陣，i1-i4為四個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)安全數(shù)據(jù)特征。通過(guò)對(duì)安全物理層信道進(jìn)行篩選，然后將合法信號(hào)波束引入到分布式異構(gòu)存儲(chǔ)系統(tǒng)中，能夠避免不法信號(hào)的進(jìn)入。因?yàn)榧幢愦鎯?chǔ)網(wǎng)絡(luò)受到人為攻擊，由于竊聽(tīng)者無(wú)法通過(guò)物理信道進(jìn)入到存儲(chǔ)系統(tǒng)內(nèi)部，所以能夠?yàn)榻鉀Q系統(tǒng)安全問(wèn)題提供有效方案。運(yùn)用該技術(shù)只允許合法信號(hào)在系統(tǒng)內(nèi)部存儲(chǔ)，能夠避免系統(tǒng)數(shù)據(jù)遭到破壞，因此可以使網(wǎng)絡(luò)安全管理需求得到滿足。在系統(tǒng)運(yùn)行過(guò)程中，通過(guò)對(duì)局部網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并通過(guò)安全服務(wù)模塊進(jìn)行動(dòng)態(tài)引流，能夠加強(qiáng)網(wǎng)絡(luò)全局安全管理，為系統(tǒng)日常安全維護(hù)提供支持。

3 分布式異構(gòu)存儲(chǔ)網(wǎng)絡(luò)安全技術(shù)應(yīng)用效果

3.1 實(shí)驗(yàn)條件

為確定上述技術(shù)應(yīng)用效果，可以利用Sgzsdergly平臺(tái)開(kāi)展網(wǎng)絡(luò)安全實(shí)驗(yàn)。利用SAVE代碼進(jìn)行實(shí)驗(yàn)內(nèi)容編寫，能夠?qū)Σ煌踩夹g(shù)的存儲(chǔ)安全系數(shù)進(jìn)行測(cè)試。在實(shí)驗(yàn)分析過(guò)程中，可以先利用傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行數(shù)據(jù)的分布式異構(gòu)存儲(chǔ)，然后利用設(shè)計(jì)安全技術(shù)完成相同操作。將傳統(tǒng)系統(tǒng)操作當(dāng)成是對(duì)照，比較兩組實(shí)驗(yàn)結(jié)果，可以得到實(shí)驗(yàn)結(jié)論。

3.2 結(jié)果分析

從實(shí)驗(yàn)結(jié)果來(lái)看，采用傳統(tǒng)安全策略進(jìn)行數(shù)據(jù)存儲(chǔ)操作，網(wǎng)絡(luò)安全系數(shù)在10到30db之間。運(yùn)用多種安全技術(shù)生成系統(tǒng)安全策略，完成系統(tǒng)網(wǎng)絡(luò)安全服務(wù)模塊部署，能夠使網(wǎng)絡(luò)安全系數(shù)達(dá)到50-70db。相較于對(duì)照組，實(shí)驗(yàn)組的網(wǎng)絡(luò)安全系數(shù)得到了大幅度提升，因此能夠使數(shù)據(jù)存儲(chǔ)的安全性得到增強(qiáng)。實(shí)現(xiàn)上述安全技術(shù)組合運(yùn)用，依然無(wú)法保證分布式異構(gòu)存儲(chǔ)系統(tǒng)在使用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)操作時(shí)絕對(duì)安全。實(shí)際運(yùn)用網(wǎng)絡(luò)安全技術(shù)，還應(yīng)認(rèn)識(shí)不同用戶將提出不同安全等級(jí)要求，可以通過(guò)在存儲(chǔ)系統(tǒng)中采取不同安全策略強(qiáng)化安全服務(wù)模塊功能設(shè)計(jì)，使系統(tǒng)安全性得到不斷提升。

結(jié)論：為加強(qiáng)網(wǎng)絡(luò)安全管理，還要在分布式異構(gòu)存儲(chǔ)系統(tǒng)中引入網(wǎng)絡(luò)安全技術(shù)，通過(guò)提供有效保護(hù)避免系統(tǒng)受到惡意攻擊，從而使網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)信息完整性、安全性得到保證。結(jié)合存儲(chǔ)網(wǎng)絡(luò)安全架構(gòu)，運(yùn)用訪問(wèn)控制、數(shù)據(jù)加密、動(dòng)態(tài)引流等不同安全技術(shù)實(shí)現(xiàn)安全服務(wù)模塊功能，能夠?qū)崿F(xiàn)多種安全策略的組合運(yùn)用，辨識(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提供安全通道實(shí)現(xiàn)數(shù)據(jù)傳輸，繼而有效避免數(shù)據(jù)被竊取。