楊亦然

（河北中源會計師事務所有限公司，河北 石家莊 050000）

0 引 言

虛擬網絡是一種包含至少部分是虛擬網絡鏈接的計算機網絡。虛擬網絡鏈接改變了兩個計算機設備間的物理連接方式，通過網絡虛擬化實現。虛擬網絡安全技術則是在公共數據網絡中科學搭建私有數據網絡，并且形成虛擬的專用網絡，使得用戶可以在專用的虛擬網絡中享受資源，確保網絡環(huán)境的安全。根據調查，虛擬網絡安全防護措施主要包括以下內容。（1）用戶身份安全。用戶身份安全主要是針對虛擬網絡使用者的登入權限而言，虛擬網絡需要對通過短信認證、用戶名與密碼以及數字證書等方式對用戶的使用權限進行認證，以此確保虛擬網絡使用者身份的準確性。（2）密鑰管理。密鑰是用來加密、解密的一些特殊信息，其管理主要應用在計算機數據操作和處理環(huán)節(jié)，目的是為了增加傳遞信息的安全性。（3）隧道技術。對于虛擬網絡威脅最大的因素就是數據信息安全，而且多數集中在信息傳輸環(huán)節(jié)?！八淼馈笨梢钥闯墒菑脑炊说侥康亩耍ńy(tǒng)稱“隧道端點”）通過公共網絡專門建立的一條虛擬、專用通道，但通道所采用的線路仍是公共網絡中實際的線路。當前隧道協議主要包括二層隧道協議和三層隧道協議，其中二層隧道協議應用于構建遠程訪問虛擬專網，三層隧道協議應用于構建和擴展企業(yè)內部虛擬專網[1]。

1 云計算虛擬網絡的特點

結合多年實踐研究，云計算環(huán)境下的虛擬網絡具有以下特點。（1）對配置設備的要求不高。由于虛擬網絡信息傳遞主要是通過虛擬網絡通道實現，因此其對于設備性能要求相對較低，只需要對設備的部分參數進行優(yōu)化調整就可以實現信息傳遞。這樣不僅可以有效節(jié)約網絡通信資源，而且還提升了網絡信息傳遞的安全性。例如，用戶可以通過與總部機構建立的虛擬網絡傳遞通道實現安全、快速的信息傳遞，減少了因硬件設備建設不足的局限性問題。（2）運營成本低。不同于其他網絡通信模式，虛擬網絡實現了無設備化的信息傳遞模式，用戶可以利用公共網絡進行信息傳遞，從而減少了相關單位硬件設備的建設費用。（3）可擴展性。由于虛擬專用網絡（Virtual Private Network，VPN）為邏輯上的網絡，物理網絡中增加或修改節(jié)點不影響VPN的部署[2]。

2 云環(huán)境下虛擬網絡安全防護體系的構建

考慮到用戶對虛擬網絡管控能力薄弱的問題，在做好虛擬網絡外部風險防范的基礎上要重點從內部入手，采取集成化、模塊化以及虛擬化的理念構建虛擬網絡安全防護體系。具體就是構建一種基于虛擬網絡設備的數據轉發(fā)控制策略，利用軟件定義網絡（Software Defined Network，SDN）控制器實時監(jiān)測虛擬網絡，避免外界不法分子對虛擬網絡進行非授權操作。與此同時，構建行為追溯的內部風險監(jiān)測體系，通過不同環(huán)節(jié)的信息對比，發(fā)現其存在的安全問題，采取相應措施提升虛擬網絡安全性能。

2.1 虛擬網絡設備數據轉發(fā)控制策略

SDN是一種新型網絡創(chuàng)新架構，是網絡虛擬化的實現方式，其核心技術OpenFlow通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制?；赟DN的虛擬網絡設備數據轉發(fā)控制實現了對虛擬網絡設備數據流表的控制，這樣便于對虛擬網絡資源進行優(yōu)化配置與使用，能夠根據虛擬網絡的適應性能要求對流量進行靈活管理，進而滿足虛擬網絡故障快速修復的目的。虛擬網絡設備數據轉發(fā)控制實現需要以下構件作為支撐：一是交換機，主要是通過安全通道與socket相連接，并利用流表控制數據包的轉發(fā)操作，基于Open Flow協議進行流表內匹配字段、計數器及動作字段的有序執(zhí)行；二是控制器，主要是對流表監(jiān)控進行管理，防止運維管理人員的非法操作行為。例如，在對Open Flow交換機設備進行監(jiān)測時，可以通過SDN控制器檢查其流量變化等，并且與生成的正常流量進行對比，以此分析流表的變化狀態(tài)。SDN控制器的流表控制流程如圖1所示。

圖1 SDN控制器的流表控制流程

通過圖1的流程操作后，如果流表監(jiān)測發(fā)現異常情況，則SDN控制器就會對流表轉發(fā)行為進行阻斷控制。具體流程是：當SDN控制器發(fā)現存在惡意流表時，其就會將發(fā)現的異常信息發(fā)送給轉發(fā)控制單元，轉發(fā)控制單元將接收的異常信息發(fā)送給虛擬交換機，由虛擬交換機對原有流表修改情況進行修正，刪除不屬于正常流表的信息，確保流表信息數據的準確性。同時控制系統(tǒng)及時做好流表的備份工作，確保用戶信息的安全傳遞。

2.2 基于可信調用層次關聯的用戶行為構建

虛擬網絡安全的關鍵就是要描述和分析用戶的行為，如果用戶不規(guī)范操作就會容易出現安全隱患。因此，為了防止惡意調動虛擬網絡服務接口操作，需要構建基于可信調用層次關聯的用戶行為體系，及時發(fā)現安全風險，規(guī)避用戶惡意操作行為的發(fā)生。

用戶在使用虛擬網絡時首先需要通過認證授權平臺獲得唯一的令牌（Token），進入到虛擬網絡管理界面中，調動虛擬網絡平臺的各種接口，并且在相應的控制節(jié)點創(chuàng)建私有網絡通道。根據相應權限更改、刪除或者接觸映射等操作，以此實現對虛擬網絡的獨立操作。一般用戶在進行上下層接口操作時可將其視為調用，而惡意操作人員則利用自身權限對虛擬網絡設備進行間接操作，以此創(chuàng)建額外的網絡地址，從而達到非法目的。

另外，在對虛擬網絡用戶行為的分析中需要結合運用基于源碼的分析手段。具體就是要構建虛擬網絡用戶正常行為模型，設置用戶正常行為的流程（有限狀態(tài)機流程），將正常流程中的各個狀態(tài)點與用戶當前層次行為相對應，并且采集與分析各節(jié)點狀態(tài)信息，以此判定用戶的行為狀態(tài)。例如，在Open stack云平臺管理中，為了加大對用戶操作行為的管理，需要構建用戶正常狀態(tài)下的數據結構[3]。數據結構需要定義各層次源代碼的行為關鍵詞，然后對應行為關鍵詞設置用戶正常行為的特點以及規(guī)律等，構建對應層次的數據庫。當用戶進行操作時，數據庫就可以根據用戶的操作軌跡信息判斷其操作行為是否合規(guī)。

2.3 基于行為追溯虛擬網絡內部風險監(jiān)測策略

內部監(jiān)測防范是降低虛擬網絡風險的重要舉措，為了提升對虛擬網絡的實時在線監(jiān)測，設置一種行為追溯風險監(jiān)測體系。（1）采集內部威脅行為信息。對虛擬網絡內部進行監(jiān)測的前提就是要設置內部威脅行為信息采集模塊。信息采集模塊覆蓋虛擬網絡的各個單元，其中要在服務代理、管理接口、控制模塊以及遠程過程調用等方面著重建設，然后利用調用時間和行為作為關鍵詞生成用戶當前的調用流程，發(fā)現用戶的非法操作行為。（2）匹配內部威脅行為信息。內部威脅行為信息的采集主要是利用行為追溯算法對采集的調用行為進行分析，然后將其與正常操作可信行為進行對比，判斷用戶的可信行為是否合規(guī)、合法。但是在虛擬網絡中，由于導致內部威脅行為的因素比較多，如虛擬網絡可能存在惡意行為或者非授權惡意行為，因此在對內部威脅行為進行判斷時，需要采取自上而下的匹配算法，將實際操作行為最底層的行為與正常行為進行匹配，如果實際可信調用行為與用戶正常操作行為不符，則表明當前的配置管理命令不是由用戶正常發(fā)出的，而是由非授權者惡意操作導致的，因此將其認定為惡意行為[4]。

3 云計算環(huán)境下虛擬網絡安全防護的保障措施

3.1 提高虛擬網絡管理人員專業(yè)技能，樹立風險防范意識

管理人員是虛擬網絡安全運行的重要保障，為了有效降低虛擬網絡的安全隱患，需要做好以下工作。（1）加強虛擬網絡管理人員的技能培訓工作。隨著云計算技術的發(fā)展，虛擬網絡已經融入到社會各個領域，因此相關部門要做好人員教育培訓工作，利用業(yè)余時間開展技能訓練培訓。例如，基于虛擬網絡在資產評估平臺中的應用要求，資產評估人員不僅要掌握扎實的資產評估知識，而且還要學習虛擬網絡相關的知識，為此資產評估企業(yè)要及時聘請高校計算機方面的專家深入到企業(yè)開展專題培訓，提升他們的計算機操作技能，滿足工作要求。（2）加強宣傳，增強虛擬網絡操作人員的風險防范意識。為了切實提升虛擬網絡安全防范措施，相關部門必須要強化相關人員的安全防范意識培養(yǎng)工作。實踐證明，只有增強操作人員的安全防范意識才能從根本上降低虛擬網絡安全隱患的發(fā)生，為此網絡安全管理部門要依托自媒體平臺開展警示教育，通過介紹大量關于操作人員不規(guī)范操作導致虛擬網絡安全風險的案例，讓廣大網絡管理人員樹立較高的網絡安全管理意識。

3.2 建立完善的虛擬網絡管理制度，落實風險評估檢測機制

虛擬網絡安全防護關鍵技術的實施必須要建立在完善的管理制度基礎上。一方面，要建立完善的虛擬網絡安全檢測制度，構建可信調用層次關聯的用戶行為體系主要是對用戶的操作行為進行判斷，根據用戶行為的判斷采取相應措施，可見用戶正常操作的重要性。虛擬網絡管理部門要建立完善的虛擬網絡操作管理制度，規(guī)范操作人員的行為，防止發(fā)生違反操作管理制度的行為。另一方面，要落實風險評估檢測機制?；谔摂M網絡的特殊性，在使用虛擬網絡時需要對用戶端口的安全性進行檢測，如果有非授權用戶通過非法手段進入到虛擬網絡中則會給用戶帶來巨大損失。因此，相關部門要嚴格落實風險評估檢測機制，不定期對虛擬網絡接入端口、虛擬信息傳輸通道等進行評估檢測，發(fā)現問題后要及時進行修復，最大程度保障用戶隱私安全[5]。

3.3 加大資金投入，完善基礎配套設施

雖然虛擬網絡對于硬件設施的要求不高，但是隨著5G技術的普及，為了提升虛擬網絡運行的安全性與穩(wěn)定性，相關部門要加強資金投入，進一步完善基礎配套設施建設。一是政府部門要加大財政支持力度，建立完善的網絡基礎配套設施。調查顯示，由于網絡通信資源建設配置不均，導致我國虛擬網絡建設水平相對不高。例如，我國西部地區(qū)受限于地形、資金等諸多因素影響致使網絡基礎配套設施不完善，對此我國政府部門要加大資金投入力度，進一步完善基礎配套設施的建設力度。二是改善虛擬網絡設備狀況，實現IPv4向IPv6過渡。目前，我國IPv4仍然占據主導地位，與6G技術的應用與發(fā)展不符，因此我國要加快部署IPv6協議，其中至關重要的一點就是要對相關設備進行更新換代，如在IPv6通信網絡前增加相對應的網關設備，以此滿足IPv4向IPv6的過渡需求[6]。

4 結 論

總之，基于云計算技術的發(fā)展，虛擬網絡已經融入到社會各領域中，加強虛擬網絡安全防護工作意義重大。由于虛擬網絡不僅受到外部威脅，還存在內部威脅，因此完善構建內部安全防護管理體系至關重要，以此提升虛擬網絡的運行安全。