謝超江

關(guān)鍵詞：云計算；網(wǎng)絡(luò)信息；安全管理；管理策略

互聯(lián)網(wǎng)具有開放性特點，許多網(wǎng)絡(luò)信息受黑客、病毒等影響，容易出現(xiàn)被破壞、被盜等情況，可引入云計算技術(shù)，使網(wǎng)絡(luò)安全管理方式更加豐富且高效，如云安全管理系統(tǒng)、關(guān)聯(lián)分析法等，還可在模糊理論引導(dǎo)下，對網(wǎng)絡(luò)信息風(fēng)險進(jìn)行綜合評估，根據(jù)不同等級制定差異化的管理措施，以保證信息管理安全高效。

1云計算環(huán)境下網(wǎng)絡(luò)安全管理的常用方法

1.1云安全管理系統(tǒng)

與防火墻技術(shù)相比，云安全管理系統(tǒng)以“聯(lián)結(jié)性”為核心，將全部數(shù)據(jù)以云管理形式結(jié)合起來，充分發(fā)揮安全檢測、大數(shù)據(jù)等作用，使網(wǎng)絡(luò)數(shù)據(jù)得以保護，在傳輸、存儲期間免受安全威脅，從而更加安全可靠。該系統(tǒng)不但可保護因素數(shù)據(jù)，還可對安全組件參數(shù)進(jìn)行動態(tài)監(jiān)控，當(dāng)數(shù)據(jù)狀態(tài)異常時能夠迅速響應(yīng)、自動糾正，使其得到全方位防護。該系統(tǒng)將數(shù)據(jù)挖掘、主動防御等技術(shù)相融合，創(chuàng)建分布式設(shè)計模式，使整體系統(tǒng)更具防御性、警惕性，在危險未發(fā)生前便可提前預(yù)警，有效修復(fù)漏洞[1]。

1.2關(guān)聯(lián)分析法

在云安全管理中，通常會使多個安全設(shè)備的信息相互關(guān)聯(lián)，使安全事件從原本的單一性變?yōu)檎w性，促進(jìn)其協(xié)同、優(yōu)勢發(fā)展。與傳統(tǒng)安全管理技術(shù)相比，關(guān)聯(lián)分析法可深入挖掘多種數(shù)據(jù)間的關(guān)聯(lián)，尋找其中的規(guī)律與發(fā)展模式，進(jìn)而提升系統(tǒng)防護力度。安管系統(tǒng)由日志工具、部署傳感器、探測器等組成，上述工具可為關(guān)聯(lián)分析提供便利。在其系統(tǒng)運行中，通過科學(xué)部署傳感器，對網(wǎng)絡(luò)內(nèi)分散的數(shù)據(jù)進(jìn)行采集并匯總，依靠大數(shù)據(jù)平臺傳輸和處理后，將有價值的信息納入安全數(shù)據(jù)庫中，以增強網(wǎng)絡(luò)安全防護性能。

1.3強化網(wǎng)絡(luò)安全防護

第一階段，對云系統(tǒng)安全漏洞進(jìn)行全面掃描，達(dá)到清零效果，開展網(wǎng)絡(luò)安全技術(shù)普及工作，增強并優(yōu)化弱口令，開展?jié)B透測試、漏洞掃描等，及日寸發(fā)現(xiàn)和加固風(fēng)險點；第二階段，采用安全設(shè)備開展實日寸檢測，對可疑、非法入侵的IP地址評估后將其封禁，并制定關(guān)鍵時期的網(wǎng)絡(luò)安全保障措施，以“人在網(wǎng)通，人走網(wǎng)斷”模式開展安全值守。結(jié)合網(wǎng)絡(luò)安全事故制定應(yīng)急預(yù)案和處置程序，將存在安全問題的設(shè)備及時隔離，暫停相應(yīng)服務(wù)，預(yù)防有害信息擴散，由相關(guān)管理部門調(diào)查取證后刪除。

2云計算環(huán)境下網(wǎng)絡(luò)安全管理的關(guān)鍵技術(shù)

2.1信息風(fēng)險評估

從本質(zhì)上看，風(fēng)險評估是對安全風(fēng)險等級進(jìn)行判定，在模糊理論引導(dǎo)下，開展安全風(fēng)險評估，流程如下。先要選擇評估指標(biāo)，站在安全性角度，以網(wǎng)絡(luò)信息價值、信息威脅程度、薄弱點為關(guān)鍵指標(biāo)，創(chuàng)建指標(biāo)集合：

式中，A1代表的是信息價值；A2代表安全威脅；A3代表信息自身薄弱點。為使風(fēng)險評估更加貼近實際，對j項指標(biāo)賦予不同權(quán)限，并對各個指標(biāo)權(quán)重值與真實風(fēng)險因素的指標(biāo)結(jié)果進(jìn)行綜合分析，明確其風(fēng)險等級。在此基礎(chǔ)上，采用層次分析法得出不同指標(biāo)的權(quán)重，并創(chuàng)建判斷矩陣：

2.2分級信息處理

首先，制定信息管理分級原則。因網(wǎng)絡(luò)信息管理以計算機為基礎(chǔ)，采用存儲管理措施進(jìn)行劃分，在權(quán)重計算階段，少數(shù)信息風(fēng)險評級指標(biāo)缺失，導(dǎo)致最終所得結(jié)果偏離實際，針對此種情況，應(yīng)將其劃分到高風(fēng)險區(qū)。其次，等級模糊信息應(yīng)遵循標(biāo)準(zhǔn)進(jìn)行分配，以免因計算失誤增加安全風(fēng)險發(fā)生率。另外，對于不同等級信息實施差異化管理措施。以高風(fēng)險信息為例，應(yīng)采用國密算法進(jìn)行加密處理，再用SM2公鑰密碼制定雙壁密鑰認(rèn)證機制，并對現(xiàn)有電子認(rèn)證系統(tǒng)與密鑰系統(tǒng)進(jìn)行升級優(yōu)化。SM2算法具有較強的先進(jìn)性，在傳輸速度、安全防護方面優(yōu)勢顯著，將其應(yīng)用到網(wǎng)絡(luò)信息管理中，可將內(nèi)部唯一性數(shù)據(jù)當(dāng)作隨機密鑰，其生成模式為：

2.3網(wǎng)絡(luò)安全管理系統(tǒng)創(chuàng)建

2.3.1硬件設(shè)計

該系統(tǒng)的硬件以運行平臺、存儲服務(wù)器、集群控制點、虛擬管理節(jié)點、存儲控制器為主，彼此相互作用，并借助虛擬平臺傳輸信息，創(chuàng)建安全的通信環(huán)境，進(jìn)而促進(jìn)信息管理水平提升，系統(tǒng)結(jié)構(gòu)如圖1所示。該平臺包括數(shù)據(jù)庫資源、集中監(jiān)控、網(wǎng)頁服務(wù)軟件等，根據(jù)云計算不同的需求，網(wǎng)絡(luò)資源可隨時擴充，以促進(jìn)管理效率提升[3]。

2.3.2軟件設(shè)計

軟件層面可分為3個層次，一是基礎(chǔ)層，包括系統(tǒng)內(nèi)的基礎(chǔ)設(shè)備，屬于運行的基本要素；二是操作層，依托計算機軟硬件相結(jié)合，使用戶需求得以滿足；三是中間層，其作用在于網(wǎng)絡(luò)資源的整理與類別劃分。上述層次協(xié)調(diào)開展，才可維護系統(tǒng)的安全穩(wěn)定。同時，軟件設(shè)計也應(yīng)具備較強的實用性、兼容性，以適用于各類復(fù)雜環(huán)境，達(dá)到網(wǎng)絡(luò)監(jiān)控目的。在運行程序啟動后，用戶虛擬網(wǎng)絡(luò)部署策略傳遞到云控制器中，將用戶申請變成邏輯需求后，再傳遞到接收器，讀取設(shè)備當(dāng)前狀態(tài)，判斷是否需要部署，若“需要”，則生成虛擬機擺放策略，并傳遞給云控制器，將其轉(zhuǎn)變?yōu)閷嶋H部署，結(jié)束整個運行流程；若“無需部署”，則判定是否重新部署，若“需要”，則等待下次請求，完成后續(xù)流程；若“不需要”，則直接結(jié)束整個流程。

3云計算環(huán)境下網(wǎng)絡(luò)安全管理技術(shù)的實際應(yīng)用

3.1基本情況

以數(shù)字檔案館為例，在云計算出現(xiàn)前，傳統(tǒng)數(shù)字檔案館中的存儲設(shè)備多由自己提供與管理，因受資金與專業(yè)人才的限制，檔案館的數(shù)據(jù)安全管理很容易出現(xiàn)數(shù)據(jù)泄露的情況。在云計算出現(xiàn)后，數(shù)字檔案館中的數(shù)據(jù)可集中存儲到數(shù)據(jù)中心內(nèi)，有效降低了被盜、受損、外泄的風(fēng)險。

3.2安全管理技術(shù)

3.2.1創(chuàng)建可信云計算環(huán)境

將云計算與可信計算技術(shù)有機結(jié)合起來，創(chuàng)建可信云計算環(huán)境，其基本思想是在云中植入信任根，依靠信任鏈進(jìn)行擴充，創(chuàng)建可信云，其模型如圖2所示。在該環(huán)境支持下，如同將資產(chǎn)放人銀行一樣放心，可在任何時間、任何地點在ATM中開展各類交易，在檔案館環(huán)境下，可使云計算環(huán)境安全得到極大的提升，為數(shù)字檔案安全存儲提供充足的技術(shù)保障。

3.2.2建立可控安全監(jiān)管體系

（1）用戶權(quán)限管理。在云環(huán)境下，館內(nèi)根據(jù)用戶職責(zé)分成多個等級，對各級用戶采取不同的管理模式，并賦予相應(yīng)的資源使用權(quán)限。對于管理員角色，可采用管理員與密鑰管理者權(quán)限分離的方式，避免出現(xiàn)非授權(quán)訪問情況：對于普通用戶，可根據(jù)等級來控制權(quán)限，還可加強存儲容器與對象ACL控制，以避免用戶信息泄露，從而維護信息安全。（2）訪問控制管理。云計算視域下，用戶身份直接關(guān)系到信息安全，應(yīng)加強認(rèn)證授權(quán)管理，才可使信譽良好的用戶訪問相應(yīng)資源?？紤]到云環(huán)境的特殊性，無法要求用戶在使用每個云資源前都檢驗身份，可在館內(nèi)系統(tǒng)登錄前統(tǒng)一認(rèn)證身份，只有認(rèn)證通過的用戶才可獲得授權(quán)，這樣用戶只需驗證一次身份，便可對后續(xù)瀏覽中的其他被授權(quán)資源進(jìn)行訪問。（3）風(fēng)險控制管理。云環(huán)境中的備份數(shù)據(jù)同樣可長期保存，雖然供應(yīng)商對數(shù)據(jù)做好了備份，但館員同樣要加強風(fēng)險管控，將館藏數(shù)據(jù)備份一套存儲到云端，當(dāng)自身系統(tǒng)崩潰或者異地備份出現(xiàn)問題時，不至于檔案資源永久消失。另外，檔案館應(yīng)制定完善的檔案安全風(fēng)險機制，使館內(nèi)檔案信息安全受到威脅日寸，能夠妥善處理。

3.3應(yīng)用效果

在測試環(huán)境下，服務(wù)器子網(wǎng)由病毒防控中心、主機管控服務(wù)器、網(wǎng)絡(luò)安全審計器等構(gòu)成，由交換機與測試網(wǎng)絡(luò)相連，為了簡化管理流程，提高應(yīng)用效果，將FTPserver服務(wù)器接人系統(tǒng)中，可使入侵病毒得到量化輸出。另外，在兩個業(yè)務(wù)用戶子網(wǎng)內(nèi)分別部署2臺測試計算機，再將USB Key準(zhǔn)人客戶端安裝在計算機上，同樣利用交換機接人測試網(wǎng)絡(luò)內(nèi)，具體配置如表1所列。

根據(jù)表2數(shù)據(jù)可知，傳統(tǒng)管理模式下病毒檢出率較低，防御能力有限，而本文方法能夠有效防御病毒入侵，成功入侵病毒數(shù)量為0。究其原因，本文系統(tǒng)在網(wǎng)絡(luò)信息安全管理中，根據(jù)模糊理論合理劃分安全等級，結(jié)合信息等級實施相應(yīng)管理措施，以實現(xiàn)提高病毒樣本檢測率的目標(biāo)。另外，該系統(tǒng)在運行中無異常情況產(chǎn)生，與傳統(tǒng)技術(shù)相比更適用于網(wǎng)絡(luò)信息管理，可達(dá)成安全管理預(yù)期。

4結(jié)束語

當(dāng)前，網(wǎng)絡(luò)技術(shù)融人各行各業(yè)，信息私密性也隨之提升。在云計算環(huán)境下，網(wǎng)絡(luò)安全管理面臨更多的難題，管理難度也隨之增加，需要應(yīng)用更加先進(jìn)有效的技術(shù)解決實際問題。根據(jù)大量實踐研究可知，云安全管理系統(tǒng)的應(yīng)用可對安全風(fēng)險等級進(jìn)行準(zhǔn)確評估，有效降低系統(tǒng)被攻擊、數(shù)據(jù)被篡改和盜取的風(fēng)險，與傳統(tǒng)技術(shù)相比，其網(wǎng)絡(luò)安全保障能力更強。