［關(guān)鍵詞］云計算；網(wǎng)絡(luò)信息；安全技術(shù)；安全審計

［中圖分類號］TP393.08 ［文獻(xiàn)標(biāo)志碼］A ［文章編號］2095–6487（2024）10–0055–03

1云計算網(wǎng)絡(luò)信息安全概述

（1）云計算網(wǎng)絡(luò)信息安全定義。針對云計算（CloudComputing，CC）的網(wǎng)絡(luò)信息安全對相應(yīng)的定義進(jìn)行分析，可得到如下定義內(nèi)容：CC網(wǎng)絡(luò)信息安全能實現(xiàn)對CC環(huán)境的控制，避免數(shù)據(jù)在使用時出現(xiàn)數(shù)據(jù)泄漏的問題，同時還能對系統(tǒng)進(jìn)行控制，減少系統(tǒng)崩潰的概率，促使CC的網(wǎng)絡(luò)信息安全能很好地為CC利用奠定基礎(chǔ)。

（2）CC網(wǎng)絡(luò)信息安全的重要性。風(fēng)險會隨著CC的應(yīng)用范圍擴(kuò)大而擴(kuò)大，CC網(wǎng)絡(luò)信息安全的重要性得以凸顯，所以要實現(xiàn)CC網(wǎng)絡(luò)信息安全的合理控制，應(yīng)滿足CC的應(yīng)用需求。

（3）CC安全技術(shù)架構(gòu)。對CC的安全技術(shù)架構(gòu)進(jìn)行分析，促使其能滿足CC網(wǎng)絡(luò)信息安全的控制標(biāo)準(zhǔn)。其中CC的安全技術(shù)架構(gòu)主要包括身份認(rèn)證、訪問控制、數(shù)據(jù)加密等內(nèi)容?，F(xiàn)對這些內(nèi)容進(jìn)行分析，得到身份認(rèn)證主要是用于用戶身份的驗證，促使用戶的身份能得到合理分析，避免出現(xiàn)非法訪問的情況。而訪問控制主要是對用戶的訪問權(quán)限進(jìn)行分析，避免在CC使用時出現(xiàn)數(shù)據(jù)泄漏和系統(tǒng)崩潰的情況。最后數(shù)據(jù)加密是在數(shù)據(jù)傳輸期間，對數(shù)據(jù)傳輸和存儲的安全性進(jìn)行控制，提高信息的安全水平。

（4）CC的安全最佳實踐。保證CC在應(yīng)用時可提高CC信息的安全水平，為用戶的網(wǎng)絡(luò)體驗水平提升奠定基礎(chǔ)，具體如下：①需要落實密碼的管理。用戶在日常使用CC時，要對密碼進(jìn)行控制，要求密碼能定期更換，保證密碼的可靠性。還可以在密碼管理中對強(qiáng)密碼進(jìn)行應(yīng)用，要使強(qiáng)密碼滿足密碼管理的需求。②需要實現(xiàn)多因素的認(rèn)證。主要是對身份認(rèn)證的安全性進(jìn)行控制，促使身份認(rèn)證能符合CC的安全實踐需求。③提升數(shù)據(jù)的安全水平。為了滿足信息傳遞和存儲的安全需求，要在工作中對數(shù)據(jù)信息進(jìn)行加密，提升數(shù)據(jù)信息的安全系數(shù)，實現(xiàn)CC的合理運(yùn)用。

2CC網(wǎng)絡(luò)信息安全風(fēng)險分析

2.1對系統(tǒng)的可靠性有風(fēng)險

CC用戶業(yè)務(wù)數(shù)據(jù)和隱私信息等較多，這些數(shù)據(jù)和信息易受到攻擊，這些攻擊主要來自惡意攻擊和數(shù)據(jù)竊取，會嚴(yán)重影響信息的安全性。而在CC工作期間，網(wǎng)絡(luò)信息受到來自外界的攻擊和侵入時可能導(dǎo)致系統(tǒng)出現(xiàn)崩潰，進(jìn)而導(dǎo)致CC無法提供可靠的服務(wù)。

2.2安全邊界的清晰度相對較差

CC網(wǎng)絡(luò)信息安全會面臨安全邊界不清晰的情況。虛擬技術(shù)是CC實現(xiàn)合理服務(wù)的關(guān)鍵，其能讓實時共享的信息滿足無邊界的特性。但是因為終端用戶數(shù)量相對較多，而且數(shù)據(jù)也相對分散，導(dǎo)致CC網(wǎng)絡(luò)信息無法像傳統(tǒng)網(wǎng)絡(luò)一樣實現(xiàn)安全邊界的定義，也無法合理使用保護(hù)措施，導(dǎo)致用戶需求無法得到滿足。

2.3數(shù)據(jù)安全和隱私保護(hù)

CC網(wǎng)絡(luò)信息安全存在數(shù)據(jù)安全和隱私保護(hù)問題，給網(wǎng)絡(luò)信息安全帶來較大影響。現(xiàn)對數(shù)據(jù)泄漏的風(fēng)險進(jìn)行分析，發(fā)現(xiàn)在CC環(huán)境中數(shù)據(jù)可能被非法訪問或泄漏干擾，造成信息安全的風(fēng)險。對隱私合規(guī)化的挑戰(zhàn)展開分析，發(fā)現(xiàn)CC服務(wù)可能不滿足隱私的相關(guān)法規(guī)的需求，容易導(dǎo)致合規(guī)風(fēng)險的發(fā)生。在加密和密鑰管理時，合理的數(shù)據(jù)加密和密鑰管理是保證數(shù)據(jù)安全和隱私保護(hù)的關(guān)鍵，需提高重視度。

2.4運(yùn)維管理風(fēng)險

CC使用時存在運(yùn)維管理風(fēng)險。為了保證CC的合理使用，數(shù)據(jù)中心運(yùn)維管理人員會在同一個設(shè)備上完成登錄。雖然這種方式給工作帶來了便利，但是也會造成一定安全風(fēng)險。主要是因為公用方式導(dǎo)致相應(yīng)責(zé)任無法落實到具體的工作人員身上，而在運(yùn)維安全管理人員離職時，可能引起賬號密碼泄漏的問題，造成賬號面臨安全風(fēng)險的情況。這種狀況會給CC網(wǎng)絡(luò)信息安全帶來不良影響。

此外，審計用戶操作方面也會受到相應(yīng)問題的影響，這些問題主要體現(xiàn)在如下內(nèi)容。

（1）運(yùn)維用戶在操作期間，無法實現(xiàn)實時的監(jiān)測和管理。一般在事故發(fā)生后，才能針對問題進(jìn)行維護(hù)。這種維護(hù)屬于事后維護(hù)的方式，其針對性相對較差無法滿足預(yù)防的目的。

（2）在安全事故發(fā)生后，審計用戶在操作期間所選擇的操作手段存在相對單一的情況，要對系統(tǒng)日志和歷史命令的相應(yīng)文件進(jìn)行獲取。以Linux系統(tǒng)為分析對象，對各種系統(tǒng)日志文件進(jìn)行獲取，但是如果擁有root權(quán)限的用戶可對日志文件和歷史命令文件進(jìn)行刪除，會給審計工作帶來影響。此外，在海量日志文件中，對目標(biāo)文件進(jìn)行收取工作難度相對較高。

在運(yùn)維管理中存在如下相應(yīng)風(fēng)險，這些風(fēng)險的存在會限制CC網(wǎng)絡(luò)信息安全，詳細(xì)內(nèi)容分析如下。

主要存在安全責(zé)任不清晰的情況，如共用賬號造成安全責(zé)任不清晰的狀況；安全運(yùn)維流程不明確影響安全運(yùn)維工作的合理進(jìn)行；安全可視化水平相對不高、運(yùn)維工作會涉及平臺較多，導(dǎo)致運(yùn)維難度相對較高、運(yùn)維的權(quán)限也相對分散，均會給審計和監(jiān)控等工作造成影響，不利于運(yùn)維工作的順利進(jìn)行。

3基于CC的網(wǎng)絡(luò)信息安全技術(shù)研究

3.1下一代防火墻技術(shù)

對下一代防火墻技術(shù)進(jìn)行應(yīng)用，可滿足CC的網(wǎng)絡(luò)信息安全規(guī)范。隨著云上業(yè)務(wù)越來越多，租戶IT應(yīng)用不斷增加和來自外部訪問的增多，邊界安全依舊是最重要的安全問題之一。傳統(tǒng)方式將網(wǎng)絡(luò)劃分內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)等分區(qū)，但是這種保護(hù)方式已不再適合云上安全需求。云內(nèi)的訪問流量包括虛擬網(wǎng)絡(luò)內(nèi)部的東西向訪問流量和來自外部網(wǎng)絡(luò)的南北向流量，需要分別為這兩種流量提供安全防護(hù)手段。

面對網(wǎng)絡(luò)流量變化，提出以下一代防火墻、防病毒模塊、入侵防御（IPS）模塊為支撐的南北向防護(hù)方案和以主機(jī)防火墻、主機(jī)IPS為核心的東西向邊界安全解決方案。網(wǎng)絡(luò)邊界安全關(guān)注來自外部的南北向流量安全威脅。下一代防火墻技術(shù)的基本情況如圖1所示。

要實現(xiàn)邊界安全的合理控制，可進(jìn)行獨(dú)立應(yīng)用、安全隔離的虛擬系統(tǒng)、路由功能、一體化安全策略、多形式VPN隧道/6in4隧道、基于應(yīng)用層的綜合攻擊防護(hù)功能等的完善，采用全新、先進(jìn)的多維動態(tài)特征異常檢測引擎，促使下一代防火墻在使用時能滿足邊界安全的合理控制。

3.2Web應(yīng)用防火墻

為了提高CC的網(wǎng)絡(luò)信息安全水平，可構(gòu)建Web應(yīng)用防火墻，實現(xiàn)CC用戶會在云內(nèi)應(yīng)用系統(tǒng)的構(gòu)建，還可以用Web的方式完成對外服務(wù)。門戶網(wǎng)站、政府信息公開目錄系統(tǒng)等，易受到SQL注入、跨站腳本、網(wǎng)頁掛馬等深層攻擊行為的攻擊，單靠防火墻或IPS設(shè)備無法完全防御住這類攻擊。

現(xiàn)以360云為分析對象，使用Web應(yīng)用防護(hù)系統(tǒng)使其在工作中能完成Web、Webmail服務(wù)器的保護(hù)。在安全事件發(fā)生時展開安全建模，針對安全漏洞、攻擊手段和最終攻擊結(jié)果展開掃描、防護(hù)和診斷等工作，促使Web應(yīng)用安全解決方案能符合工作需求，提升CC的網(wǎng)絡(luò)信息安全水平。360WAF（360WEB應(yīng)用防火墻系統(tǒng)）部署詳細(xì)情況如圖2所示。

此外，還要完成Web安全掃描、Web安全防護(hù)、安全情報中心、云+邊界+終端安全聯(lián)動、DDoS防護(hù)、網(wǎng)頁防篡改、云主機(jī)安全、虛擬主機(jī)殺毒、主機(jī)入侵防御、主機(jī)加固等內(nèi)容，提升CC網(wǎng)絡(luò)信息安全水平。

3.3運(yùn)維審計

在安全技術(shù)使用時需要實現(xiàn)運(yùn)維審計工作的合理進(jìn)行。云數(shù)據(jù)中心的發(fā)展正朝向規(guī)模化的方向發(fā)展，再加上受到運(yùn)維人員素質(zhì)相對不足的情況，導(dǎo)致運(yùn)維期間出現(xiàn)運(yùn)維風(fēng)險相對較多的情況。其中主要有越權(quán)訪問、誤操作、惡意破壞等情況，使得CC網(wǎng)絡(luò)信息安全受到影響。現(xiàn)以360云為分析對象，借助360云堡壘能對網(wǎng)絡(luò)安全進(jìn)行控制。具體主要是對用戶的操作權(quán)限進(jìn)行控制，使之實現(xiàn)粒度細(xì)分。再對相應(yīng)工作人員的崗位進(jìn)行劃分，促使服務(wù)器和虛擬機(jī)在使用時，能滿足安全訪問控制。其中云堡壘機(jī)在使用時，功能主要包括：集中賬號管理、統(tǒng)一登錄與管控、運(yùn)維記錄與審計、權(quán)限粒度細(xì)分與動態(tài)授權(quán)、敏感指令復(fù)核、移動運(yùn)維。通過云堡壘機(jī)的合理使用，可提升運(yùn)維的控制水平，使運(yùn)維工作符合CC網(wǎng)絡(luò)信息安全的需求。用戶在通過云堡壘機(jī)使用資源時，所有的指令都將被云堡壘機(jī)自動截獲。系統(tǒng)管理員可通過自定義指令集分類用戶所使用的指令，并以黑名單的方式對其中的敏感指令進(jìn)行攔截。

3.4安全審計

更多用戶對CC進(jìn)行使用時，會在云端存儲用戶數(shù)據(jù)信息，而虛擬的云端數(shù)據(jù)會增加CC網(wǎng)絡(luò)信息安全風(fēng)險。現(xiàn)結(jié)合360云基本情況，實現(xiàn)云平臺的數(shù)據(jù)庫審計技術(shù)使用，促使云數(shù)據(jù)庫審計系統(tǒng)的設(shè)計符合要求，其在工作時不僅能完成云數(shù)據(jù)庫的審計，還能與其他廠商實現(xiàn)區(qū)分，可對數(shù)據(jù)庫實現(xiàn)審計、事件追蹤、威脅分析和實時警告等內(nèi)容進(jìn)行應(yīng)用，促使核心信息數(shù)據(jù)的安全等級實現(xiàn)提升，使CC能為用戶提供安全可靠的審計工作。

結(jié)合上述架構(gòu)，可保證安全審計工作實現(xiàn)順利進(jìn)行，使安全審計工作滿足使用需求，推動CC網(wǎng)絡(luò)信息安全的合理提升。后續(xù)工作中還需實現(xiàn)部署模式的分析，使其支持多種云架構(gòu)，使審計保持中立、獨(dú)立，全面且細(xì)致的針對事件關(guān)聯(lián)性完成分析，實現(xiàn)實時海量信息檢索。再完成豐富的策略庫建設(shè)，實現(xiàn)對數(shù)據(jù)庫備份的審計，通過數(shù)據(jù)庫備份的審計提高數(shù)據(jù)的安全，云數(shù)據(jù)庫審計系統(tǒng)可針對不同方式、數(shù)據(jù)庫之間的數(shù)據(jù)庫備份進(jìn)行審計，如數(shù)據(jù)庫備份文件被盜或數(shù)據(jù)庫被備份到脫離控制的某區(qū)域，大量數(shù)據(jù)就可離開內(nèi)部網(wǎng)絡(luò)單獨(dú)建立數(shù)據(jù)庫服務(wù)器進(jìn)行脫機(jī)查詢。

4結(jié)束語

文章以基于CC的網(wǎng)絡(luò)信息安全技術(shù)為分析對象，對CC網(wǎng)絡(luò)信息安全的相應(yīng)內(nèi)容進(jìn)行分析，解讀CC網(wǎng)絡(luò)信息安全風(fēng)險，研究CC網(wǎng)絡(luò)信息安全技術(shù)，實現(xiàn)下一代防火墻、Web應(yīng)用防火墻、運(yùn)維審計、安全審計等內(nèi)容的應(yīng)用，提升CC網(wǎng)絡(luò)安全水平，推動相關(guān)行業(yè)的持續(xù)發(fā)展。