您现在的位置: 新晨 >> 商务论文 >> 网络安全论文 >> 正文

论云计算网络信息安全防护思路

2021/10/15 阅读:

摘要:随着互联网的不断发展,信息技术已经被运用于人们生活和工作的方方面面,这为人们的生活和工作提供了极大的便利,但是也使得网络信息存在十分严重的安全威胁。主要分析了云计算网络信息安全防护思路,从而为互联网和信息技术的可持续发展提供良好的先决条件。

关键词:云计算;网络信息安全;防护思路

引言

云计算技术主要是通过网络获得相应的资源,并通过计算模式将互联网的客户端集中到网络云端,然后通过网络云将信息数据提供给广大用户的一项现代化技术[1]。在云计算的环境下,其信息数据呈现出的特点主要为信息交换模式化、数据储存集群化、通用性、可靠性和可扩展性,同时信息数据的安全性问题也正在面临严峻的考验。切实加强云计算网络信息安全防护,已经成为当前时展应该重点关注的问题之一。

1云计算面临的信息安全问题

1.1传统模式下的安全威胁

在云计算的发展过程中,其面临的传统模式下的安全威胁主要包括木马、病毒、僵尸及蠕虫等,这是当前云平台安全风险的重要组成部分之一。在云平台内,如果出现区域隔离及租户隔离措施不当的现象,那么这些传统模式下的安全威胁就会传播得更快、更迅速,这对云平台的正常运行造成了非常大的安全隐患。在计算机用户与云环境进行交互的过程中,各种木马、病毒及“流氓软件”会想尽一切办法套取用户的信息数据,而普通用户并没有良好的专业知识对恶意链接和伪装技术进行有效识别,加之反病毒软件及入侵检测系统的开发速度远远跟不上网络升级的速度,这就使得云计算网络面临的信息安全问题被进一步加剧。

1.2云计算的特有风险

目前,云计算的特有风险主要包括以下几个方面:其一,数据泄露风险。在云计算的系统中,储存着大量的用户信息,并且随着系统数据量及数据价值的增大,云计算面临的安全威胁就会越高,因此云平台中数据泄露、数据丢失及数据纂改的安全隐患十分严峻。其二,隔离失效风险。对于云计算环境而言,计算能力、存储与网络在用户之间具有良好的共享性。如果不同用户的存储、虚拟机及路由器等出现隔离不当的现象,那么一些恶意用户或者不法分子就会对其他用户的信息数据进行修改删除,这在很大程度上增加了用户信息面临的风险。其三,虚机逃逸。对于虚机逃逸而言,其主要是指利用虚拟机软件及运行软件中存在的漏洞,对虚拟机宿主操作系统进行攻击或者控制,从而实现虚机逃逸的根本目的。该风险与虚机本身及Hypervisor层的安全漏洞有关,它可以导致在Hypervisor层执行任意代码的不良现象[2]。其四,虚机内存泄露。在重新分配硬件资源及虚拟机共享的过程中,会产生很大的安全隐患,导致信息数据在虚拟机之间出现泄露现象。如单虚拟机的额外内存被大量占用,但是释放过程中并没有对这些区域进行重置处理,那么在这些区域分配的新的虚拟机可能会获取一些较为敏感的信息。其五,恶意租户风险。在云环境下,一些恶意用户会利用云计算服务商存在的安全漏洞,上传一些具有恶意攻击性的代码,从而通过非法途径破坏或者获取用户的信息数据。其六,运营模式风险。在云计算的发展过程中,其运营模式处于不断更新优化的状态,因此其应用过程中可能会出现云计算资源滥用的不良现象,同时云计算中租户的高流动性及地域特色,也对云计算的安全管理和信息保护工作提出了更高层次的要求。

2云计算网络信息安全防护思路

2.1建立完善的信息安全保障体系

在开展云计算网络信息安全防护的工作实践中,相关部门必须根据云计算的内在特征及时展的整体趋势,建立完善的信息安全保障体系,从而有效减少各种因素引起的信息丢失、信息纂改及信息盗用现象。在此过程中,相关部门要对重要的信息数据进行有效备份,其主要包括重要系统备份、重要信息备份、网络接口设置备份等,并且相关部门还要对重要信息的修改、查看及删除等操作以日志的形式进行全面记录。对于云计算网络而言,其自身具有较强的特殊性,云端储存在大量的数据集群,信息数据的备份和审计工作在很大程度上增加了系统运行的成本投入,但是如果云计算网络没有良好的备份那么一旦云计算网络出现瘫痪,就会造成更加严重的损失。针对这种情况,相关部门必须对信息安全保障体系的建设给予足够的重视,并全面落实以下几方面的工作:其一,对系统漏洞进行定期扫描,并根据其实际情况对有问题的设备打补丁;其二,相关部门在开展与公网接口地址端口的过程中,应始终保持小心谨慎的态度,全面落实网络设备安全加固工作,并设置访问控制列表及防火墙措施;其三,相关部门在传输系统数据的工程中,应对传输数据进行必要的密文加密,同时对一些涉及个人隐私及重要信息的数据进行加密储存[3]。

2.2建立完善的防火墙防护体系

防火墙防护技术能够对进行信息的协议、端口及目的地址进行全方位检测,并根据其实际情况对不符合规定的外来信息进行有效过滤,从而达到云计算网络信息安全防护的根本目的。防火墙防护一般部署在出口路由器和核心交换机的中间位置,其主要作用是将云计算网络与外部网络进行有效隔绝。目前,在云计算网络信息安全防护的具体实践中,其防火墙防护体系主要为虚拟防火墙,虚拟防火墙主要可以分为集中式防火墙及分布式防火墙两种。对于集中式防火墙而言,技术人员为了达到良好的防护目的,往往将虚拟防火墙集中在云安全资源池中,除旁挂于云计算环境之外,同时需要将云计算网络中的流量牵引至云安全资源池,并使得流量在经过虚拟防火墙之后,又重新被输送至原来的云计算网络中[4]。在此过程中,技术人员可以通过软件定义网络(SDN)技术,更加快捷方便地将防护流量注入云安全资源池中。对于分布式防火墙而言,其主要是将虚拟防火墙设置在每一个租户的虚拟私有网络(VPR)边界,在不同虚拟私有网络用虚拟局域网(VLAN)隔离的时候,技术人员可以根据其实际情况,在虚拟主机及虚拟防火墙的业务网口,加入同一个虚拟局域网或者同一端口组列表[5]。当其他区域虚拟主机被虚拟私有网络的虚拟主机访问时,其流量必须要经过虚拟防火墙,从而以此为基础实现网关的访问控制。除此之外,对于云计算网络环境而言,大量的Web应用服务被存储于云平台的虚拟机中,这就使得各种Web应用传入面临巨大的安全隐患,因此技术人员必须根据实际情况部署必要的网站应用级防御系统(WAF),从而切实加强对Web的访问控制,进一步提高整个系统的安全性和可用性。在部署网站应用级防御系统的具体实践中,技术人员往往会通过旁路的方式,将网站应用级防御系统旁挂在出口路由器上,并将特定网络地址(IP)上的流量引导到网站应用级入侵防御系统上,从而达到Web应用安全防护的根本目的。其具体云计算网络防火墙部署如图1所示。

2.3建立完善的DDoS防护体系

对于云计算网络平台而言,大量的虚拟服务器分布其中,因此大多数攻击者会直接对云计算架构上的DDoS进行猛烈攻击,并有效提高流量上的攻击当量,从而进一步增加其整体的攻击效果。针对这种情况,技术人员必须根据实际情况建立完善的DDoS防护体系,从而有效降低DDoS产生的攻击效果,达到云计算网络信息安全防护的根本目的。在此过程中,技术人员可以将黑洞路由建立于云计算网络架构的网络出口处。当遭遇DDoS攻击时,黑洞路由能够使得攻击数据包在此处丢弃,从而有效防止机器向受害者发送大量数据包,这在很大程度上减少了受害机器的挂死现象。当遭遇小流量和小规模的DDoS攻击时,技术人员可以通过DDoS应用软件及简单的防火墙系统,达到云计算网络信息安全防护的根本目的。当遭遇大流量和大规模的DDoS攻击时,技术人员需要将流量引入DDoS清洗设备,同时对分组限流的部署情况进行全面检查,同时在云计算网络的出口和入口位置,设置流量清洗设备和DDoS防火墙,从而进一步减少DDoS攻击对云计算网络造成的不利影响。

2.4建立完善的入侵检测体系

在开展云计算网络信息安全防护的工作实践中,建立完善的入侵监测体系,可以通过对网络流量的全面分析,以及对网络系统运行状况的实时监测,及时地发现云计算网络中正在进行的恶意攻击,并针对该恶意攻击进行必要的告警。针对入侵检测系统而言,其纵向部署往往采用旁路监听的方式,横向部署往往采用分布式或集中式的方式。除此之外,为了出入口流量的正常通行,技术人员往往采用隧道引流、线路风光及端口镜像的方式,将网络流量输送至入侵检测系统进行全面检测,并对检测结果中异常行为流量进行必要告警。其入侵检测系统的整体部署如图2所示。2.5建立完善的病毒防护系统在开展云计算网络信息安全防护的工作实践中,病毒防护系统主要可以分为两类,分别是无客户端的病毒防护系统和有客户端的网络病毒防护系统,并且病毒防护体系往往被应用于云计算网络主机层面的防护。对于无客户端的病毒防护系统而言,它在实现虚拟机主机安全防护的过程中,只需要在被防护的虚拟主机所在宿主机上安装适宜的防病毒模块,不需要在被防护的虚拟主机上安装任何客户端。对于有客户端的网络病毒防护系统而言,它在实现虚拟主机安全防护的过程中,需要在被防护的虚拟主机上安装客户端,并通过运行管理区的防病毒服务器进行病毒的统一防护管理,同时要对关键的虚拟化服务器进行重点病毒防护[6]。其病毒防护系统的整体部署如图3所示。

3结语

在互联网和信息技术不断发展的现代社会,云计算服务的重要性逐渐凸显出来,其不仅能够将整个世界有效结合起来,同时能将以往时代中没有联系的事物结合起来,这对人类社会的进一步发展具有十分深远的影响,但是云计算网络面临的信息安全问题不容忽视。针对这种情况,技术人员必须建立完善的信息安全保障体系、防火墙防护体系、DDoS防护体系、入侵检测体系及病毒防护系统,从而为云计算网络中的信息安全提供强有力的保障。

作者:李娜 单位:河北公安警察职业学院

论云计算网络信息安全防护思路

2021/10/15 阅读:

推荐度:

免费复制文章