金晓波

（台州科技职业学院，浙江 台州 318000）

0 引 言

云计算是建立在现代计算机和分布式计算基础上形成的技术，在应用时需要与互联网融合建立云网络，以实现计算资源拓展，从而获得运算快、资源广等优势。大量数据通过网络传输和利用计算机存储，一旦出现网络安全问题，将引发数据泄露，给用户带来严重损失，因此应加强网络安全防御技术应用，为加速云计算技术推广奠定基础。

1 基于云计算技术的网络安全问题

对云计算技术应用遇到的网络安全问题展开分析可知，在数据上传至云端存储、备份的整个过程中，需连接互联网实时上传和获取数据，将数据存储于云端服务器，可能会面临各种网络攻击，导致数据丢失或泄露，给用户数据安全带来威胁。首先，通过云端传输的数据信息不仅包含客户基本信息，也包含财务、关键业务等信息，在网络传输过程中遭遇黑客窃听等情况，导致数据泄露，将给客户造成经济损失。其次，无论是通过云端上传还是下载数据，使用云平台需经过身份认证，可能面临用户信息被第三方服务器窃取情况。最后，云计算网络系统存在漏洞，导致审计系统丧失判断木马等病毒的能力，使原本已经被删除的信息依然留存在云端，增加信息泄露概率[1]。

2 基于云计算技术的网络安全防御技术

2.1 节点保护

云计算使用了虚拟化技术。网络中每个虚拟机均为一个节点，如图1 所示，可以看成是传感器节点，不仅拥有日志分析等功能，还可以同时运行轻量系统监控及告警程序，完成虚拟机处理性能优化、裁剪，实时感知系统的运行状态[2]。实施节点保护，不仅能够利用监控软件完成系统中央处理器（Central Processing Unit，CPU）和网络流量等基本信息分析，也能对数据指纹等高级系统信息展开分析，通过配备免疫处理模块拦截恶意软件和网络病毒，防止系统受到外界攻击。采用节点保护技术开发云计算网络安全防御系统，通过在逻辑网内设置自身加固防御节点，将网络安全响应功能升级为防御策略生成节点，通过分析各节点日志、告警等数据启动事先设定的防御机制，为系统运行安全提供保障。网络安全防御系统的节点包含安全节点、业务节点以及传感器节点。其中，安全节点用于实现网络安全的设计，能够提升网络安全水平。业务节点用于对数据存储、备份等各种业务展开分析，加强网络安全的控制。传感器节点用于感知系统的运行状态，判断是否存在网络安全问题，为可靠防御决策制定提供支持。在系统运行期间，各种传感器节点采集到的数据最终将汇聚在安全节点，对各种威胁行为进行判断，生成相应的防御策略。为避免安全节点数量受虚拟机数量变化影响，将安全节点设定在虚拟机单元中，能够运行虚拟机和创建镜像，顺利生成防御策略。将威胁类型划分为黑客攻击、超文本传输协议（Hyper Text Transfer Protocol，HTTP）攻击、恶意软件攻击等，建立相应的匹配规则，提高系统识别的准确率。在系统确定防护软件无法有效拦截攻击时，可以暂时屏蔽虚拟机实例网络访问，避免给整个网络带来安全威胁。

图1 基于云计算的传感器节点分布

2.2 攻击检测

在加强云计算网络安全防御过程中，首先需要完成攻击检测，确保后续防御机制能够顺利启动。应用攻击检测技术建立数据捕获模型采集和分析数据源。在各服务器位置布置网络入侵检测系统（Network Intrusion Detection System，NIDS），如图2 所示，通过轮询形式和事件触发模式完成系统运行的数据采集，按照设定时间间隔完成终端扫描。获取虚拟机负载压力等关键数据，结合系统运行情况优化虚拟机资源分配，动态调整系统的运行状态。通过设定多个触发事件，完成网络带宽占用阈值等数值的设定，判断系统访问行为是否存在威胁性。一旦判断存在威胁，将启动攻击评估程序，结合系统负载状况完成数据源扫描，对端口、登录页面等进行逐一扫描，查找到可疑数据后进行预处理，避免给系统防御带来过大压力[3]。经过数据合并、去重等操作，可以去除重复威胁数据，合并处理同一攻击行为。在各传感器节点导入防御规则后，需要与NIDS 终端防御软件关联，顺利导入防御程序，确保可以调用软件实现攻击检测。

图2 NIDS 系统部署

2.3 数据加密

传统的网络安全防御技术在网络传输层和网络层间实现数据加密处理。在云计算网络环境下，为保证云端存储数据的安全，同样需要进行数据加密处理。一方面，可以在睡眠模式下实现长期存储数据的加密处理，利用数字身份完成用户身份信息加密和验证。在用户登录云端时，需先进行身份认证，将加密数据传至云端，通过证书公共密钥和对称加密密钥完成身份信息的加密。用户仅需保留加密密钥，即可在访问云端时将加密文本下载至本地云中解密，确保数据安全性。云平台在自动运行期间会产生大量数据信息，通过动态加密方式完成数据处理，保证系统数据安全。面向有效用户，该过程带有“透明化”特点，用户能够正常使用数据，因此无须保留大量密钥，仅由云平台提供密钥管理框架，降低云端数据存储等业务操作的复杂性。云平台将根据数据重要性划分安全级别，采取不同数据访问策略。通过数据分类标记，从数据库、应用程序等多个方面建立隔离机制，能够防止其他无效用户查看或修改数据[4]。在用户创建文本过程中，云平台将同时根据文本中关键词生成匹配的索引表和文档，并完成加密处理，发送至云端存储。其他用户登录云端检索数据时，需要向数据所有者提出申请，只有同时获得索引表密钥和文件密钥后，才能查询和解密文本。采用上述技术能够在数据进入云端存储后立即完成加密操作，通过网络实现数据传输，采用链接加密技术对不同网络节点内信息进行加密处理，为不同节点设置不同密钥，与加密信息保持相互对应关系，保证数据安全传输。

2.4 入侵防御

在网络安全防御方面，面对网络黑客、木马病毒等各种威胁，需要采取多种入侵防御技术建立完善的防护体系。一方面，云计算带有动态服务计算的特点，需要将合同服务作为基础，因此在创建虚拟化环境过程中需要设置虚拟防火墙，设立云平台网络安全边界，完成租户边界安全部署，提升整体服务的安全性[5]。同一物理处理器和服务器上分布多个虚拟机，需保证彼此间数据的传输安全，满足平台动态迁移和弹性扩展需求。因此，结合虚拟化资源动态分配和共享特征，在不同领域间设置虚拟化防火墙，并完成出入等级设置，通过限制虚拟机访问流量以保证信息流动安全。采用智能防火墙技术，把模糊数据库检索作为支撑，运用人工智能算法实现数据动态处理，通过入侵扫描方式阻断被包装的攻击行为，提高数据安全防御等级和网络安全系数。另一方面，面对不断更新的计算机病毒，需采用反病毒技术加强网络安全防御。采用静态反病毒模式能够加强网络检测管理，结合病毒特征分析和判断信息安全性。采用动态反病毒模式，可以结合计算机运行状况判断其是否遭受了病毒侵害，一旦发现计算机受到威胁将启动主动防御模式，完成系统软硬件全面扫描，立即处理发现的病毒，保证系统运行安全。在综合运用不同反病毒模式的情况下，这种方式能够有效抵御各种网络病毒入侵，降低云平台的数据安全风险。此外，考虑到云端可能会遭受木马病毒等侵袭，需加强自治网络技术应用，建立自我防御和免疫机制，通过合理调配网络资源隔离病毒，修复服务器或网络拓扑结构，确保云端能够正常通信。

2.5 访问控制

传统访问控制技术通过身份认证方式，确定用户是否拥有云端资源访问权限，在确认无权限情况下阻隔用户进入和操作，发挥安全保护作用。但分布式服务器攻击将通过模拟大量用户访问云平台网络服务器，导致有权限的用户也难以顺利登录服务器。为解决问题，需采用深度包过滤技术实现硬件设备和软件系统集成，通过主动分析数据包头部IP 地址和各协议字段，判断是否存在威胁网络安全的病毒或木马等。通过在网络入口部署深度包过滤软件，优化访问数据流量，提前过滤不安全访问行为，不仅能够使服务器负载保持均衡，也能维持云端网络全局负载均衡。在内网干路位置完成上网行为管理设备部署，加强内部用户访问控制的同时发挥日志审计、行为管理等作用，保证内部网络稳定运行。在云端核心交换设备上部署管理设备旁路，利用镜像记录和分析网络流量，通过与防火墙等安全防御设备联动保证云平台的网络安全。面对各业务节点，使用访问控制列表技术能够避免云端数据信息被非法访问或窃取。通过将上述访问控制技术集成在一起，实现用户行为可视化交互管理，录入访问服务器地址和端口号，生成白名单和黑名单。前者允许访问云端服务器，后者禁止访问，全面提升计算机网络的安全性。

3 结 论

在云计算技术应用过程中，受各种网络攻击威胁，数据传输、存储以及虚拟资源审计等过程中都可能发生数据泄露、丢失等安全事件，给用户数据安全带来严重威胁。各虚拟机节点作为传感器节点，在加强客户端数据信息采集的同时，通过在虚拟化单元中设置安全节点以实现数据汇聚，建立安全防御系统，应对各种安全威胁。与此同时，通过加强网络攻击检测，实现各种数据预处理。此外，需加强数据加密、智能防火墙、自治网络、深度包过滤、访问控制列表等各种安全防御技术应用，全面提升云平台的安全技术水平。