【摘 要】本文就基于云平台的标准化，商务应用的普及化，以及持续增强的网路连结力，发生在网络设备上的威胁攻击越来越多。移动互联网的时代已经来临，随着移动信息传输的不断增加，在网络上的数据流量不断扩大，给网络数据安全带来了一定的隐患，本文就云技术下的网络数据安全传输进行了详细的分析，分析了云技术下网络数据传输的特点以及数据传输的方式和应该进行的防护等进行了详细的论述。

【关键词】云技术 网络数据 数据安全 数据防护

1 绪论

根据权威报告威胁监控数据显示，平均每秒就有3.5个新的可危害移动设备的威胁产生，从2013年1月到7月，Android移动平台上的病毒样本增加1410%。因此，网络设备已成为黑客的新攻击目标，而其安全问题不容忽视。

云计算的基础设施划分为3个类别：服务器、存储和网络连接。服务提供商可能会提供虚拟服务器实例，在这些实例上，用户可以安装和运行一个自定义的映像。持久性的存储是一种单独的服务。最后，还会有一些用于扩展网络连接的产品。基础架构服务可全面虚拟化服务器、存储设备和网络资源，聚合这些资源，并基于业务优先级将资源准确地按需分配给应用程序。服务器实际上代表了随着计算资源一起分配的最小存储空间和输入/输出信道的资源集合。存储通常提供与位置无关的虚拟化数据存储，这样促进了对通过弹性机制制造无限容量存储的期望，而且高度的自动化水平使得用户能非常容易地使用，大多数基础设施层的组件最终是通过虚拟化技术供应商的设施进行管理的。而虚拟化实现后，其安全的考虑发生了质的变化，完全打破了传统安全防护的概念。

2 云终端设备

云终端是基于云计算系统理论的思想而实现云部署、办公、接入的一种终端设备，云终端的终端技术可实现共享主机资源，桌面终端无需许可，大幅减少硬件投资和软件许可证开销，绿色环保，省电省维护，是信息发展时代的高端产品！仅需在云服务器进行设置，您做的仅仅是接上网线，显示器及鼠标键盘，轻轻按下电源开关，云终端用户即可进行业务操作，亦可畅游网络，实施非常方便。服务端统一管理终端，升级维护工作都在服务端进行，真正做到终端接近零维护。云终端是网络共享器及电脑共享器拖机卡的升级版，据说是带有三个USB口，可以接USB键盘鼠标打印机 U盘的，还有音频输出输入接口，也有宽屏液晶的分辨率，可以支持普通全屏电影，实现的功能越来越多了。目前来看，所为的云终端有两种：1专业的云终端设备；2智能手机、平白电脑等。

3 云中数据

随着云计算技术的逐步成熟，它给IT应用带来的商业价值越来越明显的表现出来，相对于传统的软件架构，云计算运营和支持方面的成本更低廉，但同时又能够获得更快速的部署能力，近乎无限的伸缩性等收益。然而，尽管云计算带来的价值是如此之巨大，但是仍然有诸多企业在云计算和传统软件架构中选择了后者，其原因很大程度上在于云计算领域中，有关企业数据的安全问题没有得到妥善的解决。一些分析机构的调查结果显示出，数据安全问题是企业应用迁移到云计算过程中的最大障碍之一。

3.1 云数据的存储

怎样保证存储在云中的数据，不被其他人看到、不被其他人使用、删除后没有备份存在等等，云中的数据安全是个很大的课题。网络内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展，数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外，还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用，相当昂贵。如果这些服务器的利用率不高，对企业来说，无疑是一种巨大的浪费。这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力，同时又能满足企业响应国家节能减排要求。而服务器虚拟化使网络数据能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的优势。尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下，用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。

3.2 虚拟服务的架构

虚拟服务器基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前虚拟化环境数据传输的几点安全隐患。

虚拟机之间的互相攻击----由于目前仍对虚拟化环境使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。随时启动的防护间歇----由于目前大量使用Vmware的服务器虚拟化技术，让IT服务具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分，但在这台虚拟机启动时，其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。系统安全补丁安装--目前虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化服务器本身有一定状态恢复的功能机制。但此种做法仍有一定安全风险。1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。2.集中的安装系统补丁，前中后期需要大量人力，物力和技术支撑，部署成本较大。

3.3 数据病毒防护

防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴----目前在虚拟化环境中对于虚拟化服务器仍使用每台虚拟操作系统安装Offiescan防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致ESX服务器宕机。通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，提供创新的安全技术为虚拟环境提供全面的保护。

4 针对VMware虚拟系统病毒防护

针对VMware虚拟系统中通过VMshield接口实现针对虚拟系统和虚拟主机之间的全面防护，无需在虚拟主机的操作系统中安装Agent程序，即虚拟主机系统无代理方式实现实时的病毒防护，这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗，最大化利用计算资源的同时提供全面病毒的实时防护。

4.1 访问控制

传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。防火墙技术提供全面基于状态检测细粒度的访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。DeepSecurity的防火墙同时支持各种泛洪攻击的识别和拦截。

4.2 入侵检测/防护

同时在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容。然而，随着虚拟化技术的出现，许多安全专家意识到，传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中，像它们在传统企业网络系统中所做的那样。

例如，由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器，网络入侵监测可能会变得更加困难。类似地，内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中，尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行，但是会消耗共享的资源，使得安装安全代理软件变得不那么理想。

4.3 虚拟补丁防护

随着新的漏洞不断出现，许多公司在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。

4.4 完整性审计

可以针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计功能，当这些关键位置为恶意篡改或感染病毒时，可以提供为管理员提供告警和记录功能，从而提供系统的安全性。现在，服务器系统日志和应用程序日志正以惊人的速度生成，这就可以详细记录下来IT活动。如果某位满腹牢骚的员工企图窃取数据，访问了含有机密信息的数据库，日志就有可能记录下他的一举一动，那样别人只要检查日志，就能确定是谁在什么时候从事了什么活动。日志提供了线索，企业利用这些线索就能追查所有用户（不管是否不怀好意）的行踪。

5 结语

总之，对日志进行管理会给组织带来许多好处。它们让组织意识到面临的情况，并帮助组织开展行之有效的调查，例行的日志检查及深入分析保存日志不但可以立即识别出现不久的安全事件、违反政策情况、欺诈活动以及运作问题，还有助于提供有用的信息，从而解决问题。

参考文献：

[1] 张帅.安全云计算你准备好了吗[M].2012.458-463.

[2] 游向峰打造安全的网络环境之”云计算”[J].湖南师范大学学报，2009（16）：12-23.

[3] 薛质.信息安全技术基础和安全策略[M].北京：清华大学出版社，2012.

[4] 门汝静.近期网络安全的特点与热点[J].现代电信科技，2009（1）：14-17.

作者简介：徐丹（1984—），男，本科，中级，研究方向：计算机、网络、多媒体。