基于云计算环境下网络信息安全技术的应用
2021-01-11吴光雁
吴光雁
摘要:网络的普及为人们的生产、生活带来巨大便利,但也使信息安全受到严重威胁。这是因为网络具有共享、开放特点,有利于信息的传输和服务,但网络安全漏洞使信息存在泄露、丢失的风险,由此给个人、企业和社会带来严重损失。为了不使信息安全受到威胁,云计算环境的建设是将网络体系内具有一定价值的数据信息进行资源整合,通过共享功能的实现,保证资源处理与资源服务过程中,可以真正建设出具有科学匹配、合理供应、质量利用的各类数据运算形式,以此来提高数据信息产品的价值属性。基于此,本文以云计算技术为切入点,首先分析了云计算环境下的网络信息安全风险,在此基础上对云计算中网络信息安全技术的应用展开了探讨,并就轨道交通线网云平台网络安全架构进行了分析,以供参考。
关键词:云计算;网络信息安全;网络系统;轨道交通;技术应用
引言
云计算运行模式主要是搭载用户指令诉求以及各类访问权限,对计算机网络内部的资源进行获取或运算,此类数据指令的下达不仅局限于终端用户访问个体,还可以通过资源多渠道的传输,将网络系统内信息体系进行分布式运算,保证每一类资源储存分析与计算的合理性,降低系统运行过程中的跳变概率,以此来提高计算机网络运行质量。但是从实际运作模式而言,云计算网络环境中受到关联因素的影响,将造成信息丢失以及数据损毁的风险,令用户造成严重的损失。这就需要在实际运作过程中,针对各类安全隐患问题设定处,相对应的网络信息安全技术,保证每一类资源运用的合理性提高实际运作质量。本文针对云计算中网络信息安全技术的应用展开以下探讨。
1 基于云计算环境下的网络信息安全风险
1.1 网络系统漏洞较多
云计算环境可以看成是一个基于数据信息传输与运作的互联网环境,其本身是立足于数据架构以及网络运行平台之上,构筑出具有可预算模式的安全类框架,符合当前计算机网络的运行需求。但是从宏观角度来讲,不同的操作系统通讯协议以及主框架系统对于云计算本身所产生的诉求较高,这也使得实际应用过程中协议与安全漏洞之间所呈现差异性,导致系统面临一定的安全风险。在云计算环境中,网络数据节点的各类传输形式都会因为漏洞产生被攻击风险,进而产生一定的损失,对整个计算机操作系统造成严重的影响。对于计算机网络设备而言,一旦网络系统内部存在安全漏洞隐患时,被黑客或病毒进行攻击时所产生的风险问题,则将是规模化的,令整个数据终端以及网络体系面临着瘫痪的风险,加大数据传输难度。
1.2 云计算稳定性差
自主扩充性作为云计算环境运行的一个重要属性,从实际原理来讲,其伴随着数据增量值的不断延伸而形成具有匹配方面、计算整理于一体的资源自适应及匹配机制,保证每一类计算数据可以真正将整个数据模式作用于系统任务中,进而通过主系统的分配机制,保证每一类数据实现顶层系统与底层诉求的精准对接,提高终端服务器的运行质量。但是从实际运作角度而言,云计算环境本身所具备的共享功能在理论程度上是可以被无限扩大的,且此类数据值的自主性扩充则是以网络节点为基准进行固定时间段、固定区域段内的无限量拓展。但是受到实际应用过程中数据传输以及物理服务器的局限問题,用户在操作过程中无法真正将数据进行自主扩充,造成网络安全服务节点运作过程中存在一定的漏洞,引发出联动性影响,使计算机用户面临着数据丢失的严重风险。
2 云计算中网络信息安全技术的应用
2.1 智能防火墙技术
智能防火墙技术的应用及实现是最为常见的计算机网络信息防护系统,伴随着网络技术的不断更新,整个防火墙体系所起到的性能也逐渐契合的网络多元化的转变环境中。通过防火墙技术体系的建设,可以真正将数据信息所具备的危险特征予以识别,通过模糊数据库以及模糊识别技术等,在计算机网络用户实时化操作过程中进行访问权限的全过程监督,这样通过数据信息的核验与比对,可以查证出用户在实操过程中,对于外界数据信息获取途径所产生的安全等级进行有效识别。如果外界信息在传递时,防火墙识别出此类信息具有安全风险时,则立即执行组织功能并向用户传达此类信息的安全问题,或者是数据漏洞等,进而有效规避错误操作的风险。从关键技术角度而言,防火墙职能基础的实现可以分为下列3点。第一,防欺骗技术。智能防火墙系统中的防欺诈技术是指针对外界协议所产生的IP伪造地址进行有效识别,通过对MAC的管控,确保每一类数据信息及相关协议,在进入到计算机设备之前,可以通过防火墙系统进行细化分析,有效防止欺诈问题的产生,提高网络系统运行的可靠性。第二,入侵防御技术。入侵防御技术是指针对数据包或信息流进行查证,通过智能分析与识别,保证每一项数据信息的流通是符合计算机系统安全运行诉求的,一旦发生数据异常问题,就能及时将此类信息阻隔在防火墙系统之外,避免外界存在安全风险的信息流入到系统内部,以此来提高计算机设备运行的安全性。第三,防扫描技术。从数据信息的窃取角度而言,扫描技术是针对数据包信息窃取的一种常用手段,通过扫描数据包可以得到内部具有一定价值的信息,令用户产生一定的数据损失问题。基于防火墙系统而实现的防扫描技术针对整个防火墙系统运行,实现对扫描技术的针对化防控,进而有效规避外界非法攻击所产生的数据侵袭问题。
2.2 加密技术
在云计算环境中,加密技术的实现是当前整个信息安全防护系统中。具有较高防护等级的技术基准之一,通过不同类型的加密技术,可以有效保证数据信息在传输存储过程中规避数据被窃取的问题。从工作原理来讲,可以将加密技术看成是以数据信息为基准的数据加密、数据还原与数据存储等,这样即便外界黑客利用非法手段截取数据,得到的也是一段加密后无意义的数据乱码,而只有接收方与发送方通过密钥的识别,才可以对此类信息进行解密处理,从而最大限度地保证接受双方数据对接质量,避免数据传输过程中产生丢失的问题。目前,加密技术的实现大多分为对称加密与非对称加密两种形式。其中,对称加密是指应用对称密码编码技术实现对文件加密和解密的同步处理,这样通过密钥作为唯一的处理渠道,可以有效保证以对称加密算法为基准的各类数据加密处理形式是符合系统加密处理诉求的,同时此类加密技术对于计算机系统功能要求较低,在一定程度上达到成本节约的效用。非对称加密则是针对密钥交换协议而提出的一种技术手段,与对称加密技术的实现原理相比,非对称加密可以建立在公开密钥系统之上(见图1),通过公开密钥与私有密钥的独立化处理,保证密钥本身在执行数据加密处理过程中,需要结合公开密钥、私有密钥,才可实现对整个数据信息的加密与解密处理,以此保证数据系统在运行过程中每一类信息传递的时效性。
此外,还可通过密码机的设定,对计算机网络内数据信息进行多维度解析,保证数据传输功能在具体实现过程中,是符合计算机网络安全运行诉求的,进一步深化计算机网络的适应性、传输性及可靠性。图2为密码机的工作原理。
2.3 身份认证技术
身份认证技术的应用是以面部识别、语音识别以及密码识别等建立出具有多层次化的身份认证模式,保证人们在处理某一类数据信息时,可以通过系统的多方面辨认查证出用户在当前计算机网络环境中所存在的访问权限,然后依据用户角色进行授权处理,令用户在操作过程中可以按照自身的权限功能调取相应的数据信息,满足实际操作需求。在云计算环境中,网络信息安全风险等级的逐渐提升,使得整个计算环境对于数据信息的监管力度也逐渐加大,身份认证技术则可以真正将数据认证模式作用于用户本身,通过数据信息的多形式化处理,保证技术在具体落实过程中逐渐摆脱传统密码式的认证形式。例如:通过指纹識别、虹膜识别等,可以确保每一类数据信息在传输过程中是按照用户主观意愿进行下达的。与此同时,考虑到身份认证技术在实现过程中与传统计算机系统服务处理所产生的差异问题,则可以在数据服务过程中,采取联合认证的形式,进一步提高安全防护等级。例如:将口令认证与用户身份认证进行关联,先针对用户名进行分析,然后结合口令认证人脸识别等,进行多层次的身份认证,确保用户在操作过程中的权限开放是建立在用户自主操作之上而实现的。除此之外,可以将口令认证与密钥认证进行联动使用,将传统的身份认证模式脱离于第三方系统认证,真正将用户与服务器进行对接,然后在操作过程中,计算机服务器可以通过相关口令产生密钥,并进行身份认证,待判定此类操作为合法模式时,则用户可以在系统内完成相对应的权限操作处理。
3 轨道交通线网云平台的网络安全分析
3.1建设原则
轨道交通的网络安全应根据具体业务系统特点及运营管理需求,按国家信息安全等保级别的相关规定分级分类进行设计和管理。线网云平台负责云平台自身的安全性,并保证云平台自身符合等级保护三级要求,并负责云平台的等级保护测评工作。云平台各应用系统(如信号ATS或综合监控系统等)由其他应用厂家完成其系统的等级保护及测评工作,不在线网信息化云平台系统范围内,安全责任边界明确清晰。网络安全体系分为安全管理体系和安全运维体系,包括物理安全、安全管理、网络安全、主机安全、云平台安全、数据安全、应用安全等。信息安全平台应遵循“系统自保,平台统保,边界防护,等环保达标,安全确保”原则,平台负责各系统的统筹保护。云平台负责云平台自身的安全性及等级保护定级,其中安全生产网按照三级等保建设,内部管理网按照二级等保建设,外部服务网需与互联网出口进行重点防护。信息安全平台应采用可靠的安全技术,部署成熟的安全设备和执行满足等级保护要求的安全策略。
其他相关原则要求如下:
(1)遵循信息安全标准规范,积极防御,综合防范,加强安全风险综合防范能力。
(2)信息安全平台基于安全生产网、内部管理网和外部服务网的网络架构进行安全防护。信息安全平台需提供三张网内南北向流量及东西向流量的安全防护;在三张网间根据需要采用逻辑隔离、物理隔离、数据交换等手段,构建不同强度的隔离系统,从外层到内层对内部生产系统形成三道隔离保护;部署独立的带外管理网络,实现统一运维管理和功能隔离;需在外网出口做好隔离防护。
(3)信息安全平台应满足等级保护基本要求,部署支持性安全基础设施、边界安全、数据交换安全、应用安全、数据安全、主机安全、管理安全等相关安全设备,做好信息安全防护策略,实现信息安全防护功能。
(4)信息安全平台需充分调研现有IP地址规划及使用情况,进行云平台整体的IP地址统筹规划。
(5)做好云平台多线路的资源规划,避免各系统之间的干扰。
3.2 安全架构
线网云平台采用异地灾备的架构,提高系统整体的安全性。异地灾备中心逻辑上是1个数据中心,物理上部署为异地灾备双中心。灾备中心之间实现数据同步,实现业务灾备切换,确保网络控制中心的可靠运行。线网云平台分为安全生产网、内部管理网和外部服务网,以及对三张网进行统一集中管理的运维管理网,其信息安全体系采用立体纵深防御设计理念。纵向通过外部服务网、内部管理网和安全生产网三张网隔离,其中安全生产网与内部管理网为逻辑隔离,安全生产网/内部管理网与外部服务网间为物理隔离,互联网用户不能直接访问安全生产网、内部管理网的数据和信息系统,而是通过安全隔离边界的数据交换平台将部分脱敏数据摆渡到外部服务网区域,进行数据安全交互。横向通过物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等加以实现,通过管理网实现集中安全管理。云平台内部信息安全体系遵循“网络+安全”的部署模式,架构图如下图。对安全生产网、内部管理网和外部服务网分别部署安全资源池,其中包含防火墙、负载均衡、数据库审计、主机防病毒等安全系统。在三网间、三网与线路侧、三网与安全运维网间部署防火墙、网闸、数据安全交换设备、标记设备等,做好边界防护。安全检测资源池应具备可扩展性,应可根据专业系统需求调整对应的安全检测资源池规模,可根据线网中心专业系统需求提供不同的安全功能。安全检测资源池应包括虚拟入侵检测、虚拟数据库审计、虚拟漏洞扫描、虚拟堡垒机、虚拟安全管理平台、虚拟日志审计、虚拟流检测、虚拟WEB应用防护等功能模块。
3.3 安全等级规划
《信息安全技术 网络安全等级保护基本要求》在安全扩展要求中明确了云计算安全扩展要求,提出在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。云平台作为单独的定级对象,由云平台厂商提供等级保护技术建设、等级保护测评服务及测评过程中修改工作;部署在云平台上的业务系统作为单独的定级对象,由各业务系统负责自身定级实施。云平台负责云平台自身的安全性及等级保护定级,其中安全生产网按照三级等保建设,内部管理网按照二级等保建设,外部服务网需与互联网出口进行重点防护。云计算环境下,安全等级保护除了需满足基本的安全通用要求外,还应满足安全扩展要求。等级保护云计算安全扩展要求中涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等内容。根据等级保护要求及线网中心业务特点,方案从访问控制、入侵防范、安全审计、集中管控、主机安全等方面进行设计,确保云平台符合等级保护要求。
4 结语
综上所述,计算机网络系统的不断更新下,对计算机设备以及整个网络体系所产生的安全需求也在逐渐增大,这就需要各类安全技术在实际应用过程中,可以真正起到技术防控的效果,保证每一类技术驱动过程中可以真正实现整个计算机网络安全体系的构筑,进一步提高计算机系统运行质量。
参考文献:
[1]谢柳萍.基于网络信息安全技术管理的计算机应用研究[J].数字技术与应用,2021,39(6):177-179.
[2]陈少军.基于网络信息安全技术管理的计算机应用探讨[J].信息记录材料,2021,22(6):68-70.
[3]周岩,杜健持.高校网络安全防护中计算机信息管理技术的应用[J].电子技术与软件工程,2021(8):241-242.
[4]童瀛,姚焕章,梁剑.计算机网络信息安全威胁及数据加密技术探究[J].网络安全技术与应用,2021(4):20-21.
[5]刘智勇.大数据云计算环境下的数据安全分析[J].科技创新导报,2020,17(20):122-124.
[6]宋雨威.云计算和云数据管理技术[J].科技创新导报,2019,16(2):170-171.