网络安全的分布式异构存储网络安全技术分析
2021-02-07中国船舶重工集团公司第七一五研究所
中国船舶重工集团公司第七一五研究所 辛 宇
在互联网得到普及应用的背景下,网络数据量不断增加。而在采用分布式异构存储技术实现数据存储过程中,对网络具有明显依赖性,将面临较大信息风险。因为尽管网络具有较强功能,但也相对脆弱,容易因为恶意攻击出现安全问题,可能造成信息遭到窃取,严重时甚至出现系统瘫痪,造成信息丢失。从网络安全管理角度来看,需要加强分布式异构存储网络安全技术运用,使数据隐私性和安全性得到保证。
1 分布式异构存储网络安全架构分析
在分布式异构存储网络中,需要利用虚拟网络边界进行安全部署,采用与物理网络相同组网方式,通过控制边界流量加强网络保护。将物理安全设备虚拟化,通过单独管理设备实现安全控制,可以使分布式异构存储系统体现较强弹性,增强服务便捷性。在物理设备上部署虚拟化安全设备,并设置设备管理系统,能够对管理服务器进行虚拟化处理,使网络安全服务顺利迁移。使数据平面与控制平面保持分离,利用虚拟机完成引流层安全架构部署,可以体现网络分布式特征。从具体架构上来看,包含系统管理平台、虚拟网络和虚拟机监视器。通过监视器,用户可以利用虚拟机接入网络,在控制平面完成安全服务部署,实现数据存储和调用。利用网络单元进行数据动态引流配置,能够在各物理机上布置安全服务平面,使控制平面得以进行安全通道部署。在不同物理设备上对系统业务数、安全策略等参数进行设置,对多个安全服务模块进行调用,能够结合用户需求提供安全服务。
2 基于网络安全的分布式异构存储网络安全技术
在数据存储系统运行过程中,采用数据备份方式属于被动式安全策略,能够使信息丢失和被篡改问题得到解决,但无法应对数据因为网络攻击而泄露的情况,容易给企业带来较大经济损失。而分布式异构存储系统能够为数据在网络的高效传播提供支撑,同时也将面临较大安全隐患。单靠服务供应商提供保护,难以满足用户安全控制需求,还应加强安全技术运用,实现安全策略灵活布置防止系统出现越权访问情况。通过科学设计安全服务模块功能,使系统危险系数得到降低,能够为网络安全使用提供保障。
2.1 访问控制技术
在分布式异构存储系统网络安全服务模块功能开发上,还要加强系统访问控制管理。系统运行过程中将连接多种服务器,为不同访问模式提供支持。加强系统元数据管理,并做好客户端存储代理设置,可以满足数据复制要求,提供远程镜像等服务。为保证数据安全,还要确保用户经过授权认证后才能获取服务,通过网络上传或下载数据,对目录和文件进行查看。将数据存储和查看等权限分开,在用户访问数据时将发出不同访问请求。通过安全检查确定访问权限,能够使数据隐私性得到进一步保护。实际在技术应用上,需要根据用户设备配置参数确定访问级别,然后利用网络安全策略进行授权。通过判断访问优先级别,可以确定范围范围、次数等。结合系统数据管理需求设定认证层次,能够保证数据在存储节点和客户端之间高效传输的同时,使系统安全性问题得到解决。在虚拟网络中,利用分布式安全架构能够实现微隔离,并通过提供安全检测服务对网络传输文件、单一数据等进行检测,达到加强系统攻击防护的目标。如采用防火墙、IPS、URL等技术,能够对网络进行实时安全检测,使用户行为安全性得到准确识别,因此能够为网络使用提供安全保障。在网络安全服务发现相同虚拟网络中存在虚拟机被攻击行为,将通过微隔离对受到攻击虚拟机进行分割,使来源于内部网络攻击得到遏制,不会给整个网络运行带来干扰。实现异构存储,可以对任何用户任一端口实施隔离控制,只需在控制平面进行安全控制策略配置,即可提供端口对网络用户行为进行检测,完成虚拟机安全防护配置,使系统整体安全性得到增强。
2.2 数据加密技术
系统数据借助网络进行传输,同样面临较大安全威胁。为使数据在传输过程中的安全性得到保证,还要运用数据加密技术进行处理。具体来讲,就是从分布式异构系统服务器提取数据过程中,以数据包形式完成加密处理,借助底层文件系统实现数据共享。不同于单纯文件级加密或介质级加密技术,该种加密技术属于应用加密技术,能够利用应用程序实现数据加密操作。由于无需在网络存储层嵌入执行数据加密的设备,因此无需进行各种密钥管理,能够避免给分布式异构存储系统性能带来影响。在系统应用中实现加密技术的集成,可以提供端到端的加密解决方案,根据用户身份及防伪范围加强密钥访问控制,使密钥与应用紧密绑定。对于用户来讲,只有获得关键数据访问权才能通过特定应用。在分布式异构存储系统运行期间,容易因协议缺陷导致未授权用户能够进行系统访问。为避免系统数据信息泄露,还要利用公共应用程序实现数据处理,在后台完成数据加密。针对服务器端,还要做好存储代理数据加密。结合这一目标,还要设计加密文件系统模块,在数据传输前进行加密处理。在此基础上,可以利用底层设备进行本地文件系统驱动,在不同地区存储设备中进行数据写入。采取该种数据加密技术,授权用户在访问系统时,可以从服务器获得明文信息。而针对非法侵入用户,服务器只会产生暗文,以免数据信息被篡改或泄露。采用保密编码技术,服务器可以利用已知编码方案对数据进行处理,使码集成到复杂场景中,确保窃听者无法获取想要的信息。在系统用户群有所改变时,则要及时进行应用访问调整,确保用户能够通过特定应用访问数据。对底层加密文件系统进行布置,能够使系统网络组织结构保持不变,因此依然可以实现数据高效传递,同时加强数据传输安全管理。
2.3 动态引流技术
伴随着网络技术的快速发展,网络环境中黑客攻击较多。通过网络进行分布式异构存储系统操作,可能遭受各种网络攻击。为满足用户特殊安全管理要求,还要对网络安全进行合理评估,以便及时发现安全风险,通过动态引流避免系统遭受攻击,以免因系统安全防护漏洞和盲点的存在造成数据安全性受到威胁。在系统利用网络实现数据存储过程中,需要对整个网络中各虚拟机业务信息、局部流量等进行汇总,通过分析安全行为事件进行引流,使来自网络的攻击得到减少,继而使系统数据得到强有力的安全保护。在网络安全控制平面上,用户数据流量可以镜像至虚拟机,通过控制其流量可以掌握用户流量,提供实时安全保护。在无线网络中,物理信道具有唯一性和交互性,能够使合法用户得到有效辨识。从信息安全管理角度运用物理层安全技术,无需额外执行安全协议就能加强安全管理,可以使存储系统维持高效运转。在信号通过物理信道传输时,首先需要确定传输源是否合法。由于任何攻击者无法对信息源进行模拟,因此可以根据信道安全数据特征对合法和非法信号源进行识别,然后进行合法信息传输。在实践操作中,人员需从分布式异构存储网络中实现安全数据特征提取,然后利用独立无线通信进行数据存储操作。并非每个无线网络通道都可以用于数据存储,还要对通道物理层存储安全系数进行确认,保证数据得到安全传输。实现系统网络安全特征值分解,能够从信道稳定程度、网络安全数据特征等角度对节点安全性进行反映。将特征值分解至子信道,利用得到的安全数据特征进行网络安全矩阵建立:
式中,W指的是无线通信层安全传输矩阵,i1-i4为四个网络节点安全数据特征。通过对安全物理层信道进行筛选,然后将合法信号波束引入到分布式异构存储系统中,能够避免不法信号的进入。因为即便存储网络受到人为攻击,由于窃听者无法通过物理信道进入到存储系统内部,所以能够为解决系统安全问题提供有效方案。运用该技术只允许合法信号在系统内部存储,能够避免系统数据遭到破坏,因此可以使网络安全管理需求得到满足。在系统运行过程中,通过对局部网络数据流量进行实时监测,并通过安全服务模块进行动态引流,能够加强网络全局安全管理,为系统日常安全维护提供支持。
3 分布式异构存储网络安全技术应用效果
3.1 实验条件
为确定上述技术应用效果,可以利用Sgzsdergly平台开展网络安全实验。利用SAVE代码进行实验内容编写,能够对不同安全技术的存储安全系数进行测试。在实验分析过程中,可以先利用传统网络安全技术进行数据的分布式异构存储,然后利用设计安全技术完成相同操作。将传统系统操作当成是对照,比较两组实验结果,可以得到实验结论。
3.2 结果分析
从实验结果来看,采用传统安全策略进行数据存储操作,网络安全系数在10到30db之间。运用多种安全技术生成系统安全策略,完成系统网络安全服务模块部署,能够使网络安全系数达到50-70db。相较于对照组,实验组的网络安全系数得到了大幅度提升,因此能够使数据存储的安全性得到增强。实现上述安全技术组合运用,依然无法保证分布式异构存储系统在使用网络进行数据操作时绝对安全。实际运用网络安全技术,还应认识不同用户将提出不同安全等级要求,可以通过在存储系统中采取不同安全策略强化安全服务模块功能设计,使系统安全性得到不断提升。
结论:为加强网络安全管理,还要在分布式异构存储系统中引入网络安全技术,通过提供有效保护避免系统受到恶意攻击,从而使网络环境下的数据信息完整性、安全性得到保证。结合存储网络安全架构,运用访问控制、数据加密、动态引流等不同安全技术实现安全服务模块功能,能够实现多种安全策略的组合运用,辨识网络安全风险,提供安全通道实现数据传输,继而有效避免数据被窃取。