李子民

（中国移动通信集团河北有限公司，河北 石家庄 050035）

1 云计算安全概述

伴随着网络技术的不断发展，云计算性能得到了突破性的改进，其主要表现在海量的数据得到了有效的处理。承载云计算平台的主流数据中心目前采用传统三层网络架构，有效解决了数据中心内流量高速互联和数据中心规模不断扩大的问题，从而将一个复杂的、大而全的网络进行有序管理。云安全是云计算的重要组成部分，战略位置愈发凸显[1]。云计算安全一般涉及网络、主机、应用和数据等安全场景，云计算系统由于虚拟化和多租户等特性，涉及多种新型安全场景，包括虚拟机安全、流量安全、应用迁移安全、云端数据安全、云边界安全、多租户用户的授权和访问管理安全等[2]。其中，平台安全、数据安全、资源共享导致的系统安全是云计算安全架构的关键组成部分。

1.1 平台安全性更高

随着新型基础设施建设加快，通过防火墙实现不同的安全等级，同一数据中心内的资源划分为可信区和非可信区两个安全区。云资源池网络使用IPv6，IPv6是被全球公认且唯一的下一代互联网商用解决方案，在超宽带、广连接、安全、自动化、确定性和低时延六个维度能够全方面提升IP网络能力。分布式存储系统数据采用了多种策略以保障数据安全，比较常见的策略包含多副本、纠删等，也有基于物理层进行物理隔离策略设定，这方面分布式存储系统已经做得比较完善了。

1.2 数据安全性更高

在网络安全技术的保护和支持下，实现了对数据库的有效防护，进一步提升了数据的安全性。数据存储采用多重备份机制，确保每份数据均有不少于一个的副本，确保在存储载体（如硬盘）发生故障情况下，仍可保持数据完整，对系统的正常运行及访问无任何影响。云计算不仅能对数据库中的资源进行合理的部署，还能帮助用户在最短的时间内找到相对应的数据资源，体现出了专项通道的作用。

1.3 资源共享性更高

云平台借助计算、存储和网络虚拟化技术实现资源的组织和分配，将租户业务部署到数据中心的虚拟机上，实现了资源共享，大大提高了资源的利用率，实现了像使用水电一样一点接入，即取即用。NFV（Network Function Virtualization，网络功能虚拟化）通过使用数据中心的等通用性硬件，实现软硬件解耦，解决了租户业务烟囱式建设的问题。云操作系统（Cloud OS）同普通的操作系统一样，实现对硬件资源的抽象，对上层提供服务。当前，OpenStack为各类云计算平台提供可扩展的弹性的云计算服务，一般将OpenStack称为云操作系统，把Hypervisor作为OpenStack的一部分。OpenStack属于Cloud OS中的管理部分，应用非常广泛，与Hypervisor一起构成了Cloud OS的功能[3]。

2 云计算安全风险分析及发展趋势

2.1 网络攻击形式更加多样

面对当前越来越复杂的环境，安全问题越来越严重，越来越多网络攻击方式的侵入，导致网络安全问题逐一暴露，攻击的方法、渠道、形式也更加多样化，例如，DDoS攻击、SQL注入、恶意小程序、木马植入等方式，使计算机网络信息系统在很多环节都有可能受到不同方式的攻击，从而使系统受到不通程度的危害[4]。

NFV技术带来的特有安全风险尤其需要重点关注，如NFV基础设施平台安全防护能力下降的问题。当平台运行不可信的虚拟机时，硬件平台的安全防护能力会整体下降[5]。

2.2 云化带来新的安全威胁

云计算具有资源池内部网络复杂、业务部署集中度高等特点，加之公网出口增加暴露面，虚拟基础设施管理面临的安全威胁更复杂。包括用户虚拟机或从管理网络入侵管理虚拟机、通过管理网络入侵Host OS/近端维护端口入侵Host OS/感染病毒、用户虚拟机或从管理网络非法入侵虚拟路由器管理接口、用户虚拟机或从管理网络非法访问等。

（1）计算虚拟化安全。包括恶意VM通过Hypervisor攻击其他VM、恶意VM攻击HostOS或Hypervisor、VM通过Hypervisor攻击自身GuestOS等。

（2）网络虚拟化安全。包括VM攻击VM、VM攻击vSwitch、外网攻击Host或vSwitch等。

（3）存储虚拟化安全。包括VM存储设备漏洞、VM恶意读写磁盘、存储设备被攻击等。（4）OpenStack安全。包括API滥用、开源软件漏洞、管理权限滥用、恶意内部人员等。

2.3 云原生安全形势严峻

以微服务、K8S、DevOps、容器为显著特征的云原生技术，具备开放、灵活、可编排的特性。容器作为一种资源形式，通过K8S平台，对容器进行集中运维，使微服务框架能够最终落地，将传统业务微服务化，更符合DevOps对业务体量和架构的需求，使业务快速迭代成为可能。云平台一般承载着核心业务和关键数据，内部的网络处于全部联通的状态，在当前网络威胁形势下，攻击手法持续演进升级，使得对云平台的风险分析必须做更加大胆的假设，一旦边界被各类攻击单点突破，恶意代码的内部传播毫无障碍，在云平台资源池通过大面积东西向侧移，容易造成数据泄露、系统瘫痪等重大损失。

2.4 缺乏专业安全技术人才

计算机网络技术在实际的应用过程中，经常遇到的网络安全问题，将会给人们的生产和生活工作带来一定的困扰。其主要与一部分工作人员专业能力有关，例如，网络安全意识不强，导致这些网络技术在应用时出现了各种安全问题，如用户重要信息被泄露、被盗取等。因此，专业技术人员需要掌握更专业的基础知识，致力于解决计算机网络中出现的各种安全问题，通过灵活使用多种计算机网络安全技术，从而第一时间对出现的安全问题提出解决的对策，从而营造良好、稳定的云计算机网络环境。

2.5 安全审计信息不够透明

目前，我国无论是网络监管方面，还是网络的使用方面，都忽视了安全审计信息问题，缺少对相关数据信息的有效监管、维护、管理等。并且由于信息数据的维护主要是在云计算服务平台中完成的，如果信息缺乏一定的透明性，将会使网络中的信息缺乏安全保障。

3 云计算安全防护方法和应对举措

3.1 应用网络安全隔离技术，强化云网络安全防范效果

网络安全隔离主要包含物理设备安全、虚拟化平台安全、网络安全、数据安全四个方面的安全隔离。云平台的安全性和稳定性想要得到有效保障，应完善云计算环境的安全功能，利用入侵和识别技术对相关数据进行及时的识别，在一定程度上可避免病毒和其他攻击的侵入。另外，对于一些已经传输到云端的数据，需做好数据加密处理，这样能够有效避免入侵者直接盗取用户的重要数据信息，使运算数据储存更加可靠、传输的数据信息能被保护起来。借助网络服务器安全防范技术的应用，进一步强化了计算机网络安全的有效防护，从而提升了数据安全性。

3.2 融入多种安全防护技术，构建完善的安全防护系统

3.2.1 防火墙技术

防火墙是介于内部网络与外部网络之间的网络安全系统，可结合特定的防火墙策略进行数据访问需求放行。策略一般是遵循“最小化”原则，结合业务侧的实际需求，细化到源IP地址、目的IP地址、源端口、目的端口等粒度。

3.2.2 防病毒技术

云计算技术运行过程中经常会遇到网络病毒的入侵和威胁。由于当前网络中的病毒越来越多，其程度或者病毒的形态也都在发生着改变。因此，云计算网络安全技术想要提升，应该对出现的病毒进行阻隔。例如，应用不同类型的反病毒技术，加强对病毒的有效防御。技术人员利用动态性的反病毒技术，开启对病毒的主动防御，从而提升病毒防御的质量和效果。

3.2.3 系统加密技术

由于计算机网络兼具开放性的特质，导致计算机网络系统在运行过程中很容易受到各类病毒的入侵，直接影响到数据的安全性。为了能够使得云计算环境下的网络环境得到有效保障，需要利用加密技术，将其应用到整个网络系统之中，达到保护数据安全的目的。其中，加密系统能对网络中潜在的风险进行过滤，然后将恶意破坏信息消除，使得系统中出现的黑客攻击行为、病毒入侵行为得到有效的遏制。系统加密技术为数据的共享等提供了有效的保障。

3.2.4 漏洞扫描技术

网络漏洞为病毒入侵和黑客侵入提供了“主要条件”。因此，云计算背景下的计算机网络安全技术应用选择使用修复技术和漏洞扫描技术，使计算机网络安全风险得到有效的控制。在使用这些扫描技术时，相关人员需要合理利用漏洞扫描技术，这样才能使计算机系统更加安全。

3.2.5 防护溯源工具通过业内数据扫描发现系统，快速高效地识别出组织内部敏感数据及分布位置，同时借助工具对敏感数据传播途径进行防护；对于已发生泄密（如拍照、文档外传等），通过数字水印技术，可对泄密事件进行追溯。此在技术层面能对员工泄密起到震慑作用，有效预防员工泄密事件发生。

3.3 基于角色的云平台虚拟机安全访问控制策略

云环境下计算机网络安全技术在使用过程中，可以利用控制访问技术，对访问进行有效的控制。针对云计算平台中用户之间的数据区分问题，以及恶意用户窃取平台中数据的问题，提出一种基于角色访问控制策略。该策略解决了平台访问者客观信任和主观信任的问题，通过虚拟化技术，在数据隔离存储后，为云用户分配相应角色，在用户访问过程中，对用户密钥证书和信任等级进行综合验证，更好地保证云计算平台数据的安全性与可靠性[6]。

3.4 提升网络安全应急处置水平和专业人才能力

应用云计算网络安全技术，使网络性能提升，将为更多用户提供便利，保障云计算平台的安全运行，提升数据的安全传输和安全共享。开展云服务应急响应机制审查，包括制度、组织、流程、实践等方面，检验云服务应急响应水平。开展应急预案演练，模拟云服务器运行事故，检验监测预警、评估分析、应急响应、故障回复、信息通报等能力。

加强对计算机网络安全技术人才的安全引进尤为重要，一方面，通过定期召开技术交流培训会，让这些计算机网络安全人员了解更多数据传输中存在的安全问题，从而帮助相关技术人员能在第一时间解决存在的问题。另一方面，全面加强工作人员的安全责任意识，让他们充分认识到安全问题监管发挥的重要作用，在技术攻克上、数据安全问题的解决上做好人力支撑。

3.5 加强安全管理和监测，营造良好的网络环境

当前，网络应用环境较为复杂，面对这一问题，云计算背景下的网络安全技术在应用时，需要发挥数据传输和数据信息监管作用，结合各方的力量，全面加强安全管理，包括安全审计、传输安全、安全监控、Web安全等相关内容。致力于做好安全审计工作，并以日志的方式开展问题的监督和防控；加强网络内部和外部的管理，致力于做好对用户数据的有效监管和保密措施，从而使数据更加的完整，促进数据的有效传输。