国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

引用本文

田春平，張晉源，武靖瑩.云計算網(wǎng)絡(luò)信息安全防護(hù)思路探究[J].通信技術(shù)，2019, 52 (04)：939-945.
TIAN Chun-ping,ZHANG Jin-yuan,WU Jing-ying.Information Security Protection of Cloud Computing Network[J].Communications Technology,2019,52(04):939-945.

云計算的發(fā)展及普及應(yīng)用，降低了軟硬件成本、提高了數(shù)據(jù)的可靠性，其業(yè)務(wù)按需快速定制， 時間快。但是由于云計算的開放及共享虛擬特性，使得存貯其上的信息必然面臨信息安全的挑戰(zhàn)。怎樣才能使得云計算安全運(yùn)行于互聯(lián)網(wǎng)中是大家一直在探討的問題。針對互聯(lián)網(wǎng)環(huán)境中云計算運(yùn) 行的傳統(tǒng)及固有安全問題，我們進(jìn)行了詳細(xì)的闡述，并提出了科學(xué)、有效的信息安全防護(hù)方案，希 望對云計算運(yùn)行以及互聯(lián)網(wǎng)的健康發(fā)展起到積極作用。

關(guān)鍵詞：云計算；網(wǎng)絡(luò)安全；信息安全；互聯(lián)網(wǎng)

內(nèi)容目錄：

0 引言

1 云計算網(wǎng)絡(luò)與信息安全概述

2 云計算面臨的信息安全問題

2.1 傳統(tǒng)安全威脅

2.2 云計算特有風(fēng)險

3 云計算網(wǎng)絡(luò)信息安全防護(hù)思路

3.1 建立完整的信息安全保障體系

3.2 建立完整的防火墻防護(hù)體系和DDOS攻擊防 護(hù)體系

3.2.1 建立完整的防火墻防護(hù)體系

3.2.2 建立完整的DDoS防護(hù)體系

3.3 利用漏洞掃描主動防御

3.4 利用多重身份認(rèn)證技術(shù)

3.5 建立完整入侵檢測體系

3.6 建立防病毒防護(hù)體系

4 結(jié) 語

隨著云計算時代的發(fā)展，云應(yīng)用會滲透到我們 生活的方方面面，我們在盡情享受云計算帶來的便 利同時，也面臨著網(wǎng)絡(luò)與信息安全的威脅。而且情 況變得越來越嚴(yán)重，人們應(yīng)該對這一問題得到認(rèn)識 并懂得相關(guān)的知識以提高防范意識，本文就現(xiàn)在云 計算網(wǎng)絡(luò)環(huán)境下做相關(guān)的信息安全及網(wǎng)絡(luò)防護(hù)問題 的研究與探討。

1 云計算網(wǎng)絡(luò)與信息安全概述

云計算是一種基于互聯(lián)網(wǎng)相關(guān)服務(wù)按使用量付 費(fèi)的模式，是一種虛擬化的資源，這種模式提供可用的、便捷的、按需的，高效的網(wǎng)絡(luò)訪問，使計算 機(jī)各種資源實現(xiàn)共享(其中資源包括有數(shù)據(jù)網(wǎng)絡(luò)， 服務(wù)器，信息存儲，應(yīng)用軟件，服務(wù)，維護(hù)等等)， 這些資源按需快速定制，時間快、成本低。雖然云 計算有以上諸多優(yōu)點，但是由于云計算的開放及共 享虛擬特性，存貯其上的信息必然面臨信息安全三 個基本屬性中的保密性挑戰(zhàn)。

信息安全簡而言之就是信息的在使用中的安 全程度，主要由 CIA (Confidentiality、Integrity、 Availability )衡量，即：保密性、完整性、可用性。網(wǎng)絡(luò)與信息安全治理包含的范圍有網(wǎng)絡(luò)安全、運(yùn)營 安全、訪問控制、軟件開發(fā)安全等。

網(wǎng)絡(luò)環(huán)境是保 障信息安全的前提，只有擁有一個可靠網(wǎng)絡(luò)環(huán)境下 的信息安全保障體系，才是保證信息系統(tǒng)穩(wěn)定運(yùn)行 的關(guān)鍵所在?？梢詫⒕W(wǎng)絡(luò)信息安全看成是多個安全 單元的集合，其中每個單元都是一個整體，包含了 多個特性，_般從安全特性、安全層次和系統(tǒng)單元 去理解網(wǎng)絡(luò)信息安全。

云計算的誕生標(biāo)志了網(wǎng)絡(luò)計算架構(gòu)的進(jìn)一步 發(fā)展，在注重信息安全的同時，還需考慮如何構(gòu)建 一個穩(wěn)固安全的云計算網(wǎng)絡(luò)體系。云計算網(wǎng)絡(luò)結(jié)構(gòu) 與普通網(wǎng)絡(luò)結(jié)構(gòu)差異性在于云應(yīng)用更加集中化，云 計算網(wǎng)絡(luò)資源更加具有彈性，即用即取，避免了很 多不必要的資源浪費(fèi)。所以，針對云計算的網(wǎng)絡(luò)安 全架構(gòu)需要更加完整，并隨時利用網(wǎng)絡(luò)流量分析 (Network Traffic Analyzer, NTA )、端點檢測和響 應(yīng)(Endpoint Detection Response, EDR )等新發(fā)展 的技術(shù)進(jìn)行防護(hù)。

2 云計算面臨的信息安全問題

2.1 傳統(tǒng)安全威脅

分布式拒絕服務(wù)(Distributed Denial of Service, DDoS)攻擊依然是云平臺面臨的主要威脅之一，尤 其是針對云平臺業(yè)務(wù)系統(tǒng)的攻擊行為以及由云平臺 內(nèi)部外發(fā)的攻擊行為，對整個云平臺大網(wǎng)均存在安 全隱患；

包括僵尸、木馬、病毒、蠕蟲等傳統(tǒng)安全威脅 仍然是云平臺面臨的重要風(fēng)險之一，在云平臺內(nèi)， 如租戶隔離、區(qū)域隔離措施不當(dāng)，這類威脅將會更 快、更迅速的在云平臺內(nèi)部進(jìn)行傳播，給云平臺帶 來極大安全隱患；

云承載著各類業(yè)務(wù)系統(tǒng)，尤其是Web業(yè)務(wù)系 統(tǒng)，仍然面臨著包括SQL注入、XSS、命令注入、 跨站請求偽造、非法上傳下載、Web服務(wù)器/插件 漏洞攻擊、爬蟲攻擊、Webshell、暴力破解等傳統(tǒng) 的Web應(yīng)用攻擊威脅；

云內(nèi)IT主機(jī)非常多，包括Windows系統(tǒng)、 Linux系統(tǒng)、UNIX系統(tǒng)、網(wǎng)絡(luò)交換設(shè)備、數(shù)據(jù)庫及 中間件等都面臨著各類安全漏洞風(fēng)險，傳統(tǒng)的漏洞 利用方式攻擊手段依然有效。

2.2 云計算特有風(fēng)險

數(shù)據(jù)泄露風(fēng)險：云計算內(nèi)存儲著大量的用戶數(shù) 據(jù)，數(shù)據(jù)量越大、價值越高安全威脅也就越高。因 此云平臺內(nèi)面臨著數(shù)據(jù)泄露、篡改等安全隱患。

隔離失效風(fēng)險：在云計算環(huán)境中，計算能力、 存儲與網(wǎng)絡(luò)在多個用戶之間共享。如果不能對不同 用戶的存儲、內(nèi)存、虛擬機(jī)、路由等進(jìn)行有效隔離, 惡意用戶就可能訪問其他用戶的數(shù)據(jù)并進(jìn)行修改、 刪除等操作。

虛機(jī)逃逸：虛擬機(jī)逃逸是指利用虛擬機(jī)軟件或 者虛擬機(jī)中運(yùn)行的軟件的漏洞進(jìn)行攻擊，以達(dá)到攻 擊或控制虛擬機(jī)宿主操作系統(tǒng)的目的。主要利用虛 機(jī)本身或Hypervisor層的安全漏洞造成在Hypervisor 層執(zhí)行任意代碼，進(jìn)而實現(xiàn)虛機(jī)逃逸；

虛機(jī)內(nèi)存泄露：當(dāng)虛擬機(jī)共享或者重新分配硬 件資源時會造成很多的安全風(fēng)險。信息可能會在 虛擬機(jī)之間被泄露。例如，如果虛擬機(jī)占用了額 外的內(nèi)存，然而在釋放的時候沒有重置這些區(qū)域， 分配在這塊內(nèi)存上的新的虛擬機(jī)就可以讀取到敏感 信息；

虛機(jī)動態(tài)遷移：利用虛擬化技術(shù)能快速實現(xiàn) VM的動態(tài)遷移，同時帶來新的安全風(fēng)險包括安全 策略不能實時協(xié)同調(diào)整、數(shù)據(jù)明文傳輸被監(jiān)聽、 內(nèi)存信息泄露、地址解析協(xié)議(Address Resolution Protocol, ARP)攻擊等；

虛擬化通信：虛機(jī)通信模式基本在大二層網(wǎng)絡(luò) 環(huán)境中，傳統(tǒng)的網(wǎng)絡(luò)邊界檢測及防護(hù)手段在應(yīng)對東 西向流量通信時無法提供有效檢測及處置。

運(yùn)營模式風(fēng)險：云計算帶來新的運(yùn)營模式的改 變，各類業(yè)務(wù)資源需要按需彈性擴(kuò)展提供，在使用 的過程中可能存在云計算資源能力的濫用造成資源 的浪費(fèi)；用戶側(cè)失去對資源的直接控制，云計算的 地域特性及租戶的流動性為云服務(wù)提供商合規(guī)性要 求、安全監(jiān)管以及隱私保護(hù)提出了更高的要求。

惡意租戶風(fēng)險：在云環(huán)境下，授權(quán)用戶可享 受云計算服務(wù)。惡意用戶利用云計算服務(wù)的安全 漏洞，上傳惡意攻擊代碼，非法獲取或破壞其他用 戶的數(shù)據(jù)和應(yīng)用。此外，內(nèi)部工作人員(例如云服 務(wù)商系統(tǒng)管理員與審計員)的失誤或惡意攻擊更加 難于防范。

3 云計算網(wǎng)絡(luò)信息安全防護(hù)思路

不同于普通網(wǎng)絡(luò)架構(gòu)，云計算網(wǎng)絡(luò)架構(gòu)更龐大, 存儲容量更多，用戶數(shù)量也就越多，所以面臨的安 全防護(hù)問題也就越廣。云計算環(huán)境下加密方式?jīng)]有 變化,但是網(wǎng)絡(luò)安全邊界類以及系統(tǒng)安全類有著很 大不同，云服務(wù)提供商不能有效像傳統(tǒng)一樣進(jìn)行系 統(tǒng)軟件的掌握，這就造成了虛擬系統(tǒng)運(yùn)行存在漏洞， 可能對網(wǎng)絡(luò)環(huán)境造成很大的安全威脅田。因此，一 個健全有效的云計算網(wǎng)絡(luò)安全防護(hù)體系的建立就顯 得很有必要。

3.1 建立完整的信息安全保障體系

建立重要信息備份審計機(jī)制。重要信息保護(hù)包 括重要信息備份、重要系統(tǒng)備份、網(wǎng)絡(luò)接口設(shè)置主 備等，并且需要瞄賬號審計工作，對修改、查看、 刪除重要信息的操作日志進(jìn)行記錄。由于云計算網(wǎng) 絡(luò)的特殊性，大量的數(shù)據(jù)集群在云端，做備份和審 計工作會增加系統(tǒng)資源消耗和財產(chǎn)資源消耗，但是 如果云網(wǎng)絡(luò)癱瘓且沒有良好的備份，那么將會造成 不可彌補(bǔ)的巨大損失。

建立信息安全保護(hù)體系。信息安全保護(hù)工作有 定期進(jìn)行漏洞掃描工作，及時對有問題的設(shè)備打補(bǔ) T；與公網(wǎng)接口地址處謹(jǐn)慎開放端口，若是必要端 口需要進(jìn)行相關(guān)安全策略的防護(hù)；做好網(wǎng)絡(luò)設(shè)備安 全加固工作，設(shè)置防火墻策略、設(shè)置訪問控制列表 (Access Control List, ACL)策略等；系統(tǒng)數(shù)據(jù)包 中傳輸?shù)臄?shù)據(jù)使用密文加密后傳輸；數(shù)據(jù)庫重要數(shù) 據(jù)或個人隱私數(shù)據(jù)進(jìn)行加密存儲。

3.2 建立完整的防火墻防護(hù)體系和DDOS攻擊防 護(hù)體系

3.2.1 建立完整的防火墻防護(hù)體系

在云平臺邊界部署網(wǎng)絡(luò)隔離設(shè)備，將云計算數(shù) 據(jù)中心與不信任域進(jìn)行有效地隔離與訪問控制。從 網(wǎng)絡(luò)防火墻技術(shù)應(yīng)用方面，主要是內(nèi)外網(wǎng)設(shè)置防火 墻，能檢測進(jìn)入信息協(xié)議以及端口和目的地址等， 過濾到不符規(guī)定的外來信息図。訪問控制系統(tǒng)主要 指的就是防火墻，根據(jù)防火墻上的策略檢查經(jīng)過的 流量，保證只有合法流量才能訪問云計算網(wǎng)絡(luò)。防 火墻部署在出口路由器和核心交換機(jī)之間，用于隔 離云計算網(wǎng)絡(luò)和外部網(wǎng)絡(luò)環(huán)境。整個防火墻的策略 應(yīng)該遵循最小化原則，才能切實發(fā)揮防火墻的隔離 作用。針對云計算網(wǎng)絡(luò)環(huán)境中的虛擬化環(huán)境進(jìn)行防 護(hù)，可以采用虛擬防火墻來實現(xiàn)，虛擬防火墻分為 分布式防火墻和集中式防火墻。

集中式防火墻將虛擬防火墻集中在云安全資 源池中，旁掛在云計算環(huán)境之外，此方式要想防護(hù) 到目的流量，需要將云計算網(wǎng)絡(luò)中的流量牽引到云 安全資源池，流量經(jīng)過虛擬防火墻后再注回原云 計算網(wǎng)絡(luò)中。其中軟件定義網(wǎng)絡(luò)(Software Defined Network, SDN )技術(shù)能夠方便的實現(xiàn)將被防護(hù)流量 注回云安全資源池中，所以一般有SDN技術(shù)的云 數(shù)據(jù)中心，通常采用此種方式。

分布式部署方式將虛擬防火墻部署在每個租 戶虛擬私有網(wǎng)絡(luò)(Virtual Private Cloud, VPC )邊 界。不同的VPC用虛擬局域網(wǎng)(Virtual Local Area Network, VLAN)隔離的情況下，可以把虛擬主機(jī) 和虛擬化防火墻的業(yè)務(wù)網(wǎng)口加入同一個VLAN,或 者用安全組隔離的情況下，可以把虛擬主機(jī)和虛擬 防火墻的業(yè)務(wù)網(wǎng)口加入同一端口組列表。該VPC內(nèi) 的虛擬主機(jī)在訪問其它區(qū)域的虛擬主機(jī)的時候，流 量就必須經(jīng)過虛擬化防火墻，需要虛擬化防火墻作 為網(wǎng)關(guān)來做訪問控制。如圖1所示為云計算網(wǎng)絡(luò)中 的防火墻部署拓?fù)洹?/p>

圖1 云計算網(wǎng)絡(luò)防火墻部署圖（分布式、集中式）

在云計算網(wǎng)絡(luò)環(huán)境中，不僅僅是網(wǎng)絡(luò)資源需 要防火墻的防護(hù)，云平臺的虛擬機(jī)中承載著大量的 Web應(yīng)用服務(wù)，所以還需部署網(wǎng)站應(yīng)用級入侵防御 系統(tǒng)(Web Application Firewall, WAF )來應(yīng)對各種 通過Web應(yīng)用傳入的威脅。通過嚴(yán)格的訪問控制, 防止Web應(yīng)用被入侵，以保護(hù)整個系統(tǒng)的可用性。對于部署方式，由于出入口的流量較大，所以常采 用旁路的方式旁掛在出口路由器上，將特定網(wǎng)絡(luò)地 址(Internet Protocol Address, IP )的 http/https 流量 引導(dǎo)到WAF上，WAF對流量進(jìn)行過濾轉(zhuǎn)發(fā)，最終 實現(xiàn)Web應(yīng)用安全防護(hù)。

3.2.2 建立完整的DDoS防護(hù)體系

云平臺上分布著大量虛擬服務(wù)器，攻擊者針對 云計算架構(gòu)的DoS攻擊在流量上提高了攻擊當(dāng)量來 達(dá)到攻擊效果叫 所以建立一個完整的DDoS防護(hù) 體系是一個巨大的挑戰(zhàn)。

在云計算網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)出口處建立黑洞路由 進(jìn)行防護(hù)，這是對抗DDoS攻擊比較好的方法。當(dāng) DOS攻擊進(jìn)行時，在攻擊路徑上設(shè)置路由黑洞，能 夠使得攻擊數(shù)據(jù)包在此丟棄而不送往受害機(jī)器，避 免了受害機(jī)器因不斷接收巨量數(shù)據(jù)包導(dǎo)致掛死。

使用DDoS防火墻和異常流量檢測與清洗設(shè)備 對抗攻擊。當(dāng)應(yīng)對小流量的DDoS攻擊時，設(shè)置簡 單的防火墻策略和DDoS應(yīng)用軟件就能夠進(jìn)行防護(hù)。但是當(dāng)應(yīng)對大流量大規(guī)模的攻擊事件時，需要將流 量引入DDoS清洗設(shè)備并檢查分組限流的部署情況。在云計算網(wǎng)絡(luò)入口出口處設(shè)置DDoS防火墻和流量 清洗設(shè)備，能夠最大限度防止DDoS攻擊對云計算 網(wǎng)絡(luò)的影響。

異常流量檢測與清洗一般采用旁路部署的模 式，旁掛在核心交換機(jī)上，通過OSPF/BGP/IS-IS 路由協(xié)議廣播路由的方式，實現(xiàn)對異常流量的自動 化牽引。對于清洗后的回注流量，一般采用策略路 由的方式來控制流量上行或下行。如圖2為異常流 量監(jiān)測與清洗設(shè)備部署方案。

3.3 利用漏洞掃描主動防御

在云計算網(wǎng)絡(luò)安全防護(hù)過程中，定期進(jìn)行云端 設(shè)備及系統(tǒng)的漏洞掃描能起到良好的防御效果。漏 洞掃描根據(jù)目的地址及端口信息，利用已知漏洞信 息進(jìn)行掃描，主動探測系統(tǒng)或主機(jī)是否存在可被利 用的漏洞。在云計算網(wǎng)絡(luò)中，面向的是巨量的網(wǎng)絡(luò) 數(shù)據(jù)，云計算按需自服務(wù)，彈性可擴(kuò)展，資源池化, 廣泛網(wǎng)絡(luò)接入，多租戶等特性造就了云計算網(wǎng)絡(luò)在 安全防護(hù)中的特殊性。這一特殊性在主動漏洞掃描 中體現(xiàn)在于使用單機(jī)資源的漏洞掃描技術(shù)會浪費(fèi)大 量的系統(tǒng)資源和人力資源，所以需要的是利用網(wǎng)絡(luò) 協(xié)議建立掃描系統(tǒng)，少量地耗費(fèi)網(wǎng)絡(luò)資源去做掃描 的工作。

圖2 異常流量監(jiān)測與清洗系統(tǒng)部署方案

由于安全漏洞主要出現(xiàn)在云主機(jī)應(yīng)用程序中，所 以安全漏洞掃描器主要針對的是云主機(jī)層面的漏洞掃 描，且分為兩種部署方式：分布式部署和集中式部署。

分布式部署方案中，虛擬化安全漏洞掃描器分 別部署在不同的VLAN中，實現(xiàn)對本VLAN中所 有主機(jī)的安全掃描工作。掃描結(jié)束后，通過VLAN Security將掃描結(jié)果傳給安全管理平臺。在實際的 運(yùn)用情況中，虛擬化安全漏洞掃描器可以根據(jù)需要 動態(tài)生成及部署，使用完成后進(jìn)行下線或銷毀。

集中式部署方案中，安全漏洞掃描器會集中部 署在某一個資源池或區(qū)域。其業(yè)務(wù)掃描端口可以靜 態(tài)的接入不同的VLAN中（要求不同的VLAN的 IP地址不能重合），或者通過建立多協(xié)議標(biāo)簽交 換（Multi-Protocol Label Switching, MPLS ）通道的 方式將掃描器的業(yè)務(wù)掃描端口與被掃描的VLAN連 通，實現(xiàn)安全掃描。

對于實現(xiàn)了 SDN的云平臺，也可采用動態(tài)端 口接入的方式。即在掃描器啟動時，在SDN控制 器的配合下，將掃描器的業(yè)務(wù)掃描端口與被掃描的 VLAN連通。掃描結(jié)束后，再由SDN控制斷開連接。這樣就實現(xiàn)了安全掃描器的共享和復(fù)用。

如果網(wǎng)絡(luò)采用可擴(kuò)展虛擬局域網(wǎng)（Virtual extensible LAN, vXLan ）的方式，分布式部署與上 述方案相似，只需將虛擬機(jī)實例生成在租戶vXLan 網(wǎng)絡(luò)內(nèi)部并打通業(yè)務(wù)口和虛擬機(jī)工作口的網(wǎng)絡(luò)連接 即可。對于集中式的部署方案，需要將租戶內(nèi)部需 要掃描的虛擬機(jī)，通過浮動IP的方式暴露給掃描器。安全掃描器部署策略如圖3所示。

圖3 安全掃描器部署策略

3.4 利用多重身份認(rèn)證技術(shù)

云計算網(wǎng)絡(luò)處于發(fā)展過程中，對于諸多新接入 的設(shè)備，默認(rèn)設(shè)置、弱口令等問題也比較普遍，尤 其是與外部網(wǎng)絡(luò)的接口處的身份認(rèn)證就顯得至關(guān)重 要，例如系統(tǒng)對外的管理平臺，核心網(wǎng)絡(luò)設(shè)備等。對于管理平臺，盡量使用強(qiáng)口令（包含英文大小寫、 數(shù)字、符號且不少于8位）且定期（一般為90天） 更換一次，除此之外需要多重身份認(rèn)證，包含但不 限于手機(jī)號碼驗證或指紋識別認(rèn)證技術(shù)。

3.5 建立完整入侵檢測體系

在云計算網(wǎng)絡(luò)邊界需部署入侵檢測系統(tǒng)，通過分 析網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀況進(jìn)行實時的 監(jiān)測，及時發(fā)現(xiàn)正在進(jìn)行的惡意攻擊并告警。入侵 檢測系統(tǒng)同樣是縱向采用旁路監(jiān)聽的方式部署，橫 向釆用分布式或集中式部署，不影響正常的出入口流 量，網(wǎng)絡(luò)流量通過線路分光、隧道引流或者端口鏡像 的方式將流量發(fā)送到入侵檢測系統(tǒng)中進(jìn)行檢測，對異 常行為流量進(jìn)行告警。圖4為入侵檢測系統(tǒng)部署策略。

圖4 入侵檢測系統(tǒng)部署策略(橫向及縱向)

縱向防護(hù)中，入侵檢測系統(tǒng)(Intrusion Detection Systems, IDS )部署在路由器下級，檢測經(jīng)過交換 機(jī)出口或者經(jīng)過路由器入口的流量。橫向防護(hù)中若 采用分布式入侵檢測，系統(tǒng)是單獨部署在虛擬化的 云環(huán)境中的，通過配置虛擬交換設(shè)備將租戶需要 防護(hù)的流量通過鏡像引流的方式引流到虛擬網(wǎng)絡(luò) 入侵檢測系統(tǒng)(Virtual Network Intrusion Detection System, VNIDS )中進(jìn)行流量入侵檢測，并通過系 統(tǒng)管理相關(guān)安全日志及告警信息。若采用的是集中 式的入侵檢測，VNIDS集中到云安全資源池中，租 戶虛擬機(jī)上的橫向流量通過隧道引流的方式進(jìn)入云 安全資源池，通過云安全資源池的集中式分析進(jìn)行流量入侵分析檢測。

3.6 建立防病毒防護(hù)體系

病毒防護(hù)系統(tǒng)主要有兩種部署方式：有客戶端 的網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)和無客戶端的病毒防護(hù)系統(tǒng)。防病毒主要針對到主機(jī)中，所以僅對主機(jī)層面進(jìn)行 防護(hù)。防護(hù)方式可根據(jù)云數(shù)據(jù)中心的防護(hù)需求來選 擇部署相應(yīng)的病毒防護(hù)系統(tǒng)。防病毒系統(tǒng)部署策略 如圖5所示。

圖5 防病毒系統(tǒng)部署策略

有客戶端的網(wǎng)絡(luò)病毒防護(hù)體系，對關(guān)鍵虛擬化 服務(wù)器進(jìn)行重點的病毒防護(hù)。對需要進(jìn)行病毒防護(hù) 的虛擬主機(jī)安裝客戶端，通過部署于運(yùn)行管理區(qū) 的防病毒服務(wù)器統(tǒng)一進(jìn)行病毒防護(hù)策略管理。針 對云數(shù)據(jù)中心防病毒的要求，對基于Windows, Linux, Unix平臺的虛擬化服務(wù)器提供全方位的病毒防護(hù)能力。

無客戶端的病毒防護(hù)系統(tǒng)不需要在被防護(hù)的虛擬主機(jī)上安裝任何客戶端，只需要在被防護(hù)的虛擬主 機(jī)所在宿主機(jī)上安裝防病毒模塊就可以實現(xiàn)對相應(yīng)虛 擬主機(jī)的防護(hù)。通常防病毒模塊也是用虛擬機(jī)的方式 安裝在云環(huán)境中，用戶可以配置策略，對已安裝防病 毒模塊的宿主機(jī)上的任意虛擬主機(jī)進(jìn)行病毒防護(hù)。

對于云計算網(wǎng)絡(luò)安全的整個防護(hù)架構(gòu)，只要在 網(wǎng)絡(luò)入口處把好關(guān)，做到相關(guān)防護(hù)工作，網(wǎng)絡(luò)內(nèi)部 結(jié)構(gòu)合理，橫向主機(jī)之間做好權(quán)限管理以及流量管 理，日常維護(hù)管理及使用行為做到規(guī)范化就能夠維持云計算網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。通過建立以防火墻、毒組成的完整云計算網(wǎng)絡(luò)安全防護(hù)架構(gòu)，能夠最大異常流量檢測與清洗、入侵檢測、漏洞掃描、防病程度保障整個云計算環(huán)境的穩(wěn)定運(yùn)行。

4 結(jié) 語

現(xiàn)代計算機(jī)技術(shù)發(fā)展太快，云計算服務(wù)把整個 世界都結(jié)合在了一起。也把以前很多不相干的事物 也結(jié)合起來了，很好地運(yùn)用了網(wǎng)絡(luò)為我們提供便利， 但在為我們提供各種便利的同時也暴露了很多安全 性問題。信息的共享性無法保證信息的保密程度， 導(dǎo)致很多信息泄漏在網(wǎng)絡(luò)上也是常有的事，所以網(wǎng) 絡(luò)安全相關(guān)技術(shù)發(fā)展對當(dāng)今社會也非常的重要，在 大型企業(yè)或者集團(tuán)對網(wǎng)絡(luò)安全的需求就非常的大， 因為它牽連的利益更大。每個人都應(yīng)該提升信息安 全意識，建立良好的安全意識從而維護(hù)自身利益。

信息的保密性和完整性可以為社會生活帶來高 效的服務(wù)，網(wǎng)絡(luò)的互通性和自由性可以為社會生活 帶來便捷的服務(wù)。但是信息的不可控性和流動性又 給社會生活帶來一定信息安全危害，網(wǎng)絡(luò)的開放性 和虛擬性給社會生活帶來了信息泄露的威脅。

所以 說包含萬千信息的網(wǎng)絡(luò)是一把雙刃劍，基于云計算 的網(wǎng)絡(luò)信息體系更是有利有弊。我們應(yīng)該合理地利 用信息及網(wǎng)絡(luò)為生活提供便利的服務(wù)，提高網(wǎng)絡(luò)與 信息安全防護(hù)技術(shù)，提高個人信息安全防范意識， 才能造就一個完整可靠的網(wǎng)絡(luò)信息環(huán)境。作者簡介 >>>

田春平( 1982-),男，學(xué)士，助理工程師，主要研究方向為網(wǎng)絡(luò)與信息安全；

張晉源( 1996-),男，學(xué)士，技術(shù)員， 主要研究方向為網(wǎng)絡(luò)與信息安全；

武靖瑩( 1992-),女，學(xué)士，技術(shù)員，主要研究方向為網(wǎng)絡(luò)與信息安全。

選自《通信技術(shù)》2019年第四期 （為便于排版，已省去原文參考文獻(xiàn)）