高校云計算數據中心網絡安全問題及防護措施

◆楊秀云 王玉軍 劉 露

?

高校云計算數據中心網絡安全問題及防護措施

◆楊秀云 王玉軍 劉 露

(泰山醫學院現代教育技術中心 山東 271016)

近年來網絡攻擊技術和攻擊工具發展很快，網絡攻擊技術和攻擊工具的迅速發展使得各單位的網絡安全面臨越來越大的風險，尤其是高校的云計算數據中心，它集中承載著學校的各種業務及各種數據交換，成為黑客或不懷好意之人的攻擊對象，如何防護云計算數據中心的網絡安全，確保數據安全和業務穩定，是所有高校技術部門面對和解決的問題。

云計算數據中心；網絡安全；防火墻

0 引言

云計算是一種新型的計算機技術，以其獨特的優勢備受企業的青睞，目前在高校也不斷的應用。學校的各種業務及應用也陸續地入駐到云計算數據中心，業務及數據高度集中，網絡安全必須得到保障。了解當前云計算數據中心的各類網絡安全問題，并有針對地及時提出防護措施，已成為高校有關技術人員重點關注對象。

1 高校云計算數據中心網絡安全問題

高校建設的大多數都是私有云，其明顯特點是高度虛擬化，其中包括服務器、存儲、網絡等虛擬化，使各二級部門用戶可以按需靈活調用各種資源。因此云計算數據中心的整體網絡環境與傳統網絡環境有所不同，它共存物理網絡與虛擬網絡。高校云計算數據中心主要存在以下三方面的網絡安全問題：

1.1 計算機網絡環境安全問題

計算機硬件設備及其運行環境是計算機網絡系統運行的基礎，它們的安全直接影響著網絡安全。自然災害、設備自身的缺陷、設備自然損壞和受到機房環境干擾等自然因素，以及管理員操作方面的失誤等因素，都直接影響著計算機網絡環境的安全。由于云計算數據處理方式由傳統的單機處理方式轉變成數據中心集中處理機制，因此對計算機網絡環境提出了更高的要求，所以計算機網絡環境的安全問題仍為云計算環境下面臨的首要問題。

1.2 物理網絡安全問題

云計算環境中的物理網絡安全問題集中體現在數據通信過程中遭遇的安全威脅，如，DDoS 攻擊，這種攻擊方式利用云計算的處理瓶頸，向云計算服務器提交大量請求，從而使服務器超負荷，阻斷合法用戶正常訪問服務器等；用戶數據被監聽或竊取，在云計算環境下黑客采取身份欺騙等攻擊手段來監聽或竊取用戶數據，使用戶個人信息受到安全威脅；系統入侵以及篡改數據，黑客通過侵入云計算的用戶虛擬系統，對數據進行惡意增加、編輯或刪除，而造成數據破壞，或用戶虛擬機被黑客控制執行虛擬貨幣挖礦、與惡意軟件通信，造成黑產牟利、C&C通信及信息丟失等嚴重后果。

1.3 虛擬網絡安全問題

云計算數據中心是基于虛擬化技術的虛擬環境，采用傳統的防火墻、入侵檢測工具并不能對云計算數據中心的網絡安全予以有效的保障。云計算環境下各用戶按需調用虛擬化資源，一個物理服務器中可能創建多個虛擬主機分配給多個用戶使用，在這種多用戶環境下如果監管不利會威脅到用戶數據安全，并且虛擬機之間存在相互攻擊現象，如果不對其有效隔離，會造成數據通信不暢等不良現象。

2 高校云計算數據中心網絡安全防護措施

從以上云計算數據中心網絡安全問題分析來看，云計算數據中心網絡安全防護措施應該是一個系統性的安全防護體系，單純一種安全防護手段不可能解決全部網絡安全問題。

2.1 加強網絡安全技術防護措施

云計算數據中心的網絡安全技術防護措施應該從物理網絡和虛擬網絡兩方面同時入手防護。

（1）面向物理網絡的安全防護措施

在云計算數據中心物理網絡中，硬件防火墻、IDS或IPS、waf實時防護、安全審計堡壘機等多種安全措施防護，會有效保護云計算物理網絡環境綠色、健康。 如圖1云計算數據中心物理網絡安全防護。

圖1 云計算數據中心物理網絡安全防護

防火墻安全防護。在云計算數據中心入口串聯一道硬件防火墻，配置合理的控制策略，可以提供二到四層的網絡攻擊防護。

入侵檢測IDS/入侵防御IPS系統防護。在云計算數據中心入口或高校核心交換機出口并聯/串聯一層IDS/IPS系統防護，可以有效提供四到七層的應用安全防護。

waf實時防護。在云計算數據中心入口串聯該設備，能夠有效預防黑客利用應用程序漏洞入侵滲透，通過對http請求的檢測分析，為Web應用提供實時防護。

安全審計堡壘機防護。在高校核心交換機出口上串接，配置合理的策略，可以達到控制管理員對服務器的訪問，并且提供豐富的日志和審計功能，對所有運維操作能達到審計、監控、控制和歷史回放效果。

（2）面向虛擬網絡的安全防護措施

云計算數據中心具有多個虛擬網卡和虛擬交換機等，不同vlan段的劃分、虛擬防火墻、虛擬IDS或虛擬IPS等多種安全措施防護，會有效保護云計算的虛擬網絡環境安全、可靠。如圖2云計算數據中心虛擬網絡安全防護。

圖2 云計算數據中心虛擬網絡安全防護

虛擬局域網vlan段的劃分防護。vlan具有杜絕廣播信息的網絡不安全性和靈活的管理等優點。云計算數據中心虛擬網絡的虛擬流量，可以分為管理流量和業務流量，這兩種流量可以劃分為不同的虛擬局域網vlan段。高校業務流按業務重要級別也可以進一步細化分為核心業務流、重要業務流和一般業務流，不同重要級別的業務流可以走不同的vlan段。

虛擬防火墻防護。在云計算環境中，很多的數據交換在虛擬系統內部就完成了，但傳統防火墻的訪問控制無法透入虛擬化環境內部，另外，虛擬機之間存在互相攻擊和互相入侵現象，如果仍對虛擬化環境使用傳統防火墻的防護模式，這種安全隱患則無法防御。在云計算數據中心部署虛擬防火墻，可以有效抑制虛擬機病毒傳播及防護虛擬機之間的攻擊及入侵威脅。

虛擬IDS/IPS防護。由于云計算虛擬環境下不具備傳統監測工具的運行條件，如不存在鏡像端口或不支持建立SPAN等等，因此，傳統的入侵監測工具無法融入或運行在虛擬化的網絡中。而虛擬的入侵防護技術建立在云計算的數據交換及處理機制之上，能有效感知同一虛擬網段上的網絡流量，還能分析網絡行為，因此能為虛擬網絡提供更高的安全性。

2.2 加強云計算數據中心的管理

網絡技術的飛速發展帶給人們在享受便捷信息的同時，也帶來了無數的安全隱患。網絡安全的精髓，其實更多地集中于管理，而非技術。網絡安全可以說是三分技術七分管理。管理手段很多，如定期給技術人員進行技術培訓，逐步提高對網絡安全的認識，從而降低由于人為操作不當造成的安全隱患。高校相關技術人員掌握云計算數據中心涉及到的軟硬件產品的原理、特性等知識點，是保證云計算數據中心網絡安全的重要因素。

結合云計算數據中心的實際運行環境，制定合理的云計算數據中心的管理制度。首先是操作日志收集及審計和行為管理，如網絡設備日志、防火墻等安全設備日志、各類操作系統的日志、設備操作行為日志等，這些日志是反應網絡運行情況和網絡安全情況的最直接數據。其次將云計算數據中心的各類設備及網絡安全產品制定合理的巡檢周期，如每天對物理服務器、存儲器、交換機等硬件設備巡檢幾次，實時監控IDS/IPS的報警平臺等。再次，加強機房溫濕度、空氣清潔度等環境的管理，制定合理的UPS供電、空調等設備的巡檢維護制度等。

3 總結

本文描述了高校云計算數據中心面臨的三類網絡安全問題，結合云計算高度虛擬化的特點，闡述了這三類網絡安全問題對應的防護措施。當前，網絡技術在飛速發展，云計算環境下網絡安全問題隨著網路技術的不斷更新而愈發嚴重，還需要進一步加大對此環境下網絡安全的防護力度，從而確保高校網絡健康、數據安全、業務穩定不間斷。

[1]黎偉.云計算環境下網絡安全問題探究[J].計算機光盤軟件與應用，2013.

[2]葉嬌.云計算環境中計算機網絡安全問題研究[J].網絡安全技術與應用，2015.

[3]孫梅玲，李降宇，王寅永.基于虛擬化環境的信息安全防護體系構建[J].計算機光盤軟件與應用，2017.

[4]李菊茵.云計算環境下的網絡安全問題及應對措施探討[J].通訊世界，2015.

[5]袁媛.數據中心網絡的網絡安全分析[J].通信與信息技術，2017.

[6]閆盛，石淼.基于云計算環境下的網絡安全技術實現[J].計算機光盤軟件與應，2014.

[7]申晉.云計算數據中心安全面臨挑戰及防護策略探討[J].網絡安全技術與應用， 2016.

[8]荊宜青.云計算環境下的網絡安全問題及應對措施探討[J].網絡安全技術與應用，2015.