本站小編為你精心準備了論云計算網絡信息安全防護思路參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：隨著互聯網的不斷發展，信息技術已經被運用于人們生活和工作的方方面面，這為人們的生活和工作提供了極大的便利，但是也使得網絡信息存在十分嚴重的安全威脅。主要分析了云計算網絡信息安全防護思路，從而為互聯網和信息技術的可持續發展提供良好的先決條件。

關鍵詞：云計算；網絡信息安全；防護思路

引言

云計算技術主要是通過網絡獲得相應的資源，并通過計算模式將互聯網的客戶端集中到網絡云端，然后通過網絡云將信息數據提供給廣大用戶的一項現代化技術[1]。在云計算的環境下，其信息數據呈現出的特點主要為信息交換模式化、數據儲存集群化、通用性、可靠性和可擴展性，同時信息數據的安全性問題也正在面臨嚴峻的考驗。切實加強云計算網絡信息安全防護，已經成為當前時展應該重點關注的問題之一。

1云計算面臨的信息安全問題

1.1傳統模式下的安全威脅

在云計算的發展過程中，其面臨的傳統模式下的安全威脅主要包括木馬、病毒、僵尸及蠕蟲等，這是當前云平臺安全風險的重要組成部分之一。在云平臺內，如果出現區域隔離及租戶隔離措施不當的現象，那么這些傳統模式下的安全威脅就會傳播得更快、更迅速，這對云平臺的正常運行造成了非常大的安全隱患。在計算機用戶與云環境進行交互的過程中，各種木馬、病毒及“流氓軟件”會想盡一切辦法套取用戶的信息數據，而普通用戶并沒有良好的專業知識對惡意鏈接和偽裝技術進行有效識別，加之反病毒軟件及入侵檢測系統的開發速度遠遠跟不上網絡升級的速度，這就使得云計算網絡面臨的信息安全問題被進一步加劇。

1.2云計算的特有風險

目前，云計算的特有風險主要包括以下幾個方面：其一，數據泄露風險。在云計算的系統中，儲存著大量的用戶信息，并且隨著系統數據量及數據價值的增大，云計算面臨的安全威脅就會越高，因此云平臺中數據泄露、數據丟失及數據纂改的安全隱患十分嚴峻。其二，隔離失效風險。對于云計算環境而言，計算能力、存儲與網絡在用戶之間具有良好的共享性。如果不同用戶的存儲、虛擬機及路由器等出現隔離不當的現象，那么一些惡意用戶或者不法分子就會對其他用戶的信息數據進行修改刪除，這在很大程度上增加了用戶信息面臨的風險。其三，虛機逃逸。對于虛機逃逸而言，其主要是指利用虛擬機軟件及運行軟件中存在的漏洞，對虛擬機宿主操作系統進行攻擊或者控制，從而實現虛機逃逸的根本目的。該風險與虛機本身及Hypervisor層的安全漏洞有關，它可以導致在Hypervisor層執行任意代碼的不良現象[2]。其四，虛機內存泄露。在重新分配硬件資源及虛擬機共享的過程中，會產生很大的安全隱患，導致信息數據在虛擬機之間出現泄露現象。如單虛擬機的額外內存被大量占用，但是釋放過程中并沒有對這些區域進行重置處理，那么在這些區域分配的新的虛擬機可能會獲取一些較為敏感的信息。其五，惡意租戶風險。在云環境下，一些惡意用戶會利用云計算服務商存在的安全漏洞，上傳一些具有惡意攻擊性的代碼，從而通過非法途徑破壞或者獲取用戶的信息數據。其六，運營模式風險。在云計算的發展過程中，其運營模式處于不斷更新優化的狀態，因此其應用過程中可能會出現云計算資源濫用的不良現象，同時云計算中租戶的高流動性及地域特色，也對云計算的安全管理和信息保護工作提出了更高層次的要求。

2云計算網絡信息安全防護思路

2.1建立完善的信息安全保障體系

在開展云計算網絡信息安全防護的工作實踐中，相關部門必須根據云計算的內在特征及時展的整體趨勢，建立完善的信息安全保障體系，從而有效減少各種因素引起的信息丟失、信息纂改及信息盜用現象。在此過程中，相關部門要對重要的信息數據進行有效備份，其主要包括重要系統備份、重要信息備份、網絡接口設置備份等，并且相關部門還要對重要信息的修改、查看及刪除等操作以日志的形式進行全面記錄。對于云計算網絡而言，其自身具有較強的特殊性，云端儲存在大量的數據集群，信息數據的備份和審計工作在很大程度上增加了系統運行的成本投入，但是如果云計算網絡沒有良好的備份，那么一旦云計算網絡出現癱瘓，就會造成更加嚴重的損失。針對這種情況，相關部門必須對信息安全保障體系的建設給予足夠的重視，并全面落實以下幾方面的工作：其一，對系統漏洞進行定期掃描，并根據其實際情況對有問題的設備打補丁；其二，相關部門在開展與公網接口地址端口的過程中，應始終保持小心謹慎的態度，全面落實網絡設備安全加固工作，并設置訪問控制列表及防火墻措施；其三，相關部門在傳輸系統數據的工程中，應對傳輸數據進行必要的密文加密，同時對一些涉及個人隱私及重要信息的數據進行加密儲存[3]。

2.2建立完善的防火墻防護體系

防火墻防護技術能夠對進行信息的協議、端口及目的地址進行全方位檢測，并根據其實際情況對不符合規定的外來信息進行有效過濾，從而達到云計算網絡信息安全防護的根本目的。防火墻防護一般部署在出口路由器和核心交換機的中間位置，其主要作用是將云計算網絡與外部網絡進行有效隔絕。目前，在云計算網絡信息安全防護的具體實踐中，其防火墻防護體系主要為虛擬防火墻，虛擬防火墻主要可以分為集中式防火墻及分布式防火墻兩種。對于集中式防火墻而言，技術人員為了達到良好的防護目的，往往將虛擬防火墻集中在云安全資源池中，除旁掛于云計算環境之外，同時需要將云計算網絡中的流量牽引至云安全資源池，并使得流量在經過虛擬防火墻之后，又重新被輸送至原來的云計算網絡中[4]。在此過程中，技術人員可以通過軟件定義網絡（SDN）技術，更加快捷方便地將防護流量注入云安全資源池中。對于分布式防火墻而言，其主要是將虛擬防火墻設置在每一個租戶的虛擬私有網絡（VPR）邊界，在不同虛擬私有網絡用虛擬局域網（VLAN）隔離的時候，技術人員可以根據其實際情況，在虛擬主機及虛擬防火墻的業務網口，加入同一個虛擬局域網或者同一端口組列表[5]。當其他區域虛擬主機被虛擬私有網絡的虛擬主機訪問時，其流量必須要經過虛擬防火墻，從而以此為基礎實現網關的訪問控制。除此之外，對于云計算網絡環境而言，大量的Web應用服務被存儲于云平臺的虛擬機中，這就使得各種Web應用傳入面臨巨大的安全隱患，因此技術人員必須根據實際情況部署必要的網站應用級防御系統（WAF），從而切實加強對Web的訪問控制，進一步提高整個系統的安全性和可用性。在部署網站應用級防御系統的具體實踐中，技術人員往往會通過旁路的方式，將網站應用級防御系統旁掛在出口路由器上，并將特定網絡地址（IP）上的流量引導到網站應用級入侵防御系統上，從而達到Web應用安全防護的根本目的。其具體云計算網絡防火墻部署如圖1所示。

2.3建立完善的DDoS防護體系

對于云計算網絡平臺而言，大量的虛擬服務器分布其中，因此大多數攻擊者會直接對云計算架構上的DDoS進行猛烈攻擊，并有效提高流量上的攻擊當量，從而進一步增加其整體的攻擊效果。針對這種情況，技術人員必須根據實際情況建立完善的DDoS防護體系，從而有效降低DDoS產生的攻擊效果，達到云計算網絡信息安全防護的根本目的。在此過程中，技術人員可以將黑洞路由建立于云計算網絡架構的網絡出口處。當遭遇DDoS攻擊時，黑洞路由能夠使得攻擊數據包在此處丟棄，從而有效防止機器向受害者發送大量數據包，這在很大程度上減少了受害機器的掛死現象。當遭遇小流量和小規模的DDoS攻擊時，技術人員可以通過DDoS應用軟件及簡單的防火墻系統，達到云計算網絡信息安全防護的根本目的。當遭遇大流量和大規模的DDoS攻擊時，技術人員需要將流量引入DDoS清洗設備，同時對分組限流的部署情況進行全面檢查，同時在云計算網絡的出口和入口位置，設置流量清洗設備和DDoS防火墻，從而進一步減少DDoS攻擊對云計算網絡造成的不利影響。

2.4建立完善的入侵檢測體系

在開展云計算網絡信息安全防護的工作實踐中，建立完善的入侵監測體系，可以通過對網絡流量的全面分析，以及對網絡系統運行狀況的實時監測，及時地發現云計算網絡中正在進行的惡意攻擊，并針對該惡意攻擊進行必要的告警。針對入侵檢測系統而言，其縱向部署往往采用旁路監聽的方式，橫向部署往往采用分布式或集中式的方式。除此之外，為了出入口流量的正常通行，技術人員往往采用隧道引流、線路風光及端口鏡像的方式，將網絡流量輸送至入侵檢測系統進行全面檢測，并對檢測結果中異常行為流量進行必要告警。其入侵檢測系統的整體部署如圖2所示。2.5建立完善的病毒防護系統在開展云計算網絡信息安全防護的工作實踐中，病毒防護系統主要可以分為兩類，分別是無客戶端的病毒防護系統和有客戶端的網絡病毒防護系統，并且病毒防護體系往往被應用于云計算網絡主機層面的防護。對于無客戶端的病毒防護系統而言，它在實現虛擬機主機安全防護的過程中，只需要在被防護的虛擬主機所在宿主機上安裝適宜的防病毒模塊，不需要在被防護的虛擬主機上安裝任何客戶端。對于有客戶端的網絡病毒防護系統而言，它在實現虛擬主機安全防護的過程中，需要在被防護的虛擬主機上安裝客戶端，并通過運行管理區的防病毒服務器進行病毒的統一防護管理，同時要對關鍵的虛擬化服務器進行重點病毒防護[6]。其病毒防護系統的整體部署如圖3所示。

3結語

在互聯網和信息技術不斷發展的現代社會，云計算服務的重要性逐漸凸顯出來，其不僅能夠將整個世界有效結合起來，同時能將以往時代中沒有聯系的事物結合起來，這對人類社會的進一步發展具有十分深遠的影響，但是云計算網絡面臨的信息安全問題不容忽視。針對這種情況，技術人員必須建立完善的信息安全保障體系、防火墻防護體系、DDoS防護體系、入侵檢測體系及病毒防護系統，從而為云計算網絡中的信息安全提供強有力的保障。

作者：李娜 單位：河北公安警察職業學院