云计算环境下计算机网络安全问题探讨

胡凡玮，潘 娟

（江西交通职业技术学院，江西 南昌 330013）

0 引 言

云计算是分布式计算和对等计算等方式之后的一种新型计算方式，也是互联网时代下信息基础设施与应用服务模式的一种新形态，能够为用户实现随时按需服务，并且实现资源的便捷化存储，大幅提升了资源利用率和利用价值。对当前的安全管理架构和保障方法展开设计与优化，使其能够适应云环境的特征是云计算环境下的主要工作方向，也是未来需要拓展的技术范围。

1 云计算环境下计算机网络安全问题

1.1 身份验证问题

云计算服务的提供方给用户供给了多种类型的资源及其使用方法，不同的用户在登录云计算系统之后能够获取相应的云计算服务。但不同用户本身的运行环境存在差异，用户信息的安全性成为了这一阶段的关键点，因此用户身份认证问题就显得至关重要。如果云计算服务的提供商未能做好身份验证，就可能导致服务资源受到破坏，最终影响计算的安全性。通常情况下常见的身份验证方式包括3种类型，即依据用户知晓的信息来验证、依据用户拥有的事物来进行验证以及依据用户具有的信息来进行验证。尽管多种安全鉴别方式在保障措施上比较完善，但此类安全问题仍然不可忽视，特别是生物识别与传统静态密码验证方式的结合要求等。

1.2 网络层安全问题

网络层安全问题即部署网络阶段针对网络设计安全机制方面的各项措施。对于公共的云服务来说，在不同的安全要求标准之下应该改变对应的网络拓扑，并且综合评估可能存在的不同安全隐患。一是公共云服务中的数据信息保密程度，二是资源的合理访问控制，三是云端资源利用。云计算本身具有开放性，很多信息资源会直接出现在云服务所提供的共享网络层面，因此安全漏洞的可能性随之产生。在资源访问和控制阶段，现代社会的人群对于网络的依赖程度明显增加，依赖域对网络安全进行架构。云计算内部的PaaS层与SaaS层中已经不存在网络区域，层和层之间也应该设置好安全隔离，而不是单纯地展开物理隔离。

1.3 主机层问题

当前针对云计算主机进行的攻击相对较少，但针对虚拟化的攻击内容则比较常见，如虚拟机逃逸和管理程序问题等。云计算网络所连接的大量计算机主机都安装着相同的操作系统，在考虑到主机层问题时，就应该将PaaS、SaaS以及公共云等进行综合评估[1]。

1.4 应用程序安全问题

应用程序安全是整个网络系统的核心部分，解决好应用层的安全问题作用非常突出。通常情况下，为了确保应用层面的安全性需要先对安全程序进行整体化评估，从而合理地设计应用程序。对于用户而言，通过浏览器来获取云计算服务的过程中，浏览器的安全风险显然成为管理重点。网络应用程序会受到攻击，此时基于主机和网络的安全访问控制就可以建立在私有云或某些内部网络中，从而得到良好的管理和防护，不过一些部署在公共云的网络应用程序被入侵的安全风险会相对更高。

2 计算机网络安全评估

2.1 网络安全态势评估

网络安全态势评估最早出现在军事领域当中，而当前互联网技术的发展使得人们开始重视网络安全。以云计算为例，在云计算广泛应用的过程中本身会面临大量的攻击和威胁，云计算针对不同类型的安全威胁会采取不同类型的安全控制机制。因为云计算本质上是一个分式网络结构，不同域在不同的网络环境中，所以当网络出现问题很难进行准确定位。因此，安全态势评估充分利用了安全管理技术，融合了多个层面的安全保障功能，整体的安全态势评估模型如图1所示。

图1 安全态势评估

首先是原始事件采集技术，目的在于获取云计算中不同安全设备产生的数据信息，然后对数据进行预处理后将其存储成为统一的格式。其次是安全态势值的算法，即网络某一段时间内的安全状况可以通过安全态势值来反映，经过数学计算来获得结果，快速而准确的算法显然是非常关键的组成部分。最后是安全态势评估方法，能够体现出网络系统的运行状况及某些潜在的安全问题，从而精确地定位安全数据然后动态地呈现出网络运行模式。例如，通过数据挖掘技术就可以呈现出历史数据与网络运行情况之间的内在关系，然后提前针对可能出现的安全攻击做好部署。

2.2 评估技术

在安全态势评估技术当中，对于安全态势值的计算至关重要，态势值越大，网络运行的稳定性越差。将采集到的网络信息转化为几组不同的数据后就可以得到安全态势值，然后观察数据变化评估网络的安全状态，判断网络是否正在遭受威胁。

其中第一层是感知层，这也是整个态势评估模型的基础组成部分，在技术手段上已经相对成熟，处理这些采集到的数据之后就可以获取网络运行状态的信息，并且可以将这些信息转化为人们更加容易理解的XML形式等[2]。第二层是评估层，这是对获取数据进行安全识别的工作层，能够在这一层中挖掘不同安全事件之间的相关性，然后生成曲线图来体现出系统的安全标准[3]。第三层是预测层，这层按照以前和当前的网络安全态势评估未来的态势趋势，以便于尽快采取处理措施。

云计算的主要特征就是大量的数据资源。数据之间出现的冗余与数据信息处理问题给态势评估工作带来了新的挑战，且现有的技术理论中会涉及到数据挖掘与数据融合技术的应用。前者按照预先设定好的数据属性将挖掘出来的信息数据进行归并，可以看作是一种面向属性的归纳技术。后者则是在相应的准则下将来自于同一数据源的信息进行组合后达到更高的处理进度，常用方法包括神经网络和模糊推理系统等[4]。

2.3 安全态势评估模型

云计算网络安全态势评估模型中主要包括输入信息模块、评估模块以及知识库等。其中输入信息模块记录的原始安全事件会转化为处理后的事件数据，并且得到系统安全状况相关的数据集，对应的是网络中可能发生的不同安全事故。评估模块是评估体系的关键点，包括数据挖掘模块和数据融合模块，可以对比安全态势数据的不同指标，然后根据处理历史信息和安全数据来进行挖掘，并分析未来网络运行状态。知识库则是评估系统中的主要依据，包括训练集、案例库、规则库以及评估结果展示等，网络安全等级和安全事件等都可以以图形或表格方式来呈现[5]。

3 云计算环境下的信息交互模式

3.1 消息队列模式

信息交互模式是当前云计算环境安全设计的重要部分，整个监控体系要满足弹性化与可适应性的要求，并且采用更加灵活和动态的信息交互方法。消息队列采用队列形式完成消息的分发，最开始被应用于不同线程之间的通信，后续则被应用于复杂系统内部组件的异步通信。在消息队列的模式之下，通信双方被称为消息的生产者和消费者，队列则是从生产者到消费者之间的公用空间，实现信息交互双方的空间解耦过程，且这些消息会保存在消息队列中。通常情况下，一个消息队列会对应一个生产者与消费者，但随着需求模式的转变，逐渐出现了多对一的消息队列模式，即一个消息可以对应不同的消息生产者[6]。综合来看，消息队列模式实现了通信双方在时间和空间层面的解耦，同时也能够让消息发送方的控制流解耦，但是消费者采用pull模式获取数据时并不能实现消息接收方的控制流解耦，这一方面的问题将成为后续阶段应该重点解决的技术方案，可以参考微软的MSMQ和IBM的WebSphere等[7]。

3.2 发布订阅模式

发布订阅模式指的是Pub/Sub模式，即通信双方会被成为信息的订阅者和发布者，并且双方的信息发布模式倾向于订阅信息和发布信息，订阅者提交自己的兴趣后完成订阅过程，然后发布者可以通过服务器进行匹配，并将这些兴趣发送给对应的订阅者。在云环境的安全架构之下，发布者和订阅者并不需要同时处于激活状态，也不用考虑双方的地址信息。按照消息类型的差异和兴趣差异，可以将发布订阅模式进行划分，判定为基于渠道和基于主题等，这也是最常见的应用模式。消息会根据内容的差异进行匹配，按照实际的需求来定义不同的约束条件，在各个领域内部也可以得到广泛应用。而根据拓扑接口也可以将发布订阅模式划分为集中式与分布式，节点之间以协作模式完成订阅信息的管理和资源的发送，同样可以有效应用于一些大规模的复杂系统[8]。

3.3 蚁群算法支持下的安全策略

蚁群算法下的安全策略主要包含最优修复集问题与云安全加固策略。在保障某些关键属性的安全过程中需要修正高危险系数的待修复集，选择其中的属性并采取相应的措施进行消除。而生成网络安全加固策略的目的在于提供启发式算法来求解最优修复集，在云环境下打造网络安全框架[9]。

生成云安全加固策略之前会对问题进行预处理，判断待修复集的状态，然后根据蚁群算法构建完全图，所有的“蚂蚁”在初始节点开始构建解，且“蚂蚁”会倾向于选择信息素浓度与收益更高的节点[10]。

4 结 论

云计算的安全性问题一直受到人们的广泛关注，本次研究也立足于云计算与计算机网络环节可能出现的各类安全问题进行了针对性探讨，并且整合了多种技术措施，旨在适应多个方面的需求，构建云环境网络安全保障体系。在后续的工作环节，网络安全技术的要求将进一步提高，对于云计算这一特殊环境和大数据特征，还应该应用更加有效的算法来提供精确化的结果。