云安全技术在企业网络安全中的运用

张波 瞿迪庆 吕齐

（国网浙江省电力有限公司金华供电公司 浙江省金华市 321000）

社会发展与计算机网络技术的发展息息相关，在如今的网络社会中，稳定的信息服务、正常的网络运转是必不可少的，受制于各类因素的影响，在网络中存在各类不安因素，对计算机、企业的信息安全造成了极为负面的影响，如何保证个人信息与企业的信息安全，已经成为一个难点问题。在互联网时代下，由于网络的隐匿性与开放性，导致企业的整体环境变得越来越不可控，网络安全事件时有发生，国家对此予以了高度重视，颁布了一系列的政策，旨在促进社会的和谐发展。

1 关于云安全的分析

1.1 云安全的提出背景

杀毒软件对新病毒的防范能力非常有限，传统杀毒软件是分析新生病毒，再对病毒特征代码库进行升级，采用对比法来分析、查杀。在病毒的变异下，病毒代码库变得臃肿，杀毒软件难以迅速处理病毒，如果要持续更新病毒库，就会浪费大量的计算机资源与网络宽带资源。且该种被动式的防御方式也难以满足企业网络安全要求，因此，需要找出全新的防御措施，“云安全”就是在这一背景下诞生。

1.2 云安全的特点

云安全有着分布式计算、开放性、虚拟化、无边界等特点，其中有多重软件与服务，系统十分复杂。相较于传统安全技术，云安全有几个特点：

（1）客户端资源占有率低；

（2）病毒库位于服务端：云安全技术的应用将病毒特征库置于云端，用户在本地调用特征库和引擎之后，即可识别出具体威胁；

（3）增设云安全态势感知功能：云安全方案可为企业的网络安全提供强有力的保障，可更好的应对病毒持续变异特点，抵挡各类型病毒，为企业提供可信、安全的防护。

1.3 云安全核心技术

（1）Web信誉服务：与数据库连接，即可分析恶意软件行为，根据网站站点的可疑迹象、位置变化来评估网站信誉分值，分析出网站的风险系数与可信度，提供风险警报，避免给企业带来损失。

（2）E-mail信誉服务：这一技术能够检测邮件信息的源地址，分析出邮件的安全系数，降低接收邮件带来的网络风险，如果检测到某个邮件携带病毒，就会自动拦截、删除邮件。另外，云安全技术还可以记录恶意邮件源地址，如果后续遇到类似的源地址邮件，会采用相应的防护措施，避免对企业带来二次攻击。

（3）自动反馈机制：自动反馈机制即借助监测系统对用户路由信誉检测，以此来评估病毒特征，如果发现信誉检测存在安全威胁，就会将信息反馈至网络，更新安全数据库，避免类似问题的发生。自动反馈机制的应用，显著提升了网络安全的主动性，可更好的保护网络安全，具体的防御运作流程详见图1。

图1：防御运作流程

2 企业网络安全与安全需求

2.1 企业的网络结构分析

目前，企业的网络系统多采用星型结构，该种结构的传输线路采用的是双绞线，如果需要对网络扩充，只要在交换机设备中拉出一条线，将一个节点设备移至新的节点。如果其中一个节点发生问题，不会对其他节点产生影响，随时可以拆卸。

2.2 用户安全

关于企业的用户安全，涵盖管理员层面、用户层面。其中，管理员享受最高权限，管理员要精通网络安全知识，具备良好的学识修养与综合能力，熟练掌握与专业管理相关的技术。在实践中，管理员要能够约束用户操作，组织要调整、设施、信息调阅等操作。在用户层面上，要在许可权限内访问资源，严禁越权访问，避免将登录名、口令泄露。

2.3 网络平台安全

网络平台安全的内容包括：

（1）基础设施安全：有硬件设施、软件设备两个方面。硬件设施，如硬件设备物理安全与机械安全、物理环境安全，软件设备如网络通信安全、系统安全、安全管理软件的安全。

（2）网络结构安全：包括与广域网之间的连接安全、局域网内部的子网安全等。

（3）传输安全：除了外部信息之外，还要对局域网信息进行加密处理，对于企业内部局域网信息的传输，需要采用身份认证措施，对于机密信息，要加密处理。

2.4 网络边界隔离与访问控制

（1）优化访问控制：企业的网络安全有一定的特殊性，需要隔离网络边界，因此，需要应用帧中继网络与访问控制方式，在企业内部，每个部门都有访问网络要求，在网络安全体系的构建上，应当禁止非法用户的访问。企业网络具有一定的特殊性，在网络系统中，有大量的机密信息，需将安全等级分为不同子网，采用适合的网络安全隔离装置，以此来禁止未授权用户访问机密信息。

（2）统一出口要求：企业、下属部门访问互联网主要是通过两个出口，这对网络管理员提出了较高要求，需尽可能统一出口要求。

（3）单点故障需求：网络防火墙有着边界路由器作用，在防火墙发生问题后，会影响用户的正常使用，继而对企业的正常业务造成影响，为了避免意外损失，需关注单点故障问题。

2.5 内部网络安全

在企业内部，不同信息的性质、权限，不同用户享受的访问权限是不同的。企业需要将内部网络划分为不同子网，根据实际情况将各个子网隔离，对于机密性要求较高的信息，将其隔离，禁止将其与共享网络连接。企业的办公域中，有着广泛的终端连接，因此，要确保用户安全，严格把控网络管理员的业务素质与政治素质，不断提高管理员的各项能力，科学分配管理员权限，严禁超权使用资源的行为，保证网络安全性（网络安全解决方案见图2）。

图2：网络安全解决方案

2.6 传输数据安全

在企业网络安全方案的设置上，要确保数据在网络中的保密性问题，保证内部网络、外部网络数据的传输安全。

3 云安全技术在企业网络安全中的运用

3.1 明确设计原则

（1）系统性与综合性原则：对网络安全做出系统化的分析，利用管理规章制度、行政手段来保证网络系统安全，综合使用各类网络安全措施，关注设备、个人、数据、软件的影响，保证安全措施的可靠性与有效性，以此来构建网络安全体系。

（2）需求、风险与代价均衡原则：针对各类网络，安全都并非绝对的因素，只是相对安全，因此，需要对网络进行细化分析，对可能出现的安全威胁进行分析，制定相关措施，以此来保证系统的安全。

（3）并行原则：遵循并行原则可确保网络安全需求、安全体系结构之间的一致性，在具体的设计上，需从初步设计、计算实施、网络验证、运行几个方面来入手，保证网络安全，这不仅可以降低花费，也能够得到最大的安全效果。

（4）先进性、适应性与分布性。在网络规模的持续扩大下，网络更容易受到破坏，要直接解决安全问题，难度非常高，只有科学应用新技术，及时的进行更新，严格贯彻落实安全思想，才能全程贯彻落实安全思想，让系统更具生命力。另外，还要遵循开放性原则、实用性原则、保护原则、可靠性原则、高可用性原则，以实用性原则为例，在科技水平的发展下，各类网络设备、服务器设备、计算机信息设备的性能与技术水平均得到了显著提升，价格也不断降低，因此，要科学选用设备，应用成熟的设备和技术。

3.2 平台设置的初步构想

3.2.1 云平台物理安全

在系统的防御中，物理安全属于首道防线，能够让用户合法访问到企业网络，避免非法窃取商业秘密与档案资料，其重点内容包括：

（1）环境安全：湿度、温度等环境因素，会对平台系统的安全运行产生影响，为了避免非法访问，需要确保环境安全。云数据中心需根据企业的内部标准与相关法律法规配备设备，以UPS电源为例，要求机房中配备热备份UPS电源，在断电的情况下，能够维持60min以上的供电，具体还需参考电源插头类型、电压变化范围、电源种类、接地电阻以及耗电量。

（2）设备位置与保护：对于云计算设备，需要将其置于安全位置，避免不必要访问。为了确保设备可以长时间的稳定运行，需要定期对设备进行维护，维护工作由授权人员负责，在维护时，将疑似故障、实际故障记录下来，如果云系统设备需要运送至异地，需采用安全的封装措施，制定运输、追踪计划，做到可溯源。

3.2.2 云平台的访问控制

在云平台、用户之间，要科学应用路由控制方式，防止将重要网络设置在网络边界位置，具体可采用几个措施，即：限制管理终端、设置安全访问控制、关闭不常用端口、关闭不必要服务、避免远程维护过程的信息泄露、避免终端违规外联。为了达成这一目标，还要完善内部的SOA体系结构，目前，多数企业在开发网络软件时，都会基于SOA原则，SOA体系就是面向服务的架构，属于组建模型，可拆分应用程序的不同功能，再利用协议、接口将其联系起来。在云环境中的SOA体系，能够科学的利用该种架构模式，对安全政策管理系统做出整合，强化内部网络系统，继而让云安全技术能够顺利应用。从云服务供应商角度来看，在建立了完善的SOA体系结构之后，可促进收益、风险之间的平衡，提高云服务利益，在企业内部构建完善的生态链，再借助云安全技术来强化，明确具体的工作流程，为实际工作提供信息支持，从而显著提升企业的工作效率。

3.2.3 云安全数据库的配置

对于数据库，要采用多层次安全控制方式，根据任务为操作系统软件分配资源，确保软件系统有理想的容错能力，其他系统具备良好的恢复能力。另外，云安全监控也是需要关注的问题，常见的云安全监控方式有日志监控、性能监控与恶意行为监控。完成上述工作之后，要评估云环境的风险，针对网络业务流程下的各项活动进行精准评估，明确其重要性和风险性，以此来掌握云环境所需的成本，提前了解各类风险问题，再借助云技术进行分析、探究，找出潜藏的风险，为企业后续的运转提供环境保证。企业在进行网络管理的过程中必须明确行业的整体特征以及在 大环境下自身的发展前景，将这两方面的信息进行综合分析，在了解现代社会中各种不同类型的云模式后将公共云、私有云、混合云以及其他种类的云进行综合，同时还要对网络安全控制以及网络安全责任等重要因素进行全方位的调查，支持企业的业务活动。

3.2.4 云安全审计

云安全审计的方式有网络审计、数据库审计、日志收集，云服务商需要采用数据审计措施，科学部署网络，针对邮件内容、网页内容进行审计，合理整理日志记录，提升违规实践发生后的审查能力。具体内容包括：

（1）审计数据的采集：审计数据是源自于网络系统、业务层面，网络系统层面主要是采集数据库、安全设备、网络设备、虚拟机管理系统中的告警信息与日志信息；业务层面的内容包括账号登录行为数据、登录后操作记录、账号权限变更数据。通过审计数据，可以将用户的访问完整记录下来，以真实反映出系统的操作情况。

（2）审计数据的分析：对于审计数据，应该能够支持安全事件的关联分析功能，在网络系统方面，需要支持给予审计、基于规则、基于资产的关联分析。在业务应用方面，需要支持基于账号、基于时序关联规则、基于账号与权限的关联。

（3）审计结果：对于审计数据，应当进行实时监控、呈现，呈现方式非常多元，可以为弹出窗口、电话通知、微信通知、工单报警等。

3.2.5 云服务的迁移、备份与恢复

网络安全的三个要素就是完整性、机密性、可用性，如果系统出现数据丢失、系统瘫痪问题，如果平台具备良好的灾难恢复能力，即可迅速让系统恢复至可用状态。针对IT，利用云存储，即可满足备份、灾难恢复要求，这可以降低基础架构成本。

3.2.6 推行轻客户端策略

轻客户端策略即由服务器处理计算机、业务之间的逻辑关系，客户端之需要处理简单的网络数据。如，在用户收到电子邮件后，云系统可以对邮件的电子链接、源地址进行检测，分析其中可能存在的安全威胁，如果得出该邮件不可信，服务就会利用云安全技术来查杀，或者将邮件隔离、删除，并将不安全邮件的电子链接、源地址记录到网络安全隐患库。如果又有相似邮件的出现，即可第一时间删除、拦截。当然，轻客户端并非万能的，其使用中的最大问题就是只能够检测外部信息，无法检测计算机自身系统，因此，一般多用在病毒拦截入侵环节。

3.3 其他安全保障措施

3.3.1 防火墙与防水墙防火墙需要设置在网络主交换机位置，这可在内外、外网之间构建安全墙，防火墙可对各类信息分析、查看，防火墙可将不安全服务关闭，设置适合的访问系统规则，严密监视外部信息访问要求，拒绝不合法请求。防水墙则包括控制台、服务器、客户端组成，在应用了防水墙之后，服务器即可储存基本信息，保存日志记录，可根据用户要求来传输数据和命令，还可以管理用户的活动和行为。

3.3.2 IPS、IDS联动安全实现

在企业中，面临的安全问题是非常多的，在应用云安全技术的过程中，也需要应用动态、主动保护机制，对网络中的访问信息进行实时检查，对内容科学分析，如果有刻意操作和异常活动，需要及时采用相应的措施，以确保企业的网络安全。单一采用防火墙，具有一定的滞后性，因此，还要使用IPS、IDS联动安全方式，将其部署在主交换机接口、专用服务器、防火墙位置。通过这一方式，可检查系统有无受到安全入侵，可以监控系统的各项异常操作，通过分析来制定安全策略和防御机制，保证网络的安全。

3.3.3 VPN的实现

虚拟专用网VPN扩充了企业网络，可以在企业内部、远程客户端之间建立安全通道，VPN的应用，满足对突发故障设备的维护要求，可以用于企业内部子网的通信，显著提升了企业的网络安全级别，将各类不安全因素杜绝在企业外部，通过科学的措施来对网络安全进行安全管理。VPN能够验证用户的登录，对用户权限进行合理分配，按照科学的规则来分配用户访问权限，并对传输数据进行加密处理，确保信息的安全性与机密性，避免信息被非法篡改。

3.3.4 入侵检测

使用一种安全产品是不能实现网络的安全的，网络的安全是一个整体，需要采用多种安全产品互相补充，如入侵检测系统(DIS)与 VPN 安全系统形成互补。实时入侵的检测主要搜集企业网络内一些重要节点的信息然后进行分析，由此判断网络当中是否存在违背安全策略的活动或行为。入侵检测系统不同于其他的安全产品，它更加智能化，能够把获得的数据进行分析，然后得到分析的成果。

3.4 云安全技术的发展趋势

3.4.1 规范化

目前，云安全滥用的问题十分严重，企业存在盲目的跟风，在市场上，有大量的雷同产品，一些低劣产品难以满足云安全的服务要求，这非常不利于云计算的推广。在这一背景下，云安全市场将会朝着规范化的方向发展。

3.4.2 标准化

在云计算的发展下，国内外的厂商、标准组织、研究机构也形成了不同的见解，由于各个企业的资金、人力有限，其研究难以囊括云安全的各个层面。在这一阶段下，云安全的标准化也是必然趋势，就我国的情况来看，在推出了TC8 WG4云计算子组后，初步形成了云安全工作体系，可以预见的是，其后续的影响会越来越大。

3.4.3 成熟化

在云计算的发展下，云安全技术得到了各个企业的高度关注，利用云安全技术，有效提升了企业的网络安全性，提高工作效率，降低企业的管理成本。但是，在各类因素影响下，在云安全技术的推广环节，还存在一些突出问题，即便是谷歌、亚马逊、微软等大型顶级服务商，也常常出现故障。对于企业而言，云安全技术的优势往往大于劣势，带来的利益要高于风险，在这一背景下，企业更加呼唤系统安全可靠的云服务商，这一过程会催生云安全产业的成熟。

3.4.4 安全化

云安全特征对于传统的安全机制也有了新的要求，出现了面向云环境的终端隐私管理技术、增强身份管理技术、数据同态加密技术等，这类技术是对传统隐私管理技术、身份管理技术与数据加密技术的更新与升级。在这一阶段，学界会进一步极大研发力度，拓展安全技术，提升系统的安全保证能力。另外，由于云安全技术的资源动态弹性分配、低门槛特点，会有不法分子滥用云资源来危害企业，这给企业的信息监管提出了挑战，对此，学界还需针对云服务器滥用问题进行深度研究。

4 结语

在企业的发展中，网络安全是人们关注的热点话题，随着网络形势的日益复杂，网络安全遭到的威胁日益严重，企业遭受的攻击方式也更加多样。在实际的应用中，需针对企业的实际情况来进行分析，根据企业的工作需求、工作特征来设置网络安全体系，充分考虑到人为因素与外在客观因素，为企业的安全运转提供安全保证。