网络重构下的安全思考

周希强 程小芳 乔楚

摘 要：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，系统连续可靠正常地运行，网络服务不中断。当前运营商纷纷采用SDN/NFV、云计算等新技术布局网络重构，网络变得越加开放，随之而来的安全问题也变得越加重要。本文传统网络安全分析入手，探讨在网络重构下的云计算网络将面临哪些新问题与新挑战，以及该怎么应对。

关键词：网络重构；网络安全；云计算安全

中图分类号：TP393.08 文献标识码：A 文章编号：1671-2064（2018）05-0049-02

现代科学技术高速发展，信息网络已经成为社会发展的重要保证，信息网络涉及到国家的政府、军事、文教等诸多重要领域，其中不乏敏感信息，甚至是涉及国家机密。鉴于此，网络安全已经成为关系到国计民生的重要问题。而政府将建设网络强国，维护网络安全写进政府工作报告，成立中央网络安全和信息化领导小组，由国家最高领导人亲自挂帅，更体现网络安全的重要性。

近年来，随着互联网不断的普及与云计算、SDN/NFV等新技术的引进，网络变得更加开放。而在这种大环境下，原有的安全防护手段也不能满足新环境下的安全要求，需要有新的应对措施。

1 网络安全主要威胁

1.1 黑客的恶意攻击

我们日常提到的网络安全问题首先便来源于“黑客”的恶意攻击，黑客是一群躲在计算机屏幕后利用自己的技术专长专门攻击网站和计算机的群体。而网络的普及与知识共享等，黑客技术逐渐被越来越多的人掌握并加以发展，尤其是现在还缺乏针对此类网络犯罪的有效跟踪手段，使得黑客们善于隐蔽，攻击“杀伤力”强，这是网络安全的主要威胁。

1.2 网络自身和管理存在欠缺

因特网主要采用TCP/IP协议，其最初的设计时仅考虑怎么保证信息传输不受影响，基本没有考虑安全、质量等，因此它在安全防范、服务质量、带宽和方便性等方面存在滞后及不适应性。而网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。而事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理，没有制定严格的管理制度，这也对网络安全造成威胁。

1.3 软件设计的漏洞或“后门”而产生的问题

随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，无论是基础的操作系统，多种多样的服务器、浏览器、甚至于一些桌面软件等都被发现过存在安全隐患。

1.4 恶意网站设置的陷阱

互联网网站无数，其中有些网站存在一些恶意软件，用户只要登录或者下载网络的信息就会被其控制和感染病毒，计算机中的所有信息都会被自动盗走，且该软件会长期存在你的计算机中，操作者并不知情，如“木马”病毒等。

2 网络安全特征变化

无论网络如何变化，网络安全都应具有以下四个方面的特征：

（1）保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。（2）完整性：信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性：当需要时，用户能够存取所需的信息。（4）可控性：对信息的传播及内容具有控制能力。

过去，网络安全威胁以网络攻击，破坏网络可用性为主，目的是导致网络瘫痪，无法正常工作。而近年来，随着政府与企业均加强对网络安全的布局，如添加防火墙，单用户网络隔离，部署流量清洗等安全手段后。安全威胁转入“后台”，主要以破坏数据完整性与保密性为主。

而仔细核对近三年（15年-17年）每年的全球十大网络安全事件可以发现：

（1）黑客攻击目标由原来的一般基础设施转为了金融、政府等重要领域的基础设施；（2）有政治背景的黑客行动也越来越多，未来的网络安全将能影响到一个国家的稳定，网络安全上升到国家高度已成定局，其中最有名的案例便是美国国家安全局自2007年开始实施的电子监听“棱镜计划”；（3）个人信息泄露也成为威胁网络安全的一大威胁，并有逐年上升趋势。如14年底，铁道部12306官网13万用户信息泄露，包括身份证、登录口令、密码等；16年9月，雅虎宣称旗下至少5亿条用户信息被黑客盗取，其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。

3 网络安全威胁

3.1 云计算安全威胁

网络重构下的新技术中，SDN重点专注网络架构，转控平面分离，安全重点在于南北向API接口与流表设计方面，NFV重点为虚拟化，重点考虑虚拟化安全问题。而云计算技术，包含以上相关安全考虑。

在安全方面，云计算除了需要面对传统的的安全问题，如不安全的API接口、审计功能的不完备、需要应对非法用户的入侵等，还需要应对因云计算带来的新安全问题，像业务定位模糊，数据恢复难度大，复杂的合法规则性需求。

不安全的API接口：云计算服务商需要提供大量的网络接口和API来整合上下游、寻找业务伙伴，甚至直接提供业务，因此这些API接口的设计就显得至关重要，而目前传统API的性能并不理想，同时还有许多厂商私有接口存在。

审计功能的不完备：传统服务提供商需要对用户信息进行外部审计和安全认证，但一些云计算提供商却拒绝接受这样的审计服务，而且，用户无法参与数据运算过程也无法审计运算结果，使得原始数据提供者承担了更多的责任和义务。

需要应对非法用户的入侵：黑客攻击、病毒传播、用户信息被盗等这些不法行为也同样可以发生在云平台上，而且云平台相比传统互联网服务具有更大的开放性和动态性，所以其影响范围也将远远高于传统互联网。

业务定位模糊：云计算服务集成涉及了IDC、数据存储、内容应用等业务，并扩大了经营范围。由于其庞大的服务范围和业务模式，所以根本无法简单的将云计算进行电信业务分类，就更谈不上与之相对应的业务服务体系和执行标准了。同时，当前云计算服务发展参差不齐，规模大的有数十亿的云计算中心，规模小的有手机厂商的云计算软件商店。

数据恢复难度大：在云计算环境下，用户数据在云中进行运算，用户根本不知道数据存储的在哪个机房，哪台设备上。在发生安全事故时，云服务商不能及时的告知用户他们所存储的数据遇到了怎样的情况，用户也就无法对所需运输的数据进行及时的处理。而由于数据存放地点不清楚，数据恢复更是无从谈起。而且也有可能被不法份子趁机盗取，给用户造成巨大损失。

复杂的合法规则性需求：云计算服务是面向全世界的一种计算机网络服务，每个国家都有权利制定相应的法律对云计算业务进行监督管理，而不同国家所制订和执行的法律之间，总会存在些许差异，这就对跨国运营的云计算提供商提出了比较大的挑战，使得云计算的跨国合作更加困难。

3.2 安全威胁应对

为应对以上安全问题及传统网络安全威胁，云计算可以从以下方面进行改进：

（1）完善云计算相关的法律法规和业务与承载的技术规范；（2）积极采用数据加密与VPN等网络安全技术构建安全的逻辑边界；（3）完善数据冗余备份机制、应用数据加密技术保障用户数据的完整性、可用性，隱私性；（4）利用补丁和版本管理机制，加强系统虚拟化安全漏洞风险防范，提高云计算应用系统的安全性；（5）传统网络安全防护手段应用，如高吞吐量的DDoS外网防护，防火墙，入侵检测，异常流量清洗等；

4 结语

网络重构大背景下，云计算、SDN/NFV等技术扮演了重要的角色，而目前业界对于这些技术应用前景讨论多过于安全问题的思考。众所周知，云计算等新技术大大虚化了网络的边界，拓宽了业务类型，也带来了新的安全风险，长此以往，网络安全问题就成为所有技术人员不得不面对的问题，因此，提前做好安全思考与威胁防护也显得非常重要。

参考文献

[1]广小明，胡杰，陈龙，郭京，等.虚拟化技术原理与实现[M].北京：电子工业出版社，2012：32-67.

[2] Gary Lee[美].云数据中心网络技术[M].北京：人民邮电出版社，2015：35-39.