基于云計算環境下網絡信息安全技術的應用

吳光雁

摘要：網絡的普及為人們的生產、生活帶來巨大便利，但也使信息安全受到嚴重威脅。這是因為網絡具有共享、開放特點，有利于信息的傳輸和服務，但網絡安全漏洞使信息存在泄露、丟失的風險，由此給個人、企業和社會帶來嚴重損失。為了不使信息安全受到威脅，云計算環境的建設是將網絡體系內具有一定價值的數據信息進行資源整合，通過共享功能的實現，保證資源處理與資源服務過程中，可以真正建設出具有科學匹配、合理供應、質量利用的各類數據運算形式，以此來提高數據信息產品的價值屬性?；诖?，本文以云計算技術為切入點，首先分析了云計算環境下的網絡信息安全風險，在此基礎上對云計算中網絡信息安全技術的應用展開了探討，并就軌道交通線網云平臺網絡安全架構進行了分析，以供參考。

關鍵詞：云計算;網絡信息安全;網絡系統;軌道交通;技術應用

引言

云計算運行模式主要是搭載用戶指令訴求以及各類訪問權限，對計算機網絡內部的資源進行獲取或運算，此類數據指令的下達不僅局限于終端用戶訪問個體，還可以通過資源多渠道的傳輸，將網絡系統內信息體系進行分布式運算，保證每一類資源儲存分析與計算的合理性，降低系統運行過程中的跳變概率，以此來提高計算機網絡運行質量。但是從實際運作模式而言，云計算網絡環境中受到關聯因素的影響，將造成信息丟失以及數據損毀的風險，令用戶造成嚴重的損失。這就需要在實際運作過程中，針對各類安全隱患問題設定處，相對應的網絡信息安全技術，保證每一類資源運用的合理性提高實際運作質量。本文針對云計算中網絡信息安全技術的應用展開以下探討。

1 基于云計算環境下的網絡信息安全風險

1.1 網絡系統漏洞較多

云計算環境可以看成是一個基于數據信息傳輸與運作的互聯網環境，其本身是立足于數據架構以及網絡運行平臺之上，構筑出具有可預算模式的安全類框架，符合當前計算機網絡的運行需求。但是從宏觀角度來講，不同的操作系統通訊協議以及主框架系統對于云計算本身所產生的訴求較高，這也使得實際應用過程中協議與安全漏洞之間所呈現差異性，導致系統面臨一定的安全風險。在云計算環境中，網絡數據節點的各類傳輸形式都會因為漏洞產生被攻擊風險，進而產生一定的損失，對整個計算機操作系統造成嚴重的影響。對于計算機網絡設備而言，一旦網絡系統內部存在安全漏洞隱患時，被黑客或病毒進行攻擊時所產生的風險問題，則將是規?；?，令整個數據終端以及網絡體系面臨著癱瘓的風險，加大數據傳輸難度。

1.2 云計算穩定性差

自主擴充性作為云計算環境運行的一個重要屬性，從實際原理來講，其伴隨著數據增量值的不斷延伸而形成具有匹配方面、計算整理于一體的資源自適應及匹配機制，保證每一類計算數據可以真正將整個數據模式作用于系統任務中，進而通過主系統的分配機制，保證每一類數據實現頂層系統與底層訴求的精準對接，提高終端服務器的運行質量。但是從實際運作角度而言，云計算環境本身所具備的共享功能在理論程度上是可以被無限擴大的，且此類數據值的自主性擴充則是以網絡節點為基準進行固定時間段、固定區域段內的無限量拓展。但是受到實際應用過程中數據傳輸以及物理服務器的局限問題，用戶在操作過程中無法真正將數據進行自主擴充，造成網絡安全服務節點運作過程中存在一定的漏洞，引發出聯動性影響，使計算機用戶面臨著數據丟失的嚴重風險。

2 云計算中網絡信息安全技術的應用

2.1 智能防火墻技術

智能防火墻技術的應用及實現是最為常見的計算機網絡信息防護系統，伴隨著網絡技術的不斷更新，整個防火墻體系所起到的性能也逐漸契合的網絡多元化的轉變環境中。通過防火墻技術體系的建設，可以真正將數據信息所具備的危險特征予以識別，通過模糊數據庫以及模糊識別技術等，在計算機網絡用戶實時化操作過程中進行訪問權限的全過程監督，這樣通過數據信息的核驗與比對，可以查證出用戶在實操過程中，對于外界數據信息獲取途徑所產生的安全等級進行有效識別。如果外界信息在傳遞時，防火墻識別出此類信息具有安全風險時，則立即執行組織功能并向用戶傳達此類信息的安全問題，或者是數據漏洞等，進而有效規避錯誤操作的風險。從關鍵技術角度而言，防火墻職能基礎的實現可以分為下列3點。第一，防欺騙技術。智能防火墻系統中的防欺詐技術是指針對外界協議所產生的IP偽造地址進行有效識別，通過對MAC的管控，確保每一類數據信息及相關協議，在進入到計算機設備之前，可以通過防火墻系統進行細化分析，有效防止欺詐問題的產生，提高網絡系統運行的可靠性。第二，入侵防御技術。入侵防御技術是指針對數據包或信息流進行查證，通過智能分析與識別，保證每一項數據信息的流通是符合計算機系統安全運行訴求的，一旦發生數據異常問題，就能及時將此類信息阻隔在防火墻系統之外，避免外界存在安全風險的信息流入到系統內部，以此來提高計算機設備運行的安全性。第三，防掃描技術。從數據信息的竊取角度而言，掃描技術是針對數據包信息竊取的一種常用手段，通過掃描數據包可以得到內部具有一定價值的信息，令用戶產生一定的數據損失問題?；诜阑饓ο到y而實現的防掃描技術針對整個防火墻系統運行，實現對掃描技術的針對化防控，進而有效規避外界非法攻擊所產生的數據侵襲問題。

2.2 加密技術

在云計算環境中，加密技術的實現是當前整個信息安全防護系統中。具有較高防護等級的技術基準之一，通過不同類型的加密技術，可以有效保證數據信息在傳輸存儲過程中規避數據被竊取的問題。從工作原理來講，可以將加密技術看成是以數據信息為基準的數據加密、數據還原與數據存儲等，這樣即便外界黑客利用非法手段截取數據，得到的也是一段加密后無意義的數據亂碼，而只有接收方與發送方通過密鑰的識別，才可以對此類信息進行解密處理，從而最大限度地保證接受雙方數據對接質量，避免數據傳輸過程中產生丟失的問題。目前，加密技術的實現大多分為對稱加密與非對稱加密兩種形式。其中，對稱加密是指應用對稱密碼編碼技術實現對文件加密和解密的同步處理，這樣通過密鑰作為唯一的處理渠道，可以有效保證以對稱加密算法為基準的各類數據加密處理形式是符合系統加密處理訴求的，同時此類加密技術對于計算機系統功能要求較低，在一定程度上達到成本節約的效用。非對稱加密則是針對密鑰交換協議而提出的一種技術手段，與對稱加密技術的實現原理相比，非對稱加密可以建立在公開密鑰系統之上（見圖1），通過公開密鑰與私有密鑰的獨立化處理，保證密鑰本身在執行數據加密處理過程中，需要結合公開密鑰、私有密鑰，才可實現對整個數據信息的加密與解密處理，以此保證數據系統在運行過程中每一類信息傳遞的時效性。

此外，還可通過密碼機的設定，對計算機網絡內數據信息進行多維度解析，保證數據傳輸功能在具體實現過程中，是符合計算機網絡安全運行訴求的，進一步深化計算機網絡的適應性、傳輸性及可靠性。圖2為密碼機的工作原理。

2.3 身份認證技術

身份認證技術的應用是以面部識別、語音識別以及密碼識別等建立出具有多層次化的身份認證模式，保證人們在處理某一類數據信息時，可以通過系統的多方面辨認查證出用戶在當前計算機網絡環境中所存在的訪問權限，然后依據用戶角色進行授權處理，令用戶在操作過程中可以按照自身的權限功能調取相應的數據信息，滿足實際操作需求。在云計算環境中，網絡信息安全風險等級的逐漸提升，使得整個計算環境對于數據信息的監管力度也逐漸加大，身份認證技術則可以真正將數據認證模式作用于用戶本身，通過數據信息的多形式化處理，保證技術在具體落實過程中逐漸擺脫傳統密碼式的認證形式。例如：通過指紋識別、虹膜識別等，可以確保每一類數據信息在傳輸過程中是按照用戶主觀意愿進行下達的。與此同時，考慮到身份認證技術在實現過程中與傳統計算機系統服務處理所產生的差異問題，則可以在數據服務過程中，采取聯合認證的形式，進一步提高安全防護等級。例如：將口令認證與用戶身份認證進行關聯，先針對用戶名進行分析，然后結合口令認證人臉識別等，進行多層次的身份認證，確保用戶在操作過程中的權限開放是建立在用戶自主操作之上而實現的。除此之外，可以將口令認證與密鑰認證進行聯動使用，將傳統的身份認證模式脫離于第三方系統認證，真正將用戶與服務器進行對接，然后在操作過程中，計算機服務器可以通過相關口令產生密鑰，并進行身份認證，待判定此類操作為合法模式時，則用戶可以在系統內完成相對應的權限操作處理。

3 軌道交通線網云平臺的網絡安全分析

3.1建設原則

軌道交通的網絡安全應根據具體業務系統特點及運營管理需求，按國家信息安全等保級別的相關規定分級分類進行設計和管理。線網云平臺負責云平臺自身的安全性，并保證云平臺自身符合等級保護三級要求，并負責云平臺的等級保護測評工作。云平臺各應用系統（如信號ATS或綜合監控系統等）由其他應用廠家完成其系統的等級保護及測評工作，不在線網信息化云平臺系統范圍內，安全責任邊界明確清晰。網絡安全體系分為安全管理體系和安全運維體系，包括物理安全、安全管理、網絡安全、主機安全、云平臺安全、數據安全、應用安全等。信息安全平臺應遵循“系統自保，平臺統保，邊界防護，等環保達標，安全確?！痹瓌t，平臺負責各系統的統籌保護。云平臺負責云平臺自身的安全性及等級保護定級，其中安全生產網按照三級等保建設，內部管理網按照二級等保建設，外部服務網需與互聯網出口進行重點防護。信息安全平臺應采用可靠的安全技術，部署成熟的安全設備和執行滿足等級保護要求的安全策略。

其他相關原則要求如下：

（1）遵循信息安全標準規范，積極防御，綜合防范，加強安全風險綜合防范能力。

（2）信息安全平臺基于安全生產網、內部管理網和外部服務網的網絡架構進行安全防護。信息安全平臺需提供三張網內南北向流量及東西向流量的安全防護;在三張網間根據需要采用邏輯隔離、物理隔離、數據交換等手段，構建不同強度的隔離系統，從外層到內層對內部生產系統形成三道隔離保護;部署獨立的帶外管理網絡，實現統一運維管理和功能隔離;需在外網出口做好隔離防護。

（3）信息安全平臺應滿足等級保護基本要求，部署支持性安全基礎設施、邊界安全、數據交換安全、應用安全、數據安全、主機安全、管理安全等相關安全設備，做好信息安全防護策略，實現信息安全防護功能。

（4）信息安全平臺需充分調研現有IP地址規劃及使用情況，進行云平臺整體的IP地址統籌規劃。

（5）做好云平臺多線路的資源規劃，避免各系統之間的干擾。

3.2 安全架構

線網云平臺采用異地災備的架構，提高系統整體的安全性。異地災備中心邏輯上是1個數據中心，物理上部署為異地災備雙中心。災備中心之間實現數據同步，實現業務災備切換，確保網絡控制中心的可靠運行。線網云平臺分為安全生產網、內部管理網和外部服務網，以及對三張網進行統一集中管理的運維管理網，其信息安全體系采用立體縱深防御設計理念?？v向通過外部服務網、內部管理網和安全生產網三張網隔離，其中安全生產網與內部管理網為邏輯隔離，安全生產網/內部管理網與外部服務網間為物理隔離，互聯網用戶不能直接訪問安全生產網、內部管理網的數據和信息系統，而是通過安全隔離邊界的數據交換平臺將部分脫敏數據擺渡到外部服務網區域，進行數據安全交互。橫向通過物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等加以實現，通過管理網實現集中安全管理。云平臺內部信息安全體系遵循“網絡+安全”的部署模式，架構圖如下圖。對安全生產網、內部管理網和外部服務網分別部署安全資源池，其中包含防火墻、負載均衡、數據庫審計、主機防病毒等安全系統。在三網間、三網與線路側、三網與安全運維網間部署防火墻、網閘、數據安全交換設備、標記設備等，做好邊界防護。安全檢測資源池應具備可擴展性，應可根據專業系統需求調整對應的安全檢測資源池規模，可根據線網中心專業系統需求提供不同的安全功能。安全檢測資源池應包括虛擬入侵檢測、虛擬數據庫審計、虛擬漏洞掃描、虛擬堡壘機、虛擬安全管理平臺、虛擬日志審計、虛擬流檢測、虛擬WEB應用防護等功能模塊。

3.3 安全等級規劃

《信息安全技術 網絡安全等級保護基本要求》在安全擴展要求中明確了云計算安全擴展要求，提出在云計算環境中，應將云服務方側的云計算平臺單獨作為定級對象定級，云租戶側的等級保護對象也應作為單獨的定級對象定級。云平臺作為單獨的定級對象，由云平臺廠商提供等級保護技術建設、等級保護測評服務及測評過程中修改工作;部署在云平臺上的業務系統作為單獨的定級對象，由各業務系統負責自身定級實施。云平臺負責云平臺自身的安全性及等級保護定級，其中安全生產網按照三級等保建設，內部管理網按照二級等保建設，外部服務網需與互聯網出口進行重點防護。云計算環境下，安全等級保護除了需滿足基本的安全通用要求外，還應滿足安全擴展要求。等級保護云計算安全擴展要求中涵蓋安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全建設管理、安全運維管理等內容。根據等級保護要求及線網中心業務特點，方案從訪問控制、入侵防范、安全審計、集中管控、主機安全等方面進行設計，確保云平臺符合等級保護要求。

4 結語

綜上所述，計算機網絡系統的不斷更新下，對計算機設備以及整個網絡體系所產生的安全需求也在逐漸增大，這就需要各類安全技術在實際應用過程中，可以真正起到技術防控的效果，保證每一類技術驅動過程中可以真正實現整個計算機網絡安全體系的構筑，進一步提高計算機系統運行質量。

參考文獻：

[1]謝柳萍.基于網絡信息安全技術管理的計算機應用研究[J].數字技術與應用，2021，39（6）：177-179.

[2]陳少軍.基于網絡信息安全技術管理的計算機應用探討[J].信息記錄材料，2021，22（6）：68-70.

[3]周巖，杜健持.高校網絡安全防護中計算機信息管理技術的應用[J].電子技術與軟件工程，2021（8）：241-242.

[4]童瀛，姚煥章，梁劍.計算機網絡信息安全威脅及數據加密技術探究[J].網絡安全技術與應用，2021（4）：20-21.

[5]劉智勇.大數據云計算環境下的數據安全分析[J].科技創新導報，2020，17（20）：122-124.

[6]宋雨威.云計算和云數據管理技術[J].科技創新導報，2019，16（2）：170-171.