物流信息化是現(xiàn)代物流的基本特征，是現(xiàn)代物流的核心評(píng)價(jià)標(biāo)準(zhǔn)，其關(guān)鍵就是建立物流公共信息平臺(tái)。物流公共信息平臺(tái)是為物流企業(yè)、政府以及其它相關(guān)部門提供物流信息服務(wù)的公共信息服務(wù)平臺(tái)，它是以獲取物流規(guī)�；�、效率化為目的，以先進(jìn)的信息技術(shù)為支撐，以信息共享為手段而建立的信息平臺(tái)。云計(jì)算是IT界的新概念和熱點(diǎn)，近年來，云計(jì)算在物流領(lǐng)域的應(yīng)用研究逐步受到重視�；�于云計(jì)算的物流公共信息平臺(tái)(物流公共信息云平臺(tái))本質(zhì)上是一個(gè)信息系統(tǒng)，該系統(tǒng)具有公共性、公眾性、開放性和可擴(kuò)展性等特征。物流公共信息云平臺(tái)的構(gòu)建與使用，將有效地提高大數(shù)據(jù)時(shí)代物流信息的管理效率，降低物流運(yùn)作成本，促進(jìn)物流產(chǎn)業(yè)的發(fā)展。與此同時(shí)，物流公共信息云平臺(tái)在實(shí)現(xiàn)用戶信息資產(chǎn)安全與隱私保護(hù)等方面面臨著極大的沖擊與挑戰(zhàn)，物流信息云平臺(tái)安全性問題日趨備受重視。本文在分析物流信息云平臺(tái)的安全風(fēng)險(xiǎn)與安全需求基礎(chǔ)上，探討基于云計(jì)算的物流公共信息平臺(tái)安全體系和安全管理問題。

　　1、基于云計(jì)算的物流公共信息平臺(tái)結(jié)構(gòu)與功能

　　物流信息云平臺(tái)是一種服務(wù)物流發(fā)展，為物流企業(yè)間信息交換、政府與企業(yè)間信息共享、企業(yè)與客戶間信息交流的公共信息平臺(tái)。物流信息云平臺(tái)以數(shù)據(jù)(物流信息)為中心，通過虛擬化和整合技術(shù)來調(diào)配分布在網(wǎng)絡(luò)上的服務(wù)器集群、信息存儲(chǔ)與數(shù)據(jù)傳輸能力，并客制化地為用戶提供高效、可靠、安全、便捷、靈活的各種物流業(yè)務(wù)應(yīng)用服務(wù)�；�于云計(jì)算的物流公共信息平臺(tái)體系包括基礎(chǔ)設(shè)施即服務(wù)IaaS、平臺(tái)即服務(wù)PaaS、軟件即服務(wù)SaaS三個(gè)層面的結(jié)構(gòu)，用戶通過互聯(lián)網(wǎng)絡(luò)，基于客戶端(瀏覽器、移動(dòng)終端、TV等)可以隨時(shí)隨地獲取所需的服務(wù)。物流公共信息云平臺(tái)的IaaS層通過虛擬化技術(shù)提供平臺(tái)服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件資源支持；PaaS層提供各種平臺(tái)應(yīng)用程序與功能，如企業(yè)建站平臺(tái)、資源部署平臺(tái)、數(shù)據(jù)挖掘平臺(tái)、短信平臺(tái)等；SaaS層提供各種軟件應(yīng)用服務(wù)，主要是各種業(yè)務(wù)系統(tǒng)，如倉儲(chǔ)管理系統(tǒng)、運(yùn)輸管理系統(tǒng)、物流決策支持系統(tǒng)、物流專家系統(tǒng)、報(bào)關(guān)報(bào)檢系統(tǒng)等。物流公共信息云平臺(tái)無需用戶關(guān)注復(fù)雜的軟硬件配置、擴(kuò)展、升級(jí)以及日常維護(hù)，對(duì)于云平臺(tái)的使用者來說，服務(wù)器、網(wǎng)絡(luò)設(shè)施、存儲(chǔ)設(shè)備、系統(tǒng)軟件、中間件等都是高度透明的。云平臺(tái)同時(shí)對(duì)外提供了通用的、集成的、便捷的用戶接口，不同類型和需求的用戶可以通過互聯(lián)網(wǎng)或移動(dòng)終端隨時(shí)隨地地獲取物流云服務(wù)。

　　2、基于云計(jì)算的物流公共信息平臺(tái)安全風(fēng)險(xiǎn)

　　物流公共信息云平臺(tái)對(duì)物流信息資源進(jìn)行集中管理，平臺(tái)系統(tǒng)更容易成為黑客的重點(diǎn)攻擊目標(biāo)。由于云平臺(tái)的大規(guī)模性、開放性與復(fù)雜性，云平臺(tái)的系統(tǒng)風(fēng)險(xiǎn)大大增加，云平臺(tái)安全面臨著比以往更為嚴(yán)峻的考驗(yàn)。研究機(jī)構(gòu)Gartner在2008年發(fā)布的《云計(jì)算安全風(fēng)險(xiǎn)評(píng)估報(bào)告》中指出，一個(gè)組織在考慮使用基于云計(jì)算的服務(wù)時(shí)必須要了解相關(guān)的安全風(fēng)險(xiǎn)。根據(jù)Gartner的研究成果，物流公共信息云平臺(tái)的安全風(fēng)險(xiǎn)可以歸納為以下六個(gè)方面：

　　1)特權(quán)用戶的接入。物流企業(yè)的物流單證、財(cái)務(wù)數(shù)據(jù)、技術(shù)文件和人事檔案等往往是企業(yè)的敏感信息，在企業(yè)外部的“云端”處理敏感信息可能會(huì)帶來風(fēng)險(xiǎn)，因?yàn)檫@將繞過公司的信息部門和審計(jì)部門對(duì)這些信息“物理、邏輯和人工的控制”。物流信息云平臺(tái)需要對(duì)接入的云用戶進(jìn)行審查，從而避免非法用戶對(duì)信息的接觸。

　　2)數(shù)據(jù)位置。在使用物流公共信息云平臺(tái)提供的IT服務(wù)時(shí)，用戶并不清楚自己的數(shù)據(jù)儲(chǔ)存在哪里，也不知道數(shù)據(jù)的物理存儲(chǔ)細(xì)節(jié)。用戶應(yīng)當(dāng)詢問云計(jì)算服務(wù)提供商是否將數(shù)據(jù)存儲(chǔ)在專門管轄的位置，以及他們是否遵循約定的隱私協(xié)議。

　　3)數(shù)據(jù)隔離。物流公共信息云平臺(tái)用戶的數(shù)據(jù)都處于共享環(huán)境之中，此時(shí)加密能夠起一定作用，但是仍然不夠。物流公共信息云平臺(tái)需將用戶數(shù)據(jù)彼此隔離，并提供由專家設(shè)計(jì)并測(cè)試的加密服務(wù)。如果加密系統(tǒng)出現(xiàn)問‘題，那么所有數(shù)據(jù)都將不能再使用。

　　4)數(shù)據(jù)恢復(fù)。任何沒有經(jīng)過備份的數(shù)據(jù)和應(yīng)用程序都可能出現(xiàn)問題。物流公共信息云平臺(tái)應(yīng)考慮到在災(zāi)難(如環(huán)境危害或自然災(zāi)害)發(fā)生時(shí)，用戶數(shù)據(jù)和服務(wù)將會(huì)面臨什么樣的情況。在云計(jì)算環(huán)境下，物流公共信息云平臺(tái)幾乎扮演了眾多企業(yè)的“大腦”角色，應(yīng)具有數(shù)據(jù)的災(zāi)難及時(shí)恢復(fù)能力。

　　5)調(diào)查支持和可審計(jì)性。在云計(jì)算環(huán)境下，來自不同企業(yè)的數(shù)據(jù)可能會(huì)存放在一起，并且有可能會(huì)在多臺(tái)主機(jī)或數(shù)據(jù)中心之間轉(zhuǎn)移。當(dāng)有不恰當(dāng)?shù)幕蚴欠欠ǖ男袨榘l(fā)生時(shí)，物流公共信息云平臺(tái)應(yīng)具有IT審計(jì)職能。

　　6)長期生存性。理想情況下，物流公共信息云平臺(tái)將健壯地持續(xù)運(yùn)營。但是物流云用戶仍需要確認(rèn)，在平臺(tái)崩潰或非短期的中斷運(yùn)營情況下，自己的數(shù)據(jù)會(huì)不會(huì)受到影響，用戶能否拿回自己的數(shù)據(jù)，以及拿回的數(shù)據(jù)能否被導(dǎo)入到替代的物流系統(tǒng)中。

　　3、基于云計(jì)算的物流公共信息平臺(tái)安全需求

　　基于風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)我們可以導(dǎo)出安全需求，一般來講，信息安全需求或內(nèi)容包括信息的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。物流公共信息云平臺(tái)的安全需求表現(xiàn)為應(yīng)對(duì)安全風(fēng)險(xiǎn)的一系列的機(jī)制，主要包括平臺(tái)自身的信息安全和云平臺(tái)的信任安全兩個(gè)方面。

　　物流公共信息云平臺(tái)自身的信息安全是指物流信息云平臺(tái)及信息資源免受未經(jīng)授權(quán)的訪問、使用、泄漏、破壞、修改以及銷毀等，可劃分為四個(gè)層面：設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全|。其中，設(shè)備安全要求云平臺(tái)的物理設(shè)備可靠、可用和穩(wěn)定；數(shù)據(jù)安全要求物流數(shù)據(jù)具有可用性、完整性和秘密性；內(nèi)容安全要求物流信息內(nèi)容健康、符合法律和道德規(guī)范的要求；行為安全要求基于云平臺(tái)的操作在完整性、可控性和秘密性方面得到保障。

　　物流公共信息云平臺(tái)運(yùn)行的核心模式是提供服務(wù)，服務(wù)提供的前提是用戶和服務(wù)提供方之間建立有效的信任。如同儲(chǔ)戶和銀行之間對(duì)于財(cái)務(wù)信息、病人和醫(yī)生之問對(duì)于隱私信息的信任管理一樣，物流公共信息云平臺(tái)必須解決信任管理問題。物流公共信息云平臺(tái)的信任安全管理目標(biāo)是使企業(yè)“放心”地將“隱私”信息存儲(chǔ)在“云端”的平臺(tái)之上，即保障“云用戶”獲得的“云服務(wù)”是可靠的、安全的，甚至是私密的。這表現(xiàn)在“云用戶”不用擔(dān)心數(shù)據(jù)被惡意竊聽、篡改、泄漏和濫用，也不用擔(dān)心“云端”信息被非法訪問，并且其基于云平臺(tái)的各種行為如服務(wù)部署、業(yè)務(wù)交易是公平的、公正的和受保護(hù)的。

　　4、基于云計(jì)算的物流公共信息平臺(tái)安全體系

　　與傳統(tǒng)的IDC(Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心)服務(wù)不同，云服務(wù)的一個(gè)顯著特點(diǎn)就是虛擬化，其技術(shù)實(shí)現(xiàn)本質(zhì)上是計(jì)算、存儲(chǔ)、服務(wù)器、應(yīng)用軟件等IT軟硬件資源的虛擬化。物流公共信息云平臺(tái)安全性要求平臺(tái)系統(tǒng)提供從物理基礎(chǔ)設(shè)施到應(yīng)用程序與數(shù)據(jù)，再到人員及身份等的一系列的安全機(jī)制。物流公共信息云平臺(tái)的安全體系由一系列云安全服務(wù)構(gòu)成，是實(shí)現(xiàn)其安全需求的技術(shù)手段與管理機(jī)制。根據(jù)所屬層次的不同，物流公共信息云平臺(tái)的安全服務(wù)體系可分為云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)、云平臺(tái)安全基礎(chǔ)服務(wù)和云平臺(tái)安全應(yīng)用服務(wù)三類，如圖1所示。

圖1 物流公共信息云平臺(tái)安全體系

　　4.1 物流公共信息云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)

　　物流公共信息云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)是整個(gè)云平臺(tái)安全的基石，提供基于外部和內(nèi)部的安全性管理。一方面，云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)在抵御外部攻擊方面提供全方位的安全保障，例如，在基礎(chǔ)設(shè)施方面提供機(jī)房建筑安全、防火防盜安全、電力供應(yīng)安全；在基礎(chǔ)設(shè)備方面提供服務(wù)器安全、通訊線路安全、網(wǎng)絡(luò)設(shè)備安全；在平臺(tái)云存儲(chǔ)方面提供日志管理、數(shù)據(jù)備份、災(zāi)難恢復(fù)等；在平臺(tái)云傳輸方面提供網(wǎng)絡(luò)可達(dá)性、拒絕服務(wù)攻擊、數(shù)據(jù)傳輸機(jī)密性等；在平臺(tái)應(yīng)用系統(tǒng)方面提供系統(tǒng)用戶身份管理、虛擬機(jī)安全、補(bǔ)丁管理等；在平臺(tái)數(shù)據(jù)庫方面提供DBS安全、數(shù)據(jù)的隱私性與訪問控制、數(shù)據(jù)備份與清潔等。另一方面，云平臺(tái)安全基礎(chǔ)設(shè)施服務(wù)在內(nèi)部安全性方面，實(shí)施面向用戶承諾的信任管理，提供完善的服務(wù)契約協(xié)商與執(zhí)行機(jī)制，加強(qiáng)公共信息平臺(tái)運(yùn)營的內(nèi)部管理與控制，并引入可信的第三方來監(jiān)管。物流公共信息云平臺(tái)的信任安全從本質(zhì)上說是屬于社會(huì)安全問題范疇，因此信任機(jī)制的建立、運(yùn)行、評(píng)價(jià)和持續(xù)改進(jìn)是一個(gè)復(fù)雜的社會(huì)管理過程，在這個(gè)過程中，除了需要應(yīng)用云安全技術(shù)手段，還需要輔以社會(huì)公共管理手段，如完善法律法規(guī)體系，建立誠信的社會(huì)風(fēng)氣等。

　　4.2 物流公共信息云平臺(tái)安全基礎(chǔ)服務(wù)

　　物流公共信息云平臺(tái)安全基礎(chǔ)服務(wù)是為各類物流云應(yīng)用提供共性的信息安全服務(wù)，為滿足物流云用戶安全性需求提供必要的支持。典型的物流云平臺(tái)安全基礎(chǔ)服務(wù)包括：1)信息保護(hù)。物流公共信息云平臺(tái)具有高度的公眾性與開放性，云平臺(tái)集中了海量的信息資源，而且很多是企業(yè)的機(jī)密和敏感信息，物流信息云平臺(tái)需要建立起一套嚴(yán)格高效的信息保護(hù)機(jī)制，其應(yīng)用的安全保護(hù)技術(shù)主要包括數(shù)字簽名技術(shù)、加密技術(shù)、數(shù)字證書技術(shù)等。2)云審計(jì)服務(wù)。使用物流公共信息云平臺(tái)的用戶涉及數(shù)量眾多的企業(yè)、銀行、政府機(jī)關(guān)和社會(huì)團(tuán)體，作為平臺(tái)服務(wù)的使用者，它們往往缺乏威脅識(shí)別、安全防護(hù)與舉證能力，當(dāng)有不恰當(dāng)?shù)幕蚴欠欠ǖ男袨榘l(fā)生時(shí)，由第三方實(shí)施的審計(jì)就顯得尤為重要。云審計(jì)與跟蹤服務(wù)為保障用戶權(quán)益提供審計(jì)和鑒證功能。3)身份和訪問管理。身份和訪問安全主要是解決信息使用，即授權(quán)適當(dāng)?shù)娜藛T，在適當(dāng)?shù)臅r(shí)間以有效、合規(guī)的方式訪問適當(dāng)資源這一問題。安全的身份和訪問管理對(duì)任何環(huán)境都是不可或缺的，但在云計(jì)算環(huán)境中變得更加復(fù)雜與必要，它需要完成身份的供應(yīng)、注銷以及身份認(rèn)證過程，同時(shí)還需做好平臺(tái)系統(tǒng)的訪問控制。

　　4.3 物流公共信息云平臺(tái)安全應(yīng)用服務(wù)

　　物流公共信息云平臺(tái)的功能與企業(yè)的應(yīng)用是緊密聯(lián)系的，云平臺(tái)向用戶提供客制化的應(yīng)用系統(tǒng)服務(wù)。物流公共信息云平臺(tái)安全應(yīng)用服務(wù)旨在滿足用戶個(gè)性應(yīng)用系統(tǒng)的安全需求，如云網(wǎng)頁過濾與殺毒應(yīng)用、內(nèi)容審查服務(wù)、關(guān)鍵詞過濾服務(wù)、安全事件監(jiān)控與預(yù)警云服務(wù)、云垃圾郵件過濾及防治等。云平臺(tái)安全應(yīng)用服務(wù)在企業(yè)門戶安全、電子郵箱安全、短信平臺(tái)安全、即時(shí)通信安全和電子支付安全等方面提供靈活、高效的安全保障。

　　5、基于云計(jì)算的物流公共信息平臺(tái)安全管理

　　5.1 基于云計(jì)算的物流公共信息平臺(tái)安全責(zé)任劃分

　　物流公共信息云平臺(tái)是物流信息交換和匯集的中心，其參與的主體包括政府、第三方物流企業(yè)、制造企業(yè)、流通企業(yè)和金融機(jī)構(gòu)等，在運(yùn)營過程中，各方在保證信息安全方面都有責(zé)任，而恰當(dāng)劃分云平臺(tái)和用戶的安全責(zé)任是實(shí)施云平臺(tái)安全管理的前提。一般來說，物流公共信息云平臺(tái)應(yīng)保證從底層到上層，即“基礎(chǔ)設(shè)施層：資源虛擬化層一中間件與平臺(tái)層一應(yīng)用程序與軟件層”的安全性。而對(duì)于物流云用戶來說，用戶(企業(yè)、銀行、政府、團(tuán)體)應(yīng)負(fù)責(zé)在所獲得的虛擬化資源基礎(chǔ)上進(jìn)行計(jì)算和數(shù)據(jù)處理的安全性，負(fù)責(zé)自己的應(yīng)用程序或軟件系統(tǒng)在運(yùn)行過程中的安全性，負(fù)責(zé)自己賬號(hào)、密碼以及數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　5.2 基于云計(jì)算的物流公共信息平臺(tái)安全評(píng)估

　　在提出恰當(dāng)?shù)陌踩�控制措施前，�?yīng)針對(duì)物流信息云平臺(tái)系統(tǒng)進(jìn)行安全和風(fēng)險(xiǎn)評(píng)估。根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的定義，基于云計(jì)算的物流公共信息平臺(tái)安全評(píng)估是指根據(jù)信息安全的技術(shù)和管理標(biāo)準(zhǔn)，結(jié)合物流行業(yè)應(yīng)用需要，對(duì)云平臺(tái)系統(tǒng)在傳輸、處理和存儲(chǔ)信息過程中的信息機(jī)密性、完整性和可行性等與安全相關(guān)的屬性進(jìn)行評(píng)價(jià)的過程。對(duì)物流公共信息云平臺(tái)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的目的是確切掌握平臺(tái)系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險(xiǎn)有多大，從而在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出科學(xué)的決策，提出有針對(duì)性地抵御威脅的防護(hù)對(duì)策和整改措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障信息安全提供科學(xué)依據(jù)。

　　5.3 基于云計(jì)算的物流公共信息平臺(tái)安全控制

　　物流公共信息云平臺(tái)的安全控制本質(zhì)上是一項(xiàng)管理工作，不僅要依靠技術(shù)手段，而且需要依賴管理手段。在安全控制技術(shù)方面，可以采用的有可信訪問控制技術(shù)、虛擬安全技術(shù)、云資源訪問控制技術(shù)和數(shù)據(jù)隱私保護(hù)技術(shù)等�？尚旁L問控制技術(shù)主要是指利用密碼學(xué)方法實(shí)現(xiàn)平臺(tái)的訪問控制；虛擬安全技術(shù)包括虛擬機(jī)問信息流控制、虛擬機(jī)監(jiān)控與隔離、虛擬網(wǎng)絡(luò)接入控制等；云資源訪問控制技術(shù)主要解決云計(jì)算環(huán)境下平臺(tái)共享資源的訪問控制問題；數(shù)據(jù)隱私保護(hù)技術(shù)幫助用戶控制自己的敏感信息在物流云端的存儲(chǔ)和使用。在安全控制管理方面，一是建立企業(yè)內(nèi)控和風(fēng)險(xiǎn)管理機(jī)制，加強(qiáng)企業(yè)風(fēng)險(xiǎn)識(shí)別與控制管理；二是規(guī)范與完善基于物流公共信息云平臺(tái)商業(yè)活動(dòng)的法律法規(guī)；三是在物流公共信息云平臺(tái)的云服務(wù)合同中需明確平臺(tái)和用戶在合同履約和審計(jì)過程中的責(zé)任；四是在物流公共信息云平臺(tái)的整個(gè)生命周期中加強(qiáng)云平臺(tái)數(shù)據(jù)管理；五是在發(fā)生云數(shù)據(jù)遷移時(shí)，物流云平臺(tái)能夠提供相應(yīng)的遷移方法和流程。

　　物流的發(fā)展依賴物流信息化，物流信息化的核心在于構(gòu)建物流公共信息平臺(tái)，隨著物流產(chǎn)業(yè)的振興和云計(jì)算理論與技術(shù)應(yīng)用日趨成熟，基于云計(jì)算的物流公共信息平臺(tái)將具有廣闊的發(fā)展前景。但與此同時(shí)，物流云平臺(tái)也面臨著更加復(fù)雜的安全挑戰(zhàn)，建立并不斷完善物流公共信息云平臺(tái)安全體系，是保證物流有效服務(wù)經(jīng)濟(jì)發(fā)展的前提。物流公共信息云平臺(tái)的安全性不僅是技術(shù)問題，而且是管理問題，是社會(huì)問題，需要學(xué)術(shù)界、產(chǎn)業(yè)界以及全社會(huì)的共同努力與關(guān)注。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：云計(jì)算的物流公共信息平臺(tái)安全性

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839514709.html