1.引言

　　云計算起源于互聯(lián)網(wǎng)，2007年由Google首先提出，此后得到迅速發(fā)展。它將計算任務(wù)分布在大量計算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計算、存儲和信息服務(wù)等。在云計算中，IT業(yè)務(wù)通常運(yùn)行在遠(yuǎn)程的分布式系統(tǒng)上，通過開放的技術(shù)和標(biāo)準(zhǔn)把硬件和軟件虛擬為動態(tài)可擴(kuò)展、可配制的資源，并以對外服務(wù)的形式提供給用戶。用戶通過互聯(lián)網(wǎng)訪問這些服務(wù)，獲取所需的資源。云計算具有如下主要特點(diǎn)：

　　◆超大規(guī)模：后臺由大規(guī)模的計算機(jī)集群系統(tǒng)組成，能賦予用戶前所未有的計算能力；

　　◆虛擬化：后臺計算機(jī)集群采用虛擬技術(shù)，用戶隨時隨地使用任何聯(lián)網(wǎng)終端都可以享受到服務(wù)，而無需知道其來自哪一個實體；

　　◆高可靠性：采用數(shù)據(jù)冗余，計算節(jié)點(diǎn)同構(gòu)等手段保證服務(wù)的高可靠性；

　　◆高可擴(kuò)展性：計算能力與服務(wù)可以隨用戶的需要而隨意增減；

　　◆按需服務(wù)： 云是一個龐大的資源池， 可以像水、電一樣按需購買；

　　◆價格低廉：企業(yè)、客戶獲得信息服務(wù)的成本大大減少。

　　隨著電信市場競爭的日益激烈，客戶資料、生產(chǎn)分析數(shù)據(jù)、公司內(nèi)部文件等各類信息已成為全業(yè)務(wù)運(yùn)營商的核心資產(chǎn)。近年來各運(yùn)營商敏感數(shù)據(jù)泄露事件頻頻發(fā)生，不僅對運(yùn)營商自身的核心機(jī)密、同行業(yè)競爭力和市場聲譽(yù)造成了嚴(yán)重影響，同時也對運(yùn)營商客戶的隱私和個人信息安全構(gòu)成不同程度的危害。通過分析各類信息安全事件的原因，發(fā)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)已成為信息安全事件和泄密事件的主要途徑，國家對網(wǎng)絡(luò)與信息安全工作高度重視，曾多次發(fā)文提出嚴(yán)格要求，相關(guān)部委也加大了檢查頻度與處罰力度。因此運(yùn)營商急需加強(qiáng)對IT信息安全的建設(shè)，以防護(hù)敏感數(shù)據(jù)的泄露。

　　為了解決目前數(shù)據(jù)安全管控存在的問題，本文結(jié)合某電信運(yùn)營商的實際案例，提出基于云計算技術(shù)的數(shù)據(jù)安全管控實現(xiàn)方案。

　　2.現(xiàn)狀分析

　　由于前期安全建設(shè)相對滯后于系統(tǒng)建設(shè)，某電信運(yùn)營商在數(shù)據(jù)安全管控方面尚未形成較完備的IT安全保障體系，無法有效防范企業(yè)重要數(shù)據(jù)信息泄露，急需進(jìn)行IT信息安全方面的建設(shè)。對照集團(tuán)安全標(biāo)準(zhǔn)，某電信運(yùn)營商在數(shù)據(jù)安全管控方面存在以下問題：

   （1）缺乏統(tǒng)一有效的專有加密手段：由于各類應(yīng)用系統(tǒng)的存儲和傳輸都是明文方式，因此在傳輸過程中很容易發(fā)生信息泄露或被截獲，即使部分應(yīng)用采用加密技術(shù)，如后臺數(shù)據(jù)運(yùn)用MD5（消息摘要算法第五版），但是無法形成統(tǒng)一的標(biāo)準(zhǔn)，為信息的開放和融合帶來障礙；

   （2）無法控制敏感數(shù)據(jù)不泄露：企業(yè)經(jīng)營分析的敏感數(shù)據(jù)可能從客服系統(tǒng)、Web發(fā)布、OLAP（聯(lián)機(jī)分析處理）、即席查詢、開發(fā)測試、運(yùn)維等多個環(huán)節(jié)泄露，OA系統(tǒng)的保密公文也可能泄露，目前缺乏控制手段；

　　手段的情況下，很難通過日志審計發(fā)現(xiàn)異常或違規(guī)行為，發(fā)生數(shù)據(jù)泄露后，無法對泄露環(huán)節(jié)和責(zé)任人進(jìn)行定位。

　　3.平臺業(yè)務(wù)功能

　　3.1 設(shè)計目標(biāo)

　　基于云計算技術(shù)建設(shè)數(shù)據(jù)安全管控平臺，通過閉環(huán)審批、數(shù)字加密和PDF水印等技術(shù)，有效防范核心數(shù)據(jù)的泄露，保證核心數(shù)據(jù)只能看、不能下，能互傳，需要下、領(lǐng)導(dǎo)批、加水印。

　　3.2 應(yīng)用虛擬化

　　基于應(yīng)用云技術(shù)將用戶需要使用的應(yīng)用軟件或工具（包括B/S和C/S架構(gòu)的應(yīng)用）集中部署在應(yīng)用服務(wù)器上，通過網(wǎng)關(guān)節(jié)點(diǎn)向不同用戶或用戶群發(fā)布其所需的應(yīng)用，用戶在客戶端通過數(shù)據(jù)安全管控平臺提供的遠(yuǎn)程IE瀏覽器訪問其所需要的應(yīng)用，且不影響用戶的正常使用。此外，系統(tǒng)還支持節(jié)點(diǎn)服務(wù)器按業(yè)務(wù)負(fù)載實現(xiàn)應(yīng)用的動態(tài)伸縮、按需分配，從而降低能耗，達(dá)到節(jié)能減排的效果。用戶登錄訪問過程如圖1所示：
　

圖1 用戶訪問登錄過程

　　3.3 用戶集中管理

　　系統(tǒng)基于“主從賬號”機(jī)制實現(xiàn)用戶的集中管理和單點(diǎn)登錄功能。主賬號是用戶登錄數(shù)據(jù)安全管控平臺的賬號。系統(tǒng)的各項安全策略設(shè)置、用戶的操作審計記錄等均基于該賬號實現(xiàn)，該賬戶需進(jìn)行身份的實名認(rèn)證；從賬號是用戶登錄各業(yè)務(wù)系統(tǒng)的原始賬號，每個從賬號需根據(jù)各用戶的實名身份與主賬號進(jìn)行自動關(guān)聯(lián)。

　　系統(tǒng)提供用戶主賬號的生命周期管理功能，并支持對用戶的屬性（臨時用戶、周期性用戶、永久用戶）進(jìn)行靈活設(shè)置。

　　3.4 權(quán)限管理

   （1）角色管理

　　系統(tǒng)基于對角色的授權(quán)管理實現(xiàn)用戶權(quán)限管理，并提供角色分配規(guī)則和操作檢查規(guī)則。管理員可根據(jù)需要定義各種角色，并設(shè)置適當(dāng)?shù)脑L問權(quán)限和命令執(zhí)行權(quán)限，用戶再根據(jù)其職責(zé)和崗位被指派為不同的角色。整個訪問控制過程被分成兩個部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色與用戶關(guān)聯(lián)，從而實現(xiàn)用戶與訪問權(quán)限的邏輯分離。

   （2）授權(quán)管理

　　授權(quán)管理分為四個級別：應(yīng)用級授權(quán)、實體級授權(quán)、實體內(nèi)授權(quán)和敏感數(shù)據(jù)授權(quán)。管理員通過配置管理程序，對用戶的權(quán)限進(jìn)行設(shè)置。不同權(quán)限的用戶登錄系統(tǒng)后，被授權(quán)使用的應(yīng)用程序、訪問的系統(tǒng)、允許運(yùn)行的操作命令以及SQL語句都各不相同。

　　1）應(yīng)用級授權(quán)管理：提供對用戶可使用的應(yīng)用資源，如UltraEdit、SecureCRT、PL/SQL等各種應(yīng)用程序進(jìn)行授權(quán)管理，可實現(xiàn)對某組用戶可使用的應(yīng)用程序進(jìn)行限制。嚴(yán)格控制后臺訪問使用的工具，杜絕未經(jīng)許可的、不安全的應(yīng)用程序。

　　2）實體級授權(quán)管理：提供對用戶可訪問的系統(tǒng)資源，如主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行授權(quán)管理，將某一主賬號可使用的各種從賬號可訪問的資源（包含主機(jī)IP地址、從賬號名、從賬號密碼）寫入到相應(yīng)的策略文件中，進(jìn)而實現(xiàn)對用戶可訪問的系統(tǒng)資源進(jìn)行控制。

　　3）實體內(nèi)授權(quán)管理：提供用戶對資源可采用的主機(jī)命令（Unix/Linux命令）以及數(shù)據(jù)庫SQL語句進(jìn)行管理。

　　4）數(shù)據(jù)下載授權(quán)管理：在不影響用戶正常訪問系統(tǒng)的情況下，通過敏感數(shù)據(jù)管理模塊，系統(tǒng)可實現(xiàn)數(shù)據(jù)上傳、下載的授權(quán)管理。用戶上傳和下載的文件全部進(jìn)行存檔、備份；下載的文件需通過PDF水印技術(shù)實現(xiàn)泄露數(shù)據(jù)的可追溯、可定位、可審計。

　　3.5 私有文件夾

　　系統(tǒng)針對每個用戶的主賬號提供相應(yīng)的私有文件夾功能。私有文件夾具備以下特點(diǎn)：

   （1）每個主賬號只能訪問自己的私有文件夾，禁止互相訪問；

   （2）主賬號在數(shù)據(jù)安全管控平臺的操作數(shù)據(jù)將保存在私有文件夾中；

   （3）當(dāng)主賬號需要對某文件進(jìn)行下載時，該文件將被同步至專有的文檔服務(wù)器中，用戶需要在文檔服務(wù)器中進(jìn)行下載；

   （4）數(shù)據(jù)安全管控平臺需針對所有文件的上傳、下載進(jìn)行審計；

   （5）數(shù)據(jù)安全管控平臺需提供針對所有文件上傳、下載審計的模糊搜索和報表功能；

   （6）下載時需采用加密機(jī)制保證數(shù)據(jù)的安全。

　　3.6 文件傳遞和流轉(zhuǎn)

　　數(shù)據(jù)安全管控平臺支持在私有文件夾中進(jìn)行文件的相互傳遞和流轉(zhuǎn)功能。在私有文件夾中，不需要審批即可進(jìn)行文件的相互傳遞和流轉(zhuǎn)，但被傳遞和流轉(zhuǎn)的文件內(nèi)容將被審計記錄。當(dāng)用戶需要將自己私有文件夾中的某個文件傳遞或流轉(zhuǎn)給其它用戶時，只需點(diǎn)擊文件傳遞或流轉(zhuǎn)申請即可進(jìn)行文件的傳遞或流轉(zhuǎn)。

　　當(dāng)系統(tǒng)接收到文件傳遞或流轉(zhuǎn)申請的請求后，管理服務(wù)器將需傳遞或流轉(zhuǎn)的文件以及相關(guān)的審計信息直接傳遞至文檔服務(wù)器的其他用戶的權(quán)限目錄下，同時將該文件以及該文件的審計信息備份到文檔操作備份服務(wù)器上。

　　3.7 PDF水印

　　為保證用戶下載的文件安全，管理員可對某些賬號或某些文件設(shè)置導(dǎo)出文件添加PDF水印功能，相關(guān)處理流程如下：

   （1）管理員可定義數(shù)據(jù)安全策略，包括納入控制的主賬號列表、只允許通過PDF形式導(dǎo)出文件的列表。PDF 的設(shè)置權(quán)限需包括是否允許導(dǎo)出（ 包括打�。�、是否需添加水印（水印內(nèi)容為下載用戶的姓名、工號等實名信息）、是否允許被復(fù)制等；

   （2）用戶選擇需導(dǎo)出的文件，申請下載，系統(tǒng)將提示用戶將文檔導(dǎo)出為PDF格式；

   （3）用戶啟動PDF導(dǎo)出工具，選擇文檔進(jìn)行導(dǎo)出，導(dǎo)出后的文件將顯示為PDF格式，且已進(jìn)行安全設(shè)置；

   （4）用戶下載申請通過后，成功下載帶水印的PDF文檔。

　　3.8 虛擬工作區(qū)

　　在私有文件夾中，系統(tǒng)支持用戶使用遠(yuǎn)程發(fā)布的Word、Excel、PPT、計算器等常用辦公軟件對文件進(jìn)行編輯、修改等操作。所有數(shù)據(jù)均保存在數(shù)據(jù)安全管控平臺的私有文件夾中，不允許保存在本機(jī)硬盤。如需保存在本機(jī)硬盤，必須進(jìn)行下載審批并添加相應(yīng)的水印。

　　3.9 公共文件共享存儲區(qū)

　　系統(tǒng)支持建立公共文件共享存儲區(qū)，所有用戶從OA系統(tǒng)下載的文件均保存在后臺的公共文件共享存儲區(qū)內(nèi)（且相同文件只能保存一份），并在用戶私有文件夾中保留該文件的映射。如用戶需要對其下載的文件進(jìn)行編輯時，系統(tǒng)將該文復(fù)制一份并保存在用戶的私有文件夾中；如用戶僅僅是對下載的文件進(jìn)行查看操作，系統(tǒng)將該文件復(fù)制一份并暫存在用戶的私有文件夾中，當(dāng)用戶查看結(jié)束后，系統(tǒng)應(yīng)從用戶的私有文件夾中刪除該文件，并繼續(xù)在該用戶的私有文件夾中保留該文件的映射；如用戶需要刪除其存儲在公共文件共享存儲區(qū)內(nèi)的文件時，系統(tǒng)僅僅刪除該用戶私有文件內(nèi)的文件映射。同時，系統(tǒng)還具備定期清理公共文件共享存儲區(qū)歷史文件的功能。歷史文件的判定準(zhǔn)則為：在公共文件共享存儲區(qū)內(nèi)保存了一定時間（該時間要求可設(shè)定），同時在所有用戶的私有文件中不存在該文件的映射，即可判定為歷史文件。

　　3.10 審批與審計

　　數(shù)據(jù)安全管控平臺可對文件的上傳、下載等操作行為進(jìn)行審批和審計。如某用戶因業(yè)務(wù)需要需下載某些敏感數(shù)據(jù)，系統(tǒng)將根據(jù)相關(guān)的安全策略對數(shù)據(jù)的下載進(jìn)行審批、審計，同時通過短信、郵件等方式通知相關(guān)負(fù)責(zé)人某員工正在下載某核心資料，最終形成閉環(huán)審批。同時也可將某用戶設(shè)置為無需審批權(quán)限，即該用戶可直接下載、上傳敏感資料，無需領(lǐng)導(dǎo)的審批，但其下載、上傳的文件和操作過程必須存檔備份，以便事后查詢。電子審批流程如圖2所示。數(shù)據(jù)安全管控平臺的文件審計信息是事后分析的依據(jù)。審計數(shù)據(jù)對數(shù)據(jù)安全管控平臺的用戶登錄、文件操作過程等信息進(jìn)行記錄。此外，系統(tǒng)還提供相應(yīng)的報表統(tǒng)計分析功能。

　　3.11 與業(yè)務(wù)系統(tǒng)的接口

　　OA、經(jīng)營分析等業(yè)務(wù)系統(tǒng)將相關(guān)賬號信息（包括賬號ID、賬號密碼、關(guān)聯(lián)角色列表等）通過數(shù)據(jù)同步接口傳遞給數(shù)據(jù)安全管控平臺。同時，數(shù)據(jù)安全管控平臺通過身份實名信息將主賬號與各業(yè)務(wù)系統(tǒng)原有賬號信息進(jìn)行關(guān)聯(lián)，用戶通過主賬號登錄數(shù)據(jù)安全管控平臺的登錄門戶，然后由數(shù)據(jù)安全管控平臺遠(yuǎn)程單點(diǎn)登錄OA、經(jīng)營分析等業(yè)務(wù)系統(tǒng)。

　　4.平臺實施方案

　　數(shù)據(jù)安全管控平臺對OA、經(jīng)營分析等業(yè)務(wù)系統(tǒng)的改造較大，并且會改變用戶的使用習(xí)慣，因此建議分步實施，保證系統(tǒng)的平滑過渡。

   （1）需求梳理：對OA、經(jīng)營分析等業(yè)務(wù)系統(tǒng)的使用現(xiàn)狀進(jìn)行調(diào)研，需要加強(qiáng)與業(yè)務(wù)系統(tǒng)廠商的協(xié)調(diào)溝通，雙方協(xié)商接口方案。

   （2）平臺集成：將業(yè)務(wù)系統(tǒng)的組織結(jié)構(gòu)、賬號屬性、角色名稱在數(shù)據(jù)安全管控平臺上進(jìn)行統(tǒng)一，并收集同步業(yè)務(wù)系統(tǒng)的所有賬號。

   （3）試點(diǎn)測試：選擇OA系統(tǒng)的某一本地網(wǎng)進(jìn)行小范圍的試點(diǎn)，將這些用戶先集成到數(shù)據(jù)安全管控平臺中進(jìn)行管理，用戶只能登錄數(shù)據(jù)安全管控平臺再訪問OA系統(tǒng)。

   （4）應(yīng)用封堵：把數(shù)據(jù)安全管控平臺的使用范圍推廣到全公司的OA、經(jīng)營分析等業(yè)務(wù)系統(tǒng)，把業(yè)務(wù)系統(tǒng)的直接訪問入口封死，所有用戶只能通過數(shù)據(jù)安全管控平臺訪問。這一階段需要解決用戶并發(fā)量大對平臺的影響，并需繼續(xù)引導(dǎo)用戶習(xí)慣新的訪問方式。

　　5.結(jié)束語

　　基于云計算技術(shù)的數(shù)據(jù)安全管控平臺上線后，大大加強(qiáng)了某電信運(yùn)營商IT安全的防護(hù)能力，并形成較為完備的IT安全保障體系，有效防范企業(yè)重要數(shù)據(jù)信息泄露，保證了企業(yè)的正常運(yùn)行和安全生產(chǎn)。此外，X86服務(wù)器虛擬化技術(shù)的運(yùn)用也在一定程度上達(dá)到節(jié)能減排的效果。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：基于云計算技術(shù)的數(shù)據(jù)安全管控平臺方案研究

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839714667.html