1.引言
私有云是云計算使用模式的一種,主要為企業(yè)內(nèi)部提供云服務(wù),不對外界開放。目前私有云技術(shù)已經(jīng)得到了廣泛的應(yīng)用。在一個安全性要求較高的系統(tǒng)內(nèi)部,私有云的建設(shè)已經(jīng)得到了認可。私有云架構(gòu)在保證機構(gòu)內(nèi)部可以得到集中、共享、快速的各類服務(wù)的同時也保護了機構(gòu)內(nèi)部的數(shù)據(jù)安全性。因此,私有云架構(gòu)極大地推動了相關(guān)專業(yè)領(lǐng)域的信息化發(fā)展步伐。
信息化一直是經(jīng)濟發(fā)展的重要環(huán)節(jié),我國高度重視相關(guān)部門信息化發(fā)展,并取得了很多成果,對各個專業(yè)領(lǐng)域信息化發(fā)展都得到了良好的推動。
在信息安全設(shè)備管理領(lǐng)域,我國歷來高度重視信息安全服務(wù)體系與信息安全設(shè)備的全壽命管理相結(jié)合,初步建立了信息安全設(shè)備管理平臺,但是在信息化過程中也暴露出了許多問題。首先,信息化資源網(wǎng)絡(luò)的過度部署產(chǎn)生了很多的“信息孤島”,同時也造成了巨大的資源浪費,這些不利于資源的合理部署;其次,設(shè)備管理人員的管理方式和管理手段過于單一化,不利于設(shè)備管理科學(xué)化發(fā)展;再次,設(shè)備管理體系過于松散,極大地降低了設(shè)備管理效率。信息安全服務(wù)領(lǐng)域是一個特殊領(lǐng)域,如何實現(xiàn)信息安全設(shè)備的科學(xué)管理對于信息安全工作的應(yīng)用效能至關(guān)重要。云計算是國家戰(zhàn)略性新興產(chǎn)業(yè),對于信息安全設(shè)備領(lǐng)域發(fā)展有著很好的推動作用。建立信息安全設(shè)備管理私有云有利于解決現(xiàn)行信息安全設(shè)備管理過程中遇到的問題:
1)提供信息安全設(shè)備全壽命信息的高處理能力;
2)提供信息安全設(shè)備研發(fā)、維修、設(shè)計等過程的全面決策分析;
3)整合現(xiàn)有傳統(tǒng)資源設(shè)備提供一致化服務(wù),貫徹“統(tǒng)管”思想;
4)節(jié)約資源,科學(xué)環(huán)保。
2.信息安全設(shè)備管理私有云建設(shè)安全性分析
由于信息安全服務(wù)領(lǐng)域的特殊性,在云架構(gòu)上只能選擇私有云架構(gòu),云架構(gòu)是一項復(fù)雜的工程,建立私有云需要硬件、軟件、網(wǎng)絡(luò)環(huán)境等基礎(chǔ)設(shè)施和相關(guān)技術(shù),信息安全設(shè)備管理私有云有其自身的特點,在可靠性、保密性、系統(tǒng)災(zāi)難恢復(fù)、數(shù)據(jù)存儲安全、訪問控制等方面都有著嚴苛的要求。本節(jié)對該架構(gòu)的安全需求進行了分析,從而給出建立安全云所需的安全條件。私有云面臨的安全威脅如圖1所示。
圖1 私有云安全威脅
2.1 基礎(chǔ)設(shè)施層面
1)網(wǎng)絡(luò)層面安全
在公有云中,隨著安全需求的改變,相應(yīng)的拓撲結(jié)構(gòu)也要發(fā)生改變。但是在私有云中雖然架構(gòu)的實施會導(dǎo)致IT流程的改寫,但是架構(gòu)的拓撲結(jié)構(gòu)沒有大的變化,如圖2中顯示了私有云的拓撲結(jié)構(gòu)。因此在網(wǎng)絡(luò)層面的安全性上與傳統(tǒng)的外聯(lián)網(wǎng)相差不大,依然采取傳統(tǒng)的網(wǎng)絡(luò)安全對策。
圖2 私有云拓撲結(jié)構(gòu)
2)終端用戶安全
終端用戶的安全隱患主要存在于瀏覽器層面,在信息安全設(shè)備管理私有云的訪問中提供基于Web的遠程訪問,因此如果瀏覽器層面遭受攻擊,就會影響整個系統(tǒng)外部信息的安全性,因此在基礎(chǔ)設(shè)施層面要對瀏覽器安全引起高度重視。為了使用戶的瀏覽器有一個安全的運營環(huán)境,必須對瀏覽器定期安裝補丁并且升級。
2.2 虛擬化安全
在私有云中,雖然體系在防火墻內(nèi)部工作,但是虛擬機的不安全性依然存在。信息安全設(shè)備是在不斷生產(chǎn)和退役的,信息安全設(shè)備管理對象的數(shù)量在不斷增長,這也意味著虛擬機結(jié)點不斷增多,自動化的虛擬機配置是虛擬化技術(shù)的優(yōu)點,但是這其中的安全配置總是存在滯后,滯后的安全配置會加大新結(jié)點被攻擊的可能性,攻擊者可以把單點攻擊迅速輻射到整個虛擬化網(wǎng)絡(luò),因此,虛擬機結(jié)點的增加要充分考慮其安全配置的同步性,新結(jié)點的配置如圖3所示。
圖3 新虛擬結(jié)點的配置
2.3 系統(tǒng)的可靠性
信息安全設(shè)備私有云系統(tǒng)需要服務(wù)提供的連續(xù)性,云計算存在著很高的宕機率,整個服務(wù)器的損害對于整個機構(gòu)而言是致命的。數(shù)據(jù)中心災(zāi)難的快速恢復(fù)對于整個信息安全設(shè)備私有云系統(tǒng)來說極其重要,可以采取異地備份的方式同步管理備份數(shù)據(jù)中心,這樣可以把系統(tǒng)的可用時間提高,幾乎可以保證系統(tǒng)不間斷地高效運行。
2.4 數(shù)據(jù)的安全與存儲
作為云計算,數(shù)據(jù)的安全與存儲就不能不提,尤其是在信息安全服務(wù)這一特殊領(lǐng)域。數(shù)據(jù)的安全與存儲主要包括數(shù)據(jù)的傳輸安全和靜態(tài)數(shù)據(jù)的存儲安全。
1)數(shù)據(jù)的傳輸安全
在網(wǎng)絡(luò)的傳輸過程中數(shù)據(jù)不能以明文形式傳輸,必須要選擇合適的加密算法,這在信息安全領(lǐng)域來看是必需的。但是在信息的傳輸中并不能只在這一方面給予信息傳輸安全保證,在實際的運作中必須在傳輸過程中使用安全傳輸協(xié)議,確保協(xié)議提供安全性和完整性,這里可以使用基于SSL的FTPS,超文本傳輸協(xié)議安全即HTTPS,以及安全復(fù)制程序SCP。
2)靜態(tài)數(shù)據(jù)的存儲安全
私有云架構(gòu)的目的是為信息安全領(lǐng)域提供全方位的服務(wù),因而存儲服務(wù)也是一種減輕終端負載壓力的有效辦法。在存儲信息安全設(shè)備信息數(shù)據(jù)是絕對不能出現(xiàn)明文的傳播,因此要對數(shù)據(jù)進行加密和完整性保護,但是信息共享是一項有益的服務(wù),加密會導(dǎo)致數(shù)據(jù)無法進行索引和查詢,這會極大地降低信息安全設(shè)備私有云的應(yīng)用價值。在這方面IBM和Stanford大學(xué)提出了同態(tài)加密方案,突破了完全同態(tài)的理論障礙,但該方案需要大量的工作量,但是在學(xué)界推進下,該方案已經(jīng)有了很好的發(fā)展,對于云計算的安全存儲起到了很好的推動作用。
2.5 身份及訪問管理
在云計算中服務(wù)的外包意味著信任邊界的外擴,身份和訪問管理(IAM)包括認證和授權(quán)兩部分。認證和授權(quán)是信息安全領(lǐng)域的重點,已經(jīng)有了很成熟的研究。針對信息安全設(shè)備管理領(lǐng)域安全級別的高要求,可以通過PKI系統(tǒng)的證書服務(wù)來達到認證的目的。在權(quán)限管理方面,對于不同用戶的權(quán)限管理只分配給用戶與其工作職能相符的所需權(quán)限(最小特權(quán))。用戶的身份管理是整個系統(tǒng)安全的重中之重,因此要對用戶實行包括認證、授權(quán)、自助服務(wù)、口令管理、合規(guī)、移除等環(huán)節(jié)在內(nèi)的生命周期管理。
3.信息安全設(shè)備管理私有云體系結(jié)構(gòu)
3.1 硬件的選取
硬件在整個私有云架構(gòu)處于最底層,云計算的核心設(shè)備大型服務(wù)器通常需要八顆以上的處理單元,這種高端服務(wù)器不僅性能高,而且在安全性和系統(tǒng)帶寬上也有很好的優(yōu)勢,在高端服務(wù)器上我國技術(shù)相對比較落后,該領(lǐng)域受國外企業(yè)壟斷。由于信息安全領(lǐng)域的特殊地位,在非測試環(huán)境下可以選擇國外企業(yè)級服務(wù)器,在系統(tǒng)的實現(xiàn)上必須選擇我國自主研發(fā)的高性能服務(wù)器,比如浪潮公司的AS8000等。
3.2 開源軟件平臺的選取
1)開源云軟件種類
現(xiàn)有的開源云軟件按服務(wù)提供種類可分為IaaS模型、PaaS模型、SaaS模型,每一個模型都包含有不同組織提供的開源軟件。IaaS提供基礎(chǔ)設(shè)施服務(wù)的解決方案,PaaS可以提供良好的開發(fā)平臺,SaaS主要提供給用戶軟件的運營和管理環(huán)境。從服務(wù)提供模式的角度來講,針對信息安全設(shè)備管理現(xiàn)狀,提供PaaS模型下的服務(wù)模式較為合理,這樣既保證了體系內(nèi)部管理軟件部署的靈活性又減少了模型面對用戶應(yīng)用的復(fù)雜性,為信息安全管理提供了良好的平臺支撐。
2)PaaS開源軟件的體系結(jié)構(gòu)
PaaS開源體系包括云控制器和工作節(jié)點兩部分,具體體系結(jié)構(gòu)如圖4所示。云端接口是用戶訪問云計算平臺的接口,平臺組件管理模塊對整個平臺的組件進行管理。監(jiān)控模塊負責監(jiān)控各個工作節(jié)點上資源的利用和使用情況,資源調(diào)度模塊在實現(xiàn)負載均衡方面提供了參考。用戶管理模塊對用戶身份進行認證和管理。應(yīng)用執(zhí)行引擎負責啟動各個節(jié)點上的任務(wù)。在各個節(jié)點上,需要為保護應(yīng)用進程實施了應(yīng)用間的隔離,比如使用JVM虛擬機進行隔離。
圖4 PaaS的體系結(jié)構(gòu)
3)Hadoop開源軟件
信息安全設(shè)備管理私有云建設(shè)有著并行計算、海量信息處理和海量數(shù)據(jù)存儲管理方面的需求,從這幾個方面考慮,無論是在測試上還是應(yīng)用上選擇Hadoop都是不錯的選擇,尤其是Hadoop對于C++語言的支持減少了編程的學(xué)習時間,也加快了部署速度。
Hadoop的核心是HDFS、MapReduce和HBase,可以把三者看成是Google云計算的開源實現(xiàn),同時在企業(yè)級的部署上Hadoop也展現(xiàn)出了優(yōu)勢,從信息安全服務(wù)領(lǐng)域的安全性出發(fā)Hadoop也展現(xiàn)出了極強的優(yōu)勢,其社區(qū)建設(shè)有著良好的科研開發(fā)資源,具有很好的發(fā)展前景。
3.3 信息安全設(shè)備管理私有云體系結(jié)構(gòu)
針對信息安全服務(wù)的特點,本架構(gòu)采取了基于Hadoop的PaaS服務(wù)模式,該架構(gòu)為信息安全設(shè)備管理提供了合理的架構(gòu)。同時云架構(gòu)的建立有著很大的復(fù)雜性,本文通過模塊化的方式建立了信息安全設(shè)備管理私有云架構(gòu),該架構(gòu)如圖5所示。
圖5 信息安全設(shè)備管理私有云體系結(jié)構(gòu)
系統(tǒng)整合現(xiàn)有物理資源并通過虛擬化技術(shù)形成資源池,資源池可以為Hadoop軟件提供虛擬化服務(wù)支撐,Hadoop通過各個結(jié)點間的運行和調(diào)度形成一個完整的私有云架構(gòu),在Hadoop架構(gòu)的內(nèi)部通過HDFS系統(tǒng)、HBase數(shù)據(jù)庫、MapReduce編程模型等為用戶提供全方位的開發(fā)平臺服務(wù)大規(guī)模數(shù)據(jù)處理。在系統(tǒng)的形成過程中,如第1節(jié)分析所示,必須在架構(gòu)的每一個細節(jié)充分考慮私有云的安全性,并對私有云進行合理的安全管理。
4.信息安全設(shè)備私有云應(yīng)用前景分析
信息安全設(shè)備管理私有云是在我國大力開展信息化建設(shè)的背景下提出的,這種私有云架構(gòu)對于提高信息化水平是一次很好的嘗試,信息安全設(shè)備管理私有云的建立必將有著良好的應(yīng)用前景。
4.1 提高信息安全設(shè)備全壽命管理的決策能力
云計算可以極大地提高信息安全設(shè)備全壽命管理中的決策能力,并且可以很好地整合計算資源。傳統(tǒng)的信息安全服務(wù)體系就像“信息孤島”,各單位不斷地研究各自的設(shè)備管理方式,建立了很多低效的信息安全服務(wù)系統(tǒng),這不利于信息安全工作的整體發(fā)展。云計算通過計算能力的整合不但提供了強大的計算能力,也提供了分析決策能力。
4.2 貫徹統(tǒng)管思想,降低管理難度
云計算通過大數(shù)據(jù)中心的建立,云系統(tǒng)的使用者只需登陸該系統(tǒng)就可以有效地索取各項服務(wù),并且可以得到各種的有益數(shù)據(jù)。這種模式可以很好地使資源集中化,這也體現(xiàn)了“統(tǒng)管”的思想,也在另一層面貫徹了信息安全法規(guī)的相關(guān)要求。信息安全設(shè)備體系的集中化同時也帶來了信息安全設(shè)備管理體系的集中化,信息安全設(shè)備管理體系從原有的分散式、孤立式管理模式轉(zhuǎn)變?yōu)楝F(xiàn)有的集中式統(tǒng)一管理,這樣很好地提高了信息安全設(shè)備管理效率,降低了管理成本。
4.3 增強信息安全設(shè)備管理軟件開發(fā)能力
信息安全設(shè)備管理私有云架構(gòu)采用PaaS的服務(wù)模式,為設(shè)備管理平臺建立了良好的應(yīng)用程序開發(fā)環(huán)境。隨著信息安全設(shè)備管理的逐漸深入,傳統(tǒng)的服務(wù)模式會逐漸發(fā)生變化,信息安全設(shè)備管理的相應(yīng)軟件也會不斷更新,傳統(tǒng)的管理模式采用為終端手動安裝軟件的方式,這種方式給信息安全設(shè)備管理軟件資源帶來了很大的麻煩。私有云平臺在提供軟件開發(fā)環(huán)境的同時也可以提供軟件服務(wù),這樣很好地提高了管理軟件更新的實時性,為信息安全服務(wù)信息化奠定了基礎(chǔ)。
5.結(jié)語
本文對于云計算在信息安全設(shè)備管理領(lǐng)域的應(yīng)用前景進行了分析,并結(jié)合私有云架構(gòu)的安全性需求進行了安全性分析。為了使私有云能更好地應(yīng)用于內(nèi)部領(lǐng)域,本文分析了現(xiàn)有的云計算開源軟件,在眾多軟件中選取了基于PaaS架構(gòu)的Hadoop軟件,并給出了信息安全設(shè)備管理私有云體系結(jié)構(gòu)。最后,本文對于信息安全設(shè)備管理私有云的應(yīng)用前景進行了展望。在本文的研究過程中,只是對于開發(fā)前景和環(huán)境進行了論述,在下一的工作中將進行具體的云平臺搭建和安全性測試。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息安全設(shè)備管理私有云建設(shè)研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839715656.html