云計(jì)算用戶(hù)的ERP系統(tǒng)數(shù)據(jù)傳輸、處理、存儲(chǔ)等均與云計(jì)算系統(tǒng)有關(guān),在多租戶(hù)、瘦終端接入等典型應(yīng)用環(huán)境下,用戶(hù)數(shù)據(jù)面臨的安全威脅更為突出。針對(duì)云計(jì)算環(huán)境下的信息安全防護(hù)要求,需要通過(guò)采用數(shù)據(jù)隔離、訪問(wèn)控制、加密傳輸、安全存儲(chǔ)、剩余信息保護(hù)等技術(shù)手段,為云計(jì)算用戶(hù)提供端對(duì)端的信息安全與隱私保護(hù),從而保障用戶(hù)信息的可用性、保密性和完整性。
信息安全的主要目標(biāo)之一是保護(hù)用戶(hù)數(shù)據(jù)和信息安全。當(dāng)向云計(jì)算過(guò)渡時(shí),傳統(tǒng)的數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)。彈性、多租戶(hù)、新的物理和邏輯架構(gòu),以及抽象的控制需要新的數(shù)據(jù)安全策略。
數(shù)據(jù)與信息安全的具體防護(hù)可分為以下幾個(gè)方面。
1.數(shù)據(jù)安全隔離
為實(shí)現(xiàn)不同用戶(hù)間數(shù)據(jù)信息的隔離,可根據(jù)應(yīng)用具體需求,采用物理隔離、虛擬化和Multi-tenancy等方案實(shí)現(xiàn)不同租戶(hù)之間數(shù)據(jù)和配置信息的安全隔離,以保護(hù)每個(gè)租戶(hù)數(shù)據(jù)的安全與隱私。
2.數(shù)據(jù)訪問(wèn)控制
在數(shù)據(jù)的訪問(wèn)控制方面,可通過(guò)采用基于身份認(rèn)證的權(quán)限控制方式,進(jìn)行實(shí)時(shí)的身份監(jiān)控、權(quán)限認(rèn)證和證書(shū)檢查,防止用戶(hù)間的非法越權(quán)訪問(wèn)。如可采用默認(rèn)“deny all”的訪問(wèn)控制策略,僅在有數(shù)據(jù)訪問(wèn)需求時(shí)才顯性打開(kāi)對(duì)應(yīng)的端口或開(kāi)啟相關(guān)訪問(wèn)策略。在虛擬應(yīng)用環(huán)境下,可設(shè)置虛擬環(huán)境下的邏輯邊界安全訪問(wèn)控制策略,如通過(guò)加載虛擬防火墻等方式實(shí)現(xiàn)虛擬機(jī)間、虛擬機(jī)組內(nèi)部精細(xì)化的數(shù)據(jù)訪問(wèn)控制策略。
3.數(shù)據(jù)加密存儲(chǔ)
對(duì)數(shù)據(jù)進(jìn)行加密是實(shí)現(xiàn)數(shù)據(jù)保護(hù)的一個(gè)重要方法,即使該數(shù)據(jù)被人非法竊取,對(duì)他們來(lái)說(shuō)也只是一堆亂碼,而無(wú)法知道具體的信息內(nèi)容。在加密算法選擇方面,應(yīng)選擇加密性能較高的對(duì)稱(chēng)加密算法,如AES、3DES等國(guó)際通用算法,或我國(guó)國(guó)有商密算法SCB2等。在加密密鑰管理方面,應(yīng)采用集中化的用戶(hù)密鑰管理與分發(fā)機(jī)制,實(shí)現(xiàn)對(duì)用戶(hù)信息存儲(chǔ)的高效安全管理與維護(hù)。對(duì)云存儲(chǔ)類(lèi)服務(wù),云計(jì)算系統(tǒng)應(yīng)支持提供加密服務(wù),對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ),防止數(shù)據(jù)被他人非法窺探;對(duì)于虛擬機(jī)等服務(wù),則建議用戶(hù)對(duì)重要的用戶(hù)數(shù)據(jù)在上傳、存儲(chǔ)前自行進(jìn)行加密。
4.數(shù)據(jù)加密傳輸
在云計(jì)算應(yīng)用環(huán)境下,數(shù)據(jù)的網(wǎng)絡(luò)傳輸不可避免,因此保障數(shù)據(jù)傳輸?shù)陌踩砸埠苤匾?shù)據(jù)傳輸加密可以選擇在鏈路層、網(wǎng)絡(luò)層、傳輸層等層面實(shí)現(xiàn),采用網(wǎng)絡(luò)傳輸加密技術(shù)保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整性、可用性。對(duì)于管理信息加密傳輸,可采用SSH、SSL等方式為云計(jì)算系統(tǒng)內(nèi)部的維護(hù)管理提供數(shù)據(jù)加密通道,保障維護(hù)管理信息安全。對(duì)于用戶(hù)數(shù)據(jù)加密傳輸,可采用IPSec VPN、SSL等VPN技術(shù)提高用戶(hù)ERP系統(tǒng)數(shù)據(jù)的網(wǎng)絡(luò)傳輸安全性。
5.數(shù)據(jù)備份與恢復(fù)
不論數(shù)據(jù)存放在何處,用戶(hù)都應(yīng)該慎重考慮數(shù)據(jù)丟失風(fēng)險(xiǎn),為應(yīng)對(duì)突發(fā)的云計(jì)算平臺(tái)的系統(tǒng)性故障或?yàn)?zāi)難事件,對(duì)數(shù)據(jù)進(jìn)行備份及進(jìn)行快速恢復(fù)十分重要。如在虛擬化環(huán)境下,應(yīng)能支持基于磁盤(pán)的備份與恢復(fù),實(shí)現(xiàn)快速的虛擬機(jī)恢復(fù),應(yīng)支持文件級(jí)完整與增量備份,保存增量更改以提高備份效率。
6.剩余信息保護(hù)
由于用戶(hù)數(shù)據(jù)在云計(jì)算平臺(tái)中是共享存儲(chǔ)的,今天分配給某一用戶(hù)的存儲(chǔ)空間,明天可能分配給另外一個(gè)用戶(hù),因此需要做好剩余信息的保護(hù)措施。所以要求云計(jì)算系統(tǒng)在將存儲(chǔ)資源重分配給新的用戶(hù)之前,必須進(jìn)行完整的數(shù)據(jù)擦除,在對(duì)存儲(chǔ)的用戶(hù)文件/對(duì)象刪除后,對(duì)對(duì)應(yīng)的存儲(chǔ)區(qū)進(jìn)行完整的數(shù)據(jù)擦除或標(biāo)識(shí)為只寫(xiě)(只能被新的數(shù)據(jù)覆寫(xiě)),防止被非法惡意恢復(fù)。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺析云時(shí)代的ERP系統(tǒng)數(shù)據(jù)與信息安全防護(hù)
本文網(wǎng)址:http://www.ezxoed.cn/html/solutions/1401932594.html