云計(jì)算是一種以互聯(lián)網(wǎng)為基礎(chǔ)的新興計(jì)算機(jī)應(yīng)用技術(shù)，它融合了分布式計(jì)算、效用計(jì)算、并行計(jì)算、網(wǎng)格計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化等傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，形成了一整套新的標(biāo)準(zhǔn)和模式，“云計(jì)算”概念也迅速運(yùn)用到生產(chǎn)環(huán)境中，各種“云計(jì)算”的應(yīng)服務(wù)范圍正日漸擴(kuò)大，影響力也無(wú)可估量。通俗的講，云計(jì)算就是讓你把所有數(shù)據(jù)處理任務(wù)都交給網(wǎng)絡(luò)來(lái)進(jìn)行，由企業(yè)級(jí)數(shù)據(jù)中心負(fù)責(zé)處理客戶(hù)電腦上的數(shù)據(jù)任務(wù)，這樣就可以通過(guò)一個(gè)數(shù)據(jù)中心向使用多種不同設(shè)備的用戶(hù)提供數(shù)據(jù)服務(wù)，從而為個(gè)人用戶(hù)節(jié)省硬件資源。本文介紹的云平臺(tái)安全措施主要是面向VMware系列云計(jì)算平臺(tái)的。

　　1、云安全簡(jiǎn)介

　　當(dāng)前，典型的企業(yè)私有云計(jì)算平臺(tái)拓?fù)浣Y(jié)構(gòu)如圖1所示。
 

　　云計(jì)算方興未艾，針對(duì)云計(jì)算平臺(tái)的安全性研究也在不斷進(jìn)行，盡管云計(jì)算存在安全問(wèn)題，但它仍然給信息安全帶來(lái)了機(jī)遇。在云計(jì)算方式下，數(shù)據(jù)是集中存儲(chǔ)的，這樣至少給數(shù)據(jù)安全帶來(lái)了兩個(gè)好處：

　　(1)降低了數(shù)據(jù)被盜、被破壞和外泄的可能。這也是云計(jì)算服務(wù)商討論最多的一個(gè)優(yōu)點(diǎn)。只要用戶(hù)能夠接入Internet，就能根據(jù)需要隨時(shí)進(jìn)行訪(fǎng)問(wèn)，根本就用不著自己隨身攜帶，也用不著自己去維護(hù)或維修。

　　(2)能夠更容易地對(duì)數(shù)據(jù)進(jìn)行安全監(jiān)測(cè)。數(shù)據(jù)集中存儲(chǔ)在一個(gè)或若干個(gè)數(shù)據(jù)中心，數(shù)據(jù)中心的管理者可以對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理，負(fù)責(zé)資源的分配、負(fù)載的均衡、軟件的部署、安全的控制，并能更可靠地進(jìn)行數(shù)據(jù)安全的實(shí)時(shí)監(jiān)測(cè)以及數(shù)據(jù)的及時(shí)備份和恢復(fù)。

　　雖然云計(jì)算本身為安全做出了貢獻(xiàn)，但是由于云計(jì)算的復(fù)雜性、用戶(hù)的動(dòng)態(tài)性等特點(diǎn)，安全問(wèn)題仍是云計(jì)算發(fā)展所面臨的巨大挑戰(zhàn)，如何確保云計(jì)算環(huán)境不同主體之間相互鑒別、信任和各個(gè)主體問(wèn)通信機(jī)密性和完整性，計(jì)算的可用性和機(jī)密性[3]，使云計(jì)算環(huán)境可以適用不同性質(zhì)的安全要求，都是急需解決的問(wèn)題。

　　2、基于企業(yè)云平臺(tái)的云安全研究

　　隨著企業(yè)信息化的發(fā)展，生產(chǎn)和辦公場(chǎng)所對(duì)于移動(dòng)辦公有著迫切的需求，例如移動(dòng)文件瀏覽和批閱等一些現(xiàn)實(shí)需求。同時(shí)企業(yè)業(yè)務(wù)發(fā)展需要依托先進(jìn)的信息化平臺(tái)來(lái)進(jìn)行有力支撐，高性能計(jì)算集群、三維可視化圖形工作站、海量的數(shù)據(jù)存儲(chǔ)設(shè)備以及功能各異的專(zhuān)業(yè)應(yīng)用軟件可以為更加精準(zhǔn)、更加高效的綜合決策提供堅(jiān)實(shí)的技術(shù)保障，上述的企業(yè)需求需要一個(gè)全新的服務(wù)平臺(tái)進(jìn)行支持，云計(jì)算就是這樣一個(gè)全新的平臺(tái)，它使得服務(wù)的交付模式向云端轉(zhuǎn)移，所有用戶(hù)都可以獲得低成本、高性能、快速配置和海量云計(jì)算服務(wù)支持。然而，安全問(wèn)題始終是云平臺(tái)正常投入使用所面臨的最大問(wèn)題和隱患，服務(wù)安全、數(shù)據(jù)安全、個(gè)人隱私等安全問(wèn)題都要求必須根據(jù)企業(yè)實(shí)際業(yè)務(wù)，建立一套完整的云平臺(tái)安全保障體系，并基于經(jīng)濟(jì)因素的考慮要盡量將企業(yè)原有安全基礎(chǔ)設(shè)施與云平臺(tái)進(jìn)行很好的融合，同時(shí)對(duì)云平臺(tái)性能與安全這對(duì)矛盾體進(jìn)行分析研究，找到最佳平衡點(diǎn)，使得云平臺(tái)更加安全可靠。圖2顯示了一個(gè)完整的云安全體系架構(gòu)，覆蓋了物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層，采取了盡可能多的安全措施來(lái)保障企業(yè)私有云平臺(tái)的安全運(yùn)行，但是如何發(fā)揮各個(gè)安全手段的作用，避免相互之間的矛盾；如何在保障安全的條件下，盡可能減少系統(tǒng)用于安全監(jiān)控的開(kāi)銷(xiāo)是需要著重解決的問(wèn)題。本文介紹的企業(yè)主要采用的安全措施有ukey認(rèn)證、訪(fǎng)問(wèn)控制、數(shù)據(jù)加密和入侵檢測(cè)等手段。

　　2.1 ukey統(tǒng)一身份認(rèn)證安全措施

　　面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，普通的網(wǎng)絡(luò)接入認(rèn)證已經(jīng)不能滿(mǎn)足安全需要，難以確定用戶(hù)身份，保證數(shù)據(jù)的隱私性，而ukey 是用來(lái)進(jìn)行一些特殊業(yè)務(wù)的準(zhǔn)入認(rèn)證。利用ukey 認(rèn)證作為云平臺(tái)的安全接入認(rèn)證不僅能夠提高云平臺(tái)的安全性，也能夠使ukey 發(fā)揮最大效能，充分利用ukey 高可靠性的特點(diǎn)實(shí)現(xiàn)對(duì)云計(jì)算資源的保護(hù)，防止無(wú)授權(quán)用戶(hù)的非法操作。SSL VPN是基于SSL 協(xié)議采用虛擬專(zhuān)用網(wǎng)的方式為遠(yuǎn)程用戶(hù)提供的一種安全通信服務(wù)，采用ukey 認(rèn)證與SSL VPN 技術(shù)相結(jié)合，能夠大幅度提高云平臺(tái)的安全。
 

　　2.2 云平臺(tái)的安全管理、控制、審計(jì)等安全管理問(wèn)題的研究和解決

　　云安全管理平臺(tái)搭建在云計(jì)算環(huán)境基礎(chǔ)框架上，主要通過(guò)VMware軟件所具有的的功能配合其他一些安全管理策略統(tǒng)一進(jìn)行管理控制。

　　2.2.1 訪(fǎng)問(wèn)控制策略

　　云安全管理平臺(tái)根據(jù)資源的不同分別定義不同的訪(fǎng)問(wèn)策略，對(duì)資源進(jìn)行服務(wù)控制，企業(yè)中用戶(hù)數(shù)據(jù)的級(jí)別和敏感程度也有所不同，重要和敏感數(shù)據(jù)需要更深層的保護(hù)，因此需要針對(duì)這些數(shù)據(jù)和文件專(zhuān)門(mén)制定訪(fǎng)問(wèn)控制策略，通過(guò)ukey來(lái)進(jìn)行身份識(shí)別，根據(jù)不同的身份及所屬類(lèi)別來(lái)限制用戶(hù)的訪(fǎng)問(wèn)權(quán)限和所能使用的計(jì)算機(jī)資源和網(wǎng)絡(luò)資源，保證合法用戶(hù)正常訪(fǎng)問(wèn)，并防止非法訪(fǎng)問(wèn)。

　　2.2.2 數(shù)據(jù)存儲(chǔ)安全策略

　　企業(yè)數(shù)據(jù)始終受到著各種各樣的威脅，存儲(chǔ)服務(wù)本身也是不可信任的，因此數(shù)據(jù)加密成了解決問(wèn)題的首選。目前基于如DES等的對(duì)稱(chēng)加密算法因其加解密速度較快被廣泛應(yīng)用，非對(duì)稱(chēng)加密體系如RSA 算法則具備更高的強(qiáng)度，因此采用動(dòng)態(tài)生成DES密鑰并結(jié)合RSA公鑰加密的方法可以充分發(fā)揮兩者的優(yōu)點(diǎn)，找到性能和強(qiáng)度的平衡點(diǎn)。

　　處理開(kāi)始前，云端加密程序從公鑰庫(kù)獲取接收數(shù)據(jù)的用戶(hù)對(duì)應(yīng)的RSA 公鑰。加密開(kāi)始時(shí)，由一個(gè)DES 密鑰生成器隨機(jī)生成一個(gè)DES密鑰，并依照算法選取數(shù)值N，從源數(shù)據(jù)讀取N 字節(jié)并由該隨機(jī)DES密鑰加密為長(zhǎng)度為M字節(jié)的密文。與此同時(shí)，將該DES密鑰由接收端的RSA公鑰加密為一段密文，同N 字節(jié)源數(shù)據(jù)加密后的密文，并附上該兩者的長(zhǎng)度，一同作為一個(gè)數(shù)據(jù)包保存于云端，如圖3所示�？蛻�(hù)端繼續(xù)工作，重新生成隨機(jī)DES 密鑰和隨機(jī)數(shù)N，重復(fù)上述過(guò)程，發(fā)送第二個(gè)直至最后一個(gè)數(shù)據(jù)包，完成整個(gè)加密工作。
 

　　解密過(guò)程剛開(kāi)始是數(shù)據(jù)接收端讀入前兩個(gè)32b，通過(guò)RSA解密，分別取得加密的DES密鑰長(zhǎng)度(設(shè)為L(zhǎng)1)和加密的數(shù)據(jù)長(zhǎng)度(L2)，順次讀取數(shù)據(jù)包中其后的L1和L2字節(jié)數(shù)據(jù)，用接收端的RSA私鑰將前者翻譯成明文，得到一個(gè)DES密鑰，而后者則由該DES密鑰解密，解密后的明文追加到待保存的目標(biāo)數(shù)據(jù)中。這樣就完成了一個(gè)數(shù)據(jù)包的解密，如圖4所示。重復(fù)上述過(guò)程，直至完成所有數(shù)據(jù)包的解密，得到加密前的原始數(shù)據(jù)。

　　2.3 云計(jì)算平臺(tái)入侵檢測(cè)

　　云平臺(tái)數(shù)據(jù)更加集中，更易受到攻擊和入侵的威脅，而使用傳統(tǒng)的特征庫(kù)判別法的殺毒軟件已無(wú)法有效地確保云平臺(tái)的安全，因此入侵檢測(cè)和防御就顯得更加重要，十分有必要對(duì)云計(jì)算平臺(tái)中的網(wǎng)絡(luò)、框架和數(shù)據(jù)等各種威脅進(jìn)行全方位實(shí)時(shí)主動(dòng)監(jiān)控、檢測(cè)和防御。
 

　　傳統(tǒng)入侵檢測(cè)防護(hù)技術(shù)大多是一種被動(dòng)防御的系統(tǒng)，很難滿(mǎn)足當(dāng)前網(wǎng)絡(luò)攻防的新形勢(shì)。這里采用主動(dòng)防御與傳統(tǒng)被動(dòng)防御相結(jié)合的方式，摸索這種入侵檢測(cè)系統(tǒng)與云計(jì)算平臺(tái)的結(jié)合，采用改進(jìn)的apriori算法，利用一個(gè)層次順序搜索的循環(huán)方法來(lái)完成頻繁項(xiàng)集的挖掘工作，提高挖掘速度，迅速發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否被入侵的跡象。當(dāng)查詢(xún)的行為是合法的，系統(tǒng)返回一個(gè)完整和正確的解釋?zhuān)��?dāng)查詢(xún)的行為是誤操作或惡意行為的特征，解釋將和具體事件和發(fā)生事件的節(jié)點(diǎn)關(guān)聯(lián)起來(lái)，通過(guò)節(jié)點(diǎn)行為(也就是指狀態(tài)變化或某些節(jié)點(diǎn)上的信息傳遞)來(lái)判定行為是否合法或是發(fā)生錯(cuò)誤，并采取必要的處理措施。

　　3、結(jié)語(yǔ)

　　云計(jì)算作為一種新的模式給企業(yè)信息化發(fā)展帶來(lái)了巨大的變革，是IT 行業(yè)的一個(gè)發(fā)展趨勢(shì)。其提高了網(wǎng)絡(luò)工作效率，節(jié)約了企業(yè)成本和資源，應(yīng)用前景非常廣，但是安全問(wèn)題仍然是阻礙企業(yè)全面部署云平臺(tái)的最大障礙。雖然本文提出了一些云安全防御策略，但還不成熟，因此今后還要在此基礎(chǔ)上在如何有效控制訪(fǎng)問(wèn)權(quán)限和整體安全管理機(jī)制，如何對(duì)數(shù)據(jù)進(jìn)一步劃分等級(jí)，實(shí)時(shí)安全操作和監(jiān)控，如何更有效地管控外部攻擊威脅帶來(lái)的風(fēng)險(xiǎn)等方面深入開(kāi)展研究，更有效地提高云計(jì)算平臺(tái)安全，為云計(jì)算在企業(yè)中的廣泛應(yīng)用提供更安全的保障。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)私有云平臺(tái)安全技術(shù)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121512719.html