引論:我們為您整理了13篇云計算中的安全管理范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
社會的發展與進步使得各行各業對于計算機發展的需求日益提高,尤其是一些用計算機網絡進行工作的行業,同時一些行業中對于計算機網絡管理安全方面的要求也是十分高的。所以,對于計算機網絡管理中的安全技術的研究是十分有必要的。我國計算機領域對于計算機網絡管理中的安全技術方面雖然有了一定的研究,并且在不斷的研究中也取得了一定的成果,但是隨著各行各業發展的需求,現有的對計算機網絡管理中的安全技術方面的研究已經不能很好的滿足社會發展的需求。因此,在今后的發展中,我國計算機領域的相關人士要加強對計算機網絡管理中的安全技術運用的重視和研究,同時研究中逐漸的將這一研究納入到計算機領域研究的一個重要課題,從而在更大程度上促進計算機網絡管理中的安全技術運用的發展和進步。
一 計算機網絡管理
1.1 故障管理分析
一個可靠、穩定的計算機網絡是每個用戶都希望的,當某個網絡部件出現實效情況時,要求網絡管理系統能夠將故障源迅速排出,并作出及時地處理。通常來講,故障管理包括檢測故障、隔離故障、糾正故障三方面。其中故障檢測是以對網絡部件狀態的相關檢測為依據的,一般情況下,錯誤日志中記錄簡單的非嚴重故障,且不需作特別的處理。而對于一些嚴重故障時,則需要進行報警,即向網絡管理操作員發送通知。網絡管理應用應以相關信息為依據, 來實施警報處理, 當遇到較為復雜的網絡故障時,網絡管理系統應通過一系列的診斷測試來對故障原因加以辨別。
1.2 配置管理分析
配置管理是計算機網絡管理中的重要內容,它對網絡進行初始化,并實施網絡配置,從而實現網絡服務的提供。配置管理是集辨別、定義、控制、監控于一體的管理形式,具備一個網絡對象必需的功能,其管理實施的目的在于實現網絡性能或某個特定功能的優化。
1.3 性能管理分析
性能管理是對系統通信效率、資源運行等性能的相關統計,其性能機制是對被管網絡及服務提供的監視與分析。對于性能的分析結果可使得某個診斷測試被處罰或網絡重新配置,進而對網絡性能進行維護。性能管理對當前被管網絡的狀態數據信息進行收集于分析,并進行對性能日志的維護與分析。
1.4 安全管理分析
安全性向來是計算機網絡的薄弱環節,加之用戶對于安全性的高要求,使得網絡安全管理的受重視程度也來越高,且扮演者越來越重要的角色,其管理的實施主要是應用網絡安全技術,來為計算機網絡的應用提供有力保障。
二 影響計算機網絡安全的因素
網絡系統自身的因素有:
①網絡的開放性使信息缺乏有效的保護,計算機網絡的開放性和廣域性使計算機網絡上存儲、傳輸和處理的數據信息,在安全性和保密性方面也受到一定的沖擊;
②Internet 的數據傳輸協議、通信協議、通信軟件系統不完善,存在一定的漏洞,給各種不安全因素的入侵留下了隱患;
③Windows 等計算機操作系統存在安全漏洞和安全脆弱性問題。人為因素有:
①黑客攻擊使網絡安全防不勝防。侵入網絡的黑客惡意竊取和損壞數據,對網絡構成極大威脅;
②大量涌現的計算機病毒通過 Internet 在網上極快地傳播,給網絡安全帶來了巨大的災難。病毒使計算機及其網絡系統癱瘓或工作效率降低,還或以破壞計算機硬件系統,使數據和文件被破壞或丟失。
三 計算機網絡管理安全技術
由上述可知,計算機網絡管理涉及的方面很多,同時影響計算機網絡安全的因素也是多個方面的。所以,對于計算機網絡管理中的安全技術運用方面的研究就會具有很大的壓力和困難。然而,計算機網絡管理安全對于許多行業、以及社會經濟的有序進行和發展都有著不可忽視的重要作用。因而,對于計算機網絡管理中的安全技術的研究是十分有必要的。本文在此對計算機網絡管理安全技術進行了一定的探索,希望能夠為該技術的發展和應用提供一些有意義的參考。
3.1 身份認證技術
這一技術是確認通信方身份的過程,即用戶在向系統發出服務清楚時,須對自身身份加以證明。通常情況下,身份認證技術以生物技術、電子技術或兩種技術相結合的方式來對非授權用戶作阻止進入處理。身份認證的常用方法有智能卡技術、基于認證第三方的認證機制、口令認證法等。通常來講,授權機制是同身份認證相聯系的,服務提供方在確認申請服務客戶的身份后,就需對其訪問動作授予相應權限,從而對客戶訪問范圍進行規定。
3.2 防火墻技術
綜合性是這一技術的特點,其實質是對網絡的出入權限進行控制,迫使全部鏈接均經過檢查,來防止網絡受到外界的破壞和干擾。作為一種控制隔離技術,防火墻技術通過在機構網絡與不安全網絡間相應屏障的設置,來對非法訪問作出阻止,或應用防火墻來防止企業網絡重要信息的非法輸出。通常情況下,企業在企業網與互聯網間設置防火墻軟件的目的是為了維護企業內部信息系統的安全性,企業信息系統通過選擇性的接受來應用來自互聯網的訪問,它可以禁止或允許一類的具體 IP 地址實施訪問,也可拒絕或接收 TCP/IP 上某一類具體 IP 的應用。
3.3 加密技術
電子文件具有易傳播、 易擴散的特點, 容易造成信息的失密。為防止這一情況的發生,就需要應用加密技術來對網絡中正在傳播的電子文件或數據庫存儲的數據進行保密,從而使得非法借或者不能獲悉文件中的內容。現行網絡傳輸中, “雙密鑰碼”加密是通常采用的形式,通信者同時掌握公開密鑰和解密密鑰,只要解密密鑰不泄漏出去,第三者要想破密就存在很大的難度。
3.4 入侵檢測技術
入侵檢測是對面向網絡資源和系統資源的未授權行為作出識別與相應,從而對當前網絡和系統的安全狀況加以明確。入侵檢測技術具有監視系統行為與用戶、系統配置審計、數據完整性與敏感系統評估、攻擊行為識別、統計異常行為、系統相關補丁的自動收集、違反規定行為的審計跟蹤、黑客行為記錄等功能,從而使系統管理員對可疑訪問進行有效地監視、評估與審計。
結語:綜上所述,計算機網絡管理安全技術對于計算機領域的發展,以及社會許多行業的發展進步有著不可忽視的重要作用。然而,從上面的闡述中,我們很清楚的了解到,計算機網絡管理安全技術是一項涉及方面比較多,且每一方面都比較復雜的技術,再加之我國計算機領域對于計算機網絡管理安全技術運用方面的研究還沒有達到一定的深度和廣度,因而,對于當下的計算機網絡管理安全技術運用的進一步應用和推廣是不利的。所以,在今后的計算機領域的發展中,相關人士要加強對計算機網絡管理安全技術運用研究的重視,從而研究出更好、更有利于計算機網絡管理的安全技術。
參考文獻
篇2
計算機信息管理系統會受到軟件漏洞的影響,這些軟件漏洞將會被黑客所利用,逐漸形成安全隱患,因此,必須要進行軟件的維護工作。,計算機信息管理技術應用匯總必須要制定出相關的安全防范策略,不能夠盲目進行軟件的安全,若是不對其進行維護,那么是無法取得較大的成果的。要定期對一些無用的軟件進行卸載,從而來定期進行升級軟件,避免出現一些軟件漏洞,從而來充分保證系統的安全性。
三、結語
現今來看,信息技術對人們的生活中影響越加的重大,尤其是在人們的生活、學習以及生產方面。然而當前網絡安全漏洞問題比較突出,這將直接對人們的網絡信息造成影響,因此必須要采取有效的措施進行處理,以此來不斷提升網絡的安全性。能夠在網絡安全中有效應用計算機信息管理技術,從而來保證網絡的穩定運行。
參考文獻
[1]吾湖蘭吾拉木.計算機網絡安全問題的分析與探討[J].科技風.2016,(16):55-56.
[2]陳曦,張晨.網絡安全問題分析研究[J].數字技術與應用.2016,(08):65-66.
[3]侯英鵬.計算機通信中網絡安全問題分析[J].黑龍江科技信息.2016,(28):30-31.
篇3
1.1 黑客對PC端的入侵
自有計算機技術之初,相應的黑技術也同時興起,可以說黑客技術與計算機技術在同一時代始終博弈從未停止。部分對于計算機編程以及網絡應用的專業人士,通過自身的技術手段利用網絡對個別PC端計算機進行有計劃的攻擊,稱之為黑客入侵,對網絡安全造成了很大程度上的影響。其中拒絕服務對計算機系統具有破壞性,雖然沒有對系統資料產生影響,但是會阻礙網絡系統的工作秩序。而對于網絡安全而言信息炸彈更加具有威脅性,不僅能入侵計算機系統內部,同時會盜取重要信息。那么黑客進行入侵的過程需要具備兩項基本條件,一方面需要網絡環境開放,另一方面需要植入木馬。因此應當定期清理計算機系統,避免為黑客入侵造成可乘之機。
1.2 病毒傳播對計算機威脅
計算機病毒是網絡安全的重要問題,雖然與其他軟件系統一樣由技術人員編寫的應用程序,但其對計算機存在很高的威脅。病毒主要通過網絡進行傳播,在進入個人PC終端之后,通過無限復制破壞計算機系統。我國在2006年發生過“熊貓燒香”病毒的廣泛傳播,其歸屬于蠕動病源類型的網絡病毒,病毒植入后計算機開機喪失應用界面,只有一只在燒香的熊貓。這款病毒雖然只是一位學生惡作劇行為,但是當時在我國的網絡系統中造成很大影響。因此基于網絡安全的重要性,也應當避免病毒的傳播與侵入。
1.3 計算機自身的系統漏洞
計算機是網絡環境里的終端,任何計算機自身的系統問題都會令其產生網絡安全問題。計算機系統與其他任何系統一樣都是人為編寫的,雖然在應用到發行之前都做過大量實驗,但百密一疏終究會有缺乏考慮的細節,從而造成了系統漏洞。而這些系統漏洞就成了黑客與病毒的主要入侵端口,然后對計算機進行攻擊以及信息盜取。對計算機的正常使用產生了嚴重影響,甚至能夠讓系統全面癱瘓。那么對于計算機系統的全面升級與完善,在網絡安全中也顯得格外重要。
2 應對網絡安全的需求,計算機應用信息管理中的技術分析
2.1 防火墻PC端技術
在網絡安全的建設中,防火墻計算機起到了與外界明顯入侵的判斷隔離作用,對計算機在網絡中的運行過程起到了一定的保護作用。目前應用于網絡的防火墻主要有3種類型:式防火墻、包過濾式防火墻、地址轉換式防火墻。通過建立訪問權限以及相應的阻止信息傳遞,可以在網絡中實現隔絕外部信息的作用,那么也就形成了對計算機的保護,不僅降低了信息泄漏的問題,同時也對黑客進攻起到了一定的防御措施。
2.2 安全狀態下的評估技術
所謂安全狀態的評估技術,就是在網絡環境中,對計算機自身進行綜合性的分析,從而判斷其系統存在的相應風險,利用相應的檢查手段,對惡意代碼進行排查,以及對木馬病毒進行查殺等方式。例如360殺毒軟件,通過對計算機系統的定期檢測,提升其計算機系統免疫能力,從而在計算機應用于網絡環境的過程中進行數據信息的保護。而且安全狀態評估也會對網絡系統內部進行活動分析,從而了解系統情況以及運行狀態,那么在利用網絡功能結合自身系統功能的同時,便完成了實際安全的防護過程,以便于為網絡環境實現安全運行。
3 在維護網絡安全過程中,計算機信息管理技術的普遍問題
3.1 監測技術匱乏
較為常見的網絡安全問題是黑客攻擊和木馬病毒。計算機信息管理技術,就是在監測技術中實現網絡安全的防護,那么O測技術不完善,就難以發現網絡安全問題,也就無法有效實施對安全問題的控制。例如2010年,維基解密病毒入侵了美國軍事系統,盜取了機密的伊拉克戰爭文件,以至于重要軍事信息泄漏。而這種病毒的成功入侵就是監測技術的匱乏,假設當時美軍計算機系統完善了這項監測技術,那么也就不會產生嚴重后果。
3.2 欠缺相應的靈活性
計算機信息管理技術的靈活性,決定了計算機在發生病毒入侵時是否能夠做出快速判斷,以及快速反應進行有效防護機制。例如2011年IMF黑客入侵事件,再次驗證了計算機信息管理技術欠缺相應的靈活性,不能及時有效地進行快速應變。那么缺乏快速靈活反應也成了計算機信息管理技術的弊病。
4 提升計算機信息管理技術在網絡安全中的運用效能
4.1 網絡安全中風險意識加強
無論計算機網絡安全中出現任何問題,都會存在相應的人為因素。那么能夠有效控制網絡安全的風險,加強相關技術人員的網絡風險安全意識尤為重要[1]。網絡安全不僅局限于保障個人用戶的信息安全,同時也是社會文化發展階段中能夠形成的正常網絡秩序。那么解決網絡安全問題,應當從其根源入手,將木馬病毒等不良因素進行有效預防和處理。一方面,個人PC端的用戶,在長期使用計算機的過程中,應當重視對于自身信息風險的保護意識,不應當在網絡中輕易透露個人信息,包括家庭住址、個人IP地址、證件照、常用買家賬戶、身份證件、手機號、真實姓名、儲蓄卡號或信用卡號等。另一方面,相關的計算機信息管理技術人員,也應當充分發揮出信息管理技術應用于網絡安全中的有效作用。通過精準分析相應的網絡安全問題,從而有效預防相關的安全風險,才能夠最終有效控制網絡中存在的安全風險。
4.2 應用計算機信息管理技術的管理工作
安全化管理是目前計算機信息管理技術在網絡安全中的主要運行方式,那么做好相應的管理工作就是重要的處理方式。在加強計算機信息管理技術能力的同時,將網絡安全問題把握在可以控制的范圍之內。從實用角度上分析,加強相應的信息管理技術,就是將管理內涵及其理論進行相應的延伸,令其發展至網絡安全的問題當中,進行相應的防范機制與預防方式之中。計算機管理技術在現代網絡科技中已經廣泛應用,其信息系統也更為科技化和專業化,同時計算機信息管理技術的系統體系之中,也包含了眾多信息化因素。那么針對計算機信息管理技術,也應當重視計算機硬件與軟件的管理工作。只有調整好相應的軟件系統與硬件設備,才能夠在有效銜接中,處理好相應的信息管理工作。排除不良因素的影響,是計算機信息管理技術的重點,只有完善其管理過程的優化,才能從根本上確保網絡系統的安全運行。
4.3 計算機信息管理技術的相關制度建立
為了能夠有效保障網絡運行的安全性,必須建立相關的計算機信息管理技術制度[2]。從內部因素中尋找問題重點,創建有針對性的安全管理部門,通過完善日常管理工作,逐步優化相應的管理制度。與此同時,也要有效防范木馬病毒的入侵,以及網絡黑客的攻擊。妥善安排固定時間對計算機進行檢查,以及進行系統的更新,從而提升其在網絡環境中的穩定性和安全性。為了計算機信息管理技術不受到外在因素的干擾,必須及時配備技術更新之后的計算機硬件,將標準配置的計算機應用于網絡環境中,以便防止由于硬件故障產生的網絡安全問題。除此之外,總結相關管理經驗,為其信息管理技術能夠在實際操作中進行有效應用,務必從統一的管理制度中,將計算機信息管理技術進行完善管理和高效運用,同時也應當安排相應的管理人員,進行對應的負責工作,從而在保障計算機信息管理技術應用于網絡安全的階段,提升其可靠性與安全性。
4.4 構建科學的信息管理技術模型
篇4
Basic architecture and data management technology of bridge safety and health
monitoring data center based on cloud computing
Tu Huimin1,2, Wu Jufeng1,2
(1. Wuhan Bridge Science Research Institute(BSRI) Ltd.MBEC, Wuhan, Hubei 430034, China;
2. Key laboratory of bridge structure and health of Hubei province)
Abstract: With the development of bridge safety&health monitoring data center (BSHM-DC) technology, the monitoring data is increased rapidly in exponential speed, which requires the data storage and management technology of data center to be more intelligent and efficient. In this paper, the data management technology and developing trend of BSMS-DC is put forward firstly. After illustrating the basic architecture of BSHM-DC on the basis of cloud computing, the selections of key devices and related software are discussed. Lastly, its application expectation of BSHM-DC is prospected.
Key words: cloud computing; bridge safety &health monitoring (BSHM); data center(DC); data management technology
0 引言
橋梁安全與健康監測系統是通過在橋梁的關鍵部位布置高可靠性和耐久性的各類傳感器,對結構內力、變形、動力特性、環境狀況進行實時監測,獲取橋梁在營運期內受各種荷載作用下的結構響應,通過理論計算和規范值與實測值的對比、分析,實現結構異常響應報警、結構營運安全性評估、結構損傷識別等。由于該系統7*24小時不間斷檢測,所采集的數據量飛速增長。在面對多座橋梁監測系統集成管理的情況下通常采用直聯式數據存儲方式,其數據的存儲能力、數據管理難度、數據安全,以及存儲資源的利用等,都難以滿足系統設計需求。
云計算可以滿足新一代數據中心對網絡、存儲和計算的業務需求,并能提供豐富的應用服務,是新一代數據中心的核心要素[1-2]。本文通過引入云計算的基礎架構,建立了基于云計算的橋梁安全與健康監測數據中心,將分散在全國各地的監測系統數據進行集中可靠的存儲與管理,并通過云計算數據中心向用戶提供高效、安全的服務。
1 橋梁安全與健康監測數據中心建設的現狀
隨著在役橋梁安全與健康監測建設的發展,橋梁安全與健康監測系統中海量數據的存儲與有效利用日顯重要,并成為在役系統普遍關注的一個重點。一個中等橋梁安全與健康監測系統數據日增長量在3GB/天左右,一年有1.1TB增量的數據,數據的維護管理主要依賴系統管理員定期執行,數據管理的實施方式難以統一。隨著數據量的增加,數據管理工作量、管理難度及管理成本成倍增加,數據也得不到有效利用。
橋梁安全與健康監測數據中心引入云計算,可將業務數據和應用在公有云和私有云之間同步,當數據中心構建的私有云出現故障,應用可以無縫遷移到公有云中。通過云計算將分散在全國各地的業務系統數據通過INTERNET進行集中存儲與管理,可向橋梁技術研究者提供數據共享服務分析橋梁健康監測海量數據;橋梁管理單位即使不具備橋梁專業技術知識也可以在任何地方、任何時間監測到橋梁的實際運營狀況,獲得橋梁健康監測報告及橋梁營運安全性評估等服務并實時反饋專家意見,大大提高了橋梁管養效率。
基于云計算的橋梁安全與健康監測數據中心建設分兩部分,一部分是集成中心,另一部分是分散在全國各地的分中心。集成中心的數據增長量在10GB/天,分中心的數據增長量在3GB/天左右,增長量會隨著業務量的增加而增加。集成中心利用云計算技術對服務器、存儲、網絡等IT資源進行虛擬化,將所有的IT資源放在一個資源池中并進行動態資源管理,對IT資源進行監管和云管理。當資源池中分配給某個橋梁安全與健康監測系統的資源出現故障或者該系統獲得的資源不夠用的時候,云管理平臺會自動分配給它新的資源,從而保證系統7*24小時不間斷運行。
分中心的數據通過公共Internet網絡與集成中心組成云網絡,數據進行同步,在集成中心對數據進行異地容災備份。集成中心有兩份數據,一份數據面向橋梁安全與健康監測系統(數據庫A),一份數據是完全備份數據(數據庫B)。我們主要考慮如何優化實時數據讀取和歷史數據查詢。數據庫B中保留所有數據,數據庫A只保留最近1周的數據;業務系統實時讀取的是數據庫A中的數據,而查詢一周之前的數據就讀取數據庫B中的數據。
圖1 分中心數據庫結構與操作
2 關鍵技術
云計算(Clouding Computing)由Google、Amazon等公司于2006年首先提出,它是一種利用互聯網實現隨時隨地、按需、便捷地訪問共享資源池(如計算設施、存儲設備、應用程序等)的計算模式[3]。我國政府高度重視對云計算的發展,把其列為重點發展的戰略性新興產業[4-5],云計算技術的應用已成為國內外的熱點研究問題[6-8]。
基于云計算的橋梁安全與健康監測數據中心的建設所需專業涉及面較廣,如橋梁專業、網絡通信專業、計算機專業等。本節著重討論其在計算機領域內實現云計算數據中心的關鍵技術。
2.1 虛擬化技術
虛擬化技術能讓所有計算元件在虛擬的基礎上運行,是實現云計算數據中心不可缺少的功能。通過把有限的固定的資源根據不同需求進行重新規劃以達到最大利用率的思路,在IT領域就叫虛擬化技術[9-10](Virtual Technology)。這種解決方案能在很大程度上優化資源、節約成本。虛擬化技術包括計算虛擬化技術、網絡虛擬化技術、存儲虛擬化技術。系統虛擬化前后的特點如表1所述。
表1 虛擬化前后特點比較
[虛擬化前\&虛擬化后\&每臺主機一個操作系統\&每臺主機上運行多個虛擬機,每個虛擬機一個操作系統
\&每臺主機上運行多個程序,可能造成沖突
\&多個程序可分別在運行在多個虛擬機上,應用程序相對獨立的運行空間,避免沖突
\&每臺主機配一個存儲,存儲資源得不到有效利用,且一旦存儲出現單點故障,數據可能丟失
\&多個虛擬機共享存儲,當一臺主機出現故障時,會自動分配其他主機上的硬件資源給故障主機的應用程序\&硬件成本高,且配置和管理困難\&虛擬機獨立于硬件運行,可動態資源分配,新程序的部署工作只需要幾分鐘,有效節約硬件和維護成本
\&]
目前虛擬化技術的產品主要有EMC的 VMware虛擬化產品,Microsoft的Virtual Server, Sun的Virtual Box,以及Ctrix公司的Xen Server和Xen,占市場份額最大的是EMC的 VMware虛擬化產品。
2.2 數據存儲技術
基于云計算的橋梁安全與健康監測數據中心需要滿足大數據管理的需求,為大量橋梁管理者提供服務并且為橋梁研究者提供大數據分析功能。數據安全可靠存儲是實現大數據管理分析的基礎。
數據存儲系統從物理結構來看,底層主要是磁盤,通過光纖、串口線等與磁盤后的板卡和控制器相連。目前最常用的存儲方式有DAS(直接連接存儲)、SAN(存儲區域網絡)和NAS(網絡附加存儲)。直連存儲(DAS)是直接通過SCSI線纜或者光纖直接連接到服務器上。存儲區域網絡(SAN)是通過網絡方式連接存儲設備和應用服務器,目前常用的SAN結構根據連接介質不同而分為FC SAN和IP SAN。網絡附加存儲(NAS)是將網絡存儲設備直接放在網絡上提供文件共享服務。這三種技術優缺點如表2所示。
表2 DAS、SAN、NAS數據存儲系統技術優缺點
[特征\&DAS\&SAN\&NAS\&安裝難易度\&較難\&較難\&很容易\&集中管理\&難\&專用軟件\&基于網絡\&擴展性\&低\&高\&中\&數據共享\&難\&通過軟件實現\&內部實現\&處理能力\&強\&強\&視網絡情況而定\&備份\&傳統方式\&服務器不參與\&多種方案\&容災\&基于服務器\&端對端及多點容災\&端對端方案\&安全\&中\&高\&低\&]
目前主要存儲廠商的FC SAN存儲可以實現8Gbit/S的傳輸速率,但費用較高,所以中大型數據中心建設中還是處于領先地位。但是隨著IP SAN技術的發展,較高的性價比使FC SAN存儲逐漸擴大了在市場的份額。
2.3 動態資源管理
云計算的資源包括存儲資源、計算資源、網絡資源、基礎設施資源以及其他資源[2]。當應用云計算時,面對大量設備和相關技術,如何有效整合各種資源并實施動態資源管理是實現云計算的關鍵。云計算動態資源管理系統的基本功能,是接受資源請求,合理地調度相應的資源并且把特定的資源分配給資源請求者,使請求資源的業務得以運行。它能跨資源池智能動態調整計算資源,使IT與業務優先級對應,動態提高系統的管理效率。
云計算的動態資源管理必須處理好存儲架構問題,解決資源部署、監控和調度策略等問題。在VMware虛擬化產品中,DRS(vsphere Distributed Resources Scheduler)可以根據每一個虛機的實際運行情況,適時地對內存、CPU、網絡的消耗進行動態調整,將其平均分配到DRS集群的每一臺主機上面。動態分配依靠VMotion實現,所以,VMotion是DRS的先決條件。
3 云計算數據中心實現
基于云計算的橋梁安全與健康監測數據中心實現了數據中心服務器、網絡、存儲虛擬化及負載均衡,其基礎架構拓撲圖如圖2所示。
整個方案通過兩路6核服務器配合后端IP SAN存儲技術,并采用云計算虛擬化技術來實現橋梁安全與健康實時監測。在云計算操作系統軟件的支持下,將3臺兩路6核服務器組建HA集群,并配合DRS及VMotion等高級功能,實現業務的連續性,減少計劃內宕機時間,有效地提高資源利用率。
3.1 計算系統設備及軟件實現
計算系統設備主要是指服務器,服務器的選擇上主要考慮的是服務器的性能,滿足五年內橋梁安全與健康監測業務的需要,主要計算能力由3臺兩路6核服務器擔任。
而計算系統虛擬化的實現主要是利用軟件將服務器虛擬化。目前主流的、最具代表性的虛擬化軟件是VMware的Vsphere軟件。
本方案采用3臺企業級兩路服務器(HP Enterprise Server)作為核心數據庫平臺。該服務器能滿足數據庫應用的高可用性、可恢復性,并具有錯誤檢測及消除單點故障的功能。采用數據庫雙機方案也增強了應用的可擴展性,滿足業務不斷增長的需要。由于該型服務器采用全新的因特爾快速互聯通道互聯架構配合因特爾志強E5系列處理器及SAS 6Gbps高性能磁盤控制器,使系統聯機處理性能提升2.5倍以上,數據庫性能提升3倍以上,更加適用于基礎架構、數據庫核心應用。
3.2 存儲設備及數據管理軟件
在保障客戶應用的前提下,存儲將成為一個必須受到關注的核心環節,因此雙控制器、多處理器和高可靠光纖8Gb存儲成為首選,這能有效保障業務的物理穩定特性。出于數據安全備份的考慮,配置大存儲容量6TB存儲空間服務器作為虛擬機的備份服務器,可以保證在光纖存儲故障時或維護時的業務連續性,并對客戶的應用數據也做到了統一備份。為了保障業務運行的高性能、可持續性和可擴展性,我們選擇了IP-SAN的存儲模式,通過串口線連接磁盤與控制器。云計算計算節點服務器通過交換機連接存儲設備,實現數據鏈路的高品質性能保障。
在數據的統一備份處理上,基于虛擬機文件駐留在共享SAN存儲上,可以使用存儲區的映像來備份虛擬機文件,這樣做不會在運行虛擬機的云計算計算節點主機上引起任何額外的負載。統一備份功能可以滿足縮短虛擬機的備份時間,移除客戶應用服務器上的備份工作負載,以及從中央服務器中執行備份的工作。其工作流程是從運作中的主機上剝離磁盤,將磁盤鏈接到專用的統一備份服務器上,然后備份磁盤中適當的文件,此時原始主機仍能看到該磁盤并能正常工作。通過有效利用虛擬機存儲區的映象文件,高效地保障客戶數據安全。
3.3 網絡設備
云計算數據中心網絡需實現雙鏈路可靠冗余連接、負載均衡,充分考慮網絡的可管理性。本方案采用兩臺DLINK交換機實現設備冗余,同時通過實現網絡虛擬化來保證網絡策略安全,使之不受虛擬機位置遷移的影響。
3.4 云平臺管理
云管理平臺是負責整個數據中心的資源池管理、是實現IAAS的關鍵環節。本方案采用VMware公司的Vcenter軟件,與其他的管理軟件相比,該軟件的使用為IT管理者大大降低了云計算虛擬環境管理的難度。
該云平臺是目前最強大的虛擬環境管理平臺,它能提高在虛擬基礎架構每個級別上的集中控制和可見性,無論是幾十臺還是幾千臺虛擬機,都能集中、簡單地管理。它可以通過使用向導或者模板,在幾分鐘內創建新的虛擬機或主機,最大限度地減少錯誤和停機;它還可以借用DRS(vsphere Distributed Resources Scheduler) 持續監控各個資源池的使用情況。此外,借助vCenter API和.NET可實現vCenter Server和其他工具的集成,并且支持在vSphere Client中嵌入自定義插件,為管理IT環境提供選擇自由。
4 結束語
目前,基于云計算的橋梁安全與健康監測數據中心建設還處在初級階段,隨著橋梁安全監測技術和云計算技術的發展,云計算數據中心會逐漸形成系統化、網絡化的全國性的橋梁安全與健康監測平臺。該平臺能面向所有橋梁行業的客戶,提供存儲空間及橋梁安全與健康監測服務;同時還能根據存儲的大量橋梁相關數據,進行數據挖掘及數據分析,在橋梁學術研究方面具有重要意義。
基于云計算的數據中心建設是一個復雜的系統工程,本文著重從橋梁安全監測數據中心的關鍵技術方面闡述了系統基礎架構,以及關鍵設備和軟件的選型,希望能為其他行業數據中心的建設提供一些參考。
參考文獻:
[1] 林小村.數據中心建設與運行管理[M].科學出版社,2010.
[2] 劉鵬.云計算[M].電子工業出版社,2011.
[3] MELL P, GRANCE T. The NIST Definition of Cloud Computing[R].
National Institute of Standards and Technology, SP800-145, Gaithersburg:U.S Dept. of Commerce,2011.
[4] 國家科學技術部.中國云科技發展"十二五"專項規劃[EB/01].
/tztg/201209/W020120918516104069531.doc,2012
[5] 工業和信息化部電信研究院.云計算白皮書(2012)[M].工業和信息化
部電信研究院,2012.
[6] 田冠華,孟丹,詹劍鋒.云計算環境下基于失效規則的資源動態提供
策略[J].計算機學報,2010.33(10):1859-1872
[7] 朱仕村,張宇峰,張立濤,朱曉文,胡云輝.面向長大橋梁結構健康監測
物聯網的云計算[J].現代交通技術,2011.8(1):24-27
[8] 孟凡立,徐明,張慰.基于云計算的高校數據中心設計與實現[J].現代
教育技術,2012.22(3):99-103
[9] 楊望仙,朱定局,謝毅,范朝冬.虛擬化技術在云計算中的研究進展[J].
篇5
1云計算概述
云計算是2007年出現的新名詞,只帶現在還沒有一個確切的定義。總的來說,云計算指的是把分布式計算,虛擬化等技術結合起來的一種計算方式,基于互聯網為媒介,向用戶提供各種技術說明、數據說明及應用,以方便用戶使用起來更方便快捷。對于云計算而言,它是分布式處理、網絡計算的發展,對分布式計算機中的數據、資源進行整合,實現協同工作。用戶連上網絡,運用云計算技術使標準化的訊息和數據更加的有效、精確、快速及多量化。云計算主要由計算與編程技術、數據存儲技術、虛擬機技術、數據處理技術等技術構成。云計算技術不同于其他技術,它具有自身獨特的特征,其中包括:超大規模、高真實性、高安全性、擴張性、按需求提供等。云計算技術具有獨特的特征,即使用成本低,適應范圍廣泛、高效的運行速度,被各大企業廣泛運用。云計算通過電腦進行數據,至電腦的算術功能更加強大,使那些繁瑣的、量大的計算得到了提高。并且,啟用云計算模式,使數據的儲存更加的統一化,有利于數據在監管測試中更加的安全。在云計算模式的數據中心中,其對數據的統一化、資源配置的有效化、系統的優化、安全的監測環境和鋪排軟件,有效的提高了數據的完整性。并且,在云計算平臺加入硬件、軟件及技術資源,從而促進集中管理的實行,同時,增加動態的虛構化層次,促進了資源、硬軟件的全面發展。云計算技術具有可持續性、虛擬化的特點,可持續性的特點,使系統的總體消耗費用在一定的程度上降低。云計算的種類可分為公共云、社區云、混合云及私有云。其中公共云主要用于公共服務的云平臺,進而為公眾提證供云存儲及云計算的服務;社區云則是在某一區域內使用的云服務,進而為多家關聯機構所提供的云服務;混合云是兩種或兩種以上的云所組成的;私有云是指企業內部所使用的云服務,適宜專網向結構采用。
2云計算在企業網絡安全管理系統中的應用
隨著科技的飛速發展和網絡的普及,企業管理所形成的運用系統平臺都向著規模化、多效用化、高效能、高機能的方向發展。以保障企業網絡管理系統安全的正常運行、對其進行定時調度和維護,完善企業內部網絡的建設發展,云計算技術在企業網絡安全管理中的應用必不可少。基于云計算技術的應用將整合數據信息資源,可以確保企業安全管理系統數據的安全。
2.1云計算系統實現
作為多層服務的集合體系,電力云主要由物理存儲層、基礎管理層、高級訪問層、應用接口層四個主要層次構成。云計算系統是在企業網絡安全管理中,網絡存儲與設備是以物理存儲層為基礎的,其所分布的地理位置不同導致其云物理設備也不同,這些差異的地理位置及云物理設備之間的連接主要是通過內部網來實現的。基礎管理層是采用集群式和分布式系統,促使云中的儲存設備進行協同工作,在基礎管理層中,還包括機密、數據備份內容。高級訪問層主要包括管理系統的基礎與高級應用,通過軟件平臺來實現安全管理軟件快速有效的運行。云計算系統是在企業網絡安全管理中,應用接口層是其最最活躍的部分,其系統中的運行管理機構信息及數據獲取必需通過應用接口層完成。
2.2云計算的信息整合
云計算的信息整合很多都是通過云計算技術來實現的,如企業網絡安全管理系統中的信息同享,利用公有信息模型,標準組件接口,讓多個企業網絡數據庫中的數據進行交流、同享。同時,可利用自動分析與拆分技術,對系統中繁瑣的資源進行統一,使其任務變成較小任務。經過企業網絡安全管理系統中某個信息點將請求發云體系實現資源的統一,在請求接到后,將數據請求要求發送給企業網絡安全管理中的公用信息平臺,依照請求,對系統中的資源進行儲蓄整理、推算。
2.3資源管理與調度
為了完成云計算技術在工作中的的有效使用,應該鞏固對資源的處理、調度。其詳細運行表現為:起初,為了保證企業網絡安全管理系統的安定、穩固進行,應該對每一臺使用云計算技術的計算機設施進行整合,對使用者權利、使用者因特網地址、用戶終端級別進行整合。另外,描繪計算機資源近狀,對Cache、MFLOPS等數據結構進行概述。最后,實現云內部任意終端的探問,運用云調度技能,有效處理云資源,完成對系統資源的靈驗、科學整理,便于資源的詢問、使用。企業網絡安全管理系統與云計算的應用具有計算速度快、安全可靠性高、應用范圍廣的特點。為了使企業網絡安全管理系統有效快速的運行,云計算技術還對技術標準合理的進行規范,利用數據模型,完成數據的平穩執行。
2.4云計算的關鍵技術
數據安全技術。在企業網絡管理系統中采用云計算技術,數據的散落式儲存保證了數據的安全問題、系統內的安全問題。在系統進行運行的過程中中,保障數據完好,應該對數據處理、用戶約束、資源證實、權利管理等各技術的認真分析,保障應用數據的穩定性、整體性。因此,在系統運行過程中,云計算技術還要加強對數據的隱秘功能,從而保證數據的穩定性、整體性,可以通過數據加密技術進行維護。就像采用華為技術公司利用IaaS層資源管理軟件,有用地解決了數據存在的安全問題。與此之外,數據的安全技術強化系統中的用戶數據安全,保障用戶數據的安全共享,保障了數據的交迭。動態任務調度技術。其于企業網絡管理系統,其計算方式有暫態、靜態等多樣性,因為計算時間具有不穩定性因素,且計算之間是具有相互依靠關系,從而便增加了計算任務的調度的難度。因此,為了保證企業網絡管理系統的高速運行,在系統的云計算中心,使用任務預分配與動態分配相配合,分布式文件與本地文件相配合的形式,從而提高資源的有效利用,促使數據運送、調整管理的時間損失降低了一定的程度。一體化數據管理技術。在系統的多種整理中,通過采用一體化數據管理技術與模型的方法來實現數據模型的統一化,以此減少不同模型轉化的過程中所形成的數據丟失與失誤,利用合并的計算數據準則。在當前的的數據模型中,大部分采取EICCIM國際標準,同時使用國網E格式標準數據替換,而關于計算輸入數據而言,可使用BPA和PSASP兼并的方法。
3企業網絡安全管理系統中云計算技術的應用
云計算在企業網絡安全管理系統中的應用可分為三大層次,即:基礎設施層、平臺服務層及軟件服務層。其中基礎設施層是面向應用對象,平臺服務層面向服務、軟件服務層面向用戶。在每一個層次中都能夠根據功能需求加以細化。并且根據邏輯的順序,在基礎設施層上能夠分為數據采集及其轉化,并且根據硬件的不同,將其分為用戶設備終端、存儲設備及其服務器等。此外,在云計算的信息管理中,大多是通過虛擬化的技術來實現資源的形象化轉變,并將數據傳遞到服務平臺。同時根據設計及開發的相關流程,平臺服務層可分為開發、測試及其運行。每一層都應根據相關設計來進行開發。如:在建立某企業的網絡安全管理系統時,首先,應對該企業的業務類型進行全面調查分析,并給予分類,查看適合采用哪一種云計算分類。若企業的網絡安全管理系統適宜采用私有云計算類型,則可采用私有云的管理系統。然后,企業應根據實際應用需求,需要配備足夠的服務器設備等。再次,對企業內部IT資源、數據中心等加以整合,并選擇較為合適的虛擬化方法,對存儲設備及服務器給予虛擬化整合,將已虛擬化的集成管理器給予管理,并將其上傳到云計算的平臺之中。最后,在軟件的服務層,應根據實際的應用對象及其需求進而用戶終端提供不同的軟件,并設置相應的操作系統。當企業采用云計算的技術后,應配置基礎設施或功能軟件等,最終向服務提供者提供費用,可有效降低計算成本。對于云計算的信息管理系統,其中影響較大的缺陷即所擁有的隱私保護力不夠,且公享資源的較大則是服務提供者所擁有的任意數據,如何在確保資源共享的優點下,達到保護用戶隱私的目的,是當前亟需解決的問題。
篇6
1 云計算內容概述
云計算是一種能夠通過互聯網技術,以按需和便捷的形式,從可配置的、共享的計算資源當中獲取服務的全新業務模式。由此可見,云計算屬于全新的IT能力交付模式,能夠通過互聯網向用戶提供良好的計算資源環境,幫助其實現服務。一般情況下,只要用戶能夠提出服務要求,其便能夠根據要求進行信息資源的獲取,進而將所有的軟件升級、硬件投入、數據存儲、信息安全等均涵蓋在“云”當中,通過云計算進行處理與解決。與傳統的IT架構相比較而言,云計算具有動態性、可伸縮性,且能夠根據用戶的需求而恰當的提供資源,使用方式十分的便捷,對于諸多信息資源亦能夠高度整合。在云計算當中存在著三大服務模式,即IaaS――基礎設施即服務、PaaS――平臺即服務和SaaS――軟件即服務。當前階段,我國諸多企業進行私有云平臺建設時,比較關注在IaaS模式的基礎上,通過網絡虛擬化、服務器虛擬化和存儲虛擬化等諸多手段,實現對IT資源的最大化利用。與此同時,亦在不斷進行PaaS模式和SaaS模式的轉換研究,由于過程比較復雜,仍舊需要不斷努力。
2 企業私有云平臺建設中的云安全管理問題
2.1 存在傳統信息安全風險
現階段,即便眾多企業能夠進行私有云平臺的建設,對云計算技術進行良好的應用,但是,其私有云模式下的傳統信息安全風險依然存在。事實上,云計算模式下所產生的云安全管理問題,與傳統的信息安全管理問題并不存在著較大的本質區別。就云安全管理問題而言,其所設計到的風險因素因包括在應用層與網絡層當中。例如,在應用層當中,應用系統可能會在其轉移到私有云平臺之前便遇到安全管理問題,包括內部員工風險、黑客入侵、惡意代碼攻擊、拒絕服務攻擊等諸多比較常見的安全管理行為與風險。該部分安全管理問題在應用系統轉移至企業私有云平臺以后并不會自行消失,反而依舊存在。因此,企業在進行私有云平臺建設安全管理時亦需要予以上述安全管理問題高度重視。
2.2 具有一定決策導向性
企業的私有云平臺建設當中存在著一定的決策導向性。就云安全問題而言,其并非簡單的、單純的技術型問題,亦涉及決策與管理方面的內容。企業進行私有云平臺的建設,應用當中必須要慎重考慮隱私與安全問題,而對隱私與安全會產生影響的諸多因素當中,決策因素占比已經超過了30%。可以說,企業在對是否采用云計算應用進行決策時,云安全問題已經成為關鍵的考慮內容之一。產生該問題的主要原因在于,云計算具有較高流動性和無邊界性,在應用的過程當中會產生諸多全新的安全問題。此外,云計算由于其自身比較先進的特點,對傳統的網絡安全和信息安全均會產生十分重大的影響。
2.3 風險等級高于傳統系統
企業進行私有云平臺建設,必須要應用全新的云計算技術,必須要進行安全管理思路的創新。一般情況下,企業私有云平臺在建設完成后,其自身原有的大部分應用系統將能夠通過虛擬化的網絡技術以及服務器技術和存儲技術等轉移至私有云平臺當中。因此,企業所建設的私有云平臺便需要具有比較強大的安全防護能力,要有比較快的相應速度以及比較完善的防護策略與防護機制。該方面則必須要通過全新的、先進的、高層次的防御思路予以支持,以此提高企業私有云平臺的安全防護等級。鑒于此,企業首先要提升其私有云平臺的防火墻等引薦安全設備防護力度與性能,對各個系統的單機防護策略要做出相應改變,且要對主機的可靠性以及運算性能進行恰當的提升,對于整個私有云平臺的容災備份機制進行良好的完善。此外,企業亦需要對諸多系統以及關鍵數據做好隔離工作,加強各個用戶之間的邊界安全防護,有效組織木馬、病毒、蠕蟲等的內部快速傳播。由于私有云平臺的安全管理風險等級高于傳統系統,企業在建設私有云平臺時便比需要做出更大的努力,提供更充足的投資支持。
2.4 賬戶安全問題凸顯
企業私有云平臺的建設當中,與企業諸多業務相關的多用戶數據、信息等均集中在私有云平臺上,處于共享的環境當中,因而需要做好更加嚴格的數據隔離。在此方面可以采用數據加密的方式進行安全防護,但是安全防護力度遠遠不足。例如,企業存在著諸多的特權用戶,其能夠在除了公司以外的諸多公共場合比較頻繁的訪問或者使用公司私有云平臺的相關信息與數據。該種情況下便極有可能會出現賬戶被盜、數據泄露等安全管理風險。雖然運用賬戶控制能夠幫助用戶進行部分黑客或者惡意軟件攻擊的防范,但是卻無法避免受到非法軟件中隱藏的木馬,以及用戶自行下載的文件當中出現錯誤信息所產生的干擾。一旦用戶不能夠對上述問題及時發現,便會出現比較嚴重的賬戶安全問題。
2.5 信息系統向私有云平臺遷移的安全問題
與公有云平臺相比較而言,企業信息系統在向私有云憑他愛遷移時所產生的安全管理風險比較小,但是仍舊存在著軟件許可、應用可靠性以及法規遵從等諸多問題。一般情況下,用戶在向私有云平臺進行遷移時,其必須要能夠對私有云平臺的運營管理以及系統建設安全問題有所了解,并且要能夠采用恰當的手段制定有效的、成熟的解決方案。與此同時,用戶要能夠進行數據備份,建立相應的系統容災以及業務回退等確保私有云平臺安全運行的工作機制,以此提高私有云平臺運營的安全性,保障企業的信息系統能夠順利向私有云平臺進行遷移。
2.6 共享基礎設置具有安全風險相關性
篇7
云計算是被認為是繼微型計算機、互聯網后的第三次IT革命,它不僅是互聯網技術發展、優化和組合的結果,也為整個社會信息化帶來了全新的服務模式。云計算的定義在業界并未達成共識,不同機構賦予云計算不同的定義和內涵。其中,美國國家標準與技術研究院對云計算的定義是被接受和引用最廣泛的。NIST認為,云計算是一個模型,這個模型可以方便地按需訪問一個可配置的計算資源(如網絡、服務器、存儲設備、應用程序以及服務)的公共集。這些資源可以在實現管理成本或服務提供商干預最小化的同時被快速提供和。云模型包括了5個基本特征、3個云服務模式、4個云部署模型。從技術的角度來看,云計算不僅僅是一種新的概念,并行計算和虛擬化也是實現云計算應用的主要技術手段。由于硬件技術的快速發展,使得一臺普通的物理服務器所具有的性能遠遠超過普通的單一用戶對硬件性能的需求。因此,在職業院校信息化系統的構建中,通過虛擬化的手段,將一臺物理服務器虛擬為多臺虛擬機,提供虛擬化服務成了構建職業院校私有云的技術基礎。軟件定義網絡是一種新興的控制與轉發分離并直接可編程的網絡架構。傳統網絡設備耦合的網絡架構被分拆成應用、控制、轉發三層分離的架構。控制功能被轉移到服務器之上,上層應用、底層轉發設施被抽象成多個邏輯實體。該研究來源于斯坦福大學的一個名為CleanSlate的項目,其目的是為了在不受現有互聯網技術架構的影響下,重新設計新的網絡底層實現方案。本文針對新型網絡環境下職業院校信息化過程實際存在的問題,結合基于SDN的安全防護技術,提出一種結合職業院校網絡業務信息流的邏輯關系的網絡安全管理方案,并設計出一種基于可信業務訪問關系表的網絡安全管理系統,使得網絡安全管理能夠深度結合職業院校的真實業務邏輯,并實現高靈活、細粒度和高性能的網絡安全管理。
三、新型網絡環境下職業院校信息化面臨的安全挑戰
所謂新型網絡環境,主要指使用了虛擬化技術來構建職業院校信息化系統的網絡環境,這里既包括職業院校私有云的形態也包括僅適用服務器虛擬化技術的職業院校網絡環境。在這樣的網絡環境中,通常用戶的業務系統不僅僅存在于虛擬化環境中,由于信息化系統向虛擬化平臺遷移并不能瞬間完成,因此在真實的應用場景中,往往會存在混合虛擬化環境和傳統物理網絡環境的情況。在這樣復雜的網絡環境下,存在以下幾個方面的安全挑戰:
(一)業務系統間信息流監測和梳理困難的問題
梳理清楚業務系統間的通信關系,并對業務系統間信息流提供實時的監測功能,對職業院校信息化環境實施安全防護方案有著重要作用,是讓安全方案能夠真正理解業務安全需求的重要步驟之一。但由于職業院校信息化不斷向著計算系統的高度集中化發展,大量的業務主機集中管理在一個大型的網絡環境中,如私有云的環境,使得跟蹤和監測系統間的信息流變得非常困難:難以找到合適的監測點,并且由于虛擬機和物理主機的數量龐大,難以把分散在各處的監測數據整合起來。
(二)業務系統邏輯網絡邊界難以界定和隔離的問題
業務系統在使用虛擬機作為服務器后,傳統的物理網絡邊界就失去了意義,虛擬機可以在虛擬化環境中進行漂移。雖然在邏輯上,一個業務系統仍然是由原先那幾臺服務器構成,但這幾臺服務器在物理拓撲位置上卻并不一定在一起,甚至不固定,可能隨著虛擬化環境資源的調配而發生變化,這樣就使得以邊界防護和隔離為管理目標的傳統網絡安全管理失去了存在的意義,同時也難以對一個業務系統的邊界實施有效的安全隔離。
(三)安全設備監測負載過大、噪音數據過多的問題
在傳統網絡環境中,監控網絡流量需要依靠在交換機上對數據包的捕獲,再通過安全設備進行檢測分析。而在虛擬化環境中,由于無法找到明確的網絡邊界,因此若想保證不存在安全監控的盲區,往往需要在所有物理交換機或虛擬交換機上進行抓包,以保證所有可能與被監控業務系統的通信流量都能夠被捕獲,這樣就會在捕獲到真正屬于被監控業務系統的通信流量的同時,也抓取到大量的不屬于被監控系統和主機的干擾數據,從而容易造成用于進行安全檢測和防御的安全設備接收到過量的負載而導致處理能力和響應速度受到影響,同時大量的噪音數據也會影響安全檢測的準確性,易產生大量的誤報警。
四、基于軟件定義網絡技術的網絡安全管理系統
針對上述問題,本文給出了一種基于軟件定義網絡技術構建的、可與新型職業院校信息化環境緊密結合的網絡安全管理系統。采用集中式的管理,基于全景式的系統拓撲和業務關聯的相關知識,能夠有效地對復雜職業院校信息系統網絡環境進行細粒度的信息流梳理和安全管理。為了獲得全景式的系統拓撲,并能夠提高細粒度的網絡流安全管控能力,需要將軟件定義網絡的基礎架構引入到職業院校的信息化網絡環境中,即需要讓整個網絡環境中的軟件交換機和硬件交換機都開啟對Openflow協議的支持。安全管理系統通過調用SDN網絡控制器的北向接口來獲得整個網絡的拓撲知識,并根據需求操控業務系統間的信息流的轉發。在混合了虛擬化(云計算)網絡環境和傳統物理網絡環境的企業信息化網絡環境中,傳統的物理交換機和虛擬交換機都需要開啟Openflow協議的支持。傳統物理網絡仍然以物理局域網的邊界為安全檢測和防護的邊界,并且可以支持以虛擬局域網的方式在虛擬化環境中使用虛擬機以擴展傳統物理局域網的規模。為了能夠提供基于業務的安全管理,我們提出采用業務流可信表的方式來關聯業務模型與底層的網絡流安全管控。系統通過提供管配接口,讓安全管理員能夠對其職業院校內部的系統進行邏輯邊界的建模,形成以邏輯安全邊界為管理對象的安全管理模型。業務流可信表則允許用戶以軟件定義的方式定義業務系統間的可信互訪關系,包括業務系統內部主機間的相互訪問是否可信,不同業務系統間的相互訪問是否可信等規則。互訪關系的定義將作為SDN控制器流表的生成規則,當互訪關系為可信時,認為是無須監測的業務流,Openflow的流表項上將直接轉發至目的節點,不在業務流可信表中的網絡流量需要根據對安全設備的配置轉發到相應的安全設備接入端口。在整個業務流的安全管理流程中,安全防護和檢測的工作由專業的安全設備完成,這些安全設備被接入到職業院校的網絡環境中,由安全管理系統統一管理。當用戶創建業務系統模型后,即可為該業務系統指定邊界安全防護和檢測設備,這樣就形成了一套完整的、基于業務系統邏輯邊界的細粒度安全防護和檢測流程。系統在啟動后,通過虛擬化管控和SDN管控獲得整個網絡的拓撲信息,以可視化的方式將這些拓撲信息展現出來,并讓用戶在此基礎上進行業務系統邏輯邊界的建模,即指定哪些虛擬機屬于一個業務系統。基于已創好的業務系統邏輯邊界可在業務流可信表中指定相互間的可信互訪關系以及一個業務系統內的主機間的互訪是否可信。通過業務流可信關系轉換模塊將定義好的表項翻譯為Openflow的轉發規則,并通過SDN管控下發到相應的SDN交換機上。通過業務流可信表對業務邏輯和網絡流管控的關聯,網絡安全管理系統能夠對每個通過交換機的網絡流進行監控與審計,對于符合業務流可信表定義的網絡流直接進行轉發,以減小安全設備的負載壓力;對于不符合業務流可信表定義的網絡流通過SDN的流表轉發功能,將其轉發至接入的物理安全設備上進行分析和檢測,如對于數據庫服務器和web服務器之間的連接關系認為是可信的,則他們之間的網絡流將被直接轉發,而外部主機直接對數據庫服務器的訪問將被認為不可信而需要被重定向至安全設備進行檢測。同時系統也通過對業務流關系的跟蹤分析提供基于業務流的安全審計預警能力,從而進一步加強整個系統的安全管理功能。
篇8
Bie Yu-yu 1 Lin Guo-yuan 1,2
(1.School of Computer, China University of Mining and Technology JiangsuXuzhou 221116)
(2.Department of Computer, Nanjing University JiangsuNanjing 210093)
【 Abstract 】 In cloud computing, access control is an effective measure in protecting the user and cloud computing services or resources. Based on the characteristics of cloud computing security, trust is introduced into role-based access control model. A new calculation method of trust in cloud computing is proposed and the difference between intro-domain trust and inter-domain trust is analyzed. In addition, a novel access control framework combined with trust degree in multi-domain is given from this proposal. Access control policy in local domain directly applies RBAC model combined with trust degree, whereas in multi-domain it contains the conception of role transition. A multi-domain access control method is developed in the trust based RBAC model through role association and dynamic role translation.
【 Keywords 】 cloud computing; trust; multi-domain; access control; role translation
1 引言
近年來,云計算在計算機網絡與信息技術領域的發展如火如荼,其應用前景也極其誘人。云計算以其超大規模、虛擬化、高可靠性的獨特優勢引發計算機網絡變革,然而頻繁發生的云安全問題卻給云計算的前景蒙上了一層陰影。云計算中的“云”即是集結了網絡中大規模計算資源、軟件資源及存儲資源的共享虛擬資源池,因此云計算就是共享的計算,云計算中要實現資源共享,必須解決資源的訪問控制問題。對于每個用戶來說,在對方身份未知的情況下要求進行協同,存在很大的風險性,因為該用戶可能是一個善意的用戶,也可能是一個惡意的用戶。因此,安全的訪問控制策略就變得格外重要。“傳統的訪問控制技術需要設定統一的安全管理域,是一種在管理域范圍內的基于身份的授權技術。”
云計算既然是通過網絡中的虛擬資源池提供服務,各資源主體往往不屬于同一安全管理域,同時云計算的網絡覆蓋范圍極廣,因此云計算具有跨域性、動態性等特征。而傳統的基于身份的訪問控制技術顯然已經無法滿足云計算的安全要求。當前最有效的方法就是在傳統的訪問控制的基礎上進行改進與拓展,進而適應云計算的安全新需求。如何將傳統的訪問控制技術擴展更新以適應新的安全需求,解決云計算平臺下的安全問題是當前研究的一大熱點,也是云計算環境下的訪問控制技術的重要內容。
篇9
二、云計算的特點
規模大: 云就是龐大的服務器群,由幾十萬、幾百萬甚至更多的服務器構成,包括計算服務器、存儲服務器、軟件服務器等,群中的計算機可以通過相應技術保證網絡數據庫信息的及時更新,使用戶能夠得到更快更準確的服務。云使用基于海量數據的數據挖掘技術來搜索網絡中的數據庫資源,并運用各種方法為用戶提供詳盡、準確的信息和結果,所以云具備高效的計算、存儲能力,能夠完成單機用戶望塵莫及的海量計算和存儲等工作。
虛擬化: 云計算中的操作平臺、存儲、計算、安全等都是虛擬化的,用戶在使用的過程中感覺就象在使用本地計算機一樣,用戶無需知道云是如何完成所提交的任務的。虛擬化技術可以提高底層資源的使用效率,同時降低成本。
可定制: 云計算可按需購買、按需定制。在云計算環境中,用戶可以通過自己的需要和習慣來定制相應的服務、應用及資源,云計算平臺也可以按照用戶的要求來進行部署。人們通過網絡獲得的服務既可以是互聯網相關的軟件服務,也可以是其它的服務,用戶可隨時獲取、按需試用、隨時擴展、按使用付費。
高安全: 分布式系統具有高度容錯機制,云計算作為分布式處理技術的發展,采用了數據多副本容錯、計算節點同構可互換等措施,依托數據中心可以實現嚴格、有效的控制、配置與管理,使服務具有更好的可靠性、安全性和連接性能,同時高度集中化的數據管理、嚴格的權限管理策略可以讓用戶避免數據丟失、病毒入侵等麻煩。
三、云計算的服務層次
云計算以其低成本、高性能、高兼容性、高共享性、方便性等而理論研究備受關注。云是由大量互連的計算機及其網絡設備組成,這些計算機和網絡設備既可以是實際存在的實體,也可以是虛擬的;可以是普通的客戶機,也可以是網絡服務器;既可以是公共的,也可以是私人的。云計算技術的支撐技術是網絡技術與計算虛擬化技術。計算虛擬化技術在很大程度上提高了資源的高服務性和可用性,并且能夠提高計算機主機的使用效率,減少管理和維護的計算機數量。云計算的目的是按需提供服務,其基礎構造是不可見的、虛擬的,可以安裝在網絡的任何位置。根據提供的服務層次,云計算中的服務可以分為軟件即服務(software as a service,Saas)、平臺即服務(platform as a service,Paas)和基礎設施即服務(infrastructure aservice,Iaas)3 個層次。
(1)軟件即服務(Saas)
Saas 提供一種應用框架 。 Saas 服務提供商將應用軟件統一部署在自己的服務器上, 由服務提供商維護和管理軟件,并提供軟件運行的硬件設施。 用戶根據個人需求訪問所需要的軟件,服務提供商根據客戶所訂軟件的數量、時間的長短等因素收費。 用戶只需要支出一定的租賃服務費用 ,不再需要花費大量資金投資在硬件、軟件 、維護人員培訓上 。
(2)平臺即服務(Paas)
PaaS 提供一個集成環境 。 廠商提供開發環境 、服務器平臺、 硬件資源等服務給客戶 , 并給用戶提供研發的中間件平臺,同時還提供應用程序開發、 數據庫、 應用服務器、 試驗、托管及應用服務 。 用戶只需在廠商提供平臺的基礎上開發自己的應用程序, 并通過其服務器和互聯網傳遞給其他客戶。 開發人員是這個云平臺的直接用戶 ,借助云平臺提供的高層次集成環境, 對用戶需求的應用進行測試和配置 。
(3)基礎設施即服務(Iaas)
Iaas把廠商的、由多臺服務器組成的“云端”基礎設施作為計量服務提供給客戶,即提供了一個軟件應用環境 ,包括提供用戶需要的計算資源、存儲資源 、通信資源等 。 Iaas將計算能力、內存、 I/O 設備等整合成一個虛擬的資源池,為用戶提供所需要的存儲資源和虛擬化服務器等服務。 這些基礎設施的規模可以根據資源的需求情況動態分配, 更精準地為用戶提供服務。
四、高等學校計算機實驗室云計算的應用系統構造
4.1 云客戶端
云客戶端的作用是為用戶與云計算應用提供統一規范的接口,云客戶端最常見的就是網絡瀏覽器,比如人們熟知的IE、Mozilla Firefox等,也可以是一些應用程序入口。通過云客戶端用戶可以便捷地訪問云中的資源。在構建的實驗室系統中,云客戶端安裝在各個實驗室的終端計算機中,云客戶端對系統的硬件要求不高,這樣可以在不投入大量資金來建設高性能的本地終端機器的情況下訪問云計算平臺中的海量資源,進行遠遠超過終端機器性能上限的高強度計算和大存儲容量的工作。比如學生在上課時需要運行Maya、3Dsmax等這些大型程序,學生可以通過云客戶端使用安裝在云中的這些應用程序,從而突破軟件對機器性能的限制。另外,學生在上課時,可以將自己的作業存儲在云中,下次上課時,直接登錄、下載自己的作業,這樣就不需要使用U盤等,從而可以有效避免機器因使用U盤而頻繁中毒的問題。
4.2 云管理層
云管理層的功能包括云資源管理、負載均衡管理、云平臺安全管理和云數據管理。資源管理負責對虛擬資源層的各種虛擬資源的管理,包括監控資源狀態、分配資源、更新、添加、維護與刪除資源等;負載均衡管理根據資源的狀態數據,按照一定的策略進行負載均衡,包括任務調度、進程遷移等;安全管理包括:訪問安全管理、網絡安全管理、數據安全管理以及用戶登錄驗證和用戶權限管理等;云數據管理主要是對計算機與軟件云計算平臺系統中的實驗數據、用戶數據、軟件數據、資源數據以及系統數據等的保存與維護,為了保護云數據的安全性,可以對數據進行加密處理。
4.3 虛擬資源層
篇10
在云計算模式中,數據、軟件不再存放在本地計算機中,而是通過網絡訪問云來獲得所需數據或軟件服務。本地計算機不再需要硬盤、內存、CPU等設備,只需要終端。
一、高校傳統計算機實驗教學模式的壓力
目前在我國高校計算機實驗室中均存在著這些問題:機房是以院系為單位建設的,造成設備、人員的冗余,機房使用率不高;由于每學期開設的課程都在調整,相應的軟件在不斷地升級也需要更新,由于早幾年配置的機器硬件較低,導致上計算機實驗課時機器運行速度極慢,嚴重影響上課進度,而且不斷地更新軟件給實驗室管理老師增加了巨大的工作量;每隔幾年就要換高端機型,這要花費大量的金錢。這些問題嚴重制約了計算機實驗室的建設和發展。如何提高現有計算機實驗室資源的利用率,最大限度的利用現有的計算機是很多人都研究的問題。
近幾年,云計算技術的不斷成熟與發展為解決計算機實驗室的升級改造提供了一種新的方案。
二、基于云計算的計算機實驗室平臺構成
圖1 云計算平臺基本架構
(一)物理資源層
物理資源層主要指實實在在的物理計算機,它可以是PC機、服務器、工作站等,存儲器,通信線纜以及數據存儲設備等底層硬件設備,設備資源之間通過網絡連接。這些物理設備共同組成了“云”[2]。
物理資源層中的資源總的規模和能力理論上不受限制,可以在網絡中的任意地方。計算機實驗室主要使用的是學校局域網內擁有的設備,把這些設備通過高速局域網連接起來,構成了系統中的物理資源層。也可以把幾個高校的物理設備連接起來或者把物理資源擴展到學校外部的其他設備構成規模更大的云,從而提供處理能力更強、種類更豐富的資源。
(二)虛擬資源層
云計算的核心是虛擬化的資源池[3]。虛擬化技術可以實現從物理資源向邏輯資源的轉化,它屏蔽了物理資源的復雜性,并對外呈現簡單的邏輯形態。通過對資源進行虛擬化,可以把已整合的資源以一種與物理位置無關的方式進行調用,從而降低管理維護復雜度、提高資源利用率。
(三)云管理層
云管理層的功能是確保整個云計算中心能夠安全、穩定地運行,主要包括:云資源管理、云安全管理、云數據管理和用戶管理。
資源管理負責管理虛擬資源層的各種虛擬資源,包括監控資源狀態、分配資源、增加、刪除、修改、維護等,并對眾多的資源進行負載均衡管理,包括任務調度、進程遷移等。安全管理包括訪問的安全管理、數據的安全管理、網絡的安全管理等。云數據管理主要對計算機和云計算平臺系統中的數據進行保存與維護,云數據的安全性問題可通過對數據進行加密處理。用戶管理包括用戶的身份確認、訪問控制權限等。
(四)云客戶端
云客戶端的作用是為用戶與云計算應用提供統一規范的接口,云客戶端最常見的就是網絡瀏覽器,比如人們熟知的IE、Mozilla、Firefox等,也可以是一些應用程序入口。通過云客戶端用戶可以便捷地訪問云中的資源[4]。
在構建的實驗室系統中,云客戶端安裝在各個實驗室的終端計算機中,云客戶端對系統的硬件要求不高,這樣可以在不投入大量資金來建設高性能的本地終端機器的情況下訪問云計算平臺中的海量資源,進行遠遠超過終端機器性能上限的高強度計算和大存儲容量的工作。
比如學生在上課時需要運行Maya、3Dsmax等這些大型程序,學生可以通過云客戶端使用安裝在云中的這些應用程序,從而突破軟件對機器性能的限制。
三、建設基于云計算的計算機實驗室技術特點及優勢
(一)以低成本投入獲得高運算能力。學生只需要一臺配置一般的計算機終端登錄到云系統中,然后直接使用云中的高性能資源。這樣學校就不需要花費巨額資金來購買大量高性能設備和頻繁更新設備,從而以低投入獲得高性能。
(二)提供巨大的資源存儲能力。通過云計算構建的虛擬資源池理論上可以提供不受限制的存儲空間,在實際應用中,數量巨大的物理資源可以容納海量的數據,并可以按照需要增加存儲空間,以滿足海量信息增長對存儲空間的需求。
(三)大大減少升級和維護系統的工作量。日常維護中只需對云中的資源進行升級和維護,不需要逐個更新客戶終端中的軟件,這樣可以極大地減少實驗室的工作量。
(四)可以實現大范圍的資源共享。解決了資源不足、分布不均的問題。通過云計算技術,各個院系的資源可以共同構筑一個虛擬資源池。這樣各個學院就可以共享這個資源池中的資源,從而解決資源分布不均的問題,同時還可以大幅度提高資源利用率。
四、結語
隨著網絡的發展,云計算技術的不斷成熟,作為一種新型的服務模式,云計算必將為計算機應用帶來新的變革。建設基于云計算的計算機實驗室,輕松實現不同設備間的數據共享,為用戶提供無限的存儲空間和計算性能,并保證數據的安全、可靠。云計算與高校計算機實驗室建設的結合,有效整合了高校教學資源,提高了資源的利用率,從而為高校實驗室建設提供參考,也進一步拓展了云計算的應用領域。
篇11
1.2數據穩定性
數據完整性在實際的體現過程中,主要是結合數據的一種基礎保證過程,實際的數據傳輸以及存儲中,將外界的主要影響因素全面降低,并脫離于內部偶然事件的發生,保證數據存在一定的穩定性。
1.3數據可用性
數據可用性分析的過程中,往往是結合云計算的一種基礎條件,在云計算條件的影響下,結合相關網站的訪問情況,對有效信息進行獲取,基于一種安全特性的主要系統,對下載權限進行設置,進而對使用者的相關信息進行安全性保證,并對有價值的一種數據進行綜合性的分析。
2云計算環境下影響校園網絡信息安全的因素
2.1網絡系統的風險性
對于計算機網絡系統而言,不僅僅存在一定的硬件系統,同時也存在一定的軟件系統,基于硬件系統和軟件系統應用的過程中,主要是結合校園網絡系統一些缺點部分,對用戶系統中的重要信息進行獲取,并借助于用戶的一種超級權限進行綜合性的分析。在校園網絡系統安全性產生的過程中,基于一種計算機技術水平條件中,網絡協議同樣也存在一定的漏洞,一旦不法分子利用的過程中,將會獲取一定的權益。
2.2網絡環境的復雜性
現代化云計算的一種環境中,校園網絡用戶始終處于一種不斷增加的狀態,網絡信息的安全同樣也存在各種因素。在非法訪問中,主要是結合一種未經授權的主要條件中,借助于網絡設備的相關系統漏洞情況,對相關信息進行全面的獲取。而網絡系統和相關數據信息在肆意改變的過程中,基于一種開放性的特點,在計算機病毒植入的過程中,對于受訪者的系統有著直接入侵過程,進而逐漸的使得受訪者的用戶信息處于一種丟失的狀態。
2.3網絡設備的穩定性
網絡設備的運行過程中,基于一種云計算環境下,校園網絡信息的安全,往往需要網絡設備有著一定的穩定性。硬件設備處于安全運行的過程中,對于硬件系統往往有著相對較高的要求,而基于軟件設備的運行中,更要保證網絡的設備有著穩定性的特點。
2.4缺乏網絡安全意識
校園網絡信息安全性的相關因素影響同樣也取決于網絡安全意識,在云計算應用過程中,基于一種網絡安全的角度,注重網絡安全意識的全面培養,并做好病毒的合理查殺。校園網絡信息安全性的保障過程中,更要注重網絡安全意識的全面保障,增強用戶的網絡安全意識。
3云計算環境下校園網絡信息安全防范措施
3.1防火墻技術
防火墻技術主要是網絡安全的一種重要門戶,在內部網絡和外部網絡實現的過程中,對于網絡系統的可用性有著一定的保證。防火墻中的包過濾性防火墻結構,主要是綜合性分析內部網絡,有著較快的處理速度。而雙宿網關防火墻主要是做好內外網絡之間的一種連接,有著較高的安全性。屏蔽主機防火墻,避免外部主機和內部主機的連接,將網絡層以及應用層的安全實現。
3.2分布式入侵檢測技術
分布式入侵檢測技術,在存取控制過程中,實現操作權限的合理分配,在數據完整性保持的過程中,注重加密技術的應用,做好用戶身份的基礎認證,基于一種安全協議角度,實現復雜網絡信息的安全管理。
3.3網絡安全掃描技術
網絡安全掃描技術作為網絡安全防護技術中的一種特殊形式,在網絡設備以及終端系統進行綜合性檢測的過程中,將缺陷中的漏洞找出,并做好漏洞的全面防護,將網絡的安全性顯著提高。在多次的網絡安全掃描中,不斷的修補漏洞,做好校園網絡信息的安全性保障。
3.4網絡安全管理
網絡安全管理過程中,更要注重用戶重要信息的安全管理,結合云計算中的一種密鑰管理,做好重要信息的雙重加密,對權限進行設置,進而做好用戶重要信息的保護。網絡安全管理中,注重用戶隱私信息的保護,在雙重加密的過程中,提高文件的安全性能。
4云計算環境下校園網絡信息安全技術的發展趨勢
4.1數據加密技術
數據加密技術在現代化網絡信息安全內的保護應用過程中,基于一種云計算環境的條件下,在相對較短的時間內,將數據的加密和解密全面實現,用戶安全管理中,保證網絡系統有著安全可靠性的運行。在計算機網絡技術的不斷發展中,做好非對稱性的一種加密,在數據加密中,將加密密鑰和解密密鑰進行分離,避免密鑰的丟失進而對數據信息帶來一定的威脅。在加密密鑰的使用過程中,結合相關信息,對解密密鑰進行推算,結合用戶的實際使用習慣,在加密信息排列的基礎上,提高破解的難度。
4.2邊界安全技術
邊界安全技術的使用過程中,基于網絡用戶安全需求的一種特點,將網絡邊界的一種模糊性顯著降低,借助于防護設備和實際的技術,結合入侵檢測系統,將相對完整的系統逐漸的形成。在云計算環境中,共享訪問者的相關信息,將網絡系統的一種風險抵御能力顯著提高,對系統的安全運行進行根本上的保障。邊界安全技術的應用,往往需要具備相關的計算機知識,在有效運用的過程中,對邊界安全技術的推廣使用進行限制。
篇12
1 引言
隨著云計算技術的發展與成熟,利用云計算技術建設安全、高效、經濟、低碳的數字圖書館,按需為讀者提供個性化數字閱讀服務成為圖書館發展的趨勢與必然。云計算環境下,數字圖書館具有基礎設施結構復雜、安全威脅增多、讀者云閱讀需求多樣化、云閱讀活動滿意度與收益率要求高的特點。因此,利用虛擬化技術對云計算、云存儲和網絡資源進行統一管理和資源共享,實現云基礎設施、操作系統和讀者服務軟件等IT資源表示、訪問、配置的簡化管理,并提供標準的接口來進行數據輸入和輸出,是實現數字圖書館云系統資源最優化管理與分配的保障。
Gartner預測到2015年,企業數據中心40%的安全資源管理內容將是虛擬化的。因此,隨著虛擬化技術在數字圖書館建設、運營、維護活動中的普及,利用虛擬化技術在降低云圖書館建設、管理、運營、維護成本,并提高數字圖書館云系統組織、結構邏輯性的同時,保證數字圖書館云應用安全和讀者云閱讀活動服務質量,是關系云計算環境下數字圖書館虛擬化建設與安全所面臨的重要問題[1]。
2 云圖書館虛擬化安全問題與需求
虛擬化是云計算的關鍵支撐技術,為云計算環境下數字圖書館云計算、云存儲、網絡、用戶桌面與閱讀應用等資源提供邏輯化的資源管理、分配與優化。在大幅度降低云圖書館建設、管理與使用成本的前提下,提高資源的可管性與可用性。云計算環境下,虛擬化安全問題是關系云圖書館建設與讀者云閱讀活動服務質量的關鍵因素,也是云圖書館可用性效能判定的重要指標。
2.1 虛擬化環境更加復雜、多變
隨著虛擬化技術的應用,數字圖書館在大幅降低云計算、云存儲和管理服務器硬件設備采購數量的前提下,利用虛擬化技術將單一服務器劃分為若干個虛擬化設備,依據讀者云閱讀服務活動資源使用量按需分配。
虛擬化技術雖然提升了數字圖書館云數據中心資源的管理與使用效率,但是,單一物理服務器所承載的業務將更加密集、繁重,物理設備在邏輯上的隔離也無法保證不同用戶、業務應用系統之間的完全隔離,數字圖書館傳統意義上的安全界限將更加模糊和難以劃定。此外,虛擬化環境下云基礎設施結構與軟件系統環境將更加復雜、多變,增加了黑客利用虛擬機操作系統和應用程序漏洞進行攻擊的成功概率。同時,虛擬化環境下數字圖書館安全防范的對象與內容進一步擴大,對核心系統的攻擊可能會造成云圖書館服務中斷、系統崩潰和控制權限丟失。第三,黑客可能會利用虛擬化技術的超級計算能力發起對云數據中心的攻擊,并巧妙隱藏個人行蹤,使非法攻擊難以預測和發現[2]。
2.2 云圖書館虛擬化安全應用效率要求增加
云計算環境下,數字圖書館虛擬化應用具有智能管理、自動配置和動態遷移的特點。同時,復雜的云基礎設施結構與讀者數量具有極大不確定性。因此,造成云圖書館在虛擬化應用安全策略的制定、實施、管理和監測上具有較大難度,應根據虛擬化應用安全需求、用戶要求、環境特點和客戶端現狀而制定相應的安全策略。此外,在不同虛擬機上執行安全防護策略時,應對虛擬化安全監測的范圍、時間、內容與標準進行合理規劃,并部署具有虛擬化感知能力的安全解決方案,避免虛擬化安全應用占用過多的系統資源而導致數據中心整體性能下降。第三,需加強虛擬化管理員與云計算、云存儲、云系統管理員的技術協調。在提高云圖書館虛擬化應用安全性的前提下,避免“防病毒風暴”的產生,確保云數據中心管理、運營活動的高效和有序。
2.3 虛擬化網絡安全問題更加突出
虛擬化環境下,云數字圖書館網絡拓撲結構重新組合,云數據中心網絡、云圖書館功能區域內部網絡、服務器物理設備內部邏輯網絡結構的變化,產生了許多新的安全問題。同時,虛擬化網絡內部安全區域劃分更加模糊,傳統的軟、硬件防火墻和網關設備無法通過建立多個安全隔離區及制定、實施不同的安全策略來滿足系統設備與虛擬化應用安全需求。此外,虛擬交換機與外部拓撲網絡結構易變,導致云系統安全威脅與攻擊對象無法準確定位,造成安全問題的擴散。第三,云計算環境中虛擬機遷移頻率和虛擬化設備之間的數據交換量,隨著圖書館云服務業務量的不斷增長而增加。此外,不同虛擬設備之間通信鏈路的建立與斷開具有極大的隨機性。因此,利用虛擬化網絡建立和虛擬機之間的數據通信過程進行滲透攻擊,成為黑客攻擊虛擬化網絡的重要方式[3]。
2.4 虛擬化技術存在安全隱患
隨著云計算技術的發展,虛擬化技術在數字圖書館建設、服務活動中的應用范圍不斷擴展,其功能和可用性也不斷增強。但是,虛擬化技術在提高云系統可管性、易用性的同時,也增加了系統復雜度,導致虛擬化安全漏洞和安全防范內容不斷增加,比傳統數字圖書館IT環境更容易受到攻擊。
首先,為了提高虛擬機的安全性,應根據虛擬機應用類別和安全需求級別進行云資源與用戶的邏輯隔離。但是,傳統利用網關、防火墻等方式進行設備物理隔離的方法,已不能適用于采用邏輯劃分方式所建立的虛擬化系統。因此,不正確的虛擬機安全隔離方式可能會造成數據的泄漏或者云系統工作效率的下降。第二,虛擬設備的遷移、逃逸等問題,會造成網絡地址、端口等參數的隨機變化,增加了管理員監控、管理虛擬化設備的難度,使黑客更易于獲得虛擬設備的控制權。第三,云計算環境下數字圖書館讀者服務具有突發性和隨機性的特點,虛擬機在云資源分配活動中可能會因為不科學的資源管理、分配策略和優先級別劃分方式,而導致資源分配、使用效率的降低和無節制濫用資源。
2.5 虛擬化安全攻擊形式多樣化
與傳統IT環境相比,云計算環境下數字圖書館遇到的安全問題更加復雜、多變,虛擬化技術在提高云系統管理、運營效率的同時,也增加了系統的復雜度和管理難度。
在虛擬化環境下,云圖書館除面臨傳統的安全威脅和攻擊方法外,利用虛擬化管理、應用程序漏洞而發起的,以獲得云系統控制權和降低云系統運營效率的攻擊,成為云圖書館所面臨的主要安全攻擊方式。其次,如何快速有效地對處于快照、休眠、激活過程中的虛擬機提供有效安全防護策略,確保虛擬機從休眠狀態過渡到激活狀態時及時獲得保護。第三,云計算環境下,黑客常通過租賃或攻擊的方式獲得某一虛擬機的控制權,進而借助此虛擬機發起對整個云系統的攻擊。如何通過有效部署和虛擬化環境底層系統無縫集成的安全解決方案,有效實現對云系統內部虛擬設備之間數據通信的監控、屏蔽與隔離,是確保虛擬系統整體安全的有效方法[4]。
3 云圖書館虛擬化安全管理策略
3.1 提高虛擬化系統健壯性
提高虛擬化系統自身健壯性,是確保云圖書館數據中心硬件設施、管理與控制系統、應用與服務系統平臺、安全防御系統自身免疫力,免受已知和未知病毒、攻擊方式、系統漏洞侵害的首要條件。
首先,圖書館應根據服務商云租賃平臺安全特點、云圖書館安全需求、虛擬化應用類型、安全需求和環境特點,在保證虛擬化系統安全標準和虛擬化應用效率的前提下,與云服務提供商共同制定相應的安全管理策略,實現虛擬化資源收集和分配的細粒度管理,確保虛擬化應用具有較高的可見性、相關性、可用性和擴展性。其次,應保證虛擬機部署活動高效、精細、可控、安全,虛擬機應用過程符合云計算和虛擬化應用安全標準。第三,云計算安全監測和管理平臺能夠全程、大范圍地實施監控管理,能夠識別并預測未知風險和威脅,并通過安全報警、主動防御、日志審查和智能預測等方式保障虛擬化應用安全。第四,應通過集中、壓縮、過濾虛擬化應用過程和數據量的方式,大幅降低虛擬化應用與管理的成本、難度和復雜度,實現數字圖書館虛擬化資源與應用的集中控制、細粒度管理、資源快捷交付和基于安全策略的訪問控制[5]。
3.2 基于傳統IT架構的虛擬化安全嵌入
云計算環境下,數字圖書館通常以云遷移的方式進行云基礎設施和服務環境的構建。因此,基于傳統IT架構基礎之上的虛擬化安全嵌入,是實現云圖書館建設投資收益最優化的有效途徑。
首先,在虛擬化技術選取和虛擬化應用構建初期,應結合虛擬化安全需求和云安全環境特點,將安全機制內嵌入虛擬化環境中,保證云計算環境下虛擬化具有較高的安全標準。其次,在虛擬化資源管理和虛擬機軟件運行過程中,依據虛擬化應用實際劃分詳細的安全隔離區域和不同等級的安全標準,實現虛擬化資源與數據交流的安全控制策略。第三,虛擬化安全管理與應用必須確保具有較少的云系統資源消耗量,實現虛擬化安全收益和云系統資源消耗的最優化交付。第四,在虛擬化安全策略制定和實施過程中,應減少對物理基礎設施安全管理方式的依賴性,不斷提高物理設備虛擬化管理的可視性和可控性,實現服務器集群、虛擬化資源池、虛擬化網絡、虛擬化數據中心的自動化配置。
3.3 虛擬化網絡安全防護
3.3.1 確保虛擬化網絡易監控和可管理
隨著云計算環境下虛擬化系統結構和虛擬化應用復雜度的不斷增加,許多云租戶可能會共享位于同一物理設備上的不同虛擬機,云服務提供商也可能會根據數字圖書館不同云應用需求而分配位于不同物理設備上的虛擬機。因此,虛擬化網絡結構復雜、虛擬化交換設備流量激增,是云計算環境下虛擬化網絡的特點。
首先,應將多個虛擬化網絡設備整體綁定為一個邏輯設備統一管理,并根據虛擬化設備的應用特點和安全要求,劃分不同的安全區域并制定相應的安全策略。同時,利用虛擬化軟件防護、虛擬化防火墻和入侵檢測方法,在減少安全資本投入和合理使用資源的前提下,提高虛擬化網絡的安全性。其次,應自動化、智能化地實現網絡入侵防御和網絡安全漏洞修復,能夠利用云防毒技術預測、判定和防范未知病毒,并對重要數據在網絡傳輸前實施加密。第三,云圖書館不同用戶和虛擬化應用可能會使用同一物理設備上的虛擬機,并且具有不同的安全標準和要求。因此,在虛擬機安全管理上應避免依據物理設備位置和端口進行安全綁定。應依據用戶和虛擬化應用的IP地址、Vlan等標識,把安全設備上的虛擬設備與用戶資源池對應起來,實現虛擬化網絡標識層面的安全防護[6]。
3.3.2 實現虛擬化網絡數據流量的監測和安全管理
云計算環境下,數字圖書館虛擬化網絡數據傳輸主要可分為兩種方式。一是數據流經數據中心不同物理設備或經過交換設備轉發而流向用戶,二是數據在某一物理設備內部不同虛擬機之間交換。因此,虛擬化網絡具有組織結構復雜性和拓撲結構不確定性,虛擬化網絡傳輸具有數據流量大、網絡結構邏輯化、網絡拓撲結構易變和網絡流量可控性差的特點。
流經數據中心不同物理設備或經過交換設備轉發而流向讀者的數據,是云圖書館交換設備、網關、入侵防御設備的主要安全保障對象,其傳輸安全、有效性是云圖書館用戶服務質量保障的前提。因此,對于此類數據的監控和管理,主要以依靠傳統IT環境下的網絡監控、防御系統為主。根據數據傳輸區域和對象實際在交換節點部署安全設備,并結合不同用戶數據傳輸安全和質量要求制定相應的轉發、隔離和安全管理策略,在符合數據傳輸安全要求的前提下保證傳輸質量。
同一物理設備內部不同虛擬機之間的數據傳輸是虛擬化網絡存在的特有問題。同一物理設備內部不同虛擬機數據交換的復雜性、不可預測性和不可見性,是導致虛擬機之間數據監控、管理難度增大的主要原因。因此,在傳統監控、管理設備和安全策略無法對虛擬機數據傳輸實施管理的情況下,應建立高效的虛擬交換機并設置相應的訪問控制和數據交換策略,實現不同虛擬機之間的網絡層數據傳輸監控和流量漏洞攻擊行為檢測,并利用虛擬網絡防火墻實現虛擬化數據傳輸的管理和數據流分離[7]。
3.4 加強虛擬化設備管理和應用安全性
云計算環境下,數字圖書館如何根據讀者云閱讀服務和虛擬化管理安全需求,結合虛擬化應用系統自身結構、運營特點,智能、自動化地對虛擬設備進行管理安全策略和運行可靠性檢查,是確保物理設備和虛擬化系統運營安全、高效的前提。
虛擬化設備安全內容主要為物理設備的可虛擬劃分性、操作系統可靠性、虛擬化管理程序高效性、虛擬化應用程序可執行性、相關數據的安全保密性等方面內容。首先,應堅持虛擬化系統與應用程序的整體安全性能評估和虛擬化應用系統運行可靠性測試,確保虛擬化應用程序安全、透明、高效、靈活,在提高單一虛擬化程序運營效率時以不降低整體系統性能為代價。其次,應根據虛擬化應用安全需求劃分不同的安全等級。對涉及云圖書館管理、運營、安全、服務的虛擬化應用,應創建位于不同物理設備的備份虛擬機,確保當主虛擬機出現故障時快速切換,保證虛擬化應用的連續性。第三,應根據虛擬化應用優先級別和資源使用量,在降低虛擬化應用管理復雜度的前提下,實現虛擬化資源的動態分配和智能化負載遷移,確保虛擬化應用系統安全、高效、均衡、經濟。第四,為了提高虛擬化應用安全,應將虛擬服務器的配置文件和虛擬硬盤鏡像文件進行備份,當數字圖書館虛擬化應用停止工作時,只需將備份好的文件還原到新的服務器上即可恢復服務。此外,應對安全標準要求高的虛擬機實現加密的數據通信。
3.5 提高虛擬化安全管理策略的高效性和可執行性
制定高效、可執行的虛擬化安全管理策略,是保障云圖書館虛擬化安全的前提和必要條件。
首先,應根據虛擬化系統組織結構和功能,將云服務供應商和云圖書館安全職責內容明確,并依據云計算安全標準對虛擬化安全配置和應用進行測試、評估。同時,應對數據進行分類存儲和流量分流,加強虛擬化系統的監控、安全分析與數據訪問的身份管理。其次,應加強用戶虛擬化閱讀終端設備的安全管理,通過托管、身份管理、日志審查、安全補丁等較低的安全投入,確保虛擬桌面具有較強的系統可操作性和數據可靠性。第三,應從提高云圖書館虛擬化應用管理安全、高效、經濟、可控性目的出發,由云圖書館虛擬化管理員創建用戶對虛擬化系統的細粒度訪問控制政策,并對訪問活動全面監控、記錄和上報。第四,結合所制定的虛擬化安全管理策略,部署智能、自動化的系統管理、監管和監視工具,并通過宿主機的最小化安裝來降低黑客可攻擊的接口數量和攻擊成功概率[8]。
3.6 建設開放、可靠的安全防御系統
虛擬化應用增加了云圖書館管理和用戶服務系統結構復雜性,傳統的安全防御體系已不能完全解決云虛擬化應用環境中的安全問題。必須結合數字圖書館虛擬化應用安全實際,建設安全、可靠的云圖書館虛擬化安全防御系統,并制定相應有效的安全防御策略。
首先,應根據虛擬機安全級別和任務量,對一些涉及云圖書館安全性和云閱讀活動服務質量的虛擬機,通過分配獨立CPU、硬盤等方式,以及采用虛擬化和物理化雙層隔離的方式來保障虛擬設備應用安全。同時,可通過在數據庫和應用程序層間設置防火墻、隔離區(DMZ)內運行虛擬化、安全監控、漏洞補丁等方式,消除虛擬機溢出隱患。其次,云圖書館在開發、購買虛擬化應用產品時,應加強對API(應用程序編程接口)開放程度的監管,確保開發、購買的云圖書館虛擬化產品具有較高的安全性和可控性。第三,應定期全面、系統地評估云圖書館系統架構和虛擬化應用系統的健壯性,并有針對性地進行系統安全加固和應用程序的更新。第四,必須加強虛擬防火墻的部署和網絡入侵檢測。應特別加強虛擬防火墻在核心交換機和骨干服務器群之間、物理網絡和虛擬網絡之間、不同虛擬化網絡之間位置的部署,并對可疑或者非法虛擬機流量進行強制隔離[9]。
4 結語
云計算環境下,隨著云圖書館建設規模的不斷壯大和服務功能的擴展,數字圖書館虛擬化安全問題將直接關系到云圖書館的服務質量和未來發展,是一個涉及云圖書館基礎設施架構可靠性、云圖書館運營與管理效率、讀者云閱讀活動滿意度、云圖書館安全的重要問題。因此,只有將虛擬化安全問題與云圖書館系統拓撲架構科學性建設相結合,將虛擬化安全管理有效性與讀者云服務系統可管、可用性相結合,堅持虛擬化安全建設高效、可管、經濟、易用的原則,在不影響云系統運營效率的前提下實現虛擬化安全投入的最優化收益,才能確保云計算環境下數字圖書館虛擬化應用安全、高效,為讀者提供滿意的云個性化數字閱讀服務[10]。
參考文獻:
[1]張建勛等.云計算研究進展綜述[J].計算機應用研究,2010,(2):429-433.
[2]錢文靜, 鄧仲華.云計算與信息資源共享管理[J].圖書與情報,2009,(4):47-52.
[3]Buyya R,Yeo C S,Venugopal S,etal.Cloud computing and emerging IT platforms: vision,hype,and reality for delivering computing as the 5th utility[J].Future Generation Computer Systems,2009,25(6):599-616.
[4]因特爾開源軟件技術中心,復旦大學并行處理研究所.系統虛擬化一原理與實現[M].北京:清華大學出版社,2009:33-42.
[5]王長全,艾雰.云計算環境下的數字圖書館信息資源整合與服務模式創新[J].圖書館工作與研究,2011,(1):48-51.
[6]杜海, 陳榕.基于完全虛擬化的進程監控方法[J].計算機工程,2009,35(8):88-90.
[7](美)胡普斯等.楊謙,謝志強譯.虛擬安全一沙盒、災備、高可用性、取證分析和蜜罐[M].北京:科學出版社,2010:57-69.
[8]江迎春.VMware和Xen虛擬網絡性能比較[J].軟件導刊,2009,8(5):133-134.
篇13
(2)用戶管理權限。在任何條件下用戶管理權限都是計算機使用安全的基本保障。用戶借助云平臺來完成自己的操作就需要在云客戶端上登錄信息,在取得權限以后才能進行相關操作。而云平臺儲存了大量的信息,同時也給惡意軟件提供了溫床,那么黑客可能就可以獲取使用權限,這也就帶來了極大的安全隱患。
(3)數據安全。表面上云平臺數據并無太大問題,但是依然存在著一些潛在患,例如在進行數據傳遞過程中可能會受到黑客的攻擊,同時這些數據也有可能受到惡意篡改。
(4)虛擬機安全。與傳統計算機平臺不同的是云計算平臺需要借助于虛擬機才能夠進行正常工作,虛擬機為云平臺帶來了極高的處理效率,但事實上虛擬機之間的供給和安全級別依然存在著缺陷,這就有可能造成部分惡意軟件附著于虛擬機當中甚至對整個云平臺工作產生影響[2]。
二、提升云計算背景下計算機安全程度的有效對策
2.1加強相關法律監管。作為信息時代下的新產物云平臺目前還缺少相應的法律監管規程或者說相關的法律體系還不夠健全,為了讓云平臺的安全性得到保證應該盡快加強云平臺法律建設,將云計算服務的安全管理列入法律章程從而形成規范化、統一化的管理。另外借助于法律機制也可以加強云平臺的實際監管效應為云平臺運行提供一個良好的基礎環境。
2.2提升技術監控水準。對云計算技術以及相關業務進行徹底的分析并根據分析情況構建出有效的技術監控體系。正是由于云計算普及面的加大使得互聯網業務開發的門檻得到了降低,同時也給信息傳遞渠道提供了新的構建方向。對于以上情況就必須通過針對性的監控技術來保證云計算服務以及相關渠道的安全,通過開發審計系統、定位系統等來構建信息反饋通道為云平臺提供一個良好、可靠、穩定的網絡信息環境。
2.3加強云計算安全管理制度建設。在云計算安全管理制度建設過程中首先要確定安全等級并將云計算服務的類別分清楚,例如有私人云服務、家庭云服務、企業級云服務以及政府級云服務等。根據不同的安全等級來設定相關的防護標準以及對應的安全管理制度從而促進云平臺安全性的進一步提升。為了讓制度得到充分落實國家應該給予云平臺建設高度重視,加大云計算業務自主研發力度從而減少對國外技術的依賴,構建出具有自主產權的技術核心,這對于云平臺安全建設將有著極大的促進作用。
2.4對云計算服務進行準確定位。云計算業務的種類繁多,因此需要對其中的各種業務進行準確的定位,這樣才能夠形成一個統一化的管理體系從而促進云平臺的和諧發展。
2.5從技術層面上對云平臺安全進行優化。采取數據加密、隔離等措施來對云儲存進行保護同時采取第三方實名監管制度來保證信息的真實性。對于虛擬機可以使用在虛擬機的基礎設施之中運行的虛擬網關安全,對相關安全測策略進行針對性定義,同時加強流量監視。服務方面則要求構建出完整的服務水平協議并讓用戶能夠完全了解協議內容,讓用戶可以對風險進行預見性判斷。另外利用單獨加密技術來對重要數據文件進行加密,然后再將其共享于云網絡,加大網絡信息安全審計的力度來保證數據信息安全[3]。