引论:我们为您整理了13篇云计算中的安全管理范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
社会的发展与进步使得各行各业对于计算机发展的需求日益提高,尤其是一些用计算机网络进行工作的行业,同时一些行业中对于计算机网络管理安全方面的要求也是十分高的。所以,对于计算机网络管理中的安全技术的研究是十分有必要的。我国计算机领域对于计算机网络管理中的安全技术方面虽然有了一定的研究,并且在不断的研究中也取得了一定的成果,但是随着各行各业发展的需求,现有的对计算机网络管理中的安全技术方面的研究已经不能很好的满足社会发展的需求。因此,在今后的发展中,我国计算机领域的相关人士要加强对计算机网络管理中的安全技术运用的重视和研究,同时研究中逐渐的将这一研究纳入到计算机领域研究的一个重要课题,从而在更大程度上促进计算机网络管理中的安全技术运用的发展和进步。
一 计算机网络管理
1.1 故障管理分析
一个可靠、稳定的计算机网络是每个用户都希望的,当某个网络部件出现实效情况时,要求网络管理系统能够将故障源迅速排出,并作出及时地处理。通常来讲,故障管理包括检测故障、隔离故障、纠正故障三方面。其中故障检测是以对网络部件状态的相关检测为依据的,一般情况下,错误日志中记录简单的非严重故障,且不需作特别的处理。而对于一些严重故障时,则需要进行报警,即向网络管理操作员发送通知。网络管理应用应以相关信息为依据, 来实施警报处理, 当遇到较为复杂的网络故障时,网络管理系统应通过一系列的诊断测试来对故障原因加以辨别。
1.2 配置管理分析
配置管理是计算机网络管理中的重要内容,它对网络进行初始化,并实施网络配置,从而实现网络服务的提供。配置管理是集辨别、定义、控制、监控于一体的管理形式,具备一个网络对象必需的功能,其管理实施的目的在于实现网络性能或某个特定功能的优化。
1.3 性能管理分析
性能管理是对系统通信效率、资源运行等性能的相关统计,其性能机制是对被管网络及服务提供的监视与分析。对于性能的分析结果可使得某个诊断测试被处罚或网络重新配置,进而对网络性能进行维护。性能管理对当前被管网络的状态数据信息进行收集于分析,并进行对性能日志的维护与分析。
1.4 安全管理分析
安全性向来是计算机网络的薄弱环节,加之用户对于安全性的高要求,使得网络安全管理的受重视程度也来越高,且扮演者越来越重要的角色,其管理的实施主要是应用网络安全技术,来为计算机网络的应用提供有力保障。
二 影响计算机网络安全的因素
网络系统自身的因素有:
①网络的开放性使信息缺乏有效的保护,计算机网络的开放性和广域性使计算机网络上存储、传输和处理的数据信息,在安全性和保密性方面也受到一定的冲击;
②Internet 的数据传输协议、通信协议、通信软件系统不完善,存在一定的漏洞,给各种不安全因素的入侵留下了隐患;
③Windows 等计算机操作系统存在安全漏洞和安全脆弱性问题。人为因素有:
①黑客攻击使网络安全防不胜防。侵入网络的黑客恶意窃取和损坏数据,对网络构成极大威胁;
②大量涌现的计算机病毒通过 Internet 在网上极快地传播,给网络安全带来了巨大的灾难。病毒使计算机及其网络系统瘫痪或工作效率降低,还或以破坏计算机硬件系统,使数据和文件被破坏或丢失。
三 计算机网络管理安全技术
由上述可知,计算机网络管理涉及的方面很多,同时影响计算机网络安全的因素也是多个方面的。所以,对于计算机网络管理中的安全技术运用方面的研究就会具有很大的压力和困难。然而,计算机网络管理安全对于许多行业、以及社会经济的有序进行和发展都有着不可忽视的重要作用。因而,对于计算机网络管理中的安全技术的研究是十分有必要的。本文在此对计算机网络管理安全技术进行了一定的探索,希望能够为该技术的发展和应用提供一些有意义的参考。
3.1 身份认证技术
这一技术是确认通信方身份的过程,即用户在向系统发出服务清楚时,须对自身身份加以证明。通常情况下,身份认证技术以生物技术、电子技术或两种技术相结合的方式来对非授权用户作阻止进入处理。身份认证的常用方法有智能卡技术、基于认证第三方的认证机制、口令认证法等。通常来讲,授权机制是同身份认证相联系的,服务提供方在确认申请服务客户的身份后,就需对其访问动作授予相应权限,从而对客户访问范围进行规定。
3.2 防火墙技术
综合性是这一技术的特点,其实质是对网络的出入权限进行控制,迫使全部链接均经过检查,来防止网络受到外界的破坏和干扰。作为一种控制隔离技术,防火墙技术通过在机构网络与不安全网络间相应屏障的设置,来对非法访问作出阻止,或应用防火墙来防止企业网络重要信息的非法输出。通常情况下,企业在企业网与互联网间设置防火墙软件的目的是为了维护企业内部信息系统的安全性,企业信息系统通过选择性的接受来应用来自互联网的访问,它可以禁止或允许一类的具体 IP 地址实施访问,也可拒绝或接收 TCP/IP 上某一类具体 IP 的应用。
3.3 加密技术
电子文件具有易传播、 易扩散的特点, 容易造成信息的失密。为防止这一情况的发生,就需要应用加密技术来对网络中正在传播的电子文件或数据库存储的数据进行保密,从而使得非法借或者不能获悉文件中的内容。现行网络传输中, “双密钥码”加密是通常采用的形式,通信者同时掌握公开密钥和解密密钥,只要解密密钥不泄漏出去,第三者要想破密就存在很大的难度。
3.4 入侵检测技术
入侵检测是对面向网络资源和系统资源的未授权行为作出识别与相应,从而对当前网络和系统的安全状况加以明确。入侵检测技术具有监视系统行为与用户、系统配置审计、数据完整性与敏感系统评估、攻击行为识别、统计异常行为、系统相关补丁的自动收集、违反规定行为的审计跟踪、黑客行为记录等功能,从而使系统管理员对可疑访问进行有效地监视、评估与审计。
结语:综上所述,计算机网络管理安全技术对于计算机领域的发展,以及社会许多行业的发展进步有着不可忽视的重要作用。然而,从上面的阐述中,我们很清楚的了解到,计算机网络管理安全技术是一项涉及方面比较多,且每一方面都比较复杂的技术,再加之我国计算机领域对于计算机网络管理安全技术运用方面的研究还没有达到一定的深度和广度,因而,对于当下的计算机网络管理安全技术运用的进一步应用和推广是不利的。所以,在今后的计算机领域的发展中,相关人士要加强对计算机网络管理安全技术运用研究的重视,从而研究出更好、更有利于计算机网络管理的安全技术。
参考文献
篇2
计算机信息管理系统会受到软件漏洞的影响,这些软件漏洞将会被黑客所利用,逐渐形成安全隐患,因此,必须要进行软件的维护工作。,计算机信息管理技术应用汇总必须要制定出相关的安全防范策略,不能够盲目进行软件的安全,若是不对其进行维护,那么是无法取得较大的成果的。要定期对一些无用的软件进行卸载,从而来定期进行升级软件,避免出现一些软件漏洞,从而来充分保证系统的安全性。
三、结语
现今来看,信息技术对人们的生活中影响越加的重大,尤其是在人们的生活、学习以及生产方面。然而当前网络安全漏洞问题比较突出,这将直接对人们的网络信息造成影响,因此必须要采取有效的措施进行处理,以此来不断提升网络的安全性。能够在网络安全中有效应用计算机信息管理技术,从而来保证网络的稳定运行。
参考文献
[1]吾湖兰吾拉木.计算机网络安全问题的分析与探讨[J].科技风.2016,(16):55-56.
[2]陈曦,张晨.网络安全问题分析研究[J].数字技术与应用.2016,(08):65-66.
[3]侯英鹏.计算机通信中网络安全问题分析[J].黑龙江科技信息.2016,(28):30-31.
篇3
1.1 黑客对PC端的入侵
自有计算机技术之初,相应的黑技术也同时兴起,可以说黑客技术与计算机技术在同一时代始终博弈从未停止。部分对于计算机编程以及网络应用的专业人士,通过自身的技术手段利用网络对个别PC端计算机进行有计划的攻击,称之为黑客入侵,对网络安全造成了很大程度上的影响。其中拒绝服务对计算机系统具有破坏性,虽然没有对系统资料产生影响,但是会阻碍网络系统的工作秩序。而对于网络安全而言信息炸弹更加具有威胁性,不仅能入侵计算机系统内部,同时会盗取重要信息。那么黑客进行入侵的过程需要具备两项基本条件,一方面需要网络环境开放,另一方面需要植入木马。因此应当定期清理计算机系统,避免为黑客入侵造成可乘之机。
1.2 病毒传播对计算机威胁
计算机病毒是网络安全的重要问题,虽然与其他软件系统一样由技术人员编写的应用程序,但其对计算机存在很高的威胁。病毒主要通过网络进行传播,在进入个人PC终端之后,通过无限复制破坏计算机系统。我国在2006年发生过“熊猫烧香”病毒的广泛传播,其归属于蠕动病源类型的网络病毒,病毒植入后计算机开机丧失应用界面,只有一只在烧香的熊猫。这款病毒虽然只是一位学生恶作剧行为,但是当时在我国的网络系统中造成很大影响。因此基于网络安全的重要性,也应当避免病毒的传播与侵入。
1.3 计算机自身的系统漏洞
计算机是网络环境里的终端,任何计算机自身的系统问题都会令其产生网络安全问题。计算机系统与其他任何系统一样都是人为编写的,虽然在应用到发行之前都做过大量实验,但百密一疏终究会有缺乏考虑的细节,从而造成了系统漏洞。而这些系统漏洞就成了黑客与病毒的主要入侵端口,然后对计算机进行攻击以及信息盗取。对计算机的正常使用产生了严重影响,甚至能够让系统全面瘫痪。那么对于计算机系统的全面升级与完善,在网络安全中也显得格外重要。
2 应对网络安全的需求,计算机应用信息管理中的技术分析
2.1 防火墙PC端技术
在网络安全的建设中,防火墙计算机起到了与外界明显入侵的判断隔离作用,对计算机在网络中的运行过程起到了一定的保护作用。目前应用于网络的防火墙主要有3种类型:式防火墙、包过滤式防火墙、地址转换式防火墙。通过建立访问权限以及相应的阻止信息传递,可以在网络中实现隔绝外部信息的作用,那么也就形成了对计算机的保护,不仅降低了信息泄漏的问题,同时也对黑客进攻起到了一定的防御措施。
2.2 安全状态下的评估技术
所谓安全状态的评估技术,就是在网络环境中,对计算机自身进行综合性的分析,从而判断其系统存在的相应风险,利用相应的检查手段,对恶意代码进行排查,以及对木马病毒进行查杀等方式。例如360杀毒软件,通过对计算机系统的定期检测,提升其计算机系统免疫能力,从而在计算机应用于网络环境的过程中进行数据信息的保护。而且安全状态评估也会对网络系统内部进行活动分析,从而了解系统情况以及运行状态,那么在利用网络功能结合自身系统功能的同时,便完成了实际安全的防护过程,以便于为网络环境实现安全运行。
3 在维护网络安全过程中,计算机信息管理技术的普遍问题
3.1 监测技术匮乏
较为常见的网络安全问题是黑客攻击和木马病毒。计算机信息管理技术,就是在监测技术中实现网络安全的防护,那么O测技术不完善,就难以发现网络安全问题,也就无法有效实施对安全问题的控制。例如2010年,维基解密病毒入侵了美国军事系统,盗取了机密的伊拉克战争文件,以至于重要军事信息泄漏。而这种病毒的成功入侵就是监测技术的匮乏,假设当时美军计算机系统完善了这项监测技术,那么也就不会产生严重后果。
3.2 欠缺相应的灵活性
计算机信息管理技术的灵活性,决定了计算机在发生病毒入侵时是否能够做出快速判断,以及快速反应进行有效防护机制。例如2011年IMF黑客入侵事件,再次验证了计算机信息管理技术欠缺相应的灵活性,不能及时有效地进行快速应变。那么缺乏快速灵活反应也成了计算机信息管理技术的弊病。
4 提升计算机信息管理技术在网络安全中的运用效能
4.1 网络安全中风险意识加强
无论计算机网络安全中出现任何问题,都会存在相应的人为因素。那么能够有效控制网络安全的风险,加强相关技术人员的网络风险安全意识尤为重要[1]。网络安全不仅局限于保障个人用户的信息安全,同时也是社会文化发展阶段中能够形成的正常网络秩序。那么解决网络安全问题,应当从其根源入手,将木马病毒等不良因素进行有效预防和处理。一方面,个人PC端的用户,在长期使用计算机的过程中,应当重视对于自身信息风险的保护意识,不应当在网络中轻易透露个人信息,包括家庭住址、个人IP地址、证件照、常用买家账户、身份证件、手机号、真实姓名、储蓄卡号或信用卡号等。另一方面,相关的计算机信息管理技术人员,也应当充分发挥出信息管理技术应用于网络安全中的有效作用。通过精准分析相应的网络安全问题,从而有效预防相关的安全风险,才能够最终有效控制网络中存在的安全风险。
4.2 应用计算机信息管理技术的管理工作
安全化管理是目前计算机信息管理技术在网络安全中的主要运行方式,那么做好相应的管理工作就是重要的处理方式。在加强计算机信息管理技术能力的同时,将网络安全问题把握在可以控制的范围之内。从实用角度上分析,加强相应的信息管理技术,就是将管理内涵及其理论进行相应的延伸,令其发展至网络安全的问题当中,进行相应的防范机制与预防方式之中。计算机管理技术在现代网络科技中已经广泛应用,其信息系统也更为科技化和专业化,同时计算机信息管理技术的系统体系之中,也包含了众多信息化因素。那么针对计算机信息管理技术,也应当重视计算机硬件与软件的管理工作。只有调整好相应的软件系统与硬件设备,才能够在有效衔接中,处理好相应的信息管理工作。排除不良因素的影响,是计算机信息管理技术的重点,只有完善其管理过程的优化,才能从根本上确保网络系统的安全运行。
4.3 计算机信息管理技术的相关制度建立
为了能够有效保障网络运行的安全性,必须建立相关的计算机信息管理技术制度[2]。从内部因素中寻找问题重点,创建有针对性的安全管理部门,通过完善日常管理工作,逐步优化相应的管理制度。与此同时,也要有效防范木马病毒的入侵,以及网络黑客的攻击。妥善安排固定时间对计算机进行检查,以及进行系统的更新,从而提升其在网络环境中的稳定性和安全性。为了计算机信息管理技术不受到外在因素的干扰,必须及时配备技术更新之后的计算机硬件,将标准配置的计算机应用于网络环境中,以便防止由于硬件故障产生的网络安全问题。除此之外,总结相关管理经验,为其信息管理技术能够在实际操作中进行有效应用,务必从统一的管理制度中,将计算机信息管理技术进行完善管理和高效运用,同时也应当安排相应的管理人员,进行对应的负责工作,从而在保障计算机信息管理技术应用于网络安全的阶段,提升其可靠性与安全性。
4.4 构建科学的信息管理技术模型
篇4
Basic architecture and data management technology of bridge safety and health
monitoring data center based on cloud computing
Tu Huimin1,2, Wu Jufeng1,2
(1. Wuhan Bridge Science Research Institute(BSRI) Ltd.MBEC, Wuhan, Hubei 430034, China;
2. Key laboratory of bridge structure and health of Hubei province)
Abstract: With the development of bridge safety&health monitoring data center (BSHM-DC) technology, the monitoring data is increased rapidly in exponential speed, which requires the data storage and management technology of data center to be more intelligent and efficient. In this paper, the data management technology and developing trend of BSMS-DC is put forward firstly. After illustrating the basic architecture of BSHM-DC on the basis of cloud computing, the selections of key devices and related software are discussed. Lastly, its application expectation of BSHM-DC is prospected.
Key words: cloud computing; bridge safety &health monitoring (BSHM); data center(DC); data management technology
0 引言
桥梁安全与健康监测系统是通过在桥梁的关键部位布置高可靠性和耐久性的各类传感器,对结构内力、变形、动力特性、环境状况进行实时监测,获取桥梁在营运期内受各种荷载作用下的结构响应,通过理论计算和规范值与实测值的对比、分析,实现结构异常响应报警、结构营运安全性评估、结构损伤识别等。由于该系统7*24小时不间断检测,所采集的数据量飞速增长。在面对多座桥梁监测系统集成管理的情况下通常采用直联式数据存储方式,其数据的存储能力、数据管理难度、数据安全,以及存储资源的利用等,都难以满足系统设计需求。
云计算可以满足新一代数据中心对网络、存储和计算的业务需求,并能提供丰富的应用服务,是新一代数据中心的核心要素[1-2]。本文通过引入云计算的基础架构,建立了基于云计算的桥梁安全与健康监测数据中心,将分散在全国各地的监测系统数据进行集中可靠的存储与管理,并通过云计算数据中心向用户提供高效、安全的服务。
1 桥梁安全与健康监测数据中心建设的现状
随着在役桥梁安全与健康监测建设的发展,桥梁安全与健康监测系统中海量数据的存储与有效利用日显重要,并成为在役系统普遍关注的一个重点。一个中等桥梁安全与健康监测系统数据日增长量在3GB/天左右,一年有1.1TB增量的数据,数据的维护管理主要依赖系统管理员定期执行,数据管理的实施方式难以统一。随着数据量的增加,数据管理工作量、管理难度及管理成本成倍增加,数据也得不到有效利用。
桥梁安全与健康监测数据中心引入云计算,可将业务数据和应用在公有云和私有云之间同步,当数据中心构建的私有云出现故障,应用可以无缝迁移到公有云中。通过云计算将分散在全国各地的业务系统数据通过INTERNET进行集中存储与管理,可向桥梁技术研究者提供数据共享服务分析桥梁健康监测海量数据;桥梁管理单位即使不具备桥梁专业技术知识也可以在任何地方、任何时间监测到桥梁的实际运营状况,获得桥梁健康监测报告及桥梁营运安全性评估等服务并实时反馈专家意见,大大提高了桥梁管养效率。
基于云计算的桥梁安全与健康监测数据中心建设分两部分,一部分是集成中心,另一部分是分散在全国各地的分中心。集成中心的数据增长量在10GB/天,分中心的数据增长量在3GB/天左右,增长量会随着业务量的增加而增加。集成中心利用云计算技术对服务器、存储、网络等IT资源进行虚拟化,将所有的IT资源放在一个资源池中并进行动态资源管理,对IT资源进行监管和云管理。当资源池中分配给某个桥梁安全与健康监测系统的资源出现故障或者该系统获得的资源不够用的时候,云管理平台会自动分配给它新的资源,从而保证系统7*24小时不间断运行。
分中心的数据通过公共Internet网络与集成中心组成云网络,数据进行同步,在集成中心对数据进行异地容灾备份。集成中心有两份数据,一份数据面向桥梁安全与健康监测系统(数据库A),一份数据是完全备份数据(数据库B)。我们主要考虑如何优化实时数据读取和历史数据查询。数据库B中保留所有数据,数据库A只保留最近1周的数据;业务系统实时读取的是数据库A中的数据,而查询一周之前的数据就读取数据库B中的数据。
图1 分中心数据库结构与操作
2 关键技术
云计算(Clouding Computing)由Google、Amazon等公司于2006年首先提出,它是一种利用互联网实现随时随地、按需、便捷地访问共享资源池(如计算设施、存储设备、应用程序等)的计算模式[3]。我国政府高度重视对云计算的发展,把其列为重点发展的战略性新兴产业[4-5],云计算技术的应用已成为国内外的热点研究问题[6-8]。
基于云计算的桥梁安全与健康监测数据中心的建设所需专业涉及面较广,如桥梁专业、网络通信专业、计算机专业等。本节着重讨论其在计算机领域内实现云计算数据中心的关键技术。
2.1 虚拟化技术
虚拟化技术能让所有计算元件在虚拟的基础上运行,是实现云计算数据中心不可缺少的功能。通过把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫虚拟化技术[9-10](Virtual Technology)。这种解决方案能在很大程度上优化资源、节约成本。虚拟化技术包括计算虚拟化技术、网络虚拟化技术、存储虚拟化技术。系统虚拟化前后的特点如表1所述。
表1 虚拟化前后特点比较
[虚拟化前\&虚拟化后\&每台主机一个操作系统\&每台主机上运行多个虚拟机,每个虚拟机一个操作系统
\&每台主机上运行多个程序,可能造成冲突
\&多个程序可分别在运行在多个虚拟机上,应用程序相对独立的运行空间,避免冲突
\&每台主机配一个存储,存储资源得不到有效利用,且一旦存储出现单点故障,数据可能丢失
\&多个虚拟机共享存储,当一台主机出现故障时,会自动分配其他主机上的硬件资源给故障主机的应用程序\&硬件成本高,且配置和管理困难\&虚拟机独立于硬件运行,可动态资源分配,新程序的部署工作只需要几分钟,有效节约硬件和维护成本
\&]
目前虚拟化技术的产品主要有EMC的 VMware虚拟化产品,Microsoft的Virtual Server, Sun的Virtual Box,以及Ctrix公司的Xen Server和Xen,占市场份额最大的是EMC的 VMware虚拟化产品。
2.2 数据存储技术
基于云计算的桥梁安全与健康监测数据中心需要满足大数据管理的需求,为大量桥梁管理者提供服务并且为桥梁研究者提供大数据分析功能。数据安全可靠存储是实现大数据管理分析的基础。
数据存储系统从物理结构来看,底层主要是磁盘,通过光纤、串口线等与磁盘后的板卡和控制器相连。目前最常用的存储方式有DAS(直接连接存储)、SAN(存储区域网络)和NAS(网络附加存储)。直连存储(DAS)是直接通过SCSI线缆或者光纤直接连接到服务器上。存储区域网络(SAN)是通过网络方式连接存储设备和应用服务器,目前常用的SAN结构根据连接介质不同而分为FC SAN和IP SAN。网络附加存储(NAS)是将网络存储设备直接放在网络上提供文件共享服务。这三种技术优缺点如表2所示。
表2 DAS、SAN、NAS数据存储系统技术优缺点
[特征\&DAS\&SAN\&NAS\&安装难易度\&较难\&较难\&很容易\&集中管理\&难\&专用软件\&基于网络\&扩展性\&低\&高\&中\&数据共享\&难\&通过软件实现\&内部实现\&处理能力\&强\&强\&视网络情况而定\&备份\&传统方式\&服务器不参与\&多种方案\&容灾\&基于服务器\&端对端及多点容灾\&端对端方案\&安全\&中\&高\&低\&]
目前主要存储厂商的FC SAN存储可以实现8Gbit/S的传输速率,但费用较高,所以中大型数据中心建设中还是处于领先地位。但是随着IP SAN技术的发展,较高的性价比使FC SAN存储逐渐扩大了在市场的份额。
2.3 动态资源管理
云计算的资源包括存储资源、计算资源、网络资源、基础设施资源以及其他资源[2]。当应用云计算时,面对大量设备和相关技术,如何有效整合各种资源并实施动态资源管理是实现云计算的关键。云计算动态资源管理系统的基本功能,是接受资源请求,合理地调度相应的资源并且把特定的资源分配给资源请求者,使请求资源的业务得以运行。它能跨资源池智能动态调整计算资源,使IT与业务优先级对应,动态提高系统的管理效率。
云计算的动态资源管理必须处理好存储架构问题,解决资源部署、监控和调度策略等问题。在VMware虚拟化产品中,DRS(vsphere Distributed Resources Scheduler)可以根据每一个虚机的实际运行情况,适时地对内存、CPU、网络的消耗进行动态调整,将其平均分配到DRS集群的每一台主机上面。动态分配依靠VMotion实现,所以,VMotion是DRS的先决条件。
3 云计算数据中心实现
基于云计算的桥梁安全与健康监测数据中心实现了数据中心服务器、网络、存储虚拟化及负载均衡,其基础架构拓扑图如图2所示。
整个方案通过两路6核服务器配合后端IP SAN存储技术,并采用云计算虚拟化技术来实现桥梁安全与健康实时监测。在云计算操作系统软件的支持下,将3台两路6核服务器组建HA集群,并配合DRS及VMotion等高级功能,实现业务的连续性,减少计划内宕机时间,有效地提高资源利用率。
3.1 计算系统设备及软件实现
计算系统设备主要是指服务器,服务器的选择上主要考虑的是服务器的性能,满足五年内桥梁安全与健康监测业务的需要,主要计算能力由3台两路6核服务器担任。
而计算系统虚拟化的实现主要是利用软件将服务器虚拟化。目前主流的、最具代表性的虚拟化软件是VMware的Vsphere软件。
本方案采用3台企业级两路服务器(HP Enterprise Server)作为核心数据库平台。该服务器能满足数据库应用的高可用性、可恢复性,并具有错误检测及消除单点故障的功能。采用数据库双机方案也增强了应用的可扩展性,满足业务不断增长的需要。由于该型服务器采用全新的因特尔快速互联通道互联架构配合因特尔志强E5系列处理器及SAS 6Gbps高性能磁盘控制器,使系统联机处理性能提升2.5倍以上,数据库性能提升3倍以上,更加适用于基础架构、数据库核心应用。
3.2 存储设备及数据管理软件
在保障客户应用的前提下,存储将成为一个必须受到关注的核心环节,因此双控制器、多处理器和高可靠光纤8Gb存储成为首选,这能有效保障业务的物理稳定特性。出于数据安全备份的考虑,配置大存储容量6TB存储空间服务器作为虚拟机的备份服务器,可以保证在光纤存储故障时或维护时的业务连续性,并对客户的应用数据也做到了统一备份。为了保障业务运行的高性能、可持续性和可扩展性,我们选择了IP-SAN的存储模式,通过串口线连接磁盘与控制器。云计算计算节点服务器通过交换机连接存储设备,实现数据链路的高品质性能保障。
在数据的统一备份处理上,基于虚拟机文件驻留在共享SAN存储上,可以使用存储区的映像来备份虚拟机文件,这样做不会在运行虚拟机的云计算计算节点主机上引起任何额外的负载。统一备份功能可以满足缩短虚拟机的备份时间,移除客户应用服务器上的备份工作负载,以及从中央服务器中执行备份的工作。其工作流程是从运作中的主机上剥离磁盘,将磁盘链接到专用的统一备份服务器上,然后备份磁盘中适当的文件,此时原始主机仍能看到该磁盘并能正常工作。通过有效利用虚拟机存储区的映象文件,高效地保障客户数据安全。
3.3 网络设备
云计算数据中心网络需实现双链路可靠冗余连接、负载均衡,充分考虑网络的可管理性。本方案采用两台DLINK交换机实现设备冗余,同时通过实现网络虚拟化来保证网络策略安全,使之不受虚拟机位置迁移的影响。
3.4 云平台管理
云管理平台是负责整个数据中心的资源池管理、是实现IAAS的关键环节。本方案采用VMware公司的Vcenter软件,与其他的管理软件相比,该软件的使用为IT管理者大大降低了云计算虚拟环境管理的难度。
该云平台是目前最强大的虚拟环境管理平台,它能提高在虚拟基础架构每个级别上的集中控制和可见性,无论是几十台还是几千台虚拟机,都能集中、简单地管理。它可以通过使用向导或者模板,在几分钟内创建新的虚拟机或主机,最大限度地减少错误和停机;它还可以借用DRS(vsphere Distributed Resources Scheduler) 持续监控各个资源池的使用情况。此外,借助vCenter API和.NET可实现vCenter Server和其他工具的集成,并且支持在vSphere Client中嵌入自定义插件,为管理IT环境提供选择自由。
4 结束语
目前,基于云计算的桥梁安全与健康监测数据中心建设还处在初级阶段,随着桥梁安全监测技术和云计算技术的发展,云计算数据中心会逐渐形成系统化、网络化的全国性的桥梁安全与健康监测平台。该平台能面向所有桥梁行业的客户,提供存储空间及桥梁安全与健康监测服务;同时还能根据存储的大量桥梁相关数据,进行数据挖掘及数据分析,在桥梁学术研究方面具有重要意义。
基于云计算的数据中心建设是一个复杂的系统工程,本文着重从桥梁安全监测数据中心的关键技术方面阐述了系统基础架构,以及关键设备和软件的选型,希望能为其他行业数据中心的建设提供一些参考。
参考文献:
[1] 林小村.数据中心建设与运行管理[M].科学出版社,2010.
[2] 刘鹏.云计算[M].电子工业出版社,2011.
[3] MELL P, GRANCE T. The NIST Definition of Cloud Computing[R].
National Institute of Standards and Technology, SP800-145, Gaithersburg:U.S Dept. of Commerce,2011.
[4] 国家科学技术部.中国云科技发展"十二五"专项规划[EB/01].
/tztg/201209/W020120918516104069531.doc,2012
[5] 工业和信息化部电信研究院.云计算白皮书(2012)[M].工业和信息化
部电信研究院,2012.
[6] 田冠华,孟丹,詹剑锋.云计算环境下基于失效规则的资源动态提供
策略[J].计算机学报,2010.33(10):1859-1872
[7] 朱仕村,张宇峰,张立涛,朱晓文,胡云辉.面向长大桥梁结构健康监测
物联网的云计算[J].现代交通技术,2011.8(1):24-27
[8] 孟凡立,徐明,张慰.基于云计算的高校数据中心设计与实现[J].现代
教育技术,2012.22(3):99-103
[9] 杨望仙,朱定局,谢毅,范朝冬.虚拟化技术在云计算中的研究进展[J].
篇5
1云计算概述
云计算是2007年出现的新名词,只带现在还没有一个确切的定义。总的来说,云计算指的是把分布式计算,虚拟化等技术结合起来的一种计算方式,基于互联网为媒介,向用户提供各种技术说明、数据说明及应用,以方便用户使用起来更方便快捷。对于云计算而言,它是分布式处理、网络计算的发展,对分布式计算机中的数据、资源进行整合,实现协同工作。用户连上网络,运用云计算技术使标准化的讯息和数据更加的有效、精确、快速及多量化。云计算主要由计算与编程技术、数据存储技术、虚拟机技术、数据处理技术等技术构成。云计算技术不同于其他技术,它具有自身独特的特征,其中包括:超大规模、高真实性、高安全性、扩张性、按需求提供等。云计算技术具有独特的特征,即使用成本低,适应范围广泛、高效的运行速度,被各大企业广泛运用。云计算通过电脑进行数据,至电脑的算术功能更加强大,使那些繁琐的、量大的计算得到了提高。并且,启用云计算模式,使数据的储存更加的统一化,有利于数据在监管测试中更加的安全。在云计算模式的数据中心中,其对数据的统一化、资源配置的有效化、系统的优化、安全的监测环境和铺排软件,有效的提高了数据的完整性。并且,在云计算平台加入硬件、软件及技术资源,从而促进集中管理的实行,同时,增加动态的虚构化层次,促进了资源、硬软件的全面发展。云计算技术具有可持续性、虚拟化的特点,可持续性的特点,使系统的总体消耗费用在一定的程度上降低。云计算的种类可分为公共云、社区云、混合云及私有云。其中公共云主要用于公共服务的云平台,进而为公众提证供云存储及云计算的服务;社区云则是在某一区域内使用的云服务,进而为多家关联机构所提供的云服务;混合云是两种或两种以上的云所组成的;私有云是指企业内部所使用的云服务,适宜专网向结构采用。
2云计算在企业网络安全管理系统中的应用
随着科技的飞速发展和网络的普及,企业管理所形成的运用系统平台都向着规模化、多效用化、高效能、高机能的方向发展。以保障企业网络管理系统安全的正常运行、对其进行定时调度和维护,完善企业内部网络的建设发展,云计算技术在企业网络安全管理中的应用必不可少。基于云计算技术的应用将整合数据信息资源,可以确保企业安全管理系统数据的安全。
2.1云计算系统实现
作为多层服务的集合体系,电力云主要由物理存储层、基础管理层、高级访问层、应用接口层四个主要层次构成。云计算系统是在企业网络安全管理中,网络存储与设备是以物理存储层为基础的,其所分布的地理位置不同导致其云物理设备也不同,这些差异的地理位置及云物理设备之间的连接主要是通过内部网来实现的。基础管理层是采用集群式和分布式系统,促使云中的储存设备进行协同工作,在基础管理层中,还包括机密、数据备份内容。高级访问层主要包括管理系统的基础与高级应用,通过软件平台来实现安全管理软件快速有效的运行。云计算系统是在企业网络安全管理中,应用接口层是其最最活跃的部分,其系统中的运行管理机构信息及数据获取必需通过应用接口层完成。
2.2云计算的信息整合
云计算的信息整合很多都是通过云计算技术来实现的,如企业网络安全管理系统中的信息同享,利用公有信息模型,标准组件接口,让多个企业网络数据库中的数据进行交流、同享。同时,可利用自动分析与拆分技术,对系统中繁琐的资源进行统一,使其任务变成较小任务。经过企业网络安全管理系统中某个信息点将请求发云体系实现资源的统一,在请求接到后,将数据请求要求发送给企业网络安全管理中的公用信息平台,依照请求,对系统中的资源进行储蓄整理、推算。
2.3资源管理与调度
为了完成云计算技术在工作中的的有效使用,应该巩固对资源的处理、调度。其详细运行表现为:起初,为了保证企业网络安全管理系统的安定、稳固进行,应该对每一台使用云计算技术的计算机设施进行整合,对使用者权利、使用者因特网地址、用户终端级别进行整合。另外,描绘计算机资源近状,对Cache、MFLOPS等数据结构进行概述。最后,实现云内部任意终端的探问,运用云调度技能,有效处理云资源,完成对系统资源的灵验、科学整理,便于资源的询问、使用。企业网络安全管理系统与云计算的应用具有计算速度快、安全可靠性高、应用范围广的特点。为了使企业网络安全管理系统有效快速的运行,云计算技术还对技术标准合理的进行规范,利用数据模型,完成数据的平稳执行。
2.4云计算的关键技术
数据安全技术。在企业网络管理系统中采用云计算技术,数据的散落式储存保证了数据的安全问题、系统内的安全问题。在系统进行运行的过程中中,保障数据完好,应该对数据处理、用户约束、资源证实、权利管理等各技术的认真分析,保障应用数据的稳定性、整体性。因此,在系统运行过程中,云计算技术还要加强对数据的隐秘功能,从而保证数据的稳定性、整体性,可以通过数据加密技术进行维护。就像采用华为技术公司利用IaaS层资源管理软件,有用地解决了数据存在的安全问题。与此之外,数据的安全技术强化系统中的用户数据安全,保障用户数据的安全共享,保障了数据的交迭。动态任务调度技术。其于企业网络管理系统,其计算方式有暂态、静态等多样性,因为计算时间具有不稳定性因素,且计算之间是具有相互依靠关系,从而便增加了计算任务的调度的难度。因此,为了保证企业网络管理系统的高速运行,在系统的云计算中心,使用任务预分配与动态分配相配合,分布式文件与本地文件相配合的形式,从而提高资源的有效利用,促使数据运送、调整管理的时间损失降低了一定的程度。一体化数据管理技术。在系统的多种整理中,通过采用一体化数据管理技术与模型的方法来实现数据模型的统一化,以此减少不同模型转化的过程中所形成的数据丢失与失误,利用合并的计算数据准则。在当前的的数据模型中,大部分采取EICCIM国际标准,同时使用国网E格式标准数据替换,而关于计算输入数据而言,可使用BPA和PSASP兼并的方法。
3企业网络安全管理系统中云计算技术的应用
云计算在企业网络安全管理系统中的应用可分为三大层次,即:基础设施层、平台服务层及软件服务层。其中基础设施层是面向应用对象,平台服务层面向服务、软件服务层面向用户。在每一个层次中都能够根据功能需求加以细化。并且根据逻辑的顺序,在基础设施层上能够分为数据采集及其转化,并且根据硬件的不同,将其分为用户设备终端、存储设备及其服务器等。此外,在云计算的信息管理中,大多是通过虚拟化的技术来实现资源的形象化转变,并将数据传递到服务平台。同时根据设计及开发的相关流程,平台服务层可分为开发、测试及其运行。每一层都应根据相关设计来进行开发。如:在建立某企业的网络安全管理系统时,首先,应对该企业的业务类型进行全面调查分析,并给予分类,查看适合采用哪一种云计算分类。若企业的网络安全管理系统适宜采用私有云计算类型,则可采用私有云的管理系统。然后,企业应根据实际应用需求,需要配备足够的服务器设备等。再次,对企业内部IT资源、数据中心等加以整合,并选择较为合适的虚拟化方法,对存储设备及服务器给予虚拟化整合,将已虚拟化的集成管理器给予管理,并将其上传到云计算的平台之中。最后,在软件的服务层,应根据实际的应用对象及其需求进而用户终端提供不同的软件,并设置相应的操作系统。当企业采用云计算的技术后,应配置基础设施或功能软件等,最终向服务提供者提供费用,可有效降低计算成本。对于云计算的信息管理系统,其中影响较大的缺陷即所拥有的隐私保护力不够,且公享资源的较大则是服务提供者所拥有的任意数据,如何在确保资源共享的优点下,达到保护用户隐私的目的,是当前亟需解决的问题。
篇6
1 云计算内容概述
云计算是一种能够通过互联网技术,以按需和便捷的形式,从可配置的、共享的计算资源当中获取服务的全新业务模式。由此可见,云计算属于全新的IT能力交付模式,能够通过互联网向用户提供良好的计算资源环境,帮助其实现服务。一般情况下,只要用户能够提出服务要求,其便能够根据要求进行信息资源的获取,进而将所有的软件升级、硬件投入、数据存储、信息安全等均涵盖在“云”当中,通过云计算进行处理与解决。与传统的IT架构相比较而言,云计算具有动态性、可伸缩性,且能够根据用户的需求而恰当的提供资源,使用方式十分的便捷,对于诸多信息资源亦能够高度整合。在云计算当中存在着三大服务模式,即IaaS――基础设施即服务、PaaS――平台即服务和SaaS――软件即服务。当前阶段,我国诸多企业进行私有云平台建设时,比较关注在IaaS模式的基础上,通过网络虚拟化、服务器虚拟化和存储虚拟化等诸多手段,实现对IT资源的最大化利用。与此同时,亦在不断进行PaaS模式和SaaS模式的转换研究,由于过程比较复杂,仍旧需要不断努力。
2 企业私有云平台建设中的云安全管理问题
2.1 存在传统信息安全风险
现阶段,即便众多企业能够进行私有云平台的建设,对云计算技术进行良好的应用,但是,其私有云模式下的传统信息安全风险依然存在。事实上,云计算模式下所产生的云安全管理问题,与传统的信息安全管理问题并不存在着较大的本质区别。就云安全管理问题而言,其所设计到的风险因素因包括在应用层与网络层当中。例如,在应用层当中,应用系统可能会在其转移到私有云平台之前便遇到安全管理问题,包括内部员工风险、黑客入侵、恶意代码攻击、拒绝服务攻击等诸多比较常见的安全管理行为与风险。该部分安全管理问题在应用系统转移至企业私有云平台以后并不会自行消失,反而依旧存在。因此,企业在进行私有云平台建设安全管理时亦需要予以上述安全管理问题高度重视。
2.2 具有一定决策导向性
企业的私有云平台建设当中存在着一定的决策导向性。就云安全问题而言,其并非简单的、单纯的技术型问题,亦涉及决策与管理方面的内容。企业进行私有云平台的建设,应用当中必须要慎重考虑隐私与安全问题,而对隐私与安全会产生影响的诸多因素当中,决策因素占比已经超过了30%。可以说,企业在对是否采用云计算应用进行决策时,云安全问题已经成为关键的考虑内容之一。产生该问题的主要原因在于,云计算具有较高流动性和无边界性,在应用的过程当中会产生诸多全新的安全问题。此外,云计算由于其自身比较先进的特点,对传统的网络安全和信息安全均会产生十分重大的影响。
2.3 风险等级高于传统系统
企业进行私有云平台建设,必须要应用全新的云计算技术,必须要进行安全管理思路的创新。一般情况下,企业私有云平台在建设完成后,其自身原有的大部分应用系统将能够通过虚拟化的网络技术以及服务器技术和存储技术等转移至私有云平台当中。因此,企业所建设的私有云平台便需要具有比较强大的安全防护能力,要有比较快的相应速度以及比较完善的防护策略与防护机制。该方面则必须要通过全新的、先进的、高层次的防御思路予以支持,以此提高企业私有云平台的安全防护等级。鉴于此,企业首先要提升其私有云平台的防火墙等引荐安全设备防护力度与性能,对各个系统的单机防护策略要做出相应改变,且要对主机的可靠性以及运算性能进行恰当的提升,对于整个私有云平台的容灾备份机制进行良好的完善。此外,企业亦需要对诸多系统以及关键数据做好隔离工作,加强各个用户之间的边界安全防护,有效组织木马、病毒、蠕虫等的内部快速传播。由于私有云平台的安全管理风险等级高于传统系统,企业在建设私有云平台时便比需要做出更大的努力,提供更充足的投资支持。
2.4 账户安全问题凸显
企业私有云平台的建设当中,与企业诸多业务相关的多用户数据、信息等均集中在私有云平台上,处于共享的环境当中,因而需要做好更加严格的数据隔离。在此方面可以采用数据加密的方式进行安全防护,但是安全防护力度远远不足。例如,企业存在着诸多的特权用户,其能够在除了公司以外的诸多公共场合比较频繁的访问或者使用公司私有云平台的相关信息与数据。该种情况下便极有可能会出现账户被盗、数据泄露等安全管理风险。虽然运用账户控制能够帮助用户进行部分黑客或者恶意软件攻击的防范,但是却无法避免受到非法软件中隐藏的木马,以及用户自行下载的文件当中出现错误信息所产生的干扰。一旦用户不能够对上述问题及时发现,便会出现比较严重的账户安全问题。
2.5 信息系统向私有云平台迁移的安全问题
与公有云平台相比较而言,企业信息系统在向私有云凭他爱迁移时所产生的安全管理风险比较小,但是仍旧存在着软件许可、应用可靠性以及法规遵从等诸多问题。一般情况下,用户在向私有云平台进行迁移时,其必须要能够对私有云平台的运营管理以及系统建设安全问题有所了解,并且要能够采用恰当的手段制定有效的、成熟的解决方案。与此同时,用户要能够进行数据备份,建立相应的系统容灾以及业务回退等确保私有云平台安全运行的工作机制,以此提高私有云平台运营的安全性,保障企业的信息系统能够顺利向私有云平台进行迁移。
2.6 共享基础设置具有安全风险相关性
篇7
云计算是被认为是继微型计算机、互联网后的第三次IT革命,它不仅是互联网技术发展、优化和组合的结果,也为整个社会信息化带来了全新的服务模式。云计算的定义在业界并未达成共识,不同机构赋予云计算不同的定义和内涵。其中,美国国家标准与技术研究院对云计算的定义是被接受和引用最广泛的。NIST认为,云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(如网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以在实现管理成本或服务提供商干预最小化的同时被快速提供和。云模型包括了5个基本特征、3个云服务模式、4个云部署模型。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化也是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器所具有的性能远远超过普通的单一用户对硬件性能的需求。因此,在职业院校信息化系统的构建中,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成了构建职业院校私有云的技术基础。软件定义网络是一种新兴的控制与转发分离并直接可编程的网络架构。传统网络设备耦合的网络架构被分拆成应用、控制、转发三层分离的架构。控制功能被转移到服务器之上,上层应用、底层转发设施被抽象成多个逻辑实体。该研究来源于斯坦福大学的一个名为CleanSlate的项目,其目的是为了在不受现有互联网技术架构的影响下,重新设计新的网络底层实现方案。本文针对新型网络环境下职业院校信息化过程实际存在的问题,结合基于SDN的安全防护技术,提出一种结合职业院校网络业务信息流的逻辑关系的网络安全管理方案,并设计出一种基于可信业务访问关系表的网络安全管理系统,使得网络安全管理能够深度结合职业院校的真实业务逻辑,并实现高灵活、细粒度和高性能的网络安全管理。
三、新型网络环境下职业院校信息化面临的安全挑战
所谓新型网络环境,主要指使用了虚拟化技术来构建职业院校信息化系统的网络环境,这里既包括职业院校私有云的形态也包括仅适用服务器虚拟化技术的职业院校网络环境。在这样的网络环境中,通常用户的业务系统不仅仅存在于虚拟化环境中,由于信息化系统向虚拟化平台迁移并不能瞬间完成,因此在真实的应用场景中,往往会存在混合虚拟化环境和传统物理网络环境的情况。在这样复杂的网络环境下,存在以下几个方面的安全挑战:
(一)业务系统间信息流监测和梳理困难的问题
梳理清楚业务系统间的通信关系,并对业务系统间信息流提供实时的监测功能,对职业院校信息化环境实施安全防护方案有着重要作用,是让安全方案能够真正理解业务安全需求的重要步骤之一。但由于职业院校信息化不断向着计算系统的高度集中化发展,大量的业务主机集中管理在一个大型的网络环境中,如私有云的环境,使得跟踪和监测系统间的信息流变得非常困难:难以找到合适的监测点,并且由于虚拟机和物理主机的数量庞大,难以把分散在各处的监测数据整合起来。
(二)业务系统逻辑网络边界难以界定和隔离的问题
业务系统在使用虚拟机作为服务器后,传统的物理网络边界就失去了意义,虚拟机可以在虚拟化环境中进行漂移。虽然在逻辑上,一个业务系统仍然是由原先那几台服务器构成,但这几台服务器在物理拓扑位置上却并不一定在一起,甚至不固定,可能随着虚拟化环境资源的调配而发生变化,这样就使得以边界防护和隔离为管理目标的传统网络安全管理失去了存在的意义,同时也难以对一个业务系统的边界实施有效的安全隔离。
(三)安全设备监测负载过大、噪音数据过多的问题
在传统网络环境中,监控网络流量需要依靠在交换机上对数据包的捕获,再通过安全设备进行检测分析。而在虚拟化环境中,由于无法找到明确的网络边界,因此若想保证不存在安全监控的盲区,往往需要在所有物理交换机或虚拟交换机上进行抓包,以保证所有可能与被监控业务系统的通信流量都能够被捕获,这样就会在捕获到真正属于被监控业务系统的通信流量的同时,也抓取到大量的不属于被监控系统和主机的干扰数据,从而容易造成用于进行安全检测和防御的安全设备接收到过量的负载而导致处理能力和响应速度受到影响,同时大量的噪音数据也会影响安全检测的准确性,易产生大量的误报警。
四、基于软件定义网络技术的网络安全管理系统
针对上述问题,本文给出了一种基于软件定义网络技术构建的、可与新型职业院校信息化环境紧密结合的网络安全管理系统。采用集中式的管理,基于全景式的系统拓扑和业务关联的相关知识,能够有效地对复杂职业院校信息系统网络环境进行细粒度的信息流梳理和安全管理。为了获得全景式的系统拓扑,并能够提高细粒度的网络流安全管控能力,需要将软件定义网络的基础架构引入到职业院校的信息化网络环境中,即需要让整个网络环境中的软件交换机和硬件交换机都开启对Openflow协议的支持。安全管理系统通过调用SDN网络控制器的北向接口来获得整个网络的拓扑知识,并根据需求操控业务系统间的信息流的转发。在混合了虚拟化(云计算)网络环境和传统物理网络环境的企业信息化网络环境中,传统的物理交换机和虚拟交换机都需要开启Openflow协议的支持。传统物理网络仍然以物理局域网的边界为安全检测和防护的边界,并且可以支持以虚拟局域网的方式在虚拟化环境中使用虚拟机以扩展传统物理局域网的规模。为了能够提供基于业务的安全管理,我们提出采用业务流可信表的方式来关联业务模型与底层的网络流安全管控。系统通过提供管配接口,让安全管理员能够对其职业院校内部的系统进行逻辑边界的建模,形成以逻辑安全边界为管理对象的安全管理模型。业务流可信表则允许用户以软件定义的方式定义业务系统间的可信互访关系,包括业务系统内部主机间的相互访问是否可信,不同业务系统间的相互访问是否可信等规则。互访关系的定义将作为SDN控制器流表的生成规则,当互访关系为可信时,认为是无须监测的业务流,Openflow的流表项上将直接转发至目的节点,不在业务流可信表中的网络流量需要根据对安全设备的配置转发到相应的安全设备接入端口。在整个业务流的安全管理流程中,安全防护和检测的工作由专业的安全设备完成,这些安全设备被接入到职业院校的网络环境中,由安全管理系统统一管理。当用户创建业务系统模型后,即可为该业务系统指定边界安全防护和检测设备,这样就形成了一套完整的、基于业务系统逻辑边界的细粒度安全防护和检测流程。系统在启动后,通过虚拟化管控和SDN管控获得整个网络的拓扑信息,以可视化的方式将这些拓扑信息展现出来,并让用户在此基础上进行业务系统逻辑边界的建模,即指定哪些虚拟机属于一个业务系统。基于已创好的业务系统逻辑边界可在业务流可信表中指定相互间的可信互访关系以及一个业务系统内的主机间的互访是否可信。通过业务流可信关系转换模块将定义好的表项翻译为Openflow的转发规则,并通过SDN管控下发到相应的SDN交换机上。通过业务流可信表对业务逻辑和网络流管控的关联,网络安全管理系统能够对每个通过交换机的网络流进行监控与审计,对于符合业务流可信表定义的网络流直接进行转发,以减小安全设备的负载压力;对于不符合业务流可信表定义的网络流通过SDN的流表转发功能,将其转发至接入的物理安全设备上进行分析和检测,如对于数据库服务器和web服务器之间的连接关系认为是可信的,则他们之间的网络流将被直接转发,而外部主机直接对数据库服务器的访问将被认为不可信而需要被重定向至安全设备进行检测。同时系统也通过对业务流关系的跟踪分析提供基于业务流的安全审计预警能力,从而进一步加强整个系统的安全管理功能。
篇8
Bie Yu-yu 1 Lin Guo-yuan 1,2
(1.School of Computer, China University of Mining and Technology JiangsuXuzhou 221116)
(2.Department of Computer, Nanjing University JiangsuNanjing 210093)
【 Abstract 】 In cloud computing, access control is an effective measure in protecting the user and cloud computing services or resources. Based on the characteristics of cloud computing security, trust is introduced into role-based access control model. A new calculation method of trust in cloud computing is proposed and the difference between intro-domain trust and inter-domain trust is analyzed. In addition, a novel access control framework combined with trust degree in multi-domain is given from this proposal. Access control policy in local domain directly applies RBAC model combined with trust degree, whereas in multi-domain it contains the conception of role transition. A multi-domain access control method is developed in the trust based RBAC model through role association and dynamic role translation.
【 Keywords 】 cloud computing; trust; multi-domain; access control; role translation
1 引言
近年来,云计算在计算机网络与信息技术领域的发展如火如荼,其应用前景也极其诱人。云计算以其超大规模、虚拟化、高可靠性的独特优势引发计算机网络变革,然而频繁发生的云安全问题却给云计算的前景蒙上了一层阴影。云计算中的“云”即是集结了网络中大规模计算资源、软件资源及存储资源的共享虚拟资源池,因此云计算就是共享的计算,云计算中要实现资源共享,必须解决资源的访问控制问题。对于每个用户来说,在对方身份未知的情况下要求进行协同,存在很大的风险性,因为该用户可能是一个善意的用户,也可能是一个恶意的用户。因此,安全的访问控制策略就变得格外重要。“传统的访问控制技术需要设定统一的安全管理域,是一种在管理域范围内的基于身份的授权技术。”
云计算既然是通过网络中的虚拟资源池提供服务,各资源主体往往不属于同一安全管理域,同时云计算的网络覆盖范围极广,因此云计算具有跨域性、动态性等特征。而传统的基于身份的访问控制技术显然已经无法满足云计算的安全要求。当前最有效的方法就是在传统的访问控制的基础上进行改进与拓展,进而适应云计算的安全新需求。如何将传统的访问控制技术扩展更新以适应新的安全需求,解决云计算平台下的安全问题是当前研究的一大热点,也是云计算环境下的访问控制技术的重要内容。
篇9
二、云计算的特点
规模大: 云就是庞大的服务器群,由几十万、几百万甚至更多的服务器构成,包括计算服务器、存储服务器、软件服务器等,群中的计算机可以通过相应技术保证网络数据库信息的及时更新,使用户能够得到更快更准确的服务。云使用基于海量数据的数据挖掘技术来搜索网络中的数据库资源,并运用各种方法为用户提供详尽、准确的信息和结果,所以云具备高效的计算、存储能力,能够完成单机用户望尘莫及的海量计算和存储等工作。
虚拟化: 云计算中的操作平台、存储、计算、安全等都是虚拟化的,用户在使用的过程中感觉就象在使用本地计算机一样,用户无需知道云是如何完成所提交的任务的。虚拟化技术可以提高底层资源的使用效率,同时降低成本。
可定制: 云计算可按需购买、按需定制。在云计算环境中,用户可以通过自己的需要和习惯来定制相应的服务、应用及资源,云计算平台也可以按照用户的要求来进行部署。人们通过网络获得的服务既可以是互联网相关的软件服务,也可以是其它的服务,用户可随时获取、按需试用、随时扩展、按使用付费。
高安全: 分布式系统具有高度容错机制,云计算作为分布式处理技术的发展,采用了数据多副本容错、计算节点同构可互换等措施,依托数据中心可以实现严格、有效的控制、配置与管理,使服务具有更好的可靠性、安全性和连接性能,同时高度集中化的数据管理、严格的权限管理策略可以让用户避免数据丢失、病毒入侵等麻烦。
三、云计算的服务层次
云计算以其低成本、高性能、高兼容性、高共享性、方便性等而理论研究备受关注。云是由大量互连的计算机及其网络设备组成,这些计算机和网络设备既可以是实际存在的实体,也可以是虚拟的;可以是普通的客户机,也可以是网络服务器;既可以是公共的,也可以是私人的。云计算技术的支撑技术是网络技术与计算虚拟化技术。计算虚拟化技术在很大程度上提高了资源的高服务性和可用性,并且能够提高计算机主机的使用效率,减少管理和维护的计算机数量。云计算的目的是按需提供服务,其基础构造是不可见的、虚拟的,可以安装在网络的任何位置。根据提供的服务层次,云计算中的服务可以分为软件即服务(software as a service,Saas)、平台即服务(platform as a service,Paas)和基础设施即服务(infrastructure aservice,Iaas)3 个层次。
(1)软件即服务(Saas)
Saas 提供一种应用框架 。 Saas 服务提供商将应用软件统一部署在自己的服务器上, 由服务提供商维护和管理软件,并提供软件运行的硬件设施。 用户根据个人需求访问所需要的软件,服务提供商根据客户所订软件的数量、时间的长短等因素收费。 用户只需要支出一定的租赁服务费用 ,不再需要花费大量资金投资在硬件、软件 、维护人员培训上 。
(2)平台即服务(Paas)
PaaS 提供一个集成环境 。 厂商提供开发环境 、服务器平台、 硬件资源等服务给客户 , 并给用户提供研发的中间件平台,同时还提供应用程序开发、 数据库、 应用服务器、 试验、托管及应用服务 。 用户只需在厂商提供平台的基础上开发自己的应用程序, 并通过其服务器和互联网传递给其他客户。 开发人员是这个云平台的直接用户 ,借助云平台提供的高层次集成环境, 对用户需求的应用进行测试和配置 。
(3)基础设施即服务(Iaas)
Iaas把厂商的、由多台服务器组成的“云端”基础设施作为计量服务提供给客户,即提供了一个软件应用环境 ,包括提供用户需要的计算资源、存储资源 、通信资源等 。 Iaas将计算能力、内存、 I/O 设备等整合成一个虚拟的资源池,为用户提供所需要的存储资源和虚拟化服务器等服务。 这些基础设施的规模可以根据资源的需求情况动态分配, 更精准地为用户提供服务。
四、高等学校计算机实验室云计算的应用系统构造
4.1 云客户端
云客户端的作用是为用户与云计算应用提供统一规范的接口,云客户端最常见的就是网络浏览器,比如人们熟知的IE、Mozilla Firefox等,也可以是一些应用程序入口。通过云客户端用户可以便捷地访问云中的资源。在构建的实验室系统中,云客户端安装在各个实验室的终端计算机中,云客户端对系统的硬件要求不高,这样可以在不投入大量资金来建设高性能的本地终端机器的情况下访问云计算平台中的海量资源,进行远远超过终端机器性能上限的高强度计算和大存储容量的工作。比如学生在上课时需要运行Maya、3Dsmax等这些大型程序,学生可以通过云客户端使用安装在云中的这些应用程序,从而突破软件对机器性能的限制。另外,学生在上课时,可以将自己的作业存储在云中,下次上课时,直接登录、下载自己的作业,这样就不需要使用U盘等,从而可以有效避免机器因使用U盘而频繁中毒的问题。
4.2 云管理层
云管理层的功能包括云资源管理、负载均衡管理、云平台安全管理和云数据管理。资源管理负责对虚拟资源层的各种虚拟资源的管理,包括监控资源状态、分配资源、更新、添加、维护与删除资源等;负载均衡管理根据资源的状态数据,按照一定的策略进行负载均衡,包括任务调度、进程迁移等;安全管理包括:访问安全管理、网络安全管理、数据安全管理以及用户登录验证和用户权限管理等;云数据管理主要是对计算机与软件云计算平台系统中的实验数据、用户数据、软件数据、资源数据以及系统数据等的保存与维护,为了保护云数据的安全性,可以对数据进行加密处理。
4.3 虚拟资源层
篇10
在云计算模式中,数据、软件不再存放在本地计算机中,而是通过网络访问云来获得所需数据或软件服务。本地计算机不再需要硬盘、内存、CPU等设备,只需要终端。
一、高校传统计算机实验教学模式的压力
目前在我国高校计算机实验室中均存在着这些问题:机房是以院系为单位建设的,造成设备、人员的冗余,机房使用率不高;由于每学期开设的课程都在调整,相应的软件在不断地升级也需要更新,由于早几年配置的机器硬件较低,导致上计算机实验课时机器运行速度极慢,严重影响上课进度,而且不断地更新软件给实验室管理老师增加了巨大的工作量;每隔几年就要换高端机型,这要花费大量的金钱。这些问题严重制约了计算机实验室的建设和发展。如何提高现有计算机实验室资源的利用率,最大限度的利用现有的计算机是很多人都研究的问题。
近几年,云计算技术的不断成熟与发展为解决计算机实验室的升级改造提供了一种新的方案。
二、基于云计算的计算机实验室平台构成
图1 云计算平台基本架构
(一)物理资源层
物理资源层主要指实实在在的物理计算机,它可以是PC机、服务器、工作站等,存储器,通信线缆以及数据存储设备等底层硬件设备,设备资源之间通过网络连接。这些物理设备共同组成了“云”[2]。
物理资源层中的资源总的规模和能力理论上不受限制,可以在网络中的任意地方。计算机实验室主要使用的是学校局域网内拥有的设备,把这些设备通过高速局域网连接起来,构成了系统中的物理资源层。也可以把几个高校的物理设备连接起来或者把物理资源扩展到学校外部的其他设备构成规模更大的云,从而提供处理能力更强、种类更丰富的资源。
(二)虚拟资源层
云计算的核心是虚拟化的资源池[3]。虚拟化技术可以实现从物理资源向逻辑资源的转化,它屏蔽了物理资源的复杂性,并对外呈现简单的逻辑形态。通过对资源进行虚拟化,可以把已整合的资源以一种与物理位置无关的方式进行调用,从而降低管理维护复杂度、提高资源利用率。
(三)云管理层
云管理层的功能是确保整个云计算中心能够安全、稳定地运行,主要包括:云资源管理、云安全管理、云数据管理和用户管理。
资源管理负责管理虚拟资源层的各种虚拟资源,包括监控资源状态、分配资源、增加、删除、修改、维护等,并对众多的资源进行负载均衡管理,包括任务调度、进程迁移等。安全管理包括访问的安全管理、数据的安全管理、网络的安全管理等。云数据管理主要对计算机和云计算平台系统中的数据进行保存与维护,云数据的安全性问题可通过对数据进行加密处理。用户管理包括用户的身份确认、访问控制权限等。
(四)云客户端
云客户端的作用是为用户与云计算应用提供统一规范的接口,云客户端最常见的就是网络浏览器,比如人们熟知的IE、Mozilla、Firefox等,也可以是一些应用程序入口。通过云客户端用户可以便捷地访问云中的资源[4]。
在构建的实验室系统中,云客户端安装在各个实验室的终端计算机中,云客户端对系统的硬件要求不高,这样可以在不投入大量资金来建设高性能的本地终端机器的情况下访问云计算平台中的海量资源,进行远远超过终端机器性能上限的高强度计算和大存储容量的工作。
比如学生在上课时需要运行Maya、3Dsmax等这些大型程序,学生可以通过云客户端使用安装在云中的这些应用程序,从而突破软件对机器性能的限制。
三、建设基于云计算的计算机实验室技术特点及优势
(一)以低成本投入获得高运算能力。学生只需要一台配置一般的计算机终端登录到云系统中,然后直接使用云中的高性能资源。这样学校就不需要花费巨额资金来购买大量高性能设备和频繁更新设备,从而以低投入获得高性能。
(二)提供巨大的资源存储能力。通过云计算构建的虚拟资源池理论上可以提供不受限制的存储空间,在实际应用中,数量巨大的物理资源可以容纳海量的数据,并可以按照需要增加存储空间,以满足海量信息增长对存储空间的需求。
(三)大大减少升级和维护系统的工作量。日常维护中只需对云中的资源进行升级和维护,不需要逐个更新客户终端中的软件,这样可以极大地减少实验室的工作量。
(四)可以实现大范围的资源共享。解决了资源不足、分布不均的问题。通过云计算技术,各个院系的资源可以共同构筑一个虚拟资源池。这样各个学院就可以共享这个资源池中的资源,从而解决资源分布不均的问题,同时还可以大幅度提高资源利用率。
四、结语
随着网络的发展,云计算技术的不断成熟,作为一种新型的服务模式,云计算必将为计算机应用带来新的变革。建设基于云计算的计算机实验室,轻松实现不同设备间的数据共享,为用户提供无限的存储空间和计算性能,并保证数据的安全、可靠。云计算与高校计算机实验室建设的结合,有效整合了高校教学资源,提高了资源的利用率,从而为高校实验室建设提供参考,也进一步拓展了云计算的应用领域。
篇11
1.2数据稳定性
数据完整性在实际的体现过程中,主要是结合数据的一种基础保证过程,实际的数据传输以及存储中,将外界的主要影响因素全面降低,并脱离于内部偶然事件的发生,保证数据存在一定的稳定性。
1.3数据可用性
数据可用性分析的过程中,往往是结合云计算的一种基础条件,在云计算条件的影响下,结合相关网站的访问情况,对有效信息进行获取,基于一种安全特性的主要系统,对下载权限进行设置,进而对使用者的相关信息进行安全性保证,并对有价值的一种数据进行综合性的分析。
2云计算环境下影响校园网络信息安全的因素
2.1网络系统的风险性
对于计算机网络系统而言,不仅仅存在一定的硬件系统,同时也存在一定的软件系统,基于硬件系统和软件系统应用的过程中,主要是结合校园网络系统一些缺点部分,对用户系统中的重要信息进行获取,并借助于用户的一种超级权限进行综合性的分析。在校园网络系统安全性产生的过程中,基于一种计算机技术水平条件中,网络协议同样也存在一定的漏洞,一旦不法分子利用的过程中,将会获取一定的权益。
2.2网络环境的复杂性
现代化云计算的一种环境中,校园网络用户始终处于一种不断增加的状态,网络信息的安全同样也存在各种因素。在非法访问中,主要是结合一种未经授权的主要条件中,借助于网络设备的相关系统漏洞情况,对相关信息进行全面的获取。而网络系统和相关数据信息在肆意改变的过程中,基于一种开放性的特点,在计算机病毒植入的过程中,对于受访者的系统有着直接入侵过程,进而逐渐的使得受访者的用户信息处于一种丢失的状态。
2.3网络设备的稳定性
网络设备的运行过程中,基于一种云计算环境下,校园网络信息的安全,往往需要网络设备有着一定的稳定性。硬件设备处于安全运行的过程中,对于硬件系统往往有着相对较高的要求,而基于软件设备的运行中,更要保证网络的设备有着稳定性的特点。
2.4缺乏网络安全意识
校园网络信息安全性的相关因素影响同样也取决于网络安全意识,在云计算应用过程中,基于一种网络安全的角度,注重网络安全意识的全面培养,并做好病毒的合理查杀。校园网络信息安全性的保障过程中,更要注重网络安全意识的全面保障,增强用户的网络安全意识。
3云计算环境下校园网络信息安全防范措施
3.1防火墙技术
防火墙技术主要是网络安全的一种重要门户,在内部网络和外部网络实现的过程中,对于网络系统的可用性有着一定的保证。防火墙中的包过滤性防火墙结构,主要是综合性分析内部网络,有着较快的处理速度。而双宿网关防火墙主要是做好内外网络之间的一种连接,有着较高的安全性。屏蔽主机防火墙,避免外部主机和内部主机的连接,将网络层以及应用层的安全实现。
3.2分布式入侵检测技术
分布式入侵检测技术,在存取控制过程中,实现操作权限的合理分配,在数据完整性保持的过程中,注重加密技术的应用,做好用户身份的基础认证,基于一种安全协议角度,实现复杂网络信息的安全管理。
3.3网络安全扫描技术
网络安全扫描技术作为网络安全防护技术中的一种特殊形式,在网络设备以及终端系统进行综合性检测的过程中,将缺陷中的漏洞找出,并做好漏洞的全面防护,将网络的安全性显著提高。在多次的网络安全扫描中,不断的修补漏洞,做好校园网络信息的安全性保障。
3.4网络安全管理
网络安全管理过程中,更要注重用户重要信息的安全管理,结合云计算中的一种密钥管理,做好重要信息的双重加密,对权限进行设置,进而做好用户重要信息的保护。网络安全管理中,注重用户隐私信息的保护,在双重加密的过程中,提高文件的安全性能。
4云计算环境下校园网络信息安全技术的发展趋势
4.1数据加密技术
数据加密技术在现代化网络信息安全内的保护应用过程中,基于一种云计算环境的条件下,在相对较短的时间内,将数据的加密和解密全面实现,用户安全管理中,保证网络系统有着安全可靠性的运行。在计算机网络技术的不断发展中,做好非对称性的一种加密,在数据加密中,将加密密钥和解密密钥进行分离,避免密钥的丢失进而对数据信息带来一定的威胁。在加密密钥的使用过程中,结合相关信息,对解密密钥进行推算,结合用户的实际使用习惯,在加密信息排列的基础上,提高破解的难度。
4.2边界安全技术
边界安全技术的使用过程中,基于网络用户安全需求的一种特点,将网络边界的一种模糊性显著降低,借助于防护设备和实际的技术,结合入侵检测系统,将相对完整的系统逐渐的形成。在云计算环境中,共享访问者的相关信息,将网络系统的一种风险抵御能力显著提高,对系统的安全运行进行根本上的保障。边界安全技术的应用,往往需要具备相关的计算机知识,在有效运用的过程中,对边界安全技术的推广使用进行限制。
篇12
1 引言
随着云计算技术的发展与成熟,利用云计算技术建设安全、高效、经济、低碳的数字图书馆,按需为读者提供个性化数字阅读服务成为图书馆发展的趋势与必然。云计算环境下,数字图书馆具有基础设施结构复杂、安全威胁增多、读者云阅读需求多样化、云阅读活动满意度与收益率要求高的特点。因此,利用虚拟化技术对云计算、云存储和网络资源进行统一管理和资源共享,实现云基础设施、操作系统和读者服务软件等IT资源表示、访问、配置的简化管理,并提供标准的接口来进行数据输入和输出,是实现数字图书馆云系统资源最优化管理与分配的保障。
Gartner预测到2015年,企业数据中心40%的安全资源管理内容将是虚拟化的。因此,随着虚拟化技术在数字图书馆建设、运营、维护活动中的普及,利用虚拟化技术在降低云图书馆建设、管理、运营、维护成本,并提高数字图书馆云系统组织、结构逻辑性的同时,保证数字图书馆云应用安全和读者云阅读活动服务质量,是关系云计算环境下数字图书馆虚拟化建设与安全所面临的重要问题[1]。
2 云图书馆虚拟化安全问题与需求
虚拟化是云计算的关键支撑技术,为云计算环境下数字图书馆云计算、云存储、网络、用户桌面与阅读应用等资源提供逻辑化的资源管理、分配与优化。在大幅度降低云图书馆建设、管理与使用成本的前提下,提高资源的可管性与可用性。云计算环境下,虚拟化安全问题是关系云图书馆建设与读者云阅读活动服务质量的关键因素,也是云图书馆可用性效能判定的重要指标。
2.1 虚拟化环境更加复杂、多变
随着虚拟化技术的应用,数字图书馆在大幅降低云计算、云存储和管理服务器硬件设备采购数量的前提下,利用虚拟化技术将单一服务器划分为若干个虚拟化设备,依据读者云阅读服务活动资源使用量按需分配。
虚拟化技术虽然提升了数字图书馆云数据中心资源的管理与使用效率,但是,单一物理服务器所承载的业务将更加密集、繁重,物理设备在逻辑上的隔离也无法保证不同用户、业务应用系统之间的完全隔离,数字图书馆传统意义上的安全界限将更加模糊和难以划定。此外,虚拟化环境下云基础设施结构与软件系统环境将更加复杂、多变,增加了黑客利用虚拟机操作系统和应用程序漏洞进行攻击的成功概率。同时,虚拟化环境下数字图书馆安全防范的对象与内容进一步扩大,对核心系统的攻击可能会造成云图书馆服务中断、系统崩溃和控制权限丢失。第三,黑客可能会利用虚拟化技术的超级计算能力发起对云数据中心的攻击,并巧妙隐藏个人行踪,使非法攻击难以预测和发现[2]。
2.2 云图书馆虚拟化安全应用效率要求增加
云计算环境下,数字图书馆虚拟化应用具有智能管理、自动配置和动态迁移的特点。同时,复杂的云基础设施结构与读者数量具有极大不确定性。因此,造成云图书馆在虚拟化应用安全策略的制定、实施、管理和监测上具有较大难度,应根据虚拟化应用安全需求、用户要求、环境特点和客户端现状而制定相应的安全策略。此外,在不同虚拟机上执行安全防护策略时,应对虚拟化安全监测的范围、时间、内容与标准进行合理规划,并部署具有虚拟化感知能力的安全解决方案,避免虚拟化安全应用占用过多的系统资源而导致数据中心整体性能下降。第三,需加强虚拟化管理员与云计算、云存储、云系统管理员的技术协调。在提高云图书馆虚拟化应用安全性的前提下,避免“防病毒风暴”的产生,确保云数据中心管理、运营活动的高效和有序。
2.3 虚拟化网络安全问题更加突出
虚拟化环境下,云数字图书馆网络拓扑结构重新组合,云数据中心网络、云图书馆功能区域内部网络、服务器物理设备内部逻辑网络结构的变化,产生了许多新的安全问题。同时,虚拟化网络内部安全区域划分更加模糊,传统的软、硬件防火墙和网关设备无法通过建立多个安全隔离区及制定、实施不同的安全策略来满足系统设备与虚拟化应用安全需求。此外,虚拟交换机与外部拓扑网络结构易变,导致云系统安全威胁与攻击对象无法准确定位,造成安全问题的扩散。第三,云计算环境中虚拟机迁移频率和虚拟化设备之间的数据交换量,随着图书馆云服务业务量的不断增长而增加。此外,不同虚拟设备之间通信链路的建立与断开具有极大的随机性。因此,利用虚拟化网络建立和虚拟机之间的数据通信过程进行渗透攻击,成为黑客攻击虚拟化网络的重要方式[3]。
2.4 虚拟化技术存在安全隐患
随着云计算技术的发展,虚拟化技术在数字图书馆建设、服务活动中的应用范围不断扩展,其功能和可用性也不断增强。但是,虚拟化技术在提高云系统可管性、易用性的同时,也增加了系统复杂度,导致虚拟化安全漏洞和安全防范内容不断增加,比传统数字图书馆IT环境更容易受到攻击。
首先,为了提高虚拟机的安全性,应根据虚拟机应用类别和安全需求级别进行云资源与用户的逻辑隔离。但是,传统利用网关、防火墙等方式进行设备物理隔离的方法,已不能适用于采用逻辑划分方式所建立的虚拟化系统。因此,不正确的虚拟机安全隔离方式可能会造成数据的泄漏或者云系统工作效率的下降。第二,虚拟设备的迁移、逃逸等问题,会造成网络地址、端口等参数的随机变化,增加了管理员监控、管理虚拟化设备的难度,使黑客更易于获得虚拟设备的控制权。第三,云计算环境下数字图书馆读者服务具有突发性和随机性的特点,虚拟机在云资源分配活动中可能会因为不科学的资源管理、分配策略和优先级别划分方式,而导致资源分配、使用效率的降低和无节制滥用资源。
2.5 虚拟化安全攻击形式多样化
与传统IT环境相比,云计算环境下数字图书馆遇到的安全问题更加复杂、多变,虚拟化技术在提高云系统管理、运营效率的同时,也增加了系统的复杂度和管理难度。
在虚拟化环境下,云图书馆除面临传统的安全威胁和攻击方法外,利用虚拟化管理、应用程序漏洞而发起的,以获得云系统控制权和降低云系统运营效率的攻击,成为云图书馆所面临的主要安全攻击方式。其次,如何快速有效地对处于快照、休眠、激活过程中的虚拟机提供有效安全防护策略,确保虚拟机从休眠状态过渡到激活状态时及时获得保护。第三,云计算环境下,黑客常通过租赁或攻击的方式获得某一虚拟机的控制权,进而借助此虚拟机发起对整个云系统的攻击。如何通过有效部署和虚拟化环境底层系统无缝集成的安全解决方案,有效实现对云系统内部虚拟设备之间数据通信的监控、屏蔽与隔离,是确保虚拟系统整体安全的有效方法[4]。
3 云图书馆虚拟化安全管理策略
3.1 提高虚拟化系统健壮性
提高虚拟化系统自身健壮性,是确保云图书馆数据中心硬件设施、管理与控制系统、应用与服务系统平台、安全防御系统自身免疫力,免受已知和未知病毒、攻击方式、系统漏洞侵害的首要条件。
首先,图书馆应根据服务商云租赁平台安全特点、云图书馆安全需求、虚拟化应用类型、安全需求和环境特点,在保证虚拟化系统安全标准和虚拟化应用效率的前提下,与云服务提供商共同制定相应的安全管理策略,实现虚拟化资源收集和分配的细粒度管理,确保虚拟化应用具有较高的可见性、相关性、可用性和扩展性。其次,应保证虚拟机部署活动高效、精细、可控、安全,虚拟机应用过程符合云计算和虚拟化应用安全标准。第三,云计算安全监测和管理平台能够全程、大范围地实施监控管理,能够识别并预测未知风险和威胁,并通过安全报警、主动防御、日志审查和智能预测等方式保障虚拟化应用安全。第四,应通过集中、压缩、过滤虚拟化应用过程和数据量的方式,大幅降低虚拟化应用与管理的成本、难度和复杂度,实现数字图书馆虚拟化资源与应用的集中控制、细粒度管理、资源快捷交付和基于安全策略的访问控制[5]。
3.2 基于传统IT架构的虚拟化安全嵌入
云计算环境下,数字图书馆通常以云迁移的方式进行云基础设施和服务环境的构建。因此,基于传统IT架构基础之上的虚拟化安全嵌入,是实现云图书馆建设投资收益最优化的有效途径。
首先,在虚拟化技术选取和虚拟化应用构建初期,应结合虚拟化安全需求和云安全环境特点,将安全机制内嵌入虚拟化环境中,保证云计算环境下虚拟化具有较高的安全标准。其次,在虚拟化资源管理和虚拟机软件运行过程中,依据虚拟化应用实际划分详细的安全隔离区域和不同等级的安全标准,实现虚拟化资源与数据交流的安全控制策略。第三,虚拟化安全管理与应用必须确保具有较少的云系统资源消耗量,实现虚拟化安全收益和云系统资源消耗的最优化交付。第四,在虚拟化安全策略制定和实施过程中,应减少对物理基础设施安全管理方式的依赖性,不断提高物理设备虚拟化管理的可视性和可控性,实现服务器集群、虚拟化资源池、虚拟化网络、虚拟化数据中心的自动化配置。
3.3 虚拟化网络安全防护
3.3.1 确保虚拟化网络易监控和可管理
随着云计算环境下虚拟化系统结构和虚拟化应用复杂度的不断增加,许多云租户可能会共享位于同一物理设备上的不同虚拟机,云服务提供商也可能会根据数字图书馆不同云应用需求而分配位于不同物理设备上的虚拟机。因此,虚拟化网络结构复杂、虚拟化交换设备流量激增,是云计算环境下虚拟化网络的特点。
首先,应将多个虚拟化网络设备整体绑定为一个逻辑设备统一管理,并根据虚拟化设备的应用特点和安全要求,划分不同的安全区域并制定相应的安全策略。同时,利用虚拟化软件防护、虚拟化防火墙和入侵检测方法,在减少安全资本投入和合理使用资源的前提下,提高虚拟化网络的安全性。其次,应自动化、智能化地实现网络入侵防御和网络安全漏洞修复,能够利用云防毒技术预测、判定和防范未知病毒,并对重要数据在网络传输前实施加密。第三,云图书馆不同用户和虚拟化应用可能会使用同一物理设备上的虚拟机,并且具有不同的安全标准和要求。因此,在虚拟机安全管理上应避免依据物理设备位置和端口进行安全绑定。应依据用户和虚拟化应用的IP地址、Vlan等标识,把安全设备上的虚拟设备与用户资源池对应起来,实现虚拟化网络标识层面的安全防护[6]。
3.3.2 实现虚拟化网络数据流量的监测和安全管理
云计算环境下,数字图书馆虚拟化网络数据传输主要可分为两种方式。一是数据流经数据中心不同物理设备或经过交换设备转发而流向用户,二是数据在某一物理设备内部不同虚拟机之间交换。因此,虚拟化网络具有组织结构复杂性和拓扑结构不确定性,虚拟化网络传输具有数据流量大、网络结构逻辑化、网络拓扑结构易变和网络流量可控性差的特点。
流经数据中心不同物理设备或经过交换设备转发而流向读者的数据,是云图书馆交换设备、网关、入侵防御设备的主要安全保障对象,其传输安全、有效性是云图书馆用户服务质量保障的前提。因此,对于此类数据的监控和管理,主要以依靠传统IT环境下的网络监控、防御系统为主。根据数据传输区域和对象实际在交换节点部署安全设备,并结合不同用户数据传输安全和质量要求制定相应的转发、隔离和安全管理策略,在符合数据传输安全要求的前提下保证传输质量。
同一物理设备内部不同虚拟机之间的数据传输是虚拟化网络存在的特有问题。同一物理设备内部不同虚拟机数据交换的复杂性、不可预测性和不可见性,是导致虚拟机之间数据监控、管理难度增大的主要原因。因此,在传统监控、管理设备和安全策略无法对虚拟机数据传输实施管理的情况下,应建立高效的虚拟交换机并设置相应的访问控制和数据交换策略,实现不同虚拟机之间的网络层数据传输监控和流量漏洞攻击行为检测,并利用虚拟网络防火墙实现虚拟化数据传输的管理和数据流分离[7]。
3.4 加强虚拟化设备管理和应用安全性
云计算环境下,数字图书馆如何根据读者云阅读服务和虚拟化管理安全需求,结合虚拟化应用系统自身结构、运营特点,智能、自动化地对虚拟设备进行管理安全策略和运行可靠性检查,是确保物理设备和虚拟化系统运营安全、高效的前提。
虚拟化设备安全内容主要为物理设备的可虚拟划分性、操作系统可靠性、虚拟化管理程序高效性、虚拟化应用程序可执行性、相关数据的安全保密性等方面内容。首先,应坚持虚拟化系统与应用程序的整体安全性能评估和虚拟化应用系统运行可靠性测试,确保虚拟化应用程序安全、透明、高效、灵活,在提高单一虚拟化程序运营效率时以不降低整体系统性能为代价。其次,应根据虚拟化应用安全需求划分不同的安全等级。对涉及云图书馆管理、运营、安全、服务的虚拟化应用,应创建位于不同物理设备的备份虚拟机,确保当主虚拟机出现故障时快速切换,保证虚拟化应用的连续性。第三,应根据虚拟化应用优先级别和资源使用量,在降低虚拟化应用管理复杂度的前提下,实现虚拟化资源的动态分配和智能化负载迁移,确保虚拟化应用系统安全、高效、均衡、经济。第四,为了提高虚拟化应用安全,应将虚拟服务器的配置文件和虚拟硬盘镜像文件进行备份,当数字图书馆虚拟化应用停止工作时,只需将备份好的文件还原到新的服务器上即可恢复服务。此外,应对安全标准要求高的虚拟机实现加密的数据通信。
3.5 提高虚拟化安全管理策略的高效性和可执行性
制定高效、可执行的虚拟化安全管理策略,是保障云图书馆虚拟化安全的前提和必要条件。
首先,应根据虚拟化系统组织结构和功能,将云服务供应商和云图书馆安全职责内容明确,并依据云计算安全标准对虚拟化安全配置和应用进行测试、评估。同时,应对数据进行分类存储和流量分流,加强虚拟化系统的监控、安全分析与数据访问的身份管理。其次,应加强用户虚拟化阅读终端设备的安全管理,通过托管、身份管理、日志审查、安全补丁等较低的安全投入,确保虚拟桌面具有较强的系统可操作性和数据可靠性。第三,应从提高云图书馆虚拟化应用管理安全、高效、经济、可控性目的出发,由云图书馆虚拟化管理员创建用户对虚拟化系统的细粒度访问控制政策,并对访问活动全面监控、记录和上报。第四,结合所制定的虚拟化安全管理策略,部署智能、自动化的系统管理、监管和监视工具,并通过宿主机的最小化安装来降低黑客可攻击的接口数量和攻击成功概率[8]。
3.6 建设开放、可靠的安全防御系统
虚拟化应用增加了云图书馆管理和用户服务系统结构复杂性,传统的安全防御体系已不能完全解决云虚拟化应用环境中的安全问题。必须结合数字图书馆虚拟化应用安全实际,建设安全、可靠的云图书馆虚拟化安全防御系统,并制定相应有效的安全防御策略。
首先,应根据虚拟机安全级别和任务量,对一些涉及云图书馆安全性和云阅读活动服务质量的虚拟机,通过分配独立CPU、硬盘等方式,以及采用虚拟化和物理化双层隔离的方式来保障虚拟设备应用安全。同时,可通过在数据库和应用程序层间设置防火墙、隔离区(DMZ)内运行虚拟化、安全监控、漏洞补丁等方式,消除虚拟机溢出隐患。其次,云图书馆在开发、购买虚拟化应用产品时,应加强对API(应用程序编程接口)开放程度的监管,确保开发、购买的云图书馆虚拟化产品具有较高的安全性和可控性。第三,应定期全面、系统地评估云图书馆系统架构和虚拟化应用系统的健壮性,并有针对性地进行系统安全加固和应用程序的更新。第四,必须加强虚拟防火墙的部署和网络入侵检测。应特别加强虚拟防火墙在核心交换机和骨干服务器群之间、物理网络和虚拟网络之间、不同虚拟化网络之间位置的部署,并对可疑或者非法虚拟机流量进行强制隔离[9]。
4 结语
云计算环境下,随着云图书馆建设规模的不断壮大和服务功能的扩展,数字图书馆虚拟化安全问题将直接关系到云图书馆的服务质量和未来发展,是一个涉及云图书馆基础设施架构可靠性、云图书馆运营与管理效率、读者云阅读活动满意度、云图书馆安全的重要问题。因此,只有将虚拟化安全问题与云图书馆系统拓扑架构科学性建设相结合,将虚拟化安全管理有效性与读者云服务系统可管、可用性相结合,坚持虚拟化安全建设高效、可管、经济、易用的原则,在不影响云系统运营效率的前提下实现虚拟化安全投入的最优化收益,才能确保云计算环境下数字图书馆虚拟化应用安全、高效,为读者提供满意的云个性化数字阅读服务[10]。
参考文献:
[1]张建勋等.云计算研究进展综述[J].计算机应用研究,2010,(2):429-433.
[2]钱文静, 邓仲华.云计算与信息资源共享管理[J].图书与情报,2009,(4):47-52.
[3]Buyya R,Yeo C S,Venugopal S,etal.Cloud computing and emerging IT platforms: vision,hype,and reality for delivering computing as the 5th utility[J].Future Generation Computer Systems,2009,25(6):599-616.
[4]因特尔开源软件技术中心,复旦大学并行处理研究所.系统虚拟化一原理与实现[M].北京:清华大学出版社,2009:33-42.
[5]王长全,艾雰.云计算环境下的数字图书馆信息资源整合与服务模式创新[J].图书馆工作与研究,2011,(1):48-51.
[6]杜海, 陈榕.基于完全虚拟化的进程监控方法[J].计算机工程,2009,35(8):88-90.
[7](美)胡普斯等.杨谦,谢志强译.虚拟安全一沙盒、灾备、高可用性、取证分析和蜜罐[M].北京:科学出版社,2010:57-69.
[8]江迎春.VMware和Xen虚拟网络性能比较[J].软件导刊,2009,8(5):133-134.
篇13
(2)用户管理权限。在任何条件下用户管理权限都是计算机使用安全的基本保障。用户借助云平台来完成自己的操作就需要在云客户端上登录信息,在取得权限以后才能进行相关操作。而云平台储存了大量的信息,同时也给恶意软件提供了温床,那么黑客可能就可以获取使用权限,这也就带来了极大的安全隐患。
(3)数据安全。表面上云平台数据并无太大问题,但是依然存在着一些潜在患,例如在进行数据传递过程中可能会受到黑客的攻击,同时这些数据也有可能受到恶意篡改。
(4)虚拟机安全。与传统计算机平台不同的是云计算平台需要借助于虚拟机才能够进行正常工作,虚拟机为云平台带来了极高的处理效率,但事实上虚拟机之间的供给和安全级别依然存在着缺陷,这就有可能造成部分恶意软件附着于虚拟机当中甚至对整个云平台工作产生影响[2]。
二、提升云计算背景下计算机安全程度的有效对策
2.1加强相关法律监管。作为信息时代下的新产物云平台目前还缺少相应的法律监管规程或者说相关的法律体系还不够健全,为了让云平台的安全性得到保证应该尽快加强云平台法律建设,将云计算服务的安全管理列入法律章程从而形成规范化、统一化的管理。另外借助于法律机制也可以加强云平台的实际监管效应为云平台运行提供一个良好的基础环境。
2.2提升技术监控水准。对云计算技术以及相关业务进行彻底的分析并根据分析情况构建出有效的技术监控体系。正是由于云计算普及面的加大使得互联网业务开发的门槛得到了降低,同时也给信息传递渠道提供了新的构建方向。对于以上情况就必须通过针对性的监控技术来保证云计算服务以及相关渠道的安全,通过开发审计系统、定位系统等来构建信息反馈通道为云平台提供一个良好、可靠、稳定的网络信息环境。
2.3加强云计算安全管理制度建设。在云计算安全管理制度建设过程中首先要确定安全等级并将云计算服务的类别分清楚,例如有私人云服务、家庭云服务、企业级云服务以及政府级云服务等。根据不同的安全等级来设定相关的防护标准以及对应的安全管理制度从而促进云平台安全性的进一步提升。为了让制度得到充分落实国家应该给予云平台建设高度重视,加大云计算业务自主研发力度从而减少对国外技术的依赖,构建出具有自主产权的技术核心,这对于云平台安全建设将有着极大的促进作用。
2.4对云计算服务进行准确定位。云计算业务的种类繁多,因此需要对其中的各种业务进行准确的定位,这样才能够形成一个统一化的管理体系从而促进云平台的和谐发展。
2.5从技术层面上对云平台安全进行优化。采取数据加密、隔离等措施来对云储存进行保护同时采取第三方实名监管制度来保证信息的真实性。对于虚拟机可以使用在虚拟机的基础设施之中运行的虚拟网关安全,对相关安全测策略进行针对性定义,同时加强流量监视。服务方面则要求构建出完整的服务水平协议并让用户能够完全了解协议内容,让用户可以对风险进行预见性判断。另外利用单独加密技术来对重要数据文件进行加密,然后再将其共享于云网络,加大网络信息安全审计的力度来保证数据信息安全[3]。