企業(yè)私有云平臺安全技術

　　云計算是一種以互聯(lián)網(wǎng)為基礎的新興計算機應用技術，它融合了分布式計算、效用計算、并行計算、網(wǎng)格計算、網(wǎng)絡存儲、虛擬化等傳統(tǒng)計算機和網(wǎng)絡技術，形成了一整套新的標準和模式，“云計算”概念也迅速運用到生產(chǎn)環(huán)境中，各種“云計算”的應服務范圍正日漸擴大，影響力也無可估量。通俗的講，云計算就是讓你把所有數(shù)據(jù)處理任務都交給網(wǎng)絡來進行，由企業(yè)級數(shù)據(jù)中心負責處理客戶電腦上的數(shù)據(jù)任務，這樣就可以通過一個數(shù)據(jù)中心向使用多種不同設備的用戶提供數(shù)據(jù)服務，從而為個人用戶節(jié)省硬件資源。本文介紹的云平臺安全措施主要是面向VMware系列云計算平臺的。

　　1、云安全簡介

　　當前，典型的企業(yè)私有云計算平臺拓撲結構如圖1所示。
 

　　云計算方興未艾，針對云計算平臺的安全性研究也在不斷進行，盡管云計算存在安全問題，但它仍然給信息安全帶來了機遇。在云計算方式下，數(shù)據(jù)是集中存儲的，這樣至少給數(shù)據(jù)安全帶來了兩個好處：

　　(1)降低了數(shù)據(jù)被盜、被破壞和外泄的可能。這也是云計算服務商討論最多的一個優(yōu)點。只要用戶能夠接入Internet，就能根據(jù)需要隨時進行訪問，根本就用不著自己隨身攜帶，也用不著自己去維護或維修。

　　(2)能夠更容易地對數(shù)據(jù)進行安全監(jiān)測。數(shù)據(jù)集中存儲在一個或若干個數(shù)據(jù)中心，數(shù)據(jù)中心的管理者可以對數(shù)據(jù)進行統(tǒng)一管理，負責資源的分配、負載的均衡、軟件的部署、安全的控制，并能更可靠地進行數(shù)據(jù)安全的實時監(jiān)測以及數(shù)據(jù)的及時備份和恢復。

　　雖然云計算本身為安全做出了貢獻，但是由于云計算的復雜性、用戶的動態(tài)性等特點，安全問題仍是云計算發(fā)展所面臨的巨大挑戰(zhàn)，如何確保云計算環(huán)境不同主體之間相互鑒別、信任和各個主體問通信機密性和完整性，計算的可用性和機密性[3]，使云計算環(huán)境可以適用不同性質的安全要求，都是急需解決的問題。

　　2、基于企業(yè)云平臺的云安全研究

　　隨著企業(yè)信息化的發(fā)展，生產(chǎn)和辦公場所對于移動辦公有著迫切的需求，例如移動文件瀏覽和批閱等一些現(xiàn)實需求。同時企業(yè)業(yè)務發(fā)展需要依托先進的信息化平臺來進行有力支撐，高性能計算集群、三維可視化圖形工作站、海量的數(shù)據(jù)存儲設備以及功能各異的專業(yè)應用軟件可以為更加精準、更加高效的綜合決策提供堅實的技術保障，上述的企業(yè)需求需要一個全新的服務平臺進行支持，云計算就是這樣一個全新的平臺，它使得服務的交付模式向云端轉移，所有用戶都可以獲得低成本、高性能、快速配置和海量云計算服務支持。然而，安全問題始終是云平臺正常投入使用所面臨的最大問題和隱患，服務安全、數(shù)據(jù)安全、個人隱私等安全問題都要求必須根據(jù)企業(yè)實際業(yè)務，建立一套完整的云平臺安全保障體系，并基于經(jīng)濟因素的考慮要盡量將企業(yè)原有安全基礎設施與云平臺進行很好的融合，同時對云平臺性能與安全這對矛盾體進行分析研究，找到最佳平衡點，使得云平臺更加安全可靠。圖2顯示了一個完整的云安全體系架構，覆蓋了物理層、鏈路層、網(wǎng)絡層、傳輸層及應用層，采取了盡可能多的安全措施來保障企業(yè)私有云平臺的安全運行，但是如何發(fā)揮各個安全手段的作用，避免相互之間的矛盾；如何在保障安全的條件下，盡可能減少系統(tǒng)用于安全監(jiān)控的開銷是需要著重解決的問題。本文介紹的企業(yè)主要采用的安全措施有ukey認證、訪問控制、數(shù)據(jù)加密和入侵檢測等手段。

　　2.1 ukey統(tǒng)一身份認證安全措施

　　面對日益復雜的網(wǎng)絡環(huán)境，普通的網(wǎng)絡接入認證已經(jīng)不能滿足安全需要，難以確定用戶身份，保證數(shù)據(jù)的隱私性，而ukey 是用來進行一些特殊業(yè)務的準入認證。利用ukey 認證作為云平臺的安全接入認證不僅能夠提高云平臺的安全性，也能夠使ukey 發(fā)揮最大效能，充分利用ukey 高可靠性的特點實現(xiàn)對云計算資源的保護，防止無授權用戶的非法操作。SSL VPN是基于SSL 協(xié)議采用虛擬專用網(wǎng)的方式為遠程用戶提供的一種安全通信服務，采用ukey 認證與SSL VPN 技術相結合，能夠大幅度提高云平臺的安全。
 

　　2.2 云平臺的安全管理、控制、審計等安全管理問題的研究和解決

　　云安全管理平臺搭建在云計算環(huán)境基礎框架上，主要通過VMware軟件所具有的的功能配合其他一些安全管理策略統(tǒng)一進行管理控制。

　　2.2.1 訪問控制策略

　　云安全管理平臺根據(jù)資源的不同分別定義不同的訪問策略，對資源進行服務控制，企業(yè)中用戶數(shù)據(jù)的級別和敏感程度也有所不同，重要和敏感數(shù)據(jù)需要更深層的保護，因此需要針對這些數(shù)據(jù)和文件專門制定訪問控制策略，通過ukey來進行身份識別，根據(jù)不同的身份及所屬類別來限制用戶的訪問權限和所能使用的計算機資源和網(wǎng)絡資源，保證合法用戶正常訪問，并防止非法訪問。

　　2.2.2 數(shù)據(jù)存儲安全策略

　　企業(yè)數(shù)據(jù)始終受到著各種各樣的威脅，存儲服務本身也是不可信任的，因此數(shù)據(jù)加密成了解決問題的首選。目前基于如DES等的對稱加密算法因其加解密速度較快被廣泛應用，非對稱加密體系如RSA 算法則具備更高的強度，因此采用動態(tài)生成DES密鑰并結合RSA公鑰加密的方法可以充分發(fā)揮兩者的優(yōu)點，找到性能和強度的平衡點。

　　處理開始前，云端加密程序從公鑰庫獲取接收數(shù)據(jù)的用戶對應的RSA 公鑰。加密開始時，由一個DES 密鑰生成器隨機生成一個DES密鑰，并依照算法選取數(shù)值N，從源數(shù)據(jù)讀取N 字節(jié)并由該隨機DES密鑰加密為長度為M字節(jié)的密文。與此同時，將該DES密鑰由接收端的RSA公鑰加密為一段密文，同N 字節(jié)源數(shù)據(jù)加密后的密文，并附上該兩者的長度，一同作為一個數(shù)據(jù)包保存于云端，如圖3所示。客戶端繼續(xù)工作，重新生成隨機DES 密鑰和隨機數(shù)N，重復上述過程，發(fā)送第二個直至最后一個數(shù)據(jù)包，完成整個加密工作。
 

　　解密過程剛開始是數(shù)據(jù)接收端讀入前兩個32b，通過RSA解密，分別取得加密的DES密鑰長度(設為L1)和加密的數(shù)據(jù)長度(L2)，順次讀取數(shù)據(jù)包中其后的L1和L2字節(jié)數(shù)據(jù)，用接收端的RSA私鑰將前者翻譯成明文，得到一個DES密鑰，而后者則由該DES密鑰解密，解密后的明文追加到待保存的目標數(shù)據(jù)中。這樣就完成了一個數(shù)據(jù)包的解密，如圖4所示。重復上述過程，直至完成所有數(shù)據(jù)包的解密，得到加密前的原始數(shù)據(jù)。

　　2.3 云計算平臺入侵檢測

　　云平臺數(shù)據(jù)更加集中，更易受到攻擊和入侵的威脅，而使用傳統(tǒng)的特征庫判別法的殺毒軟件已無法有效地確保云平臺的安全，因此入侵檢測和防御就顯得更加重要，十分有必要對云計算平臺中的網(wǎng)絡、框架和數(shù)據(jù)等各種威脅進行全方位實時主動監(jiān)控、檢測和防御。
 

　　傳統(tǒng)入侵檢測防護技術大多是一種被動防御的系統(tǒng)，很難滿足當前網(wǎng)絡攻防的新形勢。這里采用主動防御與傳統(tǒng)被動防御相結合的方式，摸索這種入侵檢測系統(tǒng)與云計算平臺的結合，采用改進的apriori算法，利用一個層次順序搜索的循環(huán)方法來完成頻繁項集的挖掘工作，提高挖掘速度，迅速發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否被入侵的跡象。當查詢的行為是合法的，系統(tǒng)返回一個完整和正確的解釋，當查詢的行為是誤操作或惡意行為的特征，解釋將和具體事件和發(fā)生事件的節(jié)點關聯(lián)起來，通過節(jié)點行為(也就是指狀態(tài)變化或某些節(jié)點上的信息傳遞)來判定行為是否合法或是發(fā)生錯誤，并采取必要的處理措施。

　　3、結語

　　云計算作為一種新的模式給企業(yè)信息化發(fā)展帶來了巨大的變革，是IT 行業(yè)的一個發(fā)展趨勢。其提高了網(wǎng)絡工作效率，節(jié)約了企業(yè)成本和資源，應用前景非常廣，但是安全問題仍然是阻礙企業(yè)全面部署云平臺的最大障礙。雖然本文提出了一些云安全防御策略，但還不成熟，因此今后還要在此基礎上在如何有效控制訪問權限和整體安全管理機制，如何對數(shù)據(jù)進一步劃分等級，實時安全操作和監(jiān)控，如何更有效地管控外部攻擊威脅帶來的風險等方面深入開展研究，更有效地提高云計算平臺安全，為云計算在企業(yè)中的廣泛應用提供更安全的保障。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標題：企業(yè)私有云平臺安全技術

本文網(wǎng)址：http://www.lukmueng.com/html/support/11121512719.html