面向電信運(yùn)營(yíng)商的云計(jì)算安全體系探究

林梓鵬

?

面向電信運(yùn)營(yíng)商的云計(jì)算安全體系探究

林梓鵬

廣東省電信規(guī)劃設(shè)計(jì)院有限公司，廣東 廣州 510630

隨著云計(jì)算技術(shù)的不斷發(fā)展，云計(jì)算已經(jīng)得到了廣泛的認(rèn)可，成為電信運(yùn)營(yíng)商的信息技術(shù)基礎(chǔ)設(shè)施的主要實(shí)現(xiàn)方式，但同時(shí)云計(jì)算也引入了新的威脅和風(fēng)險(xiǎn)，改變了傳統(tǒng)的信息安全保障體系設(shè)計(jì)。為此，主要就云計(jì)算含義、云計(jì)算數(shù)據(jù)服務(wù)管理中心功能、面向電信運(yùn)營(yíng)商的云計(jì)算安全體系構(gòu)建方法三個(gè)方面內(nèi)容進(jìn)行論述。

云計(jì)算；云計(jì)算數(shù)據(jù)服務(wù)管理中心；電信運(yùn)營(yíng)商；安全體系構(gòu)建

引言

云計(jì)算從產(chǎn)生以來(lái)已在眾多領(lǐng)域得到了應(yīng)用。就電信業(yè)來(lái)講，其面臨著廣電行業(yè)、互聯(lián)網(wǎng)行業(yè)、IT行業(yè)的激烈競(jìng)爭(zhēng)。電信運(yùn)營(yíng)商使用云計(jì)算技術(shù)后，改變了在市場(chǎng)競(jìng)爭(zhēng)中不利的局面。但是，在云計(jì)算的具體應(yīng)用中，始終面臨著云計(jì)算的安全威脅問(wèn)題。因此，構(gòu)建新型的云計(jì)算安全體系對(duì)電信運(yùn)營(yíng)商來(lái)講顯得格外重要。

1 云計(jì)算含義

到目前為止，云計(jì)算還沒(méi)有一個(gè)統(tǒng)一的含義。但是，我們可以從云計(jì)算的特征入手，對(duì)其進(jìn)行理解。第一，云計(jì)算具有網(wǎng)絡(luò)接入功能，可以涵蓋大多數(shù)網(wǎng)絡(luò)客戶(hù)端。第二，云計(jì)算通過(guò)應(yīng)用資源池，可以運(yùn)行高質(zhì)量、虛擬化、功能模塊化、服務(wù)眾多用戶(hù)的網(wǎng)絡(luò)運(yùn)行平臺(tái)。第三，彈性計(jì)算能力。依據(jù)不同用戶(hù)的資源動(dòng)態(tài)需求，系統(tǒng)運(yùn)行資源進(jìn)行科學(xué)計(jì)算及動(dòng)態(tài)調(diào)整。第四，可以依照不同需求提供不同的服務(wù)?？梢砸罁?jù)需要對(duì)繳費(fèi)、取消、服務(wù)開(kāi)通、配置變更等進(jìn)行自動(dòng)化有效處理。第五，良好服務(wù)測(cè)度。云計(jì)算可以開(kāi)展電信業(yè)務(wù)中收費(fèi)價(jià)格、服務(wù)使用等方面的科學(xué)測(cè)量，保障用戶(hù)和服務(wù)提供者都處于一種透明狀態(tài)[1]。

2 云計(jì)算數(shù)據(jù)服務(wù)管理中心功能

云計(jì)算數(shù)據(jù)服務(wù)管理中心是一種可以提供運(yùn)營(yíng)、控制的云計(jì)算服務(wù)應(yīng)用平臺(tái)，基于虛擬化技術(shù)的充分應(yīng)用，對(duì)基礎(chǔ)類(lèi)的服務(wù)資源設(shè)施進(jìn)行封裝，為用戶(hù)提供更加靈活的服務(wù)，即對(duì)存儲(chǔ)設(shè)備、服務(wù)器、應(yīng)用軟件、網(wǎng)絡(luò)資源、開(kāi)發(fā)平臺(tái)等進(jìn)行標(biāo)準(zhǔn)化處理，為客戶(hù)提供優(yōu)質(zhì)服務(wù)。在此過(guò)程中，客戶(hù)無(wú)須購(gòu)買(mǎi)硬件設(shè)備，而是以租賃方式進(jìn)行云資源的租用和業(yè)務(wù)托管。云計(jì)算數(shù)據(jù)服務(wù)管理中心與傳統(tǒng)IDC相比具有以下特點(diǎn)。

第一，應(yīng)用虛擬化技術(shù)，向用戶(hù)和企業(yè)提供合適的業(yè)務(wù)資源。

第二，按量付費(fèi)，管理更加自動(dòng)化、智能化。云計(jì)算數(shù)據(jù)服務(wù)管理中心的架構(gòu)為：物理層（電信運(yùn)營(yíng)商具有的設(shè)備、服務(wù)器、網(wǎng)絡(luò)資源、存儲(chǔ)設(shè)備），虛擬層（建立共享基礎(chǔ)資源設(shè)施，開(kāi)展資源自動(dòng)彈性收縮），管理層（進(jìn)行數(shù)據(jù)資源動(dòng)態(tài)管理，進(jìn)行用戶(hù)身份認(rèn)證、數(shù)據(jù)保護(hù)、操作授權(quán)、服務(wù)測(cè)量、計(jì)費(fèi)、業(yè)務(wù)資源監(jiān)控），業(yè)務(wù)層（存儲(chǔ)服務(wù)、基礎(chǔ)計(jì)算服務(wù)、云主機(jī)服務(wù)，進(jìn)行差異化服務(wù)，使得用戶(hù)接入到自服務(wù)門(mén)戶(hù)網(wǎng)站）[2]。其主要架構(gòu)表見(jiàn)表1。

表1 云計(jì)算數(shù)據(jù)服務(wù)管理中心架構(gòu)

3 面向電信運(yùn)營(yíng)商的云計(jì)算安全體系構(gòu)建方法

3.1 抗拒絕安全防護(hù)

全面提高云計(jì)算抗拒絕安全防護(hù)能力，構(gòu)建起良好的安全抗拒絕服務(wù)環(huán)境。第一，將專(zhuān)業(yè)化的DDoS攻擊設(shè)備布置在數(shù)據(jù)中心用戶(hù)接入層邊界中，提升整個(gè)云計(jì)算安全體系抗拒絕安全防護(hù)水平，抵御各種類(lèi)型的非安全服務(wù)活動(dòng)、數(shù)據(jù)信息。第二，提升傳統(tǒng)網(wǎng)絡(luò)層流量DDoS攻擊能力，比如加強(qiáng)ICMPFlood、UDPFlood、SYNFlood等的DDoS攻擊能力。第三，在數(shù)據(jù)中心用戶(hù)接入層邊界部署DDoS設(shè)備，并開(kāi)展DDoS攻擊能力測(cè)試，為后續(xù)的資源優(yōu)化配置、性能提高、應(yīng)用的配置策略等打好基礎(chǔ)[3]。

3.2 虛擬安全域隔離和保護(hù)

虛擬防火墻技術(shù)的應(yīng)用可以提高虛擬安全域隔離能力。虛擬防火墻技術(shù)，是將一臺(tái)物理防火墻虛擬成多臺(tái)邏輯虛擬防火墻的技術(shù)，可以充分發(fā)揮物理防火墻的性能，對(duì)不同應(yīng)用采用不同的安全策略。通過(guò)對(duì)虛擬防火墻的配置隔離，使得這些虛擬防火墻在應(yīng)用中保持相對(duì)的獨(dú)立性、互不影響，可以互不干擾開(kāi)展工作。比如，網(wǎng)絡(luò)黑客對(duì)一個(gè)虛擬的防火墻進(jìn)行了攻擊，花費(fèi)了大量的時(shí)間、資源，而其他的虛擬防火墻依然完好，發(fā)揮著自身的功能，保障了虛擬安全域有效隔離。

這種虛擬防火墻具有許多優(yōu)勢(shì)：具有簡(jiǎn)單化的網(wǎng)絡(luò)結(jié)構(gòu)，可以靈活運(yùn)用；易于管理，大大降低了有關(guān)人員的工作量；節(jié)省了大量成本，使得云計(jì)算安全體系實(shí)現(xiàn)良好的應(yīng)用效益和價(jià)值，為客戶(hù)提供高質(zhì)量增值安全服務(wù)。

3.3 虛擬機(jī)的安全防護(hù)

應(yīng)用虛擬防火墻、虛擬IDS等產(chǎn)品，提升虛擬機(jī)應(yīng)用安全性。具體來(lái)講，虛擬防火墻、虛擬IDS等產(chǎn)品通過(guò)設(shè)置高級(jí)訪(fǎng)問(wèn)權(quán)限，對(duì)于主要物理節(jié)點(diǎn)的各種流量數(shù)據(jù)信息、VM和VM之間的各種數(shù)據(jù)流量進(jìn)行監(jiān)控[4]。

3.4 云計(jì)算數(shù)據(jù)信息加密

進(jìn)行云計(jì)算數(shù)據(jù)信息加密的方式眾多，有鏈路加密、節(jié)點(diǎn)加密、端對(duì)端加密。RSA加密算法是一種非對(duì)稱(chēng)加密算法。在公開(kāi)密鑰加密和電子商業(yè)中RSA被廣泛使用。RSA技術(shù)具有自身的特點(diǎn)和優(yōu)勢(shì)，可以保障電信運(yùn)營(yíng)商在開(kāi)展云計(jì)算，尤其是云計(jì)算應(yīng)用數(shù)據(jù)信息的安全。RSA技術(shù)工作原理是一種雙層秘鑰加密模式，即進(jìn)行數(shù)據(jù)信息的傳送。其主要流程為：信息——私有秘鑰——公開(kāi)秘鑰——信息傳送——接收——私有秘鑰——公開(kāi)秘鑰——解密。這種加密的算法實(shí)際上就是在信息的傳送前和傳送后都加了雙保險(xiǎn)進(jìn)行信息的保密。同時(shí)RSA的秘鑰設(shè)置長(zhǎng)度非常長(zhǎng)，通常情況下有512位、1?024位，甚至是更多。所以說(shuō)利用這種加密的方式進(jìn)行數(shù)據(jù)信息的保護(hù)是非常安全的。RSA算法詳解見(jiàn)表2。

表2 RSA算法詳解

表2中P和q都是數(shù)位足夠長(zhǎng)的素?cái)?shù)，n為p和相乘。加密公式和解密公式的試用數(shù)字極其龐大，如果設(shè)置的數(shù)位足夠長(zhǎng)，算出秘鑰進(jìn)行數(shù)據(jù)信息破解的難度極高[5]。

4 結(jié)論

本文針對(duì)云計(jì)算安全體系問(wèn)題進(jìn)行分析，有利于電信運(yùn)營(yíng)商對(duì)云計(jì)算數(shù)據(jù)服務(wù)管理中心進(jìn)行充分應(yīng)用，發(fā)揮中心功能，開(kāi)展DDoS攻擊設(shè)備運(yùn)用、虛擬防火墻技術(shù)的應(yīng)用等，提高了云計(jì)算安全體系安全程度，使得電信運(yùn)營(yíng)商的經(jīng)濟(jì)效益和社會(huì)價(jià)值充分實(shí)現(xiàn)。

[1]方祿忠，成瑾. 面向電信運(yùn)營(yíng)商云計(jì)算平臺(tái)的安全檢測(cè)評(píng)估服務(wù)體系研究[C]//公安部第三研究所.第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集，2013.

[2]侯繼江，張鑒，陳軍. 電信運(yùn)營(yíng)商云計(jì)算數(shù)據(jù)中心安全防護(hù)體系研究[J]. 電信網(wǎng)技術(shù)，2012（3）：23-29.

[3]王文洲. 基于云計(jì)算的電信運(yùn)營(yíng)商IDC的構(gòu)建[D].上海：復(fù)旦大學(xué)，2011.

[4]陸玉蘭，魏民，肖毅. 以能力開(kāi)放為核心的電信運(yùn)營(yíng)商云計(jì)算平臺(tái)及應(yīng)用研究[J]. 電信科學(xué)，2010（S1）：67-70.

[5]林泓宇. H電信運(yùn)營(yíng)商大數(shù)據(jù)應(yīng)用管理體系診斷與優(yōu)化研究[D]. 廣州：華南理工大學(xué)，2015.

Research on Cloud Computing Security System for Telecom Operators

Lin Zipeng

Guangdong Planning and Designing Institute of Telecommunications Co., Ltd., Guangdong Guangzhou 510630

Along with the developing and perfecting of cloud computing technology, cloud computing has been widely recognized and received, and becomes the main operators of IT infrastructure implementation approach, but at the same time, cloud computing is also introduced the new threats and risks, and also affects and broke the traditional information security system design. For this purpose, the paper mainly discusses the three aspects of cloud computing meaning, cloud computing data service management center function and the construction method of cloud computing security system for telecom operators.

cloud computing; cloud computing data service management center; telecom operators; security architecture

TP309

A