洪云飛

摘要：本文主要針對以下四點(diǎn)問題進(jìn)行研究，其中包括：對云管理平臺的安全問題進(jìn)行研究，并通過借鑒國內(nèi)外的狀況，重點(diǎn)對云計算平臺進(jìn)行趨勢分析，并且針對未來的發(fā)展方向重點(diǎn)進(jìn)行研究；通過針對平臺的需求進(jìn)行分析，并且依照安全性原則，確定平臺結(jié)構(gòu)化構(gòu)架；對關(guān)鍵模塊重點(diǎn)詳細(xì)地進(jìn)行設(shè)計，通過接入安全保障，對安全性業(yè)務(wù)進(jìn)行分析，保障信息的可控和感知能力；設(shè)置模塊，進(jìn)行模塊和身份識別功能，實現(xiàn)訪問的安全性，并保障虛擬識別過程中的安全性，為大數(shù)據(jù)流量進(jìn)行安全分析，保障IT基礎(chǔ)設(shè)施的狀態(tài)監(jiān)控；針對平臺環(huán)境進(jìn)行簡單描述，并且根據(jù)平臺的特點(diǎn)進(jìn)行功能檢測，對于關(guān)鍵功能進(jìn)行測試，并且將測試的結(jié)果進(jìn)行展現(xiàn)。本文通過不同的方法和技術(shù)，將云數(shù)據(jù)管理平臺進(jìn)行管理，解和虛擬化、彈性計算、作業(yè)分發(fā)、資源調(diào)度、分布式存儲等技術(shù)，幫助云計算平臺開發(fā)業(yè)務(wù)，提供基礎(chǔ)保障，實現(xiàn)云服務(wù)平臺的有效管理，合理利用資源設(shè)備，提高安全，促進(jìn)云管理平臺科學(xué)有效發(fā)展，并且使IPv6/4混合數(shù)據(jù)流更好地使用，為互聯(lián)網(wǎng)的發(fā)展提供更為安全有效的部署。

關(guān)鍵詞：云計算；主機(jī)層；安全管理；虛擬化

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）08-0015-02

1 云計算及其安全性

大數(shù)據(jù)時代的到來，使得云計算成為人們眼中的明星技術(shù)，借助網(wǎng)絡(luò)的發(fā)展，使得用戶能夠通過網(wǎng)絡(luò)進(jìn)行資源以及服務(wù)的共享。目前，云數(shù)據(jù)中心的安全性對云計算的發(fā)展起到了決定性的因素。作為其核心處理部分，最重要的是需要保障數(shù)據(jù)的安全。目前構(gòu)建的“云數(shù)據(jù)中心安全管理平臺”，是借助云計算服務(wù)所建成的[1]，能夠通過對用戶的身份進(jìn)行確認(rèn)，保障數(shù)據(jù)的安全，資源的安全。

2 云計算平臺主機(jī)層安全管理的要求

2.1 云計算平臺主機(jī)層安全管理需求分析

云數(shù)據(jù)中心安全管理平臺的主要功能需求有以下幾點(diǎn)[2-5]：

第一，支持IPv6/4混合數(shù)據(jù)流監(jiān)控；

第二，系統(tǒng)安全管理、用戶準(zhǔn)入管理、固定資產(chǎn)管理、安全事件管理、網(wǎng)絡(luò)脆弱性管理、網(wǎng)絡(luò)風(fēng)險管理、安全策略管理、事件響應(yīng)管理、安全預(yù)警管理、安全知識管理、事件報表管理等；

第三，識別虛擬機(jī)，包括能夠及時掌握虛擬機(jī)的遷移動態(tài)，根據(jù)預(yù)測規(guī)劃虛擬機(jī)的遷移路線，實施安全策略確保設(shè)備的安全；

第四，合理配置不同設(shè)備的安全策略原則，實現(xiàn)與虛擬機(jī)的合作，下放安全策略確保數(shù)據(jù)信息的準(zhǔn)確度，此外，虛擬機(jī)的外接口需要做認(rèn)證處理，確保系統(tǒng)的安全以及數(shù)據(jù)的快速接入；

第五，設(shè)置一個安全模塊能夠更方便的執(zhí)行安全規(guī)則，對系統(tǒng)中的數(shù)據(jù)進(jìn)行安全檢測，對虛擬機(jī)的遷移動態(tài)做到實時跟蹤；

第六，信息系統(tǒng)的安全性需要不斷采集信息以及做到對數(shù)據(jù)的取證，從而進(jìn)行評估、檢測等操作；

第七，通過多源異構(gòu)系統(tǒng)完成對物理設(shè)備、軟件系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)信息采集以及分析，完成對安全事件的整理、分析等管理；

第八，需要對系統(tǒng)出現(xiàn)問題時的人工或者自動進(jìn)行審核，保證系統(tǒng)的安全運(yùn)行，對安全事件進(jìn)行實時跟蹤監(jiān)控，完善審核流程，統(tǒng)一管理安全事件。

2.2 云計算平臺主機(jī)層安全管理總體設(shè)計

云計算平臺的設(shè)計思路是將信息安全技術(shù)與規(guī)范化管理相結(jié)合，提高云計算平臺的兼容性、規(guī)范性以及擴(kuò)展性，幫助更好的管理網(wǎng)絡(luò)信息與安全等工作；云計算管理平臺實現(xiàn)了人、技術(shù)、管理三方面的融合，將管理平臺設(shè)計得更加人性化，提高系統(tǒng)的云計算的安全性，確保管理工作的規(guī)范化，提高系統(tǒng)自身的安全性和規(guī)范性[6]。

云數(shù)據(jù)中心安全管理平臺憑借自身平臺優(yōu)勢、管理優(yōu)勢以及資源優(yōu)勢能夠完善新一代的云計算安全管理平臺，可以通過接入安全管理組件、服務(wù)運(yùn)維組件，實現(xiàn)IPv6/4混合數(shù)據(jù)流監(jiān)控、虛擬設(shè)備狀態(tài)檢測及管理、網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容取證、虛擬操作系統(tǒng)識別、感知部署和遷移等功能實現(xiàn)服務(wù)化結(jié)構(gòu)。

云數(shù)據(jù)中心安全管理平臺從用戶接入到界面展示都有一套完善的流程，包括用戶權(quán)限設(shè)置問題、網(wǎng)絡(luò)環(huán)境安全問題、業(yè)務(wù)滿足等問題都能夠滿足云計算中心對網(wǎng)絡(luò)安全的各種需求，其中就有數(shù)據(jù)安全需求以及管理需求等，系統(tǒng)的界面展示的具體內(nèi)容包括系統(tǒng)的狀態(tài)、性能等具體信息。云數(shù)據(jù)中心安全管理平臺全面支持系統(tǒng)的虛擬化管理，包括對數(shù)據(jù)、計算、存儲以及安全設(shè)備的虛擬化，實現(xiàn)網(wǎng)絡(luò)安全設(shè)備的成功轉(zhuǎn)換[7]；這其中，關(guān)鍵需要看虛擬化設(shè)備的安全管理，對虛擬設(shè)備的安全檢測、虛擬機(jī)的遷移動態(tài)檢測，以及過程中的數(shù)據(jù)流的安全。

3 云計算平臺主機(jī)層安全管理關(guān)鍵模塊

3.1 身份及訪問安全模塊

網(wǎng)絡(luò)安全首先應(yīng)該注意的就是身份問題，不同的人員需要不同的進(jìn)入權(quán)限。用戶進(jìn)入系統(tǒng)時需要先進(jìn)行身份驗證，之后根據(jù)用戶的身份分配資源和安全策略，這樣才能夠保證系統(tǒng)的規(guī)范性以及安全性。本模塊主要針對的是用戶的身份識別問題，包括接入認(rèn)證、出口認(rèn)證、身份認(rèn)證、權(quán)限確認(rèn)以及安全域控制，網(wǎng)絡(luò)通信安全性等問題。本模塊主要從用戶接入、主機(jī)安全、網(wǎng)絡(luò)通信三方面對云計算數(shù)據(jù)中心的安全問題進(jìn)行相關(guān)措施，切實保障系統(tǒng)的安全，保障云數(shù)據(jù)中心的業(yè)務(wù)、數(shù)據(jù)以及應(yīng)用網(wǎng)絡(luò)的安全[8]。

用戶的認(rèn)證方式有多種方式可供選擇；用戶一旦認(rèn)證成功連同登陸設(shè)備都需要綁定；登陸主機(jī)時設(shè)備的安全檢查、主機(jī)運(yùn)行的安全問題；對主機(jī)自身存在的漏洞進(jìn)行解決；用戶權(quán)限的匹配需要根據(jù)用戶自身以及設(shè)備的狀態(tài)；對運(yùn)行的日常數(shù)據(jù)進(jìn)行采集，確保系統(tǒng)的穩(wěn)定運(yùn)行。本模塊的用戶認(rèn)證方式包含：二維碼認(rèn)證、短信認(rèn)證、無感知認(rèn)證等；按照用戶不同身份進(jìn)行權(quán)限的分配；用戶以及登陸設(shè)備進(jìn)行綁定的方式主要包含：用戶名、密碼、IP地址、MAC地址、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口號、主機(jī)硬盤序列號、IMSI/手機(jī)號、SSID等多種方式，完全保證用戶信息的安全；短信認(rèn)證、系統(tǒng)修復(fù)可以是自動操作；用戶上下線日志功能；用戶黑名單功能；Web認(rèn)證功能；無限身份認(rèn)證功能；第三方廠商的交換機(jī)聯(lián)動功能[9]。

3.2 基于業(yè)務(wù)安全度量模塊

業(yè)務(wù)安全性建模模塊會在基礎(chǔ)架構(gòu)連接的狀態(tài)下實現(xiàn)業(yè)務(wù)層次結(jié)構(gòu)的自動發(fā)現(xiàn)與手動調(diào)整，系統(tǒng)可以自行判斷業(yè)務(wù)的發(fā)展情況，會對設(shè)備、服務(wù)器、中間件以及數(shù)據(jù)庫、虛擬化平臺等支撐網(wǎng)元進(jìn)行分類處理，如果是同一類別的支撐網(wǎng)元，則需要在業(yè)務(wù)視圖上進(jìn)行說明，這樣做的目的是業(yè)務(wù)運(yùn)行人員能夠更方便的處理系統(tǒng)。對系統(tǒng)中的數(shù)據(jù)要采集的話，會有采集周期以及采集的數(shù)量之間的問題。采集周期短，意味著需要采集大量的數(shù)據(jù)用來支撐對系統(tǒng)的實時跟蹤分析，這樣也能比較迅速地了解系統(tǒng)的運(yùn)行狀態(tài)，及時地發(fā)現(xiàn)存在的問題并予以解決，能夠確保系統(tǒng)安全平穩(wěn)的運(yùn)行，但從另一方面說，采集的數(shù)量越大，意味著系統(tǒng)所需要承受的壓力就越大[10]。

3.3 虛擬機(jī)識別遷移模塊

虛擬化支持就是對交換機(jī)中的所有虛擬化指令的支持，包括虛擬機(jī)以及虛擬機(jī)遷移、虛擬機(jī)報文轉(zhuǎn)發(fā)等功能；網(wǎng)絡(luò)安全設(shè)備需要對系統(tǒng)中的設(shè)備下放網(wǎng)絡(luò)安全策略，對系統(tǒng)進(jìn)行全面部署，使其適應(yīng)虛擬機(jī)的狀態(tài)。系統(tǒng)還需要時刻準(zhǔn)備虛擬機(jī)的不同用戶所需，針對用戶不同的虛擬機(jī)要求，確保持續(xù)的服務(wù)，使用戶能夠方便在不同的物理宿主機(jī)之間進(jìn)行遷移[11]。

當(dāng)虛擬機(jī)在數(shù)據(jù)中心進(jìn)行遷移的時候，需要注意的是必須確保與虛擬機(jī)相關(guān)的安全策略等的跟隨遷移，這樣能夠確保遷移過程中的數(shù)據(jù)安全。當(dāng)虛擬機(jī)進(jìn)行遷移時，虛擬機(jī)識別模塊需要實現(xiàn)識別到虛擬機(jī)的遷移動態(tài)，并進(jìn)行API通告；當(dāng)虛擬機(jī)遷移到新的物理宿主機(jī)，需要對外發(fā)送新的通告MAC地址，接入設(shè)備收到新的地址后要上傳到安全管理平臺；安全管理平臺收到新的地址請求時，需要對比后臺的數(shù)據(jù)庫，將原來的地址進(jìn)行更新，重新與之配置對應(yīng)資源 ；因為虛擬機(jī)遷移狀態(tài)的關(guān)聯(lián)性，平臺需要將遷移有關(guān)的所有策略進(jìn)行重新匹配；匹配完成并生效之后，虛擬機(jī)就開始開通數(shù)據(jù)交換通道進(jìn)行數(shù)據(jù)交換處理。

3.4 數(shù)據(jù)安全模塊

對系統(tǒng)的數(shù)據(jù)需要做到事前掃描、事中分析、事后審計，通過建立安全數(shù)據(jù)庫，來確保用戶數(shù)據(jù)的安全可靠與完整；對數(shù)據(jù)流量進(jìn)行分析，確保用戶在進(jìn)行網(wǎng)絡(luò)操作時能夠做出正確可靠的分析判斷；數(shù)據(jù)安全的事后審計是規(guī)范性要求，事后的數(shù)據(jù)審計能夠進(jìn)一步推動系統(tǒng)自身的內(nèi)部安全，還能夠彌補(bǔ)安全策略的不足，提高審計水平。

對數(shù)據(jù)安全模塊的管理首先需要收集流量，從不同的端口采集，包括端口、接口等，收集之后存儲到數(shù)據(jù)庫；在網(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上對流量的采集形成一個實時的繪制；對應(yīng)用的繪畫流量進(jìn)行實時繪制，幫助管理者實時了解流量的使用情況，根據(jù)不同的用戶所需進(jìn)行不同的分析管理，對會話的流量分析能夠保證深度業(yè)務(wù)的管理，本模塊的管理重點(diǎn)就是對會話流量的分析管理。

3.5 資源監(jiān)控模塊

物理資源監(jiān)控管理，對物理設(shè)備中的數(shù)據(jù)進(jìn)行分散采集并集中調(diào)度，使用拓?fù)溆嬎惴ㄟM(jìn)行分析，能夠及時地發(fā)現(xiàn)物理設(shè)備之間的關(guān)聯(lián)度，彼此之間的影響力度，管理員通過一系列的分析能夠更清晰地了解物理設(shè)備的整個邏輯關(guān)系。

設(shè)備監(jiān)控是對設(shè)備的承載能力的監(jiān)控；設(shè)備的內(nèi)存空間、設(shè)備接口的流量統(tǒng)計、包數(shù)以及網(wǎng)絡(luò)延遲情況；設(shè)備接口的利用率；設(shè)備的端口流量。對主機(jī)的監(jiān)控主要是對主機(jī)的操作系統(tǒng)的監(jiān)控，對服務(wù)器狀態(tài)的監(jiān)控；磁盤的使用狀態(tài)、磁盤讀寫速率等；物理內(nèi)存以及緩存的空間使用情況。

4 總結(jié)

本文對云數(shù)據(jù)中心安全管理平臺進(jìn)行設(shè)計包括其接入安全管理組件、服務(wù)運(yùn)維組件以及實體交換設(shè)備的組合完成，完成云計算數(shù)據(jù)中心的虛擬機(jī)識別以及感知與遷移，同時根據(jù)預(yù)設(shè)不定期下放安全策略，提高安全性；使交換機(jī)與虛擬機(jī)進(jìn)行互動，互動的數(shù)據(jù)信息保證準(zhǔn)確無誤，能夠達(dá)到預(yù)期并下放安全策略，對虛擬機(jī)的接入安全進(jìn)行認(rèn)證，確保可以準(zhǔn)確分析接入數(shù)據(jù)；安全模塊要下放安全策略，需要對接入的數(shù)據(jù)進(jìn)行安全檢測，能夠?qū)μ摂M機(jī)的遷移做實時的跟蹤分析。云安全管理平臺是以云數(shù)據(jù)中心的特點(diǎn)為基礎(chǔ)的，利用多源異構(gòu)對設(shè)備進(jìn)行監(jiān)控。對IT設(shè)施中的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件以及數(shù)據(jù)庫等業(yè)務(wù)的運(yùn)行狀態(tài)進(jìn)行有效監(jiān)控，達(dá)到利用多源異構(gòu)對IT基礎(chǔ)設(shè)施的監(jiān)控與管理。服務(wù)器與虛擬機(jī)之間的數(shù)據(jù)交換需要確保數(shù)據(jù)的準(zhǔn)確，網(wǎng)絡(luò)與設(shè)備的結(jié)合，能夠?qū)崿F(xiàn)對數(shù)據(jù)交換的實時監(jiān)控，同時對交換數(shù)據(jù)進(jìn)行分析，保證數(shù)據(jù)的安全可靠。

參考文獻(xiàn)：

[1] 農(nóng)曉鋒.云計算在高校計算機(jī)實驗室建設(shè)管理中的應(yīng)用探討[J/OL].輕工科技，2018（12）：57-58.

[2] 王海洪，肖洋洋.大智移云技術(shù)對會計影響的文獻(xiàn)綜述[J/OL].會計之友，2018（24）：61-64.

[3] 張濤.云環(huán)境下基于多層前向神經(jīng)網(wǎng)絡(luò)交叉覆蓋算法的數(shù)據(jù)分類[J/OL].宜賓學(xué)院學(xué)報：1-6.

[4] 顧東曉，李童童，梁昌勇，徐健.基于云計算的管理信息系統(tǒng)遷移模式與策略研究[J].情報科學(xué)，2018（12）：71-76.

[5] 崔金棟，于婷婷，李題印.基于“互聯(lián)網(wǎng)+”與云服務(wù)的制造型企業(yè)生產(chǎn)信息管理機(jī)理研究[J].情報科學(xué)，2018（12）：77-82.

[6] 孫中鋒.虛擬化與云計算技術(shù)在企業(yè)信息化中的應(yīng)用[J].電子技術(shù)與軟件工程，2018（22）：124-125.

[7] 賈欽.基于云計算的數(shù)據(jù)庫技術(shù)[J].電子技術(shù)與軟件工程，2018（22）：156.

[8] 韓靜.云計算環(huán)境下隱私保護(hù)的現(xiàn)狀和對策[J].電子技術(shù)與軟件工程，2018（22）：181.

[9] 文誠忠，秦衛(wèi)麗.云計算技術(shù)的安全防控計策[J].電子技術(shù)與軟件工程，2018（22）：187.

[10] 陳克生.云背景下計算機(jī)信息安全管理要點(diǎn)[J].電子技術(shù)與軟件工程，2018（22）：198.

[11] 朱娜.云計算技術(shù)在圖書管理中的應(yīng)用[J/OL].當(dāng)代教育實踐與教學(xué)研究，2018（11）：35-36.

【通聯(lián)編輯：光文玲】