2014-08-04 14:19:52 来源:万方数据
1.引言
私有云是云计算使用模式的一种,主要为企业内部提供云服务,不对外界开放。目前私有云技术已经得到了广泛的应用。在一个安全性要求较高的系统内部,私有云的建设已经得到了认可。私有云架构在保证机构内部可以得到集中、共享、快速的各类服务的同时也保护了机构内部的数据安全性。因此,私有云架构极大地推动了相关专业领域的信息化发展步伐。
信息化一直是经济发展的重要环节,我国高度重视相关部门信息化发展,并取得了很多成果,对各个专业领域信息化发展都得到了良好的推动。
在信息安全设备管理领域,我国历来高度重视信息安全服务体系与信息安全设备的全寿命管理相结合,初步建立了信息安全设备管理平台,但是在信息化过程中也暴露出了许多问题。首先,信息化资源网络的过度部署产生了很多的“信息孤岛”,同时也造成了巨大的资源浪费,这些不利于资源的合理部署;其次,设备管理人员的管理方式和管理手段过于单一化,不利于设备管理科学化发展;再次,设备管理体系过于松散,极大地降低了设备管理效率。信息安全服务领域是一个特殊领域,如何实现信息安全设备的科学管理对于信息安全工作的应用效能至关重要。云计算是国家战略性新兴产业,对于信息安全设备领域发展有着很好的推动作用。建立信息安全设备管理私有云有利于解决现行信息安全设备管理过程中遇到的问题:
1)提供信息安全设备全寿命信息的高处理能力;
2)提供信息安全设备研发、维修、设计等过程的全面决策分析;
3)整合现有传统资源设备提供一致化服务,贯彻“统管”思想;
4)节约资源,科学环保。
2.信息安全设备管理私有云建设安全性分析
由于信息安全服务领域的特殊性,在云架构上只能选择私有云架构,云架构是一项复杂的工程,建立私有云需要硬件、软件、网络环境等基础设施和相关技术,信息安全设备管理私有云有其自身的特点,在可靠性、保密性、系统灾难恢复、数据存储安全、访问控制等方面都有着严苛的要求。本节对该架构的安全需求进行了分析,从而给出建立安全云所需的安全条件。私有云面临的安全威胁如图1所示。
图1 私有云安全威胁
2.1 基础设施层面
1)网络层面安全
在公有云中,随着安全需求的改变,相应的拓扑结构也要发生改变。但是在私有云中虽然架构的实施会导致IT流程的改写,但是架构的拓扑结构没有大的变化,如图2中显示了私有云的拓扑结构。因此在网络层面的安全性上与传统的外联网相差不大,依然采取传统的网络安全对策。
图2 私有云拓扑结构
[page] 2)终端用户安全
终端用户的安全隐患主要存在于浏览器层面,在信息安全设备管理私有云的访问中提供基于Web的远程访问,因此如果浏览器层面遭受攻击,就会影响整个系统外部信息的安全性,因此在基础设施层面要对浏览器安全引起高度重视。为了使用户的浏览器有一个安全的运营环境,必须对浏览器定期安装补丁并且升级。
2.2 虚拟化安全
在私有云中,虽然体系在防火墙内部工作,但是虚拟机的不安全性依然存在。信息安全设备是在不断生产和退役的,信息安全设备管理对象的数量在不断增长,这也意味着虚拟机结点不断增多,自动化的虚拟机配置是虚拟化技术的优点,但是这其中的安全配置总是存在滞后,滞后的安全配置会加大新结点被攻击的可能性,攻击者可以把单点攻击迅速辐射到整个虚拟化网络,因此,虚拟机结点的增加要充分考虑其安全配置的同步性,新结点的配置如图3所示。
图3 新虚拟结点的配置
2.3 系统的可靠性
信息安全设备私有云系统需要服务提供的连续性,云计算存在着很高的宕机率,整个服务器的损害对于整个机构而言是致命的。数据中心灾难的快速恢复对于整个信息安全设备私有云系统来说极其重要,可以采取异地备份的方式同步管理备份数据中心,这样可以把系统的可用时间提高,几乎可以保证系统不间断地高效运行。
2.4 数据的安全与存储
作为云计算,数据的安全与存储就不能不提,尤其是在信息安全服务这一特殊领域。数据的安全与存储主要包括数据的传输安全和静态数据的存储安全。
1)数据的传输安全
在网络的传输过程中数据不能以明文形式传输,必须要选择合适的加密算法,这在信息安全领域来看是必需的。但是在信息的传输中并不能只在这一方面给予信息传输安全保证,在实际的运作中必须在传输过程中使用安全传输协议,确保协议提供安全性和完整性,这里可以使用基于SSL的FTPS,超文本传输协议安全即HTTPS,以及安全复制程序SCP.
2)静态数据的存储安全
私有云架构的目的是为信息安全领域提供全方位的服务,因而存储服务也是一种减轻终端负载压力的有效办法。在存储信息安全设备信息数据是绝对不能出现明文的传播,因此要对数据进行加密和完整性保护,但是信息共享是一项有益的服务,加密会导致数据无法进行索引和查询,这会极大地降低信息安全设备私有云的应用价值。在这方面IBM和Stanford大学提出了同态加密方案,突破了完全同态的理论障碍,但该方案需要大量的工作量,但是在学界推进下,该方案已经有了很好的发展,对于云计算的安全存储起到了很好的推动作用。
2.5 身份及访问管理
在云计算中服务的外包意味着信任边界的外扩,身份和访问管理(IAM)包括认证和授权两部分。认证和授权是信息安全领域的重点,已经有了很成熟的研究。针对信息安全设备管理领域安全级别的高要求,可以通过PKI系统的证书服务来达到认证的目的。在权限管理方面,对于不同用户的权限管理只分配给用户与其工作职能相符的所需权限(最小特权)。用户的身份管理是整个系统安全的重中之重,因此要对用户实行包括认证、授权、自助服务、口令管理、合规、移除等环节在内的生命周期管理。
3.信息安全设备管理私有云体系结构
3.1 硬件的选取
硬件在整个私有云架构处于最底层,云计算的核心设备大型服务器通常需要八颗以上的处理单元,这种高端服务器不仅性能高,而且在安全性和系统带宽上也有很好的优势,在高端服务器上我国技术相对比较落后,该领域受国外企业垄断。由于信息安全领域的特殊地位,在非测试环境下可以选择国外企业级服务器,在系统的实现上必须选择我国自主研发的高性能服务器,比如浪潮公司的AS8000等。
3.2 开源软件平台的选取
1)开源云软件种类
现有的开源云软件按服务提供种类可分为IaaS模型、PaaS模型、SaaS模型,每一个模型都包含有不同组织提供的开源软件。IaaS提供基础设施服务的解决方案,PaaS可以提供良好的开发平台,SaaS主要提供给用户软件的运营和管理环境。从服务提供模式的角度来讲,针对信息安全设备管理现状,提供PaaS模型下的服务模式较为合理,这样既保证了体系内部管理软件部署的灵活性又减少了模型面对用户应用的复杂性,为信息安全管理提供了良好的平台支撑。
2)PaaS开源软件的体系结构
PaaS开源体系包括云控制器和工作节点两部分,具体体系结构如图4所示。云端接口是用户访问云计算平台的接口,平台组件管理模块对整个平台的组件进行管理。监控模块负责监控各个工作节点上资源的利用和使用情况,资源调度模块在实现负载均衡方面提供了参考。用户管理模块对用户身份进行认证和管理。应用执行引擎负责启动各个节点上的任务。在各个节点上,需要为保护应用进程实施了应用间的隔离,比如使用JVM虚拟机进行隔离。
图4 PaaS的体系结构
3)Hadoop开源软件
信息安全设备管理私有云建设有着并行计算、海量信息处理和海量数据存储管理方面的需求,从这几个方面考虑,无论是在测试上还是应用上选择Hadoop都是不错的选择,尤其是Hadoop对于C++语言的支持减少了编程的学习时间,也加快了部署速度。
Hadoop的核心是HDFS、MapReduce和HBase,可以把三者看成是Google云计算的开源实现,同时在企业级的部署上Hadoop也展现出了优势,从信息安全服务领域的安全性出发Hadoop也展现出了极强的优势,其社区建设有着良好的科研开发资源,具有很好的发展前景。
[page] 3.3 信息安全设备管理私有云体系结构
针对信息安全服务的特点,本架构采取了基于Hadoop的PaaS服务模式,该架构为信息安全设备管理提供了合理的架构。同时云架构的建立有着很大的复杂性,本文通过模块化的方式建立了信息安全设备管理私有云架构,该架构如图5所示。
图5 信息安全设备管理私有云体系结构
系统整合现有物理资源并通过虚拟化技术形成资源池,资源池可以为Hadoop软件提供虚拟化服务支撑,Hadoop通过各个结点间的运行和调度形成一个完整的私有云架构,在Hadoop架构的内部通过HDFS系统、HBase数据库、MapReduce编程模型等为用户提供全方位的开发平台服务大规模数据处理。在系统的形成过程中,如第1节分析所示,必须在架构的每一个细节充分考虑私有云的安全性,并对私有云进行合理的安全管理。
4.信息安全设备私有云应用前景分析
信息安全设备管理私有云是在我国大力开展信息化建设的背景下提出的,这种私有云架构对于提高信息化水平是一次很好的尝试,信息安全设备管理私有云的建立必将有着良好的应用前景。
4.1 提高信息安全设备全寿命管理的决策能力
云计算可以极大地提高信息安全设备全寿命管理中的决策能力,并且可以很好地整合计算资源。传统的信息安全服务体系就像“信息孤岛”,各单位不断地研究各自的设备管理方式,建立了很多低效的信息安全服务系统,这不利于信息安全工作的整体发展。云计算通过计算能力的整合不但提供了强大的计算能力,也提供了分析决策能力。
4.2 贯彻统管思想,降低管理难度
云计算通过大数据中心的建立,云系统的使用者只需登陆该系统就可以有效地索取各项服务,并且可以得到各种的有益数据。这种模式可以很好地使资源集中化,这也体现了“统管”的思想,也在另一层面贯彻了信息安全法规的相关要求。信息安全设备体系的集中化同时也带来了信息安全设备管理体系的集中化,信息安全设备管理体系从原有的分散式、孤立式管理模式转变为现有的集中式统一管理,这样很好地提高了信息安全设备管理效率,降低了管理成本。
4.3 增强信息安全设备管理软件开发能力
信息安全设备管理私有云架构采用PaaS的服务模式,为设备管理平台建立了良好的应用程序开发环境。随着信息安全设备管理的逐渐深入,传统的服务模式会逐渐发生变化,信息安全设备管理的相应软件也会不断更新,传统的管理模式采用为终端手动安装软件的方式,这种方式给信息安全设备管理软件资源带来了很大的麻烦。私有云平台在提供软件开发环境的同时也可以提供软件服务,这样很好地提高了管理软件更新的实时性,为信息安全服务信息化奠定了基础。
5.结语
本文对于云计算在信息安全设备管理领域的应用前景进行了分析,并结合私有云架构的安全性需求进行了安全性分析。为了使私有云能更好地应用于内部领域,本文分析了现有的云计算开源软件,在众多软件中选取了基于PaaS架构的Hadoop软件,并给出了信息安全设备管理私有云体系结构。最后,本文对于信息安全设备管理私有云的应用前景进行了展望。在本文的研究过程中,只是对于开发前景和环境进行了论述,在下一的工作中将进行具体的云平台搭建和安全性测试。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。