1.引言

　　私有云是云計算使用模式的一種，主要為企業內部提供云服務，不對外界開放。目前私有云技術已經得到了廣泛的應用。在一個安全性要求較高的系統內部，私有云的建設已經得到了認可。私有云架構在保證機構內部可以得到集中、共享、快速的各類服務的同時也保護了機構內部的數據安全性。因此，私有云架構極大地推動了相關專業領域的信息化發展步伐。

　　信息化一直是經濟發展的重要環節，我國高度重視相關部門信息化發展，并取得了很多成果，對各個專業領域信息化發展都得到了良好的推動。

　　在信息安全設備管理領域，我國歷來高度重視信息安全服務體系與信息安全設備的全壽命管理相結合，初步建立了信息安全設備管理平臺，但是在信息化過程中也暴露出了許多問題。首先，信息化資源網絡的過度部署產生了很多的“信息孤島”，同時也造成了巨大的資源浪費，這些不利于資源的合理部署；其次，設備管理人員的管理方式和管理手段過于單一化，不利于設備管理科學化發展；再次，設備管理體系過于松散，極大地降低了設備管理效率。信息安全服務領域是一個特殊領域，如何實現信息安全設備的科學管理對于信息安全工作的應用效能至關重要。云計算是國家戰略性新興產業，對于信息安全設備領域發展有著很好的推動作用。建立信息安全設備管理私有云有利于解決現行信息安全設備管理過程中遇到的問題：

　　1)提供信息安全設備全壽命信息的高處理能力；

　　2)提供信息安全設備研發、維修、設計等過程的全面決策分析；

　　3)整合現有傳統資源設備提供一致化服務，貫徹“統管”思想；

　　4)節約資源，科學環保。

　　2.信息安全設備管理私有云建設安全性分析

　　由于信息安全服務領域的特殊性，在云架構上只能選擇私有云架構，云架構是一項復雜的工程，建立私有云需要硬件、軟件、網絡環境等基礎設施和相關技術，信息安全設備管理私有云有其自身的特點，在可靠性、保密性、系統災難恢復、數據存儲安全、訪問控制等方面都有著嚴苛的要求。本節對該架構的安全需求進行了分析，從而給出建立安全云所需的安全條件。私有云面臨的安全威脅如圖1所示。

圖1 私有云安全威脅

　　2.1 基礎設施層面

　　1)網絡層面安全

　　在公有云中，隨著安全需求的改變，相應的拓撲結構也要發生改變。但是在私有云中雖然架構的實施會導致IT流程的改寫，但是架構的拓撲結構沒有大的變化，如圖2中顯示了私有云的拓撲結構。因此在網絡層面的安全性上與傳統的外聯網相差不大，依然采取傳統的網絡安全對策。

圖2 私有云拓撲結構

　　2)終端用戶安全

　　終端用戶的安全隱患主要存在于瀏覽器層面，在信息安全設備管理私有云的訪問中提供基于Web的遠程訪問，因此如果瀏覽器層面遭受攻擊，就會影響整個系統外部信息的安全性，因此在基礎設施層面要對瀏覽器安全引起高度重視。為了使用戶的瀏覽器有一個安全的運營環境，必須對瀏覽器定期安裝補丁并且升級。

　　2.2 虛擬化安全

　　在私有云中，雖然體系在防火墻內部工作，但是虛擬機的不安全性依然存在。信息安全設備是在不斷生產和退役的，信息安全設備管理對象的數量在不斷增長，這也意味著虛擬機結點不斷增多，自動化的虛擬機配置是虛擬化技術的優點，但是這其中的安全配置總是存在滯后，滯后的安全配置會加大新結點被攻擊的可能性，攻擊者可以把單點攻擊迅速輻射到整個虛擬化網絡，因此，虛擬機結點的增加要充分考慮其安全配置的同步性，新結點的配置如圖3所示。

圖3 新虛擬結點的配置

　　2.3 系統的可靠性

　　信息安全設備私有云系統需要服務提供的連續性，云計算存在著很高的宕機率，整個服務器的損害對于整個機構而言是致命的。數據中心災難的快速恢復對于整個信息安全設備私有云系統來說極其重要，可以采取異地備份的方式同步管理備份數據中心，這樣可以把系統的可用時間提高，幾乎可以保證系統不間斷地高效運行。

　　2.4 數據的安全與存儲

　　作為云計算，數據的安全與存儲就不能不提，尤其是在信息安全服務這一特殊領域。數據的安全與存儲主要包括數據的傳輸安全和靜態數據的存儲安全。

　　1)數據的傳輸安全

　　在網絡的傳輸過程中數據不能以明文形式傳輸，必須要選擇合適的加密算法，這在信息安全領域來看是必需的。但是在信息的傳輸中并不能只在這一方面給予信息傳輸安全保證，在實際的運作中必須在傳輸過程中使用安全傳輸協議，確保協議提供安全性和完整性，這里可以使用基于SSL的FTPS，超文本傳輸協議安全即HTTPS，以及安全復制程序SCP。

　　2)靜態數據的存儲安全

　　私有云架構的目的是為信息安全領域提供全方位的服務，因而存儲服務也是一種減輕終端負載壓力的有效辦法。在存儲信息安全設備信息數據是絕對不能出現明文的傳播，因此要對數據進行加密和完整性保護，但是信息共享是一項有益的服務，加密會導致數據無法進行索引和查詢，這會極大地降低信息安全設備私有云的應用價值。在這方面IBM和Stanford大學提出了同態加密方案，突破了完全同態的理論障礙，但該方案需要大量的工作量，但是在學界推進下，該方案已經有了很好的發展，對于云計算的安全存儲起到了很好的推動作用。

　　2.5 身份及訪問管理

　　在云計算中服務的外包意味著信任邊界的外擴，身份和訪問管理（IAM）包括認證和授權兩部分。認證和授權是信息安全領域的重點，已經有了很成熟的研究。針對信息安全設備管理領域安全級別的高要求，可以通過PKI系統的證書服務來達到認證的目的。在權限管理方面，對于不同用戶的權限管理只分配給用戶與其工作職能相符的所需權限（最小特權）。用戶的身份管理是整個系統安全的重中之重，因此要對用戶實行包括認證、授權、自助服務、口令管理、合規、移除等環節在內的生命周期管理。

　　3.信息安全設備管理私有云體系結構

　　3.1 硬件的選取

　　硬件在整個私有云架構處于最底層，云計算的核心設備大型服務器通常需要八顆以上的處理單元，這種高端服務器不僅性能高，而且在安全性和系統帶寬上也有很好的優勢，在高端服務器上我國技術相對比較落后，該領域受國外企業壟斷。由于信息安全領域的特殊地位，在非測試環境下可以選擇國外企業級服務器，在系統的實現上必須選擇我國自主研發的高性能服務器，比如浪潮公司的AS8000等。

　　3.2 開源軟件平臺的選取

　　1)開源云軟件種類

　　現有的開源云軟件按服務提供種類可分為IaaS模型、PaaS模型、SaaS模型，每一個模型都包含有不同組織提供的開源軟件。IaaS提供基礎設施服務的解決方案，PaaS可以提供良好的開發平臺，SaaS主要提供給用戶軟件的運營和管理環境。從服務提供模式的角度來講，針對信息安全設備管理現狀，提供PaaS模型下的服務模式較為合理，這樣既保證了體系內部管理軟件部署的靈活性又減少了模型面對用戶應用的復雜性，為信息安全管理提供了良好的平臺支撐。

　　2)PaaS開源軟件的體系結構

　　PaaS開源體系包括云控制器和工作節點兩部分，具體體系結構如圖4所示。云端接口是用戶訪問云計算平臺的接口，平臺組件管理模塊對整個平臺的組件進行管理。監控模塊負責監控各個工作節點上資源的利用和使用情況，資源調度模塊在實現負載均衡方面提供了參考。用戶管理模塊對用戶身份進行認證和管理。應用執行引擎負責啟動各個節點上的任務。在各個節點上，需要為保護應用進程實施了應用間的隔離，比如使用JVM虛擬機進行隔離。

圖4 PaaS的體系結構

　　3)Hadoop開源軟件

　　信息安全設備管理私有云建設有著并行計算、海量信息處理和海量數據存儲管理方面的需求，從這幾個方面考慮，無論是在測試上還是應用上選擇Hadoop都是不錯的選擇，尤其是Hadoop對于C++語言的支持減少了編程的學習時間，也加快了部署速度。

　　Hadoop的核心是HDFS、MapReduce和HBase，可以把三者看成是Google云計算的開源實現，同時在企業級的部署上Hadoop也展現出了優勢，從信息安全服務領域的安全性出發Hadoop也展現出了極強的優勢，其社區建設有著良好的科研開發資源，具有很好的發展前景。

　　3.3 信息安全設備管理私有云體系結構

　　針對信息安全服務的特點，本架構采取了基于Hadoop的PaaS服務模式，該架構為信息安全設備管理提供了合理的架構。同時云架構的建立有著很大的復雜性，本文通過模塊化的方式建立了信息安全設備管理私有云架構，該架構如圖5所示。

圖5 信息安全設備管理私有云體系結構

　　系統整合現有物理資源并通過虛擬化技術形成資源池，資源池可以為Hadoop軟件提供虛擬化服務支撐，Hadoop通過各個結點間的運行和調度形成一個完整的私有云架構，在Hadoop架構的內部通過HDFS系統、HBase數據庫、MapReduce編程模型等為用戶提供全方位的開發平臺服務大規模數據處理。在系統的形成過程中，如第１節分析所示，必須在架構的每一個細節充分考慮私有云的安全性，并對私有云進行合理的安全管理。

　　4.信息安全設備私有云應用前景分析

　　信息安全設備管理私有云是在我國大力開展信息化建設的背景下提出的，這種私有云架構對于提高信息化水平是一次很好的嘗試，信息安全設備管理私有云的建立必將有著良好的應用前景。

　　4.1 提高信息安全設備全壽命管理的決策能力

　　云計算可以極大地提高信息安全設備全壽命管理中的決策能力，并且可以很好地整合計算資源。傳統的信息安全服務體系就像“信息孤島”，各單位不斷地研究各自的設備管理方式，建立了很多低效的信息安全服務系統，這不利于信息安全工作的整體發展。云計算通過計算能力的整合不但提供了強大的計算能力，也提供了分析決策能力。

　　4.2 貫徹統管思想，降低管理難度

　　云計算通過大數據中心的建立，云系統的使用者只需登陸該系統就可以有效地索取各項服務，并且可以得到各種的有益數據。這種模式可以很好地使資源集中化，這也體現了“統管”的思想，也在另一層面貫徹了信息安全法規的相關要求。信息安全設備體系的集中化同時也帶來了信息安全設備管理體系的集中化，信息安全設備管理體系從原有的分散式、孤立式管理模式轉變為現有的集中式統一管理，這樣很好地提高了信息安全設備管理效率，降低了管理成本。

　　4.3 增強信息安全設備管理軟件開發能力

　　信息安全設備管理私有云架構采用PaaS的服務模式，為設備管理平臺建立了良好的應用程序開發環境。隨著信息安全設備管理的逐漸深入，傳統的服務模式會逐漸發生變化，信息安全設備管理的相應軟件也會不斷更新，傳統的管理模式采用為終端手動安裝軟件的方式，這種方式給信息安全設備管理軟件資源帶來了很大的麻煩。私有云平臺在提供軟件開發環境的同時也可以提供軟件服務，這樣很好地提高了管理軟件更新的實時性，為信息安全服務信息化奠定了基礎。

　　5.結語

　　本文對于云計算在信息安全設備管理領域的應用前景進行了分析，并結合私有云架構的安全性需求進行了安全性分析。為了使私有云能更好地應用于內部領域，本文分析了現有的云計算開源軟件，在眾多軟件中選取了基于PaaS架構的Hadoop軟件，并給出了信息安全設備管理私有云體系結構。最后，本文對于信息安全設備管理私有云的應用前景進行了展望。在本文的研究過程中，只是對于開發前景和環境進行了論述，在下一的工作中將進行具體的云平臺搭建和安全性測試。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息安全設備管理私有云建設研究

本文網址：http://www.guhuozai8.cn/html/consultation/10839715656.html