前言:中文期刊网精心挑选了云安全的概念范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
云安全的概念范文1
关键词: 云安全; 云计算; 资源池; 病毒库
中图分类号:TP391 文献标志码:A 文章编号:1006-8228(2012)10-04-03
0 引言
众所周知,云计算有着巨大商机,与此同时,也存在着巨大的安全风险。云计算发展中存在着隔离失败风险、合规风险、管理界面损害风险、数据删除不彻底风险、内部威胁风险等众多运营和使用风险,但这些都只是一般性风险,而不是主要风险。云计算当前最重要、最核心的风险是国家安全风险和企业经济信息失控风险。就国家安全风险而言,前哥伦比亚电视台新闻频道总裁在其撰写的报告中已明确指出:“随着世界的变化,美国的未来也需重新定位,不过云计算是美国可以重申其全球经济和技术带头人地位的重要领域”。应该说,“云计算”的提出和快速发展,正好为美国提供了新的机会。就经济信息安全而言,发展云计算以后,企业和行业的大量经济信息,竞争信息将进入信息运营商的资源池中,其“海涵”的大型数据中心和强劲服务器,担当着软件开发的信息“调度师”和流程“监控员”。
在当前全球经济一体化的背景下,企业只有掌握竞争情报,并注意保护好自已的商业秘密,才能在激烈的市场竞争中处于主动地位。
本文将着重从查杀病毒和木马的角度来阐述有关云安全的问题。
1 云安全
1.1 云安全产生
云安全(C1oud Security)紧随云计算之后出现,它是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,原有的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。
最早提出云安全这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了云安全技术。云安全的概念早期曾经引起过不小争议,现在已经被普遍接受。值得一提的是,中国网络安全企业在云安全的技术应用上走到了世界前列。
云安全的策略构想是:整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。
1.2 云安全概念
云安全(Cloud security),《著云台》的分析师团队结合云发展的理论总结认为,是指基于云计算商业模式应用的安全软件,硬件,用户,机构,安全云平台的总称。
1.3 云安全技术
云安全是云计算技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。未来本地杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。
2 云安全技术应用
2.1 资源池的建立
构建一个合理的资源池,是实现从传统的“烟囱式IT”迈向云计算基础架构的第一步。在传统的“烟囱式IT”基础架构中,应用和专门的资源捆绑在一起,为了应对少量的峰值负载,往往会过度配置计算资源,导致资源利用率低下,据统计,在传统的数据中心里,IT资源的平均利用率不到20%。
构建资源池也就是通过虚拟化的方式将服务器、存储、网络等资源全面形成一个巨大的资源池。云计算就是基于这样的资源池,通过分布式的算法进行资源的分配,从而消除物理边界,提升资源利用率,统一资源池分配。作为云计算的第一步,资源池的构建在实现云计算基础架构的过程中显得尤为重要,只有构建合理的资源池,才能实现云计算的最终目的——按需动态分配资源。要搭建虚拟资源池,首先需要具备物理的资源,然后通过虚拟化的方式形成资源池。一个物理服务器可以虚拟出几个甚至是几十个虚拟的服务器,每一个虚拟机都可以运行不同的应用和任务。资源池应能提供对不同平台工作负载的兼容,企业应用类型多样化要求系统平台的多样化,一个企业可能既有基于Linux的应用,又有基于Windows的应用,甚至是基于Unix的应用,如何使得原有的应用都能够在资源池上运行,而不需要对应用进行重新编写。随着企业业务的增长,应用所需要的IT资源不断增加,应用的类型也不断增多,这就要求现有的资源池需要有充分的扩展能力,并根据应用的需求动态添加应用所需要的资源。同时,当现有的资源不足以支撑当前的业务时,资源池需要能够具有充分扩展能力,随时进行IT资源的扩容。
云安全的概念范文2
关键词:云安全;云计算;校园网;体系结构
1引言
随着现在数字化校园的建立,校园网系统形成了多种类、多功能、多任务的计算机网络,大量的数据依靠网络进行传输、处理和存储,而这些数据的可靠性、安全性也就愈发重要。然而目前主流的校园网仍然基于传统的杀毒软件进行安全防护,消耗大量存储空间,缺乏自适应能力,难以适应网络环境和资源的动态变化。
云安全是基于云计算的计算模型,将整个网络形成一个整体的安全防护系统,均衡了传统网络各级防护能力的差异,降低了对硬件依赖和减少了维护费用。云安全将成为未来数字化校园信息安全的必然发展趋势。本文首先阐述了云计算与云安全的概念,然后介绍了典型的云安全体系结构,并对云安全应用在校园网中的影响进行了分析,提出了一种智能化的云安全体系架构,最后对云安全的关键技术进行了分析。
2云计算与云安全概述
2.1云计算的定义
云计算(cloud Computing)是基于互联网的分布式处理、并行处理和网格计算的超级计算模式。它将单个用户需要的数据处理、数据存储和软件应用整合到互联网上的大型数据处理中心,形成大规模的虚拟计算资源池,互联网内的用户按需使用资源池内的计算资源。完整的云计算是一个动态的计算体系,提供托管的应用程序环境,能够动态部署、动态分配计算资源,并实时监控资源的使用情况,将复杂的运算以及其他的繁琐功能都转移到网络上完成,极大的减小了用户运算压力和终端成本。
2.2云安全的定义
云安全(Cloud Security)是将云计算的计算模型应用于信息安全领域,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念。云安全通过互联网将用户和杀毒厂商技术平台连结起来,网状的大量客户端就是监测探针,对网络中软件的异常行为监测,获取互联网中木马、恶意程序的最新信息,并发送到云端服务器进行自动分析和处理,再把其解决方案分发到每一个客户端,实现云查杀。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。--
目前,云安全的研究主要分两个方向:一是云计算自身的安全也就是云计算安全,如云计算数据完整和机密性、云计算应用服务安全、云计算安全体系架构等。二是云计算在信息安全领域的应用,称为安全云计算,如基于云计算的木马检测技术、病毒防治技术等。本文主要从第+;y面进行云安全的体系架构研究。
2.3典型的云安全体系架构
目前,瑞星、趋势、卡巴斯基、McAfee等著名的安全软件厂商都推出了各自的“云安全”产品,根据采用的技术不同,大体上可以分为两大类:
(1)以瑞星“云安全”计划为代表的被动式防御:这类“云安全”体系的正常运转需要拥有海量的客户端数量,瑞星“云安全”将用户与瑞星技术平台相连,每一个参与“云安全”计划的客户端都是“云安全”探针。一旦用户终端监测到可疑木马,并上传到瑞星“木马/恶意软件自动分析系统”分析处理,瑞星安全资料库将把结果、解决办法分享给所有用户。
(2)以趋势科技推出的“Secure Cloud”云安全网络为代表的主动式防御:趋势科技“云安全”网络在全球建立5个数据中心和3.6万台服务器,主动分析恶意程序,在云端网络主动阻止恶意程序到达网络或计算机。采用该“云安全”网络防护,使客户端不必时刻更新特征码病毒库,而是依靠强大的病毒库全球网络。
3云安全对数字化校园信息安全的影响
随着校园网内的新型设备的不断增多,多种业务的应用与服务将越来越依控网络。因此,提供一个安全、快捷的网络环境是发展数字化校园的基础性工程。通过云安全与校园网的结合,必然会对校园网的发展产生深刻的影响。
(1)节省校园网建设成本。传统的校园网信息安全硬件系统建设,需要大量的病毒库服务器、交换机、防火墙设备,硬件成本较大,后期维护费用较高,且受网络结构限制不利于升级转型。通过采用云安全技术,只需根据业务需要搭建云安全体系的中心数据平台,而无须在用户终端添加额外的硬件设备和承担维护费。
(2)高效的信息安全防护。校园网虽然与互联网等其他网络物理隔离,但是网站大都基于ASP技术开发,采用通用数据库,这就使得网站存在严重安全漏洞。在云安全系统下,云安全分析处理中心能随时监测扫描网络中的恶意软件行为,并立即自动分发解决方案给所有终端,突破了传统的人工定期更新病毒库来查杀病毒的手段,节省了终端的存储空间,自动高效的完成校园网的信息安全防护。
(3)网络自愈能力增强。当校园网中出现病毒时,被感染的终端会立即将病毒样本提交到“云端”的分析处理中心,经过分析后,会自动匹配合适的解决方案并将杀毒程序传送给终端,不需要去关闭整个网络,使校园网时刻保持通畅状态,方便使用。
4数字化校园的云安全体系架构
在数字化校园中构建云安全体系,需要分析校园网的结构特点和应用背景,由于现有的校园网内设备众多,形成了多种相对独立的异构子网,这就为云安全系统的实现提供了很好的构建条件。目前主流的两种云安全体系结构也有局限性:瑞星云安全计划实质上是一种被动式防御,由于主要依赖客户端的异常监测,分发病毒解决方案时一部分用户已经遭受攻击;趋势科技的云安全网络,依靠自身功能强大的集群服务器监测威胁,但是覆盖和监测范围还是有局限,而且集群服务器的成本和维护费用都很高。
针对以上典型云安全体系出现的弊端,从提高云安全体系中用户的同步防御能力,以及节约系统成本和维护费用的角度出发,借鉴云计算的思想,结合校园网的结构特点,本文提出了一种改进型的云安全体系架构,如图1所示。
在图1中,整个云安全体系包括多个自治的私有云,各私有云都连接到含有分析处理中心服务器的公共云。云安全体系中的每个用户都是监测探针,同时也是整个体系的组成部分。当私有云A中用户1受到病毒威胁时,首先协同私有云A内的其余用户共同判断威胁的类型,如果存在于私有云A内已知病毒库,将在更短时间找出解决方案并发送给本私有云内的其他用户。各结构不同的私有云通过公共云互相通信,也能在第一时间获取对同一类威胁的防御能力。系统检测流程如图2所示。
改进后的云安全体系使每个用户成为具有自主运算能力的探针,提高了受病毒攻击用户的防御响应能力,安全性更强。同时,充分利用了云安全体系中每个用户空闲的运算能力,只需为每个用户安装云计算客户端和相关病毒库的扩充,就可使每一个用户分布式协同完成病毒方案,降低了云安全中心的集群服务器负载;各私有云与公共云互联通信,保证整个体系的稳定运转,也降低了整个体系的运行维护成本,才可能实现“感知即破解”信息安全防御效果。
5云安全系统实现的关键技术
5.1云数据存储技术
为了保证高效、高可靠性的云安全系统,通常对数据进行分布式存储,使用冗余存储技术保证存储数据的可靠性。同时,云安全系统能够为大量用户提供功能强大的病毒特征库数据,要求数据存储技术要有高吞吐率和高传输率的特点。
5.2云数据管理技术
云安全系统中的数据管理技术能够高效的在海量数据中查找特定数据、确保数据的安全性,如数据隔离、数据加密及密钥、身份认证和访问管理,保障用户信息的可用性、保密性和完整性等。
5.3虚拟机安全技术
云安全系统利用虚拟化技术模糊云端分析处理中心与用户端的界限,为用户提供隔离的安全防护。虚拟机安全、虚拟网络安全以及Hypervisor的安全问题都会直接影响到云安全系统的健壮性。目前已有的虚拟机安全架构有Hypervisor架构sHype、可信虚拟机监视器TVMM、入侵检测系统Livewire等。
5.4先进的病毒识别算法
云安全系统通过分布式计算所能判断的病毒代码多数是已知类型的变种,必须采用更加先进的病毒识别算法,实现对未知威胁的自动判断。借鉴自主学习的模式识别原理,与其他安全软件的算法融合,形成具有自主学习判断能力的病毒识别算法,增加对未知安全威胁的自适应能力。
云安全的概念范文3
【 关键词 】 云安全;计算机网络;地质信息安全
Cloud Security and Their Geological Industry in the Application of Information Security
Yuan Zhi-jie
(China Geological Academy of Sciences Beijing 100037)
【 Abstract 】 Chinese enterprise to create "cloud security" concept, in international cloud computing of its own. Cloud security through the mesh of client to network software of abnormal behavior monitoring, access to the Internet, and the latest Trojan horse malware information, delivery to a server to be automatic analysis and processing, and put the viruses and trojans solutions distributed to every client. The entire Internet, into a super antivirus software. It makes the world of Internet software and hardware resources potential into full play, the economic and social development has a very important significance. This paper introduces the idea of cloud security sources and concept, discussed the wide application of computer network security technology and its cloud in the application of geological industry information security
【 Keywords 】 cloud security; computer network; geological information security
1 云安全
所谓云安全,就是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
随着网络进入更加自由和灵活的Web2. 0 时代,网络安全领域形势发生了改变。以用户为核心、以共享为基础的Web2. 0 架构提供了更加丰富的用户体验与反馈机制,使得当人们在拥有更便捷信息方式和更多样信息采集渠道时,也面临着信息网络安全威胁传播得更快、更难以识别的严峻形势。木马、病毒可以通过SNS 社区、博客、网站等自Web2. 0 出现来产生的场所,以挂马、超链接等方式藏匿、散布。相对传统的安全威胁,这些更具快速性和伪装性,而且借助便捷的信息共享机制,木马病毒变种层出不穷。目前每天截获的新病毒的数量在10万以上,而一个普通的病毒分析工程师每天也只能分析几十个新病毒,单单依靠人的力量分析病毒特征码越来越显现出它的局限性。这证明传统被动防御体系已经完全不能适应新的网络安全形势需要。
2 地质行业与云安全技术
云安全的概念范文4
自从Google抛出云计算应用后,Amazon、、IBM、甲骨文和微软等科技巨头,也通过互联网为客户提供包括存储空间和软件应用在内的云服务,从而维持客户关系。
新商业环境的生存法则
有分析师称,云计算意味着企业计算模式的巨变。据Gartner预测,到2013年,云计算的产值将达到1501亿美元。
Qualys的首席执行官和云安全联盟的创始成员Philippe Courtot,不但了解云计算的潜力也了解实施工作带来的挑战,他说:今天,云计算凭借各种供应商提供更高的服务水平和提供给关键业务应用的平台,已经给企业注入巨大的动力。云计算的概念很简单,这意味着大量的计算资源,包括硬件、关键业务数据和应用,驻留在企业以外的地方,“在云端”,可以很容易地通过一个网页浏览器访问。但这提供了很多好处,从较低的硬件、软件和服务开支,到节约电费成本,以使员工广泛地通过多种设备从远程获得应用。
云计算所带来的另一个趋势性变化莫过于云所带来的信息安全企业本身的业务模式改变。今年的RSA 信息安全大会得出了普遍共识:云计算不仅仅是受保护的对象,亦是新型安全服务的承载者,基于云计算的安全服务必将彻底颠覆固有的安全防护思维。
IDC在一次关于“您认为云计算模式的挑战和问题是什么?”的调查中,安全以74.6%的比率位居榜首,可见安全是人们对云计算最大的担心。
趋势科技首席执行官陈怡桦认为:“云计算的日益普及已经使越来越多的云计算服务商进入市场。随着在云计算环境中存储数据的公司越来越多,信息安全问题成为大多数IT专业人士最头疼的事情。事实上,数据安全已经是考虑采用云基础设施的机构主要关注的问题之一。”
当数据移交给云计算服务商后,很可能客户自己都不知道云服务器在哪个国家。事实上,在英国,PCI DSS标准已经明确要求云计算服务商必须符合PCI DSS标准,才可以拿到运营牌照。
从云安全到安全云
云时代面临种种新威胁,云计算不够安全,云环境需要安全的解决方案。在今年的RSA大会上,云环境的安全问题已经成为焦点。
云安全的概念范文5
传统的安全模式亟待变革,否则无论是安全厂商还是互联网用户,都将被淹没在木马病毒的海洋中,互联网的各项基础应用和发展也将极大受损。
传统的信息安全策略显然已经不能适应病毒互联网化这样一个新形势的发展。任何一个事物,都有自己发展的周期和生命的周期,如果不能适应新形势的发展,那么它的顶点往往也就是衰落的开始。
如果把传统的信息安全模式比作上午8、9点钟的太阳,现在已经快11点半了。
如果不从现在开始做准备,如果不从现在开始寻找应对的策略的话,我们很有可能会被这个时代所摈弃。
传统安全策略的死胡同
其实病毒在技术上并没有进步,但是病毒制造者充分利用了互联网,通过互联网的高效便捷来整合整个运作链条,提高运作效率。于是,传统的安全策略开始有些水土不服。
传统的安全策略可以归纳为两点:首先是缩短升级软件所需的间隔时间,来加快对用户中病毒后的反应速度。另外一种方式就是发展和完善更多的主机反病毒技术,在产品中应用更多的病毒解决方法和防御技术。
问题一:病毒库更新意义不大
瑞星从2002年到2007年升级频率的变化趋势如下:在2002年的时候,每周升级一次,2003年每周升级3次,2004年每周升级4次,2005年每周升级5次,2007年每周升级21次。也就是说,从2002年到2007年,瑞星的升级频率增加了20倍。
但是病毒更新的频率增加多少呢?病毒的数量增加多少呢?在2002年全球爆发的新的病毒数量就已经达到了2万种之多,到了2008年,每天新增的病毒样本数就已经达到了2万多种。
以前的黑客编写病毒、传播、窃取账号、出售等环节都需要自己完成,由于现在整个链条通过互联网运作,从挖掘漏洞、制造病毒、传播病毒到出售窃取来的账号,形成了一个高效的流水线,黑客可以选择自己擅长的环节运作,从而使得产业的运作效率更高。
实际上现在病毒的互联网化使病毒的更新更快了,病毒可以以10分钟为单位更新一次,甚至更快。那我们的杀毒软件可以不可以这样更新呢?
也是可以的,完全没有问题,我们也可以10分钟升级一次病毒库。那是什么概念呢?就是一个小时要升级6次,一天24小时要升级144次。从技术上来讲都不是问题,但是能有哪个用户受得了一天升级144次的频率?所以频繁地缩小这种软件升级的间隔,增加软件升级的频率,显然是死路一条,已经走到了尽头。
问题二:过期的防御方式
目前业界常用的一些反病毒技术,大致可以分为两类:一类是病毒的检测技术,一类是病毒的防御技术。这些都是传统的病毒解决模式。
当一个用户受到了恶意的威胁时,这个用户会通过电子邮件等方式与杀毒软件厂商取得联系,将病毒样本上报。杀毒软件厂商获得了这些样本以后,把样本提供给分析处理系统,由分析处理系统提出解决方案,然后提供给技术服务器,再由技术服务器制造出新的版本升级。
这种被动的安全模式,主要依赖用户对威胁的感知能力。这个出发点就是错的,因为用户对威胁的感知能力是不一样的,厂商监控互联网威胁的模式过于盲目。
另外,传统的安全防御思想是基于单机设计的,光顾着发展单机的检测和防御技术,产品互联网化的程度也只停留在利用互联网这个渠道升级或者进行白名单验证。
互联网的关键问题
如果用一句话来概括当今的病毒状况就是它的传播或者发展已经互联网化。但是我们的信息安全的思路、功能还只停留在单机时代,还没有进入互联网时代,这也就是现代的模式无法应对新形式病毒的关键所在。(如图1所示)
病毒的互联网化给我们带来了三大挑战:第一大挑战是如何快速感知互联网出现的新的威胁;第二大挑战是如果建立了快速的感知系统,我们将如何去处理和回应海量的信息;第三大挑战是如何改进单机的思想来应对互联网化的病毒。
对应这三大挑战,可以通过云安全客户端来从三个角度实施应对策略:第一要主动监控、挖掘新的互联网威胁。第二要对威胁的互联网传播渠道进行主动的拦截。第三要通过互联网进行主机防御,信息共享协作建立互联网的安全防御模式。(如图2所示)
为什么业内很多安全厂商认为云安全这种架构能够迅速地对互联网化的威胁作出反应呢?简单来说,云安全客户端区别于我们以往理解的单机的客户端,它不是一个人在战斗,它是一个针对传统客户端进行互联网化改造的客户端。
当一个恶意程序在互联网的某个角落产生威胁时,它可能会通过下载网站、门户网站等等各种渠道进行传播。此时,基于云安全的客户端就感知并截获了,然后迅速地把威胁传递给威胁信息数据中心。
威胁信息数据中心的概念是收集威胁信息并提供给客户端协作信息的一个机构,它实际上具有两个功能:第一个功能就是收集威胁信息,第二个功能是客户端的协作信息的查询和反馈。
收集威胁信息的功能,是将从云安全的客户端收集上来,截获的恶意威胁的信息,及时传递给数据中心,传递功能传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘用户面临的恶意威胁的来源。
云安全的概念范文6
关键词:云计算;传媒;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5315-03
Information Security of Media Industry in Cloud Computing Era
QIN Jun, HUANG Li-ping
(Guangxi Daily Media Group, Nanning 530026, China)
Abstract: Cloud Computing is the most concerned technology and business concept in this era. As for media industry, the appearance of Cloud Computing brought hope.In the construction of information security, Guangxi Daily Media Group started with the concept and rules of Cloud Computing and broke through traditional technology constraints. With a new technical structure, Guangxi Daily Media Group completed its information security construction and this has made it more competitive.
Key words: cloud computing; Media; information security
随着知识经济以不可逆转的力量推动着时代的车轮飞速前进,人类社会也正经历这前所未有的快速变革,自从联合国教科文组织提出知识经济的概念20年以来,人类创造的知识成果超过近5000年文明创造的总和;在新世纪刚过去的10年,经合组织GDP50%以上是依赖于知识经济;科技进步对经济增长的贡献率甚至超过了80%。
正是在这样的知识经济蓬勃发展大环境下,广西日报传媒集团(以下简称“广西日报”)顺应时代,抓住机遇,整合出版资源,做大做强经营性文化产业。努力开创和发展包括平面媒体、网络媒体、移动媒体等全方位覆盖的全媒体传播和多元化产业发展的新格局。信息技术作为知识经济的核心驱动技术,成为引领传媒业迈向新时代的关键因素。
1 信息化建设的需求分析
自从2009年底转制为集团企业后,随着业务的快速增长和技术日新月异,广西日报在信息化工作深入应用时也遇到了一些挑战,主要体现在以下几个方面:
第一、业务层面。随着广西日报业务的不断丰富和扩展,业务模式正在开始逐步的转型,主要是“传播者本位”向“受众本位”的转型、从“组织媒介”向“大众媒介”的转型、从“宏观内容”向“微观内容”的转型。业务模式转变对信息系统支撑并适应业务转型的要求提出了新的要求。
第二、管理层面。企业化管理体制对业绩和效率要求更为明确,同时对投入和成本的控制也较事业单位时期更为严格,信息科技工作量化管理本身就是个业界难题,如何有效地治理信息系统,规范管理,降低成本,也是信息化工作面临的重要挑战。
第三、技术层面。WEB2.0时代,新一代互联网发生了翻天覆地的变化,如P2P、RSS、博客、微博、WiKi、播客等资讯传播技术如雨后春笋般涌现出来,并将迅速成为推动传媒领域技术革命的关键因素,信息科技工作不仅要将如此众多的新兴技术学习、消化、吸收,更要将技术和实际业务工作结合,无疑为信息科技工作增加了工作压力和难度。
综上所述,如果仍然延续传统的信息科技工作模式,将不能适应集团业务转型和发展的要求。为了从根本上解决信息科技工作存在的问题,确保信息系统可持续发展,广西日报决定整合IT核心系统,规范相关业务流程,打造先进、灵活、安全的IT系统,具体需求如下:
第一,采用创新的云计算模式取代传统C/S或B/S计算模式,整合现有业务系统至统一运行平台,并采用松耦合思路进行协同整合,突破各IT系统的区域和边界限制,为业务系统转型提供技术支撑。
第二,引入成熟先进的IT管理体系和规范标准,结合业务实际情况制定包括系统生命周期、技术服务管理、信息安全管理等自身IT管控体系,为信息科技工作配套管理体系打下良好基础。
第三,建设严密、协同、灵活的信息安全体系,切实有效保障业务连续性,为业务健康可持续发展保驾护航;同时,提升资源利用率,优化系统性能价格比,降低系统总拥有成本,真正实现少花钱,多办事。
2 信息安全建设总体思路及安全实践
2.1 信息安全建设总体思路
根据总体规划、分步实施的总体思路,广西日报的信息安全建设分为两个阶段,第一期项目以建设私有云为主要内容,第二期则是在一期的基础上,建设私有云和社区云的混合云为主要内容。总体建设思路如图1所示。
2.2 总体技术架构
在传媒集团信息安全建设中,云计算的最关键技术,就是如何整合计算处理、数据存储和网络传输三大子系统。在传统的C/S或B/S计算模式中,往往这三者是松耦合的,而在云计算环境中,这三者是紧耦合的――通过高速的宽带网络虚拟化技术,将处理资源及存储资源紧密有机地整合在一个完整的系统中。要实现真正意义上的云计算,必须使处理、存储、网络三大子系统实现以下关键功能:
第一、处理资源虚拟化和网络化。处理资源主要包括CPU、内存及系统总线,通过虚拟化技术将CPU、内存抽象出来,作为虚拟资源池,再通过虚拟化网络将各资源池联通,并通过管理系统进行统一资源调度,做到即可多个物理资源整合一个逻辑资源,又可将一个物理资源分割成多个逻辑资源,如现在流行的InfiniBand技术就是将传统封闭的PCI/PCI-X/PCI-E总线网络化的实例。
第二、存储资源虚拟化和网络化。存储资源主要包括各种在线、近线甚至离线存储资源,主流存储产品均支持各种网络化解决方案,包括SAN、ISCSI、NAS等,可以非常便捷地用网络管理的思路来管理存储系统。先进的存储产品可以支持虚拟化或云计算环境中的数据无缝迁移、灾备、数据消重等重要功能,如现在流行的FCOE技术就是将封闭式存储数据传输迁移到高速以太网的实例。
第三、网络传输宽带化和标准化。和传统计算环境相比,云计算环境中,网络传递的不仅是传统的IP业务数据,更多的将是各种处理资源和存储资源的数据,这些数据具有极强的实效性(纳秒级)、高可用性(99.999999%),并且要求网络具备极高的吞吐能力(万兆级)。同样重要的是,在传统网络中,IP数据是无连接的,而云计算环境中,网络传输应保障端到端业务的可靠性,所以要求网络面向连接特性更为严格。这使云计算环境中核心网络和传统的局域网、广域网、园区网有本质的区别。如现在流行的零丢包非阻塞式网络就是云计算核心网络的实例。图2为广西日报私有云建设总体技术架构图。
2.3 安全的云计算环境
在论述云计算环境的安全性时候,有必要明确的是“安全云”还是“云安全”的概念。“云安全”是信息安全领域最近炒得比较热话题,但是,“云安全“是各安全厂家借鉴了云计算的共享协作基本理念和思路,用在各自的信息安全产品的更新和协作上。使其产品能够更快速灵活的应对各种潜在和突发的安全威胁。因此,“云安全”只是一种理念,在业界有相当一部分资深人士认为“云安全”原理上甚至只是分布拒绝式服务攻击或僵尸网络攻击的反其道而行之。而“安全云”的概念和范围则要比“云安全”要广得多,技术深度也不可同日而语。“安全云”是完整的云计算环境中的信息安全体系,不仅是理念,还包括了各种管理标准、技术架构。因此,在建设安全的云计算环境光考虑云安全是远远不够的,要结合管理、技术、业务,建设并完善整个云计算安全体系。图3是广西日报的安全云体系架构。
建设广西日报安全云计算环境考虑了三方面,一是云计算技术架构,二是传统信息安全体系架构,三是引入了国内外相关的信息安全法律、法规和先进的安全标准的最佳实践。这使得广西日报私有云安全体系建设较有成效,切实保障了业务系统的安全稳定运行。
2.3.1 云计算环境下面临的安全威胁和风险
在广西日报云计算环境中,主要存在以下的安全威胁和风险,如表1所示。
2.3.2 统一集中安全认证/授权/审记
云计算环境中用户最大顾虑可能是云计算打破了传统信息安全的边界概念,无边无际,看不见摸不到,如采用传统的基于边界和各系统独立的安全思路,可以设想下这样的场景:云计算无边界限制,入口众多,各系统权限分立,安全标准不统一,缺乏事后追溯和跟踪审记,必将给云计算环境带来巨大的安全隐患。因此,在私有云计算环境中,统一入口、统一认证、统一授权、统一审记(即AAA安全体系)是极为关键的。
统一入口可以通过建立统一云门户实现,用户在统一业务门户登陆后,通过统一认证产品,集成LDAP和数字证书等多因强认证技术,对用户提供安全的单点登录服务;用户成功登录后,由统一认证系统根据用户角色和业务系统安全规则进行集中授权;用户进行业务操作时或者登出后,由统一认证系统在后台记录下用户的操作行为,在必要的时候可支持操作回溯,通过对认证、授权、审记的统一集中,根本上改进了云计算环境下存在的安全隐患。图4为云计算环境下集成统一门户、统一认证系统的系统示意图。
2.3.3 可信计算体系
安全云可信计算体系包括可信身份确认、可信资源安全列表、异常操作行为检测等内容。可信身份确认可以采用PKI数字证书信任体系,确保参与云计算的各方的双法身份;可信资源安全列表可采用云安全技术,建立私有云可信安全列表,同时,可通过安全云快速部署异常行为检测功能至各主机和应用防火墙,通过云计算的灵活性和管理弹性,实现自适应、自防御的安全云。
2.3.4 数据私密性完整性
可借助基于开放性较好的SSL或SSH等安全技术,对云数据传输进行加密,采用HASH-1对数据进行校验,如安全级别要求更高,可采用数字证书签名对数据进行完整性校验。在实际云计算生产环境中部署要特别注意两点,一是如果用户数比较多或业务流量大,SSL性能应通过硬件加速来提升,二是CA中心自身信息安全要特别注意,建议CA采用物理隔离的方式,通过RA来和吊销证书。
2.3.5 业务连续性保障
对于生产业务,云计算环境需要确保其业务连续性,业务连续性主要包括系统高可用性、灾备和相关的业务切换管理体系。需要对涉及到所有环节,包括虚拟化的主机、存储和网络等各种资源和业务操作系统、中间件、数据库、业务应用做完整的评估分析,制定有针对性的业务连续性计划,实现系统无单一故障点,同时需要制定出当严重故障发生时业务切换计划,并采取定期演练验证和改进措施,云计算环境中业务的业务连续性架构如图5所示。
2.4 云计算环境对异构客户端的支持
广西日报由于新闻传媒业务的特殊性,必定有较多的移动用户和各种异构终端需要随时随地访问各种前端业务应用,云计算的特色优势之一就是能够完美地支持不同类型的用户和各种异构终端,包括传统桌面PC、笔记本电脑,也包括各种操作系统的智能移动终端。当然,完美支持iPad、iPhone等时尚数码终端也必不可少的。通过私有云的桌面虚拟化技术将前端界面展示和后端数据I/O的职能分别剥离,让统一的界面扩展到几乎所有类型的终端,显著的降低了应用开发和部署的投入,规范了标准的用户界面,简化了终端管理,对于二期扩展到混合业务云提供也了坚实的支持支撑。如图6所示。
3 云计算实施后的效益评估
第一,利用云计算虚拟化技术,充分整合前台和后台计算、处理、存储资源,极大地提升了硬件资源的利用率,降低了硬件采购成本、管理维护成本和使用成本,进而显著降低了总拥有成本(TCO)。
第二,通过集成统一门户和统一身份认证系统,从根本上改观了云计算存在的安全性的隐患,确保不同安全级别的业务应用能够在安全的区域内稳定可靠运行,结合数据保护和业务连续性保障,形成了云计算环境下信息安全体系,为业务提供了坚定稳固的信息安全保障。
第三,统一了用户界面,支持各种异构客户端访问,改善了用户体验,提升了用户满意度;通过先进云计算的技术创新为广西日报业务转型提供有力地支撑,为广西日报树立了本地区乃至国内的行业领先形象打下了良好的基础。
参考文献:
[1] 周洪波.云计算:技术、应用、标准和商业模式[M].北京:电子工业出版社,2011.
[2] 宋迪.“传媒云”的畅想[J].中国传媒科技,2011(2).
[3] 本刊编辑部.漫步云端――共话云计算在传媒领域的应用与建设[J].中国传媒科技,2011(2).
[4] 云安全联盟.云计算关键领域安全指南V2.1.[DB/OL]./.2009.
[5] IBM. IBM云计算2.0解决方案. /services/cn/c-suite/cloud/.2009.