0 引言

云計(jì)算是目前在企業(yè)進(jìn)行云安全管理上比較流行的一種技術(shù)，在信息技術(shù)快速發(fā)展的今天，企業(yè)必須緊隨時(shí)代發(fā)展的步伐，充分利用云計(jì)算技術(shù)進(jìn)行電力企業(yè)動(dòng)態(tài)云安全管理，以便在競(jìng)爭(zhēng)日益激烈的市場(chǎng)上立于必?cái)≈亍ｋ娏ζ髽I(yè)必須根據(jù)自身的特點(diǎn)建立符合企業(yè)內(nèi)部進(jìn)行云服務(wù)的管理系統(tǒng)，對(duì)企業(yè)實(shí)現(xiàn)高速的信息網(wǎng)絡(luò)和高性能服務(wù)器群服務(wù)打下良好基礎(chǔ)。在電力行業(yè)中，資源的有限性對(duì)電力企業(yè)的生產(chǎn)成本具有直接的影響，為了避免資源對(duì)企業(yè)的發(fā)展產(chǎn)生阻礙，提升電力企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)，滿足現(xiàn)代市場(chǎng)的發(fā)展要求，必須加快在云計(jì)算背景下實(shí)現(xiàn)電力企業(yè)動(dòng)態(tài)云安全管理，解決目前電力企業(yè)所面臨的企業(yè)內(nèi)部資源安全問(wèn)題，在公共密鑰基礎(chǔ)和授權(quán)管理基礎(chǔ)設(shè)施 PMI的安全身份認(rèn)證的基礎(chǔ)上進(jìn)行控制。

1 云計(jì)算對(duì)安全管理要求

信息化技術(shù)的發(fā)展對(duì)人們工作、生活帶來(lái)許多便利，加快了人們的生活節(jié)奏，但另一方面，對(duì)企業(yè)進(jìn)行安全管理提出更高的技術(shù)要求。企業(yè)通過(guò)信息化管理部門創(chuàng)建的網(wǎng)絡(luò)安全管理平臺(tái)，運(yùn)用云安全管理軟件，實(shí)現(xiàn)了對(duì)企業(yè)安全設(shè)備的集中管理與控制，能通過(guò)監(jiān)控對(duì)企業(yè)的數(shù)據(jù)、資源情況進(jìn)行實(shí)時(shí)分析，并提供完整的、清晰的TOPN統(tǒng)計(jì)報(bào)告，企業(yè)員工隨時(shí)能掌控當(dāng)前網(wǎng)絡(luò)的運(yùn)行狀態(tài)。在保證網(wǎng)絡(luò)安全的可視性情況下，通過(guò)進(jìn)行集中的策略管理，可有效簡(jiǎn)化多臺(tái)設(shè)備的安全策略管理部署工作，為企業(yè)節(jié)約更多的維護(hù)成本。云計(jì)算時(shí)代的到來(lái)，復(fù)雜的虛擬環(huán)境對(duì)安全管理提出更高的技術(shù)要求。電力企業(yè)為了確保數(shù)據(jù)的安全和出現(xiàn)的日志差異，必須結(jié)合電力企業(yè)的組織結(jié)構(gòu)特點(diǎn)，使用云計(jì)算技術(shù)對(duì)電力企業(yè)進(jìn)行動(dòng)態(tài)云安全管理做好相應(yīng)的安全管理制度，在虛擬化環(huán)境下進(jìn)行業(yè)務(wù)遷移，實(shí)現(xiàn)對(duì)安全策略的及時(shí)調(diào)整和動(dòng)態(tài)控制，確保網(wǎng)絡(luò)資源的安全。

1.1 建立完善的虛擬化管理

云計(jì)算技術(shù)是通過(guò)在建立虛擬化的環(huán)境下，確保整個(gè)云中的安全設(shè)備都處于一個(gè)虛化的單元資源內(nèi)，電力企業(yè)管理人員通過(guò)安全管理軟件平臺(tái)，實(shí)現(xiàn)了在設(shè)備配置管理和安全日志分析上的資源的虛擬化管理，而不是依靠某個(gè)物理設(shè)備單獨(dú)來(lái)完成。同時(shí)，通過(guò)建立虛擬單元，用戶權(quán)限管理需要根據(jù)用戶所需的功能不同進(jìn)一步細(xì)化，在完成初始化的用戶虛擬化資源的分配和綁定后，確保后續(xù)的操作有不同的管理人員進(jìn)行完成，每個(gè)管理人員都可以根據(jù)實(shí)際需要為了企業(yè)的安全資源進(jìn)行策略調(diào)整，以完成對(duì)電力企業(yè)的數(shù)據(jù)資源的安全事件分析。

1.2 實(shí)現(xiàn)安全設(shè)備的統(tǒng)一管理

電力企業(yè)在運(yùn)用云計(jì)算技術(shù)進(jìn)行安全管理的過(guò)程中，為了確保電力企業(yè)全面的安全管理體系，必須根據(jù)電力企業(yè)的實(shí)際狀況，需要配置不同類型和不同廠商的安全設(shè)備部署。電力企業(yè)管理策劃人員，通過(guò)運(yùn)用科學(xué)合理的方案，使不同廠商在配置上互相融合，確保多種類型的安全設(shè)備能進(jìn)行統(tǒng)一的管理，并使事件之間存在一定的關(guān)聯(lián)，這需要利用云計(jì)算技術(shù)的管理人員具有組建網(wǎng)絡(luò)，并為電力企業(yè)服務(wù)的能力，以達(dá)到對(duì)電力企業(yè)進(jìn)行動(dòng)態(tài)云安全管理時(shí)對(duì)設(shè)備進(jìn)行統(tǒng)一管理和事件進(jìn)行分析，在此基礎(chǔ)上通過(guò)采取定制化的手段，實(shí)現(xiàn)了對(duì)其他廠家的安全日志進(jìn)行管理。在實(shí)際應(yīng)用中，常常存在多種廠家混合組網(wǎng)的情況，各設(shè)備廠商所提供的安全管理系統(tǒng)都配置有各自的管理及事件分析所開(kāi)放的API接口。

1.3 實(shí)現(xiàn)對(duì)虛擬化安全策略的調(diào)整

云技術(shù)環(huán)境的特征就是實(shí)現(xiàn)了虛擬機(jī)在虛擬環(huán)境下的自動(dòng)遷移，為滿足廣大用戶的需要，緊跟虛擬機(jī)的遷移，業(yè)務(wù)系統(tǒng)本身的資源配置以及該虛擬機(jī)的接入端口屬性都在積極響應(yīng)并需要提供響應(yīng)的手段。電力企業(yè)為了實(shí)現(xiàn)在云計(jì)算背景下的安全管理策略，管理人員需要在安全管理平臺(tái)上提供重要的技術(shù)支持功能，并及時(shí)建立網(wǎng)絡(luò)中虛擬機(jī)和安全管理策略的虛擬化策略調(diào)整，并對(duì)虛擬機(jī)的遷移動(dòng)作進(jìn)行感知，以獲取虛擬機(jī)在自動(dòng)遷移后所得到的網(wǎng)絡(luò)位置信息情況，以此來(lái)實(shí)現(xiàn)安全策略的合理遷移。虛擬機(jī)信息遷移后，管理人員需要計(jì)算出其遷移后所對(duì)應(yīng)的設(shè)備，為安全策略調(diào)整做好相應(yīng)準(zhǔn)備工作，安全管理平臺(tái)基于對(duì)各方面資源的整合，以便及時(shí)進(jìn)行安全策略調(diào)整，以達(dá)到對(duì)虛擬機(jī)所對(duì)應(yīng)的安全策略組進(jìn)行重新下發(fā)到新的安全設(shè)備上，對(duì)整個(gè)安全策略進(jìn)行遷移。

2 云計(jì)算背景下的云安全管理策略

H3CseCenter是在云計(jì)算背景下電力企業(yè)實(shí)施動(dòng)態(tài)云安全管理的中心，其不但具有先進(jìn)的SOA開(kāi)放架構(gòu)，而且各功能模塊之間具有一個(gè)統(tǒng)一的WEB操作門戶，從而實(shí)現(xiàn)了對(duì)云計(jì)算網(wǎng)絡(luò)中各類安全設(shè)備的集中管理，互相之間達(dá)到完成結(jié)合，構(gòu)建起智能開(kāi)放的統(tǒng)一安全管理信息平臺(tái)。SecCenter通過(guò)利用各種協(xié)議使采集到的網(wǎng)絡(luò)中的安全設(shè)備的事件和流量信息進(jìn)行統(tǒng)一管理，其主要包括Syslog、NetStream/NetFlow、SNMP等，并能對(duì)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控、分析設(shè)備所處的工作狀態(tài)和安全運(yùn)行狀況，以便提供集中分析與審計(jì)平臺(tái)，同時(shí)，SecCenter具有強(qiáng)大的控制和策略部署功能，能對(duì)其有關(guān)的安全設(shè)備進(jìn)行集中的管理，并在虛擬環(huán)境中進(jìn)行安全策略的集中管理，并為之提供云安全管理下的策略管理平臺(tái)，以滿足云安全管理下的開(kāi)放管理，SecCenter通過(guò)不斷的完善其適配方式，實(shí)現(xiàn)了為第三方管理平臺(tái)提供開(kāi)放接口模式。

2.1 對(duì)虛擬化資源統(tǒng)一管理

SecCenter具有強(qiáng)大的控制功能，對(duì)H3C防火墻、TPS及ACG等不同的安全設(shè)備，實(shí)現(xiàn)了對(duì)電力企業(yè)網(wǎng)絡(luò)資源的集中化管理，電力企業(yè)根據(jù)自身的情況劃分不同的管理區(qū)域，并將虛擬設(shè)備劃分為不同的虛擬設(shè)備管理組，并可設(shè)置一定的管理權(quán)限，根據(jù)不同的管理層設(shè)置不同的虛擬化安全設(shè)備管理權(quán)限，滿足對(duì)虛擬化資源的分級(jí)分權(quán)管理要求。

2.2 有效進(jìn)行事件監(jiān)控及分析

SecCenter通過(guò)基于虛擬化的資源，實(shí)現(xiàn)了對(duì)基于設(shè)備事件的有效采集及對(duì)虛擬資源的有效分析，并在基于設(shè)備及虛擬 ID方式的基礎(chǔ)上，提供對(duì)電力企業(yè)整個(gè)網(wǎng)絡(luò)安全事件的實(shí)時(shí)監(jiān)控功能，以形成一個(gè)完整的事件快照，從而為用戶提供當(dāng)前網(wǎng)絡(luò)安全事件的詳細(xì)信息情況，電力企業(yè)云安全管理人員能及時(shí)掌握企業(yè)資源的安全狀況。通過(guò)對(duì)電力企業(yè)進(jìn)行云計(jì)算背景下資源的實(shí)時(shí)監(jiān)控，用戶能及時(shí)監(jiān)控到正在發(fā)生的重要安全事件情況，并及時(shí)啟動(dòng)安全應(yīng)急預(yù)案，快速的處理危險(xiǎn)，確保網(wǎng)絡(luò)資源的安全。

SecCenter實(shí)現(xiàn)了對(duì)全網(wǎng)范圍內(nèi)的安全事件進(jìn)行集中統(tǒng)計(jì)分析，并對(duì)統(tǒng)計(jì)結(jié)果制成詳細(xì)的報(bào)告，客戶可以對(duì)電力企業(yè)云安全管理過(guò)去狀況和未來(lái)的安全形勢(shì)做客觀詳細(xì)的分析，為進(jìn)行電力企業(yè)動(dòng)態(tài)云安全管理打下良好基礎(chǔ)。管理人員應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)安全統(tǒng)計(jì)報(bào)告進(jìn)行評(píng)估，SecCenter最大程度上滿足電力企業(yè)的安全管理需要，并提供完善的綜合分析和豐富的統(tǒng)計(jì)報(bào)告，可將對(duì)資源的攻擊對(duì)象、目標(biāo)暴露，以方便管理人員根據(jù)攻擊來(lái)源及目標(biāo)等，制定有針對(duì)性的處理措施，并提供基于天、周、月的發(fā)展趨勢(shì)情況，從而掌握TOPN的攻擊狀態(tài)和趨勢(shì)的全面資源，幫助電力企業(yè)了解需要重點(diǎn)關(guān)注的網(wǎng)絡(luò)攻擊、病毒等對(duì)資源的侵害，以便提前做好防范措施。

2.3 加強(qiáng)內(nèi)容審計(jì)

SecCenter強(qiáng)大的功能不僅體現(xiàn)在對(duì)電力企業(yè)的實(shí)時(shí)監(jiān)控上，而且還具有十分強(qiáng)大的審計(jì)能力，能夠從以往的數(shù)據(jù)中快速找到與安全事件有關(guān)的信息，并對(duì)信息進(jìn)行分析，以便做好應(yīng)對(duì)同類問(wèn)題的措施。通過(guò)對(duì)所需的資源信息進(jìn)行檢索，并對(duì)安全事件進(jìn)行深入分析，找出最終的攻擊來(lái)源、對(duì)象，通過(guò)這種深入的查詢功能，為用戶解決了很多實(shí)際問(wèn)題。

通過(guò)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)，對(duì)用戶在網(wǎng)絡(luò)中的各種應(yīng)用行為，例如，WEB瀏覽、電子郵件、通信、網(wǎng)絡(luò)游戲等進(jìn)行實(shí)時(shí)監(jiān)控、分析和審計(jì)，從而對(duì)登錄非法網(wǎng)站、非法操作、發(fā)送違反法律、散布反動(dòng)謠言等行為進(jìn)行有效的監(jiān)控和審計(jì)，確保網(wǎng)絡(luò)空間的干凈，根據(jù)對(duì)電力企業(yè)每個(gè)用戶的業(yè)務(wù)使用情況進(jìn)行分析，掌握造成網(wǎng)絡(luò)安全的因素，并做好相應(yīng)的記錄，便于日后審計(jì)和追蹤。因此，通過(guò)對(duì)造成安全事件的原因進(jìn)行分析，用戶在對(duì)網(wǎng)絡(luò)資源進(jìn)行利用時(shí)，加強(qiáng)對(duì)攻擊來(lái)源的預(yù)防，并提前做好相應(yīng)安全管理策略。

2.4 強(qiáng)化策略管理

在進(jìn)行網(wǎng)絡(luò)安全管理時(shí)，必須對(duì)網(wǎng)絡(luò)安全組成情況進(jìn)行分析，提高策略管理能力。管理員在進(jìn)行網(wǎng)絡(luò)安全設(shè)備策略配置時(shí)，應(yīng)從整體上綜合考慮各種影響因素，減少系統(tǒng)產(chǎn)生誤差的機(jī)率，SecCenter最大的優(yōu)點(diǎn)就是實(shí)現(xiàn)了運(yùn)用單一的管理控制臺(tái)對(duì)整網(wǎng)設(shè)備的統(tǒng)一管理和配置，有利于對(duì)不同虛擬設(shè)備的安全策略管理。通過(guò)自動(dòng)化的設(shè)備配置，提高了管理效率，有利于網(wǎng)絡(luò)的長(zhǎng)期安全運(yùn)行。

云計(jì)算環(huán)境內(nèi)的虛擬機(jī)發(fā)生遷移，SecCenter能夠隨時(shí)感知虛擬機(jī)所發(fā)生的情況，以便及時(shí)從虛擬管理系統(tǒng)中獲得虛擬機(jī)遷移前后的信息情況，例如，虛擬機(jī)在發(fā)生遷移前后主機(jī)的位置情況，SecCenter具有自行維護(hù)的防火墻與主機(jī)對(duì)應(yīng)的關(guān)系，當(dāng)發(fā)生遷移后，防火墻將自動(dòng)匹配虛擬機(jī)的安全管理策略，將原有策略進(jìn)行重新部署，實(shí)現(xiàn)安全策略的有效遷移，確保云計(jì)算背景下對(duì)多種安全設(shè)備的安全策略實(shí)現(xiàn)統(tǒng)一部署，確保網(wǎng)絡(luò)的安全運(yùn)行。

2.5 建立開(kāi)放的接口模式

隨著科學(xué)技術(shù)的不斷進(jìn)步，各種生產(chǎn)廠家生產(chǎn)不同類型的安全設(shè)備，為了提高設(shè)備的安全管理，必須建立一種能滿足多數(shù)廠家需要的接口模式來(lái)實(shí)現(xiàn)對(duì)安全管理平臺(tái)的統(tǒng)一管理。在這種情況下，SecCenter開(kāi)發(fā)了開(kāi)放的接口形式，通過(guò)適配層的方式，提供適合多種廠家的 API接口形式。通過(guò)這些 API接口，SecCenter實(shí)現(xiàn)了對(duì)管理平臺(tái)上相應(yīng)日志格式的有限轉(zhuǎn)化，有利于對(duì)上層管理平臺(tái)的解析，已達(dá)到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的統(tǒng)一分析，同時(shí)，對(duì)上層的安全策略管理部署接口也實(shí)現(xiàn)了開(kāi)放，有利于對(duì)全網(wǎng)安全的統(tǒng)一策略部署。

3 結(jié)束語(yǔ)

綜上所述，科學(xué)技術(shù)進(jìn)步，加快了云計(jì)算網(wǎng)絡(luò)的迅速發(fā)展，安全技術(shù)對(duì)電力企業(yè)具有十分重要的作用，對(duì)安全管理平臺(tái)的需要越來(lái)越大，云安全管理平臺(tái)隨著社會(huì)的發(fā)展在不斷變化，以適應(yīng)當(dāng)代云安全管理需要，從而實(shí)現(xiàn)對(duì)電力企業(yè)資源的有效管理、配置、監(jiān)控、分析、部署等，為用戶提供更加高效的信息資源、數(shù)據(jù)的統(tǒng)一管理平臺(tái)。