洪云飛

摘要：本文主要針對以下四點問題進行研究，其中包括：對云管理平臺的安全問題進行研究，并通過借鑒國內外的狀況，重點對云計算平臺進行趨勢分析，并且針對未來的發(fā)展方向重點進行研究；通過針對平臺的需求進行分析，并且依照安全性原則，確定平臺結構化構架；對關鍵模塊重點詳細地進行設計，通過接入安全保障，對安全性業(yè)務進行分析，保障信息的可控和感知能力；設置模塊，進行模塊和身份識別功能，實現(xiàn)訪問的安全性，并保障虛擬識別過程中的安全性，為大數(shù)據(jù)流量進行安全分析，保障IT基礎設施的狀態(tài)監(jiān)控；針對平臺環(huán)境進行簡單描述，并且根據(jù)平臺的特點進行功能檢測，對于關鍵功能進行測試，并且將測試的結果進行展現(xiàn)。本文通過不同的方法和技術，將云數(shù)據(jù)管理平臺進行管理，解和虛擬化、彈性計算、作業(yè)分發(fā)、資源調度、分布式存儲等技術，幫助云計算平臺開發(fā)業(yè)務，提供基礎保障，實現(xiàn)云服務平臺的有效管理，合理利用資源設備，提高安全，促進云管理平臺科學有效發(fā)展，并且使IPv6/4混合數(shù)據(jù)流更好地使用，為互聯(lián)網的發(fā)展提供更為安全有效的部署。

關鍵詞：云計算；主機層；安全管理；虛擬化

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）08-0015-02

1 云計算及其安全性

大數(shù)據(jù)時代的到來，使得云計算成為人們眼中的明星技術，借助網絡的發(fā)展，使得用戶能夠通過網絡進行資源以及服務的共享。目前，云數(shù)據(jù)中心的安全性對云計算的發(fā)展起到了決定性的因素。作為其核心處理部分，最重要的是需要保障數(shù)據(jù)的安全。目前構建的“云數(shù)據(jù)中心安全管理平臺”，是借助云計算服務所建成的[1]，能夠通過對用戶的身份進行確認，保障數(shù)據(jù)的安全，資源的安全。

2 云計算平臺主機層安全管理的要求

2.1 云計算平臺主機層安全管理需求分析

云數(shù)據(jù)中心安全管理平臺的主要功能需求有以下幾點[2-5]：

第一，支持IPv6/4混合數(shù)據(jù)流監(jiān)控；

第二，系統(tǒng)安全管理、用戶準入管理、固定資產管理、安全事件管理、網絡脆弱性管理、網絡風險管理、安全策略管理、事件響應管理、安全預警管理、安全知識管理、事件報表管理等；

第三，識別虛擬機，包括能夠及時掌握虛擬機的遷移動態(tài)，根據(jù)預測規(guī)劃虛擬機的遷移路線，實施安全策略確保設備的安全；

第四，合理配置不同設備的安全策略原則，實現(xiàn)與虛擬機的合作，下放安全策略確保數(shù)據(jù)信息的準確度，此外，虛擬機的外接口需要做認證處理，確保系統(tǒng)的安全以及數(shù)據(jù)的快速接入；

第五，設置一個安全模塊能夠更方便的執(zhí)行安全規(guī)則，對系統(tǒng)中的數(shù)據(jù)進行安全檢測，對虛擬機的遷移動態(tài)做到實時跟蹤；

第六，信息系統(tǒng)的安全性需要不斷采集信息以及做到對數(shù)據(jù)的取證，從而進行評估、檢測等操作；

第七，通過多源異構系統(tǒng)完成對物理設備、軟件系統(tǒng)、數(shù)據(jù)庫、業(yè)務應用系統(tǒng)的數(shù)據(jù)信息采集以及分析，完成對安全事件的整理、分析等管理；

第八，需要對系統(tǒng)出現(xiàn)問題時的人工或者自動進行審核，保證系統(tǒng)的安全運行，對安全事件進行實時跟蹤監(jiān)控，完善審核流程，統(tǒng)一管理安全事件。

2.2 云計算平臺主機層安全管理總體設計

云計算平臺的設計思路是將信息安全技術與規(guī)范化管理相結合，提高云計算平臺的兼容性、規(guī)范性以及擴展性，幫助更好的管理網絡信息與安全等工作；云計算管理平臺實現(xiàn)了人、技術、管理三方面的融合，將管理平臺設計得更加人性化，提高系統(tǒng)的云計算的安全性，確保管理工作的規(guī)范化，提高系統(tǒng)自身的安全性和規(guī)范性[6]。

云數(shù)據(jù)中心安全管理平臺憑借自身平臺優(yōu)勢、管理優(yōu)勢以及資源優(yōu)勢能夠完善新一代的云計算安全管理平臺，可以通過接入安全管理組件、服務運維組件，實現(xiàn)IPv6/4混合數(shù)據(jù)流監(jiān)控、虛擬設備狀態(tài)檢測及管理、網絡數(shù)據(jù)內容取證、虛擬操作系統(tǒng)識別、感知部署和遷移等功能實現(xiàn)服務化結構。

云數(shù)據(jù)中心安全管理平臺從用戶接入到界面展示都有一套完善的流程，包括用戶權限設置問題、網絡環(huán)境安全問題、業(yè)務滿足等問題都能夠滿足云計算中心對網絡安全的各種需求，其中就有數(shù)據(jù)安全需求以及管理需求等，系統(tǒng)的界面展示的具體內容包括系統(tǒng)的狀態(tài)、性能等具體信息。云數(shù)據(jù)中心安全管理平臺全面支持系統(tǒng)的虛擬化管理，包括對數(shù)據(jù)、計算、存儲以及安全設備的虛擬化，實現(xiàn)網絡安全設備的成功轉換[7]；這其中，關鍵需要看虛擬化設備的安全管理，對虛擬設備的安全檢測、虛擬機的遷移動態(tài)檢測，以及過程中的數(shù)據(jù)流的安全。

3 云計算平臺主機層安全管理關鍵模塊

3.1 身份及訪問安全模塊

網絡安全首先應該注意的就是身份問題，不同的人員需要不同的進入權限。用戶進入系統(tǒng)時需要先進行身份驗證，之后根據(jù)用戶的身份分配資源和安全策略，這樣才能夠保證系統(tǒng)的規(guī)范性以及安全性。本模塊主要針對的是用戶的身份識別問題，包括接入認證、出口認證、身份認證、權限確認以及安全域控制，網絡通信安全性等問題。本模塊主要從用戶接入、主機安全、網絡通信三方面對云計算數(shù)據(jù)中心的安全問題進行相關措施，切實保障系統(tǒng)的安全，保障云數(shù)據(jù)中心的業(yè)務、數(shù)據(jù)以及應用網絡的安全[8]。

用戶的認證方式有多種方式可供選擇；用戶一旦認證成功連同登陸設備都需要綁定；登陸主機時設備的安全檢查、主機運行的安全問題；對主機自身存在的漏洞進行解決；用戶權限的匹配需要根據(jù)用戶自身以及設備的狀態(tài)；對運行的日常數(shù)據(jù)進行采集，確保系統(tǒng)的穩(wěn)定運行。本模塊的用戶認證方式包含：二維碼認證、短信認證、無感知認證等；按照用戶不同身份進行權限的分配；用戶以及登陸設備進行綁定的方式主要包含：用戶名、密碼、IP地址、MAC地址、認證交換機IP、認證交換機端口號、主機硬盤序列號、IMSI/手機號、SSID等多種方式，完全保證用戶信息的安全；短信認證、系統(tǒng)修復可以是自動操作；用戶上下線日志功能；用戶黑名單功能；Web認證功能；無限身份認證功能；第三方廠商的交換機聯(lián)動功能[9]。

3.2 基于業(yè)務安全度量模塊

業(yè)務安全性建模模塊會在基礎架構連接的狀態(tài)下實現(xiàn)業(yè)務層次結構的自動發(fā)現(xiàn)與手動調整，系統(tǒng)可以自行判斷業(yè)務的發(fā)展情況，會對設備、服務器、中間件以及數(shù)據(jù)庫、虛擬化平臺等支撐網元進行分類處理，如果是同一類別的支撐網元，則需要在業(yè)務視圖上進行說明，這樣做的目的是業(yè)務運行人員能夠更方便的處理系統(tǒng)。對系統(tǒng)中的數(shù)據(jù)要采集的話，會有采集周期以及采集的數(shù)量之間的問題。采集周期短，意味著需要采集大量的數(shù)據(jù)用來支撐對系統(tǒng)的實時跟蹤分析，這樣也能比較迅速地了解系統(tǒng)的運行狀態(tài)，及時地發(fā)現(xiàn)存在的問題并予以解決，能夠確保系統(tǒng)安全平穩(wěn)的運行，但從另一方面說，采集的數(shù)量越大，意味著系統(tǒng)所需要承受的壓力就越大[10]。

3.3 虛擬機識別遷移模塊

虛擬化支持就是對交換機中的所有虛擬化指令的支持，包括虛擬機以及虛擬機遷移、虛擬機報文轉發(fā)等功能；網絡安全設備需要對系統(tǒng)中的設備下放網絡安全策略，對系統(tǒng)進行全面部署，使其適應虛擬機的狀態(tài)。系統(tǒng)還需要時刻準備虛擬機的不同用戶所需，針對用戶不同的虛擬機要求，確保持續(xù)的服務，使用戶能夠方便在不同的物理宿主機之間進行遷移[11]。

當虛擬機在數(shù)據(jù)中心進行遷移的時候，需要注意的是必須確保與虛擬機相關的安全策略等的跟隨遷移，這樣能夠確保遷移過程中的數(shù)據(jù)安全。當虛擬機進行遷移時，虛擬機識別模塊需要實現(xiàn)識別到虛擬機的遷移動態(tài)，并進行API通告；當虛擬機遷移到新的物理宿主機，需要對外發(fā)送新的通告MAC地址，接入設備收到新的地址后要上傳到安全管理平臺；安全管理平臺收到新的地址請求時，需要對比后臺的數(shù)據(jù)庫，將原來的地址進行更新，重新與之配置對應資源 ；因為虛擬機遷移狀態(tài)的關聯(lián)性，平臺需要將遷移有關的所有策略進行重新匹配；匹配完成并生效之后，虛擬機就開始開通數(shù)據(jù)交換通道進行數(shù)據(jù)交換處理。

3.4 數(shù)據(jù)安全模塊

對系統(tǒng)的數(shù)據(jù)需要做到事前掃描、事中分析、事后審計，通過建立安全數(shù)據(jù)庫，來確保用戶數(shù)據(jù)的安全可靠與完整；對數(shù)據(jù)流量進行分析，確保用戶在進行網絡操作時能夠做出正確可靠的分析判斷；數(shù)據(jù)安全的事后審計是規(guī)范性要求，事后的數(shù)據(jù)審計能夠進一步推動系統(tǒng)自身的內部安全，還能夠彌補安全策略的不足，提高審計水平。

對數(shù)據(jù)安全模塊的管理首先需要收集流量，從不同的端口采集，包括端口、接口等，收集之后存儲到數(shù)據(jù)庫；在網絡拓撲的基礎上對流量的采集形成一個實時的繪制；對應用的繪畫流量進行實時繪制，幫助管理者實時了解流量的使用情況，根據(jù)不同的用戶所需進行不同的分析管理，對會話的流量分析能夠保證深度業(yè)務的管理，本模塊的管理重點就是對會話流量的分析管理。

3.5 資源監(jiān)控模塊

物理資源監(jiān)控管理，對物理設備中的數(shù)據(jù)進行分散采集并集中調度，使用拓撲計算法進行分析，能夠及時地發(fā)現(xiàn)物理設備之間的關聯(lián)度，彼此之間的影響力度，管理員通過一系列的分析能夠更清晰地了解物理設備的整個邏輯關系。

設備監(jiān)控是對設備的承載能力的監(jiān)控；設備的內存空間、設備接口的流量統(tǒng)計、包數(shù)以及網絡延遲情況；設備接口的利用率；設備的端口流量。對主機的監(jiān)控主要是對主機的操作系統(tǒng)的監(jiān)控，對服務器狀態(tài)的監(jiān)控；磁盤的使用狀態(tài)、磁盤讀寫速率等；物理內存以及緩存的空間使用情況。

4 總結

本文對云數(shù)據(jù)中心安全管理平臺進行設計包括其接入安全管理組件、服務運維組件以及實體交換設備的組合完成，完成云計算數(shù)據(jù)中心的虛擬機識別以及感知與遷移，同時根據(jù)預設不定期下放安全策略，提高安全性；使交換機與虛擬機進行互動，互動的數(shù)據(jù)信息保證準確無誤，能夠達到預期并下放安全策略，對虛擬機的接入安全進行認證，確?？梢詼蚀_分析接入數(shù)據(jù)；安全模塊要下放安全策略，需要對接入的數(shù)據(jù)進行安全檢測，能夠對虛擬機的遷移做實時的跟蹤分析。云安全管理平臺是以云數(shù)據(jù)中心的特點為基礎的，利用多源異構對設備進行監(jiān)控。對IT設施中的網絡設備、服務器、中間件以及數(shù)據(jù)庫等業(yè)務的運行狀態(tài)進行有效監(jiān)控，達到利用多源異構對IT基礎設施的監(jiān)控與管理。服務器與虛擬機之間的數(shù)據(jù)交換需要確保數(shù)據(jù)的準確，網絡與設備的結合，能夠實現(xiàn)對數(shù)據(jù)交換的實時監(jiān)控，同時對交換數(shù)據(jù)進行分析，保證數(shù)據(jù)的安全可靠。

參考文獻：

[1] 農曉鋒.云計算在高校計算機實驗室建設管理中的應用探討[J/OL].輕工科技，2018（12）：57-58.

[2] 王海洪，肖洋洋.大智移云技術對會計影響的文獻綜述[J/OL].會計之友，2018（24）：61-64.

[3] 張濤.云環(huán)境下基于多層前向神經網絡交叉覆蓋算法的數(shù)據(jù)分類[J/OL].宜賓學院學報：1-6.

[4] 顧東曉，李童童，梁昌勇，徐健.基于云計算的管理信息系統(tǒng)遷移模式與策略研究[J].情報科學，2018（12）：71-76.

[5] 崔金棟，于婷婷，李題印.基于“互聯(lián)網+”與云服務的制造型企業(yè)生產信息管理機理研究[J].情報科學，2018（12）：77-82.

[6] 孫中鋒.虛擬化與云計算技術在企業(yè)信息化中的應用[J].電子技術與軟件工程，2018（22）：124-125.

[7] 賈欽.基于云計算的數(shù)據(jù)庫技術[J].電子技術與軟件工程，2018（22）：156.

[8] 韓靜.云計算環(huán)境下隱私保護的現(xiàn)狀和對策[J].電子技術與軟件工程，2018（22）：181.

[9] 文誠忠，秦衛(wèi)麗.云計算技術的安全防控計策[J].電子技術與軟件工程，2018（22）：187.

[10] 陳克生.云背景下計算機信息安全管理要點[J].電子技術與軟件工程，2018（22）：198.

[11] 朱娜.云計算技術在圖書管理中的應用[J/OL].當代教育實踐與教學研究，2018（11）：35-36.

【通聯(lián)編輯：光文玲】