摘 要 隨著科技水平的不斷發(fā)展，社會在不斷地進步，計算機科學(xué)以及網(wǎng)絡(luò)技術(shù)也取得了可觀的成果，這些成果給人們的生活帶來了便利，人類社會的發(fā)展進程也受到了巨大的影響。云計算是一種新興的計算機技術(shù)，它的重點在于應(yīng)用方面，它是以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的。企業(yè)以自有數(shù)據(jù)中心建立的云管理環(huán)境系統(tǒng)的基礎(chǔ)支持就是私有云，私有云的建立可以很好地定義以及運行云應(yīng)用，并且為其提供計算、存儲功能以及網(wǎng)絡(luò)資源的管理平臺。在本論文中，討論了企業(yè)私有云的搭建方案，企業(yè)私有云搭建內(nèi)容、建設(shè)目的以及最后的安全架構(gòu)也被系統(tǒng)地分析，同時私有云所要面臨的安全性問題也被進一步地探討，最后私有云的安全架構(gòu)被提出，希望對企業(yè)的私有云搭建提供一些幫助。

【關(guān)鍵詞】網(wǎng)絡(luò)技術(shù) 互聯(lián)網(wǎng)技術(shù) 私有云 云計算 存儲功能 安全架構(gòu)

1 引言

在2006年，谷歌首次提出了云的概念，云開始逐漸地出現(xiàn)在人們的視野中，并影響著人們的日常生活。隨著網(wǎng)絡(luò)虛擬化程度越來越高，一些計算機關(guān)鍵技術(shù)得到了飛速的發(fā)展，例如：寬帶技術(shù)、分布式計算技術(shù)等，這些技術(shù)的發(fā)展促使云技術(shù)得到了長足的進步，云應(yīng)用的時代已經(jīng)被開啟，很多企業(yè)以前都是將自己的信息平臺建立在客戶機或者是服務(wù)器架構(gòu)中，隨著云應(yīng)用的開發(fā)，大部分企業(yè)已經(jīng)將信息轉(zhuǎn)移到了新興的云平臺上面。云計算是計算機技術(shù)的一個新的衍生事物，人們對它了解的越多，就越來越容易接受它，但是在應(yīng)用云的同時，一些網(wǎng)絡(luò)信息的安全隱患隨之而來，這將是人們面對的一項巨大挑戰(zhàn)。從2006年到2011年，云技術(shù)得到了空前的發(fā)展，但是受到的網(wǎng)絡(luò)沖擊也是越來越大，例如，谷歌、百度、微軟以及亞馬遜等大型網(wǎng)絡(luò)公司的云平臺在近幾年，都遭到了大大小小上百次的網(wǎng)絡(luò)攻擊，對使用客戶造成的影響非常惡劣，并且在全球范圍內(nèi)，云平臺受到的攻擊數(shù)量在不斷地增加，已經(jīng)呈現(xiàn)出難以抑制的趨勢。企業(yè)私有云的建造人員以及維護人員不得不思考如何保證自己企業(yè)私有云平臺不受到外界的攻擊，或者說在受到外界攻擊時如何保證數(shù)據(jù)安全，如何保證受到的損失最小，如何快速的去修復(fù)云平臺，這些都是技術(shù)人員面臨的挑戰(zhàn)。在本論文中，根據(jù)目前企業(yè)私有云安全的情況，通過一些企業(yè)建設(shè)云平臺的經(jīng)驗，一種新型的、應(yīng)用性能良好的云安全框架被提出，希望對企業(yè)的私有云搭建提供一些參考以及幫助。

2 私有云的概念簡介

在商業(yè)模式中，云計算技術(shù)手段得到了完美的詮釋。計算機的計算資源、存儲資源、網(wǎng)絡(luò)化資源都通過云計算過程以虛擬化以及自動化的方式來提交。可以進行自我維護、自行管理的虛擬運算資源就是人們常說的“云”，通常情況下，很多大型服務(wù)器集群都是云的體現(xiàn)，云控制器、云服務(wù)器以及云配制服務(wù)器都被包含其中。用戶所需要的計算能力、存儲空間、軟件功能以及信息服務(wù)等都是通過云計算來提供的，云計算可以支撐很多應(yīng)用類程序的運行。平行計算（Parallel Computing）、分布式計算（Distributed Computing）以及網(wǎng)格化計算（Grid Computing）這三者的共同發(fā)展，并且有機地結(jié)合形成了云計算。私有云的英文稱為Private Clouds，最開始它在國外的企業(yè)信息服務(wù)中得到了非常廣泛地應(yīng)用，它可以為客戶獨自建立、而且可以為用戶提供單獨的使用空間，所以它可以有效地控制數(shù)據(jù)的安全性，也可以提高服務(wù)質(zhì)量。擁有私有云的公司可以有效地控制自己公司的基礎(chǔ)設(shè)施，在該基礎(chǔ)設(shè)施上完成應(yīng)用程序的基本部署。公司可以將私有云設(shè)置在公司內(nèi)部數(shù)據(jù)中心的防火墻內(nèi)，也可以在相對安全的主機托管場所內(nèi)部署私有云。公司內(nèi)部自己擁有的IT機構(gòu)就可以建立自己公司的私有云，云提供經(jīng)銷商也可以為公司構(gòu)建私有云。目前國際上一些大型公司都是由云提供商來為它們建立私有云，Sun、IBM等大型的云計算提供經(jīng)銷商可以為企業(yè)提供私有云的安裝、配置以及運營等一系列服務(wù)，為公司提供一個專用的云來支持公司的數(shù)據(jù)中心。這種模式可以讓公司很好地控制云資源，讓公司對云資源的使用達到極高地水準。

3 云計算的實現(xiàn)機理

從云計算結(jié)構(gòu)上來劃分，我們可以將云計算技術(shù)的體系劃分為四大類。物理資源層、資源池層、管理中間件層，以及SOA構(gòu)建層都被包含在其中。承擔數(shù)據(jù)傳輸任務(wù)的物理媒體我們稱之為物理資源層；應(yīng)用層以及資源層之間橋梁我們稱之為管理中間件層，它在中間起到的是承上啟下的作用，同時管理中間件層還可以提供諸多功能，例如：資源代理、通訊服務(wù)、任務(wù)分析器、任務(wù)調(diào)度器以及信息服務(wù)能力等。面向服務(wù)的體系架構(gòu)我們稱之為SOA構(gòu)建層，它由服務(wù)接口、服務(wù)注冊、服務(wù)查找、服務(wù)訪問以及服務(wù)工作流組成。云計算技術(shù)最為關(guān)鍵的部分就是管理中間件層以及資源池層，SOA構(gòu)建層的一些功能是由外部設(shè)施所提供的。資源管理、任務(wù)管理、用戶管理以及安全管理等工作都是由云計算的管理中間件層負責(zé)的。底層硬件資源、服務(wù)器的處理能力、局域網(wǎng)以及外網(wǎng)的網(wǎng)絡(luò)傳輸、虛擬存儲空間的存儲能力都是由資源管理負責(zé)的，它可以有效地控制VM資源，合理地管理系統(tǒng)、應(yīng)用軟件以及數(shù)據(jù)庫等資源；任務(wù)狀態(tài)的遷移、任務(wù)控制模塊、內(nèi)核中各種隊列模式、算法調(diào)度以及內(nèi)核時間等都是由任務(wù)管理負責(zé)；在后臺管理節(jié)點內(nèi)所有用戶的功能都是由用戶管理來負責(zé)調(diào)度的，它的任務(wù)包括用戶交互接口的提供、管理以及識別用戶的身份，為每個客戶去建立用戶程序，對每個用戶的使用情況進行計費處理。從技術(shù)、組織以及管理層面角度出發(fā)，合理地運用安全管理分析手段可以解決、甚至消除各種不安全因素，一些事故的發(fā)生就會被很好地預(yù)防，在一些容易出現(xiàn)的安全事故方面，例如：身份驗證、訪問權(quán)限、綜合防護以及安全審計等，都可以有效地降低發(fā)生事故的概率。

以上述體系結(jié)構(gòu)為基礎(chǔ)，我們可以將云計算的實現(xiàn)機制分類三大類，即虛擬化機制、海量數(shù)據(jù)分布式存儲管理機制以及分布式計算機制。將物理資源進行抽象處理，之后將抽象處理后的資源進行映射以及呈現(xiàn)，這樣就會使物理資源隱藏在后臺，統(tǒng)一的設(shè)備使用模型被上層系統(tǒng)所提供，這樣一個過程就是虛擬化機制的體現(xiàn)。海量數(shù)據(jù)分布式存儲管理機制是用來存儲數(shù)據(jù)的，分布式存儲方式被它采用去對大量的數(shù)據(jù)進行存儲，數(shù)據(jù)的安全性以及可靠性是通過冗余存儲的方式來實現(xiàn)的。將一個規(guī)模宏大的應(yīng)用程序劃分成若干個并且可以平行處理的子程序，這個過程就是分布式計算的機制，它是以互聯(lián)網(wǎng)技術(shù)為基準，利用多個計算機分別計算生成的子程序，最后對所有子程序的結(jié)果進行分析整合得出最終的結(jié)論。

4 私有云的安全性

4.1 私有云的安全問題

云計算技術(shù)的基礎(chǔ)都是以某個應(yīng)用管理程序為載體。計算以及其相關(guān)的安全性威脅與傳統(tǒng)的安全工具可以通過管理程序?qū)⑺鼈兺耆馗綦x開，這樣網(wǎng)絡(luò)通信中一些不合適的或者惡意的程序包就會被檢測出來。如果虛擬機處于同一臺服務(wù)器中，那么它們通過管理程序中的通訊功能就可以進行無障礙的溝通，在虛擬機之間數(shù)據(jù)包可以進行無障礙地傳送，無須經(jīng)過物理網(wǎng)絡(luò)流程，物理網(wǎng)絡(luò)中的通訊流量可以通過安裝的安全設(shè)備被檢測計算出來。但是虛擬機也存在一定弊端，一旦一臺虛擬機被攻擊遭到破壞，那么這臺虛擬機會將危險源傳送給別的虛擬機，整個系統(tǒng)的防護措施是不會察覺到危險源的存在。也就是說，一個危險的應(yīng)用程序能夠?qū)ζ渌摂M機造成攻擊破壞，客戶所用的安全措施對危險程序是完全沒有辦法的，所以，私有云的使用還是存在一定的安全隱患的。

4.2 私有云安全框架的構(gòu)成

多種方式的服務(wù)形式都可以通過云服務(wù)來提供，上下文情景對云安全框架的解決方案起決定性的作用。所以，以云應(yīng)用架構(gòu)為基礎(chǔ)，方案架構(gòu)的解決可以適應(yīng)這些安全的顧慮，同時安全控件被建立。用戶以及云服務(wù)提供商需要共同負責(zé)公有云的云安全，但是在私有云的使用方面，云平臺的安全狀況需要用戶自己進行管理，云服務(wù)提供商不會代替用戶去管理私有云的平臺，他們只會負責(zé)公共基礎(chǔ)設(shè)施的安全，所以，要想使私有云的安全性能更高，一下四個方面的安全措施需要得到保證：

（1）整體的運行系統(tǒng)必須保證絕對的安全性；

（2）私有云上的系統(tǒng)信息必須確保其安全性；

（3）在每個服務(wù)器之間的信息傳播途徑必須安全；

（4）使用網(wǎng)絡(luò)的信息內(nèi)容要保證安全性。

與公有云相比，在安全技術(shù)方面，私有云的組成也是一樣的，中段以及云端兩部分組成了私有云的安全框架。

4.2.1 私有云的終端構(gòu)成

終端可以分為兩種類型：

（1）終端是一種云安全設(shè)備，它可以負責(zé)采集數(shù)據(jù)。它是一種采集能力的體現(xiàn)，通過API技術(shù)與沙箱技術(shù)的結(jié)合，多文件、程序行為以及關(guān)聯(lián)數(shù)據(jù)都可以被提供。例如：在Windows終端上，瀏覽器會被API Hook技術(shù)監(jiān)控，通過這種技術(shù)，用戶下載的執(zhí)行文件以及利用系統(tǒng)漏洞運行的惡意代碼、用戶訪問過的URL等信息都可以被采集到，未知漏洞的運行程序可以通過關(guān)聯(lián)分析被發(fā)現(xiàn)。數(shù)據(jù)支持會被提供，這樣就會為后續(xù)制定的防御策略和追蹤威脅來源提供一定的幫助。

（2）終端也可以被看作是一種云安全軟件，它可以負責(zé)安全防御以及威脅處理。多層次多維度的安全策略會被實現(xiàn)通過云查殺技術(shù)與API監(jiān)控技術(shù)的結(jié)合。例如：防火墻處于云安全設(shè)備中，一旦管理員發(fā)現(xiàn)危險源，那么私有云的安全平臺就會將危險源認定為不可信任的信息，同時對它進行攔截處理，在計算機上就會讓該程序停止運行，這樣安全防御的目的就被達到。在用戶使用過程中，同一個終端充當多個角色的情形經(jīng)常被遇到。

4.2.2 私有云安全框架的特征

私有云安全框架具有以下特征：

（1）不依靠黑名單的威脅防御能力可以被提供，基于企業(yè)內(nèi)部基本穩(wěn)定的軟件生態(tài)系統(tǒng)，私有云可以形成分級別的自定義安全基準線。原本只能依靠黑名單防護的泛安全邏輯可以轉(zhuǎn)變成精確安全邏輯，這個轉(zhuǎn)變過程是依靠自定義的安全基準線來實現(xiàn)的。

（2）云安全軟件監(jiān)控系統(tǒng)得到提升，網(wǎng)內(nèi)新產(chǎn)生的程序、軟件以及數(shù)據(jù)就可以被隨時的發(fā)現(xiàn)，實時性功能就會得到很好地體現(xiàn)。

（3）鑒定系統(tǒng)采用多級別多維度文件分析形式，多種靜態(tài)、動態(tài)文件被結(jié)合，這樣就可以提供可靠的綜合依據(jù)，用這個依據(jù)來判定文件是否安全可靠。

（4）可以隨時去評估威脅風(fēng)險，網(wǎng)內(nèi)的威脅風(fēng)險的變化反饋可以被實時地進行，它是通過各種云安全設(shè)備來實現(xiàn)的，這些云安全設(shè)備包括了客戶端的軟件終端、以云安全技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)檢測設(shè)備以及移動檢測設(shè)備等。

（5）依據(jù)威脅評估的結(jié)論以及用戶對資產(chǎn)價值的預(yù)測結(jié)果分析，用戶可以被提供一些安全防御與威脅處置策略的制定權(quán)利以及處理方案。如果用戶對非核心價值資產(chǎn)關(guān)注過多，那么就會浪費大量的人力以及物力，所以一旦減少這種不必要的關(guān)注，人力物力資源就會被大量地節(jié)省，成本就會被大幅度地降低。

4.3 企業(yè)私有云平臺安全框架建立的必要性

近些年來，企業(yè)的管理方向逐漸地向信息化方向發(fā)展，企業(yè)自身都會非常重視自己的知識產(chǎn)權(quán)以及商業(yè)機密的保護，所以，新的網(wǎng)絡(luò)安全問題就會被提出，這些要求都是針對企業(yè)自身網(wǎng)絡(luò)環(huán)境的安全性提出的。一旦建立企業(yè)自身的私有云計算平臺，傳統(tǒng)網(wǎng)絡(luò)維護以及安全防御的限制就會被突破，這樣可空性良好的信息終端安全運行維護系統(tǒng)就會被成功地建立，從真正意義上，使企業(yè)業(yè)務(wù)網(wǎng)絡(luò)實現(xiàn)一體化的威脅監(jiān)控流程，在整個流程中發(fā)現(xiàn)、評估、處置以及審計都包含在這個整體中，重要的保障體系被提供用來保證信息系統(tǒng)的穩(wěn)定運行。

5 結(jié)束語

在本論文中，云計算技術(shù)的應(yīng)用背景以及應(yīng)用現(xiàn)狀被詳細地論述，企業(yè)私有云平臺建立的必要性也被闡明，私有云安全的完整意義被提出，通過私有云安全特征的分析，提出了企業(yè)私有云安全架構(gòu)的設(shè)計。

參考文獻

[1]白妙青.云計算技術(shù)在廣播電視網(wǎng)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2013，36（11）：142-144.

[2]林曉鵬.云計算以及關(guān)鍵技術(shù)問題[J].現(xiàn)代電子技術(shù)，2013，36（12）：67-70.

[3]Groves D I，et al.Orogenetic gold deposits：a proposed classification in the context of their crustal distribution and relationship to other gold deposit types[J].Ore Geology Review，1998，13（06）：7-27.

作者簡介

李鐵（1982-），男，河南省沁陽市人。碩士學(xué)位?，F(xiàn)為中國石化銷售有限公司陜西石油分公司工程師。研究方向為網(wǎng)絡(luò)與信息安全、信息運維管理。

作者單位

中國石化銷售有限公司陜西石油分公司 陜西省西安市 710003