黎春武 徐凌魁

（廣東省交通運(yùn)輸檔案信息管理中心 廣東省廣州市 510101）

云數(shù)據(jù)中心作為傳統(tǒng)IDC 服務(wù)的延伸和發(fā)展，為完全虛擬化IT 基礎(chǔ)設(shè)施、模塊化程度較高、自動(dòng)化程度較高、具備較高綠色節(jié)能程度的新型數(shù)據(jù)中心，可通過(guò)資源集約化實(shí)現(xiàn)最大程度的動(dòng)態(tài)資源調(diào)配。近年來(lái)，隨著云數(shù)據(jù)中心的發(fā)展，安全管理平臺(tái)成為了云數(shù)據(jù)中心能否可靠運(yùn)行的基礎(chǔ)支撐。云數(shù)據(jù)中心安全管理中心平臺(tái)在設(shè)計(jì)和開發(fā)方面有了很大的突破和創(chuàng)新，在網(wǎng)絡(luò)安全建設(shè)領(lǐng)域中占據(jù)著舉足輕重的地位，不僅有利于更好地管理和控制網(wǎng)絡(luò)相關(guān)設(shè)備，還有利于科學(xué)高效地分析網(wǎng)絡(luò)安全事件，確保計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全性和可靠性，從而為網(wǎng)絡(luò)用戶及時(shí)了解和掌握當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀提供有力的保障，此外，還盡可能簡(jiǎn)化安全設(shè)備部署流程，極大節(jié)省了平臺(tái)的維護(hù)成本。因此，加強(qiáng)對(duì)云計(jì)算系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)是相關(guān)軟件開發(fā)人員必須思考和解決的問(wèn)題。

1 系統(tǒng)需求分析與整體設(shè)計(jì)

隨著虛擬化技術(shù)的不斷發(fā)展和應(yīng)用，云計(jì)算技術(shù)在模擬物理服務(wù)器和提高虛擬化服務(wù)水平等方面體現(xiàn)出非常重要的應(yīng)用價(jià)值[1]，因此，在虛擬化技術(shù)和云計(jì)算技術(shù)的具體應(yīng)用下，加強(qiáng)對(duì)系統(tǒng)需求的科學(xué)分析和整體設(shè)計(jì)顯得尤為重要。

1.1 系統(tǒng)需求分析

1.1.1 系統(tǒng)功能需求

云計(jì)算時(shí)代背景下，虛擬化網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜和多樣，這對(duì)我國(guó)云數(shù)據(jù)中心安全管理中心平臺(tái)的開發(fā)需求提出了更高的要求，旨在滿足云數(shù)據(jù)中心的不斷變化。云數(shù)據(jù)中心安全管理中心平臺(tái)需求主要包含以下幾點(diǎn)：

（1）虛擬化管理計(jì)算存儲(chǔ)資源，該需求主要體現(xiàn)在識(shí)別虛擬設(shè)備，檢測(cè)虛擬設(shè)備的安全運(yùn)行狀態(tài)，動(dòng)態(tài)擴(kuò)展數(shù)據(jù)安全性和可靠性。

（2）動(dòng)態(tài)遷移虛擬資源。該需求主要體現(xiàn)合理控制虛擬設(shè)備內(nèi)部數(shù)據(jù)，自動(dòng)配置網(wǎng)絡(luò)相關(guān)設(shè)備參數(shù)，與其他軟件定義網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸和數(shù)據(jù)交換。

（3）利用數(shù)據(jù)中心控制數(shù)據(jù)流向，該需求主要體現(xiàn)在不斷提升數(shù)據(jù)流量，動(dòng)態(tài)性擴(kuò)展相關(guān)節(jié)點(diǎn)。

（4）部署并實(shí)施下一代網(wǎng)絡(luò)。該需求主要體現(xiàn)在全面監(jiān)管相關(guān)混合流量，重視對(duì)軟件定義網(wǎng)絡(luò)的穩(wěn)定、可靠、安全處理。

云數(shù)據(jù)中心安全管理中心平臺(tái)的主要功能需求包括以下幾點(diǎn)：

（1）具有監(jiān)控相關(guān)混合數(shù)據(jù)流功能。

（2）能夠?qū)崿F(xiàn)對(duì)平臺(tái)安全、用戶訪問(wèn)、安全事件、網(wǎng)絡(luò)風(fēng)險(xiǎn)、安全事件等方面的管理。

（3）能夠科學(xué)識(shí)別虛擬機(jī)、對(duì)相關(guān)子系統(tǒng)進(jìn)行相應(yīng)的部署和遷移，同時(shí)，還能在有效結(jié)合安全策略的基礎(chǔ)上，利用網(wǎng)絡(luò)設(shè)備制定和共享安全策略。

（4）利用交換設(shè)備不斷修正、優(yōu)化和完善安全策略，實(shí)現(xiàn)多個(gè)虛擬機(jī)的有效互動(dòng)和連接，從而進(jìn)一步保證虛擬交互數(shù)據(jù)的真實(shí)性、可靠性和安全性，此外，還要采用安全認(rèn)證的方式對(duì)虛擬機(jī)進(jìn)行相關(guān)處理，從而確保數(shù)據(jù)信息傳輸?shù)陌踩浴?/p>

（5）采用信息采集的方式，全面分析、取證和評(píng)估該平臺(tái)的運(yùn)行性能。

（6）能夠在第一時(shí)間內(nèi)對(duì)安全事件進(jìn)行實(shí)時(shí)監(jiān)控和處理，確保安全事件策略的科學(xué)性和合理性。

1.1.2 系統(tǒng)性能需求

對(duì)于云數(shù)據(jù)中心安全管理中心平臺(tái)而言，主要用于對(duì)數(shù)據(jù)中心的建設(shè)，因此，對(duì)該平臺(tái)的性能需求提出了更高的要求，旨在確保網(wǎng)絡(luò)設(shè)備的豐富性和多樣性，數(shù)據(jù)流的龐大性。該平臺(tái)主要的性能需求主要體現(xiàn)在以下幾個(gè)方面：

（1）能夠很好地支持不少于1000 種類型的網(wǎng)絡(luò)設(shè)、數(shù)據(jù)庫(kù)、主機(jī)服務(wù)器等，同時(shí)，還可以全面檢測(cè)和管理虛擬設(shè)備狀態(tài)，確保虛擬設(shè)備能夠正常、穩(wěn)定、可靠、安全地運(yùn)行。

（2）該平臺(tái)能夠?yàn)閷?shí)時(shí)分析40G 流量提供相應(yīng)的運(yùn)行支持。

（3）能夠支持不少于1000 個(gè)的虛擬網(wǎng)絡(luò)。

（4）能夠很好地支持不少于15 種類型組件，如用戶管理組件、虛擬設(shè)備管理組件等。

1.2 平臺(tái)總體設(shè)計(jì)

1.2.1 平臺(tái)設(shè)計(jì)思路及原則

該平臺(tái)在設(shè)計(jì)的過(guò)程中，相關(guān)軟件開發(fā)人員必須嚴(yán)格遵循以下幾個(gè)原則：

（1）“三統(tǒng)一”原則。必須按照該平臺(tái)開發(fā)相關(guān)標(biāo)準(zhǔn)和要求，將開發(fā)規(guī)劃、開發(fā)標(biāo)準(zhǔn)進(jìn)行有效統(tǒng)一和協(xié)調(diào)，從而確保該平臺(tái)能夠順利開發(fā)并成功上線[2]。

（2）“一體化”原則。在應(yīng)用網(wǎng)絡(luò)信息安全技術(shù)的基礎(chǔ)上，對(duì)該平臺(tái)的開發(fā)流程、知識(shí)庫(kù)搜索引擎和信息安全流程進(jìn)行統(tǒng)一規(guī)范，從而確保信息知識(shí)的安全傳輸和高效共享。

（3）“先進(jìn)性”原則。相關(guān)軟件開發(fā)人員要在遵循經(jīng)濟(jì)性原則的前提下，盡可能提高現(xiàn)有資源的利用率，確保投資的科學(xué)性和合理性，同時(shí)，還要在保證開發(fā)質(zhì)量的基礎(chǔ)上，最大限度地節(jié)約開發(fā)成本[3]，從而實(shí)現(xiàn)社會(huì)效益和經(jīng)濟(jì)效益的最大化。

（4）“易用性”原則。要求相關(guān)軟件開發(fā)人員要采用模塊化設(shè)計(jì)方式，確保平臺(tái)界面的友好性、簡(jiǎn)單性和易用性，為管理員更加直觀、形象地操作和管理平臺(tái)提供有力的保障。

1.2.2 云數(shù)據(jù)中心安全管理平臺(tái)架構(gòu)

要想保證該平臺(tái)功能強(qiáng)大，通用性強(qiáng)，相關(guān)軟件開發(fā)人員要重視對(duì)該平臺(tái)架構(gòu)的科學(xué)設(shè)計(jì)。該平臺(tái)架構(gòu)設(shè)計(jì)主要體現(xiàn)在以下幾個(gè)方面：

（1）要從用戶身份管理和用戶訪問(wèn)管理入手，在保證該平臺(tái)網(wǎng)絡(luò)環(huán)境運(yùn)行安全的前提下，確保數(shù)據(jù)信息傳輸和業(yè)務(wù)應(yīng)用的安全性，從而最大限度地滿足云計(jì)算數(shù)據(jù)中心的安全接入、管理和應(yīng)用等相關(guān)安全需求[4]，同時(shí)，還要利用可視化界面為網(wǎng)絡(luò)用戶實(shí)時(shí)展現(xiàn)系統(tǒng)狀態(tài)、系統(tǒng)性能、系統(tǒng)指標(biāo)等信息。

（2）該平臺(tái)要充分利用虛擬化技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)虛擬化功能，從而確保云數(shù)據(jù)中心向虛擬化方向不斷發(fā)展。

（3）對(duì)于虛擬化設(shè)備而言，相關(guān)軟件開發(fā)人員要重視對(duì)其安全管理，通過(guò)實(shí)時(shí)識(shí)別和檢測(cè)虛擬機(jī)運(yùn)行狀態(tài)，確保數(shù)據(jù)量傳輸和共享的可靠性和安全性。

（4）對(duì)用戶身份和訪問(wèn)權(quán)限進(jìn)行統(tǒng)一設(shè)置和管理，并支持多種身份認(rèn)證方式的應(yīng)用，同時(shí)，還要采用安全檢測(cè)的方式，對(duì)接入的設(shè)備進(jìn)行全面檢查和維護(hù)，以保證接入設(shè)備運(yùn)行性能的可靠性、穩(wěn)定性和安全性，此外，還要根據(jù)接入設(shè)備的實(shí)際運(yùn)行狀態(tài)，科學(xué)合理地分配和管理網(wǎng)絡(luò)訪問(wèn)權(quán)限。

2 系統(tǒng)關(guān)鍵模塊設(shè)計(jì)與實(shí)現(xiàn)

平臺(tái)在開發(fā)的過(guò)程中，重點(diǎn)應(yīng)用Web 認(rèn)證方式、短信認(rèn)證方式等各種認(rèn)證方式，從而實(shí)現(xiàn)網(wǎng)絡(luò)用戶的身份認(rèn)證，同時(shí)，還要根據(jù)網(wǎng)絡(luò)用戶身份的差異性，設(shè)置不同的訪問(wèn)權(quán)限，并對(duì)這些不同的訪問(wèn)權(quán)限進(jìn)行安全管理和控制，從而確保網(wǎng)絡(luò)環(huán)境的可靠性和安全性。為了實(shí)現(xiàn)以上目標(biāo)，相關(guān)軟件開發(fā)人員要重視對(duì)系統(tǒng)關(guān)鍵模塊的設(shè)計(jì)與實(shí)現(xiàn)，進(jìn)一步修正、優(yōu)化和完善該系統(tǒng)的功能模塊，從而確保該系統(tǒng)功能完善，通用性強(qiáng)，從而為確保該系統(tǒng)具有更加廣闊的應(yīng)用前景發(fā)揮出重要作用。

2.1 身份及訪問(wèn)安全模塊設(shè)計(jì)及實(shí)現(xiàn)

2.1.1 身份及訪問(wèn)安全模塊功能分析

身份認(rèn)證是確保網(wǎng)絡(luò)安全的重要環(huán)節(jié)，同時(shí)，也是實(shí)現(xiàn)網(wǎng)絡(luò)現(xiàn)有資源充分利用以及網(wǎng)絡(luò)訪問(wèn)權(quán)限全面管理和控制的重要措施。只有通過(guò)身份認(rèn)證的網(wǎng)絡(luò)用戶才能有權(quán)限登錄和訪問(wèn)系統(tǒng)內(nèi)部數(shù)據(jù)信息，同時(shí)，系統(tǒng)會(huì)根據(jù)網(wǎng)絡(luò)用戶的身份信息，對(duì)訪問(wèn)資源進(jìn)行科學(xué)分配，然后，再提供相應(yīng)的安全策略，從而最大限度地提高網(wǎng)絡(luò)資源的利用率，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)資源的規(guī)范化、標(biāo)準(zhǔn)化管理。本模塊在實(shí)現(xiàn)的過(guò)程中，需要采用認(rèn)證安全接入的方式，利用接入層，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶身份信息的認(rèn)證，并在科學(xué)控制網(wǎng)絡(luò)用戶訪問(wèn)權(quán)限的基礎(chǔ)上，為網(wǎng)絡(luò)環(huán)境的凈化和保護(hù)提供有力的保障，從而保證該系統(tǒng)內(nèi)部業(yè)務(wù)流程的可靠性和網(wǎng)絡(luò)環(huán)境的安全性。

2.1.2 身份及訪問(wèn)安全模塊設(shè)計(jì)實(shí)現(xiàn)流程

對(duì)于身份及訪問(wèn)安全模塊而言，首先，相關(guān)軟件開發(fā)人員要采用多種類型的認(rèn)證方式，對(duì)身份認(rèn)證進(jìn)行接入、實(shí)現(xiàn)，同時(shí)，還要對(duì)網(wǎng)絡(luò)用戶登錄的設(shè)備進(jìn)行規(guī)范綁定，實(shí)時(shí)檢查主機(jī)設(shè)備可能存在的安全隱患，確保主機(jī)設(shè)備能夠正常、穩(wěn)定、可靠、安全地運(yùn)行，例如：采用強(qiáng)制修復(fù)的方式及時(shí)處理主機(jī)設(shè)備內(nèi)部的漏洞問(wèn)題。另外，系統(tǒng)還可以根據(jù)網(wǎng)絡(luò)用戶的身份信息和網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)行為進(jìn)行授權(quán)，同時(shí)，還要采用采集日志的方式，規(guī)范網(wǎng)絡(luò)訪問(wèn)行為，為后期安全管理系統(tǒng)提供重要依據(jù)和參考。

2.2 虛擬化識(shí)別遷移模塊設(shè)計(jì)與實(shí)現(xiàn)

2.2.1 虛擬機(jī)識(shí)別遷移模塊功能分析

為了滿足交換機(jī)虛擬化處理這一特殊需求，相關(guān)軟件開發(fā)人員要重視對(duì)虛擬機(jī)識(shí)別遷移模塊功能科學(xué)分析和實(shí)現(xiàn)，本模塊包含的主要功能有以下幾點(diǎn)：

（1）可以轉(zhuǎn)發(fā)虛擬機(jī)報(bào)文，并采用安全策略，確保虛擬機(jī)運(yùn)行的安全性和可靠性。

（2）可以在應(yīng)用安全策略的基礎(chǔ)上，實(shí)現(xiàn)相關(guān)路徑的劃分和配置，以保證網(wǎng)絡(luò)設(shè)備的安全性，滿足虛擬機(jī)的遷移需求。

（3）根據(jù)網(wǎng)絡(luò)用戶的訪問(wèn)需求，利用不同的物理主機(jī)，在保證以太網(wǎng)相關(guān)數(shù)據(jù)不變的情況下，實(shí)現(xiàn)虛擬機(jī)的有效遷移。

2.2.2 虛擬機(jī)識(shí)別遷移模塊設(shè)計(jì)實(shí)現(xiàn)流程

在數(shù)據(jù)中心建設(shè)的背景下，通過(guò)利用安全策略，實(shí)現(xiàn)虛擬機(jī)的高效遷移，可以確保數(shù)據(jù)信息傳輸和交換的真實(shí)性、可靠性和安全性。本模塊在實(shí)現(xiàn)的過(guò)程中，首先，需要根據(jù)虛擬機(jī)管理需求，對(duì)相應(yīng)的API 報(bào)告進(jìn)行接收，并對(duì)即將遷移的虛擬機(jī)進(jìn)行及時(shí)處理，經(jīng)過(guò)遷移的虛擬機(jī)到達(dá)新的設(shè)備后，會(huì)將自身的MAC 地址以對(duì)外的形式發(fā)送出去，此時(shí)，接入設(shè)備會(huì)對(duì)虛擬機(jī)發(fā)送到的MAC 地址進(jìn)行接收，并將其上傳到指定的安全管理平臺(tái)中，由安全管理平臺(tái)根據(jù)當(dāng)前網(wǎng)絡(luò)的具體位置信息，利用相關(guān)設(shè)備，重新配置安全策略，以保證網(wǎng)絡(luò)設(shè)備的運(yùn)行性能，然后，當(dāng)虛擬機(jī)在遷移的過(guò)程中出現(xiàn)設(shè)備關(guān)聯(lián)問(wèn)題時(shí)，安全管理平臺(tái)會(huì)采用重新下放安全策略的形式對(duì)這一關(guān)聯(lián)問(wèn)題進(jìn)行有效解決，最后，網(wǎng)絡(luò)設(shè)備在實(shí)現(xiàn)數(shù)據(jù)信息安全交換的同時(shí)，對(duì)安全策略重新執(zhí)行。

2.3 數(shù)據(jù)安全模塊設(shè)計(jì)與實(shí)現(xiàn)

數(shù)據(jù)安全包含的內(nèi)容主要體現(xiàn)在以下幾點(diǎn)，分別是事前預(yù)估、事中處理和事后反饋。因此，通過(guò)對(duì)安全數(shù)據(jù)庫(kù)的建立和完善，可以最大限度地保證網(wǎng)絡(luò)用戶數(shù)據(jù)信息的完整性、可靠性和安全性。此外，采用分析數(shù)據(jù)流量的方式，還可以對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的規(guī)劃、監(jiān)控和維護(hù)，以確保網(wǎng)絡(luò)環(huán)境的安全性和穩(wěn)定性，從而實(shí)現(xiàn)數(shù)據(jù)流的規(guī)范化、標(biāo)準(zhǔn)化管理。同時(shí)，還可以科學(xué)監(jiān)管日志內(nèi)容，對(duì)日志信息進(jìn)行全方位地存儲(chǔ)、接收和處理，提高日志管理水平，為網(wǎng)絡(luò)用戶帶來(lái)良好的用戶體驗(yàn)。本模塊在實(shí)現(xiàn)的過(guò)程中，需要以網(wǎng)絡(luò)設(shè)備利用為主，對(duì)數(shù)據(jù)流進(jìn)行采集和整理，同時(shí)，還要在采集會(huì)話信息的基礎(chǔ)上，確保數(shù)據(jù)庫(kù)信息的多樣性和豐富性。此外，為了保證網(wǎng)絡(luò)數(shù)據(jù)流處理的安全性，相關(guān)軟件開發(fā)人員還要重視對(duì)會(huì)話流量的管理和分析，以提高數(shù)據(jù)信息存儲(chǔ)的安全性。

3 結(jié)束語(yǔ)

綜上所述，對(duì)于云數(shù)據(jù)中心安全管理中心平臺(tái)而言，其基本模塊的設(shè)計(jì)、開發(fā)并成功上線，為用戶帶來(lái)了良好的體驗(yàn)，因此，深受廣大用戶的喜愛。為了方便后期對(duì)云數(shù)據(jù)中心安全管理中心平臺(tái)的維護(hù)和升級(jí)，需要相關(guān)軟件開發(fā)人員再接再厲，用更加優(yōu)雅的代碼擴(kuò)充更多使用的功能，從而為保證用戶正常、穩(wěn)定、安全的使用云數(shù)據(jù)中心安全管理中心平臺(tái)產(chǎn)生至關(guān)重要的影響。