1.研究背景

　　云計算是網格計算、分布式計算、并行計算、效用計算、網絡存儲、虛擬化、負載均衡、等傳統計算機技術和網絡技術發展融合的產物。借助SaaS、PaaS、IaaS、MSP 等先進的商業模式把這強大的計算能力分布到終端用戶手中。云計算的核心思想，是將大量用網絡連接的計算資源統一管理和調度，構成一個計算資源池向用戶按需服務。

　　隨著云計算逐漸成為未來發展的趨勢，得到了當前業界乃至全社會的關注，被廣泛認為是新一代信息技術變革和業務應用模式變革的核心。作為IT基礎設施、信息服務的交付和使用模式及基于互聯網的新型計算模式，云計算使信息技術更加簡單、易用，使知識普及成本大幅下降，使人們能夠更好地獲取和使用知識，能夠更好地支撐工作、生活。云計算的出現是傳統IT 領域和通信領域技術進步、需求推動和商業模式變化共同促進的結果，具有以網絡為中心、以服務為提供方式、高擴展性和高可靠性以及資源使用虛擬化、透明化等重要特征。隨著云計算技術及理念的深入應用，利用云計算強大的服務能力提供安全服務(即云安全)越來越成為安全業界關注的重點，同時云計算技術及理念也對傳統安全技術及應用產生了深遠的影響。

　　2.云安全服務的關鍵技術

　　當前云計算在資源共享和分配上體現的是一個整體的獨立系統，是以固定數量的資源或既定的解決方案為用戶提供服務，其業務流程相對比較固定。隨著網絡技術的發展，以及基于服務架構(ServiceOriented Architecture，SOA) 思想的提出，網絡安全設備的共享和應用過程應該是基于服務而形成的，對如何發布資源以及如何搜索資源開展了大量的工作，但是如何實現資源和任務在接口、功能、流程、語義、服務質量等方面的智能匹配、尋租、動態組合等，則缺乏有效的解決手段。正因為目前的安全云技術沒有很好地解決網絡安全設備的動態共享與智能分配、終端物理設備智能嵌入式接入等問題，使其推廣應用和發展受到了限制。

　　安全云涉及的關鍵技術大致可以分為: 模式、體系架構、標準和規范；云端化技術；云服務的綜合管理技術；安全云業務管理模式與技術。

　　(1) 安全云模式、體系架構、相關標準及規范

　　主要是從系統的角度出發，研究安全云平臺的結構、組織與運行模式等方面的技術，同時研究支持實施安全云的相關標準和規范。包括：支持多用戶的、商業運行的、面向服務的安全體系架構；安全云應用模式下設備的交互、共享、互操作模式；安全云平臺的相關標準、協議、規范等, 如云服務接入標準、云服務描述規范、云服務訪問協議等。

　　(2) 云端化技術

　　主要研究安全云服務提供端各類安全設備的嵌入式云終端封裝、接入、調用等技術, 并研究安全服務請求端接入安全云平臺、訪問和調用安全云平臺中服務的技術, 包括：支持參與安全云的底層終端物理設備智能嵌入式接入技術、云計算互接入技術等；云終端設備服務定義封裝、發布、虛擬化技術及相應工具的開發；云請求端接入和訪問云制造平臺技術，以及支持平臺用戶使用安全云平臺的技術；物聯網實現技術等。

　　(3) 云服務綜合管理技術

　　主要研究和支持云服務運營商對云端服務進行接入、發布、組織與聚合、管理與調度等綜合管理操作,包括: 云提供端資源和服務的接入管理，如統一接口定義與管理、認證管理等；高效、動態的云服務組建、聚合、存儲方法；高效能、智能化安全云服務搜索與動態匹配技術；安全云任務動態構建與部署、分解、資源服務協同調度優化配置方法；安全云服務提供模式及推廣，云用戶(包括云提供端和云請求端) 管理、授權機制等。

　　3.系統實現

　　本文的主要研究內容包括如何利用藍盾網絡安全云防護平臺基于利用云計算平臺，在藍盾現有的綜合網絡安全設備和系統的基礎上，實現統一威脅管理云服務、統一終端管理云服務、以及統一策略管理云服務，體現云計算環境在網絡安全，特別是在外網防御方面的優勢。同時，本文利用了基于同態hash（homomorphic hashing）的數據持有性證明方法、虛擬網絡隨動審計、基于通用的認證和密鑰管理框架、可證明安全的高效認證密鑰協商協議、自主可控的細粒度云數據共享訪問控制等手段來保護用戶的隱私和數據安全，消除用戶對于云計算的疑慮，保障云平臺的穩定運行。

　　藍盾網絡安全云防護平臺架構包括有網絡安全基礎設施層IaaS (Security Infrastructure as a Service)、網絡安全應用平臺層PaaS (Security Platform as a Service)，以及網絡安全服務層SaaS(Security Software as a Service)。其中：

圖1 藍盾云安全平臺架構

　　(1)網絡安全基礎設施層IaaS 提供基礎的存儲資源和計算資源，通過開源Xen 云計算虛擬基礎設施系統構造云基礎設施層，實現硬件資源的虛擬化，并且以虛擬機為基礎單位對資源進行分配、調度和管理等。Xen 虛擬化了基礎設施資源，實現了基礎設施資源的網絡化交付。

　　(2)在IaaS 的基礎上，通過設計相應的服務接口，實現基礎和共性功能，構造網絡安全應用平臺層PaaS。PaaS 基于開源的Hadoop 云計算應用平臺，分別提供HDFS 分布式存儲以及Map/Reduce 并行計算的支持，為各個創新軟件/服務的共性需求提供支持，包括海量數據存儲和備份、海量安全信息的采集、分析和監控、協同防御的基本實現。

　　(3)在PaaS 的基礎上，通過Web Service 接口，以網絡服務的形式提供各類直接面向應用的軟件服務，包括云網站防護、云風險評估、云審計和云防火墻等等軟件服務。

　　(1)網絡安全基礎設施層

　　網絡安全基礎設施層IaaS 提供基礎的存儲資源和計算資源，通過Xen 云計算虛擬基礎設施系統構造云基礎設施層，實現硬件資源的虛擬化，并且以虛擬機為基礎單位對資源進行分配、調度和管理等。Xen虛擬化了基礎設施資源，實現了基礎設施資源的網絡化交付。

　　Xen 是云虛擬化基礎設施平臺，該云虛擬化基礎設施平臺完成對硬件資源的虛擬化以及提供統一的平臺對資源進行管理和訪問。在設備中引入虛擬化的概念，使得一個物理設備可以虛擬化為多個設備。同時各個虛擬設備之間的環境有嚴格的隔離；本項目支持用戶在任意位置、使用各種終端獲取應用服務。用戶請求的資源來自“云”，而不是固定的有形的實體。應用在“云”中某處運行，用戶無需了解應用運行的具體位置。只需要一臺筆記本或者一個手機，就可以通過網絡來實現安全云服務。

圖2 Xen 應用體系

　　Xen 實現了下列主要功能：①硬件資源的虛擬化。通過對硬件資源進行虛擬化, Xen 能夠在不同的硬件環境中虛擬出一致的環境和平臺，以簡化軟件的研發和管理。②硬件資源的多租戶共享和服務的安全隔離。Xen 通過虛擬化，對硬件資源進行分割、隔離和共享，可以實現單一硬件上的多組用戶共享，提升硬件資源的利用率。同時，虛擬化過程形成的嚴格隔離區域，為各個服務提供安全的運行區域。③資源的池化集約式管理。Xen 對把硬件資源虛擬化后，形成一個統一的大資源池。Xen 集中管理和分配硬件資源，最大化資源的利用率。④實現了集約式產品研發模式。傳統的煙囪式研發需要從硬件平臺開始進行產品研發。在整合Xen 平臺后，產品研發可以直接從產品的應用模塊開始，而無需在考慮軟硬件平臺等問題。

　　(3)網絡安全應用平臺層

　　在網絡安全應用平臺層，通過Hadoop 平臺，為網絡安全服務層提供多種共性服務，例如網站安全云防護、云防火墻、云安全風險評估，云安全策略管理，云安全協同防御，云安全流量管理等。

　　4.結論

　　本文主要探索了云安全服務所需要的關鍵技術，在藍盾現有的綜合網絡安全設備和系統的基礎上，設計了三層云安全服務架構，實現統一威脅管理云服務、統一終端管理云服務、以及統一策略管理云服務，體現云計算環境在網絡安全，特別是在外網防御方面的優勢。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：一種云安全服務架構的設計與實現

本文網址：http://m.guhuozai8.cn/html/consultation/10839512781.html