1、基于勘探云平台安全技术的研究及应用 摘 要 随着云计算的发展,云计算的安全问题越来越受到关注。本文结合勘探开发研究院勘探云平台项目情况,全面分析云计算中与安全有关的各类问题及其解决方案,文中首先介绍了云计算的体系架构,接着重点介绍了勘探云平台的安全技术,最后阐述了通过对安全技术研究有效提高了勘探云平台的安全性。 下载 关键词 云计算安全;协同环境;用户认证与授权;数据安全 doi: 10.3969 / j.i 中图分类号 TP391; P62 文献标识码 A 文章编号 1673 - 0194( 2015) 07- 0177- 03 1 引 言 云计算技术目前仍在迅猛发展,新技术层出不穷,同时研
2、究院及油田公司等各研究单位需求各有不同。为了在未来能融合更先进的技术,并满足不同的需求,勘探云平台被设计为具有开放式的平台架构,能够方便地融合各种云计算技术,实现多样的功能,以满足未来升级和推 广的要求。在云计算环境中, 用户不再拥有基础设施的硬件资源,软件都运行在云中,业务数据也存储在云中,本文将对云计算所面临的诸多安全问题进行深入探讨。 2 云计算体系架构 勘探开发研究院勘探云平台目标是建立统一的登录门户,实现异地资源共享和异地协同工作。根据勘探科研生产现有的软硬件环境,规划以 DCV( Linux 平台)、 Citrix( Windows 平台)为基础组件,研发统一集成管理平台,实现勘探
3、协同 “ 云计算 ” 平台。云端用户通过管理系统和部署工具接入服务集群中,即云中。通过云完成海量计算和存储 业务,如图 1所示。 3 云计算安全技术研究 由于云计算独特的模式,最初是在企业内部网络运行的,并不对外开放,在设计之初没有太多考虑安全性问题,从而导致了现在云计算安全的一系列问题。从上到下可以归结为身份和访问安全,数据安全,网络、存储、服务器安全,物理安全几个方面的安全问题。若用户在包括互联网的任意地点通过统一门户获取所需资源,从上到下可依次采用用户认证与授权,数据隔离、加密及保护,网络隔离,灾备管理几个措施。如图 2 所示。 3.1 用户认证与授权 用户认证与授权旨在授 权合法用户进
4、入系统和访问数据,同时保护这些资产免受非授权用户的访问。 云计算的用户认证与授权措施需要具备如下的能力: ( 1) 身份管理。在用户身份生命周期中,有效管理用户身份和访问资源的权限。 ( 2) 访问授权。访问授权应该在用户生命周期内提供及时的访问,从而加强安全和保护 IT 资源。 ( 3) 基于 LDAP 的统一身份认证完成将分散的用户和权限资源进行统一、集中的管理,实现用户单点登录就可以访问多个系统。 ( 4) 管理分布式环境下的用户,包括能够为用户配置一 个或多个角色。 在原有勘探协同环境中,不同的专业软件需要不同的账号,而同一个项目组的科研人员在使用一款专业软件时要使用同一个账号,这不仅
5、很不方便,而且在权限管理和数据安全上有较大的隐患。在勘探协同研究云平台中,实现了用户和软件的跨平台统一管理,每位科研人员均有自己的唯一账号,并可通过该账号访问其有权限使用的软件和数据资源。 针对两种操作系统采用了不同的专业软件授权技术: ( 1)云应用管理台建立与 NIS 系统一一对应的账号,并与 NIS 系统的账号实现映射,被授权的云应用管理台用户以 Linux系统内的 NIS账号身份访问专业软件。 ( 2)云应用管理台建立与 AD 系统一一对应的 AD 组,并与 AD 系统的 AD组实现映射,被授权的云应用管理台用户以 AD 组成员的身份访问专业软件。 3.2 数据安全 在勘探协同研究云平
6、台中,应用服务器和存储集中存放在服务器机房,双网段的设置保证了数据交换仅在机房内部进行,客户端与服务器之间的通信数据只有经过压缩的屏幕显示,有效防止了数据外泄。同时改变了原有的用户管理模式,每个科研人员都有自己唯一的账号,增强了用户账号的安全性。 3.2.1 数据隔离 云计算系统对于客户数据的存放可采用两种方式实现,即提供统一共享的存储设备或者单独的存储设备。目前各个部门都有单独的存储,但后续规划是建成统一的数据存储系统。这就需要存储自身的安全措施,比如存储映射等功能可以确保数据的隔离性,它基于共享存储的方式,能够节约存储空间并且统一管理。 3.2.2 数据保护 对于存储在云计算平台中的数据,
7、可采取快照、备份和容灾等重要保护手段确保客户重要数据的安全。对于数据备份,可通过现有的企业级备份软件或者存储备份功能实现,可按照用户设 定的备份策略对其文件和数据库进行自动备份及恢复,包括在线和离线备份,如图 3所示。一般数据库备份推荐一周一次全备, 根据实际情况配置差分增量备份, 差分增量适合数据量变化多的数据库,恢复时需要的恢复次数较多。 3.3 网络安全 在进行勘探云平台建设的过程中,网络虚拟化技术是其中的一个必要环节和组成部分。利用网络虚拟化技术可以比较好地提供网络链路安全和网络隔离的解决方案,不仅可以提供高带宽和低延时,还能提供负载均衡和高强度的冗余性,为云平台业务应用提供可靠的网络
8、环境保障。 3.3.1 网络链路安全 网络链路是一个端到端的通路,一边是服务器端,一边是交换机端。在服务器端应用端口虚拟化连接技术,可以将实际的物理网络端口,按照需求通过虚拟化连接管理配置到各个不同的 VLAN 端口中,在与交换机的链接上,可通过端口汇聚技术及协议实现高带宽、负载均衡以及多链路冗余,在端对端配置的过程中,必须遵照相互可通行的网络协议。应用网络虚拟化技术后不但可以满足勘探云平台的网络速度的要求,同时也提供了可靠的网络链路保障。如图 4 所示。 3.3.2 网络隔离 针对网络、存储和服务器安全问题 ,采用网络隔离技术,网络隔离提供数据传输的安全性。从网络的角度,业务隔离必须要从接入
9、层能够将各业务的服务器分开。 ( 1) VLAN。 VLAN 主要用在研究院内部,用于隔离不同的应用和客户程序,确保一个客户无法获取其他用户的网络数据,但是网络的管理员可以看到所有的网络数据。因此,这种方法只有隔离性,没有保证私密性。 为了既能满足研究院外网络访问勘探云平台的要求,又要最大限度地保障勘探数据的安全性,勘探云平台设计运行在内网( 192.168.X.X 网段用于高速内部数据交换)和外网( 10.72.x.x 网段用于外部平台访问)两个不同网段。数据库服务器、集中存储系统,关键性管理服务器仅配置内部网段。 ( 2) VPN。 VPN 又称虚拟专用网络,是将多台分布的计算机用一个私有
10、的经过加密的网络连接起来,形成一个私有的网络。当用户通过数据网络访问云服务时,对链路加密是保证用户数据不被非法窃取的必要手段。 VPN 是通用的链路加密方式,在云计算环境中, SSL 是被广泛使用的 VPN 技术,是一种常见的传输安全技术,主要用在浏览器和服务器之间的通信上,比较适合点对点的安全保障。 3.4 灾备管理 遇到 UPS 无法供电、机房失火、地震等极端情况造成的数据丢失和业务停止,云计算平台应该可以切换到其他备用站点以继续提供服务。对于一个云计算服务的用户,可以选择不同地点的中心机房提供服务,这样即使服务停止用户也可以保留自己的数据,并继续运行自己的业务。 4 总 结 云计算的优势
11、不可忽视,云计算的发展趋势不可阻挡,通过对上述安全技术研究与应用有效提高了勘探云平台的安全性。今后研究院将整合全院的科研硬件资源,形成具有高性能和高可靠性的研究院统一科研云平台,实现全部计算资源共享和随需调度,建立较为完整 的数据资源管理体系,并可集中管理所有的软件许可资产,这必将使云计算面临更多的安全风险。目前业界对云计算安全的解决并没有统一的标准和解决方法,我们只有不断地深入研究云计算安全技术,来确保勘探云平台安全高效地运行。 主要参考文献 徐立冰,腾云 .云计算和大数据时代网络技术揭秘 M.北京:人民邮电 出版社, 2013. 聂元铭,安靖,文晖 .云计算信息安全风险探究 J.信息网络安全,2011 ( 10) . 张天雷,徐飞汀 .云计算技术在石油勘探领域中的研究与 实践 J.高性 能计算机技术, 2010( 6) .
