基于勘探云平台安全技术研究及应用.docVIP

基于勘探云平台安全技术研究及应用 　　[摘 要] 随着云计算的发展，云计算的安全问题越来越受到关注。本文结合勘探开发研究院勘探云平台项目情况，全面分析云计算中与安全有关的各类问题及其解决方案，文中首先介绍了云计算的体系架构，接着重点介绍了勘探云平台的安全技术，最后阐述了通过对安全技术研究有效提高了勘探云平台的安全性。 　　[关键词] 云计算安全；协同环境；用户认证与授权；数据安全 　　doi：10.3969 / j.issn.1673 - 0194.2015.07.093 　　[中图分类号] TP391；P62 [文献标识码] A [文章编号] 1673 - 0194（2015）07- 0177- 03 　　1 引 言 　　云计算技术目前仍在迅猛发展，新技术层出不穷，同时研究院及油田公司等各研究单位需求各有不同。为了在未来能融合更先进的技术，并满足不同的需求，勘探云平台被设计为具有开放式的平台架构，能够方便地融合各种云计算技术，实现多样的功能，以满足未来升级和推广的要求。在云计算环境中， 用户不再拥有基础设施的硬件资源，软件都运行在云中，业务数据也存储在云中，本文将对云计算所面临的诸多安全问题进行深入探讨。 　　2 云计算体系架构 　　勘探开发研究院勘探云平台目标是建立统一的登录门户，实现异地资源共享和异地协同工作。根据勘探科研生产现有的软硬件环境，规划以DCV（Linux平台）、Citrix（Windows平台）为基础组件，研发统一集成管理平台，实现勘探协同“云计算”平台。云端用户通过管理系统和部署工具接入服务集群中，即云中。通过云完成海量计算和存储业务，如图1所示。 　　3 云计算安全技术研究 　　由于云计算独特的模式，最初是在企业内部网络运行的，并不对外开放，在设计之初没有太多考虑安全性问题，从而导致了现在云计算安全的一系列问题。从上到下可以归结为身份和访问安全，数据安全，网络、存储、服务器安全，物理安全几个方面的安全问题。若用户在包括互联网的任意地点通过统一门户获取所需资源，从上到下可依次采用用户认证与授权，数据隔离、加密及保护，网络隔离，灾备管理几个措施。如图2所示。 　　3.1 用户认证与授权 　　用户认证与授权旨在授权合法用户进入系统和访问数据，同时保护这些资产免受非授权用户的访问。 　　云计算的用户认证与授权措施需要具备如下的能力： 　　（1） 身份管理。在用户身份生命周期中，有效管理用户身份和访问资源的权限。 　　（2） 访问授权。访问授权应该在用户生命周期内提供及时的访问，从而加强安全和保护IT 资源。 　　（3） 基于LDAP 的统一身份认证完成将分散的用户和权限资源进行统一、集中的管理，实现用户单点登录就可以访问多个系统。 　　（4） 管理分布式环境下的用户，包括能够为用户配置一个或多个角色。 　　在原有勘探协同环境中，不同的专业软件需要不同的账号，而同一个项目组的科研人员在使用一款专业软件时要使用同一个账号，这不仅很不方便，而且在权限管理和数据安全上有较大的隐患。在勘探协同研究云平台中，实现了用户和软件的跨平台统一管理，每位科研人员均有自己的唯一账号，并可通过该账号访问其有权限使用的软件和数据资源。 　　针对两种操作系统采用了不同的专业软件授权技术： 　　（1）云应用管理台建立与NIS系统一一对应的账号，并与NIS系统的账号实现映射，被授权的云应用管理台用户以Linux系统内的NIS账号身份访问专业软件。 　　（2）云应用管理台建立与AD系统一一对应的AD组，并与AD系统的AD组实现映射，被授权的云应用管理台用户以AD组成员的身份访问专业软件。 　　3.2 数据安全 　　在勘探协同研究云平台中，应用服务器和存储集中存放在服务器机房，双网段的设置保证了数据交换仅在机房内部进行，客户端与服务器之间的通信数据只有经过压缩的屏幕显示，有效防止了数据外泄。同时改变了原有的用户管理模式，每个科研人员都有自己唯一的账号，增强了用户账号的安全性。 　　3.2.1 数据隔离 　　云计算系统对于客户数据的存放可采用两种方式实现，即提供统一共享的存储设备或者单独的存储设备。目前各个部门都有单独的存储，但后续规划是建成统一的数据存储系统。这就需要存储自身的安全措施，比如存储映射等功能可以确保数据的隔离性，它基于共享存储的方式，能够节约存储空间并且统一管理。 　　3.2.2 数据保护 　　对于存储在云计算平台中的数据，可采取快照、备份和容灾等重要保护手段确保客户重要数据的安全。对于数据备份，可通过现有的企业级备份软件或者存储备份功能实现，可按照用户设定的备份策略对其文件和数据库进行自动备份及恢复，包括在线和离线备份，如图3所示。一般数据库备份推荐一周一次全备， 根据实际情