浅析国有大型企业私有云平台建设中云安全管理问题.docVIP

浅析国有大型企业私有云平台建设中云安全管理问题 　　摘要：云计算近年得到了长足发展，越来越多的大型企业正在搭建自己的云计算平台。文章阐述了国有大型企业建设私有云计算平台的建设特点，并从六个方面分析了企业私有云平台建设中的安全管理问题及防护 　　措施。 　　关键词：云计算；云安全；平台建设 　　中图分类号：TP309 文献标识码：A 文章编号：1009-2374（2014）20-0143-02 　　云计算的概念，自2006年8月9日由Google首席执行官埃里克?施密特提出后，近年得到了长足发展，已成为目前最核心的IT概念之一。越来越多的大型企业也在考虑搭建自己的云计算平台，企业信息化建设也将因云计算概念而发生各类变化，尤其在IT资源利用、应用系统程序开发和服务提供等方面都将发生重大变化。国内有多家国有大型企业正在进行云计算的规划、建设和开发应用，在此过程中，不仅是云计算技术的应用和管理，云安全的问题也越来越成为人们关注的焦点。本文将针对国有大型企业云计算的建设特点和云安全的特点和风险进行简要分析。 　　1 国有大型企业云计算平台的建设特点 　　云计算平台根据其建设性质可以分为公有云、私有云和混合云。对于中小企业而言，基于投资及IT管理维护的条件限制，更愿意选择公有云，可以由公有云服务提供商提供云计算平台服务，企业自身不用再建设自己的数据中心。不用关心网络安全、虚拟化等技术难点，只要选择一个可靠的云计算服务提供商就可以了。但是对于大型企业而言，尤其是国有大型企业，在企业信息化的建设过程中对于安全性的要求会更高，公有云的特点恐难以满足他们的要求，将更多考虑构建自己企业云计算平台即私有云平台。私有云平台在安全性、法规遵从和服务质量等方面更有保障，但需要专业的维护队伍，运行和管理成本较高。 　　国有大型企业信息系统一般可以分为两类，一类是公众服务和信息宣传类，主要是网站和各类信息发布的系统，这类系统涉及保密的数据较少，可选用公有云平台搭建。另一类是企业内部管理和生产系统，这类系统很少考虑建立在公有云平台上，更多要在私有云系统中部署。 　　云计算有三大服务模式：IaaS（基础设施即服务）、Paas（平台即服务）、SaaS（软件即服务）。由于各大企业自身都有多类应用软件系统，现有这些系统向云计算平台迁移时要求尽可能地保持自身业务不变，同时企业信息化建设的突出问题是硬件资源分配和建设不够合理，因此，当前阶段各大型企业在进行云计算平台建设时，关注的重点还是在基础设备即服务模式（IaaS），即通过服务器虚拟化、存储虚拟化、网络虚拟化等手段，从而实现IT资源的利用最大化。当然，凡是准备进行云计算平台建设的企业，也都将会考虑现有系统下一步的总体发展问题，也会将现有系统向平台整合（PaaS）和软件整合（SaaS）的模式上转换，只是这个整合过程比较复杂，需要一个比较长的时间过程。 　　由于国有大型企业本身信息化建设的特点，决定了其在进行云计算平台建设过程中，会特别注意国家的政策导向性问题。这由两方面的原因造成：一方面，目前中国的国有大型企业与其他国家的大型企业在信息化建设上还有一定差距，另一方面，其国有的性质也决定在信息化建设过程中更加注重国家政策导向性。因此，国有大型企业的信息系统一般都会按照国家公安部门要求的信息系统等级保护要求进行等级保护工作，在进行云计算平台建设、应用过程中也要注意符合信息系统等级保护的要求。 　　2 国有大型企业私有云平台中的云安全问题分析 　　大型国有企业在企业私有云平台的建设和应用推广过程中，不仅要考虑技术、性能、环保等因素，云安全的问题也越来越凸显出来，现对国有大型企业私有云平台的云安全问题分析如下： 　　（1）云安全问题在云计算平台建设中具有决策导向性。云安全问题并不仅仅是一个单纯的技术问题，也是管理和决策问题。根据思林博德市场咨询公司2010年的研究报告，大型企业在决策是否采用云计算应用时，最大的顾虑即是安全与隐私问题，占决策因素的31%，云安全问题已成为企业在决策是否采用云计算应用的关键因素。一方面是由于云计算的无边界性、流动性等特点将会引发很多新的安全问题，另一方面是云计算将对传统的信息和网络安全产生更深远的影响。 　　（2）企业私有云模式下传统的信息安全风险依然存在。云计算模式下的安全问题与传统的信息安全在本质上并没有太大的区别。企业私有云建设过程中同样也遇到网络层和应用层的各类风险因素。如：应用系统在迁移到云计算平台之前所遇到的安全问题，恶意代码攻击、黑客入侵、内部员工风险、拒绝服务攻击等安全风险和行为，在迁移到云计算平台后，将会依然存在，在进行云计算应用安全规划时也要同样考虑。 　　（3）企业私有云平台上共享基础设置的信息系统具有安全风险相关性。私有云模式下，众多的企业信息系