基于勘探云平臺(tái)安全技術(shù)的研究及應(yīng)用

龍 燕,王 莉

（新疆油田公司勘探開發(fā)研究院 計(jì)算信息中心,新疆 克拉瑪依 834000）

1 引言

云計(jì)算技術(shù)目前仍在迅猛發(fā)展，新技術(shù)層出不窮，同時(shí)研究院及油田公司等各研究單位需求各有不同。為了在未來(lái)能融合更先進(jìn)的技術(shù)，并滿足不同的需求，勘探云平臺(tái)被設(shè)計(jì)為具有開放式的平臺(tái)架構(gòu)，能夠方便地融合各種云計(jì)算技術(shù)，實(shí)現(xiàn)多樣的功能，以滿足未來(lái)升級(jí)和推廣的要求。在云計(jì)算環(huán)境中，用戶不再擁有基礎(chǔ)設(shè)施的硬件資源，軟件都運(yùn)行在云中，業(yè)務(wù)數(shù)據(jù)也存儲(chǔ)在云中，本文將對(duì)云計(jì)算所面臨的諸多安全問(wèn)題進(jìn)行深入探討。

2 云計(jì)算體系架構(gòu)

勘探開發(fā)研究院勘探云平臺(tái)目標(biāo)是建立統(tǒng)一的登錄門戶，實(shí)現(xiàn)異地資源共享和異地協(xié)同工作。根據(jù)勘探科研生產(chǎn)現(xiàn)有的軟硬件環(huán)境，規(guī)劃以 DCV（Linux平臺(tái)）、Citrix（Windows平臺(tái)）為基礎(chǔ)組件，研發(fā)統(tǒng)一集成管理平臺(tái)，實(shí)現(xiàn)勘探協(xié)同“云計(jì)算”平臺(tái)。云端用戶通過(guò)管理系統(tǒng)和部署工具接入服務(wù)集群中，即云中。通過(guò)云完成海量計(jì)算和存儲(chǔ)業(yè)務(wù)，如圖1所示。

圖1 勘探云平臺(tái)總體框架圖

3 云計(jì)算安全技術(shù)研究

由于云計(jì)算獨(dú)特的模式，最初是在企業(yè)內(nèi)部網(wǎng)絡(luò)運(yùn)行的，并不對(duì)外開放，在設(shè)計(jì)之初沒有太多考慮安全性問(wèn)題，從而導(dǎo)致了現(xiàn)在云計(jì)算安全的一系列問(wèn)題。從上到下可以歸結(jié)為身份和訪問(wèn)安全，數(shù)據(jù)安全，網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器安全，物理安全幾個(gè)方面的安全問(wèn)題。若用戶在包括互聯(lián)網(wǎng)的任意地點(diǎn)通過(guò)統(tǒng)一門戶獲取所需資源，從上到下可依次采用用戶認(rèn)證與授權(quán)，數(shù)據(jù)隔離、加密及保護(hù)，網(wǎng)絡(luò)隔離，災(zāi)備管理幾個(gè)措施。如圖2所示。

圖2 云計(jì)算安全層次歸結(jié)及安全措施

3.1 用戶認(rèn)證與授權(quán)

用戶認(rèn)證與授權(quán)旨在授權(quán)合法用戶進(jìn)入系統(tǒng)和訪問(wèn)數(shù)據(jù)，同時(shí)保護(hù)這些資產(chǎn)免受非授權(quán)用戶的訪問(wèn)。

云計(jì)算的用戶認(rèn)證與授權(quán)措施需要具備如下的能力：

(1)身份管理。在用戶身份生命周期中，有效管理用戶身份和訪問(wèn)資源的權(quán)限。

(2)訪問(wèn)授權(quán)。訪問(wèn)授權(quán)應(yīng)該在用戶生命周期內(nèi)提供及時(shí)的訪問(wèn)，從而加強(qiáng)安全和保護(hù)IT資源。

(3)基于LDAP的統(tǒng)一身份認(rèn)證完成將分散的用戶和權(quán)限資源進(jìn)行統(tǒng)一、集中的管理，實(shí)現(xiàn)用戶單點(diǎn)登錄就可以訪問(wèn)多個(gè)系統(tǒng)。

(4)管理分布式環(huán)境下的用戶，包括能夠?yàn)橛脩襞渲靡粋€(gè)或多個(gè)角色。

在原有勘探協(xié)同環(huán)境中，不同的專業(yè)軟件需要不同的賬號(hào)，而同一個(gè)項(xiàng)目組的科研人員在使用一款專業(yè)軟件時(shí)要使用同一個(gè)賬號(hào)，這不僅很不方便，而且在權(quán)限管理和數(shù)據(jù)安全上有較大的隱患。在勘探協(xié)同研究云平臺(tái)中，實(shí)現(xiàn)了用戶和軟件的跨平臺(tái)統(tǒng)一管理，每位科研人員均有自己的唯一賬號(hào)，并可通過(guò)該賬號(hào)訪問(wèn)其有權(quán)限使用的軟件和數(shù)據(jù)資源。

針對(duì)兩種操作系統(tǒng)采用了不同的專業(yè)軟件授權(quán)技術(shù)：

（1）云應(yīng)用管理臺(tái)建立與NIS系統(tǒng)一一對(duì)應(yīng)的賬號(hào)，并與NIS系統(tǒng)的賬號(hào)實(shí)現(xiàn)映射，被授權(quán)的云應(yīng)用管理臺(tái)用戶以Linux系統(tǒng)內(nèi)的NIS賬號(hào)身份訪問(wèn)專業(yè)軟件。

（2）云應(yīng)用管理臺(tái)建立與AD系統(tǒng)一一對(duì)應(yīng)的AD組，并與AD系統(tǒng)的AD組實(shí)現(xiàn)映射，被授權(quán)的云應(yīng)用管理臺(tái)用戶以AD組成員的身份訪問(wèn)專業(yè)軟件。

3.2 數(shù)據(jù)安全

在勘探協(xié)同研究云平臺(tái)中，應(yīng)用服務(wù)器和存儲(chǔ)集中存放在服務(wù)器機(jī)房，雙網(wǎng)段的設(shè)置保證了數(shù)據(jù)交換僅在機(jī)房?jī)?nèi)部進(jìn)行，客戶端與服務(wù)器之間的通信數(shù)據(jù)只有經(jīng)過(guò)壓縮的屏幕顯示，有效防止了數(shù)據(jù)外泄。同時(shí)改變了原有的用戶管理模式，每個(gè)科研人員都有自己唯一的賬號(hào)，增強(qiáng)了用戶賬號(hào)的安全性。

3.2.1 數(shù)據(jù)隔離

云計(jì)算系統(tǒng)對(duì)于客戶數(shù)據(jù)的存放可采用兩種方式實(shí)現(xiàn)，即提供統(tǒng)一共享的存儲(chǔ)設(shè)備或者單獨(dú)的存儲(chǔ)設(shè)備。目前各個(gè)部門都有單獨(dú)的存儲(chǔ)，但后續(xù)規(guī)劃是建成統(tǒng)一的數(shù)據(jù)存儲(chǔ)系統(tǒng)。這就需要存儲(chǔ)自身的安全措施，比如存儲(chǔ)映射等功能可以確保數(shù)據(jù)的隔離性，它基于共享存儲(chǔ)的方式，能夠節(jié)約存儲(chǔ)空間并且統(tǒng)一管理。

3.2.2 數(shù)據(jù)保護(hù)

對(duì)于存儲(chǔ)在云計(jì)算平臺(tái)中的數(shù)據(jù)，可采取快照、備份和容災(zāi)等重要保護(hù)手段確保客戶重要數(shù)據(jù)的安全。對(duì)于數(shù)據(jù)備份，可通過(guò)現(xiàn)有的企業(yè)級(jí)備份軟件或者存儲(chǔ)備份功能實(shí)現(xiàn)，可按照用戶設(shè)定的備份策略對(duì)其文件和數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)備份及恢復(fù)，包括在線和離線備份，如圖3所示。一般數(shù)據(jù)庫(kù)備份推薦一周一次全備,根據(jù)實(shí)際情況配置差分增量備份,差分增量適合數(shù)據(jù)量變化多的數(shù)據(jù)庫(kù)，恢復(fù)時(shí)需要的恢復(fù)次數(shù)較多。

圖3 企業(yè)級(jí)備份軟件

3.3 網(wǎng)絡(luò)安全

在進(jìn)行勘探云平臺(tái)建設(shè)的過(guò)程中，網(wǎng)絡(luò)虛擬化技術(shù)是其中的一個(gè)必要環(huán)節(jié)和組成部分。利用網(wǎng)絡(luò)虛擬化技術(shù)可以比較好地提供網(wǎng)絡(luò)鏈路安全和網(wǎng)絡(luò)隔離的解決方案，不僅可以提供高帶寬和低延時(shí)，還能提供負(fù)載均衡和高強(qiáng)度的冗余性，為云平臺(tái)業(yè)務(wù)應(yīng)用提供可靠的網(wǎng)絡(luò)環(huán)境保障。3.3.1 網(wǎng)絡(luò)鏈路安全

網(wǎng)絡(luò)鏈路是一個(gè)端到端的通路，一邊是服務(wù)器端，一邊是交換機(jī)端。在服務(wù)器端應(yīng)用端口虛擬化連接技術(shù)，可以將實(shí)際的物理網(wǎng)絡(luò)端口，按照需求通過(guò)虛擬化連接管理配置到各個(gè)不同的VLAN端口中，在與交換機(jī)的鏈接上，可通過(guò)端口匯聚技術(shù)及協(xié)議實(shí)現(xiàn)高帶寬、負(fù)載均衡以及多鏈路冗余，在端對(duì)端配置的過(guò)程中，必須遵照相互可通行的網(wǎng)絡(luò)協(xié)議。應(yīng)用網(wǎng)絡(luò)虛擬化技術(shù)后不但可以滿足勘探云平臺(tái)的網(wǎng)絡(luò)速度的要求，同時(shí)也提供了可靠的網(wǎng)絡(luò)鏈路保障。如圖4所示。

圖4 網(wǎng)絡(luò)虛擬化技術(shù)應(yīng)用前后對(duì)比

3.3.2 網(wǎng)絡(luò)隔離

針對(duì)網(wǎng)絡(luò)、存儲(chǔ)和服務(wù)器安全問(wèn)題，采用網(wǎng)絡(luò)隔離技術(shù)，網(wǎng)絡(luò)隔離提供數(shù)據(jù)傳輸?shù)陌踩浴木W(wǎng)絡(luò)的角度，業(yè)務(wù)隔離必須要從接入層能夠?qū)⒏鳂I(yè)務(wù)的服務(wù)器分開。

（1）VLAN。VLAN主要用在研究院內(nèi)部，用于隔離不同的應(yīng)用和客戶程序，確保一個(gè)客戶無(wú)法獲取其他用戶的網(wǎng)絡(luò)數(shù)據(jù)，但是網(wǎng)絡(luò)的管理員可以看到所有的網(wǎng)絡(luò)數(shù)據(jù)。因此，這種方法只有隔離性，沒有保證私密性。

為了既能滿足研究院外網(wǎng)絡(luò)訪問(wèn)勘探云平臺(tái)的要求，又要最大限度地保障勘探數(shù)據(jù)的安全性，勘探云平臺(tái)設(shè)計(jì)運(yùn)行在內(nèi)網(wǎng)（192.168.X.X網(wǎng)段用于高速內(nèi)部數(shù)據(jù)交換）和外網(wǎng)（10.72.x.x網(wǎng)段用于外部平臺(tái)訪問(wèn)）兩個(gè)不同網(wǎng)段。數(shù)據(jù)庫(kù)服務(wù)器、集中存儲(chǔ)系統(tǒng)，關(guān)鍵性管理服務(wù)器僅配置內(nèi)部網(wǎng)段。

（2）VPN。VPN又稱虛擬專用網(wǎng)絡(luò)，是將多臺(tái)分布的計(jì)算機(jī)用一個(gè)私有的經(jīng)過(guò)加密的網(wǎng)絡(luò)連接起來(lái)，形成一個(gè)私有的網(wǎng)絡(luò)。當(dāng)用戶通過(guò)數(shù)據(jù)網(wǎng)絡(luò)訪問(wèn)云服務(wù)時(shí)，對(duì)鏈路加密是保證用戶數(shù)據(jù)不被非法竊取的必要手段。VPN是通用的鏈路加密方式，在云計(jì)算環(huán)境中，SSL是被廣泛使用的VPN技術(shù)，是一種常見的傳輸安全技術(shù)，主要用在瀏覽器和服務(wù)器之間的通信上，比較適合點(diǎn)對(duì)點(diǎn)的安全保障。

3.4 災(zāi)備管理

遇到UPS無(wú)法供電、機(jī)房失火、地震等極端情況造成的數(shù)據(jù)丟失和業(yè)務(wù)停止，云計(jì)算平臺(tái)應(yīng)該可以切換到其他備用站點(diǎn)以繼續(xù)提供服務(wù)。對(duì)于一個(gè)云計(jì)算服務(wù)的用戶，可以選擇不同地點(diǎn)的中心機(jī)房提供服務(wù)，這樣即使服務(wù)停止用戶也可以保留自己的數(shù)據(jù)，并繼續(xù)運(yùn)行自己的業(yè)務(wù)。

4 總結(jié)

云計(jì)算的優(yōu)勢(shì)不可忽視，云計(jì)算的發(fā)展趨勢(shì)不可阻擋，通過(guò)對(duì)上述安全技術(shù)研究與應(yīng)用有效提高了勘探云平臺(tái)的安全性。今后研究院將整合全院的科研硬件資源，形成具有高性能和高可靠性的研究院統(tǒng)一科研云平臺(tái)，實(shí)現(xiàn)全部計(jì)算資源共享和隨需調(diào)度，建立較為完整的數(shù)據(jù)資源管理體系，并可集中管理所有的軟件許可資產(chǎn)，這必將使云計(jì)算面臨更多的安全風(fēng)險(xiǎn)。目前業(yè)界對(duì)云計(jì)算安全的解決并沒有統(tǒng)一的標(biāo)準(zhǔn)和解決方法，我們只有不斷地深入研究云計(jì)算安全技術(shù)，來(lái)確保勘探云平臺(tái)安全高效地運(yùn)行。

[1]徐立冰，騰云.云計(jì)算和大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)技術(shù)揭秘[M].北京：人民郵電出版社，2013.

[2]聶元銘，安靖，文暉.云計(jì)算信息安全風(fēng)險(xiǎn)探究[J].信息網(wǎng)絡(luò)安全，2011（10）.

[3]張?zhí)炖祝祜w汀.云計(jì)算技術(shù)在石油勘探領(lǐng)域中的研究與實(shí)踐[J].高性能計(jì)算機(jī)技術(shù)，2010（6）.