基于云架構的4A系統在移動業務支撐網中的應用

摘 要：首先分析了基于云架構的業務支撐網技術方案及存在的安全問題，結合目前云安全的常用技術，提出了云架構4A認證系統和移動業務支撐網相結合的云安全技術方案以及實現流程，總結了這種方案的優點。

關鍵詞：云計算；4A系統；業務支撐網

1 云計算現狀

云計算[1]是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。好比是從古老的單臺發電機模式轉向了電廠集中供電的模式。它意味著計算能力也可以作為一種商品進行流通，就像煤氣、水電一樣，取用方便，費用低廉。云計算為人們帶來便利的同時其安全性也不容忽視：2011年4月22日，Amazon的云計算服務器再次出現大面積的巖機；2009年2月24日，Google Mail郵箱爆發全球性故障，服務中斷長達4小時；同年3月17日，Microsoft的云計算平臺Azure停止運行約22小時；眾多的案例引發了人們對云計算安全的思考，安全問題解決不好，將嚴重制約云計算的可持續發展，有效解決云計算的安全問題勢在必行。

2 基于云架構的業務支撐網技術方案

目前移動業務支撐系統包括BOSS系統、經營分析系統、運營管理系統等子系統，云架構的移動業務支撐系統平臺，通過采用iaas私有云技術，把BOSS系統的眾多服務器，網絡設備，數據庫等設備組成“云端”基礎設施服務提供給維護人員[2]。并將CPU計算能力、內存、I/O設備和存儲整合成一個虛擬的資源池為BOSS業務提供所需要的存儲資源和虛擬化服務器等服務。經營分析系統和運營管理系統則通過采用SaaS技術將應用軟件統一部署在業務支撐網云平臺上，營業廳、客服、渠道、市場部門的營業人員、客服人員、業務管理人員及集團客戶經理等用戶根據需求通過互聯網使用軟件服務[3]。

這種模式在為業務人員和維護人員提供快捷便利的同時，業務支撐系統的安全性和保密不容忽視。采用傳統4A系統和業務支撐系統相結合后在一定程度上提高了系統的安全性，但仍然存在以下三個問題：（1）賬號管理變更頻繁，每天營業員、集團客戶的權限都有大量的變更需求，不能建立崗位權限互斥的安全模型。（2）隨著業務支撐網內應用系統的不斷增多，各自獨立的缺乏關聯分析（以自然人為核心進行關聯的統一集中的系統登錄、登出、正常維護、異常操作）的審計系統已不能滿足需要。（3）在日志量達到T級別后，系統的檢索性能急劇下降，無法進行有效的數據檢索和日志分析，導致無法實時分析和告警正在發生的危險行為。

3 云架構的4A系統應用在移動業務支撐網

云架構的4A系統[4]在系統架構上劃分為三層：統一入口層；云采集層；云審計層。

統一入口層：為普通人員和管理人員提供了Web方式登錄界面以及堡壘主機群。

采集層：主要功能是實現用戶資源系統之間的數據交互，資源從賬號的收集和同步管理，日志采集以及告警數據發送。為了避免出現日志采集遺漏等情況，并提高采集系統的運行穩定性以及日志解析處理能力，通過使用云架構，使采集系統能夠支持分布式采集功能，同時引入搜索引擎，以達到優化底層查詢邏輯，減少垃圾數據量，提升用戶使用好感度。

審計層：統一身份管理，資源及認證管理，賬號授權管理，訪問控制管理，安全審計管理，安全合規管理，安全事件管理。云架構的審計選擇Hadoop作為審計數據分布式處理的技術框架，通過存儲方式的變化、存儲結構的變化以及分析、檢索框架調整，提供高效、多任務并發的數據分析處理能力以及高效的審計數據全文檢索能力。

4 該云架構的4A系統應用在移動業務支撐網中的優點

云架構的4A系統應用在移動業務支撐網系統架構圖，如圖1。

4A認證云平臺為業務支撐網各應用系統提供統一、多樣化的帳號、認證、授權和審計方面的安全服務機制，主帳號與從帳號實現集中化、基于角色的管理，針對應用資源實現角色級授權；針對系統資源的權限控制實現實體級別授權。自然人通過與主帳號的關聯，對身份信息和崗位角色進行統一規劃與管理，不同應用系統中的帳號的創建、分配、同步進行集成到4A管理平臺進行統一管理，建立起從帳號的單一視圖（業務支撐實體資源-應用資源及后臺系統資源），以及主帳號的單一視圖管理（業務支撐系統中使用者）從而有效的解決了授權變更頻繁以及崗位權限互斥的安全模型的建立。

采用基于統一訪問入口的主帳號的集中指紋強身份認證方式，并根據用戶使用業務支撐網各應用系統中的應用資源和系統資源的具體情況進行相應的權限分配與稽核，實現不同崗位、角色的用戶針對對不同部分實體資源的訪問權限控制。建立完善的自然人對實體資源的的授權管理。從而解決問題2（自然人登錄缺乏相應從賬號的關聯問題）。

采用Hadoop分布式文件系統（HDFS）的可靠數據存儲服務對原始數據進行存儲，可以輕松應對PB級的海量數據而且硬件成本低；利用MapReduce技術的高性能并行數據處理服務可以大大提高運算的效率，從而解決了問題3（數據量超大后缺乏有效分析）。

參考文獻

[1]MellP，GranceT.The NIST definition of cloud coputing .National Institute of Standards and Technology（NIST），Washington，USA：Technical Report Special Publication 800-145，2011.

[2]田峰，等.中國移動業務支撐網4A系統安全技術規范v3.0[S].中國移動集團技術規范，2013，4：88-92.

[3]田峰，等.中國移動業務支撐網數據安全管理辦法[S].中國移動集團技術規范，2008，4：1-3.

[4]鮑偉民.基于云計算的安全審計系統研究與設計[J].軟件產業與工程，2012（6）：41-45.

作者簡介：王雪娟（1977，8-），女，民族：漢，籍貫：河北省新樂市，單位：山東圣翰財貿職業學院，職稱：中級工程師，研究方向：網絡安全。2007-2014年曾就職于山東移動業務支撐部負責網絡安全建設。

柴建勇（1978，9-），男，民族：漢，籍貫：河北省衡水市，單位：青島海信集團，職稱：高級工程師，研究方向：軟件安全。