云數據中心安全管理中心平臺設計實現

黎春武 徐凌魁

（廣東省交通運輸檔案信息管理中心 廣東省廣州市 510101）

云數據中心作為傳統IDC 服務的延伸和發展，為完全虛擬化IT 基礎設施、模塊化程度較高、自動化程度較高、具備較高綠色節能程度的新型數據中心，可通過資源集約化實現最大程度的動態資源調配。近年來，隨著云數據中心的發展，安全管理平臺成為了云數據中心能否可靠運行的基礎支撐。云數據中心安全管理中心平臺在設計和開發方面有了很大的突破和創新，在網絡安全建設領域中占據著舉足輕重的地位，不僅有利于更好地管理和控制網絡相關設備，還有利于科學高效地分析網絡安全事件，確保計算機網絡環境的安全性和可靠性，從而為網絡用戶及時了解和掌握當前網絡安全現狀提供有力的保障，此外，還盡可能簡化安全設備部署流程，極大節省了平臺的維護成本。因此，加強對云計算系統的設計與實現是相關軟件開發人員必須思考和解決的問題。

1 系統需求分析與整體設計

隨著虛擬化技術的不斷發展和應用，云計算技術在模擬物理服務器和提高虛擬化服務水平等方面體現出非常重要的應用價值[1]，因此，在虛擬化技術和云計算技術的具體應用下，加強對系統需求的科學分析和整體設計顯得尤為重要。

1.1 系統需求分析

1.1.1 系統功能需求

云計算時代背景下，虛擬化網絡環境變得更加復雜和多樣，這對我國云數據中心安全管理中心平臺的開發需求提出了更高的要求，旨在滿足云數據中心的不斷變化。云數據中心安全管理中心平臺需求主要包含以下幾點：

（1）虛擬化管理計算存儲資源，該需求主要體現在識別虛擬設備，檢測虛擬設備的安全運行狀態，動態擴展數據安全性和可靠性。

（2）動態遷移虛擬資源。該需求主要體現合理控制虛擬設備內部數據，自動配置網絡相關設備參數，與其他軟件定義網絡進行數據傳輸和數據交換。

（3）利用數據中心控制數據流向，該需求主要體現在不斷提升數據流量，動態性擴展相關節點。

（4）部署并實施下一代網絡。該需求主要體現在全面監管相關混合流量，重視對軟件定義網絡的穩定、可靠、安全處理。

云數據中心安全管理中心平臺的主要功能需求包括以下幾點：

（1）具有監控相關混合數據流功能。

（2）能夠實現對平臺安全、用戶訪問、安全事件、網絡風險、安全事件等方面的管理。

（3）能夠科學識別虛擬機、對相關子系統進行相應的部署和遷移，同時，還能在有效結合安全策略的基礎上，利用網絡設備制定和共享安全策略。

（4）利用交換設備不斷修正、優化和完善安全策略，實現多個虛擬機的有效互動和連接，從而進一步保證虛擬交互數據的真實性、可靠性和安全性，此外，還要采用安全認證的方式對虛擬機進行相關處理，從而確保數據信息傳輸的安全性。

（5）采用信息采集的方式，全面分析、取證和評估該平臺的運行性能。

（6）能夠在第一時間內對安全事件進行實時監控和處理，確保安全事件策略的科學性和合理性。

1.1.2 系統性能需求

對于云數據中心安全管理中心平臺而言，主要用于對數據中心的建設，因此，對該平臺的性能需求提出了更高的要求，旨在確保網絡設備的豐富性和多樣性，數據流的龐大性。該平臺主要的性能需求主要體現在以下幾個方面：

（1）能夠很好地支持不少于1000 種類型的網絡設、數據庫、主機服務器等，同時，還可以全面檢測和管理虛擬設備狀態，確保虛擬設備能夠正常、穩定、可靠、安全地運行。

（2）該平臺能夠為實時分析40G 流量提供相應的運行支持。

（3）能夠支持不少于1000 個的虛擬網絡。

（4）能夠很好地支持不少于15 種類型組件，如用戶管理組件、虛擬設備管理組件等。

1.2 平臺總體設計

1.2.1 平臺設計思路及原則

該平臺在設計的過程中，相關軟件開發人員必須嚴格遵循以下幾個原則：

（1）“三統一”原則。必須按照該平臺開發相關標準和要求，將開發規劃、開發標準進行有效統一和協調，從而確保該平臺能夠順利開發并成功上線[2]。

（2）“一體化”原則。在應用網絡信息安全技術的基礎上，對該平臺的開發流程、知識庫搜索引擎和信息安全流程進行統一規范，從而確保信息知識的安全傳輸和高效共享。

（3）“先進性”原則。相關軟件開發人員要在遵循經濟性原則的前提下，盡可能提高現有資源的利用率，確保投資的科學性和合理性，同時，還要在保證開發質量的基礎上，最大限度地節約開發成本[3]，從而實現社會效益和經濟效益的最大化。

（4）“易用性”原則。要求相關軟件開發人員要采用模塊化設計方式，確保平臺界面的友好性、簡單性和易用性，為管理員更加直觀、形象地操作和管理平臺提供有力的保障。

1.2.2 云數據中心安全管理平臺架構

要想保證該平臺功能強大，通用性強，相關軟件開發人員要重視對該平臺架構的科學設計。該平臺架構設計主要體現在以下幾個方面：

（1）要從用戶身份管理和用戶訪問管理入手，在保證該平臺網絡環境運行安全的前提下，確保數據信息傳輸和業務應用的安全性，從而最大限度地滿足云計算數據中心的安全接入、管理和應用等相關安全需求[4]，同時，還要利用可視化界面為網絡用戶實時展現系統狀態、系統性能、系統指標等信息。

（2）該平臺要充分利用虛擬化技術，實現網絡、計算和存儲虛擬化功能，從而確保云數據中心向虛擬化方向不斷發展。

（3）對于虛擬化設備而言，相關軟件開發人員要重視對其安全管理，通過實時識別和檢測虛擬機運行狀態，確保數據量傳輸和共享的可靠性和安全性。

（4）對用戶身份和訪問權限進行統一設置和管理，并支持多種身份認證方式的應用，同時，還要采用安全檢測的方式，對接入的設備進行全面檢查和維護，以保證接入設備運行性能的可靠性、穩定性和安全性，此外，還要根據接入設備的實際運行狀態，科學合理地分配和管理網絡訪問權限。

2 系統關鍵模塊設計與實現

平臺在開發的過程中，重點應用Web 認證方式、短信認證方式等各種認證方式，從而實現網絡用戶的身份認證，同時，還要根據網絡用戶身份的差異性，設置不同的訪問權限，并對這些不同的訪問權限進行安全管理和控制，從而確保網絡環境的可靠性和安全性。為了實現以上目標，相關軟件開發人員要重視對系統關鍵模塊的設計與實現，進一步修正、優化和完善該系統的功能模塊，從而確保該系統功能完善，通用性強，從而為確保該系統具有更加廣闊的應用前景發揮出重要作用。

2.1 身份及訪問安全模塊設計及實現

2.1.1 身份及訪問安全模塊功能分析

身份認證是確保網絡安全的重要環節，同時，也是實現網絡現有資源充分利用以及網絡訪問權限全面管理和控制的重要措施。只有通過身份認證的網絡用戶才能有權限登錄和訪問系統內部數據信息，同時，系統會根據網絡用戶的身份信息，對訪問資源進行科學分配，然后，再提供相應的安全策略，從而最大限度地提高網絡資源的利用率，進而實現網絡資源的規范化、標準化管理。本模塊在實現的過程中，需要采用認證安全接入的方式，利用接入層，實現對網絡用戶身份信息的認證，并在科學控制網絡用戶訪問權限的基礎上，為網絡環境的凈化和保護提供有力的保障，從而保證該系統內部業務流程的可靠性和網絡環境的安全性。

2.1.2 身份及訪問安全模塊設計實現流程

對于身份及訪問安全模塊而言，首先，相關軟件開發人員要采用多種類型的認證方式，對身份認證進行接入、實現，同時，還要對網絡用戶登錄的設備進行規范綁定，實時檢查主機設備可能存在的安全隱患，確保主機設備能夠正常、穩定、可靠、安全地運行，例如：采用強制修復的方式及時處理主機設備內部的漏洞問題。另外，系統還可以根據網絡用戶的身份信息和網絡設備的運行狀態，對網絡用戶的訪問行為進行授權，同時，還要采用采集日志的方式，規范網絡訪問行為，為后期安全管理系統提供重要依據和參考。

2.2 虛擬化識別遷移模塊設計與實現

2.2.1 虛擬機識別遷移模塊功能分析

為了滿足交換機虛擬化處理這一特殊需求，相關軟件開發人員要重視對虛擬機識別遷移模塊功能科學分析和實現，本模塊包含的主要功能有以下幾點：

（1）可以轉發虛擬機報文，并采用安全策略，確保虛擬機運行的安全性和可靠性。

（2）可以在應用安全策略的基礎上，實現相關路徑的劃分和配置，以保證網絡設備的安全性，滿足虛擬機的遷移需求。

（3）根據網絡用戶的訪問需求，利用不同的物理主機，在保證以太網相關數據不變的情況下，實現虛擬機的有效遷移。

2.2.2 虛擬機識別遷移模塊設計實現流程

在數據中心建設的背景下，通過利用安全策略，實現虛擬機的高效遷移，可以確保數據信息傳輸和交換的真實性、可靠性和安全性。本模塊在實現的過程中，首先，需要根據虛擬機管理需求，對相應的API 報告進行接收，并對即將遷移的虛擬機進行及時處理，經過遷移的虛擬機到達新的設備后，會將自身的MAC 地址以對外的形式發送出去，此時，接入設備會對虛擬機發送到的MAC 地址進行接收，并將其上傳到指定的安全管理平臺中，由安全管理平臺根據當前網絡的具體位置信息，利用相關設備，重新配置安全策略，以保證網絡設備的運行性能，然后，當虛擬機在遷移的過程中出現設備關聯問題時，安全管理平臺會采用重新下放安全策略的形式對這一關聯問題進行有效解決，最后，網絡設備在實現數據信息安全交換的同時，對安全策略重新執行。

2.3 數據安全模塊設計與實現

數據安全包含的內容主要體現在以下幾點，分別是事前預估、事中處理和事后反饋。因此，通過對安全數據庫的建立和完善，可以最大限度地保證網絡用戶數據信息的完整性、可靠性和安全性。此外，采用分析數據流量的方式，還可以對網絡進行相應的規劃、監控和維護，以確保網絡環境的安全性和穩定性，從而實現數據流的規范化、標準化管理。同時，還可以科學監管日志內容，對日志信息進行全方位地存儲、接收和處理，提高日志管理水平，為網絡用戶帶來良好的用戶體驗。本模塊在實現的過程中，需要以網絡設備利用為主，對數據流進行采集和整理，同時，還要在采集會話信息的基礎上，確保數據庫信息的多樣性和豐富性。此外，為了保證網絡數據流處理的安全性，相關軟件開發人員還要重視對會話流量的管理和分析，以提高數據信息存儲的安全性。

3 結束語

綜上所述，對于云數據中心安全管理中心平臺而言，其基本模塊的設計、開發并成功上線，為用戶帶來了良好的體驗，因此，深受廣大用戶的喜愛。為了方便后期對云數據中心安全管理中心平臺的維護和升級，需要相關軟件開發人員再接再厲，用更加優雅的代碼擴充更多使用的功能，從而為保證用戶正常、穩定、安全的使用云數據中心安全管理中心平臺產生至關重要的影響。