平台即服务(精选五篇)
平台即服务 篇1
关键词:PaaS,云计算,Docker
云计算作为近些年学术界和企业界研究的热点领域, 正被越来越多的人所熟知和重视。按照云计算的服务模型划分, 云计算可分为软件即服务 (Saa S) 、平台即服务 (Paa S) 、基础设施即服务 (Iaa S) 。基于Paa S提供的平台运行时, 用户 (开发者) 可以便捷地开发和部署应用程序, 将应用程序托管在Paa S管理的云基础设施中, 从而节省大量的平台搭建和维护工作, 并达到缩短开发周期, 降低运维成本的目的[1]。Docker作为一个容器引擎向Paa S提供了基础的资源隔离和标准化打包部署能力, 从而使得基于其上的Paa S平台构建简单高效。
1 研究背景
Paa S主要受众就是web服务的开发者。开发者开发的web应用对外提供服务除本身的程序代码外, 还需要基础的语言运行环境, 存储空间等[2]。Paa S为开发者提供了快速构建web服务的能力[3]。Paa S主要向用户提供三种服务能力:1.基础的语言运行环境。比如谷歌的GAE支持Python和Java的应用部署。2.服务能力 (存储、计算等) 的动态扩展。3.通用基础服务的能力, 比如消息中间件, 分布式缓存等基础服务。通过这些服务的提供使得开发人员将关注点集中在自身的业务需求上, 这对于开发人员快速提高开发效率具有重要意义[4]。Docker的出现让开发和运维都变得简单, Docker像集装箱一样将应用及其相关依赖进行整体打包, 移植到任何支持Docker的环境中运行。
2 关于Docker
Docker是一个基于Linux Container的Container容器引擎, 并遵从Apache2.0协议开源。目前Docker已经获得了包括IBM、Google、Red Hat等公司的关注和技术支持。Docker利用轻量级虚拟化技术进行资源隔离, 并可以将各种环境依赖和web应用一起打包, 并可方便的移植和重新部署。
2.1 Docker和传统的虚拟化技术
Docker区别于传统的虚拟化技术。如图1所示, 传统的虚拟化技术如v Sphere和Hyper-V目标是建立一个可以执行应用的整套操作系统的沙盒环境, 即虚拟机。而Docker使用的Container技术则是将应用所需要的相关源码、依赖库、环境配置等都打包起来建立一个沙盒执行环境。Container采用公用操作系统的方式, 不需要安装Guest OS, 所以Container拥有快速的启动速度, 方便建立和销毁。
2.2 Docker解决的主要问题
2.2.1 复杂的环境依赖
Web应用正常提供服务需要有很多环境依赖, 包括操作系统、中间件以及其他后端服务。这给应用的快速开发带来很多麻烦, 并使得开发团队增加很多不必要的困扰。Docker通过将多种依赖打包成image的形式, 方便地进行环境移植和搭建, 并且Docker支持image的叠加。从而以一种撘积木的形式构建环境。
2.2.2 虚拟化成本
传统的虚拟化技术包括KVM、Xen等都是通过在Host OS上构建Guest OS来达到资源环境的隔离。但Geust OS本身就需要占用很大的资源。这对于资源是一种极大的浪费。Web应用需要的仅仅是一个可用的完整运行环境, 而非整个操作系统。Docker利用LXC (Linux Container) 对系统资源进行隔离, 从而实现了类似虚拟机的隔离效果, 但是性能更加优秀。
2.2.3 应用的快速部署
Docker将应用程序标准化, 将其进行整体打包后存储在Docer Registry中, 部署时只需要从Doc而Registry中获取需要的image进行移植即可。因此, Docker将传统的应用部署流程:安装、配置、运行转变为复制、运行, 从而大大简化了应用的部署成本。
2.3 Docker的核心技术
2.3.1 隔离性
对于不同业务实例之间相互隔离, 一般的方式是采用虚拟机的手段进行业务间的隔离。但Docker基于LXC, 采用container的方式进行隔离。主要通过内核的namespace将进程、网络、文件系统等隔离开。
2.3.2 资源可度量
cgroups (control groups) 是Linux内核提供的一种可以限制、记录、隔离进程组所使用物理资源的机制。其提供了类似文件的接口, 通过将数据写入文件的形式实现资源控制度量。cgroups可以实现对bikio、CPU、cpuacct、cpuset、devices、freezer、memory、net_cls、ns九大子系统的限制。
2.3.3 便携性
AUFS是Docker支持的一种文件系统。其可以将不同目录挂载到同一个虚拟文件系统下, 并可以为每一个成员目录设定readonly、readwrite和writeable权限。Docker中具有readonly的文件称为镜像 (image) 。AUFS有一个分层的概念, 通常将readonly和writeable的层联合在一起, 从而在readonly层不变的基础上对writeable层进行写操作。Docker利用AUFS的这种层级关系可以将多个具有依赖关系的image组合在一起。有了层级化的Image做基础, 理想中, 不同的APP就可以既可能的共用底层文件系统, 相关依赖工具等, 同一个APP的不同实例也可以实现共用绝大多数数据, 进而以copy on write的形式维护自己的那一份修改过的数据等。
2.4 Docker主要核心组件
Docker整体采用C/S架构, 其主要核心模块包括Docker Client、Docker Daemon、Docker Registry以及Docker Container[5]。
2.4.1 Docker Client
Docker Client是用户用来和Docker Daemon建立通信的客户端。Docker Client发出的请求由Docker Daemon进行处理。通过使用Docker命令行工具发起请求, 从而对Docker Container进行管理。Docker Client支持多种通信方式包括tcp、unix socket等, 此外还支持安全传输层协议 (TLS) 。
2.4.2 Docker Daemon
Docker Daemon是Docker中一个常驻后台的模块, 其主要包括两个部分, Docker Server和Docker Engine。Docker Server主要负责接收Docker Client的请求, 将请求分发给相应的handler进行处理。Docker Engine是整个Docker的核心执行组件。其将每一次具体的操作抽象为一个job的执行, 比如说一个容器的创建过程。job类似于操作系统中的进程的概念。
2.4.3 Docker Registry
Docker是一个存储容器镜像的仓库。通过镜像的加载可以创建容器的初始化文件目录。Docker Docker Registry支持镜像的搜索、下载和上传功能。Docker Registry可以使用官方的公有仓库Docker Hub, 也可以搭建自由的私有Docker Registry。
2.5 Docker工作流
Docker的强大之处在于其轻量级的资源需求和灵活的可移植性。一个Docker的典型工作流如图2所示:
Dockerfile描述了一个镜像的构建过程, 包括环境变量的设置、依赖软件的安装和启动、暴露的服务端口等。通过Dockerfile构建镜像后通过push指令将镜像上传到Docker Registry。部署有Docker Engine的其他宿主只需要搜索Docker Registry中自己需要的镜像, 就可以将其整个下载 (pull) 下来。完整的镜像包含了应用运行的所有依赖, 所以在新的宿主系统上应用可以直接对外提供服务, 不需要再进行安装依赖软件、配置环境变量等工作。
3 基于Docker的Paa S架构
基于Docker的Paa S平台 (DPaa S) 包括控制层和运行层两大核心部分以及相关的接入层、通用服务、平台监控、日志处理几大辅助模块, 平台整体的架构图如图3所示。
3.1 接入层
所有的请求通过负载均衡模块后转发给接入层, 接入层将请求区分为平台的自身的RESTful API调用以及普通用户的服务请求。RESTful API会被转发给平台控制层进行处理, 而用户的应用请求则直接路由给了运行层, 由运行层中的Docker容器提供服务。
3.2 控制层
控制层是整个Paa S平台的控制核心, 其负责整个平台的控制调度、流程管理、镜像构建与存储等功能。控制器负责处理控制请求, 发消息给其他模块, 协调整个平台组件间的协同运行。构建器主要负责镜像构建的具体工作, 并和Docker Registry进行交互, 实现镜像的存储调度。
3.3 运行层
运行层实际部署Docker容器, 对外提供各种Web服务。接入层将不同服务的应用请求分发给暴露服务端口的Docker容器, Docker容器实际处理各种应用请求。Docker容器通过向发布器注册自己的服务信息, 从而使得接入层可以发现服务, 并向其发送应用请求。日志采集组件采集Docker容器运行过程中产生的各种日志, 并将其传输给日志处理模块。健康检查模块检测Docker容器的运行状态, 将其健康信息定期发送给监控模块。
3.4 通用服务
通用服务是平台向平台使用者提供的各种公共服务组件, 比如数据缓存服务、消息队列服务、URL抓取服务等。这些公共服务有平台托管, 用户只需按需计费即可。通用服务使得应用的开发者只需要将经历完全关注在自身业务逻辑的实现上, 而无需关系其他。
3.5 平台监控
平台监控负责整个运行层的状态监控。监控信息由健康检查组件提供。通过平台监控, 平台可以实现应用的动态扩展, 根据容器负载情况动态的创建删除服务容器, 下线问题容器等。
3.6 日志处理
日志处理模块将日志采集模块传输到的日志进行分类、重建、存储以供其被其他数据挖掘服务使用。
4 结论
随着云计算技术的发展, Iaa S和Saa S都有了长足的发展, 而Paa S由于公有Paa S限制过多、使用复杂、迁移不够灵活的特点, 使其并没有Iaa S和Saa S普及。本文在分析Docker相关技术的基础上, 提出了基于Docker的轻量级私有云Paa S架构, 为Paa S平台的设计提供了参考。
参考文献
[1]林琳, 滕腾, 李伟彬.Paa S的范畴及架构标准化研究[J].信息技术与标准化, 2012 (10) :25-32.
[2]姜文周, 马明丽, 李先毅.基于Cloud Foundry的Paa S云平台的设计与实现[J].微型机与应用, 2014, 33 (2) :60-62.
[3]Walraven, Stefan, Truyen, et al.Comparing P a a S o f f e r i n g s i n l i g h t o f S a a S development:A comparison of Paa S platforms based on a practical case study[J].Computing, 2014, 96 (8) :669-724.
[4]Garcia-Garcia.Andres, De Alfonson, et al.Overview ofcurrent commercial paas platforms[C]//ICSOFT2011-Proceedings of the6th International Conference on Software and Database Technologies.Seville, Spain:INSTICC Press, 2011:368-376.
教育即服务 篇2
科学探究活动功能在于培养学生的科学素养,重点培养学生探究科学的兴趣、领悟科学思想方法和科学精神以及运用科学方法解决实际问题的能力。科学探究活动是科学探究、情感态度与价值观、科学知识三个领域目标整合的有效途径。
科学探究活动是以学生为主要活动角色的教学组织形式。科学探究中,教师的角色与一般教学组织形式中的教师角色是截然不同的。在科学探究中,教师应树立“教育即服务”的意识,做好“公务员”,为学生探究活动的顺利进行提供有力的服务。只有这样,科学探究活动才会充满温馨,学生科学素养的培养才会有一块适宜生长的“息壤”。
一、“公务员”——准确的角色定位
传统的居高临下的教师形象不利于学生的身心发展。美国心理学家马斯洛的需要层次论告诉我们。只有学生低层次的安全需要得到满足,学生高层次的追求尊严、追求成就、追求发展的需要才有可能形成。教育者只有真正树立“教育即服务”的观念,主动自觉地为学生服务,才可能给学生创设一个安全、温馨的心理氛围。这样,学生才可能真正成为人格独立、主动追求真理的探索者,科学探究活动才可能成为学生科学素养不断增长的平台。
平等的课堂交往行为形成,绝不是仅凭几句好听的口号、几场感人的报告所能促成的。矫枉需过正。在科学探究活动中,教师应从高高在上的教授者、仲裁者、监督者变为仰视学生的“公务员”,这样才可能给学生创设一个安全、温馨的心理氛围。“公务员”是科学探究活动中教师准确的角色定位。
二、学生需求——服务的前进航标
教师作为科学探究活动的“公务员”,从大的角度而言,应全心全意为学生的终身发展服务;从一次具体的探究活动而言,则应努力为学生探究活动的顺利开展提供足够的支持。
科学探究强调亲历和体验,引领学生真刀真枪搞科学,从这个意义上讲,学生是探究的主体。科学探究并不排除教师的指导,相反,为了更好地提高课堂探究的有效性,离不开教师适当的指导。这里的指导是建立在学生已有基础之上的,是为了使学生获得更大的发展,因此这里的指导可谓是一种服务。
江苏省名校长芮火才说过这样一句话:“教育是学生合理需求不断得到满足的过程,是不合理需求不断得到引导和校正的过程,是单一与浅层次需求不断得到丰富和提高的过程。”如一位教师教学“金属”一课时,课始,教师提问:“同学们。课前我们收集了许多金属,今天我们就一起来探究金属的性质。大家说说,金属有哪些性质?”学生们议论纷纷,说出了“金属能发光、能传热、导电、被锤易变形”等假设性结论,然后根据意愿分成几个小组,开始了兴致勃勃的研究。这节活动看起来开展了丰富多彩的探究活动,但笔者却认为,学生提出的“金属能发光(金属光泽)、导电”等都是他们在过去科学课学习中已经形成的认识,并不是假设。教师将学生已有的认识作为假设并要求检验,是一种重复无效、浪费时间的活动。这样的活动实际上并不符合学生发展的需要,教师设计的活动预案实际上建立在自己主观想象的基础上,是以教师的意愿为出发点。类似这样的科学探究活动目前已成为一种时尚,需要引起我们足够的重视。服务学生,就应深入了解学生的真实需要,然后从学生的意愿出发,设计真正符合学生发展需要的活动。
三、关注差异——服务的核心所在
因为先天遗传和所处教育环境的差异,学生的发展状态必然存在着一些差异。科学探究活动并不是只对发展状况良好的学生存在积极的影响,对一些发展暂时存在困难的学生,它同样具有独特的教育作用。因此,教师应特别关注活动中的弱势群体,随时观察他们的表现,及时给予关怀,防止一部分优秀的探究者控制和把持局面,给每一个学生分享与承担探究的权利和义务。
当然,对于某些有特殊学习困难的学生和那些有特殊才能的学生,教师还应给予特别的关照与积极的鼓励,使他们有机会、有信心参与到探究中来。如在一次市级观摩课《连接电路》上,教师让学生汇报自己的实验结果,学生们畅所欲言,表现得十分活跃。这时教师让一女生汇报她的实验结果,也许是过分紧张,这个女生显得有些语无伦次。教师亲切地看着她说:“张燕燕同学设计的线路真是太好了。你想展示给大家看一看吗?”女生高兴地走到教室前面,在线路演示板上展示了自己的研究成果。多一把评价的尺子就多一批成功者,这位教师给了这位女生另一个展示自己才能的舞台,因此就给了她一个快乐、一个信心、一个希望。
四、意识培养——服务的终极所求
《科学课程标准》明确要求:“保持与发展想要了解世界、喜欢尝试新的经验、乐于探究与发现周围事物奥秘的欲望。”在科学课堂教学中。教师除了引导学生探索科学的奥妙、掌握一些常用的科学知识外。更重的是要通过教学培养学生科学探究的意识。因为只有学生养成科学探究的意识,学生才能用科学的眼光去看待平时生活中的一切,才能从生活中发现问题、研究问题、解决问题。
当然,要求学生养成科学探究的意识,作为教师来讲,更应成为学生的典范。著名自然特级教师张洪鸣校长所讲的实例给我们以启发。张校长发现他们学校有一棵“S”形泡桐树,他就抓住它作为一个有结构的材料,引导学生展开研究。经过研究发现,80年代,东山宴小教室都是平房,那棵“S”形泡桐树就种在教室的北面,接受到南面的阳光很少。只有到下午四五点钟的时候,才有西北方向的阳光照射过来,所以树干就往北面生长;而等到它透过屋顶后,南面阳光比较充足,它就往南面生长;但80年代后,教室进行改造,由一层楼变成三层楼,南面阳光又被挡住了,它又往北面生长了,所以就形成了“S”形树干。这种司空见惯的现象,其中却含着深刻的科学道理,在张洪鸣校长眼里就成了有结构的材料,这就比我们平时单纯拿两棵植物来做“向光性”实验有意义得多,对学生的影响也大得多。学生从这一研究中自主进行科学探究的意识,一定会在张洪鸣校长的影响下得到提升。张校长这种为学生科学探究提供的优质服务,很值得我们效仿。
PACS即服务的云平台架构 篇3
关键词:影像归档和通信系统,云计算,医学数字成像和通信,云网关
0前言
近年来,影像归档和通信系统(Picture Archiving and Communication System,PACS)的出现,使数字化医学图像的提取和处理以及现代化医院影像科室对其他临床科室的服务模式进入了一个新的时代。PACS不但能够提高诊断效率、简化候诊流程,减少胶片用量、完善图像备份,而且也为院内会诊、远程医疗、院际间协作的实现创造了一个非常好的平台。据估计,2012~2015年中国PACS市场将继续以>20%的速度扩张,到2015年市场规模将达到26亿元[1]。
然而,数字化医学影像数据的增加必然会导致PACS运行维护成本的不断增长。而云计算供应商的出现能够很好地解决以上问题,云供应商提供的平台可为医院节省自身数据中心建设、软件许可等一系列成本。云平台具有弹性、可靠性等特点,并采用按需付费的服务模式。本质上来说,这是一种PACS的业务外包模式。这种外包模式主要有两种类型:①仅将数字化医学图像的存储服务交由云供应商管理,这些图像数据被存放在云供应商的存储服务器上,医疗机构按照需求获取,这种模式主要用于数字化医学图像的长期备份管理;②完整的PACS租赁模式,包括全部的应用程序、数据库和存储数据等,是一个全面的解决方案。
基于以上分析,本文提出了一种PACS即服务的云平台架构,以期能解决国内中小医院PACS运行维护成本过高的问题。
1 PACS的作用
PACS由医院数字化图像获取、大容量数据存储及数据库管理、图像显示和处理及用于影像传输的数据网络等多个部分组成。PACS的作用在于促进数字化医院的形成,提高诊断效率以及降低成本。相对于传统的基于胶片的医学成像系统而言,无胶片的PACS具有以下优势[3]:①根据诊断需要,可在不同地方同时调阅不同时期和不同成像系统产生的多幅图像,并可进行图像的再处理,为综合影像诊断、多学科会诊提供必要条件,也可以实现图像数据在医院内部甚至医院之间的共享;②优化医生的工作模式,简化工作流程,提高工作效率,缩短病人的候诊时间,降低重拍概率;③可对相关影像设备的工作状态及工作量进行实时监控和管理,提高了影像设备的利用率。
在过去的十几年里,国内各级医院在PACS的建设方面投入了巨大的资金。由于医院各类数字化成像系统所产生的数据量极大,因此数据存储是首要解决的问题。例如,数字减影血管造影(Digital Subtraction Angiography,DSA)、多层螺旋计算机断层扫描(Multi-slice Spiral Computeff Tomography,MSCT)、磁共振成像(Magnetic Resonance Imaging,MRI)、数字X线摄影(Digital Radiography,DR)和单光子发射型计算机断层(Single Photon Emission Computed Tomography,SPECT)等均可产生大量的图像数据。这些数据的高效率存储和长期可用性以及系统的升级等持续增长的成本因素值得关注。
另外,PACS对客户端计算机要求比较高:由于医学图像数据量相对较大,这对客户端计算机的运算能力也有较高的要求,而客户端的系统部署、更新升级等维护工作量大,总体运行成本高,这些都是目前医院信息化过程中遇到的瓶颈问题。
若医院将PACS服务外包给云供应商,则可以解决以上问题,其主要优势在于[4,5]:①由于数据全部存储在云供应商的服务器上,因此设备硬件老化和PACS升级全部由供应商负责;②云端是一个庞大的资源池,包括数据计算、数据存储等所有的应用都跑在云端,因此客户端不需要太强的运算能力。
2云计算技术
云计算是在互联网的基础上,通过虚拟化技术实现资源共享的计算模式,它将计算资源、存储资源、网络资源以及软件资源等存放在云平台,用户按需向云平台发送服务请求,而在这个过程中云供应商可以对用户请求的服务进行一定的计费(通常按照所使用的流量)[6]。
云计算技术的优势在于:①具有弹性。可以将分散的资源聚合成一个虚拟系统,且随着需求的增加而增长[7];②节约成本。节省医院建设PACS数据中心所需的架构成本(硬件、软件、空调、消防警报、安保等),以及持续的IT设备更新、软件授权许可和电力消耗等系列成本。
目前,云计算技术已经被国内外很多商业机构所使用。2014年的双1 1购物狂欢节中,阿里云技术被用来支撑571亿的交易,高达每秒钟8万笔,创下新的世界记录[8]。国外在医疗产业的云计算方面投资巨大。英国的Image Exchange Portal (IEP)公司支持且大大改善了英国的国家卫生服务机构与独立卫生服务机构之间的信息传递与共享。从2010年起,IEP基于平台即服务(PaaS)云平台的服务已经部署在英国大部分的卫生机构。IEP现在有超过335个站点积极使用这项服务,每天交换超过8000个研究对象[9]。TeraRecon公司在2014北美放射学会年会上展出了基于软件即服务(SaaS)云平台最新的iNtuition和iNteract+,该解决方案能够实现多任务影像查看。iNtuition和iNteract+结合在一起,可立即利用医院以前已经部署的PACS,避免造成资源浪费[10]。
随着云计算技术在基础架构即服务(IaaS)、PaaS、SaaS方向上的不断发展,逐渐出现了各种形式的PACS云计算应用平台[11],这些应用平台具备强大的计算能力和存储能力,同时可以为医院提供经济、灵活、安全、功能强大的服务。
然而,云计算技术也存在一些的弱点:①由于距离、网络带宽等原因而导致网络时间延迟;②缺乏供应商之间的互通性,即在没有标准接口之前不可以随意更换云供应商;③特别需要注意与数据安全有关的问题,即数据的私密性、耐久性和可用性。
3 PACS即服务的云平台架构
传统PACS主要由两个部分组成:DICOM对象存储库和数据库系统。其中对象存储库由巨大容量的存储设备来支持,例如:FC-SAN高端存储、IP-SAN近线存储、NAS备份存储方案等。而数据库系统则是由数据库管理系统(Database Management System,DBMS)来建立、使用和维护数据库中与患者有关的信息及影像。
本文提出一种设想:将以上两部分外包给云供应商。比较成熟的PACS云平台解决方案主要由3个部分构成:PACS主索引数据库(Master Index Database,MIDB)、云网关、云服务器。
(1) MIDB是PACS云平台的核心架构,主要包括与患者相关的一些涉及隐私的信息。其数据主要来源于DICOM对象设备以及相关的云服务器。由于不同的DICOM对象设备可能来自不同的供应商,并且其架构、数据格式、编码标准不同,导致了同一个患者的临床信息不能够实现共享。为解决此问题,可引入MIDB将患者的身份识别信息统一起来,这样不仅有利于优化医院内部的操作流程,也能够为实现区域医院间的资源共享打下坚实基础[12]。而且MIDB还提供云网关的身份验证服务,能够注册、验证、登陆相关的云网关,而对于云服务器未经授权的访问将被MIDB禁止,以确保数据信息的安全。
(2)云网关的部署:云网关安装在医院数据中心内,在DICOM对象系统和云服务之间构筑一座桥梁。公共云存储供应商通过因特网协议,诸如HTTP上的基于RESTful协议的应用程序接口API来实现云服务与客户端的连接,而非传统的存储区域网络(SAN)或NAS协议。但是对于PACS云架构来说,应用程序接口API是一个障碍[13],因为其不能将DICOM命令转换为web服务(WS)请求,也无法实现DICOM对象设备连接云存储服务的接口功能。因此需要开发一个DICOM to web云网关:提供存储(DICOM C-STORE)、查询/传输(DICOM C-FIND和C-MOVE)、获取信息对象(DICOM C-ECHO)、找回功能(DICOM C-GET)等DICOM服务。
(3)云平台供应商可以提供两种相分离的服务:云存储和云数据库。其中云存储用来对DICOM对象设备产生的加密图像进行备份,拥有弹性扩容、无限存储的特点,而云数据库则可以对D)ICOM元数据实施查询、修改、提取等功能。而传统的关系型数据库通过提交一个有效的链接字符串即可加入云数据库。云数据库解决了数据集中与共享的问题。但是值得注意的是,当涉及到隐私性的元数据时,例如:患者姓名、检查项目、主治医生等,云数据库必须向主索引数据库MIDB申请访问这些私密数据。本文提出的PACS即服务云平台架构,见图1。
4 讨论
随着云计算技术的逐渐成熟,越来越多的医疗机构开始将目光聚焦在基于云平台的可伸缩计算和海量存储数据中心架构上。国内外很多云供应商,例如Google存储、Amazon S3存储等,这些不同的云平台存储与访问的接口(应用程序接口API)并不兼用。因此,若想获取绝对的数据安全,则要求将DICOM对象数据放在不同的云供应商处进行备份管理。数据冗余的实现不但能减少下载延迟,提高数据可用性,还可使用其他供应商进行还原,但接口的不兼容会形成一定障碍,因此开发出DICOM to web云网关显得格外重要。此外,DICOM to web云网关对于基于云计算技术的区域型PACS架构、数据共享、远程会诊的开发也是不可或缺的。
另外,在PACS即服务的云平台架构中查询、提取相应的数据时会不可避免地产生时间延迟。MRI、CT等影像设备产生图像的数据量非常大,并且临床上对于图像的精度要求又很高,导致服务器计算负荷过大,相关的图像在客户端的展现时间比较长。为解决上述问题,需要设计一个缓存服务器来解决DICOM对象数据的访问延迟,通过引入缓存服务器以优化性能、减少网络数据的响应时间。此外,还要求网络带宽要至少达到千兆以上[14,15],网络的高带宽对于减少数据延迟也是非常必要的。
将数据服务外包给云供应商,可以减轻医院PACS建设和维护的成本,但同时也带来了与安全有关的问题,即数据的私密性、耐久性和可用性等等。而PACS云架构可以将PACS的对象数据复制到多个云供应商,允许数据冗余。这样与仅使用单一的云供应商相比,影像数据的可用性将大幅提高。同时由于数据可以存储在多个云供应商,还会增加医疗数据的安全性。主索引数据库则提供云网关的登陆验证服务,能够注册、验证、登陆相关的云网关,而对于未经授权的访问将被主索引数据库禁止,以确保隐私数据的安全。
5 结论
基于云的“犯罪即服务”威胁银行 篇4
在Sophos的最新报告《Vawtrak-International Crimewareas-a-Service》中, 研究人员将研究的重点放在一名为Vawtrak的银行恶意软件上, 其泄露信息的途径通常是在URL参数中注入代码。用户在银行网站上输入相关信息时, 黑客能趁机窃取网上银行凭证, 目前该项攻击已经获得其他公司的安全专家的关注。
“Vawtrak最初以Gozi出名, 是Vawtrak运营者用来操作恶意软件的工具, ”安全公司Phish Labs的威胁情报总监唐·杰克逊 (Don Jackson) 说道, “但不同于Gozi, Vawtrak目前被视为是以僵尸网络为基础的网络犯罪恶意软件中‘最危险的威胁’。”
大概从2 0 0 6年开始, 基于Vawtrak的Caa S模式便更多地为人所知。研究人员表示, 目前, 犯罪团伙已完善Caa S模式的相关技术, 从而给予了他们攻击特定目标的能力。
Sophos公司的研究
Sophos公司在对Vawtrak僵尸网络的审查中发现, 过去3个月里, 德国、波兰、日本、美国、英国、澳大利亚、土耳其、斯洛伐克、捷克共和国、印度、意大利、沙特阿拉伯、阿联酋、马来西亚、葡萄牙和西班牙的银行机构和其他企业都成为它的攻击目标。
Sophos公司的发言人迈克·布拉德肖 (Mike Bradshaw) 表示, 到目前为止, 包括美国银行、富国银行、美国第一资本投资国际集团、花旗集团以及摩根大通银行在内的美国一些非常出名的金融机构已经受到这种类型的攻击。
然而, 面对信息安全传媒集团对此次攻击事件的调查询问, 以上机构没有作出回应, 同时, Sophos公司也表示不会对此次攻击作出任何评价。
但布拉德肖说, 受攻击的机构事后应该提醒网上银行的客户及时修复系统漏洞, 并安装最新的安全补丁, 确保他们的电脑受到保护。
“此外, 对银行业金融机构来说, 适当的端点保护 (防病毒) 软件是必须的, 而且务必时刻警惕可疑行为, 如在发起网上交易时被要求提供不常用到的信息。”
“银行也需要加强双重认证。”布拉德肖说。
Vawtrak的发展
Sophos公司发现, 在2014年9月到12月期间, Vawtrak是Web漏洞利用工具包中影响力位居第二的恶意软件。
“Vawtrak代表了11%的恶意软件, 它取代了以‘Zeus’恶意软件为主导的银行在线僵尸网络, ”布拉德肖补充说, “区别于Zeus和Spy Eye, Vawtrak运营者正在为传播Caa S模式建立新的僵尸网络, 而不是遵循一个更为传统的套件销售模式。”
Sophos公司注意到, 该代码注入攻击根据特定域名而定制, 具有很强的针对性。
“Vawtrak是一个窃取信息的恶意软件, 主要作用于绕过权限, 通过网上银行访问银行账户, ”Sophos公司指出, “不管是金融机构还是其他行业组织, 当计算机感染部分僵尸网络中的Vawtrak, 那么, 其在线账户的登录凭证都将遭到泄露。”
Caa S模式在进化
然而, 能让Vawtrak攻击如此引人注目的原因是在泄露网上银行凭证方面, 该Caa S模式传播恶意软件的范围比其他任何Caa S模式都要广泛。
“一个主要因素是广泛传播, ”安全公司Phish Labs的杰克逊说。“除非Zeus和它的许多新型变种恶意软件, 如Game Over, KINS, Zeus VM, Zberp等作为一个单一的恶意软件‘家族’, 其地位才会高于Vawtrak。”
从2014年9月开始, 安全公司Phish Labs便一直跟踪Vawtrak和它的僵尸网络。
“过去被Gozi控制的恶意软件如今进化成Vawtrak版本, 并在2007年初创造性地开创了Caa S模式, ”他说, “从2010年‘闪电战计划’开始, 直至2014年6月发现的最新活跃情况, Caa S模式的进化持续令人瞩目。”
杰克逊说, Phish Labs公司的研究分析和情报部门最近发现, 自2014年9月开始, Vawtrak的新版本在软件开发方面出现了大幅度加速, 驱动了Vawtrak的Caa S模型和其不断扩大的目标配置以同样的速度增长。
Sophos公司还发现, Vawtrak从早期的恶意软件开始便懂得如何利用网络。
“Vawtrak同样以Never Quest和Snifula出名, 它们能将动态链接库注入到浏览器程序内, ”Sophos在报告中提到, “用户访问被攻击的网站时, Vawtrak会注入额外的代码到该网页中。这些额外的代码有多种用途, 包括绕过双重认证;试图通过社交网络, 利用移动恶意软件的组件攻击用户;自动发起调出被攻击用户的账户, 随后藏匿证据。”
Sophos公司在其报告中总结道, 被窃取的凭据将与注入的代码和被攻击用户的计算机相结合, 通过欺诈性转让, 达到由Vawtrak僵尸网络控制银行账户的目的。
同时Sophos公司指出, 通过这样的途径, Vawtrak的运营者会根据犯罪客户的要求发起攻击活动, 向犯罪客户销售从僵尸网络中得到有效的数据。“这是Caa S的一种攻击模式, 我们已经在其他比较出名的银行恶意软件中看过, 如Gameover Zeus, 而它也是欧洲网络犯罪中心互联网有组织犯罪威胁评估的研究对象。”
络情报公司Intelcrawler首席执行官安德鲁·科马罗夫 (Andrew Komarov) 则表示, 黑客正越来越频繁地对美国以外的银行机构发起攻击。
“美国银行已经无法满足各类欺诈的欲望, 且目前大量的客户保护机制已得到成功提升, 这就导致一些新趋势的蔓延, ”科马罗夫解释道, “欧盟和英国的钱骡业务 (Money mule) 已经有了明确的增长, 这现象也表明了欧盟国家未来可能是网络罪犯的重点攻击对象之一。”
平台即服务 篇5
漫步校园, 赵彬一边给记者介绍学生的书法习作, 一边谈自己的办学理念, “我们的办学理念是培养有个性的学生, 造就有品位的教师, 构建有特色的学校。”
工作20年, 走过不少学校的赵彬, 曾干过教师, 当过少先队干部、德育主任、教务主任……这些经历, 让赵彬积累了不少工作经验。
“用有工作热情的人, 用有工作能力的人。”这是赵彬一直坚守的选人、用人原则。“管理即支持, 调动即服务;调动一个人, 影响一大片。”在赵彬工作过的几所学校, 我们都可以看到这一管理理念的体现:在原汪庄子小学工作时, 一位懂民族器乐的教师由于受到他的鼓励, 培养出了一支民族器乐队, 并连年在市文艺展演上获一等奖。在大桥道小学工作时, 他让一位在传达室工作曾教过美术的教师办起了“第二课堂”, 在全校340多名学生中, 组织200名学生参加“第二课堂”学习国画和中国书法。在盘山道小学, 因为他启用了一位体育教师, 学校被命名为“国家曲棍球女子少儿培训基地”, 仅半年时间, 这支“小字辈”队伍就在“全国女子少儿曲棍球锦标赛”上一举夺得第五名的好成绩。
在盘山道小学, 他还根据教师们的教学风格和特长, 开展了“育人奖”“耕耘奖”和“骏马奖”等三项评选活动, 对业绩突出、有创新潜力的青年教师给予特别“关注”, 鼓励他们多出成果、早日成才。也正是这些激励机制, 使如今的学校拥有校级骨干教师28名;教师学历层次大幅提升, 其中研究生学历2名;45岁以下的中青年教师已100%取得计算机高级合格证书;所有英语教师参加了培训, 进一步提高了教师们的教育教学水平和能力。