云平台安全规范管理(通用8篇)
篇1:云平台安全规范管理
ICS 点击此处添加ICS号 点击此处添加中国标准文献分类号
DB36 地
方
标
准
江西省
DB XX/ XXXXX—XXXX 江西省省级电子政务云平台资源服务管理
规范
Specification for Resource Service Management of Jiangxi Provincial E-government
Cloud Platform 点击此处添加与国际标准一致性程度的标识
文稿版次选择
XXXXXX发布 XXXXXX实施
江西省质量技术监督局 发布
DBXX/ XXXXX—XXXX
目 次
前言................................................................................II 引言...............................................................................III 1 范围..............................................................................1 2 规范性引用文件....................................................................1 3 术语与定义........................................................................1 4 政务云平台提供的资源服务类型......................................................1 5 申请条件..........................................................................1 6 申请流程..........................................................................2 7 政务云平台资源申请单位必须遵守以下规定............................................2 8 省信息中心应承担以下职责..........................................................2 9 争议解决与不可抗力................................................................3
I
DBXX/ XXXXX—XXXX
前 言
为加强省级电子政务云平台(以下简称政务云平台)的规范化、标准化管理,合理分配和管理各种资源,确保各业务系统安全稳定运行,根据《国家电子政务外网政务云安全技术要求》,并结合我省电子政务云平台实际,特制定《江西省省级电子政务云平台资源管理规范》。(以下简称规范)。
本规范按照GB 1.1—2009给出的规则及政务云安全的实际需求起草。本规范由江西省信息中心政务云小组提出并归口。本规范起草单位:江西省信息中心。
本规范主要起草人:金俊平、杜军龙、周剑涛、刘芳芳、胡坚勇、郑自。
II
DBXX/ XXXXX—XXXX
引 言
《江西省省级电子政务云平台资源服务管理规范》是指导省级电子政务云平台进行业务应用系统的部署、运行维护、安全管理的规范化工作依据。
本规范加强了省级电子政务云平台的规范化、标准化管理,合理分配和管理各种资源,确保各业务应用系统安全稳定运行。
III
DBXX/ XXXXX—XXXX 江西省省级电子政务云平台资源服务管理规范 范围
本规范适用于使用和运营省级电子政务云平台的省级政务部门、各设区市信息中心。2 规范性引用文件
GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 31168 信息安全技术 云计算服务安全能力要求 ISO/IEC 17788:2014 信息技术 云计算 概述和词汇 3 术语与定义
下列术语和定义适应于本文件。3.1 政务云 government cloud 用于承载各级政务部门开展公共服务、社会管理等电子政务业务信息系统和数据,及政务门户网站的云计算基础设施,可根据不同业务和需求提供IaaS、PaaS、SaaS服务。
3.2 申请单位 applicant 使用云计算平台处理、存储数据和开展业务的各级政务部门。4 政务云平台提供的资源服务类型
4.1 计算类资源服务:虚拟主机、物理主机服务; 4.2 存储类资源服务:云存储服务;
4.3 网络类资源服务:虚拟私有云、负载均衡、政务外网、互联网服务;
4.4 安全类资源服务:虚拟化防火墙、虚拟化防病毒、IPS、Web应用防火墙、数据备份服务; 4.5 综合类业务:虚拟数据中心服务。5 申请条件
5.1 申请单位为省级政务部门、各设区市信息中心,部署的业务系统为非涉密、非盈利性政务信息系统;
5.2 申请部署的业务系统必须稳定,正在开发和调试的系统不予受理。
DBXX/ XXXXX—XXXX 6 申请流程
6.1 申请单位向省信息中心来函(加盖单位公章)申请政务云平台资源服务,在函中说明资源需求;
6.2 省信息中心收到申请函后,核实申请单位的条件,满足则进行受理;
6.3 经省信息中心审核符合条件的单位填写《省级电子政务云平台资源申请表》(加盖申请单位公章,见附件),送交省信息中心办理;
6.4 省信息中心收到申请表后,将根据申请单位的要求和政务云平台资源情况,进行资源预分配和核实。通过后,将函复申请单位;
6.5 申请单位收到函件后,双方商议业务系统部署具体事宜,并开始部署工作;
6.6 申请单位业务系统部署完成后,经试运行,省信息中心根据实际需要调整预分配资源; 6.7 业务系统稳定运行后,双方签订《省级电子政务云平台资源租用协议》。7 政务云平台资源申请单位必须遵守以下规定
7.1 申请单位要指定专人负责管理申请的政务云平台资源,并将该工作人员的有关情况报省信息中心,如有人员变动应及时告知省信息中心;
7.2 申请单位自行管理在政务云平台上部署的业务系统,包括业务系统的维护、更新、升级、安全防护(包括所有密码账户的保密及管理、系统端口的权限控制)等; 7.3 申请单位对所分配的政务云平台资源只有使用权,不得挪作他用;
7.4 申请单位运维人员进出政务云机房须遵循江西省电子政务外网数据中心机房相关管理规定;
7.5 申请单位只能对本单位申请的政务云资源进行操作,禁止对其他设备进行操作; 7.6 申请单位要对部署业务系统所运行的系统版权合法性负责;
7.7 申请单位不再使用政务云平台资源时,应及时通知省信息中心,办理资源撤消手续,终止有关服务。省信息中心应承担以下职责
8.1 为申请单位提供良好的业务系统运行硬件环境,保证业务系统安全稳定运行,并为申请单位管理提供便利;
8.2 如果申请单位发布的信息违反国家有关部门规定,或业务系统主机对外产生大量攻击影响政务云平台其他业务系统运行,省信息中心有权中断网络服务,直至申请单位完成整改为止; 8.3 当业务系统出现故障,或受到外来攻击等异常情况时,应向申请单位提供技术支持,协助解决问题;
DBXX/ XXXXX—XXXX 8.4 省信息中心根据管理需要,定期要求申请单位开展必要的安全检查。9 争议解决与不可抗力
9.1 由于不可抗力因素引起断电、断网或供电、通信不稳定等造成业务系统不能访问、数据丢失等问题,省信息中心不承担责任;
9.2 省信息中心保留对本管理办法的最终解释权。
表1 省级电子政务云平台资源申请表
DBXX/ XXXXX—XXXX 单位名称申请人申请日期联系方式
一、系统情况说明系统名称系统简介(简要说明)系统服务对象政务部门社会公众系统部署区域政务外网应用区互联网应用区
二、资源需求
1、主机资源申请开放端口、协议、公网IP地址需求服务类型云主机类型数量CPU规格内存规格磁盘规格操作系统数据库中间件2VCPU4VCPU8G16G32G其他__G8G16G32G其他__G磁盘数量__个磁盘容量200G300G400G其他__G其他_________其他______Windows 2008企业版64位(预安装,自行激活)Oracle12cTongWeb6.0(预安装,自行激活)中标麒麟操作系统其他______服务器8VCPU其他__VCPU云主机申请2VCPU4VCPU磁盘数量__个磁盘容量200G300G400G其他__G其他_________其他______Windows 2008企业版64位(预安装,自行激活)Oracle12cTongWeb6.0(预安装,自行激活)中标麒麟操作系统其他______其他服务器8VCPU其他__VCPU4路8核128G300GWindows 2008企业版64位(预安装,自行激活)Oracle12cTongWeb6.0(预安装,自行激活)中标麒麟操作系统服务器4路10核256G600G物理主机申请4路8核128G300G其他_________其他______其他______Windows 2008企业版64位(预安装,自行激活)Oracle12cTongWeb6.0(预安装,自行激活)中标麒麟操作系统其他服务器4路10核256G600G其他_________其他______其他______已购买或将购买所有第三方软件授权(包括操作系统,数据库软件等,将提供授权复印文件作为附件备案)第三方软件租用申明需要向云平台租用以下第三方软件授权请在这里填写需要租用的第三方软件版本(包括操作系统与数据库软件等)及数量等信息资源需求补充说明
2、存储空间申请存储空间申请200G500G1T其他______
3、虚拟数据中心(VDC)申请VDC名称VDC申请CPU上限使用期限______VCPU管理员账户内存上限其他_____G管理员密码存储上限_____T申请单位(盖章):______________表2
_________________________________
篇2:云平台安全规范管理
第一章 总则
第一条 为了加强中山市电子政务云服务平台(以下简称云平台)资源管理,确保资源的合理分配和安全使用,根据《中山市电子政务云服务平台管理暂行办法》(以下简称《管理办法》),制定本实施细则。
第二条 市经济和信息化局是云平台的主管部门,负责统筹云平台资源管理工作;云平台资源使用单位(以下简称用户单位)依据各自责任,协助主管部门和运营单位做好云平台资源使用及安全管理工作;云平台运营单位配合主管部门具体负责云平台资源提供及安全管理服务。
第三条 本细则所指云平台资源是中山市电子政务云服务平台为用户单位提供的计算、存储、网络等云资源,具体包括但不限于:
(一)云计算资源。云平台运营单位根据用户单位需求和主管部门审批意见,为用户单位提供虚拟主机服务,用户单位须明确虚拟主机的CPU核数、内存容量、存储容量、端口开放需求和配套设备运维需求。
(二)云存储资源。云平台运营单位根据用户单位需求和主管部门审批意见,为用户单位提供保存系统数据、图片、视频和 备份文件的云存储资源。
(三)第三方软件资源。云平台运营单位根据用户单位需求和主管部门审批意见,为用户单位提供操作系统、数据库、中间件、服务器防病毒、备份工具等第三方软件。用户单位应优先使用自有的正版第三方软件,建议用户单位原则上使用开源软件,如需使用云平台提供的付费第三方软件,用户单位需求须通过按《管理办法》要求组织的专家评审。
(四)云网络资源。云平台运营单位根据用户单位需求和主管部门审批意见,为用户单位提供互联网、党政内外网、业务专网、无线网络、VPN远程访问和其他网络接入服务。用户单位云网络资源需求须明确网络接入地点、数量、带宽和价格等要求,并须通过按《管理办法》要求组织的专家评审。
(五)云安全服务。云平台运营单位提供满足等保三级要求的基础设施安全配套服务。用户单位如需选用云平台运营单位提供的增值安全服务,须通过按《管理办法》要求组织的专家评审。
第四条 云平台服务范围。云平台主要为中山市市直机关及事业单位(含下属单位)、各镇区网站和经市政府批复同意的重点信息化项目提供资源服务。
第二章 部门职责
第五条 市经济和信息化局是云平台的主管部门,在新建电 子政务项目技术评审阶段就项目对云平台资源的需求提出意见;在项目进入实施阶段后,负责云平台资源的申请受理、评估、审批、统筹、协调及管理工作。
第六条 用户单位按需向市经信局提出云平台资源申请,填写《云平台资源申请表》,经市经信局评估、审批和分配资源后,负责对云平台资源的使用和安全进行管理,包括但不限于虚拟主机和账户密码管理、协调软件开发单位合理使用资源、资源使用反馈、信息系统维护等。用户单位须协助云平台运营单位开展安全管理工作。
第七条 云平台运营单位按照主管部门要求,具体负责云平台资源分配实施、资源监控报告、平台运维优化、故障响应、技术支持、平台资源扩容等运营管理工作。
第八条 市公安局是云平台信息安全工作的监督和指导单位,云平台运营单位在市公安局的指导下,按照信息安全有关工作要求,做好云平台信息安全管理工作。
第三章 用户单位前期需求的确定
第九条 新建电子政务项目在技术评审阶段,项目建设方案须参考云平台服务目录,明确云平台资源使用需求。
第十条 新建电子政务项目须参照云平台网络规划,明确云网络资源需求,并经市经信局组织的技术评审和市财政局绩效预 算审核后,作为云平台运营单位进行网络采购的依据。
第四章 云平台资源申请管理
第十一条 用户单位可参照云平台资源服务目录提出资源申请,流程为由用户单位向市经信局提交资源申请表(见附件),市经信局经过内部审批向云平台运营单位发出资源审批意见,云平台运营单位根据资源审批意见分配资源并通知用户单位,协助用户单位进行系统部署或调整。
第十二条 云平台资源申请时间要求。用户单位关于云计算、云存储、第三方软件资源(变更)的申请,须提前于计划实施目标日前至少5个工作日提出申请;云网络资源(变更)申请和云安全服务(变更)申请,须提前于计划实施目标日前至少30个工作日提出申请。
第十三条 用户单位申请将已建信息系统迁移到云平台时,原则上要继续使用前期已采购的操作系统和数据库等第三方软件正版授权,云平台不再安排。
第十四条 用户单位在填写云平台资源申请时,应根据项目建设方案及业务需要,结合信息系统未来3个月的资源需求提出申请,对于资源需求超出实际情况的申请,云平台将根据评估情况做出合理化分配建议。
第五章 云计算资源管理
第十五条 资源分配和使用原则。用户单位应根据业务需要向市经信局提出资源申请,市经信局评估、审批后分配资源总额和初始资源额度,云平台运营单位按初始资源额度分配资源,并监控资源使用情况,在资源总额范畴内,云平台运营单位可根据用户资源使用情况进行动态调整,用户单位可通过邮件方式提出申请,资源调整操作完成后由云平台运营单位通知主管单位和用户单位。如资源使用量已达总额仍不能满足信息系统实际需求,用户单位可再次提出资源申请。
第十六条 云计算资源的初始分配。市经信局通过对在云平台运行的多个信息系统资源使用情况进行统计分析,按照一般性网站及OLTP系统、较大型网站及多用户OLTP系统、大型服务网站和信息系统等三个类别进行资源初始分配。
第十七条 云计算资源升级。在资源总额范畴内,云主机资源的升级按照以下管理原则进行。
(一)达标升级原则。各单位云主机资源需达到一定使用量或条件时才可申请升级,具体如下:
(1)CPU周平均使用率超过80%及以上;
(2)1小时内CPU使用峰值超过90%达到3次以上;(3)内存周平均使用率超过80%及以上;(4)1小时内存使用峰值超过90%达到3次以上;(5)存储空间使用率达80%以上;
(二)临时升级原则。当用户单位的信息系统出现可预期的访问高峰时,用户单位在明确升级时间长度和资源需求后,可向市经信局提出资源临时升级申请。
(三)应急管理原则。云平台运营单位在发现用户部门的云主机出现资源瓶颈情况时,应及时采取资源升级操作并通知用户部门。
第十八条 云计算资源的变更。用户单位需对已分配的云计算资源(第三方软件)进行变更时,须提交资源变更申请,按照申请流程办理。
第十九条 云计算资源的回收。用户单位已申请的资源如出现闲置时可通知云平台主管单位和运营单位进行资源回收。云平台运营单位每季度整理出资源使用率偏低的云主机,对于资源长期闲置不用或已停止服务的主机,在经用户单位和主管部门确认后将收回资源。
第二十条 云主机端口开放管理。用户单位须充分重视应用系统的端口开放管理,在申请端口开放时做到以下几点:
(一)明确端口用途和范围。每一个开放端口均需明确用途和开放范围(互联网、党政外网、部门专网或固定IP),短期无明确用途的预留端口不建议申请,同时端口的开放范围能小则小(最好精确到IP),以减少安全风险。
(二)为加强安全管理,常用端口如TCP21(FTP)、TCP1433(Microsoft SQL)、TCP1521(Oracle)、TCP3306(My-SQL)、TCP50000(DB2)、TCP5000(SyBase)等传输数据类,通常只允许在用户单位应用系统不同云主机之间访问,而不允许外部访问,如需要在非云平台环境内访问此类端口,需要修改到其它非周知端口。
(三)对于不再使用的端口,用户单位应及时通知云平台主管单位和运营单位进行端口权限取消工作,以减少安全漏洞。
第二十一条 VPN账户管理。用户单位须充分重视VPN账户管理,在申请VPN账户时做到以下几点:
(一)申请资格:没有连接党政外网的用户单位允许申请(用户单位有党政外网,但云主机上系统由用户单位的外包单位维护,且外包单位无党政外网的情况时,视为有党政外网);有连接到党政外网的用户单位但有非工作时间需要连接上云主机运维的允许申请一个唯一帐号。
(二)帐号管理:申请的用户单位对任何经由该帐号所产生的安全事件负责。
(三)帐号有效期:所有申请SSL VPN帐号原则上申请使用的有效期不超过3个月。
(四)帐号访问权限修改:用户单位对帐号的访问云主机运维IP、端口权限增加或减少,用户单位须填写申请表交主管 单位审批后由运营单位实施。
第六章 云平台网络资源管理
第二十二条 党政内网和党政外网资源管理。党政内网和党政外网的新增、迁移和撤销申请由市信息中心按照相关流程审批后交由云平台运营单位实施。
第二十三条 对于由用户单位自行负责租赁费用的网络链路需接入云平台网络的,由用户单位提出申请,经审批后实施。
第二十四条 对于由云平台运营单位负责租赁费用的网络需求,数量规模较大的(超过5条链路)须经市政务信息化项目流程进行技术评审和预算绩效审核后实施,数量规模较小的(不超过5条链路)由云平台运营单位参照已提供服务的同类链路价格水平实施,并报云平台主管部门备案。
第二十五条 对于由云平台运营单位负责租赁费用的部门专网,凡涉及到链路增减、带宽调整、点位迁移等变更情况,由用户单位向主管部门提出申请,经审批后由云平台运营单位负责实施。
第七章 云平台资源安全管理
第二十六条 用户单位应安排负责科室(部门)作为云平台资源使用和安全的管理科室(部门),管理云主机的用户名和密码等重要资料,按业务需求提出云平台资源申请。当用户单位 的云平台资源管理科室(部门)发生调整时,用户单位应及时通知云平台主管部门。
第二十七条 用户单位不得随意改变已分配资源的用途及应用系统端口,如确实需进行更改,须经过资源变更审批流程后方可变更。
第二十八条 用户单位须做好应用系统安全防护(如修补安全漏洞等)。应用系统上线前用户单位应通知云平台运营单位,由云平台运营单位进行安全检测,通过后方可正式上线。
第八章 云平台的运维管理
第二十九条 云平台运营单位应在每月中旬向各用户单位提供上一月度的资源使用月报,并根据用户单位的反馈解决问题,完善服务。
第三十条 云平台运营单位须对云主机及应用系统进行监控,当用户单位云主机或系统出现故障时,应及时通知用户单位和主管部门,并按照应急处理机制落实各项措施。
第三十一条 云平台运营单位每季度须对云平台进行定期维护,并提前15个工作日向云平台主管部门提交维护计划,审核通过后,须提前5个工作日通知用户单位,各用户单位需配合云平台做好维护工作。
第九章 附
则
第三十二条 本实施细则自印发之日执行。
篇3:云平台安全规范管理
在企业信息化建设水平不断提高的情况下, 我国众多企业逐渐发现了传统的、简单的、分散的IT架构弊端, 即传统IT架构存在着利用率较低、资源管理较分散、服务器以及应用软件较为杂乱、管理成本较高等问题, 影响企业业务质量与管理水平。此外, 近年来, 云计算已经成为信息技术领域比较热门的技术, 受到了各个行业的重视, 其能够对企业当中现有的IT资源进行良好的管理与整合, 且能够具有一定快速性。据此, 众企业为了能够满足自身一体化业务平台的建设需求以及自身的发展需求, 均纷纷重视应用云计算技术进行企业私有云平台的建设。
1云计算内容概述
云计算是一种能够通过互联网技术, 以按需和便捷的形式, 从可配置的、共享的计算资源当中获取服务的全新业务模式。由此可见, 云计算属于全新的IT能力交付模式, 能够通过互联网向用户提供良好的计算资源环境, 帮助其实现服务。一般情况下, 只要用户能够提出服务要求, 其便能够根据要求进行信息资源的获取, 进而将所有的软件升级、硬件投入、数据存储、信息安全等均涵盖在“云”当中, 通过云计算进行处理与解决。与传统的IT架构相比较而言, 云计算具有动态性、可伸缩性, 且能够根据用户的需求而恰当的提供资源, 使用方式十分的便捷, 对于诸多信息资源亦能够高度整合。在云计算当中存在着三大服务模式, 即Iaa S———基础设施即服务、Paa S———平台即服务和Saa S———软件即服务。当前阶段, 我国诸多企业进行私有云平台建设时, 比较关注在Iaa S模式的基础上, 通过网络虚拟化、服务器虚拟化和存储虚拟化等诸多手段, 实现对IT资源的最大化利用。与此同时, 亦在不断进行Paa S模式和Saa S模式的转换研究, 由于过程比较复杂, 仍旧需要不断努力。
2企业私有云平台建设中的云安全管理问题
2.1存在传统信息安全风险
现阶段, 即便众多企业能够进行私有云平台的建设, 对云计算技术进行良好的应用, 但是, 其私有云模式下的传统信息安全风险依然存在。事实上, 云计算模式下所产生的云安全管理问题, 与传统的信息安全管理问题并不存在着较大的本质区别。就云安全管理问题而言, 其所设计到的风险因素因包括在应用层与网络层当中。例如, 在应用层当中, 应用系统可能会在其转移到私有云平台之前便遇到安全管理问题, 包括内部员工风险、黑客入侵、恶意代码攻击、拒绝服务攻击等诸多比较常见的安全管理行为与风险。该部分安全管理问题在应用系统转移至企业私有云平台以后并不会自行消失, 反而依旧存在。因此, 企业在进行私有云平台建设安全管理时亦需要予以上述安全管理问题高度重视。
2.2具有一定决策导向性
企业的私有云平台建设当中存在着一定的决策导向性。就云安全问题而言, 其并非简单的、单纯的技术型问题, 亦涉及决策与管理方面的内容。企业进行私有云平台的建设, 应用当中必须要慎重考虑隐私与安全问题, 而对隐私与安全会产生影响的诸多因素当中, 决策因素占比已经超过了30%。可以说, 企业在对是否采用云计算应用进行决策时, 云安全问题已经成为关键的考虑内容之一。产生该问题的主要原因在于, 云计算具有较高流动性和无边界性, 在应用的过程当中会产生诸多全新的安全问题。此外, 云计算由于其自身比较先进的特点, 对传统的网络安全和信息安全均会产生十分重大的影响。
2.3风险等级高于传统系统
企业进行私有云平台建设, 必须要应用全新的云计算技术, 必须要进行安全管理思路的创新。一般情况下, 企业私有云平台在建设完成后, 其自身原有的大部分应用系统将能够通过虚拟化的网络技术以及服务器技术和存储技术等转移至私有云平台当中。因此, 企业所建设的私有云平台便需要具有比较强大的安全防护能力, 要有比较快的相应速度以及比较完善的防护策略与防护机制。该方面则必须要通过全新的、先进的、高层次的防御思路予以支持, 以此提高企业私有云平台的安全防护等级。鉴于此, 企业首先要提升其私有云平台的防火墙等引荐安全设备防护力度与性能, 对各个系统的单机防护策略要做出相应改变, 且要对主机的可靠性以及运算性能进行恰当的提升, 对于整个私有云平台的容灾备份机制进行良好的完善。此外, 企业亦需要对诸多系统以及关键数据做好隔离工作, 加强各个用户之间的边界安全防护, 有效组织木马、病毒、蠕虫等的内部快速传播。由于私有云平台的安全管理风险等级高于传统系统, 企业在建设私有云平台时便比需要做出更大的努力, 提供更充足的投资支持。
2.4账户安全问题凸显
企业私有云平台的建设当中, 与企业诸多业务相关的多用户数据、信息等均集中在私有云平台上, 处于共享的环境当中, 因而需要做好更加严格的数据隔离。在此方面可以采用数据加密的方式进行安全防护, 但是安全防护力度远远不足。例如, 企业存在着诸多的特权用户, 其能够在除了公司以外的诸多公共场合比较频繁的访问或者使用公司私有云平台的相关信息与数据。该种情况下便极有可能会出现账户被盗、数据泄露等安全管理风险。虽然运用账户控制能够帮助用户进行部分黑客或者恶意软件攻击的防范, 但是却无法避免受到非法软件中隐藏的木马, 以及用户自行下载的文件当中出现错误信息所产生的干扰。一旦用户不能够对上述问题及时发现, 便会出现比较严重的账户安全问题。
2.5信息系统向私有云平台迁移的安全问题
与公有云平台相比较而言, 企业信息系统在向私有云凭他爱迁移时所产生的安全管理风险比较小, 但是仍旧存在着软件许可、应用可靠性以及法规遵从等诸多问题。一般情况下, 用户在向私有云平台进行迁移时, 其必须要能够对私有云平台的运营管理以及系统建设安全问题有所了解, 并且要能够采用恰当的手段制定有效的、成熟的解决方案。与此同时, 用户要能够进行数据备份, 建立相应的系统容灾以及业务回退等确保私有云平台安全运行的工作机制, 以此提高私有云平台运营的安全性, 保障企业的信息系统能够顺利向私有云平台进行迁移。
2.6共享基础设置具有安全风险相关性
虽然众多企业均进行了私有云平台的建设, 但是众多企业信息系统均搭建于同一个私有云平台, 会对该私有云平台自身的安全性, 以及应用系统的安全性提出更高的要求。主要原因在于, 企业私有云平台的主机安全以及物理安全均会对整个企业的全部业务系统产生安全性影响, 在私有云平台的主机安全以及物理安全出现问题的情况下, 将会导致整个企业系统出现瘫痪的风险。与此同时, 企业的各个信息系统均搭建于同一个私有云平台上, 更便于木马、病毒、蠕虫等进行快速的内部传播, 对企业的信息、数据安全性产生严重威胁。
3结论
综上所述, 先进的云计算技术能够帮助企业降低信息与数据管理成本, 提高诸多业务的运行效率, 因而诸多企业均纷纷建立私有云平台。但是, 与传统的IT架构相比较而言, 企业私有云平台却存在传统信息安全风险、具有一定决策导向性、风险等级高于传统系统、账户安全问题凸显、信息系统向私有云平台迁移的安全问题, 以及共享基础设置具有安全风险相关性等诸多安全管理问题。为此, 企业必须要予以高度重视, 以便更好地应用云计算技术, 促进企业在当今信息时代获得稳健发展。
参考文献
[1]苏奎.云计算平台下的电子政务基础设施研究[D].山东师范大学, 2012.
[2]王丹丹.云计算环境下企业反竞争情报体系的构建研究[D].华中师范大学, 2012.
篇4:云平台安全规范管理
关键词:企业私有云;云计算;云安全
中图分类号: G623.58 文献标识码: A 文章编号: 1673-1069(2016)31-15-2
0 引言
在企业信息化建设水平不断提高的情况下,我国众多企业逐渐发现了传统的、简单的、分散的IT架构弊端,即传统IT架构存在着利用率较低、资源管理较分散、服务器以及应用软件较为杂乱、管理成本较高等问题,影响企业业务质量与管理水平。此外,近年来,云计算已经成为信息技术领域比较热门的技术,受到了各个行业的重视,其能够对企业当中现有的IT资源进行良好的管理与整合,且能够具有一定快速性。据此,众企业为了能够满足自身一体化业务平台的建设需求以及自身的发展需求,均纷纷重视应用云计算技术进行企业私有云平台的建设。
1 云计算内容概述
云计算是一种能够通过互联网技术,以按需和便捷的形式,从可配置的、共享的计算资源当中获取服务的全新业务模式。由此可见,云计算属于全新的IT能力交付模式,能够通过互联网向用户提供良好的计算资源环境,帮助其实现服务。一般情况下,只要用户能够提出服务要求,其便能够根据要求进行信息资源的获取,进而将所有的软件升级、硬件投入、数据存储、信息安全等均涵盖在“云”当中,通过云计算进行处理与解决。与传统的IT架构相比较而言,云计算具有动态性、可伸缩性,且能够根据用户的需求而恰当的提供资源,使用方式十分的便捷,对于诸多信息资源亦能够高度整合。在云计算当中存在着三大服务模式,即IaaS——基础设施即服务、PaaS——平台即服务和SaaS——软件即服务。当前阶段,我国诸多企业进行私有云平台建设时,比较关注在IaaS模式的基础上,通过网络虚拟化、服务器虚拟化和存储虚拟化等诸多手段,实现对IT资源的最大化利用。与此同时,亦在不断进行PaaS模式和SaaS模式的转换研究,由于过程比较复杂,仍旧需要不断努力。
2 企业私有云平台建设中的云安全管理问题
2.1 存在传统信息安全风险
现阶段,即便众多企业能够进行私有云平台的建设,对云计算技术进行良好的应用,但是,其私有云模式下的传统信息安全风险依然存在。事实上,云计算模式下所产生的云安全管理问题,与传统的信息安全管理问题并不存在着较大的本质区别。就云安全管理问题而言,其所设计到的风险因素因包括在应用层与网络层当中。例如,在应用层当中,应用系统可能会在其转移到私有云平台之前便遇到安全管理问题,包括内部员工风险、黑客入侵、恶意代码攻击、拒绝服务攻击等诸多比较常见的安全管理行为与风险。该部分安全管理问题在应用系统转移至企业私有云平台以后并不会自行消失,反而依旧存在。因此,企业在进行私有云平台建设安全管理时亦需要予以上述安全管理问题高度重视。
2.2 具有一定决策导向性
企业的私有云平台建设当中存在着一定的决策导向性。就云安全问题而言,其并非简单的、单纯的技术型问题,亦涉及决策与管理方面的内容。企业进行私有云平台的建设,应用当中必须要慎重考虑隐私与安全问题,而对隐私与安全会产生影响的诸多因素当中,决策因素占比已经超过了30%。可以说,企业在对是否采用云计算应用进行决策时,云安全问题已经成为关键的考虑内容之一。产生该问题的主要原因在于,云计算具有较高流动性和无边界性,在应用的过程当中会产生诸多全新的安全问题。此外,云计算由于其自身比较先进的特点,对传统的网络安全和信息安全均会产生十分重大的影响。
2.3 风险等级高于传统系统
企业进行私有云平台建设,必须要应用全新的云计算技术,必须要进行安全管理思路的创新。一般情况下,企业私有云平台在建设完成后,其自身原有的大部分应用系统将能够通过虚拟化的网络技术以及服务器技术和存储技术等转移至私有云平台当中。因此,企业所建设的私有云平台便需要具有比较强大的安全防护能力,要有比较快的相应速度以及比较完善的防护策略与防护机制。该方面则必须要通过全新的、先进的、高层次的防御思路予以支持,以此提高企业私有云平台的安全防护等级。鉴于此,企业首先要提升其私有云平台的防火墙等引荐安全设备防护力度与性能,对各个系统的单机防护策略要做出相应改变,且要对主机的可靠性以及运算性能进行恰当的提升,对于整个私有云平台的容灾备份机制进行良好的完善。此外,企业亦需要对诸多系统以及关键数据做好隔离工作,加强各个用户之间的边界安全防护,有效组织木马、病毒、蠕虫等的内部快速传播。由于私有云平台的安全管理风险等级高于传统系统,企业在建设私有云平台时便比需要做出更大的努力,提供更充足的投资支持。
2.4 账户安全问题凸显
企业私有云平台的建设当中,与企业诸多业务相关的多用户数据、信息等均集中在私有云平台上,处于共享的环境当中,因而需要做好更加严格的数据隔离。在此方面可以采用数据加密的方式进行安全防护,但是安全防护力度远远不足。例如,企业存在着诸多的特权用户,其能够在除了公司以外的诸多公共场合比较频繁的访问或者使用公司私有云平台的相关信息与数据。该种情况下便极有可能会出现账户被盗、数据泄露等安全管理风险。虽然运用账户控制能够帮助用户进行部分黑客或者恶意软件攻击的防范,但是却无法避免受到非法软件中隐藏的木马,以及用户自行下载的文件当中出现错误信息所产生的干扰。一旦用户不能够对上述问题及时发现,便会出现比较严重的账户安全问题。
2.5 信息系统向私有云平台迁移的安全问题
与公有云平台相比较而言,企业信息系统在向私有云凭他爱迁移时所产生的安全管理风险比较小,但是仍旧存在着软件许可、应用可靠性以及法规遵从等诸多问题。一般情况下,用户在向私有云平台进行迁移时,其必须要能够对私有云平台的运营管理以及系统建设安全问题有所了解,并且要能够采用恰当的手段制定有效的、成熟的解决方案。与此同时,用户要能够进行数据备份,建立相应的系统容灾以及业务回退等确保私有云平台安全运行的工作机制,以此提高私有云平台运营的安全性,保障企业的信息系统能够顺利向私有云平台进行迁移。
2.6 共享基础设置具有安全风险相关性
虽然众多企业均进行了私有云平台的建设,但是众多企业信息系统均搭建于同一个私有云平台,会对该私有云平台自身的安全性,以及应用系统的安全性提出更高的要求。主要原因在于,企业私有云平台的主机安全以及物理安全均会对整个企业的全部业务系统产生安全性影响,在私有云平台的主机安全以及物理安全出现问题的情况下,将会导致整个企业系统出现瘫痪的风险。与此同时,企业的各个信息系统均搭建于同一个私有云平台上,更便于木马、病毒、蠕虫等进行快速的内部传播,对企业的信息、数据安全性产生严重威胁。
3 结论
综上所述,先进的云计算技术能够帮助企业降低信息与数据管理成本,提高诸多业务的运行效率,因而诸多企业均纷纷建立私有云平台。但是,与传统的IT架构相比较而言,企业私有云平台却存在传统信息安全风险、具有一定决策导向性、风险等级高于传统系统、账户安全问题凸显、信息系统向私有云平台迁移的安全问题,以及共享基础设置具有安全风险相关性等诸多安全管理问题。为此,企业必须要予以高度重视,以便更好地应用云计算技术,促进企业在当今信息时代获得稳健发展。
参 考 文 献
[1] 苏奎.云计算平台下的电子政务基础设施研究[D].山东师范大学,2012.
[2] 王丹丹.云计算环境下企业反竞争情报体系的构建研究[D].华中师范大学,2012.
篇5:云服务博物馆数字化管理平台
我公司新产品以通过简单的照片生成具有高分辨率的真实三维模型。近乎于没有任何限制的照片拍摄要求,并且数据处理的过程也具有高伸缩性和高效率,整个处理过程不需要人工干预,通常可以在数分钟至数小时的时间内完成数据处理。
UBII-PHOTO基于高性能摄影测量、计算机视觉与计算几何算法。在实用性、稳定性、计算性能、互操作性方面,能够满足严苛的工业质量要求。
关键优势:
快速,简单,全自动
UBII-PHOTO是一套基于图形运算单元GPU的快速三维场景运算软件,它能无需人工干预地从简单连续影像中生成最逼真的实景真三维场景模型。无需依赖昂贵且低效率的激光点云扫描系统或POS定位系统,仅仅依靠简单连续的二维影像,就能还原出最真实的实景真三维模型。
身临其境的实景真三维模型
UBII-PHOTO不同于传统技术仅仅依靠高程生成的缺少侧面等结构的2.5维模型,Smart3DCapture ™可运算生成基于真实影像的超高密度点云,并以此生成基于真实影像位纹理的高分辨率实景真三维模型,对真实场景在原始影像分辨率下的全要素级别的还原达到了无限接近真实的极致。
广泛的数据源兼容性
UBII-PHOTO能接受各种硬件采集的各种原始数据,包括大型固定翼飞机,载人直升机,大中小型无人机,街景车,手持式数码相机甚至手机,并直接把这些数据还原成连续真实的三维模型,无论大型海量城市级数据,还是考古级精细到毫米的模型,都能轻松还原出最接近真实的模型。
优化的数据格式输出
篇6:云平台安全规范管理
1、查看与设置老师角色。
学校云平台管理员用管理员账户登录云平台后,在运维管理中心下面的用户管理里,设置教师角色。
2、图书馆管理员的正确角色查看和编辑
学校的所有角色可以在运维管理中心的角色管理里查询和添加。
其中图书管管理员老师能用的角色有两种:
第一种是由省管理员添加的“图书馆管理员”角色
这个角色有个缺点就是其权限不可增加,部分既要管理图书馆又有其他事务的老师使用不方便。
第二种是设置正确自定义角色
这类角色由学校云平台管理员添加设置,可以自行编辑该角色在云平台拥有的权限,方便校内多职的教师使用。
篇7:云平台安全规范管理
一、运行平台系统硬件及系统要求:
1、电脑可以访问互联网。
2、本平台使用的浏览器版本IE8.0以上,办公软件OFFCIE2003以上和WPSOFFCIE。
3、电脑系统不能使用WIN7系统的HOME版本。
一、如何登陆后台?
在校内社区登陆窗口输入用户名和密码直接登陆,然后进入到个人中心,点击学校管理。
二、学校管理员在使用平台首先要做什么?
1、创建学校部门及职位,(集备组长可以不设置,在集备组里由加入教导处的人员在集备组里指定。)默认部门有教导处和校长室。学校部门具体功能:
○1教导处人员的功能:
A、在集备组指定集备组长。
B、有权查看所有班级的班级鉴评及班级成绩分析。C、有权查看所有学生的学生档案。
D、有权设定研修组及发布研修活动及删除功能。
E、有权设定学校公文夹栏目,对所栏目下的文件行删除功能。F、可以导出老师备课统计数据 G、可以查看教师成绩分析
H、可以创建教师沙龙的小组
I、可以在专业发展栏目中添加专家工作室和友情链接。J、可以在本校专业发展上添加本校小组,活动及投票。K、发布通知公告和会议。2校长室人员的功能: ○
A、有权查看所有班级的班级鉴评及班级成绩分析。
B、有权查看所有学生的学生档案。C、可以查看教师所带班级的分数。D、可以创建教师沙龙的小组。
E、可以在专业发展栏目中添加专家工作室和友情链接。F、可以在本校专业发展上添加本校小组,活动及投票。I、发布通知公告和会议。3其它学校部门的功能: ○
A、能在学校部门里发布通知公告和会议。
2、创建本校年级和班级(如不设置,学校页面会出现错误)
3、创建本校授课科目
4、设置学校电子档案的分类
5、设置学校办公OA的管理人员。注:电子档案的内容管理员必须安装PDF插件(插件由公司提供),使用方法看插件说明书。
三、学校管理员在使用平台要注意的问题
1、审核学校任课老师时,要认真核对老师的注册的信息(先班主任注册,管理员审核班主任和部门成员,班主任审核班级内的任课老师、学生及家长。)请特别注意班主任的身份是否正确。
2、学校用户加错班级或选错科目,可以退出后重新加入。
3、审核部门成员时,特别是教导处成员,一定要确认好在审核通过,防止给学校造成不必要的资料损失。
4、特别提示:班级创建了就不能在删除了,请一定要按班级实际数
量创建。
5、学校部门只能创建不能删除,只能进行编辑,在创建时一定要按照实际情况进行创建。
6、学校的科目只能创建和编辑,不能删除,在创建时一事实要按实际的情况进行创建。
7、电子档案的目录如删除,目录所有的文章会一起删除
8、电子档案在汇总后,以前的文档删除后,汇总后的文档也会一起删除。
9、集备组长在后台不用设置职位,在使用教学教研时,由加入教导处教师在集备组时指定即可。
10、学校管理员可以删除本校说说中不好的言论。
11、平台设定每年的7.31即是学校毕业时间,此时,学校班级自动毕业及升级,学校管理员只负责创建新班级即可。
12、学校用户在毕业后重新登陆时,要选择新的学校,然后,并选择需加入的班级即可。
13、通过审核后的教师要添加教师工作室。然后,才可以进行备课。
四、老师在使用平台时,应注意的问题:
1、浏览器IE8以上,搜狗浏览器等
2、老师在备课时,需要安装OFFCIE插件。用IE浏览器时如下图
1、插件安装 ○在发面备课里,系统会提示如下图
根据提示依次安装即可。(WEBOFFICE插件暂只支技以IE内核为主的浏览器(如搜狗、IE8以上等浏览器)。
五、加错班级或部门,可以退出后重新加入。
六、如何进行换校或调换班级
学校老师在调换班级时,退出以前加入班级,然后在加入新班级即可;如果是调换学校,先退出以前加入的班级和部门,然后,在退出学校,最后,根据系统提示选择加放新学校,并加入新的班级即可。
七、密码记怎么办?
1、如果学校管理密码忘了与平台客服联系。
2、学校老师密码忘了,与学校管理员进行联系。进行重置密码。
篇8:云平台安全规范管理
当前,我国已进入“突发公共事件高发期”和“社会高风险期”[1],有效地解决“两高”问题,改善我国的民生条件,保证社会的和谐稳定是我国政府的当务之急。2011年3月,我国颁发了《国民经济和社会发展”十二五”规划纲要》,其中明确指出“适应公共安全形势变化的新特点,推动建立主动防控与应急处置相结合、传统方法与现代手段相结合的公共安全体系”。这反映了我国政府对于公共安全的重视程度和解决公共安全问题的决心。
长期以来,我国加强公共安全管理工作的一个显著特点和重要经验是:及时依靠先进的科技手段来为公共安全提供科技支撑,有效提供公共安全管理的技术含量和响应能力[2],这促使了“面向公共安全的管理平台”已列入我国中长期规划的优先发展领域之一,而该平台的建设目标则是寻求先进的技术手段,致力于解决及时的灾情预防和灾情报告、统一的应急指挥以及有效救援的保障等公共安全管理问题。目前,新兴的物联网技术和云技术则正为这些问题的解决提供了有效的手段。
为此,本文基于物联网技术和云技术,深入探讨我国公共安全管理体系建设,从框架设计、标准制定、安全防护以及法律等几个层面入手,研究新一代公共安全管理体系的设计方法。
1 相关概念简介
1.1 公共安全管理平台
所谓公共安全管理,则是对人们进行正常生活和生产秩序的维护和保持,对打乱这些秩序的各类事件进行预警和处理的过程。而公共安全管理平台,则是为公共安全管理的实施提供的一种综合信息平台,对于公共安全的高效管理起着促进作用。
然而,传统的公共安全管理平台面临着诸多问题:(1) 信息采集困难。即缺少有效的手段,对危害公共安全的信息进行实时有效的采集,如食品质量信息的采集、水污染信息的采集。(2) 信息传递不及时。即缺少有效的通信手段,将采集的信息及时地传输到公共安全管理机构。目前,虽然有线网络的部署已趋饱和,无线网络的部署也在大力推广之中,但如何对危害公共安全的信息进行及时、安全地传输,仍然是一个难题。(3) 对信息的反应不及时。即尚无法对信息进行智能化的有效处理,并作出及时反应。由于公共安全的管理需要处理大量信息,而对信息处理不及时,或者对信息的处理无法实现智能化自动处理,都将会使公共安全的管理效果大打折扣。
1.2 物联网
物联网是一种物物相连的网络,即通过RFID(射频识别)技术、传感器技术、位置定位技术等手段来采集物体的各种信息,并通过网络将这些信息进行交换和处理,以实现物体的智能化识别、定位、跟踪、管理和监控。
由于物联网技术可以突破时空限制,全天候地在各种环境下搜集物体和环境的信息,并能够对这些信息进行及时地传输和处理,因此,在公共安全管理领域有着重要的应用价值[3]。2011年11月,我国颁发了《物联网“十二五”发展规划》,在“积极开展应用示范”一章中指出,“重点支持公共安全…等领域的物联网应用示范工程。发挥物联网技术优势,提升人民生活质量和社会公共管理水平,推动面向民生服务领域的应用创新。”这些预示着物联网技术将会在公共安全管理领域发挥着越来越重要的作用。
1.3 云技术
物联网技术的应用将会产生海量的感知数据,而云技术则是解决海量数据的存储和智能化处理的关键技术。云技术是由分布式计算、并行处理、网格计算以及虚拟化等技术发展而来的一种新型的商业计算模型,该模型能够提供一种巨型的计算资源池,可为用户提供所需的计算服务。
目前,云技术从架构上可以分为三种云,即公有云、私有云和混合云。其中公有云是云提供商在互联网上提供的一个公共的云平台,可为大众和不同的机构提供软件、架构和基础设施的服务;私有云是指云提供商在一个部门内部为该部门专利建立的云平台,由于私有云的服务器放置在本地,提供的是本地化、局域网式的云服务,因此其性能和安全性较好;混合云是公有云与私有云的一种混合模式,即部门根据自身的需求,将一部分自身的业务放在私有云上,而将对外提供服务的能力迁移到公有云上,以实现快速部署和成本降低。
采用云技术能够降低公共安全管理平台的成本,提高大数据的处理能力,同时有助于加强整个系统的安全防护能力。
可以看出,传统的公共安全管理平台面临的问题可以通过物联网技术和云技术有效地解决。因此如何将物联网技术和云技术相结合,建设新一代高效的公共安全管理体系,提高我国公共安全管理的效率,是我国政府的当务之急。
2 基于物联网和云的公共安全平台框架设计
物联网技术不仅涉及各种传感识别技术,而且还包括GPRS、3G、蓝牙、Zigbee、有线通信等多种网络通信技术,能够有效解决公共安全管理中信息的及时采集和传输问题。然而,由于引入了物联网技术,公共安全管理所涉及的监控对象将大为丰富,由此所带来的一个重要问题是,公共安全管理将面临海量的、存在着异常复杂关系的内容和数据[4]。如果无法对这些数据进行智能化分析和高效处理,则无法提取出有用信息用于公共安全的及时高效管理,使得物联网技术无法发挥出巨大优势。而云技术则是解决该问题的有效手段,借助于云平台的并行处理能力以及超强的计算和存储能力,使得公共安全管理平台能够对海量数据进行快速处理,进而可以大幅提高公共安全管理的应急响应和协同处理能力[5,6,7]。为此,我们设计出一种融合物联网技术与云技术的公共安全管理平台,如图1所示,该平台势必能大幅提高公共安全管理的效率。
如图1所示,该架构为一个层次型的管理平台架构,处于最底层的为物联网的感知层,用于感知各种涉及公共安全数据。感知的数据通过传出层上传到各公共安全职能部门的私有云中进行分析处理,并通过安全链路上传到公共安全云平台进行汇聚和整合。最终,各级公共安全管理中心可以利用公共云平台的高效分析处理能力进行公共安全里的决策和指挥调度。
基于这种架构,与传统的公共安全管理平台相比,该公共安全管理平台在公共安全管理信息的采集和处理中具备以下的功能和优势:
(1) 能够突破时空的限制,实现所需采集数据的实时感知和远程实时传输,大幅提高公共管理平台对于积极突发事件的应急处理能力。
(2) 利用各职能单位部署的私有云,能够在单位内部实现数据的集中处理和存储,这既充分利用了服务器集群的运算能力提高了数据处理的效率,而且也通过对数据的集中管控实现了感知数据的信息安全。
(3) 利用公共云平台的高性能运算能力和大规模的存储能力,能够对各职能部门上传的海量公共安全数据进行汇聚和处理,进而实现了对各个孤立的公共安全信息的整合,最终能够为高效的统一公共安全事件指挥调度提供支撑。
为了实现上述的应用家架构和功能,需要对该平台进行以下三个方面的设计和规划。
2.1 物联网感知层的设计
公共安全管理平台的感知层由各类具有数据传输功能的传感器组成,如温湿度传感器、位移传感器、放射源传感器,摄像仪器(视频传感器)等。这些传感器能够部署在各种环境中,实时感知不同物体的信息,并通过各种通信方式(如GPRS、蓝牙等)将数据传送到网关,从而实现公共安全信息的全天候监控,为公共安全管理提供第一手的数据。
2.2 传输层的设计
公共安全管理平台的传输层由感知层与网关间的传输、网关与私有云间的传输、私有云到公有云间的传输以及公有云与各级公共安全管理中心间的传输构成。在实现方式上,可将这几种传输分为以下两类。
(1) 感知层与网关间的传输
网关在逻辑上距离感知层较近,可按职能部门进行划分。每个网关负责汇聚本职能部门各类传感器上传的数据,并进行协议转换等初步处理。由于不同的传感器采用的通信协议不尽相同,因此,网关不仅需要支持蓝牙、Zigbee、GPRS、3G等无线通信,而且还应根据需求来支持有线通信,以便能传输数据量较大的视频信息。因此,具体实现中,网关可以采用多个支持不同网络协议的网关设备来是实现。
(2) 其他的传输
网关汇聚的传感器数据经过初步处理后,应通过统一的接口上传到职能部门的私有云中,以便进一步的数据融合和处理。由于汇聚后的数据量较大,同时为了确保数据的安全性,应采用高速安全的VPN(虚拟专用网)技术来实现数据的传输。而公共安全管理平台中的其他几类传输与此类似,其传输也应采用VPN技术来实现。
公共安全管理平台的传输层不仅仅需要承担公共安全数据的搜集功能,还应根据具体的管理要求对终端设备进行控制,如控制摄像头的摄像角度。因此,传输层应设计为双向传输。
2.3 混合云应用层
公共安全的管理并不是单一一个部门的职责,而是需要不同职能部门,如卫生、消防、农业、水利等部门的协作与相互配合,而不同的职能部门除了配合公共安全管理外,还有自身的业务数据和业务需求,因此,在公共安全管理平台云架构的设计上,我们采用私有云+公有云的混合模式,即混合云架构。
(1) 私有云
私有云由各职能部门借助云提供商的技术力量在部门内部进行建设,建设过程中应整合部门已有的计算资源,如服务器、存储设备等,以降低成本。该私有云建设的目的主要分为以下三部分:① 采用虚拟化技术为内部办公提供软件和平台服务;② 实现本职能部门的各种应用服务,如水污染监控部门可以在私有云上构建一个Web服务器,为公众提供水质量的查询服务;③ 将用于公共安全管理的数据经过预处理后,上传至公共安全管理平台,为各级的公共安全管理中心提供决策支撑。
(2) 公共安全管理云
公共安全管理应具有整合性,即能够关联各个孤立的监控系统,实现城市公共安全管理资源的优化整合,达到资源和信息共享的目的,为统一的公共安全应急调度指挥提供支撑。而实现这一功能的有效方式则是采用公共云技术,即在全国范围内建立一个公共安全管理云平台,将各个公共安全管理职能部门中有关公共安全的数据上传到该云平台上,进行统一的汇聚处理,以便为国家级、省级、市级等各级公共安全管理中心的公共安全事件预测与应急处理提供决策依据。
3 平台建设的关键问题
本平台的设计涵盖了物联网与云计算两大技术体系,在建设过程中必然会面临诸多问题,但其中两个最关键问题则是技术标准问题和信息安全问题。前者解决不好,则无法实现公共安全的统一管理;后者解决不好,则会带来严重的后果,乃至会危及国家安全。
3.1 技术标准化研究
技术标准化问题主要体现在物联网层面。目前,我国的物联网尚缺少统一的标准,呈现出技术体系的异构性,比如,产品提供商大都采用自己定义的数据格式,这必然会造成公共安全管理中的“信息孤岛”问题,无法满足跨行业的公共安全管理对于信息融合的需求。为此,必须加强我国具有自主知识产权的物联网标准化研究。标准化研究的重点应包括如下几个方面:
(1) 通信与信息交互标准
主要研究从物理层、MAC层、网络层等多个方面,制定物联网通信与信息交互的体系化标准,保证物联网网络协议具有自组织、自配置、鲁棒和扩展性。
(2) 协同信息处理标准
主要研究协同信息处理技术功能模块和接口设计,其中,功能模块指:协同信息处理功能模块,主要用于同网络层、应用层的交互功能;应用服务功能指:选择并发起信息确认、信息安全、信息决策等应用层支持服务。
(3) 标识标准
主要研究物联网节点标识的编码、解析和验证问题。其中,标识涉及身份标识和应用属性标识两部分;标识的编码涉及编码规则、编码格式和编码内容的设计。
(4) 接口标准
主要研究传感器数据接口和节点数据接口两部分。前者主要研究传感器的身份标识、被测量信息、映射方式、特性参数信息等的标准;后者主要研究节点总体参数、通道组参数、各类型通道的参数以及终端用户自定义的参数等。
(5) 安全标准
主要研究物联网的安全参考模型、安全策略的制定、安全功能和安全机制的定义、安全等级的划分等内容。
3.2 信息安全研究
公共安全管理平台采集和处理的数据涉及公共安全乃至国家安全,因此在平台的建设中,必须加强信息安全的防护工作。由于该平台是由物联网和云技术融合构成的复杂系统,因此,其安全防护主要涉及以下几个方面。
(1) 物联网感知层安全
物联网感知层的传感器设备通过对各种物体的感知,形成了一张无所不包的巨型网络,这是公共安全管理平台能够进行公共安全管理决策的数据基础[8]。但是,由于该层的传感器设备分散在不同的监控区域中,难以进行统一管理,同时,很多设备采用无线方式进行数据的传播,因此非常容易被恶意破坏或者控制,进而造成大规模、高智能、难以防御的恐怖事件和恶性案件[9]。例如,目前的传感器设备一般采用明文的传输方式,这必然会导致诸多安全问题:对无线信号进行监听,则会搜集大量的采集数据,用于不法用途;对信号进行篡改,或者通过恶意控制节点使其发送虚假数据,则会导致云端搜集的数据失真,进而导致对公共安全情况掌握的失真,严重时会导致无法进行有效的应急决策。
由于大量的传感器节点部署在野外环境中,而低成本的设计也造成这些传感器节点的能量低、计算能力弱、防护能力差,因此感知层安全问题的解决不同于有线网的传统安全解决方法,而应采用如下的解决方法:1) 在传感设备上采用低能耗、高效率的对称密码体制,并采用相应的密钥管理方法,实现传感设备与网关之间的安全通信;2) 对处于野外环境、难以被监管的传感器节点装备防窜扰装置,以免这些节点被恶意控制[10]。
(2) 传输层安全
传输层安全涉及网关与私有云之间、私有云和公共云之间的通信。由于这部分的传输实体一般是网关、服务器等高性能的计算设备,且通信线路采用的是高速有线传输,因此,可以采用传统的安全防护措施,比如,采用基于PKI技术的VPN来保证传输的认证性以及数据的保密性和完整性。
(3) 云端安全
尽管云技术是已有的网格计算、虚拟化、弹性计算等现有技术的融合,但是作为一种新的计算平台,云平台目前还无法与现有的安全产品进行有效融合,从而导致诸多的安全问题。例如,公共云平台,还无法对各个用户有效地提供如下的安全服务:IPS/IDS(入侵检测/入侵防御)、WAF(Web应用防火墙)、补丁管理、SOC Forensics(安全运营中心取证)等。
另外,由于内部办公人员对云平台有着更多的管理权限,当这些人员对云平台发起攻击时,往往造成比外部攻击更大的破坏,因此云平台内部的安全管控也十分重要。这不仅要在技术上加强对内部管理人员的身份认证、行为审计,还要加强对整个办公流程进行安全的监管。同时,还要制定完备的安全管理制度,对内部办公人员进行约束[10]。
尽管如此,与传统的管理平台相比,采用云技术将大幅提高整个公共安全管理平台的安全性。这是因为,云技术实现了对计算设备的统一管理和维护,解决了以往出于分布式状态的终端设备无法被有效监管的问题,避免了安全短板的出现,有效解决了信息安全上的“木桶效应”。
4 结 语
公共安全管理平台是一个复杂的信息系统,不仅需要实现全天候的公共安全信息的感知而且要求对海量数据进行实时的传输和智能化的处理。目前,方兴未艾的物联网技术和云技术为建设新一代的公共安全管理平台提供了良好的技术支撑。为此,本文首先将两种技术相融合,构建了一种新型的公共安全管理平台,以满足实时感知、即时传输、智能预测和处理的公共安全管理需求,然后对该平台建设中存在的标准化问题和信息安全问题进行了详细的论述。
参考文献
[1]叶开兴,李一川.物联网迈上新一代应急平台[N].计算机世界,2010-12-27.
[2]马鑫,黄全义,疏学明,等.物联网在公共安全领域中的应用研究[J].中国安全科学学报,2010,20(7):170-176.
[3]王可一.物联网:促进社会管理的新工具[J].政策瞭望,2011(4).
[4]赵壮.公共安全:物联网准备好了吗[N].计算机世界,2010-12-20.
[5]许泳.公共安全演练物联网[N].计算机世界,2010-11-01.
[6]田依林.城市公共安全应急管理信息系统建设模型[J].武汉理工大学学报,2007,29(3):68-71.
[7]方廷勇,章涛林,徐军,等.我国政府应对突发公共事件的高效应急管理机制[J].应急救援,2008(13):77-82.
[8]程赓,田铁红,谭虎,等.面向公共安全监测的物联网技术与应用探讨[J].技术广角,2010(6):53-57.
[9]陆永.物联网条件下的公共安全管理[J].城市问题,2011(2):80-84.
【云平台安全规范管理】相关文章:
云平台信息安全论文04-17
云平台安全技术论文04-18
云平台信息安全论文提纲11-15
云计算平台安全与防护05-31
广电云计算平台安全技术论文04-28
云停车管理平台06-24
云管理平台服务方案04-12
生产安全信息管理平台06-14
网吧管理云平台范文06-16
云业务运营管理平台04-15