黎春武 徐凌魁

（廣東省交通運輸檔案信息管理中心 廣東省廣州市 510101）

云數(shù)據(jù)中心作為傳統(tǒng)IDC 服務(wù)的延伸和發(fā)展，為完全虛擬化IT 基礎(chǔ)設(shè)施、模塊化程度較高、自動化程度較高、具備較高綠色節(jié)能程度的新型數(shù)據(jù)中心，可通過資源集約化實現(xiàn)最大程度的動態(tài)資源調(diào)配。近年來，隨著云數(shù)據(jù)中心的發(fā)展，安全管理平臺成為了云數(shù)據(jù)中心能否可靠運行的基礎(chǔ)支撐。云數(shù)據(jù)中心安全管理中心平臺在設(shè)計和開發(fā)方面有了很大的突破和創(chuàng)新，在網(wǎng)絡(luò)安全建設(shè)領(lǐng)域中占據(jù)著舉足輕重的地位，不僅有利于更好地管理和控制網(wǎng)絡(luò)相關(guān)設(shè)備，還有利于科學(xué)高效地分析網(wǎng)絡(luò)安全事件，確保計算機網(wǎng)絡(luò)環(huán)境的安全性和可靠性，從而為網(wǎng)絡(luò)用戶及時了解和掌握當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀提供有力的保障，此外，還盡可能簡化安全設(shè)備部署流程，極大節(jié)省了平臺的維護成本。因此，加強對云計算系統(tǒng)的設(shè)計與實現(xiàn)是相關(guān)軟件開發(fā)人員必須思考和解決的問題。

1 系統(tǒng)需求分析與整體設(shè)計

隨著虛擬化技術(shù)的不斷發(fā)展和應(yīng)用，云計算技術(shù)在模擬物理服務(wù)器和提高虛擬化服務(wù)水平等方面體現(xiàn)出非常重要的應(yīng)用價值[1]，因此，在虛擬化技術(shù)和云計算技術(shù)的具體應(yīng)用下，加強對系統(tǒng)需求的科學(xué)分析和整體設(shè)計顯得尤為重要。

1.1 系統(tǒng)需求分析

1.1.1 系統(tǒng)功能需求

云計算時代背景下，虛擬化網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜和多樣，這對我國云數(shù)據(jù)中心安全管理中心平臺的開發(fā)需求提出了更高的要求，旨在滿足云數(shù)據(jù)中心的不斷變化。云數(shù)據(jù)中心安全管理中心平臺需求主要包含以下幾點：

（1）虛擬化管理計算存儲資源，該需求主要體現(xiàn)在識別虛擬設(shè)備，檢測虛擬設(shè)備的安全運行狀態(tài)，動態(tài)擴展數(shù)據(jù)安全性和可靠性。

（2）動態(tài)遷移虛擬資源。該需求主要體現(xiàn)合理控制虛擬設(shè)備內(nèi)部數(shù)據(jù)，自動配置網(wǎng)絡(luò)相關(guān)設(shè)備參數(shù)，與其他軟件定義網(wǎng)絡(luò)進行數(shù)據(jù)傳輸和數(shù)據(jù)交換。

（3）利用數(shù)據(jù)中心控制數(shù)據(jù)流向，該需求主要體現(xiàn)在不斷提升數(shù)據(jù)流量，動態(tài)性擴展相關(guān)節(jié)點。

（4）部署并實施下一代網(wǎng)絡(luò)。該需求主要體現(xiàn)在全面監(jiān)管相關(guān)混合流量，重視對軟件定義網(wǎng)絡(luò)的穩(wěn)定、可靠、安全處理。

云數(shù)據(jù)中心安全管理中心平臺的主要功能需求包括以下幾點：

（1）具有監(jiān)控相關(guān)混合數(shù)據(jù)流功能。

（2）能夠?qū)崿F(xiàn)對平臺安全、用戶訪問、安全事件、網(wǎng)絡(luò)風(fēng)險、安全事件等方面的管理。

（3）能夠科學(xué)識別虛擬機、對相關(guān)子系統(tǒng)進行相應(yīng)的部署和遷移，同時，還能在有效結(jié)合安全策略的基礎(chǔ)上，利用網(wǎng)絡(luò)設(shè)備制定和共享安全策略。

（4）利用交換設(shè)備不斷修正、優(yōu)化和完善安全策略，實現(xiàn)多個虛擬機的有效互動和連接，從而進一步保證虛擬交互數(shù)據(jù)的真實性、可靠性和安全性，此外，還要采用安全認證的方式對虛擬機進行相關(guān)處理，從而確保數(shù)據(jù)信息傳輸?shù)陌踩浴?/p>

（5）采用信息采集的方式，全面分析、取證和評估該平臺的運行性能。

（6）能夠在第一時間內(nèi)對安全事件進行實時監(jiān)控和處理，確保安全事件策略的科學(xué)性和合理性。

1.1.2 系統(tǒng)性能需求

對于云數(shù)據(jù)中心安全管理中心平臺而言，主要用于對數(shù)據(jù)中心的建設(shè)，因此，對該平臺的性能需求提出了更高的要求，旨在確保網(wǎng)絡(luò)設(shè)備的豐富性和多樣性，數(shù)據(jù)流的龐大性。該平臺主要的性能需求主要體現(xiàn)在以下幾個方面：

（1）能夠很好地支持不少于1000 種類型的網(wǎng)絡(luò)設(shè)、數(shù)據(jù)庫、主機服務(wù)器等，同時，還可以全面檢測和管理虛擬設(shè)備狀態(tài)，確保虛擬設(shè)備能夠正常、穩(wěn)定、可靠、安全地運行。

（2）該平臺能夠為實時分析40G 流量提供相應(yīng)的運行支持。

（3）能夠支持不少于1000 個的虛擬網(wǎng)絡(luò)。

（4）能夠很好地支持不少于15 種類型組件，如用戶管理組件、虛擬設(shè)備管理組件等。

1.2 平臺總體設(shè)計

1.2.1 平臺設(shè)計思路及原則

該平臺在設(shè)計的過程中，相關(guān)軟件開發(fā)人員必須嚴(yán)格遵循以下幾個原則：

（1）“三統(tǒng)一”原則。必須按照該平臺開發(fā)相關(guān)標(biāo)準(zhǔn)和要求，將開發(fā)規(guī)劃、開發(fā)標(biāo)準(zhǔn)進行有效統(tǒng)一和協(xié)調(diào)，從而確保該平臺能夠順利開發(fā)并成功上線[2]。

（2）“一體化”原則。在應(yīng)用網(wǎng)絡(luò)信息安全技術(shù)的基礎(chǔ)上，對該平臺的開發(fā)流程、知識庫搜索引擎和信息安全流程進行統(tǒng)一規(guī)范，從而確保信息知識的安全傳輸和高效共享。

（3）“先進性”原則。相關(guān)軟件開發(fā)人員要在遵循經(jīng)濟性原則的前提下，盡可能提高現(xiàn)有資源的利用率，確保投資的科學(xué)性和合理性，同時，還要在保證開發(fā)質(zhì)量的基礎(chǔ)上，最大限度地節(jié)約開發(fā)成本[3]，從而實現(xiàn)社會效益和經(jīng)濟效益的最大化。

（4）“易用性”原則。要求相關(guān)軟件開發(fā)人員要采用模塊化設(shè)計方式，確保平臺界面的友好性、簡單性和易用性，為管理員更加直觀、形象地操作和管理平臺提供有力的保障。

1.2.2 云數(shù)據(jù)中心安全管理平臺架構(gòu)

要想保證該平臺功能強大，通用性強，相關(guān)軟件開發(fā)人員要重視對該平臺架構(gòu)的科學(xué)設(shè)計。該平臺架構(gòu)設(shè)計主要體現(xiàn)在以下幾個方面：

（1）要從用戶身份管理和用戶訪問管理入手，在保證該平臺網(wǎng)絡(luò)環(huán)境運行安全的前提下，確保數(shù)據(jù)信息傳輸和業(yè)務(wù)應(yīng)用的安全性，從而最大限度地滿足云計算數(shù)據(jù)中心的安全接入、管理和應(yīng)用等相關(guān)安全需求[4]，同時，還要利用可視化界面為網(wǎng)絡(luò)用戶實時展現(xiàn)系統(tǒng)狀態(tài)、系統(tǒng)性能、系統(tǒng)指標(biāo)等信息。

（2）該平臺要充分利用虛擬化技術(shù)，實現(xiàn)網(wǎng)絡(luò)、計算和存儲虛擬化功能，從而確保云數(shù)據(jù)中心向虛擬化方向不斷發(fā)展。

（3）對于虛擬化設(shè)備而言，相關(guān)軟件開發(fā)人員要重視對其安全管理，通過實時識別和檢測虛擬機運行狀態(tài)，確保數(shù)據(jù)量傳輸和共享的可靠性和安全性。

（4）對用戶身份和訪問權(quán)限進行統(tǒng)一設(shè)置和管理，并支持多種身份認證方式的應(yīng)用，同時，還要采用安全檢測的方式，對接入的設(shè)備進行全面檢查和維護，以保證接入設(shè)備運行性能的可靠性、穩(wěn)定性和安全性，此外，還要根據(jù)接入設(shè)備的實際運行狀態(tài)，科學(xué)合理地分配和管理網(wǎng)絡(luò)訪問權(quán)限。

2 系統(tǒng)關(guān)鍵模塊設(shè)計與實現(xiàn)

平臺在開發(fā)的過程中，重點應(yīng)用Web 認證方式、短信認證方式等各種認證方式，從而實現(xiàn)網(wǎng)絡(luò)用戶的身份認證，同時，還要根據(jù)網(wǎng)絡(luò)用戶身份的差異性，設(shè)置不同的訪問權(quán)限，并對這些不同的訪問權(quán)限進行安全管理和控制，從而確保網(wǎng)絡(luò)環(huán)境的可靠性和安全性。為了實現(xiàn)以上目標(biāo)，相關(guān)軟件開發(fā)人員要重視對系統(tǒng)關(guān)鍵模塊的設(shè)計與實現(xiàn)，進一步修正、優(yōu)化和完善該系統(tǒng)的功能模塊，從而確保該系統(tǒng)功能完善，通用性強，從而為確保該系統(tǒng)具有更加廣闊的應(yīng)用前景發(fā)揮出重要作用。

2.1 身份及訪問安全模塊設(shè)計及實現(xiàn)

2.1.1 身份及訪問安全模塊功能分析

身份認證是確保網(wǎng)絡(luò)安全的重要環(huán)節(jié)，同時，也是實現(xiàn)網(wǎng)絡(luò)現(xiàn)有資源充分利用以及網(wǎng)絡(luò)訪問權(quán)限全面管理和控制的重要措施。只有通過身份認證的網(wǎng)絡(luò)用戶才能有權(quán)限登錄和訪問系統(tǒng)內(nèi)部數(shù)據(jù)信息，同時，系統(tǒng)會根據(jù)網(wǎng)絡(luò)用戶的身份信息，對訪問資源進行科學(xué)分配，然后，再提供相應(yīng)的安全策略，從而最大限度地提高網(wǎng)絡(luò)資源的利用率，進而實現(xiàn)網(wǎng)絡(luò)資源的規(guī)范化、標(biāo)準(zhǔn)化管理。本模塊在實現(xiàn)的過程中，需要采用認證安全接入的方式，利用接入層，實現(xiàn)對網(wǎng)絡(luò)用戶身份信息的認證，并在科學(xué)控制網(wǎng)絡(luò)用戶訪問權(quán)限的基礎(chǔ)上，為網(wǎng)絡(luò)環(huán)境的凈化和保護提供有力的保障，從而保證該系統(tǒng)內(nèi)部業(yè)務(wù)流程的可靠性和網(wǎng)絡(luò)環(huán)境的安全性。

2.1.2 身份及訪問安全模塊設(shè)計實現(xiàn)流程

對于身份及訪問安全模塊而言，首先，相關(guān)軟件開發(fā)人員要采用多種類型的認證方式，對身份認證進行接入、實現(xiàn)，同時，還要對網(wǎng)絡(luò)用戶登錄的設(shè)備進行規(guī)范綁定，實時檢查主機設(shè)備可能存在的安全隱患，確保主機設(shè)備能夠正常、穩(wěn)定、可靠、安全地運行，例如：采用強制修復(fù)的方式及時處理主機設(shè)備內(nèi)部的漏洞問題。另外，系統(tǒng)還可以根據(jù)網(wǎng)絡(luò)用戶的身份信息和網(wǎng)絡(luò)設(shè)備的運行狀態(tài)，對網(wǎng)絡(luò)用戶的訪問行為進行授權(quán)，同時，還要采用采集日志的方式，規(guī)范網(wǎng)絡(luò)訪問行為，為后期安全管理系統(tǒng)提供重要依據(jù)和參考。

2.2 虛擬化識別遷移模塊設(shè)計與實現(xiàn)

2.2.1 虛擬機識別遷移模塊功能分析

為了滿足交換機虛擬化處理這一特殊需求，相關(guān)軟件開發(fā)人員要重視對虛擬機識別遷移模塊功能科學(xué)分析和實現(xiàn)，本模塊包含的主要功能有以下幾點：

（1）可以轉(zhuǎn)發(fā)虛擬機報文，并采用安全策略，確保虛擬機運行的安全性和可靠性。

（2）可以在應(yīng)用安全策略的基礎(chǔ)上，實現(xiàn)相關(guān)路徑的劃分和配置，以保證網(wǎng)絡(luò)設(shè)備的安全性，滿足虛擬機的遷移需求。

（3）根據(jù)網(wǎng)絡(luò)用戶的訪問需求，利用不同的物理主機，在保證以太網(wǎng)相關(guān)數(shù)據(jù)不變的情況下，實現(xiàn)虛擬機的有效遷移。

2.2.2 虛擬機識別遷移模塊設(shè)計實現(xiàn)流程

在數(shù)據(jù)中心建設(shè)的背景下，通過利用安全策略，實現(xiàn)虛擬機的高效遷移，可以確保數(shù)據(jù)信息傳輸和交換的真實性、可靠性和安全性。本模塊在實現(xiàn)的過程中，首先，需要根據(jù)虛擬機管理需求，對相應(yīng)的API 報告進行接收，并對即將遷移的虛擬機進行及時處理，經(jīng)過遷移的虛擬機到達新的設(shè)備后，會將自身的MAC 地址以對外的形式發(fā)送出去，此時，接入設(shè)備會對虛擬機發(fā)送到的MAC 地址進行接收，并將其上傳到指定的安全管理平臺中，由安全管理平臺根據(jù)當(dāng)前網(wǎng)絡(luò)的具體位置信息，利用相關(guān)設(shè)備，重新配置安全策略，以保證網(wǎng)絡(luò)設(shè)備的運行性能，然后，當(dāng)虛擬機在遷移的過程中出現(xiàn)設(shè)備關(guān)聯(lián)問題時，安全管理平臺會采用重新下放安全策略的形式對這一關(guān)聯(lián)問題進行有效解決，最后，網(wǎng)絡(luò)設(shè)備在實現(xiàn)數(shù)據(jù)信息安全交換的同時，對安全策略重新執(zhí)行。

2.3 數(shù)據(jù)安全模塊設(shè)計與實現(xiàn)

數(shù)據(jù)安全包含的內(nèi)容主要體現(xiàn)在以下幾點，分別是事前預(yù)估、事中處理和事后反饋。因此，通過對安全數(shù)據(jù)庫的建立和完善，可以最大限度地保證網(wǎng)絡(luò)用戶數(shù)據(jù)信息的完整性、可靠性和安全性。此外，采用分析數(shù)據(jù)流量的方式，還可以對網(wǎng)絡(luò)進行相應(yīng)的規(guī)劃、監(jiān)控和維護，以確保網(wǎng)絡(luò)環(huán)境的安全性和穩(wěn)定性，從而實現(xiàn)數(shù)據(jù)流的規(guī)范化、標(biāo)準(zhǔn)化管理。同時，還可以科學(xué)監(jiān)管日志內(nèi)容，對日志信息進行全方位地存儲、接收和處理，提高日志管理水平，為網(wǎng)絡(luò)用戶帶來良好的用戶體驗。本模塊在實現(xiàn)的過程中，需要以網(wǎng)絡(luò)設(shè)備利用為主，對數(shù)據(jù)流進行采集和整理，同時，還要在采集會話信息的基礎(chǔ)上，確保數(shù)據(jù)庫信息的多樣性和豐富性。此外，為了保證網(wǎng)絡(luò)數(shù)據(jù)流處理的安全性，相關(guān)軟件開發(fā)人員還要重視對會話流量的管理和分析，以提高數(shù)據(jù)信息存儲的安全性。

3 結(jié)束語

綜上所述，對于云數(shù)據(jù)中心安全管理中心平臺而言，其基本模塊的設(shè)計、開發(fā)并成功上線，為用戶帶來了良好的體驗，因此，深受廣大用戶的喜愛。為了方便后期對云數(shù)據(jù)中心安全管理中心平臺的維護和升級，需要相關(guān)軟件開發(fā)人員再接再厲，用更加優(yōu)雅的代碼擴充更多使用的功能，從而為保證用戶正常、穩(wěn)定、安全的使用云數(shù)據(jù)中心安全管理中心平臺產(chǎn)生至關(guān)重要的影響。