下载文档原格式
云计算管理平台技术⽅案云计算管理平台技术⽅案⽬录⼀、背景介绍 (4)⼆、云计算管理平台整体架构 (4)2.1物理层总体设计 (6)2.1.1云平台的互联⽹出⼝介绍 (8)2.1.2业务应⽤区 (8)2.1.3管理和服务区 (9)2.1.4云数据库区 (10)2.1.5备份存储区 (10)2.1.6核⼼交换区 (12)2.1.7云安全访问控制区 (13)2.1.8物理设备选型原则 (14)2.2资源抽象和控制层 (15)2.2.1计算资源池设计 (15)2.2.2存储资源池构建 (21)2.2.3⽹络资源池构建 (24)2.2.4虚拟化管理平台 (27)2.3云服务层 (31)2.3.1 IaaS服务 (31)2.3.2多租户组织架构 (33)2.3.3虚拟数据中⼼ (33)2.3.4云服务使⽤流程 (39)2.3.5云服务的申请与审批 (40)2.3.6云服务交付 (42)2.3.7云安全服务交付 (54)2.3.8云负载均衡服务交付 (55)2.3.9云数据库服务交付 (57)2.4云运维层 (62)2.4.1云运维平台整体架构 (62)2.4.2云平台分级管理 (64)2.4.3设备管理 (65)2.4.4资源管理 (81)2.4.5资源编排 (93)2.4.6资源监控 (99)2.4.7⽤户管理 (106)2.4.8流程管理 (109)2.4.9⽇志管理 (113)2.4.10报表管理 (113)2.4.11计费策略管理 (117)2.5云安全层 (118)2.5.1云安全需求及边界划分 (118)2.5.2云边界安全防护需求 (119)2.5.3云内部安全防护需求 (119)2.5.4云安全体系架构 (120)2.6云备份⽅案 (123)2.6.1备份架构设计 (123)2.6.2存储备份 (124)2.6.3云数据备份 (127)2.6.4云主机备份 (132)2.6.5云数据库备份 (136)2.6.6备份策略 (142)⼀、背景介绍云计算是计算机科学和互联⽹技术进⼀步融合发展的产物,也是引领未来信息产业创新的关键战略性技术和⼿段。
统一IT运维管理平台解决方案技术统一IT运维管理平台解决方案技术包括以下方面:1. 集中监控:通过集中监控技术,将企业内各种IT设备、应用程序、网络等资源的状态和性能参数实时收集和监控,方便管理员迅速发现和解决问题。
2. 自动化运维:通过自动化运维技术,实现对IT设备、应用程序的自动化配置、部署、升级和维护等操作,提高运维效率,减少人工操作的错误。
3. 故障管理:通过故障管理技术,实时监测和分析系统的异常情况,实现故障的快速定位和处理,减少系统宕机时间。
4. 变更管理:通过变更管理技术,对系统的变更进行统一管理和控制,确保变更的安全性和合规性,减少变更带来的风险。
5. 资源管理:通过资源管理技术,对IT设备和资源进行统一管理和优化,包括资产管理、容量管理、性能管理等,提高资源的利用率和管理效果。
6. 服务管理:通过服务管理技术,建立完整的服务目录和服务级别协议,实现服务请求的快速响应和处理,提高用户满意度。
7. 安全管理:通过安全管理技术,对系统进行安全评估和监控,保护系统和数据的安全,防止未授权的访问和攻击。
8. 数据分析:通过数据分析技术,对大量的运维数据进行收集和分析,发现问题的根本原因和趋势,提供决策支持和优化建议。
9. 知识管理:通过知识管理技术,将运维过程中产生的实践经验和知识进行整理和归纳,建立知识库,方便运维人员的知识共享和学习。
10. 接口集成:通过接口集成技术,实现与其他系统的数据交换和共享,提升系统的整合性和协作效率。
以上是统一IT运维管理平台解决方案中常用的技术,不同企业和场景可能会有差异,具体的技术方案需要根据实际情况进行选择和定制。
数据中心云安全建设方案在当今数字化时代,数据中心作为企业信息存储和处理的核心枢纽,其安全性至关重要。
随着云计算技术的广泛应用,数据中心的架构和运营模式发生了巨大变化,云安全问题也日益凸显。
为了保障数据中心在云环境下的安全稳定运行,制定一套全面有效的云安全建设方案势在必行。
一、云安全建设的背景和目标随着企业业务的快速发展和数字化转型,越来越多的应用和数据迁移到了云端。
数据中心云化带来了诸多优势,如灵活性、可扩展性和成本效益等,但同时也面临着一系列安全挑战。
黑客攻击、数据泄露、恶意软件感染等威胁不断增加,给企业的业务运营和声誉带来了严重风险。
云安全建设的主要目标是确保数据中心在云环境中的保密性、完整性和可用性。
具体包括保护企业的敏感数据不被未经授权的访问、篡改或泄露;确保云服务的持续稳定运行,避免因安全事件导致业务中断;以及满足合规性要求,遵守相关法律法规和行业标准。
二、云安全风险评估在制定云安全建设方案之前,需要对数据中心的云安全现状进行全面的风险评估。
这包括对云服务提供商的安全性评估、对企业自身的安全策略和流程的审查,以及对潜在威胁和漏洞的分析。
(一)云服务提供商评估评估云服务提供商的安全能力,包括其基础设施的安全性、数据保护措施、访问控制机制、合规性认证等。
了解云服务提供商的安全责任和义务,以及在发生安全事件时的响应和处理流程。
(二)企业自身安全评估审查企业内部的安全策略和流程是否与云环境相适应。
评估员工的安全意识和培训情况,检查网络架构、系统配置和应用程序是否存在安全漏洞。
同时,分析企业的数据分类和保护策略,确保敏感数据在云端得到恰当的保护。
(三)威胁和漏洞分析通过使用安全扫描工具、渗透测试等手段,对数据中心的网络、系统和应用进行全面的漏洞扫描和分析。
识别潜在的威胁,如网络攻击、恶意软件、内部人员违规等,并评估其可能造成的影响。
三、云安全架构设计基于风险评估的结果,设计合理的云安全架构是保障数据中心安全的关键。
网络安全产业安全技术产品研发及推广计划第一章研发背景与市场分析 (3)1.1 网络安全形势概述 (3)1.2 产业现状与趋势 (3)1.2.1 产业现状 (3)1.2.2 产业趋势 (3)1.3 市场需求分析 (3)1.3.1 市场需求 (3)1.3.2 企业市场需求 (4)1.3.3 个人市场需求 (4)1.3.4 行业市场需求 (4)第二章技术产品规划 (4)2.1 产品线布局 (4)2.2 技术创新方向 (4)2.3 产品功能设计 (5)第三章研发管理体系 (5)3.1 研发流程建设 (5)3.1.1 流程设计原则 (5)3.1.2 流程内容 (6)3.2 质量控制体系 (6)3.2.1 质量控制目标 (6)3.2.2 质量控制措施 (6)3.3 研发团队建设 (6)3.3.1 人员结构 (6)3.3.2 人才培养与激励 (7)第四章技术研发 (7)4.1 关键技术研究 (7)4.2 系统集成与优化 (7)4.3 安全测试与验证 (8)第五章产品设计 (8)5.1 用户需求调研 (8)5.1.1 调研目的与意义 (8)5.1.2 调研方法 (8)5.1.3 调研内容 (9)5.2 产品原型设计 (9)5.2.1 设计原则 (9)5.2.2 设计内容 (9)5.3 用户界面设计 (9)5.3.1 设计原则 (9)5.3.2 设计内容 (10)第六章产业化实施 (10)6.1 生产流程优化 (10)6.1.1 生产流程标准化 (10)6.1.2 生产设备升级 (10)6.1.3 生产过程信息化 (10)6.1.4 生产环境改善 (10)6.2 供应链管理 (10)6.2.1 供应商选择与评估 (11)6.2.2 供应链协同 (11)6.2.3 库存管理 (11)6.2.4 物流配送 (11)6.3 产品规模化生产 (11)6.3.1 生产规模扩大 (11)6.3.2 生产能力提升 (11)6.3.3 质量控制 (11)6.3.4 成本控制 (11)第七章市场推广策略 (11)7.1 市场定位 (12)7.2 推广渠道建设 (12)7.3 品牌宣传策略 (12)第八章合作伙伴关系 (13)8.1 合作伙伴筛选 (13)8.2 合作模式摸索 (13)8.3 合作协议签订 (13)第九章售后服务体系建设 (14)9.1 售后服务流程 (14)9.1.1 售后服务概述 (14)9.1.2 售后服务流程设计 (14)9.2 技术支持体系 (14)9.2.1 技术支持概述 (14)9.2.2 技术支持体系建设 (15)9.3 用户满意度提升 (15)9.3.1 用户满意度概述 (15)9.3.2 用户满意度提升措施 (15)第十章项目评估与优化 (15)10.1 项目进度监控 (16)10.1.1 监控机制建立 (16)10.1.2 进度报告制度 (16)10.1.3 进度调整与协调 (16)10.2 成果评估与反馈 (16)10.2.1 成果评价指标体系 (16)10.2.2 成果评估流程 (16)10.2.3 成果反馈与改进 (16)10.3 持续优化与改进 (16)10.3.1 持续改进计划 (16)10.3.2 技术创新与升级 (16)10.3.3 合作与交流 (16)10.3.4 人才培养与团队建设 (17)第一章研发背景与市场分析1.1 网络安全形势概述互联网的快速发展和信息化时代的到来,网络安全问题日益突出,已成为影响国家安全、经济发展和社会稳定的重要因素。
启明星辰发布云安全管理平台解决方案
佚名
【期刊名称】《中国信息安全》
【年(卷),期】2015(0)1
【摘要】近日,启明星辰推出了具有云安全解决方案整合能力的,面向智能与敏
捷的启明星辰泰合云计算安全管理平台TSOC-CSM。
【总页数】1页(P117-117)
【关键词】安全管理平台;明星;安全解决方案;智能
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.大数据助力行为分析智能安全未来可期/国家信息中心与锐捷网络签署战略合作
协议/启明星辰发布泰合安全运维管理平台解决方案 [J],
2.启明星辰云安全管理平台为政企云安全保驾护航/“简网络”深入场景“云体验”扎根行业/Fortinet通过思博伦的解决方案验证FortiGate-3810D的同级最佳性能[J],
3.启明星辰、网御星云联合发布Cloud SoC云安全管理平台 [J], ;
4.10款新品新方案绿盟科技五大领域长线创新/护航云安全青藤发布蜂巢·容器安全平台/聚力自主研发启明星辰发布全新系列硬件平台/网络直播App未成年人保护
措施堪忧 [J],
5.启明星辰云安全管理平台为政企云安全保驾护航 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
有限公司2016年运维技术研发成果阶段性说明随着移动互联网、智慧城市的爆发式发展,云服务和大数据的发展空间不可限量。
继个人计算机变革、互联网变革之后,云计算将是第三次IT浪潮,是中国战略性新兴产业的重要组成部分。
它将带来生活、生产方式和商业模式的根本性改变,云计算将成为当前全社会关注的热点。
云计算在IT市场上的雏形正在逐步形成,它为供应商提供了全新的机遇并催生了传统IT产品的转变。
IDC咨询公司预测用于IT云服务上的支出在接下来的五年间可能会增长3倍。
针对当前的市场环境,公司在继续开拓基于信息基础设施的IT服务外,紧紧围绕互联网架构、云计算、大数据和安全四大技术发展趋势,进行新技术的转型储备,云计算是本年度公司重点打造的新技术,将成为公司未来重要的技术与应用发展方向。
公司需要在云运维服务能力方面也做些储备,在自动化运维管理系统方面进行探讨。
公司主要从两方面进行技术研发及技术储备,具体目标如下:1、云平台运维的技术研发,目标是深入对华三云、阿里云、华为云、天翼云等云技术的学习和应用,具备相关厂商云平台的运维服务能力。
此项工作是公司与几大云平台的原厂商建立云服务的合作框架,投入人员参与各大厂商云平台实施项目和技术培训,公司逐步打造形成掌握相关云平台服务能力的团队。
2、自动化运维管理系统研发,目标是完成跨专业(主机、数据库、中间件、网络、存储、集群、系统等)、跨厂家的IT监控&运维保障工具V1版本的发布。
该系统主要分三部分:配置管理数据库,自动化运维(批量主机操作、一键备份、一键升级、资源配置流程化处理、运营分析等模块),IT专业各类告警的采集和处理。
整个系统分三阶段完成:第一阶段:以saltstack为基础,实现对批量设备运行命令和脚本、文件传输、一键备份、一键升级等工作,并实现机房、设备等CMDB基础配置;第二阶段:以zabbix为基础实现监控工作,并对CMDB配置数据库细化增强;第三阶段:融合zabbixsaltstack,实现监控维护一体化系统,并以图形立体呈现机房设备,并实现告警呈现及处理的可视化、流程化。
云平台建设⽅案云平台建设原则1、标准化当前云服务在整个信息产业中还不够成熟,相关的标准还没有完善。
为保障⽅案前瞻性,在设备选型上⼒求充分考虑对云服务相关标准的扩展⽀持能⼒,保证良好的先进性,以适应未来的信息产业化发展。
2、⾼可⽤为保证数据业务⽹的核⼼业务的不中断运⾏,在⽹络整体设计和设备配置上都是按照双备份要求设计的。
在⽹络连接上消除单点故障,提供关键设备的故障切换。
关键设备之间的物理链路采⽤双路冗余连接,按照负载均衡⽅式或active-active⽅式⼯作。
关键主机可采⽤双路⽹卡来增加可靠性。
全冗余的⽅式使系统达到电信级可靠性。
要求⽹络具有设备/链中故障毫秒的保护倒换能⼒。
具有良好扩展性,⽹络建设完毕并⽹后应可以进⾏⼤规模改造、服务器集群、软件功能模块应可以不断扩展。
良好的易⽤性。
简化系统结构,降低维护量。
对突发数据吸附,缓解端⼝拥塞压⼒,能保证业务的流畅性等。
3、增强⼆级⽹络云平台下,虚拟机迁移与集群式两种典型的应⽤模型,这两种模型均需要⼆层⽹络⽀持。
随着云计算资源池的不断扩⼤,⼆层⽹络的范围正在逐步扩⼤,甚⾄扩展到多个数据中⼼内,⼤规模部署⼆层⽹络则带来⼀个必然的问题就是⼆层环路问题。
采⽤传统的STP+VRRP技术部署⼆层⽹络时会带来部署复杂、链路利⽤率低、⽹络收敛时间慢等诸多问题,因此⽹络⽅案的设计需要重点考虑增强⼆级⽹络技术(如IRF/VSS、TRILL等)的应⽤,以解决传统技术带来的问题。
4、虚拟化虚拟资源池化是⽹络发展的重要趋势,将可以⼤⼤提⾼资源利⽤率,降低运营成本。
应有效开展服务器、存储的虚拟资源池技术建设,⽹络设备的虚拟化也应进⾏设计实现。
服务器、存储器、⽹络及安全设备应具备虚拟化功能。
5、⾼性能由于云服务⽹络中的流量模型发⽣了变化,随着整个云平台相关业务的开展,业务都分布在各个服务器上,流量模型从纵向流量转换成复杂的多维度混合的⽅式,整个系统具有较⾼的吞吐能⼒和处理能⼒,满⾜PB级别的数据处理请求,具备对突发流量的承受能⼒。
软件信息服务业云服务平台建设及运营方案设计第1章引言 (3)1.1 背景与意义 (3)1.2 研究目标与内容 (3)第2章云服务平台需求分析 (4)2.1 用户需求调研 (4)2.2 功能需求分析 (4)2.3 功能需求分析 (5)2.4 安全需求分析 (5)第3章云服务平台总体设计 (6)3.1 设计原则与理念 (6)3.1.1 设计原则 (6)3.1.2 设计理念 (6)3.2 总体架构设计 (6)3.2.1 架构分层 (6)3.2.2 架构特点 (6)3.3 技术路线选择 (6)3.3.1 基础设施 (7)3.3.2 平台服务 (7)3.3.3 应用服务 (7)3.3.4 用户访问 (7)第4章云服务平台基础设施构建 (7)4.1 数据中心规划 (7)4.1.1 数据中心选址 (7)4.1.2 数据中心架构 (7)4.1.3 数据中心基础设施建设 (7)4.2 网络设计与优化 (8)4.2.1 网络架构设计 (8)4.2.2 网络设备选型 (8)4.2.3 网络优化策略 (8)4.3 存储方案设计 (8)4.3.1 存储需求分析 (8)4.3.2 存储设备选型 (8)4.3.3 存储架构设计 (8)4.4 云计算资源调度与管理 (8)4.4.1 虚拟化技术选型 (8)4.4.2 资源调度策略 (8)4.4.3 云计算资源管理 (8)4.4.4 容灾备份策略 (9)第5章软件信息服务模块设计 (9)5.1.1 基础服务模块 (9)5.1.2 通用服务模块 (9)5.1.3 行业定制服务模块 (9)5.1.4 辅助服务模块 (9)5.2 服务接口设计 (9)5.2.1 接口规范 (9)5.2.2 接口安全 (10)5.3 服务组合与编排 (10)5.3.1 服务组合 (10)5.3.2 服务编排 (10)5.4 服务质量管理 (10)5.4.1 功能监控 (10)5.4.2 服务可用性保障 (10)5.4.3 安全防护 (10)5.4.4 服务评价 (10)第6章平台安全与可靠性设计 (10)6.1 安全体系架构 (10)6.1.1 物理安全 (11)6.1.2 网络安全 (11)6.1.3 主机安全 (11)6.1.4 应用安全 (11)6.2 认证与授权机制 (11)6.2.1 身份认证 (11)6.2.2 权限控制 (11)6.3 数据加密与保护 (11)6.3.1 数据加密 (11)6.3.2 数据保护 (12)6.4 系统可靠性设计 (12)6.4.1 系统冗余 (12)6.4.2 负载均衡 (12)6.4.3 系统监控 (12)6.4.4 应急预案 (12)第7章云服务平台开发与测试 (12)7.1 开发环境搭建 (12)7.1.1 硬件环境 (12)7.1.2 软件环境 (12)7.2 系统模块划分与编码 (13)7.2.1 模块划分 (13)7.2.2 编码规范 (13)7.3 系统集成与测试 (13)7.3.1 系统集成 (13)7.3.2 测试 (14)7.4 功能优化与调优 (14)7.4.2 系统优化 (14)7.4.3 网络优化 (14)第8章云服务平台运营与管理 (14)8.1 运营策略制定 (14)8.2 服务定价与收费模式 (15)8.3 用户支持与售后服务 (15)8.4 平台运维管理 (15)第9章云服务平台市场推广与拓展 (16)9.1 市场分析与定位 (16)9.1.1 市场分析 (16)9.1.2 市场定位 (16)9.2 品牌建设与宣传 (16)9.2.1 品牌建设 (16)9.2.2 宣传推广 (16)9.3 合作伙伴关系建立 (16)9.3.1 合作伙伴筛选 (16)9.3.2 合作模式摸索 (17)9.4 市场拓展策略 (17)9.4.1 线上线下相结合 (17)9.4.2 创新业务模式 (17)9.4.3 深化行业应用 (17)9.4.4 建立客户服务体系 (17)第10章总结与展望 (17)10.1 项目总结 (17)10.2 面临的挑战与机遇 (17)10.3 未来发展方向与建议 (18)第1章引言1.1 背景与意义信息技术的飞速发展,软件信息服务业已经成为国家经济的重要支柱产业。
云环境的漏洞扫描和安全配置管理4.3 按提供的计算服务分4.3.1 交付域安全管理技术云服务的成功提供和使用离不开应用交付和安全接入,对于云提供者来说,最大程度利用基础设施并减少运营时间和成本是成功的关键。
云服务使用的管理和安全维护是云服务使用范围进一步扩大化的主要阻碍。
交付域安全管理的目的就是提供了一种从使用者到“云”的安全控制机制,实现了对提供者交付点的服务有效扩展和控制,为用户提供了一个管理所有云服务产品组合的使用率、安全性和性能的控制点。
其内容包括网关控制、会话安全管理、桌面虚拟化控制、应用虚拟化控制。
4.3.1.1网关控制网关控制是为用户提供了一个控制点,让用户能够很好地控制用户与“云”的连接以及“云”环境中和企业数据中心内应用访问的安全防护。
相对于传统模式,云计算体系的层次多,内部关系复杂,因此需要根据新环境的要求研究综合的立体防御机制,并进一步推出适应市场需要的虚拟化综合安全网关产品。
虚拟化综合安全网关是针对云计算复杂环境的综合防御系统,融合远程安全接入、安全访问控制、抗拒绝服务攻击、入侵防御、Web安全等技术,具备检测、分析、决策、响应相结合的联动防御能力,有效抵御来自物理硬件层、虚拟层、调度管理层、应用层等各个层次的威胁。
对于企业来说,云服务能够提供许多业务优势,包括:作为测试环境,调整新企业应用的规模;针对业务关键流程,提供业务连续性保障和突发容量支持;针对限时性需求,提供经济有效的资源访问;或者充当应用的原生环境,实现“云”环境中最佳应用交付。
当然,云服务也有其不足之处,首要之处就是潜在的流氓IT。
在传统上,IT 人员一般是充当应用和资源的“守门人”角色,有能力控制、监控和安全防护以法规遵从、保密和企业政策遵从为目的应用和资源使用。
采用“云”服务,由于云环境具有共享硬件、多承租等特性,IT人员无法有效的实施安全监控,这可能给企业带来重大安全风险。
而且,即便企业IT人员提供的云服务已经过验证,但仍有其缺点存在,它会将整个应用环境分成多个小部分,这就增加了以安全性和法规遵从性为目的的证书管理和政策访问、使用情况监控和可视性保持的复杂性。
网关控制是通过提供一种网关控制接入控制器为企业用户提供云访问服务。
员工可采用原有的企业证书登录安全的门户网站,接受对所有已有授权应用和资源的访问。
通过单点登录去除通过不同位置、使用不同证书访问云服务的需求,改善了终端用户生产力和密码管理。
网关控制还提供了一种与企业安全政策完全一致的云服务快速提供框架,让IT人员能够以一种及时的方式为企业工作人员提供所需的资源,减少了企业中流氓IT事件的发生。
用户可采用所分配的企业证书登录安全门户网站。
对于企业网络上的用户,IT人员可以选择启用或禁用用户的SSL加密;对于远程用户,IT人员要求所有连接均启用SSL加密。
安全防护采用了双因素认证、基于身份的访问控制、应用级授权、全面审计以及一款集成化数据包检测防火墙,提供了对存储中数据和传输中数据的安全保护。
所有应用程序的安全必须有所保障,它们的使用必须有因可循;所有用户,不论是本地的还是远程的,有线的还是无线的,必须先通过认证并确保安全后才可访问已授权应用。
网关接入控制器不仅提供了一种从企业至“云”的网关,而且还为企业安全和生产力统一提供方式奠定了良好基础。
目前通常的访问控制策略有三种:自主访问控制、强制访问控制和基于角色的访问控制。
自主访问控制是根据访问者的身份和授权来决定访问模式。
主体访问者对访问的控制有一定权利。
但正是这种权利使得信息在移动过程中其访问权限关系会被改变。
如用户A可以将其对客体目标O的访问权限传递给用户B,从而使不具备对O访问权限的B也可以访问O,这样做很容易产生安全漏洞,所以自主访问控制的安全级别很低。
强制访问控制是将主体和客体分级,然后根据主体和客体的级别标记来决定访问模式,如可以分为绝密级、机密极、秘密级、无密级等。
这样就可以利用上读/下写来保证数据完整性,利用下读/上写来保证数据的保密性,并且通过这种梯度安全标签实现信息的单向流通。
但这种强制访问控制的实现工作量太大,管理不便。
基于角色的访问控制,访问者的权限在访问过程中是变化的。
有一组用户集和权限集,在特定的环境里,某一用户被分派一定的权限来访问网络资源;在另外一种环境里,这个用户又可以被分派不同的权限来访问另外的网络资源。
这种方式更便于授权管理、角色划分、职责分担、目标分级和赋予最小特权,这也是本项目拟采用的基本访问控制策略。
为了保证云接入的安全性的基础上实现云接入的可扩展性,本项目拟实现一个基于微内核架构的,具有构件动态生命周期管理的云接入安全框架。
(1)支持标准IPSEC VPN和SSL VPN;支持基于标准IKE协商的VPN通信隧道,支持多种IKE认证方式,如预共享密钥、数字证书,支持IKE扩展认证,如Radius认证等,支持3DES、DES、AES等算法,支持标准MD5、SHA-1认证算法,支持隧道的NAT穿越,支持隧道内的QoS。
(2)考虑到云计算终端多样性和基础架构的异构型,拟展开虚拟专用网(VPN)适用性方面的研究,通过总体设计,分类处理的原则来支持多种客户端操作系统、浏览器以及多种设备类型。
(3)针对目前虚拟专用网(VPN)大都只支持Web代理应用的不足,拟开展虚拟专用网(VPN)对应用多样性的支持,主要采用应用转换和IP Tunnel技术,实现了对目前所有网络层以上各种静态或者动态端n应用的完全支持,包括:网上邻居、文件共享,远程桌面、FTP、oUTLooK,SQL,Lotus NOTES、SYBASE、ORA CLE,CITRIX 等各种应用。
(4)基于关联分析的角色访问权限控制的研究,提供了细致到每个URL和不同应用的权限划分,通过给不同用户设置不同角色来分配访问授权。
基于角色的访问限制为企业网络提供了较强的安全性,同时,针对资源权限的灵活控制,使管理员对访问权限控制的更改能第一时间生效,保证资源访问安全。
(5)集成企业级状态防火墙方面的研究,拟采用基于连接状态检查的检测方法,即“状态检测”方法。
该方法将同一连接的所有包作为一个整体的数据流看待,通过匹配规则表与连接状态表的相关约束,达到对数据包的源地址、目标地址、协议类型、源端口,目标端以及网络接口等数据包进行控制的目标。
研究基于状态检测表追踪连接会话状态的判定机制,即结合前后分组里的关系进行综合判断,决定是否允许该数据包通过。
另外,内置防火墙支持透明、路由、混合3种工作模式;支持双向NAT、静态路由和基于源(和目的)地址的策略路由;支持带宽控制和时间控制;支持基于接口的安全策略;支持黑名单、ARP绑定、webURL过滤、关键字过滤等功能。
(6)云安全审计关键技术的研究,拟采用基于日志分析的方法,用户可根据日志记录查询和跟踪云数据流向。
研究日志级别的分类和度量标准,如:紧急、报警、错误、调试等。
同时,管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数、用户的登录次数、告警次数等进行直观显示。
4.3.1.2会话安全管理传统意义上的会话管理是为了实现NA T、ASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能。
此功能把传输层报文之间的交互关系抽象为会话,并根据发起方或响应方的报文信息对会话进行状态更新和超时老化。
会话管理支持多个业务特性分别对同一个业务报文进行处理,实现的主要功能包括:报文到会话的快速匹配;传输层协议状态的管理;报文应用层协议类型的识别;支持会话按照协议状态或应用层协议类型进行老化;支持指定会话维持永久连接;会话的传输层协议报文校验和检查;为需要进行端口协商的应用层协议提供特殊的报文匹配;支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配。
会话管理主要基于传输层协议对报文进行检测。
其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。
会话管理作为基础特性,只是实现连接跟踪,模块本身并不阻止潜在的攻击报文通过。
在云计算环境中,恶意攻击者能够跟踪会话状态、窃取会话凭证和监测会话ID,达到对系统进行攻击的目的。
因此,提供一种会话安全管理机制对于保障系统和数据安全、防止未经授权的访问和数据泄露有着十分重要的意义。
会话安全管理实现的内容包括:a)支持TCP、UDP、ICMP、Raw IP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间。
b)支持应用层协议的端口映射,允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话超时时间。
c)支持TCP、UDP、ICMP报文的校验和检查。
在校验和检查失败的情况下,不进行会话的匹配或创建,而是由基于会话管理的其他业务来处理。
d)支持ICMP差错报文的映射,可以根据ICMP差错报文的内层报文查找原始的会话。
另外,由于差错报文都是由于某主机出错后产生的,因而可以加速该原始会话的超时老化。
e)支持应用层协议(如FTP等协议)的控制通道和动态数据通道的会话管理。
f)实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。
4.3.1.3桌面虚拟化控制桌面虚拟化是指将计算机的桌面进行虚拟化,以达到桌面使用的安全性和灵活性。
桌面虚拟化是支持企业级实现桌面系统的远程动态访问与数据中心统一托管的技术,可以运行用户通过瘦客户端在任何地点,任何时间访问在网络上的专属的个人桌面系统。
以托管服务的形式交付桌面可以创建更加灵活的IT 基础架构,从而可以帮助企业更迅速地响应市场变化和机遇。
更快和更加一致地将应用程序和桌面部署到更多类型的客户端,从而在提高服务级别的同时降低成本。
延长旧版应用程序的使用寿命,并通过应用程序虚拟化来消除安装冲突。
对于远程办公室和分支机构,将您的桌面移到云中,并在任何需要的地点以托管服务的形式交付它们,同时保持所需的控制力和安全性。
在桌面虚拟化中存在的主要安全问题包括域管理和准入控制问题。
随着桌面虚拟化的引入,每个用户至少多了两个操作系统实例(瘦客户机和虚拟桌面),即需要登录到瘦客户机,同时虚拟桌面也必须加入域才能够正常工作。
云计算环境中虚拟桌面端运行在数据中心,而瘦客户端接入设备则可以运行在不同的地域,因而位于不同的局域网中,所以需要VPN等关键技术支持。
1)隧道技术企业网内一个局域网的数据透明的穿过公用网到达另一个局域网,虚拟专用网采用了一种称之为隧道(Tunneling)的技术。
作为VPN 关键技术中最为重要的一项,隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
利用它可在一条广域链路上,从数据源到目的节点之间建立一条隧道。
