发布时间:2024-01-14 15:56:48
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的云安全规范样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
以党的十七大精神为指导,深入贯彻落实科学发展观,坚持以人为本,执政为民,围绕建立健全决策权、执行权、监督权既相互制约又相互协调的权力结构和运行机制,进一步规范行政权力运行,深化行政管理体制改革,促进职能转变,完善惩治和预防腐败体系,加快法治政府、服务型政府建设。
二、目标要求
按照“权力取得要有依据、配置要科学、运行要公开、行使要依法、监督要到位”的要求,优化行政权力配置,规范行政权力运行,大力推进政务公开,完善行政权力运行的监督体系,突出重点,分步实施,扎实推进,逐步建立结构合理、配置科学、行为规范、程序严密、运行公开、制约有效的行政权力运行机制,有效防止滥用权力现象的发生,为优化发展环境,服务和谐社会,为全市经济社会又好又快发展提供良好的环境。
三、工作任务
(一)依法清理行政权力,确保权力取得有据
要从具体行使行政职权的机构或岗位入手,根据法定授权依法确定的职责及本单位“三定”方案,对法律、法规、规章规定的行政执法权、行政事业性收费权、重大事项决策权及其他依法实施的行政权力等进行全面清理,取消没有法规依据的职权。对清理出的职权项目,按照权力相应类别进行登记造册,要依法进行审查,确保清理结果合法、全面、准确。
(二)编制职权目录和流程图,确保权力配置科学
将清理后的职权逐个界定层次和部门,并落实到具体岗位和责任人,努力形成适当分工、相互制约又协作配合、相互协调的权力结构。对职权交叉重复和归属不清的,要明确主办科室及职权范围。职权分解到位后,要及时编制公布职权目录,同时,遵循“规范程序、提高效率、简明清晰、便民利民”的原则,进一步优化各项业务流程,绘制并公布覆盖各项权力运行全过程的流程图,建立规范权力运行的刚性机制。
(三)坚持依法行政基本要求,确保权力行使依法
根据“合法行政、合理行政、程序正当、高效便民、诚实守信、权责统一”的基本要求,严格按照法定权限和程序行使权力,履行职能职责。只要是法律没有授予的权力,一概无权行使;法律规定应该履行的职责,必须积极履行,要切实克服和解决权力运行中存在的“越位”、“缺位”和“错位”等问题。要进一步规范行政自由裁量权,防止违法行政、不当行政等滥用自由裁量权的行为发生。
(四)完善监督制约机制,确保权力监督到位
及时建立和完善各项监督制约制度和机制:一是强化层级监督,要建立经常性的监督检查和考核评议制度,加强对各科室及其工作人员具体行政行为的监督;二是强化专门监督,纪检监察机构要认真履行职责,参与并指导开展规范权力工作,加强对行政行为的事前、事中、事后监督。要主动接受人大及其常委会的监督,接受质询;自觉接受政协的民主监督,虚心听取对其工作的意见和建议;重视社会监督和新闻媒体的监督,保障人民群众的监督权利;三是探索建立行政问责制度。要建立健全决策责任追究制度、行政执法责任制,切实做到有权必有责、用权受监督、违法受追究、侵权须赔偿。
四、方法步骤
根据市里安排,规范行政权力运行工作分为三个步骤:
第一阶段(2009年10月15日-11月中旬):梳理行政权力。
1、要成立规范行政权力领导小组,指定专门科室和专人负责,制定具体工作措施、工作方法。按照我局执行的法律法规依据以及“三定”方案,及时梳理本部门工作职责,对我局行使的行政职权、服务事项等及时进行清理汇总,并由相关职能科室和局领导审查把关。编制本部门行政职权目录,绘制行政权力运行流程图,并送至市效能办审核确定。
第二阶段(2009年11月中旬-12月底):公开职权目录和行政权力全过程运行流程图。要抓住决策、执行、结果等行政权力运行的主要环节,采用政府网、局网站、政务公开栏、办事指南等形式主动公开行政权力运行过程。要建立行政权力运行记录,如实记载行政权力行使过程各环节的情况,公布职权目录和流程图后,要严格按照流程图确定的程序行使职权。
第三阶段(2009年12月底):督促检查与总结提高。市政府将组织有关部门对行政权力运行公开、加强运行监督检查情况进行检查,重点检查:行政许可、政府采购、经营性建设用地使用权出让、矿业权出让、专项资金等。健全受理行政投诉制度,局受理群众投诉的电话:**,建立受理、登记、查询、回复等制度。要及时总结规范行政权力运行工作,对检查中发现的问题进行整改提高,以促进规范行政权力运行工作扎实有效开展。
五、工作要求
(一)加强组织领导。规范行政权力运行,加强对行政权力运行的监督是一个系统工程,要高度重视,把这项工作列入重要议事日程,认真抓好落实。局机关根据实际,经研究,成立**市国土资源局规范行政权力工作领导小组,组长:方兴添,副组长:郑祥堂、廖金夏、方玉良、陈武勇,成员:何建辉、陈达铭、陈建忠、翟盛俊、邢振宗、郑文忠、邓治建、冯文光、郑世超、林春泉、罗文谟。领导小组下设办公室,陈达铭兼任办公室主任,工作人员为何建辉、陈建忠、张晶、林雨。。
(二)精心组织实施。各科室、下属事业单位要按照要求,根据本科室、单位的职权情况,对照法律法规和政策,认真开展自查和清理编制目录和绘制流程图,确保清理全面、及时、准确。
为认真贯彻落实省、市、县化工产业安全环保整治专项行动会议精神,东海县交通运输局依照“全覆盖、零容忍、严执法、重实效”的总体思路,组织成立专门的检查小组,采取过程管控和源头管理相结合,不断推进化工产业安全隐患大排查、快整治、严执法行动,全力营造安全有序的道路运输市场环境。
一是大排查,切实摸清底数。组织专门力量,深入细致摸排现有企业个数、车辆数、从业人员数和生产经营情况,督促监管企业彻底开展安全隐患排查治理并建立台账。
二是快整治,彻底消除事故隐患和不安全因素。对存在一般性安全隐患的企业及项目,边查边改、立查立改;一时难以解决的,制定整改方案,限期完成。对存在重大安全隐患的企业及项目,责令企业立即停业整顿,在隐患消除之前,不得投入生产运营。对非法从事道路危险货物运输的企业或个体业户,立即依法取缔。
三是严执法,做到顶格处理、决不姑息。加强企业安全生产源头监管,强化安全检查痕迹化和闭环式管理,对存在重大安全隐患的企业,挂牌督办,责令整改;涉嫌违法的,坚决依法处罚。统筹执法力量,突出化工园区、危化品集中交易市场等化工产业集中、违法行为多发易发区域,以及普通国省道主要出入口,严厉查处未经许可或者超越许可范围从事道路危险货物运输的车辆、未取得从业资格从事道路危险货物运输等违法行为。积极与公安部门开展联合执法,建立健全案件移送互动机制。
截至目前,共派出执法人员152人次,累计检查过往危险品运输车辆240辆次,督促现场整改轻微违章20余辆次;深入6家危化品运输企业全面开展安全检查,累计检查危险品运输车辆49辆次,查改隐患30项。
关键词:云计算;云安全;虚拟化
中图分类号:TP3文献标识码:A文章编号:1007-9599 (2010) 14-0000-02
Security Consideration in Cloud Computer Project
Hai Yang
(School of Information Security Engineering,Shanghai Jiaotong University,Shanghai201203,China)
Abstract:The cloud computing provides an efficient,scalable,cost-
effective IT service way,different cloud computing mode for the enterprise's core business bring innovation and support,but flexible and open cloud computing pattern,simultaneously has also brought new potential security risks.Therefore in the business enterprise application and key data migration to computing clouds before,it is necessary to make a full assessment security risks and ensure it satisfy enterprise risk management strategy and legal regulatory compliance requirements.This thesis reference cloud computing security framework and industry best practices,discussed the implementation method and cloud safety to consider safety control field.
Keywords:Cloud computing;Cloud safety;Virtualization
一、什么是云计算?
云计算是一种计算模式,应用、数据和IT资源以服务的方式通过网络提供给用户使用,是一种所有流程,应用和按需供应的服务。同时云计算也是一种基础架构管理的方法,大量的计算资源组成IT资源池,用于动态创建高度虚拟化的资源提供用户使用。它计算能够提供灵活的IT资源调度,提高IT成本效益,且易于快速部署和扩展。因此,云计算的使用能帮助企业提升IT服务质量,提高IT服务效率,简化IT管理,并能更好的将IT服务与业务发展的动态需求结合在一起,利用新技术开展各种新业务。
二、云计算面临的安全挑战
云计算带来了新的IT服务模式,为用户提供了实际的便利,也带来了新的问题。根据Oliver Wyman(奥纬咨询)的调查,云安全是云计算项目中首要关注问题。其安全不仅是供应商自身管理的需要,也是云计算供应商开展业务的前提。云计算提供商不但要对云安全进行深入、全面的研究,还需要考虑如何展示云安全保障能力,打消用户疑虑,树立在用户方的信心。
相对与传统的IT运维模式,云计算淡化了系统边界,系统管理边界。对于用户来说,他并不清楚信息系统部署的主机设备的位置,数据存储的位置;谁来对系统进行定期备份,谁来审核信息系统的安全性符合法律法规的要求,谁可以设定系统的访问权限。在实现云计算过程中,用户相对“被动”的使用云资源,缺少对系统的控制权或者说“控制感觉”,所以用户会担心这种新的计算和IT服务模式会带来怎样的安全风险。
三、云安全的复杂性
由于云计算模式多样,有公共云、私有云、混合云,基础架构云,平台云,软件服务云,所以导致云计算安全问题的复杂化,不同的云计算模式对于信息安全的要求和侧重点都有不同,不同的云计算类型需要不同内容的云安全。没有一个放之四海而皆准,适用于所有云计算的云安全最佳解决方案。
另外对于云计算安全还有一个误区需要澄清。很多用户谈到云计算安全,就认为是虚拟化安全。其实云计算并不就是虚拟化,云计算一般都具有IT基础架构虚拟化、IT服务标准化,运维流程规范化,系统维护自动化的技术特点,但虚拟化仅是解决IT资源动态调度的一个非常有效的技术手段。从某种意义上讲,如果提供SaaS软件服务,即使不采用虚拟化技术,也是可以被称为云计算。
四、云安全实施的考虑
由于云安全不是单一的技术方案,所以很多用户在谈到云计算安全时,不知道云安全具体包括了哪些内容?不知道下一步工作怎样展开?不知道云安全项目费用是多少?不知道项目的实施周期大约是多长?这些都是在云计算项目实施过程中困扰用户的一些关键问题。
在云安全实施前,首选需要快速识别特定云计算场景的安全风险,然后利用其他云计算项目经验累积的安全成果,帮助用户获取针对云安全的全面深入的理解,引导用户建立实现云安全目标。在确定云计算安全的起点和目标后,需要识别和评估相关的信息安全和隐私风险,找出云战略安全差距,确定适用于本项目的风险缓解策略,并帮助开发一个高层的、差异化的云安全建设战略路线图。其中内容包括:
1.协助用户评估其云解决方案的安全架构、规划实施策略和路线;
2.确保其解决方案的安全性和云计算安全最佳实践保持一致;
3.测试安全控制机制在阻止攻击和滥用方面的有效性;
4.云安全实施能力评估。
最终通过云安全评估和规划活动,帮助完成其云计算方案的安全基准评测,以确保云安全策略是合理的,可落实的,最终达到降低云计算安全风险的目的。
五、云安全实施中需要关注的方面
由于实际项目中云计算模式不同,所以采用的安全手段和措施也不一样。根据在云计算项目中实施的经验,探讨和总结在实际的云计算项目中,在云安全方面需要关注的主要安全域。
(一)用户需要云中安全的“可视化”
在实际的云计算项目中,云的安全治理、风险的管控、以及法律法规的符合,对于用户和企业管理者来说都是非常抽象的,用户无法明确云计算系统的安全状况是否满足企业信息战略风险的要求,是否满足有关国家和行业的法律法规的要求。所以需要有一个可视化的IT治理和审计的平台,帮助用户明确的知晓云安全状态。
(二)针对不同的云用户采用适用的身份认证和访问管理
中标软件有限公司总经理,中国软件高级副总裁,研究员级高级工程师,"核高基"国家科技重大专项总体专家组成员,任中国软件行业协会常务理事,开源及基础软件技术创新联盟理事长。
2013蛇年伊始,科技部副部长曹健林公开解读了中国云计算发展及其将给国人生产生活带来的变化。他指出:云安全仍然是影响云计算发展的最关键问题。我们要发展信息安全特别是云安全技术,同时,相关法律法规的健全也迫在眉睫。
云计算带来新安全风险
作为第四次IT革命的云计算是当今主流技术(虚拟化、分布式存储、分布式计算、SOA、应用调度等)的优化整合提升,给传统IT服务带来新的商业模式。
云计算除了资源整合共享导致成本降低之外,最核心优势就是能够快速地满足商业市场变化的需求。
但是,正如老子道德经所云“祸兮,福之所倚;福兮,祸之所伏”,云计算也带来了新型网络威胁、数据安全和隐私泄露的风险,甚至在全球范围内已经发生诸多云计算安全事件。
美国《NetworkWorld》杂志2011年曾专门列出了全球发生过的十个最严重的云服务中断事故,包括亚马逊、谷歌、Salesforce和微软在内的多家云服务提供商都曾因为云安全事故而遭受到不同程度的打击,业务损失严重,微软公司甚至因此全面停止提供Sidekick智能手机的云数据服务。
因此,如何更好地建立企业云计算的安全技术和安全策略管理标准体系,从而有效避免云计算所带来的安全隐患,已成为行业日益关注的焦点。
在采用云计算之前,企业通过安装阻止非法访问内部网络的硬件防火墙来定义安全边界,也通过密码认证等方式来限制和阻止非法用户的访问。在移动用户很少和所有数据都在企业内部的时代,这些安全策略是完全可行的。
进入云时代之后,情况出现了极大的变化:访问连接无处不在、信息交换多种多样、之前信任的安全边界被云计算不断破坏与重组。因此,传统静态的安全控制已经无法满足云时代的动态特性。云计算的安全技术、安全策略、目标和防范措施都要求企业具有创新思维,要求企业重新定义企业网络安全边界。
解决云计算特有安全问题
不管采用什么云服务模型(IaaS、PaaS和SaaS)或云部署方式(公有云、私有云、混合云和社区云),要满足云端时代的安全需求,传统信息安全的五大方面(加密、访问控制、审计、认证、授权验证)都需要解决云计算特有的问题,如资源虚拟化、多租户、动态分配、特权用户以及服务模式等云计算特性,造成信任关系的建立、管理和维护更加困难,服务授权和访问控制变得更加复杂,网络安全边界变得模糊等,这些问题要求在现有安全技术基础上提供更多的云安全技术和方案来解决。
正是在这样的云时展大趋势下,中国电子信息产业集团于2012年先后成立了两家专注于信息安全的企业:中电信息技术研究院和中电长城网际。
秉承中央企业保障国家基础信息网络和重要信息系统的安全为使命,以面向国家重要信息系统的高端咨询和安全服务业务为主线,着眼于信息化发展的大趋势和信息安全对抗的严峻局面,立足产业、突出国家信息安全顶层设计,提高国家信息安全咨询与服务能力,带动产品技术的不断创新和产业化发展,为国家信息安全保障体系提业支撑。
云深科技由一批拥有丰富IT业经营经验的企业高管,配合具有丰富设计和生产经验的工程师团队所成立,以“恪守信用、追求卓越”为宗旨,致力於终端机用户及企业用户的信息安全。
2008年5月,继“云计算”“云存储”之後,“云安全”技术在美国首次正式推出。但这一概念推出之後,爭议颇多,焦点在於其安全性是否真的安全。2011年,由香港金融界成功企业家郑军浩先生等人领导的一批富IT业经营经验的企业高管,配合具有丰富设计和生产经验的工程师团队,共同领导的云深科技正式成立,秉承着“正直诚信、恪守信用”的价值观和基本承诺,不断引导创新与开拓,为客户提供软件、平台、基础设备三大安全的云端服务,参与研发的云计算终端机档案加密应用技术,堪称“云安全”领域的又一新里程碑技术!
云安全的技术性突破
2013年4月15日,世界首款云端存储加密系统在香港会展中心发佈,消息传来,令业界欣喜不已。这是由云深科技所研发的一款全新的云端数据加密应用软件——云计算终端机档案加密应用技术,为云端数据的安全提供了强大的保安力量,是维护数据安全的福音。
何为“云安全”?“云安全”是继“云计算”“云存储”之後出现的“云”技术的重要应用,是指基於云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。随着云计算的蓬勃发展,云计算数据库安全问题,成为了制约云计算发展和应用的关键问题之一,是最大的忧患和威胁!目前,云深科技所研发的“云计算终端机档案加密应用技术”正是一种顶端的“云安全”技术。
众所周知,信息是企业最宝贵的财产之一。如果信息丢失,轻则影响业务的正常开展及客户满意度,重则关繫到整个企业的生死存亡。因此,多个国家纷纷出台了相关法规和隐私保护指令,比如说美国萨班斯法案、日本个人信息保护法案、欧盟隐私和电子通信指令、被称为中国版的萨班斯法案的《企业内部控制基本规范》等等,毫不夸张地说,云安全问题有些类似於安全界的工业革命!
在这场革命中,云深科技无疑是革命队伍中的领先者。郑军浩先生介绍道:云深科技创办至今,致力於研发一项保护受委託处理的个人识别资料的技术,以确保其资料在未获授权或无意的情况下被查阅、改动、处理、删除或作其它用途。这些对重要资料的“保护措施”的“机密性、完整性、可用性”发挥了非常重要的作用,极大地提高了云端数据的安全性,是业界技术性突破。
云计算终端机档案加密应用技术的隆重面世,迅速吸引了全球的聚焦,在香港会展发佈会,旨在嘉许云深科技在迈向高科技、高增值的过程中取得的成就。
独佔鳌头的云端服务
据了解,各类云端服务的提供,旨在信息技术不断发展、人们生活需要的不断提高。近年来,云计算产业应运而生且快速壮大,打造了超千亿元产业;行业应用逐步普及,超过50%的中小企业和70%以上的个人互联网用户使用公共云计算服务;基础设施明显改善;技术融合加强等等,从而进一步地加速了安全的云端服务的出现。
2013年5月31日,云计算终端机档案加密应用技术新闻发佈会於深圳市会展中心隆重召开,云深科技行政总裁Jonathan David、市场总监Granada Lee、项目总监郑军浩、软件部负责人文惠祥等重要嘉宾出席了此次新闻发佈会,为业界带来了安全的云端服务。
经历大量的研发,云深科技已成长为一位提供安全云端服务的供应商。云计算终端机档案加密应用技术可以在终端用户信息安全方面,抵抗住黑客的入侵,致力於为智能手机、平板电脑、智能电视建立信息安全云;在企业用户信息安全方面,云深科技则引进了数据库设备安全技术,令到企业高枕无忧,无须担心数据库资料安全。
与此同时,云计算终端机档案加密应用技术非同一般,它採用了AES 256 bit 美国政府实用的加密技术(该加密技术,预计在未来几十年内代替DES在各个领域中得到广泛应用),系统管理员和云端服务供应商都不能打开自己所需保密的重要资料,在任何时间点,限制别人转发资料,达到云安全的国际标準。另一方面,云计算终端机档案加密应用技术属於云深科技提供的云端服务的软件服务(SaaS)。除此,云深科技还提供平台服务(PaaS)、基础设施服务(IaaS),旨在为终端机用户及企业用户提供信息安全服务。
数据显示,云深科技的应用程式自推出的短短5个月里,已在安卓版本系统中超过18万人下载,且每天以大约5000个用户的增长速度迅速增长,每个月有着10%的增长速度,以此基础上计算,预计在一年内,将会新增200多万新增用户,受欢迎程度非同一般。在客户资料方面,该技术前景也非常广阔,例如广东一间数据库公司註册用户量已达数千万,云深科技数据库设备安全技术每名企业用户收年费100元,预算在年半後为云深科技提供每年1-2亿元人民币盈利,而且按年20%增长,五年後预算提供盈利4亿五千万元人民币。
另外,在云端服务的业务中,保护客户的资料及私隐,是十分重要的工作,也逐渐成为企业成功的关键因素。对於云端服务供应商而言,有能力保护受委託处理的个人识别资料,便可得到客户的信任及认可。相反,则会失去潛在的商机,甚至导致法律诉讼。
为此,云深科技将“正直诚信”立为最基本的价值观,强调员工职业操守,对客户许下“恪守信用”的最基本承诺,同时採取切实可行的措施,以确保受委託处理的个人识别资料一直受到保护,免遭在未获授权或无意的情况下被查阅、改动、处理、删除或作其它用途。
不断创新,搏取未来
随着时代的发展及人们对生活的需要,科学技术的日新月異早已成为一种必然的趋势。而在竞爭激烈的商业世界里,产品研发比以往更讲求质量及速度,且需保持低成本开发以迎合变化万千的市场。
始终坚信“在终端消费者作出实际的购买行动前,供应键上的每个部落都並未获得营利”的营商理念,云深科技不断将创新的产品意念,转化到商业化发展之上,“价值创新是我们产品研发的宗旨和战功的基石”,以不断地创新,旨在为客户提供最完善的解决方案。
云计算作为由IT领域发起的技术革命,正在逐渐成长为未来国家新兴战略产业,目前正在国内各地呈现出蓬勃发展势头。但业界普遍认为国内云计算产业现在仍处于起步阶段,而没有统一的行业标准、各自为战是制约云计算产业健康发展的重要因素。市场咨询机构IDC曾报告认为,许多和云计算有关的术语、技术接口,不同公司采用不同的技术方案,导致大量数据和服务无法在各公司范围内转移、共享,从而局限了云计算的应用服务范围。而缺少顶层设计、建设各自为政、难以发挥协同优势等问题,不符合云计算最大限度共享资源、弹性使用的特征。
无可否认,云计算标准化是云计算真正大范围推广和应用的基本前提,没有标准,云计算产业就难以得到规范健康发展,难以形成规模化和产业化集群发展。世界上不少主要由关键企业建立的组织正在大力推动云计算标准化,并以此在未来的云计算产业发展中谋取自己的话语权。业内人士分析认为,需要云计算标准化的主要内容包括:云计算互相操作和集成标准,涵盖不同云之间如私有云和公有云之间、公有云和公有云之间、私有云和私有云之间的互操作性和集成接口标准;云计算的服务接口标准和应用程序开发标准;云计算不同层面之间的接口标准,包括架构层、平台层和应用软件层之间的接口标准;云计算服务目录管理、不同云之间无缝迁移的可移植性标准;云计算商业指标标准;云计算架构治理标准;云计算安全和隐私标准。
国际组织抢占行业标准
国际上有十家以上组织正在在推动云标准化的进程,不同的利益团体都在努力,希望在未来的云计算标准中有自己的一席之地。各个国际标准组织对云计算标准的侧重点分布在云安全、云存储、云互操作、平台接口等不同方面。
分布式管理任务组DMTF:DMTF工作组致力于分布式IT系统的有效管理,DMTF标准使得跨厂商系统、工具及企业解决方案的互操作成为可能。目前主机操作系统及硬件级的管理接口规范都来自DMTF标准,所以该组织是极具影响力的团体。DMTF提出了OpenVirtua
LizationFormat1.0,规定虚拟化镜像的部署和封装标准,另外该组织下的云计算工作组CMWG还在起草开放云标准孵化器(OpenCloudStandardIncubator),开发云资源管理协议、封包格式和安全管理协议,了云互操作性和管理云架构的白皮书。DMTF还和CSA共同制定云安全标准。有来自43个国家的160多个公司和组织成员,董事会成员有Dell、HP、IBM、Cisco、Intel、AMD、Oracle、Microsoft、EMC、CA、Citrix、VMware、Hitachi、Fujitsu、Broadcom十五家公司。
结构化信息标准促进组织OASIS:目标是推动全球信息社会的开发、融合和应用开放标准。OASIS在软件开发领域影响力很大,提交了着名的XML和WebServices标准:CoverPages和。到2010年8月底为止包括了IBM、Microsoft等两百六十个来自不同国家的组织、团体、大学、研究院和公司。成为拥有600多家组织企业、参与人数超过5000人的国际化组织。我国的互联网信息中心CNNIC、神州数码信息系统有限公司、华为(微博)、北京大学等都加入了该组织。
存储工业协会SNIA:成立时间比较早的存储厂家中立的行业协会组织,它的成员包括不同的厂商和用户,核心成员有Dell、IBM、NetApp、EMC、Intel、Oracle、FUJITSU、JUNIPER、QLOGIC、HP、LSI、SYMANTEC、HITACHI、Microsoft、VMware、Huawei-Symantec十五家,其他成员有近百以上,SNIA就是存储行业的领导组织。针对云计算迅速发展SNIA成立了云计算工作组,并CloudDataManagementInter
face,目的是推广存储即服务的云规范,统一云存储的接口,实现面向资源的数据存储访问,扩充不同协议和物理介质。其中包括了SNIA云存储的参考模型以及基于这个参考模型的CDMI参考模型。SNIA希望为云存储和云管理提供相应的应用程序接口并向ANSI和ISO提交这些标准。
开放网格论坛OGF:由来自40多个国家的400多个用户、开发者和厂商的组成的社区组织,目的是引导网络计算的标准和规范,开发管理云计算基础设施的API,创建能与云基础设施(IaaS)进行交互的实际可用的解决方案。成员有CYBERA、Fujitsu、Oracle、GridConsortiumJapan、CA、NetApp、Microsoft、Sun、Hitachi、IBM、Intel、HP、AT&T、eBay等公司与组织。该组织提出了OCCI,该标准目的是建立接口标准解决方案,实现架构云远程管理,开发不同工具以支持部署、配置、自动扩展、监控和定义云计算、存储和网络服务,OGF成员发表了很多针对网格计算、节能降耗的数据中心建设最佳实践白皮书,对云计算数据中心建设有非常好的参考价值。
【关键词】云计算 电子政务 信息化管理
1 引言
随着云计算机技术的逐步成熟,国内外相继采用云计算以降低IT基础设施的投资规模,提高资源利用效率。以美国为例,截止2012年底,美国政府利用云计算技术已关闭472个政府自由数据中心。韩国利用云计算体术在2012年将政府服务器从4687台减少至2535台。
按照北京市“祥云工程”计划,北京市自2011年起组织开展了政务云试点工作,先后为市财政局、市委组织部等20余家单位提供云主机、云存储等服务,验证了政务云在快速部署、安全可控等方面的优势。在此基础上北京市经济和信息化委员会加快了北京市市级政务云的建设和应用力度,于2015年10月通过公开招标方式选择了2家云服务商和1家安全监管服务商,初步形成了“2家竞合,1家监管”的六里桥政务云,为北京市政务云的持续健康发展奠基了良好基础。
2 北京市级政务云模式下的风险
北京市市级政务云按照“统筹规划、适度超前、资源共享、确保安全”的原则,以“企业投资建设,政府购买服务”模式进行组织建设。随着北京市城市副中心的建设,根据《北京市大数据和云计算发展行动计划(2016―2020年)》的O计,北京市将建设具备数据同步能力的两地政务云生产数据中心,以及具备数据级和业务级灾备能力的灾备云,未来可能存在六到七家云服务商。作为全市统一的政务云,这种多地部署、多家云服务商的模式会可能存在以下问题:
(1)云计算技术本身随着提供服务模式的不同,责任界定比较困难,而北京市这种更加复杂架构下的政务云相关多方责任界定的问题将更加突出。
(2)未来可能多家云服务商分布在三个不同的区域,如果各个云服务商各自为政、管理水平参差不齐,将导致北京市政务云的服务质量无法统一,影响使用单位感受,不利于政务云持续良性发展。
(3)在多家云服务模式下,使用单位根据业务特点可能会选择多个云服务商,如果每家云服务商流程不一样,将极大的增加使用单位采购政务云服务的复杂度。
3 北京市政务云运行管理系统的设计
北京市经济和信息化委员会为彻底解决政务云平台统一管理问题,规范北京市市级政务云的规划、建设、运维和管理,落实《国务院关于促进云计算创新发展培养新业态的意见》、《关于加强党政部门云计算服务网络安全管理的意见》和相关政策法规,形成了统一的运行管理体制,实现了政务云的资源整合、互联互通和数据信息的共享。
3.1 依托管理办法划分相关职责
为规范政务云的使用和管理,市经济和信息化委印发了《北京市市级政务云管理办法(试行)》,对政务云应用和管理过程中的部门权责、使用规程等进行了明确规定。有效界定管理方、云服务商、云安全监管商以及政务云使用单位的责任及义务,确保了政务云工作的有序开展。其中,市经济和信息化委负责政务云的统筹规划和监督管理;北京市公共信息服务中心负责政务云的建设、运维、安全监督及物理安全的管理;云服务商负责政务云建设、运维和云自身的安全保障;云安全监管服务商负责实时监测政务云资源使用情况和基础设施运行状况,统计分析监测结果,定期向北京市经济和信息化委员会报送统计报告。政务云各使用单位负责本单位信息系统入云的规划、建设、迁移部署和经费申请等。
通过管理办法的制定,各方明确了各自职责和义务,为后期各项工作的顺利开展奠定了必要前提,也是政务云未来持续发展的基石。
3.2 统一管理体系,确保云服务质量
北京市级政务云的总体管理按照“制度先行”模式开展,按照“统一规划、分级落实、持续监管”的思路,进行了管理体系建设,制定了《北京市级政务云运维及安全管理规范》、《北京市政务云平台绩效考核管理办法(试行)》等管理规范、制度等文档20多份,所有制度文档均已通过专家和内部评审。在日常运行工作中,政务云服务商、云安全监管服务商依照总体制度,分别制定各方单位细化的运维和安全管理制度。
通过对前期政务云试点工作中的经验总结,并结合国家最新的政策要求,北京市市级政务云制定了一套适用于云平台的应急预案。结合云服务远程维护、多个责任共担的思路,对上报流程和事件等级进行设计,针对两云平台自身的不同特点,制定的云平台瘫痪、单主机影响平台等专项预案。同时,全年组织多次应急演练,总结经验,对预案进行持续优化。
为了确保各项管理制度落地,云安全监管服务商承担了云服务商运行考核和质量管理,对运维服务工作流程进行全方位、标准化管理和监控,对运维服务人员进行实时工作派单、超时提醒、跟踪定位、监督管控等,从而提高协作能力、服务质量与用户满意度。通过全年12次绩效考核,发现运行安全隐患7类,纠正多起安全问题。通过此类制约手段,各方均能够遵守相关规定,保证了市级政务云平台的正常稳定有序的运行。
3.3 统一服务流程,提供标准服务
通过制定了《北京市市级政务云服务指南》,帮助政务云使用单位快速了解政务云使用的统一流程和服务内容。各使用单位业务系统需迁入云平台划分为三个阶段,即:入云意向及资源准备阶段、系统测试阶段和系统上线运行阶段。
3.3.1 入云意向及资源准备阶段
使用单位依据自身业务需要提出入云意向,向云服务商咨询系统入云初步建议,邀请云服务商开展详细入云方案设计。
3.3.2 系统测试阶段
在签订《政务云服务意向表》且云资源落实后,使用单位组织制定迁移方案,将系统部署至政务云测试区,在测试区完成系统部署、功能和安全测试、安全加固、试运行等工作。
3.3.3 系统上线运行阶段
云服务商为使用单位正式开通云资源,使用单位将系统从测试区平移至正式环境,投入正式运行。
3.4 统一信息采集、汇总和
为保证市级政务云的服务质量,通过加强内外管理,北京市市政务云建立了统一的信息汇总、统计和平台。
3.4.1 政务云运行和服务相关信息统一
政务云建立了统一的信息平台,对政务云进行介绍,及时更新新闻资讯、政策法规、常见问题、联系方式等内容,帮助使用单位更好的了解政务云。分享政务云资源使用配置、成功入云方案、云安全防护等相关案例,以及在线资源选择和推荐配置页面,帮助政务云使用单位更好的判断云资源申请规模,并可自动生成报价单,提供下载功能,便于申报财政预算。
3.4.2 政务云资源信息的统一采集和
云安全监管服务商的监管平台通过与各个云服务商平台进行接口开发,及时收集各个平台中不同单位的云资源申请、使用以及运行性能等相关数据,按照使用单位维度进行整合,各使用单位可以通过此渠道获得本单位在不同云服务商中的所有云资源相关信息,实现了政务云资源信息的汇总。管理部门通过此类信息,可更加有效的评估云资源使用情况的合理性,为后期云资源使用优化提供数据支撑。
4 总结
随着北京市市级政务云统一运行管理机制实践,梳理了各方职责,使得各相关单位都明确各自职责、范围,增强了政务云管理的完备性、运行的规范性,确保了政务云全年稳定运行。为北京市政务云在城市副中心建设、各区政务云的运行管理,提供了有效的借鉴作用,为利用云计算技术推动电子集约化发展、政务数据共享、大数据应用奠定了基础。
参考文献
[1]国务院关于促进云计算创新发展培养新业态的意见,2015.
[2]关于加强党政部门云计算服务网络安全管理的意见,2015.
[3]北京市大数据和云计算发展行动计划(2016-2020年),2016.
[4]GB/T 31167-2014《信息安全技术 云计算服务安全指南》.
[5]GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》.
[6]ITIL Version 3 Service Operation.2007-6-5.Office of Government Commerce.
作者简介
潘峰(1971-),男,陕西省三元县人。硕士研究生。研究方向为智慧城市、电子政务和信息化。
刘旭(1972-),男,甘肃省兰州市人。博士研究生。研究方向为智慧城市和电子政务。
王岩(1980-),男,浙江省宁波市人。大学本科学历。研究方向为公共服务、电子政务和云计算服务。
赵婉(1981-),女,陕西省延安市人。硕士研究生。研究方向为电子政务和云计算服务。
作者单位
0 引 言
云计算的智能资源池分配技术为公司的管理和设施的简化提供了极大的便利,然而在云计算飞速发展的同时,云数据的存储安全问题也日益突出。隐私文件泄露、安全漏洞等云安全问题也频频出现。解决云数据安全问题的研究方向主要包括数据加密技术、访问控制技术和云安全审计技术。本文通过对当前云服务安全技术进行分析,提出云数据安全存储的解决方案。
1 云存储系统概述
云存储指的是将客户端数据通过互联网传送到远程服务器上并按照一定的规则进行储存。云服务器通过集群应用或者是分布式文件系统将各种各样的存储设备高度集中起来,通过云服务器统一进行协调和调度。
云存储系统架构大致可以划分为应用层、基础层、存储层和接口层4个层次。应用层主要为各种应用的运行提供环境和支持,这也是整个系统中最为重要的一个层次。基础层和硬件联系最为紧密,整个系统的可靠性和稳定性都离不开基础层的支撑。存储层主要是存储用户通过互联网远程传输过来的数据信息。接口层可以视为存储器的一扇大门,只有通过重重验证的用户才能通过各自的接口对数据进行存储或读取。
2 云安全存储面临的技术问题
2.1 云数据加密与销毁处理
通过对云存储数据进行加密能够有效防止个人数据泄露。一般是通过专门的加密算法对数据进行加密处理,然后生成的密匙会存储在专门的存储介质中,只有通过认证的用户,才有机会访问该存储介质。通过密匙对存储在存储器上的数据进行解密,然后将解密的数据发送到实例化卷标中,从而实现对数据的加密存储和解密读取。然而这种访问技术显然会消耗更多的服务器资源和等待时间。
云存储服务器上还存在数据销毁问题。有时用户看似简单地将数据从界面上“删除”,这种删除只是将数据标志删除,从而让系统不再显示该数据。其实在硬盘等存储介质中,该数据会一直保留,知道有新的数据占用源数据磁道才会覆盖原数据,才会彻底地删除。一旦有人通过恢复软件将数据进行恢复,那么这将会对用户的个人隐私构成极大的安全隐患。
2.2 数据间的相互隔离
在传统的系统存储过程中,都会根据资源的类别和资源的重要程度进行层次分明的边界划分,这种模块化的环境中不会产生边界模糊的问题。在云存储过程中,由于采用了高度复杂的虚拟化技术和控制技术,以及大量的设备高度集成,导致边界划分的复杂度加大,越来越难以判定。传统的网络边界正面临新的挑战。
2.3 数据链路层的安全性和可靠性
用户通过互联网向云服务器发送数据或请求时,很有可能会被黑客劫持请求信息或者嗅探网络数据包,从而导致用户隐私的泄露。然而云服务器又不能脱离网络而存在,因此,在互联网传输数据的安全性有待解决。
2.4 云存储服务器的安全防护
云存储服务器防护一般分为物理安全防护和服务器安全防护两大类。物理安全防护一般指的是通过对服务器设备等硬件上的保护。物理上的破坏对网络和数据造成的影响完全不亚于其他安全风险。
对于服务器操作系统而言,其受到的安全威胁主要有两种。一种是来自服务器内部的安全漏洞,另一种是恶意病毒的攻击。除勤打补丁,加装杀毒软件和防火墙外,还能使用虚拟化网络技术进行物理上的数据隔离,以维护数据的安全。
2.5 云数据恢复与迁移
当云服务器死机或者物理服务器发生损坏时,需要将服务器数据转移到其他备用服务器中,不仅要迁移系统设置备份,还要迁移服务器存储的数据信息。因此在迁移过程中,需要确保数据的完整性和可靠性。
3 云存储安全架构分析
3.1 云存储四层逻辑模型分析
3.1.1 存储层
一般而言,随着存储容量的增加,存储设备出现坏道或者存储数据出现损坏的概率也会变大。通过分散式存储方式能够有效地提高存储效率和存储稳定性。
3.1.2 管理层
管理层主要是针对分散式存储数据进行管理的。作用就是对这些数据进行统一的整理,并通过地址指针将分散的数据模块统一起来,结合为整体性数据。这样一是确保存储数据的高效性。如果将一整段数据段存放区域,往往不能对存储介质的性能完全发挥出来,而且在存取时对地址的提取效率不是很高,分布式存储技术则能避免这些问题。二是数据安全,通过碎片式的存储技术能够对数据形成一定的加密能力,这种无规律的分布方式是很难被破解的。
3.1.3 接口层
接口层主要是指存储设备的入口,用户想要存取数据,必须通过接口层验证身份信息。这种服务器二次访问控制能够对服务器数据形成二次保护。通过接口层对数据访问和数据传输进行保护,实现安全数据存取。
3.2 云存储过程分析
云存储过程主要通过3个步骤实现。首先,用户将数据传输到远程服务器。远程服务器的分片器对数据完整性进行验证,然后通过分片器将整个数据按照一定的规则,将数据发送到分布式存储设备中。用户申请读取数据时,通过接口层的双重验证机制进行身份认证,认证通过后,通过分片管理器将该用户的存储信息进行整合。通过整合的信息会被放在一个实例化的临时磁盘中,为用户提供读取操作。
3.3 云数据加密与检索
在存储敏感性较高的数据时,服务器应该对这些数据加密,以保证网络数据的安全性和隐私性。这种加密技术应该适应云计算端到端的加密模式,密匙要求具有存活周期长和加密算法共享。可以通过线性搜索算法实现云数据加密检索。
该算法通过对称加密算法对用户数据和相关信息进行加密,并生成一连串的伪随机序列和校验序列,通过伪随机序列号对已加密完成的设备进行二次加密。用户在实际搜索时,提交的是被加密数据的序列信息,服务器通过对这些序列信息进行校验匹配,如果校验匹配成功,则显示用户搜索数据,否则不回复数据。
3.4 用户访问控制分析
用户在访问云计算服务器时,需要对用户权限进行相关的验证。目前,验证机制主要有Cookies验证和Session会话验证两种方式。例如:在众多的网络节点之间,设置节点之间的认证机制,当客户端进行登录验证时,使用多种混合验证方式,避免使用单一的加密方式,这样能够在很大程度上避免用户权限绕过事件的发生。
4 结 语
随着云计算的发展,云安全存储技术也面临着更大的挑战。这种挑战不仅是技术上的挑战,还有标准化、规范化的挑战,另外,由于云计算仍属于新兴产业,相关的法律政策仍不健全,对于网络入侵事件的处罚力度依然不够明确,人们仍需不断地进行安全技术创新,并且应该通过各个产业、各个部门的共同发展,协同促进云计算的发展和云安全存储的进步。