智慧医疗行业5G应用分析
当前5G在智慧医疗中的应用主要体现在以下4个方面:一是基于新型智能终端的远程操控类场景,例如机器人远程手术等;二是基于高清视频、影像的远程指导和诊疗类场景,包括远程查房、远程会诊、远程急救指导、远程教学和远程超声诊断等;三是基于医疗健康传感器和设备数据的远程监控类场景,包括患者实时定位和体征采集、远程输液监控等;四是院区医护人员、医疗设备管理等。综上分析,5G在智慧医疗中的4类应用包括远程设备操控、目标与环境识别、超高清与XR(包含VR/AR等)播放、信息采集与服务。5G智慧医疗以移动通信技术为依托,在充分利用有限的医疗人力和设备资源的同时,发挥大医院的医疗技术优势,在疾病诊断、监护和治疗等方面提供远程化和信息化服务,创新智慧医疗业务应用,节省医院运营成本,促进医疗资源共享及下沉,提升医疗效率和诊断水平,缓解患者“看病难”的问题,协助推进偏远地区的精准扶贫。5G引领智慧医疗数字化转型传统医院通常采用专业的医疗设备管理软件进行设备资产管理,以提高工作效率并保证账目登记的准确性,还通过系统提供各类账薄、报表等对单位的固定资产进行全面分析和评估。5G智慧院区管理利用5G海量连接的特性,构建院内医疗物联网,将医院海量医疗设备和非医疗类资产有机连接,能够实现医院资产管理、院内急救调度、医务人员管理、患者体征实时监测、院内导航等服务,提升医院管理效率和患者就医体验。目前医疗系统主要应用包括PIS视频、运行监控、实时通信、紧急等。5G作为新一代移动宽带通信技术,其传输效率远高于4G网络,并且可以很好规避LTE-M系统的频段资源限制。5G通信技术具备低时延、大宽带、广连接的特性,可以从本质上解决智慧医疗业务的通信速率及质量问题;同时5G网络频谱可以满足智慧医疗多项业务的并行通信需求,实现各类通信服务的高独立性与安全性;5G通信网络的高连接密度,结合物联网编码技术有助于实现对智慧医疗运营的全量数据感知与传输,为智慧医疗的数字化转型提供技术基础。
5G+行业应用解决方案
中国移动充分发挥运营商5G和云网优势,为医卫行业重点打造“1+1+1+N”产品体系,如图1所示。“1”张5G医疗专网,包括院内专网、远程专网。在新型网络基础设施的基础上,借助网络切片与UPF分流等技术,叠加MEP算力能力降低业务时延,提供面向医疗行业的专属网络服务,提高生产效率,提供高品质、高可靠的网络服务,满足医卫行业终端、平台和应用的高速、可靠、安全互联。“1”朵云边新型基础设施,包括院内医疗边缘云、区域公有云。针对应用上云、监管上云、边缘云定制等需求,提供从机房托管到IaaS、PaaS、SaaS一体化的产品服务体系,为医卫行业用户提供完整的上云解决方案,并提供托管式边缘云,抢占医卫行业云计算市场。“1”个平台底座,即中国移动自研OneHealth平台。融合5G切片、边缘计算、人工智能等新兴技术,整合集成自研和生态应用,提供符合医卫行业应用与服务需求的基础平台能力,满足医疗行业用户业务、连接、计算、安全等需求,构建医疗机构统一的门户、账号、权限、认证管理等体系。平台包含四大核心组件:综合接入网关实现多网融合接入;边缘云平台提供应用管理、服务管理等平台能力;弹性资源池提供基础的计算、存储等资源;态势感知平台是整个专网及边缘云态势的展示平台,可提供网络带宽、安全态势等感知。“N”个业务领域创新特色应用,主要包含智慧医院、远程医疗、区域医卫、智慧康养、智慧药监和智慧医保六大领域。以5G智慧医疗云平台为基础,打造以移动医护、5GVR探视等创新应用为核心的智慧医院体系,以远程诊疗、互联网医院等新兴应用为核心的远程医疗体系,以应急救援等特色应用为核心的区域医卫体系,以智慧康养平台等主流应用为核心的智慧康养体系。
青岛大学附属医院“5G+智慧医疗”项目案例
云计算和大数据推动世界信息化发展
“农业革命增强了人类生存能力,工业革命拓展了人类体力,信息革命增强了人类脑力。”在“4・19”讲话中,从人类社会发展史的宏大视野,敏锐洞察了当前信息革命已经带来和将要带来的巨大变革。当前,人类社会正处于全面向信息社会过渡的新工业革命阶段,无论是“互联网+”还是“中国制造2025”,其背后主要推动力都是以云计算和大数据为代表的新兴信息技术。信息产业从工业时代的一种产业形式,在云计算和大数据时代逐渐以其影响力和渗透力成为整个社会发展的基础,推动着物理世界向信息化、智能化发展。可以说,云计算驱动的大数据信息经济,带动了移动互联网等产业的发展,撬动了包括制造领域在内各行各业的市场潜力和无限创意。在前端,移动终端时时处处感知物理世界的状态,通过物联网、移动互联网传输到后端云计算中心,经存储、建模和分析后形成信息,之后再深度挖掘成为知识,最后形成智能应用来影响物理世界。
核心技术是信息化发展的基石
新一代信息技术推动着人类社会向数字化、网络化、智能化方向快速发展。这个过程以云计算作为计算和存储能力的资源平台,以互联网、物联网作为物理和信息系统的连接纽带,以大数据及大数据技术作为知识共享、价值挖掘的认知方法,而围绕深度学习的芯片、算法则成为强化智能的优化工具。因此,围绕云计算、大数据的核心技术是物理世界信息化、信息世界智能化的基石。指出,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,其中最大的差距在核心技术上。总书记同时强调,要坚定不移实施创新驱动发展战略,抓住基础技术、通用技术、非对称技术、前沿技术、颠覆性技术,把更多人力物力财力投向核心技术研发,积极推动核心技术成果转化。
突破核心技术掌握发展主动权
具体来说,云计算和大数据的发展需要CPU、操作系统和高端服务器等一系列核心技术的持续创新和革命性突破。信息化发展至今,我国的核心技术能力与西方国家相比差距甚大,究其原因在于我们在信息技术方面起步较晚,在芯片、操作系统、高端服务器等核心技术方面长期依赖西方,没有形成完备的信息技术创新体系和能力。而核心技术是云计算和大数据产生、发展的基础推动力,没有核心技术就随时可能处于被侵蚀和攻击的危险境地,没有核心技术就没有在网络空间国际战略和全球网络治理规则方面的主导权和话语权。因此,我们必须下定决心突破CPU、操作系统和高端服务器等核心技术,大力发展、积极推广自主可控的系统和产品,掌握云计算和大数据发展的主动权,改变核心关键技术受制于人的局面,形成安全可控的技术体系。我们只有把核心技术掌握在自己手中,才能真正掌握竞争和发展的主动权,才能从根本上保障国家安全和人民利益,保证我国信息化发展的长治久安。
第一,建设先进、完备的技术体系。从云计算和大数据的需求出发,围绕高端服务器系统,形成从CPU芯片到整机技术,从操作系统到数据库/中间件和应用软件,从底至上、软硬一体的完备技术体系。各种核心技术互相支撑,开放兼容,破解国产核心技术生态系统薄弱、上下游不衔接的难题。
此外,我们强调自主创新和形成体系,也不是关起门来搞研发,一定要坚持开放创新,只有跟高手广泛学习、积极合作,才能不断认识差距、快速完善自己。
第二,形成良好的产业生态。以现今美国产业生态为例,Intel和AMD专注于CPU、微软和RedHat专注于操作系统、Oracle专注于数据库/中间件等基础软件、HP和Dell等专注于整机,各IT巨头在特定领域持续投入,更加专注、专业的同时又互相协同、联盟,最终构建成辐射全球的信息产业体系,这对我国产业生态的构建具有重要的借鉴意义。指出,在核心技术研发上,强强联合比单打独斗效果要好,要在这方面拿出些办法来,彻底摆脱部门利益和门户之见的束缚。也就是说,IT企业要有重点地专注于特定核心技术,在特定领域各司其职,破除部门利益和门户之见,产生合力和协调效应。
第三,扶持壮大龙头企业。发展云计算与大数据核心技术,需要在国家战略层面,扶持壮大龙头企业,以持续高投入攻克核心技术,在技术上达到世界领先,在市场上形成规模效益。龙头企业一定要先做强、再做大,在某一个产品方向或者专业领域做到全球领先。一个企业即使规模再大、市值再高,如果没有关键技术,核心软硬件就永远依赖外国,“命门”就永远在别人手中。此外,“市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展”。抓住自主创新的牛鼻子,把发展的主动权牢牢掌握在自己手里,必须充分发挥龙头企业的作用。
关键词:云计算;信息安全;防护策略
云计算(CloudComputing)是当前应用最广泛的高端技术之一。该技术通过网络获得应用所需的资源(硬件、软件、平台)[1],将计算模式从互联网的客户端集中到网络云端,作为一种新的应用程序通过网络云提供给广大用户。云计算环境下采用的技术手段有多种,云端参与主体非常复杂,各种网络、系统、平台的安全风险也会加大。
一、云计算技术发展现状
(一)国外的现状在国外,云计算思想早已出现,但近十几年才获得蓬勃发展。美国最早将云计算技术作为维持国家核心竞争力的重要手段之一。美国历届联邦政府制定了一系列培育技术发展的政策,都将推动IT产业发展、技术创新作为国家优先发展的战略。2003年初,美国七所顶尖的科研院校提出“网络虚拟化和云计算”项目,美国国家科学基金会为此项目提供830万美元,云计算的研发工作正式启动[2]。2009年4月,谷歌推出了Google应用软件引擎来运行大型的并行应用程序。Apple推出了MobileMe、iTunes服务。2011年底,美国联邦政府了《联邦云计算战略》,明确提出积极培育云计算市场,构建云计算生态系统,鼓励企业创新,推动产业链协调发展的全新战略计划[3]。2012年9月,欧盟启动“释放欧洲云计算潜力”的战略,为云计算服务制定了许多安全、公平的技术规范,审核、精简了很多技术标准,鼓励欧洲所有云服务提供商扩大业务范围,并提供高性价比的云计算服务[4]。在亚洲,日本经济产业省在2010年8月了研究报告《云计算与日本竞争力》,支持并鼓励云服务提供商发挥科技企业在IT技术方面的优势,解决云计算发展过程中最具挑战性的关键问题[5]。韩国在2011年提出的《云计算全面振兴计划》,核心思想是政府在云计算服务领域做好表率,引领云计算在国内的发展。
(二)国内的现状我国云计算虽处于起步阶段,但云计算产业链正在加速形成。政府鼓励并全力支持企业研发并运用云计算技术。2012年5月,工业和信息化部了《通信业“十二五”发展规划》,明确将云计算定位为我国当前着重发展的关键技术和发展方向,着眼点是将云计算技术用于部级信息基础设施建设,实现多学科的技术融合与创新。同年9月,科技部了首个基于云计算的专项规划,即《中国云科技发展“十二五”专项规划》[3]。与此同时,各大企业积极行动起来:中国电信推出了“e云”计算平台;中国移动推出了“大云(BigCloud)”基础服务平台;中国联通则推出了“互联云”平台。在政企共同努力下,云计算技术研究与应用迅猛发展。近年来,随着中国5G网络的领先发展,新开发的一些技术被广泛应用在语音识别、人脸识别及医学图片识别、法律文本、金融分析、与应用场景结合的垂直云服务等领域。未来,云计算还可用于分析DNA结构、基因图谱定序等。我国企业转型升级的速度在加快,有助于云计算技术创新和产业发展。
二、云计算环境下的数据特点
在云计算环境下,用户所处理的数据并不是存储在本地,而是保存在互联网上的数据中心。提供云计算服务的企业负责管理和维护数据中心的正常运转,为用户提供足够强的计算能力和足够大的存储空间。云计算环境下的数据呈现以下特点:(1)信息交换模式化。用户在“客户端”与“云端”的信息交换趋于模式化。“客户端”通过网络终端(手机或PC机等)设备接入网络云,向“云端”提出请求;“云端”接受请求后搜索网络云资源,再通过网络云为“客户端”提供云计算服务。(2)数据存储集群化。PC机或其他终端设备无法提供无限量的存储空间和计算能力,而“云”由数千万台网络服务器组成,形成了庞大的存储集群,能够容纳海量数据。(3)通用性、可靠性和可扩展性。通用性是指云计算不会针对某个特定应用,而是可以构造出基于“云”的千变万化的应用;可靠性是指“云”具有很强的容错能力,使用云计算比使用本地计算机更可靠;可扩展性是指“云”数据信息容量是动态伸缩的,可以不断满足用户日益增长的大规模数据需求[6]。
三、云环境下信息安全的影响因素
(一)用户缺乏网络安全防范意识随着IT技术发展和虚拟化技术、信息化设备的广泛应用,我国网络用户的数量暴增,面临的信息安全风险无处不在。虽然我们有许多安全防护技术,但尚未解决一些技术难题,并不能完全保证云端的网络信息安全可靠,再加上用户的防范意识不强,存在盲目授权等行为,导致网络信息泄露的情况时有发生,造成极大的损失。
(二)信息易被窃取当前,计算机用户与云环境的交互比以往任何时候都频繁。各种木马、病毒、流氓软件会想方设法套取用户信息,嵌入恶意链接及各种伪装技术等,让普通用户防不胜防。入侵检测系统和反病毒软件的开发速度总是滞后于网络升级速度,使云计算系统环境的安全风险增加。
(三)系统存在安全漏洞微软开发的系统及软件产品越来越多,系统BUG不可避免,用来堵住漏洞的补丁也越做越大,但是很多用户不会及时下载这些补丁来补漏洞,网络黑客就会利用这些漏洞进行攻击。
(四)云存储不够安全云数据库能解决信息存储、利用和管理问题,但非法用户跳过安全内核非法访问和篡改云端数据、数据服务获取通道被非法阻塞的情况时有发生,用户会超出授权访问权限存取云端数据或随意更改数据。
四、加强信息安全防护的策略
(一)运用分布式存储管理技术云信息的所有权属于用户,但是云环境下的信息运算、调度与存储等业务则由云服务商提供技术支持。对于海量信息数据,云服务商要运用分布式的存储管理技术,用冗余存储的方式才能保证数据的安全性和可靠性[7]。
(二)运用数据加密技术很多用户为了减少本地存储、提高本地存储的抗风险能力,会将重要的私有数据上传到云端。云服务提供商会对数据进行等级划分,划分的依据是数据的重要程度和敏感程度,并相应地设置一套数据安全攻略,将数据的隐私级别和用户的隐私级别联系起来。然后,根据保密级别的不同,采取不同的数据加密措施,从而保证客户的信息安全,这样可以节省系统资源,减少浪费。如果对所有数据采用的都是较为简单的加密算法的话,在云平台存储或者处理数据的过程就有可能被网络恶意监听,存在数据泄露的风险。
(三)加强云端信息安全认证为了满足所有用户对云计算的需求,云平台会进行自我需求模式设计,在一定程度上使整个云计算的安全性降低[8]。对此,必须采取一切手段,加强侦测,防范恶意的网络窃取行为,避免泄露用户的重要信息。因此,在保证满足客户的云计算需求时,云服务商必须进行严格的管理,访问云端必须进行身份权限认证,身份认证是保障云环境下信息安全最重要的手段之一。只有那些通过安全认证的用户才能访问云端资源。
关键词:云环境数据安全性数据存储数据传输
中图分类号:TP309文献标识码:A文章编号:1007-9416(2016)06-0217-01
网络的快速发展带动了网络数据的激增,原有的单机存储方式已经无法满足当前的存储需求,基于分布式环境下的云存储技术逐渐进入视野并发挥了重要的作用。云存储有别于传统的存储方式,一方面数据的分布具有随机性,各个服务器之间进行数据通信和存储时需要依赖网络进行信息交换,同样面临着网络安全的问题,因此,相对于传统的存储方式,云环境下的安全性问题更为复杂。
原有的单机存储模式可以支持的数据存储量相对有限,数据的单一存储模式在服务器宕机和服务中断过程中产生的影响是巨大的。单一存储而论,随之产生了基于redis和memcache等技术的内存型存储系统,然后存储只是代表了网络环境中一种方式,网络中还需要进行数据计算,基于redis和memcache的内存型存储集群智能进行KV存储而无法实现数据计算,因此,必然需要依托云环境下的计算资源将数据进行实时分发和实时存储。
云存储环境是目前比较主流的数据存储方式,广为所知的有阿里云、亚马逊云等。用户可以通过付费的方式租用私有云进行系统开发,数据的计算和存储都由云服务提供商来保证。因此这对云服务商提出了更大的挑战,一方面需要保证本身云系统的安全性,另一方面,还需要保证用户传输到云环境的数据安全性。
1云环境
云环境是指通过网络技术将多台物理上无关的服务器进行互联,互联的服务器之间可以进行数据交换和通信。云计算的核心技术是虚拟技术,虚拟技术就是在物理的计算机网络上虚拟出用户的“专用”计算机,不同的用户在各自的虚拟机上运行自己的业务软件。云环境下数据的存储具有随机性,数据按照资源调度分配到对应的服务器上,云环境中各个服务器之间可以进行数据通信和存储交换。任何一台客户端机器通过安全性验证后都可以访问云环境服务器中资源。
云环境主要分为两个部分,分别是计算服务和存储服务。计算服务是任务运行时进行数据运算的部分,可以在单台服务器上同时运行多个实例,多个实例之间可以协同互不干涉的执行各种的计算任务。服务执行时必须处理和保存数据。所以为了运算实例“无状态”而又可用保存数据,云环境需要第二个部门即存储服务。存储服务很简单就是给用户保存数据用的。但是数据是用户业务的核心中的核心,绝不可以出现任何差错。所以存储服务必须使用足够的措施来保证数据的万无一失。
云环境最具有代表意义的功能是实现的数据计算和数据存储的分发控制。云环境下通过将输入的任务分解为各个小任务,小任务可以归结为Map/Reduce的集合,Map通过将任务执行数据读入,Reduce则负责将Map端的数据处理逻辑进行以Key的方式聚合,Map/Reduce框架对底层做了很好的封装实现,上层开发人员只需要进行简单的数据处理就能够编写一个简易的云处理框架。
2云环境下数据安全性
云环境是一个相对开发的环境,数据的安全性是一个值得思考的问题。云环境的安全性可以归结为以下几点。
第一,数据安全性。几乎所有的网络传输系统都会面临安全性问题,云环境的安全性问题更为重要,由于云环境下各个服务节点都是物理上分离的,需要通过网络进行互联,因此,需要保障数据传输时数据完整性和一致性。需要有更好的技术、更好的保障体系和安防技术来支撑云环境的数据传输。云安全问题对安全系统提出了更大的挑战,需要在云计算系统的发展中得到进一步解决。
第二,可信计算。虽然安全问题和可信存在更大程度上的重叠,但是可信计算仍应当被给予充分重视。可信技术包括密码验证技术、数字接入技术和可信终端接入技术等,在电子商务和移动社交等领域已经暴露出来。目前的云服务大多采用用户身份鉴别技术,但是,只靠这种技术解决安全问题有些让人疑虑,即使是服务商与用户的双向认证,也绕不开目前身份鉴别技术已有的缺陷。我们都知道,高成本的认证技术难以普及,低成本的认证技术容易破译。
第三,可用性问题。云计算的可用性比传统的服务系统要求更加严格。云计算需要给全球上亿的用户提供基础服务,服务的对象是整个互联网网络,如果云计算系统出现漏洞,其造成的影响是无法估量的。同时云计算也为了保障可用性也提供了很好的条件,云环境下硬件升级后,通过资源集中和降低成本能够极大的实现高可用性。
第四,可控性。针对当前大环境下的云计算系统,应该都是采用自主可控的软硬件设备,当然,可控并不一定代表安全性,自主可控是我国信息系统安全领域为了保证数据和安全性,可听过代码审查,切实保证用户能够自主研发、维护和更新系统。
第五,法规制度等问题。云计算安全方面还应注意技术问题以外的一些问题,例如,隐私权、数字版权、实名制等问题。用户可以在选择服务提供商时提出严格的要求,要求服务提供商要能随时导出自己的数据,要求服务提供商由于系统的安全性带来的损失给出赔偿等法律手段加以约束。
3结语
本文分析了当前云环境下在数据安全性的一些思考,云环境下由于服务器之间物理上相互隔离,云环境下的计算环节和存储环节都依赖网络进行传输,必不可少涉及数据的传输安全和存储安全,通过阐释服务器之间通信时一些技术细节,分析在云环境中提高安全性的一些具体做法。
参考文献
[1]王德政,申山宏,周宁宁.云计算环境下的数据存储[J].计算机技术与发展,2011,04:81-84+89.
关键词:云计算;背景;计算机安全;问题;对策
1计算机安全的含义
计算机安全问题是计算机技术发展必然的产物,计算机在诞生之初的作用主要是信息储存、计算和传送,即使计算机技术在不断提升,计算机也越来越普及,信息也依旧是计算机技术发展不可忽视的重点。因此,计算机安全最核心的关注点就在于信息的安全。计算机可以储存的信息较多,信息需要得到有秩序的排列,因而如果出现计算机安全问题,很容易造成计算机中储存的信息被打乱甚至丢失,极有可能出现大量损失。总之,计算机技术的发展和计算机安全技术的发展一直处于相辅相成的关系,计算机安全的重要性不言而喻。随着互联网的兴起和普及,计算机安全最显著的特点就是连通性。越来越庞大的计算机网络带来的是信息传递速度的不断提升,同时计算机安全问题也越来越凸显。互联网意味着计算机信息面临着范围更广的安全威胁,并且极易出现一个点受到攻击导致全面受到威胁。因此,信息网络普及使信息传递更快捷方便人们生活的同时,也提高了维持计算机安全的难度。随着计算机信息受到的威胁愈加繁多,威胁的类型也愈加丰富,计算机安全技术也必须不断进步,并且对技术多样性的要求也愈加迫切,同时也对计算机安全技术间的联合提出了要求。
2云计算背景概念
从狭义角度上看,云计算指的是通过互联网向使用者提供资源的共享服务,人们能方便快捷地从网络上得到需要的资源,具有广阔的扩张空间。从广义角度上看,云计算利用资源用量进行收费,并且以更便捷的交互方式快速、方便的获取资源和共享资源,云计算的前提是技术水平达到一定高度,信息传递的速度足够快速以保证资源共享的可行性。云计算的核心概念在于利用网络实现快捷的信息交互和存储,大量资源和数据都能让网络每个用户享受到其带来的诸多便利。云计算是一种全新的互联网概念,具有许多不容忽视的优势。首先,云计算实现了资源的通用和共享。云计算对于硬件和软件要求都不高,仅仅对数据传输速度有要求,计算机只要能满足资源共享条件,就能获得云计算服务;其次,云计算拥有较好的兼容性,绝大多数计算机都能享用。由于兼容性强,网络资源的使用效率获得了大幅度提高;最后,云计算非常方便快捷,统一管理更容易发现问题,可以第一时间进行维护和更新。
3云计算背景下计算机安全问题
3.1信息安全问题
信息安全是由信息的管理难度决定的,信息的管理难度越大,信息安全就越难实现。云计算的特点之一就是庞大的信息量,因此信息的管理难度就随之增加,保护信息安全就更加困难,信息安全问题就变得尤为突出。随着云计算技术水平的不断提升,信息量也越来越大,信息安全面临的问题也就越来越严峻。同时,庞大的信息量不仅降低了恶意攻击的难度,使信息的安全性很容易受到威胁,也很可能由于失误等原因造成大范围的信息错误。信息安全问题是目前计算机安全的关键。
3.2用户准入制度不完善
目前云计算背景下的用户准入制度并不完善,用户权限的审核仍然存在漏洞,不能满足现实需求,导致当前的用户准入制度很容易出现问题,不能很好地预防恶意攻击的发生,对于计算机安全造成了相当大的威胁。用户准入制度可以有效分辨用户的权限等级,确保不同等级用户信息获取权限,但不完善的用户准入制度则会造成信息的滥用、盗用和篡改。
3.3虚拟机安全问题
云计算是在虚拟机的环境下进行的,但虚拟机的安全性尚未得到有效保障,目前常见的措施并不能有效杜绝恶意攻击的可能性。虚拟环境的数据库处理是云计算的基本需求,如果数据库受到严重伤害,数据库中的数据会出现丢失,严重的甚至会出现所有数据全部丢失的现象。在虚拟机安全问题并没有得到有效解决的状况下,很大一部分恶意攻击都会瞄准这个薄弱点,很可能对本机系统造成威胁,伤害到计算机自身的数据信息。
3.4监督机制需要改良
云计算为提供云计算服务的组织提供了庞大的信息量,即使这些信息经过加密,但对于提供云计算的组织来说,仍然可以进行较为随意的调用、查看和处理。如果信息的管理者对信息进行恶意修改或损害,或是由于操作失误等原因对信息造成损伤,不容易在第一时间发现问题并进行补救。若不能在第一时间发现问题,事后对于责任的追究难度也比较大,进而增加问题处理的难度。一旦出现问题,就会对计算机安全造成威胁。
4对策
4.1健全相关法律法规
计算机安全离不开法律法规的支持,如果法律法规无法明确划分权利和义务,很容易导致计算机安全出现问题。由于互联网的特殊性,恶意攻击者责任追究存在一定的难度,很难确定身份,因此补充责任是法律法规制定需要关注的要点,必须对云计算信息管理者的补充责任和监管机制有明确的界定,确保受害者能通过法律手段保障自身权益[1]。云计算业务作为一种新的互联网概念,云计算服务也需要法律法规进行规划和限制,为云计算的发展提供一个良好的市场环境,对相关组织进行管理和约束。另外,对于信息的管理者,权责必须明确并且切实落地,以保证在出现问题后能快速准确进行责任追究。
4.2强化准入制度
对于计算机安全来说,准入制度是重要的一环。云计算面对的是数量庞大的访问次数,若做不到良好的准入验证和审查,用户权限很容易出现问题,出现权限被盗用或者滥用的现象。针对这种情况,在访问入口进行一次性验证是不可取的,必须进行多次验证,保证用户权限得到充分的筛选和排除。强化准入制度需要在重点环节进行充分的权限审查,通过技术手段对于用户权限进行监管。只有强化准入制度,才能更好地规避计算机安全问题出现的风险。
4.3云计算服务分类
目前的云计算服务并没有进行分类管理,虽然有利于信息资源的共享,也便于使用,但是管理难度也比较大,对于安全问题的预防能力偏低,很难保证信息的安全性,因此存在云计算服务分类的必要性。面对云计算服务分类的要求,要根据实际的情况进行,在进行云计算服务分类的同时明确权责划分,针对不同情况要有不同的处理方式,从而切实提高管理效率。4.4推动核心技术进步我国核心技术水平和很多发达国家仍然存在一定的差距,无论软件硬件都需要进口,很多情况下只能选择国外的技术。在这种情况下,对计算机安全的掌控很容易出现问题。因此,推动核心技术进步迫在眉睫,只有真正脱离了对国外技术的依赖,才能真正实现计算机安全。
据在会现场的金山安全市场部相关人员介绍,金山安全是今年3月底成立的,主要管理层人员均来自原金山网络企业版杀毒软件事业部。“拆分后,金山网络将更加专注于个人杀毒业务,把金山毒霸做得更加完善,而金山安全则专攻企业级市场,利用云的模式,使企业系统更加安全。”
“金山私有云安全系统是国内首款捕捉定向攻击(APT)、实现高级威胁实时防御的产品。”金山安全副总裁张旭东说。
当前信息网络所面临的威胁正在由普通病毒、木马入侵向核心数据的窃取过渡,而具有持续性渗透能力的APT是目前安全领域最复杂、危害性最大的攻击之一,比如此前在伊朗乃至整个中东地区大肆破坏的“火焰”等病毒,都具有“藏得深、隐得久、攻得狠、逃得快”的特点。”
因此,业内普遍认为,新一代的终端安全防护系统,需要具备对办公终端和业务终端的全面覆盖,需要具备自动分析威胁文件和事件并及时告警的智能化,此外,终端驻留的程序需要小、轻、快。
“金山私有云安全系统是为解决APT问题而生的。”金山安全私有云产品高级总监林凯透露,金山私有云系统从模型、原理、规则到基于原型客户的开发历时两年多。“白名单是我们私有云产品的基础,也是解决APT的核心。”林凯表示,金山云安全系统基于云计算技术,以“可信应用控制+程序安全属性动态鉴定”为核心技术,为信息资产保障需求高的组织机构或大型企业捕获和解决高级持续威胁成为现实。除此之外,金山私有云安全系统独有的主机安全控制策略也为企业或政府的安全构建了多重防线。
关键词:云计算;信息化建设;数据中心;图书馆信息管理;计费技术
中图分类号:TP399
文献标识码:A
文章编号:i009-2374(2011)22-0051-02
一、云计算的含义
2006年8月,GoogleCEO首次提出云计算(CloudComputing)的概念。2007年10月,Google与IBM开始在美国大学校园推广云计算的计划,包括麻省理工学院、斯坦福大学及马里兰大学等国际著名学府。对于云计算,目前众多著名企业如Amazon、Google、IBM、Microsoft、Yahoo、SUN等在云计算领域均有较成功的实践,但每个企业对云计算的解释都或多或少地结合了企业自身的业务方向和现实利益。
云计算是分布式处理、并行处理、网格计算、网络存储、虚拟化等计算机应用技术发展融合的产物,是依托互联网,面向客户提供安全、快速、便捷数据存储和网络计算的服务模式,是一种新的IT基础设施的交付和使用模式,是指用户通过互联网络以按需、易扩展的方式获得所需的资源,如基础硬件、系统平台或程序软件等。提供资源的网络被称为“云”,用户可以随时随地通过互联网利用“云”提供的硬件基础设备获取计算服务、数据存储和网络资源,并且能够按照处理器利用率、存储使用量、带宽消耗等付费。
二、高校信息化现状分析
在高校中信息化主要包括校园办公、图书馆管理、科研管理、教学管理、学生管理等几大模块,其中校园办公又包括人力资源管理、档案管理、财务管理、新闻管理、党务管理、后勤管理等模块;教学管理又包括教务管理、教学督导、E-learning教学系统等若干模块。在这些信息管理模块中我们试想图书馆管理要是能共享所有高校图书馆和全国所有省市级图书馆的图书和资料信息,E-learning教学系统能共享所有高校的教学视频、音频等教学资源。以下将以基于云计算的图书馆管理应用为例进行进一步探讨。
三、基于云计算的图书馆
(一)图书馆信息管理现状
首先,出于版权或其他一些因素,不要说全国图书馆,就连在同一个城市的不同高校图书馆都存在着“地方保护主义”,虽然已经建立的中国高等教育文献保障系统(CAMS)、中国高校人文社会科学文献中心(CASHL)等文献信息服务中心取得了一些成绩,但我们还要看到很多高校在这方面发展的速度较慢。其次,各个高校缺乏行之有效的联系和合作,高校图书馆的发展水平和信息数字化程度参差不齐,大家都忙着建设自己的图书馆,在自己的图书馆中投入大量人力、物力和财力,由于技术支持和财力支持无法达到,继而造成发展缓慢、升级困难。再次,纸质资源和数字资源重复购进严重,不同高校资源重复购进严重,造成大量财力和空间浪费。
(二)云计算应用优势
1.云计算降低了硬件成本。高校图书馆建设最大的瓶颈就是资金问题。服务器、存储设备、硬件维护升级等都要消耗大量的人力、物力,这些都需要资金的保障。而云计算只需要先期投入建设数据中心,地方图书馆和地方高校图书馆联合,并通过云存储服务将全部数据资源建设为“云”,高校图书馆不再需要单独购置、维护和不断升级昂贵的硬件和存储设备,只需在需要时支付少量费用或“租用”即可获得“云”中大批服务器的服务,硬件成本大大降低。
2.云计算促进了资源的整合和共享。图书馆不同于其他信息资源,图书馆的信息量每天的增长速度是惊人的,同时图书馆又是科技发展的前沿和阵地,无数的科学工作者无时无刻不依赖着这个前沿阵地所更新的信息创造和改变着这个世界,为什么不能将有用的知识进行行之有效的共享和传播呢?为什么不能找到行之有效的路径去打开科学之门呢?读者通过云计算即可实现“云”中所有资源的一站式检索,云计算通过对自主学术资源、引进资源等异构资源进行全面整合,为读者提供统一的服务平台实现资源共享。
3.云计算改变了信息获取模式和服务水平。在图书馆获取信息的方式是纸质资源和数字资源,通过云计算将不断加快纸质资源数字化的进程,不断减少重复购进,节约成本。独立图书馆的检索通常需要购进和安装大量硬件和软件才能使用,特别是软件需要经常更新和维护,云计算改变了这些,它无需在使用者终端安装应用软件而是将其安装在云端,减轻了终端运行和维护软件的压力,使计算机、手机、PAD等电子产品利用网络即可直接获得“云”中资源和各种个性化服务。
4.云计算提供了安全的数据。将自己的私有数据加入“云”,当然要担心安全问题,是否会泄露、会感染病毒或木马程序都被引起关注,瑞星、卡巴斯基、江民科技、金山、360安全卫士等目前都推出了云安全解决方案。云安全通过检测云中海量客户端,发现软件异常行为,判断病毒和木马,实时提出解决方案,发送至各终端进行拦截,也就意味着客户端越多越安全。同时,数据安全服务会将分割的数据块的原件和副本以数据冗余的方式保存在不同的服务器上,保证数据的安全性。
四、基于云计算的图书馆建设
(一)建设基础
1.观念转变。首先,要转变观念,既要合理利用其他图书馆的资源,又要在一定程度上开放自身图书馆的资源,也就是说互惠互利,可以联合高校图书馆和地市级图书馆共建一个联盟,共同协商选择云服务提供商和合理整合云资源的具体方案,针对一些有价值的特色数据可以进行保留或对云进行分级管理,例如可以通过划分共有云、私有云和混合云的方法维护知识产权。同时,需要大量的制度保障,不断完善该方面的法律法规。
2.资源建设。不断加快图书馆的数字化建设步伐,保证数字资源的数量和质量,同时大量搜集互联网上有价值的信息资源进行补充,实现网络检索工具、翻译工具等实用工具与云计算相应软件的无缝对接。硬件的建设可以交由数据中心配置,本地只需设置服务器及保障网络畅通稳定即可。
3.计费技术。合理研究和制定计费模式和方法,图书馆的资源有的相当重要、有的需要保密,对于这些资料的计费和访问方式可以调整,同时还可根据访问的时间忙闲、数据流量来区别收费,保障访问质量。
(二)建设云计算数据中心
建设云计算数据中心是实现云计算的核心实体,数据中心负责存储信息资源、合理分配计算资源、保障数据安全。各个图书馆无需建立大型数据中心,只要建设服务器和私有存储器即可。图1为云计算图书馆数据中心内部体系框架,从下向上分别为存储层、计算层和应用层,管理层则是为这三层的维护和运行而存在的。同时数据中心提供的虚拟存储、虚拟计算和数据安全这三大服务根据访问者的不同权限全部是独立和相互隔离的,不必担心访问安全问题。
(三)云计算核心技术
1.数据存储和处理技术。对于云计算图书馆来说,数字资源可谓种类繁多、数量巨大,首要解决的问题就是海量数据的存储和处理技术。不仅要有足够的存储设备,更重要的是如何管理和处理这些数据,以实现数据备份、信息检索、快速安全可靠的数据传输等重要操作,这就不得不有赖于数据挖掘技术、分布式技术、并行技术、数据仓库等核心技术的运用。
2.数据安全技术。除外来的病毒或木马很难侵蚀数据资源之外,内部安全令人担忧,人为因素不能排除信息的损害或泄露,在这方面,我们使用混合云、私有云、身份验证、访问监测、数据备份、数据冗余等技术不断加强数据安全保障,使各级图书馆信息得到合法保护。
3.系统核心技术。支撑云计算的是大规模集群计算系统,支撑这个系统的是安全、稳定、可扩展的各种系统核心技术,主要包括可扩展的并行计算技术和分布式技术、网络技术、监控技术、虚拟化技术等,只有这些核心技术被合理利用,才能使云计算的优势得到充分发挥。
五、结论
综上所述,针对基于云计算的图书馆管理模式的分析云计算使原本零散分散的资源实现重新整合和按需分配,最大程度的节约了社会资源,改变了高校信息化教育机制。一方面,云计算为高校、专业教师和无经济收入的学生提供了便捷、廉价和丰富的信息资源。另一方面,云计算也补充了原有的学习模式和教育理念,使随身教育和终身教育成为现实。同时,我国云计算的标准化工作正在国内开展,实现云计算建设项目有效地实施和利用。
参考文献
[1]刘炜.图书馆需要一朵怎样的“云”[J].大学图书馆学报,
2009,(4).
[2]赵吉志,李金,姚萃南.云计算数据中心及标准化发展
[J]信息技术与标准-lg,2011,(3).
[3]唐迪,黎琳.云计算在科研信息化建设中的应用[J].办
公自动化,2011,(1).
[4]胡云.对云计算技术及应用的研究[J].电脑开发与应,
2011,(3).
[5]唐箭,虢莉娟,龚涛.基于云计算的终身教育服务平台设
计[J]现代电子技术,2010,(12).
[6]孙柏祥.云计算――高校教育信息化建设和发展的新模
云计算(CloudComputing)是通过互联网提供计算资源环境和服务的实现方式,是基于互联网的超级计算模式。可以将存储于计算机、移动电话和其他设备上的大量信息及处理器资源聚集、协同工作快速处理。主要是以一种分布式计算技术,通过网络将庞大的计算处理程序自动分拆成多个子程序,再由多部服务器所组成的庞大系统,经过协同搜索、计算和分析处理后将结果回传给终端,真正充分实现网络资源共享[1]。
完整的云计算是一个动态的计算体系,提供托管的应用程序环境,可以实现动态部署、动态分配或重分配计算资源,实时监控、安全特征识别与防护,查杀病毒等,以期达到网络资源的高效使用和安全防护。是分布式处理、并行处理和网格计算的发展和新应用。
Amazon的AWS(AmazonWebServices)、Google的GAE(GoogleAppEngine)、IBM的BlueCloud、瑞星2009等实际都是一种云计算应用,不仅拥有分布式的计算环境,而且可以通过互联网提供服务,并能实现动态的资源分配和各种云计算需求。
本文在分析云计算的特点、类型和IPS(IntrusionPreventionSystem)技术的基础上,概述了云安全优势及核心技术,提出了新的基于云计算的智能NIPS结构及特点。
1云计算的特点及类型
1.1云计算的特点
云计算具有3个特性:对计算资源进行动态切割及动态分配、以Web为中心、交付服务。它提供了远超越计算和存储本身的服务,除了包括以服务为交付模式的计算和存储基础设施外,虚拟主机的租用、社会关系网的数据信息服务、商业流程、应用程序运行环境、编程模型、协同环境以及IT管理外包等各种模式都可列入云计算的范畴。
Web是承载云计算的核心。Web结构简单并以超链接连接HTML文档,以标记语言描述和存放内容及其之间的关系,非结构化的存储使其具备强大的描述能力。利用TCP/IP、HTTP等协议可以产生互动,并能将各种异构系统相连。用户完全可以不用考虑整个IT体系后端运行的操作系统、中间件和数据库种类,只需一个简单的URL及响应的角色身份,即可得到所需信息。尽管技术体系繁杂,相互之间存在差异,但整个业界唯一共同认定的Web标准,使Web成为承载不同业务、不同系统的云计算的唯一平台[2,3]。
云计算具有4个显著特点:
对客户端设备要求低。云计算如同银行存款一样,提供了最可靠、最安全的数据存储中心,用户不用再担心构建网络系统、数据丢失和病毒等。
用户使用便捷。“云”的另一端,有专业的IT人员维护硬件和软件,帮助防范病毒和各类网络攻击,以及以往在客户端所做的各种维护与管理。
易于实现数据与应用共享。在云计算的网络应用模式中,只将一份数据保存在“云”的另一端,用户的数码设备只需要连接互联网,即可同时访问和使用同一数据。
充分利用网络的强大功能。为存储和管理数据提供了更充分的空间,也为用户的各类应用提供了更充分的计算能力。
事实上,云计算多年来在很多领域取得了神奇效果,如迅雷快速下载技术。随着虚拟化和SOA在企业中的逐渐普及,灵活、可扩展的基础架构最终可以让企业都成为“云”节点。美国等国家正在推行学校云计算计划,以“通用云计算服务”为学校带来虚拟电脑桌面和“虚拟计算实验室”云计算平台,包括在线使用教育资料、应用软件、计算和储存等。
1.2云计算的类型
云计算对不同的服务对象类型不同,主要包括以下7种类型[3]。
SaaS。各种SaaS(SoftwareasaService,软件即服务)运营商的服务平台,基本都是用云计算构建的。用户利用云计算通过浏览器得到程序,可省去服务器和软件授权上的开支,而供应商只需要维持一个程序且减少成本。
实用计算。开始在Amazon.com、Sun、IBM和其他提供存储服务和虚拟服务器的公司中应用。可使IT行业创造虚拟的数据中心,将内存、I/O设备、存储和计算能力聚集成一个虚拟的资源池,为整个网络提供服务。
网络服务。网络服务提供者能够提供API(ApplicationProgrammingInterface,应用程序编程接口)让开发者研发更多基于互联网的应用,而不提供单机程序。
平台即服务。云计算将开发环境作为一种服务进行提供,为另一种SaaS。可以使用中间商的设备来开发各自的程序,并通过互联网用其服务器传到用户端。
MSP。MSP(管理服务提供商)是一项最早的云计算应用。它更多的是面向IT行业而不是终端用户,常用于邮件病毒扫描、程序监控等。
商业服务平台。SaaS和MSP的综合应用,为用户和提供商之间的互动提供了一个平台。如用户开支管理系统,能够根据用户设置来管理其开支并协调其订购的服务。
云计算集成。将互联网上提供各类服务的公司进行整合,使用户能够更方便地比较和选择服务供应商。
2云安全优势及核心技术
2.1云安全的优势
“云安全(CloudSecurity)”是网络时代信息安全的最新体现和云计算新应用,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,发送到Server端进行自动分析和处理,再将解决方案发到每一个客户端[4]。
(1)为低成本用户提供安全屏障。其独特属性是对数据完整性、数据恢复和隐私保护等方面给予多方面风险评估。通过将数据分别集中存储在不同的数据中心,进行统一管理,负责资源分配和部署、安全控制,执行更安全可靠的实时监控。
(2)以预控机制确保信息安全。云计算平台独特的预控制机制,可极大地改善用户工作环境。当用户自定义当前安全级别为“安全”或“可靠”时,可依靠第三方工具创建各自的VM镜像,设置成不可被复制模式时,以特定需求还可在安全状态下实现实时同步。
(3)云环境实时监测记录。云存储可记录需要的标准日志,可避免限制和收费等隐患。可根据用户的需要将日志记录探测到动态信息中,根据实时索引进行随机监测。通过使用系统独特的C2审核跟踪模式支持扩展日志记录等功能,在保护系统资源安全情况下,允许用户监视对所有数据库的访问意图。
(4)SaaS安全性能测试。SaaS供应商将对云平台定期进行安全性能测试,用户将通过共享相同的应用程序服务,节约安全性测试费用。云平台还为用户提供定期对密码强度进行测试服务,即时保证密码强度的可靠性。
(5)“云安全”更新传统杀毒模式。“云安全”架构的最大特点是将原来的杀毒变为防毒。用户只要安装了接入“云端”的杀毒软件即可使终端变得很轻松,不用频繁升级,也不必再为杀毒软件而占用内存和带宽,而且可以极大地提高病毒样本效率。
2.2云安全的核心技术
云安全网络防护系统是新一代云客户端安全基础设施,与传统方式相比,它可在最新威胁到达之前对其进行拦截,实现安全智能化。主要利用“云安全”的7大核心技术:Web信誉服务(WRS)、邮件信誉服务(ERS)、文件信誉服务(FRS)、行为关联分析技术、自动反馈机制、威胁信息汇总和病毒特征黑名单技术。其技术架构的核心超越了拦截Web威胁的传统方法,以WRS、ERS和FRS为基础构建的云客户端安全架构,通过把大多数特征码文件保存到互联网云数据库中并令其在端点处保持最低数量,借助全信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉参数,从而追踪网页的可信度。可在Web威胁到达最终用户网络之前对其进行检测、拦截和防护。既降低了带宽消耗,也提供了更快更全面的及时保护[4,5]。
3云安全智能NIPS结构
3.1IPS及NIPS技术
IPS是一种主动过滤、智能入侵检测、防范和访问决策的入侵防护系统,通过对数据包异常检测,实时确定阻断访问。以过滤器拦截试探攻击系统弱点的任何操作,对网络进行多层、深层、主动的防护以有效保护网络安全[6]。
IPS根据部署方式分为3类:基于主机的入侵防护系统HIPS(HostIPS)、基于网络的入侵防护系统NIPS(NetworkIPS)、应用入侵防护AIP(ApplicationIntrusionPrevention)。
HIPS通过在主机/服务器上安装软件程序,防止网络攻击入侵操作系统和应用程序;NIPS通过检测网络流量提供安全保护,以在线连接方式检测辨识入侵行为,实时确定阻断访问;AIP是NIPS的特例,它将HIPS配置在应用数据的网络链路上,扩展成为位于应用服务器之前的高性能网络设备。IPS技术具有四大特征:以嵌入模式运行的IPS才能实时阻拦可疑数据包,实现实时安全防护;通过对攻击类型和策略等深入分析,确定拦截恶意流量;以高质量的入侵特征库确保高效运行;具有高效处理数据包的能力。
NIPS具有4项关键技术:一是主动防御技术。通过对关键主机和服务的数据进行全面防护和加固,并适当限制用户权限,可主动识别已知攻击、拒绝恶意访问,防范未知的攻击行为。二是同防火墙联动技术。通过接口调用,按协议进行通信、传输警报,以开放接口实现联动。防火墙进行第一层访问控制防御,NIPS进行第二层检测入侵防御,滤掉恶意通信,并通知防火墙阻断。另可将二者集成于一个平台,在操作系统统一管理下有序运行。所有数据接受防火墙规则验证同时被检测判断攻击性,实现实时阻断联动。三是综合检测方法。为避免误操作、阻塞合法网络事件、造成数据丢失,以误用检测和异常检测等多种检测方法,最大限度地正确判断已知和未知攻击。四是硬件加速系统。以专用硬件加速系统高效处理数据包,以快速高效实现大流量复杂网络的深度数据包检测和阻断功能[7]。
3.2云安全智能NIPS的结构
“云安全”分为两类:一是特征库或类特征库在云端的储存与共享;二是作为一个最新的恶意代码、垃圾邮件或钓鱼网址等的快速收集、汇总和响应处理的系统[5]。
“云安全”将用户和智能技术平台通过互联网集成,组成一个木马/恶意软件及攻击指令监测、查杀、防护安全网络。构建新型云安全智能NIPS结构,如图1所示。
云安全智能NIPS的主要功能为:通过“云安全”模式以浏览器与“安全云”进行交互,访问文件、邮件或网站;以智能采集、识别、特征提取等方式,自动分析判断用户所访问资源的安全性,然后通过专家系统利用安全知识库进行深入分析和拦截抉择,并将解决方案发到客户端。对恶意文件或网站的处理同银行体系的信用模式类似,利用对文件、网页等资源信息进行信誉建模,予以智能监控识别和防护,然后对这些资源的信誉评级进行判定。“安全云”最关键工作是安全知识库对收集的大量信息进行数据挖掘,主要对文件、URL以及电子邮件之间相互关联信息的挖掘,进行特征提取检测判别,从而达到智能防护功能。
4云安全智能NIPS的特点
在云数据中心的产品系列之中,云数据中心的操作系统可以融合计算、存储、网络三方面物理资源,形成一个有机的整体,进行统一、智能、灵活的管理、分配和调度,因此浪潮云海OS可谓浪潮云计算解决方案的灵魂。浪潮集团系统软件总监、云计算产品研发部总经理张东表示,作为核心产品,此次推出的云海OSV2.0仍旧体现浪潮“自主、开放、融合”的技术理念,并直指目前云计算应用中技术流派林立、互不兼容等问题。
自主可控的安全
云海OSV2.0最基础的特色就在于它是国内首款拥有全自主知识产权的产品。张东表示,云海OSV2.0系统架构全部为自主设计,不仅突破了云数据中心资源管理、调度、多资源池融合等多项核心技术,填补了多项国内云计算技术空白,同时建立了多层次的安全体系,能全面保障用户的信息安全。
在浪潮看来,安全可控包括两个层面:一是如何通过一套安全体系让整个系统更安全;另一个层面就是系统完全采用自主设计,掌握所有的核心技术。浪潮坚持自主创新,特别是自主设计核心系统,能够给客户稳健的解决方案,这是一个重要的设计理念,也是整个系统的基础。
实际上自云海OSV1.0推出以来,就因此特点广受政府等行业的用户青睐,上海青浦区电子政务云就是其中一个实例。实施电子政务云之前,青浦区内100多个部门的220多台服务器托管在数据中心内,部署了130多个业务系统,数据中心占地270平方米,电力、空间接近饱和,制冷能力接近上限。后来,上海青浦区信息化服务中心在应用“云海OS+天梭TS850”整体解决方案后,进行了一期电子政务云建设,能源成本降低了50%以上,新业务的部署时间从以月为单位变成以分钟为单位。
上海青浦区信息化服务中心薛赟蓓主任表示,当初与浪潮合作的重要原因就在于浪潮可以提供完整的解决方案,尤其是考虑到云海操作系统能够实现自主可控的安全。
从安全角度看,上海青浦区电子政务云分为三个层面:角度,围绕电子政务云为核心,需要各种安全设备,包括防火墙、IPS、流量控制、行为管理等;云内角度,需要浪潮的云海数据中心方案能够自主可控。核心业务与业务之间、业务的数据与数据之间能够通过云操作系统实现隔离和访问限制;监控层面角度,需要监控应用的可用性、可靠性并实现预警检测,以保障网络信息安全。
开放融合之路
云海OSV2.0另外一大特点就是开放融合的架构。云计算涵盖了硬件、软件等各个领域,因此,云海OSV2.0既考虑对于第三方厂商软、硬产品的兼容性(兼容主流厂商的服务器、存储和网络设备,同时兼容主流服务器虚拟化产品),同时也将第三方厂商二次开发纳入其中,提供完善、开放、可扩展的接口(API),厂商可在此平台上开发软件并优化应用。从芯片到硬件,到整机到操作系统、数据库等,云海OSV2.0涵盖了一个很大的生态环境。
安全宝是一个网络防护系统,利用云计算为企业网站提供一站式的安全解决方案,能有效抵御木马、XSS、SQL注入、零日攻击、僵尸网络等恶性攻击。用户只需要登录安全宝网站注册,进行域名等简单配置,通过审核后就可以让网站处在安全宝云平台实时保护中,无需装载软件,也无须自己维护。
User用户
10月30日正式上线后,已经有2500个网站成为安全宝的注册用户,申请用户以中小型网站为主。
Team团队
目前有50名员工,其中70%是产品研发和维护人员。核心创业团队都来自信息安全行业,另一位创始人郑政曾是瑞星销售部总经理,现在担任安全宝市场销售副总裁。
BusinessModel商业模式
安全宝标准版永久免费,标准版已经包含所有核心安全功能,适用于国内80%以上的网站。主要收入来自为一些网站提供云安全定制服务,实行项目制。刚签下了几个订单,收入在千万级别。
Ideafrom
这个主意来自在瑞星任研发部经理时,马杰曾为很多企业网站做安全维护,尝试了web应用防火墙、杀毒软件等各种解决方案,但效果不理想,很多网站还是会被攻击。马杰认为只有提供一站式服务才可以帮助企业真正解决问题。
MarketPotention市场机会
服务网站数量积累到一定规模时,安全宝会推出安全防护外的其他增值服务,如网站管理监控、加速等。
Q1:与传统网络安全防护手段比,安全宝有哪些优势?
传统解决方案需要用户购买并部署反病毒软件、防火墙、入侵检测等一系列安全设备,对日常运营、配置、维护也有很高要求,一旦某个环节出现疏漏,整个安全防护体系都会功亏一篑。对网站来说,自建网络安全防护系统通常需要投入几十万甚至几百万元。而安全防护措施如果得不到及时更新和升级,不断翻新的攻击手段会设法绕过杀毒软件、防火墙直接攻击用户。
安全宝提供的更像是一种替身服务,把用户网站安全防护的压力转移到“云端”,阻断了对用户网站的安全威胁。另外,安全宝采用了跨运营商智能调度、页面优化、页面缓存等技术,可以帮助用户提升访问速度,降低故障率,在整体上改善网站的用户体验。
Q2:怎么保证安全宝平台上的信息安全?
安全宝利用自主研发的漏洞检测引擎,可以对网页内容进行特征分析、检查和过滤用户请求。有一支专家团队做技术支持,每天会对新的网络攻击手段进行分析。通过后台特殊算法,可以第一时间判断出网站的哪些访问请求是正常的,哪些是攻击。对于部分不易判别的异常情况,专家会根据自己的经验来分析,以保证防护系统实时更新。
Q3:安全宝给未来的竞争对手建立了一个怎样的门槛?
这些年来云安全领域一直是市场空白,不是没有人想到,而是因为技术门槛非常高。不同于私人网站,企业级网站上有订单、客户资料、财务数据等大量机密信息,受攻击频率很高。据国家互联网应急中心统计,2010年中国内地有近3.5万家网站被黑客篡改,有超过90%的网站存在安全漏洞。
高并发高流量情况下保持企业网站安全高效运作是这项服务的最大难点。这要求创业团队必须有跨网络安全、黑客攻击、云计算等多个领域的技术经验储备,短期内构建一支这样的团队很困难。
Q4:你认为竞争对手可能出现在什么领域?
像腾讯、阿里巴巴这样的互联网公司,本身用户流量巨大,云架构成熟,如果切入云安全领域难度相对不大。但这些大公司本身有完整的生态系统和很好的用户黏性,不见得会在这个领域大投入。传统安全公司都是做产品,如果转型做云安全相当于颠覆了原来的组织架构,这对他们来说是一件很困难的事。即使他们决心也做云安全,也要在云端技术积累一段时间,至少需要半年甚至一年时间才能实现。
BigTrouble麻烦问题
安全宝现在要解决的是产品和服务的升级问题。用户增长超过了安全宝的预期,目前设计的安全架构容量可以为1万家网站提供服务,但上线不到一个月,已经有超过8000家网站申请使用。受服务能力所限,有的用户提交申请后需要等待一个星期才能通过审核,短时间内安全宝还不能为某些流量巨大、架构复杂的网站用户提供服务。
AskMentor
最后一问希望请教马云:用云服务的方式来解决网站的安全问题,这个市场是否大有可为?
CBN质疑初始成本比较高,投入在服务器、带宽、云端部署调度等方面,只有很少用户量情况下,这个成本非常高昂。只有用户数量达到几百万、几千万,边际成本才降得下来。但负载海量数据以及满足不同行业、不同技术架构的网站对安全防护的需求,对安全宝的服务能力是一项考验。对安全宝而言,把控好业务扩展节奏很关键。
Founder创始人
马杰34岁
【关键词】智能时代;云计算;安全架构
一、前言
当今世界,新一轮的科技革命和产业变革正在持续深入,工业互联网、智能制造、人工智能、大数据、物联网等领域正在加速布局,“智能时代”企业信息系统最显著的变化是虚拟化、数字化一切、软件定义,促使企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,使企业信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前预警、事中监控、事后分析以及响应,全面的提升信息安全管理与防护水平。
二、智能时代的变化趋势
我们正处在一个变革的时刻,“智能”是这个时代最显著的标志。在今年春天首届世界智能大会上马云提出,智能时代有三个最主要的要素:互联网、大数据、云计算;李彦宏也指出,未来30年推动社会进步的动力,就是智能科技的进步;浪潮董事长孙丕恕表示,智能从实现形式上就是要通过物联网、互联网将企业生产数据、互联网数据和企业自身的管理数据全部打通,实现无边界信息流和大数据分析。由此看来,一个企业走向智能化首先要完成业务在线化和流程服务软件化,然后完成应用软件的SaaS(Software-as-a-Service)化,从而助企业实现智能生产、智能维护、智慧服务。1.安全技术的变化基于云计算、虚拟化、大数据、智能制造、移动办公的持续推进,都是基于企业信息基础架构所实施的,开放式计算环境和更灵活的支持架构,要求安全技术随之匹配发展,才能适应新环境,新技术下的安全需求。中国工程院倪光南院士在《云安全的思考》主题演讲中指出,云安全一定会呈现出多维度、多层次、跨领域、多学科技术交叉等方面的特征。对于云计算的安全保护,需要一个完备体系,从技术、监管、法律三个层面上,形成可感知、可预防的智能云安全体系。2.企业智能架构从应用架构上看,未来的应用都是角色化、场景化的,可连接互联网资源,全员应用,实现移动化和智能化。虚拟化、数字化一切、软件定义促使企业信息架构的变革,以业务为导向和驱动,在企业管理、集成等方向上提供基础共性平台,为企业快速构建和集成应用软件提供基础支持,从而实现工程经验模块化、产品实际协同化、项目流程一体化结构,实现由统一业务层、统一界面构架层、应用系统层、统一工作台面、大数据分析、云计算层组成的一种新模式。在企业IT系统的业务基础机构层面,引入先进的统一软件平台,为上层应用开发提供统一标准,接口和规范,同时基于“平台+组件”的架构实现各类应用的组合和复用,助企业实现数字化转型。3.云架构在人工智能一日千里的时代,云计算已成为产业革新的原动力、新型管理的主平台、人工智能的强载体。在新的云时代,整个社会都在发生数字化的迭代。云成为数字化最重要的基础架构。腾讯董事局主席兼首席执行官马化腾指出:“用云量将成为一个重要的经济指标,能够衡量一个行业数字经济发展程度。”他还表示:“传统企业的未来就是在云端用人工智能处理大数据。”“云+AI”是当前最主流的方向,其核心包括三项核心能力(计算机视觉、智能语音识别、自然语言处理)。在计算机视觉领域实现开放OCR识别、人脸核身、图片处理等多项智能云服务;在智能语音识别领域实现语音转文字、语音合成、声纹识别、情绪识别等功能;在自然语言处理领域,以“数据+算法+系统”为核心,提供毫秒级响应的个性化服务。
三、企业信息安全措施
VMware首席执行官帕特•基辛格表示:“抵御安全攻击,响应速度不是核心,而是如何将支离破碎的安全保护进行更有效的整合,实现安全架构的简化,这才是企业安全转型的关键。”安全技术在智能时代必须跟上发展的变化,“智慧安全”的理念正在深入,着力点从网络系统安全、数据安全深入到业务应用安全等各个层面,AI防火墙、态势感知平台、云安全产品、企业移动化信息安全管理平台、智慧眼监控雷达、业务应用安全审计平台成为保护企业信息安全的前沿技术。1.企业数据的安全阿里巴巴董事局主席马云说:“数据是新能源。”随着数据量的持续增长,应用数量不断增加,数据将成为社会创新的重要驱动力。随着“网络强国战略”、“互联网+”行动计划、大数据战略的推进,网络安全风险和威胁也进入到企业:非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边的高流量数据、跨多个虚拟化应用,以及地理上分散的移动应用,都造成数据泄露的机会,随着中央网络安全和信息化领导小组的成立,信息安全已上升到国家安全层面。因此数据保护十分重要,最好的选择是本源的防护,既做到保护数据本源的同时,又能灵活应对各种安全环境的需求。而符合这种要求的安全技术就是基于专业的安全分析模型和大数据管理工具,可准确、高效地感知整个网络的安全状态以及变化趋势,通过企业本地部署安全大数据分析平台,打通云端情报与本地设备的联动,形成情报触发预警,预警触发防护的闭环。对外部的攻击与危害行为可以及时的发现,并采取相应的响应措施,保障企业信息系统安全。2.企业网络安全2016年,在“4.19讲话”中再一次强调网络安全建设的重要性,并提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,要加快网络立法进程,完善依法监管措施,化解网络风险。此外根据网络安全法相关规定,我们也可以看出,网络安全法在原有信息系统安全等级保护制度的基础上,创新了网络安全等级保护的工作方法,企业的信息安全建设需在原有信息系统安全等级保护制度建设的基础上,将新技术新应用带来的重要信息系统建设诸如云计算、移动互联、物联网、工业控制、大数据等领域的国家关键信息基础设施建设都纳入国家安全等级保护制度进行管理,将风险评估、安全监测、通报预警、应急演练、灾难备份、自主可控等重点措施也纳入了国家网络安全等级保护制度的管理范畴。企业紧跟网络技术的发展,以“智慧安全2.0战略”为指导,将“智慧安全”的核心从网络系统安全、数据安全深入到业务应用安全等各个层面。现在已可以采用AI、机器学习、行为分析等技术手段进行动态分析、静态分析、异常检测、深度解析等手段,更有效地防范未知威胁。3.物联网安全预计到2022年,全球将有超过460亿台设备,传感器和执行器连接在一起,更广阔,更强大和更稳定的物联网时代即将到来,并且最终将给企业带来全新业务方式。物联网(IoT)为企业创新提供了广阔的前景。企业通过监控、分析收集来的数据量,来确保业务的正常发展。其中数据大都是从传感器、应用、门禁系统、配电单元、UPS、发电机和太阳能电池板产生的数据,但随着这些应用的增长,物联网带给企业的安全风险也很大。要应对物联网的安全挑战,企业应从智能设备的离线安全、入网安全、在线安全等维度进行整体安全检测与防护,在云端接入大数据感知威胁和安全态势分析平台,获取威胁情报;在本地端通过减少威胁“检测时间(TTD)”,即减少发生威胁到发现威胁的时间差,缩短检测时间,可有效限制攻击者的操作空间,和最大限度减少损失。①及时更新基础设施和应用,让攻击者无法利用公开的漏洞;②利用集成防御对抗复杂性,采取平衡防御与主动应对的安全控制;③密切监控网络流量(这在网络流量模式可预测性非常高的IoT环境中非常重要);④追踪物联网设备如何接触网络并与其他设备进行交互(例如,如果物联网设备正在扫描其他设备,则可能是表示恶意活动的红色警报)。
四、结论
神州控股董事局主席郭为对未来的预测时说:“云计算将成为未来主流IT运算模式,大数据会成为最重要核心资源;自上而下的创新将是智能时代推动社会进步的主流方式,借助云计算、大数据这两项关键技术实现互联网化、协同化和智能化。”智能是我们这个时代的标志,对于企业信息化来说,它的路很长,首先要完成核心业务在线化和所有的业务流程服务软件化,然后完成应用软件的SaaS(Soft-as-a-Service)化,当企业的核心业务完全建立在互联网上,并有软件SaaS平台驱动,企业才能够向智能化方向演进——低成本积累大数据,并通过数据分析进行商业决策,最终向实时数据分析、实时智能商业决策演进。由此,企业信息智能化任重道远,从现在开始制定适当的安全策略,以此加快IT新趋势的适应能力,在不断采用新技术的过程中建立适合企业的安全管理系统,做到覆盖企业安全运维的所有场景,监视安全威胁,预测安全风险。
参考文献
[1]维克多•迈克热•舍恩伯格.大数据时代:生活、工作与思维的大变革[M].浙江人民出版社.
当前,中国金融业乃至全球金融业正处于迅猛发展的阶段,金融信息化的需求在不断增长。
面临挑战
过去,我国大型商业银行核心业务系统面临着高稳定性与海量数据并发处理的双重压力,在主机硬件平台上选择了国外的大型机。由此承担着大型机技术垄断带来的高额的设备购买、维护费用。
近年来,新一轮核心银行系统升级换代活动已逐渐成为近期商业银行信息化建设的主旋律。与此同时,我国也一直强调要防范国外大型IT厂商对涉及国家经济命脉的基础IT建设领域全面掌控的风险。
解决方案
在此背景下,南天电子信息产业股份有限公司,在其原有的以开放式平台为基础的商业银行核心业务系统OFP?CoreBanking基础上,研发了基于云计算技术的银行核心业务系统(图1)。实现了虚拟化、云计算技术在银行核心业务系统的突破性应用,满足了在开放式平台支撑大中型银行核心业务的全行逻辑大集中的处理要求,形成了高准确性、高并发、海量数据处理以及自动化管理等方面的能力。
经过性能压力测试,基于云计算的银行核心原型系统的实际测试值TPS(事务数/秒)为11745笔/秒,并稳定运行4小时。比目前世界上基于小型机系统最高的TPS测试值10716笔/秒提高了9.6%。。
方案亮点
基于云计算的银行核心业务系统有以下技术亮点。
自主研发的服务开发及管理平台:系统采用图形化的平台,能实现原子服务定制、服务定制、服务属性定制;在此基础上以可拖拽、编辑的流图的方式,实现服务组成的服务流、组合服务的简便定制和管理。
应用软件集群在金融核心业务中的应用:系统业务处理拆分成一定粒度的服务,通过集群的方式承载服务,实现了真正的应用软件集群。不同的处理服务依据不同的方案,可以在集群内的不同或相同节点上完成业务处理,从而提供强大的整体处理性能和系统灵活性。
支撑银行应用的云数据服务体系:该体系实现了对特定数据对象的处理服务封装,屏蔽具体处理服务的位置及实现细节,应用处理服务请求会依据定制内容,自动实现响应数据服务的分发、寻址及管理。
金融核心业务的并行处理开发框架:该框架实现了系统内并行处理的简便二次开发,屏蔽了节点间复杂的并行处理逻辑设计及调度。
示范应用