云安全管理体系范例(12篇)
时间:2024-04-07
时间:2024-04-07
关键词云安全模型信息系统保护测评
中图分类号:TP3文献标识码:A
文中以云安全服务模型为研究依据,从云计算信息系统的安全特性入手,提出建立云安全服务模型及管理中心,介绍了云安全等级保护模型的建立情况。
1简述云计算信息系统安全特性
以传统的互联网信息系统相比较,云计算信息系统把全部数据的处理与存储都放在服务端,终端用户根据网络可以及时获取需要的信息和服务,没有必须在本地配置的情况下进行数据的处理和存储。根据网络中所设置的网络安全防护设施,可以在服务端设置统一的身份兼备与安全审计系统,确保多数系统出现的安全问题得到有效解决,但此时新的设计服务模式又会带来新的安全问题,例如:滥用云计算、不安全的服务接口、数据泄露、安全管理等多个方面的问题。
2建立云安全服务模型及管理中心
现实中的不同云产品,在部署模型、资源位置、服务模型等各个方面都展现出不一样的形态和模式,进而形成各不相同的安全风险特征及安全控制范围。所以,必须从安全控制的角度创建云计算的模型,对各个属性组合的云服务架构进行描述,从而确保云服务架构到安全架构的合理映射,为设备的安全控制和风险识别提供有效依据。建立的云安全服务模型如图1所示。
3云安全模型的信息安全等级测评办法
云安全信息安全保护测评的办法就是根据云安全服务模型与云安全中心模型,考察用户在云安全方面的不同需求,安全模型处在安全等级保护体系下的不同位置。安全模型一端连接着等级保护技术,另一端连接着等级保护管理的要求。根据云安全信息中心的建模情况,对云安全模型下的核心基础、支撑安全展开分析,获取企业在云安全领域的信息安全等级测评模型,依照模型开展下一步的测评工作。
3.1分析等级测评云安全模型下的控制项
根据上述分析情况,可以把云安全模型嵌套在云安全等级保护模式中,从而展开与云安全有关的信息安全等级评价,并对安全模型下的有关控制项展开分析。首先察看云认证及授权情况,对是否存在登陆认证、程序授权、敏感文件授权等进行测评。依照不同的访问控制模型,选择访问控制的目标是强制性访问、自主性访问、角色型访问,进而采取与之相对应的方法。为了确保网络访问资源可以有效的控制和分配,需要创建统一、可靠的执行办法和解决策略。自由具备统一、可靠地方式才可以保障安全策略达到自动执行的目的。测试网络数据的加密情况,要对标准的加密功能及服务类型,做到静态和动态的安全保护。探测数据的备份与恢复情况,就必须查看云备份是否安全、数据销毁情况、磁带是否加密及密码钥匙的管理,检查的重点是供应商的数据备份情况。查看对管理用户的身份是否可以控制管理,是否可以管理用户角色的访问内容。查看用户的安全服务及审计日志,其中包括网络设备的监控管理、主机的维护、告警管理与维护等。
3.2分析等级测评云安全模型的风险性
依照等级保护的有关要求,运用风险分析的办法,对信息系统展开分析时必须重视下面的内容。
(1)云身份认证、授权及访问控制
云安全对于选择用户身份的认证、授权和访问控制尤为重要,但它所发挥的实际效果必须依赖具体的实施情况。
(2)设置云安全边界
云安全内部的网络设备运用防火墙这系列的措施展开安全防护。但外部的云用户只能运用虚拟技术,该技术自身携带安全风险,所以必须对其设置高效的安全隔离。
(3)云安全储存及数据信息备份
一般情况下,云供应商采用数据备份的方式是最为安全的保护模式,即使供应商进行数据备份更加安全,仍然会发生数据丢失的情况。所以,如果有条件的,公司应该采用云技术共享的所有数据进行备份,或在保留数据发生彻底丢失事件时提出诉讼,从而获取有效的赔偿。云计算中一直存在因数据的交互放大而导致数据丢失或泄露的情况。如果出现安全时间,导致用户数据丢失,系统应该快速把发生的安全时间通报给用户,防止出现大的损失。
4结束语
综上所述,随着云计算技术的发展,云计算信息系统会成为日后信息化建设的重要组成部分。文中从云安全等级保护测试为研究依据,简述了云计算信息系统安全特性,对云安全服务模型及管理中心的建立情况进行分析,提出云安全模型的信息安全等级测评办法。
参考文献
管理会计是会计的重要分支,主要服务于单位(包括企业和行政事业单位)内部管理需要,是利用相关信息,有机融合财务与业务活动,在单位规划、决策、控制和评价等方面发挥重要作用的管理活动。作为管理会计与信息技术的结合,管理会计信息系统运用计算机、网络通信等现代信息技术,对会计信息进行获取、分析、处理,为单位规划、决策、控制和评价提供全面、及时、准确的信息。为深入推进会计强国战略,全面提升我国会计工作总体水平,推动经济更有效率、更加公平、更可持续发展,财政部将“推进面向管理会计的信息系统建设”作为全面推进管理会计体系建设的重要措施之一。将云计算应用于管理会计信息化建设,实质是利用云技术在互联网上构建虚拟管理会计信息系统,完成管理会计等内容。基于云计算的管理会计信息化是管理会计研究的一个新方向,对进一步推进我国管理会计体系建设工作发展具有重要意义。
二、云计算应用于管理会计信息化的优势
云计算是一种集灵活、高效、低成本、节能等优势于一体的全新计算模式,将它与管理会计信息系统结合,能够减少企业成本和提升企业会计信息系统灵活性,是未来企业信息化发展的方向。云计算和管理会计信息系统的结合具有以下优势:
(一)降低企业管理会计信息化建设成本
传统的企业会计信息化建设不仅需要建设大量的基础设施,还需要支付高昂的信息化软件安装、维护费用,并耗费大量的企业人力成本。将云计算应用于企业管理会计信息系统,企业可按照自身需求向云计算的服务供应商购买软件服务,按使用量付费,不必为机房、服务器、存储硬盘和处理器等基础设施投入大量资金。另外,软件的安装、系统的维护均可由服务供应商解决,大大降低企业的管理会计信息化建设成本。
(二)实现内部协同:企业内部管理更加高效
管理会计要发挥规划、决策、控制、评价等职能,一切都要以信息为依据。如果没有信息化作支撑,财务会计等相关信息就很难应用于管理会计。当今世界是一个大数据世界,收集、分析好这些数据,使企业决策更加科学,必须借助云计算平台。如中兴通讯等企业建立的全球财务管理体系,通过使用共享服务中心实现了建立“战略决策支持、业务支持与核算共享服务”三方协同的财务管理模式,使财务和业务高度协同,不仅降低了企业的运行成本、还规避了企业内部的财务风险,促进了企业会计工作从核算会计逐步向管理会计转型,使企业内部管理更加高效。
(三)实现外部协同:经济活动主体间的信息传递更加便捷
传统企业会计信息化建设下,各经济活动主体相对独立,企业很难同外部机构产生协同效应。众所周知,企业的会计信息不仅仅只依赖企业经济活动这一种来源,还需要客户、供应商、银行、税务机构、证券市场、金融市场、相关企业等其他来源。云计算下的管理会计信息系统具备广泛的接入功能,将大大改变信息传递方式、提升信息传递速度,使信息在经济活动主体间传递更加便捷。云计算使网上报税、银行对账、审计、交易、企业与上下游企业和用户之间的会计信息系统集成成为可能,从而提升了会计信息的附加价值,更有利于会计人员利用会计信息开展与管理会计职能相关的工作。
(四)提高会计人员工作效率
云计算应用于管理会计信息系统给会计人员带来的最大便利就是利用信息系统快捷地获取信息数据和计算信息数据,使大部分会计人员从繁琐的记账、算账等日常性事务中解放出来,从而将主要精力投入到企业的战略决策、投融资分析、经营管理、绩效评价等领域,有效降低企业财务成本。此外,软件服务供应商的专业团队保障系统安全性、全方位负责操作培训、软件升级、故障解决等服务事项,企业不再需要安排专业技术人员对系统等进行维护和管理。云计算带来的这些变化,将使会计人员工作效率大大提高。
三、云计算应用于管理会计信息化应注意的关键问题
将云计算应用于管理会计信息化应注意几个关键问题,包括:信息安全性、服务供应商、会计人员职业能力、企业会计部门职能和机构变更、对传统会计模式的挑战等。
(一)信息安全性
目前,我国近85%的企业不愿将公司的会计信息放在公共云上,主要考虑因素是信息安全性。信息技术再发达,网络、云端和用户端依然会受到各种安全风险和威胁。会计信息在用户端与云端的传递过程中可能被第三方截取而丢失,甚至被非法使用和恶意篡改;存放在云端的会计信息也可能泄露、丢失或被篡改。这些信息可能涉及商业机密,关系到企业的生存与发展。因此,如何全面保证信息安全性是云计算运用于管理会计信息系统的前提。
(二)服务供应商
客户以云计算方式使用会计软件生成的电子会计资料归客户所有,服务供应商应当在技术上保证客户会计资料的安全、完整。基于云计算的管理会计信息系统建设对软件服务供应商有很大的依赖性,服务供应商的专业能力直接影响到系统的应用成效。如果服务供应商的专业水平和服务质量无法满足企业会计的需求,不仅会对企业的战略决策、投融资等产生破坏性影响,甚至会影响到企业的日常经营管理。
(三)会计人员职业能力
我国会计人才队伍结构失衡问题日益凸显,呈现出初级人才供过于求、中级人才相对不足、高级人才严重紧缺的不合理结构。从业人员中,传统的核算型会计占据了大多数,而真正能为企业创造价值的高级管理型会计人才缺口近300万。会计人员的职业能力能否满足云计算下的企业管理会计信息化建设要求,成为一个重要的关注点。
(四)企业会计部门职能和机构变更
云计算应用于管理会计信息系统后,会计工作人员工作效率将大下提高,大多数的企业会计工作人员将由核算会计转型至管理会计,企业精细化管理程度将得到显著提升。随着管理会计信息化的不断深入发展,企业会计部门面临着职能和内部机构的变更。
(五)对传统会计模式的挑战
云计算下企业的数据和资源不再存放于终端(本地计算机),而进入云端(互联网的数据中心),这对资产确认的“存在性”认定等传统会计模式提出了挑战。网络环境的开放性、虚拟性、交互性、匿名性,使传统会计业务确认、计量和报告需要提供合法、有效的会计凭证的模式受到了严重的挑战。
四、云计算应用于管理会计信息化的实施路径优化
目前,我国管理会计信息化尚处于起步阶段,仅有部分信息化程度较高的集团公司建立了管理会计信息系统,而且管理会计信息化水平相对较低,实际运用中很难满足企业需求。
(一)完善相关法律法规
第四届中国信息安全法律大会于2013年11月在上海举行,中国云计算安全政策与法律工作组在会上了《中国云计算安全政策与法律蓝皮书(2013)》,为规划国家云计算战略提出法律改革框架,为企业发展云计算服务疏理法律遵从模式。笔者认为,云计算应用于管理会计信息化建设对传统会计提出了一系列挑战,有必要在《会计法》中针对“云计算下信息化建设的安全风险规制”等云计算内容进行增补;有必要结合云计算下管理会计信息化建设的实际,对有关企业会计的规则中的“收入区分与确认”、“成本计量与配比”、“数据或资源等资产确认”等进行适当调整;建议在即将的《财政部关于全面推进管理会计体系建设的指导意见》中,加入利用云计算推进管理会计信息系统建设的内容。
(二)加强会计信息安全管理
云计算一方面能够加快企业管理会计信息化进程,另一方面会计信息安全问题也对云计算软件服务供应商提出了高要求。尽管服务供应商一般都能提供较高的数据安全机制,但并不能保证企业会计信息的绝对安全。会计信息在用户端、信息传输的网络通道、云端,在存储时、传输时、使用时都有可能面临安全威胁。因此加强会计信息安全管理尤为重要,加强会计信息安全管理也是消除企业安全顾虑、全面推进云计算应用于管理会计信息系统、从源头上防止出现“信息孤岛”的重要途径。服务供应商要从网络、设备等方面下功夫保障会计信息安全:一方面要研发高信息安全技术软件,另一方面要从日常维护、软件升级等服务方面保障会计信息资料安全、完整。大多数的安全风险是人为引起,企业信息安全管理的重点在用户方面,应加强对用户的审计监控,及时处理因为用户操作不当或蓄意为之而造成的会计信息安全事故。
(三)鼓励企业建立财务共享服务中心
在当前我国管理会计发展相对滞后的背景下,鼓励企业建立财务共享服务中心(SSC)是加快会计职能从核算到管理决策的转变、推进管理会计信息化的一条有效路径。SSC自20世纪80年代推出以来,迅速获得企业和用户的青睐,已经被广泛应用于企业运营管理中。世界财富500强中有超过85%的企业已经建立或正在建立SSC。当前我国一些大型企业集团也建立了SSC,如中兴通讯、中国电信、海尔、华为、联想等企业已经实施财务共享。SSC通过实现财务制度标准化、财务人员集中化、财务管理流程化和网络化等,建立了高效低成本的运作流程,使更多财务人员从繁琐的日常性事务中解放出来,为企业经营管理和战略决策提供高质量的财务决策支持,促进企业的管理会计有效发展。财政部于2013年12月印发的《企业会计信息化工作规范》中,明确提出:分公司、子公司数量多、分布广的大型企业、企业集团应当探索利用信息技术促进会计工作的集中,逐步建立财务共享服务中心。地方财政部门应加强与相关部门、服务供应商的协调与合作,通过政策引导、技术支持、财政补贴等手段,鼓励有条件的企业将管理会计信息化需求纳入企业信息化规划,先行建立SSC,再逐步引入至云计算平台下,从而带动本地区管理信息化水平的全面提升。
(四)推进管理会计信息化人才建设
[关键词]桌面云;高职院校教育;应用研究
中图分类号:TP316.8文献标识码:A文章编号:1009-914X(2016)30-0229-02
Builda"desktopcloud"inhighervocationalcollegesteachingresourcemanagementplatform
JingLu1Chong-yangGao2
(1.Ningxiavocationalandtechnicalcollege,YinChuanofNingxia?province;2.AirForceLogisticscollegeofPLA,XuZhouofJiangsuprovince)
[Abstract]Subject:Thisarticlesummarizesthedesktopcloudcharacteristics,analysisofthecurrentproblemsexistinginthehighervocationalcollegeeducationinformatization,ofhighervocationalcollegeeducationinformatizationisproposedonthebasisofusingtheimplementationofthe"cloud"desktoptechnologyschemeandconstructionmeasures.
[Keywords]Desktopcloud;Highervocationalcollegeeducation;Applicationresearchon
云算产业作为新一代IT的发展浪潮,不仅促进信息化发展,也同时促进教育等各行各业发展。由云计算发展而来的“桌面云”技术也日渐成熟,逐步推广应用到高职院校的信息化建设中。
1高职院校教育信息化存在的主要问题
1.1教学资源利用率不高
高职院校在信息化建设过程中均投入了一定财力物力构建基础设施,但是这些基础设施的利用率较低。而且教学资源平台应用于大规模交互任务时,因为访问人数多、规模大、时间安排集中,很容易发生服务器并发访问瓶颈问题,出现阻塞和死机状况。其分布式特性使人们难以通过集中资源的方式提高利用率和降低成本,
1.2资源管理维护困难
教学用计算机广泛分布在各个教室、机房和实验室中,而且其用户在访问计算机桌面环境时的位置无关性要求越来越高。在这种情况下,集中化的计算机管理极其困难,而且很难形成标准化的管理,其原因在于计算机硬件多样化。并且各专业独立的教学资源平台需要自己配备维护人员,维护人员不够专业导致对资源的组织、存储、分析和检索存在诸多问题,难以充分发挥教学资源平台的作用。
1.3高能耗、高排放,更新换代增加成本
一台PC电脑的能耗在200瓦左右,每台PC个人电脑平均运行12小时以上,一台PC一年耗电800-1000度电左右,一年的耗电量是一个非常惊人的数字。由于IT行业的软硬件设施升级更新快速,当前配置的较高端的计算机,三至五年左右,基本上得更新换代。这时,又增加计算机的总体再次投入成本。
1.4缺少安全防护系统
由于高职院校信息化发展迅速,网络安全形势较为严峻,网络安全问题较为突出,安全隐患压力大。目前网络安全防护体系缺乏统一的建设标准还缺少入侵防御、网络安全审计控制等设备,无法防止和阻断非法攻击及访问、保障园区网的各项应用正常运转。
以上突出问题,严重影响高职院校教学资源的充分利用和教学训练水平的提高,必须寻找一种新技术、新手段,彻底加以解决。而构建“桌面云”正是解决这些问题的有效途径。
2桌面云技术特点
2.1桌面云定义
桌面云是合乎云计算定义的一种云,提供桌面即服务。桌面云是可以通过瘦客户端或者其它任何与网络相连的设各来访问跨平台的应用程序,以及整个客户桌面。“桌面云”系统分为通用桌面云和高端桌面云。通用桌面云处理通用应用,面向办公、通用任务;高端桌面云通常需要显卡、GPU的支持,涉及2D,3D设计软件,大量高清HD,SHD视频功能应用等。
2.2桌面云的技术特点
2.2.1服务性好
“桌面云”的目的是服务于院校信息化建设,服务于院校教学保障和日常工作,为院校人员提供一种无处不在的定制服务。
2.2.2共享性好
“桌面云”中所有资源统一存放于云数据中心,用户可以共享数据中心中等级权限内的所有信息资源,满足保障工作、协同工作需求。
2.2.3经济性强
“桌面云”的终端设备是瘦终端,通过集中采购与统一管理降低采购、维护、运行费用;用户桌面通过管理员统一管理,应用软件与应用服务在数据中心统一进行安装、维护、升级与安全防护等工作,降低运维成本。
2.2.4安全性高
管理员统一进行数据安全防护工作;用户所用瘦终端不具备存储数据中心数据的功能,只存储用户操作屏幕的变化数据存储;用户可共享信息资源是等级权限内的,降低了泄密的可能性。
3高职院校“桌面云”的结构组成与功能体系
根据桌面云特点,构建高职院校“桌面云”可以有效改变目前的存在问题,提出的类型、结构组成和功能如下:
3.1高职院校“桌面云”类型设计
教育资源包括基础教学设施、教员资源和课程资源等内容。科学划分高职院校“桌面云”平台的云类型,有利于更加合理有效地整合和利用教育资源。
3.1.1硬件资源云
这是云计算架构的最底层,主要提供最基本的物理资源(包括计算、存储、数据和网络设备),并通过虚拟化技术和集群技术对底层硬件资源进行抽象,消除物理硬件的限制,降低硬件管理的复杂度,提高硬件资源的利用率,有效控制其成本,并保证云计算系统的可扩展性。
3.1.2软件服务云
这是云计算提供的一种服务类型。它将软件作为一种在线服务来提供。软件服务云主要由操作系统云和中间件云组成,可实现计算能力及存储资源调度、协调和监控,从而为业务应用提供基础运行环境和基础服务支撑。
3.1.3在线办公云
所有的办公应用程序和文件都放在“云端”。用户只需通过浏览器访问云端服务器,即可实现多用户不同区域在线日程协作安排、学习项目协作规划、教学活动协作管理、人员协作管理.以及文档、表格、演示文稿的共享与协作编辑,完成网上协作办公。
3.1.4学习资源云
资源共享是云计算的核心。学习资源云的构建不仅可以实现各院校学习资源的共享、有效配置和合理利用,还能降低学习成本,提高教育质量。微课是学习资源云的重要组成部分。对于一些实践性和操作性比较强的微课,学生不仅可以在虚拟化的环境中习得操作技能和经验,还可获得身临其境的感觉,从而提高学习兴趣。学生在虚拟化的课堂教学中通过不断的探索和尝试,可获得类似真实情境的知识和技能,为真正的实践操作打下良好的基础。
3.2高职院校“桌面云”结构组成
高职院校“桌面云”体系架构是一种面向服务的架构设计模式,通过这种设计,虚拟桌面和应用业务被直接转换成为能够通过网络访问的一组相互连接的服务模块。整个高职院校“桌面云”架构分为四个层次:瘦终端层、虚拟桌面服务层、虚拟资源层和硬件层。
3.2.1瘦终端层
在瘦终端层,用户使用瘦客户端、瘦客户机等瘦终端通过局域网或广域网访问虚拟桌面服务。
3.2.2虚拟桌面服务层
虚拟桌面服务层包括虚拟桌面认证调度服务、虚拟化桌面服务、资源控制调度服务、虚拟化平台、虚拟化管理软件等。用户使用该层提供的桌面和应用服务,对个人桌面进行管理;管理员通过该层对高职院校“桌面云”进行管理。
3.2.3虚拟资源层
在该层,通过虚拟化技术将物理资源等底层架构进行抽象,使得设备的差异性和兼容性对上层应用透明,允许高职院校“桌面云”对底层千差万别的资源进行统一管理;实现应用和服务驻留在各自的虚拟机上,有效地形成隔离,一个应用的崩溃不影响其他应用和服务的正常运行;可以方便地进行资源调度,实现资源按需分配,应用和服务不会因为缺乏资源而性能下降,也不会因为处于空闲状态造成资源浪费。
3.2.4硬件层
硬件层是高职院校“桌面云”运行的硬件平台,包括控制台、负载均衡器、服务器、存储设备等。
3.2.5桌面云安全系统
桌面云安全系统指为保证桌面云健康稳定可持续的运行而构建的云安全保障体系,包括物理安全、网络安全、系统安全、应用安全、虚拟化安全、管理安全、数据安全等七个层面。
3.3高职院校“桌面云”功能体系
高职院校“桌面云”系统功能体系,是高职院校教学资源信息化管理平台管理效能的需求体现,由八个相互融合、彼此支撑的服务模块组成,共同支撑建立高职院校“桌面云”保障体系,其中,教学保障服务、资源管理和业务应用直接对应高职院校各级各类具体应用,管理服务、数据库服务、存储服务、基础架构服务和安全服务是依赖于桌面云的服务,更多的是应用服务开发中的技术服务等,如图1所示。
业务应用服务:以“桌面云”服务方式为高职院校各业务部门提供即开即用和按需分配的专业业务应用服务和公用工具服务,包括高职院校日常办公系统、业务支撑平台系统、教务管理系统、职业技能训练系统、科研管理系统、财务管理系统等。
资源管理服务:对高职院校教学全资源进行全过程全寿命动态管理服务,提供教学物资器材信息管理、教学设备信息管理、教学设施信息管理、微课管理、教学音频视频管理、个性资源管理、通用数字资源管理、科技文献管理等功能。
教学保障服务:教学保障服务是高职院校“桌面云”对教学活动提供的保障服务,同时动态感知高职院校教学系统的外环境和内环境,包括网络虚拟实验室、教学可视化系统、网络硬盘系统、网络教学平台、各类模拟训练平台、公共服务平台等。
管理服务:为高职院校桌面云提供运维管理服务、容灾备份服务、自动化部署服务、个性化定制服务。
数据库服务:高职院校教学训练数据资源基础数据和主题数据的分类以及模型服务,包括基础数据库、主题数据库、教育资源需求预测、教育资源信息管理。
存储服务:利用云存储技术为高职院校“桌面云”海量数据提供存储的服务,包括海量数据存储服务、数据查询服务、数据存储拓容服务等。
基础架构服务:高职院校“桌面云”数据中心能提供的服务,包括机动式硬件部署服务、自动化智能维护服务、接口拓展服务、按需配置服务、硬件资源共享服务等功能。
安全服务:为保证高职院校“桌面云”相关业务的安全运行,系统提供的安全服务,包括物理安全、网络安全、系统安全、应用安全、管理安全、虚拟化安全、数据安全。
4高职院校“桌面云”建设措施
高职院校“桌面云”是一项系统工程,需要加强顶层设计,统筹协调,持续推进建设工作。
4.1加强理论研究,明确建设目标路线和标准
加强理论研究,拓宽学院教育理论内涵,将新技术新方法融入到教学实践中,建立符合高职院校教学训练实际的标准体系,同时注重教学理论和新技术的形式和内容的结合创新。制订“桌面云”平台的建设规范和运维软件验收规范,确保系统建设的规范性,实现系统集成和信息共享。建立“桌面云”信息安全管理规范,确保应用健康有序发展。
4.2加强技术攻关,解决使用中的出现的问题
根据学院桌面云建设实际,具体问题具体分析,通过借鉴云技术在别的领域的应用,探索出适合我院自己的技术应用。此外,加强与科研院所、信息技术科技公司开展多种形式的技术合作,充分利用研究机构人才优势、技术优势,加大新技术研发投入,开展试点建设,取得突破后全面推广。充分吸收其他高等院校信息系统建设经验和科研成果,在新的起点上创新,力求高起点突破、跨越式发展。
4.3加大投入,搞好人财物力保障
坚持把“桌面云”建设作为教学信息资源建设的核心任务,加大经费投入力度,切实搞好人财物力保障,为“桌面云”建设创造良好的建设环境和平台。同时,加强统筹协调,完善保障机制,严格信息系统建设经费管理,加强监督审计,减少重复建设,杜绝经费浪费,努力提高经费保障效益。
参考文献
[1]李小强,教育桌面云提升IT效率[J],中国教育网络,2012(12):73-74
[2]熊家军,李强,云计算及其军事应用[M],科学出版社,2011.8
[3]崔益峰,桌面云在高职院校教学用计算机管理中的应用[J],计算机应用,2012(1):224-228
[4]李海峰,乔爱平.私有桌面云架构设计及实现[J].警察技术,2011-05.
云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注信息安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。
1云计算服务信息安全管理存在的风险
在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。
(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。
(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖
(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
2云计算服务信息安全管理的要求
采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。
2.1安全责任及安全管理水平不变
信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。
2.2资源的所有权及司法管辖关系不变
客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。
客户数据和业务的司法管辖权不应因采用云计算服务而改变。
2.3坚持先审后用原则
云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。
3云计算服务的信息安全技术能力的要求
云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。
3.1系统开发与供应链安全及系统与通信保护
云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
3.2访问控制及配置管理
云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。
3.3维护及应急响应与灾备
云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。
3.4审计及风险评估与持续监控
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。
3.5安全组织与人员及物理与环境保护
云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。
4结语
本文通过云计算服务中信息安全管理存在的风险、云计算服务信息安全管理及技术能力等方面进行阐述,提出了云计算服务信息安全管理的具体措施及技术能力的具体要求,从管理及技术方面确保云计算服务的信息安全,保障云计算服务安全。
【关键词】云数据中心安全防护防护挑战解决方案
一、云数据中心概述
云计算简单而言就是一种以互联网技术为依托的计算方式,借助云计算网络上共享的各种信息以及软硬件等其它资源,都可以根据用户的实际需求被准确的提供给包括计算机在内的其它互联网终端设备。云计算的出现对于数据中心的发展起到了很好的促进作用,在功能实现方面,迫使其从以往传统的只是提供存储设备租用以及机房空间,向着真正的按需分配的资源虚拟云数据中心转型。就云数据中心的特点来讲,其主要是通过对虚拟技术的采用来将网络当中的各种资源实施虚拟化操作,以为资源用户之间的资源交互行为提供一种灵活多变的形式。
二、云数据中心安全防护目标
云数据中心安全防护工作的目标为在确保数据安全基础之上,为数据使用者提供更好的服务。在实现这一目标的过程中,云数据中心中数据的机密性、数据的完整性是十分关键的任务。
2.1数据的机密性
在云数据中心安全防护工作中,数据的机密性指的是数据的使用主体为授权用户,而不能泄露,更不能被非授权用户所使用。为了让云数据中心的数据体现出机密性的特征,云数据中心安全防护需要从以下三个方面做出努力:首先,需要提升云数据中心安全防护管理工作队伍专业素养,这一提升过程可以通过培训工作与人才引入工作来实现;其次,云数据中心安全防护工作要重视数据加密技术的广泛应用,如数据安全传输专用链路、云数据中心数据加密以及云数据中心用户授权管理技术等。其中,数据安全传输专用链路主要是采用VPN、SSL、NAT等链路技术确保云数据中心数据传输链路的安全性能。
云数据中心数据加密则可以利用DES系统、ECC系统以及RSA系统等避免云数据中心中的数据被窃取,当然,在加密技术的使用中,服务器内部的攻击是确保数据机密工作中面临的重要挑战,为此,数据加密过程和数据存储服务之间需要具备一定的分离性,在此过程中,加密工作可以在云数据中心客户端完成,而云存储用户所使用的不对称密钥则可以由第三方机构进行管理。
当前云数据中心的用户授权体现出了粗粒度的特征,授权级别主要包括两级,即云数据中心管理员以及从管理员受众得到授权的以及用户,由于这种访问控制机制具有着一定的安全问题,因此高安全性的访问管理技术和身体认证技术是十分必要的。
2.2数据的完整性
在云数据中心安全防护工作中,确保数据不被蓄意或者偶然的重置、修改是重要的工作目标之一,只有实现这一目标,云数据中心的数据才能够具备完整性。从影响云数据中心数据完整性的因素来看,这些因素包括自然灾害、设备故障、计算机病毒、误码等。从云数据中心数据完整性的防护手段来看,则主要包括预防数据丢失与恢复数据两个方面。在云数据中心中,为了能够保证数据在处理、传输以及存储中具备完整性,管理人员进场会运用到分记处理、奇偶校验、镜像以及分级存储等技术。事实上,在云计算环境中,如果运用IaaS进行存储,则数据迁移需要承担的成本较高,另外,数据集具有着明显的动态化特征,因此,传统的数据完整性检验机制很难得到良好的效果,为此,为了确保云数据中心数据的完整性,云数据中心安全防护工作者需要充分了解云计算环境所具有的特征,并使用复制服务器以及两阶段提交协议等技术,对云数据中心中数据的完整性做出检验。
三、面临的挑战
在IT技术迅猛发展的背景下,云数据中心体现出了逐步替代传统数据中心的趋势,在此过程中,云数据中心需要面临虚拟安全域隔离以及虚拟机安全防护等诸多问题,这些问题的存在,在一定程度上制约着云数据中心得到更加广泛的运用并体现出更大的应用价值。云数据中心网络虚拟化,会让网络边界呈现出动态性的特征,因此,网络安全系统对安全策略的制定与部署是至关重要的。具体而言,当前云数据中心安全防护工作主要面临着三个问题:首先,虚拟安全域的隔离问题以及虚拟机的防护问题。虚拟交换层是云数据中心网络虚拟化中新的网络层次,这种网络层次的出现导致了网络管理边界具有了模糊化的特点,与此同时,虚拟服务器难以被原有的网络系统感知,因此,数据中心在安全隔离租户虚拟域的工作中面临着较大的挑战;其次,云数据中心资源难以实现集中管理。在云数据中心中,一个数据流需要经过多重检测,在使用传统方法开展这项工作的过程中,一般需要对不同类型的功能与设备进行简化与堆叠,这一过程需要浪费消耗较多的软硬件资源。另外,由于安全设备所具有的模型和接口存在着一定的差异,所以云数据中心资源的集中管理也较难实现;最后,安全策略如何实现全局协同,也是需要考虑的重要问题。在云数据中心中,安全控制策略和传统的网络安全控制策略具有着一定差异,安全防护工作需要针对应用所具有的特性,对不同安全域进行有效区分,为制定出有效的安全策略,而为了避免产生策略冲突,这些安全策略也需要实现全局协同,这一问题是云数据中心安全防护工作中不得不面临的挑战之一。
四、技术
在当前的云数据中心安全防护工作中,软件定义网络技术能够发挥出不容忽视的作用,在这一技术的支撑下,经过云化处理之后的边界能够形成良好的网络结构,并且也能够确保用户对存储资源以及网络资源做出良好的分割使用。于此同时,在软件定义网络基础上衍生出的软件定义安全技术以及网络功能虚拟化技术等,也能够有效确保云数据中心安全性,并提升云数据中心数据资源的利用效率。
4.1软件定义网络技术
2006年,斯坦福大学首次提出了软件定义网络,2012年,软件定义网络所具有的三层架构也得到了行业内的普遍认可。软件定义网络所具有的三层架构包括应用层、控制层以及数据层,其中,控制层对网络设备中所有的控制功能进行了继承,并且具备可编程的特征,这让控制层与数据层实现了分离,并让数据层实现了简化,在充分发挥这一优势特征的基础上,数据的使用以及开发工作都会变得更加便捷,并且网络与系统也能够根据受众的业务需求做出更加快速的响应。在云数据中心安全防护中,软件定义网络技术具有着明显的优势,首先在运用软件定义网络技术的基础上,可以制定多租户安全服务策略。软件定义网络控制器能够对网络所具有的状态信息进行感知,并可以对云数据中心安全策略和转发策略进行联合编译,与此同时,软件定义网络技术还能蚋据租户虚拟网络拓扑以及租户所提出的需求,将安全策略分布在不同的网络节点之中,这一优势让云数据中心安全策略得到了简化。另外,基于软件定义网络架构,云数据中心安全策略的实施工作与制定工作能够实现较好的隔离,在此基础上,云数据中心安全策略的实施能够体现出更好的灵活性;其次,在运用软件定义网络的基础上,云数据中心能够构建起可复用的安全服务。软件功能模块化以及软件功能的重构,能够让云数据中心对公共处理模块进行合并,从而对软硬件性能进行优化。当然,实现不同控制模型以及接口的统一化,是发挥这一优势的必要前提;最后,在运用软件定义网络的基础上,云数据中心资源可以得到集中的管理与控制。软件定义网络技术能够为云数据中心提供全局网络视图,并能够推动数据调配实现精细化,与此同时,软件定义网络技术通过对虚拟化安全设备和虚拟网络进行协调,也能够为云数据中心安全防护工作提供便利。
4.2网络功能虚拟化技术
nfv网络功能虚拟化技术指的是将电信设备运用于通用服务器,并将各类网元部署在存储器、服务器、交换机等共同构成的平台之上,在此基础上,应用能够对虚拟资源进行快速的减少和增加,并实现快速缩容与扩容,促使系统具备更好的网络弹性。
在云数据中心安全防护工作中,网络功能虚拟化技术体现出两个明显优势,首先,云数据中心租户能够利用一个平台对不同租户以及不同版本的网络设备进行登录,从而实现更好的资源共享;其次,云数据中心可以以租户具体需求为依据,对自身服务能力进行降低或者特征,从而促使自身服务体现出更好的针对性。
五、解决方案
随着信息化时代的到来,社会的数据化发展在给人们带来极大的便利化的同时,信息、数据安全问题的发生也严重影响着人们的个人利益。为此,我们提倡大力发展云数据中心,构建完善的云数据中心安全方案的主要目标之一也是为了对用户的个人信息、相关数据进行保护。但在迈入云计算数据中心时代之后,在云模式构架的影响下,传统数据安全方法遇到了巨大的挑战,无论是抽象控制还是在物理逻辑方面都需要全新的数据安全策略。与此同时各种病毒威胁的发生以及计算机网络在技术、方向方面的发展等也会引发各种网络信息问题,从而对云数据安全造成极大的挑战。因此,我们急需针对当今各种网络信息问题的产生特点,来开发和制定出一套先进的云数据中心安全防御方案,以此来为新时期云数据信息用户以及云端信息的输出,提供一个安全的信息流通环境。切实保护双方安全利益,预防由信息危机而引发的各项社会安全问题的产生。由于云数据中心安全防护涉及范围较广,且面临问题具有一定的复杂、多样性。因此,我们对云数据中心安全方案的制定也必须从大的模式构建和细小的体系建立两个方面来做起,具体来讲主要包括以下内容:
5.1云计算应用模式构建
云计算英语模式作为云数据中心安全防护的主要构成模式,其构建完善与否在很大程度上将决定着云数据中心安全质量的高低。为此,就云服务终端来讲,其安全解决方案的建立首先要在其终端构建起一个独有的安全评估和防御体系,只有如此才能够在云端与终端开展信息流动的过程中,将云端信息安全被侵扰的几率降到最低。为此,我们需要为每一台终端机选择并安装,先进的防病毒、防火墙、恶意软件查找以及IPS等安全软件系统。极大的预防各类网络安全攻击事件的发生,防止个人计算机信息数据的泄露。与此同时,浏览器作为用户与云端开展信息交流的重要媒介,其浏览器的安全与否也在很大程度上决定着云计算安全水平的提升。为此,我们必须必须积极面对,在定期对计算机病毒进行查找的同时,做好浏览器的补丁修护工作,极大的保证浏览器的安全运行。此外,由于终端当中虚拟软件通信不在网络通信监控范围内,其一旦发生匿名网络攻击云端在难以察觉的情况下,很容易受到其攻击,为此我们还应当加强对虚拟软件管理工作。通过完善的信息安全预防工作的实施,来从各个方面预防信息数据安全事故的发生,将安全隐患消灭于微。
5.2云数据防御体系建立
云数据防御体系的建立使得各种网络病毒以及威胁能够在很大程度上被云防御发现并杜绝,提升了云数据防御体系的安全预防能力。具体而言云数据防御体系的建立主要包括以下几个方面:首先,构建web信誉服务体系,这是云数据安全防护的关键也是重要组成部分之一,其预防措施要赶在web威胁发生之前,防护对象主要包括IP、网页、网站等;其次,建立电子邮件信任模型,它主要是针对上面web信誉服务来进行优化作业,以将web当中那些包含不良信息的垃圾邮件直接在这一阶段过滤掉,以防止这些已经收到污染的不安全数据、信息对云端信息或计算机造成传染害,真正的将电子邮件的收发控制在合法范围内。此外还包括,行为关联分析技术体系、自动反馈机制信任体系、以及威胁信息汇总体系的构建。从功能和内容上来讲,无论何种体系的构建起目的都是为了对云安全防御体系进行完善,不断强化其安全防御能力,帮助计算机肃清其工作、运行环境,使其各方面功能得以良好的发挥。
参考文献
[1]申晋.云计算数据中心安全面临挑战及防护策略探讨[J].W络安全技术与应用,2016,(03):65+67.
[2]张小梅,马铮,朱安南,姜楠.云数据中心安全防护解决方案[J].邮电设计技术,2016,(01):50-54.
关键词:云计算;行政;事业;管理
在我国行政事业单位资产管理信息化与云计算结合中有其发展的必要性。第一,使行政事业单位资产管理信息更公开更透明。第二,减少资产管理信息系统的开发成本,利于操作。第三,加强了行政事业单位各部门之间的联系,实现资源有效配置。在发展中云计算出现一定的安全隐患,信息化的基础相对薄弱,相关专业的人才缺失。针对这些问题,要制定相关的战略,提高信息化水平。也要健全信息化基础建设,改变信息化的劣势。并加强人才的综合培养,使人才适应信息化发展,相信在不断的应用和发展中会取得更好的成效。
一、我国行政事业单位资产管理信息化与云计算结合的必要性
(1)使行政事业单位资产管理信息更公开更透明。云计算在行政事业单位资产管理信息化应用中带动了信息的公开性。使信息存储在特定的系统内,方便信息的游览和查看,使资产信息能够公平合理的得到应用,方便监督,促进群众参与到公务管理中。同时行政事业单位资产管理信息化与云计算结合有利于信息管理的透明化,让群众第一时间了解信息。行政事业单位代表国家的形象,这些单位资产管理信息的公开化和透明化会让政府在人民群众心目中的形象更完美,能够促进政府与人民群众的沟通,加强了政府和人民群众之间的联系。提高了国家的公信力,使国家的行政管理更具权威性,使国家接受人民的监督,让群众相信政府的工作能力并配合政府的资产管理。相信在我国行政事业单位资产管理的信息化与云计算的结合中会更加加强管理的透明度和公开性,并加强工作人员对财务知识的理解能力,使工作人员理解财务结算、财务列表方面的知识,通过对财务知识的理解使资产管理更具高效性。让资产管理信息化与云计算提高整体资产管理水平。
(2)减少资产管理信息系统的开发成本,利于操作。在资产管理信息化的过程中云计算的应用减少了开发的成本。工作人员在使用管理信息时,只要在特定的系统去收集就可以使用。并且在开发中只需要通过具体的软件和具体资源的管理服务就可以完成开发,并减少了开发的成本。过去的开发具有凌乱性和混乱性,开发者不能通过统一的程序来开发系统,并且开发出来的系统也不利于应用,不利于掌握,同时也不利于管理,同时要加强大资产管理系统中的财务方面的知识,使资产管理与财务知识有效结合,相互促进,使云计算和财务知识得到有效配置。通过云计算开发出来的系统更具秩序性,只要根据操作流程就可以得到相关数据,看到相关信息,因为操作的简便性,使投入的管理资金相对可以减少,开发成本也因此降低,开发的周期相对降低,使行政单位节约了管理资金,把资金投入到更多的领域,用最简单的开发方式、最少的开发成本、最简单的查询方式、最容易的操作方式带动了整体的行政事业单位资产管理的水平,促进了资产管理的信息化和科学化。
(3)加强了行政事业单位各部门之间的联系,实现资源有效配置。在行政事业单位资产管理中云计算的应用加强了各部门、上下级之间的联系。在以往的信息管理中,每个部门都设立了各自的信息资源管理库,各自分开管理,互不联系。而云计算的应用,使各部门的信息可以联系在一起。各部门可以查看到其他部门的信息,可以查看与本部门有联系的信息,加强信息之间的联系,同时可以借鉴其他部门的信息,学习其他部门资产管理的长处。在网站中可以通过信息汇总的方式查到各部门的资产管理信息、财务信息、行政信息和资源信息。做到资产管理与资源信息共享,同时还可以实现资源配置,让资源可以配置到更合理的管理领域中,实现资源的高效运行。同时要加大各部门之间的财务联系,使财务联系促进资产的有效管理,并加强财务管理与资产管理的科学性,使管理更加科学,让闲置的人员有工作可干,可以提高整体的工作效益,让更多的人提高工作积极性,用最高的积极性投入到资产管理之中。让各部门加强信息的联系,带动资产管理水平,从而实现资源最优的配置,带动整体管理水平,提高资源的有效运转。
二、我国行政事业单位资产管理信息化与云计算结合存在的问题
(1)云计算出现一定的安全隐患。在我国行政事业单位资产管理信息化与云计算的结合中,出现了云计算安全隐患的问题。由于云系统存放入计算机系统中,一些黑客对系统采取破坏性的行为,对数据和信息进行破坏,使数据和信息出现了错误,影响到正常的工作。国家也没有对此系统制定安全的管理制度,也使系统不能有效、安全的运行。加上技术刚投入到使用中,相关管理机制还不够健全,很多人还没有掌握正常的应用方法,致使出现了安全隐患。一些信息的价值相对较高、带有一定的隐秘性,而政府机关作为行政机关,信息关乎国家的机密,所以更需要对信息进行安全保护。同时财务资源和资产管理资源也被传到网站上,使财务管理和资产管理出现漏洞。财务信息和资产管理信息被违法者利用,他们进行违法操作,使资产管理出现了漏洞。同时政府人员也缺乏对云信息的科学管理,使资产管理信息外流,造成管理的危害。
(2)信息化的基础相对薄弱。在我国行政事业单位资产管理信息化与云计算的结合中出现了信息化基础薄弱的问题。我国信息化发展的速度相对过慢,并且国家信息化发展与国外一些国家还有差距。政府把信息化投入到行政事业单位的时间也过晚,这些发展的弊端导致信息化基础相对薄弱。国家的科研投入不多,没有进行相关的科研扶持,资金也不到位并且没有进行相关的开发,技术扶持也过少,也没有进行相关的技术培训,这些原因集体导致了信息化发展缓慢。而中职教育和相关高校没有建立合理的信息化人员的培养机制,基础课程设立不科学,没有从根本上促进整体信息化水平。同时没有针对信息薄弱环节进行合理的规划,没有对不合理的发展进行整合,没有使基础的信息设施得到优化,设施也过于简单、过于老化,没有带动整体信息化的合理发展,使资产管理信息化程度较低。
(3)相关专业的人才缺失。在我国行政事业单位资产管理信息化与云计算的结合中发展出现了相应的问题,导致这问题的一个原因是相关专业的人才缺乏。国家行政事业单位的管理方面的人才较多,他们信息化水平不高,无法很好的应用信息化知识,导致出现了资产管理效率不高的问题。同时工作人员的财务管理知识无法和信息化知识联系在一起,不能很好运用两种知识,很多工作人员只精通财务知识,还有工作人员只精通信息化知识,无法把财务方面的信息存入信息化系统内,导致资产管理信息化与云计算无法很好的统筹运用,使技术无法更好地开展。而相关院校只注重专业知识不注重综合素质的培养,没有加大计算机水平的培养,导致工作人员只精通本职的工作,不了解其他的业务,对信息化的了解更是少,导致我国行政事业单位资产管理信息化水平发展缓慢,导致管理水平得不到提高。
三、我国行政事业单位资产管理信息化与云计算结合的建议对策
(1)制定相关的战略,提高信息化水平。在行政事业单位资产管理信息化与云计算结合的过程中要防止云计算出现安全隐患,要加强对信息队伍的科学化管理,保证信息不外流,加强信息的机密性。同时加强对系统的安全管理,要对系统设立安全程序,防止黑客对信息进行窃取,要加强对网站的安全管理,使机密信息不泄漏,同时要加强法律的监管,用法律来维护信息的安全性。国家也应制定相关的信息管理制度,使云计算系统可以安全、健康的运行。要把资产管理信息化与云计算当成战略目标来实现,加强信息的精准性,通过信息与管理有效结合,使信息更准确,投入到安全的使用中,要促进财务知识与云计算的有效结合,要提高各部门人员的财务能力,让工作人员掌握账本和数据的相关技巧,通过资产管理达到了解企业经营状况的目的。同时云计算的运用,让信息更加系统、更加规范化。而精准性与系统规范的结合也使信息化水平得到更大的提升,通过加强系统的安全性、加强队伍科学化、加强信息安全性管理,促使整体战略目标的实现。
(2)健全信息化基础建设,改变信息化的劣势。在行政事业单位资产管理信息化管理中出现了信息化建设基础薄弱的现象。要加大科研投入,通过对资产管理信息化与云计算的结合,使技术更具科技含量。国家应加大科技扶持和资金扶持。通过对信息化技术的指导,使行政事业单位人员的信息化水平得到提高,同时通过资金的扶持使技术得到更广泛地开发和应用。要加强基础设施的建设,使设施更新、更符合信息的发展。相关中职院校、和各高效要加强对学生信息化基础与云计算课程的培养,通过最基础课程的培养提高整体信息化水平,课程设置要更加合理,管理要更加科学,以此改变学生的信息化基础底子薄弱的问题,使信息化基础建设整体能力得到提升,同时计算机专业的人员要学习财务方面的知识,会资产管理,能看懂相关财务数据,并且财务概念与资产概念要分清,使财务管理为资产管理服务,改变技能落后的问题,促进整体信息化与云计算的水平。
(3)加强人才的综合培养,使人才适应信息化发展。在行政事业单位资产管理信息化与云计算结合中要加大对人才的综合培养,使行政事业单位的工作人员不仅可以懂资产管理方面的知识还懂信息化云计算方面的知识,防止出现无法把资产管理信息放到云计算中,或者在云计算中看不懂财务知识,使工作无法正常开展的问题。同时相关高校要加强计算机专业学生的财务管理知识和资产管理的知识,使学生到行政事业单位时可以完成财务和资产管理的工作,要加大各学科的有效联系,让学生可以全方位的掌握各门类的知识,成为综合性人才。同时资产管理类学科的学生也要了解信息化与云计算方面的知识,做到把两种知识的优点结合在一起。让更多的管理人员懂账目、懂财务条例,用条例促进财务的科学管理,并使资产管理更具高效性,与计算机技术结合使工作人员在工作中有效应用资产管理管理知识和云计算知识,使信息更系统、更易查阅。相信在人才的全面培养下,会使行政事业单位资产管理信息化与云计算的发展更具发展性和科学性。
四、总结
云计算与行政事业单位资产管理信息化的有效结合促进了行政事业单位的资产管理的信息化,带动了整体的管理水平,也使云计算更广泛的投入到更多领域中,带动了行政事业单位的管理效率,让管理与信息化和云计算结合在一起,体现出科学性和先进性,促进了整体的高效发展。
随着云计算技术在核电厂的推广应用,企业的信息化水平提升到新的高度。企业对信息安全可靠性、保密性、完整性产生更高的述求,信息安全的防护工作日趋紧迫。传统的信息安全防御手段无法应对新出现的威胁,因此需结合现有的信息安全体系,采取与云计算技术相结合的手段开展一系列信息安全防护工作。本文主要介绍了云计算的相关概念和体系架构,云计算技术在核电的应用,国内核电信息安全体系现状,以及基于云计算的核电信息安全体系设计。
关键词:
云计算;核电;信息安全
核电行业是很早就使用计算机实现生产自动化的企业。继个人计算机、互联网变革之后,2010年,云计算作为第三次IT浪潮的代表正在向我们走来。它将带来人类生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。云计算的目的是将不同的IT资源(资源包括网络,服务器,存储,应用软件,服务)以服务的方式交付给用户。计算资源、存储资源、软件开发、系统测试、系统维护和各种丰富的应用服务,都将像水和电一样方便地被使用。信息实质上是一种资源,其价值在于其所能创造的机遇与利益。信息安全的目的即是保护信息的完整性、可用性及保密性等属性,以保证信息的价值。一旦信息的完整性、可用性或保密性缺失或受损,信息的价值将大打折扣。核电厂作为国防建设的重点单位,信息安全重要性尤为突出。随着云计算技术在核电厂的推广应用,信息安全的防护出现一些新的变化,本文即是针对这些新的变化进行相应的探讨,目的是提升核电厂信息安全水平。
1云计算概念和体系架构
网络通信、分布式计算及服务计算等技术的发展为云计算的实施提供了强有力的支撑。NIST指出云计算是一种以通过网络连接,便携且按需访问的可配置共享资源池的服务,计算资源将以最小的管理和交互代价快速提供给用户;同时云计算还应满足按需自助服务、广泛网络接人、高效资源共享、高弹性计算、支持度量计费等五大功能特性。根据云计算所提供服务类别的不同,云计算的服务模式可以分为软件即服务(SoftwareasaService,SaaS)、平台即服务(PlatformasaService,PaaS)和基础设施即服务(InfrastructureasaService,IaaS)。典型的云计算平台架构如下:IaaS、PaaS、SaaS在功能范围和侧重点上都存在差异,其中IaaS需要在异构资源环境下,提供按需付费、可度量资源池功能,同时要兼顾硬件资源的充分利用和用户需求的满足;PaaS不仅关注底层硬件资源的整合,还需要提供能够供租户进行开发、调试应用的平台环境;SaaS不仅需实现底层资源的充分利用,还必须通过部署一个或多个应用软件环境,为用户提供可定制化的应用服务。
2云计算技术在核电企业的应用
随着核电ERP/EAM/ECM等核心系统的构建,以及IT架构的进一步集中调整,整个核电IT系统的架构变的更为复杂。为了提升信息化水平,提高资源利用率,核电厂开展云计算相关技术研究,结合企业实际情况,遵循四化的理念来建立、提升、完善云计算平台的能力。核电企业四化包括:资源管理集约化:通过对企业计算、存储、网络资源的集中化、标准化、服务化管理实现高效、弹性的IT架构;应用交付一体化:通过软件全生命周期管理的自动化以及面向企业级应用的业务框架提高企业应用的交互能力;系统运营智能化:通过全方位的监控和时间处理,将数据植入到运营流程中,达到流程化、智能化运行的目标;运维管理自动化:通过运维作业集中管理调度与监控实现运维作业的标准化和自动化提高应用运维的效率和可管理型。
3国内核电信息安全体系现状
目前国内大部分核电企业的信息安全体系建设主要遵守《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)、《信息安全等级保护管理办法》和《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)等,以上述办法围绕等级保护来开展信息安全体系建设。一些信息化建设水平较好的核电企业,在信息安全建设过程中逐步借鉴和参考国际国内先进的信息安全标准,主要是目前国际上应用最广泛的ISO27001信息安全管理体系。在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司,例如各种FireWall(防火墙)、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下,并不需要应用提供商参与较多信息安全工作,在典型场景下是由总集成商负责应用和信息安全之间的集成,而这导致了长久以来信息安全和应用相对独立的发展,尤其在国内这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。信息安全体系的基本建设要素包括物理安全、网络安全和系统安全三个要素。(1)物理安全。物理安全主要涵盖机房安全、信息设备安全、通信线路安全等,保障信息机房的电源、温湿度、进出入的安全,保障信息化基础设施、通信线路等的运行可靠性、双链路互备等措施。(2)网络安全。互联网的安全主要以防火墙为核心,辅以IPS、防病毒网关等设备为核电构建统一的、安全的互联网出入口。内部局域网作为网络中终端数量最大、用户最多的区域,一直是网络安全防护的重点区域。首先,局域网要进行核心层、汇聚层、接入层的规划和IP地址划分,核心层要满足双机热备的要求。在网络管理中要实现网络资源的配置、网络流量监控,保障局域网络的稳定通畅。其次,终端安全管理是内部局域网安全的管理重心,建立终端管理、防病毒、移动介质等防控手段。(3)系统安全。信息系统的稳定运行是支撑核电业务连贯性的必要条件,信息系统的服务器、操作系统、数据库、系统接口等的管理有效性是实现系统安全、稳定运行的基础。系统的应用安全主要指系统中数据访问、流程审批、操作合规性等安全,主要通过用户认证、电子证书、文档加密、行为审计等手段来加以监控。
4基于云计算的信息安全体系设计
核电企业云平台承载企业的关键应用,数据作为企业的资产,其安全性需要采取相应措施加以保障,核电企业在建设云平台过程中,注重安全管理。安全管理是为了建设可靠的安全保障体系,实现应用服务及数据调用的安全认证和安全审计,主动的异常数据操作行为的监控分析、预警机制,并提供异常问题的倒查追溯能力。为了更好的保证业务之间的隔离性和安全性,核电厂从三个方面建立信息安全体系:(1)访问安全。访问安全基于身份认证和权限认证来完成。身份认证是建立统一的用户信息库,为系统提供身份认证服务,只有合法用户才能对信息化系统进行访问;权限认证主要是根据用户身份对其进行权限判断,以权限认证与统一认证相结合,为信息化系统提供方便、简单的、可靠的授权服务,从而对用户进行整体的、有效的访问控制,保护系统资源不被非法或越权访问,防止信息泄漏。(2)数据安全。数据安全是对及内部信息系统进行严格的安全防护,对计算机、数据、敏感业务系统采用认证、加密等技术手段进行控制。数据安全主要包括:数据完整性,数据保密性,备份和恢复。数据完整性:通过循环冗余校验(CRC)以及消息认证码(带密钥的Hash函数)来保证完整性。数据保密性:通过传输协议加密以及数据加密来保证保密性。备份和恢复:对重要信息进行备份,并对备份介质定期进行可用性测试。(3)操作安全。操作安全是为了防止误操作带来的风险,如删除关键数据造成系统无法正常运行。操作安全可以通过事前预防和事后补救这两方面来保证。事前预防是通过对关键操作进行多人复核,降低单人误操作机率;事后补救是通过操作日志来回滚误操作。结合云计算平台建设现状和企业实际,核电厂从云平台基础安全、云平台攻防安全、云平台运维安全等方面建设信息安全体系,构筑全方位的信息安全防护屏障。
4.1云平台基础安全
(1)网络安全。云计算平台网络分为两部分:管理平面和业务平面网络。管理平面网络主要用来管理云计算主机,业务网络主要负责传递业务系统相关数据,两者传输数据不同,访问授权也不一致,需将管理平面和业务平面网络隔离。此外,需关闭未使用的网络端口防止非法接入,回收服务器默认路由防止主动外联。(2)宿主机安全。首先要保证操作系统安全,减少系统漏洞。由于云计算操作系统大部分是基于开源平台开发,存在漏洞较多。因此进行系统定制化开发时候需将操作系统内核和组件精简,减少非必要的功能,修复相关漏洞,对主机做符合业界安全规范的配置加固,内核防提权模块加固等。(3)多租户资源隔离。云计算平台的典型场景是多租户共享,但和传统IT架构相比,原来的可信边界彻底被打破了,威胁可能直接来自于相邻租户。租户通过Hypervisor(虚拟机监视器)共享同一个物理操作系统的计算资源,在一张共享的二层网络上实现网络的区隔。攻击者一旦通过某0day漏洞实现虚拟逃逸到宿主机,攻击者就可以读取这台宿主机上所有虚拟机的内存,从而可以控制这台宿主机上的所有虚拟机。同时更致命的是,整个云平台节点间通讯的API默认都是可信的,因此可以从这台宿主机与集群消息队列交互,进而集群消息队列会被攻击者控制,最终一举攻破整个云主机集群。云服务器租户隔离从以下几个方面设计:基于VT-x技术隔离CPU;硬件辅助EPT技术隔离内存;分离设备驱动I/O模型隔离存储;交换型Vswitch,不同VM的数据包被转发到对应的虚拟端口;VM的IP、Mac地址绑定防地址欺骗及网络嗅探;物理内存、物理存储重分配前清零;用户数据打标签隔离存储。(4)数据存储安全。数据是信息系统最核心要素,数据的可靠性和安全性在信息安全中地位尤为突出,云计算平台采取了分布式存储技术,将数据分散在多个磁盘中。同一数据分别备份三份存储于磁盘中,任意部分丢失均立刻进行恢复,可靠性达99.9999%,较好保障数据安全性;为应对物理拷贝,将数据打散后即使单独拷贝磁盘出去,无系统进行数据提取、整合,无法恢复数据。
4.2云平台攻防安全
互联网攻防体系包括DDOS攻击防御、入侵防御、弱点分析和态势感知四个方面,整体架构如下:(1)DDOS攻击防御。DDOS(分布式拒绝服务),是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。DDOS攻击本质上是一种只能缓解而不能完全防御的攻击,它不像漏洞那样打个补丁解决了就是解决了,DDOS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDOS能力,而实际上他们只针对小流量下,应用层的攻击比较有效,对于稍大流量的DDOS攻击则无济于事。结合云计算平台特点,DDoS攻击防御使用DDoS清洗系统,通过封堵大流量DDoS攻击,保障云平台可用;通过拦截应用层DDoS/CC攻击,保障业务可用。DDoS清洗系统可1秒完成检测->牵引->清洗->回注流程,全自动响应,无人值守,提高效率,降低成本;与全球信息安全防护厂商共享数据,提供最大450+Gbps防御能力,可抵御海量攻击;采用了精准的攻击检测技术,网络抖动小。本系统配置专用大数据平台,采用基于大数据分析技术可快速分析恶意IP库、恶意行为库。(2)入侵防御。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。传统的入侵防御系统多集中在应对4~7层的应用攻击,在应对DDoS洪水型攻击时却显得捉襟见肘,而基于云计算的入侵防御系统不但要集成的原有入侵防御产品多层的防攻击功能,更需具有专业抗DDoS攻击功能,可清洗2~4层的洪水型攻击流量,能够从而实现系统全方位的入侵防护。云计算入侵防御系统需要具备功能包括:实时网络入侵拦截,封堵恶意行为;自动木马后门检测,保护主机安全;弱点分析,可以快速分析出系统存在漏洞、弱点及时发现弱点,自动修复漏洞;具备实时扫描功能,风险随时可知。(3)网络态势感知。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。基于云计算的态势感知服务可以让企业决策者发现眼睛看不见的风险。态势感知的第一个特点是以海量数据、超强的计算为依托,让黑客攻击显影。第二个特点就是让风险可视化。有了它,没有安全技术基础的人也能看见风险的过去、现在和将来。基于云计算的态势感知系统需具备功能包括:安全数据大屏实时展示;集中安全策略管理;多维度日志关联分析;时间+空间,安全风险全局态势感知。(4)数据库审计。数据库是企业最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。面对日趋复杂的安全风险,必须部署数据库审计系统。数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。基于云计算的数据库审计系统是在数据库虚机上安装数据库审计业务端程序,该程序会对该虚机上的数据库业务进行审计。另外在中控区部署统一的数据库审计管理端程序,对所有业务端程序提供集中管控。
4.3云平台安全运维
随着云计算平台的建设推进,各应用系统也进行了基于云”的设计改造,因此必须建立一套完整的基于云计算的安全运维体系,保证各类紧急事件能够及时处理。基于云计算的安全运维体系应包括以下两个方面。(1)带外管理分离与运营平台。云平台的运维管理应与业务网络分离,同时建立运维平台和运营平台。运维平台主要供IT管理员进行云平台的运维,运营平台提供运营相关服务,包括计费、考核、流程审批等。(2)运维管理审计。InforCube运维管理审计系统涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的事前预防、事中控制、事后审计”,在简化运维操作的同时,全面解决云计算复杂环境下的运维安全问题,提升企业IT运维管理水平。
5结束语
云计算平台的信息安全体系建设,除了要依据上级单位的要求,参照ISO27001和信息系统安全等级保护体系开展企业信息安全建设,更重要的是要根据云平台架构特点,有针对性进行方案设计,采取更先进的技术进行安全加固。新技术的发展日新月异,相应的安全威胁手段也在改进,如仅仅按照国标和行业的标准进行安全防范,无法防范新出现的威胁。因此针对云平台的信息安全体系建设日趋紧迫。此外,在做好信息安全的技术防御之时,提高管理、加强对安全体系的审查改进是重要的落地手段。通过安全体系的设计,落实改进措施,定期实施加固,将安全体系落实到实处,才可以保障企业的信息安全。
作者:张荣斌单位:中核核电运行管理有限公司
参考文献:
[1]梅生伟,王莹莹,陈来军等.从复杂网络视角评述智能电网信息安全研究现状及若干展望[J].高电压技术,2011,37(3):672-679.
[2]李文武,游文霞,王先培等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]谢迎军.信息及信息安全思辨[C].//中国电机工程学会电力通信专业委员会第九届学术会议论文集.2013:822-826.
[4]工业和信息化部信息安全协调司司长赵泽良:积极应对风险挑战维护国家信息安全[J].信息安全与通信保密,2012,(3):2-2.
[5]杜保东,杨庆明,李冰等.企业云计算信息安全方案研究[J].信息系统工程,2014,(5):67-68.
[6]汪兆成.基于云计算模式的信息安全风险评估研究[J].信息网络安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]杨成.解析现阶段云计算的应用与信息安全[J].科技展望,2015,(20):1-2.
[8]中华人民共和国国家标准GB/T22239-2008《信息系统安全等级保护基本要求》
1.1加强服务器的维护
服务器维护是计算机网络硬件维护的重点。在服务器维护的过程中,应尽量由专业素质过硬的人进行维护,避免不当维护对服务器造成伤害,继而影响整个网络正常运行。加强对网卡冗余技术的应用,调整服务器的荷载,维护荷载平衡稳定。当需要向一些不经常联系的地址发送信息时,可暂时关闭网关,减轻计算机负荷,保证网络的安全运行。
1.2建立云主机
尽快打造快速建站安全云主机,集成云锁服务器安全软件,打破传统服务器思维,实行按秒计费、云节点模式让用户在使用和消费上更满意更合理。集一键自动安装PHP、MYSQL、PAPMYADMIN、ASP上传组件等WEB服务器环境,快速建站、数据库管理、站点信息监控、硬件温度检测、WebShell实时查杀为一体的全能服务器建站助手软件。云锁是集合服务器安全管理与监控为一体的免费安全软件,业界首创C/S架构,通过PC端即实现可对服务器端的远程安全管理与监控。采用内核级安全防护技术与Web访问控制技术,能有效防御病毒、木马、Webshell、后门等恶意代码和CC攻击、Sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为,有效保护服务器和网站安全。
1.3构建网站云
定位于网站云,开发出快速建站、CDN云节点中心、负载均衡、弹性配置、二层隔离、私有网络等特有功能,网站云主机有多个云节点中心,保证用户网站各地访问均能快速打开,除了在网站速度上做到极致,还在网站和云主机安全性上做了多层防护。首先,网站云主机具有二层隔离和私有网络功能,可以杜绝内网入侵和外部扫描。其次,网站云主机集成了网站宝建站助手,可以快速搭建web运行环境、快速创建站点和数据库,实现一分钟建站。在网站安全方面,云锁的结合无意是天作之合,就算网站有漏洞在云锁的防御中也很难实现入侵,网站运行快、网站不被黑。
1.4加强安全管理和服务
技术性问题,通过管理无法解决;管理性问题,技术无法弥补,信息安全维护也是如此。除加强硬件设备的维护和系统软件的优化外,还应加强安全管理和服务,确保安全问题的及时发现及时解决。在安全管理方面,应从安全管理机构的优化、系统建设管理的开发、安全管理制度的完善、系统运维体系的建设出发,尽可能减少非技术问题引发的安全威胁。在安全服务方面,网络应在显目位置展示一些基本的网络安全知识,并在网站的设计中广泛咨询客户的意见和检疫,建立信息安全评估部门,定期对运维人员进行安全培训,加强安全巡检,使安全加固常态化,
2结语
关键词:安全生产管理;信息化;云平台;大数据
安全生产管理永远是一个企业能否正常运行的关键所在,而随着我国经济的发展、社会的进步,企业不断在加强的其安全生产管理的力度,不断在探讨解决安全问题的有效措施,不断转变管理理念,将云平台、大数据等信息化的要素加入其中。通过创新管理模式,将安全生产管理过程存在的信息盲区、平台功能性低等问题得到了有效的改善,为企业的安全生产保驾护航。
一、安全生产管理信息化的需求
安全生产管理是一个企业能否健康发展的命脉,而大数据、信息化管理是构建现代企业管理的基础,两者的结合则是现代企业发展的大趋势。2017年1月12日,国务院办公厅的《安全生产“十三五”规划》中提出“推进信息技术与安全生产的深度融合,统一安全生产信息化标准,依托国家电子政务网络平台,完善安全生产信息基础设施和网络系统。全面推进安全监管监察部门安全生产大数据等信息技术应用,构建国家、省、市、县四级重大危险源管理体系,实现跨部门、跨地区数据资源共享共用,提升重大危险源监测、隐患排查、风险管控、应急处置等预警监控能力……”。借助信息化手段,可以很好的固化业务流程、制度规范、考核标准,使岗位责任、流程、制度执行到位,实现企业安全管理的标准化、流程化、协同化,杜绝人情干扰,提高工作效率。通过数据分析等技术手段,为流程改进、决策分析提供准确、详实、可追溯的数据支撑,从而很好的将安全生产管理“精、准、细、严”的理念精髓贯彻下去。
二、安全生产管理信息化的现状
据调查,大部分企业信息化建设工作早已实现了由简单数据处理向管理信息系统应用的转变,如建立了办公系统、财务系统、合同管理系统、资产管理系统、科技管理系统、人力资源管理系统等,在各个企业得以推广应用,但仍存在以下问题:1.信息化普及程度低部分企业仍未建立安全生产管理信息系统,即使建立了安全生产管理信息系统的企业,其信息化水平也仍然较低,大量信息依旧停留在繁重人工统计分析工作中,大大降低了管理效率。2.信息化平台功能性低部分企业采取了边开发、边改进的系统建设模式,造成了功能模块不齐全,这直接导致这些企业中,绝大多数的安全生产管理信息系统建成后,无法满足日常安全生产管理需要。3.信息化平台精细度低有的企业在开发其业务板块的时间先后,各业务以信息孤岛的形式存在,业务信息精细化程度不高,无法及时准确的为企业战略决策提供精准数据支撑。
三、信息化云平台在安全生产管理中的应用
通过上述对安全生产管理的需求及现状分析,结合目前国内外信息技术的发展,同时相应2015年国家提出的“互联网+”行动计划,企业的安全生产管理不仅需要建立,还需要与企业其他业务板块进行整合,甚至与政府或者行业的信息化系统进行接口。要解决这些问题,可以通过云计算技术来整合分散的计算、存储、数据和业务资源,从而解决各部门业务系统分散、基础设施利用率低、重复建设严重、应用部署灵活性不高、运维困难等问题,进一步降低行政成本。基于上述企业安全生产管理信息化云承载平台架构图可以了解到,整个系统构架将目前企业安全生产管理中日常涉及的安全生产文件、工作动态、隐患排查、事故快报、信息台账、档案管理、ES系统、安全管理等基础信息设置于业务应用系统中。在进行云承载平台搭建时,通过将底层资源进行池化,实现资源的灵活调度及按需取用,通过安全建设,实现云内部的安全防护,从而更好承载安全生产精细化管理信息化业务。2.系统构架设计在企业云资源池的建立过程中,需要分别建立云计算中心、安全出口区、安全资源区、云平台管理区、网络互联区、应用资源区、存储资源区、数据库资源区,具体的功能划分以及区块之间的联系详见下图。3.云管理平台构架通过云管理平台可以实现对所有资源的统一管理,包括网络资源、内部用户和业务的融合管理,提供基本的网络资源管理、拓扑管理、故障管理、性能管理、内部用户管理及系统安全管理,同时,也可以实现对全网资源相关管理人员在云平台的相关活动日志的记录,并对其进行审计,最后以报表形式进行输出,简化数据中心的运维管理工作,也可通过大屏直观的展示出来。
四、总结
安全生产管理只是企业信息化管理的一部分,从一朵“小云”融汇成一朵“大云”还有很多工作要做。下阶段通过进一步完善“企业云平台”的构建,实现企业内部各项工作开展的协同化、信息共享的标准化、决策分析的智能化。以标准的系统构架,为各级领导提供统一的决策支持平台,为各级生产管理人员提供统一的业务管理平台,为各级技术人员提供一个与生产相适应的协同工作平台,以确保工作效率的提升,有更多精力专注于自身业务能力的提升,全面提升企业的整体战斗力。
作者:孔令单位:中国中铁二院工程集团有限责任公司安监部
参考文献:
通过深入考察和调研灌云县农产品质量安全体系的建设,总结了农产品质量安全体系建设取得的成效与具体做法,分析了灌云县农产品质量安全监管体系建设存在的若干问题,并提出了进一步加强灌云县农产品质量安全监管体系建设的具体对策和建议。
关键词:
农产品;质量安全;体系建设;灌云县
确保农产品质量安全是全面提升现代农业发展层次的基本要求,是保障现代农业产业发展安全和消费安全一项基础性工作,加强农产品质量安全监管体系建设是保障农产品质量安全关键所在。近年来,灌云县持续深化农产品质量安全体系建设,不断强化农产品质量安全监管力度,加强农业投入品源头治理,灌云县农业标准化生产水平不断提高,农产品质量检测水平、监测能力不断增强,农产品品牌建设卓有成效,农产品质量安全状况不断改善,对灌云县农业农村经济和谐快速发展起到了有力地促进作用,农产品质量安全年度考核连续3a获得省农产品质量建设2等奖、1等奖、1等奖。在成绩面前也要看到灌云县农产品质量安全体系建设中还存在一定不足,为了使灌云县农产品质量安全监管工作做得更为扎实有效,深入到灌云县农产品质量安全监管部门、生产基地、超市、农贸市场、农产品生产企业、农产品经济专业合作组织等进行了全面考察和调研。现将灌云县农产品质量安全调研报告汇报如下:
1基本情况
1.1县级监管检测体系逐步健全灌云县农产品质量监督检测中心(以下简称中心)是灌云县对农产品进行质量监控与管理的主要机构。中心于2003年4月获得灌云县编委批准并挂牌成立,2007年10月取得法人资质并独立运行,2009年10月通过江苏省计量认证,2013年度通过江苏省复查换证。中心下设农产品质量安全实验室,实验室面积220m2,有大小仪器123台套,中心批复编制6人,在职4人,2010年被农业部列为全国1200个质监站建设项目之一。中心主要工作职责:负责农产品质量安全监管及专项整治工作方案制定与组织协调;负责拟订灌云县农产品质量安全发展规划和配套制度制定并组织实施;负责指导灌云县农产品质量安全标准体系、检测体系和产品品牌认证体系建设;组织开展农产品质量安全检测监管和信息通报;负责灌云县食用农产品的“三品一标”基地建设、认定和认证的指导服务工作。承担部、省、市农业行政主管部门下达的农产品质量安全监测抽样和检验检测任务,承担灌云县农产品质量安全检验检测工作,参与相应质量安全事故的调查和技术处理。中心以提高全县农产品质量安全水平为工作核心,以提高农产品质量安全监测水平、监管能力建设为己任,积极构建农产品质量安全的长效监管机制,逐步完善农产品质量安全保障体系,提升农产品品牌建设和品牌市场竞争能力。中心对农产品生产企业从产地环境、生产记录、投入品档案、包装标识、基地准出、例行监测、信息等制度入手,加强引导和监管,并不断建立和完善相关规章制度,积极探索符合灌云县实际的农产品质量安全监管模式。
1.2乡镇监管检测体系基本建立已在12个涉农乡镇挂牌成立乡镇农产品质量监管站,配备了部分办公设备,各乡镇农业技术推广服务中心主任兼任农产品质量安全监管站站长,农技推广服务人员2名兼任农产品质量安全监管员,并拟在每村设立1名农产品质量安全协管员,各乡镇监管站大多数都设立了农产品快速检测室,并配备了部分检测仪器,制定监管、检测等规章制度。
1.3农产品流通体系建设步伐加快农产品流通效率、质量管理、安全消费是呈正相关比率。在灌云县“政府推动、社会参与、城乡联动、多元投资”的农产品市场体系的建设格局下,以伊山镇淮连农副产品批发市场、向阳农贸市场为中心,以连锁、配送、专卖等现代流通方式为先导,以各乡镇田间批发点、集贸市场和零售经营门店为基础,布局合理、结构优化、功能齐全、竞争有序的农产品流通体系正在稳步形成。经过调研,目前灌云县有蔬菜生产基地批发点11个,蔬菜批发市场2个,经营农产品销售的大型超市3个。随着灌云县高效农业的快速发展,设施栽培面积不断扩大,在县农委和农民专业合作经济组织的协助下,逐渐形成了一批有严格准出制度的乡镇蔬菜基地批发点。这些蔬菜基地批发点在农委大力协助和农民专业合作经济组织的有效运作下,采取经纪人和客商直接交易等多种方式开展销售活动,各种农产品除销往本省外,还销往上海、浙江、安徽、山东等多个省市。
1.4标准化生产水平不断提升为了提高农产品标准化生产技术水平,灌云县投入了大量的人力物力抓标准化示范推广。以现代农业产业园区为先导,以兴云生态农业有限公司、陡沟芦蒿基地、伊山镇王圩西瓜核心示范区为对象,推行农业标准化普及,大抓标准化生产示范。新建基地必须有标准。新建基地一律对生产的产品要按一品一标生产,符合标准的准许建设并向上级部门申报无公害农产品生产基地。做到产前有认证、产中有标准、上市可追溯的全程质量控制,同时农委还印发了农产品生产明白纸、生产操作卡、农产品生产作业标准简图、以及国家禁限用农药告知书等,规范了企业生产操作规程,建立健全企业生产台帐,检测记录,销售档案等,到目前为止,灌云县共有45家农产品生产企业建立企业生产标准,和不同产品的生产操作规程,对农户实行统一生产技术标准,统一生产技术规程,签订产品质量责任书、不使用禁限用农药承诺书等,强化农户自律,统一品牌、统一包装、统一产地准出证明、统一销售。一系列措施的实行为农业标准化生产在灌云县实施奠定坚实基础。
2取得的成效
2.1农产品质量安全意识不断提高近年来灌云县农业委员会根据上级部门要求全面提升农产品质量安全水平,大力发展无公害农产品、绿色食品、有机食品和国家地理标志产品,及时成立县农产品质量安全领导小组及办公室,建立农委领导任组长、分管领导任副组长,各相关职能部门负责人为成员的农产品质量安全监管机制,形成了上下联动,层层抓落实的工作格局。通过电视、网络、报纸、标语、横幅及各类讲座、培训等形式,积极宣传落实农产品质量安全相关法律法规、优质农产品生产技术规程等。通过多种形式的大力宣传,有效提高了农户和消费者的农产品质量安全意识、生产技术水平,形成了政府各部门高度重视、认可农产品质量安全工作,社会关心、支持农产品质量安全工作的良好氛围。由于工作扎实有效,灌云县连续3a获得省农产品质量安全建设大奖。
2.2农产品质量安全水平保持高位农产品质量安全检测合格率是体现一个地方农产品质量安全好坏的具体指标。灌云县农委在认真落实农产品质量安全监管日常工作的同时,积极开展农产品质量安全各项专项整治活动,依法加强农产品质量安全源头监管监测,严厉打击农产品生产环节当中使用各类国家禁限用农药行为。灌云县全年共完成农业部监测抽检60个,合格60个,合格率100%,江苏省例行监测抽样180个,合格180个,合格率100%,连云港市例行监测抽样240个,合格240个,合格率100%,蔬菜速测抽样10437批次,抽检合格率达98.92%,定量抽样18个,合格率100%,全年灌云县无一例监测抽检部、省、市级预警通报。目标任务考核云港市首位,江苏省并列第一。
2.3农产品质量安全监管切实有效
2.3.1源头治理源头治理是保农产品质量安全关键环节,灌云县连续3a开展春、秋季农资打假专项治理活动,强化农业投入品质量监管,严厉打击非法制作、销售和使用违禁的农、兽药行为,实行高毒农药定点销售等措施,定期开展“放心农资下乡进村”活动。
2.3.2产地环境治理开展了食用农产品产地环境普查工作,摸清了农产品产地重金属分布情况,从产地环境环节提出农产品质量安全建设的相应措施,为灌云县产业规划提供科学依据。
2.3.3生产环节技术指导重点加强农产品生产基地、生产企业及涉农合作经济组织的技术指导与监督检查,规范投入品使用档案、生产记录、产品检测记录、产品销售记录等农业生产台帐,确保生产的每一批次产品都可溯源。
2.3.4基地准出与市场准入制度建设基地生产出来的每批产品有检测、有记录,市场进入的每批产品有产地准出证明和自检合格证明是基地准出与市场准入的核心,农委加强了农产品质量追溯管理体系建设,建立了一系列规章制度,追溯体系制度有农产品质量安全追溯制度,农产品进货查验制度,农产品索证索票制度,农贸市场日常经营管理制度等,一系列制度的执行,有效实现农产品生产,包装,储运和销售全过程的信息跟踪,切实保证了农产品质量安全。
2.4农产品品牌建设稳步推进“三品”品牌建设是农产品质量安全工作重要抓手,是提升效益农业主要途径,2011年灌云县人民政府出台鼓励“三品”发展相关政策(灌政发[2011]33号)文件,文件规定:企业获得认定的无公害农产品、绿色食品、有机食品证书的,分别一次性给予0.2万元、0.5万元、1.0万元的奖励。奖励政策出台为灌云县“三品”发展夯实基础。目前灌云县“三品”品牌共计有373个,基地面积9万hm2,完成申报绿色食品品牌23个,申报认定部级绿色食品示范企业1家,完成申报绿色食品原料企业1家。目前“三品一标”品牌申报认定以及“三品”基地认定面积在全市名列首位。
3存在的问题与不足
纵观灌云县的农产品质量安全建设现状,虽然取得的成绩斐然,但我们也要清醒看到与发达地区相比还有一定不足,与中央、省、市对农产品质量安全工作的要求还有一定差距,仍然存在一些不容忽视和亟待解决的问题。主要表现在:
3.1千家万户的生产方式难以管理虽然灌云县建立了现代农业产业园区,农业标准化生产在稳步推进,但就灌云县而言,一家一户的小农经济农业生产方式仍然占绝大多数。千家万户的小农经济生产方式不便于农业的规模化生产,难以执行标准化生产的农业管理,难以实行严格的农产品质量控制,直接导致监管部门投入精力巨大,也加大了宣传、农业培训管理成本,且经济效益低下,管理效果难以衡量。以典型的农药使用为例,如不进行标准化的农业生产,无法控制农民在生产过程中对高残留及违禁农药的使用,则农产品质量安全就无从谈起。
3.2分段式的管理模式存在漏洞我国的农产品质量安全监管体系,主要由农业、工商等部门联合组成,采用分段管理与联合管理并行的模式。农业部门主要负责规范农产品种植、农业投入品的使用、农民的培训、现代农业产业基地的建设等问题。工商部门主要负责农产品的销售监管任务。其中,农资产品及农药的销售由多个部门统一管理,这样的管理模式看似严密,但是存在各个单位互相协调、相互补位的问题。以对农产品质量影响巨大的农药管理为例,在农药的生产环节,农业部门负责农药的登记,生产部门依照质检部门核发的生产许可证或工信委出具的批准文件组织生产,在经营环节,由工商部门核发营业执照,安检部门核发高危化学品经营许可证,不涉及对普通农药的经营许可。对农药管理的政出多门,导致有些事情大家一起管,有些事情没人管,为农产品质量安全埋下了隐患。
3.3机构建设滞后人员、经费严重不足灌云县农产品质量监督检测中心是灌云县对农产品进行质量监控与管理的主要机构,中心批复编制6人,实有人员4人,人少事多,超负荷工作,与周边县区相比,人员严重不足,监管、检测经费严重不足,中心自成立以来,灌云县财政在13a只给予了3万元监管检测经费,而实际监管检测经费达32万元,不足部分只能从市场寻找,检测场所、仪器设备都已老化难以达到检测要求。乡镇级监管、检测机构全部由农技推广服务人员兼任,监管手段和监管能力有限,而且农技人员的主要职责是农业技术推广,同时还要兼顾乡镇的其它工作,根本就没有精力进行监管、监测工作,有时腾出时间来做监管工作的也是人情账!农产品质量检测专业性技术强,专业技术人员的缺乏导致工作有时无法正常开展。
3.4安全优质农产品生产技术规程和地方标准不健全发达地区用系统、完整的生产技术标准控制当地的农产品质量安全。省级以上相关部门制定大宗农产品的生产技术标准,地方制定当地特色农产品的生产技术标准,但仍有很多农产品生产无相关标准。灌云县在这一方面起步晚,目前制定的农产品地方标准很少。没有地方标准的农产品无法推行标准化生产,也不能反映出标准化建设的成效,与灌云县农产品生产大县和比较丰富的资源特点不相适应。
4对策与建议
4.1健全农产品质量安全监管体系在乡镇农业技术推广服务机构设立独立的农产品质量安全监管专职人员和检测专职人员,在村级设立专职农产品质量安全协管员。明确各级监管和检测人员职责,落实编制人员、办公场所和日常经费,配备相应的检测设备,形成监管、检测长效机制,稳步健全农产品质量安监管体系。
4.2强化农产品质量安全监管深入开展专项整治。推广长效低毒生物农药和统防统治减少农业污染源对环境影响,种植业以蔬菜为重点,开展蔬菜、水果、茶叶等用药专项监督抽查,严厉打击高毒农药违法违规生产、经营和使用行为。加大“瘦肉精”、三聚氰胺等非法添加剂专项整治力度,强化兽药和饲料生产、使用环节监管,强化用药执法检查,完善种、养殖业档案,建立严格的产地检查和准出制度,形成监管工作常态化。
4.3加大财政投入力度将监管、检测设备、产品检测和质量安全技能培训相关经费及村级农产品质量安全协管员工作补助等均列入县财政预算,并根据实际情况保证经费每年呈一定比例的增长。做到经费常态化、制度化管理,确保灌云县农产品质量安全监管、检测工作正常有序开展。
4.4有序推进农业标准化生产不断扩大永久性“菜篮子”工程蔬菜基地、畜禽标准化规模养殖场的建设比例和规模,深入开展农业标准化整体推进示范创建工作,严把“三品一标”认证准入门槛,严格认证程序、认证审核,提升农产品认证工作的规范性和有效性。加大证后监管、证后抽检力度,严格执行退出机制,确保灌云县认证农产品质量。
4.5健全完善农产品质量安全可追溯制度建立健全产品产地准出与市场准入有机结合的农产品质量全程监控制度,实现灌云县农产品“生产有记录、流向可追踪、质量可追溯、责任可界定”的局面。认真落实种植、养殖业生产档案记录和投入品使用管理制度,建立完整的农产品销售市场准入制度。市场准入制度应该由多个部门来联合执行,不仅对于外来的农产品,而且也要针对全部在市场销售的农产品。加快灌云县绿色食品、有机食品的认证步伐,全面推广绿色农业的生产方式。
4.6加大培训力度定期开展各级监测人员的技能培训、技术交流和岗位练兵活动,加强对基层检测人员技术培训和指导,不断提高灌云县基层农产品质量安全检测与监督执法能力和水平。
参考文献
[1]崔野韩,许学宏,陈能等.我国农产品质量安全检验检测体系能力调查与对策研究[J].农产品质量与安全,2005(3):29-32.
[2]余昇,刘隐,刘稀婕.农产品质量安全监管体系队伍建设[J].农村经济与科技,2014(03):105-107.
[3]梁尧,李刚,仇建飞等.土壤重金属污染对农产品质量安全的影响及其防治措施[J].农产品质量与安全,2013(3):9-14.
[4]梅星星,郑先荣.食用农产品质量安全监管制度创新探讨[J].农产品质量与安全,2013(4):20-24.
摘要:
随着云计算蓬勃发展,云安全问题日益突出,云平台安全服务产品应运而生。文章对业界领先云服务提供商的云安全产品体系和发展策略进行了研究,并结合电信运营商特点,提出了电信运营商发展云平台安全服务产品的思路与建议。
关键词:
运营商;云平台;安全产品
1引言
近年来,随着云计算技术和应用的高速发展,国内外互联网巨头和电信运营商纷纷发力,投资建设高标准、大规模的云计算数据中心,作为承载自身业务和系统的重要IT基础设施,并基于多种服务模式,为客户提供可灵活定制、弹性扩容的云计算整体解决方案。根据SynergyResearchGroup年初的数据显示,全球云服务市场年均增长率达到28%[1]。然而在云计算蓬勃发展的背后,云服务宕机、云平台自身安全漏洞频现、针对云服务的网络攻击愈发增多等云安全问题日益突出。当前,用户对于云安全的需求主要集中在云应用安全、虚拟机保护、DDoS攻击防护等方面,需要云服务提供商制定集中化、显性化和标准化的安全策略,并通过针对性的安全服务或产品,构建多维度、多层次的云平台安全防御体系,切实保障客户云端业务的安全顺畅运行。
2业界领先云平台安全产品提供商对标研究
AWS(AmazonWebServices)云安全,将云服务与云安全高度结合,通过多种途径持续提升和整合安全能力,使AWS云安全产品成为AWS云服务的重要组成模块。AWS从应用安全、网络安全防护和事件管理等维度为用户提供Web应用防火墙、应用程序自动化安全评估、云监控、配置托管、云追踪等安全服务,并通过在全球合作伙伴计划中加强与安全解决方案提供商的合作,构建安全的云平台。Amazon还采用产品融合、共享客户资源形式吸纳合作方,同时引入数据库、网络、应用层面的安全厂商,形成对云安全功能的全面覆盖。在产品发展策略上,AWS保持云服务领域价格优势的同时加大安全管理投入,建立安全与服务的良性循环,持续整合产业链各环节的资源和能力,不断壮大云安全生态圈,完善云安全产品体系。阿里云安全,经历了云服务安全、云安全产品、云安全解决方案三个发展阶段,凭借强大的研发优势自主开发云盾系列安全产品,为客户提供层次化的立体安全服务。阿里云安全产品体系包括服务器安全、Web应用防火墙、DDoS高防IP、移动安全、数据风控、阿里绿网、加密服务、安全管家等产品,涵盖主机和网络安全、移动安全、数据安全、业务安全、内容安全以及安全技术和咨询服务等多个领域。阿里云基于大数据安全分析技术推出的态势感知产品,具备安全监控、入侵检测、弱点分析、威胁分析等功能,能够辅助客户建设自己的安全监控和防御体系。阿里云在推动自身产品创新和发展的同时,还广泛与国内外专业安全厂商合作,开放资源,共建云安全生态。作为北美电信巨头,Verizon较早将战略聚焦在云安全能力提升上,通过一系列收购、合作形成云安全产品的全球服务能力。Verizon企业级安全产品品类丰富,包括DDoS攻击防护、网络威胁监测/网络威胁高级分析、可管理安全服务(MSS)、统一安全服务、威胁与漏洞管理等,能够为企业用户提供综合的网络和信息安全服务。Verizon认为安全的云平台具备三个特征:强大的逻辑和物理安全控制手段,稳健的治理、风险和合规性策略以及丰富的增值安全服务。Verizon的可管理安全服务能够主动识别漏洞并优先处理云端威胁,改善IT安全策略和流程进而提升云计算安全,实现风险管理。在Gartner的2015年全球MSS市场魔力象限分析报告中,Verizon再次评选列入领导者象限。IBM云安全,通过其设计灵活的DynamicCloudSecurity产品组合为用户云计算中的工作负载提供分层防护[2]。IBM从访问管理、数据保护、可视化和优化安全运营等维度为用户提供云身份管理、云访问权限管理、云应用安全、云网络安全、终端管理、云安全情报、云安全管理服务等云安全产品。IBM具备的专业服务与整合能力以及可扩展的开发者关系优势,在混合云模型中尤为突显,在产品发展策略上,IBM充分利用其混合云优势,同时整合其他云平台推出关键,逐步形成自身完善的云安全产品体系。综上所述,国内外领先云服务提供商纷纷推出云平台安全产品以强化自身在云计算市场上的竞争优势。他们或采用合作共赢的策略建设云安全生态圈;或整合多层级的云平台安全防护产品,形成一体化的安全服务体系,其发展思路和产品策略可以为电信运营商所借鉴。
3电信运营商发展云平台安全产品的思路和策略
经过近年来的技术积累和大规模投资建设,电信运营商不同服务类型的云平台在规模商用阶段取得长足发展,并进一步凭借资源优势、网络优势、云网协同解决方案等持续拓展云计算市场。另一方面,电信运营商在网络和信息安全防护方面有着丰富的经验,面向企业和公众客户逐步推出涵盖应用、网络、终端等领域的云安全产品和服务,如云Web应用防护、DDoS攻击防护、移动终端防护、安全专家服务等。不过当前电信运营商的云平台安全产品体系普遍存在产品品类不足,核心功能有待完善,尚未实现内外部资源整合,难以满足广大云平台用户对安全服务的迫切需求等问题,同时欠缺整体的云安全产品规划和研发过程管控,互联网化运营资源和经验不足,客户需求响应速度有待提升。在上述背景下,电信运营商若要在激烈的市场竞争中占据主动地位,需要依托自身强大的网络资源、运营经验和渠道优势,联合业界领先的安全产品和服务提供商,深入挖掘云平台客户痛点,分步骤有序地发展重点产品,逐步构建并完善云安全产品体系,对外提供多维度、层次化的云安全服务能力,以持续性创新应用满足多样化的市场需求。云平台安全产品的目标体系可分层搭建,其中电信营商一体化的业务支撑体系、基于客户的云安全产品商业模式和云平台基础设施资源构成了整个目标产品体系的基石,也是对内部资源和商务体系中所有参与者整合所建立起的价值活动平台,将电信运营商与客户和产业链其他角色连接起来,实现高效的价值创造、交换和分配。目标体系的底层由可快速部署、灵活易用的安全服务单产品组成,此类产品技术成熟度较高,具备功能单一、可单独计费销售的特点。综合考虑目前产品成熟度和市场规模,结合业界标杆企业对比分析,以及客户的接受程度、业务吸引力等,在现有的云WAF、DDoS攻击防护等基础产品上,积极引入具备高级威胁防御、威胁预警能力的云安全Web网关,以及Hypervisor安全保护、vFW、云IDS/IPS等虚拟化级云安全产品,主要客户包括Web服务的受众、云托管网站、各类企业用户等。目标体系的中间层以安全信息和事件管理(SIEM)为核心,运营商可以采取与业界领先的服务提供商合作,构建面向云服务的SIEM平台,提供云中监测、云中审计、违规分析等功能,并为客户提供灵活多样的报表服务,进一步可根据不同应用场景及客户需求,与其他基础安全产品整合或根据行业特殊性形成安全服务包,面向具有较高信息安全要求的行业客户如金融、政府机构等。目标体系的顶层主要提供高端增值业务,如渗透测试、风险评估、安全调度以及完整、系统的客户解决方案。电信运营商可以采取自研自建与外购安全产品结合的方式完善云平台安全产品体系。基于运营商大网能力自行开发与云服务深度融合的核心安全产品,同时通过采购专业安全企业的成熟产品来扩展云安全产品业务线,增强相关竞争实力,建立并依赖合作伙伴生态圈,整合多样化的合作供应商和安全产品供用户选择,满足客户端到端的云平台安全需求。
4结语
随着移动互联网、物联网、云计算、大数据等新技术成为信息化新一轮发展的重要驱动力,迫切需要面向网络空间安全的监测预警和应急响应服务平台,实现网络安全态势感知、监测预警、应急处置和灾难恢复的一体化运作。
2云应急服务
2.1高性能云计算技术
云计算技术应用环境下,用户可以利用云端大型服务器的资源优势进行数据计算,通过对存储资源、计算资源的虚拟化处理和统一整合,云端服务商可以实现对硬件资源的按需分配,用户以较低廉的成本使用云端服务器、存储设备和各类应用程序;通过对信息资源进行统一标准化。
利用云安全应急服务平台,可防止诸如XSS、SQL注入、木马、漏洞攻击、僵尸网络等各种安全问题,同时,采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度、降低故障率,为用户提供服务式的信息安全。
2.2云应急服务
信息安全应急管理是以云应急服务平台为技术支撑,系统采用先进的云计算分布式计算技术,将信息安全应急以在线服务方式提供给用户,用户的安全防护和应急处理的压力转移到云端。云应急服务平台可实现统一调配应急资源来实现应急响应、协同,直接面对攻击时可采取应急措施,将流量智能的分发到其它安全服务节点,避免传统安全中单台设备瓶颈或宕机导致服务不可用情况,安全应急服务因云计算而强大。
云安全应急服务是将用户的DNS切换到云平台,通过智能解析将用户流量引导至最近的云端节点,云端节点承载用户请求并过滤流量,为用户提供监控预警功能。云安全应急服务平台以分布式计算为基础云架构,采用多线智能解析调度,将单点Web资源动态负载至云端节点,高性能的云端节点可以承载高并发的用户请求,进行流量监控和分析。云安全应急平台网络架构分为中心和边缘两部分,中心是平台中的智能DNS系统和应急响应系统,主要负责发生信息安全事件的应急处置;边缘是分布在各地的节点,是信息内容的分发载体,由安全保护、Web优化、Cache和负载均衡器组成,主要实现监控预警功能,保障用户的正常应用。
3系统总体架构
云应急系统可以部署在公有或私有云上,为广大电子政务或中小企业用户服务,通过云平台为用户提供日常的监测预警功能,并通过应急响应机制及时地确定与评估突发事件,有效、快速地对事态进行控制,保持事件发生后能够可靠地恢复,确保关键信息服务在面临各种威胁与攻击时仍然维持良好的运转。云应急服务平台采用主流的三层系统架构,如图1所示,分为为云应急技术支撑层、云应急服务层和应急业务层。
(1)技术支撑层。主要是指基础设施,包括支持系统运行所需的基本硬件、基础软件平台和网络设施。硬件主要包括各种服务器(数据服务器、应用服务器和Web服务器)以及相关的存储备份设备、防火墙及入侵检测设备。基础软件包括各种操作系统、数据库平台、中间件和其他系统平台。
(2)应用服务层。应用支撑平台是构筑在基础软件和数据资源之上,为应用系统提供支撑环境,实现应用系统共有的、与具体业务无关的功能,主要包括通讯服务、安全认证、日志管理、数据备份等。数据资源主要用来存储和管理平台涉及到的所有数据,内部封装了应急管理活动及其数据、知识、物资、人员等资源,可对服务进行高性能检索和调度,实现应急业务信息(如应急预案库、案例库、物资库、队伍库、专家库、模型库、病毒库等)的全面整合,它不仅包括各类数据在数据库中的存储内容、组织方式和存储机制,还指明了数据的管理模式和入库更新机制。
(3)业务层。应急平台功能模块划分监测预警、日常安全管理和应急响应三大模块,实现具体的业务应用。监测预警业务包括对云端用户的漏洞检测、入侵检测和智能分析;日常安全管理主要业务包括应急值守、预案管理、风险评估和应急资源;应急响应包括安全事件处置、事故恢复、事件统计分析和信息。
4主要功能实现
信息安全应急系统设计的核心思想是在日常管理、监控预警、应急响应基本工作上,强化统一业务工作流的概念,云应急系统软件架构采用面向服务SOA的架构来实现,应用层采用组件技术MVC进行构建,具有很强的灵活性和兼容性,能很好地符合云应急模式的特征。
4.1监控预警
主要对接入云端的网站或重要信息系统进行安全评估、脆弱性发现,对潜在风险进行分析并及时发出预警报告,包括渗透性测试、漏洞扫描、流量分析。
云应急服务平台可对监控对象进行安全评估,渗透测试是通过模拟黑客的攻击手段,来评估计算机网络系统安全和应用安全。这个过程包括对系统漏洞、应用漏洞、配置弱点和技术缺陷进行主动分析,完全以黑客的角色对测试目标展开全面技术攻击,并且可对预警事件进行实时监控、查询;同时还能根据资产的机密性价值、可用性价值、完整性价值、物理价值和威胁事件实时计算每个资产的风险值;支持漏洞扫描,对网站进行文件上传监测和注入监测;并支持对网络流量进行分析,判断;对整体的安全性进行评估。
4.2应急值守
借助监控预警系统,在云端通过日志采集、流量采集、内容采集、漏洞扫描等多种技术手段获取安全信息,实时监控网络的安全态势,通过数据聚合、智能行为分析、专家团队综合研判信息系统的安全风险和安全事件,可根据事件信息实现事件的分类分级,自动关联事件处置预案和处置流程,并由值班人员对安全事件进行事件信息报送、处置跟踪、事件归档、事件处置管理等。
信息安全事件管理涉及查看所有的事件,包括高风险事件、低风险事件、历史事件和实时事件;按照不同的安全信息来源进行分类,例如可以分为Unix主机、Windows主机、路由器和交换机、防火墙、NIDS等;可查看所有的实时事件,提供过滤功能,只显示符合过滤条件的事件,过滤条件可以自定义,并且依据设定的审计策略对标准化的安全事件进行审计分析。
4.3应急资源管理
信息安全应急资源的管理包括机房、重要设备设施、网络、工具软件、应急设备、应急专家、救援小组、应急知识、历史事件、法律法规等应急资源信息的管理。
通过建立应急资源数据库,包括IT基础设施数据库、关键应用系统数据库、应急预案库、应急专家数据库、通讯录、安全事件信息库、政策法规数据库、应急管理的基础数据。云端用户的应急管理人员,通过登录应急管理门户,利用应急资源,完成信息安全风险分析、业务影响分析、安全事件的预警预报管理。
安全知识库包括安全知识文章、漏洞库、病毒库、补丁库、安全事件案例库等。系统预置了大量的安全知识文章,包括安全知识、安全通告等。
4.4风险管理
信息安全风险管理以资产为核心,结合等级保护中关于资产的价值、脆弱性、威胁,并按照相关标准分析资产风险及风险变化情况,给出降低风险的解决方案。
风险分析参照了国际安全管理标准中的“预定义风险价值矩阵法”。确定目标信息资产的价值、威胁发生的概率、脆弱性被威胁利用的概率,把风险进行量化。主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性。风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱点,并提供解决方案,帮助管理员对脆弱点做出正面积极的响应,预防可能发生的损害。
4.5预案管理
建立各类信息安全事件应急预案并实现应急预案的数字化,在信息安全事件发生时,自动关联相关应急预案,应急人员参照预案完成信息安全事件应急处置。应急预案规制定包括:应急预案规划方案、应急预案程序、应急预案编制清单、恢复计划编制清单、应急预案规划报告、应急预案规划记录等。
数字化预案是将文本内容的预案通过结构化方法转化为可以为应急指挥提供指导意义的预案,按照适用范围、组织体系与职责分工、分类分级、应急资源、处置方法等应急相关信息、及应急流程信息进行分项数字化。
4.6应急响应
应急响应是对监测分析发现的事件,协调各类技术资源,协助事发用户、关联单位和相关机构及时对信息安全威胁、预警及事件进行有效处理。信息安全应急响应与辅助决策系统围绕各类信息安全事件(有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件),以应急预案为核心,实现信息安全事件的处置跟踪、指挥调度和总结评估等功能。辅助决策功能使用户在处理安全事件时能够采用数字化预案,系统会根据事件的信息自动匹配预案,由用户决定是否对事件进行处理及如何处理,形成最终应急处置方案,动态实现安全策略的调整,最终保障网络的安全运行。
5结束语
云计算技术具有强大的数据处理能力,同时可以优化资源配置,节省成本,提高资源利用效率,在云计算环境下信息安全应急系统特别重要,但目前没有一个标准的、规范的模式,特别是对信息数据的定义、来源、梳理、存储和共享都还没有统一认识,这些是以后需要进一步研究的问题。
上一篇:大班防火安全教案模板(精选5篇)
下一篇:企业核心竞争力的关键(6篇)
热门推荐