隨著云計算在金融行業(yè)的不斷深入和推廣，數(shù)據(jù)安全愈發(fā)引人關(guān)注。無論是私有云還是公有云，行業(yè)各方均向云環(huán)境下的數(shù)據(jù)體系建立、數(shù)據(jù)存儲、訪問權(quán)限、虛擬環(huán)境等方面不斷探索并提升云安全系數(shù)。銀聯(lián)云平臺在建設(shè)初期即認識到數(shù)據(jù)安全的重要性與迫切性，為保障數(shù)據(jù)安全，平臺建立了一系列安全中心和安全服務(wù)，為應(yīng)用和租戶提供基礎(chǔ)的安全服務(wù)，保障應(yīng)用數(shù)據(jù)安全性。

　　基礎(chǔ)環(huán)境安全加固

　　云基礎(chǔ)平臺為云中的應(yīng)用運行提供基礎(chǔ)網(wǎng)絡(luò)、虛擬機等資源，在基礎(chǔ)平臺中，若網(wǎng)絡(luò)隔離或虛擬機管理不當，將可能導(dǎo)致數(shù)據(jù)泄露竊密等問題。為避免通信混雜造成相互影響、帶來數(shù)據(jù)安全隱患，加強基礎(chǔ)網(wǎng)絡(luò)安全性勢在必行。在基礎(chǔ)網(wǎng)絡(luò)安全域中，銀聯(lián)云平臺在業(yè)務(wù)區(qū)域內(nèi)部所采用的安全策略，是將網(wǎng)絡(luò)按用途劃分為四套不同類型且物理上相互獨立的網(wǎng)絡(luò)，分別是：業(yè)務(wù)網(wǎng)、管理網(wǎng)、IPMI網(wǎng)和存儲網(wǎng)。

　　針對不同網(wǎng)絡(luò)類型自身及所承載的業(yè)務(wù)特點，平臺采用了不同的安全域劃分策略：其中管理網(wǎng)、IPMI網(wǎng)和存儲網(wǎng)采用以物理機為單位的粗分策略來劃分安全域，而業(yè)務(wù)網(wǎng)則采用以虛擬機為單位的細分策略劃分安全域，滿足了不同的安全級別需求。

　　在虛擬化安全中，平臺對hyper-visor層進行安全加固，實現(xiàn)對虛擬機的安全隔離，并對云資源（物理、虛擬）的性能、日志、網(wǎng)絡(luò)訪問等運行情況進行一體化監(jiān)控。發(fā)現(xiàn)異常及時告警，與云審計系統(tǒng)配合，確保虛擬化環(huán)境的安全狀態(tài)?；趏ssec部署了集中式一致性校驗方案，實現(xiàn)了對虛擬機鏡像、物理機/虛擬機重要文件的一致性校驗，對變動項及時告警。平臺規(guī)劃與實施了基于vTPM架構(gòu)的可信化虛擬環(huán)境解決方案，通過雙向認證確?？尚胚w移源和目的，并對遷移信道進行加密處理，保障虛擬遷移中的數(shù)據(jù)安全。

　　加解密服務(wù)與加密存儲

　　應(yīng)用程序傳輸?shù)臄?shù)據(jù)可能被嗅探，使用處理時可能被不當用戶越權(quán)訪問，存儲的數(shù)據(jù)可能被用戶、管理員有意或無意地越權(quán)訪問。因此有必要在對外傳輸、應(yīng)用內(nèi)部處理、存儲時均進行數(shù)據(jù)加密，使得即使數(shù)據(jù)不當暴露，非法用戶也無法取得數(shù)據(jù)明文，從而保障數(shù)據(jù)的安全性與穩(wěn)定性。

　　在云計算環(huán)境中，無論是數(shù)據(jù)的存儲，加密解密傳輸，密鑰的生成和管理都需要使用大量的加解密操作。如此眾多的加解密需求，對建立安全、高效的密鑰生成管理分發(fā)機制存在著很大的挑戰(zhàn)。銀聯(lián)云計算平臺建立了一個集中式的加解密服務(wù)中心，通過將加解密服務(wù)“云”化，使其能夠為整個云平臺提供靈活的加解密服務(wù)。云環(huán)境中的加解密公共服務(wù)包括統(tǒng)一的加密機池調(diào)用與管理子系統(tǒng)、CA服務(wù)子系統(tǒng)、密鑰管理與分發(fā)子系統(tǒng)等方面。

　　同時平臺還將數(shù)據(jù)加密方式分別落地，為用戶提供可選的透明加密存儲與API加密服務(wù)。租戶與應(yīng)用程序根據(jù)自身情況可以有效地將兩者綜合起來，結(jié)合軟硬件構(gòu)成完整的加密存儲體系，例如應(yīng)用對應(yīng)分配的存儲介質(zhì)中采用透明存儲加密機制，由底層保障數(shù)據(jù)安全性。上層應(yīng)用對于自身極其敏感的數(shù)據(jù)調(diào)用加密服務(wù)API進行加密，通過兩項安全機制的有機結(jié)合，保障云中應(yīng)用數(shù)據(jù)安全性。

　　身份認證與訪問控制

　　訪問控制是在保障授權(quán)用戶能獲取所需資源的同時，拒絕非授權(quán)用戶的安全機制。在認證和授權(quán)后，訪問控制機制將根據(jù)預(yù)先設(shè)定的規(guī)則對用戶訪問的資源進行控制，只有規(guī)則允許的資源才能訪問。為滿足銀聯(lián)云計算多租戶環(huán)境下復(fù)雜的用戶權(quán)限策略管理和海量的訪問認證要求，提高云計算系統(tǒng)身份管理和認證的安全性，平臺建立了包含三個子系統(tǒng)的一套身份認證服務(wù)：Kerberos、Web-SSO以及Oauth。Kerberos的身份認證主要為IaaS及大數(shù)據(jù)服務(wù)提供身份認證方面的服務(wù)，使用者主要是運維人員、租戶、外部機構(gòu)等類型。Web-SSO身份認證主要用于PaaS和SaaS服務(wù)，使用者類型主要是外部機構(gòu)與最終用戶。Oauth也主要用于PaaS和SaaS服務(wù)，使用者主要為最終用戶。

　　在身份認證系統(tǒng)完成搭建后，云平臺中所有的數(shù)據(jù)訪問授權(quán)均需要經(jīng)由身份認證系統(tǒng)鑒權(quán)、授權(quán)。當用戶欲訪問某一塊區(qū)域的數(shù)據(jù)時，首先需通過恰當?shù)姆绞饺〉蒙矸菡J證中心的授權(quán)，持有授權(quán)信息后再申請訪問數(shù)據(jù)，此時云平臺的訪問控制機制將對比資源的訪問控制規(guī)則，確定是否允許，是則放行并記錄正常的訪問日志，否則將拒絕并記錄告警日志。云平臺管理員等可通過特定的管理手段并修改資源訪問規(guī)則實現(xiàn)授權(quán)策略管理等。

　　綜合審計中心

　　以上各方面均是基于事前預(yù)防角度所提出的數(shù)據(jù)保護手段，銀聯(lián)云平臺在上述組件的基礎(chǔ)上建立了一套綜合的審計中心，主要由“日志收集與分析”、“網(wǎng)絡(luò)流量收集與分析”、“綜合審計與管理”、“審計Agent”等子系統(tǒng)組成，提供多層次審計服務(wù)，這是保障云計算平臺安全性、一致性、可追溯性必不可少的系統(tǒng)。

　　審計中心采用網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控、日志記錄采集、性能狀態(tài)獲取、虛擬機流量導(dǎo)出等多種技術(shù)，對網(wǎng)絡(luò)、操作系統(tǒng)、虛擬化層、應(yīng)用等多種對象進行針對性審計以及綜合審計。同時，借助大數(shù)據(jù)技術(shù)對采集的信息進行智能化分析，可發(fā)掘隱蔽的攻擊、不合規(guī)行為，發(fā)現(xiàn)潛在的數(shù)據(jù)安全威脅。該系統(tǒng)能為系統(tǒng)管理員、安全管理員、租戶、第三方審計人員等多種角色提供審計服務(wù)。

　　安全保護效果

　　通過將基礎(chǔ)網(wǎng)絡(luò)、虛擬化、加解密、訪問控制及綜合審計等方面進行落地實踐，平臺建成了整體的數(shù)據(jù)安全保護體系。該系統(tǒng)能夠覆蓋數(shù)據(jù)生命周期中所面臨的主要安全風(fēng)險及威脅，能夠為云中應(yīng)用提供全方位的保護措施，并通過事后審計發(fā)覺日常運營過程中的不合規(guī)現(xiàn)象并及時處理，適應(yīng)了云環(huán)境對信息安全的要求，有力地保障了云平臺整體的安全性。

　　在信息技術(shù)飛速發(fā)展的今天，云計算、大數(shù)據(jù)熱度不減，銀聯(lián)云平臺著實助力數(shù)據(jù)安全的探索進入了嶄新階段。

　　相關(guān)鏈接

　　云計算（cloud computing)，是業(yè)界將要面臨的一個重大改變。云平臺（cloud platforms）的出現(xiàn)是該轉(zhuǎn)變的最重要環(huán)節(jié)之一。顧名思義，這種平臺允許開發(fā)者們或是將寫好的程序放在“云”里運行，或使用“云”里提供的服務(wù)，或二者皆是。至于這種平臺的名稱，例如按需平臺（on-demand platform）、平臺即服務(wù)（platform as a service，PaaS）等。但無論怎么稱呼它，這種新的支持應(yīng)用方式有著巨大的潛力。

　　云計算到目前為止架構(gòu)主要可分為四層，首先顯示層，架構(gòu)這層主要是以友好的方式展現(xiàn)用戶所需內(nèi)容，并利用中間件層提供的多種服務(wù)。比如HTML技術(shù)，標準的Web頁面技術(shù)，現(xiàn)在主要以HTML4為主，但是將要推出的HTML5會在很多方面推動Web頁面的發(fā)展，如視頻和本地存儲等方面。云計算作為一種虛擬化的延伸，影響范圍愈廣。

　　本報記者 劉晶晶

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……