云计算信息安全分析与实践-第6页-北极星电力软件网

投稿

我要投稿

5 某集团私有云平台安全实践

某集团公司已经成功地建立了“大云”云计算平台，为了适应业务发展和技术转型的需要，广东移动分别按照BSS,OSS,MSS线条建立私有云计算平台。出于信息保密方面的考虑，不对云计算平台的具体方案和详细部署细节做过多叙述，仅给出一个具体的实施样例模型以进行安全方案论述。到目前为止，广东移动的私有云平台主要集中在IaaS层面，在进一步巩固IaaS建设的同时，正在着手开展PaaS方面的建设尝试。在云计算安全方面，如前文所述，主要集中在数据安全和应用安全两个层面。这里主要讲述在数据安全方面的实践工作。

5.1数据和资源访问

数据访问的策略即权限控制，主要是通过安全认证和安全网关访问技术来解决。在广东移动的实践中，是通过4A项目的建设来统筹完成的。4A项目实现了单点登录认证、强制用户认证，将应用资源和数据的方案控制在合理的范围内。并采用不同安全域之间的认证或者不同认证方式相结合的方式，通过动态令牌和静态口令、短信认证多种认证手段相结合的方式，对用户身份进行严格审查。特别地，对受限敏感数据进行操作或访问受限敏感网络资源前，对操作者身份进行更为严格的核查，采用按次审核的VPN访间方式，确保安全可靠。另外4A平台在权限方面进行统一合理的分配，数据或资源的访问都通过图形网管或者字符网管进行监视，并对日志和人员操作进行记录和审计，做到了可溯源。4A平台的主要功能概念框架和访问方式的概念模型如图1、图2所示。

因此，在数据和资源访问方面，广东移动将4A平台作为私有云的基础数据和资源访问平台，可以提供安全可靠的保障。

5.2数据传输和隔离

广东移动在私有云平台数据传输和隔离方面主要存在如下问题。

˙不同部门对安全级别的要求不一样，管理流程不一样，需要平衡统一维护和分开管理的矛盾。