【正文】 備資源管理接口，對(duì)云內(nèi)包括網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器、軟件、數(shù)據(jù)庫(kù)等資源進(jìn)行增加、刪除、修改、配置及自動(dòng)化發(fā)現(xiàn)。 池化管理模塊 通過(guò)服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等虛擬化技術(shù)將云內(nèi)資源按照不同的標(biāo)準(zhǔn)組織成不同的資源池 ，可以方便、快捷地在資源池中自動(dòng)化定制上層應(yīng)用所需資源。 池化管理模塊 可以根據(jù)不同的標(biāo)準(zhǔn)來(lái)定義不同的資源池。資源池的定義模式靈活，便利。 用戶管理模塊 建立完善的用戶管理，可以對(duì)用戶是否能夠使用計(jì)算資源 、已經(jīng)使用的計(jì)算資源，以及應(yīng)用項(xiàng)目之間關(guān)系等進(jìn)行管理，同時(shí)用戶管理模塊應(yīng)該和服務(wù)器資源，存儲(chǔ)資源以及網(wǎng)絡(luò)資源進(jìn)行配合。服務(wù)模板是對(duì) IT 資源的標(biāo)準(zhǔn)化和規(guī)范化定義，包括服務(wù)器配置、數(shù)量、存儲(chǔ)大小、網(wǎng)絡(luò)配置、操作系統(tǒng)、應(yīng)用軟件配置等。 ” 通過(guò)服務(wù)模板管理可以按照定義好的模 板，也可更改參數(shù)實(shí)現(xiàn)系統(tǒng)自動(dòng)化部署。 云資源監(jiān)控可分為如下幾個(gè)層次： 整體監(jiān)控：系統(tǒng)管理員可以對(duì)當(dāng)前系統(tǒng)的資源狀況進(jìn)行監(jiān)控，如，對(duì) CPU，內(nèi)存，磁盤存儲(chǔ)，網(wǎng)絡(luò)平均 IO 等指標(biāo)進(jìn)行監(jiān)控 業(yè)務(wù)監(jiān)控：系統(tǒng)首頁(yè)可以展示系統(tǒng)當(dāng)前狀態(tài)，如虛擬機(jī)狀態(tài) Hypervisor 監(jiān)控：系統(tǒng)管理員可以對(duì)當(dāng)前服務(wù)器的資源狀況進(jìn)行監(jiān)控，如，對(duì) CPU，內(nèi)存，磁盤存儲(chǔ)，網(wǎng)絡(luò)平均 IO等指標(biāo)進(jìn)行監(jiān)控 通過(guò)云監(jiān)控系統(tǒng)對(duì)云平臺(tái)的各種資源（如 CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)等）使用狀況進(jìn)行記賬，并可以生成多種格式（ Excel， Pdf， Htm等格式）的監(jiān)控報(bào)表。 云監(jiān)控系統(tǒng)的告警管理模塊可提供實(shí)時(shí)告警查詢，系統(tǒng)還提供歷史告警查詢，系統(tǒng)管理員可以查看告警相關(guān)的監(jiān)控指標(biāo)信息，設(shè)置告警指標(biāo)的閾值、指標(biāo)的告警等級(jí)、該指標(biāo)是否產(chǎn)生告警，可以根據(jù)閾值名稱進(jìn)行查詢。 系統(tǒng)還要實(shí)現(xiàn)對(duì)服務(wù)器系統(tǒng)內(nèi)部網(wǎng)絡(luò)及中心整體網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)；支持各種不同網(wǎng)絡(luò)流量采集協(xié)議， 包括 Netflow、Netstream、 Sflow、 Cflow、 IPFIX 等 各廠家協(xié)議標(biāo)準(zhǔn)；無(wú)論是哪種Flow 格式，都可定義數(shù)據(jù)交互的標(biāo)準(zhǔn)格式，能夠通過(guò)這些格式規(guī)范支持業(yè)內(nèi)幾乎所有的主流網(wǎng)絡(luò)設(shè)備，如 Cisco、 Foundry、 Extreme、Juniper、華為、 H3C 等，保證了對(duì)采集目標(biāo)設(shè)備流量良好的兼容性。流量分析支持對(duì)廣域網(wǎng)核心層、廣域出口、局域網(wǎng)核心層、局域網(wǎng)匯聚層網(wǎng)絡(luò)流量的監(jiān)控與分析，實(shí)現(xiàn)整網(wǎng)流量多點(diǎn)的可視性。 支持監(jiān)控網(wǎng)絡(luò)中異常流量，快速定位網(wǎng)絡(luò)中的問(wèn)題，實(shí)現(xiàn)高效運(yùn)維，為網(wǎng)絡(luò)運(yùn)維人員解決了網(wǎng)絡(luò)慢和不穩(wěn)定的問(wèn)題。運(yùn)維管理系統(tǒng)需支持基于瀏覽器的 GUI 透明化操作，提供遠(yuǎn)程加密安全控制與訪問(wèn)，實(shí)現(xiàn)基于角色的統(tǒng)一認(rèn)證、加密傳輸，審計(jì)及日志等功能。 根據(jù)監(jiān)測(cè)數(shù)據(jù)，通過(guò)分類組合，輸出相應(yīng)的各種報(bào)表與自定義報(bào)表，支持圖形化的顯示方式，方便系統(tǒng)管理員 對(duì)系統(tǒng)運(yùn)行狀態(tài)分析。在不同的系統(tǒng)中，每個(gè)用戶或角色往往有著不同的職責(zé)和權(quán)限，訪問(wèn)規(guī)則和控制策略也因此而極其復(fù)雜。統(tǒng)一權(quán)限管理提供用戶安全認(rèn)證、登陸、審計(jì)日志、用戶操作及管理配置、系統(tǒng)配置、安全認(rèn)證配置等功能，同時(shí)配合服務(wù)器管理終端進(jìn)行用戶權(quán)限配置，并對(duì)服務(wù)器及網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程操作和管理。 云安全 平臺(tái) 云安全與傳統(tǒng)安全第一大差異是防護(hù)理念上的差異，在傳統(tǒng)安全防護(hù)中，很重要的一個(gè)原則 就是基于邊界的安全隔離和訪問(wèn)控制，并且強(qiáng)調(diào)針對(duì)不同的安全區(qū)域 有差異化的安全防護(hù)策略，在很大程度上依賴各區(qū)域之間明顯清晰的區(qū)域邊界 。 云安全與傳統(tǒng)安全第二大差異是防護(hù)體系上的差異，在傳統(tǒng)安全防護(hù)中，更多的是采用資源結(jié)構(gòu)式的防護(hù)，一般會(huì)分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用與數(shù)據(jù)安全和安全管理五部分；而在云計(jì)算環(huán)境下，在傳統(tǒng)資源結(jié)構(gòu)的基礎(chǔ)上，由于虛擬化技術(shù)的引入，安全防護(hù)的將納入虛擬化 平臺(tái)的安全、虛擬化管理層的安全和虛擬化安全三部分。而數(shù)據(jù)安全、安全管理與安全運(yùn)維則是兩個(gè)方面均需要考慮的。 CSA 安全指南 在技術(shù)上面明確闡述了法律、電子證據(jù)發(fā)現(xiàn)（ D3）以及虛擬化（ D13）方面的安全關(guān)注建議，另外對(duì)于數(shù)據(jù)的可移植性和互操作性（ D6）也是新版 CSA 安全指南的獨(dú)特之處。 D3 和 D6都是法律層面的關(guān)注點(diǎn)；而 D13 虛擬化則是安全技術(shù)關(guān)注點(diǎn)，這也是 云計(jì)算平臺(tái) 相對(duì)于傳統(tǒng)信息中心在技術(shù)方面最大的區(qū)別之一。虛擬化技術(shù)也是云計(jì)算系統(tǒng)諸多優(yōu)勢(shì)得以實(shí)現(xiàn)的關(guān)鍵因素。 虛擬化技術(shù)為云計(jì)算平臺(tái)增加了額外的一層安全要求。虛擬機(jī)在使用和遷移過(guò)程中可能引起的潛在問(wèn)題包括：虛擬服務(wù)器管理平臺(tái)的安全風(fēng)險(xiǎn)、虛擬資源共享風(fēng)險(xiǎn)、虛擬機(jī)鏡像安全風(fēng)險(xiǎn)。 1) 虛擬服務(wù)管理平臺(tái)（ Hypervisor， VMM） 虛擬服務(wù)管理平臺(tái)是云計(jì)算環(huán)境的核心驅(qū)動(dòng)組件，控制管理著一個(gè)域中的虛擬設(shè)備及數(shù)據(jù)；成功攻擊服務(wù)管理器會(huì)影響所有該管理器控制的所有虛擬設(shè) 備及數(shù)據(jù)。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后，可以對(duì)整個(gè)主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞，從而導(dǎo)致系統(tǒng)不能對(duì)外提供業(yè)務(wù)，或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取。 2) 虛擬資源隔離 同一物理機(jī)上的多個(gè)虛擬機(jī)共享物理（計(jì)算、網(wǎng)絡(luò)、 存儲(chǔ)）資源是云計(jì)算環(huán)境的重要特點(diǎn)，如何實(shí)現(xiàn)隔離這些資源是云計(jì)算系統(tǒng)的重要挑戰(zhàn)。 3) 虛擬機(jī)鏡像安全 虛擬機(jī)在生命周期的每一個(gè)步都容易受到安全威脅。當(dāng)克隆虛擬機(jī)鏡像和移動(dòng)虛擬機(jī)的時(shí)候，重要的是保持每一個(gè)虛擬機(jī)的“穩(wěn)定狀態(tài)”，以便了解這些虛擬機(jī)是否需使用了最新的補(bǔ)丁或者是否需要使用補(bǔ)丁。同遷移的虛擬機(jī)一樣，資產(chǎn)管理對(duì)于銷毀虛擬機(jī)和防止閑置的虛擬機(jī)鏡像文件在數(shù)據(jù)中心蔓延成為未知威脅的攻擊目標(biāo)是非常重要的。 安全管理架構(gòu) 云計(jì)算 平臺(tái) 仍然是一類信息系統(tǒng)，需要依照其重要性不同進(jìn)行分級(jí)保護(hù) 云計(jì)算 平臺(tái) 的安全工作必須依照等級(jí)保護(hù)的要求來(lái)建設(shè)運(yùn)維。 新技術(shù)的應(yīng)用和云計(jì)算運(yùn)營(yíng)模式所帶來(lái)的新的安全問(wèn)題。 通過(guò)以上 幾個(gè) 方面為云計(jì)算 平臺(tái) 的業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。根據(jù)相關(guān)規(guī)定，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、 數(shù)據(jù)安全進(jìn)行全面防范、加固。 物理訪問(wèn)控制 在需進(jìn) 入機(jī)房的來(lái)訪人員須經(jīng)過(guò)登記 ，并限制和監(jiān)控其活動(dòng)范圍； 對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域； 機(jī)房合理規(guī)劃 建筑物設(shè)置有避雷裝置，每個(gè)機(jī)柜都有交流電源地線，設(shè)有自動(dòng)滅火 裝置 ， UPS上有控制電涌的設(shè)置。 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)結(jié)構(gòu)安全 網(wǎng)絡(luò)結(jié)構(gòu)的安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)，對(duì)于 云計(jì)算平臺(tái) ，選用主要網(wǎng)絡(luò)設(shè)備時(shí)需要考慮業(yè)務(wù)處理能力的高峰數(shù)據(jù)流量，要考慮冗余空間滿足業(yè)務(wù)高峰期需要；網(wǎng)絡(luò)各個(gè)部分的帶寬要保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)滿足業(yè)務(wù)高峰期需要；按照業(yè)務(wù)系統(tǒng)服務(wù)的重 。保存有重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的重要網(wǎng)段不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨(dú)劃分區(qū)域。自主訪問(wèn)控制實(shí)現(xiàn)：在安全策略控制范圍內(nèi)，使用戶對(duì)自己創(chuàng)建的客體具有各種訪問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶；自主訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)；自主訪問(wèn)操作應(yīng)包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。 由此主要控制的是對(duì)應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫(kù)等資源的訪問(wèn)，避免越權(quán)非法使用。 ● 根據(jù)會(huì)話信息為數(shù)據(jù)流提供了明確的允許 /拒絕訪問(wèn)的能力，控制粒度為網(wǎng)段級(jí)。 ● 網(wǎng)絡(luò)設(shè)備均設(shè)置了 timeout 時(shí)間。 在 云計(jì)算平臺(tái) 交換機(jī)處并接部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)，形成對(duì)全網(wǎng) 絡(luò)數(shù)據(jù)的流量監(jiān)測(cè)并進(jìn)行相應(yīng)安全審計(jì)，同時(shí)和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。 網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采用旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。 應(yīng)用審計(jì) 針對(duì)網(wǎng)絡(luò)內(nèi)的各種操作和訪問(wèn)記錄，及入侵記錄的事件開(kāi)啟審計(jì)功能。 ● 對(duì)所有設(shè)備進(jìn)行監(jiān)控并記錄，并且每天會(huì)有專人負(fù)責(zé)對(duì)記錄進(jìn)行查看，并形成每日?qǐng)?bào)表以及周報(bào)、月報(bào)等。 入侵防范 針對(duì)網(wǎng)絡(luò)入侵防范，可通過(guò)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。同時(shí)，入侵檢測(cè)系統(tǒng)還可以形象地重現(xiàn)操作的過(guò)程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。 網(wǎng)絡(luò)設(shè)備防護(hù) 為提高網(wǎng)絡(luò)設(shè)備的自身安全性，保障各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行，對(duì)網(wǎng)絡(luò)設(shè)備需要進(jìn)行一系列的加固措施，包括： ● 對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，用戶名必須唯一。 ● 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。 ● 網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理均使用 SSH 方式，防止鑒別 信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。通過(guò)部署終端安全管理系統(tǒng)可以實(shí)現(xiàn)這一目標(biāo)。 監(jiān)測(cè)內(nèi)部網(wǎng)中發(fā)生的外來(lái)主機(jī)非法接入、篡改 IP 地址、盜用 IP 地址等不法行為，由監(jiān)測(cè)控制臺(tái)進(jìn)行告警。共同保證 云計(jì)算平臺(tái) 的邊界完整性。 ● 主機(jī)授權(quán)認(rèn)證 可以通過(guò)在線主機(jī)是否安裝客戶端代理程序，并結(jié)合客戶端代理報(bào)告的主機(jī)補(bǔ)丁安裝情況，防病毒程序安裝和工作情況等信息，進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證，只允許通過(guò)授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。 ● 網(wǎng)絡(luò)白名單策略管理 可生成默認(rèn)的合法主機(jī)列表，根據(jù)是否安裝安全管理客戶端或者是否執(zhí)行安全策略，來(lái)過(guò)濾合法主機(jī)列表，快速實(shí)現(xiàn)合法主機(jī)列表的生成。 ● IP 和 MAC 綁定管理 可以將終端的 IP和 MAC 地址綁定，禁止用戶修改自身的 IP和 MAC地址，并在用戶試圖更改 IP 和 MAC 地址時(shí)，產(chǎn)生相應(yīng)的報(bào)警信息。 客戶端在用戶登陸時(shí)對(duì)用戶名進(jìn)行唯一性鑒別，鑒別信息作復(fù)雜度進(jìn)行檢查；密碼要求最少 8 位以上 。 客戶端在鎖定字段進(jìn)行設(shè)置，當(dāng)用戶名或密碼輸入錯(cuò)誤時(shí)會(huì)跳轉(zhuǎn)提示頁(yè)面，提供失敗登錄處理功能。 通信保密性設(shè)計(jì) 在 云計(jì)算平臺(tái) 管理軟件應(yīng)用層的通信保密性主要由應(yīng)用系統(tǒng)完成。 對(duì)于在 云計(jì)算平臺(tái) 管理軟件應(yīng)用層信息傳輸?shù)耐ㄐ疟Ｃ苄詰?yīng)由傳輸加密系統(tǒng)完成。 數(shù)據(jù)安全 數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)（用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等），是信息資產(chǎn)的核心，如 果數(shù)據(jù)被破壞 / 篡改或非授權(quán)獲取將給政府 /企業(yè)帶來(lái)嚴(yán)重的損失。由于信息系統(tǒng)的各個(gè)層面（網(wǎng)絡(luò)、主機(jī)、應(yīng)用等）都對(duì)各類數(shù)據(jù)進(jìn)行傳輸、存儲(chǔ)和處理等，因此，對(duì)數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和操作系統(tǒng)、應(yīng)用程序等提供支持。另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無(wú)法恢復(fù)的重要手段，而硬件備份等更 是保證系統(tǒng)可用的重要內(nèi)容，在高級(jí)別的信息系統(tǒng)中采用異地適時(shí)備份會(huì)有效的防治災(zāi)難發(fā)生時(shí)可能造成的系統(tǒng)危害。 數(shù)據(jù)完整性 數(shù)據(jù)完整性是在信息和重要業(yè)務(wù)數(shù)據(jù)傳輸過(guò)程中完整性免受破壞，通過(guò)技術(shù)手段達(dá)到可使完整性收到保護(hù)。完整性認(rèn)證是對(duì)信息完整性得鑒別，確定數(shù)據(jù)是否被非法篡改，保證合法用戶得到正確、完整得信息。 在云環(huán)境中，物理機(jī)、存儲(chǔ)系統(tǒng)的所有權(quán)屬于運(yùn)營(yíng)單位，而數(shù)據(jù)和應(yīng)用的所有權(quán)屬于云 用戶 ，因此傳統(tǒng)的安全管理機(jī)制難以奏效。在云計(jì)算環(huán)境中需要實(shí)現(xiàn)策略驅(qū)動(dòng)型的細(xì)粒度數(shù)據(jù)訪問(wèn)。首先需要確認(rèn)用戶的身份，對(duì)用戶的身份進(jìn)行認(rèn)證，一般來(lái)說(shuō)，對(duì)于普通的數(shù)據(jù)，可以采用用戶名 /口令的方式來(lái)進(jìn)行身份認(rèn)