云计算模式下的移动互联网 安全监控与保障系统(2)

系统总体技术方案

本系统采用创新的云计算模式全局安全深度防护体系架构，主要由外部云计算/互联网安全监控网关、内部云计算/云存储安全防护 、接入安全监控与认证、安全监护中心等部分组成。提供云计算应用模式下移动互联网的风险模型、多租户云应用模式下的数据安全与隐私保护、虚拟运行环境安全、云计算和终端安全的评测、移动互联网总体安全体系和业务安全保障体系等功能。

内部云计算/云存储业务系统、移动互联网及其终端接入系统、移动互联网安全监护中心构成基于全局认证的深度安全主动防御系统，该系统通过安全网关跟外部云计算/互联网相连。

终端访问双向认证、授权内联、访问控制:针对终端系统可能直接通过旁路（WiFi等）与外部互联网相通而造成复杂安全问题，安全监护中心与嵌入在终端上的安全中间件客户端相配合，实施基于全局等技术，隔离终端与外网外云的操作不造成对内网的直接威胁。

全局监控、深度安全防御:同时，对内部业务/数据云实施基于全局认证的多级深度安全防护措施，保证内部业务系统的安全性。

敏感数据分层保护、密室隔离、授权访问、自动修复:内部业务/数据云采用基于安全加固的分层隔离、授权访问、动态加密等技术，将关键数据、敏感信息存放在安全隔离的“密室”中，对这些数据的访问必须在授权、认证、临时密钥的条件下才能进行，从而保证了在多租户、虚拟存储环境下关键敏感数据、隐私信息的高安全性。

关键技术创新

特点一：云计算应用模式下移动互联网的安全威胁模型

基于对宽带移动互联网、云计算平台与应用、传统互联网等全方位安全威胁的研究，构建出云计算应用模式下移动互联网的风险体系模型。

在此基础上，采用云计算、云安全、移动互联网安全方面的的创新性研究成果，规划设计云计算应用模式下移动互联网的安全保障体系——基于全局安全认证的深度防御保障体系。

特点二：基于云海操作系统的数据安全隔离和透明存储。

在浪潮云海操作系统LC-OS的支持下，利用创新的智能虚拟存储引擎iC-SVC的分域安全密室技术，实现数据隔离分层分块存储、数据安全透明转移。虚拟机及其数据安全隔离——可对虚拟机设置专门的安全隔离区（安全“密室”），隔离区之间的数据迁移必须通过强安全认证和授权，从而阻断不同虚拟机及其隔离区之间的数据混泄，保证放到安全隔离区中的各种关键数据、敏感数据的高安全性。

数据分域定位安全存储——高安全等级要求的关键数据以及对性能要求高的数据可以放在隔离存储阵列的内部，次关键数据和一般数据可以放在外挂存储上，而对以上的数据都可以通过容灾软件实现容灾。

动态灵活的存储管理——强大灵活的资源调度与和组合式应用配置功能，可依据负载情况实现业务、资源的动态调度、基于拓扑的软硬件资源组块配置，能快捷地满足客户动态多变、丰富多样的应用需求。

支持大规模管理架构——采用多级联管理体系，可以通过级联方式实现资源的整合管理，可以有效实现超海量存储支持共享存储与分布式云存储组合模式——克服了纯共享存储模式一旦宕机将导致所有虚拟机业务的崩溃的问题。

特点三：虚拟存储环境深度安全防御技术

采用全局接入认证、安全策略匹配、数据隔离、关键数据加密、数据智能修复等方法，构建虚拟存储深度自动防御系统。面对复杂的网络安全行为，最有效的防御策略即是将网络安全防御技术应用于在整个网络中，而不是在单点进行网络安全的防护部署。

分层安全访问控制：通过对接入行为进行有效识别、认证，采取针对性的安全策略设定，并对用户进行强制安全控制，做到防患于未然。而对于关键网络区域数据的保护，全局安全一体化可以通过将安全客户端和安全联动设备的有效结合，有效控制终端用户的网络访问行为。

敏感数据的隔离与加密：在云存储系统中，虚拟存储管理引擎iSVC，基于统一资源存贮映像和密室隔离技术，将数据存放到不同层面、不同分域的独立区域。并进一步对敏感数据实施加密，只有通过交叉授权的用户通过双向认证后，才能访问自己的数据，从而保证了敏感数据的高安全性。ISVC为加密数据创建专门的拓扑检索视图，以便保证加密数据的授权检索性。

多维隔离式虚拟存储引擎 (iSVC)：iSVC是模块化的结构，由多个 Cluster 节点组成一个大型的存储池，其中的若干存储设备以一个统一逻辑设备存在，可以被系统中所有服务器访问，防止出现存储设备的信息孤岛。 主机也可以有多条数据通路同虚拟引擎，多条路径并发工作。 (责任编辑：admin)