林梓鹏



面向电信运营商的云计算安全体系探究

林梓鹏

广东省电信规划设计院有限公司，广东 广州 510630

随着云计算技术的不断发展，云计算已经得到了广泛的认可，成为电信运营商的信息技术基础设施的主要实现方式，但同时云计算也引入了新的威胁和风险，改变了传统的信息安全保障体系设计。为此，主要就云计算含义、云计算数据服务管理中心功能、面向电信运营商的云计算安全体系构建方法三个方面内容进行论述。

云计算；云计算数据服务管理中心；电信运营商；安全体系构建

引言

云计算从产生以来已在众多领域得到了应用。就电信业来讲，其面临着广电行业、互联网行业、IT行业的激烈竞争。电信运营商使用云计算技术后，改变了在市场竞争中不利的局面。但是，在云计算的具体应用中，始终面临着云计算的安全威胁问题。因此，构建新型的云计算安全体系对电信运营商来讲显得格外重要。

1 云计算含义

到目前为止，云计算还没有一个统一的含义。但是，我们可以从云计算的特征入手，对其进行理解。第一，云计算具有网络接入功能，可以涵盖大多数网络客户端。第二，云计算通过应用资源池，可以运行高质量、虚拟化、功能模块化、服务众多用户的网络运行平台。第三，弹性计算能力。依据不同用户的资源动态需求，系统运行资源进行科学计算及动态调整。第四，可以依照不同需求提供不同的服务。可以依据需要对缴费、取消、服务开通、配置变更等进行自动化有效处理。第五，良好服务测度。云计算可以开展电信业务中收费价格、服务使用等方面的科学测量，保障用户和服务提供者都处于一种透明状态[1]。

2 云计算数据服务管理中心功能

云计算数据服务管理中心是一种可以提供运营、控制的云计算服务应用平台，基于虚拟化技术的充分应用，对基础类的服务资源设施进行封装，为用户提供更加灵活的服务，即对存储设备、服务器、应用软件、网络资源、开发平台等进行标准化处理，为客户提供优质服务。在此过程中，客户无须购买硬件设备，而是以租赁方式进行云资源的租用和业务托管。云计算数据服务管理中心与传统IDC相比具有以下特点。

第一，应用虚拟化技术，向用户和企业提供合适的业务资源。

第二，按量付费，管理更加自动化、智能化。云计算数据服务管理中心的架构为：物理层（电信运营商具有的设备、服务器、网络资源、存储设备），虚拟层（建立共享基础资源设施，开展资源自动弹性收缩），管理层（进行数据资源动态管理，进行用户身份认证、数据保护、操作授权、服务测量、计费、业务资源监控），业务层（存储服务、基础计算服务、云主机服务，进行差异化服务，使得用户接入到自服务门户网站）[2]。其主要架构表见表1。

表1 云计算数据服务管理中心架构

3 面向电信运营商的云计算安全体系构建方法

3.1 抗拒绝安全防护

全面提高云计算抗拒绝安全防护能力，构建起良好的安全抗拒绝服务环境。第一，将专业化的DDoS攻击设备布置在数据中心用户接入层边界中，提升整个云计算安全体系抗拒绝安全防护水平，抵御各种类型的非安全服务活动、数据信息。第二，提升传统网络层流量DDoS攻击能力，比如加强ICMPFlood、UDPFlood、SYNFlood等的DDoS攻击能力。第三，在数据中心用户接入层边界部署DDoS设备，并开展DDoS攻击能力测试，为后续的资源优化配置、性能提高、应用的配置策略等打好基础[3]。

3.2 虚拟安全域隔离和保护

虚拟防火墙技术的应用可以提高虚拟安全域隔离能力。虚拟防火墙技术，是将一台物理防火墙虚拟成多台逻辑虚拟防火墙的技术，可以充分发挥物理防火墙的性能，对不同应用采用不同的安全策略。通过对虚拟防火墙的配置隔离，使得这些虚拟防火墙在应用中保持相对的独立性、互不影响，可以互不干扰开展工作。比如，网络黑客对一个虚拟的防火墙进行了攻击，花费了大量的时间、资源，而其他的虚拟防火墙依然完好，发挥着自身的功能，保障了虚拟安全域有效隔离。

这种虚拟防火墙具有许多优势：具有简单化的网络结构，可以灵活运用；易于管理，大大降低了有关人员的工作量；节省了大量成本，使得云计算安全体系实现良好的应用效益和价值，为客户提供高质量增值安全服务。

3.3 虚拟机的安全防护

应用虚拟防火墙、虚拟IDS等产品，提升虚拟机应用安全性。具体来讲，虚拟防火墙、虚拟IDS等产品通过设置高级访问权限，对于主要物理节点的各种流量数据信息、VM和VM之间的各种数据流量进行监控[4]。

3.4 云计算数据信息加密

进行云计算数据信息加密的方式众多，有链路加密、节点加密、端对端加密。RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA技术具有自身的特点和优势，可以保障电信运营商在开展云计算，尤其是云计算应用数据信息的安全。RSA技术工作原理是一种双层秘钥加密模式，即进行数据信息的传送。其主要流程为：信息——私有秘钥——公开秘钥——信息传送——接收——私有秘钥——公开秘钥——解密。这种加密的算法实际上就是在信息的传送前和传送后都加了双保险进行信息的保密。同时RSA的秘钥设置长度非常长，通常情况下有512位、1 024位，甚至是更多。所以说利用这种加密的方式进行数据信息的保护是非常安全的。RSA算法详解见表2。

表2 RSA算法详解

表2中P和q都是数位足够长的素数，n为p和相乘。加密公式和解密公式的试用数字极其庞大，如果设置的数位足够长，算出秘钥进行数据信息破解的难度极高[5]。

4 结论

本文针对云计算安全体系问题进行分析，有利于电信运营商对云计算数据服务管理中心进行充分应用，发挥中心功能，开展DDoS攻击设备运用、虚拟防火墙技术的应用等，提高了云计算安全体系安全程度，使得电信运营商的经济效益和社会价值充分实现。

[1]方禄忠，成瑾. 面向电信运营商云计算平台的安全检测评估服务体系研究[C]//公安部第三研究所.第二届全国信息安全等级保护技术大会会议论文集，2013.

[2]侯继江，张鉴，陈军. 电信运营商云计算数据中心安全防护体系研究[J]. 电信网技术，2012（3）：23-29.

[3]王文洲. 基于云计算的电信运营商IDC的构建[D].上海：复旦大学，2011.

[4]陆玉兰，魏民，肖毅. 以能力开放为核心的电信运营商云计算平台及应用研究[J]. 电信科学，2010（S1）：67-70.

[5]林泓宇. H电信运营商大数据应用管理体系诊断与优化研究[D]. 广州：华南理工大学，2015.

Research on Cloud Computing Security System for Telecom Operators

Lin Zipeng

Guangdong Planning and Designing Institute of Telecommunications Co., Ltd., Guangdong Guangzhou 510630

Along with the developing and perfecting of cloud computing technology, cloud computing has been widely recognized and received, and becomes the main operators of IT infrastructure implementation approach, but at the same time, cloud computing is also introduced the new threats and risks, and also affects and broke the traditional information security system design. For this purpose, the paper mainly discusses the three aspects of cloud computing meaning, cloud computing data service management center function and the construction method of cloud computing security system for telecom operators.

cloud computing; cloud computing data service management center; telecom operators; security architecture

TP309

A