云数据中心网络安全服务架构研讨论文

关键词： 节点 分布式 并行 特性

云数据中心网络安全服务架构研讨论文（精选11篇）

篇1：云数据中心网络安全服务架构研讨论文

云数据中心具备的弹性、敏捷性以及高效性优势使得其对网络安全存在较高需求，这就使得云数据中心的安全服务必须统一到管理平台上，因此其网络安全服务需求可以概括为以下两个方面。

1.1特性需求

由于安全服务必须统一到云数据中心管理平台上，这就使得云数据中心的弹性、敏捷性以及高效性将对安全服务提出一定需求，这种需求的具体表现如下所示：

(1)敏捷性。安全服务需要灵活部署于云数据中心，整个数据中心、具体业务应用均需要纳入安全服务保障，且安全服务需保证自身启停不对中心日常业务运行造成影响，因此敏捷性需求必须得到关注。

(2)弹性。安全服务需具备动态调整能力以满足业务变化需要，这一动态调整应脱离管理员干涉、基于具体服务规则开展。

(3)高效性。需保证安全服务可由所有用户分享，以此实现统一管理、资源高效利用[1]。

1.2具体需求

除特性需求外，云数据中心网络安全服务的具体需求也应得到关注，这类需求的主要内容如下所示：

(1)业务跟随。需保证安全服务随用户虚拟机迁移而迁移，以此实现安全防护、业务流量的全过程跟随。

(2)服务扩展。安全服务需结合攻击演变随时扩展与调整，能否在现有基础上更新、扩展将直接影响安全服务效用发挥。

(3)支持多类型数据中心。安全服务需满足不同云数据中心需要，这使得其需要独立于管理平台，必要时舍弃Hypervisor技术支持，不同云数据中的相同安全保障将由此实现。

篇2：云数据中心网络安全服务架构研讨论文

3.1VMware数据中心

在VMware数据中心的网络安全服务架构应用中，该架构实现了与vCenter的协调管理，vCenter、安全服务控制平面、物理服务器集群、安全服务平面属于架构的具体应用，而在VSS/VDS(虚拟交换机)的引流支持下，该网络安全服务架构可支持ESXiHypervisor，L2至L7的安全服务也将由此实现。结合VMware数据中心特点，网络安全服务架构特别准备了扩展日志分析模块，该模块主要负责流量日志的分析处理，而分析处理的结果将自动送至数据中心日志服务器。

3.2OpenStack数据中心

对于应用网络安全服务架构的OpenStack数据中心来说，OpenStack、安全服务控制平面、安全服务平面、物理服务器集群属于该架构的主要构成，其中OpenStack主要由FWaaSplugin、Neutron、Cinder、Nova组成，由此即可实现用户网络信息的获取和生命周期管理。在OpenStack数据中心的网络安全服务架构应用中，使用OpenSwitch引流、支持KVMhypervisor属于该部署的主要特点，由此实现的多租户场景支持、在线部署、L2至L7安全服务提供也应得到关注。

3.3自主开发云平台

自主云平台开发同样属于本文研究分布式网络安全虚拟化架构的典型应用，自主开发管理平台、安全服务控制平面、SDN控制器、物理服务器集群、安全服务平面属于该应用的具体组成，而在管理API支持下，该架构可实现用户和网络信息的获取、高水平生命周期管理。通过调用SDN控制器QPI实现镜像引流、支持ZENhypervisor与KVM，则使得整个架构能够在检测到虚拟机攻击行为后在最短时间内实现虚拟机隔离，整个平台的安全性能自然将由此实现大幅提升。

4结论

综上所述，本文研究的云数据中心网络安全服务架构具备较高推广潜力，而在此基础上，文中涉及的分布式网络安全虚拟化架构在VMware数据中心、OpenStack数据中心、自主开发云平台中的实际应用，则证明了设计思想的可行性。因此本文建议相关业内人士关注本文渗透的设计思想，并由此推动我国云数据中心的更好发展。

参考文献：

[1]张小梅,马铮,朱安南等.云数据中心安全防护解决方案[J].邮电设计技术，.

[2]姚帅,陆蓓.基于SDN技术的云数据中心演进方案研究及试点[J].电信技术，.

篇3：云计算数据中心安全体系架构浅析

(一) 云计算简介

在世界著名市场研究咨询机构Gartner评选的对多数组织最具战略意义的十大技术和趋势中, 云计算技术位列第一。

云计算指IT基础设施的交付和使用模式, 指通过网络以按需、易扩展的方式获得所需资源。从更深层次的角度来看, 也可以不局限于IT基础设施, 可以将其扩展到服务的层面。这种服务可以是IT和软件、互联网相关, 也可以是其他服务。它的核心思想是, 统一管理和调度大量用网络连接的计算资源, 构成一个计算资源池向用户提供按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的, 并且可以随时获取、按需使用、随时扩展。简单来说, 云计算系统可以看成是有网络浏览器和“云”两部分构成, 而云就是由内部互连的众多虚拟机组成的并行分布式计算系统, 能够根据服务提供商和客户之间协商好的服务等级协议动态提供计算资源。

云计算的基本原理是, 计算在大量的分布式计算机上完成, 而不是在本地计算机或远程服务器中完成, 数据中心的运行将更与互联网相似。资源可以被便捷地切换到需要的应用上, 用户可以根据需求访问计算机和存储系统。在以云计算模型作为基础的数据中心里, 用户对于软硬件设施的依赖大大降低, 他们使用的仅仅是由数据中心提供的服务, “一切即服务” (Xasa Service, XaaS) 。

作为云计算的重要特征, “一切即服务”分为3方面, 基础设施即服务 (Infrastructure as a Service, IaaS) 、平台即服务 (Platform as a Service, PaaS) 和软件即服务 (Software as a Service, SaaS) 。从云计算的技术架构角度来看, IaaS包含了机房设备等所有的基础设施资源。PaaS位于Iaa S的上一层, 为用户提供一个集应用开发、中间件使用以及数据库、消息和队列等功能于一身的平台。PaaS允许开发者在该平台之上开发应用, 所使用的编程语言和工具由PaaS支持提供。SaaS位于IaaS和PaaS之上, 能够提供独立的运行环境, 用来为用户提供完整的使用体验, 包括内容展现和应用管理等。

(二) 云计算的优势与劣势

作为一种新兴的系统模型, 云计算有其独到的优势。第一, 容易部署和配置方便, 在公有云中, 用户可以通过Internet轻松访问, 而在私有云中, 用户则可以通过自建局域网获取服务。第二, 可扩展性保证了云计算模型可以从小型的验证性模型平滑扩展到大型数据中心的建设上, 可以同时为大量的节点提供数据服务。第三, 云计算具有高可用性的特点, 在整个模型中, 即使一部分计算节点失效, 也不会影响向用户提供服务。第四, 建设成本降低。云计算是一种规模经济, 规模越大, 相对建设成本就越低。第五, 资源共享变得更加容易。第六, 有助于实现集中化管理, 降低管理和维护成本。

同时, 云计算在实际应用中也有一些缺陷。第一, 安全性有待提高, 从2008年到2010年, 全球发生了若干起数据中心信息安全事件, 其中有80%的事件出现在基于云计算模型建设的数据中心。第二, 服务质量的保障。第三, 在由传统数据中心平台迁移到云计算数据中心时, 可能会出现分布式业务的平滑过渡问题。

(三) 迁移到云环境后的收益

云计算技术的推出将为数据中心带来增强数据安全性、加快信息共享速度、提高服务质量、降低运营成本等益处。

第一, 增强数据处理能力。通过把云计算技术与数据挖掘技术相结合, 可以从海量数据中快速提取出有价值的信息, 为机构的决策提供服务。分布在云中成千上万的计算机群提供强大的计算能力, 并通过网络将庞大的计算处理程序拆分成无数个较小的子程序。云计算技术能在短时间内对大量的业务数据进行存储、分析、处理、挖掘、关联, 从而极大地增强了数据处理能力。

第二, 增强数据的存储能力和可靠性。一方面, 云中的众多服务器正好可以提供强大的存储能力, 网络中不同类型的大量存储设备通过应用软件集合起来协同工作, 满足业务不断增长带来的庞大数据存储需要。另一方面, 云计算也提高数据的可靠性。即使某台服务器出现故障, 其他服务器也可以在极短时间内快速将其数据备份到其他服务器上, 并启动新的服务器以提供服务。

第三, 降低数据中心运营成本, 提高运营效率。随着业务的不断发展, 逐渐从一个地区扩展到其他地区, 分支机构不断增多。为此不得不花费大量的资金购买数量众多的计算机设备, 从而造成数据中心运营成本急剧上升。如果采用云计算技术, 就能像规模经济靠拢, 长远看来是可以极大的降低运行成本, 提高运营效率。

二、云计算的安全性

(一) 全球云计算数据中心的安全事件

近些年, 云计算数据中心的建设在飞速发展, 亚马逊、谷歌、微软等大型公司都投入了大量的人力和财力建设自己的云计算数据中心, 为用户提供多种服务。但是这些IT巨头在应对云计算中的安全问题时也显得有些力不从心, 用户在使用时也遭受一定的损失。以下是从2009年到2011年全球云计算数据中心发生的安全事件。

1.2009年2月24日, 谷歌的Gmail电子邮箱爆发全球性故障, 服务中断时间长达4小时。谷歌解释事故的原因:在位于欧洲的数据中心进行例行性维护之时, 有些新的程序代码 (会试图把地理相近的数据集中于所有人身上) 产生副作用, 导致欧洲另一个资料中心过载, 于是连锁效应就扩及到其他数据中心接口, 最终酿成全球性的断线, 导致其他数据中心也无法正常工作。

2.2009年3月17日, 微软的云计算平台Azure停止运行约22个小时。

3.2009年6月, Rackspace遭受了严重的云服务中断故障。供电设备跳闸, 备份发电机失效, 不少机架上的服务器停机。

4.2010年9月, 微软爆发BPOS服务中断事件。这是微软首次爆出重大的云计算数据突破事件。

5.2011年3月, 谷歌邮箱再次爆发大规模的用户数据泄漏事件, 大约有15万Gmail用户在周日早上发现自己的所有邮件和聊天记录被删除, 部分用户发现自己的账户被重置。谷歌表示受到该问题影响的用户约为用户总数的0.08%。

6.2011年4月22日, 亚马逊云数据中心服务器大面积宕机, 这一事件被认为是亚马逊史上最为严重的云计算安全事件。

除了上述六起比较重大的云数据中心安全事件之外, 还有若干起小规模的安全事件发生。

(二) 安全事件带来的影响

上述安全事件的发生使得云计算的安全问题再次被关注。而在此之前, 几乎所有的用户对云计算的最大质疑也是安全问题, 特别是公有云的安全问题, 这也提升了公众对私有云的关注, 更多的企业和政府机构更加相信私有云的安全性。因此, 基于云计算来设计数据中心实际上成为高效、高质量服务与安全可靠之间的博弈。

(三) 云计算的关键安全技术

云计算数据中心面临的安全风险分为3个层面, 共4类。3个层面分别为数据、应用和虚拟化, 4类分别为传输安全、存储安全、恢复安全和审计安全, 其中传输安全为数据层面所独有。

为化解上述安全风险, 目前可以采用的技术有以下几种。

1. 资源访问控制。

在云环境中, 资源被分为若干访问区域, 用户有跨区域共享数据的权利, 但需要在每个区域设置身份认证和身份管理策略, 同时设置访问控制策略。资源访问控制技术主要解决优先访问权、管理权限等风险。

2. 数据存在与可使用性。

云计算数据中心与传统数据中心相比, 数据规模更大, 而大规模的数据会使数据中心在提供服务时面临巨大的通信压力。数据在传输和使用中会出现正确性和可靠性无法保证的情况, 而在服务高效率的要求下, 等到数据完全传输到本地再检查其准确性和可靠性是不现实的, 因此需要通过数据存在与可使用性技术来判断远端数据是否正确可用。

3. 数据隐私保护。

该技术主要是应对云计算数据中心的数据泄漏风险。

4. 虚拟化安全。

数据中心在向云计算平台迁移的过程中必然要使用到虚拟化技术, 该技术一般应用在PaaS层面中, 因此保证虚拟化平台的安全对于云数据中心的整体安全是非常重要的。

5. 可信的云计算平台。

云计算平台分为公有云和私有云两类, 私有云计算平台一般为用户自行搭建, 不使用公共网络中云服务提供商的服务。而公有云计算平台则涉及使用第三方云服务提供商的产品, 可信的云计算平台技术可以保证云平台, 特别是公有云平台的可靠性和持久性。

三、传统数据中心的信息安全体系架构

传统数据中心所面临的安全威胁主要来自3个方面, 一是面向应用层的攻击, 二是面向网络层的攻击, 三是面向基础设施的攻击 (这里的基础设施是指网络、主机等信息系统硬件设施) 。因此传统数据中心的信息安全防护体系一般按照“多层防护、分区规划、分层部署”的原则来进行。

(一) 多层防护

多层防护大体上分为3层, 第一层是高性能硬件防火墙, 第二层是具有高性能检测引擎的IDS甚至是IPS, 第三层是具有丰富安全功能的路由器和交换机。这种分层方式比较宏观, 从更微观的角度来看, 根据OSI7层模型, 数据中心还建立了从链路层到应用层的非常具体的信息安全防护体系, 例如防病毒网关、数据防泄漏等防护手段和防护设备。

(二) 分区规划、分层部署

数据中心存在不同价值和易受攻击程度不同的设备, 按照这些设备的情况制定不同的安全策略和信任模型, 将数据中心划分为不同区域, 这就是分区规划。通常, 数据中心根据不同的信任级别可以划分为远程接入区、Internet服务器区、局域网外部服务器区、局域网内部服务器区、管理区、核心区等。

传统数据中心的分层架构除了体现在传统的网络3层部署 (接入层、汇聚层、核心层) 上, 还体现在应用系统的设计部署上。多层架构把应用服务器分解成可管理的、安全的层次, 这样可以避免将所有功能都驻留在单一服务器时带来的安全隐患, 增强了扩展性和高可用性。

(三) 安全防护技术

根据传统数据中心的信息安全架构, 有多种安全防护技术对其进行支撑。安全防护技术同样分为3个层次。第一层是数据中心网络基础设施防护技术, 包括基于VLAN的端口隔离、STP Root/BPDU Guard、端口安全。第二层是数据中心边界防护技术, 包括防火墙的使用和管理等。第三层是数据中心应用安全防护技术, 包括病毒防护、数据泄漏防护、数据存储防护等。

四、云环境下数据中心的信息安全体系架构

在建设云计算数据中心时, 由于资源整合程度和共享程度很高, 不论是数据安全、应用安全还是虚拟化安全, 都以服务的方式交付给数据中心用户。在这种建设思路的指引下, 云计算数据中心的信息安全体系和传统数据中心的安全防护体系差别很大, 归结起来主要有以下几个方面。

(一) 新增虚拟化安全要求

云计算数据中心的虚拟化分为软件虚拟化和硬件虚拟化。所谓软件虚拟化是指将软件直接部署在实体机上, 提供创建、运行和撤销虚拟服务器的能力。在这种情况下, 用户具有了同时操作多台虚拟服务器的条件, 所以必须严格限制任何未经授权的用户访问虚拟化软件层, 例如建立严格的控制措施, 限制对于Hypervisor和其他虚拟化层次的物理和逻辑访问控制。硬件虚拟化的安全可以借鉴物理服务器的安全措施, 主要从实体机选择、虚拟服务器安全和日常管理3个方面来制定安全防护方案。另外, 在资源高度整合的条件下, 对资源的按需分配、数据之间的安全隔离提出了更高的要求, 安全设备应适应云计算数据中心虚拟化要求。

(二) 安全边界混杂

传统数据中心的安全防护体系建设的一个重要思路就是基于边界的安全隔离和访问控制, 并且强调分区规划, 分层防护。但是在云计算数据中心里, 资源高度整合, 基础设施架构统一化, 安全设备的部署边界已经变得十分模糊, 甚至有消失的趋势。

(三) 安全威胁发现和处理作用范围变大

在传统数据中心里, 安全威胁的信息来源主要是客户端上部署的安全软件和网络中部署的硬件安全产品。管理人员在得到信息后, 可以在很短的时间内对安全威胁进行处理, 但这种处理是分区域的, 也就是说无法做到整个数据中心的集中防范和集中处理, 无法形成整体的安全防护。而在云计算数据中心里, 安全威胁的感知和处理都将趋于统一, 信息共享率极高, 安全防护体系比传统数据中心的体系更加宏观, 防护范围更大。

根据云计算数据中心信息安全体系建设的新情况, 云计算数据中心的信息安全防护可以从以下几个方面综合考虑。

1. 注重对虚拟化的支持

虚拟化是云计算数据中心的关键技术, 现代化数据中心的基础网络架构、存储资源、计算资源以及应用资源都已经在向虚拟化靠拢。无论是为了满足不同用户的需求, 提供个性化资源服务, 还是为了利用逻辑隔离手段来保证数据安全, 虚拟化都是一个非常好的选择。因此, 在建设云计算数据中心的安全防护体系时, 对虚拟化的支持是十分重要的。

2. 建设统一安全威胁防护系统

由于云计算数据中心的安全边界已经变得模糊不清, 资源高度整合, 管理员即使有能力对整个数据中心进行分区, 也只能是基于逻辑的划分, 物理上的安全边界已经不复存在。在这种情况下, 针对用户单独部署独立的安全系统已不现实。安全设备的部署应该从原来的基于各子系统的安全防护, 转移到基于整个云计算数据中心的安全防护, 建设统一安全威胁防护系统。打个形象的比喻, 云计算数据中心的安全威胁防护系统应该像一个罩子, 覆盖住整个数据中心。

3. 形成安全风险快速反应机制

在云计算数据中心的安全建设中, 充分利用云计算强大的资源共享能力和运算能力, 对安全风险进行快速反应和处置, 快速定位解析安全威胁, 并将安全威胁的处置方式推送至整个数据中心, 从而使所有的安全设备都具备对这种安全威胁的检测能力。

五、总结

建立数据中心的目的是为了更好地利用数据、挖掘数据, 向数据要效益。在数据中心中应用云计算技术则是一个必然的趋势。而从数据中心获得效益就必须有一个相对安全稳定的环境作为支撑, 因此研究云计算数据中心的信息安全体系架构具有重要意义。

篇4：云计算服务数据安全储存技术研究

关键词：数据安全；云计算；云存储；储存技术

中图分类号：TP309.2 文献标识码：A 文章编号：1674-1161（2016）04-0049-02

随着互联网技术的快速发展，应用软件日趋成熟，2000年软件即服务（Saas）开始兴起，特别是2005年亚马逊推出了AWS服务，云计算服务真正受到人们的认可和重视。此后，谷歌、IBM、微软等公司都从不同角度提供了不同层面的云计算服务，作为一种全新的计算模式，云计算服务因为具有成本低、部署快、调整灵活等诸多优势，受到的关注度越来越高，日趋步入快速发展的轨道。目前，云计算服务已经突破了互联网市场的范畴，在政府、企业等部门和行业的应用越来越广泛。

1 云计算和云存储

云计算服务是指个人在数据处理过程中，不是在个人计算机或服务器上进行，而是充分利用互联网的高速传输特性，把数据处理转移到互联网上的某个大型数据处理中心的计算机集群上，数据处理中心根据客户的实际需求，对计算机资源进行最优化的分配，从而使客户享受到超级计算机的数据处理服务。从本质上看，云计算是一种分布式系统，它利用互联网的高速传输能力，把互联网上的计算机资源整合起来，为客户提供各种各样的数据处理服务。云存储是互联网上的无数存储设备构成的庞大存储系统，优质高效的云存储是实现云计算的基本条件。

2 云存储数据安全分析

云计算在给人们带来巨大便利的同时，还存在一定的安全隐患，集中存储的数据一旦发生安全问题（被窃取、篡改或删除等），将难以避免给客户带来危害。云存储的数据安全性一直是客户最关心的问题，近年来，Amazon，Google等云计算相继发生数据泄露事件，使人们更加担忧云存储数据的安全性。思科公司首席执行官John C ham bers曾预言，数据安全问题将成为云计算前进道路上的“噩梦”。

云计算是互联网上某个大型数据处理中心的计算机集群为客户提供的数据存储和操作服务，客户个人进行数据处理对于服务提供方来说是完全处于透明状态的，如果数据存储的服务器遭到攻击或是服务提供方出现数据泄露问题，势必会给客户数据安全造成威胁。另外，客户的数据是在互联网上的计算机服务器上存储的，在数据传输的过程也存在一定的安全问题。云计算是一种分布式系统，每台计算机都是互联网上的一个节点，在没有安全可靠保护的情况下，每个节点通过一定手段访问其他任何节点在理论上是可以实现的。

云计算数据安全存储技术主要存在以下几方面问题：1） 数据加密存储问题。常规信息系统通常采取加密的方式对存储数据进行安全保障，云服务器中数据如果选择加密的方式，虽然可以有效保障数据安全，但会导致操作和运算等变得非常麻烦和困难，影响客户使用效率。2） 数据隔离问题。多个客户的数据同时存储在同一个计算机或服务器，云服务提供商通常采取应用隔离技术，避免存储数据被非授权访问，但利用程序漏洞仍然可以进行非授权访问。大多数云服务提供商会请第三方审核应用程序，但是审核标准很难统一。3） 数据残留问题。数据被删除后服务器上仍然会有数据残留，如果对存储介质进行随意释放，就可能无意透漏给未授权一方，造成客户数据泄漏。4） 数据迁移问题。保证服务正常使用，发生宕机时，云计算服务通常把正常工作进程进行转移，迁移的数据包括内存中的动态数据和磁盘上的静态数据。如果进程处理的是机密数据，在数据迁移过程中必须保证安全。5） 数据审计问题。数据存储在云服务器中，客户最关心的是数据归属权及访问专属权问题。在云服务器中数据审计问题是非常复杂的，因为客户如果先下载再审计，一方面浪费时间，另一方面将产生不必要的高额费用。有效的办法是下载少部分数据，就可以对整体数据进行准确判断。

3 云计算服务数据安全存储对策

云计算服务数据存储，一方面要保证数据安全，另一方面要确保操作简便。云存储服务在设计过程中，按照数据安全存储的要求，对客户的数据进行加密保护，有效防止非受权方对数据进行窃取、篡改或删除，确保客户在云中保存的数据是安全的。在云计算服务应用中，为了保证数据的安全存储和传输，必须在上传或下载数据过程中进行有效保护，对数据加密是解决数据安全存储和传输的常用手段。

当前，常用的数据加密算法分为对称和非对称加密算法两个类别。对称加密算法是在加密和解密过程中双方使用同一个密钥，因其在加密解密过程中操作简便且速度较快，所以应用比较普遍，并且经过多年的发展技术也相对成熟，其主要优点是算法公开、操作简便、速度较快、效率高，主要缺点是安全性能难以保证。非对称加密算法的加密钥和解密钥是不同的密钥，分别对加密和解密进行控制，其主要优点是安全性能好、使用灵活，主要缺点是运算量较大、难以保证速度和效率。对称加密算法由于使用一个密钥进行加密和解密，管理方面困难较大，在分布式网络系统中使用较麻烦；非对称加密算法由于使用不同的密钥进行加密和解密，运算量过大，对于大数据量的加密和解密方面应用不方便。把对称加密和非对称加密结合起来使用，就可以有效解决以上问题，确保云计算服务数据存储安全。

3.1 加密环节

客户在加密时，可以从密钥库中提取所接收用户数据对称加密算法公钥。加密处理中，由一个对称加密算法密钥生成器随机生成一个包含校验信息的密钥，经过非对称加密算法对这个密钥进行再加密，最后，将处理过的数据信息和对称加密算法密钥密文作为一个数据包，保存在云端。重复上述做法，直到所有数据包都发送完成。

在上述数据加密过程中，针对客户数据量的实际情况，用对称加密算法处理量大的数据，用非对称加密算法处理量小的数据，将两种加密钥和密文存储在云端，用户端只存储非对称加密算法和解密密钥。应用这种方法，一方面可以有效避免对称加密算法采用一个密钥造成的密钥管理困难问题，另一方面也克服了非对称加密算法对大量数据加密速度慢、效率低的问题。

3.2 解密环节

客户在解密时，首先运用非对称加密算法将对称加密算法的密钥解密，从而还原密钥；根据密钥运用对称加密算法将数据包解密，从而还原全部密文，一个数据包解密就完成了。重复上述做法，将所有数据包进行解密，就得到了全部的原始数据。

运用对称加密算法和非对称加密算法相结合的方式，既有效克服了对称加密算法密钥管理难题，又有效克服了非对称加密算法不适合数据量较大时的加密难题。对于对称加密算法密钥管理问题，用户持有非对称加密算法密钥，对应的公钥在云端保存，进行数据交换时，用户可以从云端下载非对称加密算法和密钥，用密钥对数据进行加密处理，应用两种加密方式结合的方法进行加密，将密文数据传输保存在云端；目标用户用非对称加密算法密钥对数据进行解密，这样就可以对数据进行双重加密，从而确保了数据安全。

参考文献

[1] 袁富芳.云计算服务中数据安全的若干问题分析[J].中国新通信，2016（1）：53-54.

[2] 章建萍.云计算服务中数据安全问题探析[J].中国新通信，2013（24）：4-5.

[3] 邵华.关于云计算服务中数据安全的问题研究[J].计算机光盘软件与应用，2013（24）：163.

篇5：云数据中心网络安全服务架构研讨论文

在一个大型企业中，为了更好地管理企业内部的人力、物力资源可以通过部署基于活动目录的多区域方案，比如说创建子域或者域树，不过这只是将所有的域控制器组织在一起集中进行层次化的管理而已，而每台域控制器的可靠性又怎样保证呢?这就需要添加附加的域控制器，搭建过辅助域控制器的朋友都知道，这些域名相同的域控制器的地位是平等的，并不像DNS和辅DNS一样有主次之分。随之而来，会产生一些问题：为了保证活动目录数据库(NTDS.DIT)的一致性需要执行复制操作。一般的复制是多主机复制，但某些更改不适合使用多主机复制执行，因此需要又称为“操作主机”的域控制器接受此类更改的请求。而在更过的时候考虑到“操作主机”的可靠性和安全性，因此需要将“操作主机”转移到性能高的域控制器上。

还有，更多的时候，我们需要对活动目录的数据库进行备份和还原，这样才能保证域控制器的安全可靠性。

实验目的：

1、认识林中5种操作主机的角色

2、使用图形界面或者命令转移5种操作主机角色

3、实战活动目录数据库的维护(备份和还原(非授权和授权))

实验网络拓扑：

实验步骤

1. 操作主机的安全使用

在每个林中有5种操作主机角色，在林范围内的操作主机角色有架构主机和域命名主机。而且在每个林中这些角色都必须是唯一的。

在域(主DC和附加DC)范围内的操作主机角色有主域控制器仿真主机(PDC Emulator)、相当ID(RID)主机、基础结构主机。在每个域中这些角色都必须是唯一的。

1.1、架构主机(Schema Master)

架构主机控制整个林的架构的全部更新，比如说两个windows server 2003版本不一样，可以通过架构主机作修改。在整个林中，只能有一个架构主机。

架构管理工具默认是不安装的，可以在“运行”中输入“regsvr32 shcmmgmt.dll”命令进行添加，运行之后，出现“schmmgmt.dll中的DLLRegisterServer成功”说明添加成功。然后，在运行里输入“mmc /a”打开控制台，添加“Active Directory 架构”即可，最后保存该文件为架构.msc，否则下次还需要添加。

注意：执行次过程的账户必须是Active Directory中的Schema Admins组的成员，或者必须被委派了适当的权限。

下面是“Active Directory 架构”的界面，包括“类别”和“属性”两个选项卡。

通过右键单击“Active Directory 架构”的“操作主机”选项可以查看当前域控制器的角色，有两种显示的结果：如果操作主机是自己，则显示的是同一台主机，如果要更改成其它架构主机，则需要更改域控制器为需要更改成架构主机的域控制器(为林中的任意一台域控制器);如果操作主机是其它域控制器，则可以将架构主机更改为自己，也可以通过更改域控制器更改为其它域控制器做操作主机。

1.2、域命名主机(Domain Naming Master)

域命名主机控制林中域的添加和删除，可以防止林中的域的域名重复。在整个林中只能有一台域命名主机。

注意：

1、任何运行windows server 2003的域控制器都可以担当域明明主机这一角色。如果运行windows 2000 server 的域控制器担当域命名主机角色，则必须启用为全局编录服务器。

2、执行次过程的用户必须是Active Directory中Domain Admins组或Enterprise Admins组的成员，或者必须被委派了适当的权限。

打开域命名主机的方法是在“Activer Directory域和信任关系”中右击“Active Directory域和信任关系”选择“操作主机”即可，更改“域命名主机”的方法与更改“架构主机”的方法类似。这里不再重复。

1.3、PDC仿真主机

PDC仿真主机作为混合模式域中的Windows NT PDC(主域控制器)。林中的每个域中只能有一台PDC仿真主机。

PDC仿真主机的主要作用有：

1)、管理来自客户端(Windows NT/95/98)的密码更改

2)、最小化密码变化的复制等待时间。PDC仿真主机接受域中其它域控制器执行的密码更改的首选复制。如果密码最近被更改，则需要花费一定时间将此次更改复制到域中的每个域控制器。如果登陆身份验证由于密码错误而在另一个域控制器中执行失败，则该域控制器将在拒绝登陆尝试前将身份验证请求转发给PDC模拟器

3)、在默认情况下，PDC仿真主机还负责同步整个域内所有域控制器上的时间

打开“Active Directory用户和计算机”右击域控制器，然后选择“操作主机”即可打开RID,PDC和结构三个操作主机角色。

注意：5种操作主机的方法基本一样，只是应用的位置不一样罢了。

1.4、RID主机

RID主机将相当ID(RID)序列分配给域中每个域控制器。林中的每个域中只能有一个RID主机，

每次当域控制器创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID(SID)。SID包含一个“域”SID(它域域中创建的所有SID相同)和一个RID(它对域中创建的每个SID是唯一的)。

主意：操作主机角色有时称为Flexible Single Master Operatiors(FSMO)角色。

转移5种操作主机除了使用图形界面进行修改之外，还可以在命令提示符下进行

具体命令如下：将RID主机转移到主机：DSAF-UN4R0YSZRP.beijing.com上

如果要转移其它主机的角色，可以通过在fsmo maintenance ?或者fsmo maintenance help进行查看。

Transfer PDC 转移PDC仿真主机

Transfer RID master 转移RID主机

Transfer schema master 转移架构主机

Transfer infrastructure master转移基础结构主机

Transfer domain naming master 转移域命名主机

主意：这两种转移操作主机的前提是相关DC始终联机，没有数据损失。

1.5、基础结构主机

基础结构主机负责更新从它所在的域中的对象到其它域中对象的引用。每个域中只能有一台基础机构主机。

基础机构主机将其数据与全局编录的数据进行比较。全局编录通过复制操作接受所有域中对象的定期更新，从而使全局编录的数据始终保持最新。如果基础机构主机发现数据已过时，则它会从全局编录请求更新的数据，然后，基础机构主机再将这些更新的数据复制到域中的其它域控制器。

打开“基础机构主机”的方法和打开“RID”以及“PDC”的方法一样，转移基础机构主机的方法也和他们类似。

2. 占用操作主机角色

以上介绍的转移操作主机角色的前提条件使当前的操作主机联机，假设存在这样一种情况，公司内部充当5种操作主机中的一种或多种的一台域控制器出了故障，并且无法恢复，如何将这台域控制器上充当的操作主机转移到其它域控制器上呢?比如说林中充当架构主机和域命名主机出现故障了，如果将其转移到林中其它域控制器上;比如说域中某台充当PDC、RID或基础架构主机出现故障了，又如何将其转移到域中的其它域控制器上呢?

当操作主机出现故障就会出现如下图示：

这个必须通过命名行进行恢复。如下图所示：架构主机出现故障的转移情况，将架构主机转移到主机：BENET-ACDVDV599.beijing.com上

注意：由于操作主机角色所在的DC出故障，因此占用操作主机角色可能会有数据损失。

3. 活动目录数据库维护

在一个域种有多个DC，维护相同的活动目录数据库可以实现一定的可靠性。但是，为了让活动目录做到万无一失，还需要定期备份活动目录数据库。因此在操作活动目录时，管理员可能误操作，如删除了某个部门的OU，而这种删除会很快复制到其它DC，要想还原被删除的OU，只能通过事先备份的文件;更严重的就是活动目录的损坏，更需要使用事先备份的文件作还原。

3.1、非授权还原和授权还原的准备工作

活动目录的还原方式有两种：一种是最常见的非授权还原，可以恢复活动目录到它备份时的状态。执行非授权还原有两种情况：1、如果域种只有一台域控制器，在备份之后的任何修改都将丢失。 2、如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态，也就是说备份后添加的和删除的都保持不变。还有一种就是授权还原，需要在使用非授权还原后使用命令进行还原，主要还原备份之后误操作删除的一个或多个OU。

注意：默认情况下，在域控制器上删除的活动目录对象，会以墓碑的形式保留60天，在此期间执行还原是可以恢复该对象的。如果超过了此限制，则会永久性删除该对象。

首选，在一台DC上创建一个OU名为“测试OU”做测试用。

然后，在运行里输入“ntbackup”打开windows自带的备份还原工具，然后选择“高级选项”即出现下面的界面，选择备份“System State”并将备份文档保持到某一位置即可。

备份的内容为：

注册表(Registry)

COM+类注册数据库(COM+ Class Registration Database)

启动文件(Boot Files)

活动目录(Active Directory)

系统卷(SYSVOL)

注意：前三项是工作组中默认的三项

备份完之后，再新建一个OU名为“备份后建立的OU”做测试用，再删除刚才创建的“测试OU”

3.2、执行非授权还原和授权还原

重启DC，在显示启动菜单时按F8键，选择“目录服务还原模式”并在登陆处输入还原的账号和密码(此帐户和密码在搭建域环境的时候创建)

再次在运行中使用ntbackup命名打开备份和还原工具选择上次创建的还原点，进行非授权还原

还原之后，可以看到刚才创建的“备份后建立的OU”存在，而“测试OU“不存在了，如何将其恢复呢，这就需要使用授权还原。

执行完非授权还原之后，输入以下命令即可：

注意：“ou=测试OU，dc=Beijing，dc=com”是活动目录对象的标识名，代表beijing.com域中的名为“测试OU”的OU。

还原完成之后，重新启动DC，可以查看到刚才删除的“测试OU”已恢复。

篇6：云数据中心网络安全服务架构研讨论文

2013年，云计算产业风起云涌，云计算应用层出不穷。金色的十一月，我们迎来了企商在线举办的“大数据时代下的云计算”研讨会。此次大会联合了中国计算机报，盛邀云计算用户、云计算和信息化行业专家，共论顺应云计算趋势、应用云计算和大数据带来的优势，来推动企业转型升级，从而提高企业应变能力。

日前，“大数据时代下的云计算”在古老文明与现代文明集于一体的文化殿堂——中国国家图书馆（古籍馆）-临琼楼二楼隆重召开，参加此次云计算研讨会的企业有200余家，涉及媒体、教育、电商、研发公司等行业，到场嘉宾有信息专家、企业代表、技术骨干等行业精英。

企商在线创始人王熠致辞

开场首先由企商在线创始人王总为到场嘉宾致欢迎词，感谢各位到场嘉宾的支持，并借此机会答谢各个行业的新老用户和关心企商在线发展的有识之士。

目前，互联网越来越发达，越来越深入，全民都深度参与到互联网的变革大潮中，大数据的价值变得越来越高。社会的需求推着我们向前走，各个行业都在提云计算，事实证明当时的铺垫为今天的云计算起到了很大的推动作用。但是不能回避的是，大数据的需求也越来越迫切，而且云计算和大数据我们认为是一个天生的关联度很强的两个基因。当把二者放在一个维度上来考虑时，对思路进行重构，对结果进行关联，我们认为需要进行较为深入的探讨。

中国科学院彭赓教授：大数据下的云计算

世界正在逐渐走向物联化(Instrumented)、互联化(Interconnected)和智能化(Intelligent)，所有的事物和活动都可以被感测，而感测过程中产生的大量数据又会被输送到后台进行处理，通过庞杂的数据资料，分析出有用的信息，支持和推动决策的有效性。由于数据的来源、传送的方式和使用的方法发生了质的改变，数据利用已经不是用传统的方式把数据输入计算机、通过处理得到报表如此简单。大数据时代下，世界各国将大数据战略提升到国家战略层面，进一步推动了云计算数据中心的广泛应用。

彭教授的话中讲到云计算是一场产业的变革，是即将迎接大数据时代的重要支撑体系，让我们已经充分了解到云计算将重新塑造我们整个IT产业链。

联通运维部副总曹鲁：云计算与大数据的发展实践

为了加速业务的转型和升级，促进移动互联网的发展、推动IT的整合，保障数据的整合集中，从而引发了联通发展云计算和大数据的战略思考。

联通通过采用云技术，以集中大数据为核心，顶层设计引领IT规划建设，服务下沉助力用户感知提升，推动大营销、大服务的一体化建设；构建中国联通统一的大数据服务能力；最终实现对资源弹性调度、安全复用；提高数据价值、密度、效率；应用灵活；保障其真实准确、运营有序。

曹总还向大家展示了提供面向公众的云服务，包括面向通信录、日历、便签、文件、相册、视频、音乐等文件的同步、备份和分享的功能。

浙江大学宁波理工学院李兴森教授：云计算解决方案助力企业快速增长

李教授针对大家熟悉的云计算，进行了三个层次的服务的细致讲解，让我们知道了云计算是一种能够方便、按需从网络访问共享的可配置计算资源（如，网络、服务器、存储、应用程序和服务）池的模型，且只需最少的管理或服务提供方交互即可快速供应和发布该模型，从而降低复杂度、提升业务敏捷性，降低市场响应时间，推动业务与技术创新、改变IT支出的成本结构。

中搜集团总裁陈沛：云计算的理论与实践

中搜集团是继百度之后国内最大的搜索引擎厂商，总裁陈沛讲到：“社会分工是人类进步的动力。”互联网的技术实施包括软件模式、外包模式、自建模式以及云服务模式。云技术的特点能够轻松实现网站的构筑与管理，颠覆传统建站及网络运营、服务模式，从而使我们知道专业分工更能创造价值。陈总生动讲述了传统行业和互联网行业之间的区别，赢得了各界人士的热烈掌声，将大会推到了高潮。

高峰互动

最精彩的环节当属高峰互动环节，参加互动的嘉宾都是业界大腕，他们分别是东软集团副总裁王立民、中国联通云数据有限公司运维部副总经理曹鲁，戴尔集团的李泰生李总以及浙江大学宁波理工学院李兴森教授。四位嘉宾先后探讨了“带宽是不是云计算应用的瓶颈？”、“虚拟化是云计算IaaS中最重要部分，PaaS是体现云计算价值的核心？”以及“云计算在大数据时代能够起到的重要作用？”。大家对云计算的认知全面提高，现场气氛十分活跃。

篇7：云数据中心网络安全服务架构研讨论文

因为并行数据库的技术特点是为了某类需求设计的,因此它有自己的适用环境。首先因为它采用关系理论,因此它仅适合结构化数据。非结构化或者某些半结构化数据,当然也可以在其中存和取,但是实际上有很多更好的解决方案可以选择。其次还是因为它采用关系理论,关系代数和关系演算是其擅长的,如果只是存入和取出的话,NoSQL会更加适合。再次,因为并行数据库的SQL语言是一种申明式的语言,甚至当初设计的目的并不是给程序员使用,因此处理日常重复性任务有更好的解决方案,比如MapReduce和Spark。最后一点,因为并行数据库需要在数据分布和存储格式等方面进行较多的处理以便为查询进行优化。

在存储引擎中最为关键的就是数据分布。按行进行Hash分布是并行数据库的重要特征。其它数据分布方式无法精确控制数据摆放,也无法提供足够用于查询优化的存储信息。一些改进的SQL on Hadoop方案借用了这一点,比如HDFS Colocation、Pivotal HAWG、Vertica VIVE等。

篇8：富士通：从云基础架构走向云服务

在峰会期间，记者就富士通对于云基础架构的设计、开发、实施和云服务采访了富士通（中国）信息系统有限公司基础架构服务战略部资深顾问王卓和富士通（中国）信息系统有限公司市场总部产品战略部资深总监李帆。

动态基础架构支撑智能社会

富士通动态基础架构是其整体化平台产品战略，其中包括三部分，即工业标准服务器PRIMERGY M1产品线、富士通全新的ETERNUS CD产品线，以及去年11月在德国慕尼黑举办的富士通论坛上推出的全新品牌PrimeFlex集成系统。

李帆介绍说，富士通工业标准服务器PRIMERGY是以业务为中心的服务器。1994年诞生了第一代产品，距今整整20年。之前就曾听李帆介绍过，富士通的PRIMERGY服务器是在德国生产的，因此无论从机箱外还是机箱内，都散发出德国制造的高品质特性。从PRIMERGY产品的命名上，新产品首次有别于之前S8的命名，而采用一个全新品牌的命名方式，称为PRIMERGY M1，目前PRIMERGY有四个主打系列，包括塔式TX系列、机架式RX系列、刀片式BX系列以及专门用于高性能计算和云计算优化的高密度服务器CX（Cloud Extentsion）。据介绍，目前PRIMERGY产品线的主要系列产品都已经完成了从S8到M1的更新换代。

以目前主流的四路服务器RX4770 M1为例，其每位字母或数字所代表的意义是：“RX”表示设备的形态，分别为塔式、刀片、机架、高密度;数字“4”则表示插槽数，即4路服务器;之后的“7”则表示英特尔E7处理器家族;最后两位数字“70”则代表其产品定位;“M1”表示产品世代。李帆介绍说，M1系列基于英特尔2600V3系列处理器，相比上一代产品，除了性能上的飞跃外，管理效能大幅提升，扩展性上也有升级。“M1系列中还有两项创新技术，一是DynamicLoM技术，使用户可定制服务器的网络配置，产品出厂时支持直接选配主板上网口是单口万兆或双口万兆，同时也支持4个千兆、2个千兆的选择，极大地增强了灵活性。二是Cool-safe散热系统，支持高阶热力，可以使工作温度达到40度。2015年，我们还会推出具备水冷的高密度技术。”李帆说。

在存储方面，富士通新推出了全新的CD系列产品线，主要针对非结构化数据和分布式横向扩展的应用。据介绍，首款上市的CD10000是超大规模的横向扩展平台，模块化设计、高性能、超大容量，并实现零宕机时间、快速数据恢复。CD10000目前支持分布式对象和分布式块存储，最多可扩展到224个节点，约50PB的容量，整体密度非常高。李帆透露说，将于2015财年推出的第二版CD10000中会实现分布式文件存储。

近年来，一体机或集成系统成为热点产品，富士通PrimeFlex就是一款集成系统，可实现预安装、预调试、预优化，以满足用户对于云和大数据的需求。PrimeFlex集成系统采用最新的IT技术，可融入到富士通的基础设施产品中使用。“PrimeFlex设计初衷就是为了让用户能够获得一款简单集成就可使用的产品”，李帆说，富士通集成系统的整体布局分为四部分，包括虚拟化与云计算系统（即云平台）、大数据的处理与加速、SAP 生态系统的革新，以及将在今年晚些时候推出的富士通数据库一体机系统。

富士通云服务：

可信、全球化、集成

目前，为了适应越来越多的业务开发和不同业务的组合，云已经成为大多数企业的选择和认可的发展方向。对于云集成服务，富士通可提供5种IaaS服务、十几种PaaS服务以及100多种SaaS服务。王卓介绍说，富士通不仅提供自己的服务，在整个云集成服务里，还可以为合作伙伴或其他公司的云做整合，帮助用户从基于企业本地的IT架构方式实现云化。他认为，富士通云的特点归纳起来有三点：可信、全球化、集成。

对于可信，王卓解释说，无论是企业、个人还是政府机构，在考虑云业务时，安全始终是头等大事。富士通始终提倡可信的云服务，提供运行率为99.9998%以上可靠性的云服务。关于全球化，王卓说，富士通在全球有100多个数据中心，其在世界各地所提供的服务、标准、平台都是统一的，“我们可以用分布在世界各地不同的服务平台提供30多种语言的服务，不管企业在哪里开展业务，用哪种语言，富士通始终能找到与之匹配的服务模式。”而对于集成，富士通有近2000名的云集成师，专门负责给企业的云业务做集成、规划、管理，使客户能实现全球化布局，并可对多云系统进行集成监控，并提供应用服务。

王卓介绍说，富士通云的框架最下层是网络，之上是富士通提供的云安全服务。在基础架构IaaS层，富士通能提供私有云、公有云，以及集成合作伙伴的云。“富士通可以将这三块完全整合，这是富士通的优势所在。”王卓说。

对富士通来说，PaaS层也是非常重要的服务内容。王卓介绍说，“如果PaaS做好了，能起承上启下的作用，为以后企业SaaS扩展甚至为IaaS的战略规划起到平台作用。富士通有自己研发的PaaS流程和工具，也可以和富士通的合作伙伴整合。”在SaaS层，富士通的业务内容非常广泛，有一部分是自己研发的应用，而大部分应用都是合作伙伴的应用。据悉，富士通目前有500多家世界顶尖的合作伙伴。

篇9：云数据中心网络安全服务架构研讨论文

Robert认为, 在云计算中, DLP仍然是数据保护的重要技术, 主要体现在两个方面:

第一, DLP技术可以告诉我们企业内部的敏感信息在什么地方, 这样, 我们在进行云计算环境搭建的时候就可以知道如何把信息和数据移动到哪里去。第二, DLP技术可以识别私有云中的信息, 帮我们判断哪些信息需要移动, 哪些信息不用移动。

Robert还认为信任要想搭建起来取决于两个非常重要的条件, 一是控制, 二是可见性, 这需要和云服务提供商清晰的说明, 你需要什么样的机制, 以及这样的机制将进行如何的运作和管理。这首先是一个技术问题, 就是云服务提供商在他们的基础设施和环境中有什么样的工具可以为你提供服务, 但我觉得这不仅是技术问题, 更重要的是管理问题, 即你和提供商之间如何洽谈, 建立一个什么样的关系, 在这样关系的基础上才能保证您对云环境是具有控制力的, 同时里面所有的信息对你来说是可见的。为了做到这一步, 我们的总裁也提出了新的业务模式叫做云信任中间机构, 这个机构将在企业和云环境服务提供商之间建立一个沟通交流机制, 通过这样的平台可以整合各方面信息和资源。我们觉得这其实也回答了你提的第二个问题, 即如何进行动态管理。一个企业必须要有非常稳定的中间谈判机构和协调性机构才能保证业务顺利进行, 比如从一个云服务商到另一个云服务商, 这样的机构可以保障所有的过渡都是非常顺畅的。

在公有云环境中也是一样的, 当我们的信息从一个环境移到另一个公共环境中时, 需要知道哪些是敏感信息, 它存储在哪里, 哪些是不希望放在公共环境中的。

会上, Robert表示, 无论是向私有云过渡, 还是向公有云过过渡, 最关键的问题都是建立一个好的系统模型。一般情况下, 在向云环境过渡时, 都会想到安全工具, 例如防病毒、防火墙、IDS等, 但它们也仅仅是一个工具而已。要知道, 所有的安全工具都是为了实现同一个目标, 那就是对我们的人、信息以及基础设施进行保护 (这里所说的对人的保护, 主要是指避免个人信息的丢失或被盗用等) 。

既然有这样的目标, 该怎么做就很明白了:首先, 要对风险进行很好的分析和认知。比如知道系统环境中在哪些方面是比较脆弱的, 哪些地方是容易被攻击的, 一旦被攻击, 信息丢失后影响有多大;其次, 安全问题最终还是指风险防范, 所以要建立好的系统, 对风险进行很好的评估和分类, 这样就会知道在哪个领域应该采取什么样的工具来保障它的安全。

篇10：云数据中心网络安全服务架构研讨论文

思科大中华区董事长兼首席执行官陈仕炜表示：“中国正处于转型和发展的关键时期，科技创新已经成为其中的核心推动力。作为全球领先的网络解决方案提供商，思科致力于运用先进的云架构和诸多创新的互联网技术，助推相关产业的发展。”

云计算是互联网发展的全新阶段

在产业发展的大趋势下，思科一直致力于成为云计算和云服务方面的引领者与核心驱动者之一。思科的云战略建立于具有领先性能、智能和灵活，生的网络核心基础设施之上，并针对云业务和服务的部署，提供包含数据中心、虚拟化等技术与产品的完备解决方案，同时也开发和推广协作、视频等丰富多样的应用。

思科大中华区云计算与数据中心业务总经理冼超舜表示：“思科的云战略就是使用户居于中心，将网络作为云的运作平台，通过为用户部署云服务，来确保其协同、创新和安全地开展业务，从而进一步加速云服务业务的不断发展。同时，思科还将通过丰富的云生态系统，帮助客户部署经过全面测试、行业最佳的整体云解决方案，并最终将自身打造成为基于网络平台优势提供云服务的市场领导者。”

中国市场云产业具备良好发展契机

在中国政府“十二五”发展规划中，物联网、智能电网、创新的医疗与教育模式、城市化发展以及三网融合等都已成为国家发展的重点方向与关键因素，而这些实际上也都能够与云计算息息相关。为促进中国市场云产业的发展，思科进行了多方面的本地化投入。一方面，思科将全球最新推出的云享架构(Cisco CloudVerse)引入中国市场，该架构整合了云计算完整产业链中的各个关键环节，十分有利于思科和客户以及合作伙伴在云产业规划和实施过程中共同分享最优化的丰富资源，并从中获得更大的创新价值与商业成功。

另一方面，思科已经在上海建立并启动了云体验中心，能够对客户和合作伙伴更好地构建、部署和利用云发挥十分重要的推动作用。思科云体验中心建立了完备的云构建和实施环境，包括云基础网络和数据中心、由思科或业界合作伙伴所开发的云应用资源、统一化的云管理中心以及基于云环境下的应用与服务验证。思科云体验中心还能够帮助用户或合作伙伴对他们拟定开展的全新云应用与云服务在推向市场之前进行可行性或实施性验证。与此同时，思科云体验中心还针对各种行业特点，建立了垂直应用云解决方案演示平台，作为行业用户的指导性参考。

思科云享架构具备全方位领先优势

篇11：云数据中心网络安全服务架构研讨论文

国内电网建立了多个用于实时或非实时的监视、控制和管理的应用系统。由于系统实现的功能不同、建设时期不同、建设单位不同, 现已建成的各应用系统缺少总体设计和统一规范[1], 直接造成了各系统间通信接口复杂、信息孤岛现象频现, 不仅使得各系统间信息的无缝共享难以实现, 也使得系统维护的难度和成本升高, 最终进一步制约了电网行业信息化水平的提高。在电网行业对信息化与数据共享的需求不断增加的情况下, 亟需研究一个统一、灵活、可自由配置的实时数据服务平台建设方案[1], 以充分发挥实时数据的价值, 确保各系统间实时数据的无缝共享。研究能够适用于电网实时数据服务平台的通信传输协议和网络结构就显得尤其重要。

文中从电网信息化趋势和业务数据在系统间共享的需求出发, 重点从数据传输的低时延、可靠性、安全性以及实时数据服务平台的稳定性、可维护性等多方面, 分析研究适用于电网实时数据服务平台的传输协议[2]和网络结构[3], 最后根据前一步的分析研究来提出电网实时数据服务平台的传输协议和网络结构的标准化方案, 以此为实时数据服务平台的建设工作提供研究参考。提出了一种基于电网实时数据的通信网络架构。

1 电网实时数据概述

在进行平台设计前, 首先明确电网实时数据的来源以及分类。电网实时数据根据其来源, 可以分为电网运行和设备检测或监测数据, 电力企业营销数据以及电力企业管理数据[4]。这些数据主要涉及主配网生产系统、地理信息系统 (GIS) 、调度系统、营销系统、以及计量自动化系统等。

按照数据内容, 电网系统的数据可以分为基本数据、运行数据、试验数据、在线监测数据、事故数据等[9]。建立有效的电网实时数据服务平台, 为电网系统间的数据交互和信息共享提供便利, 是提升电网系统整体运行效率的必要条件。

2 数据传输协议和网络结构

2.1 传输协议

整体来看, 基于开放系统互联的参考模型ISO-OSI[11]是目前比较成熟的网络技术, 基本满足实时动态监测系统实时通信的要求。在参考模型ISO-OSI中, 传输层[12]是最重要、最关键的一层, 是源端到目的端对数据传送进行控制从低到高的最后一层, 也是唯一负责总体的数据传输的一层。

综合来看, 构建电网实时数据服务平台可选的传输层协议主要有TCP/IP协议簇中的TCP[13] (传输控制协议) 、UDP[13] (用户数据报协议) 、SCTP[14,15] (流控制传输协议) 、DCCP[16] (数据拥塞控制协议) , 还有IPX/SPX协议簇中的SPX[17,18] (序列分组交换协议) 等。表1中是针对以上各协议在时效性、可靠性和安全性上的简单总结:

从设计理念、实际应用场景上来分析, SCTP最初是用于在IP上的传输电话协议 (SS7) , 较适合在电信网中采用;而SPX则较适合在Novell网络环境中采用, 是局部小范围使用的;至于TCP, 它在各类TCP/IP网络中得到广泛采用, 故可预见它的兼容性、可扩展性会比较出色, 而这一点非常重要, 因为这有利于电网信息系统的可持续性发展、兼容扩展。综上所述, TCP协议在可靠性、安全性以及未来的兼容性、可扩展性方面比较出色, 因此比较适合在电网实时数据服务平台中采用。

2.2 网络结构

实际应用中的典型网络结构有C/S模式[19]和B/S模式[20]。通过对两种模式的分析, 可以得出C/S结构的优点是能充分发挥客户端PC的处理能力, 很多工作可以在客户端处理后再提交给服务器。对应的优点就是客户端响应速度快、服务器负荷较轻。而C/S结构的缺点也较为明显, 较为突出的两点是升级困难和客户端直接访问数据库。因此C/S一般建立在专用的网络上, 小范围里的网络环境, 局域网之间再通过专门服务器提供连接和数据交换服务。但是, 也正因此, C/S一般面向相对固定的用户群, 对信息安全的控制能力很强。一般高度机密的信息系统采用C/S结构较适宜。

相比之下B/S结构最大的优点就是可以在任何地方进行操作而不用安装任何专门的软件, 只要有一台能上网的电脑和就能使用, 客户端安装、维护和升级成本低, 并且系统扩展比较容易。B/S建立在广域网之上的, 不必是专门的网络硬件环境, 有比C/S更强的适应范围, 一般只要有操作系统和浏览器就行。但是, 也正因B/S建立在广域网之上, 对安全的控制能力相对弱, 可能面向不可知的用户。而B/S结构的缺点在于应用服务器运行数据负荷较重。由于B/S架构管理软件只安装在服务器端 (Server) 上, 网络管理人员只需要管理服务器即可, 用户界面主要事务逻辑在服务器 (Server) 端完全通过WWW浏览器实现, 极少部分事务逻辑在前端 (Browser) 实现, 所有的客户端只有浏览器, 网络管理人员只需要做硬件维护。但是, 应用服务器运行数据负荷较重, 一旦发生服务器“崩溃”等问题将产生严重后果。表2中是C/S模式与B/S模式优缺点:

综合来看, C/S模式更加适合在电网实时数据服务平台中采用。

3 通信网络架构

在网络结构方面, 由于C/S模式有着服务器负荷轻 (意味着服务器可稳定运行) 、客户端速度快 (时延低) 和数据安全性强的优点, 故在电网实时数据服务平台中比较适合采用C/S模式的网络结构。综合传输协议和网络结构这两方面的考量, 电网实时数据服务平台的建设可采用基于TCP协议的C/S网络结构, 以便优化实时数据服务平台的总体结构, 使得服务平台的运行更加稳定可靠、响应更快速、更易于维护和扩展, 同时保证电网业务数据得以通过低时延、可靠和安全的通信传输方式实现系统间共享。基于以上结论, 提出电网实时数据服务平台通信网络架构如图1所示。

该架构由资源子网模块和通信子网模块两个部分组成;其中资源子网模块由网络服务器和用户工作站组成, 通过采用客户端/服务器型结构为用户提供资源检索和资源共享功能;通信子网模块由网络接口设备、传输介质、集线器、交换机和网卡组成, 通过采用TCP传输控制协议, 连接资源子网模块中的网络服务器和用户工作站, 为资源子网模块提供数据通信的功能。网络服务器和用户工作站采用客户端/服务器型结构连接。每一个客户端软件的实例都可向一个服务器或应用程序服务器发出请求。在接到请求后, 服务器快速做出响应。另外, 考虑到系统规模的庞大, 存在大量高并发访问, 通过客户端/服务器型结构实现及时服务。通信子网模块通过采用TCP传输控制协议为资源子网模块中的服务器和用户工作站提供数据通信功能。网络接口设备采用常见的以太网接口RJ45和RJ11, 另外还采用SC光纤接口, 支持光纤接入。传输介质采用10Base-T, 100Base-TX, 1000Base-TX以及100Base-FX, 提供系统间的数据通信功能。根据数据信息是否独立占用网络通道, 在网络节点选择采用集线器或交换机。网卡常见于各类网络终端设备, 无特殊要求。

该架构至少具有以下优势:

高可靠性:通过采用面对连接的、可靠的TCP传输控制协议, 保证了数据在各应用系统间的可靠传输。

高安全性:相较于UDP用户数据报协议等其他协议, 本架构采用的TCP协议更具有数据安全性。

高兼容性:TCP协议在各类TCP/IP网络中得到广泛采用, 其兼容性、可扩展性比较出色, 有利于电网信息系统的可持续性发展、兼容扩展。

高效性:C/S型网络结构充分利用客户端的处理能力, 具有客户端速度快 (时延低) 的优点, 非常适合电网实时数据服务平台的建设。

支持大量高并发访问:C/S型网络结构利用客户端的处理能力来有效减轻服务器的负荷, 使得服务器能够在大量高并发访问的情况下仍能稳定运行, 保证电网管理体系的稳定运作。

基于图1架构的系统网络通信流程示意图如图2所示。

网络通信具体流程如下:

1) 服务器端随时处于监听来自客户端的请求, 并且支持多用户高并发请求;

2) 客户端在感知到用户输入之后, 启动业务处理, 向服务器端发送请求建立基于TCP协议的连接;

3) 服务器端接受客户端的请求, 接着按照TCP协议与客户端建立起TCP连接;

4) 服务器端在数据库获得相应的数据之后, 向客户端发送相关数据。在数据传输完毕之后, 进行断开TCP连接的动作;

5) 客户端接收来自服务器返回的相关数据库数据, 并且进行断开TCP连接的动作;

实时数据服务平台的客户端结束本次业务处理, 并向用户输出结果。

4 结束语