基于云架構(gòu)的4A系統(tǒng)在移動(dòng)業(yè)務(wù)支撐網(wǎng)中的應(yīng)用

摘 要：首先分析了基于云架構(gòu)的業(yè)務(wù)支撐網(wǎng)技術(shù)方案及存在的安全問(wèn)題，結(jié)合目前云安全的常用技術(shù)，提出了云架構(gòu)4A認(rèn)證系統(tǒng)和移動(dòng)業(yè)務(wù)支撐網(wǎng)相結(jié)合的云安全技術(shù)方案以及實(shí)現(xiàn)流程，總結(jié)了這種方案的優(yōu)點(diǎn)。

關(guān)鍵詞：云計(jì)算；4A系統(tǒng)；業(yè)務(wù)支撐網(wǎng)

1 云計(jì)算現(xiàn)狀

云計(jì)算[1]是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。好比是從古老的單臺(tái)發(fā)電機(jī)模式轉(zhuǎn)向了電廠集中供電的模式。它意味著計(jì)算能力也可以作為一種商品進(jìn)行流通，就像煤氣、水電一樣，取用方便，費(fèi)用低廉。云計(jì)算為人們帶來(lái)便利的同時(shí)其安全性也不容忽視：2011年4月22日，Amazon的云計(jì)算服務(wù)器再次出現(xiàn)大面積的巖機(jī)；2009年2月24日，Google Mail郵箱爆發(fā)全球性故障，服務(wù)中斷長(zhǎng)達(dá)4小時(shí)；同年3月17日，Microsoft的云計(jì)算平臺(tái)Azure停止運(yùn)行約22小時(shí)；眾多的案例引發(fā)了人們對(duì)云計(jì)算安全的思考，安全問(wèn)題解決不好，將嚴(yán)重制約云計(jì)算的可持續(xù)發(fā)展，有效解決云計(jì)算的安全問(wèn)題勢(shì)在必行。

2 基于云架構(gòu)的業(yè)務(wù)支撐網(wǎng)技術(shù)方案

目前移動(dòng)業(yè)務(wù)支撐系統(tǒng)包括BOSS系統(tǒng)、經(jīng)營(yíng)分析系統(tǒng)、運(yùn)營(yíng)管理系統(tǒng)等子系統(tǒng)，云架構(gòu)的移動(dòng)業(yè)務(wù)支撐系統(tǒng)平臺(tái)，通過(guò)采用iaas私有云技術(shù)，把BOSS系統(tǒng)的眾多服務(wù)器，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)等設(shè)備組成“云端”基礎(chǔ)設(shè)施服務(wù)提供給維護(hù)人員[2]。并將CPU計(jì)算能力、內(nèi)存、I/O設(shè)備和存儲(chǔ)整合成一個(gè)虛擬的資源池為BOSS業(yè)務(wù)提供所需要的存儲(chǔ)資源和虛擬化服務(wù)器等服務(wù)。經(jīng)營(yíng)分析系統(tǒng)和運(yùn)營(yíng)管理系統(tǒng)則通過(guò)采用SaaS技術(shù)將應(yīng)用軟件統(tǒng)一部署在業(yè)務(wù)支撐網(wǎng)云平臺(tái)上，營(yíng)業(yè)廳、客服、渠道、市場(chǎng)部門的營(yíng)業(yè)人員、客服人員、業(yè)務(wù)管理人員及集團(tuán)客戶經(jīng)理等用戶根據(jù)需求通過(guò)互聯(lián)網(wǎng)使用軟件服務(wù)[3]。

這種模式在為業(yè)務(wù)人員和維護(hù)人員提供快捷便利的同時(shí)，業(yè)務(wù)支撐系統(tǒng)的安全性和保密不容忽視。采用傳統(tǒng)4A系統(tǒng)和業(yè)務(wù)支撐系統(tǒng)相結(jié)合后在一定程度上提高了系統(tǒng)的安全性，但仍然存在以下三個(gè)問(wèn)題：（1）賬號(hào)管理變更頻繁，每天營(yíng)業(yè)員、集團(tuán)客戶的權(quán)限都有大量的變更需求，不能建立崗位權(quán)限互斥的安全模型。（2）隨著業(yè)務(wù)支撐網(wǎng)內(nèi)應(yīng)用系統(tǒng)的不斷增多，各自獨(dú)立的缺乏關(guān)聯(lián)分析（以自然人為核心進(jìn)行關(guān)聯(lián)的統(tǒng)一集中的系統(tǒng)登錄、登出、正常維護(hù)、異常操作）的審計(jì)系統(tǒng)已不能滿足需要。（3）在日志量達(dá)到T級(jí)別后，系統(tǒng)的檢索性能急劇下降，無(wú)法進(jìn)行有效的數(shù)據(jù)檢索和日志分析，導(dǎo)致無(wú)法實(shí)時(shí)分析和告警正在發(fā)生的危險(xiǎn)行為。

3 云架構(gòu)的4A系統(tǒng)應(yīng)用在移動(dòng)業(yè)務(wù)支撐網(wǎng)

云架構(gòu)的4A系統(tǒng)[4]在系統(tǒng)架構(gòu)上劃分為三層：統(tǒng)一入口層；云采集層；云審計(jì)層。

統(tǒng)一入口層：為普通人員和管理人員提供了Web方式登錄界面以及堡壘主機(jī)群。

采集層：主要功能是實(shí)現(xiàn)用戶資源系統(tǒng)之間的數(shù)據(jù)交互，資源從賬號(hào)的收集和同步管理，日志采集以及告警數(shù)據(jù)發(fā)送。為了避免出現(xiàn)日志采集遺漏等情況，并提高采集系統(tǒng)的運(yùn)行穩(wěn)定性以及日志解析處理能力，通過(guò)使用云架構(gòu)，使采集系統(tǒng)能夠支持分布式采集功能，同時(shí)引入搜索引擎，以達(dá)到優(yōu)化底層查詢邏輯，減少垃圾數(shù)據(jù)量，提升用戶使用好感度。

審計(jì)層：統(tǒng)一身份管理，資源及認(rèn)證管理，賬號(hào)授權(quán)管理，訪問(wèn)控制管理，安全審計(jì)管理，安全合規(guī)管理，安全事件管理。云架構(gòu)的審計(jì)選擇Hadoop作為審計(jì)數(shù)據(jù)分布式處理的技術(shù)框架，通過(guò)存儲(chǔ)方式的變化、存儲(chǔ)結(jié)構(gòu)的變化以及分析、檢索框架調(diào)整，提供高效、多任務(wù)并發(fā)的數(shù)據(jù)分析處理能力以及高效的審計(jì)數(shù)據(jù)全文檢索能力。

4 該云架構(gòu)的4A系統(tǒng)應(yīng)用在移動(dòng)業(yè)務(wù)支撐網(wǎng)中的優(yōu)點(diǎn)

云架構(gòu)的4A系統(tǒng)應(yīng)用在移動(dòng)業(yè)務(wù)支撐網(wǎng)系統(tǒng)架構(gòu)圖，如圖1。

4A認(rèn)證云平臺(tái)為業(yè)務(wù)支撐網(wǎng)各應(yīng)用系統(tǒng)提供統(tǒng)一、多樣化的帳號(hào)、認(rèn)證、授權(quán)和審計(jì)方面的安全服務(wù)機(jī)制，主帳號(hào)與從帳號(hào)實(shí)現(xiàn)集中化、基于角色的管理，針對(duì)應(yīng)用資源實(shí)現(xiàn)角色級(jí)授權(quán)；針對(duì)系統(tǒng)資源的權(quán)限控制實(shí)現(xiàn)實(shí)體級(jí)別授權(quán)。自然人通過(guò)與主帳號(hào)的關(guān)聯(lián)，對(duì)身份信息和崗位角色進(jìn)行統(tǒng)一規(guī)劃與管理，不同應(yīng)用系統(tǒng)中的帳號(hào)的創(chuàng)建、分配、同步進(jìn)行集成到4A管理平臺(tái)進(jìn)行統(tǒng)一管理，建立起從帳號(hào)的單一視圖（業(yè)務(wù)支撐實(shí)體資源-應(yīng)用資源及后臺(tái)系統(tǒng)資源），以及主帳號(hào)的單一視圖管理（業(yè)務(wù)支撐系統(tǒng)中使用者）從而有效的解決了授權(quán)變更頻繁以及崗位權(quán)限互斥的安全模型的建立。

采用基于統(tǒng)一訪問(wèn)入口的主帳號(hào)的集中指紋強(qiáng)身份認(rèn)證方式，并根據(jù)用戶使用業(yè)務(wù)支撐網(wǎng)各應(yīng)用系統(tǒng)中的應(yīng)用資源和系統(tǒng)資源的具體情況進(jìn)行相應(yīng)的權(quán)限分配與稽核，實(shí)現(xiàn)不同崗位、角色的用戶針對(duì)對(duì)不同部分實(shí)體資源的訪問(wèn)權(quán)限控制。建立完善的自然人對(duì)實(shí)體資源的的授權(quán)管理。從而解決問(wèn)題2（自然人登錄缺乏相應(yīng)從賬號(hào)的關(guān)聯(lián)問(wèn)題）。

采用Hadoop分布式文件系統(tǒng)（HDFS）的可靠數(shù)據(jù)存儲(chǔ)服務(wù)對(duì)原始數(shù)據(jù)進(jìn)行存儲(chǔ)，可以輕松應(yīng)對(duì)PB級(jí)的海量數(shù)據(jù)而且硬件成本低；利用MapReduce技術(shù)的高性能并行數(shù)據(jù)處理服務(wù)可以大大提高運(yùn)算的效率，從而解決了問(wèn)題3（數(shù)據(jù)量超大后缺乏有效分析）。

參考文獻(xiàn)

[1]MellP，GranceT.The NIST definition of cloud coputing .National Institute of Standards and Technology（NIST），Washington，USA：Technical Report Special Publication 800-145，2011.

[2]田峰，等.中國(guó)移動(dòng)業(yè)務(wù)支撐網(wǎng)4A系統(tǒng)安全技術(shù)規(guī)范v3.0[S].中國(guó)移動(dòng)集團(tuán)技術(shù)規(guī)范，2013，4：88-92.

[3]田峰，等.中國(guó)移動(dòng)業(yè)務(wù)支撐網(wǎng)數(shù)據(jù)安全管理辦法[S].中國(guó)移動(dòng)集團(tuán)技術(shù)規(guī)范，2008，4：1-3.

[4]鮑偉民.基于云計(jì)算的安全審計(jì)系統(tǒng)研究與設(shè)計(jì)[J].軟件產(chǎn)業(yè)與工程，2012（6）：41-45.

作者簡(jiǎn)介：王雪娟（1977，8-），女，民族：漢，籍貫：河北省新樂(lè)市，單位：山東圣翰財(cái)貿(mào)職業(yè)學(xué)院，職稱：中級(jí)工程師，研究方向：網(wǎng)絡(luò)安全。2007-2014年曾就職于山東移動(dòng)業(yè)務(wù)支撐部負(fù)責(zé)網(wǎng)絡(luò)安全建設(shè)。

柴建勇（1978，9-），男，民族：漢，籍貫：河北省衡水市，單位：青島海信集團(tuán)，職稱：高級(jí)工程師，研究方向：軟件安全。