基于云架构的4A系统在移动业务支撑网中的应用(共6页)

精选优质文档-倾情为你奉上基于云架构的4A系统在移动业务支撑网中的应用 摘 要：首先分析了基于云架构的业务支撑网技术方案及存在的安全问题，结合目前云安全的常用技术，提出了云架构4A认证系统和移动业务支撑网相结合的云安全技术方案以及实现流程，总结了这种方案的优点。 关键词：云计算；4A系统；业务支撑网 1 云计算现状 云计算1是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，取用方便，费用低廉。云计算为人们带来便利的同时其安全性也不容忽视：2011年4月22日，Amazon的云计算服务器再次出现大面积的岩机；2009年2月24日，Google Mail邮箱爆发全球性故障，服务中断长达4小时；同年3月17日，Microsoft的云计算平台Azure停止运行约22小时；众多的案例引发了人们对云计算安全的思考，安全问题解决不好，将严重制约云计算的可持续发展，有效解决云计算的安全问题势在必行。 2 基于云架构的业务支撑网技术方案 目前移动业务支撑系统包括BOSS系统、经营分析系统、运营管理系统等子系统，云架构的移动业务支撑系统平台，通过采用iaas私有云技术，把BOSS系统的众多服务器，网络设备，数据库等设备组成“云端”基础设施服务提供给维护人员2。并将CPU计算能力、内存、I/O设备和存储整合成一个虚拟的资源池为BOSS业务提供所需要的存储资源和虚拟化服务器等服务。经营分析系统和运营管理系统则通过采用SaaS技术将应用软件统一部署在业务支撑网云平台上，营业厅、客服、渠道、市场部门的营业人员、客服人员、业务管理人员及集团客户经理等用户根据需求通过互联网使用软件服务3。 这种模式在为业务人员和维护人员提供快捷便利的同时，业务支撑系统的安全性和保密不容忽视。采用传统4A系统和业务支撑系统相结合后在一定程度上提高了系统的安全性，但仍然存在以下三个问题：（1）账号管理变更频繁，每天营业员、集团客户的权限都有大量的变更需求，不能建立岗位权限互斥的安全模型。（2）随着业务支撑网内应用系统的不断增多，各自独立的缺乏关联分析（以自然人为核心进行关联的统一集中的系统登录、登出、正常维护、异常操作）的审计系统已不能满足需要。（3）在日志量达到T级别后，系统的检索性能急剧下降，无法进行有效的数据检索和日志分析，导致无法实时分析和告警正在发生的危险行为。 3 云架构的4A系统应用在移动业务支撑网 云架构的4A系统4在系统架构上划分为三层：统一入口层；云采集层；云审计层。 统一入口层：为普通人员和管理人员提供了Web方式登录界面以及堡垒主机群。 采集层：主要功能是实现用户资源系统之间的数据交互，资源从账号的收集和同步管理，日志采集以及告警数据发送。为了避免出现日志采集遗漏等情况，并提高采集系统的运行稳定性以及日志解析处理能力，通过使用云架构，使采集系统能够支持分布式采集功能，同时引入搜索引擎，以达到优化底层查询逻辑，减少垃圾数据量，提升用户使用好感度。 审计层：统一身份管理，资源及认证管理，账号授权管理，访问控制管理，安全审计管理，安全合规管理，安全事件管理。云架构的审计选择Hadoop作为审计数据分布式处理的技术框架，通过存储方式的变化、存储结构的变化以及分析、检索框架调整，提供高效、多任务并发的数据分析处理能力以及高效的审计数据全文检索能力。 4 该云架构的4A系统应用在移动业务支撑网中的优点 云架构的4A系统应用在移动业务支撑网系统架构图，如图1。 4A认证云平台为业务支撑网各应用系统提供统一、多样化的帐号、认证、授权和审计方面的安全服务机制，主帐号与从帐号实现集中化、基于角色的管理，针对应用资源实现角色级授权；针对系统资源的权限控制实现实体级别授权。自然人通过与主帐号的关联，对身份信息和岗位角色进行统一规划与管理，不同应用系统中的帐号的创建、分配、同步进行集成到4A管理平台进行统一管理，建立起从帐号的单一视图（业务支撑实体资源-应用资源及后台系统资源），以及主帐号的单一视图管理（业务支撑系统中使用者）从而有效的解决了授权变更频繁以及岗位权限互斥的安全模型的建立。 采用基于统一访问入口的主帐号的集中指纹强身份认证方式，并根据用户使用业务支撑网各应用系统中的应用资源和系统资源的具体情况进行相应的权限分配与稽核，实现不同岗位、角色的用户针对对不同部分实体资源的访问权限控制。建立完善的自然人对实体资源的的授权管理。从而解决问题2（自然人登录缺乏相应从账号的关联问题）。 采用Hadoop分布式文件系统（HDFS）的可靠数据存储服务对原始数据进行存储，可以轻松应对PB级的海量数据而且硬件成本低；利用MapReduce技术的高性能并行数据处理服务可以大大提高运算的效率，从而解决了问题3（数据量超大后缺乏有效分析）。 参考文献 1MellP，GranceT.The NIST definition of cloud coputing .National Institute of Standards and Technology（NIST），Washington，USA：Technical Report Special Publication 800-145，2011. 2田峰，等.中国移动业务支撑网4A系统安全技术规范v3.0S.中国移动集团技术规范，2013，4：88-92. 3田峰，等.中国移动业务支撑网数据安全管理办法S.中国移动集团技术规范，2008，4：1-3. 4鲍伟民.基于云计算的安全审计系统研究与设计J.软件产业与工程，2012（6）：41-45. 作者简介：王雪娟（1977，8-），女，民族：汉，籍贯：河北省新乐市，单位：山东圣翰财贸职业学院，职称：中级工程师，研究方向：网络安全。2007-2014年曾就职于山东移动业务支撑部负责网络安全建设。 柴建勇（1978，9-），男，民族：汉，籍贯：河北省衡水市，单位：青岛海信集团，职称：高级工程师，研究方向：软件安全。专心-专注-专业