3、系统实现

本文的主要研究内容包括如何利用蓝盾网络安全云防护平台基于利用云计算平台，在蓝盾现有的综合网络安全设备和系统的基础上，实现统一威胁管理云服务、统一终端管理云服务、以及统一策略管理云服务，体现云计算环境在网络安全，特别是在外网防御方面的优势。同时，本文利用了基于同态hash(homomorphic hashing)的数据持有性证明方法、虚拟网络随动审计、基于通用的认证和密钥管理框架、可证明安全的高效认证密钥协商协议、自主可控的细粒度云数据共享访问控制等手段来保护用户的隐私和数据安全，消除用户对于云计算的疑虑，保障云平台的稳定运行。

蓝盾网络安全云防护平台架构包括有网络安全基础设施层IaaS (Security Infrastructure as a Service)、网络安全应用平台层PaaS (Security Platform as a Service)，以及网络安全服务层SaaS(Security Software as a Service)。其中：

(1)网络安全基础设施层IaaS 提供基础的存储资源和计算资源，通过开源Xen 云计算虚拟基础设施系统构造云基础设施层，实现硬件资源的虚拟化，并且以虚拟机为基础单位对资源进行分配、调度和管理等。Xen 虚拟化了基础设施资源，实现了基础设施资源的网络化交付。

(2)在IaaS 的基础上，通过设计相应的服务接口，实现基础和共性功能，构造网络安全应用平台层PaaS。PaaS 基于开源的Hadoop 云计算应用平台，分别提供HDFS 分布式存储以及Map/Reduce 并行计算的支持，为各个创新软件/服务的共性需求提供支持，包括海量数据存储和备份、海量安全信息的采集、分析和监控、协同防御的基本实现。

(3)在PaaS 的基础上，通过Web Service 接口，以网络服务的形式提供各类直接面向应用的软件服务，包括云网站防护、云风险评估、云审计和云防火墙等等软件服务。

(1)网络安全基础设施层

网络安全基础设施层IaaS 提供基础的存储资源和计算资源，通过Xen 云计算虚拟基础设施系统构造云基础设施层，实现硬件资源的虚拟化，并且以虚拟机为基础单位对资源进行分配、调度和管理等。Xen虚拟化了基础设施资源，实现了基础设施资源的网络化交付。

Xen 是云虚拟化基础设施平台，该云虚拟化基础设施平台完成对硬件资源的虚拟化以及提供统一的平台对资源进行管理和访问。在设备中引入虚拟化的概念，使得一个物理设备可以虚拟化为多个设备。同时各个虚拟设备之间的环境有严格的隔离;本项目支持用户在任意位置、使用各种终端获取应用服务。用户请求的资源来自“云”，而不是固定的有形的实体。应用在“云”中某处运行，用户无需了解应用运行的具体位置。只需要一台笔记本或者一个手机，就可以通过网络来实现安全云服务。

Xen 实现了下列主要功能：①硬件资源的虚拟化。通过对硬件资源进行虚拟化， Xen 能够在不同的硬件环境中虚拟出一致的环境和平台，以简化软件的研发和管理。②硬件资源的多租户共享和服务的安全隔离。Xen 通过虚拟化，对硬件资源进行分割、隔离和共享，可以实现单一硬件上的多组用户共享，提升硬件资源的利用率。同时，虚拟化过程形成的严格隔离区域，为各个服务提供安全的运行区域。③资源的池化集约式管理。Xen 对把硬件资源虚拟化后，形成一个统一的大资源池。Xen 集中管理和分配硬件资源，最大化资源的利用率。④实现了集约式产品研发模式。传统的烟囱式研发需要从硬件平台开始进行产品研发。在整合Xen 平台后，产品研发可以直接从产品的应用模块开始，而无需在考虑软硬件平台等问题。

(3)网络安全应用平台层

在网络安全应用平台层，通过Hadoop 平台，为网络安全服务层提供多种共性服务，例如网站安全云防护、云防火墙、云安全风险评估，云安全策略管理，云安全协同防御，云安全流量管理等。

4、结论

本文主要探索了云安全服务所需要的关键技术，在蓝盾现有的综合网络安全设备和系统的基础上，设计了三层云安全服务架构，实现统一威胁管理云服务、统一终端管理云服务、以及统一策略管理云服务，体现云计算环境在网络安全，特别是在外网防御方面的优势。

(责任编辑：安博涛)