物流信息化是現(xiàn)代物流的基本特征，是現(xiàn)代物流的核心評價標(biāo)準(zhǔn)，其關(guān)鍵就是建立物流公共信息平臺。物流公共信息平臺是為物流企業(yè)、政府以及其它相關(guān)部門提供物流信息服務(wù)的公共信息服務(wù)平臺，它是以獲取物流規(guī)�；�、效率化為目的，以先進(jìn)的信息技術(shù)為支撐，以信息共享為手段而建立的信息平臺。云計算是IT界的新概念和熱點，近年來，云計算在物流領(lǐng)域的應(yīng)用研究逐步受到重視。基于云計算的物流公共信息平臺(物流公共信息云平臺)本質(zhì)上是一個信息系統(tǒng)，該系統(tǒng)具有公共性、公眾性、開放性和可擴(kuò)展性等特征。物流公共信息云平臺的構(gòu)建與使用，將有效地提高大數(shù)據(jù)時代物流信息的管理效率，降低物流運作成本，促進(jìn)物流產(chǎn)業(yè)的發(fā)展。與此同時，物流公共信息云平臺在實現(xiàn)用戶信息資產(chǎn)安全與隱私保護(hù)等方面面臨著極大的沖擊與挑戰(zhàn)，物流信息云平臺安全性問題日趨備受重視。本文在分析物流信息云平臺的安全風(fēng)險與安全需求基礎(chǔ)上，探討基于云計算的物流公共信息平臺安全體系和安全管理問題。

　　1、基于云計算的物流公共信息平臺結(jié)構(gòu)與功能

　　物流信息云平臺是一種服務(wù)物流發(fā)展，為物流企業(yè)間信息交換、政府與企業(yè)間信息共享、企業(yè)與客戶間信息交流的公共信息平臺。物流信息云平臺以數(shù)據(jù)(物流信息)為中心，通過虛擬化和整合技術(shù)來調(diào)配分布在網(wǎng)絡(luò)上的服務(wù)器集群、信息存儲與數(shù)據(jù)傳輸能力，并客制化地為用戶提供高效、可靠、安全、便捷、靈活的各種物流業(yè)務(wù)應(yīng)用服務(wù)�；�于云計算的物流公共信息平臺體系包括基礎(chǔ)設(shè)施即服務(wù)IaaS、平臺即服務(wù)PaaS、軟件即服務(wù)SaaS三個層面的結(jié)構(gòu)，用戶通過互聯(lián)網(wǎng)絡(luò)，基于客戶端(瀏覽器、移動終端、TV等)可以隨時隨地獲取所需的服務(wù)。物流公共信息云平臺的IaaS層通過虛擬化技術(shù)提供平臺服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件資源支持；PaaS層提供各種平臺應(yīng)用程序與功能，如企業(yè)建站平臺、資源部署平臺、數(shù)據(jù)挖掘平臺、短信平臺等；SaaS層提供各種軟件應(yīng)用服務(wù)，主要是各種業(yè)務(wù)系統(tǒng)，如倉儲管理系統(tǒng)、運輸管理系統(tǒng)、物流決策支持系統(tǒng)、物流專家系統(tǒng)、報關(guān)報檢系統(tǒng)等。物流公共信息云平臺無需用戶關(guān)注復(fù)雜的軟硬件配置、擴(kuò)展、升級以及日常維護(hù)，對于云平臺的使用者來說，服務(wù)器、網(wǎng)絡(luò)設(shè)施、存儲設(shè)備、系統(tǒng)軟件、中間件等都是高度透明的。云平臺同時對外提供了通用的、集成的、便捷的用戶接口，不同類型和需求的用戶可以通過互聯(lián)網(wǎng)或移動終端隨時隨地地獲取物流云服務(wù)。

　　2、基于云計算的物流公共信息平臺安全風(fēng)險

　　物流公共信息云平臺對物流信息資源進(jìn)行集中管理，平臺系統(tǒng)更容易成為黑客的重點攻擊目標(biāo)。由于云平臺的大規(guī)模性、開放性與復(fù)雜性，云平臺的系統(tǒng)風(fēng)險大大增加，云平臺安全面臨著比以往更為嚴(yán)峻的考驗。研究機(jī)構(gòu)Gartner在2008年發(fā)布的《云計算安全風(fēng)險評估報告》中指出，一個組織在考慮使用基于云計算的服務(wù)時必須要了解相關(guān)的安全風(fēng)險。根據(jù)Gartner的研究成果，物流公共信息云平臺的安全風(fēng)險可以歸納為以下六個方面：

　　1)特權(quán)用戶的接入。物流企業(yè)的物流單證、財務(wù)數(shù)據(jù)、技術(shù)文件和人事檔案等往往是企業(yè)的敏感信息，在企業(yè)外部的“云端”處理敏感信息可能會帶來風(fēng)險，因為這將繞過公司的信息部門和審計部門對這些信息“物理、邏輯和人工的控制”。物流信息云平臺需要對接入的云用戶進(jìn)行審查，從而避免非法用戶對信息的接觸。

　　2)數(shù)據(jù)位置。在使用物流公共信息云平臺提供的IT服務(wù)時，用戶并不清楚自己的數(shù)據(jù)儲存在哪里，也不知道數(shù)據(jù)的物理存儲細(xì)節(jié)。用戶應(yīng)當(dāng)詢問云計算服務(wù)提供商是否將數(shù)據(jù)存儲在專門管轄的位置，以及他們是否遵循約定的隱私協(xié)議。

　　3)數(shù)據(jù)隔離。物流公共信息云平臺用戶的數(shù)據(jù)都處于共享環(huán)境之中，此時加密能夠起一定作用，但是仍然不夠。物流公共信息云平臺需將用戶數(shù)據(jù)彼此隔離，并提供由專家設(shè)計并測試的加密服務(wù)。如果加密系統(tǒng)出現(xiàn)問‘題，那么所有數(shù)據(jù)都將不能再使用。

　　4)數(shù)據(jù)恢復(fù)。任何沒有經(jīng)過備份的數(shù)據(jù)和應(yīng)用程序都可能出現(xiàn)問題。物流公共信息云平臺應(yīng)考慮到在災(zāi)難(如環(huán)境危害或自然災(zāi)害)發(fā)生時，用戶數(shù)據(jù)和服務(wù)將會面臨什么樣的情況。在云計算環(huán)境下，物流公共信息云平臺幾乎扮演了眾多企業(yè)的“大腦”角色，應(yīng)具有數(shù)據(jù)的災(zāi)難及時恢復(fù)能力。

　　5)調(diào)查支持和可審計性。在云計算環(huán)境下，來自不同企業(yè)的數(shù)據(jù)可能會存放在一起，并且有可能會在多臺主機(jī)或數(shù)據(jù)中心之間轉(zhuǎn)移。當(dāng)有不恰當(dāng)?shù)幕蚴欠欠ǖ男袨榘l(fā)生時，物流公共信息云平臺應(yīng)具有IT審計職能。

　　6)長期生存性。理想情況下，物流公共信息云平臺將健壯地持續(xù)運營。但是物流云用戶仍需要確認(rèn)，在平臺崩潰或非短期的中斷運營情況下，自己的數(shù)據(jù)會不會受到影響，用戶能否拿回自己的數(shù)據(jù)，以及拿回的數(shù)據(jù)能否被導(dǎo)入到替代的物流系統(tǒng)中。

　　3、基于云計算的物流公共信息平臺安全需求

　　基于風(fēng)險的存在及對風(fēng)險的認(rèn)識我們可以導(dǎo)出安全需求，一般來講，信息安全需求或內(nèi)容包括信息的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。物流公共信息云平臺的安全需求表現(xiàn)為應(yīng)對安全風(fēng)險的一系列的機(jī)制，主要包括平臺自身的信息安全和云平臺的信任安全兩個方面。

　　物流公共信息云平臺自身的信息安全是指物流信息云平臺及信息資源免受未經(jīng)授權(quán)的訪問、使用、泄漏、破壞、修改以及銷毀等，可劃分為四個層面：設(shè)備安全、數(shù)據(jù)安全、內(nèi)容安全和行為安全|。其中，設(shè)備安全要求云平臺的物理設(shè)備可靠、可用和穩(wěn)定；數(shù)據(jù)安全要求物流數(shù)據(jù)具有可用性、完整性和秘密性；內(nèi)容安全要求物流信息內(nèi)容健康、符合法律和道德規(guī)范的要求；行為安全要求基于云平臺的操作在完整性、可控性和秘密性方面得到保障。

　　物流公共信息云平臺運行的核心模式是提供服務(wù)，服務(wù)提供的前提是用戶和服務(wù)提供方之間建立有效的信任。如同儲戶和銀行之間對于財務(wù)信息、病人和醫(yī)生之問對于隱私信息的信任管理一樣，物流公共信息云平臺必須解決信任管理問題。物流公共信息云平臺的信任安全管理目標(biāo)是使企業(yè)“放心”地將“隱私”信息存儲在“云端”的平臺之上，即保障“云用戶”獲得的“云服務(wù)”是可靠的、安全的，甚至是私密的。這表現(xiàn)在“云用戶”不用擔(dān)心數(shù)據(jù)被惡意竊聽、篡改、泄漏和濫用，也不用擔(dān)心“云端”信息被非法訪問，并且其基于云平臺的各種行為如服務(wù)部署、業(yè)務(wù)交易是公平的、公正的和受保護(hù)的。

　　4、基于云計算的物流公共信息平臺安全體系

　　與傳統(tǒng)的IDC(Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心)服務(wù)不同，云服務(wù)的一個顯著特點就是虛擬化，其技術(shù)實現(xiàn)本質(zhì)上是計算、存儲、服務(wù)器、應(yīng)用軟件等IT軟硬件資源的虛擬化。物流公共信息云平臺安全性要求平臺系統(tǒng)提供從物理基礎(chǔ)設(shè)施到應(yīng)用程序與數(shù)據(jù)，再到人員及身份等的一系列的安全機(jī)制。物流公共信息云平臺的安全體系由一系列云安全服務(wù)構(gòu)成，是實現(xiàn)其安全需求的技術(shù)手段與管理機(jī)制。根據(jù)所屬層次的不同，物流公共信息云平臺的安全服務(wù)體系可分為云平臺安全基礎(chǔ)設(shè)施服務(wù)、云平臺安全基礎(chǔ)服務(wù)和云平臺安全應(yīng)用服務(wù)三類，如圖1所示。

圖1 物流公共信息云平臺安全體系

　　4.1 物流公共信息云平臺安全基礎(chǔ)設(shè)施服務(wù)

　　物流公共信息云平臺安全基礎(chǔ)設(shè)施服務(wù)是整個云平臺安全的基石，提供基于外部和內(nèi)部的安全性管理。一方面，云平臺安全基礎(chǔ)設(shè)施服務(wù)在抵御外部攻擊方面提供全方位的安全保障，例如，在基礎(chǔ)設(shè)施方面提供機(jī)房建筑安全、防火防盜安全、電力供應(yīng)安全；在基礎(chǔ)設(shè)備方面提供服務(wù)器安全、通訊線路安全、網(wǎng)絡(luò)設(shè)備安全；在平臺云存儲方面提供日志管理、數(shù)據(jù)備份、災(zāi)難恢復(fù)等；在平臺云傳輸方面提供網(wǎng)絡(luò)可達(dá)性、拒絕服務(wù)攻擊、數(shù)據(jù)傳輸機(jī)密性等；在平臺應(yīng)用系統(tǒng)方面提供系統(tǒng)用戶身份管理、虛擬機(jī)安全、補丁管理等；在平臺數(shù)據(jù)庫方面提供DBS安全、數(shù)據(jù)的隱私性與訪問控制、數(shù)據(jù)備份與清潔等。另一方面，云平臺安全基礎(chǔ)設(shè)施服務(wù)在內(nèi)部安全性方面，實施面向用戶承諾的信任管理，提供完善的服務(wù)契約協(xié)商與執(zhí)行機(jī)制，加強(qiáng)公共信息平臺運營的內(nèi)部管理與控制，并引入可信的第三方來監(jiān)管。物流公共信息云平臺的信任安全從本質(zhì)上說是屬于社會安全問題范疇，因此信任機(jī)制的建立、運行、評價和持續(xù)改進(jìn)是一個復(fù)雜的社會管理過程，在這個過程中，除了需要應(yīng)用云安全技術(shù)手段，還需要輔以社會公共管理手段，如完善法律法規(guī)體系，建立誠信的社會風(fēng)氣等。

　　4.2 物流公共信息云平臺安全基礎(chǔ)服務(wù)

　　物流公共信息云平臺安全基礎(chǔ)服務(wù)是為各類物流云應(yīng)用提供共性的信息安全服務(wù)，為滿足物流云用戶安全性需求提供必要的支持。典型的物流云平臺安全基礎(chǔ)服務(wù)包括：1)信息保護(hù)。物流公共信息云平臺具有高度的公眾性與開放性，云平臺集中了海量的信息資源，而且很多是企業(yè)的機(jī)密和敏感信息，物流信息云平臺需要建立起一套嚴(yán)格高效的信息保護(hù)機(jī)制，其應(yīng)用的安全保護(hù)技術(shù)主要包括數(shù)字簽名技術(shù)、加密技術(shù)、數(shù)字證書技術(shù)等。2)云審計服務(wù)。使用物流公共信息云平臺的用戶涉及數(shù)量眾多的企業(yè)、銀行、政府機(jī)關(guān)和社會團(tuán)體，作為平臺服務(wù)的使用者，它們往往缺乏威脅識別、安全防護(hù)與舉證能力，當(dāng)有不恰當(dāng)?shù)幕蚴欠欠ǖ男袨榘l(fā)生時，由第三方實施的審計就顯得尤為重要。云審計與跟蹤服務(wù)為保障用戶權(quán)益提供審計和鑒證功能。3)身份和訪問管理。身份和訪問安全主要是解決信息使用，即授權(quán)適當(dāng)?shù)娜藛T，在適當(dāng)?shù)臅r間以有效、合規(guī)的方式訪問適當(dāng)資源這一問題。安全的身份和訪問管理對任何環(huán)境都是不可或缺的，但在云計算環(huán)境中變得更加復(fù)雜與必要，它需要完成身份的供應(yīng)、注銷以及身份認(rèn)證過程，同時還需做好平臺系統(tǒng)的訪問控制。

　　4.3 物流公共信息云平臺安全應(yīng)用服務(wù)

　　物流公共信息云平臺的功能與企業(yè)的應(yīng)用是緊密聯(lián)系的，云平臺向用戶提供客制化的應(yīng)用系統(tǒng)服務(wù)。物流公共信息云平臺安全應(yīng)用服務(wù)旨在滿足用戶個性應(yīng)用系統(tǒng)的安全需求，如云網(wǎng)頁過濾與殺毒應(yīng)用、內(nèi)容審查服務(wù)、關(guān)鍵詞過濾服務(wù)、安全事件監(jiān)控與預(yù)警云服務(wù)、云垃圾郵件過濾及防治等。云平臺安全應(yīng)用服務(wù)在企業(yè)門戶安全、電子郵箱安全、短信平臺安全、即時通信安全和電子支付安全等方面提供靈活、高效的安全保障。

　　5、基于云計算的物流公共信息平臺安全管理

　　5.1 基于云計算的物流公共信息平臺安全責(zé)任劃分

　　物流公共信息云平臺是物流信息交換和匯集的中心，其參與的主體包括政府、第三方物流企業(yè)、制造企業(yè)、流通企業(yè)和金融機(jī)構(gòu)等，在運營過程中，各方在保證信息安全方面都有責(zé)任，而恰當(dāng)劃分云平臺和用戶的安全責(zé)任是實施云平臺安全管理的前提。一般來說，物流公共信息云平臺應(yīng)保證從底層到上層，即“基礎(chǔ)設(shè)施層：資源虛擬化層一中間件與平臺層一應(yīng)用程序與軟件層”的安全性。而對于物流云用戶來說，用戶(企業(yè)、銀行、政府、團(tuán)體)應(yīng)負(fù)責(zé)在所獲得的虛擬化資源基礎(chǔ)上進(jìn)行計算和數(shù)據(jù)處理的安全性，負(fù)責(zé)自己的應(yīng)用程序或軟件系統(tǒng)在運行過程中的安全性，負(fù)責(zé)自己賬號、密碼以及數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　5.2 基于云計算的物流公共信息平臺安全評估

　　在提出恰當(dāng)?shù)陌踩�控制措施前，�?yīng)針對物流信息云平臺系統(tǒng)進(jìn)行安全和風(fēng)險評估。根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中關(guān)于信息安全風(fēng)險評估的定義，基于云計算的物流公共信息平臺安全評估是指根據(jù)信息安全的技術(shù)和管理標(biāo)準(zhǔn)，結(jié)合物流行業(yè)應(yīng)用需要，對云平臺系統(tǒng)在傳輸、處理和存儲信息過程中的信息機(jī)密性、完整性和可行性等與安全相關(guān)的屬性進(jìn)行評價的過程。對物流公共信息云平臺進(jìn)行安全風(fēng)險評估的目的是確切掌握平臺系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險有多大，從而在安全風(fēng)險的預(yù)防、減少、轉(zhuǎn)移、補償和分散等之間做出科學(xué)的決策，提出有針對性地抵御威脅的防護(hù)對策和整改措施，為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，最大限度地保障信息安全提供科學(xué)依據(jù)。

　　5.3 基于云計算的物流公共信息平臺安全控制

　　物流公共信息云平臺的安全控制本質(zhì)上是一項管理工作，不僅要依靠技術(shù)手段，而且需要依賴管理手段。在安全控制技術(shù)方面，可以采用的有可信訪問控制技術(shù)、虛擬安全技術(shù)、云資源訪問控制技術(shù)和數(shù)據(jù)隱私保護(hù)技術(shù)等�？尚旁L問控制技術(shù)主要是指利用密碼學(xué)方法實現(xiàn)平臺的訪問控制；虛擬安全技術(shù)包括虛擬機(jī)問信息流控制、虛擬機(jī)監(jiān)控與隔離、虛擬網(wǎng)絡(luò)接入控制等；云資源訪問控制技術(shù)主要解決云計算環(huán)境下平臺共享資源的訪問控制問題；數(shù)據(jù)隱私保護(hù)技術(shù)幫助用戶控制自己的敏感信息在物流云端的存儲和使用。在安全控制管理方面，一是建立企業(yè)內(nèi)控和風(fēng)險管理機(jī)制，加強(qiáng)企業(yè)風(fēng)險識別與控制管理；二是規(guī)范與完善基于物流公共信息云平臺商業(yè)活動的法律法規(guī)；三是在物流公共信息云平臺的云服務(wù)合同中需明確平臺和用戶在合同履約和審計過程中的責(zé)任；四是在物流公共信息云平臺的整個生命周期中加強(qiáng)云平臺數(shù)據(jù)管理；五是在發(fā)生云數(shù)據(jù)遷移時，物流云平臺能夠提供相應(yīng)的遷移方法和流程。

　　物流的發(fā)展依賴物流信息化，物流信息化的核心在于構(gòu)建物流公共信息平臺，隨著物流產(chǎn)業(yè)的振興和云計算理論與技術(shù)應(yīng)用日趨成熟，基于云計算的物流公共信息平臺將具有廣闊的發(fā)展前景。但與此同時，物流云平臺也面臨著更加復(fù)雜的安全挑戰(zhàn)，建立并不斷完善物流公共信息云平臺安全體系，是保證物流有效服務(wù)經(jīng)濟(jì)發(fā)展的前提。物流公共信息云平臺的安全性不僅是技術(shù)問題，而且是管理問題，是社會問題，需要學(xué)術(shù)界、產(chǎn)業(yè)界以及全社會的共同努力與關(guān)注。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：云計算的物流公共信息平臺安全性

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839514709.html