一种保护云存储平台上用户数据私密性的方法
计算机研究与发展ISSN1000 1239 CN11 1777 T P Journal o f Co mputer R esear ch and D ev elo pment48(7):1146 1154,2011
一种保护云存储平台上用户数据私密性的方法
侯清铧 武永卫 郑纬民 杨广文
(清华信息科学与技术国家实验室(筹) 北京 100084)
(清华大学计算机科学与技术系 北京 100084)
(houqh06@gma https://www.360docs.net/doc/4718830499.html,)
A Method on Protection of User Data Privacy in Cloud Storage Platform
H ou Qinghua,Wu Yongw ei,Zheng Weimin,and Yang Guangw en
(T s ing hua N ational L abor ato ry f or I nf ormation S cience and T echnology(T N L I S T),Beij ing100084)
(D ep artment of Comp uter Science and T echnology,T singhua Univ er sity,Beij ing100084)
Abstract No w adays,many researcher s and IT com panies pay close attention to cloud stor ag e.A lot of applications use cloud storage to store data.But m any people and com panies w orry about the secur ity and privacy pro blem of cloud storag e.Clo ud storage platform is pro ne to com pro mise or abuse from adversaries including the cloud administrators.The security and privacy pro blem of cloud storag e is the security and pr iv acy problem of distributed file system,w hich is the co re o f cloud sto rage.With SSL secure connectio n and secure v ir tual m achine m onitor(Daoli),the security and pr iv acy of the user s data can be pro tected in the distributed file system,even facing a total co mpr omise of the distributed file system or the o perating sy stem.W ith secur e virtual machine m onitor,conv entional attacks and attacks from cloud administrator s can be prevented.Tw o schemes for different applicatio n scenarios are put forw ard.In one schem e,every chunk of user s file is pro tected,so the pr iv acy o f every chunk is g uaranteed.In another metho d,o nly the w hole file is protected,and the priv acy of the w hole file is g uaranteed not all chunks.T he overhead of the additio n of SSL secure connectio n and secur e virtual machine monitor are evaluated.In consideration of the priv acy of user s data,the ov erhead can be to ler ated.
Key words clo ud sto rage;distributed file system;data pr iv acy;virtual machine;secur e virtual m achine mo nitor
摘 要 近年来,云存储被研究者和IT厂商广泛关注,许多应用程序都用云存储来存储数据.但是用户和厂商都对于云存储的安全性和私密性问题表示忧虑.云存储安全的核心是分布式文件系统的安全性和私密性.基于SSL安全连接和Daoli安全虚拟监控系统可以充分保护分布式文件系统中用户数据的安全性和私密性.安全虚拟监督系统可以阻止传统攻击及来自云管理员的攻击.针对用户的不同需求和数据存储系统的特点,有2种解决方案,分别针对分布式文件系统中用户文件的每一块进行保护,保障用户文件每一块的私密性及对整个用户文件进行保护,保证用户文件整体私密性.对于用户数据的私密性而言,SSL安全连接和虚拟监控系统引入的性能损失是可以被接受的.
关键词 云存储;分布式文件系统;数据私密性;虚拟机;安全虚拟监督系统
中图法分类号 T P302
收稿日期:2010-12-28;修回日期:2011-04-13
基金项目:国家 九七三 重点基础研究发展计划基金项目(2007CB310900,2011CB302505);国家自然科学基金项目(60803121,60773145, 60911130371,90812001,60963005);国家 八六三 高技术研究发展计划基金项目(2009AA01A130,2009AA01A132,2006AA01A101, 2006AA10A108,2006AA01A111,2006AA01A117)
云存储是指通过集群、网格和分布式文件系统等技术,将网络中各种不同类型的存储设备通过软
件集合起来协同工作,共同对外提供数据存储和业务访问功能的一种新兴的存储模式.云存储服务为用户提供以互联网为基础的在线存储服务,用户根据需要付费就可以从云存储服务提供商处获得任意大小的存储空间和企业级别的服务质量.目前,很多著名的IT企业都致力于云存储的研究与推广,也有许多云存储服务已经或即将被用户使用.例如Go ogle的许多业务都基于Go ogle自己构建的云存储服务,如在线文档服务Goog le Do cs、邮件服务Gm ail等等.Am azon的S3(simple storag e ser vice)云存储服务为用户提供了一个高可靠、可以随时随地通过Internet访问的数据存储环境,Amazo n本身的各种全球网络应用也基于S3.随着云存储技术逐渐走向实用,云存储的安全也变得越来越重要.据国内专业调研机构CBIResearch相关数据表明:目前,大约有80%的企业基于数据安全性的考虑不愿意将企业内的业务数据放在公有云上.企业非常关心他们信息的安全性.在云存储中,由于存储数据的物理介质不属于云存储用户所有,当用户将数据交给云存储提供商后,具有数据优先访问权限的并不是相应的用户,而是云存储的提供商,同时,在云存储平台中用户的数据处于共享环境下,在这种情况下如何保证用户数据的私密性是人们非常关注的问题.而云存储的核心实际上是一个分布式文件系统,所以云存储平台上的数据私密性问题实际上就是分布式文件系统的私密性问题.本文讨论了一种云存储平台上分布式文件系统中的用户数据私密性保护的方法,我们将Daoli虚拟机监督系统与分布式文件系统结合起来以保护分布式文件系统中的用户数据私密性.
1 云存储结构介绍
在云存储中,最核心最主要的部分是分布式文件系统,分布式文件系统的作用是将数量众多的廉价存储设备构成的庞大的存储资源池整合为一个整体,为上层提供统一的存储服务.大部分的分布式文件系统,如GFS[1],H adoopFS[2],Ceph[3]等,都是由分布式文件系统客户端、元数据服务器和块数据服务器这3个主要部分构成的(如图1).分布式文件系统可以同时被多个客户端访问;块数据服务器一
般是由许多服务器共同组成的;而元数据服务器根据各个分布式文件系统的设计,可能由一台服务器或者多台服务器构成.
Fig.1 T he architecture of distr ibuted file system.
图1 分布式文件系统的结构
在分布式文件系统中,一般由元数据服务器负责分配和记录每个文件的各个文件块存储在的块服务器的位置以及每个文件的元数据信息;分布式文件系统客户端负责将文件分块并发送文件块到元数据服务器指定的块数据服务器,或者通过查询元数据服务器获得文件块的位置信息后从块数据服务器读取相应的数据块;块数据服务器则负责文件块的存储工作.
2 基于Daoli的云存储数据私密性保护方法
2.1 Daoli简介
Dao li是一个基于Xen[4 5]的微型可信的安全虚拟机监督系统.Dao li的设计目标是对在虚拟机中现代商用操作系统上运行的应用程序的CPU、内存和外围I O设备等进行隔离[6],以此来达到保护应用程序中用户数据私密性的目的.Daoli把硬件和一个微型的安全虚拟机监督系统作为可信基,能够防范一般的传统攻击和来自于操作系统管理员的攻击,在这些攻击下可以确保用户数据的私密性.但Daoli 并不保证服务的可用性.使用Daoli保护后系统的整体结构如图2所示:
F ig.2 T he architecture o f com puter with the pr otectio n of
Dao li.
图2 Dao li保护下的系统结构图
1147
侯清铧等:一种保护云存储平台上用户数据私密性的方法
2.2 基于安全虚拟监督系统的用户数据私密性保
护模型
对于一般的分布式文件系统的结构,用户文件的元数据交互全部位于分布式文件系统客户端和元数据服务器之间,而用户文件数据的交互全部位于分布式文件系统客户端和块数据服务器之间.基于这样的数据交互特征,我们可以得到一种最简单的保护模型,如图3所示,即用户在与分布式文件系统进行数据交互时采用SSL 安全连接,即当用户传输数据块先经由用户客户端的SSL 模块进行加密再通过网络传输至分布式文件系统,这样用户数据在网络传输的过程中均为密文形式,可以确保安全性和私密性.当用户数据传递给分布式文件系统后,经由分布式文件系统处的SSL 模块进行解密,当用户数据被写入分布式文件系统磁盘时,用户可以认为
数据在写入前会先经过安全虚拟监督系统进行加密再提交给分布式文件系统所在的计算机操作系统进行写入,这样实际得到用户明文数据的仅有分布式文件系统,而操作系统不能获得用户的明文数据.操作系统得到的用户数据及写入硬盘后的用户数据均为密文,通过安全虚拟监督系统我们将用户数据与操作系统隔离开,这样即使有人恶意获取了操作系统管理员权限,用户数据私密性也不会受到威胁,可以确保用户数据在分布式文件系统所在的计算机的内存和硬盘中的安全性和私密性.用户数据的读取则是写入的逆过程.基于这种保护模型我们针对不同的应用提出了2种保护方案.在我们的保护方案中,采用了Daoli 安全虚拟监督系统,所用的分布式文件系统客户端、元数据服务器和块数据服务器都部署在虚拟机中
.
Fig.3 T he mo del of prot ection scheme.
图3 保护方案模型
3 解决方案
3.1 对于用户所有数据块的保护方案(方案1)
如果用户认为自己的文件数据中的每一数据块都需要私密性保护,那么就可以使用这种保护方案.在这种保护方案中,我们会对分布式文件系统的客户端和块数据服务器进行保护,我们需要在分布式文件系统客户端和块数据服务器上部署Daoli 安全虚拟监督系统,而元数据服务器上则不需要部署Daoli 安全虚拟机监督系统.在用户客户端向分布式文件系统客户请求文件服务时,分布式文件系统客户端首先会向元数据服务器请求文件的元数据及文件块存储位置等信息.由于这个过程中并不涉及到用户文件的实际数据,所以在这个过程中我们不进行任何保护,所有的操作完全按照原有的分布式文
件系统的流程进行(如图4).在这个过程中,用户客户端首先向分布式文件系统客户端请求文件,分布式文件系统客户端会将文件进行分块并向元数据服务器请求各个文件块所在的块服务器地址与文件块在相应块服务器上的位置.元数据服务器向分布式文件系统客户端返回这些信息,这样文件元数据信息交互就完成了.分布式文件系统客户端得到文件元信息之后,会和指定的块数据服务器交互以读写文件数据块并将读写后的文件信息传递给用户客户端.写数据块时(如图5),用户客户端的文件数据通过SSL 模块进行加密传输,传输到分布式文件系统客户端后再经过SSL 模块进行解密.在分布式文件系统客户端,文件会被进行分块等操作,之后通过SSL 模块进行加密后被传输到块数据服务器再经过SSL 模块解密,解密后的数据将被写入到块数据服务器的本地硬盘之中.在进行写入数据的系统调用
1148计算机研究与发展 2011,48(7)
时,会被Daoli 安全虚拟监督系统截获,Daoli 会将存在于用户空间的文件数据进行加密并将其拷贝到一个由Daoli 安全虚拟监督系统和虚拟机操作系统共享的缓冲区中,之后再将系统调用移交给虚拟机操作系统执行.这样写入到硬盘中的数据将是密文.在整个用户文件数据传输的过程中SSL 模块的存在可以确保用户数据在各个应用程序间进行传递时端到端的数据安全性和私密性.在块数据服务器中
将文件数据加密写入硬盘可以保证数据在物理硬盘上的安全性和私密性.但在整个传输过程中,用户数据在内存中的安全性和私密性却没有受到任何保护.下面我们将对用户数据在内存中的保护进行描述.用户数据在内存中的保护有2个子问题:一个是操作系统与应用程序的隔离问题;另一个是在DM A 过程中的用户数据保护问题
.
F ig.6 T he co mpo sitio n o f virtual addr ess space.
图6 虚拟地址空间的构成
首先描述操作系统与应用程序隔离的问题及解决方案.现代的应用程序进程都会各自拥有独立的内存地址空间(虚拟地址空间)而操作系统会保留一部分内存地址空间(内核地址空间)仅供其自身使
用.对于每一个应用程序进程来说内核地址空间的地址分布是相同的,除去内核地址空间外的虚拟地址空间被称为用户地址空间(如图6).对于应用程序进程来说,其自身仅能访问用户地址空间的内容
1149
侯清铧等:一种保护云存储平台上用户数据私密性的方法
而不能直接访问内核地址空间,如果需要访问内核地址空间,则需要使用操作系统提供的各种系统调用,在进行系统调用时进程会从用户态切换至内核态,由操作系统来实现内核地址空间的访问操作,在系统调用返回时应用程序进程会从内核态切换回用户态继续执行.但是操作系统却可以直接访问整个虚拟地址空间中的内容.
由于应用程序进程各自拥有独立的内存地址空间,但实际的物理内存地址空间仅有一个.所以每个应用程序进程会关联一个页表,这个页表保存了该应用程序进程的虚拟地址空间到实际的物理内存地址空间的地址映射.对于每个应用程序进程来说,它的数据并非被其自身独自占有,操作系统可以访问所有应用程序进程的用户地址空间,所以每个应用程序进程的数据对于操作系统来说都是可见的.这样如果攻击者获得了操作系统管理员的权限,那么就可以很容易地窃取到应用程序的各种数据.而现代商用操作系统的代码量庞大,接口众多,操作系统中的各种驱动程序良莠不齐、漏洞很多,所以操作系统很容易被攻破而使得攻击者获得操作系统管理员权限.因此让操作系统可以直接访问到应用程序进程的用户地址空间的内容是非常不安全的.为了保证用户数据的私密性,我们采用Daoli在虚拟机操作系统和应用程序之间做了良好的隔离.使用Daoli 之后,受保护的应用程序进程会关联2个页表,一个是原始页表,另一个是仅包含内核地址空间映射的影子页表.应用程序进程在用户态时使用原始页表,在内核态时使用影子页表.当应用程序进程在内核态和用户态之间切换时会被Daoli所截获,Daoli负责切换应用程序的原始页表与影子页表.这样当应用程序进程进行系统调用后在内核态运行时由于使用了影子页表,影子页表中并不包含用户态地址空间的映射表项,所以操作系统不可能访问到应用程序进程用户态地址空间中的任何数据.这样就严格的将操作系统与应用程序隔离开来,使得攻击者即使获得了操作系统管理员权限,仍然无法威胁到用户数据的安全性和私密性.对于那些需要在内核态访问用户态地址空间数据的系统调用,我们使用Daoli对其进行截获,将这些数据从用户态地址空间拷贝到内核态地址空间或从内核态地址空间拷贝到用户态地址空间,并在拷贝的过程中对于涉及到的用户文件数据的系统调用(例如sy s_w rite,sy s_read 等)中的数据进行加解密处理以保证用户数据的安全性和私密性(如图7).用户数据在内存中的保护的另一子问题是DM A过程中的用户数据保护.传统的DMA数据交换操作在应用程序进程的内核态地址空间和用户态地址空间均可进行.由于在DM A过程中可以任意访问应用程序进程的用户态地址空间,这就使得攻击者可以通过DM A的方式来窃取用户位于内存中的数据.通过相应的硬件技术(如Intel的VT d和AM D的SVM)可以保证虚拟计算平台上各个虚拟机间的DM A隔离,确保一个虚拟机不会对另一个虚拟机的内存地址空间进行DM A访问[7].所以我们仅需要将一个虚拟机内部的各个应用程序进程及虚拟机操作系统的DMA访问隔离开来即可.对于容许进行DM A访问的内存页面,其映射信息会保存在IOM MU的映射表中,只有通过该映射表进行查找才能进行相应的DM A 访问操作.所以我们在一个需要被保护的应用程序进程启动时,使用Dao li来检查这个映射表,删除受保护的应用程序用户地址空间的映射信息,仅保留内核地址空间的映射信息,并且在这个映射表更新时Dao li会对更新的映射信息进行检查,以确保不会有受保护的应用程序进程用户地址空间的映射被添加进来.这样就使得DMA访问仅能在内核态地址空间中进行.而通过前面操作系统与应用程序隔离问题的描述我们可以知道,拷贝到内核态的用户数据均进行了加密处理,全部为密文,所以在这种情况下非法的DM A访问也不会对用户数据的安全性和私密性造成影响.
Fig.7 T he encr ypt decr ypt process of file data.
图7 文件数据写入与读取中的加解密过程
通过这个保护方案我们可以确保用户每个文件数据块在网络传输、内存访问、硬盘存储这整个过程中的安全性与私密性,可以确保攻击者即使获得了操作系统管理员权限,仍然无法对用户数据的安全性和私密性造成威胁.
3.2 对于用户整个文件的整体保护方案(方案2)
如果用户认为自己的文件数据中的每一块的私
1150计算机研究与发展 2011,48(7)
密性并不是很重要,而所有文件数据块组成的文件的私密性却很重要时,可以使用这种保护方案.在这种保护方案中,我们会对分布式文件系统客户端和元数据服务器进行保护,我们需要在分布式文件系统客户端和元数据服务器上部署Daoli安全虚拟监督系统,而在块数据服务器上则不必部署Dao li安全虚拟监督系统.在用户客户端向分布式文件系统客户端请求文件服务时,分布式文件系统客户端会首先向元数据服务器请求文件的元数据及文件块存储位置等信息.在这个过程中我们对分布式文件系统客户端与元数据服务器进行文件块存储位置信息交互时使用SSL安全连接,以确保用户文件数据块的位置信息不被泄露(如图8).之后分布式文件系统客户端会与块数据服务器进行文件数据交互,在这个过程中仍然使用SSL安全连接保证用户数据的安全性和私密性(写文件如图9).这种方案中用户文件的元数据及文件数据块与块数据服务器的映射关系将会以密文的形式存储在元数据服务器上,而文件数据块本身将以明文的形式存储在块数据服务器上.具体的用户数据在网络、内存和硬盘中的保护方法与第1种方案基本相同.
使用此方案,我们可以保证用户整个文件的数据安全性和私密性,但是不保证用户文件数据块的安全性和私密性.
4 性能测试
我们采用已在清华大学校园内被广泛使用的Corsair系统来进行性能测试.Corsair是一个为清华大学校内用户服务的海量数据存储平台,由客户端和服务器端构成.客户端是一个用Java写成的应用程序,可以安装在用户计算机上与服务器端进行交互以上传和下载数据.服务器端由多个vsftpd组成,每个vsftpd分布在不同的物理主机之中,对外提供统一的存储服务.我们在服务器端的物理主机
1151
侯清铧等:一种保护云存储平台上用户数据私密性的方法
上部署Daoli 系统,并在客户端与服务器端进行交互的过程中采用SSL 安全连接,这样就可以保护用户数据的安全性和私密性了.基于此种架构,我们进行了数据传输的测试.测试环境:网络环境为100Mbps 以太网;服务器端为一台H P Compaq dc7900台式机,CPU 为Intel 酷睿2四核Q94002.66GHz,内存3GB ,硬盘为SA TA 500GB (7200转),网卡为100M bps 以太网卡;客户端为一台H P Elitebook 2730p,CPU 为Intel 酷睿2Duo L94001.86GH z,内存2GB,硬盘为SAT A 120GB(5400转),网卡为1000M bps 以太网卡.
4.1 大文件传输测试
我们使用了一个700M B 的文件进行测试.其中 原始 表示不使用SSL 安全连接且不部署Daoli 时的性能; 加入SSL 表示仅使用SSL 安全连接不在服务器端部署Daoli 时的性能; 加入SSL 和Daoli 表示使用SSL 安全连接并在服务器端部署Daoli 后的性能.表1、表2、图10、图11为测试结果.
Table 1 The Performance of the Server when Transf erring a
Big File
表1 大文件传输时服务器端性能数据
Test Type Server CPU U sage %T ran sfer Rate M Bps S erver CPU Us age Trans fer Rate
Origin 3.5610.756220.330971With SS L 15.39 3.75903 4.094141With SSL and Daoli
19.45
3.73893
5.202
023
Fig.10 T he CPU usag e transfer r ate on t he serv er
w hen transferr ing a big file.
图10 大文件传输时服务器端CPU 占用率 传输速度
Table 2 The Performance of the C lient when Transf erring a
Big File
表2 大文件传输时客户端性能数据
Test Type Client CPU U sag e %T ran sfer Rate M Bps Client CPU Usage T ran sfer Rate
Or igin 20.05710.75622 1.864689With SS L
52.732
3.75903
14.08706
Fig.11 T he CP U usage tr ansfer rate on the client w hen
transferr ing a big file.
图11 大文件传输时客户端CPU 占用率 传输速度
表1和图10表现了服务器端在原始、加入SSL 、加入SSL 和Daoli 保护这3种状态下的CPU 占用率与下载速度之比.表2和图11表现了客户端在原始、加入SSL 这2种状态下的CPU 占用率和下载速度之比.对于单个大文件的传输,从表2和图11我们可以看到,系统的瓶颈出现在客户端上,客户端的计算机是双核机器,CPU 占用率达到50%以上,这说明Corsair 客户端实际上已经占满了一个CPU 核心,客户端这里的性能损失完全是由SSL 安全连接引入的.从表1和图10我们可以看到,在服务器端和原始的情况相比,SSL 安全连接引入了11倍多的性能损失,而Daoli 保护则引入了2倍多的性能损失.而从表2和图11我们可以看到,在客户端SSL 安全连接引入了6倍多的性能损失.4.2 连续的小文件的传输测试
我们使用了1000个100KB 的小文件进行连续的传输测试.其中 原始 表示不使用SSL 安全连接且不部署Daoli 时的性能; 加入SSL 表示仅使用SSL 安全连接不在服务器端部署Dao li 时的性能; 加入SSL 和Dao li 表示使用SSL 安全连接并在服务器端部署Daoli 后的性能.表3、表4、图12、图13为测试结果.
Table 3 The Performance of the Server when Transferring a
Series of Small files
表3 小文件连续传输时服务器端性能数据
T es t T ype S erver CPU Usage %Transfer Rate M Bps S erver CPU Usage Transfer Rate Origin
3.390.1775619.09214W ith S SL 3.490.141762
4.61907W ith S SL and Daoli
4.16
0.14106
29.491
1152计算机研究与发展 2011,48(7)
Table4 The Performance of the C lient when Transf erring a Series of Small Files
表4 小文件连续传输时客户端性能数据
T est T ype Client CPU
U sage %
Transfer Rate
M Bps
Client CPU Usage
Transfer Rate
Origin10.4380.1775658.78576
With SSL14.1150.1414199.81614
表3和图12表现了服务器端在原始、加入SSL、加入SSL和Dao li保护这3种状态下的CPU 占用率与下载速度之比.表4和图13表现了客户端在原始、加入SSL这2种状态下的CPU占用率和下载速度之比.对连续的小文件的传输,从表3,4和图12,13我们可以看到,系统的瓶颈出现在小文件的打开关闭及读取中,网络带宽和CPU均未占满.从表3和图12我们可以看到,在服务器端和原始的情况相比,SSL安全连接引入了0.29倍的性能损失,而Daoli保护则引入了0.26倍的性能损失.从表4和图13我们可以看到,在客户端和原始情况相比,SSL安全连接引入了0.72倍的性能损失.
从性能测试的结果来看,Dao li保护引入的性能损失远小于使用SSL安全连接引入的性能损失,相对于用户数据私密性保护而言,这样的性能损失对于我们的应用来说是可以接受的.
5 相关工作
目前存在并被广泛使用的分布式文件系统,如GFS[1],H adoopFS[2],Ceph[3]等,都只有单一的文件存储功能,不提供用户数据的私密性保护功能.
Overshado w[6]使用了与Dao li类似的技术来达到内存和I O的隔离保护的目的,使用Overshadow 不需要对操作系统和应用程序作任何修改,我们使用的Daoli系统会对操作系统内核作少量的修改,这样的修改使得使用Dao li的性能损失比使用Overshado w更小.
XOM[8 9]和SP[10 11]通过提供加密和不加密的2种内存视图来达到内存隔离保护的目的,但它们都需要使用特殊的处理器结构,同时它们可以防范来自硬件的攻击.而在我们的方案中使用的Daoli系统仅考虑来自软件的攻击,这样使得我们可以使用现有的硬件来解决问题.XOM和SP还要求应用程序进行一定的修改,而我们使用的Daoli系统则不必修改应用程序.
与客户端预先加密文件数据的方法相比,我们的方法更加简单并具有普适性.如果在客户端预先加密文件则需要对于用户使用分布式文件系统的各种客户端进行修改,同时用户需要管理密钥并在性能不高的客户端部分进行复杂的加解密操作,这使得用户的操作变得更加复杂、耗时.而在服务器端的安全虚拟监督系统中进行的加解密操作,可以使得用户操作变得简单方便且不需要修改客户端的各种应用程序,同时仍然能保证用户数据的私密性.
6 结 论
在本文中,我们描述了分布式文件系统的一般特征.基于这些特征,我们使用SSL安全连接来确保用户数据在网络传输时的安全性和私密性,使用Dao li来确保用户数据在分布式文件系统所在的物理主机内存、硬盘及I O上的安全性和私密性.我们提出了一个对于用户存储在分布式文件系统中的数据保护的模型,并基于这个模型针对不同应用提出了2种解决方案.这2种方案对于各自的应用都可以
1153
侯清铧等:一种保护云存储平台上用户数据私密性的方法
有效地保证用户数据在分布式文件系统中的安全性和私密性,能有效地防止传统的网络攻击和来自于操作系统管理员的攻击.通过对分布式文件系统的保护我们可以达到对云存储服务的保护.对于用户数据私密性而言,这样的保护带来的性能损失仍然是可以接受.
参考文献
[1]Ghemawat S,Gob ioff H,Leun g S T.T he Google file sy stem
[C] Proc of the19th ACM Sym p on Operating Systems
Prin ciples.New York:ACM,2003:29 43
[2]Borthakur D.HDFS Architecture[EB OL].(2010 02 19)
[2010 08 21].http: https://www.360docs.net/doc/4718830499.html, comm on docs current hdfs_design.h tm l
[3]J ones M T im.Ceph:A Lin ux petabyte scale distribu ted file
s ystem[E B OL].(2010 05 04)[2010 08 21].http: w ww.
ib https://www.360docs.net/doc/4718830499.html, developerw ork s linux library l ceph ind ex.html [4]Barham P,Dragovic B,Fraser K,et al.Xen and the Art of
Virtu aliz ation[C] Proc of the19th AC M Sym p on
Operating Sys tems Prin ciples.New York:ACM,2003:164
177
[5]S hi Lei,Zou Deqing,J in H ai.Xen Virtualization Technology
[M].Wuh an:H uaz hong University of Science&
T echnology Pres s,2009(in Chinese)
(石磊,邹德清,金海.Xen虚拟化技术[M].武汉:华中科
技大学出版社,2009)
[6]C hen Xiaoxin,Garfin kel T al,Lew is E C hristopher,et al.
Overshadow:A virtualization based approach to r etrofitting
p rotection in commodity operatin g system s[C] Proc of the
13th Int Conf on Arch itectural Supp ort for Programming
Languages and Operating System s.New Yor k:ACM,2008:
2 13
[7]Ab ram son D,Jacks on J,M u thras anallu r Sridh ar,et al.Intel
virtualization techn ology for directed I O[J].Intel
Virtu aliz ation Techn ology,2006,10(3):179 192
[8]Lie David,T hekkath Ch andramohan A,H orow itz M ark.
Implementing an untrus ted operating system on trusted
h ardw are[C] Proc of the19th ACM Sym p on Operating
S ystem s Prin ciples.New York:ACM,2003:179 192
[9]Lie David,Thekkath Chandramohan,M itch ell M ar k,et al.
Arch itectural support for copy and tamper res istant s oftw are
[C] Proc of the9th Int Conf on Architectu ral Support for
Program ming Languages an d Op erating Systems.New York:
ACM,2000:168 177
[10]Dw osk in Jeffrey S,Lee Ruby B.H ardw are rooted trust for
secure key manag ement and tran sien t trust[C] Proc of the
14th ACM C on f on C om puter an d Comm unications Security.
New York:ACM,2007:389 400
[11]Lee Rub y B,Kw an Peter C S,M cGreg or J ohn P,et al.
Arch itecture for protecting critical secrets in microprocess or s
[C] Proc of th e32nd Int Sym p on Com pu ter Arch itecture.
Wash ington:IEEE,2005:2
13
Hou Qinghua,born in1988.P hD
candidate.H is research inter ests include
distributed system and data secur ity and
privacy in distr ibuted
system.
Wu Yongwei,born in1974.A sso ciate
pro fesso r and PhD super viso r.H is
r esear ch int erests include g r id computing,
parallel and distributed computing,
algo rithm design and analy
sis.
Zheng Weimin,bo rn in1946.P rofessor
and P hD superv isor.H is main research
inter ests include gr id and cluster
computing,hig h perfo rmance sto rag e
system and bio lo gy co
mputing.
Yang Guangw en,bor n in1963.P rofessor
and P hD superv isor.H is r esear ch interests
include co mputer a rchitectur e,parallel and
distributed co mputing.
1154计算机研究与发展 2011,48(7)
环境保护大数据建设方案样本
环境信息大数据分析平台( 项目建议书)
目录 1建设目标 (3) 2建设内容 (4) 3功能模块详细描述 (4) 3.1基础数据采集与整合 (4) 3.2基于认知计算的环境信息大数据分析 (5) 3.3重污染预警与决策支持 (6) 3.4工业园区污染来源解析 (7) 3.5区域异常污染自动监管系统 (8)
1建设目标 本项目将借鉴国际最新大数据、物联网、云计算、移动、社交, 以及空气质量建模和预报溯源方面的研究成果, 开展环境信息大数据分析及工业园区污染溯源等方面的关键技术研究, 并在此基础上建立一套针对鄂尔多斯市的环境信息大数据分析平台, 进而实现业务化运行。 本项目的主要建设目标如下: (1)建立空气质量相关信息的360度视图, 支撑科学系统的管理决策。对空气质量监测、综合观测、污染源、交通流量、地理信息, 以及社会舆情等各类相关信息进行充分整合, 形成数据源的统一管理、统一维护和高效查询, 并提供契合现有业务逻辑的数据关联分析服务。 (2)实现基于认知计算的环境信息大数据分析。基于平台中积累的各类数据, 经过关联分析、时间序列分析、空间分布分析、案例分析和知识规则推理等多种手段, 使用认知计算技术对环境信息进行大数据分析, 产生更大的价值。 (3)构建应对措施的科学决策支持分析系统。基于高精度分析模型, 结合大气污染源排放清单, 根据污染控制措施的需求, 制作空气污染决策服务产品, 向环境管理部门提供决策支持, 制定有效、经济、低影响的科学应急处理措施。 (4)构建工业园区污染溯源系统。基于高精度预报模型, 结合
重点污染源排放清单和综合观测数据, 提供工业园区之间污染来源和去向追踪, 给出每个园区的每种污染物随时间演化的空间分布和来源比例。 (5)构建区域异常污染自动监管系统。充分利用大数据分析技术, 将跨部门、跨行业、跨地域的数据整合起来,以更加科学的方式实现未批先建、超标排放等区域异常污染事件的发现和分析, 应对环境事件、减少环境危害。把环境数据与其它关键数据结合起来, 让新的信息化手段为环境管理提供系统性的支撑, 用数据说话, 为管理者决策提供依据。 2建设内容 本项目的建设内容包括: (1)基础数据采集与整合 (2)基于认知计算的环境信息大数据分析 (3)重污染预警与决策支持 (4)工业园区污染溯源 (5)区域异常污染自动监管系统 3功能模块详细描述 3.1 基础数据采集与整合 覆盖全市的空气质量监测网络, 构建环境信息数据库, 开发一体化的数据实时采集、数据解析处理、自动质量控制、数据加工、叠置分析、预警识别等功能模块, 实现数据一体化的统一加
云政务平台方案(政府单位信息化系统集成整体解决方案)
云政务平台方案 省级电子政务云 (各级政务云容灾备份节点) 政务网 省级业务专有云 (公安云、社保云……) 市级业务专有云 (公安云、社保云……) 省级民生服务云 (教育云、医疗云…… ) 市级民生服务云云 (教育、医疗云……) 市级电子政务云市级电子政务云 市级电子政务云 IDC 同城备份中心 民生服务云 业务专有云IDC 同城备份中心IDC 同城备份中心 市级电子政务云同城备份中心 图示:政务网专线运营向导线 电子政务资源公共服务平台架构图 云运维体系 云 安全体系 电子政务资源公共服务平台门户 门户层S A A S P A A S I A A S 物理层 基础设施虚拟化 服务器 存储 网络设备 安全设备 通用型应用行业专有应用OA 邮件网站群 工商 税务林业 通用功能组件 云中间件 云数据库 云GIS 数据交换平台 软硬件基础设施服务 云服务器云存储 结构化数据大数据计算云网络 数据中心
教育云平台架构图 云运维体系 云安全体系教育云平台门户 门户层 S A A S P A A S I A A S 物理层 基础设施虚拟化 服务器 存储 网络设备 安全设备 基础教育 高等教育 教育桌面远程教育中心 通用功能组件 云中间件云数据库 云GIS 数据交换平台 软硬件基础设施服务 云服务器 云存储结构化数据大数据计算 云网络 数据中心 光 纤教育网数据 接口应用 教育局 镇区教育办 中小学校 职业/高等教育 社会教育机构 和会公众 在线教育高性能计算 数字校园区域数据中心在线科研在线教务 企业云平台架构图 云运维体系 云安全体系 企业云平台门户 门户层 S A A S P A A S I A A S 物理层 基础设施虚拟化 服务器 存储 网络设备 安全设备 基础应用专业应用OA 通用功能组件 云中间件云数据库 云GIS 数据交换平台 软硬件基础设施服务 云服务器 云存储结构化数据大数据计算 云网络 数据中心 PPM CMS CRM HR FM ERP SPM BI BPM O2O SE
企业信息化系统集成建设方案只是分享
企业信息化管理系统建设方案 最大限度的提高管理效率,实现办公自动化,最小的投资换回最高的回报。
目录 第1章云终端系统 (3) 1.1 企业信息技术的发展 (3) 1.2 PC机模式的弊端 (3) 1.3 云终端企业办公网络解决方案 (3) 1.4 云终端方案和标准PC方案预算对比 (5) 1.5 方案图解 (7) 1.6 云终端产品简介 (7) 1.7 服务器配置要求 (9) 第2章GPS汽车定位系统 (10) 2.1 GPS车辆监控管理系统工作原理 (10) 2.2 系统功能 (10) 2.2.1实时定位 (10) 2.2.2超速报警统计 (11) 2.2.3疲劳驾驶报警 (11) 2.2.4轨迹回放 (12) 2.2.5轨迹分析 (12) 2.2.6定点搜车 (13) 2.2.7停车数据统计 (13) 2.2.8应急报警 (14) 2.2.9进出站场统计 (14) 2.2.10里程统计 (15) 2.2.11速度曲线图 (15) 2.2.12线路偏离报警 (16) 2.2.13图片传输 (16) 2.2.14视频录像 (18) 第3章一卡通系统 (19) 3.1 一卡通系统概述 (19) 3.2 网络结构说明 (20) 3.3 软件体系架构 (20) 3.4 质量保证体系 (22)
3.5 售后服务承诺 (23) 第一章云终端系统 1.1 企业信息技术的发展 随着现代信息技术的飞速发展,越来越多的用户更加注重自身信息架构的简便易用性、安全性、可管理性和总体拥有成本,企业也不例外。近年来,信息化建设发展迅速,企业网络不断完善。 但是,现阶段一些企业电脑网络的建设,大都采用单独享用各自PC机的模式,而PC 机模式具有采购部署成本高、大量PC机资源闲置浪费、后期管理维护困难、安全性差等诸多问题。因此,如何能够构建一个低成本、易于管理、安全性高的企业网络一直是企业信息化的焦点。 1.2 PC机模式的弊端 (1)PC造价高昂 企业网络具有人员用机数量较大的特点,一般10-150台不等,采购众多PC机成本高昂,而安装软件需要同等数量的LICENSE,进一步增加成本,并且在每次的电脑升级换代和维护过程中,都需要企业投入较大的资金,应用的成本较高。 (2)管理维护困难 企业网络的主要使用对象为办公人员,而这些办公的计算机专业技术水平通常不高,这便增加了管理人员对PC终端管理的复杂性;另外,随着企业息化建设的逐步深入,PC 终端需要配合企业的应用系统建设,进行系统的升级和更新,而每次系统升级或更新,都需要庞大的处理工作,不可避免地增加了系统的维护工作量和开销。 (3)安全性差 PC终端本地拥有存储,办公人员可以随意安装各类软件,容易受到病毒攻击,系统安全性较差。 (4)噪音辐射功耗大 传统PC功耗在200W/小时左右,耗电量大,机箱风扇运行噪音干扰也较为严重,另外机体辐射较强,对人体健康不利。 (5)整洁度不高 整洁的办公环境能给工作人员带来轻松愉快的心情,从而使得办公效果更佳。当前办公空间十分有限,分配用于办公网络的空间不会很大,而PC机占用空间较大,在一个有限的空间内部署多台PC会影响办公环境的整洁和美观。
宽正网上教育推广
《宽正网上教育教学平台》 淄博宽正数码网络科技有限公司创办于1999年,企业秉承“立足山东、面向全国,诚信服务、创新合作”的立业原则,在广大消费者和企事业合作伙伴中赢得了广泛信誉。2002年底被中国科学技术交流中心审定为“中国优秀高新技术企业”!2007年在由教育部中央教育科学研究所、中国人才研究会教育人才专业委员会主办,网、中国教育盛典网、中国教育品牌网协办,以及中央电视台、中国教育电视台、光明日报、南方都市报、新华网、搜狐网等多家媒体支持的第二届中国教育培训机构品牌评选活动中,“宽正网上教育教学平台”被授予“2007中国最具品牌影响力网络教育平台”、“全优典(直播互动)教学平台”被授予“2007中国最受校企欢迎网校”(唯一获此殊荣的培训机构)。 专为教研教学部门设计的教委级网络应用系统,提供了学校与教研室信息互通、教研活动组织、教师办公、培训、学生管理、家校互动和教学资源等一整套教研、教学网络应用方案。 2008年,由中华人民共和国版权局授予知识产权,登记号2008SR15499。宽正网上教育教学平台定位: 为用户提供极具完整性、专业性的网络教育“云服务” 宽正网上教育教学平台简介: 《宽正网上教育教学平台》着眼于教育主管单位在地区内教育教研网络应用建设的统一规划和部署。平台涵盖所有与教育有关的各类用户,包括教委公人员,教研员,学校校长、教师、学生,学生家长;实现了各类用户角色之间的信息互通、教育管理、教研组织和成果及资源展示,为用户提供极具完整性、专业性的网络教育“云服务”平台。 宽正网上教育教学平台功能: 网络教育单位的整合管理 网络教育信息的交流互通 网络教研活动的策划组织 网络教育资源的征集展示 网络教育人物的风采个性
大数据+智慧城市云平台整体方案
智慧城市顶层规划 设 计 方 案 北京XX科技有限公司 2019年X月
目录 第1章基本概况 (1) 1.1 某某市概况(要点) (1) 1.2 某某市管辖区-某某区概况(要点) (1) 第2章创建智慧城市可行性分析 (2) 2.1 需求分析 (2) 2.1.1 推进城镇化建设需要“智慧化” (2) 2.1.2 产业转型升级需要“智慧化” (3) 2.1.3 加强城市管理与运营需要“智慧化” (4) 2.1.4 提高生活品质需要“智慧化” (4) 2.2 现有基础条件和优势分析 (5) 2.2.1 现有基础条件 (5) 2.2.2 优势分析 (9) 2.2.3 可行性分析 (10) 2.3 风险分析及对策 (13) 2.3.1 政策风险 (13) 2.3.2 行为风险 (14) 2.3.3 经济风险 (16) 2.3.4 技术风险 (17) 2.3.5 实施风险 (17) 2.3.6 人才风险 (18) 2.3.7 某某市理性认识智慧城市系统 (18) 2.3.8 某某市确定智慧城市建设策略 (19) 2.3.9 某某市基本现状与建设智慧城市定位 (20) 2.3.10 继承国家课题成果降低风险高起点建设 (20) 2.3.11 某某市创新智慧城市建设机制 (21) 2.3.12 某某市全面梳理智慧城市业务并理清相关互系 (21) 2.3.13 某某市将实行设计与建设分开实施的原则 (24) 2.3.14 某某市将做好智慧城市顶层设计 (24) 2.3.15 某某市将实现政府管理与服务业务一体化改革 (25) 2.3.16 某某市智慧城市技术整合与创新 (26) 2.3.17 确定智慧城市工程同已建系统的关系 (27) 2.3.18 某某市利用智慧城市建设整合国家综合成果 (28) 第3章创建智慧城市的目标和任务 (30) 3.1 创建目标 (30) 3.1.1 “智慧某某市”发展预期 (30) 3.1.2 “智慧某某市”总体目标 (31) 3.1.3 “智慧某某市”创建目标 (32) 3.2 考核指标 (36) 3.2.1 信息基础设施建设 (36) 3.2.2 建设与宜居 (38) 3.2.3 管理与服务 (39) 3.2.4 产业与经济 (42)
互联网+环境保护监管监测大数据平台整体解决方案
互联网+环境保护 监管监测大数据平台整体 解 决 方 案
目录 1概述 (14) 1.1项目简介 (14) 1.1.1项目背景 (14) 1.2建设目标 (15) 1.2.1业务协同化 (16) 1.2.2监控一体化 (16) 1.2.3资源共享化 (16) 1.2.4决策智能化 (16) 1.2.5信息透明化 (17) 2环境保护监管监测大数据一体化管理平台 (18) 2.1环境保护监管监测大数据一体化平台结构图 (18) 2.2环境保护监管监测大数据一体化管理平台架构图20 2.3环境保护监管监测大数据一体化管理平台解决方案(3721解决方案) (20) 2.3.1一张图:“天空地”一体化地理信息平台 .. 21
2.3.2两个中心 (30) 2.3.3三个体系 (32) 2.3.4七大平台 (32) ?高空视频及热红外管理系统 (44) ?激光雷达监测管理系统 (44) ?车载走航管理系统 (44) ?网格化环境监管系统 (45) ?机动车尾气排放监测 (45) ?扬尘在线监测系统 (45) ?餐饮油烟在线监测系统 (46) ?水环境承载力评价系统 (46) ?水质生态监测管理系统 (47) ?湖泊生态管理系统 (47) ?水生态管理系统 (48) ?排污申报与排污费管理系统 (49) ?排污许可证管理系统 (49) ?建设项目审批系统 (49)
3环境保护监管监测大数据一体化管理平台功能特点 (51) 3.1管理平台业务特点 (51) 3.1.1开启一证式管理,创新工作模式 (51) 3.1.2拓展数据应用,优化决策管理 (51) 3.1.3增强预警预报、提速应急防控 (52) 3.1.4完善信息公开、服务公众参与 (53) 3.2管理平台技术特点 (54) 3.2.1技术新 (54) 3.2.2规范高 (55) 3.2.3分析透 (55) 3.2.4功能实 (56) 1、污染源企业一源一档 (59) 3.2.5检索平台 (61) 3.2.6消息中心 (62) 3.3管理平台功能 (62) 3.3.1环境质量监测 (63) 3.3.2动态数据热力图 (64)
菏泽市学校安全教育平台入口登录
精品文档 菏泽市学校安全教育平台入口登录 导语:菏泽原系天然古泽,济水所汇,菏水所出,连通古济水、泗水两大水系,唐更名龙池,清称夏月湖。清朝雍正十三年(1735年)升曹州为府,附郭设县,因南有“菏山”,北有“雷泽”,赐名菏泽。是著名的中国牡丹之都、武术之乡、书画之乡、戏曲之乡、民间艺术之乡。 点击登录:菏泽市学校安全教育平台入口登录 消防安全基础知识一定数量或浓度的可燃物 一定数量或浓度的助燃物 有一定能量的热源 着火因素在时间和空间上失去控制,并造成一定危害的燃烧现象 发现火情后,应遵循一面报警,一面扑救的原则,火势不大,能确认火势被自己完全扑灭,也可以先行用(就近的灭火器)扑救,扑灭后再报告现场负责人。 1,突发性,严重性,复杂性 1电话报警:先拨号,说出本人的姓名、所在单位、燃烧部位、火势大小、燃烧的物质、附近的情况,(加油站、加气站、煤气罐充装站等) 打碎或按下破玻璃报警器报警(男、女使用区别) 消防墙式电话报警(针对酒店) 应迅速的关闭燃气开关,用灭火毯由里向外盖上,或 1 / 16 精品文档 用1211和干粉灭火器,也可往锅内倒入蔬菜,以冷却温度,切记勿用水灭火,也不能把油倒在地上。厨房用火,应先点火,后开气 迅速的关闭阀门,打开门窗,开启抽排烟系统,切勿使用明火。
首先应切断电源,然后用干粉或1211灭火剂灭火,确定线路无电时,才可用水扑救。 把没有熄灭的烟头用水浸湿,然后再倒入垃圾内,不能将未熄灭的烟头直接倒入垃圾内。 事故的原因不放过; 事故的责任人不放过; 事故整改措施不放过, 事故相关人员教育不放过。 1、报警系统:由探测器、报警电话、报警按钮及消防广播组成。 、灭火系统:由消火栓、喷淋和手提灭火器组成。 消火栓和喷淋的介绍;烟感和温感的介绍;灭火器的介绍(80年代的灭火器) 首先检查灭火器压力表是否正常,使用灭火器时应迅速和正确判断风向,提起灭火器垂直于地面,打开保险栓,站在上风位置距火源2米左右打开灭火器,对准火焰根部喷射。 2 / 16 精品文档 、防火、防烟系统:高层宾馆为安全起见,根据建筑结构都设计了防火、防烟分区,酒店分成基干个防火分区。区与区之间都由防火门或防火卷帘门隔开,、疏散系统:是火灾发生以后,人员安全转移的关键。 、防、排烟系统:送风使疏散楼梯间产生正压风量,使烟雾不能侵入楼梯间。 、避难系统:是宾馆不可缺少的,避难层和不受火灾危害的场所组成的系统。 1、了解你现在的位置及周围的消防通道,临危不乱是从容逃生的重要条件。 、离开房间疏散时,要带一条湿毛巾,经过烟雾区时,用湿毛巾捂住口鼻,以防吸入毒气。
山东省实行“云服务券”财政补贴助推“企业上云”实施方案(2017-2020年)
山东省实行“云服务券”财政补贴助推“企业上云”实施方案 (2017-2020年) “企业上云”是指企业通过高速互联网络,便捷地获取云服务商提供的计算、存储、软件、数据等服务,对于提高资源配置效率、降低信息化建设成本、促进共享经济发展、加快新旧动能转换,具有重要意义。为落实《中共山东省委山东省人民政府支持非公有制经济健康发展的十条意见》(鲁发〔2017〕21号)、《山东省人民政府关于贯彻国发〔2016〕28号文件深化制造业与互联网融合发展的实施意见》(鲁政发〔2017〕17号)精神,采取“云服务券”财政补贴方式推动我省“企业上云”发展,制定本实施方案。 一、总体目标和要求 立足山东制造业与互联网产业基础优势,着力构建云环境、云开发、云应用产业和服务体系,加快“企业上云”进程,云计算产业链和生态体系建设取得明显进展,企业云计算应用达到国内领先水平,成为巩固制造业大省地位、加快向制造强省迈进的重要驱动力。 力争到“十三五”末,一是“企业上云”意识和积极性明显提高,企业主动利用云服务降低信息系统构建成本,提高信息化应用水平,着力培育发展新动能。二是“企业上云”数量和应用深度大幅
增加,全省上云企业达到20万家,“企业上云”的信息化投入每年超过30亿元,节约信息化建设成本每年超过60亿元。三是培育和引进一批国内领先的云计算服务商,形成“企业上云”的技术支撑和服务保障,其中培育国内领先的综合云平台服务商5家、行业云平台服务商50家、云应用服务商200家,搭建省级体验中心30个。 二、重点内容和任务 根据企业对云服务的不同需求,“企业上云”的重点内容和任务主要是推动企业基础设施上云、企业平台系统上云、企业业务应用上云。 (一)企业基础设施上云。一是计算资源上云。重点推动企业按照业务需求,弹性快速使用云平台的各种云服务器,实现计算资源集中管理和动态分配。二是存储资源上云。重点推动企业分类使用存储资源,根据数据属性种类针对性选择云存储,提高数据存储的经济性、安全性和可靠性。三是网络资源上云。重点推动企业通过虚拟私有云、虚拟私有网络、弹性负载均衡等服务高效安全利用云平台网络资源,自由选择多种灵活可调的互联网接入带宽和IP地址服务,实现时延更小、更快的网络接入。四是安全防护上云。重点推动企业数据安全、业务安全及网络安全等上云。通过防攻击、密钥/证书管理、运行程序认证等手段来保障企业信息安全;通过云备份和容灾等手段来保证数据安全,防止丢失。五是办公桌面上云。重点推动企业使用云平台提供的虚拟桌面与应用服务,随时随地接入云桌面办公,
山东教育云平台填报方法 班主任角色
山东省普通高中学生综合素质评 价信息管理系统 操作手册 班主任角色 二〇一七年五月
目录 目录 (2) 文档编写目的 (4) 功能简介及使用注意事项 (4) 第一部分首页 (5) 一、通知公告 (5) 二、结果公示 (6) 三、待办任务 (7) 四、同学圈 (8) 第二部分我的班级 (9) 一、我的学生信息 (9) 二、学生填写动态 (10) 第三部分填报指导 (10) 一、基本情况 (11) 第四部分资料填报 (12) 一、日常操行 (12) 二、教师评语 (15) 第五部分档案监控 (17) 一、填报进度查看 (17) 二、填报质量监控 (18) 第六部分档案管理 (18) 一、档案查询 (18) 第七部分档案提交 (21) 一、档案提交 (21) 第八部分我的课表.................................. 错误!未定义书签。 一、我的课表..................................................................................... 错误!未定义书签。
第九部分我的同学圈 (22) 一、我的同学圈 (22)
文档编写目的 本文档用来指导班主任用户快速学习、使用“山东省普通高中学生综合素质评价信息管理系统”(以下简称“综评系统”)。 功能简介及使用注意事项 1. 任课教师使用主要流程,如下图: 其中学生评价包含:日常操行和学生评语两部分。 记录指导包含:任职情况、奖惩情况、典型事例、研究型学习、日常锻炼、心理素质、艺术素养、社会实践、陈述报告九大部分。 记录监控包含:记录进展和记录质量两部分。 2.班主任账号获取与使用 学校管理员导出初始化账号和密码 线下下发 学校管理员可重置其密码 建议绑定手机登录找回密码 注意:分配角色:可多角色 建籍完成—分配班级—班级数据
山东省电子政务公共服务云平台管理办法
省省级电子政务公共服务云平台 管理办法 (征求意见稿) 第一章总则 第一条为规和加强省省级电子政务公共服务云平台(以下简称云平台)建设和管理,确保云平台安全可靠、高效稳定运行,依据和省相关法律和规定,制定本办法。 第二条本办法适用于云平台的建设、应用、运维、安全、服务、评价等全过程管理。 第三条云平台是电子政务重要基础设施,遵循“统一规划、统一建设、统一服务、统一安全保障”的原则进行建设和管理。电子政务项目按照省政府有关规定,应基于云平台提供的各项服务的基础上进行开发建设。 第四条本办法所指云平台是指运用云计算技术,统筹利用计算、存储、网络、安全、信息、应用支撑等资源和条件,基于电子政务外网和互联网,提供基础设施、支撑软件、应用功能、信息资源应用、信息安全和运行维护等服务的电子政务综合性服务平台。 第五条设区市根据实际情况可不建设当地云平台,直接接入省级云平台或就近接入其他市的云平台。
第二章管理主体和职责 第六条云平台的建设、安全运行和管理主要涉及云平台的管理机构、用户和云服务商。 第七条管理机构是指省信息化主管部门和财政部门,负责对云平台的各项工作进行管理和指导。其主要职责包括:(一)制定云平台顶层设计及配套政策、制度。 (二)依法依规选定云服务商。 (三)组织省电子政务专家咨询委员会专家(以下简称专家)对云平台的建设和服务提供指导。 (四)组织专家、用户和第三方专业机构对云服务商提供的各项服务进行监督、评价与管理。 (五)推动业务信息系统向云平台部署和迁移。 (六)制定云平台服务目录、计费办法、标准体系,建立服务质量评价体系,发布云平台年度评价报告。 (七)统筹电子政务项目建设和云平台运行保障服务所需资金。 (八)指导协调与市级云平台的互联互通。 (九)协调配合信息安全管理部门和专业机构, 对云平台开展安全检查和技术检测等工作。 (十)其他与云平台相关的管理工作。 第八条用户是指所有使用云平台服务的财政拨款部门和单
桌面云平台系统集成方案
桌面云平台系统集成方案
目录 1.项目概述 (7) 1.1项目背景 (7) 1.2需求分析 (7) 1.3建设目标 (8) 2.桌面云整体设计 (8) 2.1设计原则 (8) 2.2整体设计拓扑图 (10) 2.3整体设计概述 (10) 2.4方案优势 (11) 2.4.1桌面集中管理的优势 (11) 2.4.2分布式计算的优势 (13) 2.4.3成本优势 (14) 3.桌面云详细设计 (16) 3.1vShpere基础架构平台 (16) 3.1.1vShpere平台介绍 (16) 3.1.2vShpere基础架构平台的优势 (16) 3.2vCenter Server (17) 3.2.1vCenter Server介绍 (17) 3.2.2vCenter Server的优势 (17) 3.3vCenter Server设计规格 (18) 3.3.1vCenter 服务器的建立 (18) 3.3.2vCenter 服务器规格 (18) 3.3.3vCenter 数据库 (19) 3.3.4vCenter 数据库规格 (19) 3.4ESXi主机设计 (20) 3.4.1服务器主机指标要求 (20) 3.4.2ESXi主机容量规划 (20) 3.4.3ESXi主机配置规格 (22) 3.4.4服务器主机 IP信息 (23) 3.4.5ESXi软件规格 (24) 3.5vCenter Server配置 (24) 3.5.1集群属性 (24) 3.5.2集群功能设定 (24)
3.5.4vCenter 资源池 (26) 3.5.5群集扩展说明 (26) 3.5.6虚拟机的命名 (26) 3.5.7ESXi主机的命名 (27) 3.6存储设计 (27) 3.6.1需求分析 (27) 3.6.2存储设备选型 (27) 3.6.3存储设备参数 (29) 3.6.4存储性能和容量规划 (31) 3.6.5存储逻辑设计 (33) 3.6.6存储LUN的规划及设计 (34) 3.6.7VAAI管理套件 (36) 3.7网络设计 (37) 3.7.1网络设计示意图 (37) 3.7.2物理交换机设备选型 (37) 3.7.3分布式交换机体系结构 (45) 3.7.4逻辑虚拟网络设计 (46) 3.7.5分布式交换机技术及优势 (46) 3.7.6物理交换机Vlan设计 (47) 3.7.7分布式交换机端口组配置 (47) 3.8虚拟桌面设计 (48) 3.8.1View Manager (48) 3.8.2View 版本说明 (50) 3.8.3View支持的操作系统 (51) 3.8.4虚拟桌面池管理 (52) 3.8.5虚拟机的资源管理 (53) 3.8.6安全访问 (53) 3.8.7高可用性与扩展 (54) 3.8.8离线桌面 (55) 3.8.9物理桌面发布 (55) 3.8.10应用虚拟化 (55) 3.8.11启动风暴的优化 (56) 3.8.12访问负载均衡 (57) 3.8.13虚拟桌面优化 (58) 3.8.14桌面用户配置文件管理 (59) 3.8.15开放式API (59)
国家教育管理信息系统信息安全保障体系建设指引-山东教育云服务
国家教育管理信息系统信息安全保障体系建设指南 (试行) 教育部教育管理信息中心 2013年12月
目录 引言............................................. - 1 - 一、建设目标与总体框架............................. - 3 - 1.1建设目标 ..................................... - 3 - 1.2建设原则 ..................................... - 3 - 1.3总体框架 ..................................... - 4 - 二、建设内容 ...................................... - 8 - 2.1国家、省两级信息安全保障体系建设.............. - 8 - 2.1.1 安全管理体系建设内容 ................... - 8 - 2.1.2 安全技术体系建设内容 ................... - 9 - 2.2统一安全管理与技术支撑体系建设............... - 10 - 2.2.1 统一信息安全监管体系 .................. - 11 - 2.2.2 统一关键安全技术支撑体系建设........... - 14 - 2.3应用系统终端安全建设 ........................ - 16 - 三、组织实施 ..................................... - 19 - 3.1信息系统定级备案 ............................ - 20 - 3.2安全建设(整改)规划 ........................ - 21 - 3.3安全建设(整改)实施 ........................ - 21 - 3.4安全等级测评 ................................ - 23 - 3.5安全建设验收 ................................ - 24 - 四、安全运维工作的组织实施........................ - 25 - 4.1建立信息安全运维队伍 ........................ - 25 - 4.2制定信息安全运维规范 ........................ - 25 - 4.3开展日常信息安全运维工作 .................... - 26 - 4.4配合教育部开展国家教育管理信息系统安全运维工作- 26 -附录1国家、省两级信息安全建设任务列表 ........... - 27 -附录2 省级教育部门需统一参数配置的安全设备列表.... - 28 -
智能交通系统集成平台技术方案
智能交通系统集成平台 技术方案
目录 第一章建设原则 (1) (一)加强指导、统筹规划 (1) (二)面向需求、重点突出 (1) (三)互联互通、资源共享 (1) (四)求实勿虚、提升服务 (1) (五)覆盖全局,深化应用 (1) 第二章总体框架 (2) 第三章智能交通集成平台方案 (3) 1.平台结构组成 (3) 2.支撑技术 (4) 3.系统接口及数据规范 (5) 4.与智慧城市平台信息共享 (19) 5.集成指挥平台 (22) 6.地理信息平台 (26) 7.交通综合信息平台 (29)
第一章建设原则 (一)加强指导、统筹规划 智能交通系统是一项巨大的系统工程,具有多元化、层次化、多学科交叉的特点,具有很强的广泛性和综合性,涉及政府、企业多个层面,必须在统一领导下进行统筹规划建设,使各单位遵照统一的规范建设,充分发挥整体作用和整体效益,充分运用云计算等先进技术,同时避免重复建设和开发,确保交通智能化建设的顺利实施。 (二)面向需求、重点突出 ITS 建设项目要根据交通运营与管理的需要,满足社会公众对交通行业信息的要求,加强智能管理信息系统特别是公共交通相关信息系统的开发利用,讲求实效,以应用促发展。项目建设要突出重点、分层建设、各负其责、共同发展、稳步推进,要根据实际情况和发展需求,制订项目实施计划,分步实施。 (三)互联互通、资源共享 把握“十二五”时期经济社会发展的新形势、新任务、新要求,从交通运行系统的全局出发进行ITS 建设,对各部门现有的基础资源加以整合,统一管理资源,避免交通行业内部资源分隔、各自为政,进而理顺各交通部门间信息交互关系,实现交通信息网络的互联互通和资源共享。 (四)求实勿虚、提升服务 坚持以人为本,以具有鲜明时代特征和行业特点的交通信息服务为重点,以智能交通信息化工程为推手,以支撑解决行业发展中的重大经济社会问题为宗旨,以需求、效果并重为导向,加快推进交通信息服务规范化、产业化发展,推动建立丰富实用、经济便捷的综合交通信息服务体系,使交通信息真正服务于民。 (五)覆盖全局,深化应用 以信息化覆盖智能交通现代化建设的全局,实现信息技术在智能交通系统运行监测、管理与服务领域的深度渗透与融合,加速推进深化应用,促使智能交通信息化在加快转变发展方式中发挥更重要的牵引和支撑作用,有效提高智能交通的发展质量和效益。
从工业云平台到工业大脑+
马铁宝 (Matt Ma) 阿里云解决方案总监 Solution Director, Alibaba Cloud
4.0 智慧互联网 3.0 能力互联网 2.0 商品互联网 1.0 信息互联网 知识空间 人机融合 AI->Hybrid AI 人机智能/创意体 制造生态 协同制造 F2C->C2M 人工智能/行业模型 电商平台 商品交易 B2C->C2C 云计算/大数据 门户网站 信息在线 PGC->UGC TCP/IP
垂直工业云平台 =行业数据 + 经验模型 + 应用服务 Industrial Cloud Platform = Industrial Data + Experience Model + App Service 农产品生产云平台 Agriculture Cloud 能源开采云平台 Energy Cloud 机械制造云平台 Manufacturing Cloud 工业垂直云平台N Other Vertical Cloud 工业通用云:互联网+云计算+大数据 Generic Industrial Cloud 机械制造大脑 机械制造大数据 机械制造PaaS 能源开采大脑 能源开采大数据 能源开采PaaS 农产品生产大脑 农产品生产 大数据 农产品生产PaaS 工业大脑N 工业大数据N 工业PaaS N
工业云计算平台(阿里云) Industrial Cloud Computing Platform 工业物联网平台 IOT Platform 大数据及AI 平台 Big Data and AI 工业设备连接 MQ 数据存储(DRDS) 实时处理(ARMS) 大数据平台 MaxCompute 业务大盘 DataV 生产制造应用 MES 资源计划应用 ERP 质量管理应用 LIMS 仓储物流应用 WMS 供应链管理应用 SCM 订单应用 OMS 安全?设备协议及工业标准支持 Security, Protocol, Standard 领域合作伙伴咨询服务 Business Partner Consulting Services 应用中间件平台MiddleWare 企业级互联网架构 Aliware 共享服务中心 Shared Service Center 工艺分析 供应链 产品设计 第三方服务 3rd Party Services Predix 工业微服务 智能企业应用 Intelligent Ent. Apps 工业PAAS 订单驱动 透明物流 产线调度 设备控制 计划排程 能源管理 过程管控 物联网套件(IOT) 行业相关的第三方服务 核心能力开放平台 CSB
工业数据智能安全云平台方案
工业数据智能安全云平台方案
一、项目概况 中车株洲电力机车研究所有限公司(中车株所)始创于1959 年,前身是铁道部株洲电力机车研究所,现为中国中车股份有限公司一级全资子公司。2016 年,公司销售收入达到320 亿元,位列湖南企业前15 强,株洲市第一。中车株所具备强大的自主研发与创新能力,已构建完成在轨道交通装备牵引传动与控制系统领域的自主创新研发平台,是中国轨道交通电气系统集成解决方案的首选供应商。
在向互联化、智能制造方向发展的过程中,轨道交通产业链重构转型,利益共享、风险同担。轨道交通整车与零部件厂商协作关系越来越趋向合作竞争,在产业链发挥各自的优势;客户多样化需求促使整车制造商与模块供应商在开发、制造、服务方面的紧密合作。产业生态系统互联意味着数据的互通,数据的互通也加剧了泄露风险。近两年,全球针对制造业的数据泄露事件多达2000 余起。为助力中国制造2025,提升自身的信息安全水平、促进信息安全技术创新,中车株所决定依托敏捷科技在企业内部建立具有中车株所特色的工业数据智能安全云平台。及交付、运营,努力实现全数字化驱动。“十二五”期间,中车株洲所通过开展产 1. 项目背景 中车株所具备强大的自主研发与创新能力,从设计到生产制造、检验检测以品研发设计数字化工作,各新产品设计周期普遍缩短了约30%,工程更改减少了约20%,研发成本降低了约10%,大大提高了企业技术创新的水平和能力。中车株所产线通过信息化和自动化手段升级,从人、机、料、法、环、测的维度进行全面质量管理,促进基础管理与技术的提升和优化,实现生产过程和生产管理的智能化。 中车株所目前已经建成涵盖轨道交通及工业领域大数据存储管理与分析挖掘业务,可支持海量工业设备数据接入的大数据平台,实现了打通设计、制造、物流、售后、质量等各个领域的关键数据,并形成闭环,产生服务价值。然而,轨道交通行业的特点是资产密集、长周期运营,而且信息非常分散,这就导致它对产品的质量和安全方面要求比较高。中车株所在追求企业转型升级的同时,对工控系统安全的认识达到了一个新的高度。积极推进企业级系统集成,实现生产
工业互联网云平台的大数据实践
龙源期刊网 https://www.360docs.net/doc/4718830499.html, 工业互联网云平台的大数据实践 作者: 来源:《软件和集成电路》2017年第05期 今天我会跟大家分享一下海尔在工业互联网云平台,以及在此平台上做的大数据的实践和落地。 我们为什么会打造工业互联网平台?1984年海尔创立至今有30多年的历史。在早期的时候,海尔生产什么,市场就会消化什么,用户就会买什么。但随着产品同质化的竞争越来越激烈,我们发现用户需求完全被释放,能够看到个性化、高端、高品质的用户需求越来越多,并且用户需要有更多的参与感、体验感,这时候我们发现用户其实是很难触达的。 海尔的工业互联网平台应运而生,平台首先还是为了满足用户需求,企业的诉求。互联网时代用户需求被充分释放,更多的用户愿意购买高端产品,因为其更可靠的质量和更好的体验。其次,用户有了个性化需求,但传统企业无法支撑用户便捷参与互动,无法精准感知用户需求,导致企业存在压货促销、库存大、利润下降等问题。同时,我国制造业普遍存在1.0、2.0、3.0,产业结构不合理,产业链创新能力弱等问题,这些制造业转型亟待解决的问题,都在倒逼工业互联网平台和生态。我们把平台命名为COSMOPlat,在意大利语里是宇宙的意思。 我们怎么实现COSMOPlat的战略转型呢?需要两个端,一端是智慧家庭,一端是互联工厂。智慧家庭以生态感受用户的需求,把我们这样一家卖电器的公司,慢慢变成通过互联网终端的感知,为用户提供一个家庭的生态系统,那么我们就不仅是卖一台冰箱、一台洗衣机,这样单一的产品了。通过这种感知,把以前的一锤子买卖,转换成高频、多次交互的服务。同时,我们会根据用户的不同需求和生态场景,去形成用户的社群。基于此,我们可以去经营我们的用户,快速捕捉用户的需求,并把这个用户需求结合后端柔性制造的智能工厂,提供高效率、便捷化、快速触达的整体解决方案。 我们的目的是从一家单一的只卖硬件产品的公司,变成了一个智慧生活方案的提供商,我们实现了大规模制造到大规模定制的工业领域转型。在这背后,是我们社群生态的大数据平台,这个是我们战略上的一个整体目标。 我们可以看到,我们与用户之间已经建立了一个很好的连接,但是海尔也不是万能的,我们需要纳入更多的资源。所以我们就启动了工业新生态的平台,去做到企业和资源端的快速并联,用户和企业端快速并联,用户和资源端快速并联。我们通过这个平台实现快速互联互通,形成开放体系,把我们的互联工厂服务、网络化协同制造、大规模定制服务在这个平台上迅速部署、实现和共享。
基于云计算平台的openstack系统集成
云计算是一种商业模型,被称为继个人电脑、互联网之后的第三次信息化革命。云计算正颠覆着传统的it模式,通过对云的应用和管理,企业可以降低信息化建设成本和各部门重复投资的硬件与管理成本,云计算的核心思想是将大量用网络连接的计算资源统一管理和调度,从而形成一个计算资源池向用户按需供给的服务。云计算已成为现代IT行业的一种趋势,对云计算的探讨是很有必要和价值的。从整体上来说,云计算的应用是基于大规模分布式的基础架构及平台之上的云计算应用两个方面的,其中,基础架构建设是整个云计算平台的基础,一种基于IaaS层资源管理的系统是必不可少的。 Openstack是一款完全免费的开源的云操作管理工具,旨在为公共及私有云的建设与管理提供软件,目前由OpenStack基金会管理,以其开放性,获得了众多厂商和开发者的支持,它提供了一种基础设施即服务(IaaS)的云计算解决方案。Openstack通过创建、启动和部署虚拟机的方式将资源引入云中。另外Openstack还可以通过虚拟机的方式将物理设备上分散的资源有效地集中起来,快速便捷地引入云中,提高资源的利用率。 本文通过全方位的展示开源云计算IaaS平台OpenStack的技术,展示目前这个平台的发展现状,以及这个平台部署过程中会遇到的问题,分享基于这个平台的部署和开发过程中的实战经验,来加深人们对云计算平台的认识和理解,让人们深入了解openstack的架构和原理,以及在基础设施层的部署实现和集成。技术分析,讲解OpenStack部署应用以及在此过程中遇到的问题,OpenStack的常用模块及功能;实战集成部署演示,也是本文重要的一个环节。最后对所有过程进行了总结,并讨论进一步工作展望。 关键字:云计算 Openstack 系统配置管理虚拟机
环境保护大数据建设方案
环境信息大数据分析平台 (项目建议书)
目录 1建设目标 3... 2建设内容 4... 3功能模块详细描述 4... 3.1基础数据采集与整合 4.. 3.2基于认知计算的环境信息大数据分析.............................. 5. 3.3重污染预警与决策支持 6.. 3.4工业园区污染来源解析 7.. 3.5区域异常污染自动监管系统 7..
1建设目标 本项目将借鉴国际最新大数据、物联网、云计算、移动、社交,以及空气质量建模和预报溯源方面的研究成果,开展环境信息大数据分析及工业园区污染溯源等方面的关键技术研究,并在此基础上建立一套针对鄂尔多斯市的环境信息大数据分析平台,进而实现业务化运行。 本项目的主要建设目标如下: (1)建立空气质量相关信息的360 度视图,支撑科学系统的管理决策。对空气质量监测、综合观测、污染源、交通流量、地理信息,以及社会舆情等各类相关信息进行充分整合,形成数据源的统一管理、统一维护和高效查询,并提供契合现有业务逻辑的数据关联分析服务。 (2)实现基于认知计算的环境信息大数据分析。基于平台中积累的各类数据,通过关联分析、时间序列分析、空间分布分析、案例分析和知识规则推理等多种手段,使用认知计算技术对环境信息进行大数据分析,产生更大的价值。 (3)构建应对措施的科学决策支持分析系统。基于高精度分析模型,结合大气污染源排放清单,根据污染控制措施的需求,制作空气污染决策服务产品,向环境管理部门提供决策支持,制定有效、经济、低影响的科学应急处理措施。 (4)构建工业园区污染溯源系统。基于高精度预报模型,结合重点污染源排放清单和综合观测数据,提供工业园区之间污染来源和去向追踪,给 出每个园区的每种污染物随时间演化的空间分布和来源 比例