電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)

鄧?yán)?/p>

摘? ?要：為保障電信大數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全，文章對(duì)電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)進(jìn)行研究。首先，分析電信大數(shù)據(jù)平臺(tái)及電信網(wǎng)的安全現(xiàn)狀;其次，設(shè)計(jì)電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)，包括物理隔離安全、訪問(wèn)控制安全、實(shí)時(shí)監(jiān)測(cè)預(yù)警3個(gè)方面。其中，物理隔離安全包括用戶安全訪問(wèn)平臺(tái)、數(shù)據(jù)安全交互平臺(tái)，訪問(wèn)控制安全包括用戶訪問(wèn)認(rèn)證機(jī)制、行為審計(jì)分析機(jī)制，實(shí)時(shí)監(jiān)測(cè)預(yù)警包括事前監(jiān)測(cè)、事中分析、事后處置3種監(jiān)測(cè)預(yù)警機(jī)制。本研究成果已應(yīng)用到某省電信大數(shù)據(jù)平臺(tái)建設(shè)工作中，并且取得了較好的使用效果。

關(guān)鍵詞：電信大數(shù)據(jù)平臺(tái);網(wǎng)絡(luò)安全;訪問(wèn)控制;安全審計(jì)

隨著4G，5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的快速發(fā)展和應(yīng)用，電信行業(yè)的大數(shù)據(jù)平臺(tái)建設(shè)項(xiàng)目越來(lái)越多。當(dāng)前，各電信運(yùn)營(yíng)商的電信大數(shù)據(jù)平臺(tái)已為政府、企業(yè)提供了較多的行業(yè)信息化應(yīng)用和支撐服務(wù)。與此同時(shí)，以竊取數(shù)據(jù)資源為目標(biāo)的網(wǎng)絡(luò)安全事件也越來(lái)越多，嚴(yán)重威脅各大數(shù)據(jù)平臺(tái)的正常運(yùn)營(yíng)工作，給社會(huì)和人民群眾帶來(lái)了較大的經(jīng)濟(jì)財(cái)產(chǎn)損失以及個(gè)人隱私數(shù)據(jù)泄露等問(wèn)題[1]。為確保電信大數(shù)據(jù)平臺(tái)的安全運(yùn)營(yíng)，必須進(jìn)行完備的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)，盡可能避免安全威脅事件的發(fā)生[2]。

為解決問(wèn)題，已有較多的研究團(tuán)體對(duì)大數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行了設(shè)計(jì)。根據(jù)各研究團(tuán)體的研究對(duì)象和研究方法，筆者將當(dāng)前已有的研究分為3類：（1）從大數(shù)據(jù)平臺(tái)的硬件環(huán)境方面進(jìn)行研究，通過(guò)分析和優(yōu)化服務(wù)器、交換路由設(shè)備、安全防御設(shè)備的設(shè)計(jì)和部署方法，實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問(wèn)控制以及對(duì)惡意行為的審計(jì)問(wèn)責(zé)等工作[3]。（2）從數(shù)據(jù)的全生命周期方面進(jìn)行研究，通過(guò)分析數(shù)據(jù)的來(lái)源、傳輸、存儲(chǔ)、處理、應(yīng)用5大環(huán)節(jié)中存在的安全隱患，針對(duì)性地設(shè)計(jì)大數(shù)據(jù)平臺(tái)的安全防護(hù)體系[4]。（3）針對(duì)各種典型安全事件進(jìn)行的安全防護(hù)設(shè)計(jì)。例如，張鋒軍[5]分析了數(shù)據(jù)篡改、信息泄露、數(shù)據(jù)丟失等方面的數(shù)據(jù)安全問(wèn)題，并總結(jié)了針對(duì)每種問(wèn)題的安全防護(hù)技術(shù);陳麗等[6]針對(duì)大數(shù)據(jù)平臺(tái)中用到的Hadoop技術(shù)架構(gòu)，從每個(gè)組件的安全性方面進(jìn)行了分析，并針對(duì)安全問(wèn)題提供了安全解決方案，有效提升了大數(shù)據(jù)Hadoop平臺(tái)的安全性能。

通過(guò)對(duì)已有研究成果分析可知，當(dāng)前在大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全方面已取得了較多的研究成果。但是當(dāng)前的研究主要聚焦在不同維度的通用體系架構(gòu)設(shè)計(jì)以及針對(duì)單個(gè)問(wèn)題的研究探討中，缺少可快速應(yīng)用于大數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)安全防護(hù)體系的研究成果，尤其缺少電信行業(yè)大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)。為解決此問(wèn)題，本文通過(guò)分析電信大數(shù)據(jù)平臺(tái)及電信網(wǎng)的安全現(xiàn)狀，設(shè)計(jì)電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)。經(jīng)過(guò)一年的應(yīng)用，本文體系架構(gòu)已取得了較好的使用效果。

1? ? 電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全現(xiàn)狀

通過(guò)對(duì)電信大數(shù)據(jù)平臺(tái)現(xiàn)狀進(jìn)行調(diào)研和分析可知，當(dāng)前電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全領(lǐng)域具有以下3個(gè)特點(diǎn)：

（1）網(wǎng)絡(luò)規(guī)模越來(lái)越大，用戶類型越來(lái)越多。隨著電信通信網(wǎng)技術(shù)的全球化發(fā)展，網(wǎng)絡(luò)技術(shù)架構(gòu)和管理體系的全球標(biāo)準(zhǔn)化工作進(jìn)程逐漸加快，為電信通信網(wǎng)的建設(shè)提供了統(tǒng)一性和開放性保障，有效促進(jìn)了電信通信網(wǎng)的快速發(fā)展。與此同時(shí)，電信通信網(wǎng)承載的業(yè)務(wù)類型也越來(lái)越多，用戶規(guī)模越來(lái)越大。但是電信通信網(wǎng)的開放性也為網(wǎng)絡(luò)攻擊行為提供了更多的攻擊機(jī)會(huì)，給網(wǎng)絡(luò)的安全運(yùn)營(yíng)帶來(lái)了較多安全隱患[7]。

（2）以竊取用戶身份和數(shù)據(jù)為主的違法犯罪活動(dòng)越來(lái)越多。通過(guò)對(duì)電信大數(shù)據(jù)平臺(tái)的運(yùn)營(yíng)數(shù)據(jù)統(tǒng)計(jì)分析可知，竊取用戶身份和數(shù)據(jù)的違法犯罪活動(dòng)可以分為內(nèi)部違法犯罪活動(dòng)和外部違法犯罪活動(dòng)兩種。其中，內(nèi)部違法犯罪活動(dòng)主要是由于內(nèi)部員工利用職務(wù)之便，將用戶的數(shù)據(jù)和信息從大數(shù)據(jù)平臺(tái)下載到本地后進(jìn)行銷售，從而獲得非法收入[8]。外部違法犯罪活動(dòng)是指網(wǎng)絡(luò)黑客采用非法技術(shù)手段，通過(guò)竊聽(tīng)、偽裝、入侵等攻擊手段，非法獲取大數(shù)據(jù)平臺(tái)的用戶數(shù)據(jù)和隱私信息。近年來(lái)，兩種犯罪活動(dòng)都向獲取經(jīng)濟(jì)利益方向發(fā)展。

（3）網(wǎng)絡(luò)安全漏洞越來(lái)較多，導(dǎo)致新型攻擊越來(lái)越多。隨著電信通信網(wǎng)規(guī)模的增大、大數(shù)據(jù)平臺(tái)的新技術(shù)增多，電信大數(shù)據(jù)平臺(tái)出現(xiàn)的漏洞也隨之增加。基于這些新型漏洞，網(wǎng)絡(luò)入侵人員更加便于實(shí)施網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊。同時(shí)，由于大數(shù)據(jù)資源的經(jīng)濟(jì)價(jià)值較高，使得越來(lái)越多的網(wǎng)絡(luò)入侵者自發(fā)地提升了攻擊技術(shù)能力，導(dǎo)致攻擊的類型和數(shù)量越來(lái)越多[9]。

2? ? 體系架構(gòu)設(shè)計(jì)

2.1? 設(shè)計(jì)思路

為了實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)中的數(shù)據(jù)安全，保障數(shù)據(jù)的私密性、可用性、完整性，本文提出的電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)思路如下：

（1）通過(guò)隔離技術(shù)和加密技術(shù)，實(shí)現(xiàn)大數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全。大數(shù)據(jù)平臺(tái)服務(wù)的用戶類型較多，并且采用多種分布式計(jì)算技術(shù)，所以，大數(shù)據(jù)的傳輸安全是大數(shù)據(jù)平臺(tái)的最基本要求。在體系架構(gòu)設(shè)計(jì)時(shí)，需要采用隔離技術(shù)和加密技術(shù)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸，保護(hù)數(shù)據(jù)的私密性和完整性。

（2）通過(guò)分級(jí)分類的身份管理和權(quán)限管理機(jī)制，實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)的人員管理安全。用戶身份是進(jìn)入大數(shù)據(jù)平臺(tái)的鑰匙，所以，身份管理是大數(shù)據(jù)平臺(tái)入口管理中最重要的工作。在訪問(wèn)控制設(shè)計(jì)時(shí)，基于用戶類型不同，采用分級(jí)分類的身份管理機(jī)制，為不同類型的用戶分配不同級(jí)別的權(quán)限，可以有效避免高級(jí)別的隱私數(shù)據(jù)被泄露。

（3）針對(duì)數(shù)據(jù)生命周期各個(gè)階段的風(fēng)險(xiǎn)漏洞制定安全策略，確保數(shù)據(jù)全過(guò)程的安全。大數(shù)據(jù)的安全包括數(shù)據(jù)的采集過(guò)程安全、存儲(chǔ)過(guò)程安全、處理過(guò)程安全、使用過(guò)程安全等關(guān)鍵環(huán)節(jié)。在設(shè)計(jì)數(shù)據(jù)安全策略時(shí)，需要從大數(shù)據(jù)的全生命周期分階段設(shè)計(jì)，從而避免由于某一階段的漏洞，導(dǎo)致數(shù)據(jù)的整體安全。

（4）通過(guò)對(duì)訪問(wèn)和操作過(guò)程進(jìn)行記錄和分析，實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)事前、事中、事后的安全審計(jì)。當(dāng)大數(shù)據(jù)平臺(tái)出現(xiàn)安全隱患或安全事件時(shí)，需要能夠快速定位原因和問(wèn)題，并制定針對(duì)性的補(bǔ)救措施，從而將負(fù)面影響最小化。在安全事件處理和應(yīng)急響應(yīng)設(shè)計(jì)時(shí)，需要實(shí)現(xiàn)事前的詳細(xì)記錄和預(yù)警，在事中能夠快速定位事件原因，并進(jìn)行問(wèn)題補(bǔ)救。在事件處理之后，還需要具備追蹤溯源的能力，從而更好地改進(jìn)大數(shù)據(jù)平臺(tái)的漏洞，避免同類事件的再次發(fā)生。

2.2? 體系架構(gòu)

為解決電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全問(wèn)題，基于設(shè)計(jì)思路和已有研究分析，本文設(shè)計(jì)了電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)，如圖1所示。包括物理隔離安全、訪問(wèn)控制安全、實(shí)時(shí)監(jiān)測(cè)預(yù)警3個(gè)方面，物理隔離安全包括用戶安全訪問(wèn)平臺(tái)、數(shù)據(jù)安全交互平臺(tái);訪問(wèn)控制安全包括用戶訪問(wèn)認(rèn)證機(jī)制、行為審計(jì)分析機(jī)制;實(shí)時(shí)監(jiān)測(cè)預(yù)警包括事前監(jiān)測(cè)、事中分析、事后處置3種監(jiān)測(cè)預(yù)警機(jī)制。

3? ? 架構(gòu)內(nèi)容

3.1? 物理隔離安全

物理隔離安全采用隔離技術(shù)、加密技術(shù)針對(duì)數(shù)據(jù)生命周期各個(gè)階段的風(fēng)險(xiǎn)漏洞，從網(wǎng)絡(luò)傳輸方面保障大數(shù)據(jù)平臺(tái)的底層安全，主要通過(guò)部署用戶安全訪問(wèn)平臺(tái)、數(shù)據(jù)安全交互平臺(tái)來(lái)實(shí)現(xiàn)。其中，用戶安全訪問(wèn)平臺(tái)用于實(shí)現(xiàn)應(yīng)用的安全訪問(wèn)和使用，邏輯拓?fù)淙鐖D2所示。數(shù)據(jù)安全交互平臺(tái)用于實(shí)現(xiàn)數(shù)據(jù)的安全交換，邏輯拓?fù)淙鐖D3所示。

從圖2可知，用戶安全訪問(wèn)平臺(tái)邏輯拓?fù)浒ㄓ脩艚尤雲(yún)^(qū)、應(yīng)用前置區(qū)、應(yīng)用服務(wù)區(qū)3個(gè)模塊。（1）在用戶接入?yún)^(qū)模塊方面，駐地外用戶和外部用戶都采用VPN技術(shù)進(jìn)行接入;安全防護(hù)包括防火墻、IPS，IDS、安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備;接入代理采用虛擬桌面技術(shù)，防止網(wǎng)絡(luò)內(nèi)部信息泄露，與應(yīng)用服務(wù)區(qū)的代理控制服務(wù)模塊對(duì)應(yīng)。（2）在應(yīng)用前置區(qū)模塊方面，Web應(yīng)用防護(hù)部署網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)，對(duì)用戶接入?yún)^(qū)的Web服務(wù)請(qǐng)求進(jìn)行安全防護(hù)和安全處理。（3）在應(yīng)用服務(wù)區(qū)模塊方面，代理控制服務(wù)包括代理控制服務(wù)、應(yīng)用程序接口（Application Programming Interface，API）代理服務(wù)兩部分功能，其中，代理控制服務(wù)負(fù)責(zé)為用戶接入?yún)^(qū)的接入代理服務(wù);API代理服務(wù)負(fù)責(zé)從應(yīng)用后置區(qū)的API接口服務(wù)處獲得服務(wù)。安全防護(hù)部分也通過(guò)部署網(wǎng)絡(luò)安全設(shè)備的硬件隔離策略，保障應(yīng)用服務(wù)區(qū)的網(wǎng)絡(luò)安全;應(yīng)用后置區(qū)模塊包括應(yīng)用后置、API接口服務(wù)兩部分。其中，應(yīng)用后置負(fù)責(zé)為應(yīng)用前置區(qū)提供服務(wù);API接口服務(wù)從數(shù)據(jù)中心獲取應(yīng)用，滿足API代理需要的應(yīng)用。

從圖3可知，數(shù)據(jù)安全交互平臺(tái)的邏輯拓?fù)浒〝?shù)據(jù)接入?yún)^(qū)、安全隔離區(qū)、數(shù)據(jù)管控區(qū)3個(gè)模塊：（1）在數(shù)據(jù)接入?yún)^(qū)模塊方面，安全防護(hù)設(shè)備采用防火墻、安全網(wǎng)關(guān)等安全設(shè)備，通過(guò)配置訪問(wèn)控制列表（Access Control Lists，ACL）策略，實(shí)現(xiàn)數(shù)據(jù)的單向進(jìn)入。（2）在安全隔離區(qū)模塊方面，數(shù)據(jù)交換平臺(tái)采用網(wǎng)閘設(shè)備，實(shí)現(xiàn)數(shù)據(jù)的單向物理隔離。（3）在數(shù)據(jù)管控區(qū)模塊方面，部署數(shù)據(jù)交換管控平臺(tái)，通過(guò)單向進(jìn)入控制，實(shí)現(xiàn)數(shù)據(jù)的可追蹤和溯源;通過(guò)部署流量探針，實(shí)現(xiàn)流量可控、可管。

3.2? 訪問(wèn)控制安全

訪問(wèn)控制安全采用分級(jí)分類的身份管理、權(quán)限管理機(jī)制，對(duì)訪問(wèn)和操作過(guò)程進(jìn)行記錄和分析，保障用戶訪問(wèn)過(guò)程的安全。訪問(wèn)控制安全主要通過(guò)實(shí)施用戶訪問(wèn)認(rèn)證機(jī)制、行為審計(jì)分析機(jī)制來(lái)實(shí)現(xiàn)。其中，用戶訪問(wèn)認(rèn)證機(jī)制用于實(shí)現(xiàn)用戶訪問(wèn)過(guò)程的權(quán)限管理，其架構(gòu)如圖4所示;行為審計(jì)分析機(jī)制用于實(shí)現(xiàn)用戶使用過(guò)程的審計(jì)，其架構(gòu)如圖5所示。

從圖4可知，用戶訪問(wèn)認(rèn)證機(jī)制架構(gòu)包括注冊(cè)登錄、操作過(guò)程、權(quán)限管控3個(gè)模塊：（1）注冊(cè)登錄模塊采用人臉識(shí)別、聲音識(shí)別、虹膜識(shí)別、指紋識(shí)別4種識(shí)別技術(shù)，實(shí)現(xiàn)用戶注冊(cè)和登錄過(guò)程的真實(shí)性驗(yàn)證。（2）操作過(guò)程模塊通過(guò)采用終端水印、用戶水印技術(shù)，實(shí)現(xiàn)用戶違規(guī)操作的不可否認(rèn)性。（3）權(quán)限管控模塊包括權(quán)限分級(jí)、權(quán)限分類、名單管理技術(shù)，確保數(shù)據(jù)的安全訪問(wèn)和使用。名單管理技術(shù)采用白名單、黑名單、紅名單3種策略對(duì)用戶數(shù)據(jù)進(jìn)行管理。白名單是指記錄良好的用戶名單，可以正常訪問(wèn)其權(quán)限級(jí)別的相關(guān)功能;黑名單是指在使用過(guò)程中出現(xiàn)了一些違規(guī)行為，需要對(duì)其行為采取限制措施;紅名單是指特殊用戶構(gòu)成的名單，該名單范圍內(nèi)的人員信息不能被低級(jí)別權(quán)限的用戶訪問(wèn)。

從圖5可知，行為審計(jì)分析機(jī)制架構(gòu)包括基本審計(jì)、關(guān)聯(lián)分析、高級(jí)審計(jì)3個(gè)模塊：（1）基本審計(jì)的范疇包括登錄信息、賬戶信息、操作信息、數(shù)據(jù)信息4個(gè)方面數(shù)據(jù)的審計(jì)，操作信息主要審計(jì)用戶的操作路徑是否出現(xiàn)異常行為，數(shù)據(jù)信息主要審計(jì)用戶對(duì)數(shù)據(jù)操作時(shí)的流向是否符合預(yù)期。（2）關(guān)聯(lián)分析模塊的范疇包括日志分析、網(wǎng)絡(luò)ID、虛擬身份、違規(guī)違約。網(wǎng)絡(luò)ID主要分析用戶的IP地址、MAC地址等網(wǎng)絡(luò)身份與真實(shí)身份是否一致;虛擬身份主要分析用戶的郵箱、聯(lián)系方式等信息是否與真實(shí)用戶數(shù)據(jù)相一致;違規(guī)違約主要分析用戶在使用過(guò)程中是否存在密碼試探、越權(quán)操作、高頻訪問(wèn)、敏感事件操作等方面的異常行為。（3）高級(jí)審計(jì)模塊的范疇包括事件審計(jì)、安全審計(jì)、風(fēng)險(xiǎn)審計(jì)。事件審計(jì)主要對(duì)出現(xiàn)的關(guān)鍵事件進(jìn)行追蹤和溯源，防止此類事件的再次發(fā)生。安全審計(jì)主要從安全的視角，基于法律法規(guī)和相關(guān)制度，進(jìn)行自我檢查;風(fēng)險(xiǎn)審計(jì)主要從預(yù)防的角度，對(duì)未來(lái)不可預(yù)知的相關(guān)風(fēng)險(xiǎn)進(jìn)行提前分析，從而防止此類事件的發(fā)生。

3.3? 實(shí)時(shí)監(jiān)測(cè)預(yù)警

實(shí)時(shí)監(jiān)測(cè)預(yù)警模塊通過(guò)實(shí)施事前監(jiān)測(cè)、事中分析、事后處置3種監(jiān)測(cè)預(yù)警機(jī)制，實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)的事前、事中、事后的安全審計(jì)，其架構(gòu)如圖6所示。（1）事前監(jiān)測(cè)包括態(tài)勢(shì)評(píng)估、威脅檢測(cè)。態(tài)勢(shì)評(píng)估采用態(tài)勢(shì)感知技術(shù)，從綜合、數(shù)據(jù)、資產(chǎn)、漏洞等維度，對(duì)大數(shù)據(jù)平臺(tái)的安全態(tài)勢(shì)進(jìn)行分析;威脅檢測(cè)使用安全防護(hù)設(shè)備，執(zhí)行入侵檢測(cè)、病毒檢測(cè)、流量異常檢測(cè)、數(shù)據(jù)報(bào)文異常檢測(cè)、常見(jiàn)攻擊檢測(cè)等日常安全性分析。（2）事中分析包括分析研判、響應(yīng)處置。分析研判主要采用事件關(guān)聯(lián)分析、攻擊鏈條分析、異常行為分析、重點(diǎn)人員和重點(diǎn)事件監(jiān)測(cè)分析等技術(shù)，對(duì)關(guān)鍵的事件進(jìn)行深度分析，從而在事件發(fā)生時(shí)，能夠快速生成處理策略和應(yīng)急機(jī)制。響應(yīng)處置采用實(shí)時(shí)告警、健全應(yīng)急管理體系等措施，實(shí)現(xiàn)安全事件的快速通知、實(shí)時(shí)阻斷、快速整改。（3）事后處置包括追蹤溯源、問(wèn)題治理。追蹤溯源基于威脅數(shù)據(jù)和審計(jì)結(jié)果，可以快速定位事件的源頭，為事件處置提供準(zhǔn)確的信息支撐。問(wèn)題治理模塊基于成熟的處理機(jī)制，對(duì)問(wèn)題進(jìn)行快速、精準(zhǔn)的處理，防止事態(tài)蔓延。

4? ? 結(jié)語(yǔ)

近年來(lái)，以竊取數(shù)據(jù)資源為目標(biāo)的網(wǎng)絡(luò)安全事件已嚴(yán)重威脅到大數(shù)據(jù)平臺(tái)的正常運(yùn)營(yíng)，給社會(huì)和人民群眾帶來(lái)了較大的經(jīng)濟(jì)和財(cái)產(chǎn)損失。為保障電信大數(shù)據(jù)平臺(tái)的安全運(yùn)營(yíng)，本文通過(guò)分析電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全現(xiàn)狀，制定了網(wǎng)絡(luò)安全防護(hù)體系的設(shè)計(jì)思路，并基于該思路設(shè)計(jì)了電信大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)。該研究成果已應(yīng)用到某省電信大數(shù)據(jù)平臺(tái)的運(yùn)營(yíng)工作中，并且取得了較好的使用效果。下一步將基于本文的研究成果，研究如何制定安全維護(hù)方案和相應(yīng)的管理措施，從而使本文提出的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)發(fā)揮更大價(jià)值，為大數(shù)據(jù)平臺(tái)提供更加安全、可靠的網(wǎng)絡(luò)環(huán)境。

[參考文獻(xiàn)]

[1]王桂芳.大數(shù)據(jù)安全平臺(tái)威脅分析[J].數(shù)字化用戶，2017（27）：110-111.

[2]慕文靜，鄭鑫，張曉潔.通信網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)技術(shù)[J].中國(guó)管理信息化，2017（15）：188-189.

[3]曾中良.大數(shù)據(jù)時(shí)代的企業(yè)信息安全保障[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（8）：137-138.

[4]郭乃網(wǎng)，蘇運(yùn)，瞿海妮，等.電力大數(shù)據(jù)安全體系架構(gòu)研究與應(yīng)用[J].中國(guó)電業(yè)（技術(shù)版），2016（4）：32-35.

[5]張鋒軍.大數(shù)據(jù)技術(shù)研究綜述[J].通信技術(shù)，2014（11）：1240-1248.

[6]陳麗，黃晉，王銳.Hadoop大數(shù)據(jù)平臺(tái)安全問(wèn)題和解決方案的綜述[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2018（1）：1-9.

[7]孫付杰.電信通信網(wǎng)絡(luò)傳輸安全維護(hù)方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（1）：18-20.

[8]張學(xué)淵，梁雄健.關(guān)于通信網(wǎng)可靠性定義的探討[J].北京郵電大學(xué)學(xué)報(bào)，2017（2）：33-38.

[9]黃居安.電信通信網(wǎng)絡(luò)安全維護(hù)方案分析與闡述[J].信息與電腦（理論版），2016（11）：149-150.

Abstract：In order to ensure the data security of telecom big data platform， this paper studies the design of network security protection system for telecom big data platform. Firstly， the security status of telecom big data platform and telecommunication network is analyzed. Secondly， the network security protection architecture of telecom big data platform is designed， including physical isolation security， access control security， real-time monitoring and early warning， among them， physical isolation security includes user security access platform and data security interaction platform， access control security includes user access authentication mechanism and behavior audit analysis mechanism. Real-time monitoring and early warning includes three kinds of monitoring and early warning mechanisms： pre-monitoring， in-process analysis and post-processing. The research results have been applied to the construction of a large-scale telecom platform in a province， and achieved good results.

Key words：telecom big data platform; network security; access control; security audit