大數(shù)據(jù)中心安全架構(gòu)

楊雪峰

摘 要：網(wǎng)絡(luò)安全是一個(gè)事關(guān)國家安全的重大戰(zhàn)略性問題，黨的十八大以來，黨中央、國務(wù)院高度重視網(wǎng)絡(luò)安全工作，發(fā)展是安全的目的”、“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”，為網(wǎng)絡(luò)安全工作指明了方向。從世界范圍看，網(wǎng)絡(luò)安全事件影響力和破壞性正在加大，網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出，并向政治、經(jīng)濟(jì)、文化、社會、國防等多領(lǐng)域傳導(dǎo)滲透。

關(guān)鍵詞：安全;大數(shù)據(jù)

隨著智慧城市建設(shè)開展，大數(shù)據(jù)中心安全管理顯得尤為迫切。我們需要從數(shù)據(jù)基礎(chǔ)安全加固、數(shù)據(jù)資產(chǎn)情況梳理、數(shù)據(jù)訪問監(jiān)控與風(fēng)控體系建立、數(shù)據(jù)管理與運(yùn)維體系建立、數(shù)據(jù)安全服務(wù)等方面著手，建設(shè)立體化數(shù)據(jù)保護(hù)機(jī)制，有效保障數(shù)據(jù)安全。

一.大數(shù)據(jù)中心安全現(xiàn)狀及需求

目前大數(shù)據(jù)中心云平臺基礎(chǔ)設(shè)施安全建設(shè)、數(shù)據(jù)安全建設(shè)相對薄弱，風(fēng)險(xiǎn)識別、管控和審計(jì)手段和工具各自分散，難以形成整合事前、事中、事后階段的綜合防控能力，在此大環(huán)境下，智慧城市基礎(chǔ)設(shè)施在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、應(yīng)用系統(tǒng)、基礎(chǔ)環(huán)境及系統(tǒng)互聯(lián)等各個(gè)層面，不斷面臨著來自內(nèi)部和外部網(wǎng)絡(luò)的非授權(quán)訪問、數(shù)據(jù)竊取、惡意代碼攻擊、數(shù)據(jù)丟失等現(xiàn)實(shí)威脅。

二.大數(shù)據(jù)中心安全建設(shè)目標(biāo)

通過自適應(yīng)的安全防護(hù)體系，根據(jù)威脅情報(bào)等預(yù)測結(jié)果做出相應(yīng)信息安全預(yù)警，同時(shí)對潛在威脅風(fēng)險(xiǎn)進(jìn)行持續(xù)檢測，并動(dòng)態(tài)調(diào)整安全防護(hù)策略實(shí)現(xiàn)對安全事件的阻斷，最后對檢測結(jié)果快速響應(yīng)（Respond），形成信息安全的預(yù)測、阻止、檢測、響應(yīng)的閉環(huán)體系。

通過為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè);為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。

三.大數(shù)據(jù)中心安全總體方案設(shè)計(jì)

設(shè)計(jì)圍繞一體化防護(hù)原則，不僅考慮了基礎(chǔ)安全、云安全和邊界的安全，同時(shí)也考慮了數(shù)據(jù)安全和安全大數(shù)據(jù)平臺，建立了一體化的智慧城市級安全防御體系。

大數(shù)據(jù)中心數(shù)據(jù)來源豐富，服務(wù)對象分布范圍廣，網(wǎng)絡(luò)環(huán)境建設(shè)復(fù)雜，數(shù)據(jù)采集和服務(wù)范圍涵蓋了電子政務(wù)外網(wǎng)、公安大數(shù)據(jù)平臺、公共安全視頻網(wǎng)直至互聯(lián)網(wǎng)，不同區(qū)域安全網(wǎng)絡(luò)特點(diǎn)和安全要求完全不同，承載著不同的業(yè)務(wù)功能。以下按照所在網(wǎng)絡(luò)區(qū)域不同分別進(jìn)行描述。

1.安全設(shè)計(jì)構(gòu)架

依據(jù)等級保護(hù)“一個(gè)中心三重防護(hù)”的設(shè)計(jì)思想，結(jié)合云計(jì)算功能分層框架和云計(jì)算安全特點(diǎn)，構(gòu)建云計(jì)算安全設(shè)計(jì)防護(hù)技術(shù)框架。其中一個(gè)中心指安全管理中心，三重防護(hù)包括安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)。

以大數(shù)據(jù)驅(qū)動(dòng)安全為核心理念，通過在云網(wǎng)絡(luò)邊界和云主機(jī)內(nèi)部署安全探針，收集全量的泛安全數(shù)據(jù)，通過大數(shù)據(jù)分析技術(shù)形成信息安全態(tài)勢感知，實(shí)現(xiàn)信息安全可視化。

2.數(shù)據(jù)安全設(shè)計(jì)架構(gòu)

為保障各政務(wù)部門上云應(yīng)用數(shù)據(jù)安全，將依據(jù)國家政策法規(guī)，采用先進(jìn)的數(shù)據(jù)安全技術(shù)，建設(shè)大數(shù)據(jù)中心云平臺數(shù)據(jù)安全管理平臺，實(shí)現(xiàn)數(shù)據(jù)安全全生命周期監(jiān)管。

本項(xiàng)目建設(shè)主要包括五部分，數(shù)據(jù)基礎(chǔ)安全加固、數(shù)據(jù)安全資產(chǎn)管理平臺建設(shè)、數(shù)據(jù)安全風(fēng)控平臺建設(shè)、數(shù)據(jù)安全管理及運(yùn)維體系建設(shè)和數(shù)據(jù)安全服務(wù)。

數(shù)據(jù)安全服務(wù)：對現(xiàn)有業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)評估與分級、數(shù)據(jù)權(quán)限管理審批、敏感數(shù)據(jù)識別與脫敏、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)控預(yù)警等數(shù)據(jù)安全服務(wù)，以保障數(shù)據(jù)的安全性。

3.安全大數(shù)據(jù)平臺設(shè)計(jì)架構(gòu)

安全大數(shù)據(jù)平臺由安全數(shù)據(jù)采集平臺，安全數(shù)據(jù)治理平臺、安全大數(shù)據(jù)基礎(chǔ)平臺、通用性示范網(wǎng)絡(luò)安全算法平臺、威脅情報(bào)平臺組成。其中，安全數(shù)據(jù)采集平臺對接流量探針數(shù)據(jù)、主機(jī)探針數(shù)據(jù)、設(shè)備日志、系統(tǒng)日志和威脅情報(bào)數(shù)據(jù)，將各類數(shù)據(jù)進(jìn)行范式化處理后建立大數(shù)據(jù)安全數(shù)倉，同時(shí)，平臺接入市大數(shù)據(jù)中心用戶中心系統(tǒng)，進(jìn)行統(tǒng)一用戶管理，并將運(yùn)維數(shù)據(jù)對接到運(yùn)維保障平臺。

四.大數(shù)據(jù)中心安全建設(shè)內(nèi)容

1.邊界安全防護(hù)建設(shè)

根據(jù)大數(shù)據(jù)中心業(yè)務(wù)域業(yè)務(wù)架構(gòu)設(shè)計(jì)，需外接各類網(wǎng)絡(luò)邊界進(jìn)行分別防護(hù)。

外網(wǎng)邊界需部署下一代防火墻實(shí)現(xiàn)邊界隔離和入侵防范，保護(hù)大數(shù)據(jù)中心業(yè)務(wù)域的網(wǎng)絡(luò)安全。入侵防護(hù)系統(tǒng)對從互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)進(jìn)入大數(shù)據(jù)中心業(yè)務(wù)域的訪問流量進(jìn)行網(wǎng)絡(luò)入侵攻擊、蠕蟲木馬傳播、后門木馬控制等惡意行為的檢測和防護(hù)。

網(wǎng)絡(luò)管理系統(tǒng)：網(wǎng)絡(luò)設(shè)備、核心服務(wù)器、安全設(shè)備的統(tǒng)一狀態(tài)監(jiān)控、故障告警。

2.云安全建設(shè)

大數(shù)據(jù)中心核心數(shù)據(jù)域部署需具有網(wǎng)絡(luò)層、主機(jī)層、云平臺安全防護(hù)體系實(shí)現(xiàn)安全防護(hù)和管理能力;同時(shí)，通過云平臺物理資源隔離、VPC控制、VLAN劃分、網(wǎng)絡(luò)層訪問控制等技術(shù)手段。

大數(shù)據(jù)中心業(yè)務(wù)域是大數(shù)據(jù)中心對外業(yè)務(wù)開展的核心網(wǎng)絡(luò)，采用全雙鏈路冗余結(jié)構(gòu)搭建骨干網(wǎng)絡(luò)，保證網(wǎng)絡(luò)的高效穩(wěn)定。網(wǎng)絡(luò)內(nèi)部根據(jù)業(yè)務(wù)功能不同劃分為骨干鏈路區(qū)、辦公接入?yún)^(qū)、業(yè)務(wù)域公共服務(wù)區(qū)、業(yè)務(wù)域互聯(lián)網(wǎng)服務(wù)區(qū)、安全管理區(qū)五大部分。

3.數(shù)據(jù)安全建設(shè)

為保障各部門應(yīng)用數(shù)據(jù)安全，將依據(jù)國家政策法規(guī)，采用先進(jìn)的數(shù)據(jù)安全技術(shù)，進(jìn)行建設(shè)，實(shí)現(xiàn)數(shù)據(jù)安全全生命周期防護(hù)。

建設(shè)主要包括五部分，數(shù)據(jù)基礎(chǔ)安全加固、敏感數(shù)據(jù)安全資產(chǎn)管理平臺建設(shè)、數(shù)據(jù)安全風(fēng)控平臺建設(shè)、數(shù)據(jù)安全堡壘建設(shè)、數(shù)據(jù)安全監(jiān)管及運(yùn)營體系建設(shè)和數(shù)據(jù)安全服務(wù)。

數(shù)據(jù)安全服務(wù)：對市現(xiàn)有業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)評估與分級、數(shù)據(jù)權(quán)限管理審批、敏感數(shù)據(jù)識別發(fā)現(xiàn)、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)控預(yù)警等數(shù)據(jù)安全服務(wù)，以保障數(shù)據(jù)的安全性。

4.安全大數(shù)據(jù)平臺建設(shè)

主要建設(shè)內(nèi)容包括：安全大數(shù)據(jù)基礎(chǔ)平臺、安全數(shù)據(jù)采集平臺、安全數(shù)據(jù)治理平臺、通用性示范網(wǎng)絡(luò)安全算法平臺、威脅情報(bào)平臺、安全數(shù)據(jù)治理服務(wù)、數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范服務(wù)、大數(shù)據(jù)中心網(wǎng)絡(luò)安全威脅感知整體設(shè)計(jì)方案等內(nèi)容。

安全數(shù)據(jù)挖掘人員和安全數(shù)據(jù)開發(fā)人員通過調(diào)動(dòng)標(biāo)準(zhǔn)的數(shù)據(jù)接口，將數(shù)據(jù)調(diào)入到自己大數(shù)據(jù)工作空間，在經(jīng)過算法分析處理后，可以將分析結(jié)果數(shù)據(jù)導(dǎo)出到指定的外部系統(tǒng)的數(shù)據(jù)庫進(jìn)行展示。