基于大數(shù)據(jù)平臺的云安全建設

◆丁昊天 張晨飛

(中機新時代有限公司 北京 100089)

基于大數(shù)據(jù)平臺的云安全建設

◆丁昊天 張晨飛

(中機新時代有限公司 北京 100089)

目前大數(shù)據(jù)在世界范圍內得到迅速的發(fā)展，但是也在發(fā)展中遇到許多的挑戰(zhàn)，為此，構建一整套的大數(shù)據(jù)平臺的云安全體系是非常有必要的。本文主要闡述了大數(shù)據(jù)平臺面對的問題，系統(tǒng)的提出了云安全體系建設的主要方案，旨在通過完善云安全體系，提高各個單位在云上的運行安全性。

大數(shù)據(jù)；云安全體系；建設措施

0 引言

隨著云服務和云計算的發(fā)展，其在發(fā)展過程中面臨的一個重要的挑戰(zhàn)就是云安全，其中，云安全在技術和管理方面出現(xiàn)了很多問題。在云計算的發(fā)展環(huán)境下，資源共享、多元化的服務類型以及用戶數(shù)量的大量增長等導致多個方面都出現(xiàn)了一定的問題。最近幾年來，像谷歌、亞馬遜等云計算領先的服務商都出現(xiàn)了重大的云服務安全事故，造成大范圍的服務中斷。所以說，云計算面對的一個重要問題就是其安全性，加強云安全建設勢在必行。

1 大數(shù)據(jù)安全面臨的風險

大數(shù)據(jù)安全勢必是一場斗爭，在大數(shù)據(jù)領導的時代，以電商社交為代表的互聯(lián)網(wǎng)、以微博微信為代表的移動互聯(lián)網(wǎng)、以傳感器為代表的物聯(lián)網(wǎng)、以及金融電信等各行各業(yè)都在產生著大量的數(shù)據(jù)，已經開始作為一種生產要素發(fā)揮著極其重要的作用，成為競爭的有力因素。大數(shù)據(jù)雖然包含著比較多的信息量，但是在發(fā)展過程中也因此會產生較多的風險挑戰(zhàn)。

在大數(shù)據(jù)環(huán)境下產生了應用防護風險，資源被泛濫使用和惡用，拒絕服務攻擊，WEB安全等。虛擬環(huán)境產生安全風險。在引進新的虛擬技術過程中，大數(shù)據(jù)系統(tǒng)就增加了新的安全風險，比如說，在一個管理程序中運行多個虛擬機，那么虛擬數(shù)據(jù)中心攻擊的最主要目標就是這個管理程序，因為一旦攻破這個管理程序就可以訪問許多個數(shù)據(jù)中心的虛擬系統(tǒng)。

2 基于大數(shù)據(jù)平臺云安全建設方案

2.1 云平臺安全

云平臺本身的技術種類繁多，復雜多樣，還不夠成熟。開發(fā)單位在集數(shù)據(jù)庫、消息隊列等多個功能的云平臺上，通過其提供的語言和工具進行開發(fā)，接口安全和運行安全是云平臺安全的兩個重要部分。

云平臺接口安全。云平臺在開放接口之后面臨的最大的威脅就是通過利用該接口攻擊內部外部以及濫用云服務。在建設云安全體系中，應該加強訪問控制，比如說，實行強用戶認證、保障有效的加密等措施。

云安全運行安全。云平臺開放后面臨的又一個問題就是搭載于云平臺上的用戶 IT系統(tǒng)，需要通過加強安全審核和監(jiān)控用戶應用的力度，同時加強不同用戶的系統(tǒng)隔離。使用安全組防火墻提供三層隔離，在同一組的不同服務器可以互相訪問，不同安全組的服務器則無法做到這一點。

2.2 服務器安全

整合服務器，之所以進行服務器整合，是因為可以通過整合把部分業(yè)務轉移到虛擬平臺再進行運行，這樣不僅能夠節(jié)約系統(tǒng)資源，而且方便管理容易更新。

對于不同業(yè)務的系統(tǒng)區(qū)域要進行合理的配置，同一臺服務器上最好不要部署不同級別的業(yè)務設計。

合理劃分安全區(qū)域，在劃分過程中，及時滿足公網(wǎng)訪問和運行維護管理的需求。

要充分保證業(yè)務之間的隔閡，在服務器整合之后，重新評估公共防火墻的性能，如果現(xiàn)有的設備數(shù)量無法滿足所需時，要增加新的防火墻設備。

加強對虛擬化平臺的防護，保護虛擬化平臺，可以通過啟用現(xiàn)有的安全選項加固系統(tǒng)。

加強云計算的備份與恢復能力。

2.3 數(shù)據(jù)安全

根據(jù)云計算的自身特點和數(shù)據(jù)生命周期，構建云端數(shù)據(jù)安全體系。

數(shù)據(jù)訪問。用戶通常都是需要通過控制臺日常操作才能訪問云資源，把用戶和云產品的對應關系運用對稱加密的形式來鑒別身份。運行維護管理人員在對大數(shù)據(jù)中心和云計算進行操作時都需要雙重鑒定來實現(xiàn)認證，即靜態(tài)密碼結合動態(tài)令牌。操作時需要的權限需要多個層面的審批和固化規(guī)則，當出現(xiàn)違規(guī)操作時就會自動報警。

數(shù)據(jù)傳輸。用戶的個人賬戶產生的數(shù)據(jù)和云端生產產生的數(shù)據(jù)是兩種不同的數(shù)據(jù)對象，在進行傳輸控制時需要從客戶端到云端，云端再到服務間，云服務到云服務控制這三個層次的控制系統(tǒng)來完成。需要注意的是個人數(shù)據(jù)在從客戶端到云端傳輸時一律都要使用SSL進行加密，后面的兩者都是使用程序進行加密來確保個人數(shù)據(jù)不落地。

數(shù)據(jù)存儲。在保存云端生產數(shù)據(jù)過程中，不管使用的是哪一種云服務器，都要將數(shù)據(jù)采用碎片分布式離散技術進行粉碎，就是說數(shù)據(jù)被切割成許多片段通過隨機分散保存在不同的機架，而且每一個片段都會有多個副本進行保存。根據(jù)每一個用戶ID的不同云服務系統(tǒng)將其云端數(shù)據(jù)進行隔離，客戶的云存儲空間訪問權限是由其對稱加密所控制的，確保云端數(shù)據(jù)的訪問權限最小化。

數(shù)據(jù)銷毀。在客戶要求刪除存儲數(shù)據(jù)或者是使用的設備被售出拋棄時，都要運用內存釋放和清空數(shù)據(jù)來徹底刪除所有的數(shù)據(jù)。在云計算環(huán)境下，許多硬盤在外進行維修或者是服務器報廢時都會導致數(shù)據(jù)失竊，大數(shù)據(jù)中心必須遵循標準流程：磁盤更換時換下來的磁盤每盤都保證消磁，每一個磁盤的消磁記錄都能夠被查到，消磁的視頻做到每天可溯。不斷加大磁盤消磁工作的視頻監(jiān)控力度，完善相應的策略，在監(jiān)控過程中確保操作防抵賴性和監(jiān)控視頻的保存完整性。

2.4 虛擬桌面云安全

虛擬桌面的主要作用就是實行集中管理和維護，把用戶的電腦環(huán)境轉移到虛擬的主機環(huán)境，在這個環(huán)境下進行管理維護工作。一臺瘦終端、鼠標、鍵盤等簡單的設備就可以組成終端進行操作，極大的降低了運行成本，還提高了管理維護的工作效率，企業(yè)內部的坐席業(yè)務和辦公網(wǎng)絡等都廣泛使用虛擬桌面。

終端安全。虛擬桌面擁有多樣化形態(tài)的接入終端，既可以通過筆記本、臺式電腦也可以通過各種智能終端或者是瘦終端進行接入，終端必須具有較高的安全性能。在虛擬桌面的終端中，需要多加關注病毒的查殺或者是制定黑白名單體制，像瘦終端這樣的專用終端，可以通過黑白名單體制來允許操作者僅僅可以運行特定的流程。

接入安全。虛擬桌面可以通過有線接入、無線接入等多種形式進行接入，在保證終端安全的情況下需要多加關注傳輸數(shù)據(jù)時的安全。如果必須需要外部網(wǎng)絡進行接入時，需要配置 VPN網(wǎng)關等必要性程序，只有通過這項程序才可以連接內部辦公環(huán)境。

防病毒。可以安裝一般的桌面防病毒軟件來完成虛擬桌面的防病毒工作，但是值得注重的是一般的防病毒軟件也許會有掃描風暴或者是更新病毒庫風暴等問題。所以可以采用專門的虛擬桌面防病毒系統(tǒng)。這樣的專門針對虛擬桌面設計的防病毒系統(tǒng)不僅減輕了虛擬桌面自身負擔，實行任務調節(jié)，而且還能避免大量的病毒掃描此類操作共同進行，有效的減輕了系統(tǒng)的負載。

2.5 其他安全

大數(shù)據(jù)安全還要確保設備及其相關環(huán)境的安全，關鍵是要完善大數(shù)據(jù)平臺的管理制度。加強建設的規(guī)范性，制定嚴格的管理制度，通過制度來保障大數(shù)據(jù)平臺相關設備的安全。首先要嚴格管理門禁，對大數(shù)據(jù)設備所在環(huán)境的進出制定嚴格的時間標準，非標準的時間一律按照相關制度來進行管理。其次，制定備用物資的存放和使用標準，嚴格進行該場地的實時監(jiān)控。最后要不斷完善供電消防等基本保障制度。加強賬號異常登錄檢測，在以往的服務器異常登錄情況中，絕大多數(shù)的情況是受到了入侵或者是攻擊。根據(jù)日常登錄情況，對經常登錄的區(qū)域進行識別，需要精確到該區(qū)域所在的具體的地市級，防止出現(xiàn)不必要的損失?？焖賿呙柙品掌鞯亩丝冢梢越Y合以指紋識別為代表的生物識別技術來判斷開放端口正在運行的軟件甚至是版本，如果發(fā)現(xiàn)沒有經過允許的開放端口，要在第一時間內提醒用戶關閉該開放端口，以防止系統(tǒng)被病毒或者黑客入侵。

3 總結

伴隨著大數(shù)據(jù)和云計算的廣泛應用，我們需要及時發(fā)現(xiàn)當中的問題，及時找出解決措施進行處理并且完善。本文基于大數(shù)據(jù)這個平臺，通過5個層面的設計構建了云安全的防護體系，這個體系可以強有力的保證云服務和云計算的運行安全性，用戶可以利用大數(shù)據(jù)和云安全防護體系不斷創(chuàng)新工作，促進社會的發(fā)展。

[1]羅仟松.基于虛擬數(shù)據(jù)中心的云安全策略研究與設計[D].山東大學，2013.

[2]白秀杰，李汝鑫，劉新春，邵宗有.云安全防護體系架構研究[J].信息安全與技術，2013.

[3]胡祥義，馬占國，劉宇.一種云安全架構的解決方案[J].網(wǎng)絡安全技術與應用，2011.

[4]曹瑞，劉新龍.云安全解決方案[J].中國鐵路，2017.