基于大數(shù)據(jù)平臺(tái)的云安全體系的構(gòu)建

徐杰

?

基于大數(shù)據(jù)平臺(tái)的云安全體系的構(gòu)建

徐杰

中國移動(dòng)通信集團(tuán)四川有限公司，四川 成都 610041

選取大數(shù)據(jù)平臺(tái)作為研究對(duì)象，先對(duì)互聯(lián)網(wǎng)發(fā)展的階段進(jìn)行了簡要說明，指出當(dāng)前正處于大數(shù)據(jù)時(shí)代，需要通過大數(shù)據(jù)平臺(tái)建設(shè)與云計(jì)算及服務(wù)，為國家、企業(yè)、用戶提供體驗(yàn)與發(fā)展導(dǎo)向。解讀了基于大數(shù)據(jù)平臺(tái)的安全體系的兩層內(nèi)涵后，著重從構(gòu)建方案的視角，分別按照該體系下的云平臺(tái)、服務(wù)器、數(shù)據(jù)、虛擬化要素及對(duì)應(yīng)的安全需求和滿足展開具體討論，旨在為相關(guān)工作的順利推進(jìn)提供參考。

大數(shù)據(jù)平臺(tái)；云安全體系；構(gòu)建

互聯(lián)網(wǎng)在20世紀(jì)90年代開始應(yīng)用于各個(gè)領(lǐng)域，經(jīng)過近30年的發(fā)展已趨于成熟。目前互聯(lián)網(wǎng)技術(shù)正處于深化應(yīng)用階段，具體表現(xiàn)為大數(shù)據(jù)平臺(tái)的構(gòu)建及云計(jì)算的應(yīng)用，旨在通過對(duì)大量數(shù)據(jù)的快速化、深度化分析為各行各業(yè)提供趨勢(shì)預(yù)測(cè)與發(fā)展向?qū)?，為用戶提供速度快、穩(wěn)定性高、操作性更好的使用體驗(yàn)。從其應(yīng)用實(shí)踐分析，主要通過各個(gè)國家發(fā)明的超級(jí)計(jì)算機(jī)運(yùn)算技術(shù)與市場化企業(yè)之間的合作加以實(shí)現(xiàn)。結(jié)合當(dāng)前我國在大數(shù)據(jù)平臺(tái)的建設(shè)及應(yīng)用經(jīng)驗(yàn)對(duì)主題做出說明。

1 云安全體系

移動(dòng)互聯(lián)網(wǎng)時(shí)代的本質(zhì)是信息化。這種信息化通常被化約為一種可以進(jìn)行計(jì)算的數(shù)據(jù)。通常人們也將其稱為大數(shù)據(jù)時(shí)代?；诖髷?shù)據(jù)平臺(tái)的云安全體系包括兩方面內(nèi)容：一是作為計(jì)算對(duì)象的數(shù)據(jù)，因其數(shù)量較大一般叫作大數(shù)據(jù)，它已成為一種新型互聯(lián)網(wǎng)思維導(dǎo)圖下的管理方案；二是云計(jì)算，即基于數(shù)據(jù)的計(jì)算模式，主要借助網(wǎng)絡(luò)平臺(tái)，對(duì)收集到的不同類型的數(shù)據(jù)資源進(jìn)行統(tǒng)計(jì)、分析、傳輸，從而為用戶或企業(yè)提供依據(jù)型服務(wù)，幫助其從中獲得信息分享或用戶體驗(yàn)，以及從中得到發(fā)展方向等。當(dāng)前產(chǎn)生了私有類型、公共類型兩大云計(jì)算模式。前者由企業(yè)掌握，后者由國家或企業(yè)掌握。所以該類型可以再劃分為服務(wù)提供者類型或服務(wù)使用者類型。由于在云計(jì)算中需要保證數(shù)據(jù)的運(yùn)算安全，在云服務(wù)實(shí)踐中要求安全保障與安全服務(wù)，因此需要構(gòu)建基于大數(shù)據(jù)平臺(tái)的云安全體系。

2 構(gòu)建云安全體系的方案

按照現(xiàn)階段的大數(shù)據(jù)平臺(tái)云安全體系設(shè)計(jì)，構(gòu)建云安全體系需要從風(fēng)險(xiǎn)預(yù)防出發(fā)，著重抓住其構(gòu)成要素，確保云平臺(tái)、服務(wù)器、數(shù)據(jù)、虛擬化方面的安全。

2.1 云平臺(tái)安全

大數(shù)據(jù)平臺(tái)通過云平臺(tái)實(shí)現(xiàn)基礎(chǔ)平臺(tái)搭建，其安全保障通常需要從管理與技術(shù)方面雙管齊下，現(xiàn)階段的管理相對(duì)完善，重點(diǎn)集中在技術(shù)安全保障層面，主要問題體現(xiàn)在接口安全、運(yùn)行安全方面。比如，為了獲得更多的應(yīng)用可能，云平臺(tái)選擇了開放式接口類型，其結(jié)果必然會(huì)產(chǎn)生數(shù)據(jù)濫用。保障其安全的解決方案可以嘗試訪問控制與加密系統(tǒng)兩種方法。再如，在運(yùn)行方面的安全保障措施，可以借鑒隔離方案開展全程技術(shù)監(jiān)管，設(shè)計(jì)技術(shù)應(yīng)進(jìn)一步提高，搭載于IT系統(tǒng)的云平臺(tái)只有進(jìn)行安全審核后才能使用，利用審核法強(qiáng)化隔離防火墻建設(shè)達(dá)到保障效果。

2.2 服務(wù)器安全

四大根服務(wù)器在國外，因而我國在這個(gè)方面需要先保障國內(nèi)應(yīng)用服務(wù)器的安全，然后盡可能地對(duì)服務(wù)器進(jìn)行一些資源整合，從而通過虛擬的大數(shù)據(jù)平臺(tái)實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)移與資源優(yōu)化匹配應(yīng)用。這樣既可以確保服務(wù)器的安全，又可以進(jìn)一步增強(qiáng)整個(gè)系統(tǒng)的高效化管理。簡單來講，在服務(wù)器向虛擬服務(wù)器的轉(zhuǎn)化中能夠建立一個(gè)系統(tǒng)，并完成樹型業(yè)務(wù)分區(qū)，既能夠使服務(wù)器業(yè)務(wù)級(jí)別趨于一致，又可以實(shí)現(xiàn)維護(hù)管理目標(biāo)。這方面能夠借助公共防火墻（或增加數(shù)量，或提高性能）實(shí)現(xiàn)安全保障，應(yīng)在整合服務(wù)器后對(duì)公共防火墻性能進(jìn)行評(píng)估。如果已無法滿足系統(tǒng)需求，那么需增加防火墻數(shù)量或者提高性能[1]。此外，對(duì)虛擬平臺(tái)實(shí)施防護(hù)，建立安全防護(hù)系統(tǒng)，對(duì)云計(jì)算進(jìn)行監(jiān)測(cè)，防止數(shù)據(jù)丟失和濫用。

2.3 數(shù)據(jù)安全

數(shù)據(jù)安全是云安全體系構(gòu)建的核心。大數(shù)據(jù)時(shí)代，數(shù)據(jù)具有復(fù)雜性，設(shè)計(jì)者應(yīng)根據(jù)云計(jì)算的特點(diǎn)，建立完善的安全體系。大數(shù)據(jù)平臺(tái)的云安全體系構(gòu)建能夠確保運(yùn)行安全、使用安全及服務(wù)安全，其中最關(guān)鍵的是數(shù)據(jù)的安全化處理。因此，在進(jìn)行平臺(tái)設(shè)計(jì)與云安全系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)確保體系的完整性[2]。需要在資源訪問權(quán)限、產(chǎn)品服務(wù)與用戶適配關(guān)系方面，采用密鑰管理法提高數(shù)據(jù)安全處理。限制云資源的訪問，將用戶訪問和云產(chǎn)品的對(duì)應(yīng)關(guān)系，采用秘鑰的方式進(jìn)行管理，提高其訪問安全性。目前，谷歌等公司均采用雙重鑒定的方式，取得了不錯(cuò)的效果。應(yīng)進(jìn)一步強(qiáng)化系統(tǒng)維護(hù)管理人員的身份鑒定，可以采用靜態(tài)密碼結(jié)合動(dòng)態(tài)指令的方式，操作權(quán)限采用多層面的設(shè)計(jì)原則，建立自動(dòng)報(bào)警系統(tǒng)。采用用戶身份管理與訪問控制的方式解決身份認(rèn)證問題，確保訪問安全，對(duì)用戶的入網(wǎng)途徑進(jìn)行檢驗(yàn)和監(jiān)督。此外，需要在維護(hù)管理者方面做好雙重鑒定，包括身份鑒定與訪問控制，尤其應(yīng)注重操作權(quán)限的多層面設(shè)計(jì)，提高對(duì)于各類Bug的警惕，按照“百密一疏”的原則，強(qiáng)化自動(dòng)報(bào)警系統(tǒng)。另外，由于數(shù)據(jù)安全處理中包括傳輸時(shí)的動(dòng)態(tài)屬性，因而在順序、方向、數(shù)據(jù)量等方面，需要按照傳輸與接收的具體對(duì)應(yīng)程度而進(jìn)行階段劃分，確保其在一層一層的劃分下，數(shù)據(jù)在每一個(gè)傳輸階段都能夠得到加密保障，從而實(shí)現(xiàn)安全傳輸。通常數(shù)據(jù)傳輸要從客戶到云端，再到服務(wù)器，應(yīng)分段采用不同的加密方式，如在客戶端到云端過程中，統(tǒng)一采用SSL加密方法，而在云端到服務(wù)器中則需要采用程序加密的方式，保證數(shù)據(jù)的安全性；存儲(chǔ)方面則宜借助“化整為零”的辦法將數(shù)據(jù)安排在不同的機(jī)架，利用“狡兔三窟”原則保存多個(gè)副本等，根據(jù)客戶的ID來獲得不同的云端服務(wù)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)的獨(dú)立存儲(chǔ)，同時(shí)通過訪問權(quán)限限制大數(shù)據(jù)的訪問，保證安全。

2.4 虛擬化安全

虛擬化技術(shù)是云安全體系構(gòu)建的核心技術(shù)之一，是將存儲(chǔ)設(shè)備以及網(wǎng)絡(luò)服務(wù)器虛擬化的過程。在虛擬化過程中，應(yīng)提高軟件安全防護(hù)能力，并確保服務(wù)器安全運(yùn)行。云安全體系中的虛擬化既是一種安全措施，又需要通過安全保障措施為其應(yīng)用保駕護(hù)航[3]。建議在虛擬化實(shí)踐中，增強(qiáng)對(duì)網(wǎng)絡(luò)服務(wù)器與存儲(chǔ)設(shè)備各自的防護(hù)能力，利用安全技術(shù)平移，使云安全體系中的虛擬化在軟件層面得到有效隔離，這樣在切斷云主機(jī)客戶—虛擬服務(wù)軟件之間的直接訪問關(guān)系時(shí)，就能夠達(dá)到多用戶環(huán)境下的安全運(yùn)行。我國目前的加密技術(shù)正在持續(xù)升級(jí)，其動(dòng)態(tài)性與復(fù)雜性越來越高，因此虛擬化安全得到全面保障[4-5]。

3 結(jié)束語

綜上所述，現(xiàn)階段我國正處于“新突破”與“高質(zhì)量發(fā)展”的新階段，因而在“互聯(lián)網(wǎng)+”改革的深化實(shí)踐中，既需要有前沿的互聯(lián)網(wǎng)技術(shù)為支撐，又要求這種技術(shù)與行業(yè)對(duì)接及融合的安全有效性。建議在基于大數(shù)據(jù)平臺(tái)的建設(shè)中，積極開展云安全主題研究，在云安全體系的構(gòu)建層面按照要素匹配法，以資源優(yōu)化配置的方式為各個(gè)環(huán)節(jié)提供可預(yù)防風(fēng)險(xiǎn)的安全保障措施，為其進(jìn)一步的應(yīng)用打好安全基礎(chǔ)，從而在安全運(yùn)行的條件下，實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)的安全運(yùn)營，為用戶、為企業(yè)、為國家創(chuàng)造發(fā)展新的服務(wù)，提供轉(zhuǎn)型升級(jí)有所依據(jù)的新路徑。

[1]陳實(shí)如. 企業(yè)大數(shù)據(jù)平臺(tái)建設(shè)過程中的問題和建議[J]. 信息通信，2017（12）：141-142.

[2]孫全興. 對(duì)城鄉(xiāng)大數(shù)據(jù)平臺(tái)建設(shè)的思考[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（1）：134，136.

[3]辛笛. 運(yùn)營商大數(shù)據(jù)平臺(tái)建設(shè)方案的研究與設(shè)計(jì)[J]. 中國新通信，2016（4）：114.

[4]周揚(yáng). 基于物聯(lián)網(wǎng)云+大數(shù)據(jù)分析的共享單車高效安全體系的構(gòu)建[J]. 信息與電腦（理論版），2018（1）：16-18.

[5]陳臣. 基于大數(shù)據(jù)的圖書館個(gè)性化服務(wù)安全體系構(gòu)建研究[J]. 新世紀(jì)圖書館，2014（11）：47-51.

Construction of Cloud Security System Based on Big Data Platform

Xu Jie

China Mobile Communications Group Sichuan Co., Ltd., Sichuan Chengdu 610041

The paper selects the big data platform as the research object, first briefly explains the stage of the development of the Internet, and points out that it is currently in the era of big data and needs to provide experiences and development orientation for countries, enterprises and users through the construction of big data platform and cloud computing and services. After interpreting its two-layer connotations under the cloud security system, it focuses on the perspective of the construction plan, and discusses the cloud platform, server, data, virtualization elements, and corresponding security requirements and satisfaction under the system so as to provide reference for the smooth progress of related work.

big data platform; cloud security system; construction

TP309

A