大數(shù)據(jù)和云計(jì)算環(huán)境下網(wǎng)絡(luò)安全探究

李朝霞，劉金春，溫 源

（聯(lián)通數(shù)字科技有限公司，北京 100084）

1 大數(shù)據(jù)和云計(jì)算的內(nèi)在聯(lián)系和應(yīng)用優(yōu)勢(shì)

1.1 內(nèi)在聯(lián)系

近些年來(lái)我國(guó)社會(huì)經(jīng)濟(jì)發(fā)展水平逐漸提升，在此背景下各種新興技術(shù)層出不窮，并在各個(gè)領(lǐng)域都得到了廣泛應(yīng)用，其中大數(shù)據(jù)和云計(jì)算技術(shù)憑借自身更強(qiáng)的優(yōu)勢(shì)成為了新時(shí)代發(fā)展的重要技術(shù)。大數(shù)據(jù)本身有著較快的數(shù)據(jù)流轉(zhuǎn)速度，同時(shí)還具有類型多樣化以及數(shù)據(jù)量大的特點(diǎn)。靈活應(yīng)用大數(shù)據(jù)技術(shù)以充分發(fā)揮其在數(shù)據(jù)收集處理方面的應(yīng)用優(yōu)勢(shì)，切實(shí)提高數(shù)據(jù)收集處理的質(zhì)量和效率。云計(jì)算主要是在互聯(lián)網(wǎng)技術(shù)的基礎(chǔ)上形成的新技術(shù)，其在應(yīng)用過(guò)程中具有計(jì)算速度較快的特征，應(yīng)用范圍較為廣闊。云計(jì)算與大數(shù)據(jù)之間存在著密不可分的聯(lián)系，大數(shù)據(jù)的處理不僅需要使用單臺(tái)計(jì)算機(jī)，還需要采用分布式架構(gòu)針對(duì)海量數(shù)據(jù)分布挖掘，其實(shí)現(xiàn)過(guò)程需要以云存儲(chǔ)、分布式數(shù)據(jù)庫(kù)以及云計(jì)算分布處理等技術(shù)作為基礎(chǔ)支撐。當(dāng)前社會(huì)各界開始廣泛關(guān)注大數(shù)據(jù)，并積極探索二者之間的聯(lián)系，具體關(guān)系如圖1所示。

圖1 大數(shù)據(jù)和云計(jì)算的內(nèi)在聯(lián)系

1.2 應(yīng)用優(yōu)勢(shì)

在實(shí)際應(yīng)用過(guò)程中，大數(shù)據(jù)和云計(jì)算技術(shù)具有獨(dú)特的特征和優(yōu)勢(shì)，其投入成本相對(duì)較少。傳統(tǒng)數(shù)據(jù)中心的建設(shè)往往需要耗費(fèi)大量人力和物力，成本較高，對(duì)于部分企業(yè)來(lái)說(shuō)壓力較大，在成本因素的制約下難以更好地建設(shè)本公司的數(shù)據(jù)中心。在大數(shù)據(jù)和云計(jì)算技術(shù)不斷應(yīng)用發(fā)展的過(guò)程中，兩者可以有效保障企業(yè)各項(xiàng)數(shù)據(jù)的安全，降低建設(shè)成本，使企業(yè)能夠在云計(jì)算服務(wù)的基礎(chǔ)上租用其他服務(wù)，這不僅能夠有效降低企業(yè)各項(xiàng)運(yùn)營(yíng)成本，還能簡(jiǎn)化管理步驟，推動(dòng)企業(yè)未來(lái)的整體發(fā)展[1-3]。

隨著大數(shù)據(jù)和云計(jì)算的迅速發(fā)展，計(jì)算機(jī)資源廣泛分布于由大量計(jì)算機(jī)組成的資源池，用戶可以綜合考慮各方面影響因素，根據(jù)自身在資源方面的實(shí)際需求進(jìn)行連接。此外，用戶還可以基于數(shù)據(jù)云結(jié)合自身需求展開相應(yīng)的計(jì)算工作，通過(guò)終端接入數(shù)據(jù)中心進(jìn)行接入，從而實(shí)現(xiàn)對(duì)資源的合理利用。從資源的覆蓋層面進(jìn)行分析，云計(jì)算本身屬于一個(gè)較大的資源池，其中涉及到海量的信息資源，可以切實(shí)保障資源共享的實(shí)效性。云計(jì)算能夠?qū)ヂ?lián)網(wǎng)的訪問方式進(jìn)行選擇，客戶則可以通過(guò)對(duì)計(jì)算機(jī)資源池中軟硬件的應(yīng)用提高自身的數(shù)據(jù)訪問能力，并提升數(shù)據(jù)存儲(chǔ)計(jì)算水平。云計(jì)算本身的應(yīng)用優(yōu)勢(shì)還體現(xiàn)在數(shù)據(jù)按需服務(wù)以及數(shù)據(jù)虛擬化等方面，其核心在于應(yīng)用虛擬技術(shù)，在應(yīng)用底層架構(gòu)的過(guò)程中達(dá)到抽象化的效果，同時(shí)為設(shè)備差異和兼容透明化提供強(qiáng)有力的支持，有助于促進(jìn)后續(xù)底層數(shù)據(jù)統(tǒng)一化管理效率的提高[4-6]。

除此之外，大數(shù)據(jù)和云計(jì)算實(shí)際應(yīng)用過(guò)程中具有較強(qiáng)的靈活性，能夠?yàn)楹罄m(xù)管理工作的高質(zhì)量開展提供方便。大數(shù)據(jù)和云計(jì)算技術(shù)實(shí)質(zhì)上屬于一種虛擬技術(shù)，能夠?qū)崿F(xiàn)對(duì)全部數(shù)據(jù)資源的合理連接，可以充分發(fā)揮人工管理和數(shù)據(jù)軟件操作的作用，幫助用戶精準(zhǔn)快速地找到需要的數(shù)據(jù)資源。在此過(guò)程中，操作人員可以突破時(shí)間或空間等因素的限制，對(duì)相應(yīng)的資源進(jìn)行自動(dòng)化查詢，查詢時(shí)通過(guò)合理運(yùn)用虛擬技術(shù)平臺(tái)開展資源深度挖掘工作，進(jìn)而提升其查詢資源內(nèi)容的精確性，提高查詢效率。用戶在實(shí)際展開操作的時(shí)候，需要事先建立客戶終端賬號(hào)，以便于此后的資源服務(wù)順利進(jìn)行。

2 大數(shù)據(jù)和云計(jì)算環(huán)境下基于數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù)策略

2.1 基本思路

結(jié)合相關(guān)標(biāo)準(zhǔn)進(jìn)行分析，架構(gòu)數(shù)據(jù)中心安全技術(shù)體系時(shí)應(yīng)當(dāng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)層、物理層以及應(yīng)用層等方面入手。

基于網(wǎng)絡(luò)層面進(jìn)行分析，可以將其劃分成安全審計(jì)、邊界防護(hù)、入侵防范、分域防護(hù)以及訪問控制幾部分。當(dāng)前我國(guó)新一代信息技術(shù)和未來(lái)業(yè)務(wù)正處在飛速發(fā)展的過(guò)程中，在該背景下要高效開展對(duì)于數(shù)據(jù)中心網(wǎng)絡(luò)邊界的安全防護(hù)設(shè)計(jì)工作。根據(jù)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)本身所處的網(wǎng)絡(luò)結(jié)構(gòu)和安全等級(jí)進(jìn)行劃分，涉及到核心區(qū)、互聯(lián)區(qū)、生產(chǎn)業(yè)務(wù)區(qū)、互聯(lián)網(wǎng)服務(wù)區(qū)、辦公網(wǎng)接入?yún)^(qū)以及運(yùn)維管理區(qū)6大安全區(qū)。具體情況如圖2所示。

圖2 數(shù)據(jù)中心整體架構(gòu)圖

2.2 具體部署

2.2.1 核心區(qū)防護(hù)設(shè)計(jì)

核心區(qū)的防護(hù)設(shè)計(jì)重點(diǎn)在于高效建設(shè)數(shù)據(jù)交換區(qū)域，從而為各項(xiàng)數(shù)據(jù)的高速轉(zhuǎn)發(fā)提供良好的支持。具體建設(shè)應(yīng)當(dāng)注重兩方面的問題，一是技術(shù)人員可以在現(xiàn)有設(shè)備的基礎(chǔ)上增設(shè)兩臺(tái)高性能設(shè)備，為后續(xù)數(shù)據(jù)中心整體各項(xiàng)數(shù)據(jù)之間的互訪和轉(zhuǎn)發(fā)奠定堅(jiān)實(shí)的基礎(chǔ)，盡可能提高整網(wǎng)數(shù)據(jù)流通的有效性；二是技術(shù)人員可以將相應(yīng)的漏洞掃描設(shè)備增設(shè)在數(shù)據(jù)中心的核心交換機(jī)上，針對(duì)各個(gè)子網(wǎng)中涉及到的使用終端和操作系統(tǒng)展開全方位的安全漏洞掃描以及審計(jì)工作[7-10]。

2.2.2 互聯(lián)區(qū)防護(hù)設(shè)計(jì)

技術(shù)人員在進(jìn)行互聯(lián)區(qū)具體防護(hù)方案設(shè)計(jì)的時(shí)候需要在靈活應(yīng)用邊界路由設(shè)備的基礎(chǔ)上與異地?cái)?shù)據(jù)中心展開相應(yīng)的SDH專線連接，從而不斷提升數(shù)據(jù)中心在數(shù)據(jù)備份和業(yè)務(wù)互訪方面的實(shí)效性。而且技術(shù)人員需要合理應(yīng)用邊界路由設(shè)備，展開同其他城市分支機(jī)構(gòu)之間的SDN專線連接，切實(shí)保證分支機(jī)構(gòu)對(duì)于內(nèi)網(wǎng)的訪問需求相適應(yīng)。此外，技術(shù)人員可以在相關(guān)流量控制設(shè)備的基礎(chǔ)上提升那些具有帶寬較小特點(diǎn)的SDH鏈路承載數(shù)據(jù)的可視化水平，綜合考慮當(dāng)前數(shù)據(jù)業(yè)務(wù)的實(shí)際級(jí)別，針對(duì)性地制定出與實(shí)際情況相符合的流量控制策略，從根本上確保各類重要數(shù)據(jù)的傳輸更加安全和穩(wěn)定。在防護(hù)墻的接入方面可以采用路由模式，并將其在數(shù)據(jù)中心交換機(jī)與廣域網(wǎng)邊界之間進(jìn)行串聯(lián)部署，通過(guò)合理應(yīng)用各種協(xié)議過(guò)濾和訪問控制等技術(shù)切實(shí)提升各項(xiàng)數(shù)據(jù)中心邊界流量進(jìn)出的穩(wěn)定性及安全性。

2.2.3 生產(chǎn)業(yè)務(wù)區(qū)防護(hù)設(shè)計(jì)

防火墻設(shè)備的應(yīng)用能夠在全網(wǎng)設(shè)備及相關(guān)用戶訪問生產(chǎn)業(yè)務(wù)區(qū)域的過(guò)程中發(fā)揮出較好的防護(hù)效果。立足現(xiàn)有的條件，開展對(duì)各項(xiàng)業(yè)務(wù)的劃分工作，實(shí)現(xiàn)對(duì)于不同業(yè)務(wù)的有效區(qū)分。同時(shí)全面系統(tǒng)地對(duì)各業(yè)務(wù)展開相應(yīng)的梳理工作，并針對(duì)那些存在訪問需求的業(yè)務(wù)制定相應(yīng)的策略，以起到限制互訪的作用。此外，還需要詳細(xì)劃分各個(gè)分公司之間獨(dú)有的訪問策略，并針對(duì)那些不存在數(shù)據(jù)訪問和業(yè)務(wù)往來(lái)的公司進(jìn)行策略隔離。

2.2.4 互聯(lián)網(wǎng)服務(wù)區(qū)防護(hù)設(shè)計(jì)

在互聯(lián)網(wǎng)服務(wù)區(qū)的防護(hù)設(shè)計(jì)方面，技術(shù)人員需要重點(diǎn)關(guān)注來(lái)源于互聯(lián)網(wǎng)便捷接入?yún)^(qū)的風(fēng)險(xiǎn)，所采用的具體防護(hù)措施應(yīng)當(dāng)涉及到針對(duì)惡意代碼的防護(hù)并開展入侵檢測(cè)工作等，綜合考慮當(dāng)前我國(guó)在網(wǎng)絡(luò)安全方面的實(shí)際情況及發(fā)展趨勢(shì)，需要加強(qiáng)對(duì)各種專業(yè)設(shè)備的應(yīng)用，并提升各種安全操作的靈活性和安全性。由于絕大多數(shù)的網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)威脅都來(lái)源于互聯(lián)網(wǎng)，因此異構(gòu)防火墻串行接入，在原有的基礎(chǔ)上為外網(wǎng)增設(shè)第二層隔離，從而有效提升其安全穩(wěn)定性，并提高其當(dāng)前數(shù)據(jù)中心所具有的抗攻擊能力。

2.2.5 辦公接入?yún)^(qū)防護(hù)設(shè)計(jì)

優(yōu)化開展相應(yīng)的安全設(shè)計(jì)部署并制定安全訪問控制策略能夠最大限度減少核心區(qū)域的無(wú)效數(shù)據(jù)流量，并高效規(guī)避各種內(nèi)網(wǎng)威脅，對(duì)于網(wǎng)絡(luò)安全和網(wǎng)絡(luò)資源的有效利用有著重要的促進(jìn)作用。技術(shù)人員在進(jìn)行辦公接入?yún)^(qū)防護(hù)設(shè)計(jì)的過(guò)程中應(yīng)當(dāng)合理制定安全防護(hù)方案。防火墻需串行接入到辦公區(qū)域出口的位置，按組科學(xué)開展用戶權(quán)限的劃分工作，并針對(duì)性地制定與之相適應(yīng)的訪問策略。同時(shí)與當(dāng)前多擁有數(shù)據(jù)泄露防護(hù)（Data Leakage Prevention，DLP）終端內(nèi)容的審計(jì)系統(tǒng)有效結(jié)合，針對(duì)辦公區(qū)用戶展開相應(yīng)的內(nèi)容審計(jì)工作，從而在終端第一時(shí)間發(fā)現(xiàn)并及時(shí)妥善解決信息安全事件。

2.2.6 運(yùn)維管理區(qū)防護(hù)設(shè)計(jì)

首先，在堡壘機(jī)訪問方面，只有部分管理人員擁有訪問和登錄的權(quán)限，其他人員訪問將會(huì)被禁止。

其次，將堡壘機(jī)設(shè)備布置在運(yùn)維管理區(qū)，統(tǒng)一管理賬戶，并集中開展針對(duì)各項(xiàng)賬號(hào)的管理工作，例如安全設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理以及相關(guān)服務(wù)器管理等，同時(shí)結(jié)合實(shí)際情況設(shè)置設(shè)備管理員或運(yùn)維操作員等，保障滿足具體的審計(jì)需求。

最后，靈活采用堡壘機(jī)設(shè)備落實(shí)數(shù)據(jù)庫(kù)和文件傳輸?shù)炔僮魅^(guò)程的審計(jì)工作，采用設(shè)備錄像等手段對(duì)工作人員的實(shí)際操作行為進(jìn)行實(shí)時(shí)動(dòng)態(tài)監(jiān)控，以便在第一時(shí)間發(fā)現(xiàn)違規(guī)操作，并迅速進(jìn)行合理控制，切實(shí)提升運(yùn)維管理的實(shí)效性。

3 結(jié) 論

綜上所述，基于數(shù)據(jù)中心制定相應(yīng)的網(wǎng)絡(luò)安全防護(hù)策略能夠有效應(yīng)對(duì)各種層出不窮的網(wǎng)絡(luò)安全問題，對(duì)于互聯(lián)網(wǎng)整體安全性和穩(wěn)定性的提升有著積極的促進(jìn)作用。因此，相關(guān)工作人員要加強(qiáng)對(duì)于網(wǎng)絡(luò)安全防護(hù)方面的重視，從而有效降低網(wǎng)絡(luò)安全事故造成的影響。