基于大數(shù)據(jù)平臺的云安全建設(shè)

◆丁昊天 張晨飛

(中機(jī)新時(shí)代有限公司 北京 100089)

基于大數(shù)據(jù)平臺的云安全建設(shè)

◆丁昊天 張晨飛

(中機(jī)新時(shí)代有限公司 北京 100089)

目前大數(shù)據(jù)在世界范圍內(nèi)得到迅速的發(fā)展，但是也在發(fā)展中遇到許多的挑戰(zhàn)，為此，構(gòu)建一整套的大數(shù)據(jù)平臺的云安全體系是非常有必要的。本文主要闡述了大數(shù)據(jù)平臺面對的問題，系統(tǒng)的提出了云安全體系建設(shè)的主要方案，旨在通過完善云安全體系，提高各個(gè)單位在云上的運(yùn)行安全性。

大數(shù)據(jù)；云安全體系；建設(shè)措施

0 引言

隨著云服務(wù)和云計(jì)算的發(fā)展，其在發(fā)展過程中面臨的一個(gè)重要的挑戰(zhàn)就是云安全，其中，云安全在技術(shù)和管理方面出現(xiàn)了很多問題。在云計(jì)算的發(fā)展環(huán)境下，資源共享、多元化的服務(wù)類型以及用戶數(shù)量的大量增長等導(dǎo)致多個(gè)方面都出現(xiàn)了一定的問題。最近幾年來，像谷歌、亞馬遜等云計(jì)算領(lǐng)先的服務(wù)商都出現(xiàn)了重大的云服務(wù)安全事故，造成大范圍的服務(wù)中斷。所以說，云計(jì)算面對的一個(gè)重要問題就是其安全性，加強(qiáng)云安全建設(shè)勢在必行。

1 大數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)

大數(shù)據(jù)安全勢必是一場斗爭，在大數(shù)據(jù)領(lǐng)導(dǎo)的時(shí)代，以電商社交為代表的互聯(lián)網(wǎng)、以微博微信為代表的移動(dòng)互聯(lián)網(wǎng)、以傳感器為代表的物聯(lián)網(wǎng)、以及金融電信等各行各業(yè)都在產(chǎn)生著大量的數(shù)據(jù)，已經(jīng)開始作為一種生產(chǎn)要素發(fā)揮著極其重要的作用，成為競爭的有力因素。大數(shù)據(jù)雖然包含著比較多的信息量，但是在發(fā)展過程中也因此會產(chǎn)生較多的風(fēng)險(xiǎn)挑戰(zhàn)。

在大數(shù)據(jù)環(huán)境下產(chǎn)生了應(yīng)用防護(hù)風(fēng)險(xiǎn)，資源被泛濫使用和惡用，拒絕服務(wù)攻擊，WEB安全等。虛擬環(huán)境產(chǎn)生安全風(fēng)險(xiǎn)。在引進(jìn)新的虛擬技術(shù)過程中，大數(shù)據(jù)系統(tǒng)就增加了新的安全風(fēng)險(xiǎn)，比如說，在一個(gè)管理程序中運(yùn)行多個(gè)虛擬機(jī)，那么虛擬數(shù)據(jù)中心攻擊的最主要目標(biāo)就是這個(gè)管理程序，因?yàn)橐坏┕テ七@個(gè)管理程序就可以訪問許多個(gè)數(shù)據(jù)中心的虛擬系統(tǒng)。

2 基于大數(shù)據(jù)平臺云安全建設(shè)方案

2.1 云平臺安全

云平臺本身的技術(shù)種類繁多，復(fù)雜多樣，還不夠成熟。開發(fā)單位在集數(shù)據(jù)庫、消息隊(duì)列等多個(gè)功能的云平臺上，通過其提供的語言和工具進(jìn)行開發(fā)，接口安全和運(yùn)行安全是云平臺安全的兩個(gè)重要部分。

云平臺接口安全。云平臺在開放接口之后面臨的最大的威脅就是通過利用該接口攻擊內(nèi)部外部以及濫用云服務(wù)。在建設(shè)云安全體系中，應(yīng)該加強(qiáng)訪問控制，比如說，實(shí)行強(qiáng)用戶認(rèn)證、保障有效的加密等措施。

云安全運(yùn)行安全。云平臺開放后面臨的又一個(gè)問題就是搭載于云平臺上的用戶 IT系統(tǒng)，需要通過加強(qiáng)安全審核和監(jiān)控用戶應(yīng)用的力度，同時(shí)加強(qiáng)不同用戶的系統(tǒng)隔離。使用安全組防火墻提供三層隔離，在同一組的不同服務(wù)器可以互相訪問，不同安全組的服務(wù)器則無法做到這一點(diǎn)。

2.2 服務(wù)器安全

整合服務(wù)器，之所以進(jìn)行服務(wù)器整合，是因?yàn)榭梢酝ㄟ^整合把部分業(yè)務(wù)轉(zhuǎn)移到虛擬平臺再進(jìn)行運(yùn)行，這樣不僅能夠節(jié)約系統(tǒng)資源，而且方便管理容易更新。

對于不同業(yè)務(wù)的系統(tǒng)區(qū)域要進(jìn)行合理的配置，同一臺服務(wù)器上最好不要部署不同級別的業(yè)務(wù)設(shè)計(jì)。

合理劃分安全區(qū)域，在劃分過程中，及時(shí)滿足公網(wǎng)訪問和運(yùn)行維護(hù)管理的需求。

要充分保證業(yè)務(wù)之間的隔閡，在服務(wù)器整合之后，重新評估公共防火墻的性能，如果現(xiàn)有的設(shè)備數(shù)量無法滿足所需時(shí)，要增加新的防火墻設(shè)備。

加強(qiáng)對虛擬化平臺的防護(hù)，保護(hù)虛擬化平臺，可以通過啟用現(xiàn)有的安全選項(xiàng)加固系統(tǒng)。

加強(qiáng)云計(jì)算的備份與恢復(fù)能力。

2.3 數(shù)據(jù)安全

根據(jù)云計(jì)算的自身特點(diǎn)和數(shù)據(jù)生命周期，構(gòu)建云端數(shù)據(jù)安全體系。

數(shù)據(jù)訪問。用戶通常都是需要通過控制臺日常操作才能訪問云資源，把用戶和云產(chǎn)品的對應(yīng)關(guān)系運(yùn)用對稱加密的形式來鑒別身份。運(yùn)行維護(hù)管理人員在對大數(shù)據(jù)中心和云計(jì)算進(jìn)行操作時(shí)都需要雙重鑒定來實(shí)現(xiàn)認(rèn)證，即靜態(tài)密碼結(jié)合動(dòng)態(tài)令牌。操作時(shí)需要的權(quán)限需要多個(gè)層面的審批和固化規(guī)則，當(dāng)出現(xiàn)違規(guī)操作時(shí)就會自動(dòng)報(bào)警。

數(shù)據(jù)傳輸。用戶的個(gè)人賬戶產(chǎn)生的數(shù)據(jù)和云端生產(chǎn)產(chǎn)生的數(shù)據(jù)是兩種不同的數(shù)據(jù)對象，在進(jìn)行傳輸控制時(shí)需要從客戶端到云端，云端再到服務(wù)間，云服務(wù)到云服務(wù)控制這三個(gè)層次的控制系統(tǒng)來完成。需要注意的是個(gè)人數(shù)據(jù)在從客戶端到云端傳輸時(shí)一律都要使用SSL進(jìn)行加密，后面的兩者都是使用程序進(jìn)行加密來確保個(gè)人數(shù)據(jù)不落地。

數(shù)據(jù)存儲。在保存云端生產(chǎn)數(shù)據(jù)過程中，不管使用的是哪一種云服務(wù)器，都要將數(shù)據(jù)采用碎片分布式離散技術(shù)進(jìn)行粉碎，就是說數(shù)據(jù)被切割成許多片段通過隨機(jī)分散保存在不同的機(jī)架，而且每一個(gè)片段都會有多個(gè)副本進(jìn)行保存。根據(jù)每一個(gè)用戶ID的不同云服務(wù)系統(tǒng)將其云端數(shù)據(jù)進(jìn)行隔離，客戶的云存儲空間訪問權(quán)限是由其對稱加密所控制的，確保云端數(shù)據(jù)的訪問權(quán)限最小化。

數(shù)據(jù)銷毀。在客戶要求刪除存儲數(shù)據(jù)或者是使用的設(shè)備被售出拋棄時(shí)，都要運(yùn)用內(nèi)存釋放和清空數(shù)據(jù)來徹底刪除所有的數(shù)據(jù)。在云計(jì)算環(huán)境下，許多硬盤在外進(jìn)行維修或者是服務(wù)器報(bào)廢時(shí)都會導(dǎo)致數(shù)據(jù)失竊，大數(shù)據(jù)中心必須遵循標(biāo)準(zhǔn)流程：磁盤更換時(shí)換下來的磁盤每盤都保證消磁，每一個(gè)磁盤的消磁記錄都能夠被查到，消磁的視頻做到每天可溯。不斷加大磁盤消磁工作的視頻監(jiān)控力度，完善相應(yīng)的策略，在監(jiān)控過程中確保操作防抵賴性和監(jiān)控視頻的保存完整性。

2.4 虛擬桌面云安全

虛擬桌面的主要作用就是實(shí)行集中管理和維護(hù)，把用戶的電腦環(huán)境轉(zhuǎn)移到虛擬的主機(jī)環(huán)境，在這個(gè)環(huán)境下進(jìn)行管理維護(hù)工作。一臺瘦終端、鼠標(biāo)、鍵盤等簡單的設(shè)備就可以組成終端進(jìn)行操作，極大的降低了運(yùn)行成本，還提高了管理維護(hù)的工作效率，企業(yè)內(nèi)部的坐席業(yè)務(wù)和辦公網(wǎng)絡(luò)等都廣泛使用虛擬桌面。

終端安全。虛擬桌面擁有多樣化形態(tài)的接入終端，既可以通過筆記本、臺式電腦也可以通過各種智能終端或者是瘦終端進(jìn)行接入，終端必須具有較高的安全性能。在虛擬桌面的終端中，需要多加關(guān)注病毒的查殺或者是制定黑白名單體制，像瘦終端這樣的專用終端，可以通過黑白名單體制來允許操作者僅僅可以運(yùn)行特定的流程。

接入安全。虛擬桌面可以通過有線接入、無線接入等多種形式進(jìn)行接入，在保證終端安全的情況下需要多加關(guān)注傳輸數(shù)據(jù)時(shí)的安全。如果必須需要外部網(wǎng)絡(luò)進(jìn)行接入時(shí)，需要配置 VPN網(wǎng)關(guān)等必要性程序，只有通過這項(xiàng)程序才可以連接內(nèi)部辦公環(huán)境。

防病毒。可以安裝一般的桌面防病毒軟件來完成虛擬桌面的防病毒工作，但是值得注重的是一般的防病毒軟件也許會有掃描風(fēng)暴或者是更新病毒庫風(fēng)暴等問題。所以可以采用專門的虛擬桌面防病毒系統(tǒng)。這樣的專門針對虛擬桌面設(shè)計(jì)的防病毒系統(tǒng)不僅減輕了虛擬桌面自身負(fù)擔(dān)，實(shí)行任務(wù)調(diào)節(jié)，而且還能避免大量的病毒掃描此類操作共同進(jìn)行，有效的減輕了系統(tǒng)的負(fù)載。

2.5 其他安全

大數(shù)據(jù)安全還要確保設(shè)備及其相關(guān)環(huán)境的安全，關(guān)鍵是要完善大數(shù)據(jù)平臺的管理制度。加強(qiáng)建設(shè)的規(guī)范性，制定嚴(yán)格的管理制度，通過制度來保障大數(shù)據(jù)平臺相關(guān)設(shè)備的安全。首先要嚴(yán)格管理門禁，對大數(shù)據(jù)設(shè)備所在環(huán)境的進(jìn)出制定嚴(yán)格的時(shí)間標(biāo)準(zhǔn)，非標(biāo)準(zhǔn)的時(shí)間一律按照相關(guān)制度來進(jìn)行管理。其次，制定備用物資的存放和使用標(biāo)準(zhǔn)，嚴(yán)格進(jìn)行該場地的實(shí)時(shí)監(jiān)控。最后要不斷完善供電消防等基本保障制度。加強(qiáng)賬號異常登錄檢測，在以往的服務(wù)器異常登錄情況中，絕大多數(shù)的情況是受到了入侵或者是攻擊。根據(jù)日常登錄情況，對經(jīng)常登錄的區(qū)域進(jìn)行識別，需要精確到該區(qū)域所在的具體的地市級，防止出現(xiàn)不必要的損失。快速掃描云服務(wù)器的端口，可以結(jié)合以指紋識別為代表的生物識別技術(shù)來判斷開放端口正在運(yùn)行的軟件甚至是版本，如果發(fā)現(xiàn)沒有經(jīng)過允許的開放端口，要在第一時(shí)間內(nèi)提醒用戶關(guān)閉該開放端口，以防止系統(tǒng)被病毒或者黑客入侵。

3 總結(jié)

伴隨著大數(shù)據(jù)和云計(jì)算的廣泛應(yīng)用，我們需要及時(shí)發(fā)現(xiàn)當(dāng)中的問題，及時(shí)找出解決措施進(jìn)行處理并且完善。本文基于大數(shù)據(jù)這個(gè)平臺，通過5個(gè)層面的設(shè)計(jì)構(gòu)建了云安全的防護(hù)體系，這個(gè)體系可以強(qiáng)有力的保證云服務(wù)和云計(jì)算的運(yùn)行安全性，用戶可以利用大數(shù)據(jù)和云安全防護(hù)體系不斷創(chuàng)新工作，促進(jìn)社會的發(fā)展。

[1]羅仟松.基于虛擬數(shù)據(jù)中心的云安全策略研究與設(shè)計(jì)[D].山東大學(xué)，2013.

[2]白秀杰，李汝鑫，劉新春，邵宗有.云安全防護(hù)體系架構(gòu)研究[J].信息安全與技術(shù)，2013.

[3]胡祥義，馬占國，劉宇.一種云安全架構(gòu)的解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011.

[4]曹瑞，劉新龍.云安全解決方案[J].中國鐵路，2017.