基于大數據平臺的云安全體系的構建

徐杰

?

基于大數據平臺的云安全體系的構建

徐杰

中國移動通信集團四川有限公司，四川 成都 610041

選取大數據平臺作為研究對象，先對互聯網發展的階段進行了簡要說明，指出當前正處于大數據時代，需要通過大數據平臺建設與云計算及服務，為國家、企業、用戶提供體驗與發展導向。解讀了基于大數據平臺的安全體系的兩層內涵后，著重從構建方案的視角，分別按照該體系下的云平臺、服務器、數據、虛擬化要素及對應的安全需求和滿足展開具體討論，旨在為相關工作的順利推進提供參考。

大數據平臺；云安全體系；構建

互聯網在20世紀90年代開始應用于各個領域，經過近30年的發展已趨于成熟。目前互聯網技術正處于深化應用階段，具體表現為大數據平臺的構建及云計算的應用，旨在通過對大量數據的快速化、深度化分析為各行各業提供趨勢預測與發展向導，為用戶提供速度快、穩定性高、操作性更好的使用體驗。從其應用實踐分析，主要通過各個國家發明的超級計算機運算技術與市場化企業之間的合作加以實現。結合當前我國在大數據平臺的建設及應用經驗對主題做出說明。

1 云安全體系

移動互聯網時代的本質是信息化。這種信息化通常被化約為一種可以進行計算的數據。通常人們也將其稱為大數據時代。基于大數據平臺的云安全體系包括兩方面內容：一是作為計算對象的數據，因其數量較大一般叫作大數據，它已成為一種新型互聯網思維導圖下的管理方案；二是云計算，即基于數據的計算模式，主要借助網絡平臺，對收集到的不同類型的數據資源進行統計、分析、傳輸，從而為用戶或企業提供依據型服務，幫助其從中獲得信息分享或用戶體驗，以及從中得到發展方向等。當前產生了私有類型、公共類型兩大云計算模式。前者由企業掌握，后者由國家或企業掌握。所以該類型可以再劃分為服務提供者類型或服務使用者類型。由于在云計算中需要保證數據的運算安全，在云服務實踐中要求安全保障與安全服務，因此需要構建基于大數據平臺的云安全體系。

2 構建云安全體系的方案

按照現階段的大數據平臺云安全體系設計，構建云安全體系需要從風險預防出發，著重抓住其構成要素，確保云平臺、服務器、數據、虛擬化方面的安全。

2.1 云平臺安全

大數據平臺通過云平臺實現基礎平臺搭建，其安全保障通常需要從管理與技術方面雙管齊下，現階段的管理相對完善，重點集中在技術安全保障層面，主要問題體現在接口安全、運行安全方面。比如，為了獲得更多的應用可能，云平臺選擇了開放式接口類型，其結果必然會產生數據濫用。保障其安全的解決方案可以嘗試訪問控制與加密系統兩種方法。再如，在運行方面的安全保障措施，可以借鑒隔離方案開展全程技術監管，設計技術應進一步提高，搭載于IT系統的云平臺只有進行安全審核后才能使用，利用審核法強化隔離防火墻建設達到保障效果。

2.2 服務器安全

四大根服務器在國外，因而我國在這個方面需要先保障國內應用服務器的安全，然后盡可能地對服務器進行一些資源整合，從而通過虛擬的大數據平臺實現業務轉移與資源優化匹配應用。這樣既可以確保服務器的安全，又可以進一步增強整個系統的高效化管理。簡單來講，在服務器向虛擬服務器的轉化中能夠建立一個系統，并完成樹型業務分區，既能夠使服務器業務級別趨于一致，又可以實現維護管理目標。這方面能夠借助公共防火墻（或增加數量，或提高性能）實現安全保障，應在整合服務器后對公共防火墻性能進行評估。如果已無法滿足系統需求，那么需增加防火墻數量或者提高性能[1]。此外，對虛擬平臺實施防護，建立安全防護系統，對云計算進行監測，防止數據丟失和濫用。

2.3 數據安全

數據安全是云安全體系構建的核心。大數據時代，數據具有復雜性，設計者應根據云計算的特點，建立完善的安全體系。大數據平臺的云安全體系構建能夠確保運行安全、使用安全及服務安全，其中最關鍵的是數據的安全化處理。因此，在進行平臺設計與云安全系統設計時，應確保體系的完整性[2]。需要在資源訪問權限、產品服務與用戶適配關系方面，采用密鑰管理法提高數據安全處理。限制云資源的訪問，將用戶訪問和云產品的對應關系，采用秘鑰的方式進行管理，提高其訪問安全性。目前，谷歌等公司均采用雙重鑒定的方式，取得了不錯的效果。應進一步強化系統維護管理人員的身份鑒定，可以采用靜態密碼結合動態指令的方式，操作權限采用多層面的設計原則，建立自動報警系統。采用用戶身份管理與訪問控制的方式解決身份認證問題，確保訪問安全，對用戶的入網途徑進行檢驗和監督。此外，需要在維護管理者方面做好雙重鑒定，包括身份鑒定與訪問控制，尤其應注重操作權限的多層面設計，提高對于各類Bug的警惕，按照“百密一疏”的原則，強化自動報警系統。另外，由于數據安全處理中包括傳輸時的動態屬性，因而在順序、方向、數據量等方面，需要按照傳輸與接收的具體對應程度而進行階段劃分，確保其在一層一層的劃分下，數據在每一個傳輸階段都能夠得到加密保障，從而實現安全傳輸。通常數據傳輸要從客戶到云端，再到服務器，應分段采用不同的加密方式，如在客戶端到云端過程中，統一采用SSL加密方法，而在云端到服務器中則需要采用程序加密的方式，保證數據的安全性；存儲方面則宜借助“化整為零”的辦法將數據安排在不同的機架，利用“狡兔三窟”原則保存多個副本等，根據客戶的ID來獲得不同的云端服務系統，實現數據的獨立存儲，同時通過訪問權限限制大數據的訪問，保證安全。

2.4 虛擬化安全

虛擬化技術是云安全體系構建的核心技術之一，是將存儲設備以及網絡服務器虛擬化的過程。在虛擬化過程中，應提高軟件安全防護能力，并確保服務器安全運行。云安全體系中的虛擬化既是一種安全措施，又需要通過安全保障措施為其應用保駕護航[3]。建議在虛擬化實踐中，增強對網絡服務器與存儲設備各自的防護能力，利用安全技術平移，使云安全體系中的虛擬化在軟件層面得到有效隔離，這樣在切斷云主機客戶—虛擬服務軟件之間的直接訪問關系時，就能夠達到多用戶環境下的安全運行。我國目前的加密技術正在持續升級，其動態性與復雜性越來越高，因此虛擬化安全得到全面保障[4-5]。

3 結束語

綜上所述，現階段我國正處于“新突破”與“高質量發展”的新階段，因而在“互聯網+”改革的深化實踐中，既需要有前沿的互聯網技術為支撐，又要求這種技術與行業對接及融合的安全有效性。建議在基于大數據平臺的建設中，積極開展云安全主題研究，在云安全體系的構建層面按照要素匹配法，以資源優化配置的方式為各個環節提供可預防風險的安全保障措施，為其進一步的應用打好安全基礎，從而在安全運行的條件下，實現大數據平臺的安全運營，為用戶、為企業、為國家創造發展新的服務，提供轉型升級有所依據的新路徑。

[1]陳實如. 企業大數據平臺建設過程中的問題和建議[J]. 信息通信，2017（12）：141-142.

[2]孫全興. 對城鄉大數據平臺建設的思考[J]. 網絡安全技術與應用，2015（1）：134，136.

[3]辛笛. 運營商大數據平臺建設方案的研究與設計[J]. 中國新通信，2016（4）：114.

[4]周揚. 基于物聯網云+大數據分析的共享單車高效安全體系的構建[J]. 信息與電腦（理論版），2018（1）：16-18.

[5]陳臣. 基于大數據的圖書館個性化服務安全體系構建研究[J]. 新世紀圖書館，2014（11）：47-51.

Construction of Cloud Security System Based on Big Data Platform

Xu Jie

China Mobile Communications Group Sichuan Co., Ltd., Sichuan Chengdu 610041

The paper selects the big data platform as the research object, first briefly explains the stage of the development of the Internet, and points out that it is currently in the era of big data and needs to provide experiences and development orientation for countries, enterprises and users through the construction of big data platform and cloud computing and services. After interpreting its two-layer connotations under the cloud security system, it focuses on the perspective of the construction plan, and discusses the cloud platform, server, data, virtualization elements, and corresponding security requirements and satisfaction under the system so as to provide reference for the smooth progress of related work.

big data platform; cloud security system; construction

TP309

A