電信大數據平臺的網絡安全防護體系設計

鄧利

摘? ?要：為保障電信大數據平臺的數據安全，文章對電信大數據平臺的網絡安全防護體系設計進行研究。首先，分析電信大數據平臺及電信網的安全現狀;其次，設計電信大數據平臺的網絡安全防護體系架構，包括物理隔離安全、訪問控制安全、實時監測預警3個方面。其中，物理隔離安全包括用戶安全訪問平臺、數據安全交互平臺，訪問控制安全包括用戶訪問認證機制、行為審計分析機制，實時監測預警包括事前監測、事中分析、事后處置3種監測預警機制。本研究成果已應用到某省電信大數據平臺建設工作中，并且取得了較好的使用效果。

關鍵詞：電信大數據平臺;網絡安全;訪問控制;安全審計

隨著4G，5G、云計算、大數據、物聯網等技術的快速發展和應用，電信行業的大數據平臺建設項目越來越多。當前，各電信運營商的電信大數據平臺已為政府、企業提供了較多的行業信息化應用和支撐服務。與此同時，以竊取數據資源為目標的網絡安全事件也越來越多，嚴重威脅各大數據平臺的正常運營工作，給社會和人民群眾帶來了較大的經濟財產損失以及個人隱私數據泄露等問題[1]。為確保電信大數據平臺的安全運營，必須進行完備的網絡安全防護體系設計，盡可能避免安全威脅事件的發生[2]。

為解決問題，已有較多的研究團體對大數據平臺網絡安全防護體系進行了設計。根據各研究團體的研究對象和研究方法，筆者將當前已有的研究分為3類：（1）從大數據平臺的硬件環境方面進行研究，通過分析和優化服務器、交換路由設備、安全防御設備的設計和部署方法，實現網絡的安全訪問控制以及對惡意行為的審計問責等工作[3]。（2）從數據的全生命周期方面進行研究，通過分析數據的來源、傳輸、存儲、處理、應用5大環節中存在的安全隱患，針對性地設計大數據平臺的安全防護體系[4]。（3）針對各種典型安全事件進行的安全防護設計。例如，張鋒軍[5]分析了數據篡改、信息泄露、數據丟失等方面的數據安全問題，并總結了針對每種問題的安全防護技術;陳麗等[6]針對大數據平臺中用到的Hadoop技術架構，從每個組件的安全性方面進行了分析，并針對安全問題提供了安全解決方案，有效提升了大數據Hadoop平臺的安全性能。

通過對已有研究成果分析可知，當前在大數據平臺的網絡安全方面已取得了較多的研究成果。但是當前的研究主要聚焦在不同維度的通用體系架構設計以及針對單個問題的研究探討中，缺少可快速應用于大數據平臺網絡安全防護體系的研究成果，尤其缺少電信行業大數據平臺的網絡安全防護體系設計。為解決此問題，本文通過分析電信大數據平臺及電信網的安全現狀，設計電信大數據平臺的網絡安全防護體系架構。經過一年的應用，本文體系架構已取得了較好的使用效果。

1? ? 電信大數據平臺的網絡安全現狀

通過對電信大數據平臺現狀進行調研和分析可知，當前電信大數據平臺的網絡安全領域具有以下3個特點：

（1）網絡規模越來越大，用戶類型越來越多。隨著電信通信網技術的全球化發展，網絡技術架構和管理體系的全球標準化工作進程逐漸加快，為電信通信網的建設提供了統一性和開放性保障，有效促進了電信通信網的快速發展。與此同時，電信通信網承載的業務類型也越來越多，用戶規模越來越大。但是電信通信網的開放性也為網絡攻擊行為提供了更多的攻擊機會，給網絡的安全運營帶來了較多安全隱患[7]。

（2）以竊取用戶身份和數據為主的違法犯罪活動越來越多。通過對電信大數據平臺的運營數據統計分析可知，竊取用戶身份和數據的違法犯罪活動可以分為內部違法犯罪活動和外部違法犯罪活動兩種。其中，內部違法犯罪活動主要是由于內部員工利用職務之便，將用戶的數據和信息從大數據平臺下載到本地后進行銷售，從而獲得非法收入[8]。外部違法犯罪活動是指網絡黑客采用非法技術手段，通過竊聽、偽裝、入侵等攻擊手段，非法獲取大數據平臺的用戶數據和隱私信息。近年來，兩種犯罪活動都向獲取經濟利益方向發展。

（3）網絡安全漏洞越來較多，導致新型攻擊越來越多。隨著電信通信網規模的增大、大數據平臺的新技術增多，電信大數據平臺出現的漏洞也隨之增加。基于這些新型漏洞，網絡入侵人員更加便于實施網絡入侵和網絡攻擊。同時，由于大數據資源的經濟價值較高，使得越來越多的網絡入侵者自發地提升了攻擊技術能力，導致攻擊的類型和數量越來越多[9]。

2? ? 體系架構設計

2.1? 設計思路

為了實現大數據平臺中的數據安全，保障數據的私密性、可用性、完整性，本文提出的電信大數據平臺的網絡安全防護體系設計思路如下：

（1）通過隔離技術和加密技術，實現大數據傳輸網絡的安全。大數據平臺服務的用戶類型較多，并且采用多種分布式計算技術，所以，大數據的傳輸安全是大數據平臺的最基本要求。在體系架構設計時，需要采用隔離技術和加密技術實現數據的安全傳輸，保護數據的私密性和完整性。

（2）通過分級分類的身份管理和權限管理機制，實現大數據平臺的人員管理安全。用戶身份是進入大數據平臺的鑰匙，所以，身份管理是大數據平臺入口管理中最重要的工作。在訪問控制設計時，基于用戶類型不同，采用分級分類的身份管理機制，為不同類型的用戶分配不同級別的權限，可以有效避免高級別的隱私數據被泄露。

（3）針對數據生命周期各個階段的風險漏洞制定安全策略，確保數據全過程的安全。大數據的安全包括數據的采集過程安全、存儲過程安全、處理過程安全、使用過程安全等關鍵環節。在設計數據安全策略時，需要從大數據的全生命周期分階段設計，從而避免由于某一階段的漏洞，導致數據的整體安全。

（4）通過對訪問和操作過程進行記錄和分析，實現大數據平臺事前、事中、事后的安全審計。當大數據平臺出現安全隱患或安全事件時，需要能夠快速定位原因和問題，并制定針對性的補救措施，從而將負面影響最小化。在安全事件處理和應急響應設計時，需要實現事前的詳細記錄和預警，在事中能夠快速定位事件原因，并進行問題補救。在事件處理之后，還需要具備追蹤溯源的能力，從而更好地改進大數據平臺的漏洞，避免同類事件的再次發生。

2.2? 體系架構

為解決電信大數據平臺的網絡安全問題，基于設計思路和已有研究分析，本文設計了電信大數據平臺的網絡安全防護體系架構，如圖1所示。包括物理隔離安全、訪問控制安全、實時監測預警3個方面，物理隔離安全包括用戶安全訪問平臺、數據安全交互平臺;訪問控制安全包括用戶訪問認證機制、行為審計分析機制;實時監測預警包括事前監測、事中分析、事后處置3種監測預警機制。

3? ? 架構內容

3.1? 物理隔離安全

物理隔離安全采用隔離技術、加密技術針對數據生命周期各個階段的風險漏洞，從網絡傳輸方面保障大數據平臺的底層安全，主要通過部署用戶安全訪問平臺、數據安全交互平臺來實現。其中，用戶安全訪問平臺用于實現應用的安全訪問和使用，邏輯拓撲如圖2所示。數據安全交互平臺用于實現數據的安全交換，邏輯拓撲如圖3所示。

從圖2可知，用戶安全訪問平臺邏輯拓撲包括用戶接入區、應用前置區、應用服務區3個模塊。（1）在用戶接入區模塊方面，駐地外用戶和外部用戶都采用VPN技術進行接入;安全防護包括防火墻、IPS，IDS、安全網關等網絡安全設備;接入代理采用虛擬桌面技術，防止網絡內部信息泄露，與應用服務區的代理控制服務模塊對應。（2）在應用前置區模塊方面，Web應用防護部署網站應用級入侵防御系統，對用戶接入區的Web服務請求進行安全防護和安全處理。（3）在應用服務區模塊方面，代理控制服務包括代理控制服務、應用程序接口（Application Programming Interface，API）代理服務兩部分功能，其中，代理控制服務負責為用戶接入區的接入代理服務;API代理服務負責從應用后置區的API接口服務處獲得服務。安全防護部分也通過部署網絡安全設備的硬件隔離策略，保障應用服務區的網絡安全;應用后置區模塊包括應用后置、API接口服務兩部分。其中，應用后置負責為應用前置區提供服務;API接口服務從數據中心獲取應用，滿足API代理需要的應用。

從圖3可知，數據安全交互平臺的邏輯拓撲包括數據接入區、安全隔離區、數據管控區3個模塊：（1）在數據接入區模塊方面，安全防護設備采用防火墻、安全網關等安全設備，通過配置訪問控制列表（Access Control Lists，ACL）策略，實現數據的單向進入。（2）在安全隔離區模塊方面，數據交換平臺采用網閘設備，實現數據的單向物理隔離。（3）在數據管控區模塊方面，部署數據交換管控平臺，通過單向進入控制，實現數據的可追蹤和溯源;通過部署流量探針，實現流量可控、可管。

3.2? 訪問控制安全

訪問控制安全采用分級分類的身份管理、權限管理機制，對訪問和操作過程進行記錄和分析，保障用戶訪問過程的安全。訪問控制安全主要通過實施用戶訪問認證機制、行為審計分析機制來實現。其中，用戶訪問認證機制用于實現用戶訪問過程的權限管理，其架構如圖4所示;行為審計分析機制用于實現用戶使用過程的審計，其架構如圖5所示。

從圖4可知，用戶訪問認證機制架構包括注冊登錄、操作過程、權限管控3個模塊：（1）注冊登錄模塊采用人臉識別、聲音識別、虹膜識別、指紋識別4種識別技術，實現用戶注冊和登錄過程的真實性驗證。（2）操作過程模塊通過采用終端水印、用戶水印技術，實現用戶違規操作的不可否認性。（3）權限管控模塊包括權限分級、權限分類、名單管理技術，確保數據的安全訪問和使用。名單管理技術采用白名單、黑名單、紅名單3種策略對用戶數據進行管理。白名單是指記錄良好的用戶名單，可以正常訪問其權限級別的相關功能;黑名單是指在使用過程中出現了一些違規行為，需要對其行為采取限制措施;紅名單是指特殊用戶構成的名單，該名單范圍內的人員信息不能被低級別權限的用戶訪問。

從圖5可知，行為審計分析機制架構包括基本審計、關聯分析、高級審計3個模塊：（1）基本審計的范疇包括登錄信息、賬戶信息、操作信息、數據信息4個方面數據的審計，操作信息主要審計用戶的操作路徑是否出現異常行為，數據信息主要審計用戶對數據操作時的流向是否符合預期。（2）關聯分析模塊的范疇包括日志分析、網絡ID、虛擬身份、違規違約。網絡ID主要分析用戶的IP地址、MAC地址等網絡身份與真實身份是否一致;虛擬身份主要分析用戶的郵箱、聯系方式等信息是否與真實用戶數據相一致;違規違約主要分析用戶在使用過程中是否存在密碼試探、越權操作、高頻訪問、敏感事件操作等方面的異常行為。（3）高級審計模塊的范疇包括事件審計、安全審計、風險審計。事件審計主要對出現的關鍵事件進行追蹤和溯源，防止此類事件的再次發生。安全審計主要從安全的視角，基于法律法規和相關制度，進行自我檢查;風險審計主要從預防的角度，對未來不可預知的相關風險進行提前分析，從而防止此類事件的發生。

3.3? 實時監測預警

實時監測預警模塊通過實施事前監測、事中分析、事后處置3種監測預警機制，實現大數據平臺的事前、事中、事后的安全審計，其架構如圖6所示。（1）事前監測包括態勢評估、威脅檢測。態勢評估采用態勢感知技術，從綜合、數據、資產、漏洞等維度，對大數據平臺的安全態勢進行分析;威脅檢測使用安全防護設備，執行入侵檢測、病毒檢測、流量異常檢測、數據報文異常檢測、常見攻擊檢測等日常安全性分析。（2）事中分析包括分析研判、響應處置。分析研判主要采用事件關聯分析、攻擊鏈條分析、異常行為分析、重點人員和重點事件監測分析等技術，對關鍵的事件進行深度分析，從而在事件發生時，能夠快速生成處理策略和應急機制。響應處置采用實時告警、健全應急管理體系等措施，實現安全事件的快速通知、實時阻斷、快速整改。（3）事后處置包括追蹤溯源、問題治理。追蹤溯源基于威脅數據和審計結果，可以快速定位事件的源頭，為事件處置提供準確的信息支撐。問題治理模塊基于成熟的處理機制，對問題進行快速、精準的處理，防止事態蔓延。

4? ? 結語

近年來，以竊取數據資源為目標的網絡安全事件已嚴重威脅到大數據平臺的正常運營，給社會和人民群眾帶來了較大的經濟和財產損失。為保障電信大數據平臺的安全運營，本文通過分析電信大數據平臺的網絡安全現狀，制定了網絡安全防護體系的設計思路，并基于該思路設計了電信大數據平臺的網絡安全防護體系架構。該研究成果已應用到某省電信大數據平臺的運營工作中，并且取得了較好的使用效果。下一步將基于本文的研究成果，研究如何制定安全維護方案和相應的管理措施，從而使本文提出的網絡安全防護體系架構發揮更大價值，為大數據平臺提供更加安全、可靠的網絡環境。

[參考文獻]

[1]王桂芳.大數據安全平臺威脅分析[J].數字化用戶，2017（27）：110-111.

[2]慕文靜，鄭鑫，張曉潔.通信網絡信息系統的安全防護技術[J].中國管理信息化，2017（15）：188-189.

[3]曾中良.大數據時代的企業信息安全保障[J].網絡安全技術與應用，2014（8）：137-138.

[4]郭乃網，蘇運，瞿海妮，等.電力大數據安全體系架構研究與應用[J].中國電業（技術版），2016（4）：32-35.

[5]張鋒軍.大數據技術研究綜述[J].通信技術，2014（11）：1240-1248.

[6]陳麗，黃晉，王銳.Hadoop大數據平臺安全問題和解決方案的綜述[J].計算機系統應用，2018（1）：1-9.

[7]孫付杰.電信通信網絡傳輸安全維護方案[J].網絡安全技術與應用，2017（1）：18-20.

[8]張學淵，梁雄健.關于通信網可靠性定義的探討[J].北京郵電大學學報，2017（2）：33-38.

[9]黃居安.電信通信網絡安全維護方案分析與闡述[J].信息與電腦（理論版），2016（11）：149-150.

Abstract：In order to ensure the data security of telecom big data platform， this paper studies the design of network security protection system for telecom big data platform. Firstly， the security status of telecom big data platform and telecommunication network is analyzed. Secondly， the network security protection architecture of telecom big data platform is designed， including physical isolation security， access control security， real-time monitoring and early warning， among them， physical isolation security includes user security access platform and data security interaction platform， access control security includes user access authentication mechanism and behavior audit analysis mechanism. Real-time monitoring and early warning includes three kinds of monitoring and early warning mechanisms： pre-monitoring， in-process analysis and post-processing. The research results have been applied to the construction of a large-scale telecom platform in a province， and achieved good results.

Key words：telecom big data platform; network security; access control; security audit