大數據中心安全架構

楊雪峰

摘 要：網絡安全是一個事關國家安全的重大戰略性問題，黨的十八大以來，黨中央、國務院高度重視網絡安全工作，發展是安全的目的”、“加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力”，為網絡安全工作指明了方向。從世界范圍看，網絡安全事件影響力和破壞性正在加大，網絡安全威脅和風險日益突出，并向政治、經濟、文化、社會、國防等多領域傳導滲透。

關鍵詞：安全;大數據

隨著智慧城市建設開展，大數據中心安全管理顯得尤為迫切。我們需要從數據基礎安全加固、數據資產情況梳理、數據訪問監控與風控體系建立、數據管理與運維體系建立、數據安全服務等方面著手，建設立體化數據保護機制，有效保障數據安全。

一.大數據中心安全現狀及需求

目前大數據中心云平臺基礎設施安全建設、數據安全建設相對薄弱，風險識別、管控和審計手段和工具各自分散，難以形成整合事前、事中、事后階段的綜合防控能力，在此大環境下，智慧城市基礎設施在數據采集、數據傳輸、數據存儲、應用系統、基礎環境及系統互聯等各個層面，不斷面臨著來自內部和外部網絡的非授權訪問、數據竊取、惡意代碼攻擊、數據丟失等現實威脅。

二.大數據中心安全建設目標

通過自適應的安全防護體系，根據威脅情報等預測結果做出相應信息安全預警，同時對潛在威脅風險進行持續檢測，并動態調整安全防護策略實現對安全事件的阻斷，最后對檢測結果快速響應（Respond），形成信息安全的預測、阻止、檢測、響應的閉環體系。

通過為滿足物理安全、網絡安全、主機安全、應用安全、數據安全五個方面基本技術要求進行技術體系建設;為滿足安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面基本管理要求進行管理體系建設。

三.大數據中心安全總體方案設計

設計圍繞一體化防護原則，不僅考慮了基礎安全、云安全和邊界的安全，同時也考慮了數據安全和安全大數據平臺，建立了一體化的智慧城市級安全防御體系。

大數據中心數據來源豐富，服務對象分布范圍廣，網絡環境建設復雜，數據采集和服務范圍涵蓋了電子政務外網、公安大數據平臺、公共安全視頻網直至互聯網，不同區域安全網絡特點和安全要求完全不同，承載著不同的業務功能。以下按照所在網絡區域不同分別進行描述。

1.安全設計構架

依據等級保護“一個中心三重防護”的設計思想，結合云計算功能分層框架和云計算安全特點，構建云計算安全設計防護技術框架。其中一個中心指安全管理中心，三重防護包括安全計算環境、安全區域邊界和安全通信網絡。

以大數據驅動安全為核心理念，通過在云網絡邊界和云主機內部署安全探針，收集全量的泛安全數據，通過大數據分析技術形成信息安全態勢感知，實現信息安全可視化。

2.數據安全設計架構

為保障各政務部門上云應用數據安全，將依據國家政策法規，采用先進的數據安全技術，建設大數據中心云平臺數據安全管理平臺，實現數據安全全生命周期監管。

本項目建設主要包括五部分，數據基礎安全加固、數據安全資產管理平臺建設、數據安全風控平臺建設、數據安全管理及運維體系建設和數據安全服務。

數據安全服務：對現有業務系統提供數據資產梳理、數據評估與分級、數據權限管理審批、敏感數據識別與脫敏、數據風險監控預警等數據安全服務，以保障數據的安全性。

3.安全大數據平臺設計架構

安全大數據平臺由安全數據采集平臺，安全數據治理平臺、安全大數據基礎平臺、通用性示范網絡安全算法平臺、威脅情報平臺組成。其中，安全數據采集平臺對接流量探針數據、主機探針數據、設備日志、系統日志和威脅情報數據，將各類數據進行范式化處理后建立大數據安全數倉，同時，平臺接入市大數據中心用戶中心系統，進行統一用戶管理，并將運維數據對接到運維保障平臺。

四.大數據中心安全建設內容

1.邊界安全防護建設

根據大數據中心業務域業務架構設計，需外接各類網絡邊界進行分別防護。

外網邊界需部署下一代防火墻實現邊界隔離和入侵防范，保護大數據中心業務域的網絡安全。入侵防護系統對從互聯網和電子政務外網進入大數據中心業務域的訪問流量進行網絡入侵攻擊、蠕蟲木馬傳播、后門木馬控制等惡意行為的檢測和防護。

網絡管理系統：網絡設備、核心服務器、安全設備的統一狀態監控、故障告警。

2.云安全建設

大數據中心核心數據域部署需具有網絡層、主機層、云平臺安全防護體系實現安全防護和管理能力;同時，通過云平臺物理資源隔離、VPC控制、VLAN劃分、網絡層訪問控制等技術手段。

大數據中心業務域是大數據中心對外業務開展的核心網絡，采用全雙鏈路冗余結構搭建骨干網絡，保證網絡的高效穩定。網絡內部根據業務功能不同劃分為骨干鏈路區、辦公接入區、業務域公共服務區、業務域互聯網服務區、安全管理區五大部分。

3.數據安全建設

為保障各部門應用數據安全，將依據國家政策法規，采用先進的數據安全技術，進行建設，實現數據安全全生命周期防護。

建設主要包括五部分，數據基礎安全加固、敏感數據安全資產管理平臺建設、數據安全風控平臺建設、數據安全堡壘建設、數據安全監管及運營體系建設和數據安全服務。

數據安全服務：對市現有業務系統提供數據資產梳理、數據評估與分級、數據權限管理審批、敏感數據識別發現、數據風險監控預警等數據安全服務，以保障數據的安全性。

4.安全大數據平臺建設

主要建設內容包括：安全大數據基礎平臺、安全數據采集平臺、安全數據治理平臺、通用性示范網絡安全算法平臺、威脅情報平臺、安全數據治理服務、數據標準規范服務、大數據中心網絡安全威脅感知整體設計方案等內容。

安全數據挖掘人員和安全數據開發人員通過調動標準的數據接口，將數據調入到自己大數據工作空間，在經過算法分析處理后，可以將分析結果數據導出到指定的外部系統的數據庫進行展示。