大數(shù)據(jù)和云計算環(huán)境下網(wǎng)絡(luò)安全探究

李朝霞，劉金春，溫 源

（聯(lián)通數(shù)字科技有限公司，北京 100084）

1 大數(shù)據(jù)和云計算的內(nèi)在聯(lián)系和應(yīng)用優(yōu)勢

1.1 內(nèi)在聯(lián)系

近些年來我國社會經(jīng)濟發(fā)展水平逐漸提升，在此背景下各種新興技術(shù)層出不窮，并在各個領(lǐng)域都得到了廣泛應(yīng)用，其中大數(shù)據(jù)和云計算技術(shù)憑借自身更強的優(yōu)勢成為了新時代發(fā)展的重要技術(shù)。大數(shù)據(jù)本身有著較快的數(shù)據(jù)流轉(zhuǎn)速度，同時還具有類型多樣化以及數(shù)據(jù)量大的特點。靈活應(yīng)用大數(shù)據(jù)技術(shù)以充分發(fā)揮其在數(shù)據(jù)收集處理方面的應(yīng)用優(yōu)勢，切實提高數(shù)據(jù)收集處理的質(zhì)量和效率。云計算主要是在互聯(lián)網(wǎng)技術(shù)的基礎(chǔ)上形成的新技術(shù)，其在應(yīng)用過程中具有計算速度較快的特征，應(yīng)用范圍較為廣闊。云計算與大數(shù)據(jù)之間存在著密不可分的聯(lián)系，大數(shù)據(jù)的處理不僅需要使用單臺計算機，還需要采用分布式架構(gòu)針對海量數(shù)據(jù)分布挖掘，其實現(xiàn)過程需要以云存儲、分布式數(shù)據(jù)庫以及云計算分布處理等技術(shù)作為基礎(chǔ)支撐。當(dāng)前社會各界開始廣泛關(guān)注大數(shù)據(jù)，并積極探索二者之間的聯(lián)系，具體關(guān)系如圖1所示。

圖1 大數(shù)據(jù)和云計算的內(nèi)在聯(lián)系

1.2 應(yīng)用優(yōu)勢

在實際應(yīng)用過程中，大數(shù)據(jù)和云計算技術(shù)具有獨特的特征和優(yōu)勢，其投入成本相對較少。傳統(tǒng)數(shù)據(jù)中心的建設(shè)往往需要耗費大量人力和物力，成本較高，對于部分企業(yè)來說壓力較大，在成本因素的制約下難以更好地建設(shè)本公司的數(shù)據(jù)中心。在大數(shù)據(jù)和云計算技術(shù)不斷應(yīng)用發(fā)展的過程中，兩者可以有效保障企業(yè)各項數(shù)據(jù)的安全，降低建設(shè)成本，使企業(yè)能夠在云計算服務(wù)的基礎(chǔ)上租用其他服務(wù)，這不僅能夠有效降低企業(yè)各項運營成本，還能簡化管理步驟，推動企業(yè)未來的整體發(fā)展[1-3]。

隨著大數(shù)據(jù)和云計算的迅速發(fā)展，計算機資源廣泛分布于由大量計算機組成的資源池，用戶可以綜合考慮各方面影響因素，根據(jù)自身在資源方面的實際需求進行連接。此外，用戶還可以基于數(shù)據(jù)云結(jié)合自身需求展開相應(yīng)的計算工作，通過終端接入數(shù)據(jù)中心進行接入，從而實現(xiàn)對資源的合理利用。從資源的覆蓋層面進行分析，云計算本身屬于一個較大的資源池，其中涉及到海量的信息資源，可以切實保障資源共享的實效性。云計算能夠?qū)ヂ?lián)網(wǎng)的訪問方式進行選擇，客戶則可以通過對計算機資源池中軟硬件的應(yīng)用提高自身的數(shù)據(jù)訪問能力，并提升數(shù)據(jù)存儲計算水平。云計算本身的應(yīng)用優(yōu)勢還體現(xiàn)在數(shù)據(jù)按需服務(wù)以及數(shù)據(jù)虛擬化等方面，其核心在于應(yīng)用虛擬技術(shù)，在應(yīng)用底層架構(gòu)的過程中達到抽象化的效果，同時為設(shè)備差異和兼容透明化提供強有力的支持，有助于促進后續(xù)底層數(shù)據(jù)統(tǒng)一化管理效率的提高[4-6]。

除此之外，大數(shù)據(jù)和云計算實際應(yīng)用過程中具有較強的靈活性，能夠為后續(xù)管理工作的高質(zhì)量開展提供方便。大數(shù)據(jù)和云計算技術(shù)實質(zhì)上屬于一種虛擬技術(shù)，能夠?qū)崿F(xiàn)對全部數(shù)據(jù)資源的合理連接，可以充分發(fā)揮人工管理和數(shù)據(jù)軟件操作的作用，幫助用戶精準(zhǔn)快速地找到需要的數(shù)據(jù)資源。在此過程中，操作人員可以突破時間或空間等因素的限制，對相應(yīng)的資源進行自動化查詢，查詢時通過合理運用虛擬技術(shù)平臺開展資源深度挖掘工作，進而提升其查詢資源內(nèi)容的精確性，提高查詢效率。用戶在實際展開操作的時候，需要事先建立客戶終端賬號，以便于此后的資源服務(wù)順利進行。

2 大數(shù)據(jù)和云計算環(huán)境下基于數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護策略

2.1 基本思路

結(jié)合相關(guān)標(biāo)準(zhǔn)進行分析，架構(gòu)數(shù)據(jù)中心安全技術(shù)體系時應(yīng)當(dāng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)層、物理層以及應(yīng)用層等方面入手。

基于網(wǎng)絡(luò)層面進行分析，可以將其劃分成安全審計、邊界防護、入侵防范、分域防護以及訪問控制幾部分。當(dāng)前我國新一代信息技術(shù)和未來業(yè)務(wù)正處在飛速發(fā)展的過程中，在該背景下要高效開展對于數(shù)據(jù)中心網(wǎng)絡(luò)邊界的安全防護設(shè)計工作。根據(jù)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)本身所處的網(wǎng)絡(luò)結(jié)構(gòu)和安全等級進行劃分，涉及到核心區(qū)、互聯(lián)區(qū)、生產(chǎn)業(yè)務(wù)區(qū)、互聯(lián)網(wǎng)服務(wù)區(qū)、辦公網(wǎng)接入?yún)^(qū)以及運維管理區(qū)6大安全區(qū)。具體情況如圖2所示。

圖2 數(shù)據(jù)中心整體架構(gòu)圖

2.2 具體部署

2.2.1 核心區(qū)防護設(shè)計

核心區(qū)的防護設(shè)計重點在于高效建設(shè)數(shù)據(jù)交換區(qū)域，從而為各項數(shù)據(jù)的高速轉(zhuǎn)發(fā)提供良好的支持。具體建設(shè)應(yīng)當(dāng)注重兩方面的問題，一是技術(shù)人員可以在現(xiàn)有設(shè)備的基礎(chǔ)上增設(shè)兩臺高性能設(shè)備，為后續(xù)數(shù)據(jù)中心整體各項數(shù)據(jù)之間的互訪和轉(zhuǎn)發(fā)奠定堅實的基礎(chǔ)，盡可能提高整網(wǎng)數(shù)據(jù)流通的有效性；二是技術(shù)人員可以將相應(yīng)的漏洞掃描設(shè)備增設(shè)在數(shù)據(jù)中心的核心交換機上，針對各個子網(wǎng)中涉及到的使用終端和操作系統(tǒng)展開全方位的安全漏洞掃描以及審計工作[7-10]。

2.2.2 互聯(lián)區(qū)防護設(shè)計

技術(shù)人員在進行互聯(lián)區(qū)具體防護方案設(shè)計的時候需要在靈活應(yīng)用邊界路由設(shè)備的基礎(chǔ)上與異地數(shù)據(jù)中心展開相應(yīng)的SDH專線連接，從而不斷提升數(shù)據(jù)中心在數(shù)據(jù)備份和業(yè)務(wù)互訪方面的實效性。而且技術(shù)人員需要合理應(yīng)用邊界路由設(shè)備，展開同其他城市分支機構(gòu)之間的SDN專線連接，切實保證分支機構(gòu)對于內(nèi)網(wǎng)的訪問需求相適應(yīng)。此外，技術(shù)人員可以在相關(guān)流量控制設(shè)備的基礎(chǔ)上提升那些具有帶寬較小特點的SDH鏈路承載數(shù)據(jù)的可視化水平，綜合考慮當(dāng)前數(shù)據(jù)業(yè)務(wù)的實際級別，針對性地制定出與實際情況相符合的流量控制策略，從根本上確保各類重要數(shù)據(jù)的傳輸更加安全和穩(wěn)定。在防護墻的接入方面可以采用路由模式，并將其在數(shù)據(jù)中心交換機與廣域網(wǎng)邊界之間進行串聯(lián)部署，通過合理應(yīng)用各種協(xié)議過濾和訪問控制等技術(shù)切實提升各項數(shù)據(jù)中心邊界流量進出的穩(wěn)定性及安全性。

2.2.3 生產(chǎn)業(yè)務(wù)區(qū)防護設(shè)計

防火墻設(shè)備的應(yīng)用能夠在全網(wǎng)設(shè)備及相關(guān)用戶訪問生產(chǎn)業(yè)務(wù)區(qū)域的過程中發(fā)揮出較好的防護效果。立足現(xiàn)有的條件，開展對各項業(yè)務(wù)的劃分工作，實現(xiàn)對于不同業(yè)務(wù)的有效區(qū)分。同時全面系統(tǒng)地對各業(yè)務(wù)展開相應(yīng)的梳理工作，并針對那些存在訪問需求的業(yè)務(wù)制定相應(yīng)的策略，以起到限制互訪的作用。此外，還需要詳細(xì)劃分各個分公司之間獨有的訪問策略，并針對那些不存在數(shù)據(jù)訪問和業(yè)務(wù)往來的公司進行策略隔離。

2.2.4 互聯(lián)網(wǎng)服務(wù)區(qū)防護設(shè)計

在互聯(lián)網(wǎng)服務(wù)區(qū)的防護設(shè)計方面，技術(shù)人員需要重點關(guān)注來源于互聯(lián)網(wǎng)便捷接入?yún)^(qū)的風(fēng)險，所采用的具體防護措施應(yīng)當(dāng)涉及到針對惡意代碼的防護并開展入侵檢測工作等，綜合考慮當(dāng)前我國在網(wǎng)絡(luò)安全方面的實際情況及發(fā)展趨勢，需要加強對各種專業(yè)設(shè)備的應(yīng)用，并提升各種安全操作的靈活性和安全性。由于絕大多數(shù)的網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)威脅都來源于互聯(lián)網(wǎng)，因此異構(gòu)防火墻串行接入，在原有的基礎(chǔ)上為外網(wǎng)增設(shè)第二層隔離，從而有效提升其安全穩(wěn)定性，并提高其當(dāng)前數(shù)據(jù)中心所具有的抗攻擊能力。

2.2.5 辦公接入?yún)^(qū)防護設(shè)計

優(yōu)化開展相應(yīng)的安全設(shè)計部署并制定安全訪問控制策略能夠最大限度減少核心區(qū)域的無效數(shù)據(jù)流量，并高效規(guī)避各種內(nèi)網(wǎng)威脅，對于網(wǎng)絡(luò)安全和網(wǎng)絡(luò)資源的有效利用有著重要的促進作用。技術(shù)人員在進行辦公接入?yún)^(qū)防護設(shè)計的過程中應(yīng)當(dāng)合理制定安全防護方案。防火墻需串行接入到辦公區(qū)域出口的位置，按組科學(xué)開展用戶權(quán)限的劃分工作，并針對性地制定與之相適應(yīng)的訪問策略。同時與當(dāng)前多擁有數(shù)據(jù)泄露防護（Data Leakage Prevention，DLP）終端內(nèi)容的審計系統(tǒng)有效結(jié)合，針對辦公區(qū)用戶展開相應(yīng)的內(nèi)容審計工作，從而在終端第一時間發(fā)現(xiàn)并及時妥善解決信息安全事件。

2.2.6 運維管理區(qū)防護設(shè)計

首先，在堡壘機訪問方面，只有部分管理人員擁有訪問和登錄的權(quán)限，其他人員訪問將會被禁止。

其次，將堡壘機設(shè)備布置在運維管理區(qū)，統(tǒng)一管理賬戶，并集中開展針對各項賬號的管理工作，例如安全設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理以及相關(guān)服務(wù)器管理等，同時結(jié)合實際情況設(shè)置設(shè)備管理員或運維操作員等，保障滿足具體的審計需求。

最后，靈活采用堡壘機設(shè)備落實數(shù)據(jù)庫和文件傳輸?shù)炔僮魅^程的審計工作，采用設(shè)備錄像等手段對工作人員的實際操作行為進行實時動態(tài)監(jiān)控，以便在第一時間發(fā)現(xiàn)違規(guī)操作，并迅速進行合理控制，切實提升運維管理的實效性。

3 結(jié) 論

綜上所述，基于數(shù)據(jù)中心制定相應(yīng)的網(wǎng)絡(luò)安全防護策略能夠有效應(yīng)對各種層出不窮的網(wǎng)絡(luò)安全問題，對于互聯(lián)網(wǎng)整體安全性和穩(wěn)定性的提升有著積極的促進作用。因此，相關(guān)工作人員要加強對于網(wǎng)絡(luò)安全防護方面的重視，從而有效降低網(wǎng)絡(luò)安全事故造成的影響。